septembre 23rd, 2008

Une petite note d’optimisme émise par nos confrères de Security News, qui commentent une étude du cabinet Foote Partners sur les salaires des informaticiens : aux Etats Unis, dans un climat de délabrement des émoluments des ingénieurs certifiés qui , dans les secteurs IT suivent une érosion de 2,5% sur le dernier semestre et 3,5% sur l’année, les payes des diplômés « sécu » connaissent, en revanche, une très nette réévaluation. Un GSE (Giac Security Expert), peut voir son salaire augmenter de plus de 36% l’an. La tendance moyenne, plus modeste, reste tout de même à la hausse : 0,4% sur le semestre, +2% sur l’année écoulée toutes certifications confondues. Plus précisément, les indices d’augmentation selon les qualifications les plus connues s’établissent comme suit :
GSE, CISM , +27.3%
Certified Hacking Forensics Investigator (CHFI) + 14.3%
GIAC Certified Intrusion Analyst (GCIA) + 11.1%
GIAC Systems and Network Auditor (GSNA) + 11.1%
Cisco Certified Security Professional (CCSP) + 9.1%
CISSP + 8.3%
Cette inflation n’est, explique l’étude, que la conséquence de l’accroissement des investissements dans le domaine de la sécurité liés aux obligations de conformité à Sarbanes Oxley. Un accroissement qui s’élève en moyenne à 10% des investissements IT, et dont il faut bien assurer l’installation et la supervision. En outre, la médiatisation des grosses affaires d’intrusion et de vols d’identités –TJX notamment- ont stigmatisé les Directions Générales.

Dans une transaction estimée à 465 M$ en cash, McAfee a annoncé son intention d’achat de Secure Computing. Une opération de croissance externe devant en toute logique renforcer la branche « sécurité réseaux » de McAfee. Secure Computing, de son côté, avait absorbé CipherTrust (antiphishing, antispam, filtrage email) pour un montant de 274 M$. La période s’étendant du début 2007 au début 2008 a été marquée par une véritable épidémie de rachats par les plus importants acteurs du marché –McAfee, Symantec, ISS, Google, Microsoft…-, particulièrement sur le secteur du DLP (prévention des fuites d’information).

Deux annonces, chez Symantec. Avec notamment la sortie de la dernière édition de BackupExec, le logiciel de sauvegarde « historique » de la sphère Windows NT Server (ses gènes remontent au tout premier Conner Backup intégré dans NT 3.1). Age et expérience qu´affiche clairement le numéro de version de ce logiciel : 12.5. Au menu la sauvegarde des machines virtuelles VMWare, Citrix et Microsoft (automatisation et gestion des VCB, outil de restauration dédié capable de restituer une sauvegarde vers des architectures virtuelles).

Sans oublier une restauration modulaire de fichiers contenus dans un backup et une prise en compte des applications « nouvelle génération » de la série 2008 -des versions SBS (Small Business Serveur) aux éditions de grande envergure. Et tout ceci applications y comprises telles que SQL Server ou Essential Business 2008 etc. De 760 Euros en version Media Server, évoluant en fonction des accessoires, vendus entre 300 et 2500 Euros. Le programme de restauration spécialisé, Backup Exec System Recovery 8.5, est vendu à partir de 840 Euros par serveur et 53 Euros par poste de travail.

Simultanément, l´éditeur américain envisage de lancer un nouveau service d´accès distant centralisé et protégé, et commercialisé sous forme d´abonnement. Ce Online Remote Access , actuellement en préversion, est une évolution de pcAnywhere. C´est le troisième service managé de Symantec, après une offre de protection périmétrique relativement classique (Symantec Protection Network) et un « Online Backup and Online Storage for Backup Exec », une toute aussi classique externalisation des sauvegardes et du stockage.

Pour des raisons inconnues, les comptes « beta test » de ce futur service sont réservés aux personnes résidant aux Etats Unis et au Canada. Il faut préciser que l´intérêt des grandes entreprises Françaises pour les offres des prestataires de services managés étrangers est fortement tempéré par la crainte de voir leurs propriétés intellectuelles sortir, même provisoirement, des frontières du pays.

Comment économiser sur les factures de salles climatisées ? La réponse est apportée par l´expérience conduite par deux ingénieurs Microsoft , Christian Belady et Sean James, qui ont installé, depuis novembre dernier, 5 HP DL585 (près de 12 000 euros pièce) sous une simple bâche de plastique et hors murs.

Les détails de l´aventure sur le blog « Power of Software ». Après une inondation, une ingestion de feuilles mortes, un coup de bélier provoqué par un vent violent, les deux infocampeurs ont conclu : « çà marche ». Et très bien même, puisque l´uptime de cette salle de serveurs en plein air a plafonné à 100 %.

Rafael Dominguez Vega nous parle de deux injections d’un genre nouveau, ou plus exactement peu courant. En tous cas différent de ce qui a été envisagé jusqu’à présent par l’équipe de Gnu Citizen il y a quelques temps. Il s’agit de tirer profit de certaines erreurs de gestion dans les mécanismes DHCP et de découverte réseau via le SSID. L’injection DHCP fait d’ailleurs l’objet d’une publication d’exploit sur Milworm. L’attaque repose sur une réponse forgée qui, une fois le script injecté exécuté, sera capable d’initialiser les paramètres de la console d’administration de certains routeurs ADSL Sagem. Selon l’auteur, plus de 45 % des appareils visés seraient susceptibles de succomber lorsque soumis à un tel traitement.

Mais le plus intéressant reste à venir. L’étape suivante de l’aventure commence avec la lecture d’un white paper -toujours signé Rafael Dominguez Vega- publié par MWR Infosecurity. Document qui reprend et explique le principe de l’attaque par injection DHCP. Il entraîne ensuite le lecteur sur les bords d’une faille qui affectait à une certaine époque les routeurs LAN/WLAN utilisant le noyau open source DD-WRT. Ce firmware, comme pratiquement tous ses semblables, possède une fonction de « découverte de réseau wifi ». Découverte reposant sur des requêtes exploratoires dont la réponse peut être empoisonnée à l’aide d’une émission de trames « beacon » forgées. Cette injection affecte la table de voisinage réseau de la console d’administration html, et provoque un overflow exploitable. Première victime potentielle, le WRT54GL, et certaines anciennes versions de WRT54G et GS de Linksys (l’un des modèles les plus vendus, compte tenu précisément de son ouverture à des firmware open source). Précisons que la faille a fait l’objet d’un correctif, et que son exploitation exige de l’administrateur une activation de la page Web d’administration dédiée à l’exploration de l’environnement radio. Un acte très rarement effectué, si ce n’est que par quelques administrateurs curieux et autres passionnés de wardriving. Il est pourtant intéressant de noter que ce genre de menace est totalement indépendant de toute couche de chiffrement, et que l’attaque est possible quelque soit le mécanisme de sécurité mise en œuvre. Enfin, le filtrage des données à l’entrée de tous ces routeurs grand public est parfois assez sommaire, et l’on peut aisément imaginer que d’autres équipements présentent des symptômes identiques ou forts proches.

La presse américaine salue avec une joie non dissimulée la disparition d’Atrivo, hébergeur américain peu regardant et héritier –involontaire ou non- des clients du RBN ( voir articles précédents) . Plus ou moins à l’origine de cette disparition, Brian Krebs, du Post , qui fut l’un des premiers à dénoncer cette résurgence spammesque dans le paysage Internet États-Unien. Dan Goodin, le jeune correspondant Côte Ouest du Reg, commente également l’affaire, tandis que Nick Chapman, de SecureWorks, rédigeait une véritable saga prémonitoire sur le sujet au tout début de la semaine dernière.

Dans les faits, la disparition d’Atrivo est la conséquence directe de la coupure de réseau effectuée par son « fournisseur de tuyaux », PIE (Pacific Internet Exchange). Atrivo est donc mort de n’avoir pu respirer… l’on pourrait en faire une chanson. Une chanson sans morale, estiment beaucoup, car est-ce le rôle des acteurs d’Internet de faire leur propre justice ? Chapman, au fil de son billet, faisait référence à une contribution sur Nanog de Steve Bellovin et de Matthew Petach. En agissant ainsi, PIE crée un précédent, et fait endosser aux opérateurs d’infrastructure un rôle de censeur et de gardien de la morale Internet. En vertu de quel principe ? S’interroge Bellovin. Et selon quels critères ?

A l’aube des années 80, l’on se posait déjà cette même question. A une époque où l’utilisation commerciale d’Internet se traduisait rapidement par un bannissement des DNS, il était déjà question de savoir si des sites offrant (sous Gopher ou Telnet) des contenus révisionnistes ou racistes devaient être cloués au pilori. Vaste débat sur le sexe des anges. D’autant plus vain que, généralement, le site « coupable » aux deux sens du terme se situait, et se situe encore, sous une juridiction différente de celle du plaignant. Et quand bien même cette juridiction serait compétente –c’est précisément le cas de l’affaire Atrivo vis-à-vis de la justice Fédérale- qu’il ne serait pas évident d’espérer une conclusion rapide par un musellement du site mafieux. De jugements en pourvois, d’erreurs de procédures en exhumation de jurisprudence, les appareils judiciaires occidentaux sont, dans leur état actuel, assez mal adaptés pour lutter contre la cyberdélinquance et son agilité caractéristique.

Pour l’heure, exit Atrivo. Ce qui soulève deux questions : chez qui vont réapparaître les « clients historiques » de ce défunt hébergeur, et combien pèse le pouvoir de la presse comme celui de la justice dans le pays qui se fera finlandiser par EstDomains et ses frères siamois.