octobre, 2009

Une nouvelle version de Cain & Abel (4.9.32) outil d’audit et de récupération de mots de passe, est en téléchargement sur le site Oxid.it.

Cisco, 11 trous, dont une faille NTP enfantine à mettre en évidence. L’équipementier publie la liste détaillée des mises à jour nécessaires.

Idaho, Kentucky, New Jersey: c’est le podium des Etats les plus “spammés” des USA, nous apprend une étude de Message Labs/Symantec. Le taux de spam journalier mondial dépasserait les 151 milliards d’email/jour, et les botnets d’émission pèseraient entre 4 et 6 millions de machines compromises.

La semaine passée s’est achevée avec un petit exercice de calcul mental : 33 plus 29 égal… voyons neufétrois-douzej’posedeuxéj’retienzun… 62 vulnérabilités si l’on additionne les failles du dernier patch Tuesday de Microsoft -13 bouchons, 33 trous, un reboot obligatoire- et celles d’Adobe, qui manque de peu le record des 30 trous mensuels dans Acrobat. Rappelons que si Microsoft demeure le leader incontesté en nombre de bugs déclarés, Adobe conserve actuellement une bonne longueur d’avance dans la course aux trous réellement exploités. Une chose est certaine, il est urgent de déployer les mises à jour proposées par l’éditeur.

Record également dans la criticité des défauts ainsi corrigés, puisque 8 bulletins Microsoft portant l’immatriculation MS09-xx sont qualifiés de critique, dont notamment le très célèbre gouffre SMB v2 qui a déjà fait l’objet de nombreux commentaires de la part de Kostya, sans oublier l’impressionnante analyse publiée par l’équipe de SecureWorks (ex Luhrq). Egalement bouché, le « trou IIS/ftp » qui a fait l’objet d’une publication d’exploit sur Milw0rm notamment. C’est la première fois depuis plus de deux ans que Microsoft fait patienter ses clients un mois complet avant d’émettre deux correctifs corrigeant des défauts rendus public et accompagnés d’exploits

Ce mois-ci, l’équipe du MSRC nous offre en prime un tableau très coloré, particulièrement dans les tons chauds, de l’index d’exploitation des failles colmatées. Çà a un petit côté Mondrian absolument adorable… il manque quelques touches de blanc et de vert pour que ce soit parfait. Mais une alerte « verte », çà n’existe pas.

Depuis bientôt 3 semaines, les administrés des serveurs Microsoft Exchange sont systématiquement bombardés de « notes de service » bidon semblant émaner de leur DSI. Voici l’un d’entre eux, pris au hasard du spam

« Attention!

This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location. That’s all. »

Poulet bien entendu suivi d’une URL empoisonnée semblant émaner précisément de l’un des responsables informatiques.
Après une première vague, que l’on espère rapidement muselée par nos chers « postmasters », une seconde déferlante s’est écrasées sur les plages smtp
« Subject: Microsoft Outlook Notification for the administrator@messagerie.fr

– Download attached setup file and install. »

Est-il nécessaire de préciser que la famille Borgia elle-même, ne saurait distiller un poison aussi radical que celui injecté dans ladite pièce attachée ?

Comme le faisait remarquer Pierre Caron du Cert-Lexsi les liens d’infection ou les pièces attachées étaient truffées avec de véritables morceaux de Zeus dans le cas des attaques à « pièces attachées », et sur une page de phishing ressemblant à un écran de logon OWA (Outlook Web Access) dans le premier cas.

L’attaque en question semble relativement ciblée. Elle vise effectivement des usagers Exchange, et, dans au moins 5 cas relevés par la rédaction de Cnis Mag, le nom de l’administrateur légitime figurait soit dans le lien, soit dans le corps du texte de phishing. On est donc loin d’une campagne de ratissage « tous azimuts », et ce sont clairement des « institutionnels » qui sont cette fois visés. Cette campagne de récupération de crédences semble trop bien orchestrée pour que l’on redoute une vague d’usurpation d’identités et de vol de documents dans les mois ou les semaines à venir. Serait-il temps de changer de mot de passe ?

… mais il n’y a pas que les usagers professionnels des messageries qui sont visés. Le secteur grand public microsoftien fait également l’objet d’une attention soutenue de la part des pirates du login/password. Cela commence avec une annonce, celle de la découverte du vol de plus de 10 000 sésames MSN dont le nom commence par les lettres A et B. Un « scoop » déjà ancien, signé Sophos.

Par quel moyen ce genre de fichier a-t-il pu tomber entre des mains inamicales ? Très probablement par le truchement d’opération de phishing. L’une des filières les plus actives du moment prend l’aspect d’une application Web baptisée « Pics for MSN Friends 1.1c », hostée généralement chez des hébergeurs Chinois, avec des noms de domaine gérés par des registrars Chinois, et « poussés » par des vagues de phishing véhiculées via MSN même. Une vague qui succède à une autre campagne qui vantait les mérites de différents services prétendant indiquer « qui vous a banni de sa liste d’amis Messenger ». Un drame d’ado pour une poignée de crédences.

Il s’en est naturellement suivi une avalanche de communiqués, articles et notes de blogs expliquant combien les gens sont méchants, combien le vol d’identité est une mode ravageuse, combien il est urgent de légiférer sur le sujet.

Un détail cependant semble avoir échappé à tous ces témoins, détail qui nous fait dire « on l’a échappé belle ». Petit retour historique sur les crédences MSN.

C’est au début des années 90 que que Redmond –alias « Corp », alias Microsoft- décide de se lancer dans le business de l’identité numérique. Par hasard ? Que nenni, par désir d’occuper une place convoitée par le ban et l’arrière ban de l’industrie. Chez Novell par exemple, çà s’appelle DigitalMe, chez les équipementiers qui ont loupé magistralement le marché de l’annuaire d’entreprise, du service Web et des services télécom, çà prend le nom de Liberty Alliance. Du côté de Microsoft, le projet prend pour nom Passport, produit reposant sur un monumental annuaire inspiré d’X500, et essentiellement destiné aux grandes organisations, instances gouvernementales, structures internationales. Pas question, en ce temps là, d’en faire un mécanisme de reconnaissance pour gamins en mal de kikooo-lol-mdr.

En d’autres termes, le Passport des années 90, c’est la carte d’identité numérique que Microsoft tente de vendre avant tout à l’Administration Clinton, à Matignon et –au passage- à France Telecom. Lesquels, comme un seul homme, déclinent l’invitation sous prétexte de coûts pharaoniques. Le prix des licences MS ? Non, car sur de tels marché, on ne vend pas, Monsieur, on offre. On offre parce que la mise en œuvre d’une infrastructure de gestion d’identité nationale ressemble au picon-citron-curaçao du César de Pagnol : Un petit tiers de logiciel, un tiers d’architecture matérielle/réseau, un très gros tiers de services et un bon tiers de dépenses dérivées imprévues. Les prémices d’un bigbrotherisme transnational des identités reculaient donc devant de vulgaires conditions économiques.

Pourtant, les discours de MM Gates et Balmer ne laissaient place à aucun doute: le système était inviolable, le mécanisme fiable, la protection absolue. Devant le refus dédaigneux des grands clients, Microsoft abandonne le projet et utilise cette danseuse technologique pour sécuriser ses propres services. Et pour commencer sa messagerie instantanée Messenger (à l’origine de MSN) ainsi que l’accès aux abonnements aux divers services tels que le Technet, le Microsoft Developers Network, sa messagerie Hotmail… et peut-être ses futurs services « cloud » ?

En d’autres termes, dans le lot des adresses ainsi collectées, il se trouve statistiquement quelques milliers mots de passe ouvrant la voie à des licences Windows 7, Office, serveurs d’applications et 2008 R2 « officielles »… Tout çà va faire des heureux au marché noir. Et l’affaire aurait pu avoir des conséquences bien plus désastreuses si Passport avait été autrefois adopté pour servir de base à une hypothétique carte d’identité numérique nationale. On l’a échappé belle.

Rétrospectivement,cette fuite d’information est, sur l’échelle de Richter des sinistres informatiques, aussi déflagrante qu’un essai nucléaire comparé au pétard à mèche d’une faille SMBv2 ou d’un trou ftp/IIS. Fort heureusement, seuls quelques milliers de clients Microsoft et une armée de « chateurs » en ont fait les frais, grâces en soient rendues à la clairvoyance des hommes politiques d’antan. De grands commis de l’Etat qui, bien que ne comprenant rien aux annuaires, n’ayant probablement jamais entendu parler de phishing ou de « social engineering », ont su ne pas tomber dans un tel piège. Les raisons et motivations –purement économiques, répétons le- étaient mauvaises, mais le résultat fut le même. Il reste à espérer qu’en cette période de sensibilisation à la sécurité des systèmes Scada –une base d’identité nationale n’est-elle pas apparentée à un système Scada ?- , les politiques d’aujourd’hui sauront agir avec autant de prudence, malgré l’amour immodéré que ceux-ci semblent vouer au fichage systématique et à l’informatisation du moindre bouton de guêtre.

Joanna Rutkowska nous offre un nouvel épisode de sa grande saga mettant en scène la femme de chambre diabolique, dans un chapitre intitulé « la chambrière s’attaque à TrueCrypt »..

Cette fois,le « road warrior prudent, éteint son ordinateur chaque fois qu’il quitte sa chambre d’hôtel, car il a bien sûr lu les paralipomènes d’Yvan le F0u et les pepisefogas de Matthieu Suiche (dont le tout dernier Windd vient de sortir). Cette fois également, la totalité de son disque est chiffré à l’aide de l’excellent logiciel OpenSource et néanmoins gratuit TrueCrypt. C’est alors que la Chambrière Maléfique, profitant de l’absence de l’intéressé, se glisse dans la chambre, et boote le portable laissé par la victime à l’aide d’une clef usb. Deux minutes plus tard, le disque est infecté par le rooktkit maléfique de la femme de chambre maléfique. Laquelle n’oublie pas de bien éteindre le portable une fois le méfait perpétré et de n’y laisser traîner aucune clef usb suspecte.

A peine rentré de sa promenade matutinale, le Road Warrior démarre sa machine, tape son mot de passe, ce qui a pour effet soit de le stocker dans un emplacement secret, soit de le transmettre discrètement via Ethernet ou Wifi. A sa prochaine visite, la Chambrière Démoniaque n’aura plus qu’à voler l’ordinateur portable puisqu’elle en possèdera la clef.

La suite de l’histoire ainsi que le fichier image de la clef usb autobootable sont à consulter sur le blog d’Invisible Things. A lire dans le détail, car les principales objections sont balayées par la redoutable hackeuse Polonaise : ce rootkit-là pourrait bien faire du bruit.

A noter toujours au sujet des indices de dangerosité une très amusante causerie animée par Mr Bryan Lu, de Fortinet, lors de la dernière VB Conference de Genève. La présentation avait pour titre « I’m not a numero ! Assessing globa security threat levels ». Le propos de Lu est simple : il existe, sur le Web, plus d’une vingtaine d’indicateurs de risque informatique, ces « threat level » émis par les éditeurs de firewalls, d’antivirus, de logiciels et équipements divers. Que mesurent-ils et sont-ils exploitables ? Pris indépendamment, ils sont aussi utiles qu’une paire de chaussettes à un lombric. Certains reflètent un accroissement des attaques par rapport à un même mois de référence situé un an plus tôt, d’autres effectuent une moyenne lissée sur les trois derniers mois, d’autres encore ne prennent en compte que le nombre de faille publiées, d’autres enfin comptabilisent les exploits publiés (qui ne sont pas, faut-il insister sur ce point, les plus utilisés « dans la nature »). « L’an passé, à la même époque, le monde entier sabrait le champagne à l’annonce de la fermeture de McColo. Sachant cela, que peut donc bien signifier aujourd’hui, par rapport à l’an passé, un « indice du niveau du spam » ? Une telle donnée brute dégagée de son contexte ne peut que fournir un indice de dangerosité élevé et non significatif, en d’autres termes, du « fud » », explique le chercheur.

Pourtant, de ces taxinomies fantaisistes et de ces statistiques insignifiantes, Bryan Lu parvient tout de même à en tirer des métriques réellement exploitables. En les accumulant toutes, en tenant compte de la manière dont chaque « index d’alerte » est calculé, et en en extrapolant une moyenne non biaisée. Une fois cette prise en compte achevée, il « suffit » à l’administrateur d’auditer son propre parc de la manière suivante :

– Compter le nombre d’usagers frappés par une vulnérabilité répertoriée

– Compter le nombre d’occurrences desdites vulnérabilités par usager et en extraire une première cote d’alerte

– Extraire les vulnérabilités actives en fonction de certains critères tels que leur ancienneté et leur aspect plausible (élimination des faux positifs)

– Déterminer la sévérité de la vulnérabilité et lui attribuer une pondération

– Comparer la valeur globale dérivée des valeurs pondérées

Ouf. S’ajoute à ce savant calcul une estimation de la fréquence générale desdites vulnérabilités détectées, de laquelle dépendra le « niveau » réel de l’alerte. Les plus curieux pourront se reporter sur la série de transparents préparés par l’orateur.

L’on comprend un peu mieux la raison pour laquelle certains grands comptes mettent autant de temps avant que de déployer certains correctifs. Une bonne modélisation mathématique, ça nécessite de longues heures, des jours, des semaines de calcul.

C’est le très sérieux BBC.co.uk qui s’extasie sur une « peinture anti-wifi » qui ne « coûterait que 10 livres par kilo ». Histoire de faire sérieux, on pare le tout avec la renommée d’un professeur Japonais, car toute vérité scientifique se soulève devant les Nippons.

Passons sur le fait qu’une telle peinture existe pour bien moins cher… on appelle çà de la « peinture à poële de fonte », c’est un composé chargé de carbone, totalement étanche à la HF et en vente dans toute bonne grande surface de bricolage. Même située en dehors du Pays du Soleil Couchant. Excellent primaire d’accrochage qui peut, à son tour, se faire ripoliner de toutes les couleurs de l’arc en ciel.

Passons également sur un détail sordide : le changement quasi obligatoire des fenêtres de la pièce ainsi peinturlurée avec des vitrages « teintés dans la masse » contenant généralement des particules métalliques fort peu amènes vis-à-vis des rayonnements électromagnétiques. Que sont les 10 livres sterling le kilo de peinture en regard des frais de « refenestration » ? La paranoïa anti-wifi risque fort de coûter aussi cher au RSSI qu’une croqueuse de diamants sortie d’un roman de Balzac.

Ajoutons que l’invention de tels traitements de surface s’adresse à une clientèle bien étrange. Une clientèle qui désirerait profiter des bénéfices d’un réseau sans fil strictement restreint au périmètre d’une seule pièce. A l’exception de quelques grands magasins voulant éviter une nouvelle affaire TJX ou d’ateliers flexibles informatisés impossibles à câbler, force est de reconnaître qu’une « solution cuivre » pourrait occasionner de sérieuses économies de peinture. Enfin, transformer un espace de travail en cage de Faraday pose quelques désagréments secondaires. Car si le WiFi ne passe plus, ni en 2400 ni en 5700 MHz, c’est également le cas de toutes les autres communications radio. A commencer par les téléphones cellulaires, les vhf des gardiens de nuit et des pompiers (ainsi que les Tetra de la maréchaussée), une bonne partie des transmetteurs utilisés par les systèmes antivol modernes, la majorité des télécommandes industrielles… pour ne donner qu’un bref aperçu des conséquences.

Le tout sans pouvoir garantir une véritable herméticité aux ondes. Car si vraiment un intrus « insider » envisage d’extraire des données par radio, il ne lui faudra pas déployer des trésors de technologie pour glisser un morceau de câble coaxial au travers d’un mur. Procédé certes peu élégant mais oh combien efficace.

Un panorama plus qu’un rapport froid et concis, chez Finjan. Un panorama focalisé sur trois volets, séparés en trois études. Le premier panorama (ainsi mentionné au fil du précédent article) s’intéresse à cette mécanique complexe que sont les campagnes de vente de faux antivirus. Elles combinent les SEO, pour que les Google et autres Bing finissent par conduire l’internaute sur un site compromis, et une forme de collusion malhonnête entre des tribus de webmestres « rabatteurs » (qui perçoivent en moyenne 10 % du prix du faux antivirus vendu) et industriels de l’escroquerie en ligne.

Le seconde volet s’attache quant à lui au botnets et à la monétisation des réseaux d’attaque (diffusion de malwares, de spam etc). Loués à l’heure, au mois, par continent ou par pays, par tranche de 1000 machines ou au prix de gros, ces réseaux de zombie se créent et s’étendent en permanence par le biais de rootkit eux-même déposés par des sites de contamination utilisant un détournement iFrame déposé sur des sites légitimes. Une fois enrôlée dans cette armée, l’ordinateur zombifié est « revendu » sur des places de marché underground et « mis à jour » selon les désirs de chacun de ses locataires.

Le troisième acte de cette pièce de Grand Guignol s’ouvre sur les attaques bancaires, les troyens voleurs de mots de passe et le travail des « mules ». Tous les experts s’accordent à dire que le phishing est en chute libre. Cette forme artisanale de récupération des crédences bancaires –de jour en jour plus aisément détectée- cède le pas à l’exploitation quasi-industrielle de virus de plus en plus spécialisés dans la récupération de crédences, et dont la furtivité pose un véritable défi aux vendeurs de protections périmétriques. Petite visite guidée donc au pays des « crimeware toolkits », de leurs CnC (centre de commande et de contrôle) et du circuit des « mules », ces seconds couteaux chargés de ponctionner les comptes bancaires piratés.

Le bilan Finjan est plus didactique, plus axé sur les exemples que sur les statistiques, mais tout comme les autres rapports trimestriels, il synthétise bien l’évolution des techniques et le radicalisme de la cyberdélinquance.