Alarmanlagen fürs Netz weitgehend nutzlos
Hinter der angeblich "neuen Bedrohung" der Advanced Evasion Techniques, die die Firma Stonesoft entdeckt haben will, verbirgt sich nicht viel mehr als eine Binsenweisheit: Intrusion Detection Systeme lassen sich umgehen.
Eine neue Gefahr stellten die so so genannten Advanced Evasion Techniken (AET) angeblich dar und weltweit seien "nahezu alle Daten von Unternehmen ebenso wie von Regierungen, Banken oder Militäreinrichtungen gefährdet", warnt die Firma Stonesoft medienwirksam. Dabei hat der Hersteller von Intrusion Detection und Prevention Systemen letztlich nur festgestellt, was Kritiker diesen Produkten seit langem vorwerfen: dass sie nahezu nutzlos sind, weil sie sich im Zweifelsfall ohne großen Aufwand umgehen lassen.
Offenbar haben sich einige Techniker von Stonesoft hingesetzt und systematisch alle Möglichkeiten ausgetestet, unter anderem mit exotischen Optionen des TCP/IP-Stacks konkrete Angriffe an den Alarmanlagen fürs Netz vorbei zu mogeln. Im wesentlichen geht es dabei darum, Pakete so zu präparieren, dass das IDS/IPS die eigentlich bekannte, bösartige Nutzlast entweder komplett ignoriert oder zumindest nicht wiedererkennt. Eine klassische Ausweich- oder Evasion-Technik ist es, die Pakete zu fragmentieren und den Exploit damit über mehrere scheinbar harmlose Päckchen zu verteilen. Das IDS sieht nur einzelne Bytes, auf die keine Exploit-Signatur anspricht, aber der Empfänger setzt die Fragmente wieder zusammen und schaltet damit den Angriff scharf. Diesen einfachen Trick erkennen mittlerweile alle IDS-Produkte.
Die Stonesoft-Techniker stellten aber fest, dass sich die Produkte der Konkurrenz und auch ihr eigenes mit vergleichbaren Tricks ausnahmslos austricksen lassen. Das gilt insbesondere, wenn man die einzelnen Evasion-Techniken geschickt miteinander kombiniert. Aus der Not machten sie flugs eine Tugend und proklamierten eine neue Bedrohung: die Advanced Evasion Techniques und natürlich das passende Gegenmittel: Antievasion – demnächst wohl exklusiv bei Stonesoft zu kaufen. Schon jetzt sind alle Stonegate-Appliances "Anti-Evasion Ready".
Allerdings ist die Erkenntnis, dass man IPS/IDS-Systeme fast immer umgehen kann, für Experten keineswegs neu. Es mag zwar sein, dass die systematische Analyse des TCP/IP-Stacks eine Reihe bisher undokumentierter Evasion-Tricks zutage förderte und die Möglichkeit, diese komfortabel über ein passendes Tool zu kombinieren, könnte die diesbezügliche Forschung deutlich voran bringen. Aber vergleichbare Evasion-Techniken werden seit über 10 Jahren diskutiert und auch immer wieder erfolgreich vorgeführt. Wer sich vor dem Ausnutzen von Sicherheitslücken schützen will, kommt folglich nicht darum herum, diese zu beseitigen. Kritiker spotten sogar, dass sich nur deshalb bisher niemand die Mühe gemacht habe, komplexere Evasion-Techniken zu entwickeln, weil zumeist schon die einfachen zum Ziel führten. Von einer neuen Gefahr kann also kaum die Rede sein. (ju)