ComputerClub 2
Sitemap Kontakt
  Wolfgang Back & Wolfgang Rudolph
Suche:   Wolfgang Back & Wolfgang Rudolph
  Aktuelle Sendung
  Nächste Sendung
  Sendungsarchiv
  Downloads


SENDUNGSARCHIV

19.09.2011
Folge 288

Neue Bedrohungen durch AET

Advanced Evasion Techniques oder kurz AETs (http://en.wikipedia.org/wiki/Intrusion_detection_system_evasion_techniques) ist eine moderne Form der Angriffe auf Netzwerke, die es vor allem darauf abgesehen haben, vorhandene Sicherheitssysteme zu umgehen. AETs nutzen dazu Schwachstellen in Protokollen sowie die niedrigen Sicherheitsbarrieren netzwerkbasierter Kommunikation aus. Sie machen sich dabei Methoden der Desynchronisierung von Netzwerküberwachungssystemen zunutze.


Heinz Schmitz über die neuartigen AET-Bedrohungen durch verschleierte Angriffe aus dem Netz

Netze werden durch Intrusion Detection Systeme (IDS) Und Intrusion Prevention Systeme (IPS) geschützt, die Angriffe von außen erkennen sollen und im schlimmsten Fall das Netz abschotten. Durch Schwächen, die in der Definition der Ethernetkommunikation aus dem Jahre 1981, der RFC 791, begründet sind könne Netzwerke unsicher sein, obwohl das installierte IPS und IDS  Sicherheit vorgaukelt.

Das Ethernetprotokoll sieht vor, dass der Empfänger von Nachrichten möglichst tolerant sein soll. Allerdings sind das Angriffe, die auf manipulierten Datenpaketen beruhen ein felfd von Möglichkeiten eröffnet.  Inzwischen hat Stonesoft fast 150 verschiedene Arten entdeckt, die tatsächliche Anzahl der Kombinationsmöglichkeiten von AETs liegt nach aktuellen Schätzungen jedoch bei 2 hoch 180. Eine Zahl, die aktuell kein IPS-System abdecken kann. Dies hängt mit der Arbeitsweise dieser Sicherheitsapplikationen zusammen. Denn im Gegensatz zu Firewalls, die anhand festgelegter Sicherheitsregeln Datenpakete nach Quelle, Ziel, Protokoll und anderen Eigenschaften zulassen oder abweisen, überprüfen IDS- und IPS-Geräte den gesamten Datenverkehr und lassen diesen nur ins Netzwerk, solange keine Bedrohung entdeckt wird.

Geräte, die den Datenverkehr inspizieren arbeiten mit so genannter Protokollanalyse und Signaturerkennung. So werden bestimmte Angriffsmuster von Schädlingen im Datenverkehr erkannt, die Schwachstellen in einem Kommunikationssystem ausnutzen. Bei der Entdeckung einer neuen IT-Bedrohung werden entsprechende Erkennungsmethoden in den Geräten implementiert.

Da sich verschiedene Betriebssysteme und Anwendungen beim Empfang von Datenpaketen nicht gleich verhalten, erkennt die Applikation des Zielsystems eventuell etwas völlig anderes, als sich ursprünglich im Datenverkehr des Netzwerks befand. Zudem kann das Netzwerk selbst den Datenverkehr zwischen Sicherheitssystem und Host verändern. In vielen Fällen ist es möglich, diese Unterschiede für einen Angriff auszunutzen: So lassen sich normal und sicher erscheinende Datenpakete erstellen, die sich erst bei der Interpretation durch das Endsystem als Attacke entpuppen.

Cyberkriminelle können mithilfe von Evasions Netzwerk-Security-Systeme wie Next Generation Firewalls (NGFW) und Intrusion-Prevention-Systeme (IPS) umgehen. Die meisten Sicherheitssysteme erkennen einen mit AETs getarnten Angriff nicht, da AETs eine dynamische Bedrohung darstellen, die sich ständig weiterentwickelt. Seit der Entdeckung der ersten 23 Advanced Evasion Techniques (http://www.antievasion.com/principles/principles/part-3) hat Stonesoft inzwischen 124 weitere AET-Muster der finnischen Sicherheitsbehörde CERT-FI zur Verfügung gestellt. Nach Erkenntnissen der StoneLabs, der Forschungsabteilung von Stonesoft, ist dies jedoch nur die Spitze des Eisbergs.

Das StoneGate Evasion-Test-Tool von Stonesoft soll auch die neuen, Ende 2010 entdeckten AET-Techniken abdeckt. Die Gemeinschaft der IT-Security-Anbieter wurde bereits im Rahmen des CERT-Koordinationsprozesses über diese neue Art der IT-Bedrohung informiert. Im Gegensatz zu bestehenden Labor- und Geräte-Testmethoden wird der Anti-Evasion Readiness Test während des laufenden Betriebs mit den eingesetzten Sicherheitslösungen und Konfigurationen in der eigenen Produktionsumgebung des Unternehmens durchgeführt. Nach Abschluss der Tests erhalten Kunden außerdem einen umfassenden Bericht über die Erkennungs- und Blockraten von Evasions auf unterschiedlichen Protokollebenen. Darüber hinaus erhält das Unternehmen praktische Empfehlungen und Ratschläge zur Minimierung des eigenen Risikos. Für den Test sind weder unternehmensinterne Experten noch Investitionen in Test-Tools erforderlich.


zurück zum Archiv
Anhören:


Audiodatstream
Download 128 Kbit/s (~27 MB)
Download 32 Kbit/s (~7 MB)
Ogg Vorbis 56 Kbit/s (~12 MB)
RSS Feed (Audiocast, letzte 5 Sendungen)
RSS Feed (Audiocast, alle Sendungen)

Druckversion Impressum Haftungsausschluss