Pressemitteilung von Angelika Dester

Stonesoft entdeckt 124 neue Advanced Evasion Techniques

---

---

Stonesoft, Anbieter integrierter Lösungen für Netzwerksicherheit, hat 124 neue Advanced Evasion Techniques (AETs) entdeckt. Muster dieser neuen AETs hat das Unternehmen bereits an die Sicherheitsbehörde CERT-FI übergeben, die weiterhin den weltweiten Vulnerability-Coordination-Prozess leitet. Von der Entdeckung neuartiger Evasion-Techniken hat Stonesoft erstmals im Oktober 2010 berichtet. Seither hat Stonesoft die Forschungen auf diesem Gebiet fortgesetzt und jetzt 124 weitere neue Bedrohungen dieser Art identifiziert. Das Unternehmen untersucht AETs nicht nur in seinen Forschungs- und Entwicklungslabors, sondern prüft auch, inwieweit sie bereits für gezielte Attacken auf Netzwerke eingesetzt werden.

Noch kein langfristiger AET-Schutz

Nachdem das CERT-FI erste Sicherheitsempfehlungen zu den im vergangenen Herbst entdeckten 23 AETs veröffentlicht hatte, vermeldeten viele Hersteller, die Sicherheitslücken in ihren Produkten "behoben" zu haben. Tests unter Realbedingungen in den Forschungslabors von Stonesoft zeigten jedoch, dass AETs noch immer unbemerkt in viele dieser Systeme gelangen können. In anderen Fällen können die Sicherheitssysteme bereits durch minimale Veränderungen an den AETs, beispielsweise der Byte-Anzahl oder des Segment-Offset, umgangen werden. Dies deutet darauf hin, dass die meisten Hersteller der wachsenden Bedrohung durch AETs lediglich mit kurzfristigen und unflexiblen Lösungen begegnen, anstatt die Ursachen von Sicherheitslücken zu erforschen und grundlegende Probleme in der Architektur zu beheben.

NSS Labs sieht in Evasions ernste Bedrohung

Herkömmliche Evasion-Techniken und AETs sorgen in der Netzwerksicherheits-Community für wachsende Besorgnis. In seinem Network IPS Group Test Q4 2010 bezeichnet das unabhängige Testlabor NSS Labs IP-Fragmentierungs- und TCP-Segmentierungs-Evasions als schwerwiegende Bedrohung, denn "wenn ein Angreifer durch die Fragmentierung von Paketen oder die Segmentierung von TCP-Streams unbemerkt bleiben kann, werden keinerlei Attacken vom Intrustion-Prevention-System erkannt."

"Wird eine Evasion nicht bemerkt, kann ein Hacker eine ganze Reihe von Exploits einsetzen, um das Sicherheitssystem zu umgehen, das somit nahezu nutzlos wird", sagt Rick Moy, President von NSS Labs. "Durch die Kombination bestimmter Evasion-Techniken lässt sich die Erfolgsquote für Angreifer - und damit die Gefahr für Unternehmen - weiter erhöhen."

Risiko von AETs einschränken

Gegen die Bedrohung durch AETs gibt es zwar keine Universallösung, doch Unternehmen sind durchaus in der Lage, das Risiko einzuschränken und Sicherheitslücken zu schließen. Dazu gehört der ausschließliche Einsatz von Sicherheitsgeräten, die einen umfassenden Multi-Layer-Normalisierungsprozess durchführen und alle relevanten Protokollschichten für jede Verbindung bearbeiten. Entscheidend ist auch ein zentrales Management, da so kontinuierlich Updates und Upgrades tief in der Netzwerksicherheits-Architektur möglich sind. Die Funktionen Fingerprinting und signaturbasierte Erkennung, die normalerweise zum Schutz vor Exploits verwendet werden, sind gegen AETs leider wirkungslos, weil die dynamischen Evasion-Techniken kombinierbar sind und sich ständig weiterentwickeln.

Bob Walder, Research Director bei Gartner, Inc., der im November 2010 einen ausführlichen Bericht über AETs mit dem Titel "Advanced Evasion Techniques (AET): Weapon of Mass Destruction or Absolute Dud (AETs: Massenvernichtungswaffe oder Blindgänger)" verfasste, kommentiert: "Evasion-Techniken sind kein neues Phänomen. Dennoch stellen sie eine glaubhafte Bedrohung für Netzwerksicherheits-Infrastrukturen dar, die weltweit Regierungen, Unternehmen und den Austausch von Daten schützen sollen. Aufgrund der neuen Forschungsergebnisse wurde dieses Problem glücklicherweise wieder in den Mittelpunkt gerückt. Netzwerksicherheits-Anbieter müssen nun Ressourcen bereitstellen und Forschungsarbeit betreiben, um eine Lösung zu finden."

Stonesoft hat für mehrere AETs bereits Packet-Capture-Beschreibungen veröffentlicht, über die das CERT-FI bereits 2010 informiert wurde. Diese Beschreibungen stehen hier zur Verfügung.

Terminhinweis Webdemo

In einer 30-minütigen Webdemo (englischsprachig) heute am Dienstag, 15.02.2011, um 15 Uhr zeigt Stonesoft, wie Hacker mithilfe von AETs unbemerkt an Sicherheitsmechanismen vorbei in ein Netzwerk eindringen können. Im Anschluss stehen Experten von Stonesoft für Fragen zur Verfügung. Interessierte können sich anmelden unter https://www3.gotomeeting.com/register/481681278. Nach der Registrierung erhalten sie eine E-Mail mit den Zugangsdaten zum Webinar. Die Teilnehmerzahl ist begrenzt.

Weitere Informationen zum Schutz vor AETs finden sich unter http://www.stonesoft.de sowie http://www.antievasion.com.
Folgen Sie uns auf Twitter: http://twitter.com/Stonesoft_DE
Firmen- & Pressekontakt