Quand la diffusion d'exploit hérisse Redmond...

Megaphone

D Moore a publié vendredi un billet intitulé "Microsoft is disappointed" sur le blog de Metasploit. Il donne ainsi un exemple malheureusement assez caractéristique du double discours des gros éditeurs en ce qui concerne la divulgation de failles et d'exploits, avec d'un côté des équipes techniques qui travaillent avec les chercheurs de faille et de l'autre une communication officielle qui leur tape dessus.

Tout part de la diffusion d'un exploit pour la faille MS06-025 dans Metasploit. La réponse de Microsoft va être double. Un membre du Microsoft Security Response Center va cordialement contacter l'équipe en privée pour obtenir des informations supplémentaires et approfondir certains points. Simultanément, un bulletin d'alerte officiel va être diffusé concernant la publication de l'exploit. Et là, question cordialité, c'est un autre discours...

En effet, on peut y lire^[1] :

Microsoft is disappointed that certain security researchers
have breached the commonly accepted industry practice of
withholding vulnerability data so close to update release
and have published exploit code, potentially harming
computer users. We continue to urge security researchers
to disclose vulnerability information responsibly and allow
customers time to deploy updates so they do not aid
criminals in their attempt to take advantage of software
vulnerabilities.

Pour résumer, pouah les gros méchants de Metasploit, ils ont sorti leur exploit trop tôt ! 9 jours, c'est pas assez... OK, j'arrête la paraphrase, lisez leur blog. Par contre, il y a des choses qui méritent à mon avis un peu plus d'attention, voire de réflexion.

Il y a d'abord le listing, non exhaustif certes, de différentes politiques de diffusion de failles par divers acteurs du marché. Et on peut constater une "intéressante" diversité, certains allant même jusqu'à vendre l'accès aux exploits avant même de notifier l'éditeur... Il y aurait certes beaucoup à dire sur la diffusion de failles de sécurité et exploits associés, ainsi que sur la vente de ces informations, mais alors qu'un consensus est globalement entendu sur le concept de démarche bilatérale responsable dont la RFPolicy est un exemple^[2] parmi d'autres, certains acteurs ayant pignon sur rue prennent des libertés difficilement justifiables, aussi bien du côté des chercheurs que du côté des éditeurs. Et je vise ici ces derniers en particulier parce que ce sont quand même eux qui passe leur temps à réclamer un comportement plus responsable de la part de l'autre camp^[3].

Le second point intéressant, c'est le double discours des gros éditeurs qui sont globalement bien contents que les gens fassent de la recherche de faille et leur communiquent leurs découvertes dans la mesure où ça leur fournit du contrôle qualité à moindre coût. Le problème c'est que quand on externalise vers une population aussi large et variée, on perd tout contrôle sur la gestion du process. On a donc d'un côté des techos sympas qui accueillent plutôt favorablement les remontées de failles et informations associées et de l'autre un management qui passe son temps à pester et renâcler parce que tout ne se passe pas toujours comme ils le voudraient. En particulier, ils n'aiment pas les bulletins détaillés et encore moins les exploits, avançant que cela facilite le travail des méchants. Pas faux. Mais c'est également un passage obligé pour toutes les personnes désireuses de comprendre réellement les conditions de réalisation et l'impact des failles publiées. On se souviendra en particulier que si la mise à disposition d'un exploit pour le célèbre bug RPC/DCOM a permis une des diffusions virales les plus marquantes de ces dernières années, il a également permis de découvrir que le bulletin fourni par Microsoft ne couvrait pas complètement la vulnérabilité qui n'était donc pas totalement corrigée.

Ce double discours est d'autant plus dommageable que ça mine les efforts consentis dans la mise en place d'équipes et de procédures spécifiques, à grand renfort de communication, pour gérer la remontée de failles en ce qu'il pousse une population non négligeable à se détourner de ces structures pour aller vers la vente de leurs trouvailles^[4], la diffusion sauvage, générale ou restreinte.

Je vais me faire taxer de bisounoursisme aigü mais c'est pas grave ; je suis profondément convaincu que les éditeurs et ce que d'aucuns appellent la communauté de la sécurité informatique ont un intérêt commun à arrêter de se voiler la face et se mettre d'accord sur une^[5] politique commune claire plutôt que d'y aller chacun de son grain de sable. Certes, il y aura toujours des réfractaires, mais au moins, cela aura pour intérêt majeur de ne pas décourager ceux qui ont envie de travailler dans ce cadre.

Notes

[1] Cf. autre bulletin du même tonneau.

[2] Dont les délais sont amha trop restreints, mais bon, personne n'est parfait.

[3] Pour autant qu'on puisse distinguer des camps, puisqu'au final, quel que soit le camp considéré, on est tous censé aller dans le même sens.

[4] Vaste sujet que la vente des vulnérabilités, en particulier si on considère les différents acheteurs présent sur le marché.

[5] À opposer avec toutes les politiques de diffusion qui peuvent co-exister aujourd'hui.

Commentaires

1. Le mardi 27 juin 2006 à 21:02, par jme

C'est pour cela que j'ai regretté que la conférence «plus cela change» soit annulée au SSTIC06... Ce sujet était abordé.

La minute troll:
Le monde du full-disclosure, c'était quand même un peu celui de celui qui avait le kiki le plus gros.

Réponse de Sid

Minute troll engaged... Le soucis, c'est que certains éditeurs ont, ou avaient, tendance à ne comprendre que ce genre de pratique pour patcher leurs failles.

Mais bon, maintenant, tout le monde est super réactif et fait des efforts monstrifieux pour améliorer sa sécurité. Même Oracle (ai finallement retrouvé le PPT original) :

pacsec.jp/core05/psj05-jaco...

2. Le jeudi 29 juin 2006 à 11:29, par Nono

Ce que je trouve abusé de la part de metasploit c'est de filer un exploit qui marche vraiment. Moi je reste quand même plus favorable à un PoC (genre Déni de service du service/serveur) qu'un reverse connect tout beau tout propre qui marche partout. Certains diront que le pas entre le Poc et l'expoit fonctionnel est trivial mais pas pour les créateurs de worm (il suffit de voir comment la plupart des worms sont codés pour se faire une idée de leur niveau technique).

3. Le jeudi 29 juin 2006 à 17:05, par jme

Nono président !
Casser pour casser sans apporter aucune solution, ni permettre à l'éditeur de corriger dans un délai raisonnable c'est vraiment stupide. (ah ça pour désassembler y'a du monde mais apparemment, comprendre l'assembleur empêche de comprendre les principes de tests de non réversibilité et d'assurance qualité). Par contre ça permet de se la péter dans les conférence sécurité.

Heureusement, il y a des personnes responsables dans les deux camps.

ps: on va me sortir l'exemple d'Oracle je le sens. L'exception (avec d'autres) qui justifie tout.
ps2: je tente de relancer le trol^H^H^H^H débat.

Je ne te sortirai pas l'exemple Oracle, mais juste un précision, à savoir que dans le cas présent, Metasploit publie son exploit 9 jours après la sortie du _correctif_ par l'éditeur. Comme ça, ça m'évite de marcher dans le troll...

4. Le lundi 3 juillet 2006 à 10:21, par bartavelle

C'est quand même plus simple d'être responsable lorsque tu n'as pas le 0day :)

5. Le lundi 3 juillet 2006 à 11:04, par Sid

Ce que je préfère quand même, c'est encore les advisories en solde, avec impact revu à la baisse par l'éditeur... Comme par exemple un heap overflow distant exploitable en anonymous sur UDP sur un soft assez populaire dont je tairai le nom qui se retrouve en déni de service dans l'advisory :

"the most likely effect will be that the [software] will abort execution due to an internal error, although other unpredictable behavior is possible."

Je pense que tout doit être dans le "unpredictable behavior", comme lancer un shell ou un calc.exe ;) Mais la transformation du "reliable" en "unpredicable" doit faire partie du "responsible disclosure" façon éditeurs...

Fin que 1/4h aigri, retour au taff :)