La sécurité par l'obscurité

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 02/10/2011 11:55, Gloops a écrit :

Pour le profane, la sécurité par l'obscurité consiste, en plus d'avoir
installé une porte blindée, à couvrir la porte et le mur d'un motif en
trompe-l'œil, reproduisant le trou de la serrure, de façon qu'il faille
être bien informé pour savoir dans lequel de tous ces trous il convient
d'introduire la clef.

ça ne rend pas la serrure plus résistante, mais ça allonge le temps
qu'il faut pour la trouver.
Une serrure blindée est vendue pour prendre deux minutes (pour une très
bonne qualité) à la forcer. Si ça prend une demi-heure de la trouver, ne
peut-on raisonnablement dire qu'on a amélioré la sécurité ?

Je ne vois pas la sécu par l'obscurité de cette façon.

Je le vois plutôt comme un pov' trou biscornu dans un truc en bois
barriolé, qui ressemble à tout sauf à une serrure et à une porte.
T'as aucun moyen de savoir ce que ça fait (ça s'ouvre), ni comment (le
profil de la clef).

Si tu veux l'attaquer, t'as aucun manuel sur le pourquoi du comment.
Généralement, le « ça fait quoi » est facilement trouvable (port 80,
http, port 22 SSH, et d'autant plus que la plupart des softs gueulent
qui ils sont dès le 1er contact).

Pour le comment, on a pas besoin de savoir ce que ça fait réellement
pour attaquer, et c'est là tout le soucis de la protection par
l'obscurité. Un système « boîte noire » va se bouffer toute la merde du
monde, DDOS, attaque par buffer overflow avec des requêtes longues comme
le bras, injection de null ou de paramètres foireux…
Par analogie avec la porte, t'as pas besoin de connaître le mécanisme de
la serrure pour sortir le pied-de-biche, le bélier voire la dynamite !
Au final, ça tombera… ou pas… Mais le système risque de se prendre une
grosse claque au passage.
Avec un système ouvert, les mecs ne sont pas cons, et n'iront pas jouer
leurs brutasses sur des failles qui n'existent pas. On rencontre alors
des attaques souvent plus ciblées et moins destructives pour le système.
Inutile de sortir le bélier si on sait qu'il y a des étais derrière !

L'autre grosse différence est la réaction en cas d'intrusion détectée.

Dans le cas de la protection par l'obscurité, vu de l'extérieur et le
système étant inconnu, on va savoir que quelqu'un est entré (la porte
est ouverte), mais on aura des difficultés à trouver comment (pas
d'accès aux plans techniques pour trouver les failles, marques multiples
de crochetage/bélier/dynamite sur la porte…).
Et on aurait aucune possibilité de corriger, étant entièrement dépendant
du bon vouloir du fabriquant.
Pour finir, les actions préventives sont impossibles, aucune étude ne
pouvant être conduite sur le système.

Dans le cadre de la protection par l'ouverture, on va toujours savoir
que quelqu'un est entré mais le système n'aura pas été bourriné dans
tous les sens, il sera donc plus aisé de trouver comment le cambrioleur
a fait, et ce d'autant plus qu'on a les plans de la porte, donc qu'on
peut regarder où sont les failles.
En terme de correction, là où la protection par l'obscurité aurait été
de juste refermer la porte, on peut refermer la porte *ET* changer le
mécanisme, rendant une nouvelle attaque impossible ou en tout cas plus
difficile. On n'est plus dépendant du fabriquant.
Enfin, les actions préventives sont possibles, le système étant connu et
donc étudiable par tout un chacun, qui peut lui trouver des failles
*AVANT* une exploitation réelle.

Au final, ce n'est pas la résistance aux attaques qui est réellement
différente entre obscurité ou publication.
C'est essentiellement les possibilités avant (prévention, étude, audit…)
et après (correction, renforcement) attaque.
Avec en prime une plus grande facilité à étudier une attaque réussie «
grâce » aux attaques plus ciblées qui ne noient pas la faille exploitée
dans des centaines de milliers de tonnes de bruit.

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOiEbeAAoJEK8zQvxDY4P9ao8H/irSXQ/Dzp2RD7JOG5+AiTH6
Lc/lmS+xax15oM6IdWnmk9MGuGWdwVXlgmXS3jX0cZ6/gmyV2dJbREse7Ss4NGzI
U9EeKU77NNVzkjgGNrpmrA+AU+xtnwK0nqymXrhDBnk7GpyclvZ8appumCbWFLfs
muVSntAlVAz0iGz9Nm+W1yJ637gv2cDbfUN6hPCgvWDhyGF3vEiIruyX0d9xOZA4
QySTn3seCu/dnHpYWG3JYRWurlqxVgHeWnufK447zuKxkNMSphijpjZFn0ZnJ8HO
hdUC5GCtVVFtWliSz5WG3dMH4JJso3TQxcLRh53epYGcXrMLKuYovBJdHkjL/TU =sy/a
-----END PGP SIGNATURE-----

On 02 Oct 2011 09:27:28 GMT, Nicolas George
<nicolas$george@salle-s.org> wrote:

Gloops , dans le message <j69a90$58p$1@speranza.aioe.org>, a écrit :

C'est quoi, un trou de MTU ?

Des paquets qui se perdent parce qu'il sont trop gros pour le câble où ils
doivent passer, et qui ne sont pas détectés par les mécanismes prévu
précisément pour ça.

Et à propos, quel est le risque généré par la non-réponse à un ping ?

Ne pas pouvoir détecter et diagnostiquer ce genre de problème, et donc se
retrouver avec des connexions qui se bloquent ou qui râment alors que les
protocoles réseau auraient optimisé la situation automatiquement.

Désolé, je capte pas.
Ne pas repondre au ping n'est ce pas comme s'il n'y avait pas de
machine ?

Donc si pas de machine, un bot peut passer sont chemin alors qu'avec
un pong, il peut insister pour entrer ?

Me trompe-je ?


--
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme

On Sun, 02 Oct 2011 11:55:59 +0200, Gloops <gloops@invalid.zailes.org>
wrote:

Stephane CARPENTIER a écrit, le 02/10/2011 10:00 :

wrote:

Tout compte fait, cette technique semble assez bonne, pour autant
qu'elle contienne un zeste de réactivité

La stratégie de Microsoft serait donc la bonne Vs. celle de l'Open
Source qui consite à vouloir dévoiler toutes ces cartes

C'est beau la théorie, mais si elle n'est pas confrontée à la pratique, elle
n'est pas utile.

La pratique, c'est que MS avec son obscurité est plus troué que Linux avec
son ouverture.

Si la serrure de la porte de ta maison est nulle et qu'un voleur peut la
forcer en 30 secondes, il y a deux possibilités. Soit tu fous du chatterton
dessus pour la cacher d'un voleur, soit tu la changes pour une serrure plus
efficace qui va retarder le voleur pendant beaucoup plus longtemps.

L'avantage avec l'informatique, c'est que la serrure plus efficace ne coûte
pas plus chère que la serrure de merde.

Le problème avec le chatterton, c'est que ça va retarder un tout petit peu
le voleur, mais ça va aussi te retarder à chaque fois que tu voudras ouvrir
ou fermer ta porte.

C'est exactement la raison pour laquelle ne pas répondre à un ping est
idiot.

Pour le profane, la sécurité par l'obscurité consiste, en plus d'avoir
installé une porte blindée, à couvrir la porte et le mur d'un motif en
trompe-l'½il, reproduisant le trou de la serrure, de façon qu'il faille
être bien informé pour savoir dans lequel de tous ces trous il convient
d'introduire la clef.

ça ne rend pas la serrure plus résistante, mais ça allonge le temps
qu'il faut pour la trouver.
Une serrure blindée est vendue pour prendre deux minutes (pour une très
bonne qualité) à la forcer. Si ça prend une demi-heure de la trouver, ne
peut-on raisonnablement dire qu'on a amélioré la sécurité ?


Bien sûr, quand je dis deux minutes pour une serrure de bonne qualité,
c'est pour un attaquant professionnel et indifférent aux conséquences de
ses actes.

Ne pas repondre à un ping, n'est ce pas comme cacher la porte ? Pas de
porte, pas de serrure.

Je cherche à comprendre, hein.

--
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme

On Sun, 02 Oct 2011 13:17:15 +0200, Qu'est ce qu'elle a ma gueule ?
<nospam@d.email> wrote:

Ne pas repondre à un ping, n'est ce pas comme cacher la porte ? Pas de
porte, pas de serrure.

Pour cacher la porte, il existe le portknocking.
http://fr.wikipedia.org/wiki/Port_knocking

--
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme

Qu'est ce qu'elle a ma gueule ? , dans le message
<9mhg87ltmjsoato6r3b2laa9saie0gmf4d@4ax.com>, a écrit :

Ne pas repondre au ping n'est ce pas comme s'il n'y avait pas de
machine ?

Non. Si la machine utilise le réseau, ce n'est pas comme s'il n'y avait pas
de machine, par définition.

Qu'est ce qu'elle a ma gueule ? , dans le message
<pvhg8711aghafinikt09octsoui0h6oadk@4ax.com>, a écrit :

Ne pas repondre à un ping, n'est ce pas comme cacher la porte ? Pas de
porte, pas de serrure.

Cacher la porte, ce n'est pas la même chose que ne pas avoir de porte.

Qu'est ce qu'elle a ma gueule ? wrote:

On 02 Oct 2011 09:27:28 GMT, Nicolas George
<nicolas$george@salle-s.org> wrote:

Gloops , dans le message <j69a90$58p$1@speranza.aioe.org>, a écrit :

C'est quoi, un trou de MTU ?

Des paquets qui se perdent parce qu'il sont trop gros pour le câble où ils
doivent passer, et qui ne sont pas détectés par les mécanismes prévu
précisément pour ça.

Et à propos, quel est le risque généré par la non-réponse à un ping ?

Ne pas pouvoir détecter et diagnostiquer ce genre de problème, et donc se
retrouver avec des connexions qui se bloquent ou qui râment alors que les
protocoles réseau auraient optimisé la situation automatiquement.

Désolé, je capte pas.
Ne pas repondre au ping n'est ce pas comme s'il n'y avait pas de
machine ?

Non. C'est pour faire croire à des neuneus qu'il n'y a pas de machine. Mais
il y a d'autres façons de découvrir l'existence d'une machine que le ping.

Par exemple, tu peux essayer de te connecter à un serveur de mail, http ou
autre. Tu peux aussi regarder le trafic.

Donc si pas de machine, un bot peut passer sont chemin alors qu'avec
un pong, il peut insister pour entrer ?

Un ping pour faire une attaque, c'est déjà un robot évolué qui le ferait. Un
robot de base va se contenter d'essayer de se connecter à des serveurs sur
une machine sans passer par la case ping.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 02/10/2011 01:09, P4nd1-P4nd4 a écrit :

Tout compte fait, cette technique semble assez bonne, pour autant
qu'elle contienne un zeste de réactivité

La stratégie de Microsoft serait donc la bonne Vs. celle de l'Open
Source qui consite à vouloir dévoiler toutes ces cartes

Un papier très intéressant est à découvrir ici

http://arxiv.org/PS_cache/arxiv/pdf/1109/1109.5542v1.pdf

(Mais faut pas avoir une attaque de paupière avant de commencer, sinon
vous serez achevé ;>)

2 systèmes ayant globalement la même durée de vie

Windows XP : http://secunia.com/advisories/product/22/?task=statistics
Linux 2.6 : http://secunia.com/advisories/product/2719/?task=statistics

| Windows XP | Linux 2.6
Advisory | 366 | 277
Vulnerability | 498 | 599

Globalement, le même nombre de faille de chaque côté.
Obscurité / publication identiques en termes de nombre de faille donc.

Status | Windows XP | Linux 2.6
Unpatched | 5% | 6%
Vendor | 94% | 82%
Workaround | 1% | 6%
Partial | 0% | 6%

Ici, aussi, globalement, identique

Criticality | Windows XP | Linux 2.6
Extrem | *3%* | *0%*
High | *39%* | *0%*
Moderate | 25% | 11%
Less | 28% | *46%*
Not | 5% | *43%*

Là, très clairement, la fiabilité par l'obscurité, elle repassera hein…
Elle tape très clairement dans la sécurité « extrème » où la moindre
faille se paie au prix fort.
Côté publication, on est limite dans des failles « OSEF »…


Where | Windows XP | Linux 2.6
Remote | *62%* | 16%
Local | 18% | 12%
Physical | 21% | *73%*

Là aussi, je me marre…
Par l'obscurité, on est à la merci du moindre script-kiddy bien au chaud
chez lui à sirroter son Coca et à bouffer sa pizza de la veille.
En publication, le même pirate est devant ton PC, et c'est plus la
sécurité de ta porte d'entrée qui va influer sur la sécurité de ton PC =)

Impact | Windows XP | Linux 2.6
System access | *52%* | 3%
DoS | 17% | *45%*
Privilege escalation | 18% | 18%

Pareil, grosse tranche de rire =)
Une faille exploitée protégée par l'obscurité : « Ah merde, je contrôle
plus mon système !!! » ou « Le mec est admin de ma machine !!! »
Une faille exploitée protégée par l'ouverture : « Zut, ça rame… »

Alors en théorie, p'têt que c'est mieux.
Après, comme disait Einstein :
« — La théorie, c'est quand on sait tout et que rien ne fonctionne.
— La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi.
— Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et
personne ne sait pourquoi ! »

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOiEwyAAoJEK8zQvxDY4P9lSkIAJgvggrZlhRfa1pFXJ133nZz
9cfAa3yz7iDPIgWjmJtkYffdtVS40c5qB4rHGZt/hrKkcBFVtFHrkniZ81PbJCZH
MU6hkpgiGxyG8tsztr+/OqKhcJ5eyCwwDY0pbYJcdIwgeFjRvuPBzMUVbnzE7ORO
BiNQYQebS1tx7xcTEmeJWgRdk+H0BfNnxyHJCGo+HM+vyrOb1DKbtOxzpJrsDzto
oBYEZwHXsRrXfUEBEBM9XpGoo9SoKgw3gSryZ0SzrID36Lsv47dx1/Hsfk3KnmAg
EtzOOS6mQSl2f1JyHicF4U8Yxx8YvtKPwh3T3FmkO4XLyxuGaHU15iZpDBdiMuc ÛO0
-----END PGP SIGNATURE-----

On 02 Oct 2011 11:25:46 GMT, Nicolas George
<nicolas$george@salle-s.org> wrote:

Qu'est ce qu'elle a ma gueule ? , dans le message
<9mhg87ltmjsoato6r3b2laa9saie0gmf4d@4ax.com>, a écrit :

Ne pas repondre au ping n'est ce pas comme s'il n'y avait pas de
machine ?

Non. Si la machine utilise le réseau, ce n'est pas comme s'il n'y avait pas
de machine, par définition.

L'administrateur du reseau sait qu'il y a une machine (attribution
d'ip). Le bot pas forcement puisque l'IP ne repond pas.
--
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 02/10/2011 13:17, Qu'est ce qu'elle a ma gueule ? a écrit :

Ne pas repondre à un ping, n'est ce pas comme cacher la porte ? Pas de
porte, pas de serrure.

Je cherche à comprendre, hein.

Non, ne pas répondre à un ping, au mieux ça cache que tu saches répondre
à un ping =)
Ton port 80 ou 22, lui il continue à répondre qu'il y a une porte !

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOiE7hAAoJEK8zQvxDY4P9SUsH/1jVYWj0SlNo4VKDN1eHhVFe
A9XFLk5KncaLm/4nMmnofpTdKfnUhPvKfpBUTBPbLMB89B1R77osDdKzIfo+LPbh
somBL0LE3IInC3ylpTQOVqsvBe/0n1uw5KT7/B99sSAsFgGITDTH5h4FeN6GU83O
48cMqS7USNmZbhnVGnsPuBp1c2FEAwAh6M5so3+tiiPibFsvgy4Y6aSVBxGrLN0s
2BIGMSydoEmD4e2/rupdIGSen7QkkgZ7NRW68E6DPemg6jA+DVuSNluDDwp/bIvK
S1Dfw+1/qa4H1XXIeoOzMErjwv10SH6j6oVxUUY7njnNC8LiU37JxL8O5HgiMSU =GgSc
-----END PGP SIGNATURE-----