mars, 2010

Pioché dans Wired, cette étonnante affaire qui a traumatisé bien des automobilistes d’Austin, Texas. Un matin, à l’heure où les « commuters » quittent leurs foyers pour rejoindre leurs lieux de travail, une centaine d’habitants d’Austin n’ont pu démarrer leurs véhicules. Cette épidémie de pannes s’est même traduite, sur certains modèles, par un déclenchement intempestif de l’avertisseur sonore, forçant ainsi leur propriétaire à débrancher la batterie.

Le mystère de ce H1N1 mécanique a rapidement été résolu : tous les véhicules incriminés étaient équipés d’un système d’immobilisation préalablement installé par les sociétés de crédit, dispositif pouvant être déclenché à distance si les échéances venaient à ne plus être respectées. On imagine aisément que tôt ou tard, un touche-à-tout finirait bien par trouver une faille dans le système et s’amuserait à déclarer « insolvable » un certain nombre de clients… avec les conséquences que l’on devine. Le touche-à-tout en question s’appelle Omar Ramos-Lopez, ancien employé de la chaine Texas Auto Center victime d’une réduction de personnel, et qui manifestement avait une dent envers son ancien employeur. L’accès frauduleux au système informatique de déclaration d’impayé a été effectué sous l’identité d’un autre collaborateur de l’entreprise, c’est donc le fait de ce que les américains désignent par l’épithète de « insider » ou « disgruntled employee ». Administrateur : 0, Omar Ramos-Lopez : 1

Reste que titrer sur le « hack d’une centaine de voitures » fait vendre plus de papiers que d’informer sur une politique de gestion des ACL un peu trop légère, d’une sensibilisation interne inefficace ou d’une attribution de privilèges chaotique.

Le véritable hack, s’il avait eu lieu, n’aurait d’ailleurs pas eu à recourir à un traficotage du fichier central des impayés. Ce système d’immobilisation des véhicules utilise probablement un dérivé des « pagers », tant prisés Outre Atlantique. A l’époque où même l’inviolabilité du GSM fait l’objet de conférences à l’occasion des conférences CCC, il ne doit pas être très compliqué de tutoyer le mécanisme radio « anti-mauvais-payeur » qui doit très probablement être « spoofable » à l’aide d’une SDR (Radio à définition logicielle). La récolte de preuves et le traçage de l’intrus auraient été considérablement plus difficiles à réaliser et le terme « hacking » aurait alors mérité d’être utilisé.

« To be clear, I’m not revealing 20 apple bugs at #cansec, I’m revealing how I found 20 apple bugs. ». Charles Miller, le compagnon de recherches de Dino Dai Zovi, tente d’écarter le sensationnalisme des titrailles qui font la une d’une presse peu soucieuse d’exactitude. A l’occasion de la prochaine CanSecWest (Sheraton Wall Centre de Vancouver, du 24 au 26 mars), il ne dévoilera pas le détail de ses travaux, mais s’étendra sur la manière avec laquelle il est parvenu à découvrir les trous de sécurité. On est donc relativement loin d’une nouvelle édition du MoaB de LMH. Dai Zovi, par le passé, a déjà remporté avec brio le concours « P0wn20wn » de CanSecWest.

Selon nos confrères du Canard Enchaîné, les données personnelles des millions de porteurs d’une carte de fidélité (numéro de carte de crédit non compris) seraient accessibles sans protection via le site Internet de l’entreprise. Seraient notamment disponibles les noms et prénoms, adresses, numéros de téléphone et dates de naissance des abonnés. En d’autres termes, tout ce qui est nécessaire pour mener à bien une attaque en « spear phishing » et collecter ainsi des crédences bancaires par centaines de milliers. Cette histoire duraille est dévoilée le lendemain de l’affaire de la « fausse attaque à la bombe ».

On ne peut qu’être étonné d’une telle perméabilité entre les ressources WAN et le réseau interne de la Société Nationale. Il reste à espérer que les ressources de la « régulation » (trafic des trains sur le réseau) est un peu plus protégé que ne l’est la vie privée des clients. Déjà cible régulière des professionnels du phishing, l’entreprise n’a jamais fait d’autres efforts pour combattre ces attaques que de publier un vague communiqué d’alerte camouflé à un énième niveau de l’arborescence de ses serveurs Web. Espérons que ce double raté sera l’occasion pour les RSSI de la « grande maison » de faire entendre leur voix et leurs revendications budgétaires, avant celles un peu plus tonitruantes des responsables du Marketing.

RSnake est d’humeur taquine, ces jours-ci. C’est en discutant à bâtons rompus avec un blackhat spécialiste de l’intrusion ciblée et de la pénétration (réseau) vicieuse que le papa du « clickjacking » s’est posé une question simple : Pourquoi s’enquiquiner à lancer des attaques risquées, se fatiguer à contourner des firewall, s’échiner à effacer ses traces en censurant les logs, passer des nuits blanches avec pour seule compagnie Nmap et une tasse de café, dans le seul but de cartographier les défenses périmétriques d’une banque ? Il est tellement plus simple de demander à un loueur de botnet s’il ne possède pas, parmi les zombies de son troupeau, des machines dépendant de tel domaine ou de tel groupe IP… car, compte-tenu de la taille des réseaux de bots actuels, il y a de fortes chance d’y découvrir des machines déjà compromises. Moins de stress, moins de fatigue, plus de sécurité, voilà une méthode qui pourrait rendre la vie plus supportable aux pirates de haut vol.

D’ailleurs, au lieu de lire des mémoires sur les PRA/PCA (plans de reprise ou de continuité d’activité), mieux vaut prendre exemple sur ces mêmes gardiens qui, eux, ont mis en pratique ce que les gens de l’industrie envisagent de déployer. La preuve ? C’est, nous apprend Security News, la rapidité avec laquelle la « coupure de service » d’un des plus gros hébergeurs marron Casaque a été réparée. Troyak.org est une maison réputée pour la qualité de son offre. Particulièrement dans l’hébergement de centres de contrôle et de commande de botnets en général et de Zeus en particulier (25 % de ce marché très lucratif). Mais, révèle ScanSafe, l’on aurait détecté une intense activité dans le trafic des malwares peu de temps avant ladite coupure puis, une fois le réseau de Troyak coupé du monde, une brutale baisse de l’activité de Zeus suivi d’une remontée en régime quasi immédiate. Tout indique donc que les gardiens de Botnets ont été prévenus largement à l’avance et ont eu le temps de mettre à jour l’intégralité de leur réseau.

Entre temps, Troyak est revenu à la vie. Ce serveur n’est pas que spécialisé dans l’hébergement de C&C. Il donne aussi dans les opérations de scam, de phishing et de pauvres demoiselles Russes en quête de l’homme de leur vie. L’on retrouve la trace de cet hébergeur dans bien des « portfolio » tenus à jour par Dancho Danchev.

Fourniture d’ordinateurs-traîtres à la demande, service rapide et permanent… que faut-il de plus ? La simplicité du mode opératoire, bien sûr. « Vous savez envoyer un email ? Alors vous avez toutes les capacités techniques nécessaires pour devenir exploitant de botnets » nous explique un article de SF-Gate (http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/2010/03/13/BU6J1CEPK6.DTL). Savoir expédier un email et surtout disposer d’une avance de fonds de 2500 $, de quoi acheter un ordinateur, le logiciel à fabriquer du botnet, un peu de support-client auprès d’un hacker noir chargé du SAV… Ca devient du travail d’amateur, la fin des botnets « cousus main », assemblés pièce par pièce par des gourous du code et des ténors du réseau.

Au cas où cela aurait échappé à l’œil acéré de nos lecteurs, Core Security aurait découvert une faille (un gouffre béant) dans l’architecture de Virtual PC. Security News, le HNS et même Slashdot relatent les faits. Microsoft n’émet pas de bulletin d’alerte.

La vulnérabilité se situe dans le mécanisme de gestion mémoire de la VM, et permet de lire et écrire dans l’espace mémoire situé au-delà les 2 premiers Go de ram. Espace mémoire situé dans le userland et donc susceptible d’accepter l’exécution de programmes. Une telle attaque contournerait totalement les systèmes de protection internes contemporains tels que DEP, ASLR et SafeSEH. Hyper-V ne serait pas concerné par ce problème. Aucune certitude cependant concernant Virtual Server, qui utilise plus ou moins la même architecture.

Plutôt que de trafiquer les « bandits manchots » et autres roulettes, deux astucieux tricheurs Londoniens sont parvenus à s’infiltrer dans le système informatique d’un casino et imprimer des tickets de payement, nous apprend le Telegraph

Un peu moins de 4 ans de prison, 3 ans de probatoire et 75 000 euros d’amende : c’est la peine que devra purger un ancien employé de la Barclays, reconnu complice dans le formidable détournement d’identités bancaires de l’affaire TJX-Office Max-Heartland

C’est un marchand de tissus Américain qui dévoile l’affaire, en publiant sur son site un message d’avertissement à l’attention de ses clients : d’août à septembre, des malfrats auraient substitué les Terminaux Point de Vente de plusieurs magasins du Wisconsin. Aucun détail technique n’a filtré à propos des modifications apportées aux TPV, ni sur l’étendue exacte de ce vol d’identités bancaires organisé. Mais le procédé semble bien rôdé, comme le démontre Andy Greenberg du journal Forbes. Une courte séquence vidéo insérée dans l’article montre comment les truands parviennent à échanger le terminal relié à une caisse enregistreuse. Le lecteur transmettait-il ses données par WiFi ou liaison GSM ? Combien de carte ont ainsi été détournées ? Pour l’heure, la police ne semble pas prête à se livrer à trop de confidences, de peur probablement d’éveiller des vocations.

Cette variation sur le thème du skimming est d’autant plus efficace qu’il est difficile de soupçonner les TPV de caisse, en théorie toujours surveillé par le personnel du magasin. En outre, les fabricants de ces appareils clament depuis des années l’inviolabilité de leurs boîtiers, l’absolue fiabilité de leurs électroniques, l’impossibilité garantie sur facture de voir le système détourné de sa fonction première.

Comme rien ne semble distinguer un TPV compromis d’un autre terminal de saisie, il devient donc prudent de ne plus accepter d’insérer une carte de crédit dans un boîtier qui ne soit pas solidement attaché à un solide support métallique. Voilà qui ne va peut-être pas faire plaisir à bon nombre de restaurateurs, pompistes, postiers et autres « passeurs de terminaux sous l’hygiaphone ». Ceux qui, en revanche, vont voir les affaires reprendre, ce sont les fabricants de ces appareils prétendument inviolables qui voient brusquement leur marché de l’accessoire de fixation devenir très tendance.

« L’accident annoncé sur ce site n’a jamais eu lieu » dit en substance le communiqué de la SNCF. Une attaque à la bombe Mâconnaise tout à fait virtuelle faisant partie d’un « exercice de simulation de crise », s’est retrouvée annoncée par hasard sur le serveur sncf.com dans la matinée du 16 mars. Annonce rapidement retirée et remplacée par le fichier pdf mentionné. Et le service de presse de préciser avec entrain

« SNCF travaille de manière continue à l’anticipation de situations perturbées pouvant aller jusqu’à des situations exceptionnelles. Chaque mois, elle organise des exercices de simulation de ces situations.

C’est le rôle et la responsabilité de SNCF de se préparer à gérer les situations à risques afin de garantir la prise en charge de ses clients. »

En fait, la seule chose qui semble dérailler facilement, Rue du Commandant Mouchotte , ce sont les routeurs et l’isolation intranet/Internet. De quoi faire pondre quelques jolis mémoires aux spécialistes des attaques Scada.

Sera-t-il appliqué, ou passera-t-il inaperçu, le correctif transitoire baptisé « Disable peer factory in iepeers.dll ». ? Ce patch temporaire répondant à l’alerte 981374 colmate une faille particulière qui n’affecte que I.E. 6 et 7, probablement le navigateur le plus utilisé en entreprise à l’heure actuelle, et dont la mise à niveau donne quelques migraines aux responsables de déploiement. Migraines qui ont de fortes chances de s’intensifier puisque, précise-t-on chez Microsoft, un exploit qui utilise cette vulnérabilité aurait été détecté « dans la nature ».

L’alerte en question avait largement été médiatisée à l’occasion du dernier mardi des rustines, conjointement à un autre avertissement, le fameux défaut « press F1 to be p0wn3d » (encore à l’état de preuve de faisabilité).

Cette semi-rustine est donc un semi « out of band » destiné à contrer un semi-danger, semi-diffusé et semi-médiatisé. Tout juste de quoi être à moitié inquiété.