novembre, 2009

Après Twitter, qui commence à concurrencer les IRC lorsqu’il s’agit de piloter un botnet (C&C), voici la version Google Group décortiquée par Pierre Caron du Cert Lexsi.

Une session SSL dont l’en-tête serait truffée de caractères ascii offrirait diverses possibilité d’attaque « man in the middle », et notamment à l’encontre de l’authentification des certificats https clients sur des serveurs web IIS et Apache. Une affirmation argumentée au fil d’un document de 8 pages publié par Marsh Ray et Steve Dispensa, de Phone Factor. Dire que c’est là une « fin du monde » de l’authentification ou un « gouffre SSL » serait un peu prématuré. La faille de conception semble complexe à exploiter et ne peut être appliquée sans le recours à d’autres vulnérabilités pouvant faciliter l’injection (tel un routeur compromis). Ajoutons que cette faille ne semble pas compromettre le chiffrement de la cession. Mais une atteinte à SSL signifie un danger potentiel pour toutes les communications utilisant ce mécanisme de protection. A commencer par les transactions sur les sites de banques en ligne, les accès OWA, les échanges de fichiers sécurisés pour ne citer que les plus évidents. Il est donc nécessaire que tous les éditeurs utilisant SSL corrigent leurs intégrations du protocole, opération complexe et généralement longue. Il y a déjà eu de nombreux « bugs de conception » qui ont frappé la sphère Internet –Bind notamment- qui ont parfois mis plus d’une année pour se faire corriger par l’ensemble des éditeurs-intégrateurs. Une période généralement assez longue pour que, d’un papier d’universitaire évoquant une faille ésotérique et complexe, l’on passe à « une faille simple à exploiter à l’aide d’un « kit malware » vendu dans toute bonne boutique des pays de l’Est ».

L’équipe de Sophos s’est amusé à prendre les discours marketing de Microsoft au pied de la lettre, et a souhaité vérifier si les UAC de Windows 7 étaient aussi efficaces qu’on voulait bien le dire du côté de Redmond. Le résultat n’est pas brillant, et montre que 8 infections sur 10 sont efficaces contre ce nouveau système, même lorsque les fameux « user access control » sont activés. Test effectué bien sûr sans la moindre protection antiviral installée.

De tels tests n’ont bien entendu que très peu de signification et d’objectivité, surtout lorsqu’ils sont menés par des personnes travaillant précisément pour le compte d’un éditeur d’A.V. Des éditeurs qui digèrent généralement assez mal la mise à disposition gratuite du Microsoft Security Essentials. Il n’en demeure pas moins que ce coup d’éclat contient un message de prudence visant à atténuer les propos parfois un peu trop triomphants de Microsoft relatifs à la sécurité de Windows 7.

Réaction de Bernard Ourghanlian, CSO et CTO Microsoft France
Je voulais juste réagir à propos de votre article sur la sécurité de Windows 7 et du test effectué Sophos. Ce test se fonde sur une argumentation portant sur l’utilisation d’UAC et sur le fait qu’UAC n’empêche pas certains malwares de s’exécuter. Ceci n’a strictement rien d’étonnant et constitue donc un non-événement. En effet, contrairement à ce que semble impliquer l’analyse de Sophos, UAC n’est en aucune façon une frontière de sécurité ; l’objectif d’UAC est simplement de permettre l’utilisation de Windows sans privilège. Ceci était, en effet, très difficile à réaliser avec Windows XP et donc avant Windows Vista et l’introduction d’UAC.

Ceci a été expliqué, il y a déjà plus de deux ans, de manière très approfondie par Mark Russinovich dans la conclusion de son post disponible en : http://technet.microsoft.com/en-us/magazine/2009.07.uac.aspx :

To summarize, UAC is a set of technologies that has one overall goal: to make it possible for users to run as standard users. The combination of changes to Windows that enable standard users to perform more operations that previously required administrative rights, file and registry virtualization, and prompts all work together to realize this goal. The bottom line is that the default Windows 7 UAC mode makes a PA user’s experience smoother by reducing prompts, allows them to control what legitimate software can modify their system, and still accomplishes UAC’s goals of enabling more software to run without administrative rights and continuing to shift the software ecosystem to write software that works with standard user rights.

Ceci a été explicité également dans un autre post de Marc disponible en http://blogs.technet.com/markrussinovich/archive/2007/02/12/638372.aspx :

It should be clear then, that neither UAC elevations nor Protected Mode IE define new Windows security boundaries. Microsoft has been communicating this but I want to make sure that the point is clearly heard. Further, as Jim Allchin pointed out in his blog post Security Features vs Convenience, Vista makes tradeoffs between security and convenience, and both UAC and Protected Mode IE have design choices that required paths to be opened in the IL wall for application compatibility and ease of use.
Because elevations and ILs don’t define a security boundary, potential avenues of attack , regardless of ease or scope, are not security bugs. So if you aren’t guaranteed that your elevated processes aren’t susceptible to compromise by those running at a lower IL, why did Windows Vista go to the trouble of introducing elevations and ILs? To get us to a world where everyone runs as standard user by default and all software is written with that assumption.

Autrement dit, la « découverte » de Sophos n’en est pas vraiment une.

Après le racket industriel façon camorra visant les grands serveurs Web, voici le petit hack semi-mafieux s’attaquant aux possesseurs d’iPhone « jailbreakés ». Certains abonnés Hollandais de T-Mobile ont pu lire sur l’écran de leur téléphone un bien étrange message rédigé en anglais : « Votre téléphone a été hacké car il est vraiment mal sécurisé. SVP visitez le site xxx pour protéger immédiatement votre iPhone. Dès à présent, je peux accéder à tous vos fichiers. Ce message ne s’effacera pas tant que votre iPhone ne sera pas sécurisé ». Le « prix » du racket (du conseil en sécurité prétend l’auteur du message) a été facturé un bref instant aux environs de 5 euros. La « faille de sécurité » en question serait en fait un SSH ouvert avec un mot de passe par défaut, port dont l’ouverture aurait été mise en évidence par un simple balayage lancé par le hacker. Depuis, l’apprenti pirate aurait fait amende honorable et aurait remboursé ses premières victimes. L’affaire n’étant en aucun cas propre à la structure du réseau T-Mobile, le même genre de mésaventure peut se produire en France. Il est donc conseillé aux utilisateurs d’iPhone jailbreakés de n’utiliser leurs SSH que lorsque cela est nécessaire, et surtout d’en changer le mot de passe par défaut.

Combien de temps faudra-t-il pour que les RBN et Rock Phish divers et variés ajoutent à leurs cordes d’hébergeurs mafieux des services de cloud computing ? A moins que la technique de zombification invoquée par l’équipe de Neohapsis fasse son chemin. Après tout, les prix de location d’un bon botnet ne cessent de s’effondrer ces jours-ci. A tel point, nous explique Dancho Danchev, que les opérations de racket à l’attaque en déni de service deviennent presque monnaie courante. Certes, le montage est complexe, si l’on considère les articulations techniques nécessaires : injections SQL massives pour parvenir à truander les moteurs de recherche lesquels, dans un second temps, attirent des « clients » curieux vers des sites compromis. En les visitant, l’internaute se fait infecter grâce à des techniques d’ingénierie sociale de plus en plus sophistiquées et réalistes (incitation à installer de faux codecs, pseudo mises à jour Adobe, anti-virus faisandés etc..). Parallèlement à ce tissu technologique, il faut que le racketeur recrute également une armée de « mules », intermédiaires financiers chargés de « relever les compteurs » et accessoirement de servir de fusible en cas d’enquête policière.

Danchev publie même une authentique lettre d’extorsion, qui semble tout droit sortie d’un roman de Dashiel Hammett. Après le traditionnel « payez 10 000 roubles (230 euros) par mois ou votre site tombera », les escrocs expliquent leur manière d’opérer : « Dans un premier temps, vos installations seront attaquées par un botnet constitué de 2000 postes. Si, par hasard, vous aviez l’indélicatesse de faire appel à une entreprise de sécurité qui bloquerait nos 2000 vecteurs de déni de service, nous serions contraints de contre-attaquer avec 50 000 postes… et c’est pas donné, la location d’un tel parc. Fatal, ça risque d’augmenter nos tarifs… »

On ne peut éviter d’imaginer les prochaines publicités des hébergeurs marrons : « Outre une garantie d’uptime en 24/7/365, nous offrons un éventail de services « on demand » de location de temps CPU associés aux meilleurs outils de productivité développés à ce jour : éventreurs de SHA1, détrousseurs de PGP, atomiseurs de mots de passe GMail, Hotmail, MSN, Outlook Server, compilateurs de Captcha complexes etc. Avec notre offre Troïka-bit-slice-bulletproof, vous ne payez que ce que vous consommez, vous consommez sans avoir à sortir de chez vous, vous commandez sans avoir à investir un kopek en matériel, logiciel, mise à jour ou maintenance. Troïka-bit-slice-bulletproof : Même le FSB nous l’envie… »

Le Cloud Computing, outil de luxe pour hacker ? ce n’est pas franchement nouveau, puisque cette idée trotte dans les esprits depuis au moins les premières heures d’existence de Seti@home : disposer d’un réseau de calcul distribué – et donc d’une formidable puissance de traitement-, voilà un véritable rêve de pentesteur.

L’équipe de Neohapsys a repris cette idée et s’est lancé dans la fabrication d’un casseur de mot de passe nouvelle génération. La partie active du programme peut être diffusée via une attaque XSS, et quelques astuces permettent de continuer à faire travailler la JVM distante même lorsque la page web infectée a été fermée. Une petite séquence vidéo montre grossièrement comment fonctionne ce « cloud hacking ».
Même idée, mais plus de détails techniques et surtout financiers sur le blog Electric Alchemy (ce qui prouve qu’une bonne trouvaille n’est que trop rarement le fait d’une seule équipe). Cette fois, le programme de hacking utilisé est disponible en téléchargement (gratuit). Ce n’est autre que EDPR (Elcomsoft’s Distributed Password Recovery)… Amélioré par une dll magique offerte, pour les besoins de la cause, par Andrey Belenko, d’Elcomsoft. Restait à réaliser la Cloudification effective de l’outil d’attaque, ce qui fut réalisé tout naturellement en faisant appel au service EC2 d’Amazon. Toute la question était de savoir si le « coût du service » pouvait s’avérer rentable, et en fonction de quelle complexité de mot de passe. Tous les détails de l’attaque, les résultats des tests de « solidité » des mots de passe et le rapport complexité/coût d’une attaque en « brute force » sur le site des briseurs de clefs. Les résultats sont édifiants. Un mot de passe « simple » -alphabétique uniquement- de plus de 13 caractères coûtera, avec cette technique, près d’un million de dollars à casser. En dessous de 12 caractères, l’opération sera pratiquement gratuite. Idem pour les mots de passe complexe (lettres, chiffres, symboles…). En dessous d’une longueur de 8 caractères, les coûts sont insignifiants. Au-delà, les prix grimpent rapidement. Insistons sur le fait que ces métriques ne reposent que sur l’usage d’un procédé « brute force ». Un mot de passe de 30 ou 40 caractères alphabétiques constitué de différents mots connus ne résiste pas très longtemps face à une attaque par dictionnaire. Et l’on ne parle pas de l’efficacité des Rainbow Tables. Les vendeurs de ressources de calcul « cloudifiées » ont donc de beaux jours à vivre.

Il est important de relire attentivement le bulletin de support Microsoft 976749. Et plutôt deux fois qu’une, compte tenu des fantaisies provoquées par la traduction automatique de la « knowledge base ». Car ce bulletin nous apprend l’existence d’une rustine de rustine chargée de rectifier le comportement de la MS-09-054 corrigeant quelques défauts d’I.E.8, mais ayant provoqué, chez certains usagers, des instabilités fâcheuses. Un constat reconnu d’ailleurs par le Response Team de Microsoft. Mais l’application de cette rustine de rustine doit impérativement s’effectuer une fois que la 09-054 est installée. Dans le cas contraire, le remède est pire que le mal, et l’application du bouche-bouche trou peut affecter fortement le fonctionnement du navigateur …

Il y a deux manières de considérer la présence d’une entreprise sur la « toile » : la première, active et optimiste, qui considère la nécessité de posséder et étendre un « périmètre IP » le plus visible possible, la seconde qui vise à restreindre le plus possible tout ce qui pourrait servir à alimenter les « vecteurs d’intelligence » des entreprises concurrentes. D’un côté donc l’optique d’un Internet –vitrine, sur laquelle tout est bon pour faire du « buzz »- et de l’autre un regard paranoïde qui considère toute information divulguée comme une fuite d’information. Entre les deux, un « juste milieu », qui associe à la fois cette forme de couverture médiatique et un véritable contrôle de ce qui se raconte.

Mais comment découvrir précisément ce qui se raconte ? s’interroge Spylogic, dans un passionnant article consacré à l’Osint (Open Source Intelligence). Ce premier volet d’une série est consacré aux outils capables d’effectuer ce « data mining du web », cet audit de ce qui se dit d’une entreprise, que ces propos soient véhiculés par les canaux officiels de la société, les médias un peu moins contrôlés des blogs tenus par les collaborateurs ou les sources plus fluctuantes des forums et services Web2.0 assimilés. De Google à Spock, de Social Mention à Who’s talking, en passant par les analyseurs de contenu vidéo tel Pixsy ou Junoba, les outils de recherche Facebook ou MySpace… Il y a là un intéressant travail de « compilation des outils de compilation », préalable indispensable avant de penser à établir une véritable politique de communication Internet.

L’on a déjà hâte de lire le second volet. A de très rares exceptions près, les « DirCom » se montrent généralement incapables de maîtriser correctement les réseaux sociaux, parfois par manque de culture « geek », souvent par absence de dialogue interne. Soit le résultat manque totalement de spontanéité, soit la seule réponse face à cette nouvelle forme de communication se traduit par une interdiction formelle de « parler ». Un oukase qui très souvent profite à « l’ennemi ».

Pendant ce temps, à Langley, nous apprend Wired, les Maîtres-Espions de la CIA ont estimé que la chasse aux utilitaires, freewares et crawlers divers pouvait être élégamment évitée en investissant directement dans une entreprise spécialisée dans ce genre de recherche. In-Q-Tel, la branche investissements de l’Agence, a pris une participation dans Visible Technology, spécialiste de la rechercher et du recoupement d’informations disponibles sur le réseau public. Le but cette fois n’est pas franchement de veiller à ce que ne se produise une fuite d’information pouvant nuire à la « maison USA », mais plutôt de jouer le rôle de la partie adverse, à savoir la récupération d’indices à caractère privé concernant tout internaute ou entité ayant commis l’imprudence de confondre « périmètre IP » et « donnés exploitables »… si tant est qu’il existe une frontière précise entre ces deux notions.

On reconnaît bien là le vieux démon totalitariste américain, et ce ne serait pas en Europe qu’une telle chose pourrait arriver, vieux continent héritier des Lumières du XVIIIème et d’une longue tradition eudémoniste, défenderesse d’un Internet-espace-de-liberté…

Enfin presque. Puisque « chez nous », cette infrastructure de flicage prend le nom d’Indect, « Intelligent information system supporting observation, searching and detection for security of citizens in urban environment ». Un site Web existe même, expliquant qu’Indect est destiné notamment à la« registration and exchange of operational data, acquisition of multimedia content, intelligent processing of all information and automatic detection of threats and recognition of abnormal behaviour or violence »… à l’enregistrement, à l’échange de données opérationnelles, à l’acquisition de contenu multimédia, au traitement de toute forme d’information, la détection automatique de menaces et reconnaissance des comportements anormaux ou violents…. Ce n’est jamais, résume Wikileak, qu’un organisme de plus chargé de filtrer la totalité de ce qui se passe sur le Net afin d’en tirer des données privées ou personnelles. Security4all en publie d’ailleurs un billet relativement dépressif, qui conclut en substance « doit-on, outre les cybercriminels, craindre également nos propres gouvernements ? ». L’on pourrait ajouter « de ces deux maux, quel est celui qui est le plus à craindre ? », car si l’on peut toujours espérer une absence de mémoire organisationnelle de la part des organisations mafieuses, il est illusoire d’espérer la moindre amnésie de la part d’un service de police ou d’espionnage gouvernemental. Et il est tout aussi vain de croire que les dispositions sécuritaires d’aujourd’hui ne seront jamais exploitées demain par des gouvernements un peu moins libéraux, un peu plus musclés, encore plus inquisiteurs.

Parfois, les hasards du calendrier –ou les conséquences technico-marketing d’une annonce- provoquent des télescopages aussi intéressants qu’amusants. L’on pouvait lire, en début de semaine passée, un billet très mesuré sur le blog de Nono, expliquant pourquoi les antivirus sont parfois ou souvent rejetés par les usagers et pour quelle raison l’arrivée de Security Essential de Microsoft (A.V. gratuit successeur de Onecare) pouvait, dans une certaine mesure, réconcilier l’homo-informaticus avec ce bouclier imparfait… mais bouclier quand même. Dans ce dialogue philosophique à la Micromega, le rôle de l’avocat général est tenu par un certain « Robert », dont les arguments sont étrangement repris en très grande partie par…. F-Secure, dans un film d’animation expliquant lui aussi les défauts des antivirus traditionnels.

Seule diffère la conclusion de l’histoire. Dans le premier conte, l’A.V.-Charmant sauve l’utilisatrice des griffes des abominables malwares grâce à sa légèreté et sa gratuité, dans la seconde narration, le Sauveur-Heuristique-Pourfendeur de virus remporte la victoire en parvenant à battre de vitesse les Méchants grâce à sa réincarnation en « cloud-computing » (ce qui lui assure long karma, légèreté, adaptabilité et surtout préservation de l’abonnement-RATP qui lui permettra d’acheter chaque année l’avoine de son cheval ontologique).

Quelque chose nous dit que, malgré le dessin-animé et la parabole sur le « pouce opposable », Robert, le copain de Nono, ne va pas apprécier la version métempsychose proposée par F-Secure.

Désactiver les journaux tenus par défaut, oublier d’activer ceux qui paraissent les plus importants, omettre de centraliser le syslog sur une machine centralisatrice (ou d’en dupliquer le contenu), vider les journaux après une courte période… Anton Chuvakin dresse sur son blog les 6 ou 7 péchés capitaux du log mal maîtrisé. C’est vivant, didactique, amusant… que celui qui n’a jamais commis au moins l’une des erreurs ainsi dénoncées jette le premier mini-dump.