novembre, 2008

… et certains de ses convives risquent de se retrouver « chocolat ». Ceci concerne surtout l’ambassade Indienne du Brésil, pays renommé pour ses batucadas et ses pirates informatiques, plus fins et plus inventifs que leurs homologues Russes ou Chinois. Une ambassade qui, nous apprend Websense, était devenue un véritable nid d’infections JavaScript. Le but premier de cette attaque était notamment de détourner les visiteurs-victimes vers d’autres sites, moins reluisants et un peu plus moscovites : vendeurs de faux antivirus, injecteurs d’exploits Adobe… rien là que de très classique pourrait-on dire.

La compromission des sites officiels est un sport qu’apprécient fortement tant les espions que les vendeurs de viagra frelaté. En janvier dernier, nos confrères du « Reg » nous apprenaient que l’ambassade de Hollande en Russie attirait ses visiteurs dans l’esclavage d’un botnet. En septembre de l’an passé, c’était le consulat des Etats-Unis à Saint-Pétersbourg qui, après une attaque en règle, propageait des maladies binaires contextuellement transmissibles. Maladies locales d’ailleurs, la balance du commerce extérieur des pays de l’Est étant fortement excédentaire en matière de malwares. En septembre 2007, l’ambassade de Syrie à Londres était contaminée, tandis que celle de France en Lybie se faisait circonvenir par… des pirates Ukrainiens. Dans l’ensemble, les taux d’infection des sites officiels se situent très en deçà des moyennes statistiques constatées dans l’industrie. Constatation à prendre avec prudence, compte-tenu du culte du secret qui sévit généralement dans les sphères de la haute diplomatie. Un culte qui favorise très probablement la dangerosité de ce genre d’injection, les victimes ayant à priori une totale confiance dans le modèle de sécurité de leur administration.

Des failles entrant dans la catégorie « exploitable à distance » : le web de NetDev en serait presque rouge de confusion. Il s’agit là du tout dernier lot trimestriel de correctifs en date du 14 novembre, bouchons logiciels dont l’origine est en grande partie située du côté de AppSecInc, alias Shatter. Rappelons aux administrateurs de SGBD qu’une surveillance régulière dudit site est plus que conseillée, car l’on y trouve autant, si ce n’est parfois plus, d’informations sur les bases Oracle, Sybase, Microsoft, MySQL, Notes, Exchange et DB2 que sur les sites des frères Litchfield ou sur celui d’ Alexander Kornbrust.

Les meilleurs crus, parfois, ne sont pas les plus abondants. La correction de faille « hors calendrier » MS08-067 et la vulnérabilité MS08-068 publiée à l’occasion d’un « Patch Tuesday » étique mériteraient qu’on leur dresse une stèle : une origine antédiluvienne, une exploitation garantie à toute épreuve, une médiatisation inégalée… le tonnerre de leur annonce risque de résonner durant quelques mois encore.
Il faut lire l’article de Cédric Blancher sur le trou SMB Relay pour en comprendre à la fois la gravité et les dangers de la compatibilité ascendante qui compromet régulièrement la sécurité des noyaux Microsoft. Il faut également se plonger dans les preuves de faisabilité et commentaires qui fleurissent çà et là, certains plus compréhensibles que d’autres, ainsi celui d’Andres Tarasco. Il faut, peut-être, même si la méthode est un peu discutable, s’intéresser à Squirtle, outil d’évangélisation destiné à tous ceux qui partent en croisade contre la conservation de NTLM. Comme l’explique si bien son auteur, Squirtle sert à prouver « à votre patron, vos clients, votre meilleur ami, votre chien ou Dieu que NTLM est mort et enterré ».

Et MS08-067 dans tout çà ? Elle succombe, une fois de plus, sous les coups d’un Python Constrictor signé par Debasis Mohanti, chercheur en sécurité réputé et très « présent » dans les fils de discussion du Full Disclosure. Son code reptilien se trouve un peu de partout : sur Milw0rm, sur HackingSpirit… 067, pour les intimes, est devenu un grand classique. A tel point, nous apprend aussi l’Avert Lab de McAfee, qu’on le retrouve dans les « kits de fabrication de malware » commerciaux diffusés sur les marché orientaux.

Ce n’est pas d’hier que datent les injections de malware par le biais des messageries instantanées. Les virii Messenger, les vers Yahoo, les pollupostages et exploits Skype font déjà partie de l’histoire presque quotidienne. Pourquoi un tel intérêt des filières mafieuses envers ces systèmes de communication personnels ? Tout simplement, explique Dancho Danchev, parce que c’est le plus sûr moyen de dresser des listes de correspondants, de cibles privilégiées qui serviront aux exploitants secondaires, pharmaciens véreux, vendeurs de faux antivirus et autres produits frelatés. Le progrès aidant, l’on commence même à trouver des promesses de « programmes de fabrication automatique de malwares Skype ». Les premiers éléments de preuve ne sont pas encore totalement opérationnels et efficaces, mais si l’on en juge par la rapidité avec laquelle un Storm a été conçu et amélioré, cela ne devrait plus prendre tellement de temps.

Non, Robert Graham ne revient pas, une fois de plus, sur les subtilités du cassage de tkip. Il s’intéresse plus précisément aux véritables benchmark, aux différences de performances des processeurs dans la course au cassage de clef. Sans surprise, les cartes graphiques « 112 core » à 600 MHz écrasent de leur puissance les extensions vidéo plus modestes… mais cette débauche de dollars et de processeurs a bien du mal à atteindre le « rapport 100 » clamé par Elcomsoft. Graham l’admet lui-même, l’usage des GPU les plus pointues n’améliore que de dix fois la vitesse de traitement des outils de cassage de clef. La performance est belle, mais peut difficilement être qualifiée de « révolutionnaire ».

NdlC Note de la Correctrice : Est-ce un effet de mon charme naturel ou de l´estime que me portent les distingués abonnés de notre Confrère-et-néanmoins-Concurrent ? Toujours est-il que, contrairement à ce qui avait été écrit dans l´article du 31 octobre, un lecteur ME signale (à Moi, la Correctrice, et non à l´Auteur) que l´édito du numéro 40 de Misc, rédigé par « Papy » Raynal peut être lu dans son intégralité et au format html par la même occasion

. Un édito qui, outre une exhortation à la jeunesse hackeuse et porteuse d´avenir, nous signale que les appels à communications des prochaines journées SSTIC de Rennes sont ouverts. Je me demande si, à l´occasion des Rump Sessions, je ne vais pas me lancer dans une démonstration de Social Engineering masculin… une de mes spécialités. D´ailleurs, à ce sujet, je précise à toutes mes lectrices que derrière le surnom de « Papy » se cache non pas un vieux barbon mais un jeune homme bien fait de sa personne. Potentiellement spoofable et très probablement sensible à nos exploits.

Toujours à propos de Misc, on ne doit pas oublier la sortie, ce jour, du numéro spécial d´automne. Consacré aussi bien à vous, messieurs, qu´à nous, mesdames. Surtout à nous. Car les fêtes de fin d´année, puis le 3 janvier approchent à grands pas -je m´y vois déjà- et avec eux, la période des cadeaux, des soirées, des soldes ! A peine le temps de comprendre tout se qui se raconte dans ce hors-série consacré aux cartes à puce, leurs fonctionnalités, leurs limitations. Peut-être un jour saisirais-je la raison pour laquelle le trou de mon budget (difficilement rustinable) est provoqué par une si petite chose. Et je ne parle pas des sommes astronomiques englouties par mon ado de fille et son téléphone portable, à puce, lui aussi, bien sûr… Vous savez, vous, où on peut trouver un protocole snmp « sms très limités » ou une console d´administration OpenView avec blocage des trames « ma mère me saoule » ? Ecrire au journal qui transmettra.

Passionnante étude que celle de ces chercheurs de l’UCSD et de Berkeley. Durant des mois, ces universitaires ont étudié, disséqué, reconstruit, adapté toute une chaîne de spams destinée à attaquer trois fronts : acheteurs de pseudo-viagra, amateurs de cartes de vœux en ligne et canulars du premier avril. Et attaquer non pas de manière livresque, mais réelle, avec une véritable charge et un authentique –mais limité et contrôlé- serveur et ses calamiteuses émissions de pourriel.

Dire que le rendement est bas est un doux euphémisme : la plus rentable des campagnes –le fortifiant pharmaceutique- ne draine que 0,0000081% de la population d’un fichier comptant 347590389 adresses smtp. « Après une campagne de 26 jours et 350 millions d’emails envoyés dans la nature, nous n’avons conclu que 28 ventes effectives » constatent les chercheurs. Un taux de rentabilité inférieur à 0,00001%, un taux de pollution inimaginable dont les effets dévastateurs sont le dernier des soucis de ceux qui vivent de cette industrie.

26 jours, 28 victimes, 100 $ d’achat en moyenne par victime, un gain net de 2731,88 dollars. Dans les conditions réelles d’exploitation d’un « Storm Worm » vecteur de spam Viagreste, les chiffres seraient, pensent les scientifiques, plus proches de 7000 $. Un bon Storm élevé en batterie peut créer à lui seul 3500 à 8500 nouveaux Bots par jour. Dans ces conditions, il n’est pas impensable de tabler sur un revenu annuel gravitant aux environs de 3,5 millions de dollars. Et l’on ne parle alors que d’une seule campagne… Les multirécidivistes pouvant alors amasser bien plus en considérablement moins de temps.

Quant au retour sur investissement, il semble tout aussi pharamineux. « L’on peut estimer comme proche de la vérité l’estimation situant la mise de fond aux environs de 80 $ par million ». Dans ce milieu là, on ne pratique pas franchement les mêmes tarifs au « mille d’emails expédiés » que dans le monde civilisé.

J’ai dix s’condes pour vous dire qu’InsomniHack, c’est d’la dynamite ! La nuit la plus longue du hack blanc Helvétique tiendra sa seconde édition le vendredi 6 février 2009 prochain, quelque part dans la région Lémanique (le lieu sera choisi en fonction du nombre d’inscrits). Cette manifestation, organisée par SCRT, spécialiste Lausannois du « hacking éthique », a remporté l’an passé « un succès dépassant toutes les espérances » (dixit Bruno Kerouanton, CSO renommé du Canton du Jura). Emulation (saine), pentes neigeuses et double crème : le concours est ouvert à tous, le gagnant aura son portrait publié dans les colonnes Web de CNIS-Mag… ou pas, comme il est d’usage de préciser.

Après une période de quasi inactivité, qui a notamment été caractérisée par une période de plus de 200 jours sans la moindre éruption visible, le soleil semble reprendre du poil de la bête : quelques facules ont été observées dans le courant de la journée du 6 novembre. C’est, espère-t-on, le signe du début du 24ème cycle dit « cycle deWolf », une activité s’étalant en moyenne sur une période de 11 ans.

Quel rapport, dira-t-on, avec la sécurité en générale et l’informatique en particulier ? Plus d’un en fait. En premier lieu, ces périodes d’éruption, qui ont pour première conséquence une augmentation de l’ionisation des couches hautes de l’atmosphère (tropo E et H notamment). Et cette ionisation influence parfois ce qui touche à la propagation des ondes électromagnétiques, transmissions sans fil y comprises. En second lieu, il est arrivé, en de très rares occasions, que des orages solaires très violents aient provoqué des pannes temporaires d’appareils électroniques, routeurs ou commutateurs. Pas de quoi, généralement, justifier la non-réception d’un email important. L’une des ionisations les plus violentes provoqua, en 1945, un blackout qui fit croire à l’armée américaine l’utilisation d’une arme secrète par les forces japonaises. Cruelle ironie, ce furent les américains qui, quelques mois plus tard, les 6 et 9 août, provoquèrent l’attaque ionisant la plus violente de toute cette période de conflit.

Spam, déni de service distribué, DNS spoofing/pharming, fast flux … tout çà demande à la fois une âme d´une profonde noirceur et une bande passante d´une blancheur immaculée. Les plus importantes attaques de 2008, nous apprend le quatrième rapport sur la sécurité d´Internet publié par Arbor Network, ont atteint 44Gbs. A titre de comparaison, le plus violent des « flood » de 2001 plafonnait péniblement à 400 mégabits par seconde.

Mais ce qui, dans cette étude, semble le plus intéressant à lire, c´est le fait que les fournisseurs d´accès commencent à être conscients de cet état de fait. Les ISP admettent « enfin », estime les chercheurs d´Arbor, leur vulnérabilité. Notamment autour de deux points névralgiques importants : BGP et DNS, ces deux éternels tonneaux des Danaïdes que les experts colmatent sans fin et que les pirates exploitent tant et plus.

Cette prise de conscience des ISP sera-t-elle suivie des faits ? Rien n´est moins sûr. Jusqu´à présent, les fournisseurs de services Internet ont joué, consciemment ou non, le rôle d´allié objectif des grandes organisations mafieuses. En refusant de filtrer les netblocs réputés spammeurs, en rétro-facturant la bande passante consommée à des clients qui n´y prêtaient guère d´attention… après tout, Internet est gratuit, n´est-ce pas ?

L´étude détaille les attaques « préférées » des hackers (voir illustration) et les cibles privilégiées. L´on apprend par exemple que, si les applications (Web, SQL, DSN) sont un met de choix dans 17 % des cyberbatailles, ce sont tout de même les charges « avalanches » (les flood udp, icmp etc) qui représentent le gros des assauts : 48 % très exactement. Les attaques Syn (très fréquentes dans le cadre des dénis de service il y a 10 ans), RST et à fragmentation représentent, quant à elles, 24% des méfaits. Ce ne sont là que quelques instantanés tirés du « worldwide infrastructure security report ». Le reste est à l´avenant. L´on se doute, bien sûr, que les premiers visés sont les possesseurs de structures commerciales. L´on comprend bien que la plus forte majorité des victimes refuse de porter plainte, voir de simplement mentionner l´attaque aux forces de l´ordre. La cyber-délinquance se nourrit au sein du non-dit…