Nella giornata di ieri ho partecipato ad un seminario sulle AET (Advenced Evasion Techniques) tenuto dal vendor che per primo si è occupato di fornire soluzioni per proteggere da questa minaccia.
Senza entrare in dettagli molto tecnici si tratta di metodi in grado di penetrare gli IPS più avanzati del mercato e di farlo senza lasciare traccia.
Tali metodi sono stati studiati negli ultimi anni da un’azienda che si occupa di sicurezza nell’IT e che a partire dal 2010 ha iniziato a fornire dati su queste vulnerabilità in accordo con CERT Fi (autorità finlandese sui regolamenti nelle comunicazioni).
Sembra che l’accoglienza da parte dei main vendors di dispositivi di sicurezza sia stata freddina, tanto è vero che a distanza di diversi anni la stragrande maggioranza dei firewall è vulnerabile.
L’incontro, dopo le presentazioni di rito, è proseguito con alcune slide sui soliti scenari apocalittici infarciti di cybercrime e cyberterrorismo. Il messaggio è chiaro: siete TUTTI potenziali obiettivi. Grazie, ma lo sapevamo già 🙂
Nelle slide successive veniva schematizzato come utilizzando questi strumenti, in un abituale scenario aziendale (sicurezza perimetrale, DMZ, LAN con IPS) un hacker motivato può penetrare il firewall, raggiungere un server critico in LAN (con ERP o altre cose di vitale importanza) e sfruttarne le vulnerabilità per guadagnarne l’accesso.
Ho notato qualche espressione di sconforto (se non panico) nelle persone sedute vicino a me.
Alla domanda “allora siamo tutti fregati ?” la risposta è stata che per ora l’utilizzo di queste tecniche è limitato in quanto “molto costoso”. Cioè sarebbe necessario sborsare circa 500mila euro ad un hacker molto competente per confezionare un pacchetto di AET utili per un attacco mirato.
Devo dire che la risposta non mi ha convinto per nulla. Tali tecniche sono poco conosciute, ma piuttosto documentate.
Scommetto che se fossero così efficaci si potrebbe facilmente trovare un dotato ragazzino pachistano di 14 anni in grado di confezionare il pacchetto di cui sopra in cambio di un Nintendo 3DS nuovo 🙂
La sessione successiva era dedicata alle dimostrazioni pratiche.
Abbiamo visto le AET all’opera.
La dimostrazione era confezionata molto bene ed era basata su alcuni firewall commerciali aggiornati all’ultima release.
Simulava il classico attacco RPC per guadagnare la shell di un client Windows XP non aggiornato (SP2) passando attraverso l’IPS.
Al primo tentativo senza AET praticamente tutti i firewall rilevavano la minaccia e bloccavano i pacchetti dando corretta segnalazione nel log di sistema dell’avvenuto attacco.
Attivando le AET l’exploit andava sempre a buon fine e nulla veniva registrato.
A questo punto le espressioni di panico erano ancora più diffuse.
Vedendo le modalità della prova (maschere di rete etc…) non le ho trovate per nulla convincenti e come mio solito sono partito con qualche domandina scomoda.
Le risposte….
“No, se il PC è dietro NAT non è raggiungibile”, ma con l’altro attacco (il vecchio PHP BB) lo sarebbe in quanto il protocollo HTTP passa il firewall (?????).
Un momento, il protocollo passa attraverso firewall solo se lo decido io! Esistono anche il packet filtering e le policy di accesso!
Quindi mi pare di avere capito che: nel caso in cui una persona abbastanza motivata pagasse 500 mila euro ad un hacker e trovasse una rete in cui un amministratore di sistema sia così pirla da:
- Esporre un PC su internet
- NON filtrare RPC per quel PC
- Non aggiornare il PC
le tecniche sarebbero molto efficaci.
Il pir… volevo dire l’amministratore di sistema di cui sopra avrebbe fatto l’errore più grave nel campo della sicurezza IT: quello di fidarsi di un solo metodo (packet inspection in questo caso). Un po’ come aprire un file sospetto perchè “tanto abbiamo l’antivirus installato”.
Non voglio sminuire la portata del problema.
Ma la sicurezza è fatta da tanti piccoli mattoni. Io ho sempre considerato la packet inspection solo come un’ utile aggiunta. Ora so che non mi protegge da tutto, ma se quella non basta, la mia rete è progettata in modo da non lasciare accessi dall’esterno alle risorse critiche e vulnerabili e, soprattutto, da non lasciare accesso dall’interno all’esterno a nulla se non è strettamente necessario (da notare che le AET funzionerebbero ancora meglio in questo caso).
Anche a me capita di non poter aggiornare un PC per motivi di software o di hardware collegato. So che è vulnerabile quindi mi tutelo in altro modo. E di sicuro non lo vado a esporre su internet!
Però in tutta onestà devo dire che la dimostrazione mi ha colpito molto e se la mia azienda avesse il budget necessario, sarebbe mia premura aggiungere il prodotto proposto come un’ulteriore misura per migliorare il livello di sicurezza della mia rete.
Lascia un commento