SP2 or not SP2 ?

On Wed Aug 18 2004 at 23:17, ZleBandit wrote:

Quels sont les avis des pros de la sécurité ?

Qu'ils ont insisté sur la "sécurité qui se voit". Une icone dans la
barre des tâches vous rappelle d'acheter un antivirus, d'activer le
firewall et les mises à jour automatiques. Pour le reste, voir
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx
et http://go.microsoft.com/fwlink/?LinkId(022

La protection mémoire devrait être rapidement contournée, si j'ai bien
compris de quoi il s'agissait.

Quels sont les réels apports en terme de sécurité du SP2 ?

<troll>
La plupart des softs ne marchent plus. Ainsi, ils ne posent plus
de problèmes de sécurité -- sauf si la disponibilité fait partie de
vos objectifs, mais dans ce cas, il ne fallait pas choisir Windows.
Ce SP2 est donc une superbe réussite
</troll>
Ils auraient même réussi à casser Excel 2003, d'après certains...

Par avance, merci pour vos lanternes.

Attendre le SP3 ? Ou le SP2a ?

--
arboi@alussinan.org http://arboi.da.ru
FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
NASL2 reference manual http://michel.arboi.free.fr/nasl2ref/

ZleBandit wrote:

Bonsoir,
J'ai lu de nombreux articles aux quatres coins du Web sur le SP2.
Pour certains c'est très bien sécurisant par défaut bon nombre de PC, pour
d'autres, les gens du métier, cette nouvelle mouture n'a pa sbon presse:
contraignant, pas compatible avec un nombre impressionnant de softs (et
surement pas testés sur tous...).

Pour ma part, j'ai surtout lu tout et n'importe quoi concernant le SP2.
Petit florilège:
_ "le firewall ne protege pas en sortie". Dommage, les applications (hors
exception qui sont editables) sont monitorées en sortie comme pour les
autres firewalls softwares (ZA, Kerio..).
_ "le nombre de connexions TCP est limitées à 10.". En fait c'est le nombre
de connexions en état half-open qui est limité simultanément à 10. Les
suivantes sont dans une queue.
_ "le nombre de connexions est du point précédent est modifiable par la
base de registres". Non, ce nombre est codé en dur dans tcpip.sys du SP2.
Cependant il existe un soft permettant de modifié cela (en gros un editeur
héxadecimal..)
_ "pas mal de programmes ne fonctionnnent plus (voir le lien chez MS)". La
encore, il est ecrit "peuvent avoir un comportement different après le SP2".
De plus le DEP (Data Prevention Execution) n'est actif que sur des processeurs
possédant le NX ou DE bits (selon que vous avez un AMD ou Intel) donc l'Athlon64
et le Xeon EMT64 (ce qui pour ne moment ne sont pas les processeurs les plus
répendus!). De plus des editeurs ont deja procédé à des mises à jours. Doit on
blamer MS pour empecher l'execution de programmes voulant executer du code en
segment data (une specialité des jeux pour planquer les protection par ex..)
ou encore tomber sur des double free ou utilise une API obsolète..
_ "le nombre impressionnant de softs". Sur la page en question on en recense une
bonne grosse centaine (voir 200). Comparativement au nombres de softs sortis
sur cette plateforme (ils n'ont bien sur pas tout tester aussi..) c'est relati-
-vement peu je trouve..

Je fais partie de ceux qui se demandent si je dois installer cette
évolution.
Il me semble que j'ai déjà un bon firewall (look'n' stop dernière mouture),
bien configuré, un bon AV (NOD32 v2), quelques classiques anti-troyens-spy
et autres (spybot, spysweeper, pest patrol), je ne fais pas de peer.

De toute façon, le SP2 amha ne dispense pas d'avoir un antivirus (peut etre
que le SP3 apportera l'antivirus maison de MS suite au rachat d'une société
roumaine par MS l'an dernier..) et de garder les bons reflexes. Pour ma part
j'utilise toujours Firefox et Thunderbird (et de moins en moins Windows de
au final.)

Certes, le firewall de microsoft se lance très tôt, mais bon, celà
justifie-t-il d'alourdir son système pour les quelques fois par mois où
j'allume mon PC (il est tout le temps allumé).

En effet avec le SP2, on a une protection en boot-time, mais comme vous le faite
remarquer, si ce dernier est toujours allumé, ce petit plus n'apporte pas grand
chose. En terme d'allourdissement, j'ai trouvé le systeme un peu plus reactif.

Quels sont les avis des pros de la sécurité ? Quels sont les réels apports
en terme de sécurité du SP2 ?

Je trouve aussi que l'on a pas assez parler de certains points importants du SP2
qui sont moins clinquants à l'oeil:
_ le fait qu'il n'est plus possible d'avoir des Raw sockets (une "hérésie" apportée
par Windows XP). Les seuls paquets forgables sont en ICMP maintenant (ce qui
laisse une possibilité de tunneling ICMP)...
_ le fait de privilegier les mails au format texte plutot qu'html dans Outlook.
_ un controle plus précis des add-on d'IE (enfin!!!) qui permet de savoir qui ils
sont et surtout de les desactiver

Au final je trouve l'evolution introuduite par le SP2 interessante au niveau sécurité
mais reste de le changement peut paraitre assez brutal pour certaines personnes (MS
ayant été assez permissif dans ses choix par defaut..).

Par avance, merci pour vos lanternes.

zlebandit

Le principe d'un Service Pack, c'est de supprimer quelques failles
connues et de les remplacer par quelques failles inconnues.
Donc, de deux choses l'une : soit tu sais corriger autrement les
failles en question (par exemple, si un Kerio bien configuré suffit),
soit tu ne sais pas les corriger autrement qu'en installant ce SP.

Et pour le coup, je vais être encore plus général : si tu n'as pas un
besoin immédiat d'une nouvelle technologie, laisse les autres essuyer
les plâtres. Ça te permettra au moins de voir tous les inconvénients
du machin avant de décider de l'installer.


--
;-)

Ralph- wrote:

_ le fait qu'il n'est plus possible d'avoir des Raw sockets (une
"hérésie" apportée
par Windows XP). Les seuls paquets forgables sont en ICMP maintenant
(ce qui
laisse une possibilité de tunneling ICMP)...

Ca apporte quoi au niveau sécurité ça? Parce que ça empeche d'utiliser
des outils tels que nmap, et quand on est compromis j'imagine qu'il
"suffit" qu'une ame "charitable" ponde le driver qui va bien pour que ça
ne change rien.

Le Thu, 19 Aug 2004 15:22:12 +0000, Simon Marechal a écrit :

_ le fait qu'il n'est plus possible d'avoir des Raw sockets (une
"hérésie" apportée par Windows XP). Les seuls paquets forgables sont en
ICMP maintenant (ce qui laisse une possibilité de tunneling ICMP)...
Ca apporte quoi au niveau sécurité ça?

Amha, rien. 9x, Me, NT4 et 2k ne disposent des raw sockets, et ça n'a
jamais empêché personne d'y faire de l'injection de trames... En outre,
pour utiliser les raw sockets, il faut être administrateur, et si on est
administrateur, on peut ajouter un driver de capture/injection (ce que tu
fais remarquer plus bas). Donc on n'a pas gagné grand chose en somme.

Parce que ça empeche d'utiliser des outils tels que nmap

Provisoirement.
Ils vont passer sur un driver d'injection de trame comme la winpcap et se
sera réglé. Cependant, il semble que la winpcap ait des problème de
compatibilité avec SP2, ce qui nous prive certes de l'injection de
trames, mais aussi de la possibilité de monitorer le réseau (exit
Ethereal ou Windump). Mais bon, je pense que ça devrait être réglé
rapidement. Wait and see.

et quand on est compromis j'imagine qu'il "suffit" qu'une ame "charitable"
ponde le driver qui va bien pour que ça ne change rien.

Voir la Winpcap, qui permet de faire de l'injection de trame directement
au niveau NDIS sans passer par le couche IP native (donc sans utiliser les
raw socket).


--

Utilise eshell ! :)
Et accroche-toi au pinceau, j'enlève la RAM ...

-+- EL in GFA : "C'est l'histoire d'un emacsien fou..." -+-

Cedric Blancher wrote:

Amha, rien. 9x, Me, NT4 et 2k ne disposent des raw sockets, et ça n'a
jamais empêché personne d'y faire de l'injection de trames... En outre,
pour utiliser les raw sockets, il faut être administrateur, et si on est
administrateur, on peut ajouter un driver de capture/injection (ce que tu
fais remarquer plus bas). Donc on n'a pas gagné grand chose en somme.

Certes, mais ca rend la chose *theoriquement* un peu plus dur. En pratique
quelqu'un d'effectivement motivé pourra contourné cela.

Provisoirement.
Ils vont passer sur un driver d'injection de trame comme la winpcap et se
sera réglé. Cependant, il semble que la winpcap ait des problème de
compatibilité avec SP2, ce qui nous prive certes de l'injection de
trames, mais aussi de la possibilité de monitorer le réseau (exit
Ethereal ou Windump). Mais bon, je pense que ça devrait être réglé
rapidement. Wait and see.

La c'est etrange, la Winpcap 3.01alpha (qui existe depuis un certains temps
maintenant) fonctionnait très bien avec le SP2 RC2 et tout aussi bien avec
la version finale pour ce qui est de la capture. Par contre ma préférence
va à Packetyzer 2.0 et non à Ethereal ;)

On Thu, 19 Aug 2004 08:43:49 +0000, Ralph- wrote:

Pour ma part, j'ai surtout lu tout et n'importe quoi concernant le SP2.

Moi aussi :)

_ "le firewall ne protege pas en sortie". Dommage, les applications
(hors exception qui sont editables) sont monitorées en sortie comme
pour les autres firewalls softwares (ZA, Kerio..).

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx#XSLTsection130121120120

Windows Firewall provides protection for computers that are connected to a
network by preventing unsolicited inbound connections through TCP/IP
version 4 (IPv4) and TCP/IP version 6 (IPv6).

Je trouve aussi que l'on a pas assez parler de certains points
importants du SP2 qui sont moins clinquants à l'oeil:
_ le fait qu'il n'est plus possible d'avoir des Raw sockets (une
"hérésie" apportée par Windows XP).

Hérésie : "Ce qui heurte la tradition, les us et coutumes; défi au bon
sens, à l'usage établi." Donc, permettre aux utilisateurs "avec pouvoir"
d'un OS de génrer les paquets qu'ils souhaitent est un "défi au bon
sens" ?

Moi qui croyait qu'il n'y avait que cet ?*@! de Gibson pour penser des
trucs pareils (http://grc.com/dos/winxp.htm). Et dire qu'Unix propose ça
devant plus de 20 ans ...


Nicob

Le Fri, 20 Aug 2004 08:43:54 +0000, Ralph- a écrit :

Donc on n'a pas gagné grand chose en somme.
Certes, mais ca rend la chose *theoriquement* un peu plus dur.

Un peu plus compliqué ? Amha, ça ne changera rien. La plupart des outils
qui ont besoin de générer des paquets ne passent pas par les raw sockets
parce qu'elles sont trop limitées. En outre, utiliser un driver tiers
permet de passer à travers le firewalling, ce qui est le cas de la
winpcap.

En pratique quelqu'un d'effectivement motivé pourra contourné cela.

En pratique, quelqu'un qui veut faire quelque chose d'efficace ne passera
pas par les raw sockets. Les raw sockets sont trop contrôlées et
limitées pour en faire ce qu'il veut. Donc en fait, la bonne idée de
supprimer les raw sockets va obliger tout le monde à passer sur la
winpcap qui, rappelons-le, est utilisable par n'importe quel
utilisateur une fois installée (à moins que les choses aient changé
dans la version 3).

En gros, on vient de troquer un mécanisme borné et contrôlable
nativement pour un système d'injection puissant dont l'installation nuit
gravement à la sécurité du poste et de son environnement... Je rejoins
complètement Nicob sur cette suppression. Céder à la pression des
abrutis qui ne comprennent rien à rien n'est peut être pas la meilleure
manière de sécuriser le système...

La c'est etrange, la Winpcap 3.01alpha (qui existe depuis un certains temps
maintenant) fonctionnait très bien avec le SP2 RC2 et tout aussi bien avec
la version finale pour ce qui est de la capture.

N'étant pas abonné au MSDN, je n'ai pas le SP2, je me fais l'echo de
posts diffusés sur des listes de diffusion sécurité. Mais si ça
marche, ça va pleinement dans le sens de mon discours.

Par contre ma préférence va à Packetyzer 2.0 et non à Ethereal ;)

"Packetyzer is a Windows user interface for the Ethereal packet
capture and dissection library."

Ceci dit, la GUI est effectivement très bonne.


--
printk("HPFS: Grrrr... Kernel memory corrupted ... going on, but
it'll crash very soon :-(n");
2.4.3 linux/fs/hpfs/super.c

Nicob wrote:

Windows Firewall provides protection for computers that are connected to a
network by preventing unsolicited inbound connections through TCP/IP
version 4 (IPv4) and TCP/IP version 6 (IPv6).

Tiens, c'est marrant, ce dernier a pourtant bloqué mon antivirus cette
nuit qui essayé de se mettre à jour. Et aussi ce même firewall qui m'a
montrer sur une machine "sale" des tentatives de connexions en sortie par
des programmes "non-sollicités". Attention, je ne dis pas que ce firewall
est la solution à tous les problemes étant donné les methodes de contour-
-nement déjà existantes (et montrer par tes soins).

Hérésie : "Ce qui heurte la tradition, les us et coutumes; défi au bon
sens, à l'usage établi." Donc, permettre aux utilisateurs "avec pouvoir"
d'un OS de génrer les paquets qu'ils souhaitent est un "défi au bon
sens" ?

Moi qui croyait qu'il n'y avait que cet ?*@! de Gibson pour penser des
trucs pareils (http://grc.com/dos/winxp.htm). Et dire qu'Unix propose ça
devant plus de 20 ans ...

L'hérésie est pour moi de donner ce pouvoir à n'importe qui. Combien de
personne ont un compte aux pouvoirs administrateur sous Windows sans le
savoir (pour des question de facilité d'administration..) ?
On est beau être vendredi, j'ai pas trop envie de tomber dans un troll
aussi gros. On doit être à peu pres tout d'accord la philosophie de base
de gestion des utilisateurs dans les mondes Windows et Unix est quand
meme differente, malgré les efforts de MS pour changer ca, mais les
mauvaises habitudes ont la vie dure.

On Fri, 20 Aug 2004 09:46:59 +0000, Ralph- wrote:

L'hérésie est pour moi de donner ce pouvoir à n'importe qui. Combien de
personne ont un compte aux pouvoirs administrateur sous Windows sans le
savoir (pour des question de facilité d'administration..) ?

Soit un admin WinXP qui veut utiliser Nmap :
- pre-SP2 : aucun problème, il peut utiliser les raw sockets car il est
Administrateur sur la machine
- post-SP2 : il installe winpcap, et tout utilisateur de la machine (si
ça n'a pas changé) pourra sniffer/injecter en "raw Ethernet"

Pour mémoire, tu disais : "L'hérésie est pour moi de donner ce pouvoir
à n'importe qui" ...


Nicob