Logiciel "LaBrea"
Date : 07 Juillet 2005
Dans l'article du Bulletin 47 (Août 2001) consacré à CodeRed, nous évoquions les " contre-mesures " (on désigne par ce terme les mesures, le plus souvent de contre-attaques, qui sont entreprises vis à vis d'un site agresseur) que certains avaient mis en place pour se défendre contre ce ver. La plus originale des approches dans ce cadre est sans doute celle nommée " LaBrea ", que nous présentons donc aujourd'hui.
LaBrea est un petit logiciel (un millier de lignes de code C) qui permet de configurer une machine Linux pour qu'elle intercepte toutes les communications adressées à des adresses IP non utilisées dans le sous-réseau où elle est installée. Il s'agit donc d'un leurre, simulant des machines qui n'existent pas, sur lequel vont " atterrir " tous les vers (comme Nimda, CodeRed, Lion, Ramen, etc..) faisant des recherches de machines vulnérables.
Le but de LaBrea est de ralentir ces vers. Pour cela, à chaque fois qu'une machine distante essaye d'ouvrir une connexion TCP (seules les connexions TCP sont gérables par ce principe) vers une machine qui n'existe pas, LaBrea intercepte cette demande, lui répond (de façon que la machine distante pense que la machine visée existe vraiment), mais ne poursuit pas plus loin le dialogue. La machine distance ne voyant aucune réponse au trafic qu'elle émet, met alors en attente cette connexion, jusqu'à ce qu'elle finisse par expirer (attente d'un acquittement sur une connexion TCP pour laquelle LaBrea a fixé une taille de fenêtre - WIN - et de segment - MSS - petites). Le délai d'expiration dépend du type de machine distante, mais il peut typiquement être de l'ordre de 10 minutes. Ce principe initial a ensuite été étoffé (version 2.0 de LaBrea) par un mode " persistent " dans lequel LaBrea entretient la communication de façon à ce que qu'elle n'expire jamais (il envoie à intervalle régulier de l'information vers la machine distance). Enfin, LaBrea surveille la bande passante qu'il consomme sur le réseau local, pour éviter de saturer celui-ci en gérant trop de vers distants (il limite son activité à un pourcentage de la bande passante).
L'objectif recherché est donc, en déployant LaBrea sur des réseaux visibles depuis Internet, de diminuer la virulence des vers qui " s'englueront " sur les leurres mis en place. Il n'a pas été publié jusqu'à présent d'information objective sur l'efficacité de ce mécanisme : certains ont calculé une réduction de la propagation d'un facteur 15. L'auteur a pour sa part calculé que 1000 sites consacrant 5% de la bande passante de leur lien T1 (1,5 Mb/s) pourraient " engluer " jusqu'à 300 000 machines infectés par CodeRed.
Ce projet novateur montre une fois de plus que les concepteurs ont souvent des idées inattendues et originales pour contrer un nouveau danger. On peut néanmoins également suspecter que les " attaquants " ne seront pas très longs non plus pour mettre au point des vers sachant éviter de tomber dans ce type de piège (ou en tout cas d'y rester coincé) …
Pour plus d'information :
Site de développement de LaBrea : http://hts.dshield.org/LaBrea/