Ucieczka (IT)

W bezpieczeństwa systemów informatycznych , ucieczki jest atak komputerowy, który będzie porwać sprzęt do wykrywania włamań do wykonać komputer wykorzystać lub zainstalowanie szkodliwego oprogramowania na komputerze lub sieciowym systemie bez wykrycia. Techniki uchylania się są często używane do ominięcia systemów, takich jak systemy wykrywania włamań ( IDS ) lub systemy zapobiegania włamaniom ( IPS ), ale można je również wykorzystać do ominięcia zapór ogniowych . Jednym z celów ataku typu breakout jest osłabienie systemu bezpieczeństwa komputera (zazwyczaj IDS / IPS), aby uniemożliwić jego działanie w przypadku przyszłych ataków.

Opis

Wyłamania są szczególnie niebezpieczne, ponieważ udane wybicie może pozwolić na przesyłanie całych sesji przez strumienie pozostające poza kontrolą IDS. Ten rodzaj ataku odbędzie się bez wiedzy osoby odpowiedzialnej za bezpieczeństwo systemów informatycznych (RSSI) oraz administratorów systemu.

Takie ataki powodują, że systemy bezpieczeństwa nie działają w taki sam sposób, w jaki żołnierz działający w ukryciu może przechytrzyć radary i inne urządzenia zabezpieczające.

Rozpoznawanie wzorców podczas rozmowy telefonicznej (np. „Włammy się do systemu X”) jest dobrą analogią do ataków typu breakout. Prostą ucieczką może być rozmowa w języku innym niż francuski, ale takim, który obie strony rozumieją, i jeśli to możliwe, w języku, którym niewielu może mówić.

Ataki ucieczki

Od połowy lat 1990 przeprowadzano różne takie ataki  :

• Artykuł, w którym po raz pierwszy próbowano opisać tego typu ataki, został opublikowany w 1997 roku. Zajmuje się głównie różnymi metodami programowania „ skryptów powłoki ” w celu oszukania sondy IDS.
• Jeden z pierwszych zrozumiałych opisów tych ataków został przedstawiony przez panów Ptacek i Newsham w artykule z 1998 roku.
• W 1998 roku artykuł w Phrack Magazine opisywał sposoby ominięcia systemu wykrywania włamań w sieci. (Te dwa ostatnie raporty dotyczą większej liczby exploitów w protokole TCP / IP, różnych ucieczek);
• Nowsze dyskusje na temat wyprysków podsumowano w artykule Kevina Timma.

Ochrona przed ucieczką

Wyzwaniem związanym z ochroną serwerów o architekturze sieciowej przed awariami jest modelowanie docelowego hosta końcowego za pomocą sprzętu bezpieczeństwa IT. Innymi słowy, sonda musi być w stanie wiedzieć, w jaki sposób maszyna zinterpretuje ruch, w szczególności, czy przepływ jest potencjalnie niebezpieczny. Jednym z możliwych rozwiązań jest normalizacja ruchu między siecią a sondą: podejrzane pakiety byłyby wtedy bezpośrednio odrzucane.

W 2009 roku badacze zajmujący się bezpieczeństwem komputerowym próbowali skupić się na tych technikach uchylania się. Prezentacja na Hack.lu dotyczyła nowych technik uchylania się, a zwłaszcza tego, jak zastosować te techniki do ominięcia obecnego sprzętu sieciowego.

Bibliografia

1. 50 sposobów na pokonanie systemu wykrywania włamań
2. Ptacek, Newsham: wstawianie, unikanie i odmowa usługi: wykluczanie wykrywania włamań w sieci, raport techniczny, 1998.
3. Pokonanie snifferów i systemów wykrywania włamań
4. Techniki i taktyki unikania IDS
5. M. Handley, V. Paxson, C. Kreibich, Wykrywanie włamań do sieci: unikanie, normalizacja ruchu i semantyka protokołów end-to-end, Usenix Security Symposium, 2001.
6. Zaawansowane, sieciowe techniki unikania IPS

• (fr) Ten artykuł jest częściowo lub w całości zaczerpnięty z artykułu Wikipedii w języku angielskim zatytułowanego „  Evasion (network security)  ” ( zobacz listę autorów ) .

Zobacz też

• Metasploit