Sécurité : le Best of de Cnis Mag'
Depuis le début du mois d’août, LeMagIT vous propose de découvrir des extraits de CNIS Mag. Ce magazine sur la sécurité des systèmes d’information a ouvert ses portes le 16 septembre à l'occasion des Assises de la sécurité. Dans cette édition, un point sur OpenVas, la souris innocentée dans l'affaire Quantas, un Security Journal de Mc Afee consacré au Social Engineering et des failles Microsoft dignes du gouffre de Padirac
Sommaire
- 1 - OpenVas 2.0, le rayon X de la faille
- 2 - Quantas : aucun pilote dans l’avion
- 3 - McAfee, tout sur le S.E., ou presque
- 4 - Microsoft, failles passées, boule de cristal et gouffre de Padirac
OpenVas 2.0, le rayon X de la faille
OpenVas est un scanner de vulnérabilité Open Source, lointaine désinence de son ancêtre, Nessus, de Renaud Deraison. Depuis 2005, devant la faiblesse des contributions communautaires et la surexploitation commerciale de ses travaux, l’équipe (Renaud Deraison, Ron Gula, Marcus Ranum) a décidé de « propriétariser » son code : depuis la version 3, Nessus, via Tenable, est devenu un produit commercial. Ce qui, l’on s’en doute, a provoqué la naissance d’une multitude de « forks » issues de Nessus 2.0. Certaines sont mortes, d’autres ont fusionné… et de tout cela est né OpenVas.
Sa version 2.0, annoncée sur la liste FD dans le courant de la semaine dernière, intègre désormais un langage de commande, Oval, Open Vulnerability and Assessment Language, projet parrainé par le Mitre. Les quelques 5000 tests déjà engrangés dans la bibliothèque de NVT sont toujours utilisables, et toujours compatibles avec les versions précédentes de VAS.
Quantas : aucun pilote dans l’avion
Après une « longue »enquête de 2 jours de la part de l’ATSB (Australian Transport Safety Bureau), il apparaît que les Airbus de la compagnie Quantas (voir article du 13 octobre) n’ont rien à craindre de la part des passagers et de leurs ordinateurs à souris sans fil . ABC News nous apprend que, si l’appareil a brusquement entamé un piqué de 300 pieds, c’est suite à une panne de la centrale inertielle, dont l’informatique embarquée aurait été frappée d’une crise de démence.
Annonce sans surprise d’un point de vue technique, car, dans le milieu de l’aéronautique, l’immunité aux bruits des « canaux adjacents » (ce que les professionnels du milieu désigne par le doux nom de résistance à la l’intermodulation ou IMD) doit répondre à des normes excessivement strictes. En outre, les périphériques de type « souris » et autres composants sans fil exploitent des bandes radio connues (40 MHz, 2,4 GHz, parfois même 27 MHz) dont le taux de rayonnement harmonique, compte-tenu des puissances mises en jeu, est généralement très en deçà des niveaux susceptibles de perturber un bus ou un processeur.
McAfee, tout sur le S.E., ou presque
McAfee consacre la presque totalité des 48 pages de son « Security journal » au Social Engineering. Sous la phrase d’accroche « Cybercrime gets personal », les chercheurs de l’Avert Lab ont brossé un tableau tant psychologique que statistique de « l’espion industriel » et de l’escroc « à micro-ciblage ». On peut, concluent en substance les experts McAfee, parler d’un « nouveau genre » de délinquance en col blanc. Nouveau car l’on constate aujourd’hui une adaptation de la cybercriminalité moderne non plus à destination d’une masse d’individus mais visant de plus en plus une personne précise. Fruit notamment d’analyses socio-comportementales de la part des «black hats », sans oublier la manne céleste des grandes affaires de « fuites d’information », l’efficacité des usines à récolter de l’identité sur le Net (phishing et techniques associées), qui sont le nerf de la guerre des opérations de « spear-hacking ». Ce tout premier numéro devrait être suivi par d’autres sorties thématiques, publiées selon un rythme trimestriel.
Microsoft, failles passées, boule de cristal et gouffre de Padirac
20 trous –dont certains vertigineux-, 11 bouchons : le dernier mardi des rustines a comporté, outre son lot de failles IE (et IIS) mensuel, quelques nouveautés intéressantes. A commencer par un « non-bouchon », celui de la faille 951306... Tout compte fait, il faudra se contenter pour l’instant des « mesures de contournement », la correction de ce problème nécessitant une réécriture apparemment assez lourde.
Pour ce qui concerne le traditionnel mardi des rustines, quelques faits particuliers sont à remarquer. A commencer par le traditionnel article de Bill Sisk sur Security News : sa longueur est « historique »… à l’image de l’importance de ce lot de correctifs. En second lieu, cette fournée, ainsi qu’il était annoncé, est accompagnée d’un « indice de probabilité d’exploitation ». A « 1 », il faut fortement s’inquiéter, à 3 ou 4, les exploitations à distance, voir l’idée même d’exploitation relève de l’imaginaire. Toute erreur de jugement de la part du MSRC aura donc des chances de se transformer en remarques ironiques et désobligeantes de la part de certains chercheurs. Errare antimarketingum est. Toutefois, l’équipe Microsoft possède un certain avantage : les sources des programmes concernés et la connaissance intime des « tripes » du kernel. En attendant, les commentaires qui viennent étayer les premières estimations sont précis, souvent associés à un code d’exemple. Espérons que cette initiative sera suivie par d’autres éditeurs de systèmes d’exploitation.
A qui s’adresse cet indicateur ? Dans un premier lieu, aux journalistes et aux gens pressés, pour qui le recoupement d’information n’est pas franchement une préoccupation majeure. Les administrateurs consciencieux continueront à lire les cotes de dangerosité du Cert-IST, les notes de Secunia, les avertissements d’eEyes diffusés par courrier électronique, ainsi que le très synthétique et très sérieux Storm Center du Sans Institute, dont les cris d’alarme « Patch Now » sont à observer aussi strictement qu’une ordonnance médicale. Avis à compléter systématiquement par une surveillance attentive des PoC et autres exploits publiés par Milw0rm. Ce n’est peut-être pas là la source la plus rapide qui soit en matière de preuve de disponibilité d’exploit, mais c’est la plus simple à consulter. L’on considère généralement qu’un code pouvant être téléchargé sur Milw0rm est « largement connu du public », et doit donc être considéré comme susceptible de servir dans le cadre d’une attaque. C’est donc un indicateur d’urgence de « patch » à prendre en compte lorsque les procédures de tests de régression prennent un peu plus de temps que prévu.
Les failles du mois, quant à elles, sont généralement classiques. Remarquons toutefois un trou préoccupant dans Host Integration Server (ms08-059), pivot de bien des applications d’entreprise : c’est une faille critique d’un point de vue stratégique. Glissons sur les trous d’I.E. qui reviennent comme les radis, une faille critique dans Excel qui touche indirectement Sharepoint Server, pour nous arrêter et insister sur deux problèmes jugés importants par les communauté des analyseurs de bouche-trous : l’un qui affecte les ADS et l’autres le serveur Web (IIS), et plus particulièrement le Windows Internet Printing. A noter également une faille SMB qui permettrait, outre une modification ou ajout de fichiers sur des ressources, la création de comptes utilisateur. C’est un bug antédiluvien, un héritage du précambrien des réseaux Windows… Comment une telle antiquité a-t-elle pu rester inaperçue jusqu’à notre époque ? Kostya Kortchinsky en est encore tout retourné.
[Retrouvez toute l'actualité de Cnis Mag' sur son site web : http://www.cnis-mag.com]