mercredi 14 juillet 2010

TCP/IP security is boring

Je lis petit à petit les slides et articles fournis dans les actes du SSTIC 2010. Les conférences d'Harald Welte ont attiré mon attention, et plus particulièrement la phrase:
Don’t you too think that TCP/IP security is boring?

Et effectivement, la sécurité de TCP/IP, c'est quand même relativement mort.
Quelques questions pour s'en rendre compte..

Une connexion TCP, c'est un three-way handshake? Vous connaissez surement, mais le four-way handshake? Le prochain big-one qui dev(r)ait faire tomber internet à cause de TCP, vous connaissez? Et nkiller2, vous avez pris le temps d'étudier? Quelles mesures avez vous prises? Le filtrage de paquet de votre réseau, vous le faites encore, ou bien vous l'avez infogéré à un presta externe? Et vous avez utilisé un simple rideau, un double rideau? Les flags TCP, il y en a combien? 6 ou 8? Les hidden treasures d'iptables, vous avez étudié ça? Tiens d'ailleurs, et qu'est ce qui fonctionne le mieux, pf ou iptables? Le meilleur moyen de scanner discrètement un hôte, c'est le Xmas, ou bien une autre combinaison? Je me souviens qu'à une époque, il suffisait d'évoquer la légalité des scans de port sur n'importe quel forum pour déclencher des trolls homériques. Aujourd'hui, tout ça c'est le néant. On lit à longueur de forums qu'il est possible de spoofer des connexions TCP fiablement et durablement sans que plus personne ne s'émeuve de la bêtise.

Je crois qu'Harald a raison, vous n'avez sûrement pas du cliquer sur plus de deux liens dans le paragraphe la dessus. TCP/IP security is boring. Cela va faire 15 ans qu'on en fait, qu'on sait comment ça marche, pourquoi vouloir continuer à lire et dépiauter les RFCs? TCP/IP, ça "juste marche". Même lorsque les menaces sont réelles, c'est tout juste si on en entend parler. En 2000, le remote root sur pile IP faisait rêver tout le monde. Le programmeur qui aurait pu le faire aurait été sans doute considéré comme un demi-dieu vivant de la sécurité. Puis c'est arrivé, sous windows et vraisemblablement un autre sous linux. Ca n'a été traité que comme d'autres bugs de sécurité: on voit, on corrige, on patche.

Dans le temps, oui, la "TCP/IP security" était excitante. Mitnick qui a su, lui, faire du spoofing intelligement ;) . Les filtres de paquets qui passaient de stateless à statefull, les options TCP les plus obscures qui permettaient de traverser du firewall. Mais aujourd'hui, à peu près tous les filtres IP se valent et la discussion va plus porter sur le prix de la solution et/ou la facilité d'utilisation que sur les qualités du produit...

La sécurité de TCP/IP n'intéresse plus le monde de la sécurité. Si on regarde les actes du SSTIC 2010: rien sur la sécurité TCP/IP. 2009: rien non plus. Il faut remonter à 2008 pour avoir une (1!) conf qui a pour sujet quelques fonctionnalités liées à TCP/IP... L'année d'avant une seule conf aussi, ça parle d'IPv6.

Don't you too think that TCP/IP security is boring?

1 commentaire: