==Phrack Inc.== Volume 0x0c, Issue 0x41, Phile #0x09 of 0x0f ==Phrack Inc.== |=---------------------------------------------------------------------=| |=---------------=[ Les réseaux secrets de la Défense ]=---------------=| |=---------------------=[ Australienne et FISSO ]=--------------------=| |=---------------------------------------------------------------------=| |=-----------------------------[ The Finn ]----------------------------=| |=-----------------------=[ TheFinn@phrack.org ]=----------------------=| |=---------------------------------------------------------------------=| |=----------=[ Traduit par BeRgA pour arsouyes.org et SOH ]=-----------=| --[ Contents 1. Introduction 2. Le wardialling [NDT-1] et vous 3. Les origines de FISSO 4. Le DoD [NDT-2] et FISSO 5. Une introduction à l'EPL et au CCRA 6. L'EPL et le CCRA en profondeur 7. Autres standards 8. Secrets 9. Conclusion 10. Annexes --[ 1. Introduction Ce document vise à présenter un nouveau réseau secret entretenu par le ministère de la Défense australien. D'après ce que j'en sais, ce réseau est, tout comme le réseau SIPRNET du DoD américain, utilisé avec des logiciels spécialement développés pour l'occasion, dans le but de permettre une meilleure communication dans les procédures, ainsi qu'une meilleure implémentation des systèmes de commande et de contrôle, du renseignement, et de la logistique. Gardez à l'esprit que cet article est basé sur ma propre expérience, mes observations et des hypothèses. A cause de la nature volatile de l'information, il m'arrivera de sortir du cadre de la légalité, en vous présentant certains concepts inhérents à la façon dont les différents ministères de la Défense s'interconnectent et maintiennent donc la même politique de sécurité réseau autour du monde. J'ai pensé que ce document serait une bonne idée, car il m'a fallu des semaines de lecture et de recherche avant de découvrir ces informations, rien que pour savoir où les trouver. J'ai dû lire des documents du genre de ceux qui commencent par vous expliquer comment utiliser un verbe dans un texte, puis qui vous amène à l'utilisation des noms communs...etc... Je vous assure que vous ne voulez pas vous plonger là-dedans ;) --[ 2. Le Wardialling et vous Après avoir wardiallé (technique consistant à identifier les services tournant derrière un numéro de téléphone, à l'image du fingerprinting informatique, NdT) pas mal de numéros, j'ai identifié quelques connexions modems appartenant (évidemment) au DoD mais situées sur une partie du réseau appartenant à la Marine australienne. On ne trouve plus grand chose avec le wardialling aujourd'hui, car de plus en plus de fournisseurs d'accès proposent à leurs clients des accès VPN pour leur assurer une connectivité n'importe où dans le monde. Pourtant, les militaires considèrent toujours les modems comme un bon moyen de communication, étant donné qu'ils peuvent contrôler le point d'accès, et enregistrer son activité. Personnellement, j'utilise THCSCAN, tournant sous Windows, pour faire du wardialling, étant donné qu'il fonctionne très bien en Australie comme ailleurs. (Je précise qu'il fonctionne bien en Australie car ces dernières années, bon nombre d'outils de wardialling utilisaient des règles TRÈS rigoureuses pour vérifier que les numéros testés soient conformes au plan de numérotation US et répondent aux normes d'appel - très ennuyant -_-). Je l'ai toujours sur mes portables - je ne vais nulle part sans lui ;). THC a dû retirer récemment de son site un grand nombre de ses bons outils, à cause des changements de la législation allemande à propos des outils de sécurité informatique, mais grâce à l'équipe de packetstorm, ils sont toujours disponibles là-bas. L'autre outil de wardialling que j'adore utiliser sous linux est iwar. [8] C'est un très bon outil, vous permettant d'utiliser autant de modem que votre machine peut en supporter. Il supporte également l'enregistrement de toutes les données dans une base de données mysql - dont je suis un fan. Ses développeurs travaillent sur une fonctionnalité sip/iax2 qui permettra d'effectuer un appel à travers une passerelle sip, et de scanner le réseau PSTN qui est derrière en utilisant un modem logiciel - ça marche, mais avec quelques petites difficultés pour le moment. C'est encore en progrès. Outil assez sophistiqué, vraiment bien. Il est sûrement utile de noter aussi ici qu'un fournisseur payant [NDT : de service VoIP] comme Free World Dialup vous permettra d'appeler des numéros détaxés aux Etats-Unis, au Royaume Uni ainsi qu'en Hollande gratuitement, en utilisant SIP. Il existe d'autres fournisseurs qui vous permettent aussi d'effectuer des appels locaux gratuits (dans les pays où ils sont détaxés), vous pourrez les trouver en cherchant un peu. De toutes façons, en Australie, la communication locale est malheureusement facturée $0.22c. Donc ce genre d'info est cher à obtenir - même si vous passez vos appels un dimanche à 2h du matin (ce que j'ai fait) - à moins que vous aimiez faire la manche - Ce pour quoi je deviens trop vieux et gros de toutes façons ;) Mais pour vous, jeunes gens maigrelets - le wardialling fonctionne toujours assez bien, les gens devraient en faire - spécialement dans les pays où les appels locaux sont gratuits ! La première fois que j'ai vu ces numéros s'afficher, j'étais assez content. Je ne m'attendais à rien de particulier, et je savais que cela allait retenir mon attention pour un petit bout de temps. Vous devez garder en tête que le DoD est à la fois stupide et digne de votre respect. Ils sont comme la plupart des gros animaux : lents pour bouger, mais s'ils vous atteignent, vous vous retrouverez écrasés comme un vulgaire insecte (cela m'est déjà arrivé). Cependant, c'est impressionnant de voir quelles informations vous pouvez récupérer sur une si grosse cible grâce à quelques simples recherches. J'ai trouvé ces numéros pour la première fois en 2004. Je les avais tous notés, et conservé une copie sûre. Quelques années plus tard, je les ai retesté, simplement pour vérifier s'ils étaient toujours valides. J'ai noté un léger changement - dans la bannière. Voilà la bannière originale qui date de 2004 : ************************************************************************** * CONNECT 57600 * * * * The unauthorised access, use or modification of this computer system * * or the data contained therein or in transit to/from, is prohibited * * by Part VIA of the Commonwealth Crimes Act and other Federal and State * * laws. * * This system is subject to regular audit. * * ---------------------------------------------------------- * * For access problems please log a job through the DRN Customer Support * * Centre. Either phone 133272 or e-mail to * * 'outage.notifications@defence.gov.au'. * * * * **************** * * * * * * User Access Verification * * * * Username: * * NO CARRIER * ************************************************************************** Et voici la bannière de 2006 : ************************************************************************** * CONNECT 36000 CCCC * * The unauthorised access, use or modification of this computer system * * or the data contained therein or in transit to/from, * * is prohibited by Part VIA of the Commonwealth Crimes Act * * and other Federal and State laws. * * * * This system is subject to regular audit. * *----------------------------------------------------------------------- * * For access problems please log a job through the FISSO Support Centre. * * Either phone 02 9359 6000 or e-mail to 'fleet.help@defence.gov.au'. * * * * ***************** * * * * * * User Access Verification * * * * Username: * * NO CARRIER * ************************************************************************** (La partie que j'ai masqué [NDT : La ligne de "*"] contenait la localisation du numéro, et l'identifiant de la ligne, qui est un code pour la maintenance via le serveur terminal je suppose.) Comme vous vous en doutez, je fus plutôt intéressé par la raison qui a poussé à passer d'un DRN (Defense Restricted Network [NDT : Réseau secret de la Défense]) à un FISSO, et par ce qu'est un FISSO J'ai fouillé sur le web, et commencé à lire tous les docs pdf que les militaires australiens avaient déclassifiés et rendus publics. --[ 3. Les origines du FISSO Actuellement, la Royal Australian Navy est en train d'étendre le DRN afin de supporter des protocoles de communications plus robustes (c'est toujours un réseau IP), et de nouveaux services. Ainsi est apparu le FISSO (Fleet Information Systems Support Organisation [NDT : Organisation de support des systèmes d'information sur la flotte]), né de l'ancien groupe de support du DRN de la Marine. Ils implémentent les technologies réseau outre-mer, en collaboration avec le Royaume Uni et les Etats-Unis. Cela permettra de bien meilleures communications entre les différents services armés occidentaux, et par conséquent fournira une meilleure cohésion. C'est là qu'intervient le CCRA. Il est également intéressant de mentionner un projet dont la presse a fait état pendant des années - ECHELON. L'accord entre les Etats-Unis et le Royaume Uni, qui s'est renforcé après la seconde guerre mondiale a permis de partager de vastes quantités de renseignements entre les pays membres, tout comme il a permis le décret du projet ECHELON. Ce nouveau critère pour les mesures de sécurité internationales est une nouvelle brique pour les agences de renseignement. N'oubliez pas - quand vous lisez des articles de presse sur des sujets comme ECHELON, qu'il y a une chose importante, c'est que la plupart des agences de renseignement ne partageront avec PERSONNE, même avec leurs alliés, des informations de haut niveau. Ce qu'elles échangeront, ce sont des choses qu'on désigne habituellement par le terme "terrorisme domestique" - qui, après le 11 septembre, est un terme relatif à la sécurité intérieure Malheureusement, ou heureusement - tout dépend de votre point de vue, si l'on regarde les résultats, la liste elle-même montre clairement quels produits évalués sont utilisés sur de tels réseaux - ce qui a de l'intérêt au moins pour nous. Un des problèmes fondamentaux lorsqu'on met en place des règles, est l'existence de circonstances anormales - des exceptions - dont la plupart d'entre nous sont conscients ;) Créer un critère, puis une procédure d'implémentation pour des dispositifs de sécurité prend beaucoup de temps, coûte cher pour les entreprises qui s'occupent de l'implémentation - étant donné qu'ils doivent payer les équipes du DSD [NDT-3] pour gérer l'évaluation des critères - pour l'implémentation spécifique de leurs produits. Ces règles sont suivies strictement au moment d'une installation particulière. Le poids de la bureaucratie au DSD est hallucinant. Par conséquent, leur habilité à réagir rapidement face à un défaut spécifique dans leur sécurité est DE TEMPS EN TEMPS faible. Ils gardent cependant des mailing-list de sécurité internes, des patchs, et ont souvent un contact direct, non seulement avec les vendeurs de leur produits, mais également avec les développeurs originaux, dont la plupart ne sont pas reliés directement aux produits listés par le CCRA - plus de détails sur ce sujet dans la prochaine section. Vous trouverez même des astuces implémentées dans un réseau contrôlé par le DSD que vous ne trouverez nulle part ailleurs. Vous êtes prévenus. --[ 4. Le DoD australien et FISSO Le FISSO lui-même est une refonte de l'ancien groupe de support du DRN, qui maintenait les anciens réseaux secrets de la Défense pour le DoD. Le FISSO est le nouveau projet (toujours) conduit par la Navy pour le DoD - Rappelez-vous, la Navy a toujours été historiquement en charge de nombreux projets orientés signal avant que d'autres branches des services armés ne soient invités à les rejoindre, ou à utiliser leurs produits - ce qui s'applique, à mon avis, également à l'US Navy. (On prendra le code morse en exemple). Le réseau FISSO est un réseau de support permettant au personnel du DoD de communiquer entre eux n'importe où dans le monde en utilisant des médias de communication bas niveau. C'est-à-dire des portables ou autres petits systèmes informatiques embarquant des modems afin d'aider les officiers et autres officiels à communiquer autour du globe de façon sécurisée, dans des buts départementaux. Le groupe de support du réseau FISSO a eu plusieurs contrats avec des employés du DoD afin de créer un réseau avec plein de petits systèmes réseaux impressionnants et imbriqués. Les officiers sont capables de communiquer avec de la voix sur IP, de la vidéo numérique, des tableaux blancs, des salles de conférence, du chat en mode texte, et plusieurs autres moyens. Ils peuvent échanger des fichiers et communiquer à travers toute partie du réseau qui a été sécurisée par le DSD et l'ancien groupe du DRN. Aspect Computing est toujours en contrat avec le DoD pour le coeur de FISSO et son financement. Etant donné les sommes publiées dans les rapports que j'ai pu lire, je pense qu'ils sont probablement en contrat uniquement pour le logiciel, le matériel, voire les deux, avec la Navy (ma meilleure hypothèse), qui ne doit avoir confiance qu'en les équipes du DoD et du DSD pour l'entretien du centre de support lui-même. (Ils sont peut-être en contrat sur d'autres terrains où un niveau top-secret ou supérieur serait requis) Jusqu'à présent, Aspect Computing a perçu approximativement 2 millions de dollars par an pour son support au FISSO. Ils sont probablement le 3ème tiers du support, intervenant lorsqu'à la fois l'équipe de support de FISSO et KAZ sont incapables de résoudre un problème particulier. KAZ Technology Services est aussi un entrepreneur qui fournit des systèmes de commandement et de support pour les officiers, ainsi que des services d'intégration de systèmes de support. Autant dire que ces types fournissent tous les logiciels de communications vraiment intéressants utilisés par les officiers et le personnel logistique/support pour aider à la prise de décision et la vérification de l'ordonnancement des chaînes de commandement. (Pensez-y comme étant la version australienne de SAIC). Ils ont gagné un contrat de 200 millions de dollars sur 5 ans en 2005 pour fournir le système informatique de bureau à la Royal Navy australienne. KAZ a conservé des relations avec le DoD depuis sa création en 1988 et s'est vu offrir des extensions de contrat de 2 ans jusqu'à 2015. Les équipes de KAZ subissent de rudes contrôles de sécurité afin d'être autorisés à travailler sur le réseau FISSO et ont déjà été héliportés en pleine mer afin de terminer leurs tâches dans le temps imparti. Tiré d'un document de KAZ au sujet de leur solution FISSO : "Derrière ces capacités, l'architecture de haute sécurité de KAZ intègre Lotus Notes R5, Domino, SameTime (architecture fédérée serveur à serveur incluse), LAN/WANs, serveurs MS Windows NT , serveurs terminaux MS Windows Terminal, Citrix Mataframe Xpe 1.0, Ultra Thin Clients, HP-UX et Hummingbird Exceed. L'architecture fonctionne également sur TCP/IP, ISDN, ainsi que sur modem pour connecter la flotte aux services situés un peu partout sur les Intranets de la Défense, avec en plus des boîtes noires cryptographiques en bordure de chaque serveur embarqué, afin de maintenir un niveau de sécurité militaire. KAZ intègre également la technologie SameTime pour étendre les capacités de collaboration de la Navy à un réseau très large des forces de la coalition (COWAN [NDT : Coalition Wide Area Network]), mettant en jeu les systèmes navals appartenant aux forces alliées, comme les Etats-Unis, et le Royaume Uni." [6] Vous noterez l'inférence de KAZ à un réseau COWAN , dont je ne peux trouver aucun autre endroit où il en est fait mention. Cela pourrait être soit une dénomination marketing, soit une information qui s'est échappé des documents les plus confidentiels. Quoi qu'il en soit, il vous faut assumer le fait que KAZ en sait plus à ce sujet que nous, et je trouve intéressant qu'un truc si énorme soit mentionné ici. IBM fournit également du matériel et du logiciel pour le soutien logistique des différents corps armés du DoD. [4] Sun microsystems fournit de l'hard et du soft pour les firewalls de sécurité, mais aussi des dispositifs de contrôle d'accès (des drivers pour des dispositifs RFID ou biométriques, entre autres). [4] Lotus Notes et Domino sont encore largement utilisés à ce jour - ce dont je n'étais pas sûr au début, mais j'en ai discuté avec un ami qui m'a montré le site de KAZ - Je suppose que la Navy est hostile à l'idée de mettre à jour leurs systèmes aussi souvent que le font les entreprises normales. Lotus-Domino 5.0.9 i'm surprised that still exists those docs are old probably doesn't exist now but might still u never know, their beaurecracy is amazing sometimes i actually worked with a prime 9950 at one company didn't even run the newer version of cobol ... took up half a room was sitting next to all the AT&T servers funny stuff http://www.kaz-group.com/subscribe yeah, just to keep some legacy code running yeah wow there ya go dude im gonna add that in the article how may i own thee, let us count the ways.. haha --[ 5. Une introduction à l'EPL et au CCRA. Parlons maintenant les critères en eux-mêmes. Pour le moment, le DSD dispose de deux tables de critères, le système ITSEC et le CCRA, afin évaluer l'éligibilité de produits à une utilisation sur les réseaux gouvernementaux et militaires. Le DSD (Defense Signals Directorate) est le principal corps travaillant sur les communications sécurisées du gouvernement australien, jouant apparemment le même rôle que la NSA aux Etats-Unis. L'EPL (Evaluated Produtcs List [NDT : Liste des produits évalués] est une liste que le DSD crée et maintient qui répertorie tous les produits mis en avant par les vendeurs pour une validation par le DSD, afin de pouvoir les utiliser à haut niveau de sécurité au sein des systèmes et réseaux du gouvernement. Il y a plusieurs critères au DSD qui valident ces produits. Le CCRA (Common Criteria Recognition Arrangement [NDT : Accord de reconnaissance des critères communs] est un accord entre les pays membres de l'OTAN en occident afin d'évaluer et noter un équipement en s'appuyant aussi bien sur des standards que des produits déjà évalués dans le but de pouvoir interconnecter leurs réseaux militaires et gouvernementaux pour pouvoir mieux contrôler vos pauvres petits culs. ;) Pour reconnaître ces pauvres entreprises qui ont dépensé beaucoup de dollars et de temps pour faire évaluer leurs produits, voir pour les faire réévaluer selon le nouveau système international, le CCRA (en tant qu'entité) va autoriser les pays membres qui ont utilisé le système ITSEC (Information Technology Security Criteria) à utiliser pour le momentles produits évalués ITSEC en tant que produits évalués selon le CCRA. Cela signifie que l'EPL pour tous ces pays se tourne maintenant vers le CCRA. Ils regroupent 50 ans de protocole "défense" et manoeuvrent politiquement afin de pouvoir dominer plus librement. Après tout, il ne serait pas cool d'avoir des troupes britanniques dans un petit village pendant que l'US Navy ordonne à des missiles de croisière de le détruire, à 1000 kilomètres de là - les méthodes de communication rapide et les protocoles (militaires) stricts déployés par un réseau de communication comme celui-ci permettrait, dans ce genre de situation, d'être un moindre souci et aurait un million d'autres intérêts. Selon les critères E1-E6 (ITSEC) et EAL1-EAL7 (CCRA), les besoins de secret et de sécurité concernant les informations sensibles sont désignés comme suit : UNCLASSIFIED, IN-CONFIDENCE, RESTRICTED, PROTECTED, National Security/HIGHLY PROTECTED. [NDT-5] Le document identifie les dispositifs de sécurité requis pour interconnecter les différents réseaux, que j'inclus ici : ************************************************************************* * LE RESEAU * ET LE RESEAU DISTANT * ALORS LA PASSERELLE A * * SOURCE EST : * EST : * BESOIN DE : * ************************************************************************* * UNCLASSIFIED * - domaine public. * Un filtre sur le trafic. * * * - UNCLASSIFIED. * * * * - IN-CONFIDENCE. * * * * - PROTECTED. * * * * - HIGHLY PROTECTED or * * * * National Security. * * ************************************************************************* * IN-CONFIDENCE * - domaine public. * Un firewall EAL2. * * * - UNCLASSIFIED. * * ************************************************************************* * * - IN-CONFIDENCE. * Un filtre sur le trafic. * * * - PROTECTED. * * * * - HIGHLY PROTECTED or * * * * National Security. * * ************************************************************************* * RESTRICTED * - domaine public. * Un firewall EAL2. * * * - UNCLASSIFIED. * * * * - IN-CONFIDENCE. * * ************************************************************************* * * - PROTECTED. * Un filtre sur le trafic. * * * - HIGHLY PROTECTED. * * * * National Security. * * ************************************************************************* * PROTECTED * - domaine public. * Un firewall EAL4. * * * - UNCLASSIFIED. * * ************************************************************************* * * - IN-CONFIDENCE. * Un firewall EAL3. * * * - RESTRICTED. * * ************************************************************************* * * - PROTECTED. * Un firewall EAL2. * ************************************************************************* * * - HIGHLY PROTECTED or * Un firewall EAL1. * * * National Security. * * ************************************************************************* Vous voyez les parties intéressantes en rapport avec nos modems identifiés dont il était question au début du document ? J'ai tout de suite noté deux choses. Si quoi que ce soit de classifié "HIGHLY PROTECTED" ou "National Security" est connecté au réseau, nous avons alors un accès modem - Il n'y a qu'un filtre de paquets entre moi et lui - si la classification de l'ancien DRN n'a pas changé (réseau à accès limité). De plus, derrière ce serveur terminal, je peux probablement m'attendre à me trouver face à un firewall évalué EAL2, puisque je suppose [NDT : à juste titre] que le réseau PSTN est classifié comme "domaine public". Cela pourrait même demander une quelconque authentification de type SecureID - One Time Password ou SmartCart. Ce serait la connexion théorique, d'après les types d'équipements spécifiés dans l'EPL, et leur utilité. La topologie réseau devrait facilement inclure des serveurs d'identification à distance. Le serveur terminal lui-même peut être à l'origine d'une connexion PPP avec un client, vous faire passer à travers le concentrateur Cisco VPN 3000 (validé EAL2), vous vous authentifiez là-bas via une clé, et il vous redirige là où vous voulez aller. Arrivé là-bas, vous avez un Firewall-1 Sun (EAL4+) qui vous demande votre One Time Password SecureID, ou autre. Une fois que vous avez franchi tout ça, vous pouvez lire vos mails, télécharger votre pr0n, etc. Une autre chose intéressante à noter - On ne rencontre les firewalls évalués EAL1 que sur les réseaux classifiés PROTECTED, HIGHLY PROTECTED, ou National Security, et seulement là où ils s'interconnectent avec d'autres réseaux ayant la même classification. Si vous trouvez un de ces firewalls, alors vous connaissez l'importance du réseau sur lequel vous vous trouvez. Voici maintenant l'exacte désignation des normes : EAL1 : Testé fonctionnellement. Ce niveau procure un niveau d'assurance élémentaire consistant en une analyse des fonctions de sécurité, basée sur les spécifications fonctionnelles et d'interfaces ainsi que sur les guides, afin de comprendre le comportement de sécurité. L'analyse est appuyée par des tests, effectués de façon indépendante, sur les fonctions de sécurité de la cible d'évaluation (TOE). EAL2 : Testé structurellement. Ce niveau représente un accroissement significatif de l'assurance par rapport au niveau EAL1 en exigeant des tests du développeur, une analyse de vulnérabilité ainsi que des tests réalisés de façon indépendante basés sur des spécifications plus détaillées de la TOE. EAL3 : Testé et vérifié méthodiquement. Ce niveau représente un accroissement significatif de l'assurance par rapport au niveau EAL2 en exigeant une couverture plus complète pour les tests relatifs aux fonctions et mécanismes de sécurité ou des procédures de sécurité, qui fournissent une certaine confiance dans le fait que la TOE ne sera pas altérée au cours du développement. EAL4 : Conçu, testé et vérifié méthodiquement. Ce niveau représente un accroissement significatif de l'assurance par rapport au niveau EAL3 en exigeant plus d'éléments descriptifs issus de la conception, un sous-ensemble de l'implémentation, et des mécanismes ou des procédures perfectionnés qui procurent la confiance dans le fait que la TOE ne sera pas altérée au cours du développement ou de la livraison. EAL5 : Conçu et testé de façon semi-formelle. Ce niveau représente un accroissement significatif de l'assurance par rapport au niveau EAL4 en exigeant des descriptions semi-formelles de la conception, l'implémentation complète, une architecture plus structurée, une analyse des canaux cachés, et des mécanismes ou des procédures perfectionnés qui procurent la confiance dans le fait que la TOE ne sera pas altérée au cours du développement. EAL6 : Vérifié, conçu et testé de façon semi-formelle. Ce niveau représente un accroissement significatif de l'assurance par rapport au niveau EAL5 en exigeant une analyse plus étendue, une représentation structurée de l'implémentation, une architecture plus structurée, une analyse de vulnérabilité effectuée de façon indépendante plus étendue, une identification systématique des canaux cachés, et une gestion de configuration et des contrôles de l'environnement de développement perfectionnés. EAL7 : Vérifié, conçu et testé de façon formelle. Ce niveau représente un accroissement significatif de l'assurance par rapport au niveau EAL6 en exigeant une analyse plus étendue utilisant des représentations formelles, des correspondances formelles ainsi que des tests étendus. [NDT : Traduction française des spécifications EAL tirée de http://www.cse-cst.gc.ca/tutorials/french/section2/m3/s2_3_4_1.htm] Note : Seuls les niveaux 1 à 4 sont actuellement inclus dans le CCRA, et les évaluations des produits qui satisfont au critère 4 présenté ci-dessus sont désignés 4+ dans l'EPL. Voici quelques exemples d'évaluations dans différentes catégories. (L'EPL est séparé en plusieurs dispositifs réseau, et constitue donc la majorité des produits en rapport avec la sécurité des réseaux). Produits biométriques : EAL2 - Iridian Technologies KnoWho Authentication Server and Private ID Dispositifs divers : E1 - NEC S2 (Terminal satellite mobile) EAL1 - SOlution de téléphonie VoIP Cisco Matériels de sécurité réseau EAL1 - Secure Session VPN v4.1.1 EAL2 - Filtre Email pour SMTP SurfControl EAL4 - Pare-Feu Clearswift Bastion II EAL4+ - Pare-Feu Cisco Secure PIX V7.0(6) Systèmes d'exploitation E3 - AIX V4.3 EAL4+ - Sun Trusted Solaris 8/04 EAL4+ - Windows 2000 Pro, Server and Advanced Server with SP3 and Q326886 Hotfix *toux*mensonge*toux* Il y a également des produits SmartCard, PC Security, des solutions de chiffrement, et plein d'autres catégories. Des informations plus détaillées peuvent être trouvées sur le site lui-même pour chacun des produits. --[ 6. L'ELP et le CCRA en profondeur Durant l'année 1998, le Royaume Uni, la France, l'Allemagne et le Canada ont mis en place le CCRA. L'Australie les a rejoints en 1999. Il faudrait noter ici que, selon de la liste des pays membres (avec les informations de contacts), et le site web du DSD, le Japon, la Corée du Sud, les Pays-Bas et la Norvège ont également rejoins le CCRA récemment. Ces critères d'évaluation sont utilisés entre les pays dans n'importe quel type d'accord réseau partagé - ce processus est appelé "Reconnaissance Mutuelle". La philosophie sous-jacente est que les produits outre-mer validés par le DSD, la NSA, et beaucoup d'autres organisations peuvent être utilisés dans d'autres pays sans avoir à être réévalués, les critères étant les mêmes. Bien qu'il puisse être souligné que (au moins au Australie), le DSD fait quelques exceptions pour tous les équipements cryptographiques, qui peuvent subir une évaluation spécifique. (Je me demande si c'est une question de sécurité, ou plutôt de compatibilité). Le manuel de sécurité réseau ACSI33 est également disponible - dans sa copie pour le domaine public [1] - qui ressemble d'assez près au vieux Orange Book du DoD américain [NDT : Manuel définissant des critères et méthodes d'évaluations pour les systèmes informatiques - facilement trouvable en ligne]. Ce manuel définit un grand nombre de standards de sécurité du réseau du DoD ainsi que des critères prérequis pour beaucoup de prétendants à l'approbation du DSD/DoD pour l'EPL. Si vous vérifiez l'EPL elle-même, vous trouverez des rapports de certification de critières et des papiers de sécurité ciblés, détaillant la manière dont le produit a été certifié, ses faiblesses potentielles, comment il devrait être utilisé au DoD, ainsi que tous les détails de contact dont un département du DoD aurait besoin s'il voulait acheter ce produit, ou obtenir plus d'informations à son sujet. Vous y trouverez une liste de courses pour les exploits, des informations de contact pour de l'ingénierie sociale, une liste de ce dont vous devez vous inquiéter une fois que vous avez attaqué un noeud du réseau du DoD, ainsi que les différentes manières de vous cacher des IDS - puisque vous avez la liste des IDS utilisez et que vous pouvez télécharger les fichiers de reconnaissance de signatures pour les passer à travers quelque chose du genre IDA Pro disassembler. Il ne vous reste qu'à modifier votre code/payload pour faire en sorte que l'IDS ne vous remarque plus, l'utilisation de code polymorphique serait une bonne technique à utiliser pour ça une fois que vous avez identifié les pattern surveillés. Depuis les vieux jours du hacking de .mil sur le vieux mildnet (Le réseau IP américain de la Guerre Froide qui été à la fois utilisé pour la recherche et le développement) au début des années 90, beaucoup de choses ont changé. Beaucoup d'arrestations et beaucoup de discussions sur la sécurisation des gouvernements occidentaux. Et pas que ceux là. Depuis le début des années 90, on a vu énormément d'amendements aux lois sur l'informatique partout dans le monde, notamment en Russie, en Chine et en Corée du nord. Il y a plus qu'assez d'informations dans ces documents pour mettre en place une attaque réseau techniquement avancée, quand les diverses organisations militaires seront plus fiables que jamais sur leurs réseaux pour le commandement, le contrôle, la logistique et la communication. Le fait que les EPL des Etats-Unis et du Royaume Uni listent les mêmes produits, avec les mêmes notes - même si certains d'entres eux ont été évalués indépendamment (haha) et encore plus intéressant, poussant plus loin la preuve que les différents réseaux sont maintenant interopérables, ou le deviendront bientôt. Le côté inquiétant est le fait qu'il est relié au plus grand corps militaire du monde : Le DoD américain, qui a utilisé SIPRN pendant des années, depuis qu'ils ont reconstruit le jeune milnet après la Guerre Froide. Le réseau est devenu capable de communiquer au moins avec le réseau australien, tout en étant sécurisé par les démarches de reconnaissance mutuelle définies par les nouveaux standards du CCRA : ils doivent bien évidemment adhérer aux mêmes standards et être validés selon les critères EAL sur les EPL australiennes et américaines. Théorie : Les derniers exploits - voire les plus vieux - pourraient encore fonctionner aujourd'hui sur beaucoup de systèmes, à cause de la manière dont l'EPL est implémentée. Les entreprises doivent payer pour devenir membre de l'EPL. Cela peut coûter jusqu'à 1 million de dollars australien [NDT : 600 000 € au jour de la traduction] pour certifier un produit. Du point de vue des entreprises, plus elles payent, mieux leur marché se porte, puisque plus un de leur produit est évalué "haut" dans l'EPL - en y passant plus de temps et de moyens - moins elles trouvent de concurrents prêts à payer pour atteindre le même niveau de certification. Cela a un impact direct sur les ventes, puisque plus un réseau est bien évalué en terme de sécurité par le DSD, moins les départements ont de choix en ce qui concerne les produits pour le sécuriser. Les DSD, NSA et autres vous donneront une licence pour imprimer de l'argent - du moment que vous LES payez d'abord. Voici un exemple récent de ce qui peut mal se passer, paru dans la presse alors que j'écrivais cet article [7]. Je trouve intéressant que même les consultants en sécurité les plus éduqués ne soient pas conscients de la façon dont la communauté du renseignement fonctionne quand il s'agit d'équipement CCRA/EPL. Qu'ils mentionnent "Le test de pénétration exprime des doutes sur le fait que la certification du firewall à un niveau EAL4+ soit méritée sur les bases des failles qu'il a révélé" me fait sourire. Le fait est qu'une fois qu'une IMPLEMENTATION particulière d'un produit est évaluée et certifiée, cela ne change plus. Il ne serait pas "patché régulièrement" ou même "évalué régulièrement", tout changement ou autre apporté à son implémentation le rendrait non standard, et il ne serait alors plus conforme aux critères pour lesquels il fût évalué originellement - c'est le principe de l'évaluation - en tout cas en ce qui concerne le DSD et la NSA Vous voilà presque retourné à l'adage de l'ancienne NASA, alors que la course vers l'espace était en marche, et qu'ils plaisantaient sur le fait que les russes avaient leurs meilleurs chercheurs impliqués dans leurs projets, alors que le vaisseau US était décomposé en 10,000 petites parties toutes construites à la plus petite enchère par un groupe de personnes choisies en fonction de leur habilité à faire les lèches-culs. C'est le problème de base avec la bureaucratie dans l'armée occidentale. Les bureaucrates passent leur temps à essayer de justifier leur existence, en racontant à tout le monde ce qu'ils font, et les entreprises impliquées veulent toutes pouvoir dire "hey, regarde ce que j'ai fait pour le DoD". Retour à notre réseau sacrément sécurisé: Sans réellement le pénétrer, on ne peut pas savoir si on peut entrer dans le réseau US depuis la partie australienne, ou depuis n'importe où ailleurs, pourtant, les précédentes désignations concernant les connexions entre un réseau PROTECTED et des réseaux classifiés Sécurité Nationale laissent à penser que cela doit être assez simple. Je suppose que, quoiqu'en dise le CCRA, les départements internes des DSD, NSA et autres DoD des différents pays réclameront une lourde sécurité entre les membres de la coalition. Mais cela reste une supposition de ma part, les chefs des différents départements peuvent également vouloir réduire les coûts - cela arrive. Je trouve amusant que dans aucun des départements cités ci-dessus, ou dans aucune des EPL, NSA SELinux ne soit mentionné ;) (Probablement juste le projet favori de quelqu'un). Une supposition que vous pourriez avoir envie de faire est que le réseau ne soit pas rapide en dehors de votre pays. Les transpondeurs satellites basés au sol doivent nécessairement être lents, ceux basés sur les bateaux encore plus. La couverture réseau des zones de combat va être sacrément mauvaise pour les données - en particulier si vous êtes sur une ligne modem. Mais ils sont là. De récents scans satellite montre un grand nombre de balises satellite non-commerciales pour les bandes S et X (qui montrent des transpondeurs en activité dans l'espace), et des signaux de données analogiques qui sont chiffrés de façon à ce qu'aucun scan en bande ne montre quelque chose de valide (vous pouvez cependant voir la bande passante utilisée). Je n'ai pas beaucoup d'informations au sujet du réseau SIPR, n'étant pas aux Etats-Unis (heureusement, ça ne sera pas long avant que quelqu'un d'autre n'écrive un article sur le sujet). Tiré du site web de la DISA : SIPRNET: le Secret IP Router Network (SIPRNET) est le réseau de commandement et de contrôle de données interopérable le plus large du DoD, supportant le GCCS (Global Command and Control System), le DMS (Defense Message System), la planification coopérative et de nombreuses applications classifiées de combat. (Je suppose qu'applications de combat signifie programmes d'entrainement). La connexion directe atteint des débits entre 56 kbps et 155Mbps. Les services d'appel à distance sont disponibles jusqu'à 19,2 kbps. Ces débits sont intéressants, signifiants qu'ils disposent également de connexion modem et de liens ATM probablement plus rapide maintenant, sachant que la page n'a pas été mise à jour depuis le milieu des années 1990. --[ 7. Autres standards Les seuls autres standards que j'ai trouvé qui vaillent le coup d'être mentionnés dans ce document sont les standards de chiffrements. Ils apparaissent également dans le document ACSI33, en détail. L'usage de 3DES et AES pour le chiffrement symétrique et celui de RSA/DH/DSA/ECDH pour le chiffrement asymétrique (échange de clés). Le chiffrement n'est pas mon point fort, pourtant je tiens à signaler que les membres du CCRA s'en remettent au NIST pour la plupart de leurs standards de chiffrement. Le fait est que, et je cite ici presque directement le document ACSI33, les seuls VPNs chiffrés que j'ai pu mettre en place pour les entreprises pour lesquelles j'ai pu travailler utilisaient les algorithmes 3DES sur Cisco IOS. --[ 8. Secrets A la fin de la guerre froide, il y avait probablement des centaines de milliers d'ordinateurs reliés à l'Internet. Presque tous les pays sur Terre avaient QUELQUE CHOSE de connecté. C'est dans les départements de R&D des universités en Australie que je dégotais les accès Internet, et où j'ai développé mes contacts sur la scène hacker à l'époque. En ce temps-là, le Chine et l'URSS étaient tous les deux de grosses menaces à la domination occidentale, pourtant je trouve intéressant de noter que tous les pays membres de ces deux blocs de puissance étaient connectés à Internet à l'époque où la guerre froide battait son plein. Le DoD américain et le DARPA n'ont toujours dévoilé aucun projet en rapport avec l'ingénierie ou l'humanité qu'Internet aurait facilitée, communications mises à part. Celui qui s'interroge sur la signification du vers Storm et autres virus, leur habilité à agir comme frappe autonome contre des infrastructures non militaires, mais plus comme une frappe régional contre des infrastructures régionales. L'hypothèse précipitée de n'importe quelle attaque terroriste biologique, serait que cette infrastructure économique s'effondrerait avec l'infrastructure militaire. Après avoir écrit cette article, je ne suis plus sûr que cette hypothèse soit toujours valide... --[ 9. Conclusion Malgré le fait que je voudrais écrire plus à propos des réseaux dans d'autres pays (Il serait intéressant de fouiller au sujet du Japon et de la France), je n'ai pas vraiment le temps pour du wardialling ou pour faire des recherches sur autant de réseaux dans autant de pays. Cela devrait venir plus tard, par d'autres rédacteurs. Mais gardez en tête que les Etats-Unis sont ceux qui dépensent le plus en industrie militaires et la tendance est aux projets militaires mondiaux, dans le but de ne pas pouvoir être pénétrés, ni même découverts, ils sont donc probablement votre moins bonne cible. Comme le réseau semble être interconnecté avec d'autres pays de l'OTAN, un pays dépensant moins pour ça devrait vous donner de meilleurs résultats. De toutes façons, les standards sont les mêmes partout, toutes ces informations devraient rester valides tant que vous êtes à l'intérieur, ou en train d'observer, un réseau d'un des pays membres. Je pense que beaucoup de gens dans les divers départements militaires autour du monde qui font partie de l'organisation de ce réseau particulier seraient assez embarrassés de voir que ces informations sont si faciles à avoir. La sécurité par l'obscurité est une autre ancienne technique qui semble avoir suivi la voie du train à vapeur - même pour ceux qui devraient s'inquiéter le plus de l'obscurité et la sécurité de leurs données. N'importe quel hacker qui pratique depuis suffisamment longtemps peut vous dire qu'il y a un moyen de contourner n'importe quel système - si vous avez l'avantage supplémentaire d'avoir beaucoup d'hommes qui sont prêts à venir dans votre pays et "enfoncer la porte" pour récupérer certaines informations, les gens qui en sont en charge devraient être inquiets. Si l'on peut glaner tout ça depuis le niveau de sécurité "domaine publique", imaginez un peu avoir accès à la documentation présente sur un réseau classé IN-CONFIDENCE. Grâce à ma propre expérience, j'ai travaillé pour le DSD australien sur différents contrats, j'ai souvent trouvé que la sécurité de leurs données réseau était très dépendante d'une ou deux applications achetées à des organisations extérieures - pauvrement implémentées, et avec uniquement de très rudimentaires mesures de sécurité. Même le fait que j'ai travaillé là-bas - avec un casier judiciaire en rapport avec l'intrusion dans des systèmes informatiques du commonwealth, l'insertion de données dans des systèmes informatiques du commonwealth, et des fraudes au système de cartes bancaires - était une faille de sécurité. Un des premiers ordinateurs que j'ai pénétré, je l'ai fait grâce à un snarfer de paquets en COBOL. J'ai réécrit tous les screens pour toutes les machines auxquelles les serveurs terminaux viendraient se connecter. Puis, depuis un compte obtenu en regardant par dessus l'épaule de quelqu'un, j'ai lancé le snarfer, qui a fait croire que je m'étais déconnecté. Je ne l'étais en réalité pas, le programme tournait, et ressemblait à l'écran de login. Quand vous entriez votre couple login/password, cela donnait l'habituel "Echec de l'authentification" ou tout autre message d'erreur (cela dépendait de là où vous vous logguiez), l'enregistrait dans un fichier d'un autre compte - qui avait le droit d'écriture afin que les autres comptes puissent écrire dans le dossier. Ensuite, le programme se déconnectait - et redonnait à l'utilisateur son écran de login normal. Complètement invisible, et vraiment peu avaient effectivement tapé un mauvais mot de passe. 8 ans plus tard, je travaillais pour cette entreprise en contrat avec le DSD, je me suis retrouvé dans des bases de l'air force, des centre logistiques de la Navy, et beaucoup d'autres départements de sécurité informatiques à haut niveau dans le gouvernement. La sécurité physique n'était pas un problème - même si, avec un contrôle rigoureux de mon passé - je n'aurais jamais été autorisé à être là. Dans ces derniers mois, j'ai vu de nombreuses discussions dans la presse au sujet de botnets, de vecteurs d'attaque de sources inconnues, et de redoutables hackers "black hats". Le dernier rire que j'ai eu était quand j'ai lu les stats de google qui disaient que plus de systèmes UNIX avaient été compromis que de systèmes Windows, et le journaliste ne comprenait alors pas comment Unix pouvait être considéré comme plus sécurisé que Windows. Ils ne comprennent toujours pas aujourd'hui POURQUOI les systèmes *NIX et OpenSource sont plus sûrs - Je ne vais pas faire leur éducation. La création d'une aire de frénésie, ainsi que la complaisance dans un environnement de sécurité est complètement inconstructif, l'utilisation de "facteurs connus" à travers l'utilisation d'amis et autres associés l'est tout autant. Les raisons à cela sont simples et sont effectivement définies par une des dernières parutions de presse de la Maison Blanche. "Le dernier jour, nous ne serons pas perdus à cause d'un manque de force ou un manque d'équipement. Nous serons perdus à cause d'un manque de confiance." --[ 10. Annexes Acronymes: --------- [i] RAN - Royal Australian Navy [ii] FISSO - Fleet Information System Support Organisation. [iii] DSD - Defence Signals Directorate. [iv] DoD - Department of Defence. [v] DRN - Defence Restricted Network. [vi] NSA - National Security Agency (USA). [vii] SIPRN - Secret IP Router Network (US DoD). Resources: ----------- [1] http://www.dsd.gov.au/library/infosec/acsi33.html [2] http://www.cesg.gov.uk/site/iacs/index.cfm? menuSelected=1&displayPage=151 [3] http://www.defence.gov.au/dmo/id/cic_contracts/Values2001-2002.pdf [4] http://www.yaffa.com.au/defence/pdf/05/top40-20-2004.pdf [5] http://www.disa.mil/main/prodsol/data.html [6] http://www.kaz-group.com/files/casestudies/cs_ran.pdf [7] http://www.theregister.co.uk/2007/10/03/check_point_pentest/ [8] http://www.softwink.com/iwar/ [9] http://www2.packetstormsecurity.org/cgi-bin/search/search.cgi? searchvalue=thefinn&type=archives&%5Bsearch%5D.x=0&%5Bsearch%5D.y=0 Traduction : ------------ [NDT-1] Le wardialling est une technique visant à scanner un large panel de numéros de téléphones afin d'identifier les services tournant derrière. Cela peut s'apparenter à la cartographie et au fingerprinting sur les réseaux IP. [NDT-2] Department Of Defense, l'équivalent de notre Ministère de la Défense français. [NDT-3] Defence Signals Directorate, agence nationale australienne chargée de la collecte, l'analyse et la distribution des signaux étrangers (SigInt) [NDT-4] Aspect Computing est une société australienne qui fournit des services d'audit et de consulting [NDT-5] Ces niveaux de classification d'informations sensibles sont spécifiques aux USA. En France, on peut faire le parallèle avec les dénominations « Très secret défense », « Secret défense», « Confidentiel défense», « Diffusion restreinte » et « Déclassifié ». Ils s'intègrent dans une politique de sécurité définissant le niveau de sensibilité d'une information, et par conséquent ses droits d'accès.