Aller au contenu

Désactiver le LISP


Invité Patrick
 Partager

Messages recommandés

Invité Patrick

Avec le SP1 d'AutoCAD 2013, vous pouvez paramétrer AutoCAD pour que les programmes LISP ne puissent pas s'éxécuter, ceci pour éviter les malwares.

 

Ce Service Pack introduit des options pour contrôler le fonctionnement des applications AutoLISP et VBA dans AutoCAD. Les nouveaux contrôles fournissent les mesures de sécurité suivantes:

Minimiser la possibilité de charger et d'exécuter des applications non autorisées ou malveillantes AutoLISP et VBA en contrôlant l'emplacement du dossier à partir duquel les applications AutoLISP et VBA sont automatiquement chargés (variable système AUTOLOADPATH).

Limiter l'impact des applications AutoLISP et VBA malveillants en désactivant le chargement automatique des applications AutoLISP et VBA par défaut (variable système AUTOLOAD).

Faciliter le processus de nettoyage par désactiver complètement AutoLISP lors du démarrage (/ interrupteur de démarrage nolisp)

Remarque: Pour activer les modifications à chargement automatique AutoCAD.dvb, désinstallez le logiciel AutoCAD 2013 VBA Enabler, et de télécharger et installer la dernière version d'AutoCAD 2013 module VBA qui a été mis à jour pour les modifications apportées dans le Service Pack 1 pour AutoCAD 2013.

Nouveau / nolisp interrupteur de démarrage

Démarrez AutoCAD avec ce commutateur pour désactiver l'exécution AutoLISP dans la session en cours AutoCAD, y compris tous les LSP, FAS, et les fichiers VLX. Ce commutateur est utile pour empêcher les codes malveillants AutoLISP automatique du chargement et l'exécution.

Désactivation AutoLISP a les effets suivants:

Tentative de charger n'importe quel fichier LISP échouera.

Tentative de copier et coller le code AutoLISP dans la fenêtre de commande échouera silencieusement.

Remarque: La désactivation AutoLISP permettra d'éviter les Express Tools et quelques outils de commande d'AutoCAD de fonctionnement et ne doit être utilisée dans les situations d'urgence.

LISPENABLED (variable système)

Indique si AutoLISP est activée pour la session en cours AutoCAD.

(Lecture seule)

Type: Entier

Enregistré dans: Non enregistré

Valeur initiale: 1

0 - AutoLISP est désactivé

1 - AutoLISP est activé

Désactivation AutoLISP a les effets suivants:

Tentative de charger n'importe quel fichier LISP échouera.

Tentative de copier et coller le code AutoLISP dans la fenêtre de commande échouera silencieusement.

Cette variable système est contrôlé par le commutateur / démarrage nolisp.

AUTOLOAD (variable système)

Détermine si AutoCAD charge automatiquement AutoCAD.lsp / fas / VLX, aux fichiers AutoCAD.dvb acaddoc.lsp / fas / VLX,.

Type: Entier

Enregistré dans: Nommé Profil / Registre

Valeur initiale: 1

Valeurs:

0 - Aucun des 7 suivantes AutoLISP / VBA fichiers seront automatiquement chargés

acad.lsp

acad.fas

acad.vlx

acaddoc.lsp

acaddoc.fas

acaddoc.vlx

acad.dvb

1 - charge automatiquement les 7 fichiers en fonction de la valeur de la variable système AUTOLOADPATH.

AUTOLOADPATH (variable système)

Contrôle le dossier à partir duquel les charges AutoCAD AutoCAD.lsp / fas / VLX, aux fichiers AutoCAD.dvb acaddoc.lsp / fas / VLX,.

Type: String

Enregistré dans: Nommé Profil / Registre

Valeur initiale: ""

Lien vers le commentaire
Partager sur d’autres sites

Si vous voulez tester votre AutoCAD, j'ai préparé un petit ZIP inoffensif qui montre le concept : http://wiip.fr/sites/default/files/Test.zip

 

Il faut décompresser l'archive et ouvrir le .dwg en double cliquant dans l'explorateur de fichiers.

Maxence DELANNOY

Développement de compléments aux logiciels Autodesk : AutoCAD, Revit, Inventor, Vault, Navisworks... et autres logiciels de CAO

WIIP - http://wiip.fr

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Une ou deux petites réflexion en vrac à la lecture de la new

 

Ce Service Pack introduit des options pour contrôler le fonctionnement des applications AutoLISP et VBA dans AutoCAD.

En gros on offre la possibilité d’utilisé la version pleine comme si c’était une LT <Humour>

 

Limiter l'impact des applications AutoLISP et VBA malveillants en désactivant le chargement automatique des applications AutoLISP et VBA par défaut (variable système AUTOLOAD).

C’est plus facile à faire maintenant qu’il n’y a pratiquement plus de code Lisp dans les fichiers sources d’Autodesk (ce qui est vraie pour ma version 2007, alors j’imagine pour les versions plus récentes) et que le vba est abandonné..

 

Remarque: La désactivation AutoLISP permettra d'éviter les Express Tools et quelques outils de commande d'AutoCAD de fonctionnement et ne doit être utilisée dans les situations d'urgence.

C’est bien ce que je disais..

 

 

En conclusion, on pourra faire confiance aux auteurs de malware, pour écrire leur programme en .net ou ObjectArx, à mon avis cette annonce est plus une opération de communication qu’une solution vraiment efficace, mais au vu de l’actualité récente Autodesk se devait de montrer qu’ils planchaient sur la question…

 

 

Une petite recherche rapide sur le forum de sujet récent traitant de virus sous AutoCAD :

http://cadxp.com/index.php?/topic/35060-resolut-a-quoi-servent-ces-fonctions-comment-sen-debarasser/

http://cadxp.com/index.php?/topic/35527-virus-lie-a-autocad-ca-continue/

http://cadxp.com/index.php?/topic/35370-le-virus-flame-aime-vos-dessins-autocad/

http://cadxp.com/index.php?/topic/27002-virus-acadlsp/

 

 

Pour ceux qui n’ont pas la version 2013 je rappellerai un petit lien au cas où :

http://usa.autodesk.com/adsk/servlet/ps/dl/item?siteID=458335&id=16895628&linkID=16886429

 

 

Ps : Je viens de voir le post de Maxence DELANNOY je suis curieux de tester cela

 

A+

Apprendre => Prendre => Rendre

Lien vers le commentaire
Partager sur d’autres sites

La différence entre AutoLISP/VBA et .NET/ObjectArx, c'est que les premiers permettent d'exécuter du code simplement en déposant certains fichiers (acad.lsp, acad.dvb) à proximité d'un fichier AutoCAD. VBA permet en plus d'incorporer directement du code dans le .dwg.

 

.NET/ObjectArx ont aussi des mécanismes de chargement automatique, mais ils faut dans ce cas modifier la base de registre (il faudrait donc que l'utilisateur clique sur un fichier .reg et réponde OK à l'avertissement concernant la fusion) ou qu'il place les fichiers dans un des répertoires d'Autoload de bundle pour les versions d'AutoCAD qui le supportent (2012 et +).

 

Donc dans le premier cas le code peut s'exécuter sans intervention de l'utilisateur (à l'insu de son plein gré comme dirait l'autre), tandis que dans le 2ème, il faut une action explicite de l'utilisateur.

Maxence DELANNOY

Développement de compléments aux logiciels Autodesk : AutoCAD, Revit, Inventor, Vault, Navisworks... et autres logiciels de CAO

WIIP - http://wiip.fr

Lien vers le commentaire
Partager sur d’autres sites

Très juste Bruno cette réflexion sur la disparition du lisp. Je vois encore les mêmes entre 2010 et 2013. On trouve par exemple 3D et MVSETUP....

 

Petite différence : 3D n'est pas chargée dans la version 2013 !

 

En conclusion, on pourra faire confiance aux auteurs de malware, pour écrire leur programme en .net ou ObjectArx

+ B)

http://www.abcad.fr/images/logo_courrier.png


Bureau d'études dessin.

Spécialiste Escaliers

Développement - Formation

 

./__\.

(.°=°.)
Lien vers le commentaire
Partager sur d’autres sites

Je ne peux pas tester, mais vu l'exposé, je me pose une question, quant est-il de l'exécution de script?

 

Ce n'est pas du lisp, ni VBA ou autre langage, mais il me semble facile à travers un script de réactiver ces variables.

 

Il y a aussi les réacteurs dans un DWG, bien que plus complexe, pourrait réactiver aussi ces variables.

 

Le bout de sparadrap sur le bobo d'un enfant rassure toujours celui-ci, et là c'est l'impression que ça me fais...

Choisissez un travail que vous aimez et vous n'aurez pas à travailler un seul jour de votre vie. - Confucius

Lien vers le commentaire
Partager sur d’autres sites

Invité Patrick

En gros on offre la possibilité d’utilisé la version pleine comme si c’était une LT <Humour>

 

En gros oui, il fût une époque où les gens rêvaient de l'inverse, vous souvenez vous des activateurs de LISP dans la LT, des produits de DRCAuto (tiens, son fondateur est mort) en particulier et des polémiques avec Autodesk?

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Je ne peux pas tester, mais vu l'exposé, je me pose une question, quant est-il de l'exécution de script?

 

Pour exécuter un script, tu dois le faire explicitement via la commande SCRIPT par exemple, le problème là c'est que l'attaquant peut exécuter un Lisp ou un VBA sans que l'utilisateur ne s'en rende compte.

Maxence DELANNOY

Développement de compléments aux logiciels Autodesk : AutoCAD, Revit, Inventor, Vault, Navisworks... et autres logiciels de CAO

WIIP - http://wiip.fr

Lien vers le commentaire
Partager sur d’autres sites

Pour exécuter un script, tu dois le faire explicitement via la commande SCRIPT par exemple

 

Il est dit dans l'exposé:

Nouveau / nolisp interrupteur de démarrage

Démarrez AutoCAD avec ce commutateur pour désactiver l'exécution AutoLISP dans la session en cours AutoCAD

 

Il me semble qu'un script peut aussi être lancé de cette manière. (/s ou /sr de souvenir)

 

Comme le dit Patrick

vous souvenez vous des activateurs de LISP dans la LT

 

Est ceci a duré de nombreuses années, sans qu'Autodesk bride sérieusement ses produits, la solution à été pénale et non technique.

 

Pour moi ces problèmes de malwares sont surtout un problème entre la chaise et le clavier et de pseudo démocratisation de l'utilisation du logiciel (les messages concernant la bannière éducative en sont le révélateur, pour ne citer que ceux-ci...)

Autodesk a choisi de rendre les données des dessins accessible par programmation, ce qui a contribué à l'attrait de celui-ci. Faire marche arrière devient difficile, donc le sparadrap reste de mise.

Fait étrange, ces malwares coïncident avec l'apparition de logiciels concurrent. Les dessinateur ont-ils un intérêt à créer ce genre de code, si oui, pourquoi cela n'a pas t-il était fait avant?

Ce sont pas des réponses, mais des réflexions.

Choisissez un travail que vous aimez et vous n'aurez pas à travailler un seul jour de votre vie. - Confucius

Lien vers le commentaire
Partager sur d’autres sites

Il me semble qu'un script peut aussi être lancé de cette manière. (/s ou /sr de souvenir)

 

C'est l'option /b. Mais je me répète, c'est pas la même chose.

 

Prenons le scénario suivant : vous téléchargez une bibliothèque de blocs sur un site lambda. La bibliothèque est constituée de plusieurs fichiers .dwg dans une archive ZIP. Vous décompressez le ZIP et vous ouvrez un des blocs pour regarder ce qu'il y a dedans. A ce moment là, le fichier acad.lsp caché dans le ZIP est exécuté en arrière plan et se mets à rechercher sur votre disque tous les dwg et quand il en trouve un, il l'envoie sur Internet au pirate. En imaginant que vous travaillez dans un domaine sensible, genre vous faites les plans d'aménagement de l'Elysée, et bien toutes ces informations se retrouvent expédiées sur le net sans même que vous soyez au courant. C'est le principe du cheval de Troie, du keylog...

 

Dans le cas d'un script, il faudrait que l'utilisateur prenne le script et l'exécute dans AutoCAD (que ce soit via la ligne de commande ou par la commande SCRIPT, c'est pareil). Vous le faites consciemment alors que dans le 1er cas le malware fait des choses dans votre dos...

 

PS : C'est moi ou ce forum corrige systématiquement acad en AutoCAD ?

Maxence DELANNOY

Développement de compléments aux logiciels Autodesk : AutoCAD, Revit, Inventor, Vault, Navisworks... et autres logiciels de CAO

WIIP - http://wiip.fr

Lien vers le commentaire
Partager sur d’autres sites

Fait étrange, ces malwares coïncident avec l'apparition de logiciels concurrent. Les dessinateur ont-ils un intérêt à créer ce genre de code, si oui, pourquoi cela n'a pas t-il était fait avant?

 

Intellicad ça date des années 90 et des virus AutoCAD ça existe depuis belle lurette. Si Autodesk a réagi, c'est suite au virus Flame qui a fait beaucoup de bruit.

Maxence DELANNOY

Développement de compléments aux logiciels Autodesk : AutoCAD, Revit, Inventor, Vault, Navisworks... et autres logiciels de CAO

WIIP - http://wiip.fr

Lien vers le commentaire
Partager sur d’autres sites

[...] vous téléchargez une bibliothèque de blocs sur un site lambda. La bibliothèque est constituée de plusieurs fichiers .dwg dans une archive ZIP. Vous décompressez le ZIP et vous ouvrez un des blocs pour regarder ce qu'il y a dedans. A ce moment là, le fichier acad.lsp caché dans le ZIP est exécuté en arrière plan [...]

 

C'était alors la fonction "charge-moi-le-acad.lsp-du-répertoire-du-fichier-dwg" qui était à bânir (entre autre)

 

La méthode autoritaire lisp/pas de lisp induit que les utilisateurs de lisp ne bénéficient pas de cette protection (illusoire) et que les autres se croient protégés. C'est une bequille sur une jambe de bois,,, enfin non, c'est plutôt couper la jambe ;-)

 

Certaines actions sont dangeureuses, il faut certainement les brider, ou demander la validation de l'utilisateur.

 

PS: Flame utilisait quoi pour envoyer les fichiers en SMTP ?

Carboléüm, qui dessine aussi à la main -> Carboleum's sketchblog

Lien vers le commentaire
Partager sur d’autres sites

C'était alors la fonction "charge-moi-le-acad.lsp-du-répertoire-du-fichier-dwg" qui était à bânir (entre autre)

 

C'est à ça que serve précisément les nouvelles variables systèmes. AUTOLOADPATH permet de définir à partir de quel répertoire les fichiers de chargement automatique sont exécutés. Par défaut, elle est à "" ou à ".", si tu la définis sur un répertoire précis, tu limites le risque. Plus simple, si tu mets AUTOLOAD à 0, ces fichiers ne seront plus chargés.

 

Donc tu n'es pas obligé de désactiver complètement AutoLISP. L'option de ligne de commande /nolisp c'est à utiliser quand tu es dans un environnement ultra sensible, c'est un peu comme désactiver javascript dans un navigateur Internet.

 

PS: Flame utilisait quoi pour envoyer les fichiers en SMTP ?

 

Il n'utilisait pas SMTP, mais SSH. Tu peux consulter cet article très intéressant de Kaspersky : http://www.securelist.com/en/blog/208193540/The_Roof_Is_on_Fire_Tackling_Flames_C_C_Servers

Maxence DELANNOY

Développement de compléments aux logiciels Autodesk : AutoCAD, Revit, Inventor, Vault, Navisworks... et autres logiciels de CAO

WIIP - http://wiip.fr

Lien vers le commentaire
Partager sur d’autres sites

Invité Patrick

Intellicad ça date des années 90 et des virus AutoCAD ça existe depuis belle lurette. Si Autodesk a réagi, c'est suite au virus Flame qui a fait beaucoup de bruit.

 

Pas sûr que le SP1 bloque le virus Flame qui doit être écrit en autre chose qu'en LISP ou qu'en VBA, je suppose que tenter de bloquer le virus Flame qui a été écrit soit par les israéliens soit par les américains (excusez le pléonasme) pour endommager les centrifugeuses iraniennes (ou pour tenter de le faire croire d'ailleurs ce qui revient au même pour justifier l'intervention israélienne qui se prépare ces jours ci), ne se ferait pas sans l'accord des autorités américaines; on voit mal un des principaux éditeurs de logiciels américains empêcher l'action de son gouvernement.

 

 

Lien vers le commentaire
Partager sur d’autres sites

C'est à ça que serve précisément les nouvelles variables systèmes. AUTOLOADPATH permet de définir à partir de quel répertoire les fichiers de chargement automatique sont exécutés. Par défaut, elle est à "" ou à ".", si tu la définis sur un répertoire précis, tu limites le risque. Plus simple, si tu mets AUTOLOAD à 0, ces fichiers ne seront plus chargés.

 

Au temps pour moi.

J'ai réagi avant de lire la fin du post :-(

 

Il n'utilisait pas SMTP, mais SSH. Tu peux consulter cet article très intéressant de Kaspersky : http://www.securelist.com/en/blog/208193540/The_Roof_Is_on_Fire_Tackling_Flames_C_C_Servers

 

Un bon firewall aurait du être suffisant, non ?

Tout le monde ne sort pas en SSH de sa machine.

Carboléüm, qui dessine aussi à la main -> Carboleum's sketchblog

Lien vers le commentaire
Partager sur d’autres sites

Un bon firewall aurait du être suffisant, non ?

Tout le monde ne sort pas en SSH de sa machine.

 

En général, il n'y a que les connections entrantes qui sont bloquées par un pare feu. Les connections sortantes sont considérées comme plus sures, car elles sont en théorie initiés par un utilisateur présent sur le réseau. Et les bloquer rendrait impossible la connexion à Internet, l'utilisation de logiciels comme Skype... etc.

Maxence DELANNOY

Développement de compléments aux logiciels Autodesk : AutoCAD, Revit, Inventor, Vault, Navisworks... et autres logiciels de CAO

WIIP - http://wiip.fr

Lien vers le commentaire
Partager sur d’autres sites

des virus AutoCAD ça existe depuis belle lurette

 

Je pratique Autocad depuis 86, personnellement je n'ai jamais rencontré entendu parlé de virus, tout au plus des farces de bidouilleurs avec les AutoCAD.lsp. Les malwares utilisant Autocad me semble assez récent.

 

Je me suis amusé dernièrement à décortiquer sommairement (en pas à pas, je n'ai pas tout compris dans le code) un lisp douteux (écrit en vlax non compilé) de conception chinoise (malheureusement je ne retrouve pas le lien et je pensais l'avoir gardé quelque part; c'est toujours très instructif de voir ce genre de code), et bien en effet il cherchait bien à se dupliquer sauvagement dans tout les dossiers ouverts et/ou accessibles, la base de registre semblait vouloir être aussi attaqué: vu que je ne comprenait pas tout le code et par manque de temps, j'ai arrêté mon investigation.

 

Après réflexion, j'ai effacé ce lisp car j'ai eu peur de conserver ce code en zappant son existence et sa gravité et de le propager par inadvertance (car comme dit plus haut, le problème est entre la chaise et le clavier et j'en fais partie) ;)

Choisissez un travail que vous aimez et vous n'aurez pas à travailler un seul jour de votre vie. - Confucius

Lien vers le commentaire
Partager sur d’autres sites

En général, il n'y a que les connections entrantes qui sont bloquées par un pare feu.

 

Voilà une belle erreur...

 

Les connections sortantes sont considérées comme plus sures, car elles sont en théorie initiés par un utilisateur présent sur le réseau.

 

... car c'est la porte ouverte aux chevaux de troie (comme Flame ;-)

 

Et les bloquer rendrait impossible la connexion à Internet, l'utilisation de logiciels comme Skype... etc.

 

Non parce que chaque port peut être fermé séparément.

Carboléüm, qui dessine aussi à la main -> Carboleum's sketchblog

Lien vers le commentaire
Partager sur d’autres sites

Non parce que chaque port peut être fermé séparément.

 

Oui mais on doit toujours laisser quelques ports ouverts sinon rien ne fonctionne et il y a des techniques comme UDP hole punching qui permettent de passer à travers les pare-feu. Les logiciels comme Skype ou Teamviewer les utilisent pour s'affranchir des restrictions mises en place : http://www.h-online.com/security/features/How-Skype-Co-get-round-firewalls-747197.html (attention mal de tête assuré).

 

J'utilise régulièrement Teamviewer et je n'ai eu qu'une fois un problème de connexion qui ne passait pas.

 

De toutes façons, il y a des dwg qui se baladent un peu partout, sur des clés USB, etc... Même si on est dans une entreprise sécurisée genre Airbus, à mon avis certains documents doivent tomber dans les mains de sous-traitants moins bien organisés sur le plan de la sécurité informatique.

Maxence DELANNOY

Développement de compléments aux logiciels Autodesk : AutoCAD, Revit, Inventor, Vault, Navisworks... et autres logiciels de CAO

WIIP - http://wiip.fr

Lien vers le commentaire
Partager sur d’autres sites

Je pratique Autocad depuis 86, personnellement je n'ai jamais rencontré entendu parlé de virus, tout au plus des farces de bidouilleurs avec les AutoCAD.lsp. Les malwares utilisant Autocad me semble assez récent.

 

Oui il n'y a jamais eu de menace réellement sérieuse à mon avis, mais le sujet est sensible donc Autodesk se devait de réagir rapidement. Si des décideurs trop zélés se disent qu'AutoCAD constitue un point faible, ce dernier risque d'être banni de certaines sociétés.

Maxence DELANNOY

Développement de compléments aux logiciels Autodesk : AutoCAD, Revit, Inventor, Vault, Navisworks... et autres logiciels de CAO

WIIP - http://wiip.fr

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement
 Partager

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer. Politique de confidentialité