avril 20th, 2010

Posté on 20 Avr 2010 at 10:17

Postini : les opérations de «police» (orchestrées par certains éditeurs ?) contre les botnets Waledac ou Mariposa ont eu peu de conséquences : baisse de 12% du spam versus Q4 2009.

Posté on 20 Avr 2010 at 10:04

François Paget de l’Avert Lab démonte les techniques de rabattage des casinos en ligne qui drainent en masse les internautes trop crédules.

Posté on 20 Avr 2010 at 9:59

Nessus 4.2.2 vient de sortir. Quelques changements intéressants du côté de l’identification proxy sous NTLM qui raviront les homme Sécurité du monde Windows

Les héritiers de RBN et le TaaS : Truandage As A Service

Posté on 20 Avr 2010 at 1:35

La Cyber-Cosa-Nostra Russe se porte comme un charme et a tiré des leçons du passé. Et le principal enseignement tient en peu de mots : abandon définitif des architectures offrant un « single point of failure » comme disent les spécialistes. Sur ce sujet, Pierre Caron du Cert Lexsi nous raconte comment fonctionne GrandHost, hébergeur officiel de la techno-mafia des pays de l’Est. Les datacenters et centres d’hébergement de Saint Petersburg du RBN ont disparu pour laisser place à des offres de hosting dédiées, virtuelles ou mutualisées, sur des sites répartis dans « plusieurs régions du globe » dans le cadre de machines louées à d’autres hébergeurs. Une sorte de sous-location à géométrie variable. Le Cloud-truand existe avant même que le Cloud industriel ait fait son apparition.

Outre cette réduction de la surface vulnérable, ces hébergeurs accroissent la palette de services offerts aux clients : enregistrement anonyme et opaque, vérification de la « qualité » et de l’absence de détection des vecteurs d’attaque (troyens, virus, ), surveillance des « listes noires » des divers grands surveillants du Net (SpamHaus, PhishTank, McAfee etc). Le tout assuré par une équipe de suivi technique digne d’un fournisseur « blanc Persil ».

Dancho Danchev rédige de son côté un article fort proche, qui traite également des nouvelles offres des « hosteurs » mafieux. Et plus particulièrement du recrutement des petites mains chargées de récolter l’argent des différentes escroqueries en ligne. En d’autres termes, un département « Mule As A Service », que l’hébergeur propose à chacun de ses clients, eux-mêmes (voir plus haut) spécialisés dans le phishing, le scam, le scareware, les botnets etc. Là encore, le travail des gardiens de mules s’étend sur plusieurs pays du globe. « la cyberdélinquance, insiste Danchev, doit être considérée non plus avec une optique nationale, mais sous un angle international, puisque chaque nation possède son propre lot de délinquants du « on line » ». Et c’est bien le cas des « mules », qui sont proposées par ces spécialistes du Travail Mafieu Temporaire. « Ce qui est le plus impressionnant dans ce cas, continue l’auteur, c’est l’efficacité de la répartition géographique de ce quasi « syndicat de recrutement des mules » » : 11 en Hollande, 11 en Chine, 29 aux USA, 8 en Belgique, 1 en Allemagne. Une cartographie soigneusement dressée à l’aide des DNS employés.

Les services d’enrôlement des mules sont devenus très actifs et prospères depuis les 8 derniers mois. La crise aidant et les écarts de profits entre les « gros salaires » directoriaux et le commun des mortels devenant de plus en plus importants, la tentation d’un « second emploi très rémunérateur de correspondant commercial » est bien tentante. D’autant plus que ces offres sont généralement présentées comme des postes d’intermédiaires de transactions fleurant bon la légalité et la respectabilité.

France, dans le Top 15 des hébergeurs noirs

Posté on 20 Avr 2010 at 1:10

Fin mars, Brian Krebs signait un article au vitriol dénonçant les hébergeurs pas trop regardants sur la légalité de leurs clients. Parmi les mauvais élèves, OVH, qui serait présent sur pratiquement tous les fronts de l’hébergement de malware. Métriques différentes, approche semblable chez HostExploit.com, qui en novembre dernier, donnait un tiercé pessimiste des hébergeurs les plus « gris » de la planète. Premier Velcom (Canada), second IPNap-ES (USA), troisième OVH (France). Chiffres, précisait le rédacteur de l’étude, à prendre avec prudence, l’outil d’analyse n’ayant pas, à l’époque, dépassé le stade de la pré-version.

Depuis, les métriques de HostExploit se sont affinées. Et si OVH n’est plus le troisième hébergeur le plus malsain du globe, il figure tout de même en 13ème place de ce palmarès peu glorieux. L’hébergeur le plus « noir » serait le Hollandais Ecatel, suivi par les Américains DemandMedia et BlueHost, puis par le Russe Webalta. En cinquième place, à nouveau un Hollandais, WorldStream. Cette classification est le fruit d’une pondération complexe donnant pour résultat un indice de « méchanceté », lequel prend en compte non seulement le pourcentage de sites hébergés malsains proportionnellement à la taille de l’hébergeur, mais également la nature des menaces détectées (troyens, C&C, émetteurs de spam etc). Le classement par pays donne donc les USA grand gagnant dans cette course au maléfice, le pays Batave arrivant en deuxième place, la fédération de Russie en troisième et l’Allemagne en quatrième.

Publicité

MORE_POSTS

Archives

avril 2010
lun mar mer jeu ven sam dim
« Mar   Mai »
 1234
567891011
12131415161718
19202122232425
2627282930