novembre, 2008

Sa naissance remonte à juillet 2007. Sa phase « Beta » s´achevait en décembre de cette même année, pour entamer le state de « release candidate »… laquelle durera pratiquement un an, puisque ce n´est qu´à partir du début de cette semaine que le Secunia Personal Software Inspector (PSI) est considéré comme un logiciel « achevé », toujours gratuit et arborant fièrement l´immatriculation 1.0. Rappelons que PSI est un logiciel d´inventaire de failles, capable de dresser la liste des programmes nécessitant une mise à jour. Il oriente et conseille l´usager sur la bonne procédure à suivre ou vers la bonne adresse Internet facilitant ladite consolidation.

Pourquoi un passage à l´âge adulte aujourd´hui ?Très probablement à cause d´une annonce similaire effectuée par un concurrent, F-Secure qui, le 10 de ce mois, lançait son HealthCheck. La seule différence fondamentale entre ces deux frères ennemis, c´est que PSI est capable de travailler « hors ligne » -bien qu´une connexion épisodique soit nécessaire pour que ses bases de connaissances soient remises à jour- tandis que HealthCheck est un « scanner en ligne » uniquement. Histoire de compliquer un peu les choses, il est important de préciser qu´une version « en ligne » de PSI est également disponible, sous le nom de OSI, Online Software Inspector, et qu´une édition locale pour réseaux d´entreprises, NSI, Network Software Inspector, est, quant à elle, commercialisée depuis un certain temps déjà.

Microsoft, depuis des temps immémoriaux, diffuse également un outil d´inventaire de failles gratuit, MBSA, le Microsoft Baseline Security Analyzer 2.1, qui est incapable de signaler la moindre nécessité de mise à jour de produit hors du catalogue Microsoft. C´est pourtant un outil indispensable, capable de tourner sur de petits réseaux d´entreprise, facilitant ainsi la vie des administrateurs chargés des infrastructures de type « Workgroup » ou de petits domaines.

Certes, l´arrêt de McColo, l´hébergeur véreux, a fortement fait plonger le débit quotidien du spam dans le monde. Mais, fait remarquer Bruno Kerouanton, l´œil collé sur la ligne bleu de ses logs de messagerie, cette baisse semble très relative. Elle n´est véritablement remarquable que si l´on compare l´étiage des spams aujourd´hui et le volume mesuré en septembre et octobre dernier, période faste en pourriels. En revanche, avant cette période particulièrement troublée, le niveau moyen des emails non sollicités n´était guère plus important que ce qu´il est aujourd´hui, constate notre gourou sécurité Franco-Helvète.

Il s´agit là donc d´une donnée « corrigée des variations saisonnières » locale. Globalement, la « baisse de 70 % du niveau de spam » généralement clamée était mesurée à l´aide de métriques fournies par des statistiques de débit calculées au niveau des réseaux d´opérateurs. Les Netcraft, les SpamCop, les Ironport sont, semble-t-il, d´accord sur ce point. Les variations annuelles constatées par SpamCop, par exemple, montrent que le niveau de pourriel actuel n´a été atteint qu´une seule fois, précisément lors du saut de l´an, entre décembre 2007 et janvier 2008.

Bruno Kerouanton aurait-il longtemps bénéficié d´un régime de faveur ? C´est fort probable. C´est même certain. Car il est également indéniable que les variations saisonnières corrigées en fonction des emplacements géographiques ont, elles aussi, connu de fortes poussées de fièvre, avec un très net accroissement des spam et des opérations de phishing « localisées », francisées. En outre, les places de marché du vol d´identité, où se négocient «l´adresse email valide au millier » et la « grosse* de sites Web à injection SQL certifiée », sont de plus en plus capables d´offrir des packages « 100% Français », « Garantis pur Transalpin » ou « Totalement Teuton ».

NdlC Note de la Correctrice : Une grosse est équivalente à 12 douzaines, la douzaine ayant été dans toute l´Europe, la base de calcul monétaire et de comptage avant l´institution du système décimal après la Révolution Française. Certaines denrées, tels que les œufs, subissent encore ce régime là. Il est d´ailleurs encore fréquent que ces mêmes œufs soient vendus « 13 à la douzaine », soit un œuf gratuit par « paquet ». Ce qui fait, en toute logique, qu´une grosse, soit 144 pièces, puisse compter en fait 156 objets. Le système binaire et ses puissances de 2 ont, depuis, bien dépoétisé l´art de marchander les « grosses », les « bonnes grosses » et les « grosses maigres ».

Microsoft a « poussé », dans le courant de la journée du 26 novembre, 3 rustines fonctionnelles documentées dans la base de connaissance sous les références KB957321, KB959108 et KB959130. Dans les trois cas, les rustines sont assez bénignes, mais nécessitent un redémarrage du système. Les composants modifiés ne posant pas de problème de sécurité fondamentaux, on ne comprend pas très bien pour quelle raison Microsoft n´a pas jugé utile de repousser leur modification au « patch Tuesday » du 10 décembre prochain.

L´histoire, une fois n´est pas coutume, commence bien. SRI offre aux administrateurs un outil de surveillance réseau, BotHunter, dont le nom seul le dispense d´en dire plus long. Comme il est pratiquement impossible de savoir à quoi ressemble un « client » de botnet, compte-tenu du polymorphisme des codes utilisés, des exploits mis à contribution, des failles visées, le meilleur moyen, expliquent les auteurs du programme, est encore d´écouter les dialogues qui s´établissent généralement entre le centre de commande (C&C) du botnet et le botnet lui-même. Un dialogue qui est reconnu grâce à la compilation consciencieuse des ingénieurs de SRI, et qui est régulièrement mis à jour, un peu comme les tables de signature des principaux antivirus. La simple installation du programme au sein d´un réseau, en aval des firewalls, permet de savoir si, oui ou non, une infrastructure d´entreprise a été compromise. L´utilitaire est considérablement plus simple à utiliser qu´un IDS. Il est disponible en version Linux/FreeBSD/Mac OS/X, et en édition Win32. Une mouture « live CD » est également disponible.

Encore une histoire de Bot avec cette analyse de FireEye : la baisse du spam, qui fut notable peu de temps après la fermeture de l´hébergeur marron McColo, pourrait bien n´être qu´un souvenir dans les jours qui vont suivre. En effet, Srisbi, le principal botnet spammeur télécommandé par l´un des serveurs hostés chez McColo, serait entré en « mode reconfiguration » et se préparerait à attaquer, alimenté par de nouveaux serveurs de supervision situés en Estonie, lesquels seraient gérés par des registrars Russes. L´équipe de FireEye décrit le processus de reconfiguration : après une période d´inactivité marquée, le code qui hante les ordinateurs zombifiés cherche la présence d´un nouveau nom de domaine dont l´intitulé est tiré d´une fonction prenant en compte la date du jour. Et voilà qu´apparaissent des requêtes en direction de gffsfpey.com, ypouaypu.com, oryitugf.com, prpoqpsy.com et autres proches cousins, qui, par le plus grand des hasards, se retrouvent tous sur le même netbloc. Un article tout entier est consacré à cet algorithme miracle qui transforme le calendrier en générateur de noms de domaine.

Une fois l´étape « E.T. Téléphone Maison » achevée, les nouveaux serveurs se chargent de remettre à jour les programmes distants ainsi qu´un nouveau formulaire de spam. On connaît, en France, des fournisseurs de services qui demandent bien plus de temps pour que leurs services puissent renaître après un incident réseau.

Pour l´heure, les dernières estimations laissent penser que les anciens propriétaires ont réactivé environ 50 000 zombies.

Le prochain 25c3 du Chaos Computer Club se tiendra, comme de tradition, à Berlin, du 27 au 30 décembre de cette année. Le dernier tour de table vient de s´achever et le calendrier des interventions a été définitivement arrêté. Parmi de nombreuses causeries généralement très « sociales », l´on remarquera « Running your own GSM network » -un hommage vibrant au THC et à l´usage des Software Defined Radio-, « Security Failures in Smart Card Payment Systems » et autres causeries traitant d´isoloirs électroniques, de chiffrement intégral de disque dur, d´Über-XSS dans le monde Web 2.0, de hack Symbian… et même de Commodore 64 ! Pas de doute, on est bien en Allemagne.

A noter particulièrement cet exposé de Kellbot, dont le thème sera « Crafting and Hacking: Separated at Birth ». Il y a peu de chances que l´on y apprenne beaucoup de choses, mais l´intervenant met le doigt sur un détail fort important : de plus en plus de travaux dans le domaine de la sécurité sont devenus œuvres de spécialistes, à tel point que les concepteurs eux-mêmes sont incapables de comprendre les possibles interpénétrations de leurs découvertes et celles de « voisins de recherches » s´escrimant sur des problèmes connexes. Il n´est par rare, par exemple, d´entendre dire, par des spécialistes reconnus de la sécurité « sans fil », que l´installation d´une antenne à grand gain (50 euros dans un magasin de bricolage) « dépasse de loin les investissements envisagés par d´éventuels pirates ». Cette dichotomie entre les univers de l´électronique et du développement, cette vision autiste d´un monde qui ne serait fait que de clous sous prétexte que l´on possède un marteau risque de poser, à terme, de graves problèmes de sécurité architecturale. Lorsque chaque spécialiste ne travaille que sur son propre domaine, sans apprendre à communiquer avec ses pairs, il élude les risques de failles interstitielles. Un état de fait bien connu des hackers spécialisés dans les consoles de jeu, qui pourrait, à très court terme, faire sourire les pirates qui écument l´océan des réseaux par exemple.

Lu, au fil des annonces du Bugtraq, cette alerte de Thomas Unterleitner signalant l´existence d´un possible buffer overflow du stack IP intégré dans Vista éditions Intégrale ou Ultimate. Ce « route add » tueur permettrait, sous certaines conditions, d´injecter un code exécutable qui, à son tour, ouvrirait au « Network Configuration Operator group » le droit d´acquérir les privilèges suprêmes sur le système. En d´autres termes, des Grands Vizirs Administrateurs de Réseau pourraient caresser l´espoir de devenir Califs Administrateurs « pleins ». Le source d´exploitation est fourni, son exécution se solde généralement par un écran d´un azur aussi reposant pour les yeux que pour la CPU.

Venu tout droit de la Franche Comté et publié sur Millw0rm, ce synthétique travail sur la faille MS08-069 signé Jérome Athias. Joli comme un « one liner » et fort pratique pour montrer, à quel point il est parfois important d´appliquer certains correctifs… sans avoir à sortir le moindre compilateur.

Parti tout seul en campagne, Symantec tente de faire très peur en portant au niveau 2 la cote d´alerte de son « threatcon », et en invoquant un important sursaut d´activité sur les ports 445 et 139… « On » pourrait craindre une exploitation intensive de la faille MS08-067 affirme le bulletin d´alerte. Certes, quelques laboratoires ont bien remarqué que la 067 faisait partie des armes « offertes » dans les panoplies genre « storm worm », mais de là à en conclure à une utilisation massive et à une apocalypse RPC, il y a un pas. De son côté, le Microsoft Research Center rappelle que divers exploits sont dans la nature et qu´il est important d´appliquer les rustines salvatrices… Mêmes échos chez McAfee. L´Avert, sans témoigner la moindre crainte toutefois, confirme être tombé sur plusieurs codes d´exploitation. Les périodes de fêtes, traditionnellement tragiques pour les dindes, risqueraient de l´être également pour les ordinateurs dont le Windows Update serait tombé en panne.

VMWare perd, coup sur coup, deux de ses plus importants gourous sécurité : Nand Mulchandani, qui a été débauché par OpenDNS pour y tenir le rôle de CEO, et Alexander Sotirov. De ces deux départs, c´est probablement celui de Sotirov qui sera le plus remarqué. Fréquent contributeur sur la liste du « Full Disclosure », inlassable chercheur qui, à l´instar d´http-equiv ou de Liu Die Yu, transforma en sport national la chasse au bug Internet Explorer, il reste encore dans la mémoire de tous pour sa dernière communication faite à l´occasion de la BlackHat 2008 de Las Vegas, intitulée « Comment impressionner les filles en court-circuitant la protection mémoire des navigateurs ». Ce travail, effectué en compagnie de Mark Dowd, permettait de contourner les mécanismes de protection DEP et ASLR intégrés aux récentes versions de Windows. Nul ne sait encore où Sotirov compte reprendre du service.

Cela faisait bien longtemps que David Litchfield, de NGSS, n´avait fait parler de lui. Le voilà de nouveau en scène, avec la publication du septième volet de sa série « Oracle Forensic » intitulée « Using the Oracle System Change Number in Forensic Investigations ». Les 6 premiers chapitres peuvent être récupérés sur le site de NGSS. Cet article est également accompagné d´un utilitaire, Orablock, destiné à examiner une base Oracle sans qu´il soit nécessaire d´exécuter le moteur du gestionnaire de base. Une nécessité pour tous ceux qui, dans le cadre d´une recherche de preuve, souhaitent conduire leurs travaux sans que ne soit modifié le moindre octet présent sur les disques de stockage. Ces outils, Orablock et Oratime, peuvent être compilés sous Windows, Macintosh et Linux.

G.N. White du Sans Institute, raconte comment l’une de ses connaissances s’est fait infecter par un virus après avoir utilisé les services d’une de ces « bornes de tirage photos numériques » que l’on trouve généralement à l’entrée des supermarchés. La carte SD de la victime avait, le temps d’un « développement », récupéré au passage un Autorun.inf et quelques fichiers associés. La plus élémentaire des prudences consiste donc soit à n’employer que des CD-Rom ou DVD-rom non réinscriptibles (les lecteurs de ces bornes sont, en majorité, également des graveurs) ou de vérifier le basculement de l’ergot de protection en écriture. Ce genre de réflexe de prudence, pourtant quasi instinctif à la haute époque des transferts par disquettes et des virus « boot sector », a pratiquement disparu. A cet incident près, il faut tout de même admettre que cette mésaventure est exceptionnelle. Jusqu’à ce qu’un black hat n’en vienne un jour à lire les bulletins du Sans…

Selon le récent rapport de Symantec sur « l´économie de l´underground », le volume du marché de la vente d´identités graviterait aux environs de 276 millions de dollars, dont 59% constitués uniquement par la commercialisation de numéros de cartes de crédit. Si, continue le rapport, ces informations sont toutes correctement exploitées par leurs acheteurs, le volume total du marché « noir » du cybercrime dépasserait les 5 milliards de dollars chaque année. Collectées entre juillet 2007 et juin de cette année, les chiffres recueillis par Symantec sont parfois surprenants. Ainsi, une faille sur un site web du monde financier est vendue en moyenne 740 $, mais peut culminer jusqu´à 3000 $. Un couple carte de crédit/identité, selon son pays de provenance et les garanties de solvabilité, pèse entre 10 et 1000 $. La cote du keylogger oscille aux environs de 23 dollars, le botnet en état de marche se négocie un peu au-delà de 220 $ prix de départ, le serveur smtp sur zombie cote 10 $ pièce.

Ce n´est pas la première fois qu´un professionnel de la sécurité se penche sur l´économie parallèle du hack noir. Le mois dernier, c´était au tour des experts es-contre piratage de RSA de nous décrire ce même jeu du recel d´informations. Des salles de marché où les voleurs d´identité vendent leurs larcins aux enchères, à des escrocs qui tenteront ensuite d´exploiter au mieux ces informations. Ces boutiquiers du login/password ou du « pin number » travaillent généralement à l´abri de toute menace policière. Les gains sont peut-être moins importants que dans le business du faux viagra ou du bidonnage Nigérian, mais les risques de se faire prendre sur le fait sont également inexistants. Ce sont les « grossistes » de l´économie underground, les détaillants ayant, eux aussi, fait l´objet d´une passionnante étude conduite par des universitaires de l´UCSD et de Berkeley.