mercredi 14 juillet 2010

TCP/IP security is boring

Je lis petit à petit les slides et articles fournis dans les actes du SSTIC 2010. Les conférences d'Harald Welte ont attiré mon attention, et plus particulièrement la phrase:
Don’t you too think that TCP/IP security is boring?

Et effectivement, la sécurité de TCP/IP, c'est quand même relativement mort.
Quelques questions pour s'en rendre compte..

Une connexion TCP, c'est un three-way handshake? Vous connaissez surement, mais le four-way handshake? Le prochain big-one qui dev(r)ait faire tomber internet à cause de TCP, vous connaissez? Et nkiller2, vous avez pris le temps d'étudier? Quelles mesures avez vous prises? Le filtrage de paquet de votre réseau, vous le faites encore, ou bien vous l'avez infogéré à un presta externe? Et vous avez utilisé un simple rideau, un double rideau? Les flags TCP, il y en a combien? 6 ou 8? Les hidden treasures d'iptables, vous avez étudié ça? Tiens d'ailleurs, et qu'est ce qui fonctionne le mieux, pf ou iptables? Le meilleur moyen de scanner discrètement un hôte, c'est le Xmas, ou bien une autre combinaison? Je me souviens qu'à une époque, il suffisait d'évoquer la légalité des scans de port sur n'importe quel forum pour déclencher des trolls homériques. Aujourd'hui, tout ça c'est le néant. On lit à longueur de forums qu'il est possible de spoofer des connexions TCP fiablement et durablement sans que plus personne ne s'émeuve de la bêtise.

Je crois qu'Harald a raison, vous n'avez sûrement pas du cliquer sur plus de deux liens dans le paragraphe la dessus. TCP/IP security is boring. Cela va faire 15 ans qu'on en fait, qu'on sait comment ça marche, pourquoi vouloir continuer à lire et dépiauter les RFCs? TCP/IP, ça "juste marche". Même lorsque les menaces sont réelles, c'est tout juste si on en entend parler. En 2000, le remote root sur pile IP faisait rêver tout le monde. Le programmeur qui aurait pu le faire aurait été sans doute considéré comme un demi-dieu vivant de la sécurité. Puis c'est arrivé, sous windows et vraisemblablement un autre sous linux. Ca n'a été traité que comme d'autres bugs de sécurité: on voit, on corrige, on patche.

Dans le temps, oui, la "TCP/IP security" était excitante. Mitnick qui a su, lui, faire du spoofing intelligement ;) . Les filtres de paquets qui passaient de stateless à statefull, les options TCP les plus obscures qui permettaient de traverser du firewall. Mais aujourd'hui, à peu près tous les filtres IP se valent et la discussion va plus porter sur le prix de la solution et/ou la facilité d'utilisation que sur les qualités du produit...

La sécurité de TCP/IP n'intéresse plus le monde de la sécurité. Si on regarde les actes du SSTIC 2010: rien sur la sécurité TCP/IP. 2009: rien non plus. Il faut remonter à 2008 pour avoir une (1!) conf qui a pour sujet quelques fonctionnalités liées à TCP/IP... L'année d'avant une seule conf aussi, ça parle d'IPv6.

Don't you too think that TCP/IP security is boring?

mercredi 7 juillet 2010

dimanche 4 juillet 2010

Je sens un parfum d'injection sur youtube...

[EDIT]: C'est corrigé chez youtube. Ils sont rapides.
---

Youtube ne serait pas protégé contre les injections?

On vient de m'envoyer un lien youtube présentant une caractéristique curieuse:
http://www.youtube.com/watch?v=cNvJy0zoXOY. La vidéo s'entend bien, mais on ne voit que ceci:

Ma machine n'est pourtant pas infectée...

Il s'agit d'une injection réalisée par un des commentaires de la vidéo, celui de XZI7:
Une commande MARQUEE, enrobée dans un H1, le tout dans un script avec une balise presque fermée suffit. Résultat, on ne peut lire que le BAHAHAHAAHAH qui défile sur un fond noir. Ces prochains jours, je vais m'abstenir d'aller sur youtube, il y a sûrement un gars plus retors qui voudra essayer d'injecter du code plus offensif...

Je ne voudrais pas une fois de plus jouer sur l'air de "la sécurité est un échec" [(c) Newsoft], mais le fait que Google laisse passer ce genre d'injection laisse tout de même songeur.

Une rapide étude montre que l'injection se fait via le paramètre IF_HTML_FUNCTION. Une recherche google montre la propagation de la faille.