juillet, 2009

Smartphone Pw0n : pas la fin du monde, mais le début des em…

Posté on 10 Juil 2009 at 1:11

..brouilles. Depuis le temps que les Cassandres de l’Antivirus nous le promettent, il fallait bien qu’un jour l’on commence à voir fleurir quelques Poc visant la téléphonie mobile et qui sorte du cadre étroit de l’exploit Javascript.

Le plus épique des TéléPocs est signé Charles Miller. Un hack visant l’iPhone et provoquant un simple déni de service… pour l’instant, précise notre confrère Dan Goodin, du Reg, dans les colonnes du. Security Focus. L’exploit utilise le chemin des SMS et repose sur une faille de conception liée à la gestion desdits mini-messages. L’on est, de l’avis même de l’inventeur de la faille, loin de l’exécution à distance. Mais à kernel vaillant, rien d’impossible.

Considérablement plus concret est le papier de Bernhard Müller, de SEC Consult (Autriche) sur le fuzzing, l’analyse, la découverte de faille sur les plateformes Symbian. Cette communication porte le titre évocateur de « From 0 to 0 Day on Symbian ». Lequel Bernhard Müller, avec notamment l’aide d’Ilfak Guilfanov (IDA Pro) qui concocta pour l’occasion une version de son désassembleur « sur mesure », dresse ce qui semble être la première approche véritablement méthodologique dans ce domaine. 40 pages de savoir quasi encyclopédique à lire avec délectation, les pieds dans l’eau et une boisson fraîche à portée de la main. Pour l’heure, tout ceci relève de la démonstration doctorale et de la découverte anecdotique. Mais la fréquence de ces recherches tend à augmenter de manière sensible, et laisse présager une prochaine exploitation un peu plus « malwaresque ».

MISC : Avis de Tempest

Posté on 10 Juil 2009 at 1:08

Nos éminents confrères de Misc annoncent la sortie de leur tout dernier numéro ( quarante quatrième ) dont une grande partie est consacré aux écoutes des rayonnements électromagnétiques émis par les équipements informatiques (écoutes Tempest). Longtemps laissé aux oubliettes de la recherche sécurité, sous le chapitre « réservé aux barbouzes » et « laisses tomber, c’est du matériel, çà ne se compile pas », les écoutes Tempest sont revenues à la mode notamment grâce aux travaux de l’EPFL et de chercheurs ayant compris ce que pouvaient leur apporter l’usage des Radios à Définition Logicielle (SDR).

Le numéro commence très fort avec un édito de « papy » Raynal qui s’attarde sur l’aspect très moyennement Républicain et respectueux de la constitution exprimé par la loi Hadopi et surtout, à l’instar d’un récent billet de Sid, sur les dérives et les dangers qu’apportera très probablement la Loppsi2 et sa légalisation des méthodes de truands. Il n’y a pas de « bon » et de « mauvais » malware car, explique Fred Raynal, le gentil peut très simplement être transformé en méchant, un méchant qui possèdera les mêmes caractéristiques de furtivité que son auguste géniteur.

Internet, qui peut-être jusqu’à présent était une zone de « non droit », subissait les corrections de cap commandées par une sorte de conscience morale générale, relativement libérale, voire libertaire. Depuis que les principaux pouvoirs politiques tentent de s’en emparer pour, soi-disant, y mettre un peu d’ordre, le Net ressemble de plus en plus à une sorte de Far-West où le plus musclé y impose son diktat et enrobe ses propos d’une logique parfois un peu trop simpliste : « Si tu es contre la loi, tu es pour les pédophiles. Si tu es contre les logiciels de contrôle d’activité, tu es ipso-facto un pirate. Si tu es pour le chiffrement, tu as quelque chose à te reprocher ». Au temps pour ceux qui chercheraient en vain la finesse d’analyse d’un Deleuze ou d’un Comte-Sponville.

Cyber-escarmouches visant les USA et la Corée

Posté on 09 Juil 2009 at 11:47

Depuis plus de 5 jours,les USA et la Corée du Sud sont la cible d’une série d’attaques en déni de service. La FTC (Federal Trade Commission) et Usauctionslive en ont notamment fait les frais. Ce jeudi matin, Usauctionslive n’avait toujours pas repris une activité normale et demeurait inaccessible. Une dépêche de l’Associated Press précise que d’autres administrations fédérales ont essuyé des attaques assez violentes pour bloquer 100 % des ressources des serveurs. Ainsi l’administration des Transports, des Finances, les Services Secrets, le DHS, le Département d’Etat, la Maison Blanche, le DoD, le Nyse, le Nasdaq et… le Washington Post. Les premiers signes d’activité auraient été détectés dès le 4 juillet, date de la fête nationale US. Bob McMillan, de CSO online USA dresse un bilan des dégâts mais n’indique aucune source probable de cette cyber-guerre. A lire également l’article d’une « victime » de renom, Brian Krebs du Washington Post, qui, lui aussi, se perd en conjectures. Les seules traces, pourtant ténues, laissent penser que ces assauts sont d’origine asiatique (sans autre précision… Nord coréennes, Chinoises… ou se faisant passer pour). Les chercheurs de Tistory.com dressent, de leur côté, une liste plus exhaustive des sites Coréens touchés par ce blitz. On y retrouve sans surprise le Web de la Présidence, l’équivalent de USauctionLive, quelques banques et instituts financiers…

Selon AhnLab, un éditeur d’antivirus Coréen, le botnet d’attaques compterait près de 18 000 machines. D’autres professionnels de la sécurité, tant Américains que Français, auraient jusqu’à présent constaté deux choses : un accroissement des infections MyDoom, et une très nette augmentation des attaques en « persistance TCP » très proches –voir strictement identiques- à l’exploit décrit dans le tout dernier numéro 66 du magazine Phrack accompagné du PoC Nkiller2. Nkiller, tout comme Slowloris de Rsnake, utilise un mécanisme d’attaque visant à maintenir « ouverte » une connexion tcp. Avec très peu de moyens, et en multipliant des requêtes simples, une machine zombie de faible puissance peut générer assez de demandes de trafic pour faire « tomber » n’importe quel serveur par saturation mémoire.

Chrome OS : un noyau de plus dans l’ultraportable

Posté on 09 Juil 2009 at 11:31

Il y avait déjà des versions de XP/Vista/Seven régime sylphide pour tablettes Origami, concurrencés par une foultitude de projets Open : Ubuntu Netbook Remix, Moblin d’Intel et même Android, système embarqué que Google commençait timidement à porter sur quelques ultra-portables. Une solution probablement trop bancale, puisque ce même Google vient d’annoncer le lancement de Chrome OS, dont les premières versions ne seront pas disponibles avant la seconde moitié de l’an 2010. Ce noyau économe en ressources et mémoire fonctionnera, nous promet Google, sur processeurs X86 et ARM. Il ne manque plus qu’une version spécifique d’OS/X –plus confortable que le noyau de l’iPhone, plus compacte que celles installées sur les machines de bureau- pour que le tableau soit complet.

Tout semble donc se passer comme si le marché des ultraportables pouvait échapper à l’emprise de Microsoft. Une situation qui n’est pas sans rappeler celles de la téléphonie mobile, qui a connu –et connaît encore- une profusion de systèmes d’exploitations, interpréteurs et firmwares, qui s’affrontent dans une lutte frénétique avec l’espérance de faire un jour partie des « survivants » qui se partageront le gâteau. Qui remportera cette bataille ? Le clan Microsoft ou Linux ? Google ou Apple ? Nul ne sait. Les quelques points dont on peut être sûr, c’est que le « noyau gagnant » aura très peu de chances de tourner demain sur des machines que l’on achète aujourd’hui. Il est également rassurant de savoir que, plateforme Windows mise à part, le capharnaüm ambiant n’incitera pas les auteurs de malware à concevoir des vecteurs d’attaques visant les netbooks, au moins durant les deux prochaines années. L’écriture d’un code « portable multiplateforme » n’est pas assez rentable.

Milw0rm ferme ses portes

Posté on 09 Juil 2009 at 7:39

Triste nouvelle pour le monde de la sécurité : Milw0rm, le principal site d’information publiant PoC et exploits « connus », vient de fermer. Le gestionnaire du site, /str0ke, avoue ne plus avoir assez de temps pour accomplir ce travail de titan. Il reste à espérer qu’une équipe motivée saura prendre la relève.

Le travail d’information de Milw0rm était capital. Ses annonces, ses codes, les « preuves de faisabilité » n’étaient généralement publiés que lorsqu’il était avéré que l’exploit en question était activement utilisé « dans la nature ». Autrement dit qu’il avait fait l’objet d’une présentation publique à l’occasion d’une conférence sécurité, ou, fait plus courant, que la faille en question était exploitée par des personnes peu recommandables. La moindre annonce sur Milw0rm avait valeur d’avertissement et fournissait un sérieux indice de criticité : un exploit actif et rendu public impliquait une mise à jour des outils de protection périmétrique et un déploiement de correctifs à effectuer d’urgence. La disparition de cet observatoire joue un peu plus en faveur d’une mainmise des éditeurs sur les informations sécurité, et par conséquent d’une occultation de toute nouvelle pouvant porter ombrage à l’image de marque desdits industriels.

Hadopi et l’amendement du Sénat

Posté on 08 Juil 2009 at 9:18

La louve, le vieux bouc et le fichier

La raison du plus fort est toujours la meilleure :

Nous l’allons montrer tout à l’heure.
Un vieux bouc broutait dans les prairies du Web
Avec un vieil ordi, aussi chenu que lui
Une antique pétoire dont il pouvait sans aide
Démarrer des programmes, et tout ce qui s’en suit.
Mais la Louve aux aguets, fond sur lui et l’attaque :
« J’ai vu télécharger deux œuvres, tu es cuit !
C’était Taxi 25, un remake de Kojak !
-J’en suis bien incapable, un autre l’aura fait…
-Qu’importe l’origine ou bien celui qui cracke

Ne pas te protéger, c’est bien là ton forfait..
Par deux fois prévenu, tu négligeas cet acte
Une alerte email et un papier timbré
C’est une « négligence bien caractérisée ! »
Et ton ADSL et bien trop délabré.
-Je ne vous entends point. Mais que pouvais-je y faire ?
On use de mon lien sans être autorisé
Je suis donc embarqué dans un’ sacrée galère
Et vous me demandez 300 000 euros net ?
Louve, c’est bien la le montant que les radio-pirates
Je m’en souviens très bien, car j’ai la mémoire nette
Autrefois se voyaient obligées d’allonger
Après perquisition de toutes leurs pénates
Et puis embastillé avec le motif
D’« Intelligence avec’ un pays étranger »…
Vous ne trouvez pas çà bien tiré par les tifs ?
-Ce n’est pas question de proportionnalité
Ton crime et de savoir ne pas te protéger !
-Mais j’ai l’antivirus que l’on m’a tant vanté
Et celui des gens d’arme qu’il a fallu changer
On hacke mon routeur, et çà, je n’y puis mais…
-Coupable et Négligent, et tu le reconnais !
-Mais vous-même, la Louve vous ne risquez dont rien ?
Vous êtes MCSE, ingénieur dans les gênes?
-J’ai des gens pour le faire, qui s’occupent fort bien
De mes liaisons chiffrées et téléphones Sagem
De tous les firewalls qu’Open Offis’ contient.
Vae victis donc, grand malheur aux vaincus
Durant plus de vingt ans tu as surfé tranquille
Il est bien temps pour toi d’allonger les écus
Qu’importe les prétextes et contestations
J’entends que désormais le Monde entier le sache
Je contrôle et j’impose les communications.
Et de la « Liberté » on écrira le nom
Que si un « ayant droit » l’autorise pour de bon.
Et je te déconseille de jouer les bravaches !
Là-dessus, au fond des forêts
La Louve l’emporte, et puis le mange,
Dans une parodie de procès.

I.E. : ActiveX m’a tuer (encore)

Posté on 08 Juil 2009 at 9:11

Un contrôle ActiveX vidéo provoque (sans le moindre conditionnel, l’exploit est utilisé « dans la nature ») l’ouverture d’un accès propice à l’injection d’un code exécutable à distance. Le Technet a lancé une alerte dès lundi, accompagnée de quelques mesures de contournement dont le paramétrage d’un killbit ActiveX. XP SP2 et 20à3 Server sont fortement exposés. Les équipes de CSIS ont, les premières, signalé l’exploit et la faille.

Chez McAfee, l’on se livre à une analyse un peu plus poussée de l’exploitation elle-même. Le site de compromission –en fait le site visité par la victime- ne possède en tout et pour tout qu’un lien vers un tout autre site, apparemment légitime. Ce second site compromis n’est lui aussi qu’un intermédiaire, puisqu’il joue le rôle de proxy entre le premier serveur et les ressources « noires » hébergeant les codes d’exploitation. C’est un peu l’histoire du « Pélican de Jonathan » de Robert Desnos. A un détail près cependant. C’est qu’il est très difficile de faire une omelette avec les serveurs masqués par le proxy, surtout si ce dernier est encore camouflé par d’autres techniques, du genre Fast flux. Et ceci sans parler de l’extraterritorialité probable dudit serveur de malware.

A la recherche des chercheurs Français

Posté on 08 Juil 2009 at 9:05

Hacker n’est pas Français, nous explique Nicolas Ruff au fil d’un billet désabusé. La recherche en matière de sécurité informatique est découragée « à tout prix ». Est-ce la conséquence de l’absence de moyens que l’industrie locale veut bien y mettre ? Est-ce le fruit de l’incompréhension des pouvoirs publics ? Est-ce l’absence de « flamme » que les passions les plus brûlantes finissent un jour par s’étioler sous le quotidien de la rentabilité et du bénéfice à court terme ? Que sont les Kostya devenus, chantonne donc News0ft, sur le grand air de la fuite des cerveaux. Chaque chercheur qui part, c’est un peu plus de difficultés pour nos chères Ministres de dénicher un exploit discret, bien sous tous rapports, et capable de véhiculer le « mouchard loppsi » qui sera prochainement inscrit dans l’airain des lois. Chaque chercheur qui part, c’est un peu plus de risque de voir ce même chercheur « trouver » le moyen de détecter ledit mouchard et de le rendre public. Car quel Tenable, quel Immunity Sec, quel MSRC /MSEC accepterait de miser sa crédibilité et son intégrité en cachant pudiquement l’existence d’un malware étranger, qu’il fut officiel ou non ? Et quel « coup marketing » que d’afficher sur une page Web « Exclusif : le premier outil de pentest capable de détecter la présence d’un Albaniciel et d’un Mamware en moins de 1 minute ». Le ridicule de la situation ne serait guère plus grand que celui déjà acquis.

Posté on 08 Juil 2009 at 6:02

Sauvez un Trader dans le besoin ! L a CIA, dans un irrésistible élan de bonté, recrute à tour de bras les traders et banquiers que la crise des subprimes auraient mis sur le carreau nous apprend Reuter. Probablement pour mieux maîtriser les mille et un moyens de contournement des outils d’alertes. Nos vaillants aigles de la DGSE regarderont-ils bientôt du côté de la Société Générale ?

Posté on 08 Juil 2009 at 6:00

Le mois du bug Twitter s’enrichit avec un XSS Twitsnd’aps, un csrf sur Bigtweet, un autre XSS sur Twitwall ainsi que sur Hootsuite. La suite sur le MoTB

Publicité

MORE_POSTS

Archives

juillet 2009
lun mar mer jeu ven sam dim
« Juin   Sep »
 12345
6789101112
13141516171819
20212223242526
2728293031