septembre, 2009

Certains utilisent le fer à souder, d’autres le chalumeau sous la plante des pieds, d’autres encore préfèrent l’action psychologique et d’autres enfin les armes furtives. C’est à cette dernière catégorie de spécialistes du vol de mot de passe (alias « identité » dans le cadre d’un système à authentification sur secret partagé) que se penche une étude publiée cette semaine par l’Avert Lab deMcAfee. Un rapport -traduit en français- intitulé « L’économie du vol de mots de passe : tenants et aboutissants de l’usurpation d’identité ». La première remarque que l’on peut émettre, après lecture de ces 16 pages, c’est qu’elle est bien dépassée et en passe d’être oubliée, la technique du faux site bancaire, unique vecteur de capture de mot de passe dans le cadre d’une campagne de phishing. Désormais, on capture les sésames financiers directement sur le poste du client, avant même qu’il ne soit chiffré par un canal ssl, et sans qu’il ne puisse s’éveiller le moindre soupçon de mauvais certificat. Le « faux site de phishing » est dangereusement concurrencé par SilentBanker, un BHO qui vient se cacher dans le navigateur Web de l’usager, par Sinowal, un cheval de Troie véhiculé par un vecteur totalement furtif, StealthMBR – un virus bootsector- , par SteamStealer, Zbot, Goldun, Gozi ou Pinch, sans oublier le très médiatique Zeus. Ce changement radical de tactique, qui fait du vol de mot de passe une véritable industrie, se mesure au seul volume des malwares spécialisés dans ce genre de larcin : +400 % en 2008 par rapport à 2007. Entre dans cette catégorie aussi bien des Troyens que les «faux add-in » (BHO) de navigateur, les keyloggers de claviers virtuels ou les détourneurs de requêtes dns. L’étude de l’Avert se penche donc sur les différentes méthodes employées par ces vers, et analyse leur comportement parfois étonnant. Ainsi Tigger, qui se charge avant toute chose de désinfecter l’ordinateur cible de tout autre virus bancaire concurrent. Ou Zbot, qui prend une photographie de l’entourage du curseur chaque fois que le bouton gauche est activé ; une technique imparable pour récupérer une séquence sur clavier virtuel, même si le « bouton » que vise l’utilisateur ne contient pas de caractère alphanumérique.

N’en déplaise aux saigneurs du code et aux amoureux du langage C et du dump mémoire par port firewire, il est parfois plus simple de récupérer un mode de passe Admin avec un fer à souder et quatre grains d’astuce. C’en est même devenu un véritable sport depuis que Hackaday chante les exploits de la carte Bus Pirate, développement open hardware et open source servant à émuler les principaux bus sériels de la création.

Pourquoi les bus sériels ? parce que c’est généralement sous la forme de composants à adressage série que l’on retrouve les principaux successeurs des « mémoires de setup » et autres « unités de stockage de configuration ».

Pour s’en convaincre, il suffit de parcourir cet article de « So do it yourself », qui explique par le menu comment récupérer le mot de passe « oublié » d’un IBM Thinkpad en allant fouiller dans la mémoire semi-permanente de configuration (celle qui ne s’efface pas en ôtant la pile du même métal). Ce composant, soi-disant « absolument inviolable » (copyright IBM, all right reserved) est accessible via un bus I2C. I2C est une technologie top secrète d’origine Philips, qui équipe les téléviseurs, machines à laver, réfrigérateurs…. En somme que du matériel à la limite de la classification « confidentiel défense » et dont il est excessivement difficile de se procurer la documentation ailleurs que dans les coffres-forts du réparateur radio-tv du coin. Après récupération du contenu de l’eeprom et passage au crible d’un utilitaire spécialisé, le mot de passe « administrateur » de l’ordinateur apparaît.

Un exemple similaire avait été publié courant 2006, expliquant comment « dégeler » une Xbox classique en récupérant le « mot de passe disque dur ». Rien de nouveau sous le soleil donc, si ce n’est que ce qui fonctionne sur une console de jeu s’applique également à bon nombre d’équipements informatiques.

Car l’usage de mémoires à accès sériel est de plus en plus fréquent, et le « haking par intrusion sur un port Jtag » ou par lecture directe du contenu d’un composant est un véritable jeu d’enfant. Le seul niveau de protection qui garantisse une certaine solidité, c’est le manque de communication entre spécialistes du « hard » et gourous du « soft ». Un manque de communication qui a tendance à disparaître avec le temps, particulièrement depuis que l’on utilise de façon fréquente microcontroleurs et fpga.

La rédaction de CNIS-Mag émet cependant une certaine réserve quand à l’interface conseillée par les deux derniers articles cités. L’usage de diodes zener d’écrêtage de tension est une approche un peu hussarde qui n’est réellement applicable que sur des entrées à « collecteur ouvert ». Or, ce n’est pas toujours le cas. Pour compliquer la question, il faut savoir que l’on trouve de plus en plus souvent (matériel mobile, routeurs etc) des logiques 3,3 volts, qui n’apprécient pas un signal sériel 5V (ou du moins qui l’apprécient, mais durant une période relativement courte généralement suivi du trépas du composant). Ceci sans mentionner la présence de parasites (overshoot) qui, selon la qualité des composants, rend toute lecture impossible. Une note d’application Philips AN97055 explique la manière de convertir proprement les tensions de signaux d’un bus de manière bidirectionnelle, et divers composants, tel le GTL2002 sont là pour faciliter la vie du White Hat récupérateur de mots de passe involontairement oubliés.

Le Lyonnais Arkoon (appliances de la série Fast, UTM…) annonce avoir signé un accord d’acquisition de la société Skyrecon, les auteurs de la suite Stormshield.

« L’entité juridique SkyRecon Systems SA conservera son existence » précise le communiqué officiel.

Depuis ces deux dernières années,tout ce qui porte le nom de « endpoint security » attire la convoitise des spécialistes de la sécurité « classique » orientée infrastructure. Il ne s’est pas passé un mois, durant toute l’année 2008, sans que l’on apprenne la conclusion d’une « opération de croissance externe » portant sur telle ou telle entreprise américaine. Il était donc relativement logique que cette tendance touche également la France. Arkoon est l’un des deux fleurons nationaux de la « protection réseau », Skyrecon est l’une des entreprises les plus inventives de son secteur, notamment sur le créneau très spécial de la protection des postes mobiles. Ce qui fait l’originalité du catalogue Skyrecon, c’est son approche multiple de la sécurité : du chiffrement, bien sûr, de l’antivirus, bien entendu, du firewall/HIPS cela va sans dire, de la sécurisation des entrées-sorties également (dont un traitement efficace contre la fameuse USBphobie) et une gestion des liens sans-fil. Mais à côté de cette protection purement périmétrique s’ajoute une couche de contrôle des applications exécutées et une gestion des politiques d’accès réseau. Les concurrents directs sont souvent spécialisés dans l’un ou l’autre de ces points, et sont plus rarement capables de combiner ces différents outils.

Il court, dans les rangs de la communauté américaine de la sécurité, une bien étrange pétition réclamant la nomination de Peiter Zatko –alias Mudge – au poste de « Tzar sécurité » dans le gouvernement Obama. Ce poste, promis et pressenti depuis les lendemains de l’élection présidentielle américaine, est toujours en vacance.

Zatko est une figure emblématique du milieu du hack mondial. Inventeur de l’idée du « buffer overflow », il fut de toutes les grandes aventures sécurité informatique du tournant du siècle : membre du Cult of the Dead Cow, il participe à l’aventure du L0pht Eavy Industries, auteurs du célèbre L0phtcrack, le casseur de mots de passe LanMan. Il y écrit notamment AntiSniff et L0phtwatch. Puis il suit l’équipe du L0pht lorsque cette structure se transforme en @stake et en devient le patron de la recherche. Au rachat de l’entreprise, il ne suivra ni l’équipe du repreneur Symantec, ni les transfuges qui créeront Matasano.

Comme beaucoup d’anciens du L0pht, Mudge a souvent agi en temps que conseiller occasionnel auprès du Congrès ou de la Maison Blanche. Sa nomination au poste de « Security Tzar ne peut déboucher que sur deux scénarii : celui d’un « super Ciso » américain dont l’efficacité et la compétence permettraient peut-être de nettoyer les écuries d’Augias que sont devenus les serveurs Web américains –berceau des grands spammeurs et premier centre planétaire des escroqueries en ligne-. L’autre scénario pourrait hélas être celui d’un passage éclair, d’un « hacker réputé de plus » ayant perdu son temps dans les salons de Washington. Le poste de Tzar de la Sécurité, aussi ronflant qu’il soit, est réputé pour sa totale absence de pouvoir sur l’attribution des budgets du DHS, pour son incapacité à appliquer des mesures de salubrité technique et par son manque total de moyens de pression et d’action nécessaires dans la lutte contre la cybercriminalité. Sans argent, sans police, sans oreille attentive, le Tzar est nu, le Tzar est nu.

Comme l’exploit SMBv2 a encore du mal à sortir des ateliers du hack noir, les équipes de recherche de McAfee ont assez de temps libre pour nous concocter une de ces études dont la portée sociologique va plonger ses racines au plus profond des instincts fondamentaux. En bref, en dessous de la ceinture. Car l’étude en question établit le « top 10 » des personnalités dont le nom et quelques photos si possible relativement suggestives sont utilisés pour répandre spywares, virus et autres amabilités informatiques.

En tête, la petite copine de Justin Timberlake, Jessica Biel, talonnée par la presque indétrônable Beyoncé (le maquillage y est pour beaucoup), laquelle Beyoncé occupe le haut du podium depuis plus de deux ans. Vient ensuite Jennifer Aniston (la Rachel de la série Friends) dont, précisent les chercheurs de McAfee, plus de 40% des « hits google » conduisent vers des économiseurs d’écrans truffés à la confiture de Virus garantis grand teint.

Ca commence à devenir nettement moins intéressant à partir de la 4ème place (un homme, monsieur Tom Brady, montagne de muscle jouant au football américain et ayant marié un mannequin, Gisele Bundchenn, assez mignonne pour accoucher au moins d’un enfant de Conficker). Laquelle Gisele prend tout de même la 6ème place derrière Jessica Simpson, l’une des plus belles pièces à appâter employées par les requins du Drive by Download. Cette chanteuse fit notamment une piètre reprise de « These Boots Are Made for Walkin’ ». Le reste du hit parade est on ne peut plus classique. Brad Pitt décroche la 10ème place –ce qui prouve qu’il n’y a pas « que » des hommes qui surfent sur Internet- et « mamy » Britney Spears figure encore au classement, bien que cantonnée au 12ème rang. L’étude ayant été close avant la disparition brutale de Monsieur Patrick Swayze, il y a fort à parier que toutes ces métriques devront être revues avant le mois prochain. Un Patrick Swayze sur lequel se penche tout le Response Team de F-Secure et l’Avert Lab de McAfee (encore !) -.On s’étonne également de l’absence de Michael Jackson, superbe vecteur d’infection à coups de « faux-driver-vidéo », qui fut, en son temps, un winner de premier ordre.

Cette étude d’une importance majeure prouve plusieurs choses : en premier lieu, une étrange ressemblance entre les courbes de croissance des malwares et celle des augmentations de piratage par échanges P2P dont se plaignent les industriels de la musique en boîte et du divertissement cinématographique. Pourrait-on voir une sorte d’alliance objective entre les défenseurs d’Hadopi et les auteurs de virus ? Les chiffres sont assez troublants pour justifier une éventuelle enquête par l’Oclctic et le FBI réunis.

Ensuite, cela prouve incontestablement que les RSSI, CSO et Ciso français –ainsi que tous les chercheurs sachant chercher sérieusement- doivent, outre les revues Misc et CNIS-Mag, s’abonner de façon urgente à Closer, Voici, Oulala, Public, Gala, Coin de Rue et Images Immondes ou Franche Démence. Ce n’est pas du voyeurisme, ce n’est pas de la presse à scandale, c’est de la veille technologique et de l’analyse fine des véhicules à malwares. On ne saura jamais à quel point un vrai responsable sécurité est capable, avec une abnégation sans borne, de s’investir et sacrifier son équilibre intellectuel dans ce genre de travaux de bénédictin.

Achevons ce tour d’horizon people par un dernier papier de François Paget –toujours l’Avert Lab de McAfee- qui nous apprend précisément un coup de filet du FBI et de l’Oclctic. Nos vaillants techno-pandores ont coffré deux truands français qui avaient osé pirater un site web et faire chanter son Webmestre en demandant une rançon de 1 million de dollars. Le site en question est celui de A Small World, sorte de forum et lieu de rencontre réservé aux possesseurs de Bentley et de Rolls qui voyagent en Falcon et prennent des vacances sur leurs îles privées. Grâce au Ciel de la CyberPolice, ces abominables nihilistes ennemis des gourmettes en platine et des montres Rolex ont été mis à l’ombre. Charles-Henri, octroyez-moi donc durant quelques minutes votre iPhone Gold Edition afin que je puisse en annoncer par mini-message cette nouvelle renversante à Marie-Béatrice.

Ndlc, Note de la correctrice : Promis dès demain j’interdis les vitamines aux journalistes…

Trusteer publie une analyse intitulée « métrique sur l’efficacité des antivirus contre Zeus ». Le sinistre Troyen bancaire, que Trusteer a répertorié sur un échantillon de 10 000 machines infectées, a touché dans 31% des cas des ordinateurs sans protection aucune, dans 14 % des situations des machines protégées par un antivirus non remis à jour et… dans 55% des systèmes possédant une protection périmétrique antivirale à jour et opérationnelle. Les détails et quelques camemberts colorés peuvent être téléchargés sous forme d’un fichiers pdf de 6 pages.

Tout comme Conficker, cette infection saupoudre un peu de poil à gratter dans le dos des éditeurs d’A.V.

Les sites Web infectés sont en augmentation de 671%par an, 95% des commentaires de blog, chat etc sont du spam ou des tentatives d’injection de liens dangereux, 77% des sites infectieux sont des serveurs « légitimes ». Des statistiques signées Websense, un rapport de 12 pages à télécharger.

Snort 2.8.5 est sorti. Tous les détails sur le blog du VRT de Sourcefire et téléchargement du programme sur le site de la version « open »

Encore une série d’outils et de documents d’(in)formations publiés par Microsoft, dans le cadre de sa campagne en faveur du SDL (sécurité tout au long du cycle de développement). Il semblerait que « Corp » fasse son possible pour, fidèle à la méthode Coué, sortir au moins une série d’articles, voir un ou deux utilitaires par mois, afin de favoriser le travail de « déverminage » des développeurs et automatiser les vérifications de premier niveau. Ce mois-ci, il s’agit tout d’abord d’un mini-fuzzer, une usine à forger du fichier au contenu aléatoire, destiné à vérifier si l’application en cours de développement est bien capable de le « digérer ». L’autre outil est étonnant de simplicité. Il s’appelle BinScope, et est, comme son nom l’indique, un crible à fichiers binaires. Il vérifie si les directives de compilation et l’édition de liens sont bien « compatibles SDL », si les outils utilisés sont à jour, si les méthodes de développement sont sûres –une assurance anti BoF importante-, si les pointeurs sont correctement utilisés… A télécharger également un « suivi de processus SDL » (un « template » comme disent les développeurs français) qui s’intègre directement dans Visual Studio.

Le B.A.-BA de la sécurité –la sauvegarde consciencieuse des serveurs d’entreprise- serait-elle en passe de devenir un acte à catégoriser dans la colonne « dénis de services et autres calamités » ? C’est ce que nous apprend en tous cas cet article de Steve Kenniston. Lorsque l’on lance une sauvegarde de serveur, combien de ressources cette opération prend-elle ? En moyenne 25 % de la capacité de la machine en train de se faire « backuper ». Que l’on possède 4 ou 12 serveurs, ce taux est propre à chaque machine et n’évolue pas particulièrement. Mais si ces 12 serveurs sont tout à coup concentrés sur une seule plateforme, que se passe-t-il ? Un raz de marée de données, une montée en charge qui frise les 80%… autrement dit, une saturation des ressources peu compatible avec les assurances de permanence de service que nous promet la virtualisation. Pourquoi ce goulot d’étranglement et cette noyade ? Parce que 12 serveurs, c’est, nous explique l’auteur, 12 cartes réseau, 12 espaces mémoires répartis, 12 processeurs (au moins) etc. Or, un « host » de virtualisation n’est que très rarement de type dodéca-processeurs, n’aligne pas 13 cartes Gigabit à la douzaine et ainsi de suite. Les lois matérielles sont imparables –c’est ce qui fit longtemps la puissance des mini- : la puissance d’une machine dépend aussi de ses capacités en termes d’E/S. C’est pourquoi plus on cherche à protéger les serveurs que l’on a virtualisé par souci de sécurité, plus on risque le sinistre. Un paradoxe savoureux qui risque d’enquiquiner quelques administrateurs et autres sectateurs du Cloud interne.