juin, 2010

« SSL, c’est le WEP de la sécurité bancaire : faillible, mais c’est toujours mieux que rien ». Excellent exercice de vulgarisation et de simplification du protocole SSL et de ses défauts, par Neal Krawetz de Hacker’s Factor

Fierce 2.0,l’énumérateur DNS en Perl, a, nous apprend son auteur, totalement été ré-écrit par Jabra, de Rapid7. Version finale attendue dans les jours qui suivent, pré-version téléchargeable

Deux billets à propos de Facebook. Tous deux publiés sur des blogs dépendant d’éditeurs d’antivirus. Et tous deux traitants du pouvoir de crédibilité que les réseaux sociaux apportent aux attaques en social engineering … si c’est sur Facebook, c’est forcément vrai.

Le premier est signé par François Paget, et traite d’une de ces nombreuses escroqueries au « job en or » qui ne demande qu’un léger investissement de 2,97 $… une somme qui, en fait, est une sorte de blanc seing donnant le droit au prétendu apporteur d’affaires de prélever chaque mois 93 $ sur le compte de la victime. Et cette sorte d’abonnement au succès peut être interrompue sur simple appel téléphonique, encore faut-il avoir la chance d’entendre quelqu’un décrocher pour prendre l’appel. Rien là que de très classique, dira-t-on, car de tels chalutiers à gogos écument les océans du Web et de l’email depuis quelques décennies. Mais le Web Deuzéro, nous indique François Paget, offre l’avantage d’afficher haut et clair l’ampleur de chaque buzz, la portée de chaque escroquerie. Dans le cas de ces illusionnistes du travail à domicile, plus de 268 000 « membres » se sont inscrits pour suivre l’actualité de ce Facebookemaker faisandé… 268 000 crédules drainés en moins de deux semaines.

Même histoire du côté de F-Secure. Sean est parti enquêter sur les résultats de fréquentation d’un spam tapageur utilisant les vieilles ficelles de la presse à scandale. En moins d’une demi-journée, 140 000 personnes avaient cliqué sur le lien incitatif. Pis encore, près de la moitié des personnes tombées dans ce piège aussi grossier que vulgaire ont également activé la fonction « Accéder à mes informations publiques, nom, profile, liste d’amis et autres aspects publics de mon profil ».

Ces deux métriques apportent aux responsable sécurité un début de réponse, une estimation aisément vérifiable sur les « taux de retour » des attaques en ingénierie sociale en usage sur Internet. Jusqu’à présent, l’ampleur du phénomène était relativement mal appréciée, puisque dépendante des publications d’éditeurs de logiciels de protection ou d’équipementiers, à la fois juge et partie. C’est ainsi que les « bugs du siècle », « virus mondiaux » et « botnet titanesques » s’avéraient parfois aussi vertigineux qu’une taupinière, aussi dangereux qu’une charge de gastéropodes. Facebook, c’est l’énormité en plus et le « FUD » en moins… du moins pour ce qui concerne les métriques de consultation, et tant que les administrateurs du site n’auront pas compris qu’il est possible de faire de l’argent avec ce genre de données.

Bruce Schneier planche sur cette question digne d’un sujet du bac: « should you hire a hacker ». Et par hacker, l’on entend pour une fois un pratiquant du côté obscur de la force, un mécréant, en bref, un pirate.

Et le « Chuck Norris » de la sécurité de reprendre les arguments des penseurs qui ne pensent pas « embaucheriez-vous un Bernard Madoff pour gérer vos comptes ou un pédophile pour surveiller un jardin d’enfants ? Certes pas »…. « mais, continue-t-il, engageriez-vous un perceur de coffre-forts pour revoir la sécurité de votre banque ? Ou un spécialiste des publicités mensongères pour exploiter de nouvelles ficelles lors de votre prochaine campagne marketing ? Très probablement ». En fait, continue le papa de BlueFish, tout dépend du secteur, tout dépend du « crime ». Et l’amateur de bonne cuisine « à la française » et de poulpes exotiques de pousser le raisonnement plus loin encore : « appointeriez-vous un tueur patenté formé dans les rangs de la CIA pour vous servir de garde du corps ? Feriez-vous confiance à un général victorieux spécialiste des tactiques offensives lors de la conception d’une place fortifiée… sachant que ces deux personnages seraient susceptibles de devoir répondre de meurtres devant une cours de justice ? » Il y a effectivement des considérations morales à prendre en compte, mais qui doivent être balancées par les enseignements que l’on peut tirer de leur expérience.

Schneier aurait pu aller bien plus loin encore. Et demander par exemple « Accepteriez vous de confier à un ancien criminel nazi responsable de centaines de morts par épuisement la responsabilité de l’une des plus grandes administrations américaines spécialisée dans l’exploration spatiale ? » ou bien encore « confieriez-vous le titre de préfet de police à un tortionnaire collaborateur directement responsable de la déportation et de l’exécution de dizaines de compatriotes ? » Cela peut paraître écœurant, mais la réponse est encore « oui ». Plus les enjeux politiques sont élevés, plus grande est l’absolution des crimes, plus profonde est l’amnésie de ceux-là mêmes qui s’érigent en juges intègres et en donneurs de leçons.

Les « petits crimes informatiques » sont d’autant plus pardonnables qu’ils sont moralement plus acceptables que ceux d’un Werner Von Braun ou d’un Maurice Papon. D’autant plus acceptables aussi car ils relèvent la plupart du temps d’une absence de barrière imposée par le « sur-moi » -la conscience morale-, que l’on appelle encore « erreur de jeunesse » ou « emportement fougueux ». C’est là un travers courant de la jeunesse, qui s’atténue ou disparaît généralement passé 22 ou 25 ans. Mais c’est également avant cet âge fatidique, celui de l’assagissement, que s’exprime le plus cette « créativité du hack ».

En vieillissant, Schneier a la sagesse de ne pas sombrer dans la réaction. Son point de vue n’est pas empreint d’angélisme, il ne remet pas en cause la responsabilité du hacker noir. Mais il lui accorde non seulement le droit à la rédemption, mais également la reconnaissance de sa propre valeur.

HP annonce l’achat,auprès de Phoenix Technology, des outils HyperSpace, HyperCore et Phoenix Flix. Ce sont là les trois composants intégrés au dessus du Bios et qui permettent de lancer l’instance d’un Linux « embedded » de petite taille indépendamment du système d’exploitation de la machine. Asus a notamment utilisé ce genre de technique sur certains de ses portables, pour que l’usager puisse, sans attendre le lancement d’un Windows, consulter le Web, entamer une conversation Skype ou consulter son courrier.

Rappelons que HyperCore fait partie de ces «VM hardware » sur lesquelles Joanna Rutkowska et Rafal Wojtczuk avaient travaillé dans le cadre d’un contrat de développement passé entre Phoenix et Invisible Things labs en avril 2008.

Ce n’est pas la première fois que HP plonge dans le développement de noyaux à destination « grand public ». Déjà, par le passé, l’entreprise avait tenté une « sortie » dans ce domaine, avec un ovni baptisé « HP-NewWave », surcouche à Windows 3.x avec icones mobiles, agents scriptables indépendants, traitement parallélisé des tâches… un outil trop beau pour son époque et qui inspirera les laboratoires de Redmond durant les années qui suivront. Espérons que l’intégration de HyperCore sur les machines HP connaîtront plus de succès.

Le regard fixé sur la ligne bleue du bug flash (et plus particulièrement sur les échos qui pourraient s’échapper des communications de iDefense), le Responsable Sécurité Sachant Patcher sans sommation aura rapidement aperçu l’orage de correctifs émis par Adobe. Si la faille Flash, qui fait les gros titres de la presse sécurité depuis une semaine, est enfin corrigée, on ne peut également manquer l’avalanche de bouchons destinés à Acrobat « plein » et Acrobat Reader. Au total, 30 correctifs pour 32 trous, qu’il faudra ajouter aux 34 CVE colmatés par Microsoft et 48 trous publiés par Apple en ce début de semaine. Cela fait donc…j’pose deuz’et j’retienszun… 114 perforations logicielles à ravauder durant le week-end. La rédaction toute entière adresse une pensée émue à l’attention des « chargés de déploiement » qui passeront très probablement un samedi infernal et un dimanche abominable.

Les usagers en mal d’exotismes peuvent également envisager d’aller passer quelques vacances du côté de Sumatra par exemple.

Selon nos confrères de CBS News, le très dispendieux sommet du G20 qui se déroulera à Toronto à la fin de ce mois, sera accompagné de mesures de sécurité exceptionnelles, pouvant aller jusqu’à un brouillage généralisé des ondes radio.

Il s’agit là bien sûr de la mesure la plus sotte et la plus irréfléchie qui soit, et ce pour plusieurs raisons. Tout d’abord, si l’on considère que les « poseurs de bombes » potentiels peuvent choisir n’importe quelle fréquence possible (de 1829 mètres Ondes Loooongues* à 10 GHz **), il sera nécessaire de brouiller l’ensemble du spectre radioélectrique exploitable, et ce, avec une intensité telle que même les discrets appareils à étalement de spectre seront inopérants.

… et du coup les systèmes de transmission à agilité de fréquence des services de sécurité, les automatismes des réseaux urbains (de la porte de garage en passant par les outils de synchronisation des feux tricolores sur 5 GHz), les talky-walky Tetrapol des services de sécurité (pompiers, police, sécurité civile… )

… Accessoirement seront également réduit au silence tous les appareils de retransmission des médias en place.. ceux d’ABC en tête. Hors, un sommet de politiciens sans couverture médiatique, çà n’existe pas, çà n’existe pas.

*&** NdlC Note de la Correctrice : respectivement « comme on disait sur France Inter il n’y a pas si longtemps. Pour le 10 GHz, il s’agit du déclencheur à distance le plus économique qui soit : directif, difficile à détecter, économique, il se fabrique avec de simples cornets destinés à l’ouverture automatique des portes vitrées de supermarchés.

Le blog du MSRC titre « Mise en ligne du bulletin 2219475». Cette reconnaissance officielle de la faille « online help » de Travis Ormandy déclenche également une réaction pavlovienne chez plusieurs spécialistes de l’analyse sécurité. Et notamment Secureworks, qui explique en termes simples l’importance technique de ce ZDE, et le Sans, qui fournit également le numéro CVE de ce tout nouvel exploit. Pour l’heure, il n’a pas d’utilisation malicieuse connue « dans la nature ». Quand bien même cela serait qu’un tel bug serait plutôt employé dans le cadre d’une attaque ciblée, ayant donc de fortes chances de passer sous le radar des principaux honeypots.

Hackin9 (edition US) vient de paraître, toujours gratuit, toujours au format PDF. Le thème de ce mois : Is DDOS still a threat? avec un très intéressant « guide du cybercriminel débutant»

L’Israélien Checkpoint absorbe Liquid Machine, spécialiste des outils d’administration de gestion de droits, du chiffrement de document et de sécurité des contenus