Le démon et la profonde mer bleue

Pendant que la réputation de sécurité des programmes open source a pris un coup récemment, Palladium est présenté par Microsoft comme une oportunité d'augmenter la sécurité par l'élimination de classes entière d'exploits potentiels. Cependant Palladium ne peut pas nous protéger contre la plupart des attaques contre la sécurité - et son but peut être d'éliminer les programmes open source des passerelles communes (ordinateurs bon marché comme les PC).

Personne ne dispute le fait que les buffer overflows et des attaques similaires ont été un des plus persistant problèmes de sécurité de ces dernières années. Cette classe d'attaques dans lesquelles une entrée particulière cause la plantée du programme et l'exécution du code de l'attaquant, est au coeur de la vulnérabilité récente d'OpenSSH et d'Apache, parmi d'autres incluant nombre d'exploits sur IIS (microsoft).

Palladium pourrait fournir une sécurité substantielle contre ces attaques, parce qu'il exigera que tout le code soit digitalement signé avant qu'il puisse être exécuté. Ceci sera imposé au niveau du matériel, pour réduire la probabilité de bogues sérieux d'implémentation. Ce modèle pourrait plausiblement éliminer des attaques par lequel le code de bas niveau pourrait être incorrectement exécuté par une application privilégiée.

C'est également intéressant de noter qu'un mélange incongru de techniques existantes, y compris StackGuard d'Immunix et FormatGuard, peut être employé avec les systèmes d'exploitations open-source pour nous protéger contre plusieurs de ces attaques. C'est parce que ces technologies sont complétement sous-utilisées que la plupart des systèmes restent vulnérables aux attaques de débordement (buffer overflow).

Entrez dans Le Palladium: Microsoft et ses associés clament que leur nouvelle architecture de sécurité peut protéger nos systèmes. Mais elle présente également un risque grave pour notre capacité même d'éxécuter des logiciels open-source sur les plateformes communes.

Les attaques définitives sur cette technologie sont venues par l'intermédiaire de Robert X. Cringely et Ross Anderson. Tous les deux conviennent que Palladium permettra seulement au code autorisé de fonctionner sur des systèmes équipés du matériel conforme.

Tandis que ceci ressemble à d'une bonne chose, son vrai but semble être de protéger les fournisseurs de contenu, pour permettre à Microsoft d'imposer des arrangements d'autorisation draconiens, et très probablement pour permettre à Microsoft d'agir en tant que portier pour tout les logiciels pour PC, leur permettant de rassembler des redevances sur ces logiciels comme si ces systèmes n'étaient rien de plus que des consoles visuelles de jeu.

--------------------------------------------------------
Linux en laisse.

À moins que Microsoft signe un kernell particulier de Linux, par exemple, il refusera presque certainement de fonctionner sur le matériel équipé Palladium. Si un réalisateur libère un paquet d'open-source pour un système d'exploitation approuvé Palladium, il ne fonctionnera pas à moins que le binaire ait été signé. Puisque les utilisateurs ne pourront pas signer des éxécutables, on peut éliminer entièrement la capacité des utilisateurs de compilé du logiciel à partir des sources.

Pour courronner le tout, Palladium est peu susceptible de protéger les utilisateurs contre la plupart des attaques. Il y a un grand nombre d'attaques qui peuvent être exécutées dans des applications, car ces applications ont une telle puissance d'extension. Les virus de Microsoft Outlook peuvent continuer de se répendre, de même que peuvent d'autres macro virus. La vulnérabilité d'exécution de cmd.exe sur des serveurs internet IIS n'exécute que du code certifié -- mais il fait ainsi en réponse à une demande internet d'un attaquant.

De ce que j'ai vu, je ne pense pas que Palladium peut bloquer une seule de ces attaques, ou la plupart des autres attaques de la couche des applications. Tandis que les attaques par débordements permettent à des utilisateurs d'exécuter le code arbitraire sur des systèmes, les attaques d'application exécutent seulement le code approuvé mais néanmoins produisent des résultats indésirables. Ces résultats peuvent être jusqu'au moindre détail aussi sérieux que les attaques par débordements que Palladium éliminerait.

En fin de compte, le matériel qui ne permet pas à Palladium de fonctionner continuera à être disponible -- mais ce ne sera pas le matériel de catégorie grand public sur lequel la plupart des systèmes d'exploitation open-source fonctionnent actuellement. Les fanatiques d'open-source pourront utiliser Linux ou NetBSD sur le matériel de Sun, par exemple, mais pas sur la plateforme beaucoup plus économique des PC.

L'open-source semble vulnérable actuellement, en raison d'un épisode sérieux de mauvaise synchronisation. Tandis que les promesses de palladium d'éliminer les attaques de débordements, ils peuvent de cette manière tout aussi bien éliminer toute l'open-source. Bien pire, elle ne protégera pas les utilisateurs contre des risques sérieux de sécurité. Pour ces raisons, je m'oppose à Palladium complètement. Je n'achèterai ni le matériel conforme ni le logiciel conforme s'ils doivent devenir disponible. J'encourage tous mes lecteurs à lire les liens ci-dessous, pour comprendre ce qu'ils disent, et pour se distancer fermemant de Palladium.

------------------------------------------------------------

Mon impression personnelle est que cette technologie ne fera qu'acroitre le contrôle des géants comme Microsofts ainsi que le contrôle qu'ils peuvent avoir sur nous par l'entremise des PC. De plus, cela peut servir de tremplins à d'autres technologies encore pires. Enfin, cela ne sera qu'une couche de plus de logique, couche de logique matérielle, mais quand l'on voit la vitesse à laquelle de nouveau virus apparaissent tous les jours et le temps de développement de ces virus qui diminuent sans arrêt, il y a fort à parier que le peu de protection que cette technique peut amener sera bien vite contournée.

Les liens en anglais se trouvent dans le texte d'origine en anglais que je n'ai pas traduit entiérement ici mais presque.
http://online.securityfocus.com/columnists/96

arch/ive/ief (2000 - 2005)