===========================================
Réunion OSSIR groupe sécurité Windows
Lundi 08 juillet 2002
===========================================

Ordre du jour :
1 - Evolution de la menace virale (NAI - Francois PAGET)
2 - Présentation de l'appliance RealSentry (Axiliance - Boris MOTYLEWSKI)
3 - Présentation du firewall personnel TGB::BOB (The Green Bow - Jérôme BRIOT, Christophe de MINGUINE)
4 - Revue des vulnérabilités récentes de Windows 2000/XP (EdelWeb - Nicolas RUFF)

================================
1- Evolution de la menace virale
(NAI - François PAGET)
================================

François PAGET est "chercheur AntiVirus" chez NAI, spécialiste en virus W32. Les chiffres présentés lors de la session sont tirés de ses propres recherches et des statistiques 2000/2001/2002 du CLUSIF (François manage le site INFOVIRUS du CLUSIF ainsi que son Observatoire virus).

Ces dernières années ont vu l'apparition de nouvelles technologies virales particulièrement "challenging" pour les éditeurs antivirus :

- W32/CodeRed.A : ce "ver" ne s'exécute qu'en mémoire, il ne crée pas de fichier sur le disque dur ; les antivirus doivent analyser le flux HTTP ou la mémoire vive.
- W32/Nimda@mm : ce virus cumule plusieurs techniques de propagation (mail, IIS, partages réseau, vulnérabilités IE, fichiers exécutables et RTF).
- W32/BadTrans@mm : atteinte grave à la confidentialité par réexpédition de pièces jointes et de chaînes "intéressantes" (mots de passe) sur Internet.
- W32/Babylonia@mm, W32/Hybris@mm : virus pouvant être mis à jour depuis les newsgroups.

Aujourd'hui les grandes tendances en matière de virus sont les suivantes :

- La réactivité des éditeurs antivirus s'étant considérablement améliorée (de 48h à 1-2h maintenant), les "anciens" virus ont aujourd'hui peu de chance de se reproduire à grande échelle. La tendance est aux mass-mailers (suffixe @m et @mm) qui, pour certains, se propagent de manière explosive. Ces virus représentent depuis 1 an la quasi intégralité du "top 10" des virus rencontrés dans la nature (In The Wild).

- Au niveau des technologies @mm les plus utilisées par les auteurs de virus :
* Les virus macro (Word, Excel) sont en quasi-disparition ;
* La technologie VBS qui lui a succédé est elle aussi en perte de vitesse ;
* Aujourd'hui les virus programmes deviennent majoritaires, car ils offrent des possibilités beaucoup plus importantes que les langages de script VBA et VBS.

- Pour ceux qui se propagent, la durée de vie constatée des virus en fonction des technologies est la suivante :
VBS    : mois de 3 mois
W32@m  : environ 2 ans
W32@mm : jusqu'à 3 ans 

- Le "top 10" pour le premier trimestre 2002 est :
1. W32/Klez@mm
2. W32/Sircam@mm
3. W32/Magistr@mm
4. W32/BadTrans@mm
5. W32/Hybris@mm
6. W32/Yaha@mm
7. VBS/Tam@mm
8. W95/CIH@mm
9. JS/Kak@m
10. W32/MTX@m

Les recommandations pour une protection antivirale aujourd'hui sont :

- Appliquer les patchs de sécurité Microsoft ;
- Utiliser des antivirus sur les postes et les passerelles ;
- Mettre à jour les signatures *et* les moteurs ;
- Utiliser un firewall personnel ;
- Se préparer à un incident (préparer les procédures de restauration).

Enfin les tendances pour l'avenir sont :

- Poursuite de l'exploitation des outils de messagerie, de l'INTERNET et des diverses architectures réseau ;
- Emergence des nouveaux vecteurs de propagation (messagerie instantanée, réseaux peer-to-peer, ex. virus W32/Duni.worm) ;
- Linux devient réellement un nouveau challenge.

A ce sujet la variante D du virus "W32/Etap" est intéressante à signaler :
- Il s'agit du premier virus possédant une routine d'infection fonctionnelle, capable d'infecter aussi bien les fichiers PE que les fichiers ELF ;
- Il est polymorphique ;
- Il possède un "point d'entrée obscur" qui impose aux éditeurs de créer des moteurs d'analyse rapides qui ne se content plus d'analyser le point d'entrée des fichiers exécutables.


Q: Est-il possible de déterminer l'auteur d'un virus ?
R: Oui, 80% des virus sont "signés" ou "copyrightés" par leur auteur, qui possède souvent une page Web par ailleurs. Certaines ont même été créées avec Word HTML ! A ce sujet, François PAGET recherche un contact chez Lycos afin de faire fermer un site viral très fréquenté. Le groupe d'auteurs de virus le plus connu est le "Groupe 29A". D'autres groupes tentent d'émerger avec plus ou moins de succès (ex "Brigade 8").


Q: Ces auteurs sont-ils inquiétés ?
R: Trop rarement, ils bénéficient en général d'une impunité quasi-totale en France par absence de dépôt de plainte. A ce sujet lire "The French Connection" volume 1,2,3 de François PAGET. Aux Etats-Unis, le contexte récent a rendu les autorités plus sensibles au problème.


Q: Que penser des antivirus sans signatures ?
R:
- Argumenter sur une protection totale avec une totale absence de mises à jour s'apparente à de la publicité mensongère. La sécurité à 100% n'existe pas ! Les technologies virales évoluent rapidement et aucun produit ne peut totalement anticiper les prochaines attaques. ViGuard doit lui aussi mettre à jour régulièrement son moteur (je me souviens d'une récente version 8 !!!).

- Dire que l'on est les seuls à utiliser des technologies heuristiques s'apparente à de la publicité mensongère. Aujourd'hui tous les antivirus intègrent des moteurs de détection heuristiques et génériques performants. Les tests de détection de virus inconnus menés par l'université de Hambourg (tests réalisés avec des antivirus à jour de l'année dernière et soumis aux virus de l'année en cours) montrent que le taux de détection heuristique et générique dépasse les 80% pour certains des antivirus du marché. 

- Ces antivirus ne participent pas aux benchmarks.

- Ces anti-virus laissent passer des virus majeurs et complexes comme Etap et FunLove (même si la personne qui se cache sous le pseudo de "guillermitto" n'est pas des plus fréquentables, son étude sur de l'un de ces produits est édifiante !).


Q: Depuis l'apparition de rootkits avec une fonction "autodestruction en cas de compromission", y a-t-il un risque de voir apparaître des virus de ce type ?
R: A l'heure actuelle non, malgré les "travaux" de certains membres du groupe 29A sur le sujet. La plupart des virus se propageant sous forme de pièce jointe, il reste relativement facile de les capturer.


Q: Que penser des virus ciblés (infoguerre ou cyberterrorisme) ?
R: A l'heure actuelle il n'existe aucun précédent majeur sur le sujet, bien qu'il n'existe aucun obstacle technique à la création de virus ciblés. Des groupes de hackers pakistanais dans la mouvance de Ben Laden auraient d'ailleurs fusionnés afin de travailler sur de tels virus.


Q: Que penser des nouveaux virus multipartites (ex. virus dormants dissimulés dans les images JPEG, activés par des logiciels tiers - des exécutables ! - dédiés à cet effet) ?
R: Ces virus tiennent plus du "proof-of-concept" aujourd'hui. Les antivirus peuvent de toute façon détecter l'exécutable qui va initier le "réveil" de l'élément dissimulé. Les virus "peer-to-peer" se rapprochent de cette idée en utilisant le logiciel de "peer-to-peer" pour propager leur code viral (Kazaa, Morpheus...).

Remarque : les fichiers ".JPG" ne sont pas considérés par les antivirus comme des fichiers à riques (extension dans la liste des fichiers scannés par défaut), mais sont analysés au même titre que les autres lors d'un scan "tout fichiers" du disque dur.


Q: Comment fonctionnent les virus "peer-to-peer" (ex. virus Kazaa) ?
R: Le virus se présente généralement sous la forme d'une pièce jointe "classique" (comme pour les virus "@mm"). Il est capable de s'installer dans le répertoire partagé, sous la forme "XXX.AVI (quelques dizaines d'espaces).cpl" où XXX est un nom couramment recherché (harry potter, sex, winzip, spiderman, etc.). Il risque alors d'être téléchargés par des utilisateurs imprudents qui se contamineront à leur tour en double-cliquant sur le fichier.


Q: Quel est l'avenir possible des tendances en matière de virus ?
R: A long terme, des virus existeront probablement sur la plateforme WAP. Aujourd'hui la tendance est la recherche de nouvelle technique d'infections sur des plateformes répandues et vulnérables aux virus (utilisation des entrées "TLS" dans les PE exécutables, recherche de nouvelles failles IE ...).


Q: La signature numérique des exécutables peut-elle diminuer le risque d'infection ?
R: Les auteurs de virus se sont toujours adaptés aux nouvelles technologies. Il y aura toujours des personnes qui répondront trop vite "OUI" ou "OK" malgré la mise en garde inscrite dans une fenêtre d'alerte. La fin des antivirus n'est pas pour demain.


==========================================
2 - Présentation de l'appliance RealSentry
(Axiliance - Boris MOTYLEWSKI)
==========================================

Boris MOTYLEWSKI est fondateur de la société Axiliance et fondateur de la société ExpertLAN qui a été rachetée par Thales Secure Solutions.

La guerre permanente qui oppose l'attaque et la défense des applications réseau a produit les solutions suivantes :

- Le Firewall :
* Filtre de niveau "paquet" ;
* Travaille à trop bas niveau pour reconstruire les flux applicatifs (comme HTTP) ;
* Ne déchiffre pas le trafic chiffré.

- L'IDS :
* Reconstruit les paquets selon un algorithme potentiellement différent de celui de la cible ;
* Ne déchiffre pas non plus le trafic chiffré ;
* Repose bien souvent sur des algorithmes de pattern matching : il ne peut donc pas détecter les attaques reposant sur une utilisation "aux limites" des applications Web.

Le produit RealSentry est destiné à combler ces lacunes de la manière suivante :
* Il opère en mode "reverse proxy" sur les protocoles HTTP et HTTPS ;
* Il s'insère "en coupure" sur le flux réseau : 100% des requêtes transmises au serveur Web ont donc été analysées ;
* Il peut être utilisé en mode transparent (sans adresse IP) ;
* Il déchiffre le trafic HTTPS.

Une contrainte forte sur l'analyse de flux HTTP est le temps de réponse, qui ne doit pas excéder quelques secondes. RealSentry est bâti sur un noyau Linux 2.4 avec Apache 2.0 et réalise entre 40 et 50 TPS en HTTPS "software". La solution RealSentry SSL contient quant à elle des cartes accélératrices SSL de Rainbow Tech.

Le moteur de détection est totalement propriétaire et ne se base sur aucune technologie "open source". Ses caractéristiques sont :
- "Black List" contenant actuellement 600 signatures (mise à jour automatique ou manuelle) ;
- "Loose Pattern Matching" contrairement au pattern matching "strict" utilisé dans certains produits concurrents (comme NetSecureWeb) ;
- Possibilité de mise en place d'une "White List" (exclusive ou non) paramétrable ;
- Analyse le flux entrant et sortant.

Le mode "black list" est le plus simple à mettre en oeuvre et offre un niveau de protection satisfaisant, y compris contre les attaques inconnues basées sur des schémas connus (injection SQL, exécution de CMD.EXE, etc.). La solution ainsi configurée peut être opérationnelle en 15 minutes.

La mise en place d'une "white list", bien que facilitée par un auto-apprentissage, est une opération plus complexe qui permet néanmoins de se protéger contre la quasi-totalité des attaques existantes et à venir.

Le produit RealSentry n'est pas vendu directement par Axiliance - il est nécessaire de passer par un intégrateur.


Q: L'authentification client SSL est-elle supportée ?
R: Oui, l'application insère un cookie ou des entêtes particuliers (paramétrables) afin de transmettre l'information au serveur Web après déchiffrement SSL. RealSentry peut directement authentifier les utilisateurs par NTLM, LDAP, RADIUS et bientôt SecurID si le marché le réclame.


Q: Quels types de journaux sont générés par le produit ?
R: Logs Apache + envoi d'alertes SNMP, SMTP et SMS.


Q: Un benchmark est-il disponible ?
R: Oui, se reporter au site Web d'Axiliance.


Q: Le produit supporte-t-il le Load Balancing ?
R: Pas encore, ce développement est prévu pour 2003.


Q: Comment s'effectue la gestion des clés SSL ?
R: RealSentry dispose d'une PKI intégrée pour la génération de clés. L'importation de clés existantes fait l'objet d'une procédure au cas par cas.


Q: Comment est supporté le "fail-over" ?
R: En cas de plantage, l'interface réseau effectue un bypass matériel si une deuxième appliance est connectée en série. Dans le cas contraire ou si la deuxième appliance est victime d'un plantage elle aussi alors l'interface se met en coupure.


======================================================
3 - Présentation du firewall personnel TGB::BOB
(The Green Bow - Jérôme BRIOT, Christophe de MINGUINE)
======================================================

"The Green Bow" est une société fille de Sistech, une société française créée en 1998 par des anciens de Bull. Spécialisée à l'origine dans le développement de drivers NDIS (package NDISOne), elle distribue maintenant trois produits : TGB::BOB (firewall), CryptoMailer, et un produit de VPN.

Le firewall TGB::BOB dont il est question aujourd'hui présente les caractéristiques suivantes :
- S'intègre à deux niveaux dans la couche réseau de Windows (couche NDIS et couche applicative) afin de protéger efficacement Windows contre toutes les attaques connues sur la pile IP (ex. land attack) ;
- Permet de définir des ports de sortie autorisés pour chaque application (identifiée par chemin + hash MD5), ainsi qu'éventuellement un fonctionnement en mode "serveur" de l'application ;
- Extrêmement simple pour l'utilisateur (aucun popup, il s'agit du facteur de différenciation du produit par rapport à ses concurrents) ;
- Téléadministrable.

Le serveur de téléadministration est un serveur Apache 1.3 exécutant MySQL et Tomcat. Il stocke l'ensemble des stratégies appliquées aux clients et centralise les logs.

La console d'administration est une applet Java se connectant au serveur en HTTPS.

Les clients quant à eux ne fonctionnent qu'en mode "PULL" pour la récupération de leur configuration. Le protocole HTTPS est utilisé. Le serveur d'administration n'a aucun moyen de forcer la mise à jour du client (mode "PUSH").

Q: Est-il possible d'utiliser des jeux de règles différents selon la configuration (LAN ou RAS) ?
R: Pas avec la version actuelle mais cette évolution fait partie du cahier des charges de la prochaine version. Il est important de noter que le produit est encore jeune.


Q: Est-il possible de gérer plusieurs version d'un même logiciel (même nom mais hash MD5 différent) dans la base de règles centralisée ?
R: Pas avec la version actuelle qui impose que les règles soient définies machine par machine, mais une future version intégrera la notion de base de hashes MD5 et de postes témoins.


Q: Comment s'effectue la notification du client qu'un nouveau jeu de règles est disponible ?
R: Un paquet UDP est envoyé à la cible ; ce paquet est intercepté au niveau NDIS par TGB::BOB qui va ensuite se mettre à jour.


Q: Les sources du produit sont-elles disponibles dans le cadre de la réalisation d'un audit de code par un tiers ?
R: Oui.


Q: Est-il possible d'utiliser des certificats client pour les accès HTTPS ?
R: Oui, les certificats client et les certificats serveur sont supportés.


Q: Existe-t-il une incompatibilité avec la fonction ICF de Windows XP ?
R: Pas testé.


========================================================
4 - Revue des vulnérabilités récentes de Windows 2000/XP
(EdelWeb - Nicolas RUFF)
========================================================

Les vulnérabilités les plus récentes des environnements Windows sont passées en revue. Aucun commentaire n'est apporté par les participants.

La prochaine réunion est fixée au lundi 9 septembre 2002.