Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Stonesoft dévoile les premiers détails techniques sur les AET (Advanced Evasion Techniques)

décembre 2010 par Stonesoft

Stonesoft annonce la disponibilité de descriptions techniques détaillées des premiers échantillons d’AET (Advanced Evasion Techniques). Ces 23 techniques d’évasion ainsi que leurs descriptions ont été confiés au CERT-FI en mai, septembre et octobre 2010. Dans le cadre du process de coordination des vulnérabilités du CERT-FI, les éditeurs de sécurité ont eu six mois pour mettre à jour leurs systèmes contre ces nouvelles menaces. Les descriptions techniques des AET sont consultables sur www.antievasion.com

Hier, le 15 décembre 2010, le CERT-FI a publié une recommandation après avoir accordé six mois aux éditeurs pour contrer le problème et se prononcer au sujet des AET. La recommandation explique que très peu d’éditeurs se sont pour le moment manifestés et ont offert des réponses au problème.

« A l’instar de tout le monde, nous attendions que les éditeurs suivent le process et se déclarent touchés ou non par le phénomène des AET (Advanced Evasion Techniques). Dans le cas où ils seraient effectivement vulnérables, ils doivent spécifier quand et de quelle façon ils pourront mettre à jour leurs systèmes pour délivrer une protection contre les AET » explique Juha Kivikoski, COO de Stonesoft.

« Il semblerait que les solutions proposées se contentent de répondre aux évasions en interrompant les connexions suspectes selon des paramètres spécifiques (contenus dans les échantillons), provoquant ainsi des interruptions de trafic et s’avérant donc incapables de se protéger contre les évasions dont les valeurs auraient été très légèrement modifiées, » explique Mika Jalava, CTO de Stonesoft « l’idéal serait, bien évidemment, de comprendre le protocole et de pouvoir l’analyser avant l’inspection. Cependant, cela ne suffit pas à capturer les évasions en tant que telles puisqu’elles sont facilement modifiables pour échapper aux simples techniques de correspondances. Ce type de détection présente également des risques de faux positifs. Beaucoup de techniques d’évasions reposent sur des fonctionnalités élémentaires du protocole autorisées par les standards actuels. Par ailleurs, la détection et la prévention de tout trafic véhiculant potentiellement des évasions ne suffisent pas : l’administrateur n’en sait en effet pas davantage sur l’exploit dissimulé par l’évasion. »

La protection et la solution StoneGate

Les systèmes d’inspection réseau doivent savoir décoder les différentes couches protocolaires de la même façon que les hôtes distants. Les techniques d’évasions évoluent chaque jour, la fonctionnalité chargée de les gérer, le moteur de normalisation doit donc évoluer au même rythme qu’elles. Les solutions IPS StoneGate de Stonesoft ainsi que les firewalls dotés de fonctionnalités d’inspection se mettent à jour à distance, à tous les niveaux de la normalisation du trafic réseau sans se contenter d’implémentations matérielles.

A long terme, Stonesoft recommande aux programmeurs, aux designers et aux autorités de normalisation d’Internet de se positionner plus fermement sur l’ambigüité des protocoles réseau. De nos jours, les problèmes réseau sont davantage liés à la sécurité qu’à la compatibilité avec des systèmes obsolètes. Les problèmes de sécurité, en particulier ceux liés aux évasions, proviennent d’une implémentation protocolaire tentant de se conformer à différentes techniques d’encodage. La sécurité doit faire partie intégrante de la conception et de la normalisation du protocole, elle ne doit pas être secondaire.

Découvertes de nouvelles AET

La R&D de Stonesoft continue sa collaboration avec le CERT-FI afin de donner davantage d’informations sur les AET. Comparées aux 23 premières, les nouvelles évasions incluront davantage d’AET combinées et avancées fonctionnant simultanément sur plusieurs couches et plusieurs protocoles.

Stonesoft s’attend à ce que le process de coordination prenne davantage de temps cette fois. En effet, ce nouveau groupe d’AET est plus difficile à appréhender que les précédentes et n’a été intégré à aucun outil de test public et ne fait partie d’aucun critère de test ou de certification.

« Nous allons continuer nos recherches sur les AET afin de pouvoir devancer les cybercriminels et aider les entreprises à mettre leurs données critiques à l’abri des AET » explique Léonard Dahan, Country Manager France & Benelux. « C’est prouvé, les AET représentent un nouveau défi pour les systèmes de prévention des intrusions et les membres de la communauté sécurité ne peuvent plus se permettre d’ignorer cette menace. »

La recommandation mise à jour du CERT-FI est disponible à cette adresse : http://www.cert.fi/en/reports/2010/...




Voir les articles précédents

    

Voir les articles suivants