Discussion :

[Idelways]

Un chercheur expose des failles du noyau de Linux
Pour l'améliorer, Red Hat et la NSA verraient ses efforts d'un mauvais œil




Expert reconnu du Kernel, le chercheur Brad Spengler a présenté hier sa vision de la sécurité de Linux durant la conférence LinuxCon qui se déroule cette semaine à Boston.

Spengler y a par exemple parlé de « Enlightenment », un exploit de son cru qui permet - ni plus ni moins - de désactiver la politique de sécurité de Linux, y compris SELinux et AppArmor.

« Enlightenment » qui prouve, selon lui, que les contrôles d'accès ne sont pas la protection ultime, mais doivent plus être considérés comme une dernière ligne de défense.

Spengler affirme avoir codé 11 autres exploits du Kernel durant les dernières années. Des efforts qui ont aidé à rendre Linux plus sûr.

Il explique son acharnement à produire autant d'exploits par la passivité des entreprises qui développent Linux, à commencer par Red Hat qui n'a réagi à aucun de ses 7 premiers exploits qui menaçaient la sécurité des utilisateurs de Red Hat Entreprise Linux.

Ce n'est qu'au bout du huitième que l'entreprise aurait finalement réagi en corrigeant toutes les failles. Pour lui, seules les failles rendues publiques semblent pouvoir produire un changement dans la perception de la sécurité (lire par ailleurs : Google veut réinventer les règles de divulgation des failles)

Si l'on se doute que Red Hat ne sera pas ravi par ces affirmations, d'autres sont aussi passablement énervés par les travaux de Spengler. La NSA (Agence de Sécurité Nationale), qui a participé au développement de SELinux, voit ses efforts d'un très mauvais œil.

Elle aurait même réagi en contactant, non pas le chercheur, mais son employeur afin de nuire à sa carrière.

Mais pour lui la fin justifie les moyens et SELinux serait à présent un bien meilleur produit.

Spengler présente aussi un ensemble de pistes pour améliorer la sécurité de Linux.

Il suggère en premier lieu l'usage de la « randomisation de l'espace d'adressage » (ASLR), une technique d'adressage aléatoire des objets partagés dans la mémoire. Cette technique pourrait compliquer les attaques qui exploitent les adressages mémoires écrits en dur.

Il propose également de retirer du noyau ce qu'il appelle des « infoleaks » (fuites d'informations) comme que la fonction « slabinfo » qui rapporte la taille des blocks de mémoire et peut être potentiellement utilisée par les pirates.

D'autres éléments du Kernel mériteraient également d'être mieux sécurisés, comme « syscall », la table des appels système qui doit être selon lui passée en lecture-seule.

Mais selon Spengler, la sécurité ne concerne pas que les développeurs. Des mesures prises par les administrateurs et les utilisateurs peuvent aussi mener à des systèmes plus sûrs.

Pour mémoire, Brad Spengler est l'expert en sécurité à l'origine du projet « grsecurity », un patch permettant d'ajouter des fonctionnalités de sécurité au noyau Linux.



Source : Site de LinuxCon


Lire aussi :

Kernel 2.6.35 : amélioration de la gestion du multi-coeur et des performances réseaux, Google contribue activement au noyau de l'OS

Google veut réinventer les règles de divulgation des failles, et publie un guide de bonne conduite pour mettre la pression sur les éditeurs : Microsoft visé ?

Windows : nouvelle faille mineure dans le noyau, Travis Ormandy de Google l'utilise tout de même pour critiquer Microsoft

La sécurité d'Android remise en question, au BlackHat 2010 à cause de failles de Linux non-patchés et du système de permission

Les rubriques (actu, forums, tutos) de Développez :

Linux Professionnel
Sécurité
Systèmes



Et vous ?

Quelles sont les mesures que vous recommandez pour augmenter la sécurité de Linux ?



En collaboration avec Gordon Fowler

[Tetem]

Déja, un bon administrateur qui connait bien son boulot et le système qu'il administre, ce serai déja une révolution en termes de sécurité pour les entreprises !

[sevyc64]

Ben pour une fois que "Failles de sécurité" ne rime pas avec Windows et Microsoft, ça me rassure si besoin en était.

[dams78]

Du coup, doit on tout publier? Puisque apparemment dès qu'il s'agit d'une société elle en fait un peu qu'à sa tête, peut être qu'avec une assoc (genre Mozilla) c'est différent...?

[kain_tn]

Ben pour une fois que "Failles de sécurité" ne rime pas avec Windows et Microsoft, ça me rassure si besoin en était.

Enfin bon, au moins là, personne ne râle (mis à part Red Hat et la NSA) parce que les exploits ont été rendus publics

Du coup, doit-on tout publier? Puisque apparemment dès qu'il s'agit d'une société elle en fait un peu qu'à sa tête, peut-être qu'avec une assoc (genre Mozilla) c'est différent...?

Oui, tout publier a du bon. Je ne vois pas pourquoi ça devrait être différent selon l'OS ou la société.

[Hellwing]

Et un troll, un!

Enfin bon, au moins là, personne ne râle (mis à part Red Hat et la NSA) parce que les exploits ont été rendus publics



Oui, tout publier a du bon. Je ne vois pas pourquoi ça devrait être différent selon l'OS ou la société.

Tout publier, mais quand et à qui ?

[GanYoshi]

Tout publier, mais quand et à qui ?

Quand tu veux et à tout le monde, sinon ils se bougent pas le cul, que ça soit M$, Apple ou les sociétés supportant linux.

[SYL666]

D'un coté, je suis très d'accord avec lui ... il suffit de voir que coté Microsoft, l'ASLR est présent depuis pas mal de temps. Linux est assez à la traine. Un coup de pied dans la fourmilière est parfois nécessaire pour en refaire les fondations.

Mais d'un autre coté, il faut aussi prendre en compte le nombre de serveur qui tournent sur le Net dont les admins ne cherchent pas vraiment à protéger via des patchs.

Le problème, je pense, c'est justement qu'il y a une fausse idée sur laquelle Linux serait plus sécurisé que Windows. Alors il n'y a pas à s'en faire.
Pourtant, cette affirmation est bien entendu ridicule.

[shaoling]

Ben chaque entreprise qui développe sa distribution linux gère son noyau comme elle l'entend.
Enfin moi je vois les choses comme ça en tout cas ^^.

[GCSX_]

C'est amusant de voir que quand on attaque Linux (qui est censé être le gentil), on risque sa place, alors que quand on s'en prend à Microsoft (qui est censé être le méchant), on ne risque finalement pas grand chose...

Qui sait combien de failles restent encore tapis dans les méandres du noyau Linux? Et qui osera les publier?

Au moins, avec les payants (sous entendu Microsoft et Apple), on ne risque pas sa carrière en faisant des remarques constructives...

[OphayLili]

Publier les failles de sécurité lorsque les sociétés ne réagissent pas ...

J'aimerais proposer une piste de réflexion sur cette pratique.

Pourquoi certains chercheurs cherchent-ils des failles de sécurité sur différent système ?

-> Pour rendre le système plus sur au yeux de l'utilisateur.

Qui est le premier concerné par la sécurité ?

-> L'utilisateur ( particulier, entreprises, administration etc ... ). Ils représentent surement plus de 99% des utilisateurs d'un système / logiciel.

Qui les chercheurs essayent-ils de défendre en cherchant de nouvelles failles de sécurité ?

-> L'utilisateur.

Maintenant, ma question est la suivante :

Un exploit, comme son nom l'indique, est un exploit, ce qui veut dire qu'un expert en sécurité informatique, à du travailler des journées entière sur ce genre de faille, pour, souvent, être le premier à les découvrir. Publier au grand public ( malveillant, et autres experts ) n'est-il pas le meilleur moyen de justement, rendre dangereuse une faille qui aurait peut être mis plusieurs mois a être découvertes par des pirates, plutôt que de le divulguer uniquement aux société éditrice. Je ne critique en rien le comportement de ces braves hommes, mais, en faisant ça, ils mettent en jeu la sécurité de l'utilisateur ...

Mais ...

Reprenons mes questions de base :

Qui les chercheurs essayent-ils de défendre en cherchant de nouvelles failles de sécurité ?

A méditer.

[SYL666]

Un exploit, comme son nom l'indique, est un exploit, ce qui veut dire qu'un expert en sécurité informatique, à du travailler des journées entière sur ce genre de faille, pour, souvent, être le premier à les découvrir. Publier au grand public ( malveillant, et autres experts ) n'est-il pas le meilleur moyen de justement, rendre dangereuse une faille qui aurait peut-être mis plusieurs mois a être découverte par des pirates, plutôt que de le divulguer uniquement aux sociétés éditrices. Je ne critique en rien le comportement de ces braves hommes, mais, en faisant ça, il mettent en jeu la sécurité de l'utilisateur ...

En fait, ce qui se passe, à mon avis, comme pour le gros problème sur le protocole DNS l'année dernière par exemple, c'est que le chercheur confie sa trouvaille aux éditeurs, et probablement les 2 parties essaient de trouver une solution.

Maintenant, le problème est que souvent, probablement par fainéantise, ou par manque de ressource, les éditeurs préfèrent ignorer la faille tant que celle ci n'est pas exploitée. Donc un ultimatum sur la publication est le seul moyen de secouer un peu les éditeurs.

Et bien entendu, il ne faut pas oublier le moment de gloire lors de la publication de la faille. Ca fait bien sur un CV de sécurité on va dire.

[Marco46]

Pour compléter SYL666, ne pas oublier non plus qu'il y a des criminels qui vivent d'activités criminelles via Internet. Et je parle pas seulement du spammeur qui fait ça de son garage mais bien de mafias qui font de la rançon à la DOS attack, etc ... . Ça existe, et eux ont les moyens de payer des équipes de recherche de failles de sécurité pour trouver un bon mode de contagion pour la prochaine version du BotNet qui va bien ...

Ne pas négliger cet aspect là non plus.

[koala01]

Salut,

Vu le nombre de correctifs que Microsoft sort chaque mois pour ses OS, je ne sais pas s'il y a beaucoup de failles connues et non corrigées depuis des années dans Windows. Ou alors c'est parce qu'elles ne peuvent pas l'être.
Il ne faut pas tout mélanger. Une faille peut exister depuis des années, mais si elle n'a été découverte que la semaine dernière, il aurait été difficile de la corriger, il y a 2 ans

Et pourtant: je me rappelle d'un sérieux "black out" généré par une faille sur dans le noyau windows de l'époque qui avait été clairement identifiée depuis... deux ans sans être colmatée.

Un "petit malin" avait en effet décidé de l'utiliser pour infester un maximum de pc et les faire lancer une attaque DOS

Comme par hasard, le correctif est sorti la semaine qui a suivi l'attaque

Je n'ai rien contre les failles qui sont découvertes aujourd'hui sur un ancien noyau, cela peut arriver... Mais quand une faille est découverte, la moindre des choses est... de tout mettre en oeuvre pour la colmater, si possible, avant que quelqu'un n'essaye d'en profiter réellement, non

[dams78]

Je n'ai rien contre les failles qui sont découvertes aujourd'hui sur un ancien noyau, cela peut arriver... Mais quand une faille est découverte, la moindre des choses est... de tout mettre en oeuvre pour la colmater, si possible, avant que quelqu'un n'essaye d'en profiter réellement, non

Je pense que tout dépend du contexte, pourquoi une entreprise irait perdre de l'argent à colmater une faille? Si cette faille est rendue publique ou très utilisée cela va entacher son image de marque donc là effectivement elle va pouvoir débloquer des ressources, mais sinon quel bénéfice elle va en tirer?