Reportage

 

Moteur de recherche pirate

Publié le 22-02-2004 dans le thème Hacking

Pays : International - Auteur : Damien Bancal


Pub : CA Anti-Spam 2007 - Bloquez les messages indésirables!

Note des lecteurs: 2.6/5

Contre le système : Les robots attaquent
"[...] la grande différence entre le Web et les moyens de communication traditionnels est qu'il n'y a pratiquement aucun contrôle de qui met quoi sur le Web. Couplez cette facilité de publication avec l'énorme influence des moteurs de recherche dans le routage du trafic, et les sociétés qui décident d'utiliser ceux-ci pour leur propre bénéfice peuvent poser un problème sérieux." -- Sergey Brin, Lawrence Page (cf références, [A])

Imaginez une faille exploitée à distance et permettant de compromettre un système sans qu'aucune ligne de code ne soit directement envoyée à la victime. Imaginez une exploit qui créerait simplement un fichier en local afin de compromettre des milliers d'ordinateurs, et qui n'implique aucune source spécifique dans l'attaque. Bienvenue dans le monde des techniques d'exploitation de bug zéro-effort ! Bienvenue dans le monde de l'automatisation, bienvenue dans le monde de l'attaque anonyme, d'autant plus difficile à éviter que la complexité d'Internet augmente.

Un exemple
Quand cette idée m'est venue à l'esprit, j'ai décidé de faire un essai très simple, simplement pour vérifier mon raisonnement. J'ai visé, si tant est que le mot soit approprié, des moteurs de
recherches et d'indexation parmi les plus classiques et généraux sur le Web.
J'ai créé une page HTML très simple et je l'ai mise quelque part. Et puis j'ai attendu quelques semaines. Et ils sont venus. Altavista, Lycos et des douzaines d'autres. Ils ont trouvé ces
nouveaux liens et les ont sélectionnés avec enthousiasme, puis ont disparu pendant plusieurs jours.

sjc-fe5-1.sjc.lycos.com:
GET /indexme.html HTTP/1.0

[...]

Ils sont revenus plus tard, pour voir ce que je leur avais donné à analyser.

http://somehost/cgi-bin/script.pl?p1=../../../../attack
http://somehost/cgi-bin/script.pl?p1=;attack
http://somehost/cgi-bin/script.pl?p1=|attack
http://somehost/cgi-bin/script.pl?p1=`attack`
http://somehost/cgi-bin/script.pl?p1=$(attack)
http://somehost:54321/attack?`id`
http://somehost/AAAAAAAAAAAAAAAAAAAAA...


Les robots ont suivi les liens fournis, exploitant d'hypothétiques vulnérabilités et compromettant ainsi des serveurs à distance:

sjc-fe6-1.sjc.lycos.com:
GET /cgi-bin/script.pl?p1=;attack HTTP/1.0

212.135.14.10:
GET /cgi-bin/script.pl?p1=$(attack) HTTP/1.0

bigip1-snat.sv.av.com:
GET /cgi-bin/script.pl?p1=../../../../attack HTTP/1.0

[...]

(BigIP est un célèbre "load balancer (équilibreur de charge)", basé sur l'observation, de F5Labs). Les robots se sont ensuite joyeusement connectés aux ports non-http que j'avais préparés à leur intention :

GET /attack?`id` HTTP/1.0
Host: somehost
Pragma: no-cache
Accept: text/*
User-Agent: Scooter/1.0
From: scooter@pa.dec.com

GET /attack?`id` HTTP/1.0
User-agent: Lycos_Spider_(T-Rex)
From: spider@lycos.com
Accept: */*
Connection: close
Host: somehost:54321

GET /attack?`id` HTTP/1.0
Host: victime:54321
From: somehost@fast.no
Accept: */*
User-Agent: FAST-WebCrawler/2.2.6 (crawler@fast.no; [...])
Connection: close

[...]

Les exploits zéro-effort créent une 'wishlist', et la déposent quelque part dans le cyberespace - voire sur un serveur hébergé chez leur créateur, bref dans un endroit où d'autres peuvent les trouver. Ces "autres", ce sont les travailleurs invisibles de l'Internet (cf références, [D]). Ils sont des centaines à ne jamais dormir, infatigables chenilles parcourant sans fin la toile mondiale : agentsintelligents, moteurs de recherche... Ils viennent pour sélectionner cette information, et - à leur insu - pour attaquer des victimes. Vous pouvez arrêter l'un d'eux, mais ne pouvez pas les arrêter tous. Vous pouvez découvrir ce que sont leurs commandes, mais vous ne pouvez pas deviner ce que ces commandes seront demain, cachés qu'ils sont dans l'abîme toujours inexploré du cyberespace.

Ils sont votre armée privée, vous les avez sous la main, prêts à obéir aux commandes que vous aurez pris la peine de laisser sur leur chemin. Vous les exploiterez sans devoir les compromettre. Ils font ce pour quoi ils ont été conçus, et ils le font du mieux qu'ils le peuvent.

Bienvenue dans une nouvelle réalité, où nos machines, à l'intelligence plus que jamais artificielle, peuvent se lever contre nous.

Imaginez un ver. Un ver qui ne fait rien. Il est porté et injecté par d'autres - mais sans les infecter. Ce ver crée une "wishlist" - wishlist de, par exemple, 10.000 adresses aléatoires. Puis il attend. Les agents intelligents indexent cette liste, unissant leurs forces pour toutes les attaquer. Imaginez qu'ils y réussissent avec, au pire, un taux de succès de 0,1%. Dix nouveaux serveurs infectés. Sur chacun d'entre eux, le ver fait exactement la même chose - et les agents reviennent, infectant alors 100 machines. L'infection se poursuit - ou continue à ramper, si vous préférez.

Les travail des agents intelligents est quasi-invisible, et les gens se sont habitués à leur présence un peu partout. Ils progressent lentement, dans une boucle interminable. Ils fonctionnent méthodiquement, ne génèrent pas de transferts de données excessifs - ils rampent, sans explosion soudaine de leur activité.
Semaine après semaine après semaine, ils inspectent des machines nouvelles, soigneusement, sans surcharger le réseau, ne produisant jamais le moindre trafic suspect, repoussant sans cesse les frontières de leur exploration. Et s'ils transmettaient un virus de type "worm", un ver, vous en rendriez-vous compte ? Peut-être... ou peut-être pas.

La liste des moteurs de recherche pouvant servir d'agents ne se limite pas à ceux qui sont connus et accessibles au public. Les moteurs d'alexa.com, d'ecn.purdue.edu, de visual.com, de poly.edu, d'inria.fr, de powerinter.net, de xyleme.com, et bien d'autres moteurs de recherche non-identifiés on trouvé cette page et l'ont appréciée. Certains robots n'ont pas indexé toutes les URLs. Quelques agents, par exemple, n'indexent absolument pas les
scripts, d'autres n'utilisent pas les ports non standard. Mais la majorité des moteurs, dont les plus puissants, le font sans problème - et, dans le cas contraire, le filtrage insignifiant qui est mis en place ne constitue pas une protection efficace : la plupart des vulnérabilités de IIS peuvent être exploitées sans utiliser de script.

Que se passerait-il si la liste des serveurs à attaquer était choisie de façon aléatoire parmi 10.000 IPs ou 10.000 noms de domaines en .com? Que se passerait-il si le "script,pl" de mon
exemple était remplacé par l'utilisation de trois, quatre, cinq ou dix vulnérabilités de IIS ou de célèbres scripts buggés sous Unixparmi plus populaires ? Et même si le taux de succès n'était que d'1 machine compromise pour 2.000 tentatives ?

Et si le somehost:54321 de l'exemple ci-dessus était redirigé vers un service vulnérable, exploitable par des variables utilisateur au sein de requêtes HTTP ? (je considère que la majorité des services soi-disant sécurisés qui ne déconnectent pas un utilisateur après la première commande inexacte sont potentiellement vulnérables) Et si... Il y a quelque part une veritable armée des robots, de différents types, aux possibilités variables, plus ou moins intelligents. Et ces robots sont prêts à faire tout ce que vous leur demanderez de faire. C'est effrayant.

Considérations sociales
Qui est coupable lorsqu'un webcrawler compromet votre système ? La réponse la plus évidente est : l'auteur de la page web que le moteur a visitée. Mais il est difficile de tracer les auteurs de pages web, et le cycle d'indexation d'un moteur de recherche prend des semaines. Il est difficile de déterminer quand la page en question a été mise sur le Net - elles peut avoir été indexée par différents moyens, avoir été modifiée par d'autres robots plus tôt dans la chaine de selection; dans le protocole SMTP, comme dans beaucoup d'autres, il n'y a pas de réelle possibilité de retrouver une trace. D'ailleurs, beaucoup d'agents ne gardent pas la moindre trace du cheminement suivi pour indéxer nouvelle URL. L'utilisation d'indicateurs d'indexation, comme "noindex" sans l'option "nofollow", peut causer quelques problèmes additionnels. Dans beaucoup de cas, l'identité de l'auteur et l'origine de l'attaque ne seraient pas déterminées, alors que de réelles intrusions auraient eu lieu.

Et si, pour finir, le but de l'auteur de la page n'était absolument pas de la faire indéxer ? Pensez à tous ces articles à but "informatifs", etc.. - les agents ne liraient pas l'avertissement et le message écrit en gras "N'ESSAYEZ PAS CES LIENS"...

:: Références ::

[A] "The Anatomy of a Large-Scale Hypertextual Web Search Engine" Googlebot concept, Sergey Brin, Lawrence Page, Stanford University
http://www7.scu.edu.au/programme/fullpapers/1921/com1921.htm

[B] Proprietary web solutions security, Michal Zalewski
http://lcamtuf.coredump.cx/milpap.txt

[C] "A Standard for Robot Exclusion", Martijn Koster
http://info.webcrawler.com/mak/projects/robots/norobots.html

[D] "The Web Robots Database"
http://www.robotstxt.org/wc/active.html
http://www.robotstxt.org/wc/active/html/type.html

[E] "Web Security FAQ", Lincoln D. Stein
http://www.w3.org/Security/Faq/www-security-faq.html

Par analogie avec d'autres cas, Napster par exemple, contraints de filtrer leur contenu (ou de mettre fin à leur service) en raison d'informations protégées par le CopyRight et distribuées par leurs utilisateurs, causant ainsi des pertes économiques, il est raisonnable d'imaginer que des responsables de moteurs de recherche soient forcés de mettre en application des filtres spécifiques, ceci devant verser, dans le cas contraire, d'énormes compensations aux victimes de l'utilisation abusive de leurs robots.

D'un autre côté, il semble presque impossible de filtrer avec succès le contenu du code malveillant, si on prend en compte nombre et la grande variété des vulnérabilités connues.
...sans parler d'attaques qui pourraient être tres ciblées (cf références, [B], pour plus d'information sur les solutions propriétaires et leur insecurité). Ainsi le problème demeurerait. Un autre paramètre à prendre en compte est que tous les robots d'indexation ne sont pas forcément sous la juridiction des États-Unis, ce qui compléxifie encore les choses (dans beaucoup de pays, l'approche de ce genre de problèmes est moins sujette à controverse qu'aux des États-Unis).

Défense
Comme nous l'avons montré ci-dessus, les moyens de défense et les actions possibles au niveau des moteurs de recherches sont très limitées, à cause de la grande variété de vulnérabilités basées sur le Web. Une des défenses les plus raisonnables consiste enl'utilisation de logiciels sécurisés et correctement mis à jour, mais - évidemment - ce point de vue n'est pas vraiment partagé de tous, et à raison : www.google.com avec le filtrage
de documents en place, retourne 62.100 enregistrements pour la requête : "cgi vulnerability" (voir également : références, [D]).

Une autre ligne de défense possible contre les robots pourrait être l'utilisation du mécanisme standard d'exclusion des robots / robots.txt (voir références, [C], pour les caractéristiques)
Le prix à payer étant l'exclusion partielle ou complète de votre site des moteurs de recherche, ce qui, dans la plupart des cas, ne peut être envisagé. En outre, quelques robots sont mal développés et ne respectent pas le fichier robots.txt quand ils suivent un lien direct vers un nouveau site web.

Translated from the article "Against the System: Rise of the Robots" (C)Copyright 2001 by Michal Zalewski <lcamtuf@bos.bindview.com> Published with the kind authorization of the author. -- Traduction pour ZATAZ Magazine par ./n -- NDR : Extrait de Phrack #57, traduit et publié avec l'aimable autorisation de Michal Zalewski, que nous remercions.

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

Vulnérabilité critique dans MessengerFX

Un client très populaire pour Windows Live Messenger, MessengerFX, laisse la possibilité à un pirate d'accéder à la liste des contacts d'un utilisateur légitime.

L’OTAN s'arme face aux cyberguerriers

Le Centre de formation à la défense contre des attaques cybernétiques sur Internet va ouvrir en Estonie.

Network Products Guide DefensePro

Radware reçoit le prix de l’innovation produit 2008 du Network Products Guide DefensePro, lauréat dans la catégorie de la sécurité comportementale.

Scene 1, bobine 2. Deconnexion de pirate Internet, action

La première déconnexion pour piratage de musique sur Internet vient de toucher un pirate informatique pas comme les autres. Un gouvernement !

Veni, Vidi, Wistee

Nouvelle attaque informatique de type hameçonnage visant les clients de Paypal. Wistee de nouveau exploité par des pirates.

NDS jugé non coupable de piratage informatique

Le jugement sur l'affaire du piratage du système de chiffrement des chaînes de télévision à péage se termine par le blanchiment du principal accusé, NDS.

Le SP3 a des ratés... bis !

Les problèmes du Service Pack 3 dédié à Windows XP n'a pas fini de pertuber les utilisateurs. Aujourd'hui, la fermeture intempestive de certains ordinateurs.

L'Eee PC 900 moins cher avec XP que sous Linux

Originalité marketing. L'ultra PC d'ASUS, l'Eee PC 900, sera vendu moins cher avec Windows XP qu'avec Linux.

Sur le même thème : Hacking

Le Site de la SNCF piraté

SNCF PWNED! Un Père-Noël pirate s'affiche dans l'une des pages du site Internet de la SNCF.

Le magazine Capital piraté par des Chinois ?

Sondage sur le boycott des JO plombé. Site attaqué et fermé plusieurs heures. Le site Internet du magazine Capital a gouté au joie du web.

Plus de 4.000 sites francophones piégés

Des sites d'entreprises, de particuliers ou de gouvernements piégées par une attaque de masse.

Université compromises, données piratées

Une nouvelle université vient connaître un problème de sécurité informatique. Un pirate a pu mettre la main sur plusieurs milliers de données nominatives.

Le Defcon fait trembler les éditeurs d'antivirus

Le rendez-vous des amateurs de hacking, le DEFCON de Las Vegas, fait déjà parlé de lui. Un concours de création de virus est annoncé.

Données sensibles diffusées par erreur

2,000 personnes découvrent leurs données privées et sensibles inscrites sur des enveloppes diffusées par voie postale.

Tchernobyl: Attaque informatique anniversaire

Une radio victime d'une attaque informatique. Les pirates agissent au moment ou le monde a commémoré le 22ème anniversaire de la catastrophe de Tchernobyl.

Les bikinis Swimwear piratés

Une intrusion informatique met à mal les données des clients du site Internet Swimwear Boutique, un magasin spécialisé dans les bikinis.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Derniers communiqués de presse

Network Products Guide DefensePro

Radware reçoit le prix de l’innovation produit 2008 du Network Products Guide DefensePro, lauréat dans la catégorie de la sécurité comportementale.

Universal signe chez Deezer

Deezer annonce la signature d'un accord portant sur 35 pays avec le géant Universal Music.

Yahoo! et McAfee collaborent pour sécuriser la navigation sur le web

La nouvelle fonction SearchScan de Yahoo! Search signale les sites dangereux avant de cliquer sur le lien.

Vie privée : l'industrie du film pirate le droit européen

La Quadrature du Net s'inquiète d'amendements dangereux pour la protection de la vie privée déposés par les rapporteurs de la commission Culture du Parlement Européen.

Stars-buzz.com

Le Top 5 des tops models les mieux payées au monde

La Brésilienne Gisele Bündchen reste au top. D’après le journal économique Forbes, la belle a touché 23 millions d’euros pour 2007.   L’Allemande Heidi Klum est seconde et pourtant loin derriére avec 9 millions d’euros. Kate Moss (34 ans) a touché 5 millions d’euros. L’autre Brésilienne de ce top, Adriana Lima, a perçu 4,5 millions d’euros.   Cinquiéme et derniére de [...]

Des Peoples dans vos oreilles, ce soir sur Contact

Vous aimez les peoples ? Vous aimez la bonne zic ? Vous aimez délirer ? Chaque jeudi soir, de 18 heures à 19h30, dans l’émission d’Happy et Fax (Radio Contact), retrouver les news fraiches de Stars-Buzz. Un avant goût, ci-dessous ! Happy et Fax en train de torturer votre aimable serviteur !

Oups ! cachez donc ce ?. que je ne saurai voir

La sublime Elsa Zylberstein nous a refait le coup de Sophie Marceau sur les marches du festival de Cannes. Un petit bout de tissu qui vole et le tour est joué pour les fans. Sacré bretelle !

Tokio Hotel sur votre peau

Le Groupe culte des adolescents, qui doit reprendre la route des concert, lance une ligne de vêtements “TRè’Choli”. Les quatre Allemands à la sauce Manga-Gothique ont signé un contrat avec a marque de vêtements JBC. Toute une collection (22.99 euros à 30 euros), fille et garçon, de tee-shirts et débardeurs Tokio Hotel baptisée “übercool”. Disponible [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA