Stanislas Quastana's blog on TechNet

Windows Server, Windows Client, Cloud Computing, DirectAccess, sécurité des Systèmes d Information

BlackHat Europe 2011 - compte rendu de quelques sessions - partie 3

BlackHat Europe 2011 - compte rendu de quelques sessions - partie 3

  • Comments 1
  • Likes

Et voici mon troisième et dernier article consacré au BlackHat Europe 2011.

Les deux premiers billets sont ici et ici


Building Floodgates: Cutting-Edge Denial of Service Mitigation par Yuri Gushin et Alex Behar (Radware)

DoS (Denial of Service): vue d’ensemble, rappels, histoire

“Most big attacks succeed !!!”

Les grands sites Web (Amazon, eBay, Microsoft…) sont tous des cibles réelles ou potentielles

Les clients des solutions de type Cloud Computing sont également des cibles car dans le Cloud Computing, la facturation dépend de l’usage des ressources (bande passante, CPU..) consommées. Au passage, ce type de Déni de Service porte le nom d’EDoS (Economic Denial of Sustainability) et peut être différencié du DDoS (Distributed Denial of Service).

Informations complémentaires :

Evolution des attaques DoS :

  • Couche 3 (du modèle OSI) : attaque réseau brute de fonderie.
  • Objectif : surcharger les équipements réseaux ou les serveurs (pile IP)
  • Couche 4 : attaque protocolaire (ex: TCP sYN Flood…).
  • Objectif : faire consommer plus de mémoire, de cycles CPU and triggering responses
  • Couche 7 : attaque applicative ( “The culmination of evil” ).
  •  Objectif : abuser de l’application exécutée sur le serveur, impacter sur la mémoire consommée et limiter (ralentir) les performances de l’application. Quelques exemples :
  • HTTP page Flood,
  • DNS query Flood
  • SIP INVITE  Flood
  • Slowloris
  • HTTP POST DoS…

Technologie de protection DoS

Mode de fonctionnement

– Statique avec des seuils (threatshold). 

Par exemple : X connexions par seconde.

Problème : nécessite d’être surveillé et adapté en permanence

– Adaptatif

Détection d’un DoS

– Par dépassement de valeur (approche uni-dimensionnelle)

– comportementale (approche multi-dimensionnelle) via corrélation de plusieurs facteurs :

  • rate dimension
  • ratio dimension (ex: % of content type)

Atténuation d’un DoS

Via Analyse du DoS : génération d’une signature réelle du DoS en cours. Signature basée sur les trames récurrentes.

Techniques d’atténuation :

– atténuation passive :

– Limiter le nombre de paquets avec des seuils

– Ne pas traiter les paquets correspondant à la signature de l’attaque

– atténuation active

– via l’usage d’un Challenge / Response

exemple 1 : avec utilisation d’une vérification de la pile Javascript HTTP sur le client

exemple 2 : avec utilisation d’une vérification de la présence du player Adobe Flash sur le client. Personnellement, je trouve que c’est une bonne idée car aujourd’hui Flash est installé sur 99% des PC/Mac (source Adobe). L’appliance réseau (placée entre le client et l’application Web) envoie un SWF incluant un code Javascript qui positionne un cookie sur le client et recharge la page

– Session discruption

– Tarpit (efficace pour les attaques avec maintien de session): voir la library open source LaBrea (sur sourceforge)

 

Performance de l’atténuation du DoS : quel est le seuil de résistance ?

Ici les speakers ont fait tout d’abord référence à un article de la base de connaissance de Juniper Network pour rappeler que le seuil de résistance dépendait surtout de la taille de la bande passante (=largeur du tuyau)

How many Packets per Second per port are needed to achieve Wire-Speed? (KB Juniper Network KB14737)

La plupart des machines à base de hardware x86 ne sont pas capables de supporter une attaque trop importante.

Pour les speakers, pour atténuer de gros DoS, cela n’est possible qu’avec l’usage de matériel réseau utilisant des ASIC (ce qui est assez logique car ces ASIC sont spécialisés pour ce type de traitement. Raison n°2 : les speakers sont employés d’un vendeur de solutions réseau anti-DoS avec des ASIC ;-))

 

Exemple d’outil de DoS utilisé dans des grosses attaques distribuées :

LOIC (Low Orbit Ion Cannon) qui est un outil de Flooding utilisé notamment par les militants pro Wikileaks (Operation payback attacks).

Vecteurs d’attaque de flooding possibles  : UDP, TCP DATA, HTTP Header

LOIC est disponible sur : http://sourceforge.net/projects/loic/

Informations complémentaires sur l’Operation Payback : http://en.wikipedia.org/wiki/Operation_Payback

 

Roboo – Open Source HTTP Robot Mitigator

Nous avons eu droit à la présentation de Roboo qui est projet d’outil pour atténuer les attaques DoS avec des robots HTTP

Roboo est actuellement un plug-in (utilisant un module Perl) à Nginx (serveur web / reverse proxy).

Roboo utilise des techniques non intéractives (= ne nécessitant pas de manipulation par les utilisateurs des clients Web) de type Challenge / Réponse pour détecter et limiter les robots HTTP.

Il couvre une grande partie des robots HTTP existants :

Le Challenge / Response de Roboo utilise Javascript ou Flash ce qui couvre la majorité des devices (iPad inclu ;-))

Une fois le C / R passé, le client reçoit un cookie de vérification

Une première version de Roboo est disponible à l’adresse suivante : http://www.ecl-labs.org/2011/03/17/roboo-http-mitigator.html

Conclusion

Le business du DoS est en plein boom et il est probable que la situation n’aille pas en s’arrangeant. Il va donc falloir disposer de contre-mesures de plus en plus intelligentes et inventives.

Informations complémentaires :

Tiens, en cherchant de l’information complémentaire, je suis tombé sur quasiment la même présentation (sauf le template qui n’est pas celui du Blackhat…) : http://www.ecl-labs.org/papers/yg-ab-building_floodgates.pptx

  

You are doing it wrong : failures in virtualization systems par Claudio Criscione

Claudio anime notamment le portail http://virtualization.info/en/ qui contient des ressources très intéressante sur la virtualisation et les différents acteurs majeurs.

Sa présentation a commencé avec un petit rappel de l’engouement actuel autour de la virtualisation pour toutes les raisons que l’on connait : rationnalisation, agilité…

Claudio complète son introduction en expliquant que la virtualisation implique également d’autres problèmes ou interrogations en terme de sécurité :

  • CPU Isolation
  • Capacité à monter en charge
  • Haute disponibilité
  • Administration…

Claudio est plutôt spécialisé sur les environnements VMWare et ils nous a raconté que l’an dernier, en 5 jours / homme, il a trouvé 18 vulnerabilités 0–day sur la plateforme VMWare et Xen (je précise la plateforme et non l’hyperviseur, c’est important de faire le distingo).

Claudio a ensuite présenté VASTO (Virtualization ASsessment TOolkit) qui est une collection de modules Metasploit permettant de faire des tests d’intrusion ou des audits de sécurité des solutions de sécurité. Ce projet est sponsorisé par Secure Network (dont Claudio est le CTO).

VASTO (Virtualization ASsessment TOolkit): http://vasto.nibblesec.org/

Démo 1 : Claudio a fait une démonstration d’attaque sur une infrastructure de virtualisation (VMWare et VCenter). L’attaque était ici une attaque XSS sur vCenter avec VASCO et Metasploit.

Parmi les choses intéressantes montrées par Claudio dans cette démo : la découverte dans les fichiers de log de vCenter (accessible en lecture par tous utilisateurs) de SOAPIDSession qui peut être rejoués pour se logger en admin à vCenter sans avoir de crédentiels (login et mot de passe) !

Note : cette vulnérabilité a été corrigée récemment.

Démo 2 : Shell escape avec BONSAI-2010–0109 sur Oracle VM (2.1.5)

Claudio a ensuite expliqué que la sécurité ne doit se focaliser sur la qualité de l’hyperviseur mais sur l’ensemble de l’infrastructure de virtualisation ou de Cloud qui comprend le plus souvent des Web Services, des communications SOAP, des API Web Services…

La proposition de Claudio c’est de sécuriser ce type d’infrastructure via l’usage de pare-feu applicatif entre le client d’administration et les web services.

Exemple d’implémentation avec le projet VASTOkeeper

Personnellement, je trouve l’approche intéressante bien que pas vraiment nouvelle, cela plus de 10 ans que je milite pour le filtrage applicative en Intranet (filtrage des RPC, des flux HTTP en intranet…).

Maintenant dans la réalité, il y a toujours un équilibre à faire entre la sécurité et la facilité d’usage (ou de déploiement) et pour moi la complexité est l’ennemi de la sécurité donc je reste un peu dubitatif sur la pérennité de cette approche.

Sinon pour conclure, j’ai trouvé le speaker brillant dans sa prestation avec :

  • des slides d’une rare qualité (clairs, très graphiques, parfois humoristiques)
  • plein de démonstrations qui ont toutes bien marchées :-)

Autres compte rendus de cette session :

Sinon je viens de trouver un blog recensant les slides des présentations du BlackHat Europe 2011:

Bonne lecture ;-)

Stanislas Quastana

Comments
  • Merci pour ton retour d'expérience.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment