février, 2009

Deux conférences de la Smoocon seraient presque passées inaperçues sans les mentions du blog de SecureWorks et de Government Security.

La première est signée Rick “Zero_Chaos” Farina , est n’est autre que la très attendue « suite » de son intervention faite à l’occasion de la Defcon16. Un « hack Wifi » de plus, dira-t-on … pas exactement. Car l’une des passions de Farina est de s’intéresser de près aux registres des cartes WiFi en général et des chipsets Atheros en particulier. Car lorsqu’un OEM fabrique un jeu de composant radio, il cherche avant tout à le rentabiliser, donc à le destiner à un marché le plus large possible. Les « limitations » ne sont que le fruit d’un paramétrage particulier, capable de verrouiller le composant pour qu’il réponde à telle clientèle ou telle contrainte de législation nationale. L’on connaissait déjà les disques durs qui, d’un changement de firmware, voyaient leurs capacités doublées, voici désormais les cartes WiFi « 11b » capables d’intercepter des communications téléphoniques DECT, ou des « 11a » pouvant explorer aussi bien les bandes WiFi et Wimax que les voies montantes et descendantes des satellites d’observation terrestre, les balayages des radars d’approche de l’armée, les « uplink » de certains satellites de diffusion ou le spectre consacré à la radioastronomie.

Malgré l’aspect sensationnaliste d’une telle annonce, il ne faut pas oublier que lesdites cartes WiFi qui travaillent sur 2,4 ou sur 5 GHz, montrent des performances de réception totalement catastrophiques. Ces appareils sont conçus pour travailler dans des réseaux ne dépassant pas 100 mètres de couverture, et seraient bien en peine de récupérer le faible niveau d’énergie que représente un « étalon horaire » provenant d’un satellite en orbite géosynchrone (36 000 km). Pas plus que l’usager d’une carte modifiée à la sauce « Zero Chaos » ne serait capable de savoir s’il perturbe gravement un système de surveillance militaire, le travail d’un astronome ou la télémétrie d’un responsable réseau utilisant une infrastructure satellite. Enfin, le niveau de technicité nécessaire au calcul et à la construction d’antennes accordées sur ces fréquences là dépasse, et de très loin, les gamineries folkloriques du genre « antenne Ricorée » ou « guide d’onde Pringles ». Bref, sport réservé aux personnes maîtrisant à la fois l’aspect logiciel et les contraintes matérielles des appareils SHF.

La seconde causerie est l’œuvre de Matt Neely. Elle survole un sujet rarement abordé lors des conférences sécurité : l’écoute, et éventuellement le spoofing d’informations transmises par lien radio quelque soit la fréquence considérée. En d’autres termes, une approche du test de pénétration « large bande », indépendant de la plateforme matérielle à éprouver. Les fichiers Powerpoint de la conférence peuvent être récupérés sur le site de l’auteur. Ils n’abordent que très superficiellement l’aspect « pentesting » radio, mais l’auteur mentionne, au fil de son discours, quelques appareils fort intéressant en matière d’analyse et d’exploration du spectre radioélectrique, notamment un appareil à « couverture générale » 0/3 GHz d’origine Icom –une version « populaire » plus économique qu’un banc Rohde & Schwarz- et l’incontournable SDR de Matt Ettus, l’USRP. Les spécialistes du hack radio n’apprendront donc strictement rien –il s’est dit des choses biens plus intéressantes lors de la dernière 25C3.

Le monde de la sécurité se pique parfois de lockpicking, autrement dit de crochetage de serrures. C’est là un passe-temps fort instructif, et il est de bon ton, dans les soirées branchées, de commenter les exploits d’un Sid sur d’antiques serrures ouvertes avec délicatesse, ou le dialogue brutal opposant Marcus Ranum et un coffre fort. Les frères Whitney, pour leur part, viennent, dans cette discipline, de franchir un pas important qui, à n’en pas douter, révolutionnera les recherches en la matière. Car ils sont parvenus à ouvrir un cadenas sans même le toucher, sans dépenser la moindre parcelle d’énergie fossile, de manière totalement écologique. Comment çà ? En focalisant une lentille de Fresnel sur le cadenas à immoler Sous les quelques 250 Watts d’énergie solaire pure, le métal se met à bouillir en quelques secondes. De telles lentilles s’achètent auprès des vendeurs d’équipements pour automobiles (ces panneaux en matière plastique sont généralement collés sur les vitres arrière des autocars). La plus extrême des prudences est à observer lors de telles manipulations.

Microsoft vient de publier un correctif très attendu permettant de désactiver réellement la fonction Autorun de démarrage automatique, utilisée notamment par le tout dernier ver Conficker et certains virus-troyens développés par Sony Music. Chaque version de Windows possède désormais son propre rectificatif, qu’il serait sage de déployer le plus rapidement possible en entreprise. Rappelons que, jusqu’à présent, les directives de l’éditeur destinées à aider les administrateurs système étaient loin d’être parfaites, comme le rappelait cette note du Cert US intitulée « Microsoft Windows Does Not Disable AutoRun Properly ».

Aussi sûrement menacé d’extinction que le loup en Haute Savoie, le virus doit savoir s’adapter pour survivre. Parfois même dans des conditions quasi impossibles, ainsi cette tentative d’infections multiples de virus « Windows » sous Linux que Lokesh Kumar, de l’Avert, a tenté de modéliser. Et contrairement à ce que l’on aurait pu attendre, dans certains cas, « ça marche », annonce triomphalement le chercheur. « Pis encore, un Ubuntu sous Wine peut même se transformer à son tour en vecteur d’infection ». Certes, tout n’est pas aussi simple, et certains keylogers échouent lamentablement, ne parvenant pas à récupérer les E/S du clavier. A quoi peut donc servir une telle expérience ? On ne sait si c’est pour affirmer la compatibilité « bug pour bug » des émulateurs ou pour changer un peu des éternels tests de malwares exécutés au sein de machines virtuelles.

Il faut avouer que la vie de virus est tout de même plus agréable lorsqu’elle prend la plastique d’une Cameron Diaz ou d’une Kate Hudson. Et c’est le cas que dénonce Dancho Danchev, qui s’est amusé à constituer la « compil » des faux blogs de célébrités féminines. Blogs d’autant plus dangereux que le sujet se prétend dénudé. L’accès aux charmes de Britney ou de Paris (Hilton) n’est bien entendu possible qu’après téléchargement d’une nouvelle version de Codec vidéo ou d’ActiveX libérateur. Dure vie que celle de ces célébrités qui ne peuvent sortir sur la toile sans déclencher une fouille au corps de la part de tous les antivirus de la création. Beau métier, d’ailleurs, que celui d’antivirus.

Graham Clueley, l’homme communication de Sophos, nous apprend qu’il faut se méfier d’un certain « Error Check System » qui sévirait sur FaceBook. Ce prétendu logiciel de gestion des messages d’erreur est en fait une application manifestement étudiée pour « faire du click ». Le processus n’est viral que dans sa manière de se développer, et ne comporte apparemment aucune charge destructive ou de vol d’information. Le « Web 2.0 » est un monde merveilleux de croissance et de mutations pour les malwares de tous crins.

Pourtant, parfois, la lutte est âpre entre tous ces staphylocodes. L’on avait l’habitude –Conficker en est l’un des nombreux exemples- de voir certains virus bloquer les mécanismes de mise à jour des programmes de défense. Un Kaspersky.ru ou un McAfee.com redirigé vers l’adresse de bouclage 127.0.0.1 frisait presque le banal et le quotidien. Il est un peu plus rare, remarque Daniel Wesemann du Sans, de voir un virus museler les mécanismes de mise à jour d’autres virus. « Si seulement ils pouvaient continuer à se battre directement, sans utiliser nos PC comme terrain d’opération » soupire l’auteur de cette analyse…

La lutte est dure également pour les gourous et les visionnaires. Avec tous ces changements, tenir des propos originaux dans le domaine du « coding » viral relève de la mission impossible, surtout après l’avalanche de « prédictions » traditionnellement publiées en ce début d’année. Marc Fossi, du Response Team de Symantec, s’y risque dans les colonnes du HNS. Les attaques Web, le Web « 2.0 », les faux antivirus… et un peu d’insécurité des appareils mobiles dans le cadre d’une attaque « globale » passant par les navigateurs embarqués. Nihil nove sub sole, du moins chez Symantec.

L’alerte lancée par Microsoft est claire : version PC (éditions Office 2000 à 2007) ou Macintosh (Office 2004/2008 et convertisseur XML), toutes sont vulnérables et contiennent une faille pour l’instant exploitée à faible échelle. Pour l’heure, seules les versions Windows sont affectées par un « dropper » chargé d’installer une porte dérobée sur la machine victime. La backdoor en question surveille le port 80 en quête de mises à jour.

Le motif est assez sérieux pour que Bill Sisk du MSRC publie un billet sur le blog du « response team ». Le problème est d’autant plus épineux que les seules contre-mesures proposées jusqu’à présent consistent à utiliser Moice, nettement plus connu (sur un axe Les Ulis/Les Ulis) sous l’appellation transparente de « Microsoft Office Isolated Conversion Environment pour le Pack de compatibilité pour formats de fichiers Word, Excel et PowerPoint 2007 ». L’installation de Moice ne suffit pas, il faut en outre l’activer en fonction de l’extension à interpréter. Une seconde mesure de prudence consiste à bloquer le lancement automatique d’Office 2003 par le truchement d’une modification de la BDR.

Il est très peu probable que ces conseils soient entendus, voir suivis, par la majorité des usagers, compte tenu de leur complexité. Fort heureusement, l’exploit découvert est assez confidentiel. Il y a cependant assez d’éléments pour provoquer, en cas d’intensification des attaques, la publication d’un correctif « out of band »… 20 jours nous séparent du prochain « Patch Tuesday ». En attendant cette rustine salvatrice, il est conseillé de se méfier des tableaux provenant d’expéditeurs inconnus ou peu fiables.

Après avoir reconnu l’existence d’une faille affectant Acrobat, Adobe s’empresse de publier… un correctif flash player. Les quelques rares utilisateurs du format pdf doivent prendre garde car, si la désactivation de javascript permet d’éviter de succomber aux assauts de l’infection découverte, ce n’est là qu’une mesure transitoire qui ne protège pas le moins du monde contre d’autres méthodes d’exploitation. Le Sans le crie haut et fort, Secunia insiste sur ce point. Quand au correctif… il pourrait bien arriver dans le courant du mois prochain.

Cette rapidité toute sénatoriale incite d’ailleurs H.D. Moore à tremper les touches de son clavier dans deux doigts de vitriol : « The best defense is Information » insiste-t-il. Et le père de Metasploit de se lancer dans un plaidoyer en faveur d’une politique de divulgation la plus ouverte possible. Sans une politique de libre information, il n’est pas possible de couper l’herbe sous les pieds des auteurs de malwares. Car précisément, ces informations techniques que les chercheurs mettent à la disposition du public servent également –servent surtout- aux développeurs de programmes de protection périmétrique. Les chasseurs de virus, bien que possédant leurs propres canaux « occultes » d’information, utilisent amplement les ressources de Milw0rm ou les scripts de Metasploit ; affirme HDM.

Cette diatribe est d’autant plus justifiée que le nombre d’attaques par le biais de logiciels « tiers » tend à augmenter au fur et à mesure que se restreignent les bugs système. Moins de trous Windows, plus d’exploits Winzip, de virus ciblant Acrobat Reader ou d’infections visant un lecteur multimédia. Adobe est d’ailleurs, depuis les 10 ou 15 derniers mois, l’une des cibles les plus prisées par les auteurs de « kits de malwares ».

Sans rapport direct avec ce qui précède, signalons la sortie du dernier numéro d’ (In)Secure, le magazine de Mirko Zorz, éditeur et rédacteur en chef du Help Net Security, l’un des meilleurs sites d’information « sécu » du bloc européen. Dans ce numéro, 4 pages sont précisément consacrées à l’installation de la toute dernière version de Metasploit –la V4- sur une clef USB. Il faut au minimum 2 Go de mémoire pour ce faire, 4 Go étant la taille recommandée si l’on souhaite conserver quelques traces des logs Nessus par exemple. « Building a bootable BackTrack 4 thumb drive with persistent changes and Nessus » est une oeuvre composée par Kevin Riggins

Cardnet et Tuscaloosa, deux sociétés de crédit américaines ont émis respectivement deux communiqués laissant entendre qu’une nouvelle affaire de vol d’information serait en train de secouer le monde des cartes de crédit/débit aux USA. Il s’agirait une nouvelle fois d’un hack ayant touché un intermédiaire bancaire dont le nom n’est pas encore communiqué. L’intrusion est certaine, mise en évidence par la découverte d’un programme intrus, mais il n’est absolument pas certain que les données collectées par cet agent aient pu être récupérées. Selon les communiqués, ce hack n’est pas en rapport avec le récent piratage des systèmes de Heartland… mais des personnes chargées de l’enquête tentent cependant de vérifier s’il existe des liens entre ces deux opérations. Pendant ce temps, Visa et Mastercard travaillent à établir un bilan exact de la situation et déclarent que, pour l’heure, aucune carte n’aurait fait l’objet d’un détournement d’argent. On parle de « centaines de cartes de crédit concernées » et d’une fenêtre de vulnérabilité restreinte aux mois de janvier et début février.

La Maison Blanche, tout comme le Pentagone, multiplient ces temps-ci les études, plans, communiqués et perspectives stratégiques relatifs à l’organisation d’une défense des infrastructures informatiques (tant nationales qu’appartenant à de grands organismes privés). L’on parle même de « riposte » du côté des militaires. Trois documents sont à lire avec attention, véritables « normes ISO » de la sécurité informatique d’Outre Atlantique. A commencer par « Les 20 points de contrôle et métriques les plus importants pour une cyberdéfense efficace et une conformité Fisma » (Fisma pour Federal Information Security Management Act). L’on y apprend comment les CISO et responsables d’entreprises peuvent collaborer activement à cet « effort de défense passive », notamment en se tenant informé des alertes et communications diverses (alertes du Cert, classifications CVE, CPE, CWE etc) et en respectant les règles de conduite du Nist. La description de la structuration des équipes « sécurité » des infrastructures militaires et de celles des entreprises civiles sous-traitantes, ainsi que les procédures « point à point » d’assainissement d’un réseau informatique et d’entrainement des équipes d’intervention méritent à elles seules la lecture de ce rapport. De l’éradication des équipements et logiciels non référencés à la configuration des postes de travail, serveurs et équipements de commutation, en passant par le paramétrage des applications, l’analyse des logs, les tests de vulnérabilité… tout ceci a des relents de BS7799.

Richard Bejtlich va plus loin encore et commente 4 pages Powerpoint décrivant la Comprehensive National Cybersecurity Initiative (CNCI). C’est là une sorte de défilé du 14 juillet, où s’alignent les chars et les avions de cybercombat capables de protéger et défendre les Etats Unis contre une éventuelle répétition des récentes « cyber-attaques » Chinoises qui ont touché plusieurs pays occidentaux. Tout ceci, explique l’auteur du Tao de la Sécurité, se résume en une phrase : « Expect greater military involvement in defending private sector networks ». C’est tout de même ce que l’on avait crû comprendre à la lecture du premier document. Toute la question est de savoir dans quelle proportion interviendra le bras armé de l’Etat et ce que cette armée considèrera elle-même comme une menace lui donnant droit d’agir, voir de riposter.

Armée, cyberdéfense et plus si affinité. Dans un long article publié dans IANewsletter, le Colonel John “Buck” Surdu et le Lieutenant Colonel Gregory Conti posent la question « Army, Navy, Air Force, and Cyber—Is it Time for a Cyberwarfare Branch of Military »? L’Air Force, expliquent-ils, s’est constituée au lendemain de la seconde guerre mondiale, lorsqu’il est apparu que la guerre aérienne avait radicalement changé les tactiques de combat et la physionomie des champs de bataille. Aujourd’hui, il en va de même dans le domaine informatique, dont l’importance stratégique n’est plus à démontrer. Alors, pourquoi pas un corps constitué qui s’appellerait US-Bug Force, qui irait, la fleur au disque dur, combattre l’ennemi au côté de l’Army, de la Navy et de L’Air Force ? Et de tirer à boulets rouges (ou à coup d’obus-flèche, soyons moderne) sur le fait que les civils possèdent déjà un tel corps, la NSA, mais que ledit corps n’est pas du tout adapté à la vie militaire. C’est un problème culturel, affirment les auteurs. « Ne nous trompons pas, nous sommes déjà engagés dans une forme de cyber-guerre froide. Il nous faut dès à présent entrainer nos troupes à essuyer un feu informatique sur nos propres structures », à coordonner les efforts entre les différentes armes en fonction de leurs compétences internes en la matière, concluent en substance les deux auteurs.

Encore une étude catastrophiste publiée par le Ponemon et commanditée par Symantec. Cette étude se penche cette fois sur un panel d’un petit millier de personnes licenciées ou ayant quitté une entreprise durant les 12 derniers mois écoulés. 59 % des personnes interrogées admettent avoir quitté leur poste avec des données appartenant à l’entreprise, et 67% affirment avoir utilisé des informations obtenues dans le cadre de leur ancien emploi dans le but d’acquérir un poste plus important. Une forme de « prime à l’expérience professionnelle » en quelques sortes, car dans près de 40% des cas, les données « empruntées » sont des fichiers de clientèle. Dans près de 64%, en revanche, ces données sont des sauvegardes des échanges email, dont le contenu n’est pas précisé.

Plus de 24 % des personnes précisent que leurs accès au système informatique étaient encore possibles après que leur départ fut officiellement prononcé, 20% d’entre eux précisant que ces accès avaient perduré au-delà d’une semaine après leur départ. 82 % des sondés affirmaient même que l’entreprise n’avait jamais entamé le moindre audit concernant les fichiers informatiques ou dossiers papier consultés avant le départ de l’intéressé.
Le commanditaire de l’étude -spécialisé notamment dans la commercialisation de logiciels DLP- fait ressortir quelques chiffres impressionnants sur les supports utilisés pour faciliter les fuites de données en question. Dans 53 % des cas, les informations partent sur un DVD ou CD-ROM, dans 42% sur une clef USB et dans 38% via un attachement email.
Cette étude est probablement à conserver précieusement car elle se situe encore dans le contexte économique de l’année écoulée. Les causes de départ sont diverses : 37 % de mise à pied, 38% de départs volontaires suite à une proposition d’emploi, 21% de démissions « par anticipation » avant le commencement d’une charrette… L’accroissement des mises à pied et la diminution des offres d’emploi, tendance déjà constatée par l’ensemble de l’industrie occidentale, pourrait bien totalement modifier la prochaine édition de cette même analyse.

Suites de différentes affaires ayant secoué la blogosphère sécurité ces derniers jours :
Joanna Rutkowska signale la mise à disposition du rapport et des « transparents » de sa toute dernière causerie traitant du hack de l’Intel TXT (Trusted Execution Technology) mentionné vendredi dernier à l’occasion de la Black Hat 2009 de Washington. Le rapport de recherche porte le titre de Attacking Intel Trusted Execution Technology, les « slides », quant à eux, sont de « belles images sans le son ». Le mélange des deux devrait faire comprendre à de rares experts la substantifique moelle du discours Joannien.
Egalement mentionné vendredi dernier, dans le cadre de Schmoocon, les travaux de Chris Paget sur le clonage des passeports à RFID « UHF » destinés aux frontaliers des USA. A force de malmener les « étiquettes intelligentes » et de prouver que leur usage est parfois –souvent même- mal adapté aux capacités dudit composant, un sénateur du Nevada a décidé d’interdire toute communication ou action spécifique au hack des RFID. Ce n’est, pour l’heure, qu’un projet de loi. Mais un projet fort gênant, si l’on considère que c’est au Nevada que se déroulent la BH d’été et la Defcon, principaux théâtres d’opérations où sévissent les spécialistes du genre. Loi prouvant une fois de plus que la « sécurité par l’obscurantisme » et la censure demeurent trop souvent l’unique réaction des politiques par rapport à un sujet qui les dépassent. Rappelons qu’en France, des textes semblables condamnent la publicité, la distribution, la détention et l’usage des principaux outils de tests de pénétration à partir du moment où l’usager n’est pas un expert patenté, reconnu et agissant dans le cadre précis d’une campagne de tests définis par contrat. Ceci probablement pour coller au plus près à la « réalité du terrain », celle des pirates… les vrais.
Après les barbouzes de la NSA, c’est au tour des Euroflics de s’inquiéter de l’imperméabilité de Skype. Paul Meller, de Network World, indique que la question des « écoutes VoIP » constituera l’un des principaux débats à l’occasion de la prochaine réunion EuroJust. EuroJust est un comité Européen de coordination des enquêtes et des poursuites judiciaires, chargé d’améliorer les communications entre autorités judiciaires des différents pays de l’Union. Ce serait l’Italie qui aurait le plus violemment attiré l’attention sur ce problème en particulier. Depuis un certain temps, les portes-flingues de la Mafia auraient pratiquement délaissé les lignes téléphoniques terrestres et les cellulaires de tous crins au profit de Skype, de sa fiabilité et de son chiffrement. Bien sûr, le « coupable » est montré du doigt, qui refuse de communiquer de quelque manière que ce soit l’art et la manière de poser des « bretelles » sur son réseau pour écouter les communications de ses abonnés.
Info ou intox ? Nul ne sait réellement –forces de polices mises à part- dans quelle mesure et surtout avec quelle rapidité il est possible de piéger un ordinateur tentant d’anonymiser ses communications, que ce soit à l’aide d’un programme VoIP propriétaire ou sous le couvert d’un tunnel tel que Tor, l’Onion Router. Nul ne sait non plus –faute de prise de position claire à ce sujet- quelle sera l’attitude d’eBay sur ce point : il est peu probable que la « récompense » promise il y a peu par la NSA ou que les pressions amicales des autorités d’Outre Atlantique ne l’incitent à garder le silence trop longtemps.