juillet, 2010

Nick Harbour, dans un article publié sur M-unition, s’intéresse aux différentes méthodes permettant de lancer un exécutable sans toucher ni à la base de registre, ni au répertoire de démarrage, ni aux autres méthodes conventionnelles connues à ce jour.

Le principe de son « lanceur de malware » est assez subtil : il repose sur l’ordre de recherche et d’exécution des dll appelées par un programme. Car si bon nombre de dll sont confinées dans le répertoire System32 ou dans des emplacements précis répertoriés par la table des dll « connues » (HKLM\System\CurrentControlSet\Control\Session Manager\KnownDLLs), rien n’interdit d’installer une « fausse dll » homonyme dans le répertoire où se situe l’exécutable appelant. Et c’est cette fausse dll qui sera prise en compte, prioritairement à celle située a priori dans ce fameux répertoire system32… avec des conséquences qui font froid dans le dos. Et des emplacements privilégiés et prioritaires, il n’y en a pas qu’un. Sur un noyau 32 bits nouvellement installé, il en existe plus de 1300… et le nombre augmente avec les systèmes 64 bits.

Pour achever de convaincre son auditoire, l’auteur offre un court programme chargé de lister tous les emplacements exploitables dans lesquels l’on peut cacher une dll empoisonnée.

Les services secrets de la Grande Bretagne, de tous temps, ont su élever avec attention leurs propres viviers de taupes et d’agents doubles. A tel point que lorsqu’il n’y a pas franchement matière à douter de leurs chers espions, les Britanniques s’en inventent. Ce 14 juillet dernier, Daniel Houghton, ancien fonctionnaire du MI6, arrêté en mars dernier pour avoir voulu vendre des secrets d’Etat, a plaidé coupable de la plupart des faits qui lui sont reprochés… à l’exception de l’accusation de « vol ». L’article du Reg, rédigé avec humour par notre confrère Chris Williams, laisse entendre avec cet art consommé de l’understatement que l’espion en culottes courtes est loin de concurrencer Aldrich Ames.

En culottes courtes, car Houghton, âgé de 25 ans aujourd’hui, en a 22 lorsqu’il entre au MI6 en 2007, 24 lorsqu’il en sort. Pas franchement l’âge où l’on se voit confier des secrets d’Etat. Présenté comme un « doué en informatique », il possède une double nationalité anglo-hollandaise (le genre de détail qui fait grimper de 15 dB l’indice de suspicion dans un service de renseignement normalement constitué). Intégré au sein d’une équipe chargée de développer un logiciel d’interception d’email, le James Bond en herbe commence consciencieusement à dupliquer sur clefs USB et CD-Rom le contenu des documents qui lui passent entre les mains, à commencer par les « secrets de fabrication » du dit logiciels d’espionnage. Puis il les stocke à son domicile, toujours sans éveiller la moindre suspicion interne… et tente de vendre le tout aux S.R. Bataves moyennant un dédommagement de 2 millions de Livres Sterling. Les barbouzes du Plat Pays préviennent leurs confrères Londoniens, qui à leur tour tendent une souricière à cet idéaliste du compte en banque bien garni et de l’amitié entre les peuples.

Fin de l’histoire, début du procès.

Il ressort de cette triste affaire une foultitude de points ténébreux.

Comment se fait-il qu’un service de renseignements pourtant technologiquement supporté (certains disent « noyauté ») par les services américains –dans le cadre de l’alliance UKUSA- ne possède pas d’infrastructure DLP ?

Par quel miracle un presqu’étudiant de 22 ou 24 ans peut-il accéder à des documents confidentiels, à des bases de données et à l’intégralité d’un projet de développement ?

A quel point l’apparente absence de cloisonnement des services a-t-elle permis ce genre d’activité ?

Selon quel critère les officiers de recrutement du MI6 sélectionnent-ils leurs troupes car l’on peut se poser des questions sur la maturité et l’intelligence* de Houghton, qui tente de « vendre des secrets » à des SR occidentaux Européens sans imaginer que cela puisse se savoir.

A partir de quel volume de fournitures les services généraux des espions de Sa Majesté considèrent comme suspect la consommation outrancière de supports de stockage vierges (CD, DVD, clefs USB etc). N’existe-t-il pas de procédure de vérification de comptabilisation desdits supports « actifs » et « détruits » ?

Pour quelle raison cette histoire rocambolesque, qui ressemble plus à un « pas de clerc » qu’à une réelle affaire d’espionnage, fait la une des journaux Britanniques depuis bientôt 5 mois. Rideau de fumée ou message subliminal à quelques instances politiques ?

Ces quelques questions laissent apparaître des trous béants dans la sécurité interne de la Albion’s Barbouze Company. Des trous qui seraient considérés comme de graves manquements professionnels s’ils avaient été décelés dans l’organisation d’une entreprise sous-traitante travaillant pour le compte de ce même gouvernement. Rappelons que la Grande-Bretagne, ses Ministres, ses militaires, ses fonctionnaires, sont des habitués de la perte de clefs USB sur des parkings de pub, d’affichage de listes nominatives confidentielles aux objectifs des journalistes et d’égarement de fichiers administratifs en tous genres.

En France, bien sûr, aucune affaire de ce genre ne peut survenir, les fuites n’existent pas, les erreurs humaines frappent n’importe qui sauf nos valeureuses institutions, et le monde de la presse est tenu régulièrement informé du moindre travers qui pourrait entraver le bon fonctionnement de notre Administration.

*NdlC Note de la Correctrice : L’on parle ici des facultés intellectuelles de ce charmant garçon. Outre Manche, « rendre service à une vieille dame » se prononce « On Her Majesty’s Secret Service »

S’il existe des paradis fiscaux à moins de 2 heures de TGV de Paris, pourquoi n’existerait-il pas des « paradis d’opinion » à moins de 20 millisecondes de trajet TCP/IP ? C’est le projet de Birgitta Jónsdóttir, députée Islandaise du parti Movement, qu’a interviewé notre consœur de Libération Sabrina Champenois. La loi ne protègerait pas seulement les journalistes natifs du pays, mais également les reporters et blogueurs d’opinion du monde entier. L’idée fait son chemin, et déjà une loi intitulée Islandic Modern Media Initiative a été adoptée par le Parlement.

Une telle initiative risque de connaître autant de succès qu’en ont connu les imprimeurs Hollandais au temps du siècle des lumières, lorsque le pouvoir absolutiste Français poursuivait avec hargne des blogueurs « diffamatoires » qu’étaient François Marie Arouet, Diderot, Beaumarchais, Helvétius ou Sade. L’on pense immédiatement au havre de paix que pourraient y trouver des sites d’information tel que Wikileak, Cryptome ou The Raw Story qui, pas plus tard que le 13 juillet dernier, publiait le témoignage « gênant » d’un consultant sécurité ayant travaillé pour le compte de BP sur les côtes de Louisiane. Toute la difficulté de l’exercice sera, pour le gouvernement Islandais, de savoir protéger la voix des minorités contestataires sans pour autant devenir une cour du roi Pétaud.

Comment camoufler une attaque par pdf et comment la détecter : PDF Dissector par Sebastian Porst de Zynamics.com. A conserver pour gagner quelques secondes durant un CTF ?

Totalement toquée, cette page Web qui liste une palanquée de « port knocking utilities ». Réservé aux amoureux des « knock-knock jokes » informatiques

Le Sans a collectionné les différents liens pointant sur les 7 rustines à ESX et ESXi 3.x. Certains de ces correctifs sont jugés importants car pouvant ouvrir la voie à des exécutions de code à distance et des saturations de tampon

« Facebook n’a pas amélioré sa politique de préservation de la vie privée, elle l’a simplement modifiée ». Propos tenus par Chester Wisniewski de Sophos.

Un communiqué de l’éditeur d’A.V. Biélorusse VirusBlockAda nous apprend l’existence d’un vecteur d’attaque particulièrement novateur et vicieux. L’infection se propagerait via des supports amovibles USB, sans utiliser la fonction Autorun (supprimée en grande partie depuis les récentes mises à jour de Windows).

Dans un premier temps,l’infection exploite une particularité de la gestion des fichiers portant l’extension .lnk (les icones de raccourci). Exploit qui a son tour installe deux pilotes « rootkit » chargés notamment de masquer toute présence du malware lors d’un browse des répertoires. Comble de la perversion, ces deux pilotes portent une signature légitime… usurpée au constructeur Realtek. Ce rootkit serait, aux dires des chercheurs, largement diffusé « dans la nature ».

L’exploit de type « auto exécution du lnk » se déclenche dès qu’un examen du répertoire est lancé, précise le communiqué, quelque soit le navigateur de fichier utilisé : Windows Explorer ou Total Commander (un clone de Norton Commander/Midnight Commander sous Windows). Il s’agit donc d’une caractéristique propre au noyau ou à l’interprète de commande, et non à Explorer ou l’un de ses composants. Génétiquement parlant, « l’exploit lnk » est très intéressant et peut éveiller quelques belles vocations virales si la méthode parvient à être connue.

Selon les dires du blog américain Recording Industry vs The People , le RIAA, l’association des producteurs de films et de musique industrielle, aurait déboursé près de 16 millions de dollars pour un « retour sur investissement » ne dépassant pas 391 000 dollars. Le RIAA a souvent été dénoncé pour ses pratiques frisant le racket et les poursuites abusives pour « téléchargement illégal » envers notamment des personnes âgées ne possédant pas le moindre ordinateur. Rappelons qu’en France, le coût d’opérations analogues est prélevé sur les deniers publics.

GFI Soft, fournisseur de solutions de sécurité « intégrées » pour PME, annonce le rachat de Sunbelt Soft, éditeur Américain de logiciels antivirus, antispyware, sécurisation de la messagerie…