avril, 2009

Brian Krebs, du Washington Post, fait état lui aussi du dernier rapport de Microsoft sur la sécurité des noyaux. Il s’attache tout particulièrement au passage traitant de la montée en puissance des « faux antivirus. Le phénomène n’est pas franchement nouveau. Dancho Danchef fut l’un des premiers, et à une certaine époque le seul, à alerter l’opinion publique sur la dangerosité que représente ces programmes. Non seulement leur vente repose généralement sur de fausses alertes provoquées et destinées à effrayer l’internaute, mais en outre ils ne désinfectent rien… Pis encore, nombreux sont ceux qui en profitent au passage pour infecter la machine-victime à l’aide d’un spyware. Quant au modèle financier sur lequel repose la diffusion de ces marchandises frelatées, il s’apparente plus à celle d’une organisation mafieuse qu’à un véritable réseau commercial. Les webmestres acceptant d’héberger les applets java ou les ActiveX faisant bondir les faux écrans d’alerte –qui poussent à leur tour à l’achat de ces scarewares- sont payés au prix fort par les réseaux mafieux qui organisent ce business. Danchev publie d’ailleurs le 18ème épisode de son long combat contre ce genre d’escroquerie. Comme par le plus grand des hasards, nous apprend-il, les serveurs de ces prétendus vendeurs d’antivirus ont, pour certains, été originellement des membres du réseau cybermafieux Russe RBN, ou encore liés à la diffusion du ver Storm Worm, voir encore mouillés dans la cyberattaque qui a compromis les sites web des ambassades d’Azerbaïdjan au Pakistan et en Hongrie.

Paul Asadoorian de Tenable vient de commettre un billet intitulé « Configurer Nessus pour lancer un scan au travers d’un firewall ». Sont également sondés dans la foulée les crédences des hôtes distants. L’opération doit être temporisée pour ne pas déclencher les mécanismes de sécurité, mais le résultat vaut le temps d’attente.

Snort 2.8.4 vient de paraître. Avec, dans cette édition, un nouveau préprocesseur DCE-RPC, une amélioration du support d’IPv6 et un pré-filtrage automatisé destiné à améliorer les performances.

A peine la grande peur du premier avril oubliée, que déjà apparaît une nouvelle mutation du ver Conficker/downadup. Chez certains, il prend le suffixe « E ». Pour l’heure, très peu d’analyses et opérations d’ingénierie inverse ont pu être menées. Mais l’on est sûr au moins, chez Trend Micro, que cette version « redevient méchante », autrement dit qu’elle chercherait encore à rechercher et exploiter la faille Microsoft, alors que la précédente version ne faisait que « mettre à jour » les machines précédemment infectées. Pour l’instant, la mise à jour se propage par voie P2P, et possède quelques petites modifications par rapport à ses grands frères. Elle cherche notamment à découvrir un accès ouvert sur Internet, en sondant la présence de quelques domaines grand public tels que Myspace, MSN, AOL ou eBay. L’on se souvient que le code originel de Conficker vérifie la date du jour en contactant également d’autres sites grand public, tel que CraigsList, un modèle de création et d’inventivité graphique sur Internet. En cas d’échec, le vers se contente de fouiller les liens locaux pour tenter d’infecter d’autres machines et ressources.

Autre semi-nouveauté –qui avait été également découverte à l’occasion du « réveil » du premier avril, Conficker tenterait de contacter certains domaines communs à un autre virus, Waledac. Paul Fergusson de Trend Micro revient sur cette idée lors d’une interview accordée à nos confrères d’eWeek. Une idée que reprennent les principaux éditeurs d’A.V. liés au « Conficker working Group », ainsi Websense. Chez BitDefender, l’on affirme que la mutation a enrichi son panel de domaines à bannir. Domaines appartenant notamment aux éditeurs d’antivirus et autres organismes de recherche. La preuve ? Les « infectés » par la variante « E » ne peuvent plus désormais se connecter à dbtools.net, serveur qui offrait –et offre toujours- un outil de désinfection adapté. Du coup, il a fallu imiter les habitudes de Downadup et créer un autre nom de domaine. L’anti-Conficker de BitDefender est désormais accessible sur Disinfect tools.

Tout à commencé par un article du WSJ. Un papier reposant essentiellement sur des « on dit » d’agents de la CIA et autres fonctionnaires des services de renseignements US : les Chinois, les Russes, et peut-être d’autres puissances, seraient parvenus à pénétrer dans le système de gestion du réseau électrique US. Et pas qu’une seule fois ! Le fait serait même fréquent, prétend-« on ». Reuter reprend l’information, le Reg –généralement si critique et suspicieux- s’en fait également l’écho, Hellen Messmer, celle qui « fait et défait la sécurité informatique US », reprend le couplet dans les colonnes de Network World. Il faut se reporter au billet de Robert Graham –pourtant d’un esprit généralement très conservateur et alarmiste- pour entendre un son de cloche tendant à désamorcer cette information. Joel Esler du Sans, revient également sur l’information et précise deux points importants : en premier lieu, hacker une machine située à l’intérieur d’un site de contrôle de l’énergie, ce n’est pas nécessairement pénétrer dans les automatismes de régulation et de contrôle de processus eux-mêmes. Et encore, lorsque ceux-ci existent, puisque bien souvent une partie des outils de commande relèvent encore de l’automate programmable et de la boucle de régulation PID pilotée par un microcontrôleur. Pas franchement ce qu’un Conficker aime se mettre sous la dent. De toute manière, de part un décret fédéral, il est interdit au système informatique d’une architecture SCADA d’être relié au réseau public.

Si cette isolation existe sur le papier, il arrive parfois que des interconnexions malencontreuses soient établies, précise un long article de Security News. Long article qui détaille surtout le principal problème des « power grid » américains : son obsolescence. Le moderne et l’ancien s’y empilent au fur et à mesure des évolutions technologiques, et le mariage entre « l’hérité » -qui remonte parfois à l’après guerre- et le contemporain pose de sérieux problèmes de sécurité provoqués par les compromis et les difficultés posées par les adaptations et interfaces. Mais, peut-on lire entre les lignes, tout ceci n’est véritablement qu’une affaire de « gros sous ». La modernisation des infrastructures stratégiques fait parti d’un plan national budgété aux environs de 4 milliards de dollars. Opération de longue haleine et gâteau aiguisant les appétits de bon nombre d’industriels en mal de plan de relance. Dont font partie bien sûr quelques vendeurs de sécurité informatique.

S’agit-il donc vraiment de « journalisme jaune » comme le dénonce Graham ? Est-ce là plus simplement une opération de manipulation utilisant la presse, pour le plus grand intérêt de quelques entreprises souhaitant soumettre leurs offres dans ces fantastiques marchés d’Etat ? Car chaque fois que des hommes politiques ou fonctionnaires des services de police évoquent la présence d’espions Chinois ou Russes, de pédophiles ou de terroristes poseurs de bombes, il n’est pas rare que cela cache les agissements d’intérêts privés, qui viennent proposer leurs bons offices, leurs catalogues de solutions miracles et leurs demandes de subsides.

A télécharger et à installer. Il s’agit de la version 6, 13ème mise à jour. Sa mise à niveau est d’autant plus importante que de plus en plus de malwares ont tendance à se rabattre sur Java et certains produits Adobe au fur et à mesure que diminuent les fenêtres de vulnérabilité des noyaux Windows.

Microsoft vient de publier la 6ème édition de son « rapport sur les données de sécurité » et, le moins que l’on puisse dire, c’est que plus les années passent, plus la famille Windows ressemble à un fromage de Gruyère*. Le nombre total de divulgations a diminué de 12 % par rapport à 2007, et, qualitativement, les vulnérabilités élevées (indice critique) ont reculé de 16% sur la même période de référence. Cela représente tout de même, pour le seul second semestre de l’an passé, 42 bulletins traitant, par le jeu parfois discutable des « bouchons cumulatifs », 97 failles CVE (soit 62% de plus que durant tout le premier semestre de cette même année). Comparativement, il faut remonter au deuxième semestre 2006 pour retrouver une telle profusion de vulnérabilités uniques.

Sur l’ensemble des défauts rapportés, et selon la période, entre 70 et 80 % des défauts ont été communiqués dans le cadre de ce que l’éditeur appelle la « divulgation responsable », autrement dit un échange d’information discret entre l’inventeur et l’éditeur, sans la moindre divulgation publique avant publication d’un correctif. Des années durant, il était fréquent que les chercheurs encourent les foudres des hordes d’avocats de « Corp » en cas de publication un peu trop sauvage. Depuis, chacun des partis a mis de l’eau dans son vin. L’on entend nettement moins parler de poursuites pour divulgation anticipée –ce rôle est désormais tenu par des Oracle, Cisco et consorts- et il est nettement plus rare de voir fleurir des ZDE Microsoft dans les colonnes de Milw0rm ou ailleurs.

Si les exploits Windows sont en très nette diminution, cela ne signifie pas que la plateforme est devenu plus sûre. Les hackers « noir » se rabattent sur d’autres programmes plus vulnérables, moins souvent mis à jour, et leurs attaques Web visent désormais des applications tierces (Acrobat Reader, Flash Player/Realplayer, Quicktime et autres accessoires). Ces vulnérabilités constituent désormais 94,5 % des menaces sous Vista –contre 59% sous XP-. Ce qui prouve que Microsoft cherche à sécuriser le noyau Microsoft, et non nécessairement l’utilisateur de produits Microsoft. Il faut dire qu’à l’exception des outils Secunia ou F-Secure, il n’existe peu de programmes gratuits d’inventaire de failles digne de ce nom. Si l’on peut admettre que les « assessement tools » soient nécessairement des programmes commerciaux dans le domaine professionnel, la chose est plus difficilement explicable dans les sphères « grand-public/tpe/artisans », pour qui l’achat d’un antivirus n’est déjà pas quelque chose de perçu comme absolument indispensable. Microsoft porte toujours une lourde part de responsabilité en continuant d’observer une superbe indifférence à tout ce qui ne porte pas sa propre marque de fabrique. Il faudra bien tôt ou tard que soit intégré au noyau, outre les mécanismes de type UAC, une fonction d’inventaire des vulnérabilités un peu moins autiste que HFNetChk/MBSA. Après tout, ce genre d’accessoire existe sous les principales distributions Linux depuis la nuit des temps.

Détail assez atypique, il semblerait que, sur le créneau des attaques visant la suite bureautique Microsoft Office, la majorité des attaques ne sont efficaces que sur les versions RTM, celles n’ayant fait l’objet d’aucune mise à jour ou colmatage par Service Pack. La chose devient d’ailleurs quasi caricaturale pour ce qui concerne les déjà très vieilles versions d’Office 2000 : il ne se trouve plus de virus à code « portable » qui accepte de ne toucher autre chose qu’un office 2000 « sorti de sa boîte ». Un logiciel qui, pourtant, a eu lui aussi son lot de correctifs et de mises à jour. Les statistiques portant sur les autres éditions –Office XP et 2003- prouvent, si besoin en était, que la surface de vulnérabilité décroît très nettement au fur et à mesure que s’appliquent les correctifs et Service Pack.

La suite de l’étude, plus classique, se penche sur les métriques des malwares : par région, par famille de code, par pays d’émission –les Etats-Unis et la Chine sont toujours en premières places- par secteur d’activité (le viagra arrive premier de la classe), par canal de contamination (Services Web en tête, réseaux sociaux en seconde place)… des estimations qui ne sont guères éloignées des constatations déjà dressées par les principaux observatoires de la profession, que ce soient ceux des différents vendeurs de protection périmétriques ou que ce soient des associations professionnelles telles que l’Antiphishing Working Group.

NdlC note de la Correctrice :… qui, comme chacun sait, ne possède pas le moindre trou, pas plus que n’en ont l’Abondance, la tomme de vache, le Chevrotin, le Beaufort… A ne pas confondre avec l’Emmenthal de Savoie, perforé comme le Mur de la Saint Valentin, ou avec le Reblochon, dont la pate onctueuse renferme de minuscules bulles. Et tout çà, contrairement aux productions de Seattle, uniquement avec du lait de Tarine, de Montbéliarde et d’Abondance.

Le train Stirling, nous apprend l’équipe de développement, n’arrivera pas à l’heure prévue –initialement à la mi-2009. Stirling est un nom générique qui désigne toute la suite de protection périmétrique professionnelle de l’éditeur, suite dont les premiers éléments –Isa Server et le firewall Forefront pour Exchange- ne devraient pas paraître avant le dernier trimestre de cette année. La console d’administration ainsi que Forefront pour Sharepoint et le « Client Security 2.0 » sont repoussés à la mi-2010.

Un report justifié, explique l’équipe, par l’importance des travaux et modifications liées à la nouvelle version. Et notamment tout ce qui touche à l’interopérabilité de la suite avec des programmes de sécurité tiers. En outre, la partie « protection du endpoint » subirait de profondes améliorations, notamment un mécanisme d’analyse comportementale et de traitement heuristique baptisé « Dynamic Signature Service ». Cette technique devrait protéger les postes de travail contre des menaces de type Zero Day. Les termes et explications sont assez flous pour que l’on puisse imaginer absolument n’importe quoi : de la protection par « sandboxing » au service d’alerte de type « cloud security » -c’est d’ailleurs la probabilité la plus forte-, en passant par d’éventuels mécanismes de policies de sécurité dynamiques asservies aux ordres des serveurs Stirling.

Rappelons également que l’antivirus OneCare ne devrait pas passer l’hiver 2009-2010. Une version gratuite du programme, peut-être enrichie d’une offre « en ligne » de service payant et administrable, devrait lui succéder. Sera-ce ce fameux DSS ? D’ici là, le marché des antivirus pourrait ben connaître d’autres rebondissements. Après l’éclatant aveu d’incapacité des spécialistes face à la déferlante Conficker, après une lente érosion du « capital confiance » provoquée par l’invasion de scarewares et autres faux antivirus, des remises en question sont à attendre.

Deux lots de mise à jour viennent d’être publiés par VMware. L’un concernant openssl, vim, et bind pour ESX 3.0.2 et 3.0.3, l’autre colmatant une série de brèches affectant Workstation, Player, ACE, Server, ESXi et EXX de différentes versions. La liste des correctifs et outils touchés s’étale sur plus de 15 pages-écran…

Au moins six meurtres non élucidés, des modes opératoires toujours changeant, des années de recherche à la poursuite d’une mystérieuse tueuse, des centaines d’hommes de la « Crim » Allemande sur les dents, une chasse à l’homme (si l’on ose dire) qui va de la Bavière à l’Autriche et passe même par la France. Et toujours, comme seule carte de visite, l’empreinte génétique d’une inconnue. Une empreinte découverte sur la balle d’un règlement de compte entre Roms, sur le tapis de voiture de l’auteur présumé d’un triple meurtre entre ressortissants des pays de l’Est… l’Exécutrice demeurait aussi rapide, aussi insaisissable que Léon. Une rocambolesque histoire que nous narre Science Blogs, et qui retombe comme un soufflet : la Sérial Killeuse n’était en fait qu’une employée de l’entreprise chargée de fabriquer les pointes de coton servant aux enquêteurs de la P.J. à relever des échantillons d’ADN. Cette « pollution » de preuve a donné naissance à un véritable roman dont on ne sait pas trop comment il risque d’être interprété. Indiscutablement, cette affaire met en évidence les carences que l’on peut rencontrer dans tout système de sécurité, même si celui-ci est encadré par de normes et des procédures précises. Il est surprenant que jamais le moindre contrôle de la chaîne de stérilité n’ait été effectué durant toutes ces années… mais peut-être était-ce un pré-requis tellement évident que personne n’a songé à en douter. Pas plus qu’il n’était jusqu’à présent pensable de remettre en question les pratiques d’un Heartland ou d’un RBS Wordpay, drapés dans la respectabilité d’un PCI-DSS infaillible.

Comme un réveil de lendemain de fête, les analystes sécurité marquent une pause et font un « point Conficker ». Tous pour dire « il ne s’est rien passé », un peu moins pour ajouter « on vous l’avait bien dit ». Car il était difficile pour certains de ne pas avoir la main lourde au moment de servir les alertes. Certes, il y a 3 millions de vers zombificateurs ayant fait leur office qui attendent, tapis, que leur Botmaster leur demande de charger. Certes, il est difficile de nier l’existence de cette très pénible épidémie, à moins, comme l’explique clairement la cartographie du Conficker Working Group, d’aller s’expatrier au fin-fond du désert Australien ou quelque part entre les iles Sakhaline et les plaines de Sibérie.

Eric Ogren de Security News se demande un peu comment on a pu en arriver là. Comment une faille vieille de 6 mois, corrigée par son éditeur, a pu provoquer un tel vent de panique. Comment, jusqu’à présent, et malgré les cris des professionnels de la sécurité, l’on soit parvenu à plus ou moins passer entre les gouttes : grâce aux fournisseurs de services Internet qui ont su filtrer à temps ? Grâce à l’intimidation et aux 250 000 dollars de prime qui ont « effrayé » ou « intimidé » les auteurs de Conficker ? Grâce à la mise à jour en urgence des outils de sécurité ? Grâce à la chance ? Ou peut-être un peu un assortiment de tous ces facteurs. Mais ce qui turlupine véritablement Ogren, c’est pourquoi les réactions des industriels de la sécurité ont-elles fait preuve d’autant d’amateurisme? Et de citer quelques phrases au hasard des interventions : « Tentez de visiter le site Kaspersky. En cas d’échec, c’est que vous êtes probablement infecté » signé Kaspersky. « Le meilleur moyen de savoir si vous êtes infecté, c’est de passer un « bon » antivirus » signé Symantec. « Si vous utilisez l’antivirus Sophos, vous n’avez pas besoin de désactiver le HIPS lorsque vous exécutez l’outil de désinfection Conficker de Sophos » signé Sophos, dont l’A.V. nécessite, pour des raisons inconnues, le passage d’un second outil destiné à vérifier le bon fonctionnement du premier. Et réciproquement. C’est peut-être là ce que l’on appelle le fameux « understatement » Britannique.

Le « coup du site Kasperky qui n’apparaît pas » a d’ailleurs inspiré un autre observateur de la sécurisphère, Martin McKeay, qui nous offre une page html comportant quelques liens graphiques pointant sur différents éditeurs d’A.V. et quelques ressources linuxiennes et BSDéiennes. Ce mini détecteur est à même de dire si la machine est probablement touchée par Downadup, distingue même s’il s’agit d’une variante « C » ou « A/B » de l’infection, ou si le problème est lié à un paramètre un peu trop restrictif du proxy ou du navigateur. Chers Internautes, si vous ne pouvez pas lire ce texte, c’est probablement parce que votre câble réseau n’est pas connecté.

ISS-IBM a d’ailleurs profité du premier jour de « réveil » de Conficker C pour écouter le dialogue des zombies cherchant leurs nouveaux domaines de mise à jour, et ainsi en estimer l’étendue de l’épidémie. Chiffres avancés avec beaucoup de prudence, car ne reflétant qu’une vision partielle d’Internet, limitée aux seules requêtes de Conficker C bloquées ou détectées par les passerelles Proventia de ce même ISS. Le virus aurait donc infecté près de 4 % des ordinateurs en service à la surface de la terre. Des 3 millions de systèmes touchés estimés par la plupart des experts (chiffre évoqué notamment par le Conficker Working Group), l’on passerait brutalement au-delà de la barre des 10 millions d’ordinateurs zombifiés.

Tout ceci est presque aussi sérieux que cet indispensable développement offert par Gnu Citizen et baptisé « générateur de néologismes » (in english ; buzzword generator). Le générateur en question fabrique les noms des futures attaques complexes qui feront la gloire des prochaines RSA Conference, des Defcon les plus spectaculaires ou des CCC explosives. Ce peut être là une très intéressante source d’inspiration pour tout RSSI chargé de produire un rapport justifiant son travail auprès d’une direction dépassée par les événements et qui cherche encore des firewalls dans les scripts d’OpenOffice. Entre la description dantesque d’un Overflow Red Pill Shattering, les dangers du Online Binary Evasion, les menace d’encrypted Information Forgery ou le risque d’Injected DNS Spidering, il y a franchement de quoi effrayer le plus flegmatique des patrons.

Soudainement, Rob Havelt semble passionner la presse. Car Rob Havelt compte, lors de la prochaine B.H. d’Amsterdam, montrer comment il est possible d’espionner une liaison 802.11 « première génération », en FHSS (modulation par saut de fréquence). Le programme de la Black Hat l’affirme, le Reg en écrit un roman, Security News Allemagne en fait ses choux gras, Infosecurity parle de « compromission de réseaux sécurisés »…

La réalité est un peu moins « glamour », mais mérite toutefois un coup de chapeau. Rob Havelt a probablement été inspiré par les travaux de Bruce Potter et Brian Caswell présentés lors de la 11ème Defcon. Ces deux chercheurs étaient parvenus à découvrir une faille dans le traitement pseudo aléatoire du choix de fréquence utilisé dans le cadre des transmissions Bluetooth –qui reposent aussi sur un procédé de modulation par saut de fréquence)-. A raison d’un changement toutes les 600 millisecondes, il était, lors de la conception du protocole, pratiquement impossible de suivre une conversation.

Las, en matière de Bluetooth comme de 802.11 « première époque », l’aspect aléatoire est très relatif. D’autant plus relatif qu’un token de synchronisation est émis avant chaque trame afin que les stations associées puissent, elles, suivre efficacement ladite conversation. Une fois la faille sur le traitement aléatoire exploitée, le mécanisme de frequency hopping ne présente plus le moindre obstacle.

Si jusqu’à présent FHSS ne fut jamais cassé, c’est qu’il tomba dans l’oubli, remplacé par les versions plus modernes des réseaux sans-fil que sont 802.11 b, puis 802.11 a, et enfin 802.11n, chacun utilisant des procédés de modulation différents. Le vieux mécanisme est encore parfois utilisé là où les impératifs de bande passante ne sont pas exigeants (802.11 est limité à 2 ou 4 Mb/s selon le constructeur) : gestion de stock, entrepôts, tracking de véhicules dans un périmètre précis… autant d’applications qui peu à peu se tournent vers les RFID. Ajoutons que protocoles de chiffrement –y compris Wep- sont généralement absents de ces trop vieux réseaux. L’on pensait autrefois que la gigue de fréquence suffisait à décourager les hackers. En outre, la fabrication d’un récepteur pouvant atteindre 2,4 GHz était encore un sport réservé à de véritables sorciers de la radio. On ne trouvait pas, comme c’est le cas aujourd’hui, des composants UHF à bas coût et des modules « tout intégrés » fonctionnant en bande de base sur ces fréquences.

FHSS, dans les vieux pots les meilleures failles
Le changement de fréquence rapide et constant qui caractérise FHSS était, comme le rappelle nos confrères, un des arguments sécuritaires avancés par les vendeurs d’appareils dans les années 80. Déjà, à l’époque, les spécialistes du domaine savaient pertinemment que c’était là une parfaite illusion, car plusieurs travaux s’étaient déjà intéressés à l’écoute des émetteurs à agilité (ou gigue) de fréquence utilisés notamment par les armées du monde entier. Le FHSS était « cassable », ce n’était qu’une question de temps. Précisons également que, techniquement parlant, FHSS avait été essentiellement inventé non pas pour des motifs de sécurité –ce n’était là qu’un aspect secondaire- mais surtout pour des raisons d’optimisation de bandes radio attribuées et d’amélioration de bande passante. Car avec FHSS était également mis au point un protocole d’évitement des fréquences brouillées ou déjà occupées. Grâce à ce mécanisme d’évitement de canal, l’on éliminait toute demande de répétition (Nack) ayant pour cause une perturbation radioélectrique. Détail d’autant plus important qu’il se produit un « effet d’avalanche » dès lors que le nombre de retry dépasse quelques dizaines de pourcent du trafic. La liaison passe plus de temps à répéter des données qu’à en envoyer de nouvelles, la congestion du réseau est d’autant plus rapide que le nombre de hosts est important.

En concentrant les émissions sur les canaux considérés comme silencieux, donc libres, toute collision devient théoriquement impossible et l’on peut jouir des quelques 2 Mb/s de bande passante (4 Mb/s sur les derniers modèles Breezecom utilisant ce procédé).

Lancer une attaque en déni de service contre ce genre d’infrastructure est simple : il suffit d’utiliser un émetteur à large bande d’un niveau suffisant pour faire comprendre au procédé de réservation des fréquences que tous les canaux sont occupés. Ce principe est encore utilisable avec les mécanismes de modulation contemporains.