samedi 28 mars 2009

Futurologie

En 2006, j'avais imaginé que les protocoles P2P puissent être utilisés comme canal de contrôle résilient par des botnets.


A l'époque, les bots rencontrés dans la nature utilisaient uniquement des connexions HTTP ou IRC vers un serveur statique comme canal de contrôle. Peu de temps après apparaissait le ver Nugache, présenté comme révolutionnaire car basé sur un protocole P2P.

Cette même année 2006, j'avais présenté les risques liés à la monoculture dans le domaine des boxes ADSL (ça ne s'est pas amélioré depuis, avec la concentration du secteur), leurs faiblesses de conception et d'implémentation. Avec une démo live (pour ceux qui s'en souviennent) d'insécurité flagrante liée aux interfaces d'administration exposées sur Internet. Pour planter le décor, la Livebox a pendant longtemps exposé sur Internet un serveur Telnet (sur un port non standard), et le mot de passe root était 1234.

Il semble qu'en 2009, un ver se propage sur des routeurs grand public (Linksys, etc.) dans cette configuration.

Bien sûr je ne peux pas me targuer d'avoir inventé le proxy Web (private joke, désolé), mais voilà qui fait tout de même du bien à l'égo (et un blog est fait pour ça :).

Cette année je m'apprête à prédire que la sécurité informatique va dans le mur à court ou moyen terme ... Je ne pense pas trop me tromper :)

Maintenant la véritable information.

Dans cette analyse du ver susmentionné, on peut lire:
La Freebox est invulnérable face à cette attaque. Selon Free, il n’y a "aucune chance." ;)
On peut lire par ailleurs que la Freebox vient d'ajouter le support du protocole UPnP. Pour résumer l'historique de ce protocole:
  • Failles d'implémentation dans la plupart des modems/routeurs du marché [1] [2] [3]
  • Librairie Open Source non maintenue depuis 2006 (encore utilisée dans de nombreux modems/routeurs du marché).
  • Nouvelle librairie Open Source présentant un historique loin d'être vierge (notez le subtil "Bugfix for M-Search packet" tout en bas).
Ready ... set ... go !

15 commentaires:

mr potatoe a dit…

mais la plupart des box fr interdisent l'administration depuis le web non!!! bien sur a moins de l'avoir activer .

"Cette année je m'apprête à prédire que la sécurité informatique va dans le mur à court ou moyen terme"
mais non , c'est des oufs les ptits nouveaux du milieu :P , les anciens du milieux rectifieront le tir du DRH (private joke)

newsoft a dit…

@potatoe: on pourrait discuter longuement des méthodes d'intrusion dans les *box françaises (par exemple du canal ATM partagé qui sert à l'administration des FreeBox).

Mais ma prévision sur la sécurité informatique va au-delà: je pense que les attaquants deviennent plus compétents et plus motivés que les défenseurs en entreprise.

Un admin réseau ne peut plus désinfecter lui-même un Conficker à coup de scripts, sans l'aide de Microsoft ou d'un éditeur antivirus. Idem pour son Linksys de bordure (qui équipe quand même un grand nombre de PME ...)

Vincent a dit…

Newsoft : Mais ma prévision sur la sécurité informatique va au-delà: je pense que les attaquants deviennent plus compétents et plus motivés que les défenseurs en entreprise.

Et bah ça va devenir de plus en plus lucratif d'être expert sécurité, peut-être qu'on commencera à faire la différence entre Jacques qui fait des rapports Nessus et une équipe de pen-test qui fait des recommandations.
Je ne vois pas où on va dans le mur, la balance se ré-équilibrera.

J'attend ta présentation avec impatience :).

jme a dit…

@Newsoft

Les attaquants sont de plus en plus compétents ou utilisent de mieux en mieux ce que les « white-hats » publient au nom du full-disclosure (et certainement pas au nom du « plus gros kiki ») ?

Kevin a dit…

Un admin réseau ne peut plus désinfecter lui-même (...) Idem pour son Linksys de bordure

Pour linksys, il suffit de rebooter et de mettre un mot de passe plus fort; ça me parait encore faisable, même par un admin pas très futé :)

Sinon, je ne suis pas loin de penser que la sécurité va devenir de plus en plus ardue. Les pirates s'en fichent de defacer les sites web ou d'afficher des greetings à l'ouverture de fichiers. Les virus deviennent de plus en plus discret, laissant encore plus de latitude face aux admin peu scrupuleux car tout semble fonctionner..

On verra bien.

D'un autre côté les virus windows vont avoir du mal à continuer leur progression.
Je m'explique. Tout d'abord nous avons windows XP qui continue d'être présent après 8 ans de loyaux services.
En face, des informaticiens qui sont nés avec. En 2001 ils étaient encore au lycée, aujourd'hui, ils sont réellement devenus expert sous XP. 8 ans sous le même système, ça laisse du temps pour étudier jusqu'au moindre détail les internals de XP.
Aujourd'hui, Vista. Demain, Seven. Après demain, un autre windows.
Le niveau d'expertise redescendra, et on (re)tombera de nouveau sur des fausses bonnes idées de virus, sur des ratages, sur moins de furtivité. Et les admins moyens pourront de nouveau être efficace face à ces nouvelles menaces.

BonG a dit…

La crise, le niveau globale de la nouvelle star cette année et maintenant l'insécurité informatique inéluctable ...

Ca y est mon moral s'effondre !
Merci bien

newsoft a dit…

@vincent: malheureusement, je ne pense pas que la hausse des attaques va aller de pair avec celle des salaires ... Peut-être la hausse du prix des antivirus ?

@jme: les attaquants utilisent des techniques qui fonctionnent "pour de vrai", contrairement au FUD qu'on peut entendre dans les conférences ... Ils doivent être réellement compétents !

@kevin: tu peux toujours rebooter ton routeur, en supposant que tu aies détecté sa compromission. Mais tu te feras réinfecter tant qu'il n'est pas patché !

Et en ce qui concerne le niveau général, c'est probablement le nombre de gens compétents qui va diminuer, pas leurs compétences ... Et encore, avec 2 milliards d'indiens et de chinois, il y a de la marge !

S. a dit…

@newsoft: je pense que l'égo(le kiki ou autre) de Rani est trop gros pour dire qu'ils sont vulnérable....encore une fois....

Matthieu a dit…

Et encore, avec 2 milliards d'indiens et de chinois, il y a de la marge !
Et encore, leurs gouvernements filtrent Google :)

kevin a dit…

tu peux toujours rebooter ton routeur, en supposant que tu aies détecté sa compromission. Mais tu te feras réinfecter tant qu'il n'est pas patché !

Je n'ai pas suivi précisément l'affaire, mais l'infection se fait via un mot de passe faible, non par une faille.

newsoft a dit…

@kevin: je n'ai pas de souche du "ver" en question, donc je vais parler sans savoir, mais sur l'article d'origine on peut lire:

"Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable."

Et plus loin:

"The worm itself (...) contains shellcode for many mipsel devices"

FUD ou réalité ? Je veux bien une copie du ver pour regarder :)

@S: le kiki ou les chevilles ? :)

mr potatoe a dit…

ici nenolod.net/~nenolod/psyb0t/udhcpc.env :)

S. a dit…

@newsoft: kiki ou autre tu choisis :)

Anonyme a dit…

Tu postules pour le titre de Mr. Nostradaruff 2009 ? ;-)

Plus serieusement je partage tes constats en matiere d'(in)securite de l'information.

Anonyme a dit…

Moi, la grande futurologie technologique

http://ysengrimus.wordpress.com/2010/08/15/le-lourd-passe-de-nos-futurologies/

Je reste désormais hautement sceptique…
Paul Laurendeau