Une nouvelle approche des I[D|P]S distribués

Par Xavier Poli, secuobs.com
Le 19/09/2006

---

Résumé : Une équipe de chercheurs a présenté un système de reconnaissance des infections dues aux vers et en particulier ceux dont la propagation repose sur l'exploitation de failles non connues. Leur solution repose sur un fonctionnement dit « distribué » grâce à un protocole de partage coopératif des alertes de sécurité.



Une équipe de chercheurs a récemment présenté un nouveau système de reconnaissance des infections dues aux vers et en particulier ceux dont la propagation repose sur l'exploitation de failles non connues publiquement ou « 0day ». Cette équipe est constituée d'un regroupement de collaborateurs du centre de recherche d'INTEL ( lien http externe url:[click] ) et du département de sciences et d'informatique de l'université de Californie ( UC - lien http externe url:[click] ).

Leur solution repose sur un fonctionnement dit « distribué » grâce à un protocole de partage coopératif des alertes de sécurité. Chaque machine du réseau agit en fait comme une sonde qui collecte des informations locales afin de les partager et effectuer leur corrélation. Cette dernière intervient lorsqu'une alerte est émise par l'une d'entre elles, les données des autres stations sont alors analysées par l'intermédiaire des tables de concordances.

Différents algorithmes de traitement sont appliqués afin d'y retrouver de possibles occurrences multiples d'une même information avec pour condition que ces données correspondent bien à différents noeuds du réseau. Le taux de détection est ensuite comparé à des seuils de tolérance pré-déterminés ainsi qu'à différents scénarios de comportements « normaux » du trafic.

Dans le cas où un dépassement de ce seuil validerait l'hypothèse séquentielle d'origine sans pour autant correspondre à l'un de ces scénarios, l'alerte serait dès lors enregistrée dans une table dite « décisionnelle » ; une réponse automatique étant aussitôt activée afin de cloisonner les stations infectées du reste de l'infrastructure dans le but d'en protéger l'intégrité.

Cette réponse est essentiellement assurée par la mise en place de règles spécifiques au niveau du matériel actif de filtrage. Ces règles doivent rester de nature temporaire afin d'éviter les surcharges de traitement à terme tout en étant en mesure de pouvoir endiguer la propagation du ver dans l'intervalle de temps nécessaire. La validation d'une alerte entraîne, conjointement à cela, des notifications aux responsables du réseau qui peuvent, en cas de « faux positifs » éventuels, revenir rapidement à l'état initial de filtrage de leur infrastructure.

Le caractère distribué, de cette solution, assure une prise de décision globale via l'analyse des tables de probabilités, la privilégiant à celle moins efficace d'agents distincts de par leur nature isolée. Il permet de réduire considérablement, par le croisement d'informations de sources multiples, le nombre de « faux positifs » dont sont coutumieres les solutions « locales » de détection.

Les différents tests, constituant le banc d'essai, nécessaire à viabiliser ce projet, ont été développés autour des plateformes « DETER » et « Emulab » ( lien http externe url:[click] ). Ce dernier fait partie du projet « NetBed » dont l'objectif est de fournir un environnement expérimental assurant l'émulation et la simulation de réseaux de toutes tailles. Les attaques par vers ont été réalisées via le moteur « Wormsim » développé en interne ; ce moteur de simulation a la caractéristique de fournir des instructions à ses agents sous le forme de fichiers XML.

Le système, configuré avec un taux de tolérance de dix pourcents aux « faux-positifs », affiche des résultats déjà plus que probants ; il s'est notamment montré capable d'arrêter une infection par prise de décision quatorze secondes seulement après le début de l'attaque.

Un total de trente-deux pourcents des machines ayant été compromises pendant cette période ; stations qui seront dés lors cloisonnées afin d'être traitées ultérieurement par l'équipe technique en charge de ces systèmes. Les différentes expériences réalisées ont démontré que l'augmentation du taux de tolérance, cité auparavant, n'était pas significative sur la réduction de ce délai.

Bien que présentant des résultats encourageants, l'aspect automatique des réactions pourrait poser des problémes. Un attaquant, connaissant suffisamment bien le protocole d'alertes, sera t'il en mesure de provoquer le cloisonnement d'une machine ou d'un groupe de machines par l'envoi de fausses alertes usurpant l'identité des sources à exclure ?

La « disparition » de points sensibles (DHCP, DNS, PDC/BDC, backup, netboot) pourrait, dans ce cas, représenter un intérêt stratégique en vue d'une attaque par « paliers » de compromission.

Wormblog : lien http externe url:[click]
L'étude au format PDF : lien http externe url:[click]

Mini-Tagwall des articles publiés sur SecuObs :
sécurité, windows, exploit, réseau, vulnérabilité, système, attaque, microsoft, virus, audit, internet, données, fonction, présentation, outil, linux, bluetooth, vista, gestion, shell, trames, wishmaster, sysun, metasploit, engineering, paquets, téléphone, fonctions + de mots clés avec l'annuaire des articles publiés sur SecuObs

Archives Failles Secunia :
- SA32943 jailer updatejail Insecure Temporary Files - SA32794 Cain & Abel RDP Processing Buffer Overflow Vulnerability - SA32951 Slackware update for samba - SA32949 Debian update for imlib2 - SA32849 cpCommerce _functions.php Variable Overwrite Vulnerability + d'archives failles avec Secunia et SecuMail

Archives Mailing Full Disclosure :
- Re: Full-disclosure Security industry software license - Re: Full-disclosure Lazy bum approach to security - Re: Full-disclosure More proof that Microsoft products are probably backdoored - Re: Full-disclosure Security industry software license - Re: Full-disclosure Project Chroma: A color code for the state ofcyber security + d'archives Full Disclosure avec SecuMail

Archives Mailing Bugtraq :
- Dates for SyScan'09 - Cpanel fantastico Privilege Escalation ModSec and PHP restriction Bypass - SECURITY DSA 1676-1 New flamethrower packages fix denial of service - USN-682-1 libvorbis vulnerabilities - USN-681-1 ImageMagick vulnerability + d'archives Bugtraq avec SecuMail

Mini-Tagwall de l'annuaire video :
virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, spammer, kernel, malware, windows, iphone, symantec, phish, knoppix, adware, security, botnet, linux, tutorial, cryptography, internet, attack, server, wireshark, virtual, metasploit, intel, protect, openbsd, hitbsecconf2006, jailbreak, rootkit, ubuntu, norton, exploit, hijackthis, ettercap, samsung, screen, fingerprint, vista, flash, desktop + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :
security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server, exploit, apple, internet, iphone, black, yahoo, sécurité, malware, vista, intel, patch, crypt, drive, access, protect, virtual, laptop, linux, source, biometric, research, ebook, business, virus, office, phish, adobe, chine, facebook, opera, flash, wireless + de mots clés avec l'annuaire de la revue de presse