octobre 18th, 2008

« From Russia with love », pourraient être légendés les graphiques illustrant le dernier papier de Danchev sur la cyber-attaque du 27 août contre la Géorgie. Des graphiques qui montrent la violence de l’assaut, sa brièveté également, mais qui surtout prouvent à quel point « l’electronic & information warfare » est devenue indissociable de toute action militaire dans le cadre de conflits visant un pays développé. Indissociable mais non essentielle, c’est là seulement l’un des vecteurs utilisable en cas de conflit. Il est intéressant également de noter que, selon Dancho Danchev, les « troupes » engagées dans ce genre de conflit sont généralement des supplétifs mobilisés dans les rangs peu reluisants des réseaux de black-hats… des « patriotes » d’occasion qui se mobilisent non seulement très rapidement, mais dont l’action est mieux coordonnée qu’un stick de para des commandos Hubert. Notons que ce mode de « recrutement des forces vives de talents technologiques » fait également partie des stratégies préconisées par certains membres du Haut Commandement militaire Chinois qui, par deux occasions au moins, a montré à quel point ces opérations de « guerre éclair » pouvaient avoir une importance médiatique et psychologique notable.

Dire que les hackers noirs sont directement commandés par le Kremlin est une vision réductrice et simpliste. Mais la coordination des effectifs et l’efficacité de l’opération laissent penser que, parfois, deux doigts de noyautage, un peu de manipulation psychologique, un zeste de propagande, le recours aux vieilles ficelles de la fibre nationaliste s’avèrent aussi efficaces sur les cyber-truands que sur les vas-t-en-guerre de 15 à 35 ans.

La guerre contre les antivirus douteux et les « paniquiciels » (cousin gaulois du Scareware) est loin d’être gagnée. Tous les chevaux du roi, Microsoft et l’Etat de Washington, avaient bien, il y a deux semaines, condamné un vendeur d’antivirus frelaté. Mais pour un aigrefin mis sous les verrous, il en apparaît vingt autres. L’un des derniers recensements de Dancho Danchev –ce ne sera jamais que la neuvième liste de ce genre – en dénombre 38, certains même avec leurs adresses IP associées appartenant manifestement au même bloc. La disparition des Atrivos et autres fantômes du RBN n’ont rien, strictement rien changé. Mais peut-être ces statistiques sur les faux antivirus dépassent-elles l’entendement : il en va toujours ainsi avec les chiffres de la sinistralité. Sorti du cadre individuel et du pathos qui se dégagent d’un drame particulier, les grands massacres laissent indifférents. Plutôt la mort de l’orpheline que la boucherie du Chemin des Dames, plutôt le dramatique fauchage d’un Vélib que les statistiques d’un week-end du 15 août.

C’est en partie pour cette raison que notre éminent confrère du Reg, John Leyden, ne rapporte qu’un chiffre : 15 millions de dollars par mois. C’est ce que rapporterait à chaque vendeur la distribution de ces faux antivirus. Une statistique très hypothétique émise par un éditeur d’A.V., et dont le sérieux est fortement discuté par Graham Clueley, porte-parole de Sophos, société concurrente de la première et vieux briscard du monde des vaccins informatiques. Mais le « buzz » est lancé. Plutôt que 40 réelles nouvelles tentatives d’escroqueries chaque quinzaine, l’on préfère monter en épingle un hypothétique chiffre d’affaires catastrophiste qui frappera mieux les idées.

Même réaction du côté de Computer Associates, qui s’émeut d’une forfaiture… pis encore, d’un crime de lèse-majesté : d’infâmes auteurs de « scarewares » se sont permis de substituer au centre de sécurité Vista une imitation presque aussi vraie que nature. Ensuite, nous explique Security News qui reprend l’information, l’imitation en question détecte de dangereux virus que seul un prétendu Windefender 2008 saura éradiquer. Le pseudo-centre de sécurité contrôlant la quasi-totalité des moyens de communication de Windows, toute navigation sur le web, tout téléchargement d’un antivirus légitime est impossible… exception faite du Windefender dontauquel dusujet koncausait. Lequel, on s’en doute, n’est pas plus gratuit qu’il n’est efficace. Au passage, quelques backdoors s’installent, entre le premier et le second acte. Deux sécurités –pour les pirates – valent mieux qu’une.

Que peut-on, que doit-on retirer de ce triple éclairage sur les véritables « faux antivirus » ? Qu’il est plus simple, pour un éditeur d’A.V., de parler au cas par cas, de mettre en relief les aspects effrayant d’une seule menace à la fois. C’est Fabrice Del Dongo à Waterloo, le journaliste de CNN sur les balcons d’un hôtel de Bagdad : une vision parcellaire du théâtre d’opération, à l’échelle humaine, à l’échelle des sentiments… parfaitement « étudiée pour » que les internautes comprennent le message et achètent un « véritable, efficace, légitime antivirus ». L’expert, quand à lui, trace de grandes lignes précises, reflet des métriques qu’il accumule quotidiennement. C’est tout Waterloo, c’est l’opération Desert Storm en quelques lignes. Dépassionnée, certes, moins impressionnante, mais capable de donner une idée précise de l’ampleur des dégâts, des contre-mesures envisageables –ou de l’aspect imparable de la menace.

« Déculottez votre réseau » incite Midnight Research. Et ce grâce à « Depant », une sorte de mélange légèrement explosif dont la composition mérite quelque attention. Sur une machine Linux bien troussée, faites revenir à son état normal le fichier gz mijoté par MRL. Il s’en dégage immédiatement le bouquet subtil de Nmap et de son indicible flair, qu’accompagne le goût robuste et fort (brute force d’ailleurs) de Hydra, aromate concoctée par le THC. Cette épice a pour principale fonction de ramollir à cœur les ensembles mot-de-passe/login. Il ne suffit plus que de napper l’appareil à l’aide de la « Default Password List » longuement maturée par Phoenolit. Servir chaud.

Les amateurs de McDonald préfèreront probablement la version indigeste : « outil de test de pénétration destiné à vérifier la présence d’un équipement situé sur le réseau et utilisant encore le couple «login/mot de passe » inséré par défaut lors de la « configuration usine ».

Franchement, la vie de RSSI serait plus belle sans ces périphériques aussi inconséquents qu´inutiles que sont les « utilisateurs finaux pas finauds ». Une récente étude de Websense (entreprise spécialisée dans le DLP) portant sur les entreprises Françaises et d´Afrique du Nord, tendrait à prouver qu´elles sont mises en danger par le comportement à risques de leurs employés. Lesquels, sans vergogne, surfent depuis leur lieu de travail sur des sites parfois dangereux. « Dans 68 % des cas, les sites Web contenant du code malveillant étaient des sites de bonne réputation qui avaient été involontairement infectés » précise l´étude. Il est vrai que les nombreuses formations en analyse de trame, les séminaires de dump de javascripts, les longues réunions de sensibilisation aux ravages des buffers overflow et les « incentives » au désassemblage de code malicieux qu´organisent lesdites entreprises portent bien mal leurs fruits. Mais pourquoi donc, d´ailleurs, embauchent-elles des employés incapables de détecter une attaque en « clickjacking » lancée depuis un site légitime… on se le demande.

Et l´étude de continuer « 57 % des menaces étaient liées à des sites dynamiques de type Web 2.0, mais moins de 10 % des sites infectés étaient hébergés en France. ». Probablement une malveillance orchestrée par l´AntiFrance et ses sbires qui ne respectent pas même Google ou Yahoo. « L´une des entreprises (de 2500 salariés) a visité 548 437 sites infectés par du code malveillant sur une période de 10 jours. Des codes de type keyloggers, adware et spyware ont été détectés dans 93 % des entreprises auditées, des blocs d´information allant jusqu´à 635 Mo étant ainsi discrètement dérobés par de tels programmes ». Soit une moyenne de 22 sites visités par jour ou par personne… en admettant qu´aucun des employés ne consulte jamais le moindre site identique à ceux visités par ses collègues. C´est franchement ce qui s´appelle ne pas avoir de chance… « Les 10 sites les plus visités dans 71 % des entreprises comprenaient au moins un site des catégories suivantes : adultes, piratage (hacking, renifleur de réseau, craquage de mots de passe) ou ayant un rapport avec le P2P ». L´étude ne précise pas si les URL visitées l´ont été volontairement par les usagers ou si ces visites sont le fruit d´un spoofing d´URL ou d´un lien incitatif situé dans un courriel de phishing. Pis encore, l´on apprend que ces inconscients d´usagers utilisent régulièrement, en majorité, des logiciels de messagerie instantanée, pour y tenir des conversations et même y échanger des fichiers. Afin d´assurer une complétude scientifique indiscutable, Websense a interrogé ses propres « sondés » afin d´en dégager un jugement de valeur sur la dangerosité de ce comportement à haut risque : « Des 45 entreprises auditées, 33 % estimaient que la messagerie instantanée représentait un risque potentiel, alors que les 67 % restant jugeaient qu´elle n´était pas utilisée très fréquemment ou bien que les solutions en place empêchaient son usage » Statistiques obtenues sur un panel de 45 entreprises (employant de 50 à 6500 salariés) de divers secteurs économiques publics et privés (hôpitaux, collectivités territoriales, industrie, finance, etc.).

« Potentiellement dangereux », sites malicieux majoritairement étrangers (comme près de 99 % des sites Internet, faut-il le remarquer), confusion volontaire entre le fait qu´un employé utilise un navigateur parfois à des fins personnelles (non nécessairement inavouables) et qu´il existe une majorité croissante de sites légitimes qui, à leur corps défendant, servent de passerelles dans le cadre d´attaques XSS… associer des faits qui n´ont strictement aucun rapport de causalité directe est une tournure dialectiques tout à fait discutable. Même si l´usage de passerelles de protection DLP est une solution parfois pratique pour éviter les conséquences de risques liés à des comportement somme toute naturels et de bonne foi.

36 trous au moins de répertoriés, une vingtaine de correctifs et des mises à jour prévues pour la base de données elle-même, le serveur d’applications, l’e-business suite, PeopleSoft et le WebLogic Server. Pour l’heure, Alexander Kornbrust est encore en train de travailler sur l’évaluation de dangerosité des trous… un blog à surveiller dans les jours à venir.

OpenVas est un scanner de vulnérabilité Open Source, lointaine désinence de son ancêtre, Nessus, de Renaud Deraison. Depuis 2005, devant la faiblesse des contributions communautaires et la surexploitation commerciale de ses travaux, l´équipe (Renaud Deraison, Ron Gula, Marcus Ranum) a décidé de « propriétariser » son code : depuis la version 3, Nessus, via Tenable, est devenu un produit commercial. Ce qui, l´on s´en doute, a provoqué la naissance d´une multitude de « forks » issues de Nessus 2.0. Certaines sont mortes, d´autres ont fusionné… et de tout cela est né OpenVas.

Sa version 2.0, annoncée sur la liste FD dans le courant de la semaine dernière, intègre désormais un langage de commande, Oval, Open Vulnerability and Assessment Language, projet parrainé par le Mitre. Les quelques 5000 tests déjà engrangés dans la bibliothèque de NVT sont toujours utilisables, et toujours compatibles avec les versions précédentes de VAS.

McAfee consacre la presque totalité des 48 pages de son « Security journal » au Social Engineering. Sous la phrase d’accroche « Cybercrime gets personal », les chercheurs de l’Avert Lab ont brossé un tableau tant psychologique que statistique de « l’espion industriel » et de l’escroc « à micro-ciblage ». On peut, concluent en substance les experts McAfee, parler d’un « nouveau genre » de délinquance en col blanc. Nouveau car l’on constate aujourd’hui une adaptation de la cybercriminalité moderne non plus à destination d’une masse d’individus mais visant de plus en plus une personne précise. Fruit notamment d’analyses socio-comportementales de la part des «black hats », sans oublier la manne céleste des grandes affaires de « fuites d’information », l’efficacité des usines à récolter de l’identité sur le Net (phishing et techniques associées), qui sont le nerf de la guerre des opérations de « spear-hacking ». Ce tout premier numéro devrait être suivi par d’autres sorties thématiques, publiées selon un rythme trimestriel.

20 trous –dont certains vertigineux-, 11 bouchons : le dernier mardi des rustines a comporté, outre son lot de failles IE (et IIS) mensuel, quelques nouveautés intéressantes. A commencer par un « non-bouchon », celui de la faille 951306… Tout compte fait, il faudra se contenter pour l’instant des « mesures de contournement », la correction de ce problème nécessitant une réécriture apparemment assez lourde.

Pour ce qui concerne le traditionnel mardi des rustines, quelques faits particuliers sont à remarquer. A commencer par le traditionnel article de Bill Sisk sur Security News : sa longueur est « historique »… à l’image de l’importance de ce lot de correctifs. En second lieu, cette fournée, ainsi qu’il était annoncé, est accompagnée d’un « indice de probabilité d’exploitation ». A « 1 », il faut fortement s’inquiéter, à 3 ou 4, les exploitations à distance, voir l’idée même d’exploitation relève de l’imaginaire. Toute erreur de jugement de la part du MSRC aura donc des chances de se transformer en remarques ironiques et désobligeantes de la part de certains chercheurs. Errare antimarketingum est. Toutefois, l’équipe Microsoft possède un certain avantage : les sources des programmes concernés et la connaissance intime des « tripes » du kernel. En attendant, les commentaires qui viennent étayer les premières estimations sont précis, souvent associés à un code d’exemple. Espérons que cette initiative sera suivie par d’autres éditeurs de systèmes d’exploitation.

A qui s’adresse cet indicateur ? Dans un premier lieu, aux journalistes et aux gens pressés, pour qui le recoupement d’information n’est pas franchement une préoccupation majeure. Les administrateurs consciencieux continueront à lire les cotes de dangerosité du Cert-IST, les notes de Secunia, les avertissements d’eEyes diffusés par courrier électronique, ainsi que le très synthétique et très sérieux Storm Center du Sans Institute, dont les cris d’alarme « Patch Now » sont à observer aussi strictement qu’une ordonnance médicale. Avis à compléter systématiquement par une surveillance attentive des PoC et autres exploits publiés par Milw0rm. Ce n’est peut-être pas là la source la plus rapide qui soit en matière de preuve de disponibilité d’exploit, mais c’est la plus simple à consulter. L’on considère généralement qu’un code pouvant être téléchargé sur Milw0rm est « largement connu du public », et doit donc être considéré comme susceptible de servir dans le cadre d’une attaque. C’est donc un indicateur d’urgence de « patch » à prendre en compte lorsque les procédures de tests de régression prennent un peu plus de temps que prévu.

Les failles du mois, quant à elles, sont généralement classiques. Remarquons toutefois un trou préoccupant dans Host Integration Server (ms08-059), pivot de bien des applications d’entreprise : c’est une faille critique d’un point de vue stratégique. Glissons sur les trous d’I.E. qui reviennent comme les radis, une faille critique dans Excel qui touche indirectement Sharepoint Server, pour nous arrêter et insister sur deux problèmes jugés importants par les communauté des analyseurs de bouche-trous : l’un qui affecte les ADS et l’autres le serveur Web (IIS), et plus particulièrement le Windows Internet Printing. A noter également une faille SMB qui permettrait, outre une modification ou ajout de fichiers sur des ressources, la création de comptes utilisateur. C’est un bug antédiluvien, un héritage du précambrien des réseaux Windows… Comment une telle antiquité a-t-elle pu rester inaperçue jusqu’à notre époque ? Kostya Kortchinsky en est encore tout retourné.

Ca n´arrête pas de bouger dans l´équipe de Mark Russinovich. De nouvelles versions d´outils, fruits généralement d´une « chasse au bug », mais également quelques utilitaires avec de nouvelles fonctionnalités.
Autoruns v9.35

* Process Monitor v2.01
* DebugView v4.76
* AccessChk v4.21

Toujours sur le thème « Utilisateur, cet insupportable maillon faible », voici également que RSA y va de son couplet. L´enquête s´est déroulée durant la période printemps-été 2008, sur un échantillonnage de 417 personnes, dans la zone Amérique du nord/Amérique latine. La répartition de la population concernée est essentiellement tertiaire :
46% travaillent dans un secteur financier
20% dans une industrie technologique
46% sont professionnels des TIC
11% sont des cadres
54% sont employés dans des entreprises de plus de 5,000 personnes.
… en somme, un profil de « travailleur en col blanc » théoriquement habitué et sensibilisé aux dangers et dommages collatéraux liés à l´usage de l´Informatique. L´étude précise même que 94 % des personnes interrogées se disent averties des politiques de sécurité en vigueur sur leur lieu de travail… mais 54 % avouent les avoir contournées car jugées trop contraignantes.

64 % même déclarent utiliser leur messagerie pour « envoyer » du travail à finir chez eux… rassurons tout de suite les gourous de RSA car, la crise aidant, et si l´on en croit les récentes constatations du Medef, de plus en plus de cadres se lancent dans une « grève du zèle » et se mettent à respecter strictement les horaires de travail légaux. Sans plus. Dans un monde où la confiance entre le patronat et les employés se dissout au rythme des charrettes et des parachutes dorés, le problème du « data leak prevention » pourrait bien être résolu faute de combattant. Pour l´heure, entre les états-Uniens, les Mexicains et les Brésiliens, ce sont ces derniers qui conservent le mieux leurs illusions (avec 71% des cadres qui font « fuir » des données pour travailler chez eux).

Autre comportement jugé à risque par RSA, si 89%des interrogés travaillent à distance via un VPN ou autre RAS, 58 % consultent et écrivent leur courriel sur une machine publique, et 65 % le font via un hot spot sans fil public. Toujours au chapitre de la mobilité, 10 % des sondés utilisent un portable, des clefs usb, des téléphones « intelligents » contenant des données d´entreprise. Près de 29 % des Mexicains, 5 % des Etats-Uniens, avouent avoir au moins une fois perdu l´un de ces appareils (mais rien dans l´étude ne dit si ces outils ou composants contenaient effectivement des données d´entreprise… la corrélation des informations n´est pas très claire).

L´étude s´achève par des chiffres édifiants mettant directement en cause les mauvaises pratiques des DSI. Ainsi, 43% des gens concernés par ce sondage ont conservé, après une mutation ou un changement de poste, les droits d´accès conférés dans leur ancienne fonction. 79 % des sondés « caftent » et précisent que leurs entreprises faisaient appel à des travailleurs temporaires ou des sous-traitants ayant accès à des données d´entreprise -ce qui, dans les secteurs du tertiaire, semble légèrement logique-. L´étude, en revanche, ne précise pas le nombre exact de sociétés ayant, sans le savoir, hébergé sur le parking société des 2CV rouges équipées d´un autoradio à lecteur de MP3 disposant d´un port USB capable d´accepter les donnés d´une clef USB ayant éventuellement pu contenir des données professionnelles transmises par réseau WiFi.

Parfois, il peut être utile, avant que de se plonger dans de telles métriques, de relire dans un dictionnaire les définitions des mots « danger », « risque », « menace », « atteinte », « fuite » et « sinistre ». Aucun de ces mots n´est synonyme de son voisin. La sécurité est un compromis, et l´immobilisme, ou un cloisonnement trop poussé des centres d´information, conduit tout droit à une nécrose des services, une asphyxie de l´audace commerciale dont doit faire preuve toute entreprise (avec peut-être une exception conjoncturelle pour ce qui concerne les organismes financiers).