HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Techno-Watch >
Go to: HSC Trainings
Télécharger le catalogue des formations
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Bulletin juridique HSC
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|  
> Access to the content HTML Beginning of the report  
> Description Report of the CanSecWest conference, held 1-3 May 2002 at Vancouver, Canada. (http://www.cansecwest.com/)  
> Context & Dates Report made for our news monitoring service .
The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference.
4 May 2002 - Report writing
7 May 2002 - Sending to the news monitoring service subscribers
28 May 2003 - Publication on HSC's web site  
> Author Hervé Schauer (Herve.Schauer@hsc.fr) 
> Type  
> Abstract &
Table of content
1) Introduction
2) Sécurité réseau
3) Sécurité des réseaux sans-fil
4) Sécurité de la voix sur IP
5) Détection d'intrusion
6) Pots de miel
7) Firewalls
8) Tests de vulnérabilités
9) Sécurité Linux
10) Sécurité Microsoft
11) Développement et analyse logiciel
12) Stéganographie
13) Vers Internet
14) Aspects juridiques
15) CanSecWest
16) Conclusion  
> Related documents
> Copyright © 2002, Hervé Schauer Consultants, all rights reserved.

 


1) Introduction

CanSecWest est une conférence sur la sécurité qui réunie environ 200 spécialistes. Elle propose une session unique, avec des présentateurs souvent sollicités, avec en général 1 heure de présentation par orateur. À l'exception d'une présentation juridique et d'une présentation de statistiques, tous les sujets traités sont techniques voire très pointus, ils n'en demeurent pas moins instructifs.

Le compte-rendu est relativement long, allez aux points qui vous intéressent.


2) Sécurité réseau

David Dittrich a présenté les dénis de service répartis et comment les détecter de manière artisanale avec les logiciels tcpdump, tcpslice, tcpdstat et tcptrace.

Pour en savoir plus :

Jonathan Wilkins, Microsoft, a présenté son logiciel Taranis.
Taranis fonctionne sous Linux, FreeBSD ou OpenBSD et permet de tester les vulnérabilités des commutateurs, dans un VLAN donné. Il démontre la vulnérabilité en récupérant les mots de passe POP ou IMAP des utilisateurs à leur insu.
Taranis n'utilise pas la technique classique de corruption de la table ARP, il utilise l'empoisonnement de la table CAM : Content Addressable Memory, interne au commutateur, en utilisant une méthode similaire que celle d'un commutateur ou concentrateur branché sur le port du commutateur à attaquer, aurait utilisée. Si aucun des commutateurs testé n'a renvoyé le trafic sur plusieurs ports et aucun n'est repassé en mode concentrateur, il a été possible sur tous de rediriger le trafic vers un autre port que le port normalement prévu, dans tous les cas. Les commutateurs haut de gamme qui font du verrouillage de port rendent l'attaque plus difficile car il faut faire un déni de service pour provoquer un ré-amorçage du commutateur (ou que quelqu'un débranche et rebranche le câble réseau de la victime) pour que l'attaque fonctionne. Le problème de sécurité révélé est à l'intérieur d'un même VLAN, il ne démontre pas les éventuels problèmes d'étanchéité entre VLAN. Les commutateurs testés étaient 3Com, Cisco, HP et Linksys. Cette technique n'affecte que le commutateur, pas les machines connectées à celui-ci. Elle est invisible et n'est pas journalisée, et permet soit un déni de service, soit de la redirection de trafic permettant la capture d'un mot de passe par exemple.

Pour aller au delà de la présentation, je pense que cela montre que lorsque plusieurs serveurs sont dans le même VLAN, la compromission d'un serveur peut entraîner facilement celle des autres serveurs sur le même réseau, même avec un commutateur. Cela montre enfin, qu'un commutateur sur un réseau exposé pourra être victime de dénis de service dès qu'un serveur connecté à ce commutateur a été compromis. Il faut donc qu'un commutateur reliant des serveurs exposés ne doive pas servir à d'autres tâches.

Pour en savoir plus :

Sébastien Lacoste-Seris et Nicolas Fischbach, Colt Telecom, ont présenté les règles de sécurité à appliquer à son infrastructure IP, comme ils l'avaient fait à l'OSSIR et à Eurosec, en traitant de nombreux sujets, du contrôle d'intégrité des configurations des routeurs à IPv6.

Pour lutter contre les attaques au niveau 2 sur STP (Spanning Tree Protocol), ils recommandent de surveiller quel commutateur est le commutateur maître, filtrer sur les adresses MAC (associées statiquement aux adresses IP) et activer BPDU pour filtrer STP. Ils recommandent de désactiver globalement ou par port CDP (Cisco Discovery Protocol). Sur les VLAN il est possible d'ajouter ou de supprimer des VLAN ou de créer des boucles STP provoquant des dénis de services, en injectant des trames 802.1q par exemple.
Toujours au niveau 2 ils recommandent de ne pas utiliser les VLAN pour le cloisonnement entre des réseaux de niveaux de sécurité différents. Le VMPS (VLAN Management Policy Server) se basant simplement sur une adresse MAC il doit être désactivé. Ils recommandent enfin de mettre les commutateurs en mode VTP (Virtual Trunking Protocol) passif (transparent), et de désactiver DTP (Dynamic Trunking Protocol).

Ils recommandent Netflow comme technique de détection des dénis de service. Pour lutter contre ceux-ci, l'Unicast RPF (Reverse-Path Forwarding) permet de refuser le trafic qui n'a pas un chemin inverse équivalent. Il faut cependant prévoir des exceptions avec une ACL pour des services comme la gestion de réseau, les journaux et ping à partir du routeur lui-même. Les autres techniques sont la limite de débit sur les types de paquets ICMP, UDP, et TCP SYN, le TCP intercept, et le routage des réseaux indélicats vers un réseau inexistant. Cette dernière technique utilise le routage BGP et doit être configurée avec soin mais elle est moins coûteuse en performance que des ACLs.

Enfin sur MPLS, ils ont rappelé que le contrôle d'un routeur dans un nuage MPLS permettait le contrôle de tout le nuage, par exemple avec MPLS FRR (Fast ReRoute). Le modèle de sécurité de MPLS repose uniquement sur la "confiance" dans le nuage MPLS, comme pour Frame Relay ou ATM. En conséquence, il est important qu'un nuage MPLS s'arrête au dernier routeur de l'opérateur (Provider Edge), et surtout pas sur le routeur du client.

Pour en savoir plus :


3) Sécurité des réseaux sans-fil

Dave Pollino, @stake, a présenté les principales phases du protocole au niveau Ethernet dans 802.11b. Il a montré pourquoi les lacunes du protocole permettaient des attaques comme la coupure d'un client vis-à-vis d'une borne ou l'usurpation d'une session.

Mike Schiffman, @stake, a présenté Radiate, un toolkit pour construire des tests de réseau sans fil. Ce toolkit fonctionne sur Linux 2.4.7, au dessus du pilote permettant de construire une borne sur un serveur Linux, avec une carte Ethernet sans-fil munie du composant Prism 2. Il a indiqué que Radiate sera publié prochainement.

Pour en savoir plus :


4) Sécurité de la voix sur IP

Ofir Arkin, @Stake, a rapporté son expérience de son étude de la sécurité de la voix sur IP. Il s'est concentré sur le protocole le plus répandu et le plus utilisé SIP. L'ensemble des protocoles de voix sur IP et des services associés ont été définis sans aucune considération de sécurité. Il démontre avec une dizaine d'attaques de nature très diverses, comment dans le cas de SIP, il est possible de faire du déni de service, détourner les communications, les écouter, téléphoner gratuitement, journaliser les appels, créer des canaux cachés, etc. Il est même possible de se faire appeler en usurpant un poste de téléphone en Voix sur IP d'une victime tout en permettant à celui-ci de fonctionner normalement. Les systèmes de voix sur IP reposent sur le respect de la norme par les clients. Il suffit de développer son propre client de voix sur IP pour s'offrir une foule de possibilités d'attaques. Cette présentation a montré que la Voix sur IP avait été faite dans l'urgence, en privilégiant de multiples fonctionnalités : choix d'aiguillage des communication, discussion à plusieurs, etc, sans prendre en compte la sécurité. En conséquence la voix sur IP n'est pas prête pour une utilisation professionnelle en entreprise.

Pour en savoir plus


5) Détection d'intrusion

Marty Roesch, fondateur de Sourcefire et auteur de Snort, a présenté les évolutions récentes de Snort et son objectif en transformant un logiciel libre en une société commerciale.
Snort demeure un logiciel libre. La société Sourcefire propose autour de Snort, des extensions et adaptations spécifiques pour des entreprises, des services et du conseil, et surtout va développer des boîtiers Snort. Il y aura des boîtiers sondes, des boîtiers de gestion, et des boîtiers passerelles pour implémenter un filtrage IP qui utilise la base des règles de Snort.

Le logiciel Snort connaît des évolutions très importantes. À moyen terme, la version 2.0 sera un cadre général permettant la construction de différents types d'IDS et de boîtiers. À court terme dans 1.9 sont ajoutées beaucoup de nouvelles fonctionnalités : nouveaux mots clé, format de stockage pour les analyses après coup (Snort Universal Format) tout en gardant le contexte, avec un nouveau logiciel pour l'analyse : Banyard.

Les autres évolutions majeures sont des améliorations de performances. L'algorithme de recherche de chaîne va être changé, ainsi que son usage, divisant par 500 le coût CPU des tests sur certains flux HTTP. Les plug-in très lents comme ceux sur les bases de données et XML sont sortis de l'analyse temps réel.

J'ajoute que des boîtiers de type de ceux projetés par Sourcefire existent déjà, par exemple chez Silicon Defense.

Dug Song (Arbor Networks), a montré une fois de plus une limite des logiciels de détection d'intrusion, en présentant la première mise en oeuvre complète de méthodes d'évasion des NIDS, implémentées dans son logiciel fragroute.

Jeff Nathan et Brian Caswell-McKesson, de l'intégrateur gouvernemental américain MITRE ont montré que dans le cadre de très grands réseaux, la partie sonde de la détection d'intrusion pouvait fonctionner sur des débits de plusieurs gigabits de données avec différentes techniques de duplication et de répartition de charge. Par contre, la gestion des données, l'analyse et la corrélation ne marchent pas. Ils ont testé la majorité des logiciels de gestion, de corrélation et d'analyse du marché sans succès.

Alfred Huger et Oliver Friedrichs de SecurityFocus ont fait la promotion de leur logiciel ARIS. Un des composants d'ARIS est de construire un IDS planétaire en regroupant des données issues de tous les clients, afin de détecter avant les concurrents les attaques massives.

À mon avis, leur présentation n'était pas crédible. Elle amènerait même à se poser des questions sur la pérennité du nouveau modèle d'affaires de la société, qui auparavant se contentait de vendre des avis de sécurité, sans fabriquer de logiciels.

Pour en savoir plus :


6) Pots de miel

Lance Spitzner, Sun, a introduit les mots de miel. Il distingue comme Martin Roesch deux types : ceux en production, pour permettre de construire un dossier de preuve en cas d'intrusion sur un site de commerce électronique par exemple, et ceux de recherche, pour du contre-espionnage et la découverte d'exploitations de vulnérabilités inconnues.
La valeur apportée par un pot de miel est minime. D'un coté ils réduisent les faux-positifs par rapport aux logiciels de détection d'intrusion, de l'autre ils donnent une vue étriquée et sont reconnaissables par les attaquants. Le réseau honeynet a cependant permis de capturer une attaque inconnue, celle sur le démon dtspcd de Solaris.
Il existe plusieurs logiciels permettant de faire des pots de miel : NFR Backofficer friendly, Specter, honeyd et ManTrap.

Niels Provos (Université du Michigan) a présenté son logiciel "honeyd". C'est un logiciel libre qui permet d'émuler sur *BSD, Linux ou Solaris un ensemble de machines en réseau, de manière totalement virtuelle, afin de construire un pot de miel.

Pour en savoir plus :


7) Firewalls

Jed Haile, Nitro Data Systems a présenté le logiciel libre Hogwash.
Hogwash est un firewall, c'est-à-dire un équipement qui va laisser passer ou pas du trafic, mais basé sur les règles d'analyse d'un logiciel de détection d'intrusion, en l'occurrence Hogwash est basé sur Snort. C'est un firewall qui va analyser le contenu des données au niveau applicatif comme peuvent le faire les relais de sécurité.
Il recommande de placer la passerelle Hogwash entre le routeur d'accès Internet et le firewall. Il va ainsi arrêter du trafic que ne pourra pas arrêter le firewall classique.
Il rappelle que hogwash ne remplace pas un firewall, ni un IDS, ni le fait d'appliquer les correctifs de sécurité sur ses serveurs. Hogwash va casser le réseau s'il n'est pas configuré correctement, ne va arrêter que ce qu'il est configuré pour arrêter : les exploitations connues de failles de sécurité, les méthodes classiques d'attaques, et le trafic qu'il est configuré pour arrêter. Cela reste un système logiciel et sophistiqué qui pose des limites de performance et d'analyse du flux, mais qui est complémentaire à la panoplie existante de systèmes de sécurité.

La présentation appelle ces firewalls les GIDS : Gateway Intrusion Detection Systems. Ce terme est à mon avis une erreur, et augmente à la confusion entre la sécurité passive de la détection d'intrusion qui analyse ce qui passe, et celle active d'un firewall qui décide si le trafic doit passer ou pas. Dans le cas présent, même si Hogwash peut laisser passer le premier paquet de données d'une session car il ne permet pas encore de reconnaître une attaque, il ne laissera pas passer le second et les suivants dès que l'attaque a été reconnue. Il n'en demeure pas moins que ce type de filtre pose de pires difficultés de configuration qu'un système de détection d'intrusion car les faux-positifs vont couper des communications légitimes.

Pour en savoir plus :


8) Tests de vulnérabilités

Rain Forrest Puppy (pseudonyme) a listé des outils de test de serveurs web pour annoncer la sortie de son logiciel libre Whisker 2.0, basé sur la bibliothèque libwhisker également utilisée par Nikto et White Hat Arsenal. Whisker 2.0 est modulaire, permettant l'ajout de plug-ins. Il a insisté sur le besoin de systèmes de test de serveurs web allant au-delà des tests de CGIs, en supportant les systèmes XML-RPC, SOAP, et Microsoft .NET, de même que le Javascript dans les pages HTML du serveur.

Pour en savoir plus :


9) Sécurité Linux

Solar Designer (pseudonyme) et Rafal Wojtczuk ont présenté le projet Owl.
Owl est un système Linux sécurisé. Les programme SUID root comme la commande de changement de mot de passe ont été ré-écrites de manière à être architecturées pour ne plus avoir besoin de ce privilège. Les applications ont été ré-écrites afin d'intégrer la sécurité dès leur conception, certaines venant d'OpenBSD. Les démons écoutant sur le réseau utilisent les fonctions de mise en cage de façon quasi systématique. Bien sur le noyau implémente les privilèges, et tous les logiciels de sécurité sont disponibles en standard.

Je pense que ce type de distribution, peut servir à construire des serveurs à risque comme des serveurs sur Internet.

Crispin Cowan, WireX, a introduit les différents types de débordements de tampons pour présenter Immunix, un logiciel commercial de sécurisation de Linux, qui inclut notamment plusieurs protections contre les débordements de tampons avec StackGuard, les chaînes de format avec FormatGuard, les fichiers temporaires avec RaceGuard et la mise en cage avancée avec SubDomain. La version en logiciel libre de ce logiciel est toujours disponible.
Crispin Cowan a également présenté LSM (Linux Security Module), qui permet d'ajouter des modules de sécurité au noyau Linux, et le projet Sardonix, qui vise à regrouper l'état d'audit vis-à-vis de la sécurité de l'ensemble des logiciels libres.

Pour en savoir plus


10) Sécurité Microsoft

Matthew Conover, Entercept Security Technologies, a présenté .NET.
.NET est un cadre, inventé par Microsoft, défini indépendamment des plates-formes et des systèmes d'exploitation, qui permet le développement d'applications distribuées sur Internet, avec un langage intermédiaire, un espace de dénomination et un environnement d'exécution dans un bac à sable. .NET s'apparente à JAVA de Sun. Matthew Conover a montré comment désassembler une application .NET et a ouvert la voie aux problèmes de sécurité dans les mécanismes de .NET.

HD Moore de Digital Defense a présenté un certains nombre de problèmes de sécurité dans les applications web avec .NET. Il a par exemple relevé que des attaques classiques comme l'insertion SQL reste valide avec .NET. Dans la gestion des sessions, si la session n'est pas gérée dans un cookie mais dans l'URL, il est possible de rediriger l'utilisateur pour lui faire créer une nouvelle session et obtenir son identification. Il y a également un débordement de tampon dans le paramètre SessionID du cookie. Enfin il relève que dans 5 livres sur .NET, 4 ont des exemples avec des failles de sécurité, ainsi que le Microsoft IBuySpy Store Sample ou dans la documentation MSDN sur XML. Il ajoute également qu'il y a de nombreuses erreurs possibles dans l'analyse syntaxique de SOAP et XML.

Je rappelle que Microsoft .NET a été publié avant la décision de Microsoft de faire attention à la sécurité. Les nouvelles versions ont été reportées de 6 mois, afin d'y intégrer une qualité et une sécurité qui n'était pas dans les méthodes de travail de Microsoft. Bien que .NET ait déjà bénéficié de 350 jours d'audits externes qui montrent la volonté de Microsoft vis-à-vis de la sécurité, les présentations à CanSecWest montrent qu'il est préférable d'attendre les nouvelles revues internes, et éviter d'utiliser .NET en production dans l'immédiat.

Pour en savoir plus :


11) Développement et analyse logiciel

Ivan Arce et Gerado Richarte de Core Security, ont donné leur expérience de développement d'un logiciel d'intrusion : Core Impact. Ils ont conclu que pour un tel développement, il fallait utiliser un langage interprété, privilégier la construction d'une bibliothèque et avoir une procédure de mise en oeuvre générique des exploitations. Ce type de logiciel se caractérise par la difficulté des tests.

Halvar Flake de Blackhat Consulting a montré comment utiliser les graphes pour décompiler une application. Ce n'est pas une présentation directement liée à la sécurité mais la décompilation de binaires est indispensable en sécurité quand les sources ne sont pas disponibles, dans l'audit de code et les enquêtes par exemple.
Il utilise IDA de Datarescue pour générer les graphes, et démontre en direct, comment comprendre NTDLL.DLL et pour cela comment contourner les systèmes d'optimisation mémoire du compilateur Microsoft Visual C++. Il poursuit en démontrant toujours en direct comment retrouver une structure donnée malgré la difficulté apparente, en prenant comme exemple la reconstruction de 'objet d'IIS Internal HTTP_REQUEST, sur W3SVC.DLL. Le graphe généré est gigantesque mais des techniques permettent tout de même d'arriver au résultat voulu. Enfin il termine sur un exemple plus complexe en expliquant SMTPD32.EXE.

Silvio Cesare a expliqué comment construire et analyser des programmes binaires utilisant le format ELF, utilisé sur la majorité des systèmes Unix. D'un coté, beaucoup de binaires ne respectant pas le format vont fonctionner, ce qui facilite les attaques, de l'autre, un binaire respectant le format ELF va donner beaucoup d'informations qui facilitent son analyse.

HSC recommande que l'usage des logiciels d'intrusion dans l'entreprise ne soit faite qu'avec la collaboration de consultants en sécurité.

Pour en savoir plus :


12) Stéganographie

Mark Loveless (Bindview) a fait le point sur la réalité derrière ce que les médias ont rapporté après sur le 11 Septembre, sur l'utilisation de la stéganographie par Al Quaeda et des groupes terroristes de l'Internet. Les tests de Niels Provos (Université du Michigan) ont montré qu'il n'y avait pas d'utilisation de la stéganographie sur Internet. Les témoignages qu'il a réunis confirment que les agences gouvernementales contrôlent la grande majorité des systèmes de messagerie anonymes sur Internet, ainsi qu'elles peuvent décrypter des messages PGP dans certaines conditions. Le fait qu'elles puissent n'est pas secret, seule la méthode est secrète.

Niels Provos a ensuite rapporté le résultat de ses recherches avec son logiciel stegdetect. Celui-ci détecte l'utilisation des logiciels de stéganographie JPHide (Unix et Windows), Outguess et JSteg. Les premiers tests ont souvent donné des faux-positifs, en trouvant jusqu'à 1% des images trouvées sur Ebay avec de la stéganographie, mais à force d'améliorations, il apparaît qu'il n'y a aucun usage de la stéganographie sur Internet, ni dans les fichiers des serveurs web, ni dans les News.

Pour en savoir plus :


13) Vers Internet

Dug Song, Arbor Networks, a présenté une étude des vers de l'Internet. Pour cela, un groupe de chercheurs a utilisé une adresse classe A entière, représentant environ 1/250 ème de l'Internet tout entier, en analysant le trafic vers les ports 80 (HTTP).
Cette étude a montré que CodeRedII était mort, que Nimda était constant et que CodeRed était là pour durer, attaquant la première quinzaine de chaque mois. Les systèmes infectés sont désormais très majoritairement en Asie, les attaques venant en n°1 de Chine populaire, en n°2 de Corée du sud. Des attaques ré-écrites pour être plus performantes arrivent depuis Israel. La France figure en tête des pays occidentaux n'ayant pas corrigé ses serveurs IIS. Des pays plus grands en terme réseaux comme la Grande Bretagne, l'Allemagne ou le Japon ont mieux corrigé leurs serveurs.
En conclusion Dug Song pense que des attaques beaucoup plus dévastatrices provoqueront de larges dénis de service dans le futur.

Pour en savoir plus :


14) Aspects juridiques

Richard Salgado, du ministère américain de la justice (Computer Crime and Intellectual Property Section) a fait le point sur les situations dans lesquelles la législation US permet à des administrateurs de réseaux d'avoir des journaux, de regarder les en-têtes, ou d'écouter les communications.

Pour en savoir plus :


15) CanSecWest

La conférence CanSecWest fait appel à une population limitée d'experts qui se connaissent. Les orateurs n'étaient pas tous américains puisque des orateurs anglais, français, polonais, israélien et argentins démontraient son caractère international. Malheureusement cette conférence souffre de gros problèmes d'organisation et de respect d'un programme avec des horaires. C'est cependant une conférence unique où toutes les présentations sont réalisées par des personnes très compétentes, expertes dans leur domaine, bien que certains fassent inévitablement baisser l'intérêt en faisant la promotion de leur produit ou en reprenant un discours qu'ils ont déjà fait. Les présentations sont concrètes, d'un niveau très au-dessus de la moyenne et ont des implications immédiates dans la sécurité.


16) Conclusion

La difficulté d'usage des IDS est toujours à l'ordre du jour, ce qui n'empêche pas de nouvelles tendances dans la lignée avec le firewall filtrant sur de l'analyse de contenu et les pots de miels. Ces solutions ne sont pas encore prêtes à l'emploi et rien ne dit qu'elles le seront un jour.

L'éventail des possibilités de sécurité sous Linux devient de plus en plus large et Microsoft .NET dans sa version actuelle est à éviter.

    Hervé Schauer

Last modified on 7 November 2007 at 17:56:05 CET - webmaster@hsc.fr
Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants