[Kitetoa, les pizzaïolos du Ouèb

Une interview de r.f.p., de Wiretrip et ADM

"Quand vous mettez en place un serveur de production sur Internet, vous devez penser à deux fois à *tout*"

 

<Kitetoa> - r.f.p., vous avez publié une advisory dont le titre est "NT ODBC Remote Compromise". Pourriez-vous expliquer en quelques lignes et dans des termes pas trop techniques ;) de quoi il s'agit? Je veux dire, que pouvez vous vraiment faire sur une machine distante sous NT et ayant un serveur IIS avec cela ? A part... tout?

<r.f.p.> - Le problème touche tous les OS Windows (NT, 95 et peut-être 98). ODBC est une méthode basique pour que le système utilise une base de données. Le problème est qu'un type de base de données de Microsoft,la base de données MS Access (qui utilise ce qui s'appelle le Jet Engine) a un petit secret qui vous autorise à lancer des commandes spéciales qui permettent de faire n'importe quoi sur le serveur.   Donc si quelqu'un utilise votre base de données, ce quelqu'un peut faire des choses désagréables. Il faut savoir que MS Access/Jet Databases sont celles, gratuites, qui sont livrées avec NT et sont les plus "populaires"/faciles à installer. Même votre MS Access livrée avec Office97 a le même problème.

<Kitetoa> - Est-ce que Microsoft a publié un patch ou une alerte de sécurité et où un administrateur peut-il les trouver?

<r.f.p.> - Je n'ai *rien* vu de la part de Microsoft sur ce sujet. Je pense que cela s'explique pour deux raisons: 

1. C'est "une fonction" -- c'était là *exprès*. Ce n'était pas un bug. C'était juste non documenté, à part à *un* endroit où j'ai trouvé deux phrases décrivant cette fonctionnalité.

2. MDAC 2.1.1 qui fixe de manière discrète le problème, a été distribué. Ils ont juste enlevé cette fonctionnalité. En tous cas, on dirait. Mais je n'ai pas encore fini mes test.

>:)

<Kitetoa> - Pensez vous que le fait qu'il y ait le bug d'eEye, votre advisory, BO2K et j'imagine, plein d'autres bugs a exploiter avec NT et/ou IIS, devrait faire réfléchir  les gens avant qu'ils ne  fassent un choix sur le système d'exploitation et le type de serveur qu'ils veulent utiliser pour leur serveur Web?

<r.f.p.> - Franchement, quand vous mettez en place un serveur de production sur Internet vous devez penser à deux fois à *tout*. Le problème est que quelques entreprises ont choisi comme standard Windows. Ceci implique que, même si Linux est une bonne idée, ils ne l'utiliseront pas--ils n'utilisent que Windows et c'est une politique. Donc, plutôt que de se lamenter sur le fait que l'on voudrait utiliser Linux, il vaudrait mieux tenter de trouver comment rendre NT sur.

<Kitetoa> - NeonSurge dit qu'il peut... Y a-t-il à votre avis des moyens de sécuriser un ordinateur qui tourne sous NT et fait tourner IIS ?

<r.f.p.> - Oui, il y en a. Le problème est que c'est généralement des choses que vous devez chercher et trouver vous même, et seuls les meilleurs experts (comme NeonSurge) savent comment le faire--cela n'est pas dessiné par défaut. Et Microsoft ne vous aide pas le moins du monde. IIS est livré avec un certain nombre de bugs *par défaut*. Peu de personnes savent où chercher et quoi fermer. Et avec la forte volonté de Microsoft de rendre l'administration de NT "simple", cela veut dire que vous avez de plus en plus d'administrateurs qui sont peu techniques par rapport aux gourous Unix du temps jadis. Ils ne savent simplement pas comment faire certaines choses techniques.

<Kitetoa> - Pensez-vous qu'Internet doit être utilisé pour faire de l'e-commerce? Mudge et Kitetoa  (oui, il est plus fort que nous... ;) ... ) pensons que ce réseau n'a pas été dessiné pour procéder à des échanges sécurisés. Dit d'une autre façon, cela peut donner: les entreprises relient d'une façon ou d'une autre leurs systèmes d'information (qui est le coeur de leur appareil de production) à Internet. Dans de nombreux cas, elles se mettent dans une position risquée. Cela est-il intelligent?

<r.f.p.> -  JE dois répondre oui et non? Je ne pense pas qu'Internet ait été été dessiné de manière suffisamment sécurisée pour faire du commerce électronique. Bon, ce que je veux dire véritablement, c'est qu'*il y a des moyens de faire du commerce électronique*. Ils existent. Malheureusement, ce sont des êtres humains qui le font et les humains sont loin d'être parfaits. Ils créent des bugs, des trous et sinon, cassent les modèles de sécurité. Pour être un hacker, vous avez simplement besoin de trouver un trou. Pour être un admin, vous devez patcher *tous* les trous.

Maintenant que nous commençons a faire en sorte que les serveurs soient plus simples à administrer, nous avons des sysadmins qui ne sont pas complètement au courant de la totalité du panorama comme ils devraient l'être.

Si j'étais une société, et si je devais mettre le coeur de mon outil de production sur Internet, je souhaiterais que être certain que les admins sont "les meilleurs", pas simplement "bons".

<Kitetoa> - Quel serait votre conseil pour un sysadmin afin qu'il puisse trouver toute l'information nécessaire pour conserver un domaine sur? Que devrait-il/elle lire? Quelle mailing list? Quel serveur Web?

<r.f.p.> - Le meilleur conseil est "ne prenez rien comme un postulat". Faites croire que vous êtes un agent secret--ne donnez aux gens que ce qu'ils ont vainement besoin de savoir. Laissez tout dans un état aussi minimal que ce dont vous avez besoin. Regardez tout à la loupe. Comprenez comment les choses marchent au niveau le plus bas, ne vous contentez pas d'un simple "ça marche". Quand vous maîtrisez totalement la technologie et que vous la comprenez, vous savez aussi comment vous protéger".

Back
Retour à la page précédente

 

Page d'accueil

Nous écrire
By mail

Nous envoyer des commentaires
By la page de le Feed-Back

Les mailing-lists

Nouveautés

Les stats du serveur

et...

Qui sommes-nous?

Le Sommaire
de
Kitetoa
(orientation...)

Sommaire général du site
(voir tout le contenu)

Les rubriques!

Les livres publiés par Kitetoa
Les Textes
Les interviews

Kit'Investisseurs
Fonds d'écran et autres trucs

Les rubriques!
(suite)
Les Let-R-s

Des Images
On s'en fout!

KitEcout'
KessTaVu? -KiteToile
Voyages

Statisticator, l'autre site...

Les dossiers :

Precision [ZataZ]
Le monde fou des Admins
Defcon
Le hack le plus bizarre
Guerre de l'info
Convention contre la cyber-criminalité
Hack

Questionnaire visant à améliorer le contenu de  ce site si c'est possible et pas trop compliqué

Réponses au questionnaire visant...
(merci)

Le Forum
Kitetoa-blah-blah

Rechercher
sur le site

...et sur le Net


Des liens
et
D'autres choses du Ouèb