juillet 28th, 2008

75% des Banques Américaines évaluées par « Umich », l’Université du Michigan, ont révélé au moins une faille de conception susceptible de compromettre soit l’accès au compte, soit l’accès aux données confidentielles de leurs clients. Le rapport, qui date de 2006 et porte sur 214 établissements financiers, est aussi décapant qu’un communiqué technique de l’Oswap : passage d’un domaine à un autre sans avertissement au cours d’une même session, demande de login sécurisé sur des pages non sécurisées, demande d’informations privées sur des pages non sécurisées, politiques de login/mots de passe totalement surannées, politique de gestion et de sécurisation des emails chancelante… les 10 pages du rapport du Professeur Atul Prakash sont assez préoccupantes. Dans un pays où la législation est on ne peut plus stricte –Sarbox, notamment, mais également les lois d’Etat sur la transparence des pertes de données-, dans des contrées déjà lourdement touchées par des porosités inquiétantes, le constat de ces « mauvaises pratiques » est assez préoccupant.

Fort heureusement, en France en particulier, et sur l’ensemble de la zone Schengen en général, les Grands Argentiers Européens ne souffrent strictement d’aucun défaut. Si cela était le cas, on en parlerait dans les journaux, pas vrai ?

Qu’il est rafraîchissant, ce billet de Nicolas Ruff, intitulé « Les Backdoors dans Skype ». Un billet qui trace précisément la frontière entre la peur irraisonnée –ou calomnie- et ce qui est possible. Compromettre un chiffrement Skype, oui, c’est possible. Lancer une attaque en déni de service, oui, c’est possible. R00ter un poste à distance via les mécanismes de téléchargement, c’est également envisageable (transformer le réseau Skype en Bootnet aurait pu être possible à une époque). Voir ses conversations enregistrées par les services de police de France, de Navarre et des Etats-Unis réunis, c’est également tout à fait envisageable, de par le droit régalien des forces de l’ordre dans les pays démocratiques –et autres-. Ne parlons pas des PoC qui, utilisant les systèmes de Plugin d’extension Skype, ont pu transformer un attachement vidéo en cheval de Troie ravageur.

C’est bien connu, Microsoft publie nettement moins d’alertes que le monde Linux… ergo, Windows est plus solide que Linux. Le nombre de failles rendues publiques chaque mois diminue, ergo les noyaux sont plus solides. L’antivirus Omo compte 12 millions d’enzymes gloutons antiviraux, il est donc bien meilleur que l’antivirus Persil, qui ne contient que 10 millions d’ions nettoyants à base de synode dégénéré.

Cette logique de la comptabilité soi-disant scientifique est aussi vicieuse qu’un syllogisme sophiste*. C’est faire fi des « rustines cumulatives » qui gomment d’un revers de patch une kyrielle de gouffres béants. C’est ignorer des failles officiellement inconnues, « vendues au marché noir », sans compter les vulnérabilités qui dorment dans les tiroirs des « response team » débordés. C’est faire abstraction du fait qu’il faut moins d’une heure à un script kiddy pour générer un virus polymorphe et furtif à coup d’outils à génération automatique et parfois moins d’une demi journée à un expert pour rédiger proprement un exploit inconnu des outils de protection classiques.

C’est ce que dénonce Dancho Danchev, dans un article intitulé « Compter les impacts de balles sur le front du malware ». Les éditeurs d’antivirus, explique Danchev, sont confrontés à un formidable conflit d’intérêt. Ils sont tenus de conserver, sous des prétextes souvent discutables, les mécanismes de détection par « reconnaissance de signature », pour la bonne et simple raison qu’avec des filtres heuristiques efficaces, il ne serait presque plus nécessaire d’enrichir aussi souvent l’antivirus salvateur. Forcément, voilà qui n’arrangerait pas les ventes, les messages des directeurs marketing et les arguments des vendeurs de boîtes.
Surenchère des statistiques

Il est en outre de tradition de jouer, dans ce métier, sur la corde alarmiste. Sans ces dizaines de millions de malwares, sans cette hécatombe quasi certaine, il devient difficile de se comparer à ses concurrents. « Les éditeurs d’A.V. comptent-ils les virus ou plus honnêtement les familles de virus ? » s’interroge Danchev. Face à ce jeux des chiffres, les utilisateurs de Storm et autres kits « concentrateurs de malwares » fabriquent en quelques secondes une nouvelle arme, qui n’est jamais que le regroupement d’un shrapnel d’infections déjà connues mais dont la nouvelle signature n’est connue d’aucun programme de filtrage périmétrique.

10 millions de virus répertoriés, 1 millions de failles en moins, 250 000 rustines en plus, tout cela ne signifie rien tant qu’il n’existe pas une jauge permettant de quantifier le risque réel lié à l’alerte. Une « faille DNS », bien que préoccupante, s’avère généralement moins destructrice qu’une paille dans le métal d’Outlook ou de Firefox. Lesquelles failles, bénéficiant généralement d’une médiatisation d’envergure, voient leur fenêtre de vulnérabilité se refermer plus rapidement que certains défauts Java ou Acrobat Reader qui font, depuis des lustres, le bonheur des serveurs du Rock Phishing ou du RBN, ces plateformes mafieuses Chinoises et Russes.

*NdlC Note de la Correctrice : L’on pourrait y voir un parallèle avec le paradoxe du fromage à trou. Plus un programme est long, plus il y a de trous (de sécurité). Mais plus il y a de trous, moins il y a de programme, donc plus il y a de programme, moins il y a de programme. Ne rions pas. C’est ce que l’on appelle le PLMC, ou Paradoxe du Million de Lignes de Code. Demain, sur 10 cm d’éditeur hexa propre et sec, nous étudierons le paradoxe de la rustine. Plus un programme est vieux, plus l’on y découvre de trous. Plus on y découvre de trous, plus on y applique de rustines… Trouvez la majeure et la mineure paradoxale du syllogisme du bouchon. Les copies seront relevées à 6H ce soir.

La lecture indiscrète de la mémoire vive, même appartenant à un ordinateur hors tension, a fait l’objet de très nombreuses publications ces derniers mois. L’une des plus spectaculaires (ce qui ne signifie pas l’une des plus efficaces) a été publiée par l’université de Princeton. Elle reposait sur la « rémanence » d’une cellule CMos qui, à basse température, permet de conserver une information durant une très grande période. De là à imaginer « congeler » les données en RAM à coup de bombes aérosol réfrigérantes, il n’y a qu’un pas, que franchirent les universitaires. L’affaire fit grand bruit, éclipsant d’autres techniques, telles que celles de Matthieu Suiche et Nicolas Ruff avec SandMan , de MSRamDump de McGrew, voir encore l’intrusion via bus Firewire d’Adam Boileau.
La pince Monseigneur des Saigneurs de Princeton

Depuis le début de ce mois, le code d’aspiration de Princeton est disponible en téléchargement. Il s’agit en fait d’un outil de boot en PXE (ou via une clef usb à la mode McGrew), d’un dump mémoire, d’un récupérateur de clefs AES… bref, de l’indispensable panoplie qui offrira à l’administrateur la possibilité de récupérer un certain nombre de mots de passe « oubliés ».

Il existe un moyen très simple de contrer de telles attaques. En forçant un RAZ matériel de la mémoire déclenché par le processus d’extinction de l’ordinateur (latché par le shutdown disent les hommes du hard). Cette fonction ne coûterait que quelques millièmes de Cent aux constructeurs de barrettes mémoire.

Le DNS est une nouvelle fois menacé… par une divulgation soi-disant un peu trop hâtive. Faut-il s’en inquiéter, et à qui incombe la responsabilité de cette situation ?

Aujourd’hui comme la semaine dernière, les chances de voir le Grand Internet Mondial sombrer dans un fantastique nervousse brèkdone est assez faible. Il ne faut pas confondre faille majeure et faille touchant un composant majeur, pas plus que problème à considérer sérieusement et sérieux problème. Les principaux FAI ont très probablement corrigé leurs serveurs d’annuaires (juré-craché ! nous disent-ils), et les administrateurs responsables sont activement en train de déployer les rustines adéquates. Ce qui n’élimine pas le risque de quelques DNS Poisoning orchestrés dans le cadre d’attaques amorcées à l’aide d’une campagne de phishing… voir, soyons paranoïaques, deux ou trois « spear spoofing »* brodés par des codeurs aussi consciencieux que malhonnêtes, à l’encontre de cibles très lucratives.

Bob Graham vulgarise quelques uns de ces risques, avec un éclairage relativement sombre. Mais le personnage est un coutumier des tableaux ténébreux, qui part du principe qu’une bonne crainte provoque généralement de saines réactions de protection. Graham sait fort bien crier « Au loup ! » : ni trop souvent, pour que ses alertes soient prises en compte, ni trop peu pour que les moins informés ne puissent ignorer le message.
Vrai-Fausse divulgation sauvage ?

Sur la question de l’intention originelle de Kaminsky, en revanche, les avis divergent. Ce dernier avait, lors de sa première alerte, demandé à la communauté de ne publier la moindre spéculation au risque d’échauffer les esprits et dévoiler le pot aux roses… et d’ajouter que celui qui découvrirait la substantifique moelle du hack serait cordialement invité à la prochaine Black Hat pour présenter les conclusions de son enquête.

Sid, dans le billet susmentionné, (voir article précédent), fait précisément ressortir l’aspect provocateur de cette position ambigüe. En recommandant la « sécurité par l’obscurantisme », ou tout au moins par une « discrétion certaine ». Dan Kaminsky, dit-il en substance, fait jouer l’aiguillon de la curiosité et de l’esprit de contradiction. Il suffit d’interdire un type de recherche pour déchainer les talents de tous les chasseurs de failles. La sorte de « concours à la publication Black Hat » confirme d’ailleurs cette tartuferie.

Mais peut-être s’agit-il là d’un plan dans le plan, une forme d’activisme qui ne veut pas se montrer. En lisant entre les lignes du dernier papier de Dennis Fisher, l’on croit voir se dessiner une manœuvre un peu plus machiavélique. En collaborant discrètement avec les principaux éditeurs, Kaminsky s’attire le respect et la sympathie de ceux-ci. En rendant publique –sans pour autant laisser filtrer le moindre détail technique-, le chercheur orchestre une campagne de sensibilisation qui porte : les premiers intéressés, alertés par la campagne de presse qui ne manquera pas d’exploser, s’empresseront de déployer les correctifs. Empressement d’autant plus grand que, grâce à la promesse provocatrice de « publication à l’occasion de la Black Hat Conference », la divulgation d’un PoC public est inévitable à court terme. Bref, Kaminsky parvient à faire du « full disclosure » par HD Moore, Halvar Flake et Thomas Ptacek interposés, sans que la virginité de son image de « taiseux » soit entachée. Ajoutons à cela la formidable publicité générée par ces différentes actions, qui ne peut que profiter à la renommée du chercheur (ainsi qu’à DoxPara, son entreprise). Retord, Kaminsky ? Pensez donc…

Dans la nuit du 23 au 24 juillet dernier, entre 2H et 6H du matin, nombre de requêtes DNS en France n’ont pu être résolues. Nulle « guerre Internet Mondiale Définitive », mais de sérieux désagréments pour certains serveurs. En attendant l’explication –quasi improbable- des principaux FAI, l’on peut se demander si les « fuites » d’information concernant la fameuse « faille DNS de Dan Kaminsky » n’y sont pas un peu pour quelque chose.

Faut-il toujours dévoiler, et à quelle période, les petits secrets qui entourent une faille de sécurité ? Une chose est certaine, si divulguer ce genre d’information ne prête généralement pas à catastrophe, en être le premier diffuseur peut attirer certaines critiques (ainsi qu’une formidable publicité). C’est en fait Halvar Flake sur Add/Xor/Roll qui a deviné le pot aux roses. Une réponse à une devinette qui est confirmée par Chargen, le blog de Matasano (les héritiers spirituels du L0pht Heavy Industry et du @Stake) : les détails techniques de la « faille Kaminsky » ont fini également par sortir. Par erreur, si l’on en croit le mea culpa de Thomas Ptacek, qui précise que cette « divulgation hâtive et involontaire » a immédiatement été dépubliée. Las, Internet est affligé d’une mémoire eidétique, et les détails de la fuite sont mirrorés à droite et à gauche sur la Grande Toile.

La mise en application pratique par H.D. Moore n’a pas pris plus de temps à être rédigée. La robe cardinalice du rubis sied fort bien à cet exploit… Rouge, comme le signal d’alerte et l’urgence de déployer les correctifs adéquats. D’autant plus que ce n’est pas le seul bout de code qui traite de ce sujet précis.
Les avis des experts

Pour comprendre comment pourrait fonctionner une attaque en DNS Poisoning exploitant ladite faille, il suffit de se reporter sur l’explication donnée par Cedric « Sid » Blancher. Voilà pour la partie théorique. Le lendemain de cette approche doctorale, Sid revient sur le métier et aborde la partie pratique de l’attaque (ou plus exactement la démonstration de faisabilité). Tout çà est confondant de savoir et de compétence… et très probablement aromatisé à la Licence IV. Avec nettement moins de code et un peu plus de graphiques, le blog de l’Avert Lab donne une explication plus vulgarisée, plus simple à comprendre, avec un titre un rien alarmiste : Bug DNS « le chat est sorti du sac ».

Nettement moins sérieux (quoi que… à en juger par les messages subliminaux que l’on peut y voir…), la série « DNS Ta Mère » rédigée par François Ropert. Allez hop, ajoutons notre pierre à ce tombereau de culture geek, avec un « Ta mère, elle est tellement parano qu’elle hoste son propre domain.txt pour éviter d’avoir à sortir pour requêter un reverse ». En attendant la fin du monde, heureux IN ADDR ARPA à tous.

NdlC Note de la Correctrice : Licence IV : locution féminine (encore le choix d’un mec, çà !), généralement utilisée par le commun des mortels pour désigner un débit de boissons alcooliques. Ex : « Il s’en alla cacher son dépit de poisson au débit de boisson » (B. Lapointe). Elle est surtout plus connue par les spécialistes sécurité Français pour qualifier de manière humoristique les recherches particulièrement complexes dont les résultats sont publiés sous une forme proche de la Common Creative Licence. La paternité du mot est attribuée à Nicoteen à l’occasion des dernière SSTIC de Rennes, ainsi que le rappelle Monsieur Nicolas Ruff entre autres. Cette précision était nécessaire afin de rassurer les quelques lecteurs qui auraient pu croire Cedric « Sid » Blancher porté sur la dive bouteille. Un monsieur qui ne fréquente que le Paradis du Fruit… Pensez donc !

F-Secure signale la sortie d’un CD de désinfection Windows gratuit à récupérer sur le web-ftp de l’éditeur. Ce n’est là qu’un outil de scan général, reposant sur un « live CD sous Gnu-Linux ». Il n’a pas la prétention de concurrencer un joyau du calibre de BackTrack… C’est avant tout un désinfectant de première nécessité, simple à utiliser, sans commande cryptique ni outils délicats à manipuler. Les deux sont à télécharger, mais un seul est à mettre entre toutes les mains.

Une alerte du ZDI sur la liste FD, un communiqué accompagné des différentes mises à jour sur les serveurs de RealNetworks, une alerte Secunia qualifiant l’alerte de « hautement critique » : les risques d’attaque à distance sont bien réels. La série de correctifs fournie par l’éditeur colmate en fait 4 défauts logiciels qui se retrouvent peu ou prou dans toutes les versions du RealPlayer : Vista, Windows « ancienne manière », Macintosh et PDA. Le trou le plus dangereux peut être exploité par un fichier SWF forgé qui, au moment de son interprétation, provoque un heap overflow fatal pour l’intégrité de la mémoire. Un second trou, plus spécifique à l’environnement Microsoft, a été découvert dans un composant ActiveX. Pour l’heure, aucun exploit n’est déjà disponible sur le « marché »… déploiement « vivement » conseillé.