N 58. Mai Les symboles d avertissement suivants seront éventuellement utilisés:

Transcription

1 APOGEE Communications Rapport de Veiilllle Technollogiique Sécuriité N 58 Mai 2003 Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles: mailing-lists, newsgroups, sites Web,... Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains thèmes sont validées à la date de la rédaction du document. Les symboles d avertissement suivants seront éventuellement utilisés:! Site dont la consultation est susceptible de générer directement ou indirectement, une attaque sur l équipement de consultation, voire de faire encourir un risque sur le système d information associé. " Site susceptible d héberger des informations ou des programmes dont l utilisation est répréhensible au titre de la Loi Française. Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur WEB. La diiffffusiion de ce documentt estt rresttrreiintte aux clliientts des serrviices VTS-RAPPORT ett VTS-ENTREPRIISE Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs. APOGEE Communications Pour tous renseignements 1, Rue Jean Rostand Offre de veille: ORSAY CEDEX Informations: vts-info@apogee-com.fr APOGEE Communications - Tous droits réservés

2 Au sommaire de ce rapport PRODUITS ET TECHNOLOGIES 5 LES PRODUITS 5 RÉFÉRENCES 5 75 OUTILS DE SÉCURITÉ 5 DÉTECTION D INTRUSION 7 ISSEC - SHADOW AUDIT - WEBPROXY SNORT LES TECHNOLOGIES 10 ORDINATEURS PERSONNELS 10 MICROSOFT INFRASTRUCTURE ATHENS ET BASE DE SÉCURITÉ NGSCB 10 INFORMATIONS ET LÉGISLATION 12 LES INFORMATIONS 12 WINDOWS MICROSOFT WINDOWS 2003 SECURITY GUIDE 12 MICROSOFT WS2003 & XP THREATS AND COUNTERMEASURES GUIDE 14 WINDOWS MICROSOFT WINDOWS 2000 HARDENING GUIDE 16 PRÉVENTION 17 CMU/SEI MISE À JOUR DU CSIRT HANBOOK 17 LA LÉGISLATION 18 CRITÈRES COMMUNS 18 CC 4IÈME CONFÉRENCE INTERNATIONALE 18 DMCA 19 DMCA SUR LA LÉGALITÉ DES ÉQUIPEMENTS DE SÉCURITÉ 19 LOGICIELS LIBRES 21 LES SERVICES DE BASE 21 LES OUTILS 21 NORMES ET STANDARDS 23 LES PUBLICATIONS DE L IETF 23 LES RFC 23 LES DRAFTS 23 NOS COMMENTAIRES 28 LES RFC 28 RFC LES DRAFTS 29 DRAFT-IAB-AUTH-MECH DRAFT-IETF-IPSEC-IKEV2-ALGORITHMS ALERTES ET ATTAQUES 31 ALERTES 31 GUIDE DE LECTURE 31 FORMAT DE LA PRÉSENTATION 32 SYNTHÈSE MENSUELLE 32 ALERTES DÉTAILLÉES 33 AVIS OFFICIELS 33 ADOBE 33 BEA 33 CISCO 33 ETHEREAL 34 GNUPG 34 HP 34 HTTP 34 IBM 34 LINUX DEBIAN 35 LINUX REDHAT 35 Veille Technologique Sécurité N 58 Page 2/65

3 MICROSOFT 35 NESSUS 36 ORACLE 36 POPTOP 36 QUALCOMM 36 REALNETWORKS 36 SCRIPTLOGIC 36 SGI 36 SUN 37 XINETD 38 ALERTES NON CONFIRMÉES 38 3COM 38 APPLE 38 FLOOSIETEK 38 IISPROTECT 38 KERIO 38 LINUX MANDRAKE 38 MICROSOFT 38 MIRABILIS 39 MOD_SURVEY 39 NETSCAPE 39 OPERA 39 SLMAIL 39 SLOCATE 39 YOUNGZSOFT 40 AUTRES INFORMATIONS 40 REPRISES D AVIS ET CORRECTIFS 40 CIAC 40 CISCO 41 FREEBSD 41 HP 41 LINUX CALDERA 41 LINUX DEBIAN 42 LINUX MANDRAKE 42 LINUX REDHAT 42 MICROSOFT 42 OPERA 43 ORACLE 43 SGI 43 SUN 43 CODES D EXPLOITATION 43 KERIO 43 BULLETINS ET NOTES 43 APPLE 43 OPENBSD 44 VIRUS 44 ATTAQUES 45 OUTILS 45 KNOPPIX-MIB 45 SUBSEVEN LEGENDS " 45 SPAMD 46 TECHNIQUES 49 IRC IPV6 - SCAN OF THE MONTH 49 Veille Technologique Sécurité N 58 Page 3/65

4 Le mot de la rédaction L annulation des conférences qui devaient se tenir à l occasion du salon Infosec confirme une tendance qui semble engagée depuis maintenant 3 ans, celui de la désaffection du public pour les manifestations dans le domaine de la sécurité informatique. Deux hypothèses peuvent être formulées qui cependant ne permettent pas d expliquer l ampleur de ce phénomène : - la disponibilité d informations de très grande qualité sur l Internet qui permettent à tout un chacun d approfondir un sujet sous réserve toutefois de maîtriser la langue anglaise, - la trop grande spécialisation de ces salons alliée au trop large spectre des conférences proposées. Dans le cas particulier du salon Infosec, il faudra toutefois tenir compte de l impact des mouvements de grève et d un mois de mai comme toujours parsemé de jours fériés et de ponts. Ce même mois aura vu l apparition d un phénomène jusqu alors sans précédent provoqué par le ver Fizzer. Intégrant une fonctionnalité de pilotage à distance utilisant les canaux de communication offerts par les réseaux IRC, ce ver aura mis à plat ceux-ci en quelques jours sans que leurs opérateurs puissent en reprendre immédiatement le contrôle. A cette occasion, un procédé d éradication inédit aura vu le jour mis au point par l opérateur d un petit réseau: les connexions IRC sont interceptées par un serveur IRC dédié jouant le rôle d un relais. Celui-ci joue un double rôle: portail informant l utilisateur humain de la nécessité de se reconnecter sur un autre point d entrée, sonde de collecte permettant d établir la liste des serveurs et postes infectés. Plusieurs techniques alternatives ou complémentaires fort intéressantes sont proposées sur la page WEB L équipe de Veille Technologique Veille Technologique Sécurité N 58 Page 4/65

5 PRODUITS ET TECHNOLOGIES LES PRODUITS REFERENCES 75 OUTILS DE SECURITE # Description Une enquête conduite en mai dernier par FYODOR (le responsable du site insecure.org et l auteur de l outil nmap ) a permis de déterminer les outils de sécurité gratuits ou payants les plus couramment utilisés par les abonnés de la liste de diffusion nmap-hacker. Quelques 1854 personnes ont ainsi répondu à cette enquête en indiquant quels étaient leurs huit utilitaires favoris permettant d établir une liste de 75 utilitaires et de comparer celle-ci à celle produite en l an L utilitaire nmap était bien entendu hors-concours puisque le sondage était principalement adressé à des utilisateurs de cet outil. Nous reproduisons ci-dessous la liste présentée sur le site insecure.org en utilisant la même symbolique et la même organisation: - C : Produit commercial - L : Fonctionne en environnement LINUX - U : Fonctionne en environnement OpenBSD et autres UNIX - W : Fonctionne en environnement Windows Pour certains produits, le lecteur pourra se reporter aux articles publiés dans nos rapports mensuels dont le numéro est précisé dans la colonne VTS. N C L U W Nom du produit Fonction VTS 1 Nessus Sondage et recherche de vulnérabilités 56 2 Ethereal Collecte et analyse de flux réseau 3 Snort Détection d intrusion 57 4 netcat Connexion et transfert de flux réseau 5 TcpDump Collecte et analyse de flux réseau 11 6 hping2 Recherche d équipements actifs 16 7 dsniff Collecte d information et attaque de services sécurisés 29 8 GFI LanGuard Sondage et recherche de vulnérabilités 9 EtterCap Collecte et analyse de flux réseau Whisker Sondage et recherche de vulnérabilités WEB 47, John the ripper Attaque en force des mots de passe UNIX et Windows 12 OpenSSH / SSH Accès distant sécurisé 13 Sam Spade Recherche dans les bases d information Internet ISS Internet Scanner Outil de sondage et de recherche de vulnérabilité Tripwire Contrôle d intégrité Nikto Sondage et recherche de vulnérabilités WEB 17 Kismet Recherche et sondage des points d accès Wireless 18 SuperScan Outil de sondage des services TCP 19 L0phtCrack 4 Attaque en force des mots de passe Windows 6 20 Retina Outil de sondage et de recherche de vulnérabilité NetFilter Filtrage des accès UDP/TCP 22 Traceroute, Outils d analyse et de test réseau 23 fport Etat des connexions UDP/TCP sous Windows 24 Saint Outil de sondage et de recherche de vulnérabilité NetworkStumbler Recherche et sondage des points d accès Wireless 26 Sara Outil de sondage et de recherche de vulnérabilité N-Stealth Sondage et recherche de vulnérabilités WEB 28 AirSnort Recherche et sondage des points d accès Wireless Veille Technologique Sécurité N 58 Page 5/65

6 x Mai NBTScan Collecte informations NetBIOS 30 GnuPG/PGP Confidentialité 31 Firewalk Recherche d équipements actifs 4 32 Cain & Abel Attaque en force des mots de passe Windows 33 Xprobe2 Recherche et identification d équipements actifs SolarWinds toolset Collection d outils d analyse et d attaque réseau 35 Ngrep Recherche de chaîne dans un flux réseau 36 Perl/Python Langages de programmation 37 Thc-Amap Recherche et identification d équipements actifs 38 OpenSSL Confidentialité des flux ntop Surveillance des flux 40 nemesis Création et injection de paquets 41 LsOf Etat des fichiers et connexions sockets 42 Hunt Collecte et manipulation de flux réseau 43 honeyd Pot de miel achilles Interception et manipulation des sessions WEB Brutus Attaque en force des authentifiants 46 stunnel Tunnel SSL Paketto Keiretsu Manipulation des flux TCP/IP FragRoute Attaque réseau 49 SPIKE Proxy Interception et manipulation des sessions WEB THC-Hydra Attaque en force des authentifiants 51 OpenBSD Système d exploitation sécurisé 52 TCP_Wrapper Contrôle d accès aux services UNIX 53 Pwdump3 Attaque en force des authentifiants Windows NT / 2K 54 LibNet Acquisition et transmission de trames 55 IpTraf Surveillance des flux 56 fping Recherche d équipements actifs 57 Bastille Sécurisation des OS Linux, Mac OsX et HP-UX 58 WinFingerprint Recherche et identification d équipements actifs 59 TCPTraceroute Analyse des chemins d accès Shadow Sec. Scanner Outil de sondage et de recherche de vulnérabilité 61 pf Filtrage des accès UDP/TCP 62 LIDS Détection d intrusions 63 hfchecknet Audit de configuration Windows etherape Surveillance des flux graphique 65 dig Interrogation DNS 66 Crack / CrackLib Attaque en force des mots de passe UNIX 67 cheops Outil de sondage et de recherche de vulnérabilité 68 Zone alarm Pare feu personnel 20, Visual Route Interrogation bases de l Internet TCT Investigation 71 tcpreplay Création et injection de paquets 72 snoop Collecte et analyse de flux réseau 73 putty Terminal SSH 74 pstools Administration des systèmes Windows 75 arpwatch Contrôle d accès et surveillance des adresses # Complément d'information Veille Technologique Sécurité N 58 Page 6/65

7 DETECTION D INTRUSION ISSEC - SHADOW 1.8 # Description En 1994, le projet CIDER - Cooperative Intrusion Detection Evaluation and Response était initié aux Etats-Unis dans l optique d identifier, de documenter voire d améliorer les logiciels de sécurité existants dont, en particulier, les outils de détection d intrusion. L effort conjoint de quelques organisations gouvernementales (le SANS, la NSA et le NSWC) et d une société spécialisée dans ce domaine (NFR Network Flight Recorder) a permis d engager le projet SHADOW Secondary Heuristic Analysis for Defensive Inline Warfare - visant à développer un outil de détection d intrusion simple, innovant (et toujours efficace en 2003). Ce projet a notamment eu pour résultat la publication dès 1996 de l outil Shadow permettant d identifier les tentatives d attaques coordonnées et furtives: - attaques coordonnées car issues de sources multiples mais partageant une même stratégie, - attaques furtives car réparties dans le temps pour ne pas déclencher les systèmes de détection basés sur un seuil. Pour cela, Shadow ne s intéresse aucunement au contenu des paquets mais uniquement à la chronologie de ceux-ci en appliquant un procédé d analyse statistique à long terme. Celui-ci autorise le filtrage des événements à faible durée de vie en mettant en évidence le bruit de fond généralement non étudié ainsi que la corrélation entre évènements issus de sources différentes. Fonctionnant sur plates-formes LINUX, et plus particulièrement sur la distribution RedHat, cet outil majoritairement écrit en langage perl utilise une infrastructure de type sondes/console ou sensor/analyser pour reprendre la terminologie originale: - les sondes distribuées sur le(s) réseau(x) devant être surveillés collectent les trames au moyen de l outil, tcpdump et assurent le pré-traitement de celles-ci, - la console est chargée de la collecte périodique des événements produits par les sondes pour analyse statistique et présentation des résultats consultables via une interface WEB. Cet outil est toujours maintenu par les laboratoires du NSWC ou Naval Surface Warfare Center, une division de la marine américaine spécialisée dans la contre-mesure et la guerre électronique. Ainsi, 20 mois après la parution de la version 1.7, le NSWC vient d annoncer la disponibilité de la version 1.8. Il s agit cependant d une version de maintenance qui, bien que n apportant aucune nouvelle fonctionnalité, corrige quelques bogues et simplifie la configuration. Outil fortement textuel donc quelque peu à la traîne par rapport au marché, Shadow requiert un travail conséquent de configuration notamment vis à vis des filtres, tous exprimés en respectant la syntaxe tcpdump dont on ne peut dire qu elle soit simple à utiliser. Cependant, et sous réserve de maintenir à jour les différents utilitaires externes employés dont tcpdump et nmap, shadow permettra la mise en évidence d évènements généralement passés sous silence car statistiquement bien en dessous du seuil de détection des outils classiques. Rappelons enfin l absolue nécessité de synchroniser toutes les sondes afin de garantir la fiabilité du processus de corrélation. # Complément d'information Site d accueil Documentation Etude du produit - WEBPROXY 2.1 # Description En janvier 2003, la annonçait l arrêt du support de la version gratuite de l utilitaire WebProxy 1.0 au profit de la distribution d une nouvelle version commerciale accessible à des coûts allant de $995 pour 1 licence à $21000 pour 25 licences. Rappelons que WebProxy permet d analyser les échanges effectués entre un navigateur et un site WEB en s intercalant de manière totalement transparente dans la session. L utilisateur pourra ainsi non seulement collecter les données échangées mais aussi modifier celles-ci avant d étudier la réaction du site WEB face à des requêtes inattendues ou rejouées. Une nouvelle version vient d être diffusée qui corrige divers bogues et intègre trois nouvelles fonctions fort utiles: 1. La possibilité de suivre n importe quel lien sur une quelconque profondeur et d automatiquement identifier les formulaires ainsi que les pages d erreurs, 2. Le support de la méthode d authentification dite NTLM permettant de tester les sites WEB utilisant ou requerrant l utilisation de celle-ci, 3. Le contrôle de la présence de fichiers et de pages pouvant présenter un risque de sécurité fonction Forced Veille Technologique Sécurité N 58 Page 7/65

8 Browsing - notamment dans les environnements : ColdFusion, Domino, IIS. Pour en savoir plus sur ce remarquable outil, le lecteur pourra se reporter à notre article de présentation publié dans le rapport de veille N 54 (Janvier 2003) mais aussi à la documentation désormais directement accessible en ligne sur le site de l éditeur. # Complément d'information Site d accueil Documentation en ligne SNORT 2.0 # Description Snort est un célèbre outil de détection d intrusion réseau accessible gratuitement, capable de faire de la détection d intrusion en temps réel mais aussi de la capture de paquets IP. Déjà présenté à travers nos analyses des défis honeynet, nous nous proposons de détailler les nouveautés apparues avec la version 2.0, non sans avoir préalablement rappelé le principe de fonctionnement général de cet outil. Snort peut être utilisé de trois manières : # En tant qu analyseur réseau: à l instar d un tcpdump ou d un snoop, il permet de visualiser un certain nombre d informations sur les paquets transitant sur le réseau, # En outil de capture de paquets: il permet d enregistrer tous les paquets transitant sur le réseau, avec la possibilité d affiner la capture au moyen de filtres, # Comme sonde de détection d intrusions réseau: il recherche les signatures d attaques connues en s appuyant sur une base de règles. Analyseur Réseau En mode analyseur réseau, Snort lit et décode tous les paquets qu il capture sur le réseau puis les imprime sur la sortie standard. En cumulant les options v et d on peut obtenir une visualisation de la totalité des données circulant sur le réseau. On peut également sélectionner une partie Exemple d utilisation de Snort en mode analyseur réseau #./snort -v -d not port 22 du trafic grâce à l utilisation de filtres Running in packet dump mode spécifiques. Log directory = /var/log/snort Dans ce mode, Snort donne un certain Initializing Network Interface eth0 nombre d informations relatives aux entêtes --== Initializing Snort ==-- Initializing Output Plugins! des paquets, ainsi qu une représentation Decoding Ethernet on interface eth0 hexadécimale et ASCII de la zone de --== Initialization Complete ==-- données des paquets. -*> Snort! <*- Version (Build 72) Les informations fournies, plus détaillées que By Martin Roesch (roesch@sourcefire.com, celles retournées par tcpdump, mettent 05/19-15:10: ARP who-has xx.xx.xx.161 tell xx.xx.xx.24 directement en évidence les éléments 05/19-15:10: ARP who-has xx.xx.xx.221 tell xx.xx.xx.72 pertinents dans les en-têtes des paquets. 05/19-15:10: xx.xx.xx.29:1347 -> xx.xx.xx.255:7938 UDP TTL:128 TOS:0x0 ID:25418 IpLen:20 DgmLen:84 Len: 56 3E C9 5B A0 >.[ F3 DD =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= On notera que la taille des paquets capturés est, par défaut, celle du MTU Maximum Tranfer Unit de l interface sur laquelle Snort écoute. Ce fonctionnement est à l opposé de celui de tcpdump qui, lui, utilise par défaut une taille fixe sans tenir compte des caractéristiques du média physique. On remarquera cependant que Snort n est pas souvent utilisé comme analyseur réseau, la fonction lui étant généralement attribuée étant la détection d intrusion. Capture de paquets 05/19-15:10: xx.xx.xx.29:1347 -> xx.xx.xx.255:111 UDP TTL:128 TOS:0x0 ID:25420 IpLen:20 DgmLen:84 Len: 56 3E C9 5B A0 >.[ F3 DD =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= Utilisé dans ce mode, Snort enregistre tous les paquets qu il voit dans une forme décodée en ASCII. Ce mode est activé en utilisant l option l qui permet de spécifier le répertoire dans lequel enregistrer les paquets. Un répertoire est créé par adresse IP source ou destination (en fonction des options choisies), et les paquets concernant chaque connexion enregistrée sont rangés dans le répertoire correspondant à la source ou destination de la connexion. Notons qu il est également possible d enregistrer les paquets sous forme binaire plutôt que sous forme décodée en ASCII, ce qui permettra leur étude ultérieure avec des outils comme Ethereal, Sniffer Pro, ou tout autre outil d analyse graphique. Il est possible d utiliser conjointement le mode analyseur de paquets et le mode capture, mais il faut garder en tête que les performances au niveau de l enregistrement peuvent être impactées par la lenteur du terminal. Détection d intrusion Ce mode est le plus couramment utilisé. Snort passe en mode «détection d intrusion» à partir du moment où un fichier de configuration lui est spécifié. Veille Technologique Sécurité N 58 Page 8/65

9 On indiquera dans celui-ci les différentes options de fonctionnement de la sonde de détection d intrusion, comme le format d export des données, les règles à utiliser, les différents pré-processeurs devant être activés ainsi que leurs options de fonctionnement, etc Les différents modules qui composent la sonde de détection d intrusion sont les suivants : Snort decoder Le décodeur permet de paramétrer la finesse de la remontée d alertes sur la nature et la normalité du trafic observé. On peut ainsi désactiver les alertes sur l utilisation d options expérimentales ou obsolètes dans les entêtes TCP de paquets, mais également sur l utilisation d options dans les paquets IP. Moteur de détection Il est possible de configurer le moteur de détection de manière à optimiser l utilisation des ressources même sur des petites configurations. Par l utilisation de mots clefs, on adapte en fait le mode de fonctionnement de Snort à la configuration que l on a. Ex : # Configure the detection engine # =============================== # Use a different pattern matcher in case you have a # machine with very limited resources: # config detection: search-method lowmem frag2 Pré-processeur de dé-fragmentation IP Ce pré-processeur permet de détecter les attaques de fragmentation (habituellement des dénis de service), mais également les tentatives de recouvrement de fragment destinées à court-circuiter le mécanisme de filtrage mis en œuvre sur certains équipements ne gérant pas correctement ce type de paquets. stream4 : Pré-processeur d inspection à état Ce pré-processeur permet la détection de signatures d attaques uniquement dans des connexions établies. Il est ainsi possible d éliminer les tentatives de saturation de la sonde visant à consommer toutes les ressources du système hébergeant la sonde, généralement en envoyant un grand nombre de paquets contenant des chaînes correspondant à des signatures d attaques connues! Il permet également de détecter différents types de sondage de ports avec la possibilité de déterminer le système d exploitation par l analyse des empreintes spécifiques à la pile TCP/IP du système distant. La directive stream4_reassemble permet de définir les flux qui devront être ré-assemblés. Par défaut, seuls le sont ceux allant du client vers le serveur. http_decode Pré-processeur de normalisation des requêtes HTTP Ce processeur permet de normaliser les requêtes HTTP émises à destination de serveurs surveillés par la sonde, en remplaçant toutes les occurrences de types %XX par l équivalent ASCII. Ceci permet de détecter les tentatives de dissimulation d attaques par de multiples encodages des requêtes. rpc_decode Pré-processeur de normalisation des requêtes RPC Les requêtes RPC peuvent utiliser différents encodages, en dehors de l encodage sur 4 octets habituels. Ce préprocesseur travaille de manière similaire à http_decode, et permet de détecter les tentatives de dissimulation d attaques sur des RPC (Remote Processus Call ou Appel Distant de Procédure). bo_detector Détecteur de trafic Back Orifice Ce processeur détecte la présence de trafic Back Orifice dans les flux observés. Notons qu avec la version 2.0, il est désormais plus nécessaire de spécifier un port TCP pour identifier le trafic Back Orifice. Pour mémoire, Back Orifice est un outil de prise de contrôle à distance utilisable sur des plates-formes win32, très en vogue il y a quelques temps, et présent dans de nombreux chevaux de Troie. telnet_decode Normalisation des chaînes de négociation de connexion telnet Ce pré-processeur normalise les chaînes de négociation des connexions telnet pour les flux telnet mais aussi ftp. Il fonctionne d une manière similaire à rpc_decode et http_decode. Il recherche dans le trafic les données non conformes aux spécifications, et remplace celles-ci par une représentation normalisée, autorisant ainsi une détection de signature générique, car indépendante de toutes les différentes possibilités d encodage des données. portscan Pré-processeur de détection de sondage tcp / udp Ce pré-processeur permet de détecter les paquets UDP ou les TCP SYN (demande de connexion) à destination d un nombre configurable de ports dans un laps de temps lui aussi paramétrable, ce type d activité étant en effet révélateur d un sondage de ports. Une directive permet de spécifier les machines pour lesquelles il ne faudra pas annoncer la détection d un sondage, typiquement les serveurs DNS. En effet dans le cas de plusieurs requêtes successives, le serveur DNS renverra plusieurs paquets UDP ayant des ports destination différents à l attention de la machine ayant effectué les requêtes avec donc le risque de déclencher une alerte par erreur. Observons que les sondages furtifs TCP seront déjà détectés par le module stream4. arpspoof Détection expérimentale d attaques ARP Ce pré-processeur permet de détecter les attaques visant à provoquer la corruption des caches ARP des équipements réseau dans le but de détourner du trafic. Une attaque de type «man in the middle» au niveau ARP permet de prendre complètement le contrôle des données échangées si la couche de transport ne garantie pas l intégrité des données. Notons toutefois que l utilisation de ce pré-processeur n est pas conseillée, car il est annoncé dans l état expérimental. De plus son utilisation implique de définir toutes les correspondances IP / MAC autorisées, ce qui peut être fastidieux dans le cas d un réseau de production. conversation, portscan2 Nouveau pré-processeur de détection de sondage Le pré-processeur portscan2 permet de détecter les tentatives de sondage TCP,UDP ou ICMP en s appuyant Veille Technologique Sécurité N 58 Page 9/65

10 sur un pré-processeur de surveillance des «conversations» (le terme connexion n a de sens qu avec TCP), et une définition de seuils statistiques. En cas de dépassement de l un des ces seuils, le pré-processeur remonte une alerte. Il est possible de faire figurer dans une «whitelist» les machines à ne pas comptabiliser, comme par exemple les serveurs DNS. Règles Les règles définissent les signatures d attaques à détecter. Elles sont classées par catégories: - pop2.rules contient toutes les règles relatives à des attaques sur le protocole pop2 et ses différentes implémentations logicielles, - web-iis.rules contient les signatures d attaques impactant des serveurs IIS, -... Exemple de règle: # suspicious login attempts alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"ftp ADMw0rm ftp login attempt"; flow:to_server,established; content:"user w0rm 0D0A "; reference:arachnids,01; sid:144; classtype:suspicious-login; rev:6;) Export de données Snort dispose de plusieurs formats d export de données pour la représentation des alertes remontées par les différents pré-processeurs que nous venons de lister. Cela va du simple fichier texte récapitulatif à l export dans des bases de données, permettant ensuite l exploitation centralisée des alertes, au moyen de consoles de centralisation. Parmi les solutions centralisées de gestion de sondes Snort, on notera ACID, un produit libre, mais également DEMARC qui est un produit commercial permettant la gestion des alertes remontées et la configuration des agents Snort. Dans le cadre d une utilisation personnelle, DEMARC propose une version gratuite de leur solution. La fonctionnalité de détection d intrusion de Snort a fait de ce projet un des plus répandus du monde OpenSource dans les milieux de la sécurité. Snort est en effet souvent en «compétition» avec d autres produits commerciaux, et même souvent intégré dans des produits commerciaux. Les signatures d attaques développées pour Snort sont désormais exploitables par différentes sondes de détection d intrusion dont Dragon, ou encore RealSecure. Les nouveautés apportées par la version 2.0 concernent principalement l écriture des pré-processeurs Portscan2 le pré-processeur PortScan1 étant abandonné - et Conversation mais aussi la correction de nombreux bugs et de la faille de sécurité concernant les versions antérieures ou égales à Cette faille permet d exécuter du code avec les privilèges de root. Notons également qu un gros travail sur l écriture de règles et la réécriture de règles existantes a été effectué. # Complément d'information Site officiel du projet Snort Editeur de solutions intégrant Snort Site officiel du projet ACID IDS detection evasion paper LES TECHNOLOGIES ORDINATEURS PERSONNELS MICROSOFT INFRASTRUCTURE ATHENS ET BASE DE SECURITE NGSCB # Description Le prototype d une nouvelle architecture de PC portant le nom de code athens a été dévoilé par Bill Gates durant la 12 ième conférence annuelle WinHEC Windows Hardware Engineering Conference qui s est tenue du 6 au 8 mai dernier à la Nouvelle Orléans. L objectif de cette présentation était de démontrer que les futures innovations dans ce domaine ne pouvaient voir le jour qu à la condition de développer conjointement le matériel et le logiciel. Cette prise de position antagonique de la position jusqu alors tenue par Microsoft semble fortement liée à l initiative Trustworthy Computing visant à intégrer les fonctionnalités de sécurité au plus bas niveau des architectures systèmes. Dans cette logique, en effet, il apparaît difficile de découpler, comme cela était jusqu alors le cas, le développement du matériel et la conception du système d exploitation. Dans l optique de faciliter mais aussi de promouvoir cette nouvelle stratégie, Microsoft annonce la création du site Windows Hardware and Driver Central - ou WHDC - regroupant l ensemble des informations permettant de garantir la conformité des développements vis à vis des spécifications édictées par l éditeur. Encore à l état embryonnaire, ce site rassemble déjà de nombreux documents et outils dont certains n étaient jusqu alors accessibles que par le biais des distributions SDK (Software Developpement Kit) et DDK (Driver Developpement Kit). Le lecteur intéressé par les technologies employées dans les architectures existantes et futures trouvera sur ce site les spécifications des différentes infrastructures matérielles (PC mobile, Plates-formes 64 bits, ), des bus de Veille Technologique Sécurité N 58 Page 10/65

11 communication (PCI, FireWire, USB2) ou encore de différents constituants dédiés (affichage, gestion de l alimentation, multimédia, réseaux, stockage, ). Une part importante de la conférence WinHEC semble avoir été consacrée à la stratégie développée par Microsoft dans le cadre de l initiative Trustworthy Computing et jusqu alors connue du grand public sous le nom de code Palladium. En reprenant le concept de TCB Trusted Computing Base élaboré dans les années 70 et fondement des principes décrits dans le célèbre Orange Book du DoD Américain, Microsoft se propose de regrouper toutes les fonctions critiques de sécurité au sein d une unité décisionnelle dénommée NGSCB ou Next Generation Secure Computing Base. Implémentée au plus bas niveau de l architecture, probablement sous la forme d un ensemble de composants spécialisés, la NGSCB doit répondre à des objectifs identiques à ceux de la TCB du DoD: renforcer le niveau de sécurité en plaçant les éléments de sécurité essentiels données, clefs, fonctions de décision hors de portée de l utilisateur et des programmes s exécutant sous son autorité. Image extraite de la présentation Microsoft La mise en application des principes de séparation des fonctions et de cloisonnement des contextes rendra ainsi plus difficile le détournement des fonctions par un code illicite ou non autorisé. Intervenant dès l initialisation du matériel, la NGSCB aura notamment en charge le contrôle de l intégrité et de la provenance des composants logiciels avant chargement de ceux-ci. En l absence d une signature valide, ceux-ci ne pourront être chargés... Sur le plan théorique, cette initiative ne peut qu aller dans le sens d une amélioration du niveau de sécurité à condition toutefois que la position dominante de Microsoft sur le marché ne conduise pas à mettre en place un système dont toutes les clefs seraient détenues par le concepteur de l architecture. Les levées de bouclier qui ont fait suite à la première présentation de 'Palladium nous confirment les craintes des utilisateurs d être à la merci d un fournisseur et de ne plus pouvoir librement installer un système d exploitation alternatif... On notera que, bien qu une première présentation du code de NGSCB ait été effectuée durant la conférence WinHEC, aucune date n a encore été annoncée par Microsoft vis à vis de la disponibilité d un système d exploitation tirant parti de cette nouvelle architecture. # Complément d'information Veille Technologique Sécurité N 58 Page 11/65

12 INFORMATIONS ET LEGISLATION LES INFORMATIONS WINDOWS 2003 MICROSOFT WINDOWS 2003 SECURITY GUIDE # Description Un guide de 290 pages intitulé Windows Server 2003 Security Guide a été mis à disposition fin avril par le département Solutions for Security de la société Microsoft. Annoncé livré sécurisé par conception, par défaut et dans son déploiement, le système Windows 2003 Server offre cependant de nombreuses options de configuration permettant d affiner la politique de sécurité dans l optique de l adapter aux besoins spécifiques du contexte utilisateur. Le guide proposé par Microsoft présente ainsi les différents paramètres de configuration sur lesquels l exploitant pourra intervenir afin d adapter le système en implémentant une politique de sécurité plus ou moins restrictive. Trois niveaux de sécurité sont décrits qui doivent théoriquement répondre à la majorité des configurations. Microsoft annonce avoir validé ces niveaux et intensivement testé leur traduction sous la forme de paramètres de configuration. Ce guide est organisé en 12 chapitres dont 10 chapitres dédiés à un thème spécifique et partageant une structuration similaire comme le montre la table des matières du guide: Introduction Windows Server 2003 Security Guide Overview Executive Summary Who Should Read This Guide Get Secure Stay Secure Scope of this Guide Content Overview Skills and Readiness Requirement Style Conventions Summary 1- Configuring the Domain Infrastructure 2- Creating a Member Server Baseline Overview Overview Domain Policy Windows Server 2003 Baseline Policy Account Policies Audit Policy 52 Password Policy User Rights Assignments Account Lockout Policy Security Options Kerberos Policy Event Log Security Options System Services Summary Additional Registry Settings Additional Security Settings Summary 3- Hardening Domain Controllers Overview Audit Policy Settings User Rights Assignements Security Options Event Log Settings System Services Additional Security Settings Summary 5 - Hardening File Servers Overview Audit Policy Settings User Rights Assignments Security Options Event Log Settings System Services Additional Security Settings Summary 4- Hardening Infrastructure Servers Overview Audit Policy Settings User Rights Assignments Security Options Event Log Settings System Services Additional Security Settings Summary 6 - Hardening Print Servers Overview Audit Policy Settings User Rights Assignments Security Options Event Log Settings System Services Additional Security Settings Summary Veille Technologique Sécurité N 58 Page 12/65

13 7 - Hardening IIS Servers Overview Audit Policy Settings User Rights Assignments Security Options Event Log Settings System Services Additional Security Settings Summary 9 - Hardening Certificate Services Servers Overview Audit Policy Settings User Rights Assignments Security Options Event Log Settings System Services Additional Registry Settings Additional Security Settings Summary Conclusion 8 - Hardening IAS Servers Overview Audit Policy User Rights Assignments Security Options Event Log System Services Additional Security Settings Summary 10 - Hardening Bastion Hosts Overview Audit Policy Settings User Rights Assignments Security Options Event Log Settings System Services Additional Security Settings Summary Ce guide est livré sous la forme d un exécutable contenant le document au format PDF mais aussi de nombreux documents complémentaires, fichiers et outils destinés à accompagner et faciliter la démarche. Documents PDF Le guide de sécurisation est accompagné des quatre documents suivants au format PDF: Release Notes Ce document présente l historique des révisions effectuées sur le guide de sécurisation. Delivering the Windows Server 2003 Security Guide Cette présentation du cadre de travail proposé par Microsoft contient de nombreux pointeurs et références vers les différentes méthodologies mises à la disposition des utilisateurs: - MSF Microsoft Security Framework - MOF Microsoft Operation Framework - SRMD Microsoft Security Risk Management Discipline Ce cadre de travail est parfaitement synthétisé par le synoptique suivant extrait du document. Supporting the Windows Server 2003 Security Guide Ce document décrit l organisation mise en place par Microsoft pour assurer le support et la maintenance du système Windows Server 2003 et des différents composants logiciels constituant celui-ci. Testing the Windows Server 2003 Security Guide Ce dossier décrit en détail la procédure de test mise en œuvre pour valider chacun des principes et des règles de sécurisation exposés dans le guide. Sont notamment présentées les infrastructures de test des trois scénarios d exploitation retenus: Legacy client environnement, Enterprise Client Environnement et enfin High security client environnement. Modèles de sécurité Les modèles de sécurité correspondant aux différents rôles d un système sont proposés organisés en trois catégories correspondant aux trois scénarios d exploitation précédemment décrits. Ces modèles sont livrés sous la forme d un fichier.inf exploitable par le biais de la console de sécurité. Veille Technologique Sécurité N 58 Page 13/65

14 Quelques 10 check-list sont par ailleurs proposées sous la forme d un document au format WORD d une page contenant la liste récapitulative des actions à mener pour sécuriser un système ayant un rôle bien défini: Legacy Client Enterprise Client High Security Checklist SMTP Bastion Host X X Member Server Baseline X X X X Infrastructure Server X X X X Domain Controller X X X X Domain X X X X File Server X X X X Print Server X X X X IAS Server X X IIS Server X X X X Certificate Services X X Scripts de configuration Sept scripts s appuyant sur la commande NetSH sont livrés qui permettent de configurer le filtre de paquet IPSEC pour les différents contextes d utilisation du système. Domain Controller Rejet du trafic non strictement nécessaire pour un contrôleur de domaine DHCP server Rejet du trafic non strictement nécessaire pour un serveur DHCP File Server Rejet du trafic non strictement nécessaire pour un serveur de fichier IIS Server Rejet du trafic non strictement nécessaire pour un serveur IIS Print Server Rejet du trafic non strictement nécessaire pour un serveur d impression WINS Server Rejet du trafic non strictement nécessaire pour un serveur WINS SMTP Bastion server Rejet du trafic non strictement nécessaire pour un serveur de protection SMTP Scripts de validation Douze scripts.net sont fournis qui permettent de vérifier le bon fonctionnement d une configuration à partir des éléments de paramétrage contenus dans le fichier config livré avec les scripts. AdminChangePassword Changement du mot de passe administrateur via l objet ldap: UserChangePassWord Changement du mot de passe utilisateur via l objet ldap: AdminFileAccess Copie des fichiers à partir d un partage vers un autre partage UserFileAccess Copie des fichiers à partir d un partage vers un autre partage AdminLogon Tentative de connexion administrateur via LDAP UserLogon Tentative de connexion utilisateur via LDAP AdminPrint Transmission d un travail d impression sur une imprimante UserPrint Transmission d un travail d impression sur une imprimante AdminPrintQueues Etat des queues d impression via l objet winmgmts: UserPrintQueues Etat des queues d impression via l objet winmgmts: DirectoryQuery Obtention du nom d un utilisateur dans l annuaire via l objet ldap: Win2kReleaseIPRenewIP Renouvellement d un bail DHCP On notera que ces scripts nous offrent d excellents exemples de programmation de fonctions de test et de validation en basic.net. Avec ce paquetage, Microsoft nous démontre sa capacité à répondre efficacement à la problématique du déploiement et de la configuration d une infrastructure complexe dans un environnement de production devant assurer un bon niveau de sécurité. Nous recommandons non seulement la lecture du guide de sécurisation mais aussi celle du dossier exposant la méthodologie de test et de validation. # Complément d'information MICROSOFT WS2003 & XP THREATS AND COUNTERMEASURES GUIDE # Description Complémentaire du guide de sécurisation Windows Server 2003 Security Guide, ce second guide de 257 pages dénommé Threats & Countermeasures Guide livre une liste exhaustive des paramètres de configuration des systèmes WS 2003 et XP. Présenté organisé autour des sept thèmes utilisés dans le guide de sécurisation - à savoir Domain Policy, Audit Policy Settings, User Rights Assignments, Security Options, Event Log Settings, System Services et Additional Security Settings - chaque paramètre est présenté en indiquant : - son domaine de validité, - la vulnérabilité ou le risque associé à la manipulation de ce paramètre, - la contre-mesure proposée visant à limiter le risque, - et enfin l impact potentiel d une modification du paramètre sur le fonctionnement du système. Un extrait de la table des matières de cette véritable mine d information est proposé ci-dessous : 1- Domain level Policies Account Policies Account Lockout Policy Kerberos Policy Veille Technologique Sécurité N 58 Page 14/65

15 Audit Policy 2- User Rights Assignment 3- Security Options Accounts Audit Devices Domain controller Domain member Interactive logon Microsoft network client and server Microsoft network client Microsoft network server Network access Network security Recovery console Shutdown System cryptography System objects System settings 4- Event Log 5- System Services Services Overview Services Description Alerter Application Layer Gateway Service Application Management ASP Automatic Updates Background Intelligent Transfer Service Certificate Services Client Service for NetWare ClipBook Cluster Service COM+ Event Services COM+ System Application Computer Browser Cryptographic Services DHCP Client DHCP Server Distributed File System Distributed Link Tracking Client Distributed Link Tracking Server Distributed Transaction Coordinator DNS Client DNS Service Error Reporting Service Event Log Fax Service File Replication File Server for Macintosh FTP Publishing Service Help and Support HTTP Server Human Interface Device Access IAS Jet Database Access IIS Admin Service IMAPI CD Œ Burning COM Service Indexing Service Infrared Monitor Internet Authentication Service Internet Connection Firewall Intersite Messaging IP Version 6 Helper Service IPSec Policy Agent (IPSec Service) Kerberos Key Distribution Center License Logging Service Logical Disk Manager Logical Disk Manager Administrative Service Message Queuing Message Queuing Down Level Clients Message Queuing Triggers Messenger Microsoft POP3 Service MS Software Shadow Copy Provider MSSQL$UDDI MSSQLServerADHelper Net Logon NetMeeting Remote Desktop Sharing Network Connections Network DDE Network DDE DSDM Network Location Awareness (NLA) Network News Transport Protocol (NNTP) NTLM Security Support Provider Performance Logs and Alerts Plug and Play Portable Media Serial Number Print Server for Macintosh Print Spooler Protected Storage Remote Access Auto Connection Manager Remote Access Connection Manager Remote Administration Service Remote Desktop Help Session Manager Remote Installation Remote Procedure Call (RPC) Remote Procedure Call (RPC) Locator Remote Registry Service Remote Server Manager Remote Server Monitor Remote Storage Notification Remote Storage Server Removable Storage Resultant Set of Policy Provider Routing and Remote Access SAP Agent Secondary Logon Security Accounts Manager Server Shell Hardware Detection Simple Mail Transport Protocol (SMTP) Simple TCP/IP Services Single Instance Storage Groveler Smart Card SNMP Service SNMP Trap Service Special Administration Console Helper SQLAgent$* (* UDDI or WebDB) System Event Notification Task Scheduler TCP/IP NetBIOS Helper Service TCP/IP Print Server Telephony Telnet Terminal Services Terminal Services Licensing Terminal Services Session Directory Themes Trivial FTP Daemon Uninterruptible Power Supply Upload Manager Virtual Disk Service Volume Shadow Copy WebClient Web Element Manager Windows Audio Windows Image Acquisition (WIA) Windows Installer Windows Internet Name Service (WINS) Windows Management Instrumentation Windows Management Instrumentation Driver Windows Media Services Windows System Resource Manager Windows Time WinHTTP Web Proxy Auto Œ Discovery Service Wireless Configuration WMI Performance Adapter Workstation World Wide Web Publishing Service Software Restriction Policies Windows XP, Office XP, & WS 2003 Adm Templates Additional Registry Settings Modify the Security Configuration Editor User Interface Security Considerations for Network Attacks AFD Additional Member Server Hardening Procedures Securing the Accounts NTFS Data and Application Segmentation Configure SNMP Community Name Disable NetBIOS and SMB on Public Facing Interfaces Veille Technologique Sécurité N 58 Page 15/65

16 Configure Terminal Services Port Configure IPSec Policies Conclusion More Information Avec ce guide, Microsoft nous offre enfin le document de référence tant attendu qui permettra à chacun de s y retrouver dans le véritable dédale des paramètres de configuration de la sécurité du système. Microsoft nous offrira-til un jour une version complète portant sur tous les paramètres existants et non pas seulement sur les paramètres liés à la sécurité? # Complément d'information WINDOWS 2000 MICROSOFT WINDOWS 2000 HARDENING GUIDE # Description En avril 2001, Philip Cox nous proposait un extrait de son livre 'Windows 2000 Security Handbook' portant sur la sécurisation des systèmes Windows 2000 (Rapport N 33 Avril 2001). La partie présentée avait ainsi pour vocation de guider l utilisateur vers une méthode de sécurisation des systèmes d exploitation Windows 2000 Server, et par extension Windows 2000 Professional. La NSA, l agence de sécurité américaine, prenait ensuite le relais avec une série de 17 documents entièrement consacrés à la sécurité de Windows 2000 et d un guide de sécurisation dédié au système Windows XP. Microsoft réagit enfin en nous livrant son propre guide de sécurisation intitulé Windows 2000 Hardening Guide. Constitué de 128 pages et livré au format WORD, ce guide porte sur les deux versions du système d exploitation Professional et Server en s intéressant aux différents rôles pouvant être dévolus à celles-ci : station ou portable membre d un domaine, station indépendante, contrôleur de domaine, serveur membre d un domaine ou encore serveur autonome. Bénéficiant des meilleurs sources d information car directement rédigé par une équipe de l éditeur, ce guide est plus complet et plus didactique que ses deux homologues dont notamment le guide de la NSA. On appréciera le style rédactionnel de ce document pour lequel les auteurs ne se sont pas contenté d aligner des listes de paramètres de configuration. La présence de nombreux tableaux récapitulatifs - en particulier les trois tableaux fournis en annexe - facilite notablement la lecture de ce guide dont la table des matières est la suivante : 1. INTRODUCTION 2. SYSTEM CONFIGURATIONS 2.1 BUILT-IN GROUPS 3. OPERATING SYSTEM INSTALLATION 3.1 PREPARING FOR INSTALLATION 3.2 WINDOWS 2000 INSTALLATION PROCESS Installation Methods Initiating the Installation from a Bootable CD-ROM Convert a Windows 2000 Server to a Domain Controller 3.3 CHOOSING GOOD PASSWORDS Windows 2000 Password Representations What constitutes a good password? 3.4 WINDOWS 2000 SERVICE PACK CONSIDERATIONS 4. SECURITY CONFIGURATION 4.1 WINDOWS 2000 SECURITY POLICIES Local Security Policy Domain Security Policy Organizational Unit Group Policy Objects 4.2 ADDITIONAL SECURITY CONFIGURATION INTERFACES Security Configuration Editor Other tools 5. SECURITY CONFIGURATION 5.1 ACCOUNT POLICIES Password Policy Account Lockout Policy Access the Kerberos Policy Settings 5.2 LOCAL POLICIES Audit Policy Logon Rights and Privileges Modify Security Options Additional Security Settings Veille Technologique Sécurité N 58 Page 16/65

17 5.3 AUDIT LOG MANAGEMENT Access the Settings for Event Logs 5.4 DEFAULT GROUP ACCOUNTS Review / Modify Group Account Memberships for a Domain Review / Modify Group Account Memberships for a Standalone or Member Computer Change the Primary Group Membership of an Account 5.5 DEFAULT USER ACCOUNTS Review / Modify Default User Accounts for a Domain Review / Modify Default User Accounts Locally 5.6 SYSTEM SERVICES Disable Unnecessary System Services on Domain Computers Disable Unnecessary System Services Locally Minimum System Services 5.7 SECURING THE FILE SYSTEM Set Permissions through a Domain Policy Set Permissions Locally through the Security Configuration Editor 5.8 SHARE FOLDER PERMISSIONS 5.9 SECURING THE REGISTRY Set Registry Permissions through a Domain Policy Set Registry Permissions through Regedt32.exe 5.10 IPSEC POLICY 5.11 Encrypting File System 5.12 Enable Automatic Screen Lock Protection 5.13 Update The System Emergency Repair Disk 6. WINDOWS 2000 HARDENING GUIDE CONFIGURATION TEMPLATES 6.1 TEMPLATE MODIFICATIONS AND MANUAL SETTINGS 6.2 SECURITY CONFIGURATION TEMPLATE APPLICATION TOOLS 6.3 MANAGING AND APPLYING SECURITY CONFIGURATION SECURITY TEMPLATES Extending the security configuration editor interface Viewing and editing a security configuration template Applying a security template to a local computer Deploying a security template to an Active Directory object security policy 7. REFERENCES APPENDIX A - WINDOWS 2000 DEFAULT SECURITY POLICY SETTINGS APPENDIX B USER RIGHTS AND PRIVILEGES APPENDIX C - WINDOWS 2000 SECURITY CONFIGURATION CHECKLIST Sept modèles de sécurité correspondant aux principaux rôles d un système Windows 2000 sont livrés sous la forme d un fichier.inf exploitable par le biais de la console de sécurité. Un script nommé installscereglv permet d automatiser l opération de mise à jour de la liste des scripts et d enregistrer ceux-ci sur la console. Les modèles suivants sont fournis dans le paquetage contenant la version téléchargeable du guide: Configuration commune Script W2KHG-baseline Station autonome Script W2KHG-StandaloneWKS Serveur autonome Script W2KHG-StandaloneServer Portable membre d un domaine Script W2KHG-MemberLaptop Station membre d un domaine Script W2KHG-MemberWKS Serveur membre d un domaine Script W2KHG-MemberServer Contrôleur de domaine Script W2KHG-DomainController Le lecteur aura noté la prise en compte des spécificités liées aux postes de travail portables de plus en plus couramment rencontrés dans l entreprise par le biais d un modèle dédié mais aussi qu il aura fallu attendre plus de 3 ans pour pouvoir disposer de la part de l éditeur d un guide de sécurisation réellement exploitable. # Complément d'information PREVENTION CMU/SEI MISE A JOUR DU CSIRT HANBOOK # Description Quelques 5 ans après la publication de la première version du CSIRT Handbook, la division Software Engineering Institute de l université de Carnegie-Mellon nous propose une mise à jour de cet ouvrage de référence. Intitulé Handbook for Computer Security Incident Response Teams (CSIRTs), cet ouvrage de 223 pages a pour objectif d accompagner les organisations confrontées à la difficile tâche de la mise en place d une équipe spécialisée dans la gestion des incidents de sécurité ou CSIRT. Rappelons que ce sigle barbare désigne l infrastructure mise en œuvre par de grandes organisations généralement privées dans l optique de coordonner les Veille Technologique Sécurité N 58 Page 17/65

18 actions de gestion des incidents ayant une incidence sur la sécurité de leur système d information. Les différents points essentiels pour la réussite d une telle démarche sont abordés en détail au long des 5 chapitres constituant cet ouvrage dont un extrait de la table des matières est proposé ci-après. 1 Introduction 2 Basic Issues 2.1 CSIRT Framework 2.2 Service and Quality Framework 2.3 CSIRT Services 2.4 Information Flow 2.5 Policies 2.6 Quality Assurance 2.7 Adapting to Specific Needs 3 Incident Handling Service 3.1 Service Description 3.2 Service Functions Overview 3.3 Triage Function 3.4 Handling Function 3.5 Announcement Function 3.6 Feedback Function 3.7 Interactions 3.8 Information Handling 4 Team Operations 4.1 Operational Elements 4.2 Fundamental Policies 4.3 Continuity Assurance 4.4 Security Management 4.5 Staff Issues 5 Closing Remarks 5.1 Closing Remarks from the First Edition 5.2 Closing Remarks for the Second Edition Appendix A: About the Authors Appendix B: Glossary Bibliography Cette nouvelle édition reprend la structure et le fond de l édition précédente mais se démarque de celle-ci par l intégration de la liste des services définie à la suite des travaux menés en commun avec les sociétés STELVIO (chargé de la gestion et de l habilitation des CSIRT en Europe) et PRESECURE (œuvrant dans le domaine de l assistance et de la formation). Le lecteur intéressé pourra se reporter au document intitulé CSIRT Services qui nous livre une description exhaustive et détaillée des services susceptibles d être proposés par un CSIRT (Rapport N 53 Décembre 2002). Les autres modifications concernent : - la mise à jour des différents exemples pratiques présentés tout au long du guide, - l alignement avec le tout nouveau guide intitulé Organisational Models for CSIRTs annoncé disponible sous peu. Nous avons particulièrement apprécié la présence en annexe d un glossaire très complet et d une bibliographie conséquente et parfaitement à jour. # Complément d'information LA LEGISLATION CRITERES COMMUNS CC 4IEME CONFERENCE INTERNATIONALE # Description La 4ème conférence internationale Critères communs aura lieu du 7 au 9 septembre 2003, à Stockholm. Les Critères Communs ou CCSec forment le cadre directeur, pour ne pas dire l ossature d une démarche de rationalisation, de structuration et de normalisation des méthodologies d évaluation et d assurance de la sécurité des systèmes d information. Cette démarche a été engagée depuis plusieurs années, d abord indépendamment par de nombreux pays (USA, Canada, Europe avec les ITSEC) puis en commun, afin d harmoniser les terminologies et critères jusqu alors utilisés. Cette harmonisation a donné lieu aux CCSEC V1.0, puis V2.0 (Mai 1998) et enfin V2.1 (Mai 1999). Veille Technologique Sécurité N 58 Page 18/65

19 Rappelons que cette dernière version résulte de l adoption des Critères Communs en tant que Norme Internationale (ISO 15408) ce qui a conduit à devoir aligner la version originale (2.0) notamment sur le plan de la présentation et du vocabulaire (Rapport N 16 - Novembre 1999). Les sessions de présentations sont organisées autour des cinq thèmes fédérateurs suivants : Challenges for a New Millennium Ce thème regroupe différentes présentations techniques ayant pour points communs les méthodologies applicables mais aussi les nouveaux défis qui devront être pris en compte dans les futures versions des CCSec. Seront notamment abordés les sujets suivants: la problématique de la définition d une TOE (Cible d évaluation) et les profils de protections. Le cas particulier de la compatibilité entre la norme ISO/IEC (BS 7799 partie 1) et l exigence des CCSec en matière de gestion du cycle de vie (ALC_DVS) devrait y être traité sous l intitulé Is Compliance With ISO/IEC Sufficient to Meet the CC Life-Cycle Requirements (ALC_DVS)? Business Advantages for the private sector, benefits for the public, standardisation possibilities & need L objectif de ce thème est de mettre en évidence les gains substantiels qui pourront être retirés de la mise en œuvre des CCSec dans différents secteurs de l industrie et du commerce mais aussi dans le cadre des organisations publiques. A cette fin, plusieurs exemples pratiques d utilisation ou de projets d utilisation - des CCSec seront présentés. The Economics of Evaluating and Certifying IT Security Les CCSec seront ici abordés dans la perspective des avantages économiques et des services associés. Seront notamment étudiés les facteurs économiques qui pilotent les schémas d évaluation et de certification dans les contextes civils, commerciaux et militaires. Evaluation techniques and applications today Ce thème aborde la problématique de la mise en œuvre concrète des CCSec en proposant un état des lieux abordant des sujets d actualité: projets initiés et retours d expérience depuis la conférence de l année précédente, problèmes rencontrés à l occasion de campagnes d évaluation récentes, outils et environnements permettant de simplifier la mise en œuvre d une évaluation et de l analyse technique. Common Criteria in System Certification Divisé en trois sessions, ce thème aborde un sujet d actualité, celui du positionnement des CCSec dans le cadre plus large des méthodologies de certification et d audit et, plus particulièrement, vis à vis de la norme ISO (BS 7999 partie 1) et d ISMS (BS 7799 partie 2). # Complément d'information DMCA DMCA SUR LA LEGALITE DES EQUIPEMENTS DE SECURITE # Description Une extension à la loi américaine dite DMCA (Digital Millenium Copyright Act) proposée en avril dernier par le MPAA (Motion Picture Association of America) pourrait rendre illégale l utilisation des pare-feu et autres dispositifs de sécurité. Référencée sous la dénomination de Super DMCA, cette extension fait l objet d une très importante levée de bouclier de la part de nombreuses associations et organisations dont la célèbre EFF (Electronic Frontier Foundation). Pour mémoire, six états américains - Delaware, Illinois, Michigan, Oregon, Pennsylvanie, Wyoming - ont déjà publié leur propre amendement au DMCA dans le courant de l année 2003 conduisant à la fermeture ou au déplacement de nombreux sites ayant trait à la sécurité et aux technologies associées. D ici la fin de l année, sept nouveaux états - Arkansas, Colorado, Floride, Georgie, Massachusetts, Tennessee et Texas - devraient eux aussi mettre en application une telle extension. A l origine de cette polémique, un paragraphe présent dans la proposition de loi présentée par le MPAA stipulant qu il est notamment criminel de posséder un dispositif permettant de recevoir, transmettre ou de retransmettre un quelconque service de communication sans l autorisation expresse du fournisseur de service. Ce simple paragraphe conduit à pouvoir déclarer illégal l utilisation ou la possession d un équipement de sécurité placé en coupure dans un flux potentiellement ouvert par un tiers mais aussi de bien d autres équipements, à commencer par les récepteurs de radiocommunication. Plus largement, quatre catégories d activité sont explicitement visées par le super DMCA s y l on se réfère à l analyse proposée par l EFF: 1. La possession, le développement, la distribution ou l utilisation de tout dispositif de communication en rapport avec un service de communication sans disposer de l autorisation préalable du fournisseur de service, 2. Le masquage de l origine ou de la destination de toute communication vis à vis du fournisseur de service, 3. La possession, le développement, la distribution ou l utilisation de tout dispositif non conforme à la loi, 4. La publication de plans ou d instructions permettant la réalisation d un dispositif dont il est patent que celui-ci puisse être utilisé en violation de la loi. Veille Technologique Sécurité N 58 Page 19/65

20 Le lecteur constatera l ampleur de la menace que pourrait bien faire planer la mise en application générale de cette proposition de loi aux Etats-Unis, non seulement sur le plan des libertés individuelles mais aussi sur le plan commercial. Page d accueil de l outil LaBrea au 30 Avril 2003 Site de Niels Provost au 31 Mars # Complément d'information Veille Technologique Sécurité N 58 Page 20/65

21 LES SERVICES DE BASE LOGICIELS LIBRES Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons d assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. RESEAU Nom Fonction Ver. Date Source BIND Gestion de Nom (DNS) /03/ /11/02 DHCP Serveur d adresse 3.0p2 15/01/03 NTP4 Serveur de temps 4.1.1c-rc2 26/04/03 WU-FTP Serveur de fichiers /11/01 MESSAGERIE Nom Fonction Ver. Date Source IMAP4 Relevé courrier 2002c1 18/04/03 ftp://ftp.cac.washington.edu/imap/ POP3 Relevé courrier /03/03 ftp://ftp.qualcomm.com/eudora/servers/unix/popper/ SENDMAIL Serveur de courrier /03/03 ftp://ftp.sendmail.org/pub/sendmail/release_notes WEB Nom Fonction Ver. Date Source APACHE Serveur WEB /10/ /03/03 ModSSL API SSL Apache /10/02 $ MySQL Base SQL /03/ /05/03 $ SQUID Cache WEB 2.5s3 25/05/03 AUTRE Nom Fonction Ver. Date Source $ INN Gestion des news /05/03 MAJORDOMO Gestion des listes /01/00 OpenCA Gestion de certificats /02/03 $ OpenLDAP Gestion de l annuaire /05/03 ftp://ftp.openldap.org/pub/openldap/openldap-release/ LES OUTILS Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les tableaux suivants. LANGAGES Nom Fonction Ver. Date Source $ SPLINT Analyse de code /05/03 Perl Scripting /08/02 PHP WEB Dynamique /02/03 ANALYSE RESEAU Nom Fonction Ver. Date Source Big Brother Visualisateur snmp 1.9c 15/05/02 Dsniff Boite à outils /12/00 $ EtterCap Analyse & Modification 0.6.a 03/05/03 $ Ethereal Analyse multiprotocole /05/03 IP Traf Statistiques IP /05/02 Nstreams Générateur de règles /08/02 SamSpade Boite à outils /12/99 TcpDump Analyse multiprotocole /02/02 Libpcap Acquisition Trame /02/02 TcpFlow Collecte données /02/01 TcpShow Collecte données /03/00 WinPCap Acquisition Trame /04/03 Veille Technologique Sécurité N 58 Page 21/65

22 ANALYSE DE JOURNAUX Nom Fonction Ver. Date Source Analog Journaux serveur http /03/03 Autobuse Analyse syslog /01/00 SnortSnarf Analyse Snort /11/02 WebAlizer Journaux serveur http /04/02 ANALYSE DE SECURITE Nom Fonction Ver. Date Source FIRE Boite à outils 0.3.5b 29/11/02 $ curl Analyse http et https /05/03 $ Nessus Vulnérabilité réseau /05/03 Nmap Vulnérabilité réseau /04/03 Pandora Vulnérabilité Netware 4.0b2.1 12/02/99 $ Saint Vulnérabilité réseau /05/03 Sara Vulnérabilité réseau 4.1.4c 14/03/03 Tara (tiger) Vulnérabilité système /08/02 Tiger Vulnérabilité système 2.2.4p1 19/07/99 ftp://net.tamu.edu/pub/security/tamu/tiger Trinux Boite à outils 0.81pre0 07/11/01 Whisker LibWhisker /11/02 CONFIDENTIALITE Nom Fonction Ver. Date Source OpenPGP Signature/Chiffrement $ GPG Signature/Chiffrement /05/03 CONTROLE D ACCES Nom Fonction Ver. Date Source TCP Wrapper Accès services TCP 7.6 ftp://ftp.cert.org/pub/tools/tcp_wrappers Xinetd Inetd amélioré /04/03 CONTROLE D INTEGRITE Nom Fonction Ver. Date Source Tripwire Intégrité LINUX /08/00 ChkRootKit Compromission UNIX /04/03 DETECTION D INTRUSION Nom Fonction Ver. Date Source Deception TK Pot de miel /08/99 LLNL NID IDS Réseau /10/02 Snort IDS Réseau /04/03 $ Shadow IDS Réseau /04/03 GENERATEURS DE TEST Nom Fonction Ver. Date Source Elza Requêtes HTTP /04/00 FireWalk Analyse filtres /10/02 IPSend Paquets IP 2.1a 19/09/97 ftp://coombs.anu.edu.au/pub/net/misc IDSWakeUp Détection d intrusion /10/00 UdpProbe Paquets UDP /02/96 PARE-FEUX Nom Fonction Ver. Date Source DrawBridge PareFeu FreeBsd /04/00 IpFilter Filtre datagramme /12/02 TUNNELS Nom Fonction Ver. Date Source CIPE Pile Crypto IP (CIPE) /06/01 FreeSwan Pile IPSec /04/03 http-tunnel Encapsulation http /12/00 OpenSSL Pile SSL 0.9.7b 10/04/03 OpenSSH Pile SSH 1 et /04/03 Stunnel Proxy https /01/03 TeraTerm Pro Terminal SSH /10/02 Zebedee Tunnel TCP/UDP /05/02 Veille Technologique Sécurité N 58 Page 22/65

23 NORMES ET STANDARDS LES PUBLICATIONS DE L IETF LES RFC Du 24/04/2003 au 28/05/2003, 16 RFC ont été publiés dont 1 RFC ayant trait à la sécurité. RFC TRAITANT DE LA SECURITE Thème Num Date Etat Titre IKE /03 Pst More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE) RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE Thème Num Date Etat Titre NFS /03 Pst Network File System (NFS) version 4 Protocol AUTRES RFC Thème Num Date Etat Titre APEX /03 Exp The Application Exchange (APEX) Presence Service BEEP /03 Exp Using XML-RPC in Blocks Extensible Exchange Protocol (BEEP) DHCP /03 Pst Link Selection sub-option for the Relay Agent Information Option for DHCPv4 IETF /03 Inf Overview of the 2002 IAB Network Management Workshop /03 Inf Terminology Used in Internationalization in the IETF IPV /03 Inf Internet Protocol Version 6 (IPv6) for Some Second and Third Generation Cellular Hosts /03 Inf A Flexible Method for Managing the Assignment of Bits of an IPv6 Address Block MEDIA /03 Pst Mapping of Media Streams to Resource Reservation Flows NET /03 Inf Requirements for the Dynamic Partitioning of Switching Elements OGG /03 Inf The Ogg Encapsulation Format Version /03 Pst The application/ogg Media Type SLP /03 Exp Mesh-enhanced Service Location Protocol (mslp) TCP /03 Exp The Eifel Detection Algorithm for TCP URN /03 Inf A Uniform Resource Name (URN) Namespace for the Web3D Consortium (Web3D) LES DRAFTS Du 24/04/2003au 28/05/2003, 271 drafts ont été publiés: 192 drafts mis à jour, 79 nouveaux drafts, dont 11 drafts ayant directement trait à la sécurité. NOUVEAUX DRAFTS TRAITANT DE LA SECURITE Thème Nom du Draft Date Titre AUTH draft-iab-auth-mech-00 28/04 A Survey of Authentication Mechanisms IPSEC draft-goswami-ipsec-espll-00 05/05 Encapsulating Security Payload for Link Layers (ESPLL) draft-guichard-ce-ce-ipsec-00 02/05 CE-CE IPSec within an RFC-2547 Network draft-ietf-ipsec-ikev2-algorithms-00 19/05 Cryptographic Algorithms for use in the Internet Key Exchange V2 IPV6 draft-kempf-abk-nd-00 07/05 Securing IPv6 Neighbor Discovery Using Address Based Keys ISAKMP draft-ietf-msec-tgsakmp-00 20/05 Tunneled Group Secure Association Key Management Protocol KRB draft-ietf-krb-wg-kerberos-set-passwd-00 06/05 Kerberos Set/Change Password: Version 2 PANA draft-mohanp-pana-ipsec-00 13/05 Securing the first hop in PANA using IPsec SASL draft-ietf-sasl-rfc2222bis-00 20/05 Simple Authentication and Security Layer (SASL) SIP Draft-umschaden-smime-midc-sip-proxy-00 06/05 End-to-end Security for Firewall/NAT Traversal within SIP SMIME draft-ietf-smime-cms-rsa-kem-00 19/05 Use of the RSA-KEM Key Transport Algorithm in CMS MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE Thème Nom du Draft Date Titre AAA draft-perkins-aaav /05 AAA for IPv6 Network Access draft-irtf-aaaarch-handoff-02 21/05 Experimental Handoff Extension to RADIUS EAP draft-ietf-eap-rfc2284bis-03 16/05 Extensible Authentication Protocol (EAP) IPSEC draft-ietf-ipsec-ciph-aes-cbc-05 02/05 The AES Cipher Algorithms and Their Use With IPsec draft-ietf-ipseckey-rr-01 29/04 A method for storing IPsec keying material in DNS Veille Technologique Sécurité N 58 Page 23/65

24 draft-ietf-ipsp-ipsecpib-08 19/05 IPSec Policy Information Base draft-hoffman-ipsec-algorithms-02 16/05 Security Algorithms for IKEv2 MOBILEIP draft-ietf-mobileip-aaa-key-12 21/05 AAA Registration Keys for Mobile IP MSEC draft-ietf-msec-arch-01 08/05 The Multicast Security (MSEC) Architecture NFSV4 draft-ietf-nfsv4-ccm-01 19/05 The Channel Conjunction Mechanism (CCM) for GSS OTP draft-nesser-otp-sha /05 One-Time Passwords with SHA-256, SHA-384, SHA-512 PANA draft-ietf-pana-threats-eval-04 19/05 PANA Threat Analysis and security requirements PKIX draft-ietf-pkix-proxy-06 09/05 Internet X.509 PKI Proxy Certificate Profile draft-ietf-pkix-ipki-new-rfc /04 Internet X.509 PKI Certificate Policy & Certif. Practices Framework RADIUS draft-chiba-radius-dynamic-authorization-20 16/05 Dynamic Authorization Extensions to RADIUS draft-aboba-radius-rfc2869bis-22 16/05 RADIUS Support For Extensible Authentication Protocol (EAP) RTP draft-ietf-avt-srtp-06 30/04 The Secure Real-time Transport Protocol SASL draft-ietf-sasl-anon-01 05/05 The Anonymous SASL Mechanism draft-ietf-sasl-plain-01 05/05 The Plain SASL Mechanism draft-ietf-sasl-saslprep-01 05/05 SASLprep: Stringprep profile for user names and passwords SMIME draft-ietf-smime-examples-10 28/04 Examples of S/MIME Messages draft-ietf-smime-x400transport-07 12/05 Transporting S/MIME Objects in X.400 draft-ietf-smime-x400wrap-06 01/05 Securing X.400 Content with S/MIME draft-ietf-smime-pss-01 30/04 Use of the PSS Signature Algorithm in CMS SSH draft-ietf-secsh-auth-kbdinteract-05 29/04 Generic Message Exchange Authentication For SSH XMPP draft-ietf-xmpp-e2e-03 21/05 End-to-End Object Encryption in XMPP DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE Thème Nom du Draft Date Titre AAA draft-ietf-aaa-diameter-mobileip-14 29/04 Diameter Mobile IPv4 Application draft-hakala-aaa-diameter-cc-00 06/05 Diameter Credit-control Application BENCH draft-ietf-bmwg-mcastm-12 05/05 Methodology for IP Multicast Benchmarking draft-ietf-bmwg-dsmterm-06 02/05 Benchmarking Network-layer Traffic Control Mechanisms draft-ietf-bmwg-ospfconv-term-04 22/05 OSPF Benchmarking Terminology and Concepts draft-ietf-bmwg-ospfconv-intraarea-05 22/05 Benchmarking Methodology for Basic OSPF Convergence draft-ietf-bmwg-ospfconv-applicability-03 22/05 Benchmarking Applicability for Basic OSPF Convergence draft-kimura-protection-term-01 25/04 Benchmarking Terminology for Protection Performance CONFIG draft-joslin-config-schema-06 01/05 A Configuration Schema for LDAP Based Directory User Agents HIP draft-moskowitz-hip-06 15/05 Host Identity Protocol draft-moskowitz-hip-arch-03 07/05 Host Identity Protocol Architecture ISIS draft-sheng-isis-bgp-mpls-vpn-00 13/05 ISIS as the PE/CE Protocol in BGP/MPLS VPNs L2TP draft-galtzur-l2tpext-gr-00 20/05 Layer Two Tunneling Protocol (Version 3) Graceful Restart LDAP draft-ietf-ldapbis-dn-10 05/05 LDAP:String Representation of Distinguished Names draft-ietf-ldapbis-user-schema-05 01/05 LDAP: User Schema draft-zeilenga-ldap-grouping-06 05/05 LDAPv3: Grouping of Related Operations draft-zeilenga-ldap-txn-06 05/05 LDAPv3 Transactions draft-zeilenga-ldap-cancel-08 05/05 LDAP Cancel Extended Operation draft-zeilenga-ldap-t-f-05 05/05 LDAP Absolute True and False Filters draft-zeilenga-ldap-noop-01 05/05 The LDAP No-Op Control draft-klasen-ldap-facs-tel-number-match-01 14/05 LDAP: matching rules for facsimile telephone numbers draft-zeilenga-ldapbis-strprep-00 05/05 LDAP: Internationalized String Preparation draft-apurva-ldap-query-containment-00 06/05 Schema to Support Query Containment in LDAP Directories draft-zeilenga-ldap-assert-00 12/05 The LDAP Assertion Control draft-zeilenga-ldap-uuid-00 12/05 The LDAP entryuuid operational attribute LDUP draft-ietf-ldup-lcup-05 29/04 LDAP Client Update Protocol draft-zeilenga-ldup-sync-02 06/05 LDAP Content Synchronization Operation draft-zeilenga-ldup-harmful-00 05/05 LDAP Multi-master Replication Considered Harmful POLICY draft-ietf-policy-qos-info-model-05 06/05 Policy QoS Information Model REDUND draft-pitta-redundant-fault-tol-conf-00 05/05 Redundant Fault Tolerant Configurations TRACE draft-ietf-ccamp-tracereq-02 14/05 Tracing Requirements for Generic Tunnels VPN draft-ietf-ppvpn-bgpvpn-auto-05 13/05 BGP as Auto-Discovery Mechanism for Provider-provisioned VPNs draft-ietf-ppvpn-vpn-vr-04 05/05 Network based IP VPN Architecture using Virtual Routers AUTRES DRAFTS Thème Nom du Draft Date Titre ASAP draft-ietf-rserpool-asap-07 16/05 Aggregate Server Access Protocol (ASAP) draft-ietf-rserpool-common-param-04 16/05 Aggregate Server Access Protocol & Endpoint Name Resolution ASCERTE draft-dickel-ascertech-base-01 02/05 Ascertech's Billing & Accounting System Exchange Protocol BGMP draft-ietf-bgmp-spec-04 21/05 Border Gateway Multicast Protocol (BGMP): Protocol Specification BGP4 draft-ietf-ptomaine-nopeer-03 13/05 NOPEER community for BGP route scope control draft-ietf-idr-bgp-analysis-03 13/05 BGP-4 Protocol Analysis BINPIDF draft-lonnfors-simple-binpidf-01 08/05 External Object Extension to Presence Information Data Format CPIM draft-ietf-impp-im-03 20/05 Common Profile for Instant Messaging (CPIM) CPP draft-ietf-impp-pres-03 20/05 Common Profile for Presence (CPP) CRISP draft-ietf-crisp-requirements-05 12/05 Cross Registry Internet Service Protocol (CRISP) Requirements DCCP draft-ietf-dccp-ccid /05 DCCP Congestion Control ID 2:TCP-like Congestion Control draft-ietf-dccp-ccid /05 DCCP Congestion Control ID 3:TFRC Congestion Control draft-ietf-dccp-spec-03 20/05 Datagram Congestion Control Protocol (DCCP) DHCP draft-ietf-dhc-isnsoption-06 06/05 The IPv4 DHCP Options for the Internet Storage Name Service Veille Technologique Sécurité N 58 Page 24/65

25 draft-ietf-dhc-extended-optioncodes-00 19/05 Extending DHCP Options Codes DMA draft-callaghan-rpcrdma-00 15/05 RDMA Transport for ONC RPC DMIB draft-ietf-disman-alarm-mib-12 29/04 Alarm MIB DNS draft-ietf-dnsext-mdns-20 21/05 Linklocal Multicast Name Resolution (LLMNR) draft-ietf-dnsext-delegation-signer-14 06/05 Delegation Signer Resource Record draft-ietf-dnsext-insensitive-03 30/04 Domain Name System (DNS) Case Insensitivity Clarification Draft-ietf-dnsext-dnssec-2535type-change-00 15/05 Legacy Resolver Compatibility for Delegation Signer draft-josefsson-dns-url-08 21/05 Domain Name System Uniform Resource Identifiers draft-main-addr-dns-rep-00 13/05 Mapping Network Addresseses into Domain Name Space DOI draft-paskin-doi-uri-03 08/05 The 'doi' URI Scheme for Digital Object Identifier (DOI) DSP draft-rajeshkumar-mmusic-gpmd-03 20/05 SDP attribute for qualifying Media Formats with Generic Param. E164 draft-foster-e164-gstn-npusa-06 08/05 Number Portability Administration in the U.S. ECMP draft-bhatia-ecmp-routes-in-bgp-00 14/05 Advertising Equal Cost Multi-Path (ECMP) routes in BGP ENRP draft-ietf-rserpool-enrp-06 16/05 Enpoint Name Resolution Protocol (ENRP) ENUM draft-ietf-enum-rfc2916bis-06 13/05 The E.164 to URI DDDS Application (ENUM) EPP draft-zygmuntowicz-epp-pltld-00 13/05 EPP parameters for.pl cctld draft-hollenbeck-epp-rgp-00 19/05 Redemption Grace Period Mapping for the EPP EXTREME draft-shah-extreme-eaps-03 16/05 Extreme Networks'Ethernet Automatic Protection Switching V 1 FCS draft-canessa-fcs-api-00 21/05 Fixed Content Storage (FCS) Application Programming Interface FIRS draft-ietf-crisp-firs-arch-00 19/05 Federated Internet Registry Service: Arch. & Implement. Guide draft-ietf-crisp-firs-core-00 19/05 Federated Internet Registry Service: Core Elements draft-ietf-crisp-firs-dns-00 19/05 Defining & Locating DNS Domains in the FIRS draft-ietf-crisp-firs-dnsrr-00 19/05 Defining & Locating DNS Resource Records in the FIRS draft-ietf-crisp-firs-contact-00 19/05 Defining & Locating Contact Information in the FIRS draft-ietf-crisp-firs-ipv /05 Defining & Locating IPv4 Address Blocks in the FIRS draft-ietf-crisp-firs-ipv /05 Defining & Locating IPv6 Address Blocks in the FIRS draft-ietf-crisp-firs-asn-00 19/05 Defining & Locating Autonomous System Numbers in the FIRS GDOI draft-ietf-msec-gdoi-08 08/05 The Group Domain of Interpretation GEOPRIV draft-ietf-geopriv-dhcp-lci-option-00 12/05 Location Configuration Information for GEOPRIV GSTN draft-allocchio-gstn-05 30/04 Text string notation for Dial Sequences & GSTN / E.164 addresses I18N draft-newman-i18n-comparator-00 12/05 Internet Application Protocol Comparator Registry IEPREP draft-ietf-ieprep-ets-telephony-04 28/04 IP Telephony Requirements for ETS draft-polk-ieprep-flow-model-consideration-01 16/05 Considerations for IEPREP Related Protocol Packet Flow Models IETF draft-ietf-ipr-technology-rights-06 20/05 Intellectual Property Rights in IETF Technology draft-ietf-ipr-template-00 06/05 A Template for IETF Patent Disclosures and Licensing Declarations draft-ietf-nomcom-rfc2727bis-04 09/05 IAB & IESG Selection, Confirmation, and Recall Process draft-mrose-ietf-posting-03 12/05 A Practice for Revoking Posting Rights to IETF mailing lists draft-carpenter-solution-sirs-00 07/05 Careful Additional Review of Documents (CARD)by Senior IETF draft-ietf-problem-issue-statement-01 12/05 IETF Problem Statement draft-ietf-problem-process-00 12/05 IETF Problem Resolution Processes IGMP draft-ietf-magma-snoop-07 06/05 Considerations for IGMP and MLD Snooping Switches IMAP draft-ietf-imapext-sort-13 15/05 IMAP - SORT AND THREAD EXTENSION draft-ietf-imapext-annotate-07 20/05 IMAP ANNOTATE Extension draft-ietf-imapext-i18n-00 12/05 Internet Message Access Protocol Internationalization draft-daboo-imap-annotatemore-03 20/05 IMAP ANNOTATEMORE Extension IMP draft-ietf-impp-srv-03 20/05 Address Resolution for Instant Messaging and Presence IP draft-ietf-forces-requirements-09 21/05 Requirements for Separation of IP Control and Forwarding draft-ietf-ipoib-ip-over-infiniband-04 01/05 IP encapsulation and address resolution over InfiniBand networks draft-eastlake-ip-mime-08 07/05 IP over MIME draft-clausen-ipdvb-enc-01 20/05 Simple Encapsulation for trans. of IP datag. over MPEG-2/DVB draft-main-ipaddr-text-rep-00 02/05 Textual Representation of IPv4 and IPv6 Addresses draft-syam-ip-state-model-00 14/05 State Model for IP Interfaces IPCDN draft-ietf-ipcdn-pktc-mtamib-01 09/05 MTA MIB for PacketCable 1.0 compliant devices IPO draft-ietf-ipo-impairments-05 08/05 Impairments And Other Constraints On Optical Layer Routing IPR draft-savola-ipr-lastcall-01 09/05 Intellectual Property Rights Considerations in Last Calls IPV6 draft-ietf-multi6-multihoming-requ-06 16/05 Goals for IPv6 Site-Multihoming Architectures draft-ogura-ipv6-mapos-02 25/04 IP Version 6 over MAPOS draft-desanti-ipv6-over-fibre-channel-01 01/05 IPv6 over Fibre Channel draft-hain-ipv6-sitelocal-01 12/05 Local Scope Address Requirements draft-savola-multi6-nowwhat-00 25/04 IPv6 Site Multihoming: Now What? draft-hinden-ipv6-global-local-addr-00 08/05 Globally Unique IPv6 Local Unicast Addresses IRC draft-brocklesby-irc-isupport-02 13/05 IRC RPL_ISUPPORT Numeric Definition LDAP draft-legg-ldap-gser-abnf-06 07/05 Common Elements of GSER Encodings draft-legg-ldap-gser-03 07/05 Generic String Encoding Rules for ASN.1 Types LWAPP draft-calhoun-seamoby-lwapp-01 05/05 Light Weight Access Point Protocol (LWAPP) MAIL draft-bajaj-mail-srv-00 08/05 Use of SRV records for POP3, POP3S, IMAP and IMAPS. MBONED draft-savola-mboned-mcast-rpaddr-03 22/05 Embedding the Address of RP in IPv6 Multicast Address MDN draft-vaudreuil-mdnbis-04 12/05 Message Disposition Notification MEGACO draft-ietf-megaco-mib-05 29/04 Megaco MIB draft-schwarz-megaco-relay-services-01 12/05 Voiceband Data Transport Services in Megaco/H.248 Networks MIB draft-ietf-adslmib-vdsl-09 01/05 Definitions of Managed Objects for VDSL draft-ietf-atommib-atm /05 Definitions of Supplemental Managed Objects for ATM Interface draft-ietf-atommib-rfc2496bis-02 06/05 Definitions of Managed Objects for the DS3/E3 Interface Type draft-ietf-atommib-rfc2495bis-02 06/05 Definitions of Managed Objects for the DS1, E1, DS2, E2 Interface draft-ietf-entmib-v /05 Entity MIB (Version 3) draft-ietf-hubmib-power-ethernet-mib-05 22/05 Power Ethernet MIB draft-ietf-hubmib-1643-to-historic-01 04/05 Applicabil. Stat. for Reclassification of RFC 1643 to Historic Status Veille Technologique Sécurité N 58 Page 25/65

26 draft-ietf-ips-fcip-mib-04 29/04 Definition of Managed Objects for FCIP MIDCOM draft-ietf-midcom-semantics-02 15/05 MIDCOM Protocol Semantics MMUSIC draft-gentric-mmusic-stream-switching-req-00 16/05 Requirements and Use Cases for Stream Switching MOBILEIP draft-sjkoh-mobile-sctp-mobileip-01 21/05 msctp with Mobile IP for IP Mobility Support draft-daley-mobileip-movedetect-01 09/05 Movement Detection Optimization in Mobile IPv6 draft-ietf-mobileip-reg-revok-07 22/05 Registration Revocation in Mobile IPv4 draft-nomad-mobileip-filters-03 25/04 Filters for Mobile IPv4 Bindings (NOMADv4) draft-bharatia-mobileip-gen-mipv4-ext-01 15/05 Mobile IPv4 Extension for Configuration Options Exchange draft-jung-mobileip-fastho-hmipv /05 Fast Handover for Hierarchical MIPv6 (F-HMIPv6) MPLS draft-ietf-ccamp-gmpls-architecture-07 19/05 Generalized Multi-Protocol Label Switching Architecture draft-ietf-ccamp-gmpls-recovery-termino /05 Recovery (Protection and Restoration) Terminology for GMPLS draft-ietf-mpls-ldp-mib-10 01/05 Definitions of Managed Objects for The MPLT LD Protocol draft-ietf-mpls-ftn-mib-06 01/05 MPLS Forward Equivalency Class-To-Next Hop Label Forwarding draft-ietf-mpls-mgmt-overview-04 28/04 Multiprotocol Label Switching (MPLS) Management Overview draft-ietf-mpls-nodeid-subobject-01 19/05 Definition of an RRO node-id subobject draft-ietf-mpls-telink-mib-02 22/05 Traffic Engineering Link Management Information Base draft-martini-l2circuit-trans-mpls-11 28/04 Transport of Layer 2 Frames Over MPLS draft-martini-l2circuit-encap-mpls-05 28/04 Encapsulation Methods for Transport of L2 Frames Over IP & MPLS draft-zhang-mpls-interas-te-req-03 14/05 MPLS Inter-AS Traffic Engineering requirements draft-zamfir-explicit-resource-control-bund-01 09/05 Explicit Resource Control over GMPLS Link Bundles draft-lai-mpls-mib-rqmts-00 30/04 Network Management Requirements for MPLS MIBs draft-raggarwa-mpls-p2mp-te-00 06/05 Establishing Point to Multipoint MPLS TE LSPs MRCP draft-shanmugham-mrcp-04 01/05 A Media Resource Control Protocol MSDP draft-ietf-msdp-spec-19 22/05 Multicast Source Discovery Protocol (MSDP) MSGHEAD draft-newman-msgheader-originfo-05 28/05 Originator-Info Message Header MTP3 draft-anshoo-test-spec-m3ua-01 14/05 Test Specification for MTP3 User Adaptation MUPDATE draft-siemborski-mupdate-04 15/05 The MUPDATE Distributed Mailbox Database Protocol NAROS draft-de-launois-multi6-naros-00 15/05 NAROS : Host-Centric IPv6 Multihoming with Traffic Engineering NAT draft-park-scalable-multi-natpt-00 15/05 Scalable mnat-pt Solution NCS draft-ietf-ipcdn-pktc-signaling-01 08/05 NCS Signaling MIB for PacketCable/IPCablecom MTAs NEMO draft-ietf-nemo-requirements-01 15/05 Network Mobility Support Goals and Requirements draft-ietf-nemo-terminology-00 16/05 Network Mobility Support Terminology NFS draft-callaghan-nfsdirect-00 15/05 NFS Direct Data Placement NFSV4 draft-ietf-nfsv4-rfc1832bis-01 07/05 XDR: External Data Representation Standard draft-ietf-nfsv4-secinfo-00 09/05 NFSv4.1: SECINFO Changes draft-ietf-nfsv4-rpc-iana-00 20/05 RPC Numbering Authority Transfer to IANA draft-ietf-nfsv4-rfc1831bis-00 20/05 RPC: Remote Procedure Call Protocol Specification Version 2 draft-talpey-nfsv4-rdma-sess-00 15/05 NFSv4 RDMA and Session Extensions NNTP draft-ietf-nntpext-base-18 25/04 Network News Transport Protocol OLSR draft-ietf-manet-olsr-10 12/05 Optimized Link State Routing Protocol OPS draft-ietf-ops-ipv6-flowlabel-01 22/05 Textual Conventions for IPv6 Flow Label OSPF draft-lindem-ospf-cap-00 15/05 Extensions to OSPF for Advertising Optional Router Capabilities draft-udo-ospf-vendatt-00 22/05 OSPF TE LSA Ext. in Support of Vendor/Org. Specific Attributes draft-ietf-ospf-scalability-04 19/05 Prioritized Treatment of Specific OSPF Packets & Cong. Avoidance OWAMP draft-ietf-ippm-owdp-06 20/05 A One-way Active Measurement Protocol (OWAMP) PANA draft-ietf-pana-usage-scenarios-06 29/04 Problem Statement and Usage Scenarios for PANA PIDF draft-ietf-impp-cpim-pidf-08 09/05 Presence Information Data Format (PIDF) POLICY draft-ietf-policy-qos-device-info-model-09 19/05 Info. Model for Describing Net. Device QoS Datapath Mechanisms PPP draft-kehn-info-ppp-ipcp-ext-00 12/05 PPP Internet Protocol Control Protocol Ext for Route Table Entries draft-schryver-pppext-iana-00 19/05 IANA Considerations for PPP PROVREG draft-ietf-provreg-epp-ext-02 13/05 Guidelines for Extending the Extensible Provisioning Protocol RDMA draft-hilland-rddp-verbs-00 28/04 RDMA Protocol Verbs Specification RMON draft-ietf-rmonmib-framework-04 19/05 Introduction to the RMON Family of MIB Modules RMT draft-ietf-rmt-bb-fec-supp-compact-01 14/05 Compact Forward Error Correction (FEC) Schemes ROHC draft-price-rohc-sigcomp-user-guide-02 15/05 SigComp User Guide draft-price-rohc-sigcomp-torture-tests-02 16/05 SigComp Torture Tests ROC draft-ietf-rohc-sigcomp-impl-guide-00 15/05 Implementer's Guide for SigComp RPSEC draft-ietf-rpsec-routing-threats-01 06/05 Generic Threats to Routing Protocols RPSLNG draft-blunk-rpslng-00 08/05 RPSLng RSVP draft-lang-ccamp-gmpls-recovery-e2e-sig-01 09/05 RSVP-TE Ext. in support of End-to-End GMPLS-based Recovery draft-dimitri-ccamp-gmpls-rsvp-te-ason-00 28/04 GMPLS RSVP-TE Signalling in support of ASON RTP draft-ietf-avt-rtcp-feedback-06 05/05 Extended RTP Profile for RTCP-based Feedback(RTP/AVPF) draft-ietf-avt-mwpp-midi-rtp-07 20/05 RTP Payload Format for MIDI draft-ietf-avt-rtcp-report-extns-06 21/05 RTP Control Protocol Extended Reports (RTCP XR) SCTP draft-stewart-tsvwg-prsctp-04 19/05 SCTP Partial Reliability Extension draft-stewart-tsvwg-sctpscore-01 06/05 Stream Control Transmission Protocol (SCTP) Bakeoff Scoring draft-ahmed-lssctp-00 29/04 Load Sharing in Stream Control Transmission Protocol SDP draft-ietf-mmusic-sdp-srcfilter-05 16/05 Session Description Protocol (SDP) Source Filters draft-ietf-mmusic-sdp-new-13 22/05 SDP: Session Description Protocol draft-ietf-mmusic-sdp4nat-04 21/05 RTCP attribute in SDP draft-ietf-mmusic-sdpng-trans-04 15/05 SDPng Transition draft-ietf-mmusic-sdp-bwparam-02 14/05 A Transport Independent Bandwidth Modifier for SDP SDXP draft-wildgrube-gnp-04 02/05 SDXP: Structured Data Exchange Protocol SEAMOBY draft-ietf-seamoby-mobility-terminology-04 25/04 Mobility Related Terminology SERVICE draft-iab-service-id-considerations-01 12/05 On the use of a Service Identifier in Packet Headers SIEVE draft-showalter-sieve-vacation-05 13/05 Sieve: Vacation Extension SIGTRAN draft-ietf-sigtran-rfc3057bis-00 15/05 ISDN Q.921-User Adaptation Layer Veille Technologique Sécurité N 58 Page 26/65

27 SIMPLE draft-lonnfors-simple-partial-notify-01 20/05 Partial Notification of Presence Information draft-khartabil-simple-filter-format-00 20/05 XML Based Format for Event Notification Filtering draft-khartabil-simple-filter-funct-00 20/05 Functional Description of Event Notification Filtering draft-ietf-simple-presinfo-deliv-reg-00 06/05 Requirements for Efficient Delivery of Presence Information draft-ietf-simple-winfo-filter-reqs-00 09/05 Requirements for Filtering of Watcher Information SIP draft-ietf-simple-event-list-03 19/05 A SIP Event Notification Extension for Resource Lists draft-ietf-sip-scvrtdisco-04 14/05 SIP Ext. Header Field for Service Route Discovery During Registr. draft-ietf-sipping-req-history-03 15/05 SIP Generic Request History Capability Requirements draft-ietf-sipping-conferencing-framework-00 01/05 A Framework for Conferencing with the Session Initiation Protocol SLP draft-zhao-slp-attr-02 28/04 Enabling Global Service Attributes in the Service Location Protocol SMS draft-wilde-sms-service-04 15/05 Registration of GSTN SMS Service Qualifier draft-wilde-sms-uri-04 15/05 URI scheme for GSM Short Message Service SMTP draft-ietf-fax-esmtp-conneg-07 19/05 SMTP Service Extension for Fax Content Negotiation SNMPV3 draft-ietf-snmpv3-coex-v /05 Coexistence between V1, V2 & V3 of the Internet SNM Framework SPAM draft-crocker-spam-techconsider-01 19/05 Technical Considerations for Spam Control Mechanisms draft-fecyk-dsprotocol-02 28/04 A Way to Identify Hosts Authorized to Send SMTP Traffic SPEECHS draft-shanmugham-speechsc-00 22/05 A SPEECHSC protocol for Media Resource Control SSM draft-ietf-ssm-overview-05 01/05 An Overview of Source-Specific Multicast(SSM) draft-ietf-ssm-arch-03 08/05 Source-Specific Multicast for IP TCP draft-floyd-newreno-00 12/05 The NewReno Modification to TCP's Fast Recovery Algorithm TFTP draft-lear-tftp-uri-04 16/05 URI Scheme for the TFTP Protocol ULE draft-fair-ipdvb-ule-00 20/05 ULE for transmission of IP datagrams over MPEG-2/DVB networks URN draft-allen-newsml-urn-rfc3085bis-00 21/05 URN Namespace for NewsML Resources VPN draft-rosen-ppvpn-l2-signaling-03 06/05 Provisioning Models and Endpoint Identifiers in L2VPN Signaling draft-kompella-ppvpn-vpls-02 15/05 Virtual Private LAN Service draft-andersson-ppvpn-terminology-03 30/04 PPVPN Terminology draft-sodder-ppvpn-vhls-02 29/04 Virtual Hierarchical LAN Services draft-ietf-ppvpn-l2vpn-requirements-00 02/05 Service Reqs for L2 Provider Provisioned Virtual Private Networks VRRP draft-ietf-vrrp-spec-v /05 Virtual Router Redundancy Protocol draft-ietf-vrrp-ipv6-spec-04 21/05 Virtual Router Redundancy Protocol for IPv6 WEBDAV draft-ietf-webdav-ordering-protocol-08 12/05 WebDAV Ordered Collections Protocol XMPP draft-ietf-xmpp-im-11 05/05 XMPP Instant Messaging draft-ietf-xmpp-core-12 05/05 XMPP Core Veille Technologique Sécurité N 58 Page 27/65

28 NOS COMMENTAIRES LES RFC RFC 3526 More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE) Les standards RFC2412 ( The OAKLEY Key Determination Protocol ) et RFC2409 ( The Internet Key Exchange ) décrivent les mécanismes permettant à deux entités d établir un secret commun sur un support non protégé, et ce à partir de la seule connaissance de paramètres caractéristiques des schémas d échange employés, les valeurs de ces paramètres pouvant être rendues publiques. Parmi les schémas proposés, le schéma Diffie-Hellman ou DH, synthétiquement présenté sur le diagramme d échange suivant, permet d assurer une mise à la clef à partir de la seule connaissance d un couple de paramètres : n un nombre premier et g un générateur de n. 1- Alice et Bob conviennent du choix du couple (n,g) en respectant certaines conditions mathématiques 2- Alice sélectionne une valeur secrète a et calcule sa clef publique A=g a mod(n) 3- Bob sélectionne sa valeur secrète b et calcule aussi sa clef publique B=g b mod(n) 4- Alice et Bob échangent leur clef publique sur un quelconque canal 5- Alice calcule le secret partagé K en effectuant l opération K= B a = g ba mod(n) 6- Bob calcule lui aussi le secret partagé K en effectuant l opération K= A b = g ab mod(n) On notera que depuis son invention en 1976, ce schéma a fait ses preuves et est aujourd hui couramment utilisé par de nombreux protocoles de transmission sécurisés dont SSH, SSL et IPSec. Rappelons cependant qu il n assure aucunement l authentification des correspondants et est de fait sensible aux attaques de type man-in-the-middle. La mise en œuvre pratique du schéma DH - et plus largement des protocoles supportés par OAKLEY et IKE requiert que l ensemble des intervenants aient connaissance du couple (n,g). Ce couple de paramètres peut parfaitement être généré localement et diffusé au groupe sous réserve de respecter les contraintes mathématiques qui pèsent sur le choix de ces valeurs. En pratique et pour des raisons évidentes de mise en œuvre dans le cas d équipements de communication, on préférera généralement utiliser des valeurs bien connues générées dans les règles de l art et pré-encodées dans les équipements. Au-delà de l intérêt purement opérationnel de cette démarche, la spécification d une structure de données générique - dénommée groupe - autorise l adaptation du protocole de mise à la clef aux exigences de sécurité et au contexte associé en autorisant la sélection du schéma DH, ECC, - et de la taille des clefs générées. Sont ainsi actuellement définis les 8 groupes Diffie-Hellman suivants: Référence N Opération Taille n g RFC MODN 768 2^ 768-2^ ^64 * {[2^ 638 pi] } 2 RFC MODN ^1024-2^ ^64 * {[2^ 894 pi] } 2 RFC MODN ^1536-2^ ^64 * {[2^1406 pi] } 2 RFC MODN ^2048-2^ ^64 * {[2^1918 pi] } 2 RFC MODN ^3072-2^ ^64 * {[2^2942 pi] } 2 RFC MODN ^4096-2^ ^64 * {[2^3966 pi] } 2 RFC MODN ^6144-2^ ^64 * {[2^6014 pi] } 2 RFC MODN ^8192-2^ ^64 * {[2^8062 pi] } 2 Aux deux groupes définis dans le RFC d origine viennent s ajouter 6 nouveaux groupes permettant d anticiper le problème de l augmentation régulière de la taille des clefs de session. En effet, la taille maximale de la clef partagée et donc la robustesse du chiffrement - sera principalement déterminée par la taille du paramètre n intervenant dans l opération modulaire. Ces nouveaux groupes seront très certainement rapidement intégrés par les éditeurs et équipementiers dans leurs prochaines versions de logiciels et de firmwares, le groupe 5 étant encodé depuis quelques temps déjà dans de nombreux équipements de télécommunication et logiciels assurant la création de VPN. ftp://ftp.isi.edu/in-notes/rfc3526.txt Veille Technologique Sécurité N 58 Page 28/65

29 LES DRAFTS DRAFT-IAB-AUTH-MECH-00 A Survey of Authentication Mechanisms En juillet 2002, E.Rescorla consultant de la société RTFM Inc. et auteur de l ouvrage SSL and TLS: Designing and Building Secure Systems nous proposait un excellent état de l art en matière de techniques d authentification sous la référence draft-rescorla-auth-mech-00.txt (Rapport N 48 Juillet 2002). Une mise à jour de cet état de l art vient d être publiée mais, cette fois-ci, au sein du groupe de travail IAB (Internet Advisory Board). Bien qu encore incomplet, ce document de travail aborde de manière très structurée les 7 principaux mécanismes d authentification s appuyant sur la connaissance d une information ou la possession d un élément secret. Le cas particulier des mécanismes basés sur une caractéristique individuelle authentification dite biométrique n est cependant toujours pas traité. Sont ainsi étudiés les mécanismes suivants : 1. Mots de passe en clair 2. Mots de passe jetables 3. Schémas défi / réponse 4. Schémas à échange de clefs dit DH 5. Schémas dit à apport de connaissance nul 6. Schémas à base de certificats et mots de passe 7. Schémas d authentification mutuelle à base de clefs publiques Chaque mécanisme fait l objet d un chapitre rappelant le principe de fonctionnement sous-jacent, exposant les différents risques associés mais aussi et c est une nouveauté les services de l Internet utilisant ce mécanisme. Lorsque cela est possible, une étude de cas s appuyant sur une implémentation connue est proposée. Le modèle de description suivant est ainsi systématiquement utilisé: A Le mécanisme (Description) A.x Un risque (Description et Contre-mesures) A.y " " A.z A.w Une étude de cas: Protocole(s) spécifique(s) (Description du protocole) A.z.x Les problèmes spécifiques à ce(s) protocole(s) Une liste des protocoles/systèmes utilisant ce mécanisme La table des matières de cet état de l art est présentée ci-dessous, les différences entres les deux versions étant mises en évidence en caractères soulignés: 1 Introduction 2 The Authentication Problem 2.1 Authorization vs. Authentication 2.2 Something you have, something you know 3 Description of Authentication Mechanisms 4 Passwords In The Clear 4.1 Password Sniffing 4.2 Post-Authentication Hijacking 4.3 Online Password Guessing 4.4 Offline Dictionary Attack 4.5 Case Study: HTTP Basic Authentication 4.6 List of Systems that Use Passwords in the Clear 5 One Time Passwords 5.1 Case Study: S/Key and OTP 5.2 Case Study: SecureID 5.3 List of One-Time Password Systems 6 Challenge/Response 6.1 Offline Attacks on Challenge/Response 6.2 Password File Compromise 6.3 Case Study: CRAM-MD5 6.4 Case Study: HTTP Digest 6.5 Case Study: SSL Session Resumption 6.5 List of Challenge-Response Systems 7 Anonymous Key Exchange 7.1 Case Study: SSH Password Authentication 7.2 Case Study: TLS Anonymous DH + Passwords 7.3 List of Anonymous Key Exchange Mechanisms 8 Zero-Knowledge Password Proofs 8.1 Intellectual Property 8.2 List of Zero Knowledge Password Proof Systems 9 Server Certificates plus Client Authentication 9.1 Case Study: Passwords over HTTPS 9.2 List of Server Certificate Systems 10 Mutual Public Key Authentication 10.1 Password Equivalence 10.2 Authentication between Unknown Parties 10.3 Key Storage 10.4 Tokens 10.5 Password Derived Keys 10.6 Case Study: SMTP over TLS 10.7 List of Mutual Public Key Systems 11 Generic Authentication Mechanisms 11.1 Downgrade Attacks 11.2 Integration with Applications 11.3 Multiple Equivalent Mechanisms 11.4 Excessive Layering 11.5 List of Generic Authentication Systems 12 Sharing Authentication Information 12.1 Authentication Services 12.2 Single Sign-On Case Study: RADIUS Case Study: Kerberos List of Authentication Server Systems 13 Guidance for Protocol Designers 13.1 Know what you're trying to do 13.2 Use As Few Mechanisms as You Can 13.3 Avoid simple passwords 13.4 Avoid inventing something new 13.5 Use the strongest mechanisms you can 13.6 Consider providing message integrity 14 Scenarios 14.1 Capability Considerations 14.2 Architectural Considerations Si les paragraphes 5.2 et 6.5 ont été complétés par rapport à la version précédente, les paragraphes 2.2, 7.2, 10.6, 11.2, 12.3 ne sont toujours pas écrits. Bien que n étant pas d accord avec la classification employée laquelle fait apparaître une certaine confusion entre Veille Technologique Sécurité N 58 Page 29/65

30 mécanismes et schémas, protocoles et implémentations, nous pouvons que saluer le remarquable travail de synthèse réalisé par l auteur et confirmer l importance des règles de conception simples et efficaces exprimées dans le chapitre 13. ftp://ftp.nordu.net/internet-drafts/draft-iab-auth-mech-00.txt DRAFT-IETF-IPSEC-IKEV2-ALGORITHMS-00 Cryptographic Algorithms for use in the Internet Key Exchange Version 2 Le standard RFC2409 ( IKE - The Internet Key Exchange ) et la proposition de norme ( IKE V2 ) définissent les mécanismes permettant l échange des éléments cryptographiques nécessaires à l établissement d un canal IPSec sécurisé entre 2 entités ne partageant aucun secret préalable. L existence de multiples implémentations et la généricité des mécanismes proposés conduit l IETF à imposer un cadre commun afin de faciliter l interopérabilité de ces implémentations, notamment vis à vis des travaux de spécification de la nouvelle version d IKE. Le document intitulé Cryptographic Algorithms for use in the Internet Key Exchange Version 2 décrit ainsi les options d implémentation et de configuration devant impérativement être proposées par les produits utilisant IKE V2. Charge : Chiffrement Obligatoire AES-128-CBC Charge : Intégrité Obligatoire HMAC-SHA1 Clefs : Groupes DH Optionnel N bits DH Recommandé N bits DH Optionnel N bits ECC Optionnel N bits ECC Obligatoire N bits DH Transport : Chiffrement Optionnel N 1 ENCR_DES_IV64 Optionnel N 2 ENCR_DES Optionnel N 3 ENCR_3DES Recommandé N 4 ENCR_RC5 Recommandé N 5 ENCR_IDEA Recommandé N 6 ENCR_CAST Recommandé N 7 ENCR_BLOWFISH Recommandé N 8 ENCR_3IDEA Recommandé N 9 ENCR_DES_IV32 Recommandé N 10 ENCR_RC4 Recommandé N 11 ENCR_NULL Obligatoire N 12 ENCR_AES_128_CBC Optionnel N 13 ENCR_AES_128_CTR Transport : Génération d aléa Optionnel N 1 PRF_HMAC_MD5 Obligatoire N 2 PRF_HMAC_SHA1 Recommandé N 3 PRF_HMAC_TIGER Recommandé N 4 PRF_AES128_CBC Transport : Intégrité Optionnel N 1 AUTH_HMAC_MD5_96 Recommandé N 2 AUTH_HMAC_SHA1_96 Optionnel N 3 AUTH_DES_MAC Optionnel N 4 AUTH_KPDK_MD5 Obligatoire N 5 AUTH_AES_XCBC_96 ftp://ftp.nordu.net/internet-drafts/draft-ietf-ipsec-ikev2-algorithms-00.txt Veille Technologique Sécurité N 58 Page 30/65

31 ALERTES ET ATTAQUES ALERTES GUIDE DE LECTURE La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : # Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l origine de l avis, # Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d un synoptique résumant les caractéristiques de chacune des sources d information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d un service de notification officiel et publiquement accessible sont représentés. Avis Spécifiques Avis Généraux Constructeurs Editeurs Indépendants Organismes Réseaux Systèmes Systèmes Editeurs Hackers Editeurs Autres US Autres 3Com Compaq Linux Microsoft l0pht AXENT BugTraq CERT Aus-CERT Cisco HP FreeBSD Netscape rootshell CIAC IBM SGI SUN NetBSD OpenBSD SCO Typologies des informations publiées Publication de techniques et de programmes d attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L analyse des avis peut être ainsi menée selon les trois stratégies suivantes : # Recherche d informations générales et de tendances : Lecture des avis du CERT et du CIAC # Maintenance des systèmes : Lecture des avis constructeurs associés # Compréhension et anticipation des menaces : Lecture des avis des groupes indépendants Aus-CERT CERT 3Com Compaq Microsoft BugTraq rootshell AXENT NetBSD Cisco HP l0pht ISS OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC Veille Technologique Sécurité N 58 Page 31/65

32 FORMAT DE LA PRESENTATION Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme de tableaux récapitulatifs constitués comme suit : % Présentation des Alertes EDITEUR TITRE Description sommaire Gravité Date Informations concernant la plate-forme impactée Correction Produit visé par la vulnérabilité Description rapide de la source du problème Référence URL pointant sur la source la plus pertinente % Présentation des Informations SOURCE TITRE Description sommaire URL pointant sur la source d information SYNTHESE MENSUELLE Le tableau suivant propose un récapitulatif du nombre d avis publiés pour la période courante, l année en cours et l année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu en terme de tendance et d évolution. Période du 24/04/2003 au 28/05/2003 Cumul Période Organisme CERT-CA CERT-IN CIAC Constructeurs Cisco HP IBM SGI Sun Editeurs Macromedia Microsoft Netscape Sco Unix libres Linux RedHat Linux Debian Linux Mandr FreeBSD Autres eeye X-Force Netscape 0% Cumul Constructeurs Sun 40% SGI 16% IBM 4% Cisco 7% Cumul Editeurs Sco 30% Microsoft 57% HP 33% Macromedia 13% Cumul Constructeurs IBM 6% Netscape 2% SGI 28% Sun 4% HP 44% Cumul Editeurs Sco 31% Microsoft 57% Cisco 18% Macromedia 10% Veille Technologique Sécurité N 58 Page 32/65

33 ALERTES DETAILLEES AVIS OFFICIELS Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme fiable, par l éditeur du produit ou par le constructeur de l équipement. Ces informations peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s il y en a, doivent immédiatement être appliqués. ADOBE Vulnérabilité dans Acrobat Un défaut dans l'implémentation Javascript d'acrobat provoque l'exécution de code arbitraire par un fichier piégé. Moyenne 13/05 Adobe Acrobat 5 pour Windows Correctif existant Javascript Ecriture de fichiers dans le répertoire de stockage des plug-ins Adobe CERT VU# BEA Défaut de validation de certificats par WebLogic WebLogic et Tuxedo effectuent une validation incomplète des certificats qui leur sont présentés. Forte 12/05 BEA Tuxedo 8.0 et 8.1, WebLogic Entreprise et 5.1, WebLogic Server et Express 5.1, 6.1, 7.0 et Correctif existant Vérification certificats clients Vérification laxiste BEA Stockage des mots de passe accessibles dans WebLogic Plusieurs mots de passe utilisés par WebLogic sont stockés en clair et peuvent être lus par un utilisateur ayant accès au serveur. Moyenne 12/05 BEA WebLogic 7.0 et Correctif existant WebLogic Stockage non sécurisé des mots de passe BEA CISCO Déni de service par la fonction 'SAA' Il est possible de provoquer un déni de service contre les routeurs sur lesquels la fonction 'Service Assurance Agent' (anciennement 'Response Time Reporter') est activée. Forte 16/05 Cisco IOS 12.0S, SC, ST, SL, SP, SXCisco IOS 12.1, E, EA, EC, EX, EY, Cisco IOS 12.2, DA, S Correctif existant Service 'SAA' Non disponible CSCdx CSCdx61997 Déni de service dans CSS et Les commutateurs CSS et sont vulnérables à un déni de service. Forte 01/05 Cisco CSS et avec WebNS Correctif existant WebNS Mauvaise réponse à des requêtes DNS CSCdz CSCea36989 CERT VU# Mauvaise gestion des requêtes FTP et Telnet via ONS Une mauvaise gestion des requêtes FTP et Telnet par ONS permet de provoquer une remise à zéro des cartes de contrôle. Forte 01/05 Cisco ONS15454 avec ONS 3.0 à 3.4.1Cisco ONS15327 et ONS15454SDH avec ONS 3.3 à 3.4.1Cisco ONS15600 avec ONS 1.0 Palliatif proposé ONS Software Mauvaise gestion des requêtes FTP et Telnet CSCdz CSCdz83519 Multiples vulnérabilités des concentrateurs VPN 3000 Plusieurs vulnérabilités affectent les concentrateurs VPN Forte 07/05 Cisco VPN 3000 (modèles 3005, 3015, 3030, 3060, 3080), Cisco VPN 3002 Hardware Client Palliatif proposé Concentrateurs VPN Mauvaise gestion de 'IPSec over TCP' 2 - Mauvaise gestion des paquets SSH 3 - Mauvaise gestion des paquets ICMP CSCea CSCdz15393 CSCdt84906 Veille Technologique Sécurité N 58 Page 33/65

34 ETHEREAL Débordements de buffer dans Ethereal De nouveaux débordements de buffer dans différents dissecteurs d'ethereal ont été découverts. Critique 01/05 Ethereal et précédents Correctif existant Divers dissecteurs Débordements de buffer enpa-sa GnuPG Mauvaise indication de validité de clé Les clés liées à plusieurs identités indiquent pour toutes les identités un niveau de confiance correspondant à l'identité dont le niveau de confiance est le plus élevé. Faible 20/05 GnuPG et précédents Correctif existant GnuPG Mauvaise vérification de la validité de la clé pour une identité RHSA-03: CERT VU# GnuPG HP Vulnérabilité dans 'rexec' Le programme 'rexec' peut être utilisé pour provoquer l'exécution de code arbitraire. Forte 29/04 HP-UX et Correctif existant Programme 'rexec' Exécution de code non sollicité HPSBUX Vulnérabilité locale dans 'wall' Le programme 'wall' contient une vulnérabilité localement exploitable. Forte 06/05 HP HP-UX 10.20, et Correctif existant 'wall' Non disponible HPSBUX Vulnérabilité dans 'kermit' Une vulnérabilité dans 'kermit' permet une augmentation de privilèges. Forte 18/05 HP HP-UX et Palliatif proposé Programme 'kermit' Débordement de buffer HPSBUX Vulnérabilité dans 'ipcs' Le programme 'ipcs' contient un débordement de buffer exploitable par un utilisateur local. Forte 19/05 HP HP-UX Correctif existant Programme 'ipcs' Débordement de buffer HPSBUX Vulnérabilité dans 'dupatch' et 'setld' Une vulnérabilité de type lien symbolique affecte 'dupatch' et 'setld' sur HP Tru64 UNIX. Forte 01/05 HP Tru64 UNIX 5.1 PK6, 5.1A PK4, 5.1B PK1 et inférieurs, HP Tru64 UNIX 5.0A PK3 et inférieurs, HP Tru64 UNIX 4.0F PK7, 4.0G PK3 et inférieurs Palliatif proposé 'dupatch' et 'setld' Lien symbolique SSRT HTTP Vulnérabilité dans la méthode 'TRACE' La méthode HTTP 'TRACE' permet d'obtenir des informations liées aux requêtes HTTP clientes. Moyenne 02/05 Sun ONE/iPlanet Web Server 4.1 SP1 à SP12 et 6.0 SP1 à SP5, Apache HTTP Server, Microsoft Internet Information Services (IIS) Palliatif proposé Méthode HTTP 'TRACE' Accès aux entêtes HTTP CERT VU# Sun IBM Vulnérabilité du système d'impression Les programmes gérant les mécanismes d'aix contiennent une vulnérabilité exploitable localement. Forte 13/05 IBM AIX 4.3, 5.1 et 5.2 Correctif existant Mécanisme d'impression Vulnérabilité de formatage de chaîne de caractères E : Veille Technologique Sécurité N 58 Page 34/65

35 LINUX DEBIAN Vulnérabilité dans le paquetage 'leksbot' Le programme 'leksbot' est incorrectement installé setuid root. Forte 06/05 Paquetages 'leksbot' inférieurs au ou au Correctif existant Paquetage 'leksbot' Présence de la permission setuid root DSA Acquisition de privilèges via le paquetage 'fuzz' Une faille de l'outil 'fuzz' permet d'acquérir les privilèges d'autres utilisateurs. Moyenne 09/05 Debian Linux 3.0 (woody) Correctif existant Paquetage 'fuzz' Création non sécurisée de fichiers temporaires DSA Vulnérabilité dans 'lv' Il est possible de piéger un utilisateur de 'lv' pour qu'il exécute du code choisi par l'attaquant. Moyenne 15/05 'lv', sur Debian paquetages inférieurs au woody2, potato2 ou au Correctif existant Utilitaire 'lv' Lecture de fichier de configuration dans le répertoire courant DSA Vulnérabilité dans les scripts fournis avec Sendmail Certains scripts inclus par Debian dans le paquetage Sendmail contiennent une vulnérabilité exploitable localement. Moyenne 15/05 Debian utilisant un paquetage Sendmail inférieurs aux , et Correctif existant 'expn', 'checksendmail' et Création dangereuse de fichiers temporaires 'doublebounce.pl' DSA LINUX REDHAT Vulnérabilité dans le module Apache 'mod_auth_any' Le module 'mod_auth_any' fourni par Red Hat contient une faille permettant de provoquer l'exécution de code non sollicité. Critique 05/05 Red Hat 7.2 et 7.3 Correctif existant Module 'mod_auth_any' Mauvais échappement des données utilisateurs RHSA-03: Vulnérabilités diverses dans le noyau Deux vulnérabilités distinctes ont été découvertes dans le noyau 2.4 de Linux. Forte 14/05 Noyau et précédents, Red Hat 7.1 à 9 Correctif existant Noyau système Erreurs d'implémentation CIAC N RHSA-03: Exécution d'un programme via 'man' Un programme nommé 'unsafe' peut s'exécuter via 'man'. Faible 02/05 Red Hat Linux 7.1, 7.2, 7.3 et 8.0'man' inférieur à 1.51 Correctif existant Programme 'man' Mauvais traitement d'un fichier RHSA-03: MICROSOFT Deux vulnérabilités dans les serveurs BizTalk Deux vulnérabilités affectent les serveurs Microsoft BizTalk. Critique 30/04 Microsoft BizTalk Server 2000 et 2002 Correctif existant MS HTTP receiver 2 - DTA 1 - Débordement de buffer 2 - Mauvais filtrage des URLs Exécution de programmes malicieux via Media Player Une faille dans Windows Media Player permet l'exécution de programmes malicieux. Critique 08/05 Microsoft Windows Media Player 7.1, Media Player 8.0 (pour Windows XP) Correctif existant Téléchargement des 'skins' Non validation des URLs MS OnlineSolutions CERT VU# Veille Technologique Sécurité N 58 Page 35/65

36 Vulnérabilité dans Internet Explorer Le téléchargement d'un grand nombre de fichiers est susceptible de conduire Internet Explorer à outrepasser les demandes de confirmation de l'utilisateur. Forte 18/05 Microsoft Internet Explorer 6 Aucun correctif Internet Explorer Comportement dangereux en l'absence de ressources suffisantes CERT VU# NESSUS Exécution de commandes via Nessus Une faille dans Nessus permet d'exécuter des commandes arbitraires. Faible 23/05 Nessus et inférieures Correctif existant 'libnasl' Injection de script Deraison Full Disclosure ORACLE Débordement de buffer dans Oracle Net Services Un débordement de buffer dans le composant Net Services d'oracle permet l'exécution de code non sollicité. Forte 28/04 Oracle 7, 8, 8i, 9i R1 et 9i R2 (toutes plates-formes) Correctif existant Composant Net Services Débordement de buffer Oracle #54 POPTOP Débordement de buffer dans le serveur PPTP 'Poptop' Le serveur PPTP 'Poptop' contient un débordement de buffer. Moyenne 01/05 Poptop Serveur PPTP versions inférieures à et b3 Correctif existant Code source 'ctrlpacket.c' Débordement de buffer CERT VU# Bugtraq QUALCOMM Usuraption des attachements sur Eudora Un attachement délivré par Eudora peut être usurpé. Moyenne 22/05 Qualcomm Eudora Aucun correctif Eudora Mauvais traitement des attachements Eudora Full Disclosure REALNETWORKS Débordement de buffer dans RealSystem Server et Proxy Un débordement de buffer affecte le serveur et le proxy RealSystem de RealNetworks. Forte 01/05 RealNetworks RealSystem Server 6.x, 7.x et 8.x, RealNetworks RealSystem Proxy 8.x Correctif existant Serveur et proxy RealSystem Débordement de buffer CERT VU# RealNetworks CERT VU# SCRIPTLOGIC Multiples vulnérabilités dans le serveur ScriptLogic De multiples vulnérabilités affectent le serveur ScriptLogic version Forte 30/04 ScriptLogic version 4.01 Correctif existant CERT VU# CERT VU# CERT VU# SGI 1 - Partage réseau 'LOGS$' 2 - Service 'RunAdmin' 3 - Service RPC Mauvais contrôle d'accès 2 - Requêtes passées avec une configuration arbitraire 3 - Non restriction des requêtes Vulnérabilités Apache et PHP dans MediaBase Le logiciel MediaBase s'appuie sur des versions d'apache et de PHP qui contiennent plusieurs vulnérabilités. Forte 19/05 IRIX 6.5 utilisant Kasenna MediaBase Correctif existant Kasenna MediaBase Utilisation de versions vulnérables d'apache et PHP I ftp://patches.sgi.com/support/free/security/advisories/ i Veille Technologique Sécurité N 58 Page 36/65

37 Vulnérabilité dans l'utilisation de LDAP Lorsqu'un serveur LDAP est utilisé comme base d'utilisateur par le système, l'existence d'un mot de passe n'est pas vérifiée. Moyenne 25/04 SGI IRIX et précédents Correctif existant Service de nom LDAP Non vérification de la présence d'un mot de passe P ftp://patches.sgi.com/support/free/security/advisories/ p SUN Exécution de code distant via PHP sur Sun Une vulnérabilité de PHP SafeMode permet l'exécution de code arbitraire distant via la fonction 'mail()'. Critique 06/05 Sun 2800 Workgroup NTT/KOBE, Cobalt RaQ 4, Qube 3, RaQ 550, RaQ XTR, Sun Control Station Production, Sun LX50 (Sun Linux 5.0) Correctif existant Fonction PHP 'mail()' Non validation des arguments ISS Sun Déni de service de 'ns-slapd' sur Sun ONE Sun ONE Directory Server est vulnérable à un déni de service. Forte 02/05 Sun ONE Directory Server 4.16, 5.0, Directory Server 5.1 sans Service Pack 2, Directory Server 5.1 avec Solaris 9 (Sparc et x86) Correctif existant Service 'ns-slapd' Arrêt du service par tout utilisateur non privilégié Sun Vulnérabilité dans Sun Cluster 2.2 Une vulnérabilité dans Sun Cluster 2.2 permet d'obtenir des informations sensibles. Forte 20/05 Sun Cluster 2.2 pour Solaris 2.6, 7 et 8 (Sparc) Correctif existant Sun Cluster 2.2 Noms et mots de passe stockés en clair Sun Exposition d'informations sur les serveurs Sun ONE Les serveurs Sun ONE sont vulnérables à des attaques conduisant à la fuite d'informations. Moyenne 09/05 Sun ONE/iPlanet Web Server 6.0 SP1 à SP5, Sun ONE Application Server 7.0 Palliatif proposé Cipher Block Chaining (CBC) Mauvais traitement des erreurs Sun Vulnérabilité dans le mécanisme 'Sun Ray Smartcard' Il est possible qu'une session soit maintenue bien que le jeton 'Sun Ray' ait été retirée. Moyenne 28/04 Sun Ray Server Software 1.3 et 2.0 Correctif existant Firmware Sun Ray Non disponible Sun Déni de service contre Solaris 8 Un utilisateur local peut provoquer un déni de service. Moyenne 28/04 Sun Solaris 8 (Sparc et Intel) Correctif existant Commande 'lofiadm' Mauvaise gestion de la mémoire Sun Vulnérabilité dans 'java media framework' Une vulnérabilité dans 'java media framework' (JMF) permet à une applet malicieuse de provoquer l'arrêt de la machine virtuelle, voire d'exécuter du code avec des privilèges élevés. Moyenne 14/05 Sun Java Media Framework 2.1.1, à 2.1.1c Correctif existant Sun Java Media Framework Non disponible Sun Envoi de messages par 'wall' sous une fausse identité Il est possible d'utiliser 'wall' sous une fausse identité. Faible 28/04 Sun Solaris 2.6 à 9 (Sparc et Intel) Correctif existant Commande 'wall' Non disponible Sun Veille Technologique Sécurité N 58 Page 37/65

38 XINETD Déni de service dans 'xinetd' Il est possible de provoquer un déni de service en initiant un grand nombre de connexions qui sont refusées. Forte 13/05 xinetd et précédents, Red Hat 7.1 à 9 Correctif existant 'xinetd' Non libération des ressources mémoire RHSA-03: ALERTES NON CONFIRMEES Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes d information mais n ont pas encore fait l objet d une annonce ou d un correctif de la part de l éditeur. Ces alertes nécessitent la mise en place d un processus de suivi et d observation. 3COM Déni de service contre IP Phone Call manager Il est possible de provoquer le blocage de IP Phone Call manager. Forte 25/04 3com NBX IP Phone Call manager, firmware etprécédents Correctif existant Serveur FTP embarqué Débordement de buffer Secnap APPLE Multiples vulnérabilités des serveurs Darwin Les serveurs de flux audio et vidéo QuickTime et Darwin sont sensibles à plusieurs vulnérabilités. Forte 22/05 Apple Darwin Streaming Server (DSS) version 4.1.3, AppleQuickTime Streaming Server Aucun correctif Serveurs Darwin 1 - Débordement d'entier dans le module 'QTSSReflector' 2 - Faille dans le programme 'MP3Broadcaster' Bugtraq FLOOSIETEK Débordement de buffer dans FTGate Pro Le serveur de messagerie FTGate Pro contient un débordement de buffer exploitable pour provoquer l'exécution de code non sollicité. Critique 07/05 Floosietek FTGate Pro v1.22 (1328) Correctif existant Service SMTP Débordements de buffer Bugtraq iisprotect Contournement d'authentification dans iisprotect La protection fournie par iisprotect est facilement contournable. Forte 23/05 iisprotect versions 2.1 et 2.2Les versions antérieures sont probablement aussi affectées Correctif existant iisprotect Mauvaise gestion des caractères encodés dans les URLs idefense KERIO Vulnérabilité dans Kerio Personal Firewall Deux vulnérabilités ont été découvertes dans la fonctionnalité d'administration à distance de Kerio Personal Firewall. Critique 29/04 Kerio Personal Firewall et précédents Aucun correctif Administration à distance Faiblesse du mécanisme de chiffrement, Débordement de buffer CORE LINUX MANDRAKE Augmentation de privilèges par 'cdrecord' L'utilitaire 'cdrecord' permet d'acquérir les privilèges root lorsqu'il est installé setuid. Forte 14/05 Linux Mandrake utilisant cdrecord 2.0 Aucun correctif 'cdrecord' Vulnérabilité de formatage de chaîne de caractères Bugtraq MICROSOFT Veille Technologique Sécurité N 58 Page 38/65

39 Exécution de programme arbitraire via Outlook Express Il est possible de déposer et d'installer un exécutable dans la zone restreinte via Outlook Express. Critique 23/05 Microsoft Outlook Express avec Windows MediaPlayer ou Aucun correctif Outlook Express Appel non sécurisé des fichiers au format 'asf' Malware Cross-Site Scripting dans les serveurs ISA Une faille de type Cross-Site Scripting affecte les serveurs Microsoft ISA. Moyenne 22/05 Microsoft ISA Server 2000, 2000 FP1 et 2000 SP1 Aucun correctif Serveurs ISA Cross-Site Scripting BID [7623] MIRABILIS Multiples vulnérabilités dans le client 'ICQ' Plusieurs vulnérabilités affectent le client 'ICQ' de Mirabilis. Forte 07/05 Mirabilis ICQ Pro 2003a et précédents Aucun correctif Clients 'ICQ' et 'POP3' Débordements de buffer, Défaut de formatage de chaînes de caractères, Faiblesse de l'authentification CORE MOD_SURVEY Déni de service contre le module Apache 'mod_survey' Le module Apache 'mod_survey' permet de provoquer un déni de service contre le serveur sur lequel il est installé. Forte 04/05 mod_survey et précédents Correctif existant Module apache 'mod_survey' Création de répertoires à l'initiative de l'utilisateur distant Bugtraq NETSCAPE Mauvais traitement des requêtes sur Netscape Enterprise Une requête spécialement construite permet d'obtenir le contenu de la racine web des serveurs Netscape Enterprise. Faible 16/05 Netscape Enterprise Server versions 2.0, 3.0 à 3.6 SP3 et4.0 à 4.1 SP8 Correctif existant Serveurs Netscape Enterprise Mauvais traitement des requêtes BID OPERA Débordement de buffer dans le navigateur Opera Un débordement de buffer affecte le navigateur Opera. Moyenne 23/05 Opera 7.10 build 2840 et 7.03 build 2670 (Windows), Opera7.1.0 Beta 1 build 388 (Linux) Correctif existant Navigateur Opera Débordement de buffer Securiteam SLMAIL Multiples vulnérabilités dans SLMail et SLWebMail De multiples vulnérabilités affectent SLMail et SLWebMail. Forte 07/05 SLMail version (sur Windows)Interface SLWebMail Correctif existant NISR A NISR B SLOCATE 1 - SLMail 2 - SLWebMail 1 - Multiples débordements de buffer 2 - Multiples vulnérabilités Débordement d'entier dans 'slocate' Un débordement d'entier affecte le programme 'slocate'. Moyenne 23/05 slocate 2.1 à 2.7 Aucun correctif 'slocate' Débordement d'entier BID Veille Technologique Sécurité N 58 Page 39/65

40 YOUNGZSOFT Vulnérabilité dans CMailServer 4.0 Le serveur de messagerie CMailServer contient un débordement de buffer exploitable pour provoquer l'exécution de code non sollicité. Critique 10/05 Youngzsoft CMailServer Correctif existant Service SMTP Débordements de buffer Infowarfare AUTRES INFORMATIONS REPRISES D AVIS ET CORRECTIFS Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme, ou ont donné lieu à la fourniture d un correctif : CIAC Reprise de l'avis HP HPSBUX , révision 1 Le CIAC a mis à jour son bulletin [N-094] pour refléter la mise à jour de l'avis original d'hp, faisant mention d'un nouveau correctif. Reprise de l'avis Oracle 54 Le CIAC a repris, sous la référence N-085, l'avis Oracle 54 au sujet d'un débordement de buffer dans le composant Net Services d'oracle permettant d'exécuter du code non sollicité. Reprise de l'avis HP [SSRT3471] Le CIAC a repris, sous la référence N-086, l'avis HP [SSRT3471] traitant d'une vulnérabilité de lien symbolique dans 'dupatch' et 'setld' sur HP Tru64 UNIX. Reprise de l'avis Cisco sur Catalyst Le CIAC a repris sour la référence [N-083] l'avis Cisco portant sur une vulnérabilité dans l'authentification sur ses équipements Catalyst. Reprise de l'avis Microsoft MS Le CIAC a repris sous la référence [N-087] l'avis de Microsoft portant sur deux vulnérabilités de 'BizTalk'. Reprise de l'avis HP HPSBUX Le CIAC a repris sous la référence [N-088] l'avis de HP portant sur une vulnérabilité dans 'rexec'. Reprise de l'avis Red Hat RHSA-2003: Le CIAC a repris sous la référence [N-089] l'avis de Red Hat indiquant la disponibilité d'un correctif pour MySQL. Reprise de l'avis Red Hat RHSA-2003: Le CIAC a repris sous la référence [N-090] l'avis de Red Hat portant sur une vulnérabilité du module Apache 'mod_auth_any'. Reprise de l'avis Sun Le CIAC a repris, sous la référence N-091, l'avis Sun au sujet d'une vulnérabilité de PHP SafeMode permettant l'exécution de code arbitraire distant via la fonction 'mail()'. Reprise de l'avis Microsoft MS Le CIAC a repris, sous la référence N-092, l'avis Microsoft MS au suet d'une faille dans Windows Media Player permettant l'exécution de programmes malicieux via les 'skins'. Reprise de l'avis Cisco sur les VPN 3000 Le CIAC a repris, sous la référence N-093, le bulletin Cisco traitant de plusieurs vulnérabilités affectant les concentrateurs VPN Veille Technologique Sécurité N 58 Page 40/65

41 Reprise de l'avis HP HPSBUX Le CIAC a repris, sous la référence N-094, l'avis HP HPSBUX au sujet d'une vulnérabilité localement exploitable dans le programme 'wall'. Reprise de l'avis Red Hat RHSA-2003: Le CIAC a repris sous la référence [N-095] l'avis de Red Hat concernant la disponibilité des correctifs pour KDE. Reprise de l'avis SGI P Le CIAC a repris sous la référence [N-084] l'avis P de SGI portant sur une vulnérabilité dans l'utilisation de bases LDAP comme base d'utilisateurs. CISCO Informations sur un correctif pour les CSS Cisco a mis à jour son bulletin traitant de l'inefficacité de l'authentification de l'interface d'administration de ses CSS Cette vulnérabilité est corrigée dans la version 6.10 de WebNS, qui sera disponible fin mai Révision de deux bulletins sur 'CatOS' et 'ACS' Cisco a révisé deux bulletins : Le premier fournit un lien vers des exemples de configuration AAA pour Cisco Catalyst. Le second clarifie l'endroit où télécharger le correctif pour Cisco Secure ACS FREEBSD Disponibilité de plusieurs correctifs FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : samba FreeBSD-SA-03:01 seti@home FreeBSD-SA-03:02 HP Nouveaux correctifs pour Sendmail HP a publié de nouveaux correctifs pour Sendmail pour ses systèmes HP-UX et Correctifs pour 'xdrmem_getbytes()' HP a publié des correctifs pour ses systèmes et 11.11, concernant la vulnérabilité touchant 'xdrmem_getbytes()'. Révision du bulletin HPSBUX sur Samba HP a révisé le bulletin HPSBUX sur Samba afin de clarifier les l'identification de la version Samba utilisée. Les correctifs pour les serveurs CIFS sont un portage sur une version Samba 2.2.5, issu de la version 2.2.8a. Correctifs définitifs pour Samba/CIFS HP a publié pour ses systèmes HP-UX 11.00, et la version A de son server CIFS, immune au débordement de buffer qui affecte les versions précédentes. Mise à jour du bulletin sur OpenSSL HP a mis à jour son bulletin indiquant des correctifs pour OpenSSL. Un correctif pour les serveurs utilisant une version ou précédente d'apache est maintenant disponible. Correctif pour 'wall' sur HP-UX HP a publié un correctif pour HP-UX pour l'utilitaire 'wall' qui permettait une augmentation de privilèges. LINUX CALDERA Disponibilité de nombreux correctifs Caldera annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : samba CSSA file CSSA tcpsec CSSA kmod/ptrace CSSA mgetty CSSA Veille Technologique Sécurité N 58 Page 41/65

42 LINUX DEBIAN Disponibilité de nombreux correctifs Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : pptpd DSA kdebase DSA snort DSA epic4 DSA leksboot DSA balsa DSA libgtop DSA fuzz DSA mysql DSA lv DSA sendmail DSA ircii-pana DSA LINUX MANDRAKE Disponibilité de nombreux correctifs Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : ethereal MDKSA-2003: snort MDKSA-2003: / 9.0 / 9.1 / FW 8.2 / CS 2.1 mgetty MDKSA-2003: / 9.0 FW 8.2 / CS 2.1 man MDKSA-2003: / 9.0 / 9.1 / FW 8.2 / CS 2.1 kopete MDKSA-2003: xinetd MDKSA-2003: / 9.0 / 9.1 / FW 8.2 / CS 2.1 mysql MDKSA-2003: / 9.0 CS 2.1 cdrecord MDKSA-2003: / 9.0 / 9.1 / CS 2.1 lpr MDKSA-2003: LPRng MDKSA-2003: / 9.0 / 9.1 / CS LINUX REDHAT Disponibilité de nombreux correctifs RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : ethereal RHSA-2003: / 7.3 / 8.0 / 9.0 squirrelmail RHSA-2003: / 9.0 lprng RHSA-2003: / 7.2 / 7.3 / 8.0 / 9.0 micq RHSA-2003: / 7.3 zlib RHSA-2003: / 7.2 / 7.3 / 8.0 mysql RHSA-2003: / 7.2 / 7.3 / 8.0 man RHSA-2003: / 7.2 / 7.3 / 8.0 mod_auth RHSA-2003: / 7.3 kde RHSA-2003: / 7.2 / 7.3 / 8.0 / 9.0 xinetd RHSA-2003: / 7.2 / 7.3 / 8.0 / 9.0 kernel RHSA-2003: / 7.2 / 7.3 / 8.0 / 9.0 gnupg RHSA-2003: / 7.2 / 7.3 / 8.0 / 9.0 lv RHSA-2003: / 7.2 / 7.3 / 8.0 / MICROSOFT Mise à jour de l'avis MS Microsoft a mis à jour son bulletin MS02-071, concernant une vulnérabilité dans 'WM_TIMER' pour avertir de la disponibilité d'un nouveau correctif pour NT 4.0 TSE. Le précédent était susceptible de causer des dysfonctionnement sur les versions multiprocesseurs ou japonaises. Vulnérabilité des comptes.net Hotmail et Passport Deux vulnérabilités similaires affectent les comptes.net utilisés par les services Hotmail et Passport. La première permet de contourner la question posée pour la remise à zéro du mot de passe lorsqu'un utilisateur a oublié le sien. La seconde permet de remettre à zéro un compte utilisateur sans fournir d'information au préalable. Il n'existe pas de correctif au niveau de l'utilisateur. On notera que Microsoft a supprimé, dans la soirée du 8 mai, l'option de remise à zéro du mot de passe. Vulnérabilités non corrigées sur Internet Explorer Le site de Thor Larholm recense les vulnérabilités affectant Internet Explorer. Nouvelles ou anciennes, 14 vulnérabilités ne sont toujours pas corrigées. Cette page fournit aussi quelques codes d'exploitation. Veille Technologique Sécurité N 58 Page 42/65

43 OPERA Utilisation de machine virtuelle vulnérable La version 7.11 d'opera est fournie avec une version de la machine virtuelle java vulnérable au déni de service affectant 'java.util.zip'. Toutefois, si une version immune de la machine virtuelle a été installée préalablement à l'installation d'opera, la machine virtuelle la plus à jour est conservée. ORACLE Révision de l'alerte 54 sur Oracle Net Services Oracle a révisé l'alerte 54 sur Oracle Net Services afin d'annoncer la disponibilité de nouveaux correctifs pour les versions Oracle Database Server , , et SGI Nouveau correctif pour 'lpr' SGI a publié un nouveau correctif pour 'lpr', sujet à diverses vulnérabilités. Certaines de ces vulnérabilités n'étaient pas corrigées par le précédent correctif et le nouveau porte la référence '5071'. ftp://patches.sgi.com/support/free/security/advisories/ p Correctif disponible pour OpenSSL SGI a publié un correctif pour OpenSSL pour son système IRIX L'application du correctif met à jour OpenSSL vers la version 0.9.6g. SUN Vulnérabilité dans Samba sue les serveurs Cobalt La vulnérabilité présente sur Samba 2.0.x à 2.2.7a affecte les serveurs Sun Cobalt RaQ4, RaQ XTR, Qube3, RaQ 550 ainsi que Sun Linux 5.0. Aucun correctif n'est disponible pour le moment, mais une parade est proposée par Sun et par Samba. Correctifs pour 'libnsl' Sun a publié un correctif pour 'libnsl', dont un débordement de buffer permettait l'exécution de code arbitraire. Notons qu'aucun correctif n'est actuellement disponible pour Solaris 7. Correctifs pour 'cvs' Sun a annoncé la disponibilité des correctifs pour 'cvs' pour Sun Cobalt et Sun Linux, vulnérables au problème de type 'double-free' permettant d'exécuter des commandes arbitraires sur le serveur. Correctifs pour 'libnsl' Sun a publié les correctifs pour 'libnsl' pour Solaris 2.6, 7, 8 et 9 (Sparc et Intel). Un débordement de buffer permet l'exécution de code arbitraire. Cette faille est décrite dans le bulletin CERT CA CODES D EXPLOITATION Les codes d exploitation des vulnérabilités suivantes ont fait l objet d une large diffusion : KERIO Code d'exploitation pour les pare-feu Tiny et Kerio Un code d'exploitation pour Tiny et Kerio Personal Firewall a été publié dans la liste Bugtraq. Il est donc recommandé de contacter l'éditeur pour obtenir un correctif, ou de désactiver le service d'administration vulnérable. BULLETINS ET NOTES Les bulletins d information suivants ont été publiés par les organismes officiels de surveillance et les éditeurs : APPLE Faiblesse du chiffrement du mot de passe de 'AirPort' La a émis un avis pour informer que le point d'accès WiFI 'AirPort' d'apple dissimule le mot de passe administrateur circulant sur le réseau d'une manière permettant de le retrouver facilement. La réponse d'apple est qu'il est déconseillé d'utiliser une connexion WiFI non protégée par WEP pour administrer cet équipement. Veille Technologique Sécurité N 58 Page 43/65

44 OpenBSD Disponibilité de OpenBSD version 3.3 OpenBSD a annoncé la sortie de OpenBSD version 3.3. Cette nouvelle version apporte de grandes améliorations et corrige plusieurs vulnérabilités. VIRUS Forte activité virale Le site du CERT/CC et de Trend Micro mettent en garde contre deux vers, 'WORM_FIZZER' et la variante 'WORM_LOVGATE.J' qui se propagent rapidement actuellement. Propagation d'un ver sous couvert d'un avis Microsoft Le récent ver 'W32/Palyh-A' qui se propage actuellement possède la particularité de se présenter comme un message provenant du support technique de Microsoft. Si le message est ouvert le fichier attaché est exécuté et le virus se propage alors classiquement en utilisant les carnets d'adresses ou les partages de fichiers. Veille Technologique Sécurité N 58 Page 44/65

45 ATTAQUES OUTILS KNOPPIX-MIB # Description La Fédération Informatique et Libertés annonce la sortie de Knoppix-Mib, une adaptation Française de Knoppix, une distribution allemande d un Linux 2.4.x minimaliste et prêt à l emploi. (Rapport N 43 Février 2002). Développée par Michel Bouissou d où l extension MiB cette version intègre un module permettant de chiffrer la mémoire virtuelle ainsi que les fichiers de l'utilisateur. Ceux-ci pourront ainsi être sauvegardés en toute sécurité sur le disque du système hôte, ou sur tout autre dispositif de stockage présent sur ce système, Knoppix s exécutant entièrement dans la mémoire vive du système. La distribution actuelle de Knoppix-Mib diffère de la version 3.2 de Knoppix par l ajout des modules et utilitaires suivants: - Environnement graphique KDE 3.1.1, - Environnement de travail Ximian Evolution 1.2, - Scripts permettant l installation automatique de FlashPlayer, - Support automatique des partitions chiffrées sur les systèmes de fichiers FAT/FAT32, - Intégration de la version française de OpenOffice 1.0.2, - Intégration du navigateur Mozilla 1.3 Chromium et d Enigmail 0.74, - Intégration du serveur de messagerie PostFix pré-configuré avec des certificats génériques et le support de TLS, - Sauvegarde de certains fichiers de configuration système sur le volume de données de l utilisateur, - Pages de manuel en Français Pour fonctionner correctement, Knoppix-Mib requiert de disposer au minimum de 96 Mo de RAM, d un processeur INTEL x86, d un espace disque libre sur un volume FAT ou FAT32 pour le stockage des données de l utilisateur et surtout d un très bon lecteur de CD-Rom. Les tests effectués sur cette distribution ont démontré sa qualité et sa capacité à gérer différents environnements matériels (poste fixe, portable, ). On regrettera cependant qu une version obsolète de Nessus (Nessus 1.2.7) soit livrée en appréciant par ailleurs la présence d AirSnort, un analyseur dédié réseaux Wifi. Nous recommandons la lecture de l excellente documentation d installation intitulée README-MIB préalablement à toute utilisation du paquetage et en particulier la procédure permettant de créer un répertoire personnel qui sera automatiquement reconnu lors du démarrage de Knoppix. L utilisateur pressé pourra cependant démarrer Knoppix puis lire le fichier Comment créer son répertoire personnel directement accessible depuis le bureau. Attention toutefois, un bogue conduit à ne plus pouvoir accéder à son répertoire si l on a choisi de ne pas chiffrer celui-ci lors de sa création. Avec cette adaptation, Michel Bouissou - membre fondateur de la FIL, programmeur Linux et administrateur réseau - nous offre enfin une version exploitable par tout un chacun et sécurisée de l extraordinaire distribution Knoppix. # Complément d'information ftp://ftp.vie-privee.org/lafil/readme-mib SUBSEVEN LEGENDS " # Description En février dernier une nouvelle version du célèbre outil de prise contrôle SubSeven a été mise à disposition à l occasion du quatrième anniversaire de la diffusion de la toute première distribution. Après avoir proposé en Janvier 2000 une édition spéciale dénommée SubSeven Gold Edition (Rapport N 18 Janvier 2000), mobman réitère son approche marketing en nous offrant une édition anniversaire nommée SubSeven Legends. Parmi tous les outils libres de type RAT Remote Access Tool - utilisés en environnement Windows dont les célèbres BO (BackOrifice) et Socket23, SubSeven reste encore à ce jour l outil offrant la plus grande palette de fonctions. On constatera l absence de toute grande nouvelle fonctionnalité dans cette édition déjà annoncée en Février 2002 et qui devra être considérée comme une simple mise à jour des versions 2.1.x. Ecrit en langage Delphi et désormais parfaitement fonctionnelle dans les environnements Windows2000 et Windows XP, SubSeven Legends offre cependant la possibilité de modifier l apparence du client par le biais d un habillement (ou skins ) totalement configurable par l utilisateur. Nous devons avouer être quelque peu perplexe face au nombre de versions actuellement diffusées de cet outil, et plus particulièrement, par l absence totale d informations concernant la stratégie utilisée pour numéroter les différentes versions. Ainsi, la version 2.2 est disponible depuis mars 2001 (Rapport N 32 Mars 2001). Doit-on en conclure que Veille Technologique Sécurité N 58 Page 45/65

46 l auteur maintient deux branches de développement (V2.1.x et V2.2.x) en parallèle? Rappelons que cet outil est régulièrement utilisé à des fins illicites par des pirates désireux de conserver le contrôle d un système Windows compromis. L existence d une version fonctionnelle dans tous les environnements Windows va certainement conduire à une recrudescence de l utilisation de SubSeven dont la partie serveur est toujours détectée par la majorité des anti-virus. Le lecteur se connectant sur le site officiel de téléchargement sera accueilli par l avertissement suivant probablement destiné à éviter la fermeture du site au titre d une quelconque loi sur la diffusion d outils d attaques. This site uses 'hacker jargon' and role-playing scenarios when describing its activities and the use of the content provided here in for effect and psychological reference. Any discussion of activities which could be considered illegal by either Federal or State laws are purely fictional and should be regarded as such by all. Under no circumstances should any of the role-playing scenarios or descriptions, detailed in conjunction with the content of this site, be enacted on an unwitting or unauthorized computer or individual. Le lecteur désireux d en savoir plus sur les fonctionnalités offertes par la version précédente Version pourra se reporter à l excellente analyse publiée en Mars 2001 par le SANS sous le titre SubSeven 2.2: New Flavor of an Old Favorite. # Complément d'information SPAMD # Description spamd est un outil permettant, comme son nom le suggère, de gérer les problèmes de SPAM. Le SPAM est un terme utilisé pour qualifier l envoie non sollicité de mails ou pouriels. C est un phénomène de plus en plus courant. Le but de cette pratique est de saturer les ressources d internet, par l émission quasi constante de trafic inutile. Pour lutter contre ce phénomène, plusieurs techniques sont envisageables, et ont été implémentées au cours du temps. Notre article présentera spamd, la solution du projet OpenBSD, disponible depuis la version 3.3 de leur système d exploitation. Fonctionnement spamd est en réalité un faux démon smtp, qui rejette le mail non légitime. Il est en écoute sur un socket local (en écoute sur l interface de loopback) et dans l attente de connexions. Il interagit directement avec le filtre de paquets pf, qui redirige de manière transparente vers spamd tout trafic initié depuis une adresse contenue dans la table spamd. Dans pf, le concept de table permet de regrouper des règles concernant un ensemble d adresses. Dans le cas de spamd, il permet de figer les règles par rapport à une base d adresse qui est, elle, dynamique. Ainsi, les seules modifications à apporter seront des modifications sur la table: ajout d une adresse, suppression d une adresse, etc Lorsqu un polluposteur - une #telnet x.y.org 25 traduction de spammer - est Trying A.B.C.D... redirigé sur spamd, celui ci se Connected to A.B.C.D. comporte comme un démon Escape character is '^]'. SMTP classique, sauf qu il répond 220 x.y.org ESMTP spamd IP-based SPAM blocker; Thu May 22 17:00 helo notme très lentement aux requêtes du 250 Hello, spam sender. Pleased to be wasting your time. polluer, et qu il ne délivrera pas Mail from: I_am@a-spammer.org le mail. En fait, le message 250 You are about to try to deliver spam. d erreur conduira le service de Your time will be spent, for nothing. messagerie du polluposteur à rctp to: poor@victim.org maintenir le message en attente 450-SPAM. Your address a.b.c.d is in the spews level 1 database et à tenter de régulièrement 450 See for more details retransmettre celui-ci. Connection closed by foreign host. Le lecteur l aura compris, l objectif est ici de monopoliser les ressources du service de pollupostage afin de ralentir son action voire de générer un surcoût suffisamment conséquent pour décourager le polluposteur. Mise à jour de la base d adresses L alimentation de la table spamd peut se faire de plusieurs manières : En utilisant des listes directement renseignées par les administrateurs, En ajoutant à la table des entrées, en ligne de commande: pfctl t spamd T add /24 par exemple, Via l ordonnanceur en utilisant spamd-setup qui se chargera de la mise à jour. L utilisation de la dernière méthode est fortement recommandée. En effet, spamd-setup est capable d aller charger des listes d adresses mises à jour en temps réel sur les sources définies dans un fichier de configuration dont un exemple est proposé ci-dessous: spews1:\ :black:\ :msg="spam. Your address %A is in the spews level 1 database\n\ See for more details":\ :method= :file= Veille Technologique Sécurité N 58 Page 46/65

47 A ce propos, nos tests ont mis en évidence que deux des listes référencées spews1, spews2 - ne sont actuellement pas accessibles. En tentant d accéder nous tombons sur une page blanche. Il reste malgré tout les deux listes à télécharger sur qui permettent d avoir une base de plus de 9000 adresses de polluposteurs dans la table spamd, en utilisant la configuration par défaut. L exemple ci-dessous présente une règle permettant de charger une base d adresses définie en local dans le fichier myblack.txt : myblack:\ :black:\ :msg=/var/mail/myblackmsg.txt:\ :method=file:\ :file=/var/mail/myblack.txt L utilisation de l adresse IP source comme moyen de discrimination pose le problème suivant: qu adviendra-t-il des mails envoyés par des clients/partenaires/amis qui auraient été malencontreusement ajoutés aux listes diverses qu utilise spamd pour définir les adresses à rejeter? La solution proposée par spamd consiste à établir une liste blanche contenant donc les adresses des machines qui seront systématiquement autorisées à déposer du courrier. mywhite:\ :white:\ :method=file:\ :file=/var/mail/mywhite.txt On remarque que spamd-setup s appuie sur des bases existantes comme spews.org, ou encore okean.org, ceci afin d éviter de dupliquer l effort de maintien des bases d adresses référençant les polluposteurs. Solutions alternatives Plutôt que de filtrer au niveau paquet, il est possible d intégrer au sein du serveur SMTP une vérification de chaque mail portant sur les champs de l entête ou sur le corps du message et de détecter une empreinte caractéristique d un pollupostage. Cette méthode est implémentée par des logiciels comme SpamAssassin qui permet de qualifier la nature de chaque mail, et ainsi de les filtrer soit au niveau MTA, soit au niveau MUA. Rappelons que le MTA (Mail Transport Agent) est le terme générique pour qualifier un serveur SMTP, et que le terme MUA (Mail User Agent ) désigne les logiciels clients de messagerie, comme Outlook, Mutt, etc L inconvénient de cette approche réside dans le fait que le message étant acheminé la consommation des ressources réseau est effective. Il incombera à l utilisateur final de filtrer les messages marqués comme du pollupostage. Un exemple de mail qualifié par SpamAssassin comme étant du pollupostage est proposé ci-dessous : From: "David Stone" <d_stone711@yahoo.com> To: XXX@YYYY.org Subject: *****SPAM***** CONFIDENTIAL AND URGENT Date: Thu, 22 May :32: IMPORTANT NOTICE mail.yyyyy.org has identified this message as being probably spam. The original message has been altered so you can recognise or block similar unwanted mail in the future. You can do this by adding a filter on the subject in your mail client software. If you have a question, please ask postmaster@yyyy.org. Content analysis details: (19.30 hits, 5 required) FROM_ENDS_IN_NUMS (0.7 points) From: ends in numbers REPLY_TO_HAS_UNDERLINE_NUMS (0.5 points) Reply-To: contains an underline and numbers/letters RATWARE_OE_MALFORMED (2.9 points) X-Mailer contains malformed Outlook Express version US_DOLLARS (1.4 points) BODY: Nigerian scam key phrase (million dollars) RAZOR2_CHECK (2.0 points) Listed in Razor2, see SUBJ_ALL_CAPS (1.1 points) Subject is all capitals FORGED_YAHOO_RCVD (2.3 points) 'From' yahoo.com does not match 'Received' headers RCVD_IN_OSIRUSOFT_COM (0.6 points) RBL: Received via a relay in relays.osirusoft.com [RBL check: found relays.osirusoft.com., type: ] X_OSIRU_SPAMWARE_SITE (1.1 points) RBL: DNSBL: sender is a Spamware site or vendor RCVD_IN_SBL (0.6 points) RBL: Received via SBLed relay, see [RBL check: found sbl.spamhaus.org.] FORGED_MUA_OUTLOOK (3.3 points) Forged mail pretending to be from MS Outlook NIGERIAN_BODY (2.8 points) Message body has multiple indications of Nigerian spam Veille Technologique Sécurité N 58 Page 47/65

48 From: "David Stone" To: Reply-To: Subject: CONFIDENTIAL AND URGENT Date: Thu, 22 May :32: X-Mailer: Microsoft Outlook Express DM FROM- Prince David Stone NUMBER: DATE Les problèmes liés à l envoi de mails non sollicité étant de plus en plus fréquents, il devient nécessaire de protéger son système d information contre toute tentative d inondation par courrier électronique, mais également d empêcher que ses propres systèmes ne soient utilisés par des polluposteurs. L utilisation de techniques telles que celles employées par spamd engendre plusieurs contraintes : La récupération des listes d adresses utilise les services FTP ou HTTP. Ces protocoles ne permettent pas de garantir l authenticité de la source et de la destination des connections, aussi il est envisageable de dérouter la connexion, soit au niveau DNS, soit au niveau MAC, afin de fournir des listes d adresses non valides, entraînant un déni de service sur la messagerie, Le travail étant effectué au niveau paquet, il est nécessaire d avoir des bonnes connaissances en terme de routage et filtrage de flux IP, Enfin, dans le cas de spamd, l environnement OpenBSD 3.3 (et son filtre de paquet pf ) devra impérativement être employé. Pour conclure, spamd reste une solution efficace pour lutter contre le pollupostage étant donné qu elle protège les serveurs SMTP du périmètre considéré, mais également qu elle permet de ralentir l action des polluposteurs en intervenant sur un facteur critique: le facteur économique. # Complément d'information Le site officiel du projet OpenBSD Le site du projet SpamAssassin Internet Spam Prevention Early Warning Liste de Netblocks coréen et chinois utilises par des spammers Veille Technologique Sécurité N 58 Page 48/65

49 TECHNIQUES IRC IPV6 - SCAN OF THE MONTH # Description Proposé par les membres du projet HoneyNet de AT&T Mexico, le défi du mois de mai consiste à analyser l utilisation assez particulière d un système compromis à partir des éléments collectés par une sonde snort. Pour cela, l analyste aura en sa disposition les données collectées le jour de l intrusion et celles correspondant au troisième jour après la compromission. L analyste devra répondre aux questions suivantes : 1. Quel est le système d exploitation utilisé par le pot de miel, comment pouvez-vous le déterminer? 2. Comment l attaquant a t-il opéré pour rentrer dans le système? 3. Quels ont été les systèmes utilisés durant l attaque et comment? 4. Pouvez-vous mettre en évidence les différentes séquences de l attaque par un diagramme? 5. Quel est le rôle des paquets ICMP contenant la chaîne skillz? 6. Pouvez-vous identifier le protocole non IP activé par l attaquant et déterminer son utilisation? 7. Pouvez-vous identifier la nationalité de l attaquant? 8. Quelle est l implication de l utilisation d un protocole non IP sur les technologies IDS? 9. Quel outil existant peut être employé pour décoder ce protocole? Préparation de l environnement La première étape consiste à préparer l environnement d analyse sur nos systèmes LINUX et Windows. Aujourd hui nous n utiliserons que l outil Ethereal. Validation des fichiers livrés Les données collectées sont livrées sous la forme de deux fichiers d archive day1.log.gz (2.75Mo) et day3.log.gz (3.31Mo) - dont il convient de vérifier l intégrité. Un rapide contrôle de la somme cryptographique MD5 des fichiers.zip permet de s assurer de l intégrité de la distribution, ici: C:> md5 day1.log.gz day3.log.gz 9875dbc9ac d2a2be0ee016f e5efade7f60209c1a45c4b0c445a1772 à comparer avec la somme donnée sur le site du défi : day1.log.gz MD5 (day1.log.gz) = 9875dbc9ac d2a2be0ee016f day3.log.gz MD5 (day3.log.gz) = e5efade7f60209c1a45c4b0c445a1772 L intégrité des archives téléchargées est confirmée du moins en considérant que les sommes de contrôle annoncées sur le site n ont pas aussi été manipulées. La décompression des archives nous livre deux fichiers de travail d un volume de respectivement 6.7 Mo et 20 Mo. Etude des données journalisées L étude statistique des données nous permettra d identifier les protocoles utilisés et éventuellement certaines anomalies. Jour N 1 Le chargement du fichier day1 sous Ethereal nous permet d obtenir les informations suivantes sur le contexte: Quelques paquets ont été journalisés entre le 29 novembre 2002 à 7h26 et le 30 Novembre à 7h19. La fonction d analyse statistique présente dans Ethereal nous permet d établir une liste des protocoles présentés triés par activité: Niveau Protocole/Service Nb. Paquets Soit en % IP ICMP TCP ,79 DATA ,89 FTP control 71 0,38 FTP data 958 5,08 HTTP ,86 DG Gryphon 420 2,23 IRC 418 0,10 UDP DNS ,91 NetBIOS 5 0,03 SysLog 3 0,02 Cette rapide étude met en évidence deux anomalies qu il sera nécessaire d analyser: l utilisation d un ou plusieurs protocoles TCP non identifiés (référencé(s) par le terme DATA ) et d un protocole identifié comme étant le protocole DG Gryphon. Pour mémoire, sous Ethereal la notion d identification repose sur l analyse du numéro de port destination qui, s il ne correspond à aucun service connu, sera référencé par le terme générique de DATA. Veille Technologique Sécurité N 58 Page 49/65

50 Le positionnement d un filtre ip.addr eq permet de confirmer que les évènements journalisés dans ce fichier concernent tous le système compromis dont l adresse nous est donnée dans la présentation du défi. Jour N 3 Le chargement du fichier day3 sous Ethereal nous permet d obtenir les informations suivantes sur le contexte: Quelques paquets ont été journalisés entre le 1 décembre 2002 à 7h20 et le 1 décembre 2002 à 7h19. La liste des protocoles utilisés est la suivante: Niveau Protocole/Service Nb. Paquets Soit en % IP ICMP ,17 TCP ,07 IRC 955 0,78 DATA ,14 HTTP ,31 UDP DATA ,82 DNS ,28 SysLog 63 0,05 DIVERS Autres 13 0,02 IPV6 ICMP 9 0,00 TCP ,71% IRC ,43 Un nouvel élément apparaît ici, rencontré pour la première fois dans le cadre des défis honeynet : l utilisation du protocole IP Version 6 que l outil ethereal gère fort heureusement parfaitement. On notera que ce protocole semble principalement supporter une session TCP correspondant au service IRC. Le positionnement d un filtre ip.addr eq permet de confirmer que les évènements journalisés dans ce fichier concernent tous le système compromis dont l adresse nous est donnée dans la présentation du défi. Levée de doute La présence de certaines anomalies et de l identification de l utilisation du protocole IP V6 nous impose une phase de levée de doute. Jour N 1 Les deux anomalies constatées durant l analyse du premier fichier de journalisation vont faire l objet d un contrôle visant à valider l analyse effectuée par Ethereal notamment en ce qui concerne l utilisation du protocole DG Gryphon. DG Gryphon Le positionnement du filtre gryphon permet de visualiser les 420 trames en cause et de mettre en évidence une erreur d interprétation de la part de l outil Ethereal : de toute évidence le contenu de ces trames montre qu il s agit d une session IRC utilisant le port correspondant au protocole Gryphon. L erreur est confirmée par la présence de messages d avertissement indiquant que la session Gryphon n a pu être reconstituée. Veille Technologique Sécurité N 58 Page 50/65

51 L utilisation de l option permettant de forcer le décodage d un protocole particulier nous permet de corriger l erreur d identification en imposant le décodage IRC sur le port TCP/7000 en source mais aussi en destination. On retiendra de cette analyse qu un service IRC est actif sur le port TCP/7000 du système étudié. DATA Le positionnement d un filtre composite éliminant tous les protocoles déjà référencés ( not ftp and not ftp-data and not http and not irc ) et ne conservant que les demandes de connexion ( tcp and tcp.flags.ack eq 0 and tcp.flags.syn eq 1 ) permet de visualiser les trames n ayant pu être identifiées. Nous mettons ainsi en évidence des tentatives de connexion sur les services : TCP/1433 Ms-Sql-s TCP/1524 IngresLock TCP/6112 DtSpcd TCP/5555 Personnal Agent Un rapide parcours des différentes séquences d établissement met en évidence une incohérence concernant les sessions établies vers le service TCP/5555 qui apparaissent correspondre ici encore à des sessions IRC. On retiendra de cette analyse qu un service IRC est aussi actif sur le port TCP/5555 du système étudié et l on forcera ici aussi le décodage de ce service. Veille Technologique Sécurité N 58 Page 51/65

52 Jour N 3 Il s agit maintenant de confirmer la réalité de l utilisation du protocole IP V6 et d analyser les échanges non identifiés en conservant la configuration préalablement spécifiée: décodage du protocole IRC sur les ports TCP/5555 et TCP/7000, ce qui sera le cas si l on charge le nouveau fichier sans avoir quitté Ethereal. IP V6 Le positionnement du filtre ipv6 permet de visualiser les 3348 trames annoncées transmises sur ce protocole. Il apparaît que la majorité des trames correspondent à une session IRC établie sur le port TCP/6667 du système cible. DATA Le positionnement d un filtre identique à celui utilisé pour l analyse du fichier précédent permet de mettre en évidence une succession de trames dont tout laisse à penser qu il s agit d une campagne de sondage initiée depuis le système cible. Conclusion partielle A ce stade de notre analyse, nous avons acquis la certitude qu un serveur IRC a été installé sur le système compromis et activé sur des ports non standards: TCP/5555 et TCP/7000. Nous avons aussi détecté et confirmé l utilisation inhabituelle du protocole IP V6. Nous allons maintenant pouvoir aborder l étude détaillée des échanges. Analyse des événements Les événements identifiés à la suite du parcours chronologique des échanges par le biais de l outil ethereal vont être présentés en nous concentrant sur les seuls éléments requis pour répondre aux questions du défi ou pertinents car mettant en avant un procédé ou une technique intéressante. Jour N 1 Veille Technologique Sécurité N 58 Page 52/65