juillet, 2010

Skype partiellement « déchiffré »

Posté on 07 Juil 2010 at 10:52

Sean O’Neill, après un imposant travail d’ingénierie inverse, offre en téléchargement une bibliothèque de fonctions qui sert à émuler l’algorithme de chiffrement RC4 modifié utilisé dans Skype. On est encore loin d’une « bretelle » virtuelle capable d’espionner les communications VoIP de la filiale d’eBay. Un article tout en nuances de The H explique qu’il est grandement prématuré de paniquer.

Trois failles critiques chez MS

Posté on 07 Juil 2010 at 10:50

L’été est une période critique dans le landernau du déploiement de rustines. Non pas dans les grandes entreprises –car des équipes de spécialistes veillent en permanence sur la santé des machines tout au long de l’année*- mais surtout au sein des petites structures pour qui le départ en vacances de « l’homme sécurité » peut parfois créer quelques angoisses les premiers mercredis de chaque mois de juillet et d’août.

Ce mois-ci, le MSRC (le vrai, pas l’autre nous promet le colmatage de trois défauts qualifiés de critiques : deux dans Office, un dans Windows. Un quatrième défaut non quantifié fera partie du lot. A noter également que l’équipe sécurité promet la fermeture du bulletin d’alerte 2219475, celui du célèbre débarquement d’Ormandy.

*NdlC Note de la Correctrice :… probablement dans le but de garder les trous au frais… remember Conficker !

ArxSys : Prix des Assises de la Sécurité 2010

Posté on 06 Juil 2010 at 11:27

ArxSys vient de remporter le Prix 2010 de l’innovation décerné par le Cercle Européen de la Sécurité et des Systèmes d’Information. A peine un entrefilet sur le site du Cercle, mais une histoire passionnante qui nous conduit dans les armureries logicielles secrètes des « Experts » qui luttent contre la cyber-délinquance.

Comme dans bien des histoires de sécurité, tout a commencé il y a trois ans dans les murs de l’Epitech. « C’est là que nous nous sommes rencontrés », explique Solal Jacob. L’un y donnait des cours, l’autre travaillait sur le laboratoire Open Source de l’école, tous se sont retrouvés sur ce qui était à l’origine un projet de travail étudiant. Tous, ce sont Frédéric Baguelin, Christophe Malinge, Jeremy Mounier et bien sûr Solal Jacob. Le but de l’équipe : mettre au point un « environnement » destiné à la recherche de preuve. Une sorte de Metasploit de l’analyse forensique, en quelques sortes.

Rapidement, le projet prend de l’ampleur, tourne au chantier de développement, cherche (et trouve) des appuis techniques auprès notamment de l’Ircgm, les gendarmes du Fort de Rosny. De développement, le projet devient un « programme fonctionnel », à qui il ne manque qu’une structure. La décision est prise de passer au stade supérieur, avec une enseigne, une raison sociale, une infrastructure qui sera capable de mettre sur le marché une version commerciale de l’outil. ArxSys est créée grâce à l’incubateur Paris Développement et le projet a enfin un nom. Ce sera DFF, pour Digital Forensics Framework .

« Ce qui est important , insiste Solal Jacob, c’est que l’outil reste dans la sphère Open Source et qu’il continue à évoluer comme tel. Il est d’ailleurs disponible en téléchargement sur le site Digital Forensic.org ». Les informations et échanges de la communauté de développeurs sont assurés par trois mailing lists différentes.

Qu’est-ce que fait ce logiciel ? Tout et rien à la fois, comme la quasi-totalité des « framework ». C’est avant tout un cadre de travail qui, à l’image de ses cousins éloignés tel Metasploit, est constitué de séries de « modules » d’analyse. Sans ces modules, FDD n’est rien. Ces pièces maîtresses sont lancées, « scriptées » et exécutées de manière automatisée. Modules qui, eux aussi, peuvent être écrits, inventés, pour des besoins d’enquêtes spécifiques. Soit en C++, soit en Python (deux classiques des frameworks ). L’environnement ne se limite donc pas à une simple interface graphique d’intégration et d’un patchwork de routines et d’exécutables. Il intègre même plusieurs outils de développement nécessaires à la fabrication de nouveaux blocs-programmes.

Plus concrètement, les principaux modules déjà disponibles servent essentiellement à analyser différents systèmes de fichiers. DFF encapsule également Volatility, un autre environnement d’analyse et de recherche de preuve, mais spécialisé quant à lui dans le domaine des espaces mémoire (outil également scripté en Python d’ailleurs). Une future version devrait même intégrer un module spécialisé dans l’examen des mémoires de téléphones portables.

Les résultats du travail effectué par ces différents logiciels sont, une fois la batterie de tests achevée, concentrés dans un outil de reporting, lequel a trois utilités : l’une, évidente, est de réunir et synthétiser les résultats pour que le technicien-enquêteur puisse travailler sur ces éléments, l’autre est de pouvoir générer des résultats ordonnés qui pourront être directement exploités dans un rapport d’expertise tel qu’exigé dans le cadre de toute enquête de police. La troisième enfin, est de pouvoir fournir une traçabilité précise des enchaînements d’opérations, logs qui prouveront que le déroulement des opérations a été effectué de manière conforme et donc « recevable » devant un tribunal.

Mais si tout est « open » et gratuit, comment comptent vivre les créateurs d’ArxSys ? « Grâce aux offres dérivées, explique Solal Jacob. Des cours de formation, tout d’abord, car l’utilisation d’un tel outil n’est pas franchement triviale. Si des experts peuvent rapidement maîtriser cette suite de logiciel perpétuellement enrichie, ce ne sera pas obligatoirement le cas des RSSI et hommes micro des entreprises. Car nous avons voulu développer un outil qui ne soit pas l’arme élitiste d’une minorité. Ces formations ne seront d’ailleurs pas uniquement techniques. Il est important que chaque usager puisse savoir les erreurs à ne pas commettre, les actions qui pourraient oblitérer la recevabilité d’une preuve »

Outre ces cours de formation, ArxSys développera une activité de support logiciel ainsi que la maîtrise d’œuvre de développements spécialisés demandés par tel ou tel client. Et dans la matière, les demandes de chaque « client » (force de police ou cabinet d’expertise) sont souvent très « pointues ».

Quand l’espionnage Chinois envoie au tapis l’aviation US

Posté on 06 Juil 2010 at 11:06

La maîtrise ultime de la voie du sabre, c’est de vaincre sans même avoir eu à combattre ni à tirer la lame de son fourreau. Un article du WSJ laisserait entendre que le programme F35, l’avion de chasse le plus sophistiqué que les USA aient développé jusqu’à ce jour, serait probablement sur le point d’être abandonné. Ceci en raison des « progrès fulgurants qu’auraient réalisé la Chine en matière militaire ». En lisant entre les lignes, le F35 n’apporterait que trop peu de supériorité tactique sur un terrain d’opération et compte tenu de son prix. Constatation étrange lorsque l’on sait les prodiges de technologie en matière de furtivité, d’agilité, de systèmes d’armes qu’intègre la fabrication d’un tel vecteur.

Déjà, le mois dernier, un article de Defense News laissait prévoir une baisse des commandes (originellement prévues à hauteur de 2500 appareils). Les raisons invoquées étaient déjà les mêmes, mais avec un peu plus de précision cependant. L’armée Chinoise pourrait disposer de systèmes de détection, contre-mesures et de défense (missiles notamment) capables de contrer tous les gadgets les plus sophistiqués de la famille F35. Or, la mise au point de ces radars hautement perfectionnés ne peut se faire sans une idée relativement précise des capacités des appareils ennemis. En d’autres termes, si les ingénieurs Chinois savent comment contrer le F35, c’est qu’ils en possédaient les plans depuis déjà relativement longtemps. Rappelons que cette affaire survient alors qu’un réseau d’espionnage Russe opérant sur le territoire américain vient d’être démantelé, brouillant singulièrement les cartes du jeu diplomatique.

Et Richard Bejtlich, du blog TaoSecurity, d’exhumer les origines de l’histoire. Encore dans le WSJ d’ailleurs, dans un article remontant au mois d’avril dernier, qui révèle une intrusion dans les systèmes informatiques du Pentagone (précisément ceux stockant les informations du projet F35) ainsi que dans les systèmes du réseau de contrôle du trafic de l’Air Force. Un projet d’armement de plus de 300 millions de dollars a donc été totalement réduit à néant à la simple force du clavier. Les militaires se sont faits battre par quelques barbouzes et un escadron de geeks.

Microsoft et la bataille d’Ormandy

Posté on 05 Juil 2010 at 10:35

« Si j’avais émis une alerte en suivant les canaux traditionnels, personne ne m’aurait écouté » avait déclaré en substance Tavis Ormandy lors de la divulgation de la faille help center protocol . Faille depuis « contournée » mais pas corrigée. D’ailleurs, comme pour donner raison à Ormandy, les équipe sécurité ont tout d’abord minimisé la dangerosité de la découverte, expliquant à qui voulait bien l’entendre que l’accès physique à la machine cible était nécessaire pour que l’attaque fonctionne.

Depuis, des exploitations distantes de ladite faille sont apparues, et seraient même en nette progression, particulièrement en Espagne et en Russie nous apprend Holly Stewart du MMPC. Il semblerait en effet qu’un exploit se soit rapidement répandu à partir du 21 du mois dernier. Du coup, la faille d’Ormandy passe du statut de « broutille insignifiante découverte par un pinailleur technoïde » au rang envié de « catastrophe catastrophique divulguée par un dangereux irresponsable ».

En réaction à ces propos, un groupe d’habitués de la liste Full Disclosure réplique en fondant le Microsoft-Spurned Researcher Collective (dont les initiales, MSRC, rappellent celles du Microsoft Security Response Team). Le but de ce MSRC là (l’autre !)est de publier, par mesure de rétorsion, toute faille que découvrirait un de ses membres. Les hostilités sont ouvertes le 30 juin et semblent indiquer qu’il se prépare un été relativement chaud dans le plus pur style du Month of Microsoft Bug .

Les tords sont partagés. Les réactions épidermiques de ces deux MSRC ne sont que le reflet de frustrations humaines, relativement éloignées des efforts respectifs que prodiguent à la fois les développeurs de Microsoft pour intégrer à Windows SDL et chasse au bugs, et d’autre part les chercheurs indépendants qui, à de très rares exceptions, respectent une certaine politique morale de divulgation (même si ce n’est pas toujours celle souhaitée par Microsoft). Il est sur le marché des éditeurs considérablement plus amoureux du secret et du non-dit qui mériteraient 1000 fois plus les foudres d’un tel response team.

Posté on 05 Juil 2010 at 8:36

Cloudshark est un “outil de partage” et de visualisation de capture de trafic réseau au look Wireshark. Pratique pour partager une collection de traces… ou publier une vulnérabilité de manière anonyme

Posté on 05 Juil 2010 at 8:27

NSS Labs publie une étude sur l’(in)efficacité des principaux antivirus, commentée par Brian Krebs : temps de mise à jour, pourcentage de détection… une mise en garde proche des conclusions de l’iAwacs 2010

Posté on 05 Juil 2010 at 8:23

How to sur un « live CD » spécifiquement conçu pour gérer à distance les incidents, signé Bert Hayes de l’UoTexas. Attention : une panoplie pour administrateur surtout pas un outil d’analyse forensique

Posté on 05 Juil 2010 at 8:18

Francois Paget, de l’Avert, s’intéresse aux motivations des « pirates de pirates » qui ont hacké le serveur de carders « Carder.cc », ainsi qu’aux fuites d’identités de truands et de victimes qui résultent de cette attaque

Posté on 05 Juil 2010 at 8:11

Iphone 4 r00té

Publicité

MORE_POSTS

Archives

juillet 2010
lun mar mer jeu ven sam dim
« Juin   Août »
 1234
567891011
12131415161718
19202122232425
262728293031