mars 17th, 2010

Selon nos confrères du Canard Enchaîné, les données personnelles des millions de porteurs d’une carte de fidélité (numéro de carte de crédit non compris) seraient accessibles sans protection via le site Internet de l’entreprise. Seraient notamment disponibles les noms et prénoms, adresses, numéros de téléphone et dates de naissance des abonnés. En d’autres termes, tout ce qui est nécessaire pour mener à bien une attaque en « spear phishing » et collecter ainsi des crédences bancaires par centaines de milliers. Cette histoire duraille est dévoilée le lendemain de l’affaire de la « fausse attaque à la bombe ».

On ne peut qu’être étonné d’une telle perméabilité entre les ressources WAN et le réseau interne de la Société Nationale. Il reste à espérer que les ressources de la « régulation » (trafic des trains sur le réseau) est un peu plus protégé que ne l’est la vie privée des clients. Déjà cible régulière des professionnels du phishing, l’entreprise n’a jamais fait d’autres efforts pour combattre ces attaques que de publier un vague communiqué d’alerte camouflé à un énième niveau de l’arborescence de ses serveurs Web. Espérons que ce double raté sera l’occasion pour les RSSI de la « grande maison » de faire entendre leur voix et leurs revendications budgétaires, avant celles un peu plus tonitruantes des responsables du Marketing.

RSnake est d’humeur taquine, ces jours-ci. C’est en discutant à bâtons rompus avec un blackhat spécialiste de l’intrusion ciblée et de la pénétration (réseau) vicieuse que le papa du « clickjacking » s’est posé une question simple : Pourquoi s’enquiquiner à lancer des attaques risquées, se fatiguer à contourner des firewall, s’échiner à effacer ses traces en censurant les logs, passer des nuits blanches avec pour seule compagnie Nmap et une tasse de café, dans le seul but de cartographier les défenses périmétriques d’une banque ? Il est tellement plus simple de demander à un loueur de botnet s’il ne possède pas, parmi les zombies de son troupeau, des machines dépendant de tel domaine ou de tel groupe IP… car, compte-tenu de la taille des réseaux de bots actuels, il y a de fortes chance d’y découvrir des machines déjà compromises. Moins de stress, moins de fatigue, plus de sécurité, voilà une méthode qui pourrait rendre la vie plus supportable aux pirates de haut vol.

D’ailleurs, au lieu de lire des mémoires sur les PRA/PCA (plans de reprise ou de continuité d’activité), mieux vaut prendre exemple sur ces mêmes gardiens qui, eux, ont mis en pratique ce que les gens de l’industrie envisagent de déployer. La preuve ? C’est, nous apprend Security News, la rapidité avec laquelle la « coupure de service » d’un des plus gros hébergeurs marron Casaque a été réparée. Troyak.org est une maison réputée pour la qualité de son offre. Particulièrement dans l’hébergement de centres de contrôle et de commande de botnets en général et de Zeus en particulier (25 % de ce marché très lucratif). Mais, révèle ScanSafe, l’on aurait détecté une intense activité dans le trafic des malwares peu de temps avant ladite coupure puis, une fois le réseau de Troyak coupé du monde, une brutale baisse de l’activité de Zeus suivi d’une remontée en régime quasi immédiate. Tout indique donc que les gardiens de Botnets ont été prévenus largement à l’avance et ont eu le temps de mettre à jour l’intégralité de leur réseau.

Entre temps, Troyak est revenu à la vie. Ce serveur n’est pas que spécialisé dans l’hébergement de C&C. Il donne aussi dans les opérations de scam, de phishing et de pauvres demoiselles Russes en quête de l’homme de leur vie. L’on retrouve la trace de cet hébergeur dans bien des « portfolio » tenus à jour par Dancho Danchev.

Fourniture d’ordinateurs-traîtres à la demande, service rapide et permanent… que faut-il de plus ? La simplicité du mode opératoire, bien sûr. « Vous savez envoyer un email ? Alors vous avez toutes les capacités techniques nécessaires pour devenir exploitant de botnets » nous explique un article de SF-Gate (http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/2010/03/13/BU6J1CEPK6.DTL). Savoir expédier un email et surtout disposer d’une avance de fonds de 2500 $, de quoi acheter un ordinateur, le logiciel à fabriquer du botnet, un peu de support-client auprès d’un hacker noir chargé du SAV… Ca devient du travail d’amateur, la fin des botnets « cousus main », assemblés pièce par pièce par des gourous du code et des ténors du réseau.

Au cas où cela aurait échappé à l’œil acéré de nos lecteurs, Core Security aurait découvert une faille (un gouffre béant) dans l’architecture de Virtual PC. Security News, le HNS et même Slashdot relatent les faits. Microsoft n’émet pas de bulletin d’alerte.

La vulnérabilité se situe dans le mécanisme de gestion mémoire de la VM, et permet de lire et écrire dans l’espace mémoire situé au-delà les 2 premiers Go de ram. Espace mémoire situé dans le userland et donc susceptible d’accepter l’exécution de programmes. Une telle attaque contournerait totalement les systèmes de protection internes contemporains tels que DEP, ASLR et SafeSEH. Hyper-V ne serait pas concerné par ce problème. Aucune certitude cependant concernant Virtual Server, qui utilise plus ou moins la même architecture.

Plutôt que de trafiquer les « bandits manchots » et autres roulettes, deux astucieux tricheurs Londoniens sont parvenus à s’infiltrer dans le système informatique d’un casino et imprimer des tickets de payement, nous apprend le Telegraph

Un peu moins de 4 ans de prison, 3 ans de probatoire et 75 000 euros d’amende : c’est la peine que devra purger un ancien employé de la Barclays, reconnu complice dans le formidable détournement d’identités bancaires de l’affaire TJX-Office Max-Heartland