Spécial sécurité : iAwacs 2010 ou la défaite par K.O. des antivirus
Nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, se penchent aujourd'hui sur le concours de virus organisé par l'Esiea, concours dans lequel les antivirus montrent leurs limites face à des menaces qui ne sont pas largement répandues sur le Web. Et nos confrères de plaider pour de nouveaux mécanismes d'analyse comportementale permettant de bloquer certaines de ces attaques. Egalement au menu : gloire et déboires des pirates ciblant les distributeurs de billets.
1 - iAwacs 2010 ou la défaite par K.O. des antivirus
2 - iAwacs 2010, la sécurité informatique est un sport de combat
3 - Barnaby Jack plus fort que John Connors et Brian Rhett Martin plus roublard
1) iAwacs 2010 ou la défaite par K.O. des antivirus
A l’occasion de l’iAwacs (International Alternative Workshop on Agressive Computing and Security), trois jours durant, enseignants, étudiants, responsables sécurité, chercheurs indépendants ou du monde de l’industrie se sont réunis dans les locaux parisiens de l’Esiea (Ecole Supérieure d'Informatique Electronique Automatique). Une série de conférences cordonnée par le désormais traditionnel challenge Pwn2kill, exercice de pentesting visant une quinzaine d’antivirus.
Challenge à la fois étonnant et sans grande surprise, placé, comme les années précédentes, sous la houlette d’Eric Filiol, directeur de la recherche et du développement industriel de l’école. Sans surprise car depuis les dernières grandes attaques de botnet dont certaines sont passées totalement inaperçues par bon nombre d’A.V., plus personne ne s’étonne que les outils de protection périmétrique soient imparfaits « eux aussi ». Etonnant également, car si certains « proof of concept » étaient d’une subtilité remarquable (polymorphisme, chiffrement de données à clef constamment modifiée, infections multiples doublées d’un contrôle mutuel d’intégrité des virus par eux-mêmes…), certaines vieilles ficelles ou comportements antédiluviens continuent à « passer », malgré les nombreuses communications effectuées à ce sujet : installation d’un code suspect dans le menu Démarrer, consommation de ressources anormalement brutale, inscription d’un exécutable par lui-même dans la clef Run de la ruche, passivité étonnante face à certaines macros particulièrement actives, assassinat de processus en userland avec des privilèges « user » (les accès « administrateurs » n’étaient plus tolérés cette année, et la seule plateforme acceptée était un Windows 7 « à jour »)… Sur 15 antivirus testés et 7 « virus concept », une seule attaque s’est avérée globalement inefficace pour de simples problèmes d’adaptation du code aux conditions « locales » du concours. Les autres sont généralement parvenues au terme de leur exécution sans éveiller l’antivirus ni lors de l’examen du fichier « infecté », ni à l’exécution du code. Le résultat final de la campagne de test montre que certains logiciels ont parfois signalé un comportement suspect en laissant à l’utilisateur, pour certains, la possibilité de passer outre. Rares ont été les protections capables de bloquer ces assauts sans donner à l’usager la possibilité de passer outre (le syndrome des UAC Microsoft ayant « dressé » bon nombre d’utilisateurs à cliquer sans réfléchir sur toute fenêtre de pop-up).
Nul besoin d’être devin pour distinguer les programmes d’attaque les plus élégants : ce sont également les plus efficaces (attaques numéro 6, 4 et 1 par ordre d’appréciation du jury, voir sur le site Web de l’Esiea). Mais mêmes brutaux et sans finesse, certains codes se sont révélés d’une efficience digne du cheval d’Attila. L’attaque numéro 5, par exemple, un simple batch lançant une boucle consommatrice de ressources s’avère diablement efficace et n’est bloquée que par deux antivirus. Résultat guère encourageant pour un bout de code que l’on peut écrire sous Notepad en 5 minutes et qui pourrait agenouiller toutes les stations de travail d’une entreprise en un instant. Avec toutefois un léger bémol : il est rare que dans une entreprise correctement gérée, l’administrateur laisse à ses utilisateurs les droits d’écriture sur la registry ou dans le menu « programme-démarrer ».
Faut-il en conclure que les antivirus ne servent à rien ? Ce serait aller vite en besogne. Ils protègent des principales attaques provenant d’Internet, autrement dit une impressionnante quantité de menaces bien réelles. Mais leur absolue efficacité doit être remise en question au moins dans deux cas de figure précis : lorsque l’attaque est totalement nouvelle et n’a pas encore été détectée par les honeypots ou les « retours de logiciels clients » des éditeurs d’antivirus, et lorsque l’on est confronté à une agression ciblée qui n’a par définition aucune « chance » de se répandre sur Internet… et donc d’être détectée. Contre de telles menaces, le principe de fonctionnement (détection « in the wild » + autopsie du programme + rédaction de signature + diffusion et enrichissement de chaque A.V. installé) doit rapidement évoluer, s’enrichir à la fois de nouveaux mécanismes d’analyse comportementale et d’outils bien plus intelligents en matière d’examen de la structure des binaires douteux. Le système d’exploitation lui-même pourrait fort bien prendre le relais dans certaines circonstances. Quelques activités pourraient ainsi être interdites d’exécution par les UAC… notamment les écritures sauvages en BDR provenant d’un programme cherchant à s’inscrire lui-même, ou au moins demander une confirmation d’exécution exigeant un privilège plus élevé. Voilà qui serait bien plus utile que de demander inlassablement à l’usager d’autoriser le lancement d’un driver de souris non signé à chaque démarrage de l’ordinateur. Ceci en attendant l’avènement des systèmes n’acceptant d’exécuter que des exécutables « signés/certifiés »… ce qui posera à son tour la question de l’indépendance, de la compétence et du « coût » de l’autorité délivrant lesdites signatures.
Le regard que l’on porte sur les antivirus au terme d’une telle journée de tests ressemble un peu à celui d’un parent sur sa progéniture adolescente : la confiance sans illusion. Contre une attaque « non répertoriée », même utilisant des techniques connues, voire d’un classicisme désuet, les solutions de protection antivirales ne servent pratiquement à rien. Une rapide lecture de Millw0rm (même dans son état actuel d’abandon), du Bugtraq ou de la liste F.D. montre que c’est probablement aussi le cas des autres outils de protection périmétrique.
NdlR : L’auteur précise, par souci de transparence, que la rédaction de CNIS-Mag faisait partie du jury du concours P0wn2kill. Une fonction presque uniquement « honorifique » puisqu’elle se limitait à vérifier l’absence d’éventuelles tricheries et à constater, test après test, la réaction ou l’absence de réaction des logiciels de protection et des « user access control » du noyau.
2) iAwacs 2010, la sécurité informatique est un sport de combat
L’analyse forensique est-elle aussi sportive que la sociologie ? Elle n’est en tous cas pas de tout repos, si l’on en juge par la qualité et le niveau des présentations qui se sont déroulées dans les amphis de l’Esiea durant le week-end passé. Damien Aumaître et Christophe Devine (Sogeti), au fil d’une communication intitulée Real-world physical attacks and countermeasures, ont dressé un panorama actuel des types d’attaques pouvant être combinées pour compromettre un réseau ou une machine stratégique. Nulle nouveauté, mais un cocktail très épicé, où l’on retrouve la « chambrière diabolique » de Joanna Rutkowska, les attaques en mémoire vive et la pêche aux mots de passe pouvant s’y trouver (bien entendu l’intrusion Firewire signée Devine, mais également celles d’autres chercheurs français), les clefs USB autoexécutables (celles qui ont un petit goût de Conficker), les keyloggers. Tout ça sans oublier un peu d’entraînement dans le crochetage des serrures et un soupçon d’attaque en social engineering, pratiques éloignées de l’informatique mais sans lesquelles bien des techniques susmentionnées ne pourraient être conduites avec succès. Si tout cela peut paraître un peu décousu aux yeux d’un non spécialiste, un chasseur de pirate verra là immédiatement les ingrédients qui, combinés avec intelligence, peuvent conduire une entreprise à sa perte. Cette vision globale qu’apporte l’équipe Aumaître-Devine est à opposer à ce que prétendent apporter les vendeurs de sécurité (du moins pour ce qui concerne les secteurs grand public, TPE et petites entreprises), vendeurs pour qui chaque type de menace peut être contré par un équipement ou un logiciel particulier. Cette discrétisation de la défense, dont le découpage relève plus souvent de stratégies marketing que de réflexions tactiques, est rarement adaptée face à un adversaire qui, lui, « pense » une attaque avec une vision d’ensemble.
3) Barnaby Jack plus fort que John Connors et Brian Rhett Martin plus roublard
Il y a près d’un an, Juniper avait estimé que la présentation de Barnaby Jack intitulée « Jackpotting ATM » était pour le moins précipitée, et qu’il fallait attendre que les principaux fabricants de distributeurs de billets automatiques améliorent leurs machines avant que l’on apprenne comment les pirater. Un an plus tard, Barnaby Jack remet la discussion sur le tapis… au programme de la prochaine BlackHat. Cette fois, la présentation portera le titre « Jackpotting Automated Teller Machines Redux », et son auteur nous promet, outre une kyrielle d’exploits anti-billetterie autant locaux que distants, la présentation d’un rootkit multiplateforme visant les distributeurs. « J’ai toujours aimé la scène de Terminator 2 dans laquelle John Connors insère une interface dans le lecteur d’un automate et, à l’aide de son Atari, récupère du liquide » écrit succinctement l’auteur.
Un autre hacker américain, mais sombre comme Dark Vador et crédule comme Luke Skywalker, avait, quant à lui, décidé d’utiliser un vieux truc : la reprogrammation des distributeurs isolés pour que ceux-ci délivrent des coupures de 20 dollars à la place de billets de 1$. Déjà, par le passé, plusieurs siphonages de machines avaient eu lieu grâce à un défaut bien connu : le non changement des mots de passe d’administration « par défaut » de ces automates. Depuis, nous apprend un article de Wired, l’entrée d’un nouveau sésame est exigée dès la première mise sous tension de l’appareil. Mais le parc de vieux ATM ancienne norme est encore important. Et c’est en espérant faire la tournée de ces rossignols que le jeune Thor Alexander Morris s’est mis en quête d’un factotum chargé du repérage. Il rencontre un ancien escroc, Brian Rhett Martin, alias “Iceman”, alias “Forcible Entry”, et échafaude avec lui une approche efficace. Pour localiser avec précision les distributeurs d’une marque précise, il suffit de prendre en filature le camion de maintenance de ladite entreprise, puis d’enregistrer la position GPS de chaque appareil après avoir éliminé les modèles trop récents.
Seulement voilà… depuis ses exploits pas très reluisants des années 90, Iceman s’est rangé des voitures. Sa première réaction est d’appâter l’apprenti braqueur, puis de contacter le FBI pour monter un « flag ». Le casse de la semaine s’achève donc en prison. Il ne restera au jeune Morris qu'à s’abîmer dans la lecture des « proceedings » de la prochaine Black Hat.