avril, 2010

Snort 2.8.6 « finale » vient de sortir… De nombreuses améliorations, notamment dans le traitement de http inspect, de la décompression gzip sur de nombreux paquets ainsi qu’un pré-processeur de « données sensibles ». Dans la foulée, il faut noter quelques modifications et mises à jour des bibliothèques de règles, signalées par Joel Esler dans les colonnes du Sans. Un nouvel outil de mise à jour des règles, Pulledpork, est également disponible sur GoogleCode.

Encore un peu de lecture cochonne (et de code porcin) avec un papier passionnant sur le nouvel environnement de détection « anti client-side attack » qui fit l’objet d’une présentation au HITB de Dubaï et d’un article sur le blog de l’équipe Snort. Cette approche de l’analyse du contenu dépasse et de très loin les fonctions de base d’un outil d’inspection du trafic réseau, puisqu’elle apporte à Snort non pas une simple fonction de détection de malware, mais la capacité de disséquer un élément nocif camouflé par différentes couches de compression et techniques d’évitement. Le code de ce projet baptisé NRT (Near Real Time Detection), sa présentation en détail et un article d’introduction sont également téléchargeables sur le site de l’éditeur.

Combien de postes de travail sous XP SP3 ont-ils été touchés par la « mise à jour autiste » de Mc Afee ? c’est la question que se pose (sans y répondre franchement) Robert Graham d’Errata Security. Après tout, écrit-il, XP SP3 demeure tout de même une « valeur sûre » dans le tissus industriel mondial. Car nombreuses ont été les entreprises qui ont boudé Vista et qui n’ont pas « encore » migré vers Seven pour diverses raisons : administratives, économiques (il est pratiquement nécessaire de changer tout le socle matériel destiné à recevoir ce nouveau noyau), stratégique etc. Ce qui, pense Graham, doit peser légèrement plus que les « 1 % du parc Windows » pudiquement estimé par McAfee. Comme de surcroît McAfee possède une part non négligeable des contrats « grand comptes » tant aux USA qu’en Europe, le « bug virus update » a dû pétrifier un peu plus de machines que l’éditeur de sécurité veut bien l’avouer. Qui se chargera d’une véritable enquête statistique, indépendante et objective ?

De son côté Mc Afee est « committed to reimbursing reasonable expenses » à ceux qui en feraient la demande, histoire de traiter l’affaire à l’amiable et éviter ainsi une « class action » ravageuse. Las, à l’heure où nous rédigeons ces lignes, le lien « Locate a local toll free support number » accompagnant cette proposition de dédommagement non chiffrée aboutissait invariablement sur une page d’erreur… Probablement la faute d’un IIS tournant sous XP SP3.

Mais ce qui est le plus intéressant, dans cette malheureuse histoire, c’est la commisération discrète affichée par la quasi-totalité des acteurs du marché. Une affliction de circonstance qui masque mal une gêne internationale, car ce genre de catastrophe peut arriver à tout le monde. « Tous ces systèmes de mise à jour automatiques sont, nous le savons bien, de formidables botnets en puissance » disent tous les spécialistes du domaine. « Si le premier d’entre eux est bien Windows Update, il est talonné par d’innombrables concurrents : les mécanismes de mise à jour d’Itune d’Apple, de Java, des logiciels et add-in Adobe… il n’y a pas que les antivirus qui bénéficient d’un droit de passage absolu sur nos machines ».

Un triple risque devrait-on préciser. Car les outils de mises à jour peuvent véhiculer un « bug » d’éditeur (l’affaire McAfee vient de le prouver) ou même un vecteur d’attaque direct si les mécanismes d’authentification et de vérification sont contournés par des BlackHats (voir à ce sujet les années de travail de Thierry Zoller, tant sur les A.V. que sur les « spywares publicitaires »). Il existe même un troisième « facteur déclenchant » probable que personne ne souhaite évoquer à haute voix : l’exploitation de ces « botnets industriels » dans le cadre d’un cyber-conflit. Aimablement pressé par un DoD quelconque durant une crise politique internationale, un McAfee, un Symantec, un Microsoft auraient parfaitement les moyens sinon d’immobiliser, du moins de semer une sérieuse pagaille sur les ordinateurs d’une « puissance ennemie ». Cette hypothèse remet sur le tapis les dangers de la « monoculture » que dénonce Dan Geer depuis plus de 10 ans.

Tout compte fait, l’on devrait verser un pourboire substantiel à l’équipe « mise à jour » de McAfee, pour avoir su orchestrer cette formidable campagne de sensibilisation.

NdlA Note de l »Auteur : sous les dehors d’une action empreinte de bonhommie et de gentillesse (paterne), McAfee nous dévoile les risques sérieux (austères) que représentent les mécanismes de mise à jour.

Jennifer Van Groove de Mashable vient de mettre le doigt sur ce qui est probablement le GoogleHacking le plus fructueux et la gaffe Web 2.0 la plus incroyable de l’histoire du Web. En lançant une requête Google simple, les membres du réseau social Blippy voient leurs numéros de carte de crédit exposés aux yeux de tous.

Qu’est-ce que Blippy ? Probablement l’application Web 2.0 la plus vaine et la plus sotte qu’il ait jamais été donné de voir depuis les débuts d’Internet. Son but unique est de permettre à ses participants de signaler, un peu à la mode Twitter, la moindre dépense qu’ils ont pu effectuer à l’aide de leurs cartes de crédit. Un mécanisme qui a failli être exploité par Facebook avec son service Beacon, lequel proposait d’automatiser ces « signalements d’achats en ligne » en service « opt out ». Contrairement au projet initial Facebook Beacon, Blippy est un service « opt in » : les personnes qui y sont réunies ont volontairement enregistré leur profil dans le but spécifique d’étaler sur la place publique le quotidien de leurs menues dépenses.

Par quelle monumentale erreur quelques numéros de cartes ont-il pu se retrouver dans les données accessibles par Google ? A l’heure où nous rédigeons ces lignes, la direction du réseau social ne s’est toujours pas prononcée. Les éditorialistes de Mashup conseillent vivement à leurs lecteurs de napalmiser leurs comptes Blippy… et Google s’est montré incapable de purger ses caches.

Début janvier, Blippy avait fait les gros titres des journaux après avoir convaincu quelques « venture capitalists » d’investir 1,6 million de dollars pour lancer l’entreprise. Le Pédégé de la jeune pousse avait même été convié devant les caméras du Colbert Report. Il semblerait qu’aucune leçon n’ait été tirée du passé. Les spéculateurs misent des fortunes à la simple évocation de mots sans en connaître la signification. Il y a 10 ans à peine, c’était le mot Internet. Il y a 6 ans, le nom Linux, aujourd’hui, ce sont les vocables Web 2.0 et Réseau Social.

« Borderless Network » résume la stratégie Cisco actuelle. Autour de ce thème, la firme décline nombre de ses avancées technologiques, que ce soit de simples mises à jour ou l’arrivée de nouveaux produits, le lancement d’une gamme : tout est Borderless Network. La vision ? Un réseau sans frontière sur lequel il faut garantir en permanence qualité de services et sécurité. « La grande tendance actuelle est comment je couvre mon infrastructure avec un accès à mon entreprise à n’importe quel moment, depuis n’importe où » commente Christophe Perrin, Sales business Development Manager chez Cisco. Ainsi comment contrôler ses flux et ses données lorsque la mobilité est au cœur de l’entreprise avec le nomadisme des employés et l’explosion des terminaux d’accès, avec le passage de l’infrastructure en mode Cloud du fait de l’avènement des applications en mode SaaS ? Côté sécurité, la réponse de Cisco est l’annonce de nouveaux éléments pour adapter le réseau aux nouvelles exigences sécuritaires.

Ainsi Cisco AnyConnect Mobile Security est constitué d’une part du vpn client Cisco en version 2.5. Un nouveau mode de fonctionnement qui tient compte de la mobilité des employés et qui permet de s’assurer que quelle que soit la transaction engagée, celle-ci est protégée par un tunnel sécurisé. Jusqu’à présent pour lancer son Vpn, il fallait en faire la démarche et l’utilisateur qui, pour une raison ou une autre, ne lance pas son tunnel sécurisé n’est plus protégé que par les éléments de sécurité installés sur son poste. Le nouveau client Vpn enlève ce choix à l’utilisateur : transparent, dès qu’il détecte qu’il n’est plus sur le réseau de l’entreprise, il se connecte sur le serveur le mieux situé. Il est à noter qu’il s’installe sur n’importe quel support, sous n’importe quel OS.
Puis en combinant le vpn avec les fonctions d’Ironport récemment racheté par l’entreprise, l’on obtient une protection pour les nomades travaillant en mode SaaS. D’un côté la technologie Cisco ASA qui associe parefeu, IPS et concentrateur Vpn, de l’autre, la technologie WSA d’Ironport pour protéger les accès aux applications en mode SaaS. Dès que l’utilisateur sort de l’entreprise Anyconnect prévient ASA qui lui-même transmet à WSA qui lance la politique d’usage dans ce contexte. Par conséquent en fonction de l’identité et de la localisation géographique, une politique s’applique avec filtrage d’urls à l’appui. Pour optimiser les fonctions de filtrage, il est également possible de souscrire à un service Scansafe, qui connecte dans le Cloud au serveur le plus proche, le terminal du nomade. A terme, AnyConnect sera adapté afin de permettre de rediriger les flux nomades vers le serveur Scansafe le plus proche.

Enfin TrustSec qui regroupe toutes les architectures de politiques d’accès a également évolué à différents niveaux. L’identification de l’utilisateur ou de l’équipement réseau se fait au travers de 802.1x, entre autres, qui peut désormais être appliqué par port. Le« policy server » qui évalue l’identité au travers d’un Cisco Secure ACS est, quant à lui, complètement réécrit. Pour les invités, un portail est à disposition (ouverture et tracing). S’ajoute dorénavant à la sempiternelle Access List des constructeurs et au Vlan, une nouvelle façon de procéder avec un tag. C’est en quelques sortes un label qui est renvoyé au commutateur et qui est transporté avec tous les paquets. L’intérêt ? Au lieu d’écrire une règle en fonction de l’adresse IP, on l’écrit en fonction du label et donc en fonction d’un groupe d’appartenance. Enfin selon le profil, l’on pourra obtenir le chiffrement des flux entre un utilisateur et un commutateur. Attention, toutes ces dernières fonctions avancées ne sont pas intégrées dans tous les équipements …

Juin2010 : Microsoft envisage de publier une amélioration de son filtre anti cross site scripting intégré à I.E. 8. Un filtre exploitable dans le cadre d’un XSS

Andrzej Dereszowski de Signal11 vient de publier un article sur les vulnérabilités… d’un Troyen voleur de données, le célèbre Poison Ivy.

En téléchargement depuis le site de l’éditeur, Sophos Computer Security Scan est un outil qui permet d’établir l’état de vulnérabilité exact de la machine testée … grâce à un inventaire complet de l’ordinateur, contenu applicatif compris. C’est d’ailleurs l’un des avantages de l’outil que Michel Lanaspèze, Directeur Marketing chez Sophos France a choisi de mettre en avant « Tel un outil d’inventaire, il répertorie l’ensemble des applications installées sur le poste et même si l’utilisateur a modifié le nom de l’application ce sera le nom original qui sera remonté. Ainsi toutes les applications web 2.0 « grand public » du type P2P, VoIP, IM seront détectées. Naturellement le rôle premier de ce scan sera de vérifier la présence de tout malware sur le endpoint, rootkit y compris. Autre point positif, c’est depuis un poste central que l’administrateur peut vérifier tous les scans qu’il aura lancé ». Secunia & consorts, attention voilà de la concurrence …

Alors pourquoi cet outil plutôt qu’un autre ? Car l’on se doute que chaque éditeur de solution de protection du poste client possède son propre outil gratuit afin que le client potentiel puisse mesurer l’étendue de ses problèmes comme celle de ses besoins … « Un agent non intrusif qui s’installe et se désinstalle complètement automatiquement » répond Michel Lanaspèze. « Le grand problème de ces produits est que généralement est déjà installé sur le poste toute une panoplie de défense anti-malware de toutes sortes et que rarement les produits concurrents du marché sont compatibles, chaque scan essayant de prendre la main dès le lancement de la machine. Sophos a pallié le problème en analysant les principaux produits du marché et en enlevant de son propre scan toute fonction qui pourrait être incompatible. Le second point qui retient les administrateurs d’utiliser de tels produits gratuits est l’accumulation de code sur ses postes clients qui nécessitent du travail pour les nettoyer après coup afin de laisser la machine le plus « propre » possible. Là encore, nous avons imaginer un agent qui se désinstalle automatiquement et complètement dès la fin de son scan. Et ce même si le poste a « planté » pendant la phase de désinstallation car la procédure sera reprise automatiquement dès le redémarrage de la machine. » Alors rassuré ? Rappelons tout de même que ce genre de produit remet les idées en place à un administrateur quant au niveau de protection de son parc de machines et que l’éditeur fournisseur de scan, loin d’être altruiste pousse sa propre solution de protection payante en avant lors de la phase suivante. Là chez Sophos, la suite en question s’appelle Endpoint Security & Data Protection. Un nom sans fin qui rappelle à certains que Sophos a récemment intégré les solutions du spécialiste sécurité Utimaco au sein de ses propres gammes. Ainsi des fonctions anti-malwares complètes (déclinaison de tous les anti-xx possibles), contrôle des applications web 2.0, et pour chaque application détectée, toutes les versions possibles, parefeu, contrôle des accès (NAC) côté client, DLP (toutes sortes de formats de données typiques pré-chargés disponibles) avec un contrôle fin des périphériques (vérification des numéros de série des clés usb autorisées …) et enfin chiffrement intégral possible du disque.

Un parcours classique pour Eric Leblond, aujourd’hui CTO d’EdenWall Technologies, avec une formation mathématique et une lente bifurcation au fur et à mesure de ses études vers l’informatique. Puis le premier job arrive avec un poste chez un opérateur qui lui demande des compétences à la fois en réseau et en sécurité. Il est également bercé par une culture opensource dès ses débuts en évoluant au sein d’une SS2L (Société de Services dans le Logiciel Libre) où il y rencontre notamment son futur associé, Vincent Deffontaines. Leur idée de génie : avoir pensé à associer leur savoir en système-réseau à celui de la sécurité en imaginant un parefeu, en l’occurrence Netfilter (filtrage réseau sous Linux), doublé d’une couche « identité ». Sachant que le noyau du pare-feu ne « voit » que des paquets IP, ces derniers sont signés par l’utilisateur grâce à une communication de signalisation via un agent et comme le pare-feu est directement connecté à une base de données le renseignant, les décisions peuvent être directement prises à son niveau. C’est le 1er septembre 2003 qu’à lieu la première publication de la brique d’identification sous la forme d’un moteur sans interface qui donna lieu à la création d’INL. INL dont la vocation était alors de fournir une offre commerciale autour du moteur opensource. Puis c’est en 2006 que l’ensemble des briques de l’offre INL est proposé sous la forme de boîtiers hardware prêts à l’usage, aujourd’hui EdenWall propose une gamme complète d’appliances sécurité basée sur la technologie NuFW. Une version opensource du parefeu identifiant continue sa propre existence aux côtés de la version professionnelle qui propose en sus des fonctions de haute disponibilité, celles classiques d’une couche UTM … Depuis mars dernier, l’interface du moteur devient à son tour opensource facilitant l’installation de ce dernier pour ceux qui le télécharge. Une façon de « pousser » à l’adoption du produit partout dans le monde.

En même temps, INL devenu l’an passé EdenWall Technologies, lance Prelude Pro 1.0, un produit du monde SIEM, Security Information Event Management, racheté par la société pour la gestion des évènements sécurité (agrégation et corrélation pour aboutir de l’information pertinente). Avant cette offre ancienne de dix ans était très peu abordable du fait de sa complexité, aujourd’hui, nul besoin de compétences particulières pour lire les graphiques et pouvoir localiser l’origine d’une attaque …

Pour le Gartner, une nouvelle génération de parefeux est en train de naître dotées non seulement de fonctions IDS-IPS mais aussi celles d’un SIEM, ce qui devrait permettre d’avoir un système d’alertes ou d’actions qui réponde à des problématiques bien spécifiques de luttes défensives selon Eric Leblond. Ainsi une nouvelle histoire à la « Kerviel » pourrait peut-être être évitée à l’avenir …

A noter le coup de pouce financier de RAPID (Régime d’Appui aux PME pour l’Innovation Duale) avec derrière la DGA (Direction Générale de l’Armement) et la DGCIS (Direction Générale de la Compétitivité , de l’industrie et des services) pour EdenWall et son partenaire, Dalibo, spécialiste de la base de données opensource PostgreSQL. Une subvention pour modifier le parefeu de façon à supporter non plus une dizaine de milliers d’utilisateurs mais un million et également faire évoluer le protocole utilisé afin de l’alléger avec comme objectif à terme les systèmes embarqués.

« Forefront Protection Manager (FPM) will not be released to market » nous apprend un billet du blog de l’équipe Forefront. Un décalage du calendrier provoqué par un recentrement des efforts sur les outils serveurs et logiciels d’administration. La partie « poste client », plus connue sous le nom de code Stirling, voit donc sa sortie annulée, après avoir, par le passé, été repoussée sine die. Cet abandon ne signifie pas pour autant la mort du projet, qui devrait être intégré dans System Center Configuration Manager.

Simultanément à cette annonce, et dans le cadre de la série d’annonces consacrées à System Center, Microsoft annonce les premières préversions d’Intune, un service « cloud » de protection/administration/gestion du poste de travail. Cette super-console d’administration assure la protection des postes contre les malwares, la gestion des mises à jour (comme le ferait SUS), l’administration des PC, politiques de sécurité y comprises, l’assistance à distance et l’inventaire matériel et logiciel du parc administré. Intune est le tout dernier des services Microsoft Online, après les plateformes Azure/SQL Azure, les applications métier Dynamic CRM Online, les outils de téléconférence Office Communication Online, les architectures de travail collaboratif Sharepoint Online et la messagerie unifiée Exchange Server Online.

Il n’est plus nécessaire d’imaginer une attaque en DNS spoofing pour détourner de sa fonction première le mécanisme de mise à jour des signatures d’un antivirus : certains éditeurs s’en chargent eux-mêmes. Ainsi McAfee, qui, en « poussant » sa mise à jour DAT 5958, a intégré à sa liste de virus à bloquer impérativement… l’un des fichiers stratégiques de certaines versions du noyau de Windows XP (SP3). Et pas n’importe quel fichier, puisqu’il s’agit, nous apprend le Sans, de Svchost.exe, déclaré positif par l’antivirus de McAfee sous l’appellation de W32/Wecorl.a. Les clients victimes de cette mésaventure sont, depuis 24 H, plongés dans l’enfer d’un reboot systématique. L’éditeur travaille d’arrache-pied pour trouver une solution automatique… mais l’on se demande bien par quel miracle les particuliers frappés par cette crise de cyber-autisme pourraient en réchapper.

Certes, il existe bien une mesure de contournement manuelle conseillée par le response team de NAI. Encore faut-il que la victime possède deux ordinateurs, dont l’un sous un système d’exploitation différent ou non protégé par ce même antivirus. Ceci afin de pouvoir télécharger la « bonne » version de la base de signatures et de récupérer au passage la procédure soit de la « Recommended Manual Recovery Procedure using the Extra DAT where DAT 5958 is currently installed », soit celle de « l’ Alternate Manual Recovery Procedure using DAT 5959 where DAT 5958 is currently installed ». Lesquelles exigent un démarrage en « safe mode » et un art consommé de la commande cd (que ne connaissent généralement plus les usagers grand public des environnements graphiques). Voilà qui nous promet quelques réinstallations massives dans les jours à venir.