septembre, 2009

Après avoir, de manière dogmatique, répété que les noyaux Apple étaient indestructibles et donc exemptés de l’obligation d’y adjoindre un antivirus, Apple fait machine arrière et intègre dans la nouvelle version de sons système d’exploitation, « Léopard des neiges », un détecteur de malware. Ou pour le moins un outil capable de détecter au moins deux codes d’attaque, OSX/Puper et OSX/IWService, et seulement lorsque ceux-ci tentent de s’inviter via le navigateur Internet.

Inutile de préciser que ce retournement de veste attire quelques remarques sarcastiques de la part de la communauté sécurité. L’Avert Lab se demande si, en admettant sa vulnérabilité et en brandissant officiellement un bouclier, Apple ne serait pas en train de chercher les coups pour se faire battre. Ou plus exactement ne risquerait pas de provoquer les auteurs de malwares à s’engager dans une joute sans fin opposant exploitations de vulnérabilités et parades. Brian Krebs, avec un art de l’understatement consommé, envoie quelques piques en se faisant l’écho des propos de Graham Clueley, de Sophos. Un Clueley toujours aussi mordant, qui fait remarquer qu’Apple a quelques décennies de retard dans le domaine de la chasse aux infections. Effectivement, un antimalware qui ne détecte que deux signatures, voilà qui fait peu sérieux aux yeux de ceux qui les chassent par milliers chaque jour.

L’arrivée du léopard des neiges ne fait pas que des heureux et des goguenards dans le monde de la sécurité. Le nouveau noyau serait notamment incompatible avec PGP. « Déchiffrez vos disques avant d’effectuer la moindre mise à niveau » (http://blog.pgp.com/index.php/2009/08/sneak-peek-pgp-whole-disk-encryption-for-snow-leopard/) prévient le blog de l’éditeur. Reste à espérer que l’appel sera entendu …

Cédric Pernet revient sur l’affaire du registrar véreux EstDomain –et au passage sur l’affaire McColo- en signalant à ses lecteurs la récente parution d’une étude publiée par Trend Micro . Etude qui décrit par le détail, et de manière très bien vulgarisée, comment se sont développées et déployées les techniques d’attaque et de détournement reposant sur des détournements de DNS. De l’implantation d’une série de DNS illégaux au DNS Changer, en passant par le détournement des espaces publicitaires en ligne, des requêtes Google ou la montée associée des fameux « rogue A.V. » (ou scarewares selon les appellations). Trend synthétise en 14 pages et quelques infographies ce que des chercheurs en sécurité et hommes de média, notamment Dancho Danchev et Brian Krebs, dénoncent depuis plusieurs années.

C’est la rentrée… les chasseurs de failles se réveillent. L’équipe de Sentrigo s’est aperçue qu’une personne possédant des droits d’admin pouvait lire « en clair » les mots de passe de tous les utilisateurs se connectant sur SQL Server (2000, 2005 et 2008, toutes plateformes confondues). Le communiqué de triomphe de Sentrigo s’achève en précisant qu’un utilitaire chargé d’effacer ces indiscrétions, Passwordizer, est disponible en téléchargement gratuit.
Cette histoire fait suite aux différentes attaques en « dump mémoire » de cet hiver et à la vague d’injections SQL de 2007-2008.

Tremblez, braves gens. Avec la reprise post-estivale des activités, les communiqués dramatiques sur les fléaux binaires « du siècle » reprennent de plus belle. Cette semaine, la palme du sensationnel échoit au Troyen.Peskyspy découvert par l’équipe de veille de Symantec. Présenté comme le « virus capable d’espionner les conversations Skype », il fait la manchette des principaux Web depuis vendredi dernier. Comble de l’horreur, le virus en question aurait été découvert « in the wild » -dans la nature- mais, précise l’équipe de Symantec, ce ne serait pourtant qu’une « preuve de faisabilité ». Alors, danger répandu ou virus en chambre ? En fait, le virus en question n’est qu’une trappe, incapable de se propager par ses propres moyens.

Bien que très peu d’informations soient distillées par ses découvreurs, il semblerait que Peskyspy ne soit en fait qu’un « hook » chargé d’intercepter les flux audio (sortie BF et entrée micro) et de les enregistrer au format MP3. Le troyen ouvre, par la même occasion, un port IP (backdoor) qui servira au propriétaire du logiciel espion de récupérer le contenu des conversations ainsi capturées. On appelle cette technique le « détournement par la voie analogique ». Elle n’offre strictement rien de nouveau et est même exploitée par de nombreux utilitaires (tel Virtual Audio Cable et assimilés). Skype –ou tout autre logiciel VoIP- n’est absolument pas à mettre en cause, pas plus que le système d’exploitation utilisé. Ajoutons également qu’avec la multiplication des « hooks » visant à partager les ressources audio d’une machine –écrans déportés, prises de contrôle à distance, machines virtuelles…- il n’est pas toujours très facile de savoir si tel ou tel driver ou code est légitime ou non. Symantec n’a peut-être pas mis la main sur le « spyware du siècle », mais a su focaliser les attentions sur un point de vulnérabilité longtemps demeuré dans l’ombre.

Fort heureusement, en France, nos machines sont totalement invulnérables aux attaques d’un tel virus grâce à Hadopi. En effet, le téléchargement de MP3 est totalement interdit en nos contrées. Or, l’écoute « locale » d’un simple CD musical sur l’ordinateur de la victime génère un flux audio qui, à son tour, déclenchera immanquablement Peskyspy. Plutôt qu’un échange VoIP, le pirate ayant déposé le Troyen récupère alors une œuvre musicale illégalement dupliquée. La crainte de recevoir une lettre recommandée pourrait alors faire tellement peur à ce malandrin cherchant à espionner une conversation téléphonique que les risques de voir cette infection se répandre sont inimaginables.

Elle avait pourtant un nom et un prix sur les étagères de Microsoft store, cette version « sans Internet Explorer » du futur Windows 7. Elle avait pourtant une raison d’exister, cette proposition toute diplomatique et conciliante visant à s’attirer les bonnes grâces de la Commission Européenne. Mais, à la demande pressante des intégrateurs et pour ne pas désorienter les usagers (déjà bien perdus dans les méandres des tarifications de « Seven »), Windows 7 sera systématiquement livré avec Internet Explorer, explique Dave Heiner, Vice President and Deputy General Counsel chez Microsoft. Mais comme on sait rester sport, du coté de Redmond, il sera offert à chaque internaute une « mise à jour » offrant à son tour le téléchargement de Firefox, Safari, Chrome, Opera et autres concurrents. Cette offre s’affichant, cela va sans dire, dans le cadre triomphant d’un I.E. 8 « natif ».

Si cette forme de provocation –ou épreuve de force à l’encontre de la C.E.- semble audacieuse, elle n’est pas très risquée. Car Microsoft ne peut plus être accusé de manœuvre déloyale depuis que Google, son principal adversaire, a claironné le lancement de Chrome OS, mi-noyau, mi-navigateur. Il serait impossible à la Commission de poursuivre Microsoft au motif d’une trop grand interdépendance entre le système d’exploitation et I.E. puis, quelque mois plus tard, de laisser « passer » Chrome-OS, tout vaporware qu’il est, sous prétexte qu’il n’est pas originaire de l’Etat de Washington.

L’exploit distant se trouve un peu de partout, depuis lundi matin : sur Milw0rm, dans les archives du Full Disclosure. Cette preuve de faisabilité utilise une vulnérabilité du serveur ftp d’IIS 5 et 6, et ne peut être exploitée, de l’avis même de l’auteur, qu’en présence d’un répertoire accessible avec des droits d’écriture. Un tel répertoire existe pratiquement toujours dès que ftp est configuré… car échanger des fichiers est généralement la fonction première de ce programme. Autre contrainte, il est également nécessaire soit que l’attaquant possède un compte d’accès, soit que le serveur dispose d’un accès « anonymous »… là encore, quelque chose de relativement fréquent dans le monde ftp. Le problème proviendrait de la gestion du mkdir sous ftp. Par défaut, le ftp d’IIS n’est pas activé, ce qui ne minimise en rien la dangerosité de cette faille et de cet exploit. Le Sans a émis un bulletin, le Cert US également. L’équipe de Backtrack, quant à elle, s’est amusée à en tirer une petite vidéo instructive.

Après un farniente de plus d’un mois, la rédaction de Cnis-Mag reprend, allegro ma non tropo, ses activités épistolaires. Entre temps, la terre ne s’était pas arrêtée de tourner.

Enfin, presque.

Milw0rm a repris ses activités en date du 21 juillet. Frappé par le découragement, Stroke avait jeté l’éponge début juillet. Mais devant l’avalanche de courriers le suppliant de continuer et surtout l’aide bénévole qu’ont décidé de lui apporter quelques amis proches, l’administrateur du site a décidé de reprendre le collier. C’est une excellente nouvelle pour les veilleurs en sécurité, moins bonne pour les partisans de la sécurité par l’obscurantisme. Remarquons au passage que les traditions ne se perdent pas, et que la « suite Office » en prend plein son grade ces jours-ci.

Microsoft nous a fait le coup du « out of band estival », le lot de rustines hors calendrier qui tombe alors que le ban et l’arrière-ban des services informatiques est en train de se faire bronzer. Double rustine avec un « cumulatif I.E. » critique et un défaut dans une bibliothèque Visual Studio considérée comme « modérée ». Une faille « modérée » publiée dans un « out of band »… vous avez dit bizarre ? Comme c’est étrange (GOSUB paragraphe suivant). A noter que, par tradition, les rustines « out of band » sont précieusement mises de côté par une forte majorité de RSSI Français, quelque part entre les Saint Julien et les Haut-Médoc. Il paraît que çà se bonifie en vieillissant et que parfois même, l’on tombe sur des crûs qui font la « queue de paon », tel Conficker.

Adobe corrige son Flash … et quelques 12 bugs périphériques.. Les versions d’Acrobat sont à mettre à jour le plus vite possible, la dangerosité de la faille est bien réelle. A noter que, dans le lot, 3 des défauts sont directement liés à la faille ATL de Microsoft (RETURN plus haut). Les responsables de déploiement rentrant de vacances en août vont avoir une semaine chargée.

Et Bind 9 est vulnérable à une attaque en déni de service, la mise à jour est… urgente serait le mot le plus pondéré. L’alerte de l’ISC précise que l’exploit est public. L’Avert Lab, de son côté, explique très simplement comment la procédure de mise à jour dynamique de l’annuaire peut être compromise. Chaque année, Bind attrape une volée de bois verts entre les mois de juillet et d’août. Cette allergie est généralement provoquée par l’intense période de pollinisation des Black Hat, Defcon et autres CCC qui fleurissent à cette période.

Ces quelques mini-catastrophes mises à part, l’été s’est avéré relativement clément pour les responsables sécurité …

Le lendemain du 14 juillet, tous les navigateurs –ou presque- tombent dans le même trou. Les téléphones prétendument intelligents sont également frappés par cette faille pouvant conduire à une attaque en déni de service. Il ne semble pas que cette faille, liée à un langage d’automatisation (EcmaScript), puisse être directement exploitable à distance autrement que pour provoquer un crash. Mais l’universalité de la vulnérabilité prend là une dimension historique.

Encore une catastrophe de juilletiste avant d’entamer le mois d’août ? La censure d’Amazon (ou « erreur stupide » pour reprendre les mots de son Président Jeff Bezos ). Cette censure est intervenue après que le diffuseur se soit aperçu que les ebook des romans de Georges Orwell (çà ne s’invente pas) étaient illégalement distribués. Du coup, les livres électroniques Kindle des clients ayant acheté ces fichiers ont vu leur bibliothèque virtuelle concernant certains ouvrages d’Orwell se volatiliser. La faute à l’autorisation accordée par un « ayant droit » qui en avait moins que prévu –des droits, bien entendu-. Cela montre à quel point l’achat de musique ou d’ouvrages en ligne est une pratique risquée. Non pas en raison d’une erreur humaine, toujours possible et excusable, mais parce que les infrastructures de vente en ligne imposent une mainmise technologique sur le patrimoine intellectuel et artistique acheté par les particuliers. Sans bien entendu que ledit particulier puisse faire quoi que ce soit. Cette possibilité d’autodafé par simple pression d’un bouton emplit de crainte tout amoureux de la liberté de pensée et d’éducation, et fera probablement rêver tout dictateur en quête de « pensée unique ». L’arrivée du numérique dans le domaine de la reproduction des œuvres a apporté son cortège d’abus de pouvoir, allant de la possibilité de déclencher à distance un virus destructeur (affaire du mouchard Sony Music) à l’effacement pur et simple des archives privées (cas Kindle) en passant par des manœuvres frisant l’abus de position dominante tels des drm installés sur des ouvrages appartenant au domaine public.

Cette histoire rappelle une autre forme de censure, pratiquée celle-là par Apple en mai dernier. Ce vendeur d’ordinateurs et autres gadgets audio a montré très clairement, en supprimant de son catalogue un « reader » d’œuvres appartenant exclusivement au répertoire classique, que l’éducation peut être mère de tous les vices. Depuis, la pression populaire a fait revenir ce lecteur d’ebook au catalogue. Mais deux actes de censure en moins de 3 mois, tous pratiqués par les plus grands diffuseurs de médias de la planète IP –et probablement de la planète entière pour ce qui concerne Amazon-, ce n’est ni un hasard, ni une regrettable erreur, ni l’acte stupide d’un lampiste, pourrait-ce être un test de réactions et de faisabilité ? Les débuts de l’ère du Cloud Computing sont prometteurs …

C’est la fête à l’iPhone qui, à l’instar de toute plateforme devenue populaire, devient immanquablement la coqueluche de tous les hackers, les blancs comme les noirs. La Black Hat de Vegas fut l’occasion de voir publié un exploit visant la gestion des SMS sur la plateforme Apple. Cette découverte est signée Mulliner et Charlie Miller, authentifiée et corrigée depuis par Cupertino.

Les SMS iphone sont branlants, mais ce n’est pas pire que la couche de chiffrement, renchérit Jonathan Zdziarski. Interviewé par nos confrères de Wired. Ce chercheur explique que si le 3GS est « largement adopté dans le secteur de l’industrie », ce n’est pas nécessairement pour ses qualités en matière de sécurité. Ses outils de protection des données contenues se contournent en quelques minutes à peine. Apple commence à peine à comprendre ce que Dan Geer entendait par « dangers sécuritaires et monoculture ».

Et c’est ensuite au tour de David Maynor d’en rajouter, avec un long exposé sur les différentes techniques de hacking envisageables sur iPhone, le tout axé sur les recherches de Miller et de Mulliner.

Par pur désir d’impartialité, signalons également cette forme d’escroquerie ne touche pas exclusivement les terminaux Apple. F-Secure nous apprend qu’il commence à se répandre une forme de détournement de facturation fort semblable aux escroqueries « au numéro surtaxé ». Un classique dans le monde de la téléphonie cellulaire « old school ». L’abonné est attiré vers un site en particulier –technique de phishing -, lequel site exploite indûment les mécanismes de facturation propre aux échanges WAP. Les chasseurs de virus Finlandais ne précisent pas dans quel pays ce genre de détournement a été constaté. Chez d’autres, ces rumeurs de catastrophes en séries et à grande échelle sont des sujets d’inspiration. Ainsi chez Etisalat, opérateur des Emirats, qui a aimablement offert un spyware à l’ensemble des 100 000 abonnés de son réseau Blackberry. Ledit spyware était camouflé sous la forme d’un « patch d’amélioration de performances ». Les améliorations en questions étaient plutôt en faveur de l’opérateur car, outre une surconsommation de la batterie du portable, le logiciel espion était « potentiellement capable de lire l’intégralité des emails et des sms contenus dans le terminal » nous apprend itp.net. Ce qui prouve une fois de plus que les assurances avancées par un opérateur concernant sa « sécurité réseau » n’ont aucune signification lorsque l’attaque vise directement le « endpoint ».

L’événement de juillet, c’était, comme chaque année, la BlackHat et son poisson-pilote, la DefCon. Les transparents, enregistrements audio et vidéo de la BH sont disponibles en téléchargement sur le site de la BH. Les archives de la 17ème DefCon sont également récupérables sous forme d’image de CD. Les organisateurs précisent que le contenu de ce disque peut provoquer le déclanchement d’un faux-positif, TR/Crypt.ZPACK.Gen, dans le fichier Extras/bin/crackmes/manifest.exe. Le fichier est garanti sain… et ne semble pas encore avoir détruit les ressources des machines de CNIS-Mag. Les transparents de l’équipe d’InvisibleThings sur les « rootkits matériels » sont diffusés sur le blog de Joanna Rutkowska. Le code de mise en évidence n’est pas encore disponible.

S’il ne fallait retenir qu’une seule conférence de tout ce qui a pu se raconter durant ces deux semaines de hacking intensif, ce serait celle de Moxie Malinspike. Moxie est déjà connu pour avoir donné SSLstripe au monde de la sécurité. Un utilitaire capable de détourner et de réécrire une session ssl. Cette fois, c’est un peu plus sérieux. Le chercheur a découvert que l’autorité de certification, lors de la vérification d’un certificat, ne contrôle pas la validité d’un éventuel sous-domaine. Or, nous apprend Moxie, il est possible de séparer par un caractère « null » le nom de deux autorités différentes, l’une « officielle », l’autre réelle. Du genre www. CreditLyonnais. frparissilamonai. com. La chaine « Credit Lyonnais » –véritable identité affichée- sera prise pour un sous-domaine par les machines du CA, et seul sera accepté et émis le certificat de parissilamonai.com. Las, le phénomène inverse arrive lorsque le navigateur du client doit interpréter cette dénomination hors norme. Dans bien des cas, le caractère « null » est interprété comme une fin d’adresse, et, aux yeux de l’internaute, c’est un certificat estampillé www. CreditLyonnais. fr qui s’affichera.

On ne pouvait imaginer une BH sans son inévitable attaque SSL. Plus de détails techniques et le source de sslsniff sur le site de l’auteur

Comme pour enfoncer le clou, Infoworld, qui prépare le prochain Usenix Security Symposium, nous offre un petit avant-goût de ce que nous offriront les chercheurs de Carnegie Mellon : une étude sur le niveau d’attention porté à ces fameux certificats SSL. Il apparaît que ces certificats sont ignorés dans 55 à… 100% des cas. (L’on parle là de sessions provoquant une alerte, et non d’une ouverture de page https « silencieuse »). Usenix, qui se déroulera du 10 au 14 août 2009, sera notamment l’occasion pour Google de parler un peu de l’avenir de Chrome –au cours d’un keynote très attendu de Rich Canning- et à Microsoft de présenter son nouveau projet de navigateur/système d’exploitation à micronoyau Gazelle (fruit des cogitations du département chargé du développement de MashupOS)