février 24th, 2010

Routeurs des FAI : attaque en perspective

Posté on 24 Fév 2010 at 11:02

Chuck Norris serait une « preuve de faisabilité » développée par un chercheur Tchèque. Une recherche en droite ligne des scénarii d’attaque imaginés par l’équipe de GNU Citizen sur les routeurs WiFi des opérateurs Britanniques, et qui s’appuie notamment sur la compromission de routeurs à base de noyau Linux protégés par un mot de passe faible. Or, les mots de passe admin par défaut et autres clefs Web issues des adresses MAC desdits routeurs, cela fait déjà quelques années qu’on en parle, tant à l’étranger qu’en France. Certains de ces Sésames peuvent d’ailleurs être obtenus par simple « social engineering » en se faisant passer pour un ignorant total auprès des services de « ligne chaude » de certains fournisseurs d’accès.

Mais Chuck Norris va plus loin. Plus qu’une simple éventualité d’intrusion, il intègre les mécanismes de base nécessaires à l’établissement d’un botnet, lequel pourra être exploité pour lancer des attaques en déni de service, relayer du pourriel, spoofer du DNS, récolter du mot de passe… ad libitum selon la « charge utile » installée. Le père de Chuck Norris, Jan Vykopal, patron du département sécurité réseau de l’Institut des sciences informatique Masaryk de l’Université de Brno, s’appuie notamment sur quelques vulnérabilités caractéristiques de certains matériels et sur le fait que bon nombre de ces équipements sont paramétrés pour autoriser une forme d’administration ou de prise de contrôle à distance indispensable pour d’évidentes raisons de support, de test et de maintenance. En mettant la main sur un mot de passe par défaut, c’est tout le parc d’un FAI qui peut alors tomber sous la coupe d’un « bot herder ».

Pour l’heure, aucune information technique réelle n’a filtré quand aux détails du ou des exploits nécessaires à cette attaque. Même Gadi Evron se contente de renvoyer le lecteur sur un papier signé Bob McMillan, publié dans PC-World et dénué de toute information solide. Même le conseil donné par notre confrère (demander à chaque usager d’entrer un mot de passe « fort ») ne peut être sérieusement pris en compte, puisque précisément, le mot de passe d’origine n’est connu que du fournisseur d’accès… et de quelques hackers passionnés. A classer dans la catégorie « nonsense mitigating factor ». Un tel scénario d’attaque avait même été évoqué il y a un peu plus de 5 ans par quelques découvreurs de failles qui s’étaient penchés sur les routeurs Linksys et Zyxel aisément « flashables » à distance et trop populaires pour ne pas offrir aux voyageurs sans-fil quelques jolis mots de passe par défaut parmi une multitude d’appareils « wardrivés ».

S’il n’existe pour l’instant aucune preuve tangible de l’existence de Chuck Norris, spécialiste de la faute de frappe et des fleurs bleues contendantes, son existence est plausible. D’autant plus plausible que tout système télé-administrable est, en puissance, un réseau vulnérable par détournement, et que tout routeur utilisant un noyau plus ou moins standard est « riche » d’erreurs de conception compilables sur la liste Full Disclosure ou sur un site d’information tel que Milw0rm. Enfin, il est rare que les utilisateurs de ces routeurs possèdent à la fois la compétence et les informations nécessaires à la mise à niveau de leurs firmwares, ce qui pourrait bien hisser le « Poc » des chercheurs Tchèques au rang de « danger Scada » s’il s’avérait assez universel et adaptable pour être réellement exploitable.

Botnet : Zeus hait tout

Posté on 24 Fév 2010 at 11:00

Zeus et quelques unes de ses variantes fait à nouveau parler de lui. Depuis quelques jours, ce botnet réapparaît à la une des journaux. Parfois avec des accents dramatiques (c’est notamment le cas des médias non spécialisés) souvent avec une note de désespoir dans les titres. Ainsi Brian Krebs qui rappelle que cette vague n’est pas franchement nouvelle et que sa médiatisation tient pour beaucoup des départements marketing de certains vendeurs de sécurité périmétrique. Mais, reconnaissent tous les experts, Zeus demeure dangereux. Krebs (encore lui) rappelle que c’est cette infection qui a presque ruiné une petite société d’assurance du Michigan. Même son de cloche du côté de F-Secure, qui fait au passage des politesses à Krebs et rappelle que nihil novi sub sole : même affublé d’un nouveau nom (Kneber), un Zeus est toujours un Zeus, tonnerre de JeruB !

Mais les plus beaux morceaux d’anthologie sont signés respectivement par Dancho Danchev et par Atif Mushtaq. Danchev chasse les botnets depuis l’époque où le mot même n’existait pas. Son dernier papier (parmi une impressionnante collection) détaille avec précision les réseaux de serveurs vecteurs d’infection et l’organisation que ces campagnes de compromission supposent. L’autre morceau de bravoure, signé Atif Mushtaq du FireEye Malware Intelligence Lab, explique ce qu’est une attaque « Man in the Browser », une nouvelle forme d’exploitation mise en œuvre par ces fameux « modern password stealer and banking Trojans »… et notamment Zeus. Tout çà se lit comme un roman d’espionnage. C’est de la très bonne vulgarisation, et l’on regrette un peu que les chercheurs français ne prennent pas plus de temps à rédiger de tels scénarii, bien plus persuasifs pour la majorité des lecteurs qu’un exposé sérieux et sobre sur les mécanismes de fonctionnement dudit virus, dump mémoire, captures Wireshark et écrans de Process Explorer à l’appui. Science sans vulgarisation n’est que ruine de l’âme.

Publicité

MORE_POSTS

Archives

février 2010
lun mar mer jeu ven sam dim
« Jan   Mar »
1234567
891011121314
15161718192021
22232425262728