==Phrack Inc.==
Volume 0x0c, Issue 0x41, Phile #0x09 of 0x0f
==Phrack Inc.==
|=---------------------------------------------------------------------=|
|=---------------=[ Les réseaux secrets de la Défense ]=---------------=|
|=---------------------=[ Australienne et FISSO ]=--------------------=|
|=---------------------------------------------------------------------=|
|=-----------------------------[ The Finn ]----------------------------=|
|=-----------------------=[ TheFinn@phrack.org ]=----------------------=|
|=---------------------------------------------------------------------=|
|=----------=[ Traduit par BeRgA pour arsouyes.org et SOH ]=-----------=|
--[ Contents
1. Introduction
2. Le wardialling [NDT-1] et vous
3. Les origines de FISSO
4. Le DoD [NDT-2] et FISSO
5. Une introduction à l'EPL et au CCRA
6. L'EPL et le CCRA en profondeur
7. Autres standards
8. Secrets
9. Conclusion
10. Annexes
--[ 1. Introduction
Ce document vise à présenter un nouveau réseau secret entretenu par
le ministère de la Défense australien. D'après ce que j'en sais, ce
réseau est, tout comme le réseau SIPRNET du DoD américain, utilisé avec
des logiciels spécialement développés pour l'occasion, dans le but de
permettre une meilleure communication dans les procédures, ainsi qu'une
meilleure implémentation des systèmes de commande et de contrôle, du
renseignement, et de la logistique.
Gardez à l'esprit que cet article est basé sur ma propre expérience,
mes observations et des hypothèses. A cause de la nature volatile de
l'information, il m'arrivera de sortir du cadre de la légalité, en vous
présentant certains concepts inhérents à la façon dont les différents
ministères de la Défense s'interconnectent et maintiennent donc la même
politique de sécurité
réseau autour du monde.
J'ai pensé que ce document serait une bonne idée, car il m'a fallu des
semaines de lecture et de recherche avant de découvrir ces informations,
rien que pour savoir où les trouver. J'ai dû lire des documents du genre
de ceux qui commencent par vous expliquer comment utiliser un verbe dans
un texte, puis qui vous amène à l'utilisation des noms communs...etc...
Je vous assure que vous ne voulez pas vous plonger là-dedans ;)
--[ 2. Le Wardialling et vous
Après avoir wardiallé (technique consistant à identifier les services
tournant derrière un numéro de téléphone, à l'image du fingerprinting
informatique, NdT) pas mal de numéros, j'ai identifié quelques connexions
modems appartenant (évidemment) au DoD mais situées sur une partie du
réseau appartenant à la Marine australienne.
On ne trouve plus grand chose avec le wardialling aujourd'hui, car de plus
en plus de fournisseurs d'accès proposent à leurs clients des accès VPN
pour leur assurer une connectivité n'importe où dans le monde. Pourtant,
les militaires considèrent toujours les modems comme un bon moyen de
communication, étant donné qu'ils peuvent contrôler le point d'accès,
et enregistrer son activité.
Personnellement, j'utilise THCSCAN, tournant sous Windows, pour faire
du wardialling, étant donné qu'il fonctionne très bien en Australie
comme ailleurs. (Je précise qu'il fonctionne bien en Australie car
ces dernières années, bon nombre d'outils de wardialling utilisaient
des règles TRÈS rigoureuses pour vérifier que les numéros testés soient
conformes au plan de numérotation US et répondent aux normes d'appel -
très ennuyant -_-). Je l'ai toujours sur mes portables - je ne vais nulle
part sans lui ;). THC a dû retirer récemment de son site un grand nombre
de ses bons outils, à cause des changements de la législation allemande
à propos des outils de sécurité informatique, mais grâce à l'équipe de
packetstorm, ils sont toujours disponibles là-bas.
L'autre outil de wardialling que j'adore utiliser sous linux est iwar. [8]
C'est un très bon outil, vous permettant d'utiliser autant de modem que
votre machine peut en supporter. Il supporte également l'enregistrement
de toutes les données dans une base de données mysql - dont je suis
un fan. Ses développeurs travaillent sur une fonctionnalité sip/iax2
qui permettra d'effectuer un appel à travers une passerelle sip, et de
scanner le réseau PSTN qui est derrière en utilisant un modem logiciel -
ça marche, mais avec quelques petites difficultés pour le moment. C'est
encore en progrès. Outil assez sophistiqué, vraiment bien.
Il est sûrement utile de noter aussi ici qu'un fournisseur payant [NDT :
de service VoIP] comme Free World Dialup vous permettra d'appeler des
numéros détaxés aux Etats-Unis, au Royaume Uni ainsi qu'en Hollande
gratuitement, en utilisant SIP. Il existe d'autres fournisseurs qui vous
permettent aussi d'effectuer des appels locaux gratuits (dans les pays
où ils sont détaxés), vous pourrez les trouver en cherchant un peu.
De toutes façons, en Australie, la communication locale est
malheureusement facturée $0.22c. Donc ce genre d'info est cher à obtenir
- même si vous passez vos appels un dimanche à 2h du matin (ce que j'ai
fait) - à moins que vous aimiez faire la manche - Ce pour quoi je deviens
trop vieux et gros de toutes façons ;)
Mais pour vous, jeunes gens maigrelets - le wardialling fonctionne
toujours assez bien, les gens devraient en faire - spécialement dans
les pays où les appels locaux sont gratuits !
La première fois que j'ai vu ces numéros s'afficher, j'étais assez
content. Je ne m'attendais à rien de particulier, et je savais que
cela allait retenir mon attention pour un petit bout de temps. Vous
devez garder en tête que le DoD est à la fois stupide et digne de votre
respect. Ils sont comme la plupart des gros animaux : lents pour bouger,
mais s'ils vous atteignent, vous vous retrouverez écrasés comme un
vulgaire insecte (cela m'est déjà arrivé).
Cependant, c'est impressionnant de voir quelles informations vous pouvez
récupérer sur une si grosse cible grâce à quelques simples recherches.
J'ai trouvé ces numéros pour la première fois en 2004. Je les avais tous
notés, et conservé une copie sûre. Quelques années plus tard, je les ai
retesté, simplement pour vérifier s'ils étaient toujours valides.
J'ai noté un léger changement - dans la bannière.
Voilà la bannière originale qui date de 2004 :
**************************************************************************
* CONNECT 57600 *
* *
* The unauthorised access, use or modification of this computer system *
* or the data contained therein or in transit to/from, is prohibited *
* by Part VIA of the Commonwealth Crimes Act and other Federal and State *
* laws. *
* This system is subject to regular audit. *
* ---------------------------------------------------------- *
* For access problems please log a job through the DRN Customer Support *
* Centre. Either phone 133272 or e-mail to *
* 'outage.notifications@defence.gov.au'. *
* *
* **************** *
* *
* *
* User Access Verification *
* *
* Username: *
* NO CARRIER *
**************************************************************************
Et voici la bannière de 2006 :
**************************************************************************
* CONNECT 36000 CCCC *
* The unauthorised access, use or modification of this computer system *
* or the data contained therein or in transit to/from, *
* is prohibited by Part VIA of the Commonwealth Crimes Act *
* and other Federal and State laws. *
* *
* This system is subject to regular audit. *
*----------------------------------------------------------------------- *
* For access problems please log a job through the FISSO Support Centre. *
* Either phone 02 9359 6000 or e-mail to 'fleet.help@defence.gov.au'. *
* *
* ***************** *
* *
* *
* User Access Verification *
* *
* Username: *
* NO CARRIER *
**************************************************************************
(La partie que j'ai masqué [NDT : La ligne de "*"] contenait la
localisation du numéro, et l'identifiant de la ligne, qui est un code
pour la maintenance via le serveur terminal je suppose.)
Comme vous vous en doutez, je fus plutôt intéressé par la raison qui
a poussé à passer d'un DRN (Defense Restricted Network [NDT : Réseau
secret de la Défense]) à un FISSO, et par ce qu'est un FISSO
J'ai fouillé sur le web, et commencé à lire tous les docs pdf que les
militaires australiens avaient déclassifiés et rendus publics.
--[ 3. Les origines du FISSO
Actuellement, la Royal Australian Navy est en train d'étendre le DRN
afin de supporter des protocoles de communications plus robustes
(c'est toujours un réseau IP), et de nouveaux services. Ainsi est
apparu le FISSO (Fleet Information Systems Support Organisation [NDT :
Organisation de support des systèmes d'information sur la flotte]),
né de l'ancien groupe de support du DRN de la Marine.
Ils implémentent les technologies réseau outre-mer, en collaboration
avec le Royaume Uni et les Etats-Unis. Cela permettra de bien meilleures
communications entre les différents services armés occidentaux, et
par conséquent fournira une meilleure cohésion. C'est là qu'intervient
le CCRA.
Il est également intéressant de mentionner un projet dont la presse a
fait état pendant des années - ECHELON. L'accord entre les Etats-Unis
et le Royaume Uni, qui s'est renforcé après la seconde guerre mondiale a
permis de partager de vastes quantités de renseignements entre les pays
membres, tout comme il a permis le décret du projet ECHELON. Ce nouveau
critère pour les mesures de sécurité internationales est une nouvelle
brique pour les agences de renseignement.
N'oubliez pas - quand vous lisez des articles de presse sur des sujets
comme ECHELON, qu'il y a une chose importante, c'est que la plupart des
agences de renseignement ne partageront avec PERSONNE, même avec leurs
alliés, des informations de haut niveau. Ce qu'elles échangeront, ce
sont des choses qu'on désigne habituellement par le terme "terrorisme
domestique" - qui, après le 11 septembre, est un terme relatif à la
sécurité intérieure
Malheureusement, ou heureusement - tout dépend de votre point de vue,
si l'on regarde les résultats, la liste elle-même montre clairement
quels produits évalués sont utilisés sur de tels réseaux - ce qui a de
l'intérêt au moins pour nous.
Un des problèmes fondamentaux lorsqu'on met en place des règles, est
l'existence de circonstances anormales - des exceptions - dont la plupart
d'entre nous sont conscients ;)
Créer un critère, puis une procédure d'implémentation pour des dispositifs
de sécurité prend beaucoup de temps, coûte cher pour les entreprises
qui s'occupent de l'implémentation - étant donné qu'ils doivent payer
les équipes du DSD [NDT-3] pour gérer l'évaluation des critères - pour
l'implémentation spécifique de leurs produits.
Ces règles sont suivies strictement au moment d'une installation
particulière.
Le poids de la bureaucratie au DSD est hallucinant. Par conséquent,
leur habilité à réagir rapidement face à un défaut spécifique dans
leur sécurité est DE TEMPS EN TEMPS faible. Ils gardent cependant des
mailing-list de sécurité internes, des patchs, et ont souvent un contact
direct, non seulement avec les vendeurs de leur produits, mais également
avec les développeurs originaux, dont la plupart ne sont pas reliés
directement aux produits listés par le CCRA - plus de détails sur ce
sujet dans la prochaine section.
Vous trouverez même des astuces implémentées dans un réseau contrôlé
par le DSD que vous ne trouverez nulle part ailleurs. Vous êtes prévenus.
--[ 4. Le DoD australien et FISSO
Le FISSO lui-même est une refonte de l'ancien groupe de support du DRN,
qui maintenait les anciens réseaux secrets de la Défense pour le DoD. Le
FISSO est le nouveau projet (toujours) conduit par la Navy pour le DoD -
Rappelez-vous, la Navy a toujours été historiquement en charge de nombreux
projets orientés signal avant que d'autres branches des services armés
ne soient invités à les rejoindre, ou à utiliser leurs produits - ce
qui s'applique, à mon avis, également à l'US Navy. (On prendra le code
morse en exemple).
Le réseau FISSO est un réseau de support permettant au personnel du DoD de
communiquer entre eux n'importe où dans le monde en utilisant des médias
de communication bas niveau. C'est-à-dire des portables ou autres petits
systèmes informatiques embarquant des modems afin d'aider les officiers
et autres officiels à communiquer autour du globe de façon sécurisée,
dans des buts départementaux.
Le groupe de support du réseau FISSO a eu plusieurs contrats avec des
employés du DoD afin de créer un réseau avec plein de petits systèmes
réseaux impressionnants et imbriqués. Les officiers sont capables de
communiquer avec de la voix sur IP, de la vidéo numérique, des tableaux
blancs, des salles de conférence, du chat en mode texte, et plusieurs
autres moyens. Ils peuvent échanger des fichiers et communiquer à travers
toute partie du réseau qui a été sécurisée par le DSD et l'ancien groupe
du DRN.
Aspect Computing est toujours en contrat avec le DoD pour le coeur de
FISSO et son financement. Etant donné les sommes publiées dans les
rapports que j'ai pu lire, je pense qu'ils sont probablement en contrat
uniquement pour le logiciel, le matériel, voire les deux, avec la Navy
(ma meilleure hypothèse), qui ne doit avoir confiance qu'en les équipes
du DoD et du DSD pour l'entretien du centre de support lui-même. (Ils
sont peut-être en contrat sur d'autres terrains où un niveau top-secret
ou supérieur serait requis)
Jusqu'à présent, Aspect Computing a perçu approximativement 2 millions
de dollars par an pour son support au FISSO. Ils sont probablement le
3ème tiers du support, intervenant lorsqu'à la fois l'équipe de support
de FISSO et KAZ sont incapables de résoudre un problème particulier.
KAZ Technology Services est aussi un entrepreneur qui fournit des
systèmes de commandement et de support pour les officiers, ainsi que des
services d'intégration de systèmes de support. Autant dire que ces types
fournissent tous les logiciels de communications vraiment intéressants
utilisés par les officiers et le personnel logistique/support pour
aider à la prise de décision et la vérification de l'ordonnancement des
chaînes de commandement. (Pensez-y comme étant la version australienne
de SAIC). Ils ont gagné un contrat de 200 millions de dollars sur 5
ans en 2005 pour fournir le système informatique de bureau à la Royal
Navy australienne. KAZ a conservé des relations avec le DoD depuis sa
création en 1988 et s'est vu offrir des extensions de contrat de 2 ans
jusqu'à 2015.
Les équipes de KAZ subissent de rudes contrôles de sécurité afin d'être
autorisés à travailler sur le réseau FISSO et ont déjà été héliportés
en pleine mer afin de terminer leurs tâches dans le temps imparti.
Tiré d'un document de KAZ au sujet de leur solution FISSO : "Derrière ces
capacités, l'architecture de haute sécurité de KAZ intègre Lotus Notes
R5, Domino, SameTime (architecture fédérée serveur à serveur incluse),
LAN/WANs, serveurs MS Windows NT , serveurs terminaux MS Windows Terminal,
Citrix Mataframe Xpe 1.0, Ultra Thin Clients, HP-UX et Hummingbird Exceed.
L'architecture fonctionne également sur TCP/IP, ISDN, ainsi que sur
modem pour connecter la flotte aux services situés un peu partout sur les
Intranets de la Défense, avec en plus des boîtes noires cryptographiques
en bordure de chaque serveur embarqué, afin de maintenir un niveau de
sécurité militaire.
KAZ intègre également la technologie SameTime pour étendre les capacités
de collaboration de la Navy à un réseau très large des forces de la
coalition (COWAN [NDT : Coalition Wide Area Network]), mettant en jeu
les systèmes navals appartenant aux forces alliées, comme les Etats-Unis,
et le Royaume Uni." [6]
Vous noterez l'inférence de KAZ à un réseau COWAN , dont je ne peux
trouver aucun autre endroit où il en est fait mention. Cela pourrait
être soit une dénomination marketing, soit une information qui s'est
échappé des documents les plus confidentiels. Quoi qu'il en soit, il
vous faut assumer le fait que KAZ en sait plus à ce sujet que nous,
et je trouve intéressant qu'un truc si énorme soit mentionné ici.
IBM fournit également du matériel et du logiciel pour le soutien
logistique des différents corps armés du DoD. [4]
Sun microsystems fournit de l'hard et du soft pour les firewalls de
sécurité, mais aussi des dispositifs de contrôle d'accès (des drivers
pour des dispositifs RFID ou biométriques, entre autres). [4]
Lotus Notes et Domino sont encore largement utilisés à ce jour - ce dont
je n'étais pas sûr au début, mais j'en ai discuté avec un ami qui m'a
montré le site de KAZ - Je suppose que la Navy est hostile à l'idée de
mettre à jour leurs systèmes aussi souvent que le font les entreprises
normales.
<axe> Lotus-Domino 5.0.9
<axe> i'm surprised that still exists
<thefinn> those docs are old
<thefinn> probably doesn't exist now
<thefinn> but might still
<thefinn> u never know, their beaurecracy is amazing sometimes
<thefinn> i actually worked with a prime 9950 at one company
<thefinn> didn't even run the newer version of cobol
<thefinn> ...
<thefinn> took up half a room
<thefinn> was sitting next to all the AT&T servers
<thefinn> funny stuff
<axe> http://www.kaz-group.com/subscribe
<axe> yeah, just to keep some legacy code running
<thefinn> yeah
<axe> <!-- Lotus-Domino (Release 5.0.9a - January 7, 2002 on Windows
NT/Intel) -->
<thefinn> wow
<thefinn> there ya go
<thefinn> dude im gonna add that in the article
<axe> how may i own thee, let us count the ways..
<thefinn> haha
--[ 5. Une introduction à l'EPL et au CCRA.
Parlons maintenant les critères en eux-mêmes. Pour le moment, le DSD
dispose de deux tables de critères, le système ITSEC et le CCRA, afin
évaluer l'éligibilité de produits à une utilisation sur les réseaux
gouvernementaux et militaires.
Le DSD (Defense Signals Directorate) est le principal corps travaillant
sur les communications sécurisées du gouvernement australien, jouant
apparemment le même rôle que la NSA aux Etats-Unis. L'EPL (Evaluated
Produtcs List [NDT : Liste des produits évalués] est une liste que le
DSD crée et maintient qui répertorie tous les produits mis en avant
par les vendeurs pour une validation par le DSD, afin de pouvoir les
utiliser à haut niveau de sécurité au sein des systèmes et réseaux du
gouvernement. Il y a plusieurs critères au DSD qui valident ces produits.
Le CCRA (Common Criteria Recognition Arrangement [NDT : Accord de
reconnaissance des critères communs] est un accord entre les pays membres
de l'OTAN en occident afin d'évaluer et noter un équipement en s'appuyant
aussi bien sur des standards que des produits déjà évalués dans le but
de pouvoir interconnecter leurs réseaux militaires et gouvernementaux
pour pouvoir mieux contrôler vos pauvres petits culs. ;)
Pour reconnaître ces pauvres entreprises qui ont dépensé beaucoup de
dollars et de temps pour faire évaluer leurs produits, voir pour les
faire réévaluer selon le nouveau système international, le CCRA (en tant
qu'entité) va autoriser les pays membres qui ont utilisé le système ITSEC
(Information Technology Security Criteria) à utiliser pour le momentles
produits évalués ITSEC en tant que produits évalués selon le CCRA.
Cela signifie que l'EPL pour tous ces pays se tourne maintenant vers
le CCRA. Ils regroupent 50 ans de protocole "défense" et manoeuvrent
politiquement afin de pouvoir dominer plus librement. Après tout,
il ne serait pas cool d'avoir des troupes britanniques dans un petit
village pendant que l'US Navy ordonne à des missiles de croisière de
le détruire, à 1000 kilomètres de là - les méthodes de communication
rapide et les protocoles (militaires) stricts déployés par un réseau de
communication comme celui-ci permettrait, dans ce genre de situation,
d'être un moindre souci et aurait un million d'autres intérêts.
Selon les critères E1-E6 (ITSEC) et EAL1-EAL7 (CCRA), les besoins de
secret et de sécurité concernant les informations sensibles sont désignés
comme suit : UNCLASSIFIED, IN-CONFIDENCE, RESTRICTED, PROTECTED, National
Security/HIGHLY PROTECTED. [NDT-5]
Le document identifie les dispositifs de sécurité requis pour
interconnecter les différents réseaux, que j'inclus ici :
*************************************************************************
* LE RESEAU * ET LE RESEAU DISTANT * ALORS LA PASSERELLE A *
* SOURCE EST : * EST : * BESOIN DE : *
*************************************************************************
* UNCLASSIFIED * - domaine public. * Un filtre sur le trafic. *
* * - UNCLASSIFIED. * *
* * - IN-CONFIDENCE. * *
* * - PROTECTED. * *
* * - HIGHLY PROTECTED or * *
* * National Security. * *
*************************************************************************
* IN-CONFIDENCE * - domaine public. * Un firewall EAL2. *
* * - UNCLASSIFIED. * *
*************************************************************************
* * - IN-CONFIDENCE. * Un filtre sur le trafic. *
* * - PROTECTED. * *
* * - HIGHLY PROTECTED or * *
* * National Security. * *
*************************************************************************
* RESTRICTED * - domaine public. * Un firewall EAL2. *
* * - UNCLASSIFIED. * *
* * - IN-CONFIDENCE. * *
*************************************************************************
* * - PROTECTED. * Un filtre sur le trafic. *
* * - HIGHLY PROTECTED. * *
* * National Security. * *
*************************************************************************
* PROTECTED * - domaine public. * Un firewall EAL4. *
* * - UNCLASSIFIED. * *
*************************************************************************
* * - IN-CONFIDENCE. * Un firewall EAL3. *
* * - RESTRICTED. * *
*************************************************************************
* * - PROTECTED. * Un firewall EAL2. *
*************************************************************************
* * - HIGHLY PROTECTED or * Un firewall EAL1. *
* * National Security. * *
*************************************************************************
Vous voyez les parties intéressantes en rapport avec nos modems identifiés
dont il était question au début du document ?
J'ai tout de suite noté deux choses. Si quoi que ce soit de classifié
"HIGHLY PROTECTED" ou "National Security" est connecté au réseau, nous
avons alors un accès modem - Il n'y a qu'un filtre de paquets entre moi
et lui - si la classification de l'ancien DRN n'a pas changé (réseau à
accès limité).
De plus, derrière ce serveur terminal, je peux probablement m'attendre
à me trouver face à un firewall évalué EAL2, puisque je suppose [NDT : à
juste titre] que le réseau PSTN est classifié comme "domaine public". Cela
pourrait même demander une quelconque authentification de type SecureID -
One Time Password ou SmartCart.
Ce serait la connexion théorique, d'après les types d'équipements
spécifiés dans l'EPL, et leur utilité.
La topologie réseau devrait facilement inclure des serveurs
d'identification à distance. Le serveur terminal lui-même peut être à
l'origine d'une connexion PPP avec un client, vous faire passer à travers
le concentrateur Cisco VPN 3000 (validé EAL2), vous vous authentifiez
là-bas via une clé, et il vous redirige là où vous voulez aller. Arrivé
là-bas, vous avez un Firewall-1 Sun (EAL4+) qui vous demande votre One
Time Password SecureID, ou autre. Une fois que vous avez franchi tout ça,
vous pouvez lire vos mails, télécharger votre pr0n, etc.
Une autre chose intéressante à noter - On ne rencontre les firewalls
évalués EAL1 que sur les réseaux classifiés PROTECTED, HIGHLY PROTECTED,
ou National Security, et seulement là où ils s'interconnectent avec
d'autres réseaux ayant la même classification. Si vous trouvez un de ces
firewalls, alors vous connaissez l'importance du réseau sur lequel vous
vous trouvez.
Voici maintenant l'exacte désignation des normes :
EAL1 : Testé fonctionnellement. Ce niveau procure un niveau d'assurance
élémentaire consistant en une analyse des fonctions de sécurité, basée
sur les spécifications fonctionnelles et d'interfaces ainsi que sur les
guides, afin de comprendre le comportement de sécurité. L'analyse est
appuyée par des tests, effectués de façon indépendante, sur les fonctions
de sécurité de la cible d'évaluation (TOE).
EAL2 : Testé structurellement. Ce niveau représente un accroissement
significatif de l'assurance par rapport au niveau EAL1 en exigeant
des tests du développeur, une analyse de vulnérabilité ainsi que des
tests réalisés de façon indépendante basés sur des spécifications plus
détaillées de la TOE.
EAL3 : Testé et vérifié méthodiquement. Ce niveau représente un
accroissement significatif de l'assurance par rapport au niveau EAL2
en exigeant une couverture plus complète pour les tests relatifs aux
fonctions et mécanismes de sécurité ou des procédures de sécurité, qui
fournissent une certaine confiance dans le fait que la TOE ne sera pas
altérée au cours du développement.
EAL4 : Conçu, testé et vérifié méthodiquement. Ce niveau représente un
accroissement significatif de l'assurance par rapport au niveau EAL3
en exigeant plus d'éléments descriptifs issus de la conception, un
sous-ensemble de l'implémentation, et des mécanismes ou des procédures
perfectionnés qui procurent la confiance dans le fait que la TOE ne sera
pas altérée au cours du développement ou de la livraison.
EAL5 : Conçu et testé de façon semi-formelle. Ce niveau représente
un accroissement significatif de l'assurance par rapport au niveau
EAL4 en exigeant des descriptions semi-formelles de la conception,
l'implémentation complète, une architecture plus structurée, une analyse
des canaux cachés, et des mécanismes ou des procédures perfectionnés
qui procurent la confiance dans le fait que la TOE ne sera pas altérée
au cours du développement.
EAL6 : Vérifié, conçu et testé de façon semi-formelle. Ce niveau
représente un accroissement significatif de l'assurance par rapport au
niveau EAL5 en exigeant une analyse plus étendue, une représentation
structurée de l'implémentation, une architecture plus structurée, une
analyse de vulnérabilité effectuée de façon indépendante plus étendue,
une identification systématique des canaux cachés, et une gestion de
configuration et des contrôles de l'environnement de développement
perfectionnés.
EAL7 : Vérifié, conçu et testé de façon formelle. Ce niveau représente
un accroissement significatif de l'assurance par rapport au niveau
EAL6 en exigeant une analyse plus étendue utilisant des représentations
formelles, des correspondances formelles ainsi que des tests étendus.
[NDT : Traduction française des spécifications EAL tirée de
http://www.cse-cst.gc.ca/tutorials/french/section2/m3/s2_3_4_1.htm]
Note : Seuls les niveaux 1 à 4 sont actuellement inclus dans le CCRA,
et les évaluations des produits qui satisfont au critère 4 présenté
ci-dessus sont désignés 4+ dans l'EPL.
Voici quelques exemples d'évaluations dans différentes catégories.
(L'EPL est séparé en plusieurs dispositifs réseau, et constitue donc la
majorité des produits en rapport avec la sécurité des réseaux).
Produits biométriques :
EAL2 - Iridian Technologies KnoWho Authentication Server and Private ID
Dispositifs divers :
E1 - NEC S2 (Terminal satellite mobile)
EAL1 - SOlution de téléphonie VoIP Cisco
Matériels de sécurité réseau
EAL1 - Secure Session VPN v4.1.1
EAL2 - Filtre Email pour SMTP SurfControl
EAL4 - Pare-Feu Clearswift Bastion II
EAL4+ - Pare-Feu Cisco Secure PIX V7.0(6)
Systèmes d'exploitation
E3 - AIX V4.3
EAL4+ - Sun Trusted Solaris 8/04
EAL4+ - Windows 2000 Pro, Server and Advanced Server
with SP3 and Q326886 Hotfix *toux*mensonge*toux*
Il y a également des produits SmartCard, PC Security, des solutions
de chiffrement, et plein d'autres catégories. Des informations plus
détaillées peuvent être trouvées sur le site lui-même pour chacun des
produits.
--[ 6. L'ELP et le CCRA en profondeur
Durant l'année 1998, le Royaume Uni, la France, l'Allemagne et le Canada
ont mis en place le CCRA. L'Australie les a rejoints en 1999. Il faudrait
noter ici que, selon de la liste des pays membres (avec les informations
de contacts), et le site web du DSD, le Japon, la Corée du Sud, les
Pays-Bas et la Norvège ont également rejoins le CCRA récemment.
Ces critères d'évaluation sont utilisés entre les pays dans n'importe quel
type d'accord réseau partagé - ce processus est appelé "Reconnaissance
Mutuelle". La philosophie sous-jacente est que les produits outre-mer
validés par le DSD, la NSA, et beaucoup d'autres organisations peuvent
être utilisés dans d'autres pays sans avoir à être réévalués, les
critères étant les mêmes. Bien qu'il puisse être souligné que (au moins
au Australie), le DSD fait quelques exceptions pour tous les équipements
cryptographiques, qui peuvent subir une évaluation spécifique.
(Je me demande si c'est une question de sécurité, ou plutôt de
compatibilité).
Le manuel de sécurité réseau ACSI33 est également disponible - dans sa
copie pour le domaine public [1] - qui ressemble d'assez près au vieux
Orange Book du DoD américain [NDT : Manuel définissant des critères
et méthodes d'évaluations pour les systèmes informatiques - facilement
trouvable en ligne]. Ce manuel définit un grand nombre de standards de
sécurité du réseau du DoD ainsi que des critères prérequis pour beaucoup
de prétendants à l'approbation du DSD/DoD pour l'EPL.
Si vous vérifiez l'EPL elle-même, vous trouverez des rapports de
certification de critières et des papiers de sécurité ciblés, détaillant
la manière dont le produit a été certifié, ses faiblesses potentielles,
comment il devrait être utilisé au DoD, ainsi que tous les détails de
contact dont un département du DoD aurait besoin s'il voulait acheter
ce produit, ou obtenir plus d'informations à son sujet.
Vous y trouverez une liste de courses pour les exploits, des informations
de contact pour de l'ingénierie sociale, une liste de ce dont vous devez
vous inquiéter une fois que vous avez attaqué un noeud du réseau du DoD,
ainsi que les différentes manières de vous cacher des IDS - puisque
vous avez la liste des IDS utilisez et que vous pouvez télécharger les
fichiers de reconnaissance de signatures pour les passer à travers quelque
chose du genre IDA Pro disassembler. Il ne vous reste qu'à modifier
votre code/payload pour faire en sorte que l'IDS ne vous remarque plus,
l'utilisation de code polymorphique serait une bonne technique à utiliser
pour ça une fois que vous avez identifié les pattern surveillés.
Depuis les vieux jours du hacking de .mil sur le vieux mildnet (Le
réseau IP américain de la Guerre Froide qui été à la fois utilisé pour
la recherche et le développement) au début des années 90, beaucoup de
choses ont changé. Beaucoup d'arrestations et beaucoup de discussions
sur la sécurisation des gouvernements occidentaux. Et pas que ceux
là. Depuis le début des années 90, on a vu énormément d'amendements
aux lois sur l'informatique partout dans le monde, notamment en Russie,
en Chine et en Corée du nord.
Il y a plus qu'assez d'informations dans ces documents pour mettre
en place une attaque réseau techniquement avancée, quand les diverses
organisations militaires seront plus fiables que jamais sur leurs réseaux
pour le commandement, le contrôle, la logistique et la communication.
Le fait que les EPL des Etats-Unis et du Royaume Uni listent les mêmes
produits, avec les mêmes notes - même si certains d'entres eux ont été
évalués indépendamment (haha) et encore plus intéressant, poussant plus
loin la preuve que les différents réseaux sont maintenant interopérables,
ou le deviendront bientôt.
Le côté inquiétant est le fait qu'il est relié au plus grand corps
militaire du monde : Le DoD américain, qui a utilisé SIPRN pendant
des années, depuis qu'ils ont reconstruit le jeune milnet après la
Guerre Froide. Le réseau est devenu capable de communiquer au moins
avec le réseau australien, tout en étant sécurisé par les démarches de
reconnaissance mutuelle définies par les nouveaux standards du CCRA :
ils doivent bien évidemment adhérer aux mêmes standards et être validés
selon les critères EAL sur les EPL australiennes et américaines.
Théorie : Les derniers exploits - voire les plus vieux - pourraient
encore fonctionner aujourd'hui sur beaucoup de systèmes, à cause de la
manière dont l'EPL est implémentée. Les entreprises doivent payer pour
devenir membre de l'EPL. Cela peut coûter jusqu'à 1 million de dollars
australien [NDT : 600 000 € au jour de la traduction] pour certifier un
produit. Du point de vue des entreprises, plus elles payent, mieux leur
marché se porte, puisque plus un de leur produit est évalué "haut" dans
l'EPL - en y passant plus de temps et de moyens - moins elles trouvent de
concurrents prêts à payer pour atteindre le même niveau de certification.
Cela a un impact direct sur les ventes, puisque plus un réseau est
bien évalué en terme de sécurité par le DSD, moins les départements ont
de choix en ce qui concerne les produits pour le sécuriser. Les DSD,
NSA et autres vous donneront une licence pour imprimer de l'argent -
du moment que vous LES payez d'abord.
Voici un exemple récent de ce qui peut mal se passer, paru dans la presse
alors que j'écrivais cet article [7]. Je trouve intéressant que même
les consultants en sécurité les plus éduqués ne soient pas conscients de
la façon dont la communauté du renseignement fonctionne quand il s'agit
d'équipement CCRA/EPL. Qu'ils mentionnent "Le test de pénétration exprime
des doutes sur le fait que la certification du firewall à un niveau
EAL4+ soit méritée sur les bases des failles qu'il a révélé" me fait
sourire. Le fait est qu'une fois qu'une IMPLEMENTATION particulière d'un
produit est évaluée et certifiée, cela ne change plus. Il ne serait pas
"patché régulièrement" ou même "évalué régulièrement", tout changement
ou autre apporté à son implémentation le rendrait non standard, et il
ne serait alors plus conforme aux critères pour lesquels il fût évalué
originellement - c'est le principe de l'évaluation - en tout cas en ce
qui concerne le DSD et la NSA
Vous voilà presque retourné à l'adage de l'ancienne NASA, alors que la
course vers l'espace était en marche, et qu'ils plaisantaient sur le fait
que les russes avaient leurs meilleurs chercheurs impliqués dans leurs
projets, alors que le vaisseau US était décomposé en 10,000 petites
parties toutes construites à la plus petite enchère par un groupe de
personnes choisies en fonction de leur habilité à faire les lèches-culs.
C'est le problème de base avec la bureaucratie dans l'armée occidentale.
Les bureaucrates passent leur temps à essayer de justifier leur existence,
en racontant à tout le monde ce qu'ils font, et les entreprises impliquées
veulent toutes pouvoir dire "hey, regarde ce que j'ai fait pour le DoD".
Retour à notre réseau sacrément sécurisé: Sans réellement le pénétrer,
on ne peut pas savoir si on peut entrer dans le réseau US depuis la partie
australienne, ou depuis n'importe où ailleurs, pourtant, les précédentes
désignations concernant les connexions entre un réseau PROTECTED et des
réseaux classifiés Sécurité Nationale laissent à penser que cela doit être
assez simple. Je suppose que, quoiqu'en dise le CCRA, les départements
internes des DSD, NSA et autres DoD des différents pays réclameront une
lourde sécurité entre les membres de la coalition. Mais cela reste une
supposition de ma part, les chefs des différents départements peuvent
également vouloir réduire les coûts - cela arrive.
Je trouve amusant que dans aucun des départements cités ci-dessus,
ou dans aucune des EPL, NSA SELinux ne soit mentionné ;) (Probablement
juste le projet favori de quelqu'un).
Une supposition que vous pourriez avoir envie de faire est que le
réseau ne soit pas rapide en dehors de votre pays. Les transpondeurs
satellites basés au sol doivent nécessairement être lents, ceux basés
sur les bateaux encore plus. La couverture réseau des zones de combat va
être sacrément mauvaise pour les données - en particulier si vous êtes
sur une ligne modem. Mais ils sont là. De récents scans satellite montre
un grand nombre de balises satellite non-commerciales pour les bandes S
et X (qui montrent des transpondeurs en activité dans l'espace), et des
signaux de données analogiques qui sont chiffrés de façon à ce qu'aucun
scan en bande ne montre quelque chose de valide (vous pouvez cependant
voir la bande passante utilisée).
Je n'ai pas beaucoup d'informations au sujet du réseau SIPR, n'étant pas
aux Etats-Unis (heureusement, ça ne sera pas long avant que quelqu'un
d'autre n'écrive un article sur le sujet).
Tiré du site web de la DISA :
SIPRNET: le Secret IP Router Network (SIPRNET) est le réseau de
commandement et de contrôle de données interopérable le plus large du
DoD, supportant le GCCS (Global Command and Control System), le DMS
(Defense Message System), la planification coopérative et de nombreuses
applications classifiées de combat. (Je suppose qu'applications de
combat signifie programmes d'entrainement).
La connexion directe atteint des débits entre 56 kbps et 155Mbps. Les
services d'appel à distance sont disponibles jusqu'à 19,2 kbps.
Ces débits sont intéressants, signifiants qu'ils disposent également
de connexion modem et de liens ATM probablement plus rapide maintenant,
sachant que la page n'a pas été mise à jour depuis le milieu des années
1990.
--[ 7. Autres standards
Les seuls autres standards que j'ai trouvé qui vaillent le coup
d'être mentionnés dans ce document sont les standards de chiffrements.
Ils apparaissent également dans le document ACSI33, en détail. L'usage de
3DES et AES pour le chiffrement symétrique et celui de RSA/DH/DSA/ECDH
pour le chiffrement asymétrique (échange de clés). Le chiffrement n'est
pas mon point fort, pourtant je tiens à signaler que les membres du CCRA
s'en remettent au NIST pour la plupart de leurs standards de chiffrement.
Le fait est que, et je cite ici presque directement le document ACSI33,
les seuls VPNs chiffrés que j'ai pu mettre en place pour les entreprises
pour lesquelles j'ai pu travailler utilisaient les algorithmes 3DES sur
Cisco IOS.
--[ 8. Secrets
A la fin de la guerre froide, il y avait probablement des centaines de
milliers d'ordinateurs reliés à l'Internet. Presque tous les pays sur
Terre avaient QUELQUE CHOSE de connecté. C'est dans les départements
de R&D des universités en Australie que je dégotais les accès Internet,
et où j'ai développé mes contacts sur la scène hacker à l'époque. En ce
temps-là, le Chine et l'URSS étaient tous les deux de grosses menaces à
la domination occidentale, pourtant je trouve intéressant de noter que
tous les pays membres de ces deux blocs de puissance étaient connectés
à Internet à l'époque où la guerre froide battait son plein.
Le DoD américain et le DARPA n'ont toujours dévoilé aucun projet en
rapport avec l'ingénierie ou l'humanité qu'Internet aurait facilitée,
communications mises à part.
Celui qui s'interroge sur la signification du vers Storm et autres virus,
leur habilité à agir comme frappe autonome contre des infrastructures non
militaires, mais plus comme une frappe régional contre des infrastructures
régionales.
L'hypothèse précipitée de n'importe quelle attaque terroriste
biologique, serait que cette infrastructure économique s'effondrerait
avec l'infrastructure militaire.
Après avoir écrit cette article, je ne suis plus sûr que cette hypothèse
soit toujours valide...
--[ 9. Conclusion
Malgré le fait que je voudrais écrire plus à propos des réseaux dans
d'autres pays (Il serait intéressant de fouiller au sujet du Japon et de
la France), je n'ai pas vraiment le temps pour du wardialling ou pour
faire des recherches sur autant de réseaux dans autant de pays. Cela
devrait venir plus tard, par d'autres rédacteurs. Mais gardez en tête que
les Etats-Unis sont ceux qui dépensent le plus en industrie militaires et
la tendance est aux projets militaires mondiaux, dans le but de ne pas
pouvoir être pénétrés, ni même découverts, ils sont donc probablement
votre moins bonne cible. Comme le réseau semble être interconnecté avec
d'autres pays de l'OTAN, un pays dépensant moins pour ça devrait vous
donner de meilleurs résultats.
De toutes façons, les standards sont les mêmes partout, toutes ces
informations devraient rester valides tant que vous êtes à l'intérieur,
ou en train d'observer, un réseau d'un des pays membres.
Je pense que beaucoup de gens dans les divers départements militaires
autour du monde qui font partie de l'organisation de ce réseau particulier
seraient assez embarrassés de voir que ces informations sont si faciles
à avoir. La sécurité par l'obscurité est une autre ancienne technique
qui semble avoir suivi la voie du train à vapeur - même pour ceux qui
devraient s'inquiéter le plus de l'obscurité et la sécurité de leurs
données.
N'importe quel hacker qui pratique depuis suffisamment longtemps peut vous
dire qu'il y a un moyen de contourner n'importe quel système - si vous
avez l'avantage supplémentaire d'avoir beaucoup d'hommes qui sont prêts
à venir dans votre pays et "enfoncer la porte" pour récupérer certaines
informations, les gens qui en sont en charge devraient être inquiets. Si
l'on peut glaner tout ça depuis le niveau de sécurité "domaine publique",
imaginez un peu avoir accès à la documentation présente sur un réseau
classé IN-CONFIDENCE.
Grâce à ma propre expérience, j'ai travaillé pour le DSD australien sur
différents contrats, j'ai souvent trouvé que la sécurité de leurs données
réseau était très dépendante d'une ou deux applications achetées à des
organisations extérieures - pauvrement implémentées, et avec uniquement de
très rudimentaires mesures de sécurité. Même le fait que j'ai travaillé
là-bas - avec un casier judiciaire en rapport avec l'intrusion dans des
systèmes informatiques du commonwealth, l'insertion de données dans des
systèmes informatiques du commonwealth, et des fraudes au système de
cartes bancaires - était une faille de sécurité.
Un des premiers ordinateurs que j'ai pénétré, je l'ai fait grâce à un
snarfer de paquets en COBOL. J'ai réécrit tous les screens pour toutes les
machines auxquelles les serveurs terminaux viendraient se connecter. Puis,
depuis un compte obtenu en regardant par dessus l'épaule de quelqu'un,
j'ai lancé le snarfer, qui a fait croire que je m'étais déconnecté. Je ne
l'étais en réalité pas, le programme tournait, et ressemblait à l'écran
de login. Quand vous entriez votre couple login/password, cela donnait
l'habituel "Echec de l'authentification" ou tout autre message d'erreur
(cela dépendait de là où vous vous logguiez), l'enregistrait dans un
fichier d'un autre compte - qui avait le droit d'écriture afin que les
autres comptes puissent écrire dans le dossier. Ensuite, le programme
se déconnectait - et redonnait à l'utilisateur son écran de login
normal. Complètement invisible, et vraiment peu avaient effectivement
tapé un mauvais mot de passe.
8 ans plus tard, je travaillais pour cette entreprise en contrat avec
le DSD, je me suis retrouvé dans des bases de l'air force, des centre
logistiques de la Navy, et beaucoup d'autres départements de sécurité
informatiques à haut niveau dans le gouvernement. La sécurité physique
n'était pas un problème - même si, avec un contrôle rigoureux de mon
passé - je n'aurais jamais été autorisé à être là.
Dans ces derniers mois, j'ai vu de nombreuses discussions dans la presse
au sujet de botnets, de vecteurs d'attaque de sources inconnues, et de
redoutables hackers "black hats". Le dernier rire que j'ai eu était quand
j'ai lu les stats de google qui disaient que plus de systèmes UNIX avaient
été compromis que de systèmes Windows, et le journaliste ne comprenait
alors pas comment Unix pouvait être considéré comme plus sécurisé que
Windows. Ils ne comprennent toujours pas aujourd'hui POURQUOI les systèmes
*NIX et OpenSource sont plus sûrs - Je ne vais pas faire leur éducation.
La création d'une aire de frénésie, ainsi que la complaisance dans un
environnement de sécurité est complètement inconstructif, l'utilisation
de "facteurs connus" à travers l'utilisation d'amis et autres associés
l'est tout autant.
Les raisons à cela sont simples et sont effectivement définies par une
des dernières parutions de presse de la Maison Blanche.
"Le dernier jour, nous ne serons pas perdus à cause d'un manque de
force ou un manque d'équipement. Nous serons perdus à cause d'un manque
de confiance."
--[ 10. Annexes
Acronymes:
---------
[i] RAN - Royal Australian Navy
[ii] FISSO - Fleet Information System Support Organisation.
[iii] DSD - Defence Signals Directorate.
[iv] DoD - Department of Defence.
[v] DRN - Defence Restricted Network.
[vi] NSA - National Security Agency (USA).
[vii] SIPRN - Secret IP Router Network (US DoD).
Resources:
-----------
[1] http://www.dsd.gov.au/library/infosec/acsi33.html
[2] http://www.cesg.gov.uk/site/iacs/index.cfm?
menuSelected=1&displayPage=151
[3] http://www.defence.gov.au/dmo/id/cic_contracts/Values2001-2002.pdf
[4] http://www.yaffa.com.au/defence/pdf/05/top40-20-2004.pdf
[5] http://www.disa.mil/main/prodsol/data.html
[6] http://www.kaz-group.com/files/casestudies/cs_ran.pdf
[7] http://www.theregister.co.uk/2007/10/03/check_point_pentest/
[8] http://www.softwink.com/iwar/
[9] http://www2.packetstormsecurity.org/cgi-bin/search/search.cgi?
searchvalue=thefinn&type=archives&%5Bsearch%5D.x=0&%5Bsearch%5D.y=0
Traduction :
------------
[NDT-1] Le wardialling est une technique visant à scanner un large panel
de numéros de téléphones afin d'identifier les services tournant
derrière. Cela peut s'apparenter à la cartographie et au
fingerprinting sur les réseaux IP.
[NDT-2] Department Of Defense, l'équivalent de notre Ministère de la
Défense français.
[NDT-3] Defence Signals Directorate, agence nationale australienne
chargée de la collecte, l'analyse et la distribution des signaux
étrangers (SigInt)
[NDT-4] Aspect Computing est une société australienne qui fournit des
services d'audit et de consulting
[NDT-5] Ces niveaux de classification d'informations sensibles sont
spécifiques aux USA. En France, on peut faire le parallèle avec
les dénominations « Très secret défense », « Secret défense»,
« Confidentiel défense», « Diffusion restreinte » et
« Déclassifié ». Ils s'intègrent dans une politique de sécurité
définissant le niveau de sensibilité d'une information, et par
conséquent ses droits d'accès.
![.:[ Arsouyes.org ]:.](style/arsouyes-3.jpeg)
![[3]](style/type/3.png)
The Finn.![[6]](style/type/6.png)
Phrack-Trad 65, ![[1]](style/type/1.png)
Réseaux.