A LA QUEUE LEU-LEU LA SéCURITé DES RéSEAUX par Blitzkreig Que vous les appeliez LAN (Local Area Network), réseaux, ou OSI (Open System Interconnection), c'est du pareil au même. Les réseaux, c'est la façon qu'ont trouvé les compagnies pour gérer le travail de leurs employés, pour faciliter la communication entre les différents services (E-mail), pour maximiser le rendement de l'investissement en équipement informatique, et pour uniformiser les méthodes de travail. Les réseaux se construisent avec du hardware (les connecteurs Ethernet, par exemple), et avec du software, que ce soit Novell ou Lantastic. Ce dernier soft, Lantastic, est d'ailleurs le favori des hackers qui ont soif de systèmes, car les files contenant les mots de passe des usagers ainsi que leurs codes d'accès sont plus facilement accessibles que sur n'importe quel autre logiciel. Les réseaux émaillent la vie du praticien du H/P, car tu les retrouves partout: à l'école, à l'entreprise, dans la plupart des systèmes gouvernementaux, bref, ils sont incontournables. Dernièrement, l'un d'entre nous à dégoté, en scannant les 800 pour les carriers, un système basé à Washington. L'entreprise s'appelait la UNITED FOOD AND COMMERCIAL WORKERS UNION. On a déniché dans leur banque de données le diagramme de l'installation de leur réseau. Nous vous le présentons ici à titre d'exemple, afin que vous vous fassiez une idée précise du fonctionnement d'un réseau-modèle au sein d'une entreprise. Exemple d'étage - 7è au 9è plancher ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» ºPrinter Workstation Netport º º ±±±±ÄÄÄÄÄÄÄÛÛÛÛÛÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ÛÛÛÛÛÄÄIJ²²² º º Workstation ³ ³ Shared º º ÛÛÛÛÛÄÄÄÄÄÄÄÄÄÄÄÄÄ¿³ ³ Printer º º Workstation ÚÁÁÄÄÄÄÄÄÄÄÄÁÄÄÄÄÄ¿ º º ±±±±ÄÄÄÄÄÄÄÛÛÛÛÛÄÄÄÄÄÄÄÄÄÄÄÄ´ RJ45 Patch ³ º ºShared ³ Panel Rack Mount³ º ºPrinter ÚÄ°°°°ÄÄÄÄÄÄÄÄÄÄÄÁÄÄÄÄÄÄÄÂÂÂÄÄÄÄÄÄÄÙ º º ³ Xircom ³³³ º ºLaptop ±±±²²± Concentrator ²²²²² º ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍØÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ Headquarters ³ Gateway ³ ±Voice Server ³ ³ 4 lignes ±±±±±±±±± Concentrator ²²²²² ³ ±±±±±±±±±ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³³³ ³ ³ ³³³ ³ ³ 5 ³³³ ³ Communications³ NetWare ³³³ Û Fax Voice Modems servers ³ servers ³³³ Û Server °ÄÄÄÄÄÄÛÄÄÄÄÄÄÄÄÄÄı±± ³ ±±± ³³³ ³ ±±± ³ ±±± ³³³ ³ °ÄÄÄÄÄÄÛÄÄÄÄÄÄÄÄÄÄı±± ³ ±±± ³³³ ³ ±±± ³ ±±± ÚÄÁÁÁÄÂÄÙ °ÄÄÄÄÄÄÛÄÄÄÄÄÄÄÄÄÄı±± ³ ÀÄÄÄ´ RJ45³ Facility management ³ ÀÄÄÄÄÄÄÄ´PANEL³ Workstation ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ ÃÄÄÄÄÄÄÄ°°°° ÀÂÄÄÂÄÙ °°°° ±±±±±±ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ³ ³ ±±±±±±ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÛÛÛ T-1 ³ ÛÛ Tape Gateway ³ ³ Backup server ³ ÜÜÛÛÛÛÛÜÜ ³ Network Administration ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Workstation ³ ÉÍÍØÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» º ³ Alexandria Data º º ÛÛÛ T-1 Center º º ³ ±±±±±± º º ÀÄÄÄÄÄÄÄIJ²²²ÄÄÄÄÄÄÄı±±±±± º º Host LAN Unisys A-11 º º Connection º ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ Nous avons eu de la chance de tomber sur ce syndicat, car le fait qu'ils négocient des conventions collectives à travers les USA explique qu'il y avait trois nodes à leurs bureaux centraux. C'est par là que nous sommes rentrés . Mais assez parlé des réseaux, car je vous connaît, bande d'obsédés: vous désirez tout simplement savoir comment les hacker! Pour ce faire, mettez-vous cinq minutes dans la peau d'un opérateur, d'un sysadmin, responsable d'un réseau de grande envergure. Vous avez entre les mains une belle bête que le moindre microbe peut terrasser. Apprenez d'abord à identifier vos ennemis... pour connaître vos vulnérabilités. Vous ne voulez pas EMPECHER les gens d'accéder au système, bien au contraire. Sauf que ces usagers doivent obéir strictement au protocole d'accès que vous avez instauré. Si votre système n'est connecté sur aucune ligne téléphonique accessible de l'intérieur (comme plusieurs banques, les industries de la défense, etc), les possibilités de défaillance sont restreintes. Bris des composantes, pannes d'alimentation et employés fraudeurs sont vos seuls ennemis. On s'assure d'avoir des systèmes de backup et du hardware fiable pour contrecarrer les effets de l'un, et on protège PHYSIQUEMENT l'accès aux terminaux en enregistrant les usagers pour l'autre. Si, par contre, on peut communiquer avec votre système de l'extérieur, vous venez de vous compliquer la vie... La première chose qu'un sysadmin va faire, tout comme le sysop de n'importe lequel BBS qui se respecte, c'est de ne JAMAIS donner à un utilisateur plus d'accès qu'il n'en a besoin. Si la hiérarchie de votre politique d'accès exige que M. Untel puisse utiliser exclusivement le traitement de textes et le chiffrier, vous ne lui laisserez pas un accès superuser... C'est simple, non? Ce même accès de superuser, généralement relié aux sysadmins, doit lui aussi être protégé de manière à ce que les petits curieux ne puissent pas avoir accès aux commandes de configuration du réseau. Une autre vérité qui relève de l'évidence, mais qui est parfois oubliée... Nous reviendrons plus tard aux méthodes de protection généralement utilisées par les sysadmins qui ont du beat, mais revenons à la case départ, c'est à dire à l'identification des problèmes qui peuvent subvenir sur un réseau, et qui n'impliquent pas le hardware, le software ou l'alimentation. Il est bien entendu qu'une attaque sur un réseau peut impliquer un mélange savamment dosé de plusieurs de ces méthodes... Mettons de l'ordre dans nos idées... 1) Blocage d'accès: cette forme d'attaque se produit quand un utilisateur, en règle ou non, empêche un ou plusieurs autres utilisateurs du système d'utiliser de manière fonctionnelle leur accès. Tous intrus sur un système équipé de E-mail, de poste électronique, devrait chercher de ce côté les moyens de, non seulement lire le courrier des autres et le rediriger, mais de s'arranger pour "emballer" la machine afin que le E-Mail soit produit de façon continue, engorgeant très rapidement les systèmes avec des unités de sauvegarde réduites, ce qui aura pour effet de barrer le système. 2) L'imposteur: Ciel, c'est nous, çà! Ben, ça s'explique vachement bien, non? Tu as trouvé le code d'un usager en règle, et tu pénètres le réseau avec son accès... 3) Modification des messages: peut être réalisé par un intrus ou, ce qui arrive généralement dans la plupart des cas, par un usager en règle. Le dernier mémo du service des déplacements disait: "Versez $ 800 à Paul Paroix pour son voyage, et débitez le compte de Paul Paroix". Quelle ne serait pas la surprise de ce cher Paul si le message, après manipulation, disait: "Versez $ 800 à Pierre Caheut pour son voyage, et débitez le compte de Paul Paroix". 4) La trappe à souris: Une "trapdoor", comme on dit généralement en bon français, c'est un petit programme, importé d'un autre système, ou écrit sur le réseau, et qui modifie le programme d'acquisition des mots de passe pour qu'à chaque fois que quelqu'un se logge sur le réseau, le programme, en plus d'exécuter la fonction d'authentification de l'usager et d'enregistrement de son heure d'accès (et toute cette sorte de chose), CRéE un fichier SPéCIAL où il note tous les noms et mots de passe. Le petit malin qui a écrit cette trapdoor peut revenir plus tard et, grâce à une ou deux commandes bien choisies, récupérer ce fichier secret. Le pactole, les kids! C'est d'ailleurs grâce à ce type de programme, de trapdoors, que le Chaos Computer Club s'était rendu célèbre, à la fin des années 80. Plusieurs allemands, dont le célèbre Pengo, avaient ainsi hacké les systèmes de la NASA, jusqu'à l'os... et avaient tenté de vendre le fruit de leur labeur à l'Allemagne de l'Est... 5) Trojan: Pour ceux qui viennent de se joindre à nous, et qui ne sauraient pas ce qu'est un trojan, il s'agit d'une marque de condoms... Ha! Et si vous croyez cela, vous êtes peut-être mieux de fermer ce magazine et d'aller acheter ALLO-POLICE... C'est ça qui est ça... Ce sont les cinq dangers qui, en gros, menacent les réseaux. Plus précisément, les cinq dangers RECENSéS par les constructeurs de réseaux. Toute autre forme d'attaque que vous pourriez concevoir couperait dans leurs sécurités comme dans du beurre. En passant, si vous devisez une nouvelle tactique, contactez-nous! Si vous trouvez, par exemple, un moyen de a) capturer le fichier encrypté des users et de leur mot de passe, et que B) vous connaissez l'algorithme d'encryptage, les sysadmin n'y verront que du feu. Pourquoi? Parce qu'ils travaillent tous avec leur bible, et que leur bible dit ceci et pas autre chose... Cette bible s'appelle OPEN SYSTEMS INTERCONNECTION REFERENCE MODEL (OSIRM), addenda 2 de OSIRM (ISO 7498-2), publiée en 1989. La bible est formelle, les kids, elle ne reconnait que ces 5 types d'attaques, et ne propose des réponses stratégiques qu'à ces attaques seulement. Et encore, ça s'adresse UNIQUEMENT aux sysadmins qui savent lire! Parce que... comment vous dire... des réseaux qui appliquent les mesures de sécurité qui vont suivre, conformément aux recommandations de la bible, il n'y en a pas des chars. N'est-ce pas, Coaxial? ;-) LES CINQ MESURES DE SéCURITé DES RéSEAUX Les cinq réponses proposées aux sysadmins se résument en quelques mots: -authentification de l'usager -contrôle des niveaux d'accès -confidentialité des données -vérification de l'intégrité des fichiers -authentification de la date d'originale des fichiers Et autour de cela, il y a plein de mesures effectives qui se greffent, pour palier à toutes les éventualités que les écrivaillons de la bible ont imaginé. Ces mesures sont, dans l'ordre et dans le désordre... ENCRYPTAGE The SubHuman Punisher, loué soit son handle, nous prépare pour le mois prochain un texte plutôt fouillé sur la question (probablement un rip d'un T-file serbo-croate traduit du latin ancien, s'il faut en croire les légumes qui font office de détracteurs de NPC). Je ne tenterai pas de surenchérir sur cet ouvrage qui fera date, et me contenterai donc de désigner plutôt les niveaux où l'encryptage devrait avoir sa place. Besides, ça va être moins compliqué pour moi ;-) L'encryption devrait, dans un système qui se veut sécuritaire, avoir lieu au moment de l'archivage des données, donc sur les fichiers mêmes, et au niveau de la transmission elle-même des données sur le réseau ainsi que sur les fils du téléphone. CONTROLE DE L'ACCES A) Listes des capacités d'un usager: c'est l'équivalent de la liste des usagers que les sysops de babs connaissent bien. A chaque commande d'un usager, le programme vérifie si l'usager en question est autorisé à utiliser cette commande. B) Mots de passe: L'utilisation de mots de passe par les usagers... bof, vous êtes capables de deviner celle-là, non? Si il y a une chose que je déteste, c'est écrire pour ne rien dire... Ceci dit, la fucking bible des sysadmins conseille de multiplier les niveaux de mots de passe. Idéalement, il faudrait qu'un usager soit appelé à entrer un mot de passe à chaque commande qu'il fait. Ca serait pratique d'abord! C) Liste de contrôle d'accès: Comme sur les babs, encore une fois, le système vérifie si un usager à accès à ce réseau. VéRIFICATION DE L'INTéGRITé DES FICHIERS On parle ici de beaucoup plus que la vérification habituelle des fichiers uploadés sur un bab, en ce sens que les fichiers sont analysés, pour savoir s'ils contiennent des virus, certes, mais aussi afin de savoir si, d'un jour à l'autre (la bible recommande des inspections quotidiennes du contenu du système), la taille des fichiers ou leur date originelle n'a pas été modifiée, ce qui indiquerait la présence d'un trojan ou d'un trapdoor. MODIFICATION DES ROUTES DE DONNéES Pour les réseaux VRAIMENT poussés, et j'entends par là les systèmes qui contiennent des données, comme on dit, cruciales, il existe aussi la modification des routes de données. Ca consiste en gros à ne jamais utiliser deux fois de suite les mêmes lignes et le même réseau de communication à chaque fois que des packets voyagent. Les compagnies propriétaires de leurs lignes data peuvent, par exemple, transférer d'un trunk à l'autre le flot des données, pour fucker ceux qui seraient directement branchés sur la ligne de transmission. Encore là, ce genre d'arrangement est plutôt sophistiqué, si vous voulez mon avis. Mais il est utilisé: les caisses Desjardins, par exemple, sont PROPRIéTAIRES de trois câbles de fibre optique qui relient les bureaux de Montréal et ceux du siège social de Lévis. Et c'est sans parler des backups. Le Bell gère trois Datapak optiques, exclusifs à Desjardins, au cas où le premier système ferait défaut. Et comme si ce n'était pas assez, Desjardins loue une ligne satellite à Télécom Canada... C'est ce qui s'appelle prévoir pour le pire, les petits gars... LES TRUCS CARRéMENT FARFELUS Vous avez déjà entendu parler des vibrations captées sur les fenêtres avec des faisceaux lasers? Pour résumer (et c'est bien parce que le prochain James Bond n'est pas pour demain: que fait Brocoli?), lorsque quelqu'un parle dans une pièce, il émet des vibrations. Si il y a par exemple une fenêtre dans la pièce, celle- ci va vibrer au son de la voix, de la musique, etc... Un faisceau laser braqué sur ladite fenêtre peut, avec l'équipement approprié, évaluer à distance les vibrations de la fenêtre, et restituer ce qui se dit dans la pièce. Pété, quand même... Comme dirait Mental Floss, il y a du monde de pas mal rongé... Et c'est tout! C'est tout ce qu'ils ont inventé pour protéger leurs réseaux! Ils ne sont même pas foutus, pour les appels extérieurs, d'instaurer une procédure standard de rappel automatique (comme les valideuses des babs). Il y a bien quelques compagnies qui tentent de pousser l'instauration de clés-codes (une clé-code, c'est un bidule électronique qui émet un signal que le node du réseau reçoit, et qui authentifie l'usager. Si l'ordi de la personne qui communique ne possède pas la bonne clé électronique, le logon ne fonctionne pas), mais l'instauration de telles mesures sur tous les systèmes n'est pas pour demain. Et puis, chaque offensive des sysadmins pour nous chasser comporte sa parade... Des systèmes, pour peu que vous hackiez un tant soit peu, vous allez en rencontrer. Et vous allez vous apercevoir que la quasi-majorité des réseaux n'est pas foutue d'appliquer des règles de sécurité élémentaires... Remarquez, les sysadmins sont des êtres humains, après tout. Ils sont bien souvent trop peu pour le nombre d'appareils qu'ils doivent superviser. Et qui plus est, la majorité du temps qu'ils pourraient consacrer à la protection de leurs systèmes est en réalité consacrée à aller dépanner la secrétaire du boss qui est gelée dans Word Perfect, ou le petit cadre à la comptabilité qui ne trouve plus son escape key. Quand tu passes ton temps à éteindre des incendies, comment veux-tu trouver le temps d'installer un détecteur de fumée? Pas que ca servirait à grand chose, remarquez. Il n'y a pas de système qui ne peut être craqué par un pirate possédant les bons outils (HADES me vient à l'esprit) et un minimum de connaissances... Hasta la vista, les pros!