19/09/00
Recrudescence
des ordinateurs zombies aux ordres des pirates.
Le
dernier rapport du centre de coordination du CERT
(Computer Emergency Response Team), une organisation chargée
de veiller sur les problèmes de sécurité
sur internet, constate, entre autres, une recrudescence du
nombres de serveurs
compromis par des automates d'attaques du type DDoS (Distributed
Denial of Service).
Ce type d'attaque, qui a frappé plusieurs sites américains
il y a quelques mois, est réalisé grâce
à de nombreuses machines envoyant un flux de données
vers une cible. Pour réussir une telle attaque, les
pirates doivent au préalable prendre le contrôle
d'un maximum de machines reliées à internet.
Ensuite, ils installent au sein de chaque machine un agent
qui leur permettra d'utiliser les capacités de la machine
au moment voulu. Puis ils dissimulent les traces de leur passage.
Ils disposent ainsi d'un réseau de machines "zombies"
obéissant aux ordres d'une ou de plusieurs autres machines
dont ils ont le contrôle, et qui servent à coordonner
le réseau DDoS. Cette technique permet de disposer
d'une puissance très importante permettant de saturer
la bande passante de la plupart des sites. Le Cert estime
ainsi que celle-ci peut atteindre le gigabit par seconde.
Le Cert a par exemple dénombré en un incident
plus de 560 machines réparties sur 220 sites faisant
partie d'un tel réseau : le Tribe Flood Network
2000. Le rapport constate aussi que les machines compromises
le sont souvent par l'exploitation de deux failles : l'une
dans rpc.statd (voir patch)
et l'autre dans ftpd (voir patch).
Des outils automatisés sont utilisés pour scanner
les machines vulnérables, en particulier sur deux services
spécifiques : sunrpc (port 111/udp et 111/tcp)
et ftp (port 21/tcp). Ensuite, des logiciels du type rootkits
sont utilisés, et en particulier l'outil nommé
"t0rnkit". Celui-ci, qui selon le Cert est en phase
active de développement, effectue plusieurs opérations
sur la machine cible: arrêt des logs, mise en place
d'un cheval de troie sur le service SSH (communications cryptées),
installation d'un sniffer de mots de passe... puis redémarrage
des services concernés et des logs. Le Cert constate
que en plus de l'installation de ces rootkits, des outils
de type DDos sont souvent installés, en particulier
TFN, TFN2000 et Stacheldraht 1.666+smurf+yps.
Il est donc recommandé aux administrateurs réseaux
et responsables informatiques de s'assurer que leurs machines
ne sont pas compromises (voir conseils)
par des agents DDoS. De plus, il a été récemment
constaté que de plus en plus de machines appartenant
aux particuliers et reliés à des réseaux
câble et DSL sont utilisées pour ces attaques.
[Ludovic Blin, JDnet]
|