Vechten tegen hackers is een verloren race

Beveiligingssystemen worden steeds slimmer, maar ook hackers ontwikkelen constant nieuwe methoden. De laatste generatie hackmethoden weten zelfs de laatste IPS-systemen om de tuin te leiden.

Netwerkomgevingen worden steeds complexer, waardoor ook het beheer steeds moeilijker wordt. Systemen als Intrusion Prevention Systems (IPS) nemen de rol van beveiligingspolitie over op het netwerk en onderscheppen criminele acties. Ook scannen ze het verkeer op malware, door in datapakketjes naar verdachte patronen te speuren. Deze systemen zijn ontworpen om aanvallen op interne systemen af te slaan en kunnen alleen op bepaalde momenten gepatcht worden. Daarom zijn ze niet 100% betrouwbaar.

De nieuwste soort aanvallen, zogenaamde Advanced Evasion Techniques (AET's) maken misbruik van deze methode. AET's combineren verschillende manieren om een aanval te verhullen en zijn daardoor bruikbaar om vrijwel iedere netwerkbeveiliging om de tuin te leiden.

Netwerken, ingewikkelder dan ooit tevoren
De beveiliging van een netwerk hangt van meerdere criteria af. Netwerk-, server- en beveiligingsbeheerders moeten van wanten weten, willen ze hun organisatie kunnen beschermen tegen de nieuwste aanvallen. Daarnaast is de veiligheid van een netwerk afhankelijk van dat van de systemen die ermee verbonden zijn. Zo kunnen dynamische, slecht geplande netwerkdiensten ervoor zorgen dat beheerders geen juiste policies kunnen instellen.

In sommige bedrijfsnetwerken is het bijvoorbeeld Łberhaupt niet mogelijk om updates voor het besturingssysteem in te stellen omdat er verouderde software en protocollen worden gebruikt. Hierdoor zijn deze systemen minder goed beschermd dan ze zouden moeten zijn.

Een IPS kan in zo'n geval uitkomst bieden. In tegenstelling tot een firewall, waar vooraf restricties worden ingesteld, kun je met een IPS dataverkeer laten inspecteren op verdachte codepatronen en deze laten passeren wanneer er geen overtredingen worden geconstateerd. Mochten er wel alarmbellen gaan rinkelen, dan gooit een IPS automatisch de dataverbinding eruit. Deze technieken werken prima, maar zijn afhankelijk van de malwarepatronen die leveranciers beschikbaar stellen.

AET probeert slimmer dan IPS te zijn
Advanced Evasion Techniques kunnen een IPS te slim af zijn. Hackers gebruiken ze als afleidingsmanoeuvre voor hun aanval om de beveiliging de verkeerde kant op te sturen. Tot voor kort waren er slechts een handvol van zulke technieken bekend en konden de meeste recente beveiligingssystemen ze goed aanpakken.

Maar AET's zijn een nieuw soort aanval. Ze kunnen op verschillende manieren een aanval verhullen en op verschillende manieren in het netwerkverkeer inbreken om besmette pakketjes te plaatsen die niet opgemerkt zullen worden. In tests blijkt dat AET's mogelijk zijn in IP- en transportlagen als TCP en UDP, maar ook op applicatieniveau via SMB- en RPC-protocollen kunenn worden toegepast.

Om malware te verhullen, gokken AET's op protocolzwakheden en de natuur van netwerkcommunicatie die de meeste pakketjes als goedaardig wil zien. Ze maken misbruik van de bekende manier om detectiesystemen in het netwerk te desynchroniseren. In zo'n geval krijgt een IPS een ander beeld van een protocolstatus van een datapakket als de host die aangevallen wordt. Dit kan gebeuren als een IPS niet genoeg datafragmenten kan bufferen voordat detectiepatronen toegepast kunnen worden of als de fragmenten niet goed terug in elkaar worden geplaatst.

Op dat moment krijgt de IPS niet langer de originele context van het datapakket mee. Het zal zelf de stream herschrijven voordat deze naar het doelsysteem verstuurd wordt. Hierdoor kunnen datapakketjes er normaal en veilig uit zien, maar wanneer ze de host bereiken kunnen ze alsnog malwarecode bevatten.

Ontelbare varianten
Tot dusver zijn meer dan 150 verschillende soorten AET's in kaart gebracht. Maar er zijn er vele miljoenen varianten mogelijk. Om je netwerk tegen zulke aanvallen te beveiligen, moet je IPS-architectuur alle mogelijke varianten kunnen herkennen en aanpakken. Soms is slechts een kleine aanpassing in het aantal bytes of in de segmentatie voldoende om een AET-aanval niet langer op een bekend patroon, opgeslagen in de IPS, te doen lijken.

Zelfs de laatste IPS-systemen zijn nooit 100 procent veilig. Het systeem slaat geen alarm, dus de hacker kan rustig rond gaan neuzen in het systeem voor mogelijke kwetsbaarheden of een ongepatchte server aanvallen. Ook het overnemen van zo'n systeem als beheerder behoort tot de mogelijkheden.

In AET-aanvallen speelt het TCP/IP-protocol, het protocol voor internet en voor heel veel verschillende netwerken, een sleutelrol. Het protocol specificeert dat een systeem conservatief moet opereren als het gaat om het versturen van pakketten, maar pro-actief als het gaat om het ontvangen van paketten. In andere woorden, het kijkt goed naar de pakketjes die verstuurd moeten gaan worden, maar gooit de deuren open voor pakketjes die binnen moeten gaan komen. Dit betekent dat pakketjes, hoe ze er ook uitzien, altijd door het ontvangende systeem opgepikt zullen worden.

Dit liberale systeem garandeert interoperabiliteit tussen systemen. Maar tegelijkertijd opent het veel deuren voor de manier waarop een AET te werk kan gaan. Besturingssystemen en applicaties gaan stuk voor stuk anders met TCP/IP om als het gaat om het ontvangen van pakketjes. Net nieuwe IPv6 (Internet Protocol versie 6), met meer mogelijke ip-adressen, maakt niet alleen meer functionaliteit mogelijk, maar verruimt ook de mogelijkheden van AET's.

IPv6 verergert het probleem
De nieuwe multicast protocollen en de veranderingen die in de routering van het nieuwe IPv6 worden doorgevoerd maken dat Advanced Evasion Techniques meer ruimte krijgen om een aanval in het protocol of in de transportlaag te maskeren. Daarnaast wordt het ook ingewikkelder voor beveiligers om ze op te sporen, deels ook omdat ze niet kunnen bogen op een berg ervaring met IPv6.

Om sneller te communiceren, eist het nieuwe internetprotocol dat er meer compromissen worden gedaan bij de gedaante van een regulier datapakketje. Omdat er ook compatibiliteit met IPv4 moet zijn, moeten systemen liberaler dan ooit met binnenkomende pakketten omgaan. Dit vergroot de kansen van een AET om malware te injecteren.

IPS-systemen kunnen een netwerk alleen van AET's beschermen wanneer ze verder kijken dan alleen naar bekende malwarepatronen. Netwerksystemen horen meerdere methodes voor het controleren van dataverkeer toe te passen. Er zou streng toezicht moeten zijn op het volledig correct aankomen van datapakketten voor alle protocollen over iedere verbinding, waaronder IPv6. Dit voorkomt dat pakketjes die niet compliant zijn met de klassieke IP-regels ongedetecteerd door het beveiligingssysteem glippen.

Daarnaast zou je IPS-systeem softwaregebaseerd moeten zijn en moet het mogelijk zijn om updates Š la minute door te voeren. Dit biedt de beste bescherming tegen het almaar groeiende aantal AET's.

Momenteel is er nog geen volledige bescherming tegen AET's. Het is ook de taak van de IT-manager om bij leveranciers dit probleem hoger op de agenda te krijgen. Op het gemeenschapsplatform Antievasion.com kun je in ieder geval met andere experts en vertegenwoordigers van leveranciers praten over het probleem en informatie inwinnen over de verschillende toegepaste AET's.

Werk aan de winkel
Patchmanagement en het uitbreiden van patroondatabases is geen definitieve oplossing, omdat je nooit het aantal dynamische aanvalspatronen 1 op 1 bij kunt houden. Met IPv6 wordt het bestrijden van AET's bovendien nog lastiger. Omdat ieder apparaat met IPv6 een eigen ip-adres heeft, kan een hacker een computer direct aanspreken zonder een omleiding via het clusteradres te maken. AET's spelen direct in op de kwetsbaarheden van IPv6 en vergemakkelijken het werk van hackers.

Ash Patel is countrymanager van beveiligingsleverancier StoneSoft voor Groot BrittanniŽ en Ierland. Deze blog verscheen eerder op zustersite Computerworlduk.com