février, 2009

La police de Floride aurait arrêté trois suspects dans l’affaire Heartland. Cet intermédiaire bancaire dont les clients sont en majorité des entreprises du commerce de détail s’était, fin 2008, fait pirater son système informatique et dérober des centaines de milliers de numéros de cartes de crédit. Les trois personnes appréhendées ont à peine 20 ans, et utilisaient des numéros de cartes dérobés durant le hack susmentionné. Le dol s’élèverait, dans le cas précis, aux environs de 100 000 dollars dans la seule limite du comté de Leon, au Nord-Est de Tallahassee. Tout laisse donc croire que la police a mis la main sur de petits délinquants dont les pratiques frisent l’amateurisme. Ce qui, l’on s’en doute, laisse supposer que les fichiers issus du hack Heartland sont vendus à la petite semaine à qui veut bien soit jouer les mules, soit acheter ce genre d’information.

Dancho Danchev se penche cette semaine sur une forme d’attaque de plus en plus répandue : le piratage des outils de messagerie attachés aux outils « web deuzéro ». L’on connaissait déjà le spam diffusé par le biais des forums php divers, les attaques email lancées à l’insu des possesseurs de comptes Twitter… La dernière trouvaille du genre utilise les commentaires de Digg.com, et véhicule un « faux codec » vidéo. Digg, comme beaucoup d’autres, avait déjà vu ses commentaires détournés par des vendeurs de pseudo programmes antivirus.

Hasards du calendrier, F-Secure entame la phase 0,6 de son programme Exploit Shield. Une préversion d’un logiciel de protection fort intéressant dans le cas présent, puisqu’il est censé protéger les internautes contre toute attaque en drive by download ou XSS. Cela tient plus ou moins de l’esprit des systèmes de défense de type Cloud Computing, à savoir une multitude de programmes clients répondant en temps réel aux instructions d’un moteur d’analyse centralisé chez l’éditeur. La « Beta 0.6 » est compatible avec les versions Vista 32… le 64 bits n’est pas encore pris en compte. Essentiellement destiné à protéger les postes itinérants et les installations de particuliers et artisans, ce programme n’est pas à proprement parler ni un système de « patch virtuel », ni une « sandbox »… mais il en a bien des aspects. Notons au passage que l’outil utilise la classification CVE pour indiquer les exploits interceptés. C’est là une idée intéressante, qui fait fi du folklore des conventions de nommage des virus et autres malwares.

Fabien Perigaud du Cert Lexsi, nous écrit un véritable roman picaresque sur les mille et une astuces que Conficker déploie pour accroître le nombre de connexions TCP. C’est une longue théorie de boucles conditionnelles : Si NT inférieur à 4.0, alors abandonner… client déjà infecté par un concurrent plus sérieux que nous, l’absence d’argent pour renouveler ses licences. IF NT==2000&XP AND SP<<2, THEN patch HKLMSYSTEMCurrentControlSetServicesTcpipParameters. Voila pour les vieux coucous. IF NT>=5.1 OR SP>>2 AND Windows pas du tout 2003, alors trépanation de tcpip.sys, pour simple lecture des entrailles, puis modification du pilote en mémoire après un très court lancement de service « pirate ». Tout çà dénote d’une certaine complexité d’esprit de la part de l’auteur du ver… et d’une impressionnante sagacité chez les personnes capables de découvrir des mécanismes aussi tortueux. Fabien Perigaud mentionne rapidement en début d’article une autre fonction cachée décrite par les chercheurs du Sans, à savoir la capacité de Conficker de détecter la présence d’une machine virtuelle –code directement inspiré des travaux de Joanna Rutkowska- ainsi que d’une astuce protégeant une clef de registre par une modification des ACL. La détection des VM et des sandbox diverses susceptibles d’être utilisées par des honeypots ou des outils de debugging est une caractéristique commune à biens des malwares ces temps-ci. L’Avert Lab se penchait, la semaine dernière, sur une Toolbar/malware de détournement d’identité spécifique à une application de type « réseau social » Allemande. Là encore, la première réaction du programme d’attaque était de vérifier la présence d’un logiciel antivirus ou d’un sandboxing quelconque.

Remarque méchante d’un « reverse ingénieur » français entendue dans un salon parisien dans lequel se déroulait une grande conférence sur la sécurité : « Si Windows avait été conçu avec autant de minutie que ne l’a été Conficker, il n’y aurait jamais eu Conficker ». Les bug-hunters du langage, les reverse engineers de la sémiotique appellent çà une tautologie et les informaticiens un « coup bas ».

Lors d’une exposition Londonienne, un industriel aurait laissé entendre que la NSA serait prête à payer très cher une solution technique pour poser des « bretelles » d’écoute sur le réseau de téléphonie IP Skype. C’est Lewis Page, du Reg, qui l’assure. Et, sans s’en rendre compte, l’on se fait prendre au jeu du « si tu savais ce que je sais… ». Car Skype, le chiffrement, les écoutes de barbouzes, les backdoors et l’omnipotence de la NSA sont les 5 mamelles chimériques d’Internet.

Skype,tout d’abord, débuta sa carrière comme l’un des plus gros problèmes d’administration, principalement à cause de ses « supernodes » longtemps impossible à museler et de sa gourmandise en bande passante. Skype encore dont le chiffrement et le routage « Peer to peer » rendait totalement hermétique aux passerelles de sécurité le contenu transféré. Car, outre la voix, Skype est un outil de messagerie instantanée intégrant des fonctions d’échange de fichiers.

Les écoutes de barbouzes, et celles de la NSA tout particulièrement, font partie des « légendes ou rumeurs invérifiées » -ou trop rarement vérifiées. Une légende qui pousserait à faire croire que chaque noyau ou programme de communication développé aux USA ou sous obédience américaine serait systématiquement doté d’une « porte dérobée ». Ceci dans le but d’aider les vaillants défenseurs de la Justice et de la Liberté (lesdits barbouzes). Disons-le tout net, ce genre de culte de l’accès secret, tout comme la « collection de failles logicielles exploitables à distance », font partie des choses normales dans ce monde. Et si ce genre de pratiques choque les défenseurs des libertés individuelles, l’on peut toujours agiter l’épouvantail du Club des pédophiles terroristes et révisionnistes réunis, fabricants de bombes artisanales. Invoquer la liberté de pensée sur le Net aujourd’hui, c’est s’exposer à être accusé de collusion –voir de complicité- avec les criminels récidivistes de tous crins. Dans de telles conditions, qui donc oserait encore s’émouvoir qu’un service d’espionnage cherche à écouter les conversations téléphoniques du monde entier ?

En organisant une « fuite » laissant entendre que la « No Such Agency » rechercherait une méthode pour tracer et déchiffrer les contenus véhiculés, les services de renseignements US poursuivent probablement plusieurs buts. Peut-être est-ce pour endormir la confiance de tous ceux qui penseraient que Skype est inexpugnable. Peut-être également parce qu’il est effectivement difficile de déchiffrer certains contenus dans l’état actuel des choses. Mais invoquer l’origine Européenne de l’entreprise pour expliquer cette inaccessibilité au code source –alors que Skype est une filiale de eBay, entreprise 100%US-, voilà qui relève plus du « prétexte politique » que d’une réalité technique.

L’hypothèse du « pont d’or » offert en échange de ce service de déchiffrement et de suivi des communications pourrait effectivement être, comme le laisse clairement entendre nos confrères du Reg, une forme déguisée d’aide gouvernementale à une entreprise privée, eBay ou l’un de ses proches …

Quand à la véracité de l’existence des backdoors dans Skype, le sujet a largement été couvert en juillet dernier par Nicolas Ruff. Il n’y a strictement aucune raison pour que ni les conditions, ni les arguments techniques invoqués alors n’aient fondamentalement changé depuis.

Rappelons toutefois que le Ministère Français de l’Education Nationale recommande vivement, et ce depuis 2005, de ne surtout pas déployer Skype dans les milieux universitaires en général et les centres de recherche en particulier. Simple principe de précaution.

Remettons nous également en mémoire que parfois, le chiffrement de Skype et son protocole de routage pourraient-être contourné, si l’on en croît la mésaventure survenue en 2006 à un certain Kobi Alexander. Souvenons-nous aussi de ces recherches organisées par des Universitaires de George Mason, Virginie, analysant les possibilités de traçage et de lecture de contenu d’une liaison tunnel par le biais de cookies et de chevaux de Troie. On ne dit pas que c’est « fait », on y raconte simplement que c’est possible sous certaines conditions.

Microsoft offre 250 000 dollars contre la tête de l’auteur de Conficker, titre glorieusement Security News. Pas même de quoi s’offrir une bicoque dans une vallée oubliée des Alpes pour échapper aux seconds couteaux de la mafia Russe. C’est donc là un effet d’annonce totalement inutile, destiné à utiliser ce fléau logiciel comme support publicitaire ad majorem dei gloriam. Peu utile également ce consortium qui montre ostensiblement que certaines entreprises font exactement ce pourquoi elles sont payées : et les éditeurs d’antivirus de chasser les virus, les fournisseurs de service internet de filtrer les adresses et domaines indésirables, et les éditeurs de programmes vulnérables d’encourager à la diffusion et à l’application des rustines salvatrices. Le « front commun contre l’internationale virusesque » est une armée assez disparate, regroupant des FAI, des instances administratives, des éditeurs et équipementiers de divers horizons : Microsoft, ICANN, Neustar, Verisign, CNNIC, Afilias, Public Internet Registry, Global Domains International Inc., M1D Global, AOL, F-Secure, ISC, researchers from Georgia Tech, The Shadowserver Foundation, Arbor Networks et Support Intelligence, dixit le communiqué de Symantec à ce sujet.

Backtrack Beta, quatrième édition en « préversion publique » : cet outil de pentest voit ses « extensions wireless » sérieusement améliorées. Si cet outil fait partie de toute panoplie de bon hacker ou RSSI qui se respecte, il devrait également être intégré dans la moindre trousse de secours de responsable réseau ou maintenicien logiciel. De la récupération des mots de passe perdus à celle des données bloquées sur un volume NTFS malade, backtrack fait tout, ou presque.

Il y en aura beaucoup, des utilisateurs de Backtrack, à la prochaine Defcon. Une Defcon qui, comme de tradition, se déroulera entre le 31 juillet et le 2 août prochain à Las Vegas. Pour préparer cet événement, les organisateurs lancent leur traditionnel « call for paper », l’occasion pour les Kaminsky, Lichtfield et autres Cerudo de faire leur show et de nous esbaudir les oneilles d’avecque d’effrayantes histoires de fin du monde Internet.

Dans les allées de la Defcon, il sera recommandé d’éteindre son téléphone portable. Non pas pour éviter que l’orateur soit perturbé par d’intempestives sonneries, mais surtout parce que Thierry Zoller annonce la disponibilité de la version finale de son BTCrack 1.1, le programme d’attaque en bruteforce des liaisons Bluetooth (PIN, Passkey et Link key). Tout ce qu’il faut pour établir une liaison sans que la victime s’en aperçoive, sans que l’appairage entre les deux appareils soit nécessaire, et sans se soucier d’autres contraintes protocolaires pour s’attaquer au déchiffrement des données transmises. Le programme est disponible en téléchargement sur le site de l’auteur –que voilà un excellent complément à Backtrack- et est accompagné d’une série de transparents résumant ces travaux –les non-germanisants devront se contenter des images-.

Superbe hack, enfin, de la part de Joanna Rutkowska qui, sur son blog, nous offre la capture d’écran d’une machine dans une machine dans une machine… plus exactement d’un Vista dans une VM Xen, lequel Vista exécute Virtual PC… et les deux moteurs de virtualisation font appel aux instructions VT-x du processeur Intel. Un Xen « normal » est totalement hermétique et lui seul peut utiliser lesdites instructions de virtualisation Intel. Las, ce hack demeurera probablement sans suite officiellement divulguée, puisque ledit travail a été effectué pour le compte d’un client.

A hacker hacker et demi, avec la « suite et fin » de l’affaire du hack Kaspersky dans les colonnes de Security New. Après une période de flottement bien compréhensible, la direction US du groupe s’est ressaisie et admet les faits avec une honorable franchise. « This is not a good for any company, especially a company that deals with security. This should not have happened and now we’re doing everything in our power to do forensics in this case and prevent it from ever happening again » declare Roel Schouwenberg, l’un des chercheurs de l’équipe. En ces temps de tentative de « banalisation des hacks », un tel mea culpa méritait d’être signalé.

Pas de « bug surprise » ni d’amplification de dangerosité : le « patch Tuesday » de Microsoft s’est déroulé comme prévu, avec ses 4 « bouchons » dont deux qualifiés de critique, colmatant 8 failles au total. Soit, dans l’ordre, deux failles colmatées dans I.E. 7 à l’aide de la MS09-002, une paire de trous dans Exchange bouchés grâce à la 09-003, un risque d’exploitation distante de SQL Server –mais exigeant une authentification-, et un risque d’exploitation distante passant par une inconsistance Visio. A noter que la vulnérabilité SQL Server a fait l’objet d’un exploit rendu public et que le patch Visio « annule et remplace » le bulletin MS08-019.

Backtrack Beta, quatrième édition en « préversion publique » : cet outil de pentest voit ses « extensions wireless » sérieusement améliorées. Si cet outil fait partie de toute panoplie de bon hacker ou RSSI qui se respecte, il devrait également être intégré dans la moindre trousse de secours de responsable réseau ou maintenicien logiciel. De la récupération des mots de passe perdus à celle des données bloquées sur un volume NTFS malade, backtrack fait tout, ou presque.

Il y en aura beaucoup, des utilisateurs de Backtrack, à la prochaine Defcon. Une Defcon qui, comme de tradition, se déroulera entre le 31 juillet et le 2 août prochain à Las Vegas. Pour préparer cet événement, les organisateurs lancent leur traditionnel « call for paper », l’occasion pour les Kaminsky, Lichtfield et autres Cerudo de faire leur show et de nous esbaudir les oneilles d’avecque d’effrayantes histoires de fin du monde Internet.

Dans les allées de la Defcon, il sera recommandé d’éteindre son téléphone portable. Non pas pour éviter que l’orateur soit perturbé par d’intempestives sonneries, mais surtout parce que Thierry Zoller annonce la disponibilité de la version finale de son BTCrack 1.1, le programme d’attaque en bruteforce des liaisons Bluetooth (PIN, Passkey et Link key). Tout ce qu’il faut pour établir une liaison sans que la victime s’en aperçoive, sans que l’appairage entre les deux appareils soit nécessaire, et sans se soucier d’autres contraintes protocolaires pour s’attaquer au déchiffrement des données transmises. Le programme est disponible en téléchargement sur le site de l’auteur –que voilà un excellent complément à Backtrack- et est accompagné d’une série de transparents résumant ces travaux –les non-germanisants devront se contenter des images-.

Superbe hack, enfin, de la part de Joanna Rutkowska qui, sur son blog, nous offre la capture d’écran d’une machine dans une machine dans une machine… plus exactement d’un Vista dans une VM Xen, lequel Vista exécute Virtual PC… et les deux moteurs de virtualisation font appel aux instructions VT-x du processeur Intel. Un Xen « normal » est totalement hermétique et lui seul peut utiliser lesdites instructions de virtualisation Intel. Las, ce hack demeurera probablement sans suite officiellement divulguée, puisque ledit travail a été effectué pour le compte d’un client.

A hacker hacker et demi, avec la « suite et fin » de l’affaire du hack Kaspersky dans les colonnes de Security New. Après une période de flottement bien compréhensible, la direction US du groupe s’est ressaisie et admet les faits avec une honorable franchise. « This is not a good for any company, especially a company that deals with security. This should not have happened and now we’re doing everything in our power to do forensics in this case and prevent it from ever happening again » declare Roel Schouwenberg, l’un des chercheurs de l’équipe. En ces temps de tentative de « banalisation des hacks », un tel mea culpa méritait d’être signalé.

Les experts semblent prendre un malin plaisir à égrener les analyses, découvertes et considérations diverses concernant Conficker Downadup. Il faut dire qu’à la lecture de ces travaux de reverse engineering, on est pris d’un certain respect pour la méticulosité avec laquelle ces auteurs ont conçu ces mécanismes de réplication. Bojan Zdrnja du Sans, s’est rendu compte que la réaction et le « téléchargement » des éléments du ver variait selon qu’il s’exécute par RunDll32 ou via le service netsvcs. Autre détail relativement retors, Conficker corrige la fonction NetpwPathCanonicalize() de netapi32.dll, afin qu’une infection concurrente ne puisse à son tour exploiter cette vulnérabilité. Le patch en question est un branchement de la fonction directement sur le ver lui-même. Enfin, outre les tentatives de désactivation d’antivirus et autres logiciels de protection périmétrique, Downadup efface tous les points de restauration créés auparavant par le système. Il devient ainsi impossible de reconstituer une version antérieure du noyau enregistrée à une époque qui n’aurait pas encore connu cette infection.

Jose Nazario d’Arbor Networks, de son côté, applique la méthode F-Secure de comptabilisation du nombre d’IP infectées, et parvient à un total de près de 12 millions de victimes en date du 14 janvier dernier. Les plus importantes concentrations géographiques de Conficker se situent au Brésil et en Russie. Nazario rappelle que les machines possédant un paramétrage de clavier Ukrainien ne semblent pas affectées par l’invasion –le MSRC de Microsoft avait longuement décrit cette particularité. Durant toute cette période d’examen, la progression du ver était à l’époque quasi linéaire. Autre bizarrerie technique, il semblerait que Downadup utilise des domaines communs avec un autre botnet, Asprox, spécialisé dans la diffusion de spam et de mails de phishing.

OpenDNS, nous apprend Security News, grâce au reverse engineering de Kaspersky, promet de bloquer gratuitement et en temps réel touts les domaines de mise à jour « générés » par Conficker. Ainsi, le virus ne pourra évoluer et les administrateurs auront un répit supplémentaire pour tenter d’éradiquer l’invasion. En outre, une console d’administration spécifique permettra de prévenir les administrateurs utilisant ce service en cas de « requête » émise en direction desdits domaines. C’est là un moyen pratique et rapide pour détecter la présence d’un ordinateur infecté dans un réseau, quelque soit sa taille.

Steve Bellovin, en mal de polémique, tue le temps en revenant sur deux plaidoiries ayant défrayé les chroniques juridiques américaines. Deux procès pour alcoolémie au cours desquels les accusés ont souhaité obtenir le « code source » des alcotests électroniques utilisés par la police. Un bug est si vite arrivé… Il faut dire qu’aux Etats Unis, la prison est systématique après la seconde infraction de ce type et les amendes fort élevées. Dans les deux cas, la cour n’a pas estimé que les preuves apportées par l’accusé puissent remettre en cause la culpabilité de la personne ou encore faire douter de la fiabilité de l’éthylomètre. Bellovin, prenant alors en exemple les problèmes rencontrés par un autre « firmware insoupçonnable », celui des machines à voter Diebolt, explique comment le simple examen du code source ne peut révéler qu’un tout petit aspect du problème. Chaque jour, conclut-il, naissent de nouveaux appareils qui, jusqu’à présent, reposaient sur des principes essentiellement mécaniques. Les téléphones, les voitures, le machines à coudre… et même les toasters reposent désormais sur une couche logicielle. Un logiciel qui est souvent entaché d’erreurs. Or, conclut-il, il est dangereux de condamner qui que ce soit « sans l’ombre d’un doute » sans remettre en question le logiciel qui est censé apporter la preuve cruciale de la culpabilité