Vous êtes sur le site public du Cert-IST
Analyse "post-mortem" sur la propagation du ver Spida

Date :29 Juin 2005

Publication: Article

·  Lors de l'émission d'une alerte de sécurité par le Cert-IST, le rôle joué par les partenaires et clients est déterminant dans la réactivité du Cert-IST. Face à une attaque, plus la réactivité est importante, meilleur est le service pour les membres. Au travers de "l'autopsie" de la genèse de l'alerte "SPIDA", nous essayons de montrer en quoi la collaboration de tous est essentielle.

Historique

Chacun des points notés entre [] fait l'objet soit d'une analyse soit d'actions de corrections prises par le Cert-IST, pour améliorer le service dans le futur.

 

21 mai 2002

·  Le 21 mai au matin, au retour du week-end de Pentecôte, (début de la "Loi de Murphy"), le Cert-IST est averti dans la liste du FIRST d'une soudaine augmentation de scans sur le port 1433 ; cela vient des US où la plupart des CERT sont encore en train de dormir.

·  En milieu de matinée, un CERT britannique confirme cette tendance et le Cert-IST, remarque aussi un nombre élevé de tentatives sur ce port sur son site, nombre qui n'est pas corroboré par une analyse sur un autre site [1]. Il contacte ses homologues français pour évaluer la réalité de ce qui est encore considéré comme des scans.

·  En début d'après-midi, un membre du Cert-IST nous rapporte aussi cette augmentation sur son site et mentionne une alerte éditeur [2].

·  Le Cert-IST envoie au milieu de l'après-midi à la liste forum et aux représentants partenaires un sondage demandant si ces tentatives de "scan" ont été remarquées ailleurs ; pendant ce temps, les autres CERT français sont recontactés, et le Cert-IST leur annonce qu'il prépare une alerte sur le sujet.

·  2 membres du Cert-IST ont répondu avoir remarqué cela parmi lesquels des personnes "non-inscrites" au forum, et dont le mail a été traité en différé, pour cause de rejet [3].

·  L'alerte est envoyée en fin d'après-midi, avec comme titre "Scans sur le port 1433 (Microsoft SQL-Server)" et demandant de bloquer le port 1433 et d'utiliser des mots de passe robustes [4].

·  Certains forums commencent à parler de ver, comme nous le fait remarquer un des membres du Cert-IST, qui répond à l'envoi mentionné en iv. du milieu d'après-midi au forum ; d'autre part, avec le "réveil" de nos collègues américains les confirmations de "scans" se confirment.

22 mai 2002

·  L'alerte est révisée à midi (Version 2.0) quand l'analyse faite par des sites ayant pu capturer et désassembler les attaques montrent qu'il s'agit bien d'un ver et que ses effets sont décrits en détail. L'alerte est diffusée avec une erreur dans l'adresse mail utilisée par le ver pour envoyer les mots de passe à "craquer" ; cette adresse sera corrigée (Version 2.1) après un commentaire d'un des partenaires [5].

·  L'alerte est diffusée "publiquement" et mise sur le serveur Web public [6].

23 mai 2002

·  Un avis de sécurité CERT-IST/AV-2002.172 est publié et l'alerte est modifiée en Version 2.2.

28 mai 2002

·  Les indicateurs "d'activité" (scans reçus par le Cert-IST, statistiques du site incidents.org, etc…) montrent une diminution très importante des "scans/attaques".

 

Analyse

L'analyse que nous avons faite sur le moment et que nous faisons a posteriori est la suivante ; elle est faite en relation avec les points mentionnés au paragraphe précédent :

  • [1] Une explication à ce phénomène d'attaques non uniformément distribuées a été donnée par la façon dont les blocs de numéros IP sont sélectionnés dans le code du ver pour la propagation, avec plus de chances de sélection pour certains numéros que d'autres.

  • [2], [3] L'information qu'un site de la communauté Cert-IST était lui aussi touché a été un des éléments clés de la réactivité.

  • [4] En l'absence de connaissance des risques exacts que faisait courir le ver, les précautions essentielles concernant le blocage du port et de durcissement des mots de passe ont été conseillées.

  • [5] En accord avec sa politique d'alerte, le Cert-IST fait bénéficier l'ensemble de la communauté IST des alertes, comme cela a été fait par le passé.

  • [6] Le contexte de mutualisation sur lequel est basé le Cert-IST montre une fois de plus son importance pour l'ensemble de la communauté.

 

Conclusions et actions

Les expériences que nous tirons de cette alerte sont les suivantes :

  • Le forum n'est peut-être pas le meilleur véhicule d'un sondage de la communauté, quand des "pré-alertes" sont en jeu ; à l'instar de la liste Virus-Coord, nous proposerons une liste spécialisée, avec inscription par les représentants des partenaires et clients.

  • L'objet du mail au forum n'était pas suffisamment explicite, pour attirer l'attention. L'utilisation de mécanismes du type "drapeau d'urgence" seront proposés et testés.

  • Pour que le Cert-IST puisse réagir au mieux des intérêts de ses membres, il faut, comme cela a été montré dans ce contexte, que l'effet de mutualisation joue à plein.