Spécial Sécurité : chute du hacker récidiviste
Depuis le début du mois d’août, LeMagIT vous propose de découvrir en avant-première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre.
Sommaire :
Chute du black hat The Analyzer
Injections SQL et Web 2.0 : un beau mariage
Patch Tuesday : un trou dans le bouclier
Secure Computing : 15M$ pour Securify
Rutkowska sur le code sécurisé
Netasq agréé « top secret » Européen Wireshark 1.0.3, Jaws ou jaws pas ?
Cisco, trou double, doux trouble
Morano-Kaspersky, ils sont faits l’un pour l’autre
Netmon, regardez l’oreille de l’admin réseau
Biométrie en un clin d’œil
Misc, ça fuzz de partout
- Chute du black hat The Analyzer
Ehud Tenenbaum, plus connu sous le sobriquet de « The Analyzer », vient d’être arrêté par la police canadienne pour fraude bancaire. Le rapport de police précise que le présumé coupable Israélien de 29 ans a été mis sous les verrous en compagnie de plusieurs complices, tous inculpés sous le même motif : utilisation frauduleuse de cartes de crédit et détournement de sommes supérieures à 5000 C$. Le montant total des sommes détournées serait estimé aux environs de 1,8 million de dollars Canadiens.
Tenenbaum avait déjà défrayé la chronique en 1998 lorsque, âgé de 18 ans, il avait violé les systèmes informatiques « non classifiés » du Pentagone, de la NASA et du Parlement israélien notamment. Après avoir purgé une peine de prison, on le voit réapparaître sous l’étiquette de CTO d’une entreprise de sécurité israélienne, 2XS, qui semblait utiliser des méthodes marketing particulièrement « musclées ». Les entreprises prospectées étaient, avant intervention des ingénieurs-conseils, consciencieusement pentestées par un groupe de hackers connu sous le nom de Israeli Internet Underground (IIU). Un hack perpétré sous prétexte d’incitation patriotique et de renforcement des défenses informatiques nationales contre les armées des pirates Palestiniens potentiels.
L’argument excessivement discutable du « je hacke pour sensibiliser et alerter » est pratiquement aussi spécieux que celui invoqué par The Analyzer pour sa défense dans l’affaire du Pentagone. « Ehud Tenenbaum, 19, broke no law when he penetrated the Internet sites of American and Israeli institutions because there was no notice on the sites declaring them off-limits » peut-on lire dans une ancienne copie de Phrack, qui rapporte les propos de Shmuel Tzang, l’avocat de Tenenbaum, interviewé par le quotidien USA Today.
- Injections SQL et Web 2.0 : un beau mariage « Découverte et recherche systématique des possibilités d’injection SQL dans les applications Web 2.0 ». Ce papier technique se penche également – et surtout- sur les méthodes de détection envisageables pour parer de telles attaques (examen des javascripts, flux http, appels RIA…). Quatre pages seulement, mais quatre pages denses écrites par les techniciens de BlueInfy.
- Patch Tuesday : un trou dans le bouclier
Le bouclier Forefront poreux, quatre failles critiques dans Office et dans SQL Server, des défauts préoccupants autour de Media Player et Media Encoder, le bulletin préalable du prochain lot de correctifs Microsoft respecte encore le format traditionnel de criticité. Ce n’est qu’à partir du mois prochain que Seattle démarrera son nouveau programme sécurité, lequel devrait ajouter un « indice d’exploitabilité » pour chaque faille corrigée, ainsi qu’un canal d’information privilégié destiné à certains professionnels de la protection logicielle (éditeurs d’A.V. reconnus, grands clients privilégiés, etc).
- Secure Computing : 15M$ pour Securify
Secure Computing a déclaré souhaiter acquérir Securify pour 15 millions de dollars, suivi d’une clause d’intéressement de 5 millions de dollars supplémentaires. Le mode de transaction, précise un communiqué commun, s’opèrera soit en cash, soit partiellement par échange d’actions. Securify est une entreprise spécialisée dans le domaine du monitoring d’activité réseau basé sur des annuaires (ADS de Microsoft notamment). En d’autres termes, du contrôle d’accès utilisateur reposant sur un profil ainsi que sur une analyse comportementale. Avec cet accord, Secure Computing non seulement accroît sa masse critique, mais en outre s’ouvre une voie royale dans le domaine de la gestion de sécurité de l’Administration Fédérale Américaine.
- Rutkowska sur le code sécurisé
Ce qui se conçoit bien s’énonce clairement*. Joanna Rutkowska nous offre une « pensée philosophique » sur l’art de concevoir des logiciels sécurisés. Il existe, dit l’égérie des rootkits encapsulés, trois manières de concevoir un programme fiable :
- Par la minutie
- Par l’isolation
- Par l’obscurantisme
La minutie, c’est écrire des programmes en respectant les règles, en y mettant un soin, une attention, une concentration qui soient absolus.
« Vingt fois sur le métier remettez votre ouvrage.
Polissez-le sans cesse et le repolissez » *.
Hélas, nous sommes humains, et rien de ce qui est humain n’est parfait. Si écrire « proprement » est une nécessité, s’assurer de la propreté du résultat relève de l’impossible. Il n’existe aucun outil automatique qui puisse vérifier le travail de l’humain à ce stade, et en admettant même que les « langages sûrs » puissent constituer une solution, cela ne ferait que limiter les bugs d’intégration, et non ceux de conception.
La sécurité par isolation est celle qui consiste à répartir les risques au sein d’architectures segmentées : processus séparés, espaces mémoire isolés les uns des autres (ndlr : une approche tentée par les RTOS et les noyaux autonomes, auto-réparables expérimentaux). Seulement, la conception de tels ensembles pose de réelles difficultés d’intégration, auxquelles s’ajoute le fait que les noyaux actuels à partir desquels l’on pourrait imaginer ces dispositifs sont, eux, totalement monolithiques. Une faille interne à ces noyaux provoque un risque de brèche capable de briser le cloisonnement qui isole les différents processus.
Reste la sécurité par l’obscurantisme, ou plus exactement par le camouflage et les méthodes de brouillage logique. Ainsi l’adressage aléatoire ASLR et autres procédés qui contrent toute possibilité de « frappe » virale prédictive. Le programme ne s’achève jamais là où l’on peut s’y attendre, il ne s’installe jamais à la même adresse, son code compilé est d’une telle complexité qu’un Troyen n’y retrouve plus ses poulains. Bonne technique, excellent jeu de l’esprit, estime notre chercheuse. Mais qui pose là encore certains problèmes. En premier lieu, cette approche n’éradique pas le mal par la racine. Les failles, bien que cachées, existent toujours et, avec un peu de temps ou de méthode, l’on peu finir par trouver le moyen de déclencher une attaque en déni de service. Ce n’est donc qu’un pis-aller, une manière de reculer pour mieux sauter. En outre, cette montagne d’astuces empilées est susceptible de ralentir l’exécution des programmes. La méthode classique conserve tout de même certains avantages
Que le début, la fin répondent au milieu ;
Que d'un art délicat les pièces assorties
N'y forment qu'un seul tout de diverses parties*
Enfin, à l’instar de certains algorithmes de chiffrement, cette surcouche de camouflage peut elle-même cacher des défauts de conception, des failles qui rendent son fonctionnement inefficace.
Ces propos prennent une dimension quasi prophétique si l’on met en perspective cette typologie d’une part, et d’autre part l’évolution quasi certaine des systèmes d’exploitation vers des mécanismes de traitement massivement multithreadés, des opérations parallélisées synchrones, des flux de traitement optimisés pour optimiser les futures architectures multicore-multiprocesseurs.
* NdlC Note de la correctrice : Nous remercions Monsieur Nicolas Boileau de son aimable et involontaire collaboration, et ne pouvons que recommander la lecture de ses œuvres aux membres des comités ISO 27006, 7, 8 et suivants.
- Netasq agréé « top secret » Européen
En langage administratif, « Par décision officielle du secrétariat général du Conseil Européen datée du 15 avril 2008 (Décision No.171/08), les produits Netasq FW-VPN ont été classés produits « EU RESTREINT» ». En Français dans le texte, cela signifie que les firewall-vpn de l’équipementier lillois sont agréés comme pouvant entrer dans des infrastructures « stratégiques » susceptibles de véhiculer des informations sensibles ou concernant la sûreté d’Etat des Pays Membres. C’est là une belle étiquette et une certaine garantie de marchés administratifs relativement captifs.
- Wireshark 1.0.3, Jaws ou jaws pas ?
La précédente version connaissait quelques problèmes et failles, notamment des crash à la lecture des fichiers Tektro et quelques défaillances face aux données compressées Zlib. La version 1.0.3 de ce superbe analyseur de protocole « deep inspection » corrige ces défauts. Toujours Open Source, toujours gratuit, toujours sous licence GNU.
- Cisco, trou double, doux trouble
Une faille autour du Radius du Cisco Secure ACS pouvant conduire à un risque d’attaque en déni de service, un chapelet de vulnérabilités dans les appliances de la série ASA 5500 (RAS VPN et accès SIP) viennent d’être corrigés par l’équipementier.
- Morano-Kaspersky, ils sont faits l’un pour l’autre
Quel rapport existe-t-il entre Nadine Morano, secrétaire d'État à la Famille, et Eugène Kaspersky, grand chasseur russe de virus rusés devant l’Eternel Internet ?
Tous deux déclarent, à trois jours d’intervalle, vouloir l’avènement d’une « police Internet » internationale. Reste que si les paroles sont semblables, l’air est légèrement différent. Pour Nadine Morano, interviewée par nos confrères du Figaro, Internet est un lieu de perdition pédopornographique, dans lequel un peu plus de flicage ne pourrait que faire du bien. Il s’agit là, précise la Ministre, d’une opinion personnelle, une façon, en quelques sortes, de parachever les actuelles mesures de protection de l’enfance que l’actuel gouvernement met en place. Des mesures que les professionnels du milieu conseillent depuis de nombreuses années d’ailleurs : incitation à l’usage de logiciels de contrôle parental, campagnes télévisées de sensibilisation prévenant non seulement des dangers que représentent les prédateurs sexuels, mais également ceux que peuvent provoquer la consommation d’alcool ou de drogues.
Si le spectre hideux des hordes de pédophiles ne parvient pas à justifier l’instauration d’une idyllique, permanente et omniprésente protection policière, on peut y rajouter deux doigts de crime, un soupçon d’activité mafieuse. « Pour rendre Internet plus sûr, il faut mettre en place un Net Interpol» (dixit un communiqué en Français émis par Kaspersky). Et le chasseur moscovite de malwares de continuer « je suis convaincu que ces stratégies de protection doivent être supportées par un réel effort de toute la communauté si nous voulons réussir à endiguer la cybercriminalité. Il faut mettre en place un Interpol pour Internet. Il faut lancer des campagnes de sensibilisation des consommateurs, sur le modèle des opérations destinées à favoriser l'usage de la ceinture de sécurité au volant ». Un peu de knout pour mieux écouter le violon. L’utilisation systématique d’un appareil policier spécifique, mis en place sur la simple présomption d’un danger mal quantifié, pose le problème du risque de mésusage à long terme de cette force. Bouclier nécessaire un jour, il risque de se transformer en arme de répression le lendemain, au gré d’un changement de régime politique ou d’une situation de crise.
Interpol travaille déjà, et depuis de nombreuses années, sur des affaires de délinquance informatique. Des instances internationales non policières, tel l’UIT, tentent, par la diplomatie, par d’incessants échanges d’informations, de persuader les instances gouvernementales du monde entier d’unifier leurs arsenaux juridiques afin de combattre certaines mauvaises pratiques ou fléaux, et d’éliminer les « ports francs » du cybercrime. A commencer par la lutte contre le spam et ses « produits dérivés » (phishing, vol d’identité), premier vecteur de financement des organisations mafieuses sur le net. La solution doit passer avant toute autre chose par des engagements politiques. Et si les politiques évitent d’affronter directement les problèmes en déléguant leurs responsabilités à la seule force policière, -donc à un appareil qui ne peut fonctionner que dans le cadre très précis des juridictions nationales respectives-, ce « recours à la force » est voué à l’échec avant même d’avoir pu espérer combattre quoi que ce soit. Est-il nécessaire également de préciser que, comme semble le prouver la récente actualité, certains états, pourtant fort bien dotés côté forces de l’ordre, n’ont pas particulièrement intérêt à pourfendre efficacement les structures cybermafieuses. Surtout lorsque ces mêmes structures servent de bras armé téléguidé dans une nouvelle forme d’action politico-militaire. Ces « nouveaux affreux », ces mercenaires du Net, vivent en temps normal des expédients que sont principalement l’industrie du vol d’identité, du spam, de l’escroquerie en ligne, du trafic d’objets virtuels, du chantage… accroître la pression policière sur Internet ne permettrait pas de mettre la main sur cette pègre, protégée par une alliance objective entourée de « non dit ». Alors, à quoi pourrait bien servir une police qui serait payée à ne pouvoir mettre la main sur les véritables malfrats ? A surveiller de près les gentils ?
- Netmon, regardez l’oreille de l’admin réseau
Network Monitor, l’analyseur de trafic de Microsoft (livré depuis la nuit des temps sur le CD MS SMS), entame la dernière ligne droite de la phase de test de sa version 3.2. Une « béta marketing » est disponible en téléchargement gratuit sur le Technet, le tout accompagné d’une série de vidéo de formation. La principale nouveauté de « la 3.2 » est d’être capable d’effectuer de la détection et du suivi des processus. Du moins en théorie… les tests préliminaires réalisés dans le labo de CNIS-Mag font apparaître que la grande majorité des tâches communicantes s’affichent sous l’étiquette « unknown ». Mais nous ne sommes que des journalistes. Ceci explique peut-être cela.
Science Daily et Now Public publient deux articles passionnants sur une nouvelle méthode d’identification biométrique : la mesure du réflexe des paupières.
Ces travaux des professeurs Masakatsu Nishigaki et Daisuke Arai de l’Université de Shizuoka, visaient à éviter les possibilités de contournement qui affectent toute prise de repères biométriques statiques. Les empreintes digitales que l’on reproduit d’une vapeur de colle cyanoacrylate, les capteurs d’iris qui acceptent le sésame d’une photographie, la reconnaissance de forme du visage qui capitule devant un masque de mardi-gras, tout çà s’efface devant la mesure de la dynamique d’un mouvement : les accélérations, les temps de réponse sont propres à chaque individu et quasiment impossible à imiter ou reproduire avec des procédés mécaniques simples. Et le clignement de l’œil en fait partie. Personne ne peut, c’est là un truisme évident, imiter un mouvement réflexe puisque, par définition, ces mouvements ne relèvent pas du contrôle conscient. Cette technique n’est pas nouvelle, puisqu’à l’aube des années 80, au tout début de l’histoire des distributeurs automatiques de billets (DAB), l’on envisageait déjà sérieusement de vérifier l’identité du tireur avec une tablette « capteur de signature ». Reste que le contrôle d’accès ou la gestion des comptes en banque de quelques rares catégories socioprofessionnelles pourrait poser des problèmes, particulièrement lorsque l’œillade fait partie de l’outil de travail et devient par trop automatique. Tu montes, chéri ?
- Misc, ça fuzz de partout
Le numéro 39 (Septembre-Octobre) de notre confrère Misc vient de sortir. Cette fois, le dossier principal est consacré au fuzzing, avec, comme phrase d’accroche, une formule qui résume l’esprit du dossier sans terme technique incompréhensible : « injectez des données et trouvez les failles cachées ». Comme à l’accoutumé, 82 pages de savoir et de sérieux. De très sérieux.