avril, 2010

Postini : les opérations de «police» (orchestrées par certains éditeurs ?) contre les botnets Waledac ou Mariposa ont eu peu de conséquences : baisse de 12% du spam versus Q4 2009.

François Paget de l’Avert Lab démonte les techniques de rabattage des casinos en ligne qui drainent en masse les internautes trop crédules.

Nessus 4.2.2 vient de sortir. Quelques changements intéressants du côté de l’identification proxy sous NTLM qui raviront les homme Sécurité du monde Windows

La Cyber-Cosa-Nostra Russe se porte comme un charme et a tiré des leçons du passé. Et le principal enseignement tient en peu de mots : abandon définitif des architectures offrant un « single point of failure » comme disent les spécialistes. Sur ce sujet, Pierre Caron du Cert Lexsi nous raconte comment fonctionne GrandHost, hébergeur officiel de la techno-mafia des pays de l’Est. Les datacenters et centres d’hébergement de Saint Petersburg du RBN ont disparu pour laisser place à des offres de hosting dédiées, virtuelles ou mutualisées, sur des sites répartis dans « plusieurs régions du globe » dans le cadre de machines louées à d’autres hébergeurs. Une sorte de sous-location à géométrie variable. Le Cloud-truand existe avant même que le Cloud industriel ait fait son apparition.

Outre cette réduction de la surface vulnérable, ces hébergeurs accroissent la palette de services offerts aux clients : enregistrement anonyme et opaque, vérification de la « qualité » et de l’absence de détection des vecteurs d’attaque (troyens, virus, ), surveillance des « listes noires » des divers grands surveillants du Net (SpamHaus, PhishTank, McAfee etc). Le tout assuré par une équipe de suivi technique digne d’un fournisseur « blanc Persil ».

Dancho Danchev rédige de son côté un article fort proche, qui traite également des nouvelles offres des « hosteurs » mafieux. Et plus particulièrement du recrutement des petites mains chargées de récolter l’argent des différentes escroqueries en ligne. En d’autres termes, un département « Mule As A Service », que l’hébergeur propose à chacun de ses clients, eux-mêmes (voir plus haut) spécialisés dans le phishing, le scam, le scareware, les botnets etc. Là encore, le travail des gardiens de mules s’étend sur plusieurs pays du globe. « la cyberdélinquance, insiste Danchev, doit être considérée non plus avec une optique nationale, mais sous un angle international, puisque chaque nation possède son propre lot de délinquants du « on line » ». Et c’est bien le cas des « mules », qui sont proposées par ces spécialistes du Travail Mafieu Temporaire. « Ce qui est le plus impressionnant dans ce cas, continue l’auteur, c’est l’efficacité de la répartition géographique de ce quasi « syndicat de recrutement des mules » » : 11 en Hollande, 11 en Chine, 29 aux USA, 8 en Belgique, 1 en Allemagne. Une cartographie soigneusement dressée à l’aide des DNS employés.

Les services d’enrôlement des mules sont devenus très actifs et prospères depuis les 8 derniers mois. La crise aidant et les écarts de profits entre les « gros salaires » directoriaux et le commun des mortels devenant de plus en plus importants, la tentation d’un « second emploi très rémunérateur de correspondant commercial » est bien tentante. D’autant plus que ces offres sont généralement présentées comme des postes d’intermédiaires de transactions fleurant bon la légalité et la respectabilité.

Fin mars, Brian Krebs signait un article au vitriol dénonçant les hébergeurs pas trop regardants sur la légalité de leurs clients. Parmi les mauvais élèves, OVH, qui serait présent sur pratiquement tous les fronts de l’hébergement de malware. Métriques différentes, approche semblable chez HostExploit.com, qui en novembre dernier, donnait un tiercé pessimiste des hébergeurs les plus « gris » de la planète. Premier Velcom (Canada), second IPNap-ES (USA), troisième OVH (France). Chiffres, précisait le rédacteur de l’étude, à prendre avec prudence, l’outil d’analyse n’ayant pas, à l’époque, dépassé le stade de la pré-version.

Depuis, les métriques de HostExploit se sont affinées. Et si OVH n’est plus le troisième hébergeur le plus malsain du globe, il figure tout de même en 13ème place de ce palmarès peu glorieux. L’hébergeur le plus « noir » serait le Hollandais Ecatel, suivi par les Américains DemandMedia et BlueHost, puis par le Russe Webalta. En cinquième place, à nouveau un Hollandais, WorldStream. Cette classification est le fruit d’une pondération complexe donnant pour résultat un indice de « méchanceté », lequel prend en compte non seulement le pourcentage de sites hébergés malsains proportionnellement à la taille de l’hébergeur, mais également la nature des menaces détectées (troyens, C&C, émetteurs de spam etc). Le classement par pays donne donc les USA grand gagnant dans cette course au maléfice, le pays Batave arrivant en deuxième place, la fédération de Russie en troisième et l’Allemagne en quatrième.

Le moins que l’on puisse dire, c’est que dans la catégorie « exercice grandeur nature », l’équipe sécurité de la SNCF y a mis les moyens. La première phase dite syndicale, entamée il y a près d’une semaine, a eu pour conséquence une forte diminution du trafic ferroviaire en général et des rames TGV en particulier. En raison des mécanismes désormais connus du principe d’avalanche (sur-accident occasionné par une défaillance d’un « single point of failure »), le réseau de réservation Sud-Est a rapidement été saturé, provoquant un « down » généralisé des serveurs de réservation et des transports eux-mêmes. Il faut préciser que la période de vacances choisie était favorable à cet afflux de requêtes et à ses effets de bord. Mais là où la conscience professionnelle de la Cellule de Crise s’est montrée remarquable, c’est lorsque le volume du déni de service s’est trouvé renforcé par le gel des transports aériens (opération Eyjafjallajökull, mot compte triple, super-scrabble), lequel a véritablement montré à quel point le principe de Murphy devait être pris en compte dans l’établissement d’un PRA/PCA fonctionnel.

Une telle minutie dans la préparation et l’exécution de cette simulation nationale d’attaque Scada fait rapidement oublier les couacs du précédent exercice qui ne faisait que combiner une fausse attaque terroriste et une véritable intrusion des systèmes d’information. Les experts es-plan de continuité et les spécialistes des infrastructures de communication demeurent sans voix devant un tel souci du détail.

Mais ce n’est pas tout. Souhaitant probablement pousser les limites de résistance de la vie du rail, la Haute Direction du Service Régularité y est allé de son invention à elle, en proposant d’ajouter à ce festival de compromissions une véritable attaque en vol d’identité massif, prélude probable à une formidable opération de Phishing. Chaque voyageur ayant vu son train retardé en raison des contraintes de cet impressionnant exercice de sécurité s’est vu offrir une « promesse éventuelle de dédommagement non systématique ». Promesse concrétisée sous la forme d’une enveloppe-formulaire. Laquelle demande à chaque personne lésée de communiquer les renseignements suivants :

Nom, prénom, date de naissance, adresse complète, adresse email, détails du trajet, date de circulation -et donc d’absence du domicile- et autres données moins importantes.

Mais là où l’opération confine au génie, c’est lorsque l’on apprend que ces données personnelles doivent être inscrites à l’extérieur de l’enveloppe . Confier à un spécialiste du pentesting une nouvelle intrusion dans le système d’information de la Nouvelle SNCF aurait représenté un investissement relativement lourd, particulièrement si ce prestataire extérieur est, contrats administratifs obligent, certifié CISSP/ISO 27001. Il a donc été décidé que ce serait l’usager lui-même qui fournira en clair et exposé à tous les regards ses propres données personnelles. Comme de toute manière les wagons postaux sont immobilisés par la « régulation » compte tenu des difficultés de circulation ferroviaire, l’accès physique auxdites données personnelles sera par conséquent grandement facilité (Quai F, rame de couleur jaune, voiture 4).

Pendant ce temps, la cellule de crise de la Société Nationale garde un œil sur ses métriques, et complète même sa panoplie de mesures. Le 14 avril dernier, l’entreprise semi-publique organisait un sondage BVA intitulé « grande enquête de satisfaction ». Gageons que l’enthousiasme des usagers face à cet extraordinaire effort de sécurisation des infrastructures se traduira par un indice de satisfaction quasi pyramidal.

Comme cette simulation combinée air-rail ne concerne que la France, on ne peut que saluer l’à-propos du Ministère des Transports qui a immédiatement interdit tout trafic aérien… y compris celui des aérostats –dont les moteurs ont pourtant très peu de chances de se gripper-, de l’aviation de tourisme et des hélicoptères, même si ceux-ci n’évoluent qu’en dessous du « plafond » du nuage volcanique. Une mesure très probablement destinée à empêcher les quelques usagers finauds qui auraient pu voir là un moyen d’échapper aux contraintes de l’exercice de simulation et par conséquent en fausser les résultats finaux. Les autres pays de l’Union Européenne n’étant pas inclus dans ce merveilleux scénario n’en ont bien entendu pas fait autant.

A l’heure où nous rédigeons ces lignes –qui ne sont ni ferroviaires, ni aériennes- l’opération Eyjafjallajökull n’est toujours pas achevée. Les compagnies aériennes, dont les systèmes d’informations financières sont considérablement plus efficaces et rapides que leurs outils de tracking des bagages égarés, clament depuis J+2 que leurs pertes frisent les 148 millions d’Euros par jour et par compagnie. Celles des entreprises touchées par cet exercice sont en revanche loin d’être estimées …

Comment suivre un iPhone à la trace, récupérer des preuves de téléchargement illégal sur LimeWire, envisager l’émission d’une commission rogatoire internationale visant les serveurs de Gigatribe ou installer une « panoplie du petit hacker WiFi », farfouiller dans un compte MySpace ? En lisant attentivement une série de documents d’information publiés par différents services de police américains et diffusés par Cryptome. Ce sont là, pour la plupart, des notes de services internes destinées à vulgariser certaines notions de hacking auprès de fonctionnaires de police ne possédant pas forcément une fibre de techno-gourou. Si les professionnels de l’intrusion et du pentesting n’y trouveront que peu d’intérêt, ces fiches-cuisine pourront en revanche expliquer aux usagers « normaux » les rudiments de ce qu’il est possible de faire et ce qu’il est conseillé de ne pas utiliser… Une bonne introduction aux principes de base du chiffrement des données personnelles.

L’on peut noter au passage que l’étude de Gigatribe (programme Français) a été conduite par la Technological Crime Unit de la région de Niagara dans le cadre d’une enquête sur un réseau d’échange pédopornographique. Officiellement, en France, ce logiciel ne fait pas partie des programmes sous surveillance utilisés par les forces de gendarmerie du Fort de Rosny.

Apple, une fois de plus, se pose en gardien de l’ordre moral en refusant au caricaturiste américain Mark Fiore la diffusion d’une appliquette iPhone baptisée NewsToons. Prétexte : « ridicules public figures » et entrant dans la catégorie des contenus pouvant être considérés comme « obscene, pornographic, or defamatory » … Fiore est le premier homme de la presse en ligne à avoir remporté le prix Pulitzer, la plus haute distinction que peut obtenir un journaliste. Laura McGann, du Nieman Journalism Lab, a d’ailleurs du mal à ne pas laisser éclater son indignation en racontant comment la liberté de blâmer et de caricaturer est taxée de « non politiquement correct » par le premier constructeur mondial d’ordinateurs de couleur blanche.

Il y a de fortes chances que, devant les tollés de la presse américaine, Fiore revienne par la grande porte et soit enfin accepté par les Pères La Pudeur qui légifèrent sur le contenu de l’AppStore, et qu’au passage l’on voue aux gémonies un quelconque lampiste comme cela est déjà survenu par le passé.

Car ce n’est pas la première fois qu’Apple s’érige en censeur. Déjà, à la mi-mars, l’App Store censurait près de 5000 appliquettes sous prétexte qu’elles intégraient des contenus suggestifs. Après une semaine de campagne, la présidence de cette entreprise garante de la moralité a dû revenir sur sa décision, invoquant l’intervention un peu trop zélée d’une équipe de lampistes et jurant que de tels excès ne se reproduiraient plus. Fail, dit-on en langage sécuritaire.

Deux erreurs font-elle d’Apple un intégriste défenseur des idées de la « Bible Belt » ? Certes non. Mais après trois récidives ? L’on peut se demander si ces « regrettables erreurs » ne sont pas réellement l’expression d’une politique pudibonde imposée par les hautes sphères de Cupertino. Car si l’on fouille un peu dans les archives de l’entreprise, l’on retombe bien vite sur une autre interdiction, celle de l’application Eucalyptus, un simple lecteur d’eBooks, qui avait l’impudeur d’accepter les formats ouverts de la bibliothèque « open » du projet Gutemberg. Motif invoqué, une fois de plus, « inappropriate sexual content ». Car le contenu de Gutemberg, est essentiellement constitué d’œuvres classiques, c’est Madame Bovary, c’est le Kama Sutra, c’est la Religieuse de Diderot, c’est Alcool d’Apollinaire, ce sont Les Crimes de l’Amour de Sade… autant d’œuvres débordant de désirs, de sensualité, de chair, d’humanité. Une fois de plus, la pression populaire faisait reculer les Torquemada de la pensée puritaine, mais il s’en est fallu de peu.

Mais pour trois affaires remarquables, combien d’autres sont passées inaperçues ? Combien d’œuvres, de développements, de contenus se sont vus refuser par un comité de l’ordre moral auto-institué ? Ce lent prélude à une civilisation à la sauce Fahrenheit 451 ne semble pourtant évoquer aucun émoi auprès des grands médias Européens, encore sous le charme de la sortie de l’iPad* et de l’exceptionnelle ouverture d’esprit d’une société qui a accepté l’arrivée d’un navigateur alternatif sur sa plateforme iPhone. Seuls nos confrères États-Uniens continuent de se battre et de protester pour défendre une certaine idée de la culture et de ses origines plurielles.

NdlC, Note de la correctrice :sorte de tablette fortement inspirée du projet Origami de Microsoft… mais en plus « fermé ». Rien à voir avec un quelconque organisme de gestion de la région de Courbevoie

Après les 25 derniers bouchons Microsoft, la semaine des diffuseurs de correctifs a pris des allures de tour de France, séquence « montée du col de la Colombière ». Le MS-Virage une fois dépassé (appelé « le reposoir », le bien nommé), le peloton a attaqué la longue montée des patchs Oracle : 47 injections de ce fameux « pot SGBD » au logo de l’éditeur. Un cocktail qui, faut-il le remarquer, intègre une belle proportion de bouchons Sun. Le même jour, les spectateurs pouvaient constater que les concurrents de l’équipe Cisco avaient encore de la ressource, et contre-attaquaient avec un problème ActiveX, immédiatement talonné par un maillot Apple, le dossard CVE-2010-1120 pour être précis, qui masquait une fonte forgée pouvant conduire à des droits d’exécution anormaux. Se sentant distancée, l’équipe Sun revient avec deux security fix qui passent presque inaperçus. Car à ce moment très précis, Adobe reprend du poil de la bête, et l’on voit alors partir comme des fusées les failles CVE-2010-0190, CVE-2010-0191, CVE-2010-0192, CVE-2010-0193, CVE-2010-0194, CVE-2010-0195, CVE-2010-0196, CVE-2010-0197, CVE-2010-0198, CVE-2010-0199, CVE-2010-0201, CVE-2010-0202, CVE-2010-0203, CVE-2010-0204, CVE-2010-1241… inutile de les compter, il y en a 15 au total. Le tout empaqueté dans un bulletin général de bonne tenue, garanti sans stéroïde anabolisant.

Autour du peloton, les équipes médicales s’affairent. Les envoyés spéciaux de la chaine M86, postés à la buvette du col nous signalent que durant la nuit, le « bug-feature PDF de Didier Stevens » est passé du stade de « proof of concept » à celui d’attaque transportant de véritables morceaux de Zeus. Par le plus grand des hasards, une autre « faille de laboratoire », découverte, elle, par Tavis Ormandy s’est également transformée en véritable « exploit in the wild » comme disent les professionnels du cyclisme (discipline proche du Development Life Cycle viral). Ce serait AVG qui serait le premier tombé sur une preuve de cette exploitation. Le Sans a immédiatement sorti la Sécotine et, en l’absence de rustine effective, a derechef publié deux mesures de contournement pendant que le Team Oracle se demandait si les spectateurs allaient pouvoir se contenter d’une promesse de rectification dans les trois mois à venir. Mais, puisant dans ses ressources, le leader de l’équipe Oracle a pu fournir un impressionnant Java 6 Update 20.

Pour Renaud Lifchitz, tout est histoire de rythme. Ce jeune mathématicien vient de mettre au point une technique de détection d’empreinte d’horloge capable de révéler l’existence d’une machine en particulier n’importe où à l’intérieur d’un LAN –même complexe- ou, mieux encore, à distance via le réseau public.

« Il s’agit bien de détecter une machine en particulier, et non un modèle au sein d’une marque » précise le chercheur. « Cette technique peut servir notamment à tracer un ordinateur « stratégique » que l’on a localisé précédemment avec des moyens classiques, puis qui a «disparu » suite à certains changements de configuration (modification des signatures système, des adresses IP ou MAC etc). Il s’agit donc plus d’un outil complémentaire aux méthodes de fingerprinting classique que d’une arme unique et universelle ».

Le principe utilisé est simple : électroniquement parlant, il est quasiment impossible de trouver deux machines dont l’horloge système soit absolument parfaite. Les capacités parasites, la taille des quartz utilisés pour les entrées Clk, les longueurs de « fillasse » que constituent les pistes d’un circuit imprimé, les dégagement de température des circuits adjacents… tout contribue à ce qu’un quartz dérive, et par conséquent affecte l’horloge « logicielle » (qui elle-même extrapole ses battements de la base de temps constituée par le quartz). « Et c’est cette dérive dans le temps, parfois proche d’une seconde par jour, qu’il suffit de mesurer pour en extraire un profil qui sera propre à chaque machine ». Une mesure relativement simple en fait. « Il suffit de posséder une horloge de référence stable, précise, qui servira de référentiel. De tels étalons temporels existent partout dans le monde. Ce peut être un radio-source, tel que DCF77, qui envoie ses signaux depuis Mainhausen, près de Francfort, ou encore WWV sur 5, 10, 15 MHz (émetteur de Fort Collins, USA, premier étalon césium international aisément utilisable). Ou encore une source temporelle stable locale (il se vend dans le commerce des standards de fréquence au césium ou au rubidium, généralement fort chers). Le plus simple étant encore d’utiliser les protocoles NTP et SNTP, qui permettent de synchroniser l’heure d’une machine depuis un étalon secondaire situé sur Internet.

A ce petit jeu, tous les noyaux ne sont pas égaux, explique Renaud Lifchitz. Les systèmes Windows ont des temps de latence relativement élevé, et il est donc conseillé d’utiliser une machine Linux pour servir de plateforme de référence temporelle et d’outil de recherche d’empreinte.

La suite de l’opération est simple : il ne reste plus qu’à écouter les échanges entre machines, puis de relever tous les « timestamp » que l’on peut trouver dans les en-têtes de leurs datagrammes par exemple. « Que la machine distante soit « à l’heure » ou non n’a strictement aucune importance, puisque ce qui nous intéresse, c’est une mesure relative, un échantillonnage de sa dérive ». Après une période de relevé plus ou moins longue (certaines mesures peuvent être relativement significatives même après quelques secondes si le nombre d’ordinateurs à identifier est faible) l’on établit une « droite caractéristique » par la méthode des moindres carrés. Cette méthode peut être affinée en prenant d’autres paramètres en compte, notamment la constance des écarts type ou l’irrégularité de l’horloge dans le temps.

Les contre-mesures envisageables sont simples. En premier lieu, asservir tous les postes de travail et les serveurs avec des étalons de fréquence, action dont la première conséquence serait de supprimer ou fortement diminuer la dérive des oscillateurs. Il n’est alors plus possible de distinguer une machine de l’autre, puisque toutes les machines sont « à l’heure » et y restent. L’autre approche, plus « informaticienne », consiste à filtrer tous les timestamp révélateurs, afin de ne donner aucune information à un quelconque observateur.