Ogni servizio in più attivato su un sistema ed ogni servizio che si aggiunge su una rete può rappresentare una nuova possibile fonte di problemi informatici. A questa regola di base non sfuggono nemmeno i dispositivi di protezione dei sistemi.In sostanza si ricade in quelle casistiche da manuale della guerra medioevale in cui “le palle da cannone sparate contro l’avversario possono essere riutilizzate dall’avversario”. Un esempio viene dai sistemi di Intrusion Detection che è possibile mettere in crisi usando una vulnerabilità che sfrutta la caratteristica degli IDS di leggere tutto il traffico che intercettano. L’attaccante, in questo caso, potrebbe tentare di provocare un buffer overflow nelle routine di parsing dei pacchetti inviandone alcuni scritti ad arte; in questa maniera riuscirebbe anche a superare il livello di sicurezza generato dal fatto che solitamente i sensori IDS non hanno indirizzo IP.Esiste una buona letteratura per informarsi su vulnerabilità di questo tipo.
Per Snort si vedano:http://www.securityfocus.com/bid/7178
http://www.securityfocus.com/bid/6963
Per la soluzione Real Secure di ISS suggeriamo:http://www.securityfocus.com/bid/4025
http://www.securityfocus.com/bid/9752
Questi problemi sono ben conosciuti e gestiti dagli sviluppatori, tuttavia la situazione è aggravata dal fatto che il più delle volte le soluzioni di Intrusion Detection sono commercializzate sotto forma di appliance, e nei casi in cui ad esempio le appliance sono reingegnerizzazioni di Snort, questi sistemi non vengono percepiti dagli amministratori come dei veri computer e non vengono gestiti, quindi sono spesso privi delle patch di sicurezza necessarie.Con tecniche simili è possibile forzare la sicurezza anche di firewall. Appare evidente chein caso di successo di questo attacco l’hacker potrà cambiare a piacimento le regole di filtro.
Per approfondire: http://www.eeye.com/html/research/advisories/AD20040512A.html
Citiamo anche la possibilità di effettuare un Denial of Service, su IPTables:http://www.securityfocus.com/bid/10634
Alcune volte le minacce vengono da ulteriori processi che per motivi di sicurezza vengono attivati sui server. Per esempio, esiste il rischio di effettuare un privilege escalation tramite un format string su un servizio Tripwire.http://www.securityfocus.com/bid/10454
Sempre in tema di controlli, un rischio è costituito anche da piccoli programmi, in genere scaricabili da Internet, utilizzati per testare una o più vulnerabilità: questi codici potrebbero contenere delle backdoor o comunque potrebbero fare qualcosa di diverso e di più di quello che dichiarano di fare.Bisogna quindi considerare che ogni nuovo componente anche se finalizzato alla gestione della sicurezza di un sistema informatico deve essere monitorato nelle sue componenti applicative e sistemistiche, costituendo comunque un ulteriore rischio che si aggiunge a quelli esistenti e che si intende fronteggiare.