GNU/Linux Magazine 119

Lors de notre présentation au SSTIC en juin, nous avons démontré qu'il était possible d'injecter une porte dérobée à une application JavaEE, par la simple présence d'une archive JAR. Nous avons baptisé ces attaques « Macaron ». Une démonstration est disponible en ligne, sur le site du projet : http://macaron.googlecode.com.Le numéro 45 de MISC décrit les techniques d'attaques utilisées. Cet article décrit les outils proposés pour apporter des solutions contre ces menaces. Pour résumer, il existe différentes techniques de pièges, permettant d'exécuter du code sans que l'application ne le demande explicitement. Une fois un piège déclenché, il existe plusieurs approches pour s'injecter dans le flux de traitement de chaque requête HTTP. Il est alors possible d'analyser chaque requête HTTP pour identifier une valeur particulière dans la valeur d'un paramètre. Cela permet d'ouvrir la porte dérobée et donne accès au serveur. La démonstration propose différents agents, dont un agent permettant d'exécuter un shell sur le serveur, contrôlé par le navigateur. La communication entre le navigateur et la porte dérobée est quasi indiscernable d'un flux légitime de l'application.

La séparation de privilèges [PROVOS] est une technique popularisée par OpenSSH et utilisée notamment dans le projet OpenBSD permettant de séparer un programme en deux parties communiquant entre elles. Une partie s'occupe des opérations nécessitant des privilèges particuliers (ouvrir une socket réseau, ouvrir un fichier). L'autre partie va tourner sans aucun privilège particulier dans un chroot et devra effectuer la plupart des opérations nécessaires à la bonne marche du programme.Cette technique doit permettre de minimiser le nombre de lignes de code requérant des privilèges et donc le nombre de lignes à auditer attentivement. Ajouter la séparation de privilèges à un programme n'est pas forcément très compliqué. Nous allons voir comment créer un petit sniffer l'exploitant.