Faille DNS : Mauro Israël "On a frôlé le Big One"
09-07-2008
L’expert en sécurité, professeur en Télécommunications et en Intelligence Economique alerte le monde de l’informatique. Le DNS est le talon d’Achille de l’Internet… Interview exclusive
Publicité
Peut-on connaître aujourd’hui le niveau de gravité réelle de cette faille sur les DNS (Domain Name System), annoncée ce mercredi ?
Il est clair que le problème du phishing est l’élément central de ce type d’attaque. D’ordinaire la parade simple est de réussir à savoir qu’il s’agit bien d’hameçonnage, et chacun arrive à s’en rendre compte plus ou moins rapidement. Mais il faut bien savoir qu’avec cette faille on touche au véritable "Graal" du hacker. Imaginons que le détournement se fasse alors sans intervention humaine, que l’erreur s’instille directement dans la machine, que fait-on ? (silence). En utilisant cette faille, c’est un peu comme si personne n’avait les moyens de se rendre compte qu’un site est devenu malveillant.
Pour mieux combattre la faille, il faut avoir les moyens de la connaître. Quels est, à l’heure actuelle, l’état des connaissances techniques sur cette faille ?
Chaque poste possède ce qui s’appelle un fichier hosts qui existe sous forme de fichier texte. Si l’on est capable de modifier ce fichier, on prend alors le pas sur le Domain Name System. Ce type de problème est pour l’instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n’ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.
Honnêtement j’aurais aimé y croire. Mais il faut bien dire qu’il n’y a pas eu de Table Ronde de la sécurité. Pour preuve, il suffit d'observer le moment où ont été effectués les correctifs des entreprises. Les mises à jour s’étalent du 21 avril (Alcatel) au 8 juillet (Microsoft). Entre temps, D-Link a patché le 5 mai puis le 6 juin et enfin le 3 juillet c'était au tour de Dragonfly… Il n’y a donc pas eu d’alliances à proprement parler puisque qu’il n’y a pas eu de synchronisation. On peut néanmoins affirmer que des échanges technologiques entre concurrents se sont produits.
Il faut d’abord lever le voile. Cette faille est connue depuis 1974, date à laquelle j’attribue l’invention d’Internet. La faille permet de s’insérer dans un dialogue et d’en modifier la réponse. L’attaque est structurelle car un serveur DNS est obligatoire si vous voulez vous connecter au Net. Fatalement tout le monde est touché.
A la loupe, on se rend compte qu’il s’agit de failles liées à l’OS. Le moment critique se situe au moment de la séquence de questionnement. Je m’explique : si vous lancez une requête DNS à partir, par exemple, du port 53 UDP, la réponse que vous allez obtenir n’est pas du tout due au hasard. Il faut savoir que ce que l’on appelle le dialogue du port est prévisible et peut être calculé. Ce qui nous fait comprendre qu’à partir de là , hé bien, tout est possible…
Si tout le monde est touché, quelle posture faut-il adopter ? Existe-t-il-des solutions à part le système de patchs ?
Il faut bien comprendre une chose. Microsoft a été touché ainsi que tous les Unix. Grâce à Windows Update, on peut sécuriser son système. Mais que fait-on pour Linux, combien de temps va durer cette faille ? Il faut bien savoir qu’il y a quelques mois, on a frôlé le " Big One", le jour où tous les comptes ont été remis à zéro. Il faut continuer la sensibilisation des entreprises et encourager les patchs. Pas seulement sous Windows mais pour Unix, Linux, et toutes les appliances de type routeurs, firewalls, serveurs de mails…
Face à cette faille, le sentiment général est, quelque part, de se sentir tous concernés. Quelle réflexion vous évoque la révélation de cette faille aux yeux du monde ?
Le système d’alertes, en tout cas pour la France, est loin d’être efficace. C’est un désastre pour les PME qui n’ont aucun moyen de préparer des contre-mesures, quant aux grands groupes ils sont obligés de prendre des risques énormes car il faut avouer que dans de nombreux cas, leur politique est… de ne rien faire. Le DNS est une chose trop " instable " pour qu’on la laisse sans protection. Il faudrait une sorte de SecureDNS qui permettrait un cryptage des données. Sans quoi le risque sera toujours bien présent.
Mise à jour et rectificatifs
Cet entretien a provoqué un torrent de commentaires (voir ci-dessous), notamment de la communauté Linux qui a très mal apprécié (c'est un euphémisme) les propos de Mr Israël.
Nous en convenons : certains propos ont été mal compris par notre journaliste, d'autres ont manqué de précisions, notamment sur la définition des fichiers host et des mises à jour automatique (étaient évoquées les appliances et les routeurs et pas les PC des particuliers qui évidemment sont mis à jour simplement sous Windows ET sous Linux).
Nous avons repris contact avec Mr Israël qui nous livre les précisions suivantes.
La rédaction
_____________________________
« Ce fichier (host) retrace toutes les adresses IP consultées, quelqu’un qui s’y introduirait aurait alors accès à une multitude de données »
Plutôt : « Ce fichier fait le lien entre une adresse IP et un nom de serveur, par exemple « 145.23.55.12 www.bnp.fr »  quelqu’un qui s’y introduirait avec une fausse adresse détournerait alors le trafic du vrai site bancaire sur son faux site, sans que l’utilisateur s’en rende compte ou puisse l’empêcher... »
 « Ce type de problème est pour l’instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n’ont, à mon sens, aucune maîtrise réelle sur ce type de dangers. »
Ce type de problème est -pour l’instant- maîtrisé, par le fait que l’utilisateur ne doit plus être administrateur de son poste en entreprise, mais les administrateurs des systèmes UNIX ou Windows ont la fâcheuse habitude de se connecter en root ou admin, et le danger reste toujours possible d’un exploit qui permettrait de modifier fichier «hosts » par élévation de privilèges. Dans des versions « grand public » comme Ubuntu ou Windows, les utilisateurs et les PME/TPE n’ont aucune compétence réelle sur ce type de dangers, et dépendent complètement de la sécurité de leur fournisseur Internet, ou de leur routeur d’accès ou du serveur interne de l’entreprise qui contiennent un système DNS de relais.
« Cette faille est connue depuis 1974, date à laquelle j’attribue l’invention d’Internet. »
« Cette faille est d’autant plus grave qu’elle est structurelle, et remonte à la structure même du protocole au moment de l’invention d’Internet, à savoir le Domain Name relié à une adresse IP, clé de toute consultation d’un site sur Internet comme un site web. »
 « A la loupe, on se rend compte qu’il s’agit de failles liées à l’OS. Le moment critique se situe au moment de la séquence de questionnement. Je m’explique : si vous lancez une requête DNS à partir, par exemple, du port 53 UDP, la réponse que vous allez obtenir n’est pas du tout due au hasard. Il faut savoir que ce que l’on appelle le dialogue du port est prévisible et peut être calculé. Ce qui nous fait comprendre qu’à partir de là , hé bien, tout est possible… »
 Plutôt : « A la loupe, on se rend compte qu’il s’agit d’un type de faille structurelle. Le moment critique se situe au moment de la séquence de dialogue entre le client et le serveur DNS. Je m’explique : si votre navigateur lance une requête DNS du port 53 UDP, la réponse que vous allez obtenir n’est pas suffisamment due au hasard. Il faut savoir que ce que –contrairement aux recommandations qui ont été faites sous forme de RFC pour rendre imprévisible le numéro de port de la séquence de réponse, beaucoup de programmeurs, par facilité ou par « copier-coller » d’autres programmes ont crée des systèmes où le port n’est pas si aléatoire que ça et peut dans certains cas être calculé, voilà le cœur de la faille actuelle. Ce qui nous fait comprendre qu’à partir de là , hé bien, tout est possible… Comme par exemple de détourner tout le trafic de tous les internautes de leur vraie banque à un faux site, et ainsi de vider la plupart des comptes en banque de la planète, provoquant une gigantesque crise économique, le fameux « big one »
Mais que fait-on pour Linux, combien de temps va durer cette faille ? Il faut bien savoir qu’il y a quelques mois, on a frôlé le " Big One", le jour où tous les comptes ont été remis à zéro. Il faut continuer la sensibilisation des entreprises et encourager les patchs. Pas seulement sous Windows mais pour Unix, Linux, et toutes les appliances de type routeurs, firewalls, serveurs de mails…
Plutôt : « Alors qu’un système automatique de patches existe pour Windows et pour Linux, combien de temps va durer la vulnérabilité dans les entreprises où l’on trouve de nombreux systèmes non patchés depuis leur mise en œuvre ? Il faut bien savoir qu’il y a quelques mois, on a déjà frôlé le " Big One", par déni de service distribué, alors que 5 des 13 principaux serveurs DNS de la planète ont été bloqués par une inondation massive de paquets, ou bien lors de la découverte d’une faille dans le protocole SSL. Il faut donc continuer la sensibilisation des entreprises et encourager les patches. Pas seulement sous Windows mais pour Unix, Linux, et toutes les « appliances » de type routeurs, firewalls, serveurs de mails… C’est à ce prix que la sécurité réelle sera rétablie, car cette fois ce n’est pas uniquement Windows qui est classiquement visé, mais le fondement même d’Internet à travers le protocole DNS, donc toute machine et appareil connecté à Internet quel que soit son système.
« quant aux grands groupes ils sont obligés de prendre des risques énormes car il faut avouer que dans de nombreux cas, leur politique est… de ne rien faire. Le DNS est une chose trop " instable " pour qu’on la laisse sans protection. Il faudrait une sorte de SecureDNS qui permettrait un cryptage des données »
 Plutôt : « quant aux grands groupes ils prennent actuellement des risques énormes car il faut avouer que dans de nombreux cas, leur politique actuelle concernant les patches autres que Windows est… de ne rien faire. Le DNS est une chose trop au centre d’Internet pour qu’on le laisse sans protection, ou avec des patches manuels, ce qui nous ferait régresser d’une bonne dizaine d’années par rapport aux patches automatisés. Il faudrait donc une sorte de SecureDNS qui permettrait un cryptage des données échangées et un véritable séquencement aléatoire du dialogue. Ce système DNSSEC a été publié pour le principal système de DNS le « BIND » de l’ISC, mais est loin d’être répandu car il entraine des conséquences de performances et de fonctionnement notables. Enfin, au moment où la France va se doter d’une agence de sécurité des systèmes d’information, il faudrait créer une équipe dédiée dans cette agence qui pourrait donner l’alerte, et le status « vert-jaune-rouge » pour les entreprises et les particuliers vis-à -vis du risque internet, comme dans d’autres pays comparables, mais cette fois en Français, car toute l’information dont j’ai fait état provient de sites Américains…
Â
Tags:
Baraque / Crédible / CompatibilitéPublicité
Articles associés :
- 2007 : une année record pour les 'malwares'
- Patch Tuesday de Microsoft : 8 bulletins, dont 5 critiques
- DNS : un concurrent pour BIND
- Internet : enfin vers une gouvernance internationale ?
- Patch Day de juillet : Microsoft livre 4 bulletins importants
- La faille DNS qui fait trembler le monde de la sécurité
Commentaires des lecteurs :
DNS et LINUX
Contrairement à ce que l'on peut lire dans cet article. La gestion du DNS sous Linux s'opère simplement par édition du fichier /etc/nsswitch.conf. Il est ainsi possible d'interdire toute résolution de hostname interne ou externe.Remarques
Ce type de problème est pour l'instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n'ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.Mais bien sûr. Et la marmotte elle vient modifier mon fichier hosts tous les soirs.
L'attaque est structurelle car un serveur DNS est obligatoire si vous voulez vous connecter au Net
Ben non tu peux te contenter d'un fichier hosts. C'est lui qui l'a dit. Bon c'est sûr faut pas naviguer sur le web au hasard...
Il faudrait une sorte de SecureDNS qui permettrait un cryptage des données
Ouais DNSSEC quoi
n'importe quoi cet article
«Ce type de problème est pour l?instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n?ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.»/etc/hosts n'est accessible en écriture que par l'administrateur sous GNU/Linux, et ce depuis toujours (pas seulement depuis la dernière version en date comme c'est le cas pour Vista).
«Grâce à Windows Update, on peut sécuriser son système. Mais que fait-on pour Linux, combien de temps va durer cette faille ?»
Sur les distributions linux (ubuntu notamment), les mises à jour ont eu lieu entre hier soir (8/7) et ce matin (9/7).
Cet article est soit rédigé par quelqu'un qui ne connait que Windows, soit par un véritable anti-linux.
«Ce fichier [hosts] retrace toutes les adresses IP consultées, quelqu?un qui s?y introduirait aurait alors accès à une multitude de données.»
OK, donc c'est un incompétent.
Kro$oft encore kro$oft
Je crois que dans cet article on a un problème de 7ème couche. C'est quand même lamentable de taper aussi fort sur linux. Alors qu'il est supersimple de modifier le host de windows (même sous vista), c'est quand même largement plus compliqué sur un linux, car il faut être root, et c'est écrit quoi dans les recommandations pour utiliser les Distrib Linux ?Ne jamais utiliser root !
Une grande contradiction dans cet article qui mélange la couche OS et la couche transport, et moi maintenant je rajoute la couche utilisateur (7ème couche).
Ce problème est au niveau de quelle couche ?
Pour moi c'est la 7ème. Parce que s'il y a un problème sur les DNS Root , personne ne peut intervenir sauf les bigs chefs. Donc en quoi cela nous concerne ? En tant que simple client en rien. C'est au bigs chef de faire gaffe dans la résolutions des noms.
Tout simplement aberrant de lire ça !
Je suis désolé du titre, mais quand on lit ça, on n'a de quoi se poser des questions.Le fameux fichiers "hosts", ne permet en aucun cas de retracer les sites et adresses consultés.
Il permet dans un fonctionnement normal, de surclasser la résolution DNS.
En effet, sous Windows, comme sous Linux d'ailleurs (je note au passage le surtout Ubuntu !! qui ne veut strictement rien dire), le poste client, lors d'une résolution DNS, demande d'abord au fichier HOSTS, puis au serveur DNS si il n'a pas trouvé de correspondance.
Sous linux (et depuis bien longtemps) et sous Vista, ce fichier ne peut être modifié que par un administrateur. Sous XP, je crois qu'un utilisateur sans droit peut le modifier sans problème. De plus, on peut aussi désactiver l'appel à ce fichier, du moins sous Linux.
Un serveur DNS met en cache (comme un proxy) ses informations DNS. Celles ci y restent le temps des TTL (Time To Live), en général entre 8 et 24h.
La faille DNS permettait de modifier les informations stockées dans ce cache.
La faille est corrigée sous Windows et Linux en général et même Ubuntu !!
Enfin, le "c'est un désastre pour les PME" est sous doute de trop. Les PME utilisent en général les DNS de leur fournisseur d'accès qui eux, auront fait la mise à jour. De plus, ils font face tous les jours à ce même type de désastre avec le phishing qui affecte très facilement leur système ... sous Windows.
Bref, si c'est bien cet expert en sécurité qui vous a dit ça, les PME et toutes les autres sociétés ont de quoi s'inquiéter.
Vive Linux
A tous ceux qui se sentaient invulnérable ;-)hehe
ils doivent être sympatiques les cheques de microsoft à l'ordre de M. Israel...il a raison
Il a raison, linux est le péché originel.alquaida prépare ses plans machiavéliques sous linux.
cette faille générale est sûrement du à un terroriste de linuxien, qui a fomenté une faille pour attaquer ensuite en vil.
est-ce que j'ai dit que linux était la cause de tous maux, de la crise des subprimes, de la crise immobilière, de l'album de carla sarkozy ?
réponses aux commentaires tendancieux
Cet article est le résultat rapide d'une conversation téléphonique avec un journaliste qui essaye de couvrir un évenement de sécurité sans pour autant avoir le niveau - et c'est normal - pour comprendre les tenants et aboutissants techniques du protocole DNS. Ceci étant dit, tous les commentateurs sous l'article sont sourcés de Linuxiens convaincus et informaticiens de leur état. Je n'ai aucun intérêt chez Microsoft, ni aucun d'aucune sorte chez qui que ce soit. Je m'en fiche complètement. Ubuntu est fantastique. Vista est fantastique. Que le meilleur gagne. Mais qu'en est-il des patches de Madame Michu ? Est-ce que l'internaute de base sait qu'il peut arriver sur un faux site bancaire sans meme s'en rendre compte ? Notre role -la communauté des informaticiens- est de sensibiliser les gens sur la sécurité informatique et c'est très complexe que de couvrir un sujet pointu en des mots simples. Donc je vous invite à concevoir puis publier un article sur "comment patcher Linux pour les nuls" et ensuite je posterai à mon tour des commentaires ;)attendez la suite...
Dan Kaminsky, qui est à l'origine de la publication de la faille, devrait publier tous les détails de l'attaque et de la vulnérabilité lors de la conférence Black Hat le 7 Aout à Las vegas. il y a donc peut-être des éléments importants qui n'ont pas encore été révélés. J'y serai et je recolterai toute information utile pour la communauté Française. Par ailleurs, les utilisateurs ne devraient pas etre "root" sous Unix, mais le fait est, qu'ils le sont souvent et donc le fichier hosts est tout à fait modifiable y compris chez les fameux "pros" qui hébergent des milliers de sites - je l'ai vu de mes yeux lors d'audits ou de tests d'intrusion. Le reste de la phrase sur le fonctionnement des fichiers hosts et du DNS est du à une incompréhension de mes propos lors de l'échange téléphonique.Le bordel chez les client zonelabs
La correction de la faille de microsoft (via la mise a jour windows update) a entrainé la coupure internet de tous les PC possédant zone alarm. Il n'y a pas de fix pour l'instant : http://download.zonealarm.com/bin/free/pressReleases/2008/LossOfInternetAccessIssue.htmlcf la panique sur le forum de zonelabs : http://forum.zonelabs.org/zonelabs/board?board.id=access
Etonnant !
-------------------------Ce fichier retrace toutes les adresses IP consultées, quelqu?un qui s?y introduirait aurait alors accès à une multitude de données.
Ce type de problème est pour l?instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n?ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.
--------------------------------------------------
Bizarre mais je me souvient pas avoir vu un listing des adresse ip visité dans ce fichier...
Un fichier host ne trace normalement aucune adresse IP consultées mais uniquement l'association adresse web ip.
Et ces lignes ne s'ajoutent pas lors de la navigation mais volontairement via un programme (qu'il soit 'officiel' ou 'malveillant').
De plus un fichier host sous windows est bien plus vulnérable que sous linux du fait de l'absence de gestion de droit d'accès des fichiers.
Windows Vista corrige (enfin!) ce problème qui est totalement inexistant sous gnu/linux car il faut un accès root pour pouvoir le lire et/ou modifier.
-------------------------
Mais que fait-on pour Linux, combien de temps va durer cette faille ?
-------------------------
Ce passage est tout aussi surprenant ! Les failles de sécurité sous linux sont quasiment corrigés entre 1 et 7 jours après leur apparition. La preuve la mise à jour à eu lieu automatiquement chez moi aujourd'hui
(signalée en tant que mise à jour critique et de ce fait installé automatiquement)
"The big one"
"The big one" dont il parle dans l'article se réfère bien sûr à la faille découverte dans la prise en charge de SSL, et n'a rien à voir avec l'alerte DNS !La faille de cryptographie (liée à un générateur de nombre pseudo-aléatoires à séquences trop prévisibles) a contraint les administrateur à re-générer les mots de passe de comptes unix, d'où la phrase de Mr Israel "la grande remise à zéro"...
"Patcher Ubuntu pour les nuls"
Si vous voyez une icone en forme de triangle rouge en haut a droite de votre écran avec dans une bulle d'information le message "des mises à jour de sécurité sont disponibles pour votre système", cliquez dessus. Dans le fenêtre qui s'ouvre, cliquez sur "installer les mises à jour". Patientez. Fermez la fenêtre quand elle vous annonce que les mises à jour sont installés. 95% du temps il est inutile de redémarrer après une mise a jour. Si c'est le cas, le système vous en informera.Voila. Incroyable, c'est juste aussi simple que Windows Update... A la différence que cela n'installe pas de spyware tels que WGA...
Merci à tous....
... merci les pro et anti-Linux, merci les pro et anti-Windows/Krosoft et tutti quanti, merci les trolls, merci !Là au moins je ne comprends plus rien à rien. Je suis un stupide et banal utilisateur du Net, sans connaissance technique profonde. QUE DOIS-JE FAIRE A PART RESILIER MON ABONNEMENT ET COUPER TOUT ACCES AU NET ? Et encore, suis-je sûr que même éteint mon PC ou Mac ne sera pas attaqué et mon compte en banque piraté ?
Soyez, pour une fois, simples et clairs pour le citoyen-internaute Lambda au lieu d'étaler vos connaissances (toujours fatalement partielles) et de vous envoyer des skuds dans tous les sens: C'EST TOUT CE QUE DEMANDE le petit peuple au lieu de guerres de religion. Mais sans doute est-ce trop difficile... et n'y a-t-il techniquement qu'une vérité, oui ou non ?
M.
Cet article mérite une ré-écriture. En attendant, voyez les articles associés du même journaliste sur le même sujet.Pour les commentaires : avant de mettre le feu vérifiez les sources...
Ce n'est pas forcément M. Israël qui est incompétent, c'est l'article qui donne cette impression. Article qui prend la forme d'un dialogue pour faire croire que les propos transcrits sont fidèles, alors qu'ils sont toujours modifiés par le journaliste, pour des raisons diverses comme :
- la mise en page (coco, trois paragraphes ton article...)
- la correction (si l'interviewé se trompe, bafouille, ou se reprend, voire même fait des fautes de français...)
- d'autre raisons (il y en a toujours...)
C'est le jeu, il faut le savoir.
Cela dit l'effet que me fait la lecture de cet article est en effet que quelqu'un a simplifié outrageusement des explications techniques qu'il n'a pas vraiment maîtrisées, et qu'il est impossible d'en tirer quoi que ce soit.
Voyez plutôt les autres articles (du même journaliste, vous voyez qu'il n'est pas si mauvais non plus) relatifs à la faille DNS : il cite ses sources. Allez voir les sources.
Oui, le ton général est anti-linux. C'est la vie. Tout le monde n'est pas pro-linux. Cela dit, c'est la présentation par le journaliste qui est (involontairement ?) anti-linux, en mettant en avant la facilité de mise à jour par windows update, comme si monsieur tout le monde avait un serveur DNS à gérer chez lui.
La faille était connue, elle était sérieuse, mais ce fait ne justifie pas à lui seul un tel battage.
Ce qui le justifie (peut-être ?) est la décision de tous les acteurs de mettre en oeuvre un correctif sur un bug connu depuis longtemps AVANT que quelqu'un s'en serve pour faire réellement de gros dégats (Si c'est le cas).
Mon commentaire, en résumé, cet article mérite une ré-écriture, peut-être avec M. Israel. En attendant, voyez plutôt les articles associés du même auteur sur le même sujet.
à l'attention de Mauro Israël
Cher Mauro,Naviguant au grès de l'information, je tombe sur votre commentaire concernant Linux et plus particulièrement Ubuntu.
J'ai bien pris note que vos dires ont visiblement été mal interprétés, mais je souhaiterai qu'un "fix" soit appliqué à cet article car certaines des informations mentionnées, au delà d'être erronées, donnent la sensation de propagande.
Ne remettant pas en cause vos connaissances en la matière, j'ai du mal à comprendre que vous laissiez passer, je cite :
"Ce type de problème est pour l?instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n?ont, à mon sens, aucune maîtrise réelle sur ce type de dangers."
Admettons que l'utilisateur averti ait lu vos commentaires, il fera l'impasse sur cette phrase et acceptera le fait qu'il y ait eu une mauvaise communication. Mais Quid des de madame Michu (pour reprendre vos expressions) ? Lire ce genre de phrase ne pousse pas à l'utilisation du Manchot et véhicule une mauvaise image de la banquise avec des informations totalement erronées et j'irai jusqu'à dire complètement hors-sujet (la relation entre le fichier hosts et le DNS est un raccouris innaproprié et dangereux).
Sans compter sur le fait que vous véhiculez des fausses informations sur linux, vous faites de même pour Vista, propageant une idée de sécurité, ici encore, l'utilisateur averti saura trier les informations, mais quid de madame Michu qui va suivre vos dires aveuglément ?
Patyulaire.
Windows vs Linux
Ce type de problème est pour l?instant maîtrisésous Windows, mais Linux et surtout Ubuntu
n?ont, à mon sens, aucune maîtrise réelle sur
ce type de dangers.
J'ai besoin qu'on m'éclaircisse. Si je comprends bien, le pbm vient qu'il existe un moyen de modifier le fichier host.
Sous windows, la plupart des gens sont admin de leur poste = il peuvent modifier ce fichier avec leur compte donc un virus aussi.
Sous linux, je ne connais personne qui travaille avec le compte "root".
Alors comment peut-on dire que sur ce cas, Linux est plus exposé que Windows?
(question non ironique qui attend la réponse d'un expert)
Madame Michu
Que ça soit sous Windows, sous n'importe quelle distribution Linux moderne (Debian, Ubuntu, Fedora, CentOS, RedHat...), sous MacOSX., la mise à jour se passera de la même manière.Monsieur Israël, et je réagit non pas à l'article mais à votre commentaire, vous ne pouvez pas avoir utilisé d'autre système que Windows pour tenir vos propos. Le Windows Update déploie automatiquement des correctifs, on est d'accord. Mais encore faut-il que les mises à jour automatiques soient activées sur le système. C'est la même histoire que pour les Linux. Quand à MacOSX, il cherche tout seul les mises à jour, par défaut !
Et les outils comme spybot
Bonjour à tous les fous furieux de l'os,Que peux t'on dire des logiciels, comme spybot par exemple, qui vaccine ce fameux fichier "Hosts" en rajoutant les sites malveillant avec l'adresse ip de loopback afin de pointer sur sa propre machine (127.0.0.1) ne serait ce pas la solution à tous ces problèmes ... ;-)
Mme Michu
Si ça peut vous rassurer, ça m'étonnerais que Mme Michu commence seulement à lire cet article. Pour lire des news sur une faille dns, il faut déjà savoir ce que ça signifie, ce qui est loin d'être le cas de tout le monde.Désinformation ou mal-information
Je pense qu'il y a ici un problème de communication : Mr Israël s'est mal expliqué, ou le journaliste à mal interprété ses propos.Toujours est-il que :
1) Mme Michu ne gère aucun Serveur DNS (son FAI le fait pour elle).
2) Le fichier /etc/host n'est pas modifiable par Mme Michu sous Linux. Seul Mr Root (dit le poilu) le peut.
3) Même sous Linux, il y a des outils de mise à jour automatique - incroyable ! C'est moderne linux alors ? - ben oui.
4) Même sous Windows, les outils de mise à jour automatique ne marchent pas toujours. J'ai des postes sous XP avec windows update configuré pour appliquer automatiquement les correctifs, avec des utilisateurs non-administrateur, et je retrouve encore de vieilles machines avec des mois de correctifs en retard, à cause de WGA qui demande une intervention manuelle.
Bref, rien n'est parfait,.
La faille concerne les serveurs DNS.
Mme Michu peut continuer d'utiliser Ubuntu, Mandriva, ou n'importe quelle distrib linux en toute sécurité.
Maintenant, des admin qui laissent des failles sur des serveurs accessibles sur internet, il y en a toujours eu, que ce soit sous Windows, sous Linux, sous Solaris, sous AIX, sous OS400, ou sous n'importe quel système.
Les FAI, les registars, les mainteneurs des DNS racines (bref, tous les acteurs du nommage), on intérêt à sécuriser leurs installations.
Désinformation et mensonge
Cet article est une publicité pour windows, pas un article technique:Il est clair que le problème du phishing est l?élément central de ce type d?attaque.
C'est effectivement un des buts.
D?ordinaire la parade simple est de réussir à savoir qu?il s?agit bien d?hameçonnage,
Belle lapalissade, ne contenant aucune information.
Imaginons que le détournement se fasse alors sans intervention humaine, que l?erreur s?instille directement dans la machine, que fait-on ? (silence).
Cette phrase laisse entendre que les "hacks" et les "pishings" se déroulent spontanément. Ce n'est jamais le cas, pour qu'un type pirate un DNS il faut un type pour pirater un DNS (c'est la journée lapalissade).
De plus que les commandes de piratage soient tapées au clavier ou lancées par un script, cela ne change rien.
En utilisant cette faille, c?est un peu comme si personne n?avait les moyens de se rendre compte qu?un site est devenu malveillant.
En utilisant cette faille, il faut un autre moyen que l'adresse IP du site pour ce rendre compte qu'il est mal veillant.
Ces moyens existent, je vais prendre l'exemple de yahoo mail:
yahoo mail propose à l'utilisateur de stocker de manière cryptée une image sur son disque et conserve la clef de déchiffrement. Seul le vrai site yahoo a cette clef et peut l'utiliser pour afficher l'image et protéger l'utilisateur du pishing.
Pour mieux combattre la faille, il faut avoir les moyens de la connaître. Quels est, à l?heure actuelle, l?état des connaissances techniques sur cette faille ?
Un moyen détourné de dire : j'y connais rien, mais il vous faut avoir peur.
Quels sont actuellement les moyens techniques pour EXPLOITER cette faille, EXISTENT-ils, aurait été la bonne question à poser.
Chaque poste possède ce qui s?appelle un fichier hosts qui existe sous forme de fichier texte. Si l?on est capable de modifier ce fichier, on prend alors le pas sur le Domain Name System.
Certes, le fichier host joue le rôle de DNS local, en le piratant, on peut effectivement réaliser du pishing. Ceci nescessite de pirater CHAQUE machine cible, ce qui est difficile pour un pishing a grande échelle.
Cette infection nescessite (sur windows et linux) de s'acaparer des droits administrateurs, une fois ces droits posséder, le piratage du fichier nost n'est qu'une des multiples nuisances que peut faire le pirate puisqu'il a alors un accès total à la machine.
Ce fichier n'est donc pas une faille en sois, c'est le moyen de prendre le contrôle de la machine qui est LA faille.
Il existe des méthodes de protections, comme calculer un MDM5 du fichier pour vérifier son authenticité (et ce sous windows et linux), restreindre ses droits d'accès (idem).
Ce type de problème est pour l?instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n?ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.
Aucune preuve. Le problème est un problème général de la prise de contrôle a distance d'un ordinateur, et il me semble que LINUX s'en sors mieux que windows. Aucun Hack spécifique au piratage du fichier host n'a été publié que ce soit sur l'un ou l'autre des OS, ou alors je demande à l'auteur de bien vouloir citer ses sources.
A ce sujet, pensez-vous que les grands acteurs du monde de l?informatique et de la sécurité se sont réunis autour d?une table pour parler gouvernance ?
Non, les gens ne se réunissent pas pour discuter chimères. Le fichier host n'est pas une faille, c'est l'acces administrateur a la machine qui en est une, je radote.
Honnêtement j?aurais aimé y croire. Mais il faut bien dire qu?il n?y a pas eu de Table Ronde de la sécurité. Pour preuve, il suffit d'observer le moment où ont été effectués les correctifs des entreprises.
Quel correctif?
De quelle faille?
Quelles sont les sources?
Les mises à jour s?étalent du 21 avril (Alcatel) au 8 juillet (Microsoft). Entre temps, D-Link a patché le 5 mai puis le 6 juin et enfin le 3 juillet c'était au tour de Dragonfly? Il n?y a donc pas eu d?alliances à proprement parler puisque qu?il n?y a pas eu de synchronisation.
Ce post dit que lorsqu'un patch est pret pour un OS truc, il faudrait attendre que les OS machins bidule et muche aient eux aussi leurs patchs pour une mesure synchronisée, c'est évidement débile, n'importe quel expert en sécurité sais que le plus tot c'est le mieux, pour un correctif efficace.
On peut néanmoins affirmer que des échanges technologiques entre concurrents se sont produits.
Quels échanges ?
Quelles informations?
Quels concurents?
Quelle sources?
Entrons dans le vif du sujet. Comment a pu être exploitée cette faille ? Et surtout a t?on des preuves qu'elle a déjà été utilisée par des pirates ?
Bien justement des preuves des preuves des preuves... et le host n'est toujours pas une faille, c'est la possibilité de le modifier qui en est une.
Il faut d?abord lever le voile. Cette faille est connue depuis 1974, date à laquelle j?attribue l?invention d?Internet.
C'est surprenant de voir qu'avec une telle psedo faille internet aie survécu.
La faille permet de s?insérer dans un dialogue et d?en modifier la réponse.
Oui : cette info est vraie.
Je vais expliquer ce qu'est un fichier host et un DNS : les ordinateurs sont reprérés par des IP (des chiffres) et l'utilisateur tappe des adresses (ex http://www.google.fr) et il faut donc faire la traduction adresse -- IP.
C'est le rôle du DNS.
Or chaque machine a localement dans son fichier host des règles d'association adresse -- IP.
Si l'ordinateur trouve la traduction d'une adresse dans le fichier host il utilise cette traduction, sinon il demande au réseau.
Cette technique évite d'avoir a demander au réseau de traduire chaque adresse a chaque fois et permet de gagner du temps et d'économiser de la bande passante.
Evidement si le fichier host est faux, on va arriver sur un mauvais site d'où le pishing.
Pour pirater il faut donc modifier le fichier host de chaque machine cible.
L?attaque est structurelle car un serveur DNS est obligatoire si vous voulez vous connecter au Net.
Oui.
Fatalement tout le monde est touché.
Non seules les personnes qui ont un ordinateur sur lequel un pirate peut modifier le fichier host le seront.
A la loupe, on se rend compte qu?il s?agit de failles liées à l?OS.
Il s'agit de failles liées à la prise de contrôle de son ordinateur à distance, c'est du à l'OS au firewall, à l'utilisateur, en fait c'est une faille due à toutes les faiblesses possibles.
Le moment critique se situe au moment de la séquence de questionnement. Je m?explique : si vous lancez une requête DNS à partir, par exemple, du port 53 UDP, la réponse que vous allez obtenir n?est pas du tout due au hasard.
Là il explique que quand on interroge un serveur il ne réponds pas n'importe quoi : oui effectivement, ca ressemblerait a quoi internet si on recevait que des paquets aléatoires? Le n° du port et le protocole (UDP ici) ne sont employés que pour introduire du vocabulaire technique dans l'article mais sont sans rapport avec le sujet abordé.
Il faut savoir que ce que l?on appelle le dialogue du port est prévisible et peut être calculé.
Oui et alors !
Ce qui nous fait comprendre qu?à partir de là , hé bien, tout est possible?
Donc si vous pouvez prédire qu'un type qui se connecte a google.fr va afficher la page google.fr sur son ordinateur, et bien vous savez pirater.
Hum, c'est pas un peu faux ca comme raisonnement? voir franchement un mensonge?
Si tout le monde est touché, quelle posture faut-il adopter ?
Pour toucher tout le monde il faudrait pirater tous les fichiers host de tous les ordinateurs du monde et en même temps.
Existe-t-il-des solutions à part le système de patchs ?
Oui cf plus haut.
- Cryptage du fichier host
- Autentification du site distant sur la machine client (ex yahoo mail)
- Controle par hash du fichier host.
- Interdire l'acces administrateur à distance
- protéger sa machine par un contrôle total à distance par un pirate (un sécurité normale)
Il faut bien comprendre une chose. Microsoft a été touché ainsi que tous les Unix.
Des preuves des preuves des preuves?
Grâce à Windows Update, on peut sécuriser son système. Mais que fait-on pour Linux,
Linux intègre lui aussi un système de mise à jour de sécurité, de plus les failles de prise de contrôle d'ordinateur à distance sont moins fréquentes sur les postes Linux par rapport aux postes windows.
combien de temps va durer cette faille ?
A elle seulement existée?
Il faut bien savoir qu?il y a quelques mois, on a frôlé le " Big One", le jour où tous les comptes ont été remis à zéro.
Quel big one?
Quels comptes?
Qu'est ce qui a été remis à zéro?
Il faut continuer la sensibilisation des entreprises et encourager les patchs. Pas seulement sous Windows mais pour Unix, Linux, et toutes les appliances de type routeurs, firewalls, serveurs de mails?
Les généralités c'est beau, ca fait savent, mais ca fait des erreurs:
Un routeur n'a rien à voir avec un DNS il utilise les IP pas les adresses et n'a pas de ficher host.
Face à cette faille, le sentiment général est, quelque part, de se sentir tous concernés.
Alarmisme gratuit.
Quelle réflexion vous évoque la révélation de cette faille aux yeux du monde ?
Rien , ce n'est pas une faille.
Le système d?alertes, en tout cas pour la France, est loin d?être efficace.
Parce qu'il y a des experts compétants qui vous on ri au nez?
C?est un désastre pour les PME qui n?ont aucun moyen de préparer des contre-mesures, quant aux grands groupes ils sont obligés de prendre des risques énormes car il faut avouer que dans de nombreux cas, leur politique est? de ne rien faire.
Quels sont les chiffres?
Combien de PME sont touchées?
Quelle est le rapport entre une faille due à l'OS comme affirmé a tord précédament, et la taille de l'entreprise?
Et puis c'est les editeurs d'OS qui doivent dépenser les sous pour produire les patchs, pas les utilisateurs non? alors quel est le rapport avec les PME?
Le DNS est une chose trop " instable " pour qu?on la laisse sans protection.
Tellement instable qu'internet n'a jamais fonctionné ;)
Il faudrait une sorte de SecureDNS qui permettrait un cryptage des données. Sans quoi le risque sera toujours bien présent.
Avec des données cryptées, non seulement celà impose de changer toutes les machines de routage du monde, de s'assurer que chaque machine aie la clef de décryptage mais qu'aucun pirate ne la possède, et en plus ca empècherait de détecter le pishing car si les adresses sont cryptées, comment savoir si ce sont les bonnes?
Quelques remarques :
S'il est vrai qu'une corruption du DNS ouvrirait la voie à des attaques de type "phishing" entre autres, en tant qu'internaute abonné chez son FAI, on ne peut qu'espérer que les correctifs seront efficaces.En effet si la faille est une faille DNS, le particulier n'a aucune possibilité d'y remédier quel que soit son système d'exploitation : je serais curieux de savoir qui possède un serveur DNS chez soi, à fortiori parmi les personnes qui n'ont q'une connaissance sommaire de l'informatique et des réseaux. Les patches sont plutôt du ressort du FAI (set top box et serveurs DNS), des hébergeurs et des fournisseurs d'équipement réseaux (quand l'équipement ne se contente pas de transférer les paquets).
Quand on parle de détournement sans intervention humaine, je suis étonné : la corruption du cache DNS se ferait d'elle même, sans qu'une mise à jour du serveur de nom ne soit déclenché par une personne malveillante?
Enfin, je cite : "Ce type de problème est pour l?instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n?ont, à mon sens, aucune maîtrise réelle sur ce type de dangers"
Qu'on discute des avantages et inconvénients de tel ou tel système d'exploitation, soit, mais balancer ce genre de contrevérité à l'intérieur d'un article dont ce n'est pas l'objet et de plus sans aucun argument précis pour l'étayer (une corruption du fichiers etc/hosts est toujours possible quand on a des droits d'administrateurs quel que soit le système d'exploitation), cela relève de la désinformation.
Sur certains points, l'article mériterait pour le moins une relecture et une correction.
Quand on veut tuer son chien on dit qu'il a la rage
C'est marrant le nombre d'hommes politiques ou autres qui n'ont jamais prononcé telle ou telle phrase, mais que le journaliste a mal interprétée, même si les interviewés ont quasi tous un droit de relecture avant publication. Ce n'est jamais la faute de l'interviewé.Mr Israël, vous n'avez pas eu de droit de relecture ? J'en suis très étonné ? Vous ne souhaitez pas faire corriger vos propos mal compris ?
minority report
En lisant les commentaires à l'article qui m'est attribué je suis consterné.0- Il s'agit d'une interview téléphonique et je n'ai jamais eu à relire ou à rectifier l'article. Mes propos ont été (je pense involontairement) déformés notamment sur les constats du système de patches et de la comparaison que j'avais faite entre windows et linux. Qu'il soit parfaitement clair que je me fiche de la marque du système pourvu qu'il soit sécurisé, ce qui est loin d'etre le cas, sans parler d'Internet qui a besoin d'amélioratons de sécurité à presque tous les étages.
1- L'explication sur le fichier hosts est fantaisiste et c'est incroyable qu'un lecteur puisse croire qu'un expert ait pu ecrire cela. Les pros auront donc compris que le but du journalisme est de faire du buzz et c'était de ce point de vue très réussi... Dès la lecture de l'article j'ai envoyé un correctif du texte pour rétablir mes propos et j'attends donc de la part de silicon.fr une mise en ligne de l'article tel qu'il corresponde à mes propos.
2- La fait que l'article ait été repris automatiquement sur des dizaines de sites web et sur Google news en quelques minutes sans meme que j'aie pu le lire ou apporter des corrections me fait très peur...
3- Presque tous les systèmes Unix ou Windows sont en patch automatique par défaut, mais pas les routeurs ou les appliances. J'ai dit au journaliste que mon expérience d'auditeur sur le terrain fait qu'en réalité les patches n'étaient pas appliqués sur la quasi totalité des systèmes Unix notamment pour deux cibles de la faille: les fournisseurs d'accès et d'hebergement et les grandes entreprises. J'ai dit également que pour les PME et les particuliers la question ne se posait pas, étant totalement liés et dépendants de la sécurité de leur FAI, qui n'est pas prouvée. C'est ma réalité statistique incontournable.
4- Cela implique un changement d'attitude des admins qui ne doivent pas continuer à :
- se logguer en root ou admin
- laisser la distrib dans son état initial
5- Il faut donc donner l'alerte et patcher d'urgence tous les systèmes BIND et autres serveurs DNS sur les serveurs, routeurs, appliances et vérifier que le fichier hosts n'est pas accessible par l'utilisateur en mode admin sur les postes clients
6- Verifier d'urgence que son FAI ou son serveur DNS d'entreprise est bien patché et non vulnérable en testant sur le site:
http://www.doxpara.com/
7- bien demander à un journaliste de vous faire lire l'article issu d'une interview avant de le publier, si un jour vous vous trouvez dans la meme situation que moi...
8- je vous donnerai le 7 aout plus d'informations d'un article que j'écrirai depuis la Black Hat en faisant l'interview de Dan Kaminsky
9- Cependant je ne vous en veux pas de vos commentaires désobligeants voire diffamatoires, et je continuerai mon travail, car il vaut mieux alerter sur les vulnérabilités importantes voire fatales que de laisser les gens dans l'ignorance du risque pour etre bien considéré... "minority report"
Mauro Israel
Pardon accordé...
Merci pour les commentaires-de M. Israel qui remettent l'article dans son contexte,
-des autres internautes qui ont tout de suite su évaluer le degré de qualité de l'article,
Mon commentaire précédent n'avait pas été publié, peut-être a-t-il été considéré comme *presque* diffamatoire. Ce n'est pas grave.
L'important c'est que la vérité et que la qualité soit gagnantes.
Cet article prouve que les internautes ont pris l'habitude de s'impliquer dans l'amélioration de tout ce qu'ils trouvent sur internet, grace à plus en plus de moyens mis à leur disposition. Je sors du sujet sur cette note positive.
a+, =)
-=Finiderire=-
Un peu de recul ? Ce n'est ni windows ni linux le problème.
Je n'ai pas eu personnellement accès à la publication de Dan mais je crois comprendre qu'il s'agit d'une attaque effectivement "vieille comme internet". Elle s'appel Birthday attack en anglais, ou paradoxe de l'anniversaire en francais.Un exemple ? A partir de combien de personnes dans une salle a t'on une chance sur deux que deux d'entres-elles soient nées le même jour ?
Réponse : 23. Surprenant non ? Le problème c'est qu'il n'y a que 365 jours dans l'année et donc "l'univers des possibilités" est petit.
Dans le cas du DNS, la communication est "protégée" par le choix d'un numéro de séquence. Dans les débuts du système DNS, c'était 1 puis 2 puis 3 etc... Il était possible de répondre à la place du serveur (une réponse fausse) en envoyant une réponse truqué avec un numéro 1 puis 2 puis 3 etc... Et, quand on envoi le paquet avec le numéro attendu par le client, bingo, il y croit, le site de votre banque devient une réplique sur un serveur pirate qui récupère vos mots de passes...
Ensuite on a compliqué la chose avec un peu d'aléa, mais visiblement l'aléa est toujours "trop faible", si le papier de Dan est bien une nouvelle implémentation de la birthday attack. Il semble que ce soit plus précisément le numéro de port source de la réponse qui soit en cause ? Nous en saurons plus à la prochaine Blackhat :)
Si vous voulez plus d'info, j'avais fais une vulgarisation du concept d'empoisonnement DNS et de "birthday attack" sur mon site web : http://www.nbs-system.com/dossiers/article-empoisonnement-dns-1.html
Mais la seule VRAIE question, c'est celle posée par Mauro et par notre utilisateur. Comment le commun des mortels se protège ? Linux, très bien, XP très bien aussi, mais là n'est pas le problème posé. Le vrai problème c'est que cette attaque est quasi invisible même pour un pro. Alors que dois faire l'utilisateur final ? A mon sens c'est là dessus qu'on devrait argumenter et surtout reprocher aux instances IETF, aux gouvernants et aux "big chiefs" de ne pas avoir fait un mouvement significatif pour mieux protéger ce pilier fondamental d'Internet (alors qu'une solution existe et est connue depuis longtemps).
Je connais Mauro personnellement et il est loin d'être l'incompétent que certains semble décrire. C'est un expert avec lequel j'ai travaillé et réfléchis sur des travaux, avec grand plaisir. Par ailleurs beaucoup d'entre vous se méprennent sur son OS de prédilection ;)
J'ai également publié des articles de sécurité que des journalistes ont joyeusement ré-interprêté pour que le "public" comprenne.
Une vulgarisation est un art difficile, d'autant plus quand elle est réinterprêtée par un non spécialiste. Mais merci aux médias de relayer l'info, même partiellement, même parfois de manière imprécise. L'important c'est d'en parler, de sensibiliser.
Et puis si tous les éditeurs arrêtaient de se repomper du code en permanence, ils ne seraient peut être pas tous obligés de corriger les mêmes bétises... Learn 2 code guyz... Ca me rappel une bonne vieille faille telnet tout ca...
fail DNS
Non mais de qui se fout-on??? en fait chez windows il on enfin trouvé une petite parade... c'est à dire qu'il corrige 30 à 40 % des problème DNSAlors faut le crier sur les toit!!!!
" attention faille de sécurité enorme! heureusement vous êtes chez windaube car chez nous dès qu'on détècte une problème on le corrige "
B'un voyons
Mais cette faille existait déja depuis 1992!
Mais est ce qu'on parle des faille de sécurité lié au langage binaire... Non? ah les hacker on encors du temps devant eux! si vous avez peur! la solution! ressortez votre Remington (la machine à écrire)
La vraie cause : l'Exploitation est prioritaire sur la Sécurité !
Pour que l'on vive dans le meilleur des mondes, il faudrait que tout le monde réinstalle une version plus récente et efficace d'un serveur DNS sécurisé.Peu importe que ce soit Linux / *Nix / Windows. Le protocole est intrinsèquement faible, les correctifs apportés (comme souvent sur les protocoles fondamentaux) ne sont souvent que des cannes.
Encore une fois ce n'est pas le soucis des Windows ou des *Nix. La randomization des ports aiderai considérablement à endiguer cette faille, mais comme d'habitude, faire patcher l'ensemble du parc serveur, c'est quasi impossible.
Si on veut arrêter de se déplacer en déambulateur, il faut patcher globalement tous les services DNS. Le soucis de fond c'est qu'on a encore des serveurs infectés par des worms d'il y a 4 ans... Comment dans ces conditions faire confiance à toute la communauté des administrateurs pour passer des patchs sur les fondamentaux, sur tout le parc exhaustivement ?
Un admin Windows n'est pas nativement un irresponsable et un admin *Nix un dieu, c'est dans la globalité du parc qu'il faut penser. De la borne wifi à deux euros qui dors depuis 6 ans dans le placard, aux serveurs, aux routeurs Cisco ou Juniper qui prennent 2 metres cubes dans les salles d'hébergement, le boulot est gigantesque.
La compatibilité ascendante nous plombe, comme souvent et à moins d'organiser un "patch day" mondial, on arrivera pas à bout de ce genre de problème...
TCP/IP V6 est le meilleur exemple de ce soucis. C'est intrinsèquement une bonne solution, meilleure en tout cas que le V4 mais on ne peut pas forcer tout le monde à l'adopter donc sa mise en place n'avance pas et on se trainera la V4 pendant encore 10 ans minimum.
Je travail dans le monde du pentest (test d'intrusion) et je peux te dire, pour le constater tous les jours : les machines/serveurs/équipements pas à jour sont légion et c'est la plupart du temps l'exploitation qui prime sur la sécurité.
En gros je patch pas mon gros serveur qui gère toute ma baraque de peur que tout pète et que ma prod s'arrete. Et cette politique, d'année en année, c'est de pire en pire comme raisonnement. Le jour ou il FAUT patcher sinon l'exploitation s'arrête, eh bien il faut faire une réinstall quasiement car il y a tout à patcher et pas un seul composant logiciel.
Quand tu trouve encore du Bind 8 ou plus vieux, comment peut on croire que tout le monde va mettre en place un service plus récent ?
La compatibilité ascendante, ca plombe tout.
C'est pour ca que certains composants des *Nix sont pourrit, c'est pour ca également que de nombreuses hérésies sont encore d'actualité sous Windows.
Il faut faire comme pour le mail, tagger les serveurs DNS qui ne randomize pas comme "unsafe", comme "tainted" et déconseiller aux utilisateurs de leurs faire confiance ou meme bloquer la navigation/transaction.
La contrainte, c'est à peu de chose prêt la seule solution. Les gens ne sont pas responsables par habitude, il le deviennent parcequ'ils ne peuvent pas faire autrement, les admins comme les autres.
Je crois avoir l'info
Bon, ce n'est qu'une supposition, mais elle me semble assez crédible :Il semblerait que l'attaque ne soit pas une birthday attack. En fait c'est peut être bien pire.
Mais déjà , pourquoi tout le monde est touché ? (*Nix, Microsoft, Cisco etc...)
Parce que l'industrie du développement est composée de deux populations. Ceux qui en écrivant "hello world" sont à la limite de leurs capacités et ceux qui concoivent, créer, invente et implémente du "nouveau" code.
Comprenez bien que dans le système de "briques" logiciel, il y a 95% de repompe et de copier/coller de ces personnes compétentes par les "hello worlder". Du coup pour le DNS, tout le monde regarde le code de Bind qui est fournit gratuitement par l'ISC.
(D'un autre coté recoder tout les jours un printf ou un malloc ca sert à rien non plus, par contre avoir le sien c'est bien)
Du coup, pourquoi passer des mois à redévelopper quelque chose de complexe alors qu'on a une version gratuite qui marche, qui est très largement auditer et que tout le monde utilise (donc pas de soucis de compatibilité) ? On va embaucher des coders niveau "hello world", pas cher, et leur demander d'adapter ca, on va gagner du temps et (beaucoup) d'argent.
Pour le cas des systèmes opensource, c'est légèrement différent puisque, nativement, tout ce beau monde se coordonne pour ne pas tout réécrire et repartir de bases stables, sans que la problématique de l'argent ne soit le centre du problème. La plupart du temps, c'est également une communauté de développeurs chevronnés mais avec une autre faille : ils se font confiance sans trop se poser de questions, sans trop relire le voisin et répliquent également les bases existante pour apporter leur brique fonctionnelle à eux pour créer quelque chose qui n'existe pas encore... (par ex : La team PHP/Zend n'a probablement pas relu tout le code d'Apache avant de se lancer)
Il n'y a, à ma connaissance, que DJ Bernstein qui refait tout de zéro, DJBDNS, Qmail etc... (et ca pose d'autres problèmes d'ailleurs, mais beaucoup moins en terme de sécurité, il faut bien le reconnaitre)
Du coup, il semble que l'implémentation de l'équipe de l'ISC ait eu une belle vulnérabilité, mais laquelle ? Je tente de faire le devin, au risque de me planter.
Amit Klein, il y a un an, a décelé une faille majeure dans Bind 9 :
Le système qui sert à générer les TID (Transaction ID) semble vulnérable dans l'implémentation de Bind (et donc de beaucoup d'autres). Les générateurs LFSR qui servent à préparer les TID ont un défaut de conception majeur. En chainant les CNAME une quinzaine de fois environ, il devient possible à l'attaquant, qui aurait leurré un utilisateur sur son propre site, de provoquer "l'assechement" des possiblités du LFSR. Cela rend possible la prédiction du TID qui va être utilisé par le DNS.
Du coup l'attaque passe dans plus de cas, avec beaucoup (en gros 1 à 10...) moins de paquets et depuis l'extérieur du réseau local...
Une VRAIE grosse faille majeure qui fait TRES mal et qui est passée complètement inaperçue.
Peut être de Kaminsky et Klein ont travaillé ensemble pour que l'industrie coordonne un patch global. Ca pourrait prendre un an, ce qui correspondrait à la date de parution du premier papier de Klein sur cette vulnérabilité majeure.
Kaminsky a peut être (tout cela n'est que conjecture je vous l'accorde mais des indices concordent en ce sens) amélioré l'attaque de Klein en la rendant générique ou bien il l'a combiné avec d'autres failles, DNS pinning par exemple ?
Les recherches sont en cours dans tous les bons labos de sécurité de part le monde. Il me semble probable que ce soit cette piste qui soit à l'origine de tout le barda du moment. Cependant, avant que D.Kaminsky n'ait publié son papier à la Blackhat 2008, on ne pourra que supposer qu'il n'a pas trouvé encore pire...(ce dont il est capable)
Pour les gens qui sont dans la technique & qui parle anglais (et qui veulent savoir et non polémiquer sur Windows Vs Linux) :
Le papier d'Amit Klein :
http://www.securiteam.com/securitynews/5VP0L0UM0A.html
Klein est un expert de pointe sur le sujet DNS et qui a probablement participer ou discuter avec Kaminsky.
De plus, pour renforcer cette double hypothèse, le système DNS Check de Kaminsky (dispo sur son site) repose sur un serveur qui est un CNAME chainé mais seulement 5 fois... A t'il amélioré et rendu générique l'attaque d'Amit Klein qui elle ne touchait pas Bind 8 (ce que ferait celle de Kaminsky) et en utilisant un chaining moins long ?
On va vite le savoir, la BH2008 c'est début aout !
Trollesque
Et comme d'habitude les trolls habituels des gens qui ne payent pas leurs produits et des autres persuadés d'avoir un produit parfait. :DNon ni Windows, ni Linux ni aucun système n'est fiable.
La différence se mesure sur:
-le prix,
-la réactivité de correction,
-le respect des derniers standards technologiques en terme de sécurité et de communication.
Et la, un système est en retrait.
Il est temps que Microsoft mette en place la phase 3 de son TCPA/Palladium.
Phase qui interdira tout execution de code d'appli non validées car piratée.
Cela "adaptera" les reponses trollesques :D
serieu de l'article ?
C'est marrant, il y a plus long de correctifs que d'article ...Sinon, certaines des explications complémentaire apportées par l'interviewé et censées dissiper des malentendus sur le mode "non attendez vous avez mal compris ce que je voulais dire" sont franchement foireuses ...
Encore lui ...
Décidément Mr Israël aime faire parler de lui. Il vient de se faire ejecter de la conférence Black Hat.