===========================================
Réunion OSSIR groupe sécurité Windows
Lundi 7 juillet 2003
===========================================

Ordre du jour :

1-Retour d'expérience sur un "Hack Challenge"
(Daniel DUPARD / EPITECH)

2-Scénario catastrophe technologique
(Patrick CHAMBET / EdelWeb)

3- Revue mensuelle des vulnérabilités Windows
(Nicolas RUFF / EdelWeb)

====================================================
1 - Retour d'expérience sur un "Hack Challenge"
(Daniel DUPARD / EPITECH)
====================================================

Daniel DUPARD travaille dans une banque et enseigne en 4ème année à l'EPITECH, sur le thème des couches basses de Windows NT. Les travaux pratiques demandés à ses étudiants sont de type écriture d'un driver, création d'un rootkit, etc. A noter qu'il existe également un cours "couches hautes de Windows NT", qui est donné par le PDG de l'antivirus Viguard.

La cible du concours est la suivante :
- Liaison ADSL personnelle
- Machine Windows 2000 Pro à jour des derniers correctifs
- Machine de logging tierce (Ethereal + Snort)
- Firewall D-Link configuré pour accepter les connexions entrantes sur le port 80 et toutes les connexions sortantes
- 3 niveaux correspondant à 3 informations à récupérer sur le serveur
- Serveur Web Abyss 1.1.2 servant du contenu statique, principalement des supports de cours

Les serveurs Apache et IIS n'ont pas été retenus pour ne pas fausser le concours, certaines personnes pouvant disposer de "0day".

Le concours (largement annoncé dans la communauté "underground" internationale mais faiblement doté) a retenu l'attention de quelques milliers d'adresses IP. Seules 2 personnes ont franchi le niveau 1 : un français (connu sous le pseudonyme de FoZzy) et un américain. Il n'est toutefois pas impossible que des personnes aient réussi le concours sans être détectées et sans s'être manifestées.

La majorité des tentatives ont eu lieu à partir d'outil standard (Nessus) ou d'attaques connues. Seules quelques personnes ont tenté une attaque par désassemblage du serveur Web, seule méthode a priori pouvant donner des résultats (avec l'attaque du poste d'administration, autorisée dans ce concours). Il s'avère effectivement que le serveur Web Abyss souffre de failles exploitables, toutes les variables utilisées étant de taille fixe (800 octets) avec des recopies parfois douteuses.


Les principaux enseignements de ce concours sont :

- Le niveau moyen des attaques est très faible (utilisation de Nessus). Peut-être une prime considérablement plus importante aurait-elle motivée des gens plus compétents ?

- L'exploitation des logs et la détection des attaques sur un serveur de production via Snort est problématique, surtout lorsque la méthode d'attaque n'est pas connue à priori ! La configuration de l'outil doit être très fine.

- La détection d'accès à des fichiers leurres ("honeytokens") via par exemple l'interception de la primitive open() serait beaucoup plus efficace pour détecter une intrusion. Toutefois cette technique peut être contournée par un attaquant intelligent qui irait lire directement en mémoire les informations recherchées (technique actuellement indétectable).

- Un concours de ce type permet de faire réalise un audit de code pour un coût dérisoire.

- Un serveur Web configuré et bien protégé est robuste. Les principales failles sont désormais à chercher du côté du poste de travail utilisateur.


De manière générale le problème de l'intrusion sur un poste ou un serveur appelle les pistes de réflexion suivantes :
- Une fois introduit, comment faire sortir de l'information en quantité suffisante de manière furtive ?
- Comme dans la sécurité physique, les systèmes de surveillance peuvent être mis hors service par saturation.
- Comment obtenir les droits d'administration sur un poste à jour des derniers correctifs ? On peut envisager d'endommager une application (imposant à l'utilisateur de passer admin) ou d'exploiter un bogue applicatif (les patchs applicatifs étant rarement appliqués) - ex. PDF.
- La corruption lente de données est une technique de destruction très efficace.


Remarques diverses des participants :
- Malgré les problèmes de configuration et de faux positifs, les IDS peuvent s'avérer également utiles pour détecter des problèmes applicatifs (broadcasts, erreurs d'adressage, etc.).
- La protection du poste est un vrai problème car elle impose une sensibilisation des utilisateurs, donc un surcoût pour le support (mots de passe trop complexes oubliés, nouvelles questions de la part des utilisateurs sur le comportement anormal d'un poste, etc.).


====================================================
2 - Scénario catastrophe technologique
(Patrick CHAMBET / EdelWeb)
====================================================

L'objectif de cette présentation est de valider la faisabilité d'un scénario complet de malveillance économique visant une entreprise fictive, simple à mettre en oeuvre et dont les conséquences peuvent aller jusqu'à la faillite de l'entreprise visée.

L'intrusion a lieu par le biais d'un mail piégé transmis à un utilisateur interne. L'attaquant doit être suffisament renseigné pour pouvoir réaliser un message "crédible" vis-à-vis de son destinataire.

Une fois exécuté, le ver contenu dans la charge utile du message explore le réseau interne afin de se répandre vers des postes ou des comptes plus intéressants, sans toutefois éveiller l'attention par une propagation massive. Les techniques de dissémination utilisées sont des techniques virales "classiques" : attaques des serveurs Web Intranet, infection des partages, etc.

Le ver peut éventuellement transmettre de l'information à l'extérieur et recevoir des mises à jour adaptées à la conformation du réseau rencontré. Des techniques de "canal caché" (covert channel) peuvent être utilisées pour éviter d'attirer l'attention des dispositifs de filtrage Internet : requêtes DNS ou ICMP avec charge utile, requêtes vers des sites Web "anodins", etc.

Une fois implanté sur les cibles finales (bases de données, consoles d'administration, serveur métier) le ver utilise l'une des techniques de destruction suivantes :
- mise en sommeil jusqu'à activation d'une condition prédéfinie
- corruption lente de données
- entrée/sortie de données confidentielles
Il est important que le ver s'autodétruise une fois sa mission accomplie afin de minimiser les possibilités d'investigation.

Les conséquences d'une telle attaque sur une entreprise fortement dépendante de son informatique (et elles sont nombreuses ...) seraient catastrophiques sur l'activité et l'image de marque. La faisabilité technique d'un tel scénario est aujourd'hui indubitable car toutes les briques de base existent et fonctionnent en "grandeur réelle".

Les méthodes de lutte contre un tel scénario catastrophe sont connues mais encore trop peu appliquées :

PREVENTION
- Mise en place d'une politique de sécurité
- Sensibilisation des utilisateurs
- Partitionnement des réseaux
- Sécurité du développement
- Sécurité des applications (suivi des patches)
- Procédure de sécurisation proactive des serveurs et du poste de travail (trop souvent négligé)
- Tenue de l'antivirus à jour
- Sauvegardes et tests de restauration

DETECTION
- Détection d'activité réseau anormale
- Contrôle d'intégrité sur les postes et réintégration périodique

REACTION
- Procédures de gestion de crise et plan de secours


====================================================
3 - Revue mensuelle des vulnérabilités Windows
(Nicolas RUFF / EdelWeb)
====================================================

Les vulnérabilités les plus récentes des environnements Windows sont passées en revue. L'évenement majeur est la sortie du SP4 pour Windows 2000.

La prochaine réunion du groupe n'est pas encore fixée mais se tiendra en septembre 2003. Un sujet devrait être NGSCB par Cyril VOISIN de Microsoft France.

Le groupe est ouvert à toute proposition d'intervention et/ou d'hébergement.