Le retour des morts-vivants… où quand les PC - Mag

Transcription

Le retour des morts-vivants… où quand les PC Zombies se
mettent à retransmettre !
Par Bruno Rasle, co-auteur du livre Halte au Spam (Eyrolles) et responsable des offres chez Cortina. – 25 septembre 2006
Le Greylisting est une technique très intéressante pour filtrer le spam avant qu’il ne pénètre
dans l’infrastructure de l’organisme visé. Elle est basée sur le fait que la plupart des pourriels
sont émis à partir de PC Zombies. Jusqu’alors, les programmes malveillants qui infectent ces PC
étaient relativement frustes et se « contentaient » de procéder à une unique émission.
L’apparition d’une nouvelle génération de PC Zombies, capables de gérer des réémissions,
risque-t-elle de remettre en cause l’efficacité du Greylisting ?
Le greylisting, ou relay-delay
Le Greylisting repose sur l‘hypothèse qu‘une source de messages légitimes est capable de réémettre un message
si une erreur temporaire survient, alors qu‘au contraire, les PC Zombies en sont incapables. Cette technique
consiste à modifier (légèrement) le comportement des serveurs SMTP. Avant de relayer des messages, un relais
devra vérifier la connaissance du triplet « adresse IP de la machine qui initie la connexion + adresse e-mail
source + adresse e-mail destination ». Si ce triplet est inconnu, le message est rejeté avec un message d’erreur
temporaire1. Le serveur qui a initié l’émission place alors le message en file d’attente, et fait une nouvelle
tentative à l’expiration de son temporisateur de réémission.
Du côté du serveur ayant refusé d’accepter le message, un timer est initié pour ce triplet. Une fois le temps
écoulé, et si le message se présente à nouveau, il est alors accepté par le serveur de messagerie, pour subir
d’autres analyses, sur son contenu (antispam, anti-virus, etc.).
En d’autres termes, lors de sa première tentative pour vous adresser un email, l’un de vos correspondants se
verra soumis à cette « temporisation » (plus précisément le serveur relais chargé de vous adresser le message). A
l’expiration du temporisateur du serveur relais émetteur, le message sera adressé à nouveau. Votre filtre
greylisting2 reconnaitra cette réémission (par le triplet) et acceptera l’email. Dans la majorité des filtres
implémentant cette technique, un apprentissage permet de mémoriser ce triplet pendant un certain temps : si
votre correspondant vous adresse un second message, celui-ci ne sera pas soumis à cette temporisation.
Autre point à valider avant de retenir une implémentation ; la possibilité de spécifier le temps minimum en deçà
duquel un message ne peut être représenté, afin d’éliminer certains moteurs de diffusion de spams qui font une
rafale de quelques envois. Ce point fait une très grosse différence d'efficacité entre les différentes versions.
Le mérite de la première implémentation (courant 2003) revient À Evan Harris3, même s’il s’agit plus d’un
prototype que d’une démarche destinée à la production4. Parmi les implémentations les plus connues, citons
celles de Sendmail et de Postfix5.
Cette approche présente un certain nombre d’avantages :
• Elle permet d’éliminer les spams avant qu’ils ne pénètrent dans l’organisme visé
• Elle est très économe en ressources consommées et est très rapide
• Sa mise en œuvre est simple et transparente pour les utilisateurs, qui – en temps normal – ne sont pas
sollicités
1 De type 451 4.7.1 Temporary failure – Please try again later
2 Bien que l’appellation Greylisting se soit imposée, l’auteur lui préfère celle de Relay-Delay, plus explicite
quant à son principe, et qui évite un rapprochement malheureux avec les techniques de filtrages de type black ou
white-listing. Mais le terme semble s’être définitivement imposé…
3 http://projects.puremagic.com/greylisting/
4 http://sebastien.nameche.fr/spam/greylisting/french.html
5 http://www.postfix.org/policy
page 1 sur 6 – CORTINA – Siège: 14 avenue Jean-Baptiste Clément,
92100 Boulogne-Billancourt – Tél: 01 41 10 26 10 www.cortina.fr
Toutes les marques et noms mentionnés dans le présent document sont les marques de leurs détenteurs respectifs.
•
•
•
Elle peut être associée à d’autres types d’analyses (filtrage bayésien, recherche de malware, etc.).
Concernant le spam, c’est un excellent premier niveau de protection. Elle est également fort utile dans
la lutte anti-virale, pour les mêmes raisons
Elle est autonome (pas de mise à jour, pas de signatures à télécharger), le filtrage étant effectué
uniquement avec des informations locales, avec des ressources dont on a la pleine maîtrise
Elle est gratuite (projet OpenSource) – bien que certains produits commerciaux l’aient intégrée
Les listes grises ont été pensées de manière à être implémentées au niveau des MTA, par contre cette technique
est difficilement envisageable pour les très gros sites du type Yahoo !, gmail ou hotmail, car la base de triplets
serait énorme.
Jusqu’à 95% de spams en moins !
Mais le plus grand de ses avantages, c’est sans conteste son efficacité. Tous les administrateurs de messagerie
qui ont mis en œuvre ce type de filtrage ont noté immédiatement une chute spectaculaire – de l’ordre de 80 à
95% – du nombre de spams que devait analyser leur filtre antispam traditionnel. Pour ceux qui utilisaient un
filtre de type SpamAssassin, qui n’est pas particulièrement réputé pour sa tenue à la charge, le greylisting a
apporté une véritable bouffée d’oxygène.
Si l‘effet du greylisting est assez radical. Il convient toutefois d‘être conscient de quelques points faibles ou
perfectibles :
•
•
•
Certains anciens serveurs ne suivent pas à la lettre les standards, comme certaines anciennes versions de
Novell Groupwise. Il convient de noter que ces messages utiles qui ne sont pas retransmis – et donc
jamais reçus par les personnes à qui ils étaient destinés – ne sont pas, à tort, comptabilisés comme des
faux-positifs…
Tous les serveurs SMTP ne sont pas correctement configurés. Des risques de perte de messages – très
faibles, certes, mais non nuls – existent du fait de serveur de messagerie mal gérés. Certains serveurs
ont également du mal à gérer des spool queues sans fin. On note donc parfois des réémissions très
tardives et des retards d‘acheminement, difficilement acceptés par les utilisateurs6 : qui n‘a jamais
demandé au téléphone « Envoie moi le fichier par email, qu‘on en discute » ?
Si l’une des composantes du triplet change, le processus reprend à zéro, ce qui implique une nouvelle
temporisation : par exemple, quand votre correspondant vous écrit à partir de son domicile, ou d’une
autre de ses adresses email.
Comme le note Emmanuel Dreyfus, auteur d’un milter Grey-listing7, « Ces serveurs perdaient déjà du courrier
de façon sporadique quand ils rencontraient une erreur temporaire. Face à un filtre à liste grise, le problème
devient systématique. On peut donc considérer que la liste grise rend un grand service aux techniciens qui les
administrent puisqu'ils leur permet de découvrir un bug dans leur serveur ou de mettre en évidence une erreur
de configuration ».
L’une des premières améliorations a porté sur un mécanisme de liste blanches, comportant les correspondants
habituels, afin d’éviter de leur imposer la temporisation. Cette whitelist peut être manuelle ou enrichie
automatiquement8. De même, il a fallu adapter l’utilisation du greylisting en cas de multiples serveurs en
parallèle : dans les premières implémentation, si la tentative revenait sur un autre serveur que celui qui avait
connaissance du triplet, cette réémission était interprétée comme un premier envoi et se voyait imposée une
nouvelle temporisation (risque de boucle sans fin dans les cas les plus extrêmes).
Les réglages portent principalement sur les valeurs des différentes temporisations :
• Temps avant lequel une nouvelle présentation du message n’est pas acceptée
• Temps durant lequel un nouveau triplet sera conservé en mémoire
• Temps durant lequel un triplet ayant fait l’objet d’une retransmission sera conservé en mémoire
6 …utilisateurs qui restent persuadés, dans leur immense majorité, que l’email est une application temps réel.
7 http://hcpnet.free.fr/milter-greylist/
8 Par exemple en écoutant les emails sortants : on peut supposer que l’on accepte de recevoir un courriel d’un
correspondant à qui on a soi-même écrit.
Pour les bonnes implémentations, les réglages de bases doivent donner des résultats remarquables. Pour les
autres, il est indispensable d‘ajuster le fonctionnement pour limiter les effets indésirables. Dans la phase de
démarrage, il est bon de surveiller la liste grise pour identifier les domaines à partir desquels les correspondants
« habituels » émettent, pour les ajouter en liste blanche permanente.
Le greylisting : efficace… si peu de personnes l’utilisent ?
Certains avancent que cette technique est très efficace tant qu'il n'y a pas beaucoup d’administrateurs de
messagerie qui la mettent en œuvre, en suivant principalement le raisonnement suivant :
• Actuellement, le temps moyen de séjour d'un message sur le réseau Internet est d’une minute (simple
exemple).
• Si tout le monde utilise greylisting, le temps moyen de séjour passera d'une minute à une quinzaine de
minutes.
• Selon la loi de Little9 (files d'attente), le nombre moyen de clients dans une file d'attente est
proportionnel a la durée moyenne d'attente. Ce qui veut dire que le nombre moyen de messages présents
dans les files d'attente de tous les serveurs de mail serait multiplié par un nombre, qui dans l'hypothèse
prise est 15 ! Il n’est absolument pas certain que cette hypothèse ait été prévue par les administrateurs
des serveurs émetteurs…
Il a également fallu adopter des contre-mesures aux manipulations de certains spammeurs qui remplacent
l'adresse email de l'émetteur par "<>", l'adresse de bounce, afin de faire sauter l’une des composantes du triplet :
interprété comme un message administratif, ce courriel est accepté par le greylisting10. Emmanuel Dreyfus les
accepte au contraire, et les utilise dans la phase d’identification de l’expéditeur. Il contourne le problème en
proposant (par une option) de rejeter de rejeter après le stade DATA de la transaction SMTP plutôt qu’au stade
RCPT.
Jose Marcio Martins Da Cruz, chercheur à l’Ecole des Mines, est l’auteur du filtre anti-spam J- chkmail. Il a
implémenté le greylisting et décrit dans un document de grande qualité11 diverses tentatives effectuées par les
spammeurs pour réduire l’efficacité de cette technique. Il a notamment remarqué des tentatives
d’empoisonnement de la base de triplet. Cette base peut rapidement devenir importante : lors de ses tests, elle
atteint 500 000 à 600 000 entrées. L’empoisonnement de la base consiste à augmenter ce nombre : il suffit qu'un
client SMTP se connecte 1000 fois et qu'il envoie, à chaque fois, un même message à 500 destinataires
différents, pour que 500 000 nouvelles entrées soient créées. Jose Marcio Martins Da Cruz a ainsi constaté des
attaques créant 300 000 entrées inutiles, créées en un seul jour par seulement neuf clients SMTP différents.
Naturellement, dans son implémentation, le chercheur a apporté les améliorations adéquates pour répondre à ces
attaques. Il a également prévu l’utilisation du greylisting dans une architecture avec plusieurs MX12, comme l’a
déjà intégré Emmanuel Dreyfus dans son développement : « Cette fonctionnalité est indispensable si on utilise
plusieurs MX : à défaut, les délais sont trop importants et finissent par gêner les utilisateurs ».
Des PC-zombies capables de gérer les retransmissions ?
L’auteur de cette étude a interrogé plusieurs spécialistes de cette technique, qui confirment la détection d’une
nouvelle génération de PC-zombies, capables d’interpréter le message d’erreur temporaire et d’effectuer une
nouvelle tentative, à l’expiration d’une temporisation. Ainsi, Emmanuel Dreyfus en a détecté quelques uns et a
modifié sa configuration, en masquant son message « greylisting in action, please come back in 5 mn ». Cette
mutation ne le surprend pas : « Clairement les parades contre la liste grise vont se développer. Je suis d'ailleurs
surpris que ca ait mis tant de temps : quand j'ai écrit milter-greylist, je pensais être tranquille pour six mois, et
j'ai eu déjà deux ans de tranquillité ».
De son côté, à l’université de Toulouse dont il est responsable réseau, Fabrice Prigent a configuré son filtre avec
un blocage annoncé de 300 secondes. Constatant des réémissions effectuées entre 301 et 320 secondes plus tard,
9 temps moyen passé (t) = temps moyen entre arrivées (1/ ) * nb moyen de clients (n)
10 D’où l’intérêt d’implémenter en complément des techniques d’authentification de type SPF
11 http://j-chkmail.ensmp.fr/papers/JRES2005-jchkmail-article.pdf
12 Voir également http://www.halte-au-spam.com/livre/news-partie-2.htm
le chercheur a fait de ce comportement une caractéristique de spam13 pour son second niveau de filtrage, à base
de DSPAM.
Cette nouvelle génération de PC-zombies peut-elle mettre en danger le greylisting en « jouant le jeu » et en
temporisant leurs envois ? Nous ne le pensons pas, pour deux raisons.
D’une part, le contournement du système oblige les spammeurs à s’exposer d’avantage. Il n’a jamais été bon de
sortir la tête de la tranchée deux fois au même emplacement… On peut supposer premièrement qu’un logiciel
malicieux « évolué » doit être moins furtif et plus facile à détecter par les outils anti-malware. Par ailleurs, un tel
PC sera plus facilement identifié en tant que source d’émission de pourriels14.
D’autre part, la temporisation imposée donne plus de temps – et partant, plus d’efficacité – à certaines solutions
anti-spam, comme celles basées sur des distributions de signatures15. Le greylisting est donc l’allié objectif des
pots de miels destinés à détecter les émetteurs de spams.
Enfin, comme l’indique Jose Marcio Martins Da Cruz, ce contournement devrait gêner le modèle économique
des spammeurs, car un zombie capable de gérer les erreurs SMTP est un zombie plus complexe, donc plus cher.
Mais surtout, pour le chercheur de l’Ecole des Mines, « Avoir à gérer la temporisation signifie diminuer le débit
utile du zombie. Si un zombie répète chaque connexion, cela signifie un débit utile divisé par deux ».
Cinq ans de prisons pour le « maître des robots »
Cette analyse encourageante ne doit en rien mener à un relâchement des efforts entrepris pour éradiquer les PC
zombies. Pour preuve l’expérience menée courant 2005 par Microsoft, qui, pendant trois semaines, a laissé un de
ses PC passer sous le contrôle de spammeurs16. Durant cette courte période, la machine a envoyé 18 millions de
spams, faisant la promotion de quelque 13.000 sites web. Pour Tim Cranton, le responsable de cette opération,
«Il y a des dizaines de millions de PC zombies dans le monde».
Et ces PC zombies restent éminemment dangereux, car, outre leur utilisation comme bases d’émission de
pourriels, ils interviennent dans de multiples actions répréhensibles, telles que les attaques DDoS (Distributed
Denial-of-Service), l’espionnage de l’activité du PC qui les abrite (dont le Keylogging – enregistrement des
frappes clavier), ou encore l’installation de BHO (Browser Helper Objects) – pour créer des « clics » sur des
bannières de publicités spécifiques et ainsi gonfler les statistiques de fréquentation17. La passionnante étude
Know your Enemy: Tracking Botnets18 - Using honeynets to learn more about Bots, publiée par The Honeynet
Project & Research Alliance19 relève également l’existence de botnets qui ont pour objectif de manipuler les
votes en ligne, les voix des PC zombies comptant comme un vote humain20. La quasi-totalité des codes
malicieux intègrent également une fonction de dissémination, afin d’infecter d’autres PC.
Plus récemment, l’arme juridique a enfin été utilisée face aux PC Zombies. En mai 2006, un jeune californien,
Jeanson James Ancheta, a été condamné à cinq ans de prison21. Il avait détourné plus de 400 000 ordinateurs
personnels qui étaient utilisés à l’insu de leur véritable propriétaire pour mener des attaques DDoS, pour diffuser
des spams ou infecter d’autres PC. En outre, le Californien doit rembourser 15 000 dollars à l'armée américaine –
propriétaire de certains des PC passés sous son contrôle – et 60 000 dollars à l'Etat.
13 X-Greylist*307+seconds, 0.99213
14 Il vrai que dans un premier temps, il est probable que ce soit l’internaute propriétaire du PC infecté qui
risque d’être gêné… pas le spammeur.
15 Comme Vipul’s Razor.
16 http://www.microsoft.com/presspass/features/2005/oct05/10-27Zombie.mspx
17 Cette technique est également utilisée pour abuser le service Google AdSense
18 Botnet ; réseau de PC zombies
19 http://www.honeynet.org/papers/bots/
20 Toute analogie avec des pratiques électorales visant à « faire voter les morts » est totalement fortuite ;-)
21 http://www.usdoj.gov/usao/cac/pr2006/051.html
Moins de PC zombies, mais plus intelligents ?
Après s’être focalisé sur la protection de leur infrastructure en entrée, les FAI et ISP se sont un peu tardivement
intéressés à l’analyse de leur flux sortant (et donc des spams émis par les PC de leurs propres clients). La
publication récente de l’AFA (Association des Fournisseurs d’Accès et de Services Internet) d’une proposition
visant à bloquer le port 25 en sortie est le fruit d’un long cheminement22.
C’est en juin 2004 que cette recommandation a été avancée pour la première fois. C’était l’une des
recommandations de l'ASTA23 (Anti-Spam Technical Alliance), qui regroupe six des principaux fournisseurs
d'accès et éditeurs de messagerie électronique dans le monde: AOL, British Telecom, Comcast, Earthlink,
Microsoft (MSN Hotmail) et Yahoo ! Pour l’ASTA, il s’agit d’appliquer une « politique de bon voisinage » qui
part du principe que tout fournisseur d'accès et de service Internet est responsable du trafic issu de son réseau.
S'il ne contrôle pas correctement le trafic abusif qui en émane, il court le risque de se voir bloquer par ses
homologues. En juin 2005, l’idée a fait son chemin, au point qu’elle est recommandée par la FTC dans le cadre
de son Operation Spam Zombies24. En partenariat avec vingt membres du London Action Plan et seize agences
gouvernementales, la Federal Trade Commission a adressé une lettre à plus de 3 000 FAI de par le monde, les
encourageant à prendre les mesures suivantes;
La recommandation de l’AFA mentionne que, « Afin de lutter efficacement contre le spam, il conviendrait que
les acteurs d'Internet suivent cumulativement les recommandations suivantes : 1. Le poste d'un utilisateur
résidentiel ne devrait pouvoir émettre ses messages électroniques que via le serveur de son fournisseur de
messagerie électronique, 2. Les serveurs de messagerie sont encouragés à autoriser la soumission authentifiée
des messages des utilisateurs de leur service sur le port 587 ».
Selon l’AFA, « la deuxième recommandation doit attirer l'attention des éditeurs de logiciels et fabricants de
matériel, dont les produits devraient permettre une configuration facile des outils de messagerie de manière à ce
que chaque adresse électronique d'un utilisateur puisse être aisément configurée en sortie sur ce port.
L'utilisation de ce port25 présente également un grand intérêt pour l'utilisateur, puisqu'elle lui permettrait
d'adresser ses messages au serveur de son prestataire sans modifier les paramètres de son logiciel de
messagerie, quelque soit le réseau à partir duquel il se connecte ».
Ce que ne dit pas l’AFA dans son communiqué… c’est qu’il est probable que cette mesure technique
s’accompagne d’une la limitation du nombre d'e-mails que peut envoyer un particulier – 150 destinataires par
heure et 500 par jour semblant des limites raisonnables. L’attribution de quotas d'emails aux abonnés ne peut en
effet se concevoir que si tous les courriers passent par les serveurs officiels. En cas de dépassement, le FAI doit
chercher à savoir si cet ordinateur est corrompu – en clair, s'il est devenu un « zombie ». Dans l’affirmative,
l’utilisateur est prié de nettoyer son PC (mise à jour antivirus, antispyware, firewall...). S'il ne se conforme pas à
ces recommandations, son accès pourrait se voir coupé.
Il n’en reste pas moins que cette mesure est impopulaire auprès des utilisateurs avancés qui font tourner leur
propre serveur de courrier sur leur poste. Elle apparaît notamment draconienne pour les entreprises qui tirent
partie de cette facilité pour leurs utilisateurs nomades, qui n'ont alors pas à se soucier de savoir sur quel réseau
ils se trouvent et quel est le serveur SMTP officiel26.
Cette mesure technique serait-elle, enfin, la parade définitive ? Sera-t-elle adoptée par tous les ISP de la planète ?
On notera également que si le PC de l’expérience de Microsoft s’est révélé peu furtif, il existe des malware
conçus pour rester « en dessous du radar » et qui n’émettent que quelques spams par diffusion.
Plus inquiétant : d’après l’étude intitulée Spam Zombies from Outer Space27, et publiée en janvier 2006 par John
22 http://www.afa-france.com/p_20060426.html
23 http://postmaster.info.aol.com/asta/
24 http://www.ftc.gov/bcp/conline/edcams/spam/zombie/index.htm
25 Il n’est pas certain que la totalité des clients de messagerie supportent actuellement correctement ce
standard.
26 Certains craignent également que cette solution soit inapplicable dans quelques cas de déploiement de
DomainKeys.
27 http://pharos.cpsc.ucalgary.ca/Dienst/UI/2.0/Describe/ncstrl.ucalgary_cs/2006-808-01
Aycock, professeur assistant en sciences de l'informatique à l'Université de Calgary, et Nathan Friess, l'un de ses
étudiants, il serait possible de passer outre la plupart des filtres antispam de type bayésien en ciblant les
messages vers des contacts réguliers de l'utilisateur. Cette éventuelle nouvelle génération de PC zombies serait
en effet d’ores et déjà en mesure d’imiter le style d'écriture de l'utilisateur, notamment la longueur des mots
utilisés, l'utilisation des majuscules, de signatures ou d'abréviations. Dans cette étude, le professeur indique que
« la prochaine génération de spams viendra des PC zombies, ce qui n'est pas très original de prime abord. Mais
la différence se fera sur la façon dont ces zombies seront utilisés ». On peut donc craindre que les spammeurs
n’aient pas dit leur dernier mot.
« Ce PC est à moi !!! »
Nous laisserons le mot de la fin à Marc Baudoin, du pôle informatique de l’Institut Pasteur, « Et si on se posait
la vraie question, à savoir pourquoi il y a des PC zombies ? Est-ce normal qu'il soit si simple de prendre le
contrôle d'un ordinateur à distance afin de lui faire faire n'importe quoi ? Est-ce sain que 95 % de
l'informatique de la planète repose sur un système d'exploitation bourré de failles ? ».
__________________________________________
L’auteur
Précurseur dès 1985 de la compression de données appliquée aux transmissions, puis en 1993 de la réduction des factures
X.25, Bruno Rasle est l’un des co-fondateurs de la société IPerformances. Il a ainsi participé à la création de la première
entité française dédiée à l’optimisation des réseaux et à la gestion des performances en environnement IP. Il est à l’origine de
l’introduction en France des premières solutions dites de « QoS » (pour Qualité de Service) aujourd’hui banalisées :
équilibrage de charge, cache proactif, accélération SSL, mesures de disponibilité et de performances de sites Web,
accélération HTTP, gestion des priorités…Son initiative « Nettoyage de Printemps des DNS » afin d’améliorer le domaine .fr
a reçu le soutien de l’AFNIC en 2000.
Expert es-Spam (il l’est le co-auteur, avec Frédéric Aoun, du livre Halte au spam28, édité chez Eyrolles), il est membre du
groupe de contact anti-spam mis en place par la DDM (Direction du Développement des Médias, services du Premier
ministre), pour lequel il a organisé un cycle de conférences sur ce sujet. Il est également le co-organisateur du premier
séminaire français sur le sujet, le Spam Forum Paris, qui s’est déroulé en 2003 dans une salle mise à disposition par
l’Assemblée nationale.
Bruno Rasle est membre du conseil d’administration de l’AFCDP (Association Française des Correspondants à La Protection
des Données à caractère Personnel) et responsable des offres de la société Cortina29, spécialisée dans la protection des
données sensibles et stratégiques des entreprises.
28 www.halte-au-spam.com
29 www.cortina.fr

Le retour des morts-vivants… où quand les PC - Mag

Transcription

Documents pareils

Communiqué - SIX media marketing inc.

La victime de Cortina?

Marche de Zombies Fête Après l`Halloween

Inscri SE ZOMBIES 2 Lille 2011 – à mettre sur le site et à envoyer

Informations produit

Supprimer automatiquement les spams

Réanimation - Thierry Liegeois

l`étrange week-end

Définition du PC zombie