Gli exploit sofisticati che utilizzano tecniche di evasione avanzate sono fin troppo comuni e ottengono molta risonanza da parte di media e analisti. La capacità di decodificare e normalizzare il traffico di rete per riuscire a scoprire e neutralizzare questi attacchi è una funzione essenziale di ogni piano di protezione.
I responsabili della sicurezza informatica sono attanagliati dalla lotta quotidiana contro criminali di tutto il mondo. Quando riescono ad accedere alle reti e ai sistemi di un’azienda, gli intrusi rubano i dati finanziari e le informazioni più preziose che riguardano clienti e proprietà intellettuali. Alcuni li usano a scopo di lucro o per disturbare e impedire transazioni commerciali; altri anche per lanciare nuovi attacchi su altre aziende.
Secondo un rapporto pubblicato a febbraio 2013 dal Ponemon Institute, ente che opera nel campo delle ricerche settoriali, le violazioni di dati personali sono in aumento, anche nelle aziende protette da firewall, malware e sistemi antintrusione (IPS). Dallo studio è emerso che le imprese non sono pronte a identificare, né a risolvere le violazioni di dati personali. In media, ci vogliono circa ottanta giorni per scoprire un’avvenuta violazione e altri quattro mesi per risolvere il problema. La cosa peggiore è che un terzo di tutte le violazioni non viene scoperto, né dall’hardware né dal software di protezione in uso. Di fatto, secondo la ricerca Ponemon Institute, il costo medio di una violazione di dati personali oscilla tra i 470.000 e gli 840.000 dollari per incidente.
Chi sorveglia il castello?
Per proteggere le proprie risorse, il settore IT ha storicamente adottato firewall stand-alone e sistemi IPS. Più di recente, per riuscire a scoprire e bloccare gli attacchi, sono stati utilizzati firewall di nuova generazione, dotati di sistemi antintrusione integrati che – per ispezionare il traffico di rete – si servono dello standard DPI (Deep Packet Inspection).
Il sistema antintrusione, a sua volta, confronta il traffico di rete in entrata con un database di firme e ricerca le anomalie che potrebbero segnalare una potenziale falla. Un IPS dovrebbe proteggere da attacchi lato server e lato client, ispezionando tutto il traffico in entrambe le direzioni indipendentemente da porte e protocolli poiché i criminali tentano spesso di esfiltrare i dati rubati che risultano compromessi dopo che si è verificata l’intrusione iniziale.
Questi sistemi sono progettati per prevenire l’intrusione, nei sistemi e nel traffico di rete, di pattern di attacco conosciuti. Ma se il codice maligno si presenta abilmente mascherato può passare inosservato e permettere a pirati informatici di infiltrarsi in rete.
Un codice “mascherato” è un problema serio, secondo il SANS Institute. Nel rapporto Beating the IPS, presentato dal SANS a gennaio 2013, si afferma che manipolando header, payload e flusso del traffico di un attacco ben conosciuto, è possibile ingannare i motori di ispezione durante il passaggio del traffico e permettere quindi agli attacker di accedere alla shell del sistema da colpire, protetta dall’IPS.
I cyber criminali usano spesso questi metodi di codifica, chiamati tecniche di evasione, per bypassare l’IPS e ottenere l’accesso a una rete o a un’altra risorsa IT. Alcuni sistemi antintrusione utilizzano tecniche di anti-evasione e normalizzazione dati per scoprire e bloccare le minacce codificate prima che queste riescano a entrare in rete. Questa capacità è essenziale per un IPS, poiché le evasioni, se non adeguatamente scoperte e decodificate, neutralizzano il sistema antintrusione.
Un arsenale sempre crescente di hacker malintenzionati: i black hat
Oggi si utilizza una varietà pressoché infinita di tecniche di codifica e, non appena qualche attacker escogita nuovi metodi di elusione in grado di bypassare gli IPS tradizionali, ne spuntano regolarmente di nuove. Di seguito i più conosciuti:
-
Offuscamento. Questa tecnica è stata inizialmente concepita per aiutare gli sviluppatori software a ridurre le dimensioni dei file di programma e a proteggere la proprietà intellettuale. Oggi, i criminali la utilizzano per alterare i codici di attacco — soprattutto le stringhe che contengono chiavi di registro e URL maligni — rendendoli indecifrabili, illeggibili o incomprensibili. Esistono svariate tecniche per offuscare un codice, incluse le codifiche Base64 e binarie. Nel caso di un offuscamento URL/HTTP, un attacker può alterare un URL utilizzando una codifica esadecimale (HEX) per nasconderlo del tutto.
-
Frammentazione a pacchetti. Si tratta di un metodo di elusione semplice ed efficace che prevede, lato attacker, la suddivisione di un exploit payload in una quantità di pacchetti per far sì che l’IPS non riconosca l’attacco. Alcuni attacker inviano i pacchetti fuori frequenza, nella speranza di confondere il sistema antintrusione. L’evasione mediante frammentazione a pacchetti va a segno se il sistema IPS non riesce a “collegare i puntini” durante l’ispezione dei pacchetti frammentati di codice maligno.
-
Segmentazione dei flussi TCP. Durante il trasporto, i flussi del protocollo di controllo delle trasmissioni (TCP) sono segmentati e incapsulati in pacchetti, per velocizzarne e facilitarne il movimento attraverso le reti. Quando i pacchetti raggiungono la loro destinazione, l’host remoto li riallinea, ripristinando i flussi. I cyber criminali a volte sovrappongono i dati, di modo che due o più pacchetti contengano lo stesso header per un unico flusso. Ciò può ingannare il sistema IPS confondendolo sul payload da far passare e impedendogli di riconoscere il codice maligno destinato al client o al server del caso.
-
Evasioni SMB. Il protocollo SMB (blocco messaggi del server) è un protocollo di condivisione di file da remoto che offre alle applicazioni la possibilità di leggere e scrivere sui file di un PC attraverso più protocolli in rete. Per tentare di nascondere un’attività SMB maligna, un attacker può servirsi di modi diversi. Uno dei più comuni è il mixing delle sessioni (leggere e scrivere su più risorse SMB durante la stessa sessione SMB e connessione TCP). Gli attacker a volte utilizzano anche il padding (riempimento) dell’SMB che si serve di un puntatore offset per aggiungere dati di exploit in coda ai comandi SMB legittimi.
-
Metodologie di evasione a concatenazione. Individuare una delle evasioni descritte in precedenza sembra un compito arduo per l’IPS, ma scoprire e bloccare il traffico maligno diventa ancora più difficile quando più evasioni sono concatenate insieme.
Come sconfiggere gli attacchi codificati
Sebbene molti vendor vantino soluzioni contro ogni tecnica di evasione utilizzata dai cyber criminali, la scelta della tecnologia giusta può essere molto impegnativa. Nella fase di selezione occorre valutare bene le funzioni che aumentano la sicurezza e la protezione di una rete e dei sistemi a essa collegati. Per riuscire a bloccare un’ampia varietà di attacchi, è consigliabile scegliere una tecnologia certificata da un ente esterno e soluzioni che si sono dimostrate resistenti alle metodologie di evasione nei test di terzi.
Nella scelta del proprio vendor di soluzioni di protezione dei dati aziendali, un esame attento e scrupoloso è tanto necessario quanto vantaggioso. Le violazioni dei dati personali sono molto costose. Uno studio presentato a luglio 2013 dal Center for Strategic and International Studies ha stimato che gli oneri finanziari correlati potrebbero raggiungere i 100 miliardi di dollari all’anno. Inoltre, i costi indiretti causati, ad esempio, dalla perdita di fiducia dei clienti, possono avere un impatto negativo sulla reputazione di un’azienda. Dato lo scenario, è indispensabile che le aziende facciano tutto il possibile per prevenire le intrusioni. E la scelta tecnologica giusta è il primo e più importante passo da fare.
Articolo gentilmente concesso da Cristiano Cafferata, Sales Manager Dell SonicWALL Italia.