SSTIC 2013 - Rôle des hébergeurs dans la détection de sites web compromis

Par Davide Canali
(Edit: slides)

L’hébergement mutualisé, c’est l’enfer niveau sécurité. Des millions d’utilisateurs, pas de contrôle sur la machine, plein de petits sites et une surface d’attaque ENOOOORME. L’orateur à donc testé l’efficacité de ces hébergeurs. Il a donc pris plein d’abonnements pour de l’hébergement mutualisé et il a déposé des sites vulnérables dont l’exploitation est détectable par des IDS, WAF, etc…

Ils ont en suite attendu 25j pendant lesquels ils lançaient des attaques sur les sites vulnérables. Et ils ont en suite balancé des plaintes légitimes (plainte sur des sites vulnérables et « attaqués ») et illégitimes (sites clean et sans failles).

Ils ont aussi testé des services de « sécurité » avancés, en s’attendant à des alertes plus rapides…

Ils ont en suite joué leurs tests sur les hébergeurs… et c’est là que la rigolade commence, mais il y a de quoi rire jaune. Certains hébergeurs découragent les inscriptions abusives. Les hébergeurs globaux sont plus attentifs que les hébergeurs régionaux. 3 hébergeurs ont une procédure d’inscription très simple facilitant le travail des attaquants.

Certains hébergeurs ont des mesures de prévention à base de blacklists d’URLs sur des attaques basiques pour 30% d’entre eux. Ils ont aussi parfois de l’egress filtering et de la détection de commandes spécifiques.

Bon globalement ils ont RIEN détecté hormis quelques uns. Concernant les plaintes, la réactivité est plutôt bonne, mais la réaction en elle même n’était pas bonne. Seul 3 hébergeurs sur 22 ont réagit correctement, d’autres on carrément fermé le compte sans laisser l’utilisateur accéder à ses données/backups, et d’autres font carrément l’autruche. Pire, certains hébergeurs ont réagi sans contrôler l’origine de la plainte et son bien fondé, et ont flingué des sites pourtant propres.

Les services de détection ont rien fait, à part un qui à réussi à détecter les fichiers malveillants, sans pour autant remonter d’alerte par e-mail au client.

Les hébergeurs luttent mieux contre les inscriptions frauduleuses mais ne luttent pas contre la compromission de leurs clients.