lundi 4 mars 2013

TCP/IP security is boring : Second strike

Il y a trois ans j'écrivais une article intitulé "TCP/IP security is boring".
Résumé rapide: En juin 2010, pendant le SSTIC, Harald Welte indiquait avoir quitté le monde de la sécurité TCP/IP en tant qu'auteur iptables car "TCP/IP security is boring" afin d'écrire OsmocomBB. En 2010, je remarquais que la sécurité TCP/IP était vraiment la portion congrue de la sécurité.
Si on regarde le programme du SSTIC 2013, rien sur le réseau. 2012, une conf réseau sur le suivi malveillant de connexions (intéressante mais limité au premier "HOP" du firewall) et une conf sur l'analyse de protocoles (netzob). 2011, pas grand chose non plus.

RSA 2013 vient de terminer, et Adi Shamir (le 'S' de RSA) conclut qu'aujourd'hui la cryptographie ne protège plus, ou tout du moins que son importance est faible. La raison: à quoi cela sert de chiffrer lorsque l'attaquant est administrateur de vos machines, qu'il a accès à la version en clair des documents ainsi qu'à la clé de déchiffrement? La question est bien réelle.
Je vais faire une analogie. Lorsque l'on veut traverser facilement une chaine de montagnes, on regarde le col le plus bas afin de minimiser les efforts. Les attaques informatiques sont basées sur la même idée. A quoi bon casser du RSA (AES, etc..) alors qu'on peut aller chercher le document en clair? Et aujourd'hui ou sont les cols les plus bas? Il existe quelques marronniers comme le pdf, flash et depuis peu Java. Mais il y en a un autre qu'on oublie et qui perdure depuis longtemps: où est la sécurité du réseau? On trouve toujours une petite ligne dans les compte-rendus d'APT indiquant que les auteurs ont fait un effort pour contourner l'antivirus, mais on entend même pas parler du réseau, sous-entendu qu'il est évident de pouvoir piloter à distance des machines dans des réseaux (soit-disant) protégés(!).

Si je lis l'Edito de MISC 66 (mais je n'ai pas encore lu le dossier sur le BYOD) on peut trouver ces lignes qui suivent la prise de conscience des éditeurs de logiciels qui sécurisent de plus en plus leurs développements: "(...)Cette réflexion et les changements du monde de l'édition logicielle ne pourraient-ils se produire pour l'architecture des réseaux ? Ça passe par un changement de mentalité, par imaginer de nouvelles approches. Et les gens qui sont la tête dans le guidon n'ont pas forcément le temps de s'en préoccuper, quand il faut déjà faire marcher le réseau pour que le PDG puisse consulter ses mails depuis n'importe où.(...)En attendant, côté réseau, la réponse est toujours la même : empiler des équipements. Et les équipes ne changent pas plus, toujours en sous-effectif, avec de plus en plus de missions à remplir avec de moins en moins de moyens. Et bizarrement, les effets sont toujours les mêmes : les attaques passent."

Pour connaître un peu le monde du firewall, je confirme bien cette vision. J'ai vu quantité de configurations de firewall en mode masquerading: on masque le réseau privé en sortie, et on NAT les 3-4 ports vers les serveurs de la DMZ. Sécurité: néant. Et lorsque la sécurité bloque une fonctionnalité, le choix porte immédiatement sur le rétablissement de la fonctionnalité au détriment de la sécurité. A croire qu'un firewall, c'est comme un antivirus sur un windows. Il faut en mettre un pour se conformer aux "bonnes practices", mais on sait tous que ça ne sert à rien, et que c'est agaçant donc on désactive un maximum de fonctionnalités à commencer par les alertes. Un autre exemple: actuellement, on entend beaucoup parler du firewall PaloAlto. Très beau, très fonctionnel, plein de trucs qui permettent un management du réseau efficace comme bloquer twitter, ou réserver 20% de la BP à facebook et qui pond des rapports très élégants. La sécurité? Quelle sécurité? Checkpoint résume bien son état: il n'y en pas. C'est un outil de management de réseau, mais il est pris comme un outil de sécurité (on appelle ça un Firewall Next-Gen!), et les APT continueront de passer..

Que faire? Le firewall bien géré, administré par des gars compétents, avec des logs surveillés serait la solution? C'est sans doute un premier pas. Il reste le BYOD, la dépérimétrisation, et les réseaux qui "bavent" à l'extérieur comme le Wifi et la 3G/4G. Pour le wifi, ça s'arrange, mais pour l'iPad branché sur le PC de bureau pour le recharger, quel équipement installer? Mettre un osmocomBB et forcer les connexions vers lui pour filtrer tout ça?
Une autre solution serait-elle de mettre QubesOS partout et considérer le réseau 'broken beyond fixing'? Ou encore, laisser le réseau à une équipe de management de réseau, et ne faire que du network/analysis forensics? Puisque les machines seront attaquées et qu'on sait qu'on ne l'empêchera pas, autant le prendre en compte, mais se doter d'une analyse pour être capable de remonter très vite à l'infection initiale. J'aime bien les idées de Damballa à ce sujet. Une autre manière de voir le réseau afin de détecter des menaces.

Pour terminer sur une note un peu plus concrète, vous l'aurez compris le programme du SSTIC est paru. Je ne sais toujours pas si je pourrais y aller cette année (pour un premier problème simple: je n'ai pas de carte bleue pour acheter le billet), mais beaucoup de conférences m'intéressent à commencer par celle sur l'USB (j'ai une note en préparation depuis au moins 18 mois là dessus). Le challenge SSTIC 2013 ne devrait pas tarder non plus, j'ai cru entendre qu'il serait à base de sécurisation de wiki, de gif animés et de bières ;)

1 commentaire:

  1. Réflexion très intéressante et avec de bon liens, merci.

    Personnellement, je crois que oui, le réseau est 'broken beyond fixing', il n'y a qu'à voir ce que donne l'IPv6.
    C'est clairement un constat d'échec, et cela veut dire qu'on ne verra pas d'amélioration de notre vivant (en référence à la vitesse de migration IPv4 -> IPv6).

    D'ailleurs, il y a déjà depuis longtemps un déport de la sécurité vers les couches applicatives (système et services), et à ce titre le rôle de la crypto est très important.
    C'est d'ailleurs la base de la sécurité d'aujourd'hui: évoluer de la sécurité périphérique vers la sécurité applicative, longtemps ignorée.

    Quelque part, dans le monde d'aujourd'hui, le réseau est presque aussi naturel que l'électricité.
    On a tendance à être tout le temps connecté, partout, et ceci est devenu incontrôlable. Les équipements doivent donc impérative être durcis et les échanges de données chiffrés pour survire dans un milieu considéré de base comme hostile.

    RépondreSupprimer