février, 2009

Elle est « critique » nous affirme l’éditeur, et touche indifféremment Adobe Reader et Acrobat. Et en plus, elle ouvre une backdoor qui servira à asservir la machine victime, nous certifie l’Avert Lab. C’est par le biais d’un document PDF forgé que des black hats peuvent parvenir à injecter un Troyen relativement néfaste. Shadowserver, pour sa part, préfère insister sur la seule parade applicable pour l’instant –la désactivation de JavaScript (air connu). Le Cert US en fait de même, en détaillant par le menu la nécessaire modification de la Ruche. Sur le blog SourceFire, l’on offre une rustine provisoire à la mode ZERT, qui « fonctionne contre l’attaque en cours, mais qui n’est pas nécessairement opérationnelle contre d’autres variantes qui pourraient bientôt voir le jour ». Tant qu’Adobe n’a pas publié de mise à jour , ce patch peut éventuellement servir en cas d’urgence. Mais précisons avant toute action irréfléchie que, malgré la « bonne renommée » de l’équipe Snort, toute rustine exogène mérite de passer par une batterie de tests de non-régression avant tout déploiement. En outre, cette attaque semble pour l’instant très ciblée, et ne chercherait à toucher que certaines institutions et administrations Américaines. Ce n’est pourtant là qu’un constat à moitié rassurant, compte-tenu de la rapidité avec laquelle certains vers sont adoptés et intégrés dans les « kits de malwares » à la mode.

Bob Graham –qui sévit cette fois non pas sur le Security Focus, mais dans les colonnes de Dark Reading- s’est penché sur la collection de 20 000 mots de passe diffusés lors du hack de PHPBB. Les résultats sont sans la moindre surprise : les mots de passe sont absolument « évidents » et à 94% récupérables dans le cadre d’une attaque par dictionnaire. 16% de l’échantillonnage est constitué de prénoms, 14% sont des suites de dactylogrammes genre 12345 ou azerty, 4 % sont des variations du mot « password », 5% sont des références populaires qui vont de Pokemon à Star Wars, 4% sont inspirés du matériel utilisé ou d’un objet périphérique –Presario, Apple, Dell etc-, ceci pour ne pas nommer les héros de séries TV ou les noms de grands footballeurs. Par ordre de popularité, les mots de passe les plus utilisés étaient 123456, password et phpbb, suivis de près par qwerty.

A remarquer que la longueur moyenne des mots de passe est de 6 lettres, soit une lettre de plus que la longueur moyenne des mots usuels de la langue anglaise.
Dans l’ensemble, cette analyse reflète très exactement toutes les études précédentes déjà rédigées sur ce sujet. L’application de politiques de mots de passe plus strictes ne change généralement pas ces comportements. L’obligation de mélanger lettres et chiffres se solde souvent par un choix identique à ceux susmentionnés, achevé généralement par le chiffre « 1 ». Les politiques contraignant de fréquents changements de mots de passe se sont toutes soldées par une désaffection notable du service en ligne qui tentait d’appliquer une telle pratique de sécurité.

Le blog de la X-Force ISS vient de publier le « top ten » des chasseurs de failles les plus prolifiques. Ce ne sera une surprise pour personne, c’est Luigi Auriemma (28 ans déjà) qui remporte haut la main la première place. Ce Milanais discret, presque asocial dans sa prime jeunesse, caracole en tête du classement depuis plus de dix ans. A ce jour, nous apprend le classement ISS, Auriemma aligne 612 découvertes de failles à son actif, suivi de près par r0t (18 ans, 544 vulnérabilités, avoue avoir tagué son premier site web à 10 ans..). RetroGod, hélas disparu depuis d’une maladie de la moelle osseuse, revendiquait 357 « victoires » .

Sur le classement annuel de 2008, Auriemma conserve la première place -162 découvertes-, suivi de ZoRLu (137) et S@BUN (126).

Ne sont prises en compte que les découvertes rendues publiques par le biais d’alertes publiées –liste Full Disclosure, Milw0rm, Bugtraq et autres vecteurs de diffusion reconnus-. Les chercheurs anonymes travaillant sous le couvert d’une entreprise spécialisée ou via un entremetteur tel que le ZDI ne sont pas nécessairement comptabilisés. Les « statisticiens » de la X-Force insistent sur le fait que ce hit-parade ne considère que le « volume » des découvertes, et non leur dangerosité. Reste que bon nombre de découvertes signées Auriemma valent bien certaines des communications d’un Litchfield sur une injection SQL ou d’un Liu Die Yu lorsqu’il égratigne un navigateur Web.

L’information tient en moins de 5 phrases : des polluposteurs sont parvenus à exploiter le réseau LinkedIn pour répandre leurs publicités pharmaceutiques. Une révélation signée Dancho Danchev qui, hélas, en surprendra très peu. Depuis quelques mois, les outils « Web 2.0 » sont la proie des diffuseurs de spywares et de spam. Les Twitter, les Facebook, les Digg.com et maintenant LinkedIn succombent les uns après les autres. Mais plus que les 5 lignes que représentent cette information, les presque 5 pages-écran que constitue la liste des noms de domaines « linkedinisés » est édifiante. Danchev, tout comme Dan Hubbard, CTO de Websense, voient en ces floraisons de conversions au Web 2.0 un moyen simple et efficace d’accroître le référencement desdits sites pharmaceutiques. Le « spam » ne rapporte rien de manière directe, mais la présence des sites en question en tête des moteurs de recherche est plus efficace qu’un envoie de plusieurs millions d’emails.

Depuis quelques temps, le « cloud computing » -ou externalisation du traitement- grignote le monde de la sécurité en général, et plus particulièrement celui de la protection périmétrique. Plus de licence « locale », mais un « abonnement » à une architecture mondiale et répartie. Pour l’usager, la différence est assez subtile, voir inexistante. Pour l’heure, les éditeurs ayant la tête dans le nuage arguent du fait que les temps de réaction des antivirus seront accélérés de manière considérable, éliminant les temps de « mise à jour des bases de signatures », et que la détection de nouvelles menaces, de par la nature même d’un outil « intégré à la Toile », s’en trouvera améliorée.

L’un des plus prosélytes en la matière s’appelle Trend Micro. La firme de la sémillante Eva Chen publie sur le sujet étude sur rapport, dossier après enquête. Cela a débuté plus ou moins en juin dernier avec une étude IDC suivie en juillet d’une analyse laudative du cabinet Frost & Sullivan vantant l’heureuse association d’une meilleure sécurité et d’un business model prometteur.

BitDefender,cette semaine, diffuse la première « préversion » de son Quickscan, antivirus « dans les nuages », sans moteur, sans base, sans rien en local… si ce n’est une petite amorce et une connexion Internet. A l’heure des Confickers qui se propagent par clef USB et qui bloquent les adresses IP des éditeurs de programmes de sécurité, un examen attentif de ce genre de programme s’impose.

Rappelons la sortie cette semaine d’une autre pré-version, celle de Exploit Shield 0.6 de F-Secure, logiciel (ou service… la différence est ténue) lui aussi cloudifié à grand renfort de technologie deepguard.

Idem du côté de Websense, où l’on intensifie la cloudification des services. Une stratégie longuement détaillée par Michael Osterman d’Osterman Research, et concrétisée par l’ouverture de deux branches « presque nouvelles » : Websense Hosted Email Security –ex SurfControl/Blackspider MailControl- et Websense Hosted Web Security, anciennement SurfControl On-Demand Services. Un couple de services d’externalisation des messageries d’entreprise et des services Web.

Rappelons que, quelque soit le nom donné à ces formes de sous-traitance, tout contrat passé avec de tels prestataires doit être entouré d’un certain nombre de clauses préventives. Notamment pour ce qui concerne la continuité d’activité en cas de changement de prestataire, le choix d’un tribunal compétent en cas de conflit –si possible dans le pays du client-, et la permanence/rémanence de la protection ou de l’information locale en cas de rupture des liens de communication. Ces quelques petits détails juridiques ont déjà coûté la peau des « ASP » (Applications Services Providers) il y a quelques années, et le changement d’appellation ne doit pas faire oublier que les mêmes causes produisent généralement les mêmes effets.

Février, c’est le premier mois des « hacking conferences ». Avec la BlackHat de Washington, avec les comptes-rendus de la Schmoocon…un feu d’artifice de communications, d’exploits, de hacks, tous plus médiatisés les uns que les autres. Et çà commence très fort, avec cet exposé de Chris Paget lors de la Schmoocon, qui nous reparle du clonage des RFID… ceux des passeports, bien entendu. Mais cette fois-ci, il s’agit des passeports américains délivrés aux frontaliers qui, chaque jour, traversent l’une des frontières des Etats-Unis pour affaires : Canada, Iles Caraïbes et Bermudes ainsi que le Mexique.

Ce document de voyage un peu particulier se présente sous la forme d’une carte de crédit, et intègre un RFID fonctionnant sur 900 MHz. Une technologie probablement fort utile pour compter du bétail dans un champ, mais considérablement trop indiscrète pour être employée dans une chaine d’identification des personnes. Détectables et lisibles à plus d’un kilomètre de distance, pouvant être aisément perturbés et très probablement piratés lors de l’échange des données entre la carte elle-même et le système d’interrogation légitime, ces RFID ont, malgré de nombreux avis défavorables, été manifestement adoptés par les instances gouvernementales américaines. Au grand bonheur de Paget.

Côté Black Hat, les codes les plus protégés explosent de toutes parts. Joanna Rutkowska et Rafal Wojtczuk signalent l’existence de plusieurs bugs dans le Software Manager Management Mode des processeurs Intel, rééditant l’exploit de l’an passé. Car déjà, un problème du SMM avait permis à ce couple de chercheurs de compromettre un hyperviseur Xen, démonstration faite précisément lors d’une Black Hat. Cette fois, c’est la TXT, Trusted Execution Technology d’Intel qui est mise à mal par cette petite erreur de conception. Selon les chercheurs, il serait possible d’utiliser plus d’une quarantaine de moyens pour exploiter ce défaut capable de compromettre le processus de boot « sécurisé » de la machine. Or, TXT exécute le lancement d’un noyau ou d’un hyperviseur en partant du principe qu’il peut compter sur l’intégrité de ce fameux SMM… Security News précise que, tant que le constructeur n’aura pas corrigé les erreurs en question, l’équipe d’Invisible things ne divulguera aucun détail technique concret.

Toujours de la Black Hat, le contournement de SSL par Moxie Marlinspike. Le Reg étale les exploits de ce hacker sur deux pages, qui s’achèvent avec un témoignage d’admiration de la part de Dan Kaminsky, qui lui aussi mis à mal SSL (ou plus exactement une édition particulière de SSL). Dans les grandes lignes, il semblerait que ce hack consiste, à l’aide d’un utilitaire baptisé SSLstrip, à détourner l’internaute victime dès qu’il a reçu la page Web précédant celle qui devrait logiquement activer la liaison sécurisée. Ce n’est pas SSL qui est compromis, mais sa mise en œuvre. Bien sûr, la page injectée par le pirate ayant effectué le détournement devra présenter les mêmes aspects que celle à laquelle s’attend l’internaute, quitte même à afficher une url au format HTTPS à l’aide d’un certificat bidon qui, de toute manière, n’est vérifié par personne. Mise en confiance par les pages Web précédentes, la victime n’aura alors aucun doute quant à l’authenticité des écrans suivants, et fournira sans la moindre hésitation tous les mots de passe possible. Relatant ce même hack, nos confrères de Security News rapportent cette remarque de Marlinspike « Si vous obtenez le mot de passe d’un site, vous avez de fortes chance que ce même mot de passe soit utilisé également sur dix autres sites ». Un tel piège tendu sur un vague blog sans grand intérêt peut devenir une source d’alimentation d’identités et de crédences également utilisables sur des sites bancaires ou de payement en ligne.

Achevons ce rapide tour de la BH Washington en mentionnant cet article d’Information Week sur le hack des systèmes de reconnaissance faciale intégré dans certains ordinateurs Lenovo, Asus ou Toshiba. L’affaire n’est pas nouvelle et avait déjà fait l’objet d’une communication et de plusieurs vidéos de démonstration de la part de l’équipe de Nguyen Minh Duc du BKIS (Bach Khoa Internetwork Security Center) d’Hanoi. Cnis avait publié un article à ce sujet en décembre dernier.

Plusieurs chercheurs et éditeurs d’antivirus commentent abondamment la divulgation d’un exploit minant Internet Explorer (MS09-002). La première apparition de ce vecteur d’attaque prenait l’apparence d’un document Word expédié en « pièce attachée » explique une rapide description de l’Avert. Ce n’est pourtant en aucun cas une vulnérabilité liée au traitement de texte, mais bel et bien un code provoquant une corruption mémoire via le navigateur Web. Le Sans donne une première analyse du code et décrit succinctement les mécanismes de ce « dropper », tandis que le blog de l’équipe Snort s’étend un peu plus sur les fonctions générales de ce virus ainsi que sur sa provenance manifestement Chinoise. Le développement de cet exploit quelques jours à peine après le « patch Tuesday » du mois de février indique clairement le fruit d’un travail de reverse engineering entamé à partir de l’analyse du code de la rustine. Les principaux chasseurs de virus, qui reconnaissent pour l’instant le caractère très « localisé » et limité de cette menace, n’écartent pas le risque que ce virus pourrait rapidement se retrouver dans la collection des panoplies d’exploits équipant les « kits » de fabrication d’outils d’attaque.

Verra-t-on se développer une sorte de concours à la sauce « MoAWB » (ou Mois du bug Web des éditeurs d’antivirus) ? car après le « hack kaspersky qui n’en était pas trop un », c’est au tour de Bit Defender (du moins l’un de ses représentants) puis de F-Secure de faire l’objet d’une attaque usant des mêmes vieilles ficelles : Injection SQL et Cross site scripting. Le site Roumain à l’origine de ces révélations semble étonnamment bien informé.
Côté F-Secure, l’on précise que le serveur touché ne comportait que quelques informations statistiques concernant les signatures de certains virus. Cette affaire tourne au règlement de compte.

Toujours à propos de failles et d’éditeur d’antivirus, il serait triste de passer à côté de cette amusante capture d’écran prise par Thierry Zoller, cet autre pourfendeur –étique- d’antivirus mal conçus. Après avoir annoncé la disponibilité de BT Crack, son outil de pentesting Bluetooth, voilà que les filtres de contenu de SonicWall semblent bloquer tout accès au site de téléchargement du logiciel en question. Et pour motif de « pornographie » qui plus est.

L’écoute des liaisons montantes des satellites de télédiffusion, le piratage des cartes de déchiffrement (les infâmes codes season qui permettaient d’accéder gratuitement au réseau Sky), tout çà est assez classique et presque banal.
L’attaque en déni de service à la réception demande un peu plus d’inventivité. Le hold-up de satellite par « écrasement » (hétérodynage, disent les spécialistes) de l’uplink officiel exige également quelques moyens peu courants, mais que toute nation se doit de posséder en cas de conflit.
Le « radio squatting » de canaux satellites (à l’insu du propriétaire de l’oiseau), voilà qui est encore moins banal. Il consiste à utiliser, sans débourser un centime, les fréquences laissées libres sur le transpondeur embarqué. Encore faut-il posséder l’équivalent d’une station terrestre pour atteindre le véhicule en orbite géosynchrone. Mais le meilleur du hacking semble bien être l’espionnage des liaisons descendantes des réseaux informatiques véhiculés soit par Vsat, soit par « broadcast général et accès séquentiel » tel que le pratiquent les fournisseurs d’accès Internet par satellite.

Tout ceci fera l’objet d’une causerie d’Adam Laurie, le patron du Bunker, pourfendeur de RFID, à l’occasion de la prochaine BlackHat de Washington. Sam Goodin, du Reg, signale également l’événement et rappelle que déjà, à l’occasion de la dernière Hack in the Box 2008, trois chercheurs Jim Geovedi, Raditya Iryandi et Anthony Zboralski, avaient décrit comment squatter un canal inutilisé sur un satellite de retransmission civile ou, -technique bien plus simple et efficace- comment « planter » ledit réseau en lançant une attaque en déni de service purement radioélectrique côté réception. Il faut admettre que cette forme d’attaque brutale ou de wardriving suivi d’une injection de « rogue station » dépasse quelque peu en moyens techniques ce qu’il est nécessaire de posséder dans le domaine du Wifi. Mais la chose ne présente aucune difficulté insurmontable pour un bon radioélectronicien.

Mais revenons à Laurie. Son hack est diablement intéressant pour plusieurs raisons. En premier lieu, il ne s’attaque qu’au contenu des liaisons descendantes. De ce fait, il peut se contenter d’utiliser un simple démodulateur et une antenne offset tout à fait classique qui ne dépare pas dans le paysage urbain moderne. C’est un détail important. Car le « piratage de canal » suggéré par l’étude de Geovedi-Iryandi-Zboralski nécessite une antenne relativement « pointue » et présentant un gain énorme… donc une taille proportionnelle au gain espéré. Un réflecteur parabolique de 2 à 4 mètres ailleurs que sur le toit d’un hôtel passe rarement inaperçu. Ceci sans mentionner les considérations économiques : une station d’attaque devant émettre coûte plusieurs milliers d’euros, un système d’écoute passif peut être acquis pour une cinquantaine d’euros, neuf, dans n’importe quelle grande surface de bricolage, au rayon « antennes et TV satellite ».
Comble de la simplicité, les démodulateurs modernes possèdent désormais tous une interface Ethernet, et bien souvent un firmware à base de Linux embarqué. Il n’est donc plus nécessaire de s’inquiéter d’éventuelles contraintes matérielles : même sans fer à souder, il est aujourd’hui possible de voir passer les requêtes Gmail ou les navigations Web qui passent par les « downlink » grand public. Ce n’est plus qu’une question de connaissance des sniffers en vogue et éventuellement de quelques programmes de déchiffrement.

Le hack des satellites est un vieux mythe de la SF moderne. L’un des premiers auteurs à en avoir mentionné quelques aperçus techniques plausibles était Jacques Vallée, dans son roman Alintel. Déjà, à l’époque, l’écoute des « uplink » était un sport pour quelques rares hackers travaillant dans le domaine de l’analogique. Après le petit exercice de vulgarisation auquel va se mener Adam Laurie –et compte tenu de l’acharnement de ce dernier à fournir l’intégralité de ses outils en open source- il y a fort à parier que les adeptes du wardriving spatial vont se multiplier. Insistons toutefois sur deux ou trois petits détails qui pourraient tempérer les ardeurs de certains. Les « downlink Internet », Vsat mis à part, ne sont jamais qu’une forme plus rapide du système pseudo-interactif Antiope (les informations videotext diffusées dans l’espace de synchro des trames de la télévision terrestre). Les données descendantes de centaines d’internautes sont expédiées « pêle-mêle » depuis le satellite dans une sorte de mode broadcast légèrement redondant. Seul un identifiant permet à chacun de ne filtrer que ce qui l’intéresse… mais tout le monde reçoit les informations de tout le monde. Ce qui implique qu’il faille sérieusement trier ce que l’on recherche à l’arrivée.

Autre problème, il est très difficile –mais pas impossible- d’effectuer une attaque par « cookie hijacking » pour récupérer, par exemple, une interface Gmail. Tout l’art est de pouvoir atteindre la station de travail, et, en premier lieu, de la repérer et de la surveiller par le biais de sa voie « montante ». Cette voie expédie les ordres vers les proxys de l’opérateur satellite, et est généralement constituée d’une simple liaison IP par RTC ou par ADSL. Ces « voies montantes » sont bidirectionnelles, et donc susceptibles d’attaques par injection. La surveillance de l’adresse IP fait le reste… ou presque.

… pas un seul, mais 50. Qui vont de la vulnérabilité OS/X à l’instabilité Java (affectant ainsi aussi bien la version Mac que Windows de Safari). L’histoire de la découverte d’un des bugs Safari –lié au feed RSS- est d’ailleurs racontée par le menu par Brian Mastenbrook, son inventeur. L’on y découvre –mais est-ce vraiment une découverte- l’extraordinaire force d’inertie qui caractérise le Response Team d’Apple.