Новые техники защиты от старых угроз – обойти невозможно?

В настоящее время факты применения техник обхода в рамках комплексных атак на компьютерные системы фиксируются многими техническими экспертами по всему миру. При этом, несмотря на достаточно большое количество времени, прошедшее с момента анонса самих техник обхода, до сих пор многие вендоры предпочитают либо отрицать сам факт наличия угрозы (а значит, и проблемы с их продуктами), либо занижают его серьезность (по той же причине).

Рассмотрим на конкретном примере:

• 4 октября 2010 г. – опубликована информация в CERT-FI: CERT-FI Advisory on IDS/IPS device vulnerabilities that may circumvent protections;
• 28 октября 2010 г. – Cisco опубликовала свой ответ (отсутствие подробного описания проблемы, сославшись на процедуры, принятые в PSIRT);
• 1 ноября 2010 г. – CERT добавил описание конкретных работающих 23 техник обхода;
• 15 декабря 2010 г. – публичное раскрытие информации CERT;
• 12 января 2011 г. – Checkpoint, HP TippingPoint, TrendMicro добавили информацию относительно своих продуктов;
• 1 марта 2011 г. – Top Layer Security добавил информацию о своих продуктах.

Серьезность самой проблемы подчеркивается самой организацией CERT-FI. С другой стороны, среднее время выживания "голой" системы в Интернете, безусловно, зависит от типа используемой ОС и приложений, но в среднем составляет порядка 8 мин.

При этом лишь один вендор (CheckPoint) выпустил отдельный бюллетень безопасности на данную тему (создан 14 декабря 2010 г., отредактирован 3 марта 2011 г.), в котором компания признала существование проблемы, оперативно выпустила сигнатуры с высоким (high) рейтингом серьезности.

Большинство вендоров фактически открестилось от проблемы, утверждая, что они неуязвимы (как, например, HP TippingPoint, Top Layer), только единицы признали факт выпуском некоторого количества обновлений сигнатур (например, TrendMicro). Остальные вендоры (например, SourceFire, IBM ISS), казалось бы (см. ниже), не проявили внимания к проблеме вообще.

Несмотря на выпущенный бюллетень безопасности, компания CheckPoint также утверждает, что ее решения неуязвимы на сетевом и транспортном уровнях, а вот для RPC и SMB были исключения из этого правила .

Более того, в некоторых ресурсах приводится не совсем корректная или заведомо ложная (вводящая в заблуждение) информация (например, от вполне уважаемой группы VRT). В примере один из сотрудников команды, занимающейся исследованиями уязвимостями, в достаточно критичных тонах рассказывал о том, что продукты Snort и SourceFire являются самыми лучшими по обработке техник обхода (evasion). При этом он утверждал (статья датирована 22 октября 2010 г.), что их продукты полностью неуязвимы по отношению к АЕТ, а также, что в 2009 г. на тестах в компании NSS продукт SourceFire был одним из трех, которые полностью были защищены от базовых evasion-техник. Однако это недостоверная информация, поскольку в официальном отчете NSS Labs от 2009 г. было явно указано, что SourceFire не прошел этот тест (см. рис. 1).

То есть, по сути, автор статьи Алекс Кирк (из VRT) сознательно вводил людей в заблуждение. При этом попытки добавить комментарии с просьбой убрать утверждение о прохождении тестов были полностью проигнорированы, а комментарии – стерты.

Справедливости ради стоит заметить, что скорее всего специалист ссылается (но почему-то замалчивает этот факт) не на официальные результаты теста, а на повторные проверки SourceFire, которые почему-то проходили в частном порядке уже в феврале 2010 г., когда и был выпущен "исправленный" отчет² (хотя и с припиской – стоит поблагодарить за эту честность компанию NSS Labs). Но почему бы об этом тогда не сказать открыто?

14 июня 2011 г. был опубликован очередной бюллетень от CERT по тематике АЕТ со статусом "удаленная уязвимость, которая позволяет обойти средства защиты" и механизмом борьбы – "исправление от вендора". Несмотря на серьезность угрозы, только два вендора проявили к нему интерес:

• Top Layer снова заявил, что его решения неуязвимы;
• CheckPoint также отметил, что производимые им решения неуязвимы и никаких патчей не требуется, нужно только убедиться, что работает механизм защиты "MS-RPC over CIFS Fragmentation".

При этом в закрытом разделе сайта поддержки клиентов SourceFire также опубликовал информацию в отношении и первого, и второго бюллетеня о том, что их решения неуязвимы.

К сожалению, по состоянию на сегодняшний день, как показывает практика, решения большинства вендоров остаются уязвимыми даже к ординарным техникам обхода, не говоря уже про их комбинации или применение динамических техник (АЕТ), поэтому данной проблеме следует уделять самое тщательное внимание. В особенности при выборе систем защиты от атак из публичных сетей.