août, 2010

Pour l’heure, il existerait plus de 200 applications touchées par la faille « détournement de DLL » médiatisée notamment par les Slovènes de la société Acros Security en début de semaine passée. Une faille qui, selon l’analyse experte de Thierry Zoller, aurait de très nets liens de parenté avec celle découverte au même moment par H.D. Moore… lequel H.D.Moore publie dans la foulée un kit d’exploitation pour Metasploit baptisé DLLHijackAuditKit v2. Mais, nous explique Thierry Zoller, il se pourrait bien que le véritable inventeur de la faille soit Georgi Guninski en 2000. Voilà un trou qui fera parler de lui, estime le chercheur Luxembourgeois, qui avec humour baptise cette faille « CVE-2010-x+n ».

Chez McAfee, l’origine du bug n’est pas propre au monde Windows. Pour Geok Meng Ong de l’Avert, il faut remonter à 2003 pour rencontrer un défaut similaire dans des noyaux Red Hat et Gento. La suite de l’article explique d’une manière excessivement simple comment un exécutable peut appeler une bibliothèque dynamique située sur une ressource distante. Rappelons qu’une partie du problème avait déjà été évoquée en juillet dernier par Nick Harbour… Le trou DLL-Hell, comme beaucoup d’autres, possède de multiples paternités.

Bojan Zdrnja du Sans revient lui aussi sur ce détournement de DLL, et explique également la « logique » qui préside l’ordre de recherche de ladite bibliothèque lorsqu’une requête est lancée par un exécutable.

Chez Microsoft, outre une alerte référencée 2269637, Christopher Budd y va de son billet sur le blog du MSRC. Un billet qui débute par une tentative de disculpation : responsable mais pas coupable. « This is different from other Microsoft Security Advisories because it’s not talking about specific vulnerabilities in Microsoft products ». Une attitude strictement comparable avait été observée lors de l’apparition des premières fausses urls exploitant les extensions .COM ou les attachements utilisant une extension .PIF (toutes deux acceptées par l’interprète de commande). « C’est une caractéristique héritée, nous n’avions aucune raison de modifier le comportement du noyau ». Une attitude que confirme un billet de Marisa Fagan sur le blog d’Errata Security, qui rappelle qu’en 2009, Aviv Raff avait déjà alerté la cellule sécurité de Redmond. Laquelle avait répondu : « it would be very problematic to fix the whole thing, and would break a lot of third-party Windows applications ». L’excuse du « trop de travail pour corriger çà », avait également été avancée à propos des fichiers .COM et .PIF qui fonctionnaient dans une boîte DOS. Voilà qui rappelle la position du Haut Commandement de l’armée Française à propos de la conservation des pantalons garance chez les fantassins de 1914. Lorsque la force de la tradition transforme chaque soldat –ou chaque exécutable- en cible visible par le plus mauvais tireur ennemi, il est peut-être temps de trouver une parade, et non de fuir les responsabilités sous prétexte de tradition ou de respect des coutumes ancestrales. Le niveau d’exploitation semble tellement simple que déjà de nombreuses attaques recensées « dans la nature » visent des programmes de la gamme Office, Windows Mail, des programmes d’échange P2P…

Pour l’heure, la consigne se limite toujours à bloquer les requêtes WebDAV et verrouiller les ports SMB. A ceci s’ajoute la création d’une nouvelle clef de registre CWDIllegalInDllSearch destinée à modifier l’ordre de recherche des DLL. L’usage de cette parade nécessitant à la fois de connaître l’existence de cette clef et de posséder un minimum de connaissances techniques pour pouvoir la mettre en œuvre laisse prévoir une certaine persistance du « taux de vulnérabilité » du parc de machines Windows en état de fonctionnement. Les gardiens de botnet doivent se frotter les mains et plancher sur de nouveaux vecteurs, vite avant que ne soit publié le prochain correctif « hors calendrier ». Car compte tenu de la dangerosité de cette menace, il serait peu sage d’attendre patiemment le prochain « mardi des rustines ». Cela fera le troisième « out of band » de la période estivale…

Les 5 règles d’or de la sécurité dans le Cloud par Chris Hoff de Rational Survivability. Du Hoff à l’état pur, toujours aussi intéressant, même lorsqu’il parle de notions basiques

Dans le cadre des informations d’une profondeur sociologique insondable que nous délivre parfois McAfee, voici que nous est dressée la liste des personnalités les plus utilisées par les auteurs de malwares, que ce soit dans le cadre d’une campagne de phishing ou pour inciter au téléchargement d’un codec faisandé sous prétexte d’admirer ladite célébrité sortant de son bain.

Egérie du piège binaire, c’est Cameron Diaz qui décroche la première place. Une requête du genre « vidéos de Cameron Diaz » retourne en moyenne 19% de résultats pointant sur des sites infectés. Sur les talons de Madame Diaz arrive Julia Roberts, qui, si elle « fait moins de retour » en termes de volume, compte pourtant 20% de sites douteux parmi les réponses d’une requête analogue. Jessica Biel décroche la troisième place (17% des réponses conduisant vers un site ou un fichier dangereux) suivie par Gisele Bündchen, un mannequin en vogue qui mérite une visite sur l’interface « résultats en image » de Google. Le premier homme du classement arrive en 5ème position, et c’est, tout comme l’an passé, Brad Pitt. Le second « homme piège », Tom Cruise n’arrive qu’en 8ème place, devancé par mesdames Jennifer Love Hewitt et Nicole Kidman (ex-aequo). Heidi Klum, Penelope Cruz et Anna Paquin ferment la marche de ce “top 10”. Monsieur Pitt semble indétrônable dans cette course aux fichiers explosifs, puisque ses concurrents masculins sont classés loin derrière : David Beckham 29ème, Tiger Woods 33ème (malgré le battage médiatique relatif à sa « sexothérapie »), Justin Bieber (un éphèbe Canadien de la chanson) 46ème et Barack Obama 49ème. Soit le Web serait légèrement machiste et consulté par une population essentiellement masculine, soit les spécialistes de l’escroquerie en ligne et de l’infection-espionne estiment que ce sont encore les hommes qui possèdent les « cordons de la bourse » et sont par conséquent plus intéressants à cibler*.

*Ndlc Note de la Correctrice : … soit les auteurs de malwares ont compris qu’il était plus facile de flouer un homme en faisant appel à ses instincts … naturels, ou bien encore les femmes savent généralement mieux détecter les pièges grossiers de ce type.

Notre confrère John Leyden du Reg, Billy Hurley de Security News, Barbara Darrow d’IT Knowledge ou Ron Condon de SearchSecurity UK , Tony Bradley de  PC World ou toute l’équipe de Network World reviennent sur l’offre d’achat de McAfee par Intel.

Pour beaucoup, la somme d’argent mise sur la table paraît absolument astronomique… était-il nécessaire qu’Intel dépense autant ? L’amalgame a-t-il quelques chances de réussir ? Quels en seront les bénéfices à court et moyen terme ? Sur ces deux derniers points, les avis divergent. Bien sûr, en tête des avis négatifs, ceux des éditeurs concurrents interviewés par nos confrères. La peur de voir apparaître un « grand méchant monopole » de cette union apparemment contre nature en inquiète plus d’un. Car une base matérielle qui possède déjà une couche de protection « burinée dans le silicium » et livrée presque gratuitement avec la machine, ça n’incite pas franchement à aller voir si la concurrence est plus efficace. Les critiques fusent : intégrer dans du matériel, c’est bien, mais mettre à jour, c’est mieux… Une sécurité « intégrée » pourra-t-elle prétendre être aussi souple qu’un logiciel ? et qu’est-ce qui nous garantira que le code intégré sera « sans bug » ? En présence d’un trou de sécurité dans le firmware de sécurité, sera-t-il possible d’appliquer une rustine ?

La presse économique, de son côté, salue l’initiative de diversification sans pour autant crier au triomphe. Intel, par le passé, n’a jamais brillé pour sa compétence en matière de logiciels. Entreprise de « hard », elle n’a jamais réussi à marier les compétences de ses différents laboratoires, comme le fit par exemple Hewlett Packard. Le monde des composants subit, par rapport à ses homologues de l’instrumentation et équipementiers, un lourd handicap culturel. A ceci s’ajoute le fait que, lors de toute OPA, le tout résultant est parfois très loin de la somme des parties. Intel+McAfee = ???

Personne par contre ne s’interroge sur la transparence et l’ouverture de cette intégration. Car malgré des amours orageuses et des périodes de vie commune tumultueuse, le premier partenaire d’Intel, Microsoft, a tout à gagner de ce mariage géant. Cela fait d’ailleurs depuis quelques années, au fil des conférences WinHEC, que le numéro Un du logiciel nous promet la généralisation de « processeurs de sécurité » et d’agents de contrôle de sécurité « intégrés dans le silicium ». Risquera-t-on de voir apparaître des machines WintelAff totalement verrouillées, effectuant des vérifications de signature de code officiellement destinées à éviter l’exécution d’un malware mais interdisant effectivement le lancement de tout programme non béni des Dieux de l’Informatique ? De telles rumeurs avaient couru lors de l’apparition des premières puces TPM, ces coffres forts à certificats que l’on a craint un certain temps interdit au monde GNU Linux.

Quelques interviewés craignent, cependant, une dérive monopolistique provoquée par cette situation du « mieux offrant ». Pourquoi faire jouer la concurrence entre vendeurs de jeux de composants alors que seul Intel sera à même d’offrir des circuits sécurisés ? Comment survivre dans le monde logiciel sans être « compatible McAfee Inside » ? Et connaissant l’âpre bataille que se livrent les ténors de la sécurité sur le terrain des consoles d’administration, comment ne pas imaginer qu’Intel ne puisse en profiter pour entraver la marche de ses ennemis ? En « ouvrant ses standards », par exemple, tout en se réservant le droit d’intégrer des « améliorations » qui rendrait tout espoir d’interopérabilité illusoire ? Se dresse alors le spectre d’une situation monopolistique et de ses conséquences, notamment la perspective de procès à épisodes et de revirements dont les premières victimes seraient les clients eux-mêmes. Ces « risques », il se pourrait bien que le concurrent direct d’Intel, AMD, tente de les exploiter discrètement dans les mois à venir.

Tous les experts, en revanche, tirent des plans sur la comète et tentent de deviner quels seront les secteurs les plus concernés par cette intégration : poste de travail pour certains, jeux de composants destinés à la téléphonie mobile pour d’autres (les security embedded phones), sans oublier le cloud computing, les processeurs de chiffrement cachés dans le moindre chipset… Reste qu’en dehors du monde du serveur ou du poste de travail, Intel n’est pas le seul en lice. Dès que l’on parle de processeurs embarqués ou d’électronique mobile, d’autres noms apparaissent, qui, eux aussi, pourraient bien acheter à leur tour un éditeur de logiciels de protection périmétrique.

Les 10 « astuces » pour améliorer la sécurité des distributeurs de billets. Le skimming serait en perte de vitesse devant les attaques système du DAB.

Article imposant (15 pages-écran) sur les matrices de risque utilisant la méthode de Tony Cox et leur implication dans la gestion de projet appliquée aux risques. Conseil : lire au préalable l’article de Cox …

Encore un cri d’alarme de plus sur un sujet devenu presque banal : la montée en puissance des cartes graphiques et de leurs processeurs dédiés, ainsi que la disponibilité des kits de développement destinés auxdits processeurs font en sorte que pratiquement n’importe qui ou presque, peut espérer « casser du mot de passe complexe » s’émeut une équipe de Georgia Tech. Le fait est loin d’être un scoop… il existe même, chez les spécialistes en sécurité, des habitués du cassage de code à la carte graphique. Ainsi Elcomsoft et son High-Performance Distributed Password Recovery tool.

Et les universitaires d’estimer que les sésames de 7 caractères appartiennent déjà au passé. Il faudrait au moins que chaque informatisé adopte des clefs de plus de 12 caractères combinant lettres, chiffres et signes de ponctuation déclare en substance le chef du laboratoire d’Atlanta, Richard Boyd.

Rien de nouveau sous le soleil. Il faut dire que la majorité des outils de cassage de mots de passe que l’on rencontre dans la nature –et plus particulièrement au sein des divers malwares- n’exploitent pas encore les jeux d’instruction des GPU, faute d’un nombre représentatif de victimes potentielles. Et l’on ne connaît pas encore de code d’attaque viral possédant ses propres « rainbow tables ». Les Crossfire et autres SLI, ça n’est pas franchement ce que l’on trouve au sein d’un réseau bancaire.

Cet écart constaté entre le discours purement scientifique et la réalité des menaces est une arme à double tranchant. Certes, les PoC, ou preuves de faisabilité, existent depuis longtemps. Sans le moindre doute, la résistance d’un mot de passe simple est illusoire face aux techniques contemporaines de cassage, à tel point que ce genre de concours opposant centres universitaires, administrateurs de grands centres de calcul et spécialistes du pentesting est en perte de vitesse, ou réservé à une élite qui seule comprend la beauté éthérée du «point de collision d’un algorithme de chiffrement elliptique ».

Tout ceci est trop éloigné de la « vraie vie » pour que le message porte ses fruits. L’équipe du professeur Boyd risque plus de passer pour un gentil club de hackers jouant les Cassandres que pour de sages visionnaires… ce qu’ils sont pourtant. Car les véritables pirates préfèrent, et de très loin, recourir aux bonnes vieilles ficelles du « social engineering » (phishing, password-gessing, googlehacking, recherches d’informations personnelles aidant à la découverte d’une « question secrète » etc) plutôt que de s’enquiquiner à pondre un code de cassage de mot de passe qui sera tôt ou tard identifié par un antivirus quelconque. La première méthode est moins coûteuse et a pu, au fil du temps, prouver son efficacité. Face à ces hordes noires, l’internaute se défend du mieux qu’il peut, avec sa propre perception de la sécurité : PSG, OM, Lucette, motdepasse, 12345, AZERTYUIOP (fait 10 caractères, celui-là), 0987TREZA (c’est bien mélangé ?), RobertRedford, toto… le tout généralement utilisé aussi bien pour accéder à un compte en banque que pour converser avec des inconnus sur un forum ésotérique.

Frederick Forsyth, l’auteur des romans Chacal et des Chiens de Guerre, clame haut et fort que le micro-ordinateur de son épouse aurait été hacké –de fort mauvaise manière d’ailleurs- par les services de renseignements américains. Cette injection d’espion logiciel aurait provoqué un plantage généralisé de la machine en question, avec pour conséquence la perte de quelque tapuscrit d’un futur roman ou d’article en souffrance destiné à un média Britannique. Oh, combien de pigistes, combien de journalistes apprécieraient pouvoir invoquer les activités occultes de la NSA lorsque leur Rédac’Chef leur expédie un email comminatoire : « t’es à la bourre, coco, tu dépasses la date de bouclage ! ». Hélas, contrairement à Monsieur Forsyth, il est rare qu’un pigiste passe ses vacances par hasard en Guinée-Bissau en plein milieu d’un coup d’état.

Ce « scoop » estival , dont l’intérêt est digne des lectures de vacances, nous est révélé par Graham Clueley de Sophos. Forsyth, anti-européen activiste, royaliste convaincu – car sujet de Sa Gracieuse Majesté-, partisan d’une droite aussi « décomplexée » que musclée a toujours entretenu autour de sa personne une légende trouble. Une légende qui fleure bon le scandale, l’espionnage, les coups de main des « Affreux » sur ces terres Africaines, là où s’ébattaient les véritables modèles de ses romans, les Bob Denard, les Christian Taverniers et consorts. Les droits d’auteurs du roman « Chiens de guerre » auraient-ils réellement servi à financer un coup de main en Afrique ? Les barbouzes Américaines auraient-elles tenté de fliquer l’ordinateur conjugal ? Tout çà relève très probablement, explique Clueley, du fantasme romanesque et de l’affabulation paranoïaque… ou marketing. Car il faut bien inventer un scandale pour éveiller l’attention des médias. Surtout depuis que les soldats de fortune ne sont plus à la mode. Les supplétifs des Etats interventionnistes ne s’appellent plus « gendarmes Katangais » mais « entreprises de sous-traitance spécialisées dans la sécurité opérationnelle », possèdent sites web et signent des contrats officiels avec les autorités de leurs pays. Quand la guerre devient un service (payant), le romantisme du mercenaire combattant pour un idéal ne rapporte plus un kopeck en droits d’auteurs. C’est probablement d’ailleurs pour cette raison que Madame Forsyth n’a pas pu acheter d’antivirus résistant aux malwares, qu’ils soient d’origine mafieuse ou officiellement codés par des fonctionnaires du DoD.

Pour les amoureux du crochetage de serrures, Lockcon se déroulera du 8 au 11 octobre prochain à Sneek, en Hollande. Les modalités d’inscription et le programme détaillé sont disponibles

Rafal Wojtczuk, d’Invisible Things, publie une recherche sur l’art de r00ter un système Linux sans exploiter la moindre faille… Voyage au pays des GDI. Erreur de conception kernel comblée depuis