juillet, 2010

Un lot de roquettes anti-char a été égaré par les militaires de la caserne Belge de Bourg-Léopold. Un « trou de sécurité » qui pourrait bien provoquer des « trous » légèrement plus inquiétants.

Le Reg nous apprend que, depuis le 14 juillet, les antivirus Kaspersky se sont mis à bannir plusieurs sites soupçonnés d’héberger des pages de phishing. Parmi les serveurs censurés, un certain nombre de sites légitimes, dont celui des pages « News » de la BBC. Un « fail » de plus des outils de « white list/ black list », un accident de plus dans la liste déjà trop longue de blocages systèmes provoqués par un outil de défense périmétrique.

Une preuve supplémentaire, s’il en fallait une, qu’il suffit d’une simple mise à niveau automatisée pour paralyser les accès Web (et plus si affinités) de milliers de machines. La question est surtout de savoir s’il est possible, pour une entreprise Française, de reconsidérer assez rapidement sa politique de protection A.V./Firewall/antispam/antiphishing/antirootkit/anti-intrusion en cas de durcissement des tensions internationales avec un pays fournisseur de services. La notion de cyber-risques et de cyber-guerre liée à l’éventuelle exploitation d’attaques « remote » lancée par les vendeurs d’outils de protection périmétrique (sous la pression « amicale » de leurs gouvernements) ne serait également pas à écarter. Un risque souvent pris en compte par les DSI des grandes structures d’importance nationale, plus rarement considéré par les petites entreprises à haute valeur ajoutée …
Cette « légère bévue » commise par Kaspersky ne doit certes pas servir à condamner en bloc « l’incompétence ou la légèreté des éditeurs d’A.V. »… loin de là. Tous les tenants du marché de la sécurité pratiquent une politique du « meilleur effort », même si certaines pratiques ou options technologiques peuvent parfois prêter à discuter. Et Kaspersky est loin d’être le pire en la matière. Mais cette bonne volonté ne doit cependant pas noyer le responsable sécurité dans un angélisme béat. Qu’il s’appelle Symantec, Kaspersky, Sophos ou Tartempion, un éditeur peut être amené à servir, en cas de tensions politiques, les « intérêts supérieurs de la nation » et obéir, à son corps défendant ou non, aux « demandes courtoises » des autorités. Plus encore que dans le domaine des systèmes d’exploitation, les dangers de la « monoculture » sont présents dans tout ce qui touche à la protection des réseaux et des machines, surtout si lesdits outils de protection sont configurés en mode « mise à jour automatique ».

La vie des chercheurs en sécurité et des inventeurs de failles est un véritable calvaire, un perpétuel cas de conscience : où donc faut-il porter le fruit de ces longues heures de fuzzing ? Car après le ZDI, et ses barèmes évolutifs, après l’augmentation de la prime au trou offerte par la Fondation Mozilla -3000 $ pour un gouffre de première catégorie tout de même-, voici que Google élève à 3133,70 $ la « L33t prime », originellement fixée à 1337 $.

L’attaque du rootkit lnk –plus médiatisé pour les subtiles innovations qu’il contient plutôt que par sa dangerosité réelle- provoque bien des réactions, certaines attendues, d’autres pour le moins surprenantes. A commencer par celle du principal intéressé, Siemens, éditeur du logiciel de supervision de processus industriel qui conseille, nous apprend un papier de Bob McMillan de Network World, « de ne surtout pas changer les mots de passe de WinCC »… cela pourrait avoir des conséquences sur le pilotage des processus. Qu’un changement de crédence puisse modifier le comportement d’une boucle PID ou un enchaînement logique d’une chaîne de « process control », voilà qui laisse songeur quant aux méthodes SDL mises en œuvre et à l’interdépendance des parties de programmes logiquement indépendantes. Sur le site d’information en langue Française, pas la moindre alerte de sécurité. Sur cette même page d’accueil, le flash d’une icône animée clame « Cliquez ici, nous vous rappelons ! ». L’on clique donc, ce qui provoque, de la part des principaux navigateurs, l’alerte suivante :

Le certificat de sécurité du site a expiré !
Vous avez tenté d’accéder à webbies.siemens.fr, mais le serveur a présenté un certificat arrivé à expiration. Aucune information ne permet de déterminer si le certificat a été compromis depuis son expiration. Cela signifie que Chrome ne peut pas garantir avec certitude que vous communiquez avec webbies.siemens.fr et non avec un pirate informatique. Ne poursuivez pas. Par le plus grand des hasards, le certificat en question est d’origine Verisign, expiré depuis le 11 juillet dernier.
Oserions-nous suggérer à l’équipe de développement de Siemens de demander quelques conseils aux auteurs du « rootkit .lnk » sur l’art et la manière de bien employer les certificats ? Ou plus simplement d’éviter de coller un proto https sur de simples pages d’informations produits… la paranoïa peut rapidement tourner au ridicule.

Si le fait de modifier un mot de passe sur un système supportant WinCC peut potentiellement provoquer des catastrophes, l’on peut imaginer que les modifications de clefs de registre suggérées par Microsoft appartiennent également à la catégorie des actes Ganz Verboten par Siemens. Il faut dire qu’en désactivant toutes les icônes de raccourcis, l’usage d’un Windows conventionnel commence à devenir un peu laborieux. Mais Microsoft persiste et signe. Pour éviter aux glorieux professionnels de l’intégrée-dérivée et du capteur-actuateur d’utiliser l’explosif Regedit, l’éditeur consacre toute une page « Fix It » de la « K-Base » qui automatise l’activation ou l’élimination de la mesure de contournement.

On est moins radical, au Cert Lexsi. D’autant plus, explique Sylvain Sarmejeanne, que l’immolation par Regedit des fonctions WebDAV ne bloque en rien la propagation du rootkit par le biais de clefs USB baladeuses. La solution, explique-t-il, c’est AppLocker, l’une des nouveautés de Windows 7 et 2008 R2. Article fort intéressant traitant donc du blocage des DLL à l’aide des outils intégrés au système. Las, prévient l’auteur, la solution n’est pas absolument parfaite puisque, comme nous le signalions hier, l’invocation d’une DLL peut parfois échapper aux principaux contrôles de filtrage et de localisation effectués par le noyau. S’ajoute également un autre obstacle à l’utilisation d’AppLocker : le monde du contrôle de processus industriel a horreur des nouveautés, considérées par défaut –et non sans une certaine sagesse- comme de véritables nids à bugs inconnus. Là où l’automate programmable et le robot pneumatique règnent en maîtres, c’est surtout du XP SP3 et, parfois, quelques traces de Vista que l’on rencontre. Adieu AppLocker, bonjour les SRP (restrictions logicielles liées à une politique de sécurité), ainsi que le prêche Didier Stevens. Reste que les « policies » restrictives ne sont pas non plus d’une absolue fiabilité, et des mesures de contournement sont toujours possibles.

C’est l’Avert qui boucle ce rapide tour d’horizon du « virus .lnk », avec une FAQ très simple autour de ce rootkit : quelles sont ses méthodes d’exploitation, l’exploit nécessite-t-il un code pour fonctionner, quelles sont les conditions à réunir pour que le risque puisse se présenter.. etc. Un papier utile qui rappelle que, si seuls les industriels utilisant WinCC sont directement visés, toute machine Windows est susceptible d’être frappée par cette infection. Et surtout, insistent les ingénieurs de McAfee, « l’exploit .lnk » a de très fortes chances de faire des émules et d’être employé par d’autres auteurs de malwares moins élitistes et plus entreprenants.

La Federal Trade Commission (FTC) Américaine alerte ses citoyens et porte plainte contre une organisation d’escrocs internationaux spécialisée dans le piratage des numéros de cartes de crédit. Jusque là, rien de très extraordinaire.

Mais les malfrats auraient pu opérer encore longtemps sans se faire remarquer. Le principe de l’attaque, nous apprend la FTC, reposait sur une technique discrète, qui consistait à ne prélever que de très petites sommes sur les comptes compromis. De quelques cents –pour vérifier la solvabilité du compte- à 10 dollars maximum. Le tout débité par des entreprises dont le nom tout à fait anodin ne pouvait éveiller le moindre soupçon : B-Texas European, Confident Incorporation, HDPL Trade, Hometown Homebuyers, SVT Services… des raisons sociales bidon. Qui donc s’inquiète d’un prélèvement unique de 10 dollars ? Là où le montage confine au grand art, c’est lorsque l’on apprend que lesdites raisons sociales fantaisistes possédaient toutes des comptes en banque légitimes, des numéros de téléphone valides, des adresses plausibles, parfois même des sites Web avec numéros de téléphone de support client, voir, dans certains cas, une immatriculation fiscale régulière (sorte de Siret américain), numéro bien sûr récupéré au hasard sur Internet. Toutes les apparences d’une véritable entreprise.
Au total, la FTC a dénombré 16 sociétés-écran, toutes pilotées par des « mules » recrutées via une campagne d’emailing. Le rôle des « directeurs financiers » était, on s’en doute, de collecter l’argent détourné, puis d’effectuer des virements sur des comptes situés en Lituanie, Estonie, Lettonie, Bulgarie, Chypre et au Kirghizstan. Si l’avenir des mules semble fortement compromis, il est peu probable que les foudres de la FTC puissent un jour inquiéter le ou les cerveaux de l’affaire.

TrueCrypt 7.0 est disponible en téléchargement (gratuit). A lire à ce sujet l’article de Cédric Blancher sur l’incapacité du FBI à lire un disque protégé par ce logiciel

La prochaine version d’Acrobat Reader devrait être isolée dans une « boîte à sable », interdisant tout appel de fichier ou de processus en direction du système-hôte (canaux de communication nommés, appels en BDR et lancement de processus compris).

Le blog : outil d’information, de désinformation et de manipulation de l’opinion publique : 30 pages d’un rapport analytique de l’armée US ( Joint Special Operations University) dévoilé par Cryptome.

Itune 9 vulnérable et susceptible d’autoriser une attaque distante. Comme à l’accoutumée, aucun renseignement technique effectif sur cette CVE 2010-1777

L’équipe de VirusBlokAda , les inventeurs Biélorusses de la faille « .lnk », étaient relativement prudents lorsque, en fin de semaine passée, ils publiaient leur première alerte. Après analyse du MSRC, le rootkit propagé par cette fonction du shell32 malade pourrait sans grande difficulté être utilisé non seulement à partir d’une clef usb infectée, mais également depuis toute autre ressource disponible à distance. Les deux propositions de contournement sont aussi inapplicables l’une que l’autre : désactiver l’affichage des « raccourcis » sous Windows, ou supprimer les services WebClient WebDAV.

Les amateurs de détails techniques peuvent se plonger dans le PoC conçu par IvanLeFou. L’alerte est assez sérieuse pour avoir provoqué non seulement une réaction du Sans, mais également un bulletin du Cert US.

Après analyse, il apparaît également que la cible principale de ce malware soit la série d’outils WinCC de Siemens, des logiciels de pilotage d’infrastructures industrielles… Scada y compris. En d’autres termes, TmpHider cherche avant tout à s’introduire dans des centres de commandes de processus, ce qui sous-entend soit que l’on assiste-là à un exercice préparatoire de pénétration militaro-politique de cyberguerre, soit qu’il s’agit d’une attaque mafieuse cherchant à compromettre des sites industriels ou d’infrastructure en vue de les rançonner ou opérer une quelconque opération de chantage. Dans tous les cas de figure, on est très loin des attaques virales traditionnelles :

– le malware se propage avec un exploit ZDE véritablement dangereux et difficile –voir impossible- à contourner simplement,

– utilise une méthode d’authentification élaborée (usurpation d’un certificat Realtek révoqué par Verisign vendredi dernier seulement)

– vise une famille d’applications très spécifiques totalement inconnues du grand public

– repose sur deux « rootkits-drivers » dont le développement n’est pas franchement trivial

L’on pourrait donc définir trois degrés de dangerosité pour qualifier cette alerte :

– Un niveau « jaune presque vert » frisant le calme plat pour la grande majorité des utilisateurs d’ordinateur, lesquels ne sont pas directement concernés par la menace TmpHider.

– Un niveau rouge vif avec quelques éclats de shrapnel à l’attention de toute entreprise utilisant WinCC, débutant par une recommandation du genre « isolez impérativement des accès Internet tout système de pilotage industriel, interdisez tout accès physique au personnel non autorisé, vérifiez les politiques de sécurité contrôlant les accès USB et réseau LAN desdites machines »… des bonnes pratiques généralement observées par les responsables de ce genre d’architecture (http://club.wincc.free.fr/Frame.htm).

– Une seconde alerte rouge-carmin prospective, plus spécialement orientée sur l’exploit .lnk lui-même, qui a de fortes probabilités de se retrouver utilisé par des auteurs de virus plus classiques.