[helpc] Etat de l'art du hacking "up-to-date", selon le Cert CC
- From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
- To: <helpc@xxxxxxxxxxxxx>
- Date: Mon, 15 Apr 2002 06:22:25 +0200
Jeudi 11 avril 2002
Etat de l'art du hacking "up-to-date", selon le Cert CC
L'année 2002 promet d'être mouvementée sur le terrain des atteintes à la
sécurité des systèmes d'informations. Dans un rapport daté du 8 avril,
la Computer Emergency <http://www.cert.org> Response Team, dépendant de
l'institut d'ingénierie logicielle de l'université de Carnegie Mellon
aux Etats-Unis, fait le point sur les orientations prises par les
hackers dans leurs tentatives d'atteintes à la sécurité des systèmes
d'informations. Pour élaborer sa synthèse, le centre de coordination du
Cert s'appuie sur son expérience acquise depuis 1988. Nous ne
reviendrons pas sur les aspects historiques et vous incitons à
télécharger <http://www.cert.org/archive/pdf/attack_trends.pdf> le
document au format PDF. Celui-ci contient, en annexe, les liens
nécessaires pour approfondir les thèmes des six tendances déclinées, et
adopter les moyens de protection appropriés.
Tendance 1: plus vite, plus automatisé
D'après le Cert, l'automatisation et la rapidité d'éxécution ont
essentiellement un impact sur quatre stades différents des attaques mais
ne sont pas forcément présentes à chacun de ces niveaux.
En un, il s'agit de l'étape de "scan" des victimes potentielles. Les
outils utilisés à ces fins sont maintenant plus rapides et dénichent
davantage de vulnérabilités. En deux, certains apparaissent capables
d'exploiter la vulnérabilité dans la foulée, ce qui rend la propagation
plus rapide (pour un ver, par exemple). En trois, vient la propagation
elle-même, facilitée par l'enchaînement de techniques. En quatre, enfin,
la gestion coordonnée de ces outils va plus loin que leur simple
éxécution linéaire. Un ver-virus-cheval de Troie peut lancer une attaque
de déni de service, rechercher les victimes potentielles et les
compromettre en exploitant plusieurs failles. Exemple: Nimda.
Tendance 2: vers une sophistication accrue
Ici, ce sont trois caractéristiques majeures que le rapport montre du
doigt. La première se résume par l'absence de régularité. Certaines
techniques exploitées par les attaquants obscurcissent l'intention et la
nature des outils utilisés, et les experts mettent plus de temps à les
comprendre. La deuxième se traduit par un comportement dynamique, en
choisissant de lancer certaines actions plutôt que d'autres soit en
fonction de scénarios prédéfinis, soit complètement au hasard. La
troisième s'exprime par la modularité. Non cité par le Cert, le ver
Hybris qui se met à jour à l'aide de plugins en est un exemple frappant.
Le centre de recherche et de veille indique qu'à l'extrême, des codes
malicieux deviennent polymorphes et évoluent entre chaque étape de leur
progression.
Tendance 3: plus de failles, plus vite exploitées
Le Cert CC rapporte que le nombre de failles qui lui sont rapportées
double chaque année. Tous les ans également, de nouveaux types de
vulnérabilités sont découverts, et l'on s'aperçoit qu'elles existent
dans de nombreux outils du commerce. Or, il n'est pas rare que les
hackers un peu chevronnés découvrent ces faiblesses avant que les
éditeurs ne les corrigent. Comme la découverte de ces failles peut être
automatisée à l'aide d'outils, ceux-ci disposent d'un temps de plus en
plus court pour mettre à disposition de leurs clients les fameux
correctifs.
Tendance 4: les pare-feux parent de moins en moins
Autrement dit, ils sont plus perméables selon le Cert, même s'ils n'ont
pas changé entre temps.
Certains protocoles ont été conçus pour les traverser, comme IPP
(Internet Printing Protocol) pour les réseaux d'impression sur IP, ou
WebDAV, une extension du protocole HTTP du web pour collaborer sur la
publication de documents. D'autres protocoles courants ne sont pas
couverts par les configuration par défaut des firewalls. Quant aux codes
VBScript, Java et JavaScript, par exemple, ceux-ci viennent s'éxécuter
sur l'ordinateur en passant par le web. Pour s'en prémunir, il faudrait
les interdire à l'intérieur même des options de sécurité du navigateur.
Mais cela restreint souvent les fonctions des sites visités par les
internautes.
Tendance 5: l'asymétrie galopante = seul contre tous
Un seul serveur peut être la cible de nombreuses ressources administrées
à distance par le hacker. Les PC et même les routeurs zombies sont en
voie de reproduction. Avec certains outils automatisés, le hacker peut
déployer très facilement les outils qu'il pilotera à distance sur un
nombre croissant d'ordinateurs. L'une des conséquences est traitée au
paragraphe suivant : les dénis de service distribués (DDOS). Mais il
peut s'agir d'autres attaques ayant pour but de masquer une adresse IP
au milieu de centaines voire de milliers devenues hostiles pour
accomplir un méfait.
Tendance 6: les composants clefs d'Internet à l'index
C'est la partie la plus développée du rapport. Détournements et impacts
collatéraux sur les composants d'infrastructure d'Internet sont en nette
progression, avec parfois des effets inattendus. Parmi les exemples
cités: dénis de service distribués, vers, serveurs de noms de domaine
(DNS) et routeurs. A l'occasion de l'éxécution d'un DDOS, le pirate
choisit exprès des ordinateurs reliés par liaison à haut débit (ADSL,
câble...) pour lancer des attaques plus puissantes. Puis, les vers
provoquent parfois des dommages collatéraux (dénis de service...) en
raison de leur flux important au début de leur propagation. Les attaques
de serveur de noms de domaines peuvent avoir plusieurs objectifs, comme
détourner un flux de paquets IP vers une destination sous contrôle du
hacker, ou même modifier les données reçues par les internautes. Quant
aux routeurs, ils peuvent être détournés de leur fonction primaire afin
de repérer des ressources ou de générer des attaques de déni de service.
Pour en savoir plus sur ce dernier point, vous pouvez relire notre
article publié en octobre dernier
<http://solutions.journaldunet.com/0110/011024_attaquesdos.shtml> , basé
sur un autre rapport du Cert.
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
Other related posts:
- » [helpc] Etat de l'art du hacking "up-to-date", selon le Cert CC
