Analyse sur les tendances des attaques vues par le CERT/CC
Date : 30 Juin 2005
Le CERT/CC a publié ce mois-ci un document sur l'évolution des attaques informatiques sur Internet depuis sa création en 1988 suite au ver de "Morris".
Nous vous proposons de reprendre ce document afin de vous donner un aperçu de l'évolution des attaques durant ces 15 dernières années.
Première tendance : Evolution des outils utilisés lors des attaques
Ces dernières années ont vu une amélioration marquée dans la conception des outils d'attaque.
Par le passé, le scénario d'attaque classique était le suivant :
- 1 - scan des machines à la recherche de services potentiellement vulnérables,
- 2 - compromission "manuelle" d'une machine vulnérable par une personne malveillante via un programme d'exploitation adéquat,
- 3 - ré-itération de la phase 2 pour chaque machine vulnérable.
Aujourd'hui du fait de l'amélioration des outils malveillants (automatisation, ...), ces derniers permettent des attaques de plus grande envergure en un minimum de temps :
- les outils de scan sont plus rapides et plus efficaces,
- les outils de scan incorporent des programmes exploitant directement la vulnérabilité,
- la propagation des attaques se fait maintenant de manière quasiment automatique (CodeRed (CERT-IST/AL-2001.004c), Nimda (CERT-IST/AL-2001.008), ...) et dans un laps de temps réduit,
- des réseaux d'agents malveillants (réseaux DDOS) sont également mis en oeuvre (Trinoo, TFN, TFN2K, ... CERT-IST/AL-2000.001, CERT-IST/IF-2001.003) pour coordonner des attaques de grande envergure à partir de machines préalablement compromises. L'administration de ces agents malveillants se fait désormais via l'intermédiaire d'un ou plusieurs canaux IRC ou via des tunnels HTTP.
Deuxième tendance : Sophistication des outils d'attaque
Les développeurs de ce type d'outil utilisent désormais des techniques relativement complexes pour rendre leur outils "indétectables".
Ainsi, ces outils sont conçus dans le but de :
- les rendre difficilement identifiables dans les phases d'investigation sur incidents ("Forensics").
- leur donner un comportement dynamique afin de ne pas reproduire à chaque fois les mêmes séquences (identifiables) durant une attaque,
- leur donner une modularité dans leur panoplie d'attaques afin de pouvoir les mettre à jour de façon aisée lors de l'apparition d'une nouvelle vulnérabilité.
Troisième tendance : Rapidité dans la découverte des vulnérabilités
Il a été constaté une augmentation constante des vulnérabilités découvertes dans la communauté. Cette tendance tend à rendre de plus en plus difficile la conservation d'un niveau de sécurité satisfaisant sur un système d'information hétérogène et géographiquement dispersé.
Statistiques du Cert-IST (depuis sa création) :
- 1999 : 277 avis
- 2000 : 320 avis
- 2001 : 348 avis
- 2002 : environ 400 (si on extrapole l'évolution des 3 premiers mois de l'année)
Chaque année, il est également découvert de nouveaux types de vulnérabilité. Par exemple en 2000, les vulnérabilités de type "Format String" (Cf. article Bulletin Sécurité n°37 - octobre 2000) ont fait leur apparition, ce qui a eu pour conséquence de mettre en évidence ce nouveau type de problème sur de nombreux produits (CERT-IST/AV-2002.049, CERT-IST/AV-2002.008, CERT-IST/AV-2001.340, CERT-IST/AV-2001.320, ...).
De même, des tests exhaustifs sur des implémentations de protocoles sensibles comme SNMP (Cf. avis CERT-IST/AV-2002.049) permettent de mettre en évidence des problèmes sur des dizaines de produits.
Quatrième tendance : Augmentation de la perméabilité des gardes-barrières
En fait, ce constat ne vient pas d'un problème de permissivité des filtres au niveau des gardes-barrières mais plutôt de l'évolution des protocoles et objets utilisés sur Internet.
Ainsi, des protocoles tels que le protocole d'impression IPP (Internet Printing Protocol) ou WebDAV (Web-based Distributed Authoring and Versionning - extension du protocole HTTP permettant aux utilisateurs de créer et d'échanger des documents au travers de ce protocole CERT-IST/AV-2000.212a, CERT-IST/AV-2001.071, CERT-IST/AV-2001.110 et CERT-IST/AV-2001.205) peuvent potentiellement ouvrir une porte d'accès aux trafics malveillants.
De même, les codes mobiles malicieux (contrôles ActiveX, scripts JavaScript, applet Java, ... Cf. articles Bulletin Sécurité n°32 et 42) peuvent potentiellement servir à compromettre des machines internes en dépit des filtres installés sur les gardes-barrières.
Cinquième tendance : Augmentation asymétrique des sources d'attaque sur Internet
Les attaques via des outils de dénis de service distribués (DDoS) ont montré que la protection individuelle des systèmes d'information (via une politique de sécurité adéquate) n'était pas suffisante. Du fait de la distribution des sources d'attaques et de la légitimité du trafic utilisé pour saturer un site, la protection contre ce phénomène doit être l'affaire de toute la communauté afin d'éviter à des sites tiers reliés à Internet de servir de relais pour ces attaques.
Sixième tendance : Augmentation des attaques sur les infrastructures d'Internet
Aujourd'hui, les ressources clés (routeurs d'accès, serveurs de noms, bande passante, ...) d'Internet sont désormais la cible d'actions malveillantes.
Quatre types dominants d'attaques sont mis en valeur :
1 - Les attaques de type DDoS via des systèmes compromis autorisant des débits relativement rapides (connexions câble et ADSL) provoquent, en plus du fait de rendre indisponible le site victime, une forte consommation des ressources (bande passante) sur Internet.
2 - Le même constat peut être fait pour les vers (CodeRed, Leave CERT-IST/AV-2001.164, Sircam CERT-IST/AV-2001.186, ...) qui par leurs mécanismes de propagation (scan, exploitation de vulnérabilité, mass-mailing, ...) peuvent saturer un grand nombre de ressources sur Internet, voire même, provoquer des dénis de service sur certains équipements réseau (routeurs DSL par exemple).
3 - Les attaques sur les serveurs de noms (DNS) se montrent de plus en plus présentes dans la communauté. Quatre principaux types d'attaques sont répertoriées :
- Compromission de cache (ou Cache poisoning - Cf. avis CERT-IST/AV-2001.227) : attaque permettant de corrompre le cache d'un serveur DNS afin de re-router le visiteur d'un site vers un site malicieux,
- une étude du CERT/CC a montré que 80% des serveurs TLD (Top Level Domain gérant les domaines ".com", ".edu", ".fr") sont vulnérables à ce problème.
- Compromission des donnés des serveurs TLD via des vulnérabilités du logiciel BIND (CERT-IST/AV-2001.146, CERT-IST/AV-2001.025 , CERT-IST/AV-2000.279a, ...)
- une étude du CERT/CC a montré qu'au moins 20% des serveurs TLD sont vulnérables à ce problème.
- Déni de service : une attaque de type déni de service sur les serveurs TLD peut entraîner un ralentissement conséquent d'Internet.
- Usurpation de domaine : cette attaque consiste à utiliser la faiblesse dans les mécanismes de mise à jour des informations relatives au domaine pour s'approprier le domaine. Un article du Bulletin Sécurité n°40 (janvier 2001) du Cert-IST avait par le passé mis en valeur ce problème.
4 - Enfin, les attaques concernant directement les routeurs d'interconnexion sont devenues relativement courantes.
a - Les routeurs peu sécurisés peuvent servir de relais aux attaques, ou de base pour une activité de scan.
b - Certains routeurs sont sensibles à un certain type de trafic pouvant amener un déni de service de ces derniers.
c - L'utilisation des relations de confiance entre les routeurs lors de l'échange d'information de routage via des protocoles peu sécurisés peut permettre à une personne malveillante de modifier ou d'injecter de nouvelles routes afin de rediriger du trafic légitime. Ce type d'attaque peut créer un déni de service d'un site soit parce qu'il n'est plus joignable (trafic re-routé) soit parce qu'il reçoit un surplus de trafic incompatible avec le dimensionnement de ses équipements réseaux.
L'impact de ces attaques sur les ressources d'Internet peut être défini en 4 catégories :
- Les dénis de service via des outils de type DDoS peuvent avoir un impact conséquent sur Internet et ceci avec un effort minimal pour les personnes malveillantes,
- La compromission d'informations sensibles peut être effectuée par l'intermédiaire de vers comme Sircam, qui expédie des documents trouvés sur le disque dur du poste infecté.
- Le défaut d'image d'une société attaquée peut être la conséquence de site web "miroir" de désinformation vers lequel le trafic légitime est re-routé.
- Et enfin l'impact économique peut être relativement conséquent sur l'activité des entreprises en fonction de l'indisponibilité du service et du coût de "restauration" du système d'information.
En conclusion, le document du CERT/CC permet de donner un panorama réaliste des différentes menaces liées à Internet et de démontrer que la sécurité et la stabilité d'Internet dépend de chacun des acteurs reliés à cette immense toile informatique.
Pour plus d'information :
- Document du CERT/CC : http://www.cert.org/archive/pdf/attack_trends.pdf