Archivi categoria: security

Operazione “Shady RAT”: cyber-spionaggio globale che perdura da cinque anni

Da una notizia apparsa su CNET News si è venuto a conoscenza della cosiddetta Operazione Shady RAT: tale è la definizione di Dmitri Alperovitch, vice-presidente della divisione di ricerca delle minacce di McAfee, per un’operazione di cyber-spionaggio globale paragonabile a Operazione Aurora, che nell’anno passato fu condotta contro un centinaio di macchine selezionate tra cui i server di Google.

L’attacco Shady RAT sarebbe ancora in corso, ma non è ancora chiaro chi possa essere il mandante, tuttavia i sospetti di Alperovitch si proiettano su un’azione sponsorizzata direttamente dalla Cina, in quanto non colpita dagli effetti di Operation Shady RAT; Cina che potrebbe avere fornito agli hacker gli obiettivi da colpire:  soggetti istituzionali, militari, aziende site per lo più negli Stati Uniti, o distribuite tra paesi quali Canada, Danimarca, Germania, Indonesia, Singapore, Corea del Sud, Vietnam, od organizzazioni come le Nazioni Unite e il Comitato Internazionale Olimpico, dove le cyber-spie hanno avuto modo di trafugare informazioni riservate e controllare server di ogni tipo e genere.

Le organizzazioni prese di volta in volta di mira contemplano per lo più agenzie governative e statali (USA), contractor della Difesa, governi, società no-profit, gruppi di pressione, lobby, società private operanti soprattutto nel settore delle energie rinnovabili. Ad ogni modo, come sempre più spesso negli ultimi accade, l’attacco è partito con la più classica campagna di phishing via posta elettronica, a cui è seguita la sistematica installazione di un malware sui personal computer dei quantomeno disattenti impiegati, e a breve distanza di tempo la vera e propria “migrazione” del controllo da remoto a una diversa zona della rete interna.

Gli esperti di McAfee sono tuttora al lavoro a strettissimo contatto con quelli della Casa Bianca per cercare di fermare o quanto meno neutralizzare gli effetti dell’attacco. Operation Shady RAT sarebbe stata addirittura avviata ben cinque anni fa, poco prima delle Olimpiadi di Pechino 2008: le attività dell’operazione avrebbero già colpito oltre settanta organizzazioni in almeno quattordici Paesi del mondo, ed il culmine degli attacchi si è gradualmente raggiunto proprio nei primi mesi del 2011.

McAfee sostiene come non sussistano elementi per cui ritenere che gli attaccanti fossero a caccia di informazioni sensibili da rivendere sul mercato dell’underground, quanto piuttosto sembrerebbe che fossero alla ricerca di dati di intelligence eventualmente utili per poter accrescere la capacità di competizione di un paese (la Cina, appunto) nei confronti delle nazioni più in concorrenza nei vari ambiti.

Annunci

il rootkit ZeroAccess si evolve subdolamente nella propria criticità

Dopo aver attinto le informazioni riferite direttamente sul blog di WebRoot dall’esperto di tecnologia del malware Marco Giuliani, prendo lo spunto per riferirvene i dettagli e mettere in guardia da uno tra i più temibili e longevi rootkit finora mai sviluppati: ZeroAccess.

Giuliani inizia nel dire che: “Per quanto concerne la natura dei più infami rootkit kernel-mode, la maggior parte di questi hanno subito un sintomatico rallentamento nel proprio ciclo di sviluppo, in quanto pian piano tralasciati dai propri sviluppatori: TDL rootkit, rootkit MBR, Rustock sono solo alcuni esempi di questi. Non si può affermare, purtroppo, la stessa cosa per ZeroAccess: il team che sta dietro di esso sta lavorando portando uno sviluppo in maniera davvero molto incisiva. Noi lo sappiamo per certo, in quanto l’ho potuto constatare da me stesso.”

“Abbiamo già discusso di questo rootkit e delle sue evoluzioni in diversi post sul blog attraverso delle pagine techiche che documentano in modo più approfondito tutte le caratteristiche del malware. L’ultimo aggiornamento rilasciato dal team che sta dietro a ZeroAccess risale a un paio di settimane fà; tale aggiornamento ha visto l’implementazione di tutta una serie di robuste routine di auto-difesa, in grado peraltro di terminare brutalmente la quasi totalità dei più conosciuti (anche dai virus-maker) software di sicurezza che provano ad avere accesso al cuore nevralgico del virus. Tali meccanismi attivano delle raffinate soluzioni e protezioni che bloccano la successiva esecuzione dei software di sicurezza attraverso la manipolazione delle impostazioni ACL, ovvero la lista che descrive le proprietà di controllo dell’acceso al file principale del software antivirale.”

“La scorsa settimana ZeroAccess ha ricevuto un ennesimo aggiornamento, e si tratta di nuovo di uno di innegabile importanza per la propria evoluzione. Il rootkit è passato dall’utilizzo di un file nascosto cifrato che usa un volume con file system NTFS, a quello più comodo di una directory nascosta creata all’interno della cartella Windows, e nella quale il rootkit continua a memorizzare i propri dati di configurazione, nonché altro malware in forma criptata.”

Continua nell’analisi Marco Giuliani: “Nonostante sia visibile sul file system, la directory in questione non è facilmente raggiungibile in quanto si configura come un punto di analisi ovvero un link simbolico che punta a un falso percorso. Questo approccio impedisce a qualsiasi software, funzionante con meccanismi a livello di filesystem di accedere al contenuto della directory. Il software che tenta di accedere al contenuto della cartella ottenendo manualmente il parsing del file system NTFS non andrà molto lontano: anche se i file sono accessibili, in quanto il rootkit li memorizza in forma crittografata.”

“Le precedenti versioni del rootkit utilizzavano la crittografia RC4 con una specifica chiave incorporata all’interno del rootkit medesimo. Questo approccio ci ha permesso di individuare facilmente il file contenente il rootkit nel volume nascosto, quindi di decodificarlo ed estrarre il plug-in del rootkit tramite l’utilizzo di una copia pulita del driver di sistema infetto.”

Giuliani continua con la disamina: “Sembra che gli autori di ZeroAccess abbiano ora apportato alcune consistenti modifiche al loro malware: il rootkit non utilizza più al proprio interno una chiave di crittografia condivisa (uguale per tutti i sistemi infetti), ora, invece, la chiave di cifratura è diversa per ogni sistema su cui è portata l’infezione. Il malware genera la chiave utilizzando alcuni valori specifici recuperati dal computer della vittima, impedendo così la  decifratura dei file di malware criptato, così ad esempio, qualora fossero salvati dal sistema infetto e inviati a una società specializzata in analisi antivirali. Inoltre la crittografia non utilizza più di default l’algoritmo RC4: ora, il rootkit modifica la crittografia in modo che, mentre sta ancora utilizzando di base l’algoritmo RC4, riesce ad implementare la crittografia in modo diverso.”

A questo punto l’esperto  entra nella descrizione del tipo di crittografia utilizzata: “Il rootkit genera ancora un S-Box RC4 con la chiave di crittografia recuperata dal sistema infetto, anche se genera poi un altro S-Box, che utilizza i dati del primo, ma in modalità inversa. ZeroAccess utilizzerà queste due keystream per crittare e decrittare i file, semplicemente attraverso la permutazione dei byte. La cartella in cui il rootkit archivia i propri file si trova nel path: C:\WINDOWS \$$NtUninstallKBxxxxx, dove le X rappresentano un numero univoco generato direttamente dalle caratteristiche del sistema infetto. Sembra familiare questo meccanismo? Questo accade perché il meccanismo di disinstallazione delle patch di aggiornamento di Windows crea su ogni computer cartelle con questa stessa convenzione di denominazione. A questo punto, ogni volta che il rootkit deve leggere o scrivere all’interno di questa cartella, l’I/O del disco dovrà per forza di cose passare attraverso il dispositivo stesso del rootkit (che ha nome ACPI#PNP0303#2&da1a3ff&0), in modo che il driver del malware, in modalità kernel, è facilmente in grado di cifrare e decifrare in tempo reale il flusso dei dati.”

“Nonostante tutti gli aggiornamenti – prosegue Giuliani – la logica di infezione rimane pur tuttavia la medesima, e se il codice è stato modificato è solo per aumentarne il livello di complessità. Il driver kernel-mode del rootkit aggancia l’oggetto DriverExtension del driver di sistema Disk.sys dirottandolo su LowerDeviceObject, in modo da consentirgli di intercettare ogni pacchetto inviato, appunto dal driver di sistema Disk.sys, ai dispositivi più a basso livello nello stack. Il rootkit utilizza questo filtro al fine di poter nascondere il driver infetto.”

“Le routine di autodifesa che avevamo prima visto implementate in ZeroAccess si trovano in un secondo driver in modalità kernel, che crea un processo sacrificale (“goat“), per poi poterne controllare ogni accesso. Quando un programma software per la sicurezza effettua una scansione del sistema, nel tentativo di utilizzare un handle per accedere al processo sacrificale, le routine di auto-difesa del driver del rootkit, avranno modo di terminare il task del software di sicurezza, iniettandone ulteriormente all’interno del file un codice di payload dal quale verrà richiamata (ogni volta che il tool di sicurezza sarà nuovamente eseguito) la chiamata alla funzione API ExitProcess(), portandone con successo alla terminazione del relativo processo. Non contenti di ciò gli sviluppatori di ZeroAccess hanno messo in atto un ulteriore step di codice tramite il quale riescono ad intervenire direttamente sulle impostazioni ACL del file, in modo che il tool di sicurezza non possa essere nuovamente eseguito, a meno che le impostazioni ACL di default non vengano opportunamente, e manualmente, ripristinate.”

Conclude Giuliani che: “Questo nuovo approccio – aggiunto al fatto che assistendo alla rapida diffusione di questo rootkit, che è in grado di aggirare in modo efficace e disabilitare la maggior parte delle soluzioni di sicurezza – rende ZeroAccess ancora più aggressivo e difficile da sconfiggere, assurgendolo sicuramente ad una delle più avanzati e temibili rootkit in modalità-kernel al momento riscontrabili.”

Da parte mia, come sempre, consiglio di tenere costantemente aggiornato il s.o. e le suite di sicurezza utilizzate, e di essere per quanto possibile prudenti e diffidenti nell’utilizzo, per quanto smaliziato, della rete e soprattutto di programmi dall’origine incerta o sconosciuta.


AV-Comparatives luglio 2011: F-Secure la fà ancora da padrone

L’attuale analisi portata mensilmente a termine come sempre da Av-Compartives.org, riguardo l’affidabilità ed efficienza dei software antivirus:

  • avast!
  • AVG
  • Avira
  • BitDefender
  • ESET
  • F-Secure
  • G-Data
  • K7
  • Kaspersky
  • McAfee
  • Panda
  • PcTools
  • Qihoho
  • Sofos
  • Symantec
  • TrendMicro
  • WebRoot

anche questo mese non lascia adito a dubbi: F-Secure, con oltre il 99% di minacce bloccate automaticamente dal proprio motore, continua ad essere il primo della classe, seguito a ruota da Panda e TrendMicro a pari merito.


ValidEdge MIS 1200

Il 14 Giugno 2011 a Vienna in Austria in occasione dell’annuale Forum of Incident Response and Security Teams (FIRST), ValidEdge, tra le principali società indirizzate alle soluzioni per l’analisi del malware, aveva annunciato di offrire dimostrazioni del proprio Malware Intelligence System, un potente analizzatore di malware. Durante il forum, i visitatori che avessero voluto erano stati invitati a portare dei propri campioni di malware per l’analisi, e ValidEdge ne avrebbe potuto dimostrare dal vivo l’analisi, durante all’evento.

L’appliance per la sicurezza ValidEdge MIS 1200, possiede al proprio interno un rapido e preciso analizzatore di malware che offre una tecnologia capace di elaborare in tempo reale enormi volumi di codice potenzialmente dannoso, riuscendo anche a rilevare le tracce di malware latente prima ancora che questo venga eseguito e possa causare problemi.

Il MIS 1200 fornisce un ambiente sicuro su cui esporre malware, permettendo ai response team di comprendere pienamente l’intenzione del malware e anticipare l’obiettivo prefissato dallo stesso. E’ anche capace di individuare eventuali bombe logiche celate nel malware, in attesa di un trigger per causare danni in un secondo momento. Una volta che il nuovo malware è stato identificato, i professionisti della sicurezza riceveono diversi report dettagliati e attuabili sul comportamento del malware. Con queste informazioni, i responder sono al meglio attrezzati per ripulire i pc zombie e ripristinare sistemi compromessi.

Utilizzando apparecchiature ValidEdge, le entità sotto attacco di malware non avranno più la necessità di attendere gli aggiornamenti delle firme, e ciò consentirà ad esse in tempo reale di portare a termine la giusta politica e i miglioramenti di sicurezza per rafforzare ulteriormente la propria organizzazione dalle minacce future,

Il motore di analisi integrato nel cuore del MIS 1200 è così all’avanguardia che è stato scelto finanche da SonicWALL ed integrato sulle proprie appliance di sicurezza


Coreflood, botnet, spam, sabotaggi ed FBI


La FBI è riuscita a prendere il controllo di uno tra i più longevi e attivi botnet della Rete, addirittura attivo da poco meno di dieci anni (2002): CoreFlood.

Un botnet è un insieme di macchine (computer) connesse alla rete e dotate di un apposito software che ne permette il controllo da remoto: solitamente il software in questione viene installato sui computer in maniera abusiva e per lo più all’insaputa dell’utente/utilizzatore, con delle tecniche che vanno dall’intrusione, al sabotaggio, ai worm, alle pendrive USB infette, ecc. L’uso che tipicamente può essere fatto di un botnet è vario: invio di spam, attacchi DDOS o comunque tutte quelle attività dove si cerca l’estrema potenzialità dell’attacco, sfruttando le innumerevoli risorse offerte da macchine altrui.

Coreflood è un software basato su un trojan per Windows che infettando i computer li annette al botnet creandone un nuovo nodo. Il controllo del botnet viene attuato e portato a termine tramite i cosiddetti command&control server (C&C Server), che le macchine infette andranno immediatamente a contattare non appena il trojan su di esse va in esecuzione, rendendosi così anche disponibili a ricevere comandi da remoto.

Una chiara e dettagliata analisi tecnica di Coreflood può essere trovata sul sito secureworks.com, e mostra come all’interno del software si celi un codice doppiamente pericoloso: uno, per le caratteristiche tipiche di un virus/trojan, due, per la relativa ed immediata annessione della macchina al botnet del hacker.

Il Federal Bureau of Investigation è riuscito ad intercettare i server C&C collegati ad un lungo elenco di nomi di dominio, prendendone in seguito il possesso e dando i comandi necessari affinché tutti i nodi del botnet potessero essere disattivati.

Il risultato ottenuto è stato che, ad una settimana di distanza, i pingback (le risposte dei nodi) sono scesi da 800.000 a meno di 100.000 con un abbattimento di circa il 90% dei nodi in precedenza infetti.


Anonymous e LulzSec ora pubblicamente negano l’attacco al CNAIPIC !!

Non siamo stati noi a violare i server del Centro Nazionale Anticrimine della Polizia Italiana!

Il gruppo internazionale di hacker Anonymous (che ha ultimamente legato il proprio nome a battaglie a sostegno di Wikileaks e Julian Assange, nonchè a quelle contro Sony) aveva proclamato due giorni fa, 25 luglio 2011, sul proprio account Twitter e tramite un non fraintendibile video ufficiale su YouTube, il proprio attacco portato positivamente a termine contro il C.N.A.I.P.I.C. della Polizia di Stato, definito testualmente come l’accesso al Vaso di Pandora,

Aveva pubblicizzato, peraltro sfrontatamente, la notizia del bottino trafugato (8GB di dati, una minima parte dei quali subito messi a disposizione per il download sui propri server) a suo dire proveniente dal server, di importanza sensibile, utilizzato dal C.N.A.I.P.I.C. come dispositivo di tutte le informazioni ottenute tramite le indagini forensi:

video ufficiale Anonymous dell’attacco al C.N.A.I.P.I.C.

Oggi 27 luglio, a poco più di due giorni di distanza, Anonymous torna incredibilmente indietro sui propri passi, e lo fa con un volantino ufficiale diffuso in rete!!

E’ utile ripercorrere l’andamento dei fatti, e di come immediatamente dopo aver trionfalmente annunciato il (disdicevole) presunto attacco contro il C.N.A.I.P.I.C., quale azione di contrasto agli arresti di una decina di giorni fa, il 25 luglio le agenzie di stampa di mezzo mondo e in particolar modo quelle italiane in rete avevano dato grande risalto, nonché ampio credito e visibilità alla notizia. Allo stato dei fatti possiamo ben dire come i media abbiano agito in maniera alquanto frettolosa e senza mettere in pratica, oltre a un minimo spirito critico, le necessarie attività di verifica che contraddistinguono la serietà e l’obiettività di una corretta informazione.

Piccola parentesi: un esempio lampante di questo tipo di discutibile (dis)informazione, o nel migliore dei casi di informazione all’acqua di rose, è quello reso da alcuni giornalisti di Repubblica. Forti evidentemente di una pseudo-notizia di forte impatto, l’hanno cavalcata alla grande sin dai primissimi momenti, fornendo nei due giorni successivi un reportage completo, a partire dalla propria pagina Facebook:

Abbiamo attaccato i cybersegugi italiani” Su internet migliaia di documenti riservati – Repubblica, lunedì 25 luglio 2011 – h13.58

e a seguire con ben quattro diverse inchieste sul proprio spazio online:

“Abbiamo attaccato i cybersegugi italiani” Su internet migliaia di documenti riservati.

Gli hacker espugnano la Polizia postale “Violato il server, documenti in Rete”

Attacco ai cyber detective italiani Sul web i documenti riservati

I pirati del web, polizia sotto attacco

In maniera tanto evidente Repubblica dava peso, credito e veridicità alle fonti interne ad Anonymous, che nell’ultimo dei quattro articoli pubblicava finanche una serie di (dubbi) documenti a firma della Polizia Postale, resi poco prima disponibili allo scaricamento dagli hacktivisti sui propri server, e partecipando così (si spera inconsciamente ed in buona fede) all’operazione di gratuito discredito ai danni di una delle più importanti,  attive e competenti realtà dell’intelligence italiana.

Come non dare un consiglio ai signori giornalisti di Repubblica interessati alla pubblicazione non-critica delle precedenti notizie: non fareste forse meglio ad impegnarvi maggiormente nel portare a termine altro tipo di informazione? Certo è necessario più tempo, ingegno e fatica per produrre un minimo di verifica alle notizie ricevute, ma almeno evitereste il rischio di cadere facilmente nel ridicolo, assimilandovi agli innumerevoli siti (peraltro non testate giornalistiche come Repubblica) che nient’altro fanno se non far rimbalzare le medesime (false) informazioni.

Tornando a parlare del gruppo italiano di Anonymous, direttamente sul proprio sito di riferimento (http://anonops-ita.blogspot.com/) si affretta ora a negare in maniera assoluta ogni diretta o indiretta responsabilità riguardo quel presunto attacco alle apparecchiature informatiche del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche della Polizia di Stato italiana, scaricando ora in modo ufficiale le colpe esclusivamente sui membri del gruppo Nkwt Load.

Col medesimo messaggio, insieme ad Anonymous si tira fuori da questa vicenda anche LulzSec, l’altra famosa community di pirati informatici: nel comunicato congiunto, fanno sapere:

Non ci sono prove, non conosciamo le tecniche usate per violare i server. In merito alla notizia relativa alla divulgazione di numerosi file sottratti ai server dello Cnaipic della Polizia di Stato, precisiamo che tale attività è da attribuirsi esclusivamente all’operato della crew Nkwt Load, che ad oggi non risulta in alcun modo collegata a noi. Non siamo in possesso dei file sottratti allo Cnaipic – continua il comunicato – né siamo a conoscenza delle tecniche utilizzate per entrare nei server. Non possediamo nemmeno alcun file comprovante le gravi accuse di corruzione e spionaggio rivolte da Nkwt Load agli investigatori dell’anticrimine informatico. Per tutti questi motivi, non possiamo sostenere la causa“.

Gli esperti della Polizia Postale stanno portando avanti gli accertamenti tecnici necessari per comprendere cosa sia realmente accaduto, cosa sia stato effettivamente trafugato e soprattutto come tutto questo possa essersi realmente verificato. L’ipotesi più accreditata rimane, a quanto è trapelato, quella di un’intrusione su un computer sulla rete esterna, probabilmente una di quelle gestite da società esterne che supportano l’infrastruttura di rete del C.N.A.I.P.I.C.

Forti perplessità sussistono, infine, sulla reale autenticità dei documenti pubblicati: “La maggior parte non sono nostri – sostengono al C.N.A.I.P.I.C. – sono stati recuperati su Internet da altre fonti. Molti sono manipolati. Abbiamo verificato alcuni numeri di protocollo dei fogli intestati alla Polizia Postale e abbiamo verificato che non sono originali“.

Alla base della dissociazione di Anonymous e LulzSec potrebbe esserci realmente la davvero scarsa attendibilità del materiale pubblicato e definito “riservato“.

In buona sostanza una situazione che si sta evolvendo in modo evidentemente paradossale, e che comunque mette di certo bene in evidenza almeno una delle caratteristiche di questi gruppi, ovvero l’assoluta mancanza coordinativa al proprio interno: ciò sembrerebbe farne il punto di massima forza e, allo stesso tempo, quello di estrema debolezza. A partire da questa constatazione e considerando lo sviluppo innegabilmente orizzontale del gruppo, privo cioè di ogni gerarchia (caratteristica sostenuta in maniera decisa da Anonymous), la domanda fondamentale che tutti gli osservatori più attenti andranno senzaltro da chiedersi è:

quale dovrebbe essere la logica usata per portare unitariamente il gruppo alla determinazione di una figura di riferimento, la quale possa divenire senza tema di smentite portavoce ufficiale dell’intero movimento!?

Alla luce di quanto accaduto, la valutazione che appare necessario fare è ancora una volta quella di sottolineare come da parte degli attivisti, pur a fronte di una comunione di idee ed intenti, sia impresa difficilmente attuabile il raggiungere un punto d’incontro sulla gestione unitaria e profonda dei mezzi e le modalità con cui portarli a compimento: è spesso invece la diffusa anarchia, unico punto associativo largamente condiviso, a farla da protagonista.

Questa caratteristica porta alla mancanza di un valore accettabile di affidabilità in merito ai proclami manifestati da alcuni, in quanto improbabile la risultanza di certificarne la reale condivisione ed accettazione su larga scala o da parte di un ben determinato numero di aderenti in seno al movimento stesso.


NSS Labs: faq Network Firewall Group Test 2011

Analysis Brief
April 12, 2011

Frequently Asked Questions:
NETWORK FIREWALL GROUP TEST 2011

1. What issues were discovered with network firewalls in the NSS Labs test?
A: Two major issues were discovered affecting a significant number of firewalls. The first is a stability problem,
meaning that an attacker can disrupt communications by sending certain sequences of content to a firewall’s external
interface, causing it to crash. This cannot only cause productivity loss, but can be a precursor to a larger, more
effective penetration of the corporate network. Attackers can develop working exploits from these types of code
flaws.
The second major issue permits an external attacker to trick the firewall into allowing him inside the firewall as a
trusted client. This TCP split handshake attack has been publicly known for over a year, and all firewalls should
defend against it.

2. How do I know if my organization’s firewall is affected?
A: As a public service, NSS Labs has made a list of affected firewalls available at no cost at www.nsslabs.com/
research/network-security/firewall-ngfw/
. Currently affected devices include: Cisco ASA, Fortinet Fortigate, Juniper
SRX, Palo Alto Networks, and Sonicwall.

3. If we have an affected firewall, what can we do?
A: NSS Labs has been working with affected vendors for the past two months to ensure fixes are available to customers.
As a public service, NSS Labs is making some basic remediation guidance available to organizations with
affected devices at no cost (as an excerpt from our paid network security subscriber services). Consult the Network
Firewall Remediation Brief
for further assistance (registration required). Firewall administrators may also wish to
consult their firewall vendor support organization. NSS Labs can provide further assistance to clients upon request.

4. Is there a way to monitor or detect the attacks referenced in the test report?
A: Detecting the attacks is very difficult and depends on whether the appropriate monitoring systems are in place
outside the firewall. While some specially crafted IDS signatures may detect the attacks, very few organizations
have deployed IDS outside the firewall.

5. My firewall is ‘certified’. Why isn’t this good enough?
A: As this and many other test reports demonstrate, certifications are inadequate predictors of quality. Certifications
in general are not as thorough or rigorous as they need to be and do not adequately reflect current attacks. Rather,
they are designed (often by vendor consortiums) to demonstrate that products meet a “minimum level” of functionality,
and not a “necessary level” of functionality. By design, these validation reports show what a product can do,
not what it should do but cannot do.
NSS Labs believes security products should be tested for the same conditions they’re designed to withstand in the
field; aggressively and comprehensively. Thus, we test products like hackers attack them in order to identify the
holes, so they can be plugged.

6. Who is NSS Labs and why was this test performed?
A: NSS Labs is an independent security research and testing firm. We exist in order to provide IT buyers with the

uncensored information needed to cost-effectively secure their networks and data. Our expert information services
help IT organizations make better purchasing decisions, as well as optimize existing defenses. NSS Labs engineers
regularly evaluate security products (firewalls, antivirus, IDS/IPS, etc.) as part of our information services subscriptions
to our clients.

7. How can I learn more about firewall effectiveness?
A: NSS Labs clients can access the full Network Firewall Group Test report. Non-clients may purchase a corporate
license and submit inquiries to our advisory services team.

8. Why does NSS Labs charge for its reports?
A: NSS Labs does not charge vendors to be included in our group tests as a matter of independence. We believe
that when buyers pay for the reports, they can be assured that the tests and analysis reflect their interests.

Independent Security Research and Testing
2888 Loker Avenue East, Suite 206 • Carlsbad, CA 92010 • 760.412.4627 • www.nsslabs.com