mardi 30 novembre 2010

Racine alternative : un tournant dans l'histoire de la gouvernance ?

Eh non, pas de Wikileaks dans ce post aujourd'hui car j'ai tendance à fuir comme la peste ce qui fait frémir et s'agiter la presse. D'autant que je ne trouve pas de révolutions dans cette publication qui semble avoir un besoin de satisfaction de l'égo...D'un strict point de vue analytique cependant, je trouve que cela est effectivement très intéressant sur le fonctionnement de la diplomatie internationale.

Premier post donc depuis le retour de la conférence C&ESAR, conférence très intéressante à laquelle j'ai eu la chance de pouvoir participer en tant qu'auteurs et orateurs (notamment sur les doctrines de cyberdéfense...).

Cette présentation et d'autres ont été l'occasion pour nous de mettre en avant les problématiques de légitimé liés à la gouvernance Internet. Parmi ces questions,
la gestion de la racine est de celles qui alimentent les controverses.

Ce n'est évidemment pas la première fois que le concept de racine alternative est évoqué. Cependant, jusque-ici, celui semblait avoir eu des effets limités.

J'ai tendance à penser que l'ICANN tire aujourd'hui sa légitimité d'une certaine efficacité (malgré tout) mais également d'une capacité à rassembler l'ensemble des acteurs dans ses différentes organisations et forums. Autrement dit, c'est un système massif d'adhésion associé à une capacité technique avéré (la composante IANA détient ainsi de réelles capacités d'actions sur la racine) qui semble compenser une légitimé sujette à caution.

Un tweet pourrait ainsi bouleverser tout cela. Mais celui-ci émane de Peter SUNDE, un des associés dans la fondation du plus célèbre des sites de torrent, The Pirate Bay. Ce passionné a été victime des systèmes de la gouvernance puisque l'ICANN a révoqué, à la demande de certaines autorités liées au copyright, des noms de domaines lui appartenant.

Il a ainsi appelé à une libéralisation de la racine qui passerait par un système ouvert et transparent de la gestion du DNS. Celui-ci fonctionnerait de manière totalement décentralisé et notamment grâce au P2P (on ne se refait pas)...

Il faut être un peu critique ici car, en tant que passionné de sécurité des SI, on voit de suite qu'un tel système est encore trop peu mature pour fournir toute les qualités de confiance et d'intégrité obligatoire pour fonctionner ! Après tout, le DNS est réellement un système essentiel !

Bien entendu, je ne préjuge pas des avis de toute la communauté des noms de domaines, notamment ceux qui ont des intérêts commerciaux. J'omets également de parler de la souveraineté réelle et normale des pays sur leur domaine Internet : quid de leur capacité de régulation si le système est décentralisé !

Bref, on comprend que ce système est encore trop peu abouti pour susciter autre chose que de l'intérêt et un peu d'amusement.

Cependant, considérant la personnalité médiatique de l'auteur et les tendances de plusieurs acteurs majeurs à remettre en cause le système de gouvernance, on ne pourrait juger que cette déclaration et proposition ne saurait provoquer un mouvement de changement global !

A suivre donc et à méditer...Et pourquoi pas, concevoir un système propre de confiance et de sécurité pour le DNS :D ?

Source :

http://www.korben.info/hello-all-isp-of-the-world.html

mardi 16 novembre 2010

Routage, Sécurité & Internet : de l'innovation !

Edit : à l'appui des opinions défendues dans cet article, je vous renvoie aux échanges sur l'hypothétique usurpation des routes par la Chine en avril 2010. Je ne me prononce pas sur la véracité ou non des faits mais les expériences montrent que cela n'a rien d'impossible...

Comme vous pouvez également le lire, la capture de trafic aurait été relativement courte dans le temps, probablement parce que la surveillance de l'état des tables de routage à tout instant a permis d'alerter et de corriger.

Je vous laisse vous prononcer sur les impacts relatifs et donc la criticité associé aux éléments fondateurs d'Internet :).

Source :

http://www.cnis-mag.com/internet-plie-sous-le-poids-de-la-chine.html

==================================================================================

RPKI pour Resource Public Key Infrastructure ou, en français, Infrastructure de Gestion de Clés pour le routage est une solution technique et en cours de normalisation visant à améliorer la sécurité d’Internet en rendant le routage moins vulnérable à certaines attaques. Je parle bien de la sécurité d’Internet, c'est-à-dire la capacité des systèmes à respecter les niveaux souhaités de Disponibilité, Intégrité et Confidentialité.

1/ Problématique technique et de gouvernance

Dans de précédents articles (ici, là et encore ici), Jean-François Audenart analysait avec clarté la problématique posée par le manque de sécurité du routage sur Internet. Le principal problème du routage se pose actuellement entre les AS ou Autonomous System, c’est-à-dire les grands acteurs d’Internet, utilisant le protocole de routage BGP.

Pourquoi cela ? Tout simplement car dans leurs domaines respectifs, les AS disposent de droits extensibles sur l’ensemble des niveaux techniques. Au contraire, entre ces AS, donc sur Internet, ces droits-là ne s’appliquent plus et l’on tombe dans les processus de gestion en commun du Net ou encore Gouvernance Internet.

Le principal défaut de BGP est notamment d’être un protocole un peu naïf : il accepte toute information venant d’un autre routeur comme légitime (ou peu s’en faut). Il était donc relativement facile (pas si évident toutefois) de se positionner comme un « espion » en obligeant le trafic entre deux points à passer par ses propres infrastructures.

Plus encore, le protocole permet également la propagation des erreurs de configuration manifestes permettant ainsi quelques exemples cocasses comme le blocage de Youtube par le Pakistan alors que ce dernier ne visait qu’à restreindre l’accès en interne. Quelques années plus tôt, un infortuné AS avait également commis une telle erreur en annonçant toutes les routes de l’Internet : il s’effondra rapidement bloquant le trafic de…tout l’Internet.

Fort heureusement, une veille très active permet de pallier aux principaux problèmes rencontrés. Ainsi, le blocage de Youtube n’aura duré que quelques heures. Cette même veille autorise également des réactions très rapides en cas de ruptures de connexions par exemple afin de « re-router » le trafic comme cela se produit régulièrement lorsque des câbles sub-océaniques se rompent (tempêtes, séismes, pêche…).

Le système parait cependant quelque peu faible à long-terme notamment au vu de l’expansion d’Internet et de la croissance des utilisateurs et des usages. Cette problématique, longtemps oublié par la Gouvernance Internet, retrouve ainsi toute sa place avec une solution récente qui parait plus stable pour l’avenir.

2/ La solution : RPKI !

Sous cette solution au nom barbare se cache un ensemble d’aspects déjà bien connus. En effet, il s’agit, plus ou moins, d’appliquer au routage, ce que l’on a appliqué au DNS.

DNSSEC, bien plus connu que RPKI, est ainsi une solution qui consiste à utiliser les techniques de cryptographie pour signer chaque enregistrement DNS et authentifier ainsi la source de l’information.
D’une manière similaire, RPKI propose de garantir la légitimité des routeurs envoyant à d’autres routeurs des informations.

Pour ce faire, la solution propose d’attribuer à chaque détenteur légitime d’un espace d’adresse, un certificat (un peu de la même manière que pour les banques sur Internet) qui sera échangé avec les informations de routage. Ainsi, les annonces faites par un routeur légitime pourraient être propagées et reconnues comme légitime par un autre routeur qui pourra donc l’intégrer à sa table de routage.

Pour reconnaitre une information de routage comme légitime, la RPKI proposera une liste de Route Origin Authorizations (ROAs), c’est à dire de titulaires susceptibles d’annoncer telle ou telle plage d’adresses IP.

Dans le cas contraire, si un routeur annonce, par exemple, une route avec un préfixe plus court, alors qu’il n’est pas légitime, les routeurs pourront refuser les informations car elles ne seront pas accompagnées du certificat attestant de la légitimité des informations.

A côtés de cela, devront être constituées des autorités de certification, une ou plusieurs, ayant la possibilité d’attribuer, de contrôler et de révoquer les certificats.

3/ Limites de la solution

Cette solution est une mesure de sécurité efficace pour certaines menaces. En revanche, je ne suis pas sur qu’elle couvre l’ensemble des risques de configurations. Elle ne remplace donc que partiellement la veille active citée plus haut.

Par ailleurs, l’utilisation de certificat de ce type suppose une autorité de certification, une politique de révocation et de contrôle. Dans un autre article, je mettais en avant les limites de l’architecture de sécurité liée aux certificats, limites que la RPKI connait également.

Parmi ces limites, on peut ainsi penser à la réactivité. Le routage n’est pas une carte routière relativement statique dans le temps, bien au contraire. La pratique du « peering » consistant à transporter, pour un autre opérateur, une partie de son trafic est évolutive dans le temps et la légitimité, au sens de la RPKI, devient donc également une notion variable. Cette contrainte forte différencie donc des infrastructures à base de certificat plus traditionnelles et représente un défi.

De plus, cette solution pose également un problème de légitimité. En effet, les standards techniques d’Internet (attention : pas uniquement du Web) sont réalisés, pour la plupart, par une organisation à but non lucratif appelée IETF. Or, malgré toute la qualité des travaux et du mode d’organisation de l’institution par ailleurs, les modèles de sécurité qu'elle a proposé n'ont pas suscité une adhésion effective. RPKI doit son origine à d’autres organisations et peut ainsi souffrir d’une question de légitimité.

Enfin, cette solution modifie de manière relativement importante la répartition des pouvoirs et provoque de débats passionnés. Ainsi, par exemple, qui aura le contrôle de l’autorité chargée de délivrer les certificats ? En effet, cette autorité aura par exemple une capacité inouïe de révoquer les certificats des AS de tout un pays et donc de les rendre non légitimes et perturber ainsi fortement ses capacités de connexion. Une capacité presque plus dérangeante que celle que possèdent VeriSign sur la racine du DNS….

Conclusion : la sécurité est autant technique qu’organisationnelle voire même politique, une leçon que nous ne cessons jamais de voir s’appliquer !

On notera enfin que la solution serait déjà en cours de test et déploiement. Par ailleurs, pour satisfaire mon côté grincheux, je reprendrais la proposition exprimée dans les sources ci-dessous : la sécurité du routage est une question cruciale du net, sans doute plus que les questions du moment sur les noms du domaine. Une leçon à retenir aussi !

Source :

http://blog.internetgovernance.org/blog/_archives/2010/9/7/4624281.html

http://www.bortzmeyer.org/rpki-et-igp.html

http://www.ripe.net/ripe/policies/proposals/2008-04.html

http://www.bortzmeyer.org/certificats-ressources-internet.html

http://www.networkworld.com/news/2009/012009-internet-routing.html?page=1

lundi 15 novembre 2010

Stuxnet...breaking news ?

Une unité d'analyse de Symantec a publié récemment sur son blog des éléments d'analyse complémentaire sur Stuxnet. Il propose également une vidéo constituant un POC du comportement attendu de Stuxnet.

Je commenterai en première partie les découvertes et en seconde, la vidéo.

Comme vous vous en souviendrez peut-être, le but réel de Stuxnet était resté jusqu'à présent très nébuleux permettant à n'importe qui de raconter n'importe quoi mais également à des personnes plus pondérées de mettre en avant quelques points intrigants.

Résumons les découvertes récentes :

- Stuxnet ne délivrerait tout son potentiel qu'en présence de composants particuliers fabriqués par des industriels finlandais et iraniens. Ces composants agiraient sur la fréquence notamment de certains éléments de système industriels. Il est fait allusion à des moteurs et des centrifugeuses...

- Stuxnet ne "travaillerait" que sur des composants relativement rares car travaillant à des fréquences élevés à très élevés et provoquerait des modifications de fréquences sur de courtes périodes.

- les fréquences visées sont particulièrement hautes et font l'objet de régulations, ce qui permet aux experts de Symantec d'affirmer le caractère ciblé du Botnet (ce qui n'est pas nouveau mais constitue un nouvel indice).

Ces découvertes sont évidemment très intéressantes car elles permettent de faire entrer des "faits" dans le mythe Stuxnet. Au-delà de ça, je trouve que l'affirmation selon laquelle les chercheurs ont découvert la raison d'être du malware est un peu facile.

En effet, ils ont brillamment décrit le modus operandi et les conditions d'exercices du malware. Mais, si leurs découvertes permettent de restreindre les cibles potentielles (incluant des systèmes de gestion des installations nucléaires à priori car ceux-ci utiliseraient des composants fonctionnant sous ces fréquences), on n'a pas une cible définitive ou un scénario unique ou encore une motivation claire. Et il n'est pas sur que cela soit découvert !



La vidéo présentée ici se veut une preuve de concept du fonctionnement de Stuxnet. Pour les non-technophiles ou techniciens, les précisions suivantes peuvent suivre. Pour les autres, ce ne sera pas très utile.

=> L'ordinateur équipé du logiciel représente le vecteur d'infection des système industriel. Équipé de Windows, le ver utilise les vulnérabilités du système d'exploitation pour s'introduire dans la machine et contaminé une application spécifique, celle qui permet de configurer les systèmes de gestion des matériels industriels.

=> le boitier de gauche représente le système SIEMENS en cause. Il s'agit d'un système électrique de régulation d'un processus industriel quelconque, ici l'injection de l'air dans un gonflement.

=> le gonfleur de ballon représente le composant industriel à proprement parler, celui qui agit directement "dans la réalité" :)

Scénario :

1/ Dans un premier temps, l'opérateur configure (sur l'ordinateur windows) le matériel de gestion en entrant les valeurs importantes. Ici, c'est le nombre de secondes de gonflage mais pour Stuxnet, ce serait des valeurs cibles de fréquence de rotation à priori.

2/ Il télécharge le code sur le composant de gestion et met celui-ci sous tension. On observe que l'ordinateur n'est plus utile. Le gonflage s'effectue dans la limite des paramètres indiqués.

3/ L'opérateur infecte volontairement sa machine (le passage avec la console en vert et noir en mode "matrix"..) en exécutant un malware de même type que Stuxnet. Si, ici, l'opérateur l'exécute directement, en réalité, le malware s'exécute automatiquement en utilisant des vulnérabilités diverses sur la machine et des vecteurs d'infections comme les clés USB ou un réseau local.

4/ l'opérateur configure à nouveau le composant de gestion, comme dans la première étape et télécharge à nouveau ce code. Mais, ici, le malware s'est introduit dans la "boucle" et va agir directement sur le composant de gestion.

5/l'infection, invisible dans toutes les phases, va alors modifier le comportement du gonfleur et faire exploser le ballon...OUPS !

Le POC reste très intéressant car même simpliste, il permet de visualiser le fonctionnement du malware et d'en déduire quelques parades.

En résumé donc, des informations intéressantes mais je n'y vois pas de "breaking news" justement...Mais on m'accusera sans doute encore d'être un esprit chagrin :D

Source :

http://www.symantec.com/connect/blogs/stuxnet-breakthrough

mardi 9 novembre 2010

Organiser sa LID !

Organiser sa LID, lutte informatique défensive, reste un exercice complexe tant en termes techniques qu'en termes d'organisation.

Quels sont les outils de la défense contre les agressions informatiques ? On peut penser, par exemple, et sans prétention d'exhaustivité à : Firewall, antivirus, sondes de prévention d'intrusion, filtrages divers et variés, corrélation des logs....

Cependant, pour la pertinence du propos, je retiendrai une différence, contestable évidemment entre Sécurité des SI et "défense informatique" ou LID. Pour moi, la SSI est un phénomène continuel d'amélioration de la sécurité des SI, sécurité que l'on comprend au travers du trigramme DIC pour Disponibilité, Intégrité et Confidentialité.

En revanche, la Lutte Informatique Défensive relèvera ici des actions, réactions, outils et processus permettant de gérer les évènements de sécurité informatique et plus particulièrement les crises, les problèmes, les attaques....

Pourquoi cette distinction ?

Tout d'abord, il est vrai que je lui trouve une certaine pertinence et ce, de façon tout à fait personnelle. Plus simplement, elle est aussi contenue dans le titre d'un récent RFC, le RFC 6045 intitulé Real-time Inter-network Defense. Ce post est ainsi basé sur une analyse par un spécialiste des RFC qui nous en donne les grandes lignes.

Un RFC, pour "Request For Comments" est un standard publié par l'IETF, principale organisme de standardisation de la Gouvernance Internet. On lui doit de nombreuses normalisations de protocoles et solutions au sein desquels la sécurité est souvent bien prise en compte.

Une des problématiques au cœur de la sécurité, et de la défense informatique, repose notamment sur les capacités d'interaction entre les acteurs concernés. Par exemple, en cas d'attaques par déni de service, il faut pouvoir réagir rapidement auprès de son hébergeur ou son opérateur pour mettre en place des mesures permettant d'atténuer l'effet du déni de service (par exemple, diriger le trafic vers "nul part").

Coordonner ses réactions demande donc un échange d'informations le plus efficace et structuré possible. C'est alors ici que l'on se place sur un terrain de réaction et donc, pour moi, de LID et c'est là que ce RFC intervient.

Ce RFC créé ainsi un nouveau format de message et de requêtes adressés automatiquement aux différents acteurs impliqués dans une attaque informatique. Une série d'échanges RID sera donc capable d'alerter les acteurs, de demander des interventions et de suivre, en temps réel, les actions réalisées pour mettre fin à l'attaque. Destiné à faciliter les échanges, le protocole présent donc à la fois un fort taux de standardisation (format XML) mais également de larges capacités de transmission de l'information (on peut transmettre un paquet litigieux dans son ensemble).

Destiné à être relativement automatisé, RID peut réagir visiblement à la fois à une détection humais comme automatique. Le RFC le positionne ainsi au sein des organes (techniques) de gestion des réseaux et des solutions de gestions des incidents. On dénombre ainsi 6 requêtes RID distinctes :

- Requête de recherche d'une source de l'incident auprès d'un opérateur : on émet ainsi plusieurs fois cette requête pour arriver à la source

- Requête d'investigation si la source est identifiée

- Un envoi d'informations sans requête associée

- Une requête sur les détails d'une attaque connue mais pas forcément subie (pour tenter de la prévenir au cas où on serait victime une vulnérabilité identique)

- Deux requêtes permettant de transmettre les résultats intermédiaires ou finaux.

Bien évidemment, la sensibilité de tels échanges supposent des solutions de communications sécurisées (authentification mutuelle, chiffrement...).

L'intérêt de RID porte sur plusieurs points :

=> C’est un RFC donc un standard qui a été partagé par les acteurs du Net. Par exemple, celui-ci a été porté par un collaborateur de la société EMC, bien connu dans le monde de l'hébergement informatique. S'il est adopté largement comme c'est le cas de nombreux protocoles et sa "cible" finale, il fournira un cadre générique d'échange d'informations et de pratique de sécurité partagée. Il suppose cependant que les sociétés et organisations mettent la main à la pâte et l'acceptent et il peut donc également "tomber à l'eau".

=> C’est un protocole relativement technique adapté à la LID en tant que telle, ce qui reste tout de même assez rare et donc très intéressant.

=> c'est un protocole qui semble savoir dépasser la technique pour prendre en compte des pratiques de gestion de crise et d'attaque informatique, ce qui en fait quelque chose de grande valeur.

Librement inspiré de l'article produit par www.bortzmeyer.org, j'ai essayé de mettre en exergue les qualités et le contexte d'application d'une telle solution. Nul doute que de telles approches apportent beaucoup à la "cyberdéfense" et qu'elles pourront apporter beaucoup à ceux qui se préoccupent de lutte informatique.

Source :

http://www.bortzmeyer.org/6045.html

lundi 8 novembre 2010

Brève diplomatique

Ce blog a déjà mis en exergue la dynamique enclenchée par les Etats-Unis, consistant à signer des traités de sécurité avec des pays alliés incluant notamment la cyber-sécurité.

L'exemple le plus connu reste les "rounds" de négociation entre Etats-Unis et Russie car il est le plus emblématique. On n'oubliera pas les négociations avec le Canada dont ce blog s'est fait l'écho.

Désormais, on retiendra aussi qu'une telle démarche a été enclenchée avec l'Australie à l'occasion d'un voyage d'Hillary Clinton. La responsable de la diplomatie américaine a ainsi amené le dialogue sur le sujet de la sécurité globale incluant la cybersécurité.

Il semblerait que les USA aient désormais parfaitement intégré, à tous les niveaux, la dimension "cyber-warfare", c'est à dire la diversité des modalités d'action existant en matière de guerre informationnelle.

Source :

http://news.xinhuanet.com/english2010/world/2010-11/06/c_13594238.htm

vendredi 5 novembre 2010

Information en vrac...

Edit : l'ANSSI, qui a participé à l'exercice européen de lutte informatique, a publié un communiqué de presse que je vous laisse découvrir

http://www.ssi.gouv.fr/site_article262.html


================================================================================

L'information est peu dispendieuse aujourd'hui : il y en a beaucoup !

=> James Clapper, directeur de la "national intelligence" aux Etats-Unis, est une sorte de coordinateur du renseignement. Son rôle est notamment d'optimiser le rôle des nombreuses agences de renseignement américaines.

Il a annoncé que son département allait mettre en oeuvre un "national intelligence cyber manager" dont le rôle ne serait pas d'assurer, en tant que tel, la "cybersécurité" mais bel et bien d'apporter les pratiques de renseignement dans le cadre de cette démarche.

On connaissait déjà l'existence d'un Open Source Center opéré par la CIA dont le rôle était le recueil et l'analyse du renseignement en source ouverte. Il semble désormais que les multiples problèmes posés par Wikileaks, aient conduit à l'émergence de cette fonction.

Il semblerait que son rôle soit notamment d'équilibrer les besoins d'échanges d'informations avec la sécurité et de permettre une meilleure intégration du cyberespace dans les pratiques de renseignement mais également une meilleure transversalité de la gestion de l'information...A suivre...

=> La République du Myanmar, ou la Birmanie, a vu ses accès Internet fortement diminués par une attaque de type déni de service. Le site Arbor Networks en a fait une analyse mais peu d'information sont encore disponibles. On notera tout de même que les flux ont atteint des niveaux de 10 à 15 Gbps, ce qui n'est pas rien !

A suivre également pour de plus amples analyses même si déjà, plusieurs articles pointent du doigt la motivation politique...

=> L'ENISA, agence de sécurité informatique de l'Europe, a concocté un scénario de lutte informatique en partenariat avec plusieurs responsables européens (comme l'ANSSI par exemple).

Ce premier exercice européen reste cependant modeste face à la série d'exercices américains "Cyberstorm" et ne traite ainsi pas des questions d'infrastructures critiques. Il semble cependant qu'un des objectifs soit la résilience des réseaux.

Evidemment, et un peu tristement, les détails de Cyber Europe 2010 restent largement confidentiels. Cela dit, Cyberstorm 3 n'a pas non plus tout dévoilé, ce qui parait tout à fait légitime !

On compte 22 participants européens avec en plus, l'Islande, la Norvège et la Suisse.

A suivre également...

Je clos ici ce bulletin d'information sur le monde de la "cyber-défense" !

Source :

http://www.spyworld-actu.com/spip.php?article14086

http://www.bbc.co.uk/news/technology-11696249


http://fcw.com/articles/2010/11/02/geoint-clapper-cyber-role-dod-budget.aspx


http://threatpost.com/en_us/blogs/massive-denial-service-attack-severs-myanmar-internet-110310

jeudi 4 novembre 2010

Cyber Command : Opérationnel !

Un communiqué de presse nous apprend que l'US Cyber Command est désormais complétement opérationnel.

Basé à Fort-Meade, au même endroit que la NSA, il est commandé par le Général K. Alexander également chef de la NSA.

La collaboration de ces deux organisations fait sans doute hurler les partisans des théories de la conspiration mais elle présente toutefois une logique séduisante, la NSA fournissant l'expertise et le Cyber Command la stratégie et le cadre d'emploi.

Rappelons que la mission officielle, appuyée par les déclarations de son commandant en chef, reste la défense et la préservation des réseaux militaires américains.

Cependant, de récentes évolutions relayées par ce blog tendent à montrer que cette unité pourrait être "forcée" de protéger également les réseaux civils. Le manque de cohérence restant perturbant, il paraissait cependant évident qu'une telle démarche était de rigueur !

Enfin, le volet offensif reste peu abordé même si la posture des USA en la matière a toujours été que la défense comportait un volet offensif prononcé.

Le Cyber Command, qui a fait couler beaucoup d'encre, est placé sous le commandement de l'US Strategic Command, unité stratégique de très grande importance pendant la guerre froide et la course au nucléaire.

Source :

http://www.defense.gov/releases/release.aspx?releaseid=14030


http://www.wired.com/dangerroom/2010/11/it-begins-militarys-cyberwar-command-is-fully-operational