On 03/30/13 17:16, Massimo Giaimo wrote: > Salve a tutti, in azienda stiamo ridefinendo i perimetri di sicurezza > e tra i vari vendor contattati ce n'?? uno che tanto pubblicizza le > AET (Advanced Evasion Techniques), richiamate tra l'altro in un
Le AET sono, in gran parte, rifrittura con un nuovo nome commerciale di cose note e arcinote (si veda ad esempio l'articolo di Vigna, Robertson, Balzarotti, "Testing Network-based Intrusion Detection Signatures Using Mutant Exploits" Proceedings of the ACM Conference on Computer and Communication Security (CCS) 2004). In buona sostanza questo vendor ha riscoperto l'acqua tiepidina e ora ci marcia. A buon titolo, peraltro, visto che gran parte dei prodotti ancora soffre di queste vulnerabilita' note da un decennio. > advisory CERT-FI che trovate a questo link: > http://www.cert.fi/en/reports/2010/vulnerability385726.html. Sar?? > che non ho ancora avuto modo di testare sul campo questo prodotto, ma > a prima vista mi sembra che non aggiunga molto ai vari IDS e IPS > presenti sul mercato, che "dovrebbero" essere in grado di impedire le > AET. Qualcuno in lista ha altre idee a riguardo? Grazie, buona > giornata a tutti. Il problema base e' che l'idea stessa di IDS e IPS misuse based e' soggetta, in modo INEVITABILE (come dimostrarono Ptacek e Newsham nel 1998, http://insecure.org/stf/secnet_ids/secnet_ids.html) all'evasione. Fidarsi in modo totale di tali prodotti non e' sensato. Allo stesso modo, tuttavia, non mi baserei sulla "capacita' di prevenire" un insieme di attacchi da loro stessi inventato per valutare un prodotto di security :-) -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica, Informazione e Bioingegneria Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
