mercoledì, luglio 22, 2009

NETASQ protegge contro il Denial of Service (DoS)

Il motore IPS di NETASQ protegge contro le nuove tecniche di attacco TCP / HTTP che daranno vita ad un’ondata di intrusioni senza precedenti durante l’estate. La tecnologia NETASQ consente ai clienti di affrontare tale minaccia con serenità.

Di recente il Phrack Magazine [1] ha trattato un nuovo attacco che sfocia in un Denial of Service. Secondo indiscrezioni, le speculazioni su attacchi agli USA da parte della Corea del Nord fanno riferimento a questo tipo di minaccia.

In particolare, quest’attacco blocca l’accesso a qualsiasi server pubblico ed è in grado di paralizzare molto velocemente il web o il mail server di un’azienda. Per arrivare ad un risultato tanto spettacolare, l’attacco agisce sul tempo di reazione dei server al traffico TCP, la finestra (timer) TCP si adatta infatti ai dati scambiati. Concretamente ciò significa che un hacker invia queries al server indicando che non può ricevere la risposta immediatamente. Il server accumula quindi molto rapidamente i dati in memoria fino a saturarsi e a non essere più in grado di rispondere a queries legittime.

Un altro tipo di attacco DoS già noto ma mai implementato prima in un tool specifico, è stato impiegato di recente, ad esempio, dai simpatizzanti dell’opposizione iraniana. L’attacco HTTP “Slowloris” non sfrutta alcuna falla bensì una regolare funzione dei web server che consente l’invio di queries parziali. In questo caso, il web server che riceve solo una parte della query, alloca delle risorse per poterla trattare, ma non può rilasciarle finché non ha ricevuto tutti i dati della query stessa. La moltiplicazione di richieste di questo tipo cagiona velocemente una saturazione delle risorse del server ed un Denial of Service.

“Questi attacchi sono stati ideati specificamente per eludere i firewall basati su signature”, conferma Fabien Thomas, CTO di NETASQ, che aggiunge “proprio come l’attacco DNS scoperto da Dan Kaminsky, queste minacce possono essere rilevate e bloccate esclusivamente attraverso una comprensione adeguata delle loro dinamiche ed un’analisi del comportamento delle connessioni”. I dispositivi NETASQ analizzano il comportamento di ogni singola connessione TCP / HTTP e chiudono automaticamente le connessioni illecite, liberando immediatamente le risorse dei server.

Sin dalla sua fondazione NETASQ é stata pioniere e leader tecnologico nell’ambito dell’analisi protocollare e comportamentale, dimostrando nel tempo l’efficacia della sua protezione day-0.

“Se da un lato siamo lieti poter nuovamente confermare l’efficacia proattiva del nostro motore di prevenzione contro le intrusioni, dall’altro questi attacchi sono un monito alla vigilanza in vista delle vacanze estive. Il nostro reparto R&D é molto attento all’insorgere di nuove minacce ed aggiunge regolarmente nuove protezioni day-0 al nostro sistema, per garantire la massima sicurezza alla nostra clientela”, conclude Thomas.

[1] http://www.phrack.com/issues.html?issue=66&id=9#article

Nessun commento: