septembre, 2009

L’alerte Cisco 109444 n’est pas une nouveauté pour tout le monde. Ce n’est que la correction d’une faille tcp prenant plusieurs aspects, et ayant pour caractéristique première d’autoriser des connexions persistantes ou de très longue durée. Qu’un attaquant utilise une trame forgée exploitant ce défaut et soit le serveur visé finit par refuser le moindre dialogue passé un temps relativement bref, soit la machine le supportant s’écroule par saturation de ses ressources. Dans les deux cas, le déni de service muselle le port visé, et parfois même toutes les communications. Dans le même genre, l’on se souvient de Slowloris, l’attaque visant les clients http, qui exploitait un défaut similaire avec des conséquences semblables. Dans le cas présent, le défaut est plus préoccupant puisqu’il affecte des équipements de commutation et certains firewalls.

Pour 850 euros par mois et pour une durée minimale de 12 mois, Frame4 offre une collection régulièrement remise à jour de malwares en tous genres. L’offre de service s’appelle MD:Pro et s’adresse aux spécialistes sécurité, aux agences d’Etat, aux grands groupes possédant une cellule sécurité bien constituée et autres spécialistes de l’analyse de code. Cette entreprise Hollandaise s’attire, on s’en doute, des remarques légèrement désobligeantes de la part des principaux éditeurs d’antivirus ou de firewalls. Car les malwares, c’est un peu comme les traités SALT de non-prolifération des armes atomiques. Seuls les grandes puissances ont le droit de posséder des choses aussi dangereuses… on ne sait jamais entre quelles mains de telles bombes logicielles pourraient tomber.

Si, effectivement, il existe un risque de fuite proportionnel au nombre de « clients » ayant souscrit à cet « abonnement virus », force est de reconnaître que les sources d’infections proviennent rarement des laboratoires de recherche, qu’ils soient dépendants d’un acteur industriel ou d’une grande marque de logiciel de protection. Il est peut-être plus plausible qu’il s’agisse là d’une réaction de dépit, furieux que soient certains de ne pas y avoir pensé plus tôt.

Rien d’alarmiste dans ce « mardi des rustines » du 8 septembre. Rien d’alarmiste puisque le seul véritable trou exploitable à distance et faisant l’objet de PoC publiés (la faille FTP d’IIS 5.0 et 6.0) ne sera pas corrigé dans l’immédiat.

Sur les 5 trous de sécurité de ce mois, 3 concernent le poste client, 2 sont potentiellement exploitables à distance, tous sont éventuellement susceptibles de pouvoir exécuter un code « arbitraire », comme disent les spécialistes. En d’autres termes, toutes les alertes émises sont qualifiées de « critiques ». A savoir : une vulnérabilité Jscript, une instabilité dans le mécanisme d’auto-configuration WiFi dans Vista et de 2008 Server, un défaut dans le composant d’édition DHTML de Windows 2000, XP et 2003 Server, et surtout deux bugs affectant tous les versions de Windows (Vista et 2008 y compris) qui pourraient bien inspirer des auteurs de malwares : un problème dans la gestion des connexions TCP –problème aggravé par l’utilisation de paquets forgés indiquant une « fenêtre» de très petite taille ou fixée à zéro- et une paille dans le format Windows Media, précisément le genre d’accident qu’adorent les industriels du drive by download.

Les enveloppes « logiciels » des CSO/CISO/RSSI progresseront globalement de 4% en 2010, et les dépenses liées aux prestations de services, toujours dans le domaine de la sécurité, augmenteront de 3%. C’est du moins ce que nous promet une étude du Gartner, en se basant sur un sondage effectué sur un échantillon d’un millier de responsables sécurité répartis dans le monde entier. Insistons sur le fait qu’il s’agit de « croissance du budget ». En termes de proportion, la moyenne générale de l’enveloppe sécurité devrait graviter aux environs de 15% des dépenses IT tout au long de l’année à venir.

Cette estimation peut être provoquée par deux courants majeurs. D’une part les « queues de budget de mise en conformité », qui ont littéralement porté les investissements sécurité durant les deux dernières années, et d’autre part la montée en puissance de la sous-traitance (cloud notamment) qui promet des économies d’infrastructure IT à court terme, mais qui remet en question bon nombre d’investissements sécurité.

L’article de Dennis Dwyer n’est pas très long, mais il risque de faire perdre le sommeil à quelques administrateurs. Car, explique ce chercheur de l’équipe Secureworks, depuis que Kreios C2 a été publié, il est possible de transformer Twitter en un formidable centre de commande de botnets. Pis encore, Jose Nazario d’Arbor Networks –l’homme qui a notamment patiemment et scientifiquement suivi la cyber-guerre durant les élections Iraniennes-, Nazario donc est tombé sur le cas réel d’utilisation de Twitter en C&C, dans le cadre du téléguidage d’un virus récupérateur de crédences bancaires.

Twitter n’est pas la seule application Web 2.0 de dialogue « one to many ». Et l’ingéniosité des bot herders –les gardiens de botnets- est telle qu’il est difficile aux responsables de ces réseaux « deux-zéro » de deviner à quelle sauce ils vont être exploités.

Toujours sur ce même thème du botnet, on ne peut passer à côté de cet autre billet, écrit, lui, par Gunter Ollmann du blog The Day before Zero , qui se penche sur les tarifs du cybercrime. « Vous voulez vous offrir un réseau de 80 à 120 000 machines compromises pour lancer une attaque ? Vous désirez une capacité réseau de 10 à 100 Gb/s ? Il est à vous pour 200 dollars par tranche de 24H ». 200 dollars pour obtenir la puissance de feu d’un croiseur, 200 dollars pour éparpiller façon puzzle pratiquement n’importe quel site commercial existant sur terre. Et pour les apprentis cyber-terroristes qui douteraient de l’efficacité de l’infrastructure, une offre gratuite de 3 minutes leur est offerte avant achat. C’est qu’on a le sens de la clientèle, dans le mitan du hack noir.

F-Secure change de logo, de slogan ( protecting the irreplaceable), de numéro de version (suite 2010)… l’équipe, elle, demeure la même. Peut-être pour conserver une longueur d’avance sur les vendeurs de scarewares et autres usurpateurs de logos ?

Les exploits se succèdent et ne se ressemblent pas tout à fait : la faille IIS 5 et 6 révélée au tout début de la semaine dernière était, disait-on, exploitable à partir du moment où un usager authentifié (anonymous en fait partie) possédait un droit de création de répertoire. Mais voilà que vendredi, le niveau d’alerte augmente. Nikolaos Rangos, sur Milworm, nous apprend qu’il est possible de conduire une attaque en déni de service contre un serveur IIS même sans posséder le moindre droit d’écriture. Aussitôt, Microsoft met à jour son bulletin d’alerte et incite ses clients, via le blog du MSRC, à télécharger l’édition 7.5 du ftp qui, elle, ne souffre pas de cette déficience. Cette agitation microsoftienne serait dû à « quelques attaques limitées » explique le blog.

La situation est donc ni grave, ni désespérée. A moins d’un changement de dernière minute, cette fameuse « faille mkdir » ne devrait pas faire partie du lot de rustines du prochain patch Tuesday. De nombreux article laissent entendre que cette attaque provoque un crash de serveur. Il s’agit plus exactement d’un plantage du service ftp, qui peut être relancé manuellement et qui ne met pas en cause (du moins pour l’instant) l’intégrité des autres services serveur de Windows .

« C’est un peu comme les SSTIC, mais en Anglais » disent les participants de la première FRhack de Besançon. En anglais car réunissant un public et des intervenants du monde entier -Richard Stallman, Cesare Cerudo, David Hulton, Andres Riancho … mais également des «locaux », ainsi Guillaume Prigent, Bruno Kerouanton, Philippe Oechslin, Philipe Langlois, et bien sûr l’organisateur de cette manifestation, Jérôme Athias.

Contrairement à la majorité des manifestations concurrentes, les conférences sont diffusées en « live » sur Internet (suivre le lien proposé en haut de la page programme ). De quoi inciter les spectateurs à ne pas manquer la prochaine édition. Après deux jours de présentations, place sera donnée trois jours durant aux travaux pratiques et aux stages de formation pratique.

Dans une communication de 14 pages très denses, une équipe de chercheurs de l’Université de Boston (MIT) explique comment il est possible de cartographier toute l’infrastructure d’un hébergeur de « Cloud Computing » -dont les serveurs d’applications-, d’exploiter les porosités entre VM « hostées », de récupérer des informations par des techniques de type « side channel attack » et même d’envisager des techniques d’agression en analysant le trafic DNS et en tirant des estimations statistiques pouvant permettre d’injecter un code sur le même serveur que celui utilisé par la victime. Le cas d’école visait les services Cloud offerts par Amazon (EC2) mais, précisent les chercheurs, peut s’étendre à tous les autres prestataires, tel que Azure de Microsoft.
Les modélisations d’attaques peuvent paraître parfois assez rocambolesques… comme le sont pratiquement toutes les techniques quasi divinatoires qui reposent sur des mesures, des probabilités et des analyses de variations parfois ténues. Mais l’expérience prouve que ces techniques fonctionnent, très bien même. Il est peu probable que cette étude relativement savante ait un quelconque impact sur la mode du Cloud et sur les décisions d’investissement des entreprises clientes. Il est également peu probable que ce soit la dernière étude du genre.

Ca n’arrive pas qu’aux autres de se faire piéger par un faux distributeur de billets. Il semblerait même que de ce côté-ci de l’Atlantique, les statistiques de fraude seraient en très forte hausse. L’Enisa (l’Agence européenne chargée de la sécurité des réseaux et de l’information) estime même que le nombre d’agressions sur les emplacements des distributeurs automatiques de billets a augmenté de 149%, et que les tentatives de casse contre les DAB ont subi une croissance de 32%. Une forme de délinquance « traditionnelle » qui côtoie une nouvelle génération de criminels en cols blancs, les spécialistes du carding, les voleurs de code PIN et les artistes de la pseudo-confiscation de carte par le biais d’un distributeur aussi faux qu’une promesse électorale etc. Sur la seule année 2008, précise le rapport, il a été répertorié un total de 10 032 opérations de « skimming » (vol de données magnétiques et exploitation consécutive).

Si le nombre d’incidents est en forte progression, les pertes, quant à elles, ne croissent « que » de 11%. Le montant total des pertes liées aux fraudes sur les DAB (du skimming à l’agression en passant par le vol de numéro de carte) s’est élevé à plus de 500 millions d’Euros. Sur cette somme, 400 millions d’Euros sont le fruit de détournements effectués à l’étranger, autrement dit de retraits frauduleux provoqués en dehors de l’Europe et utilisant des identités bancaires dérobées. Cette expatriation du crime s’explique par le fait que près de 90% des distributeurs européens reposent sur la technique EMV (lecteur magnétique accompagnée d’une vérification « puce et PIN »). Ces distributeurs à sécurité renforcée sont en revanche assez rares, voir inexistants, en dehors de la CE, et il est possible pour les malfrats de la monnaie-plastique de fabriquer de fausses cartes ne possédant qu’une piste magnétique en guise de garantie d’authenticité.

Le rapport s’achève par une longue description, désormais classique, des différentes techniques employées par les faussaires. L’on remarque notamment l’usage croissant de transmetteurs Bluetooth dans les faux distributeurs, périphériques servant à émettre le code pin des victimes sans que le voleur d’identité bancaire ait à courir le moindre risque en allant relever les données stockées dans le skimmer. Le document de l’Enisa s’achève par une série des « quinze règles d’or » à observer pour réduire la délinquance liée aux DAB, certaines fort censées, d’autres relativement fumeuses. « Utilisez les DAB situés à l’intérieur d’une banque »… « Evitez les DAB isolés »… « Préférez les DAB situés dans des zones éclairées »… « Recherchez d’éventuelles caméras supplémentaires, autres que la traditionnelle caméra de sécurité »… encore une série d’avis rédigés par un docte expert qui n’a que très rarement besoin d’aller récupérer 40 euros à 11H du soir, un 20 décembre, dans la banlieue de Nogent le Rotrou ou le centre village de Saint Jean de Sixt.