Bis vor Kurzem waren nur einige wenige, gut erforschte Evasion-Techniken bekannt. Die meisten Sicherheitssysteme konnten gut mit Ihnen umgehen. Eine neue Art bilden jedoch die so genannten Advanced Evasion Techniques (AETs), die der finnische Anbieter für Netzwerksicherheit Stonesoft im Sommer 2010 entdeckt hat. Diese kombinieren neue Tarnmethoden mit bekannten Evasion-Techniken und können so nahezu alle Netzwerk-Sicherheitslösungen umgehen. Ähnlich einem Tarnkappenbomber schleusen sie Attacken unentdeckt ins Netzwerk ein. Die Kombinationsmöglichkeiten von AETs sind quasi unbegrenzt, sodass sie selbst modernste IPS-Technologien einfach umgehen können.
Evasions sind in der IT-Security-Forschung seit Ende der 90er Jahre bekannt. So stellten 1998 Tim Newsham und Thomas Ptacek im Rahmen einer Forschungsarbeit mehrere Techniken vor, die dazu genutzt werden konnten, Sicherheitssysteme wirksam zu umgehen. Eine der bekanntesten Evasion-Technik basiert auf der so genannten IP-Fragmentierung. Dabei nutzt der Angreifer beispielsweise ungeordnete Datenfragmente oder überflutet das IPS-System mit einer Masse an Fragmenten. Darüber hinaus gibt es weitere Evasion-Techniken, die zum Beispiel auf IP- und TCP-Optionen sowie TCP-Sequenzen basieren.
Eine wichtige Rolle für den Einsatz von Evasion-Techniken spielt die Protokollsuite TCP/IP, die im Internet und in den meisten Computernetzwerken zum Einsatz kommt. Sie basiert auf dem IP-Standard RFC 791 aus dem Jahr 1981 und gibt vor, dass ein System ein konservatives Sende- und ein liberales Empfangsverhalten aufweisen muss. Das bedeutet, es darf nur formal fehlerfreie Datenpakete versenden, muss jedoch alle Datenpakete akzeptieren, die es interpretieren kann. Datenpakete können also unterschiedliche Formen aufweisen, die vom empfangenden Host jedoch alle auf dieselbe Weise interpretiert werden. Dieser liberale Ansatz sollte dazu dienen, die Interoperabilität zwischen Systemen so zuverlässig wie möglich zu gestalten.
- Immunet Protect
Immunet ist ebenfalls eine Anti-Viren-Lösung, die allerdings einen Cloud-basierten Ansatz nutzt. - Online Armor
Online Armor ist eine kostenlose Firewall für Windows-PCs. - Avira AntiVir Personal
Avira ist eine der bekanntesten kostenlosen Anti-Viren-Lösungen. - Hijack This
HiJack this hilft, infizierte Rechner zu untersuchen. - Spybot Search and Destroy
Spybot sucht auf dem Rechner nach Keyloggern, Spyware und Adware. - Microsoft Security Essentials
Security Essentials ist die kostenlose Anti-Viren-Lösung von Microsoft. - Spamihilator
Die Software ergänzt das E-Mail-Programm und kann unerwünschte Mails erkennen und aussortieren. - Zone Alarm
Zone Alarm ist eine kostenlose Firewall für Windows. - Sophos Anti-Virus for Mac
Sophos liefert einen kostenlosen Anti-Virus für Mac OS. - Secunia PSI
Der Personal Software Inspector von Secunia überprüft die installierten Programme und schlägt gegebenfalls Updates vor.
Allerdings ebnet das auch zahlreichen Attacken den Weg ebenso wie Methoden, diese zu verschleiern. Denn verschiedene Betriebssysteme und Anwendungen verhalten sich beim Empfang von Datenpaketen auch unterschiedlich. Dadurch erkennt die Applikation des Zielsystems eventuell etwas völlig anderes als sich ursprünglich im Datenverkehr des Netzwerks befand. Zudem kann das Netzwerk selbst den Datenverkehr zwischen dem Sicherheitssystem und dem Host verändern. Dies kann beispielsweise dann passieren, wenn ein IPS-System vor dem Anlegen von Signaturen nicht genügend Datenfragmente speichern oder diese nicht richtig neu zusammensetzen kann. Dadurch fehlt dem IPS der ursprüngliche Kontext des Datenpakets und es schreibt den Datenstrom neu, bevor es diesen an das Zielsystem weiterleitet. Das IPS-System nimmt den Protokollstatus also anders wahr als der Zielhost. Diese Kontextveränderung zwischen dem IPS- und dem Zielsystem wird als „Status-Desynchronisierung“ bezeichnet. Evasion-Techniken machen sich das zunutze: Denn dadurch lassen sich normal und sicher erscheinende Datenpakete erstellen, die sich erst bei der Interpretation durch das Endsystem als Attacke entpuppen.