septembre, 2008

Deux annonces, chez Symantec. Avec notamment la sortie de la dernière édition de BackupExec, le logiciel de sauvegarde « historique » de la sphère Windows NT Server (ses gènes remontent au tout premier Conner Backup intégré dans NT 3.1). Age et expérience qu´affiche clairement le numéro de version de ce logiciel : 12.5. Au menu la sauvegarde des machines virtuelles VMWare, Citrix et Microsoft (automatisation et gestion des VCB, outil de restauration dédié capable de restituer une sauvegarde vers des architectures virtuelles).

Sans oublier une restauration modulaire de fichiers contenus dans un backup et une prise en compte des applications « nouvelle génération » de la série 2008 -des versions SBS (Small Business Serveur) aux éditions de grande envergure. Et tout ceci applications y comprises telles que SQL Server ou Essential Business 2008 etc. De 760 Euros en version Media Server, évoluant en fonction des accessoires, vendus entre 300 et 2500 Euros. Le programme de restauration spécialisé, Backup Exec System Recovery 8.5, est vendu à partir de 840 Euros par serveur et 53 Euros par poste de travail.

Simultanément, l´éditeur américain envisage de lancer un nouveau service d´accès distant centralisé et protégé, et commercialisé sous forme d´abonnement. Ce Online Remote Access , actuellement en préversion, est une évolution de pcAnywhere. C´est le troisième service managé de Symantec, après une offre de protection périmétrique relativement classique (Symantec Protection Network) et un « Online Backup and Online Storage for Backup Exec », une toute aussi classique externalisation des sauvegardes et du stockage.

Pour des raisons inconnues, les comptes « beta test » de ce futur service sont réservés aux personnes résidant aux Etats Unis et au Canada. Il faut préciser que l´intérêt des grandes entreprises Françaises pour les offres des prestataires de services managés étrangers est fortement tempéré par la crainte de voir leurs propriétés intellectuelles sortir, même provisoirement, des frontières du pays.

Comment économiser sur les factures de salles climatisées ? La réponse est apportée par l´expérience conduite par deux ingénieurs Microsoft , Christian Belady et Sean James, qui ont installé, depuis novembre dernier, 5 HP DL585 (près de 12 000 euros pièce) sous une simple bâche de plastique et hors murs.

Les détails de l´aventure sur le blog « Power of Software ». Après une inondation, une ingestion de feuilles mortes, un coup de bélier provoqué par un vent violent, les deux infocampeurs ont conclu : « çà marche ». Et très bien même, puisque l´uptime de cette salle de serveurs en plein air a plafonné à 100 %.

Rafael Dominguez Vega nous parle de deux injections d’un genre nouveau, ou plus exactement peu courant. En tous cas différent de ce qui a été envisagé jusqu’à présent par l’équipe de Gnu Citizen il y a quelques temps. Il s’agit de tirer profit de certaines erreurs de gestion dans les mécanismes DHCP et de découverte réseau via le SSID. L’injection DHCP fait d’ailleurs l’objet d’une publication d’exploit sur Milworm. L’attaque repose sur une réponse forgée qui, une fois le script injecté exécuté, sera capable d’initialiser les paramètres de la console d’administration de certains routeurs ADSL Sagem. Selon l’auteur, plus de 45 % des appareils visés seraient susceptibles de succomber lorsque soumis à un tel traitement.

Mais le plus intéressant reste à venir. L’étape suivante de l’aventure commence avec la lecture d’un white paper -toujours signé Rafael Dominguez Vega- publié par MWR Infosecurity. Document qui reprend et explique le principe de l’attaque par injection DHCP. Il entraîne ensuite le lecteur sur les bords d’une faille qui affectait à une certaine époque les routeurs LAN/WLAN utilisant le noyau open source DD-WRT. Ce firmware, comme pratiquement tous ses semblables, possède une fonction de « découverte de réseau wifi ». Découverte reposant sur des requêtes exploratoires dont la réponse peut être empoisonnée à l’aide d’une émission de trames « beacon » forgées. Cette injection affecte la table de voisinage réseau de la console d’administration html, et provoque un overflow exploitable. Première victime potentielle, le WRT54GL, et certaines anciennes versions de WRT54G et GS de Linksys (l’un des modèles les plus vendus, compte tenu précisément de son ouverture à des firmware open source). Précisons que la faille a fait l’objet d’un correctif, et que son exploitation exige de l’administrateur une activation de la page Web d’administration dédiée à l’exploration de l’environnement radio. Un acte très rarement effectué, si ce n’est que par quelques administrateurs curieux et autres passionnés de wardriving. Il est pourtant intéressant de noter que ce genre de menace est totalement indépendant de toute couche de chiffrement, et que l’attaque est possible quelque soit le mécanisme de sécurité mise en œuvre. Enfin, le filtrage des données à l’entrée de tous ces routeurs grand public est parfois assez sommaire, et l’on peut aisément imaginer que d’autres équipements présentent des symptômes identiques ou forts proches.

La presse américaine salue avec une joie non dissimulée la disparition d’Atrivo, hébergeur américain peu regardant et héritier –involontaire ou non- des clients du RBN ( voir articles précédents) . Plus ou moins à l’origine de cette disparition, Brian Krebs, du Post , qui fut l’un des premiers à dénoncer cette résurgence spammesque dans le paysage Internet États-Unien. Dan Goodin, le jeune correspondant Côte Ouest du Reg, commente également l’affaire, tandis que Nick Chapman, de SecureWorks, rédigeait une véritable saga prémonitoire sur le sujet au tout début de la semaine dernière.

Dans les faits, la disparition d’Atrivo est la conséquence directe de la coupure de réseau effectuée par son « fournisseur de tuyaux », PIE (Pacific Internet Exchange). Atrivo est donc mort de n’avoir pu respirer… l’on pourrait en faire une chanson. Une chanson sans morale, estiment beaucoup, car est-ce le rôle des acteurs d’Internet de faire leur propre justice ? Chapman, au fil de son billet, faisait référence à une contribution sur Nanog de Steve Bellovin et de Matthew Petach. En agissant ainsi, PIE crée un précédent, et fait endosser aux opérateurs d’infrastructure un rôle de censeur et de gardien de la morale Internet. En vertu de quel principe ? S’interroge Bellovin. Et selon quels critères ?

A l’aube des années 80, l’on se posait déjà cette même question. A une époque où l’utilisation commerciale d’Internet se traduisait rapidement par un bannissement des DNS, il était déjà question de savoir si des sites offrant (sous Gopher ou Telnet) des contenus révisionnistes ou racistes devaient être cloués au pilori. Vaste débat sur le sexe des anges. D’autant plus vain que, généralement, le site « coupable » aux deux sens du terme se situait, et se situe encore, sous une juridiction différente de celle du plaignant. Et quand bien même cette juridiction serait compétente –c’est précisément le cas de l’affaire Atrivo vis-à-vis de la justice Fédérale- qu’il ne serait pas évident d’espérer une conclusion rapide par un musellement du site mafieux. De jugements en pourvois, d’erreurs de procédures en exhumation de jurisprudence, les appareils judiciaires occidentaux sont, dans leur état actuel, assez mal adaptés pour lutter contre la cyberdélinquance et son agilité caractéristique.

Pour l’heure, exit Atrivo. Ce qui soulève deux questions : chez qui vont réapparaître les « clients historiques » de ce défunt hébergeur, et combien pèse le pouvoir de la presse comme celui de la justice dans le pays qui se fera finlandiser par EstDomains et ses frères siamois.

Les vieux journalistes ont tous en mémoire une secrétaire de rédaction capable, d’un coup d’aérographe, de masquer une ombre, rattraper un cliché sans contraste ou effacer une bouteille d’alcool pouvant compromettre la réputation d’un interviewé. Science et art tout à la fois, la pratique de l’aérographe a longtemps également été le passe-temps favori des dictateurs et autres manipulateurs d’opinion. Les régimes Staliniens et Hitlériens, la période Maccartiste ont fait couler plus de peinture bistre sur les clichés officiels que des siècles de censure orchestrés par l’inquisition… autocensure parfois révélée par des palimpsestes qui font la joie des experts.

Aujourd’hui, l’expert ne gratte plus les vernis ni ne passe les images aux rayons X. Il analyse la luminance des clichés numériques, cherche des motifs répétitifs, fouille dans les échelles colorimétriques et s’acharne sur la détection de « détourage ». Car l’ère de la photographie numérique sonne l’avènement du règne des faussaires Photoshopesques. Neal Krawetz, de SecDev, a souvent écrit sur cette forme de hacking très discret qu’est la désinformation par modification des images numériques. Un Barack Obama « plus noir que vous ne pensez »* ou des missiles Iraniens qui se multiplient comme des petits pains aux noces de Téhéran. Ce dernier exemple, d’ailleurs, sert de catalyseur à Errol Morris, à qui le New York Times ouvre ses colonnes. Et Morris d’interviewer Hany Farid, un autre spécialiste de l’image politique photoshopée. Farid parle des techniques de détection, des contre-mesures utilisées par les faussaires, des manipulations psychologiques qui accompagnent nécessairement ce genre de trucage (ainsi les affirmations de Colin Powell à propos des photographies satellite montrant les prétendus stocks d’armes de destruction massive en Irak). Avec la numérisation de l’image, avec la disparition –fichiers RAW exceptés- de tout support crédible pouvant constituer une preuve recevable, avec l’amélioration constante des outils et techniques de modification, le hack d’une photographie peut avoir des conséquences biens plus graves qu’une « faille du siècle » affectant les DNS ou un « bug majeur » touchant un navigateur Web très répandu.

*Note de la Correctrice : Plus noir que vous ne pensez, Darker than you think, est un vieux roman de littérature fantastique écrit par Jack Williamson dans les années 40. Neil Krawetz ne s’abreuve pas seulement d’ouvrages sur les recettes traitant de l’art d’accommoder les injections SQL

Facétieux, Mikko Hyppönen ces jours-ci. Après avoir reçu un pourriel –au format pdf- signé d’un certain info@bulk-mail.org, le patron du labo de recherche F-Secure s’est fendu d’un billet humoristique incitant ses lecteurs à assouvir une saine vengeance en publiant en clair l’alias smtp de ce vampire du courriel. Les robots d’« adress harvesting » feront le reste, sans qu’il soit nécessaire d’expédier le moindre message de riposte. Aussitôt dit, le billet fut rapidement repris par la blogosphère. Une fois n’est pas coutume, ce week-end fut l’apothéose de la vindicte populaire, de la vengeance privée et de la justice personnelle par robot interposé, et sans que personne n’y trouve rien à redire. Un polluposteur polluposté par ses propres outils de pollupostage, voilà de quoi ensoleiller toute la semaine à venir.

François Paget nous parle -en anglais hélas- des ordinateurs portables qui disparaissent. 750 000 vols par an selon les uns, deux millions de machines disparues au fil des dernières années selon les autres, au moins 50 % des entreprises touchées chaque année -aux USA, mais peut-on croire que les statistiques soient différentes en Europe ?-.

« Tout compte fait, on a peut-être des raisons d’être inquiet », dit en substance le communiqué de Citect, cet éditeur spécialisé dans les logiciels ce contrôle de processus du secteur de l’énergie. Au début du mois, un exploit publié sur Milworm sous la plume de Kevin Finisterre, plaçait sous les feux de la rampe une vulnérabilité affectant le logiciel CitectScada. Publication motivée essentiellement par les efforts dudit éditeur à minimiser la dangerosité du défaut. Mais, en quelques heures, et grâce à la littérature de Finisterre, Citect est passé de l’obscur anonymat propre à une entreprise très spécialisée au soleil brûlant des projecteurs des médias. Et pas franchement dans un rôle de premier de la classe. Il aura tout de même fallu plus d’une dizaine de jours pour que la « cellule de crise » réagisse et reconnaisse publiquement que l’application d’un correctif était hautement souhaitable… « même si, jusqu’à présent, aucun client n’avait eu à déplorer la moindre malversation ».

Cette affaire remet sur le tapis l’éternel débat relatif à la divulgation des détails des failles. Face à l’inertie des éditeurs et équipementiers, les chercheurs en sécurité n’ont qu’un seul moyen de « persuasion » : l’impact d’une publication sur l’image de marque de l’entreprise. Ce que refusent généralement de reconnaître les adversaires de la divulgation responsable, c’est que c’est généralement là un acte de « dernier recours », après parfois des semaines, des mois d’échanges d’informations entre l’inventeur de la faille et le principal intéressé.

Les spécialistes sécurité ont presque tous une même passion … pis encore, un vice : le crochetage des serrures, verrous, cadenas et autres loquets secrets. Les uns jouent de la lame vibrante, les autres font du crochet, d’autres encore préfèrent employer des films radiologiques, des calibres 11,43 ou des découpes de canettes de soda. Bientôt, tout ce folklore disparaîtra, nous prédit Bruce Schneier, qui nous fait découvrir deux annonces révolutionnaires dans le petit monde de la serrurerie : la serrure à ouverture GSM et le verrou à contrôle distant WiFi. Dans un cas comme dans l’autre, les constantes ergonomiques impliquent que ce genre de serrure s’ouvre avec un sésame ne dépassant guère 5 ou 6 numéros (le modèle « internetisé » serait même commandé à l’aide d’un « 4-digit access code » nous explique le journaliste qui rapporte cette information. En d’autres termes, pour 300 dollars et un impôt mensuel de 13 $, l’on peut s’offrir le luxe d’une serrure aussi peu fiable qu’une liaison Bluetooth et vulnérable aux attaques « man in the middle ». En cas de perte du code ou d’échec du cambrioleur (qui aurait mal compris son petit brute force illustré), il est toujours possible, nous apprend-on, de crocheter la serrure avec des moyens conventionnels.

Plus fort que le piratage Scada, Adrian Pastor, de Gnu Citizen, nous promet de prochainement publier un article sur une « nouvelle technique universelle servant à détourner un site web ». Et ce ne sera pas, nous promet-il, une énième interprétation d’un XSS. Cette fois, le coupable, celui qui met en péril potentiellement tous les serveurs Web, c’est un firewall vendu sous forme d’appliance. L’on se souvient encore de la campagne de fuzzing que Pastor et son compère PdP avaient entamé contre l’ensemble des routeurs ADSL commercialisés en Grande Bretagne –ceux d’Orange, notamment-. L’exploitation des failles affectant les firmwares est donc une « spécialité maison ».

Mais il est trop tôt pour en parler, précise l’auteur. L’équipementier est prévenu, la diffusion de l’information se déroulera selon les règles établies par le ZDI (agrémenté de quelques articles dans GNU Citizen). Tout ce que l’on peut dire à ce jour, c’est que l’affaire touche « a well-known firewall vendor » et qu’elle peut déboucher sur un exploit « cross domain » qui, affirme l’auteur, peut affecter absolument tous les serveurs Web du monde entier, à partir du moment où celui-ci est protégé –si l’on peut dire- par le firewall en question.

Si la faille affecte un appareil haut de gamme, le risque d’exploitation a de fortes chances d’être très faible –en admettant qu’aucune fuite ou supputation géniale ne vienne chambouler le calendrier de divulgation-. En revanche, si le problème se rencontre sur des boîtiers d’entrée de gamme, le risque devient majeur. La clientèle des outils de protection périmétrique peu chers est moins encline à appliquer les correctifs, de crainte généralement de se retrouver avec une « brique », conséquence d’une erreur de flashage. Le trou Pastor ? Il risque de faire parler de lui encore longtemps.