=========================================== Réunion OSSIR groupe sécurité Windows Lundi 09 septembre 2002 =========================================== Ordre du jour : 1 - Présentation de l'antivirus de messagerie Antigen (Sybari - Gordana CINDRIC) 2 - Vulnérabilités et sécurisation des applications Web (EdelWeb - Patrick CHAMBET) 3 - Revue des vulnérabilités récentes de Windows 2000/XP (EdelWeb - Nicolas RUFF) ==================================================== 1- Présentation de l'antivirus de messagerie Antigen (Sybari - Gordana CINDRIC) ==================================================== Gordana CINDRIC est ingénieur commerciale chez Sybari, éditeur de la solution antivirus de messagerie Antigen. La société Sybari est une société américaine, sous-traitante des principaux éditeurs antivirus du marché depuis 1994. Antigen a d'abord été développé à l'initiative de McAfee, qui souhaitait étendre son produit GroupShield. Le produit est ensuite devenu autonome, indépendant de McAfee et propriété exclusive de la société Sybari. Ce produit est né du constat que depuis 1996, une très large majorité des infections virales (>90%) sont issues de la messagerie d'entreprise. D'autre part il est rare de voir implémentée une protection antivirus complète (antivirus sur firewall CVP, proxy antivirus, antivirus de serveur, antivirus sur les postes de travail et antivirus sur les postes nomades) pour des raisons de coût et d'administration. Le choix d'une bonne protection antivirus sur les points de passage obligés des virus, comme la messagerie, apparaît donc comme un bon compromis. Antigen existe pour les plateformes Exchange et Notes. Les fonctions de messagerie de Microsoft SharePoint Server sont aussi supportées car il s'agit d'une technologie Exchange sous-jacente. Les évolutions futures du produit intègreront peut-être un filtrage de flux HTTP et FTP. Toutefois Antigen n'a pas vocation à être déployé un jour sur les postes de travail. Version Exchange ---------------- Sur la plateforme Exchange, toutes les technologies antivirales sont loin d'être aussi efficaces. Antigen propose une solution innovante et fiable, basée sur ESE API. Exchange 5.0 et 5.5 proposent les API suivantes : - MAPI : Messaging Application Programming Interface - AV API : Anti-Virus Application Programming Interface - ESE API : Extensible Storage Engine Application Programming Interface * MAPI notifie l'antivirus lors de l'arrivée d'un nouveau message. L'analyse est entrante uniquement, asynchrone (le message est déjà dans la boîte aux lettres de l'utilisateur lorsqu'il est analysé), et peu performante (1 processus est créé par tranche de 250 BAL). * AV API n'a pas accès au corps du message : les virus de type KAK ne sont pas détectés, de plus cette technologie ne permet pas de filtrer les pièces jointes par type (pas d'accès à la table des attachements). * Les antivirus "traditionnels" combinent MAPI et AV API sans pour autant atteindre une fiabilité de 100%. Seule ESE API permet de garantir que tous les messages entrants et sortants seront analysés avant délivrance (corps et pièces jointes). Exchange 2000 propose les API suivantes : - VS API : Virus Scan Application Programming Interface - ESE API : Extensible Storage Application Programming Interface * VS API corrige les limitations de MAPI et AV API, et permet même l'analyse des messages lus via Outlook Web Access. Toutefois un message peut être délivré avant analyse car l'analyse s'effectue par bloc de 30 messages. * La technologie ESE API consiste à remplacer la DLL qui supervise les accès à la banque d'information, garantissant ainsi l'analyse de toute lecture/écriture dans la banque d'informations. Cette solution est pleinement supportée par Microsoft qui n'hésite pas à recommander la solution Antigen à ses clients. Antigen autorise 4 types de scan antivirus : - Scan Internet/SMTP (Antigen SMTP/IMS Job) - Scan MTA (Antigen MTA Scan Job) - Scan Temps Réel (Antigen RealTime Job) - Scan Manuel (Antigen Manual Scan Job) Version Notes ------------- Antigen supporte Notes R4.5 et R5. Les flux NRPC, SMTP et HTTP peuvent être analysés. Contrairement à tous les autres antivirus Notes qui placent les messages en "HOLD", Antigen utilise un redirecteur pour analyser les messages en transit. Ceci présente les avantages suivants : - Pas de pollution des statistiques - Pas de risque de "fuite" de messages - Ne masque pas les problèmes de routage éventuels Là encore il existe plusieurs types de scan antivirus : - Analyse en temps réel des messages en transit (entrants et sortants) - Analyse en temps réel des bases - Analyse à la demande Fonctions communes ------------------ Sybari ne développe ni moteurs antivirus ni bases de signatures, mais se repose sur les moteurs des éditeurs suivants : - McAfee - Sophos - CA Iris - CA Vet - Norman - Kaspersky Un algorithme (tenu secret) permet de sélectionner le ou les moteurs d'analyse à appliquer sur un message en fonction de différents paramètres comme la nature des pièces jointes ou la date de dernière mise à jour. Cet algorithme est paramétrable par l'administrateur (fiabilité vs. rapidité de l'analyse). Antigen supporte de plus des fonctions de filtrage élaborées : - Message par expéditeur/destinataire, sujet, contenu - Pièces jointes par nom ou par type - déterminé par l'entête du fichier Ces filtres permettent une défense proactive contre les nouveaux virus et les hoaxes. Conclusion ---------- La protection antivirale du serveur de messagerie est nécessaire mais pas suffisante : il est nécessaire d'être proactif en mettant en place des filtres préventifs, et de se doter d'une politique antivirale définissant des règles et des procédures de réponse aux incidents. Q. Est-il possible de connaître l'algorithme de sélection des moteurs ? R. Il est possible d'obtenir la liste des critères pris en compte, toutefois les constantes de pondération entre moteurs sont confidentielles. Q. Entre Notes et Exchange, quelle est la plateforme sur laquelle Antigen est déployé en majorité ? R. Antigen est dans plus de 90% des cas rencontré avec Exchange, car les systèmes Notes ont traditionnellement moins de problèmes de virus. Toutefois ceci ne reflète pas la réalité du marché des seveurs de messagerie, où Notes et Exchange font part égale. Q. Antigen peut-il cohabiter avec un filtre SMTP (de type InterScan VirusWall) ? R. Oui, sachant que la version 7.0 d'Antigen intégrera cette fonction et pourra fonctionner en filtre SMTP sur Windows 2000. ================================================================= 2 - Vulnérabilités, Attaques et sécurisation des applications Web (EdelWeb - Patrick CHAMBET) ================================================================= Qu'est-ce qu'une application Web ? ---------------------------------- C'est un applicatif qui utilise le protocole HTTP ou HTTPS et qui est piloté par un utilisateur proche ou distant (à travers Internet). Un simple navigateur Web ou une application propriétaire utilisant le protocole HTTP/HTTPS suffit à l'utilisateur pour travailler sur l’applicatif. Au travers des ports 80 (HTTP) et 443 (HTTPS), de nombreux flux passent les firewalls, d'où des risques importants d'attaques. A quoi sert un firewall ? ------------------------- - Protection vis à vis des attaques de niveau réseau (scans) et services réseau (telnet, RPC, NFS, ...) - Protection du plan d'adressage interne (NAT) - Protection contre les flux sortants Contre quoi les firewalls sont-ils impuissants ? ------------------------------------------------ Attaques sur les clients Web - Serveur hostile - Cross Site Scripting (XSS) Attaques en vol de session - Manipulation des identifiants de session * EdelWeb a développé un outil statistique dans le cadre d'une prestation - Man-in-the-middle Attaques sur les serveurs Web et les applicatifs (dont les bases de données) - Interprétation des URLs * Popularité des attaques Unicode contre IIS - Erreur de configuration - Mauvais contrôle des entrées utilisateur * Insertion de code HTML * Insertion de code exécutable * Dépassement de quotas dans les champs de saisie (exemple : virement bancaire) * Déni de service (requêtes de grande taille) * Utilisation de caractères dangereux (exemple : ! @ $ % ^ & *) - Injection de code SQL * Exécution d'une commande Shell avec MS SQL Server * Utilisation de procédures stockées - Déni de service Autres erreurs de conception applicatives * Mécanismes d’authentification côté client basés sur Java, JavaScript ou ActiveX * Contrôle d’accès basé sur le header HTTP_REFERER * Mauvaise gestion du contexte utilisateur * Manque de ré-authentification Tout serveur Web ouvert sur Internet doit être préparé à une attaque. Remarque : la sécurité par le chiffrement (SSL) est un mythe ... Elle ne protège que la confidentialité, pas les intrusions. Le point le plus difficile à corriger est bien souvent la sécurité applicative. Firewalls, tunnels chiffrés et PKI ne sont pas suffisants : il faut intégrer la sécurité dès la conception de l'application. Un test d'intrusion applicatif après la conception et lors de toute modification majeure est indispensable. Q. Les filtres applicatifs sont-ils répandus ? R. De nombreuses sociétés utilisent Apache en "reverse proxy". Des solutions logicielles plus élaborées comme celles qui ont pu être présentées à l'OSSIR (InterDo, AppShield, RealSentry) ne sont pas répandues mais font l'objet d'un marketing aggressif qui devraient augmenter leur pénétration. Q. Que penser des risques liés aux Webmails ? R. L'explosion de popularité des Webmails auprès des utilisateurs induit certainement un risque supplémentaire pour les entreprises, car ils représentent un point d'entrée pour les virus et les messages hostiles (exploitant des vulnérabilités du navigateur). L'usage généralement constaté des Webmails est incompatible avec la mise en place d'un Webmail d'entreprise. La seule solution acceptable semble la mise en place d'un filtrage HTTP (antivirus et anti code hostile). ======================================================== 3 - Revue des vulnérabilités récentes de Windows 2000/XP (EdelWeb - Nicolas RUFF) ======================================================== Les vulnérabilités les plus récentes des environnements Windows sont passées en revue. Le projet "Palladium" de Microsoft fait l'objet d'un débat : faisabilité technique, éthique et légalité. La prochaine réunion est fixée au lundi 7 octobre 2002. Des sujets souhaités par les participants sont : - Revue de la nouvelle architecture Itanium, des gens de l'INRIA ayant travaillé sur le sujet - Logiciel WebSweeper Le groupe est ouvert à toute proposition d'intervention et/ou d'hébergement.