vendredi, mars 16, 2007

Faut-il se préparer à la "dématérialisation des malwares" ?

Si le recueil de la mémoire physique nous permet d'obtenir un élément de preuve solide de la présence d'un malware, encore faut-il pouvoir l'étudier avec précision afin de répondre aux éternelles questions que sont les Quoi, Quand, Où, Comment et même les Pourquoi et Qui.

En l'état actuel de mes connaissances, je reste dans l'attente d'un outil de live forensique vraiment opérationnel, mitonné par l'un de nos chercheurs INFOSEC (et oui, je les adore, en dépit de mon odieux troll précédent !!). En ce moment même, je me surprends à scruter avec anxiété les programmes des futures conférences INFOSEC, à la recherche de la perle rare. Je me suis même inscrit sur fond propre au SSTIC, afin de ne pas manquer une présentation très prometteuse sur le sujet. Il faut dire que j'ai loupé les deux dernières éditions...

J'ai la conviction que le recueil de la mémoire physique va devenir la méthode la plus puissante et surtout la plus rapide pour vérifier la présence d'un malware sur une machine suspecte. Le seul bémol est qu'il nous faut aujourd'hui trouver un moyen d'accès à l'objet \\Device\\PhysicalMemory sur les nouveaux systèmes MS Windows (post 2003 SP1).

En fait, beaucoup critiquent le live forensique en affirmant que rien ne vaut le RCE (Reverse Code engineering) en compagnie d'Ida et d'Olly et de tous leurs copains plugins, et que, de toute manière, l'image obtenue par le recueil de la mémoire physique est tellement déformée, qu'elle est inexploitable dans la vrai vie.com !

J'utilisais essentiellement le recueil de la mémoire physique dans le cadre de procédures IR, et non pas pour étudier à fond un malware. Mon objectif, alors, était uniquement de confirmer sa présence (on ne fait pas dans la dentelle, lorsque l'on ne dispose que de 50 minutes). Je ne pratique plus l'IR depuis plus d'un mois et me limite aujourd'hui à l'étude de spécimens "en dur" à l'aide de bonnes vieilles techniques de RCE. C'est déjà pas si mal, et cela me permet surtout de me tenir informé des nouvelles tendances.

Mais, il me vient toujours en tête le cas hypothétique du "malware tout en mémoire", forgé spécialement pour une victime particulière et qui surtout n'a jamais été diffusé à grande échelle ! Vous me direz qu'un tel animal si dématérialisé ne coure pas les rues et que, de toute façon, tout ce qui est en circulation provient de POC connues et reconnaissables (Proof of concept et non Point Of Contact...).

Mais, imaginez que cela devienne la norme ! on ne pourrait plus en attraper un dans un honeypot ou dans l'enregistrement d'une cession TCP non chiffrée réalisé par son IDS favori (Snort et Sguil le font très bien, même si Sguil est une véritable galère à installer sur Linux). Nous n'aurions plus alors que son image en mémoire physique pour l'étudier, à la condition que nous disposions des procédures IR adéquates. Ce qui est encore loin d'être le cas partout...

lundi, mars 05, 2007

De la guerre de l'information

La sécurité n'existe pas dans la nature. Aucun animal ne serait assez fou pour se sentir hors de tout danger. Nous sommes l'unique espèce connue qui pense être en mesure de trouver le bien-être à travers la technologie ! Quelle gloire...

J'ai trop souvent rencontré de ces professionnels de l'INFOSEC - adeptes forcenés de cette croyance - qui investissaient des sommes folles dans les derniers équipements INFOSEC à la mode, à la joie des équipementiers de tout bord. Il est vrai que les gourous de la prospective technologique ne connaissent aucune limite, tant la loi de Moore est ancrée dans nos mentalités.

Cependant, concernant l'INFOSEC, je suis de plus en plus agacé par cet engouement idiot de la nouveauté ! Mon opinion est que nos chers spécialistes de la prospection INFOSEC - connus en France sous la superbe appelation : Chercheur en sécurité informatique - devraient d'avantage se pencher sur l'engouement inquiétant pour les pratiques de la guerre de l'information que sur les toutes dernières technologies que sont actuellement la virtualisation (le nième retour du mainframe) et les VoIP-ToIP (la convergence ratée par le RNIS/ISDN voilà quelques années, faute d'un leader gargantuesque comme Cisco).

L'explosion des activités d'intelligence économique masque mal des comportements douteux rappelant d'avantage une Sale Guerre qu'une mission de casques bleus... La transposition des techniques guerrières à l'économie n'a malheureusement pas été suivie du code éthique qui doit les accompagner pour ne pas tomber dans une application littérale de la loi du Talion. Et ce n'est pas la lecture de Sun Tzu par nos capitaines d'industrie qui va inverser la tendance !

La guerre nous apprend que la véritable force ne réside pas dans notre capacité à accroître le degré de violence, mais dans celle de la maîtriser.. Au delà du cliché de la frappe chirurgicale, pratiquer une guerre de l'information raisonnée pourrait simplement signifier savoir répliquer en limitant au maximum notre degré de violence.

Pour ne pas être une victime, le mieux est de ne pas paraître vulnérable. C'est le vieux concept de la dissuasion. Une bonne sécurité passive est ici l'un des meilleurs moyens que je connaisse. Encore faut-il avoir mener une analyse de ses vulnérabilités et un changement drastique des mentalités.

Concernant cette dernière tâche, mon axiome préféré - appartenant à la guerre de l'information - est le suivant : "Si vous ne pouvez pas protéger vos informations, vous ne pouvez pas les partager." Il est vraiment simpliste, mais je suis intimement persuadé que s'il était vraiment mis en pratique par nos armées d'opérationnels, on compterait moins de cyniques ou de dépressifs dans les rangs des pro de l'INFOSEC...

En dernier ressort, reste la loi. Les délinquants en col blanc réflechissent à deux fois avant de vous attaquer, si vous avez fait la preuve que vous êtes en mesure de saisir la justice avec efficacité ! Et voila, je suis retombé sur les thèmes de la réponse aux incidents et le forensique - cqfd...

De l'initiative dans la résolution d'une crise

Chaque individu possède une dose de créativité, fonction de sa personnalité (inné) et de son adaptation au terrain (acquis). Cette créativité s'exprime dans les initiatives de chacun et forme, selon mon expérience, la source de la performance de toute équipe.

Or, j'ai trop souvent observé des chefs d'équipe - généralement aguerris - tuer dans l'oeuf une initiative au nom de la sacro-sainte urgence de la crise. Il est vrai que les initiatives doivent être régulées pour ne pas mettre en péril une mission. Mais, il convient de ne pas confondre crise et urgence !

Ce qui caractérise une crise, c'est justement le fait que les solutions "classiques" ne fonctionnent pas et qu'il est vital d'être créatif pour pouvoir s'en sortir. Pour ma part, je pense qu'il faut toujours encourager une initiative relevant d'une tâche individuelle (ou relevant du binôme IR). Elle atteste généralement de la qualité de son auteur, et doit être relevée pour le debriefing de fin de crise.

Par contre, je pense qu'une initiative relative à la procédure générale de l'équipe IR ne doit généralement pas être tentée directement au cours d'une crise. Mais, elle mérite également d'être notée et surtout de faire l'objet d'une évaluation approfondie lors du debriefing. Si elle s'avère pertinente, elle devra être mise à l'actif de son auteur, faisant la preuve que chacun peut améliorer le fonctionnement de l'équipe. Dans le cas contraire, le debriefing devra démontrer les difficultés de sa mise en oeuvre.

J'entends ici par debriefing, ou retour d'expérience, l'analyse d'un évènement dans lequel l'équipe IR a été impliquée ou non. L'objectif est de décortiquer l'évènement, généralement complexe, pour en comprendre toutes les facettes. Le debriefing fait partie des bonnes pratiques à mettre en place, et pas uniquement dans les équipes IR. Cette mise en place ne doit cependant pas s'accompagner de la fin du cycle des examens de situation, qui doivent intervenir très régulièrement au cours de la résolution d'une crise.

Tout l'art du coordinateur IR revient à savoir assoir son autorité sur le partage de l'information et faire déboucher son équipe sur une solution qui recueille l'assentiment général, tout en étant la mieux adaptée aux circonstances. Or, il n'est pas rare en cas de crise - lorsque les informations se multiplient et le doute s'installe - de voir disparaitre le dialogue constructif au profit d'un autoritarisme des plus primitifs !

Là encore, le coordinateur IR expérimenté saura simplement mettre en oeuvre son autorité pour entendre les arguments de ses collaborateurs, identifier les arbitrage à prononcer et surtout obtenir l'adhésion de tous autour de la décision prise.

A titre de conclusion, j'affirme que rien n'est pire que l'absence de décision en cas de crise ! La prise de décision est la justification de la qualité du coordinateur, l'expression ultime de sa compétence. Mais, encore faut-il ne jamais oublier que prendre une décision ne signifie pas imposer sa propre vision du problème.