AET: siamo tutti vulnerabili! Sarà vero??

Nella giornata di ieri ho partecipato ad un seminario sulle AET (Advenced Evasion Techniques) tenuto dal vendor che per primo si è occupato di fornire soluzioni per proteggere da questa minaccia.

Senza entrare in dettagli molto tecnici si tratta di metodi in grado di penetrare gli IPS più avanzati del mercato e di farlo senza lasciare traccia.

Tali metodi sono stati studiati negli ultimi anni da un’azienda che si occupa di sicurezza nell’IT  e che a partire dal 2010 ha iniziato a fornire dati su queste vulnerabilità in accordo con CERT Fi (autorità finlandese sui regolamenti nelle comunicazioni).

Sembra che l’accoglienza da parte dei main vendors di dispositivi di sicurezza sia stata freddina, tanto è vero che a distanza di diversi anni la stragrande maggioranza dei firewall è vulnerabile.

L’incontro, dopo le presentazioni di rito, è proseguito con alcune slide sui soliti scenari apocalittici infarciti di cybercrime e cyberterrorismo. Il messaggio è chiaro: siete TUTTI potenziali obiettivi.  Grazie, ma lo sapevamo già 🙂

Nelle slide successive  veniva schematizzato come utilizzando questi strumenti, in un abituale scenario aziendale (sicurezza perimetrale, DMZ, LAN con IPS) un hacker motivato può penetrare il firewall, raggiungere un server critico in LAN (con ERP o altre cose di vitale importanza) e sfruttarne le vulnerabilità per guadagnarne l’accesso.

Ho notato qualche espressione di sconforto (se non panico) nelle persone sedute vicino a me.

Alla domanda “allora siamo tutti fregati ?”   la risposta è stata che per ora l’utilizzo di queste tecniche è limitato in quanto “molto costoso”. Cioè sarebbe necessario sborsare circa 500mila euro ad un hacker molto competente per confezionare un pacchetto di AET utili per un attacco mirato.

Devo dire che la risposta non mi ha convinto per nulla. Tali tecniche sono poco conosciute, ma piuttosto documentate.

Scommetto che se fossero così efficaci si potrebbe facilmente trovare un dotato ragazzino pachistano di 14 anni in grado di confezionare il pacchetto di cui sopra in cambio di un Nintendo 3DS nuovo 🙂

La sessione successiva era dedicata alle dimostrazioni pratiche.

Abbiamo visto le AET all’opera.

La dimostrazione era confezionata molto bene ed era basata su alcuni firewall commerciali aggiornati all’ultima release.

Simulava il classico attacco RPC per guadagnare la shell di un client Windows XP non aggiornato (SP2) passando attraverso l’IPS.

Al primo tentativo senza AET praticamente tutti i firewall rilevavano la minaccia e bloccavano i pacchetti dando corretta segnalazione nel log di sistema dell’avvenuto attacco.

Attivando le AET l’exploit andava sempre a buon fine e nulla veniva registrato.

A questo punto le espressioni di panico erano ancora più diffuse.

Vedendo le modalità della prova (maschere di rete etc…) non le ho trovate per nulla convincenti e come mio solito sono partito con qualche domandina scomoda.

Le risposte….

“No, se il PC è dietro NAT non è raggiungibile”, ma con l’altro attacco (il vecchio PHP BB) lo sarebbe in quanto il protocollo HTTP passa il firewall (?????).

Un momento, il protocollo passa attraverso firewall solo se lo decido io! Esistono anche il packet filtering e le policy di accesso!

Quindi mi pare di avere capito che: nel caso in cui una persona abbastanza motivata pagasse 500 mila euro ad un hacker e trovasse una rete in cui un amministratore di sistema sia così pirla da:

  1. Esporre un PC su internet
  2. NON filtrare RPC per quel PC
  3. Non aggiornare il PC

le tecniche sarebbero molto efficaci.

Il pir… volevo dire l’amministratore di sistema di cui sopra avrebbe fatto l’errore più grave nel campo della sicurezza IT: quello di fidarsi di un solo metodo (packet inspection in questo caso). Un po’ come aprire un file sospetto perchè “tanto abbiamo l’antivirus installato”.

Non voglio sminuire la portata del problema.

Ma la sicurezza è fatta da tanti piccoli mattoni. Io ho sempre considerato la packet inspection solo come un’ utile aggiunta.   Ora so che non mi protegge da tutto, ma se quella non basta, la mia rete è progettata in modo da non lasciare accessi dall’esterno alle risorse critiche e vulnerabili e, soprattutto, da non lasciare accesso dall’interno all’esterno a nulla se non è strettamente necessario (da notare che le AET funzionerebbero ancora meglio in questo caso).

Anche a me capita di non poter aggiornare un PC per motivi di software o di hardware collegato. So che è vulnerabile quindi mi tutelo in altro modo. E di sicuro non lo vado a esporre su internet!

Però in tutta onestà devo dire che la dimostrazione mi ha colpito molto e se la mia azienda avesse il budget necessario, sarebbe mia premura aggiungere il prodotto proposto come un’ulteriore misura per migliorare il livello di sicurezza della mia rete.

5 pensieri riguardo “AET: siamo tutti vulnerabili! Sarà vero??”

  1. Ciao,

    FULL DISCLAIMER: lavoro per il vendor in questione ed ho una certa dimestichezza con demo sul tema.

    Il punto davvero interessante relativo alle AET è quello che succede nel FW o IPS o NG* quando vengono utilizzate le tecniche in questione. Cioè non vedi assolutamente nulla. Quindi il problema principale è che quando vengono usate non lasciano quelle tracce che tanto sarebbero utili a SIEM ed assimilabili.

    Non so da dove derivi l’idea del costo ma la questione è relativamente semplice: AET vuol dire combinare tra di loro diverse tecniche di evasione. Queste tecniche sono documentate in letteratura da quasi 15 anni, la loro combinazione può portare agli effetti immaginati (e dimostrabili in pratica). Usarle può non essere semplice per uno script kiddie e non è detto che sia “necessario” per effettuare una intrusione. Ma se voglio portare dei dati fuori e non voglio lasciare troppo tracce? potrebbero essere alquanto utili.

    Venendo al punto invece della configurazione: quando viene fatta una dimostrazione con il conficker la reazione di alcuni potrebbe essere del tipo “e già ma se io non lascio la 445 aperta qual’e’ il problema?” la mia risposta dovrebbe essere del tipo “il problema è che non hai capito quello che ti ho spiegato :-)” ma tende ad essere “benissimo, proviamo allora con un protocollo diverso, la porta 80/tcp sarà aperta?” e quindi sfruttiamo una vecchissima vulnerabilità del phpBB per fare la stessa dimostrazione… semplicemente non useremo tecniche di evasione sul layer 2 ma solo dal layer 3 a salire… quindi passo anche attraverso un qualsivoglia firewall…

    Se interessa il tema è possibile approfondire, così come una prima introduzione partendo da aet dot stonesoft dot com.

    Un’ultima nota: le slide sul tema cyber war/crime possono lasciare il tempo che trovano ma non vogliono terrorizzare, semmai concentrarsi su di un punto abbastanza trascurato “se mai ci fosse una cyber war (ed allo stato non ne possiamo parlare) chi sarebbe in prima fila? non certo i militari ma semmai utilities e privati…”.

    Nota finale: quando vedi qualcuno che si terrorizza o che si dispera pensando che la sicurezza “perfetta” non sia raggiungibile racconta la storiella zen dei due che fuggono inseguiti da un orso… “non ce la faremo mai a correre più veloci dell’orso!” “mi basta correre più velocemente di te…” 🙂 good enough security? 🙂

    Ciao,
    Francesco

  2. Ciao Francesco,
    fai bene a difendere la bandiera, ma non ce n’è bisogno. Io stesso sono convinto che stonesoft stia facendo un grandissimo lavoro, sia di sviluppo che di comunicazione.
    In tutta l’ottima presentazione ho da ridire solo su un paio di cose:
    1) la slide di cui parlo che ha generato la domanda (non si tratta di non capire, credo quasi tutti i presenti sapessero qualcosa di reti e di protocolli…) dove veniva chiaramente ipotizzato un attacco diretto da internet ad un server in LAN utilizzando AET.
    Ora, correggimi pure se sbaglio, ma credo che ciò non sia possibile a meno di gravi carenze strutturali e/o di progettazione della rete obiettivo.
    Quindi una slide DI SICURO EFFETTO, ma poco veritiera in uno scenario reale.
    2)altra affermazione che anche tu riporti sulla possibilità di portar fuori dati con le AET. Vale quanto sopra: ciò è possibile se il PC o server in LAN ha accesso diretto ad internet la qual cosa è una sicura carenza progettuale.

    Insomma, non voglio assolutamente sminuire il lavoro che state facendo. Sono realmente rimasto impressionato dai test e mi riprometto di approfondire in proprio la mia conoscenza con il vostro tool (evader).

    Sicuramente le AET sono un quasi-magico sistema per attaccare un server vulnerabile in DMZ SENZA LASCIARE ALCUNA TRACCIA. E questo mi preoccupa un po’ anche se al momento non ho finestre aperte in DMZ 🙂

    Purtroppo le soluzioni di per contrastare questi attacchi sono ancora costose, vuoi per l’hardware a 64 bit con risorse di memoria elevate e potenza di calcolo adeguata, vuoi per la tecnologia che giustamente chi le realizza desidera farsi pagare adeguatamente.
    Il fatto che la concorrenza sia praticamente nulla non migliora le cose….

    Quindi visto che il fucile è un po’ costoso per il momento evito di andare disarmato nel bosco sapendo che ci sono orsi affamati in giro 🙂

    Ciao
    Fabrizio

    1. Ciao,

      mettiamola in questi termini: se usi degli apparati capace di fare deep inspection è (solitamente) per verificare che il traffico consentito tra due punti non contenga cose che non ti piacciono (ovvero che pensi ti possano fare male ;-)). Se a quel traffico applico delle tecniche di evasione in modalità avanzata – quindi ricombinando tecniche atomiche – c’è caso che quel traffico passi senza lasciare traccia alcuna. Ci sono anche sistemi di IPS e NGFW che esibiscono simpatiche vulnerabilità in presenza di una tecnica atomica di evasione. A questo punto il sistema di deep inspection è cieco ed il traffico indesiderato passa senza lasciare traccia.

      La tua obiezione è del tipo: ma se non c’è traffico consentito allora le tecniche di evasione sono inutili. La risposta è si. Quello che mi chiedo è quante volte questa ipotesi sia vera e cosa succeda se utilizzo diverse tecniche di evasione (tutte applicabili a http) quando si transita per un proxy, ad esempio.

      Il grande lavoro fatto dai colleghi finlandesi che hanno messo mano al tema è stato quello di creare un framework di testing che permetta di fare testing delle tecniche di evasione così come si può fare nel mondo delle vulnerabilità. Ad oggi non esisteva uno strumento del genere.

      Spero di essere stato un po’ piu’ chiaro!

      Ciao, f.

  3. FULL DISCLAIMER: lavoro anche io per il vendor in questione
    Ciao.
    Mi permetto un microintervento focalizzato su tre aspetti.
    Il primo, farti i complimenti per il post. La security in generale, soffre a mio parere oggi di una malattia grave: ignoranza del contesto.
    Le AET, complicate per natura e anche in relazione alle ET, aggravano questa patologia; salvo trovare chi, come hai fatto, contestualizza un argomento molto specifico rendendolo fruibile a molti.
    La tua opinione sulla sicurezza a mattoni, che condivido ed evangelizzo da oltre dieci anni, resta l’unica grande verità da considerare con l’aggiunta di dinamismo.

    Secondo aspetto: uso delle AET per attaccare una rete LAN da Internet.
    IMHO l’aspetto rilevante è: quanto è vulnerabile il sistema target.
    Io vedo le AET come la coperta magica di Harry Potter; cioè qualcosa in grado di mascherare e rendere invisibile un attacco basato su exploit. Quasiasi exploit di vulnerabilità note e non. Il grado di pericolo e di rischio va quindi misurato sulla base di questo fattore.
    Recenti esperienze mi insegnano che gli exploit sono sempre più costruiti a regola d’arte per fare il minimo rumore e per essere sartorialmente confezionati in base al target da colpire.
    Se, grazie alle AET, azzero il rumore il rischio aumenta sensibilmente.

    Terzo aspetto: il prezzo e l’accessibilità.
    Concordo. La disponibilità di un AET costa. Molto.
    A prescindere dalla razza e dall’abilità, non parliamo di un programma ma di un sistema di attacco. In grado di manipolare il modo in cui le informazioni vengono trasmesse in rete.
    Con il completo dominio e controllo di tutto lo stack TCP/IP e datalink della macchina mittente.
    Confezionarlo per benino non è banale.
    Credo che questa sia una delle ragioni principali del silenzio intorno alle AET: se pago molto per avere un’arma voglio poterla usare più volte per ammortizzarla.
    E una delle ragioni principali della rarità di utilizzo di AET per realizzare attacchi mirati.

    Quando però sento di attacchi che sembrano quasi troppo semplici per essere portati a termine nei confronti di entità redditizie, dove le spiegazioni e l’analisi forense vengono procrastinate per lungo tempo per poi essere banalizzate, qualche domanda me la pongo.

    Serve protezione? Beh, dipende sempre dal valore di cosa sto proteggendo. O no?

    Grazie ancora per il post, davvero utile.
    L’opinione riportata è mia e in nessun modo pilotata o correlata alla società per cui lavoro.

    Ciao,
    RoarinPenguin

Spazio per un commento