Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 111 à 120.
| < Les 10 documents précédents | Les 10 documents suivants > |
(02/11/2011 12:35:10)
Duqu utilise une faille zero day dans le kernel de Windows
C'est au sein du laboratoire de cryptographie et de la sécurité des systèmes (CrySyS) de l'université de technologie de Budapest que des chercheurs ont découvert que le programme d'installation du ver Duqu utilisait une faille zero day dans le noyau de Windows. Ils ont également été les premiers à découvrir les différents composants de Duqu, comme le malware installé et la DLL qui infecte les ordinateurs.
« Notre laboratoire, en poursuivant l'analyse du malware Duqu, a identifié un fichier avec une faille zero day à l'intérieur du noyau de Windows » ont annoncé les chercheurs et d'ajouter « nous avons immédiatement fourni aux organisations compétentes les informations nécessaires, pour qu'elles puissent prendre des mesures appropriées afin de protéger les utilisateurs ».
Selon Symantec, dont les experts ont analysé les échantillons fournis par CrySyS, Duqu infecte des ordinateurs via l'ouverture d'un document Microsoft Word (. Doc) qui exploite une vulnérabilité zero-day de Windows. Les chercheurs de l'éditeur expliquent que « le document Word est conçu de telle manière qu'il cible parfaitement l'entreprise attaquée ». Les chercheurs de Symantec ont également fait d'autres découvertes intéressantes liées à la menace. Duqu est capable d'infecter les ordinateurs qui ne sont pas connectés à Internet en se copiant dans les dossiers partagés sur le réseau.
Microsoft a été alerté sur cette vulnérabilité et travaille actuellement sur un correctif. Cependant, les spécialistes de la sécurité sont sceptiques sur le fait que la faille soit corrigée lors du prochain Patch Tuesday. La firme de Redmond rappelle simplement aux utilisateurs de ne pas ouvrir des documents provenant de sources inconnues.
Un malware qui s'adapte et trouve refuge en Belgique
Le malware dispose d'un mécanisme de secours qui se déclenche quand il ne détecte pas une connexion Internet active, et télécharge des fichiers de mises à jour de configuration via d'autres ordinateurs infectés sur le réseau. « Duqu crée un pont entre les serveurs des entreprises et le serveur de commandes et contrôle (C&C). Cela donne aux pirates les moyens d'infecter des zones sécurisées à l'aide d'ordinateurs situés en dehors de cette zone et utilisés comme proxy », précise Symantec.
Autre découverte importante, un serveur C&C a été localisé en Belgique. C'est la première fois qu'un serveur a été identifié après la fermeture de celui en Inde. Cela confirme les soupçons que celui qui est derrière ce malware suit les évolutions des enquêtes et s'adapte en fonction.
Jusqu'à présent, Symantec confirme des infections en France, Pays-Bas, Suisse, Ukraine, Inde, Iran, Soudan et Vietnam, tandis que d'autres éditeurs ont signalé des incidents en Autriche, Hongrie, Indonésie et Royaume-Uni. Duqu opère donc à l'échelle mondiale.
Recap IT : Changements chez IBM et HP, la revanche de Samsung et Android, Floraison sécuritaire
La semaine a été très animée sur le plan économique et stratégique pour les acteurs de l'IT. Oracle a ouvert le bal en annonçant l'acquisition de RightNow pour la somme de 1,5 milliard de dollars. La firme de Redwood entend bien concurrencer Salesforce.com dans le domaine du CRM en mode cloud. Sur le plan des acquisitions, on peut souligner l'intérêt de Quest Software et de Citrix pour les solutions d'aide à la migration applicative, avec les rachats respectifs de ChangeBase et App-DNA.
IBM a créé la surprise en annonçant la nomination de Virgina Rometty au poste de CEO. Elle prendra son poste le 1er janvier prochain, il s'agit de la première fois que Big Blue nomme une femme à ce poste. Toujours dans les changements, mais cette fois sur le plan stratégique, Meg Whitman, PDG d'HP a décidé de ne pas céder, ni filialiser l'activité PC du groupe, comme cela avait été prévue par son prédécesseur Leo Apotheker.
Samsung et Android au plus haut face à Apple
Les rapports de force seraient-ils en train de changer dans la téléphonie mobile ? Deux informations laissent à penser qu'Apple a eu une petite faiblesse au troisième trimestre 2011. En effet, Samsung a dépassé la firme de Cupertino, mais aussi Nokia sur le nombre de smartphones vendus pendant cette période. Même sur le téléchargement des applications, Android passe devant iOS. En tout cas, l'usage des smartphones ne se dément pas en générant 5% du trafic Internet des grands pays européens. Il reste que ce marché est devenu très concurrentiel et certains acteurs ont décidé de jeter l'éponge. Ericsson a décidé de revendre à son partenaire Sony ses parts de leur entreprise commune.
Bouquet sécuritaire
Une ribambelle de vulnérabilités est venue égayer cette semaine de pré-Toussaint. Ainsi, des pirates allemands ont dévoilé lundi un outil d'attaque par déni de service en contournant le protocole SSL. Puis c'est au tour des télécoms en entreprise d'être considérées comme le maillon faible de la sécurité et les intégrateurs/opérateurs demandent de l'aide auprès du ministère de l'intérieur. Skype et Facebook ne sont pas épargnés avec des failles importantes. Le malware Duqu a été aperçu en Iran et au Soudan. Des chercheurs ont aussi réussi à pirater le cloud d'Amazon via une encapsulation XML. Le XML a d'ailleurs vu son chiffrement compromis.
Les éditeurs de sécurité tentent d'apporter des réponses à ces différents problèmes. Ainsi, Checkpoint a présenté un serveur logiciel dédié à lutter contre les botnets. MacAfee de son côté a détaillé sa collaboration avec Intel.
Des failles majeures sur Facebook et sur Skype
Nathan Power teste les niveaux de sécurité de différentes sociétés pour le compte du cabinet de consultant CDW. Il a découvert une vulnérabilité sur Facebook et l'a signalé au site le 30 septembre dernier. La faille a été publiée sur son blog hier et Facebook a reconnu le problème.
Natahan Power écrit que Facebook n'autorise pas l'envoi d'une pièce jointe exécutable via l'onglet « Message ». Si on essaye quand même, le site indique « erreur de téléchargement : Vous ne pouvez pas joindre des fichiers de ce type. » Le spécialiste de la sécurité indique qu'en analysant la navigation dans « Message » envoyée aux serveurs de Facebook, il a découvert une variable appelée « filename » qui scanne le fichier pour l'autoriser ou non. En modifiant simplement cette requête avec un espace juste après le nom du fichier, un exécutable peut être joint à un message. « Ce fut assez pour tromper l'analyseur » souligne Nathan Power. Le danger est qu'un pirate puisse utiliser des techniques d'ingénierie sociale (usurpation d'identité, piratage de compte) pour amadouer une personne et lui faire distribuer la pièce jointe, ce qui pourrait potentiellement infecter les ordinateurs avec des logiciels malveillants.
L'Inria détecte une faille dans Skype
Le laboratoire de recherche français, l'INRIA, en collaboration avec l'Institut Polytechnique de New York a découvert une faille de sécurité dans le logiciel de téléphonie IP, Skype. Selon les chercheurs Steven Leblond, Arnaud Legout et Walib Dabbous, cette vulnérabilité permettrait de « localiser géographiquement les utilisateurs de Skype grâce à leurs adresses IP ainsi qu'accéder aux fichiers qu'ils auraient téléchargés via des logiciels d'échange Peer-to-Peer ». Dans la pratique, un pirate pourrait utiliser les appels Skype pour créer une passerelle avec les utilisateurs ciblés. Pour les chercheurs même « un appel refusé, permet d'accéder à l'adresse IP du client et à ses activités sur le réseau Internet. Les paramètres de sécurité de Skype ne sont pas capables de bloquer ces connexions dont les utilisateurs ne soupçonnent souvent pas l'existence. » Le laboratoire de recherche indique travailler avec Microsoft pour l'élaboration d'un correctif.
(...)(28/10/2011 10:10:11)Les télécoms en entreprise sont un maillon faible de la sécurité
Les entreprises se font pirater leurs lignes à l'international à destination de pays d'Afrique, d'Asie ou des Balkans. Dans un cas, c'est l'Afghanistan. Alerté l'opérateur de l'entreprise coupe les appels vers ce pays, trois jours après elle est piratée vers le Timor ! (facture : 32 000 euros !). L'entreprise est pénalisée, gravement, et son opérateur reste impuissant. Avec le Minitel, on pouvait couper, là on ne peut pas interdire l'international. Quant à la facture ... un cas relevé par la Ficome se monte à 600 000 euros.
Plus inquiétant encore, les télécoms servent aux pirates à s'introduire dans le système d'information de l'entreprise. « On constate une méconnaissance des risques liés aux systèmes télécoms » note Guy Têtu, délégué général de la Ficome, « l'informatique s'est développée avec ses règles de sécurité, mais personne n'a vu que les autocoms sont devenus de véritables ordinateurs avec des disques durs. Ce sont des passerelles vers le système d'information. On se retrouve maintenant avec des entreprises qui, soit ignorent les politiques de sécurité, soit observent une politique qui s'arrête aux systèmes information et ne concerne pas les télécoms ».
Silvano Trotta reçu à sa demande
Que faire ? Le président de la Ficome, Silvano Trotta, a été reçu, à sa demande, par la Befti, la Brigade d'enquête sur les fraudes aux technologies de l'information, une unité spécialisée de la Préfecture de Police de Paris, pour évoquer un partenariat en échangeant sur cette situation préoccupante afin de résoudre cette problématique.
La Ficome va centraliser les demandes faites aux constructeurs de matériels pour renforcer la sécurité de ces derniers, ainsi qu'aux opérateurs pour augmenter le niveau d'alerte tout en continuant d'organiser les séminaires de sécurité avec le concours de la Befti de la Préfecture de Police qui est prête à intervenir afin d'apporter ses témoignages, ses expériences et ses conseils.
« Sur Internet existe tout ce qui est nécessaire pour pirater une entreprise », souligne Guy Têtu. Un vide juridique qui répond au vide des politiques de sécurité pour les télécoms. La Ficome conseille ainsi de vérifier si toutes les fonctionnalités sont bien utiles aux utilisateurs (messagerie vocale, renvois d'appel, accès à l'international, etc.), si ces mêmes utilisateurs observent les règles de sécurité de leurs terminaux télécoms (identifiants et mots de passe), si l'entreprise procède à des audits réguliers pour ses télécoms et s'est assurée pour ce type de fraude.
Le malware Duqu repéré en Iran et au Soudan
L'éditeur de solutions de sécurité Kaspersky Labs a détecté que le malware Duqu avait contaminé des équipements informatiques au Soudan, mais aussi et surtout en Iran, ce dernier pays ayant été la cible principale de son prédécesseur, le cheval de Troie Stuxnet. Duqu a fait une entrée remarquée dans le secteur de la sécurité IT la semaine dernière lorsque le laboratoire de recherche hongrois Crysys a partagé son analyse de la menace avec les grands éditeurs d'antivirus dans le monde.
Considéré comme très proche du ver Stuxnet, conçu pour des actions de sabotage industriel et dont il emprunte le code et les fonctionnalités, Duqu se présente comme un framework flexible de diffusion de malwares, utilisé pour l'exfiltration de données. Il comprend deux modules dont le principal est constitué de trois composantes : un logiciel pilote qui insère une DLL (bibliothèque dynamique) dans le système, cette dernière établissant la communication entre le serveur de commande et de contrôle (C&C) et le système pour enregistrer dans le registre ou exécuter des fichiers, et, enfin, un fichier de configuration. Le module secondaire est un logiciel espion qui enregistre les informations saisies sur le poste.
Le premier échantillon de ce malware a été montré au service VirusTotal le 9 septembre en Hongrie. Depuis, Kaspersky Lab en a identifié plusieurs variantes, certaines ayant été créées le 17 octobre et trouvées sur des ordinateurs au Soudan et en Iran. « Nous savons qu'il y a au moins 13 fichiers pilotes différents », ont indiqué les chercheurs de Kaspersky qui ajoutent n'en avoir trouvé que six.
Des incidents différenciés les uns des autres
Quatre incidents ont été détectés en Iran. Chacun d'eux est intéressant à sa façon, en dehors du fait qu'ils se sont produits dans un pays qui a été la première cible de Stuxnet. Dans un cas, deux ordinateurs infectés ont été localisés sur le même réseau, l'un d'eux recelant deux pilotes différents de Duqu. Dans un autre cas, le réseau auquel étaient raccordés les ordinateurs affectés a enregistré deux attaques qui ciblaient une faille exploitée à la fois par Stuxnet et par le ver Conficker.
Les chercheurs ne savent pas encore comment Duqu a atteint les systèmes ciblés. Par conséquent, ces attaques pourraient fournir une indication sur la façon dont l'infection s'est produite. « Duqu est utilisé pour des attaques dirigées vers des victimes soigneusement sélectionnées », selon Kaspersky. Toutefois, il n'y a pas d'élément permettant de dire que les victimes ont un lien avec le programme nucléaire iranien, comme c'était le cas avec Stuxnet, ou avec les autorités de certification (Certificate Authorities/CAs), comme pour les autres attaques en Iran, ni même avec d'autres industries particulières, comme le suggèrent certaines informations.
Des noms et des empreintes différentes
Il a par ailleurs été découvert que chaque infection Duqu est unique et que ses composantes présentent des noms et des empreintes différentes. « L'analyse du pilote igdkmd16b.sys montre une nouvelle clé de codage, ce qui signifie que les méthodes de détection existante de fichiers PNF (la DLL principale) sont inexploitables. Il apparaît évident que la DLL est encodée différemment dans chacune des attaques », ont spécifié les chercheurs de Kaspersky.
L'architecture de Duqu étant très flexible, celui-ci peut lui-même se mettre à jour, changer de serveur de contrôle et installer d'autres composants à n'importe quel moment. En fait, Kaspersky n'a trouvé le module espion d'origine sur aucun des systèmes infectés, que ce soit au Soudan ou en Iran. Cela signifie qu'il était encodé différemment, ou bien qu'il a été remplacé par un autre. « Nous ne pouvons pas écarter que le serveur C&C identifié en Inde ait été utilisé uniquement pour le premier incident connu [...] et qu'il y ait un serveur C&C pour chacune des cibles, en incluant celles que nous avons trouvées », ont également mentionné les chercheurs de Kaspersky. Ils pensent aussi que les personnes qui se trouvent derrière Duqu réagissent à la situation et ne vont pas s'arrêter. La chasse aux informations se poursuivant, de nouveaux éléments devraient être prochainement découverts.
Illustration : Les experts de Kaspersky présentent les éléments récupérés après certaines des attaques effectuées par Duqu en Iran (source : blog de securelist.com)
Des failles de sécurité préoccupantes dans les clouds
Des chercheurs allemands, qui affirment avoir trouvé des failles de sécurité dans Amazon Web Services, pensent que celles-ci se retrouvent dans de nombreuses architectures cloud. Selon eux, ces vulnérabilités permettraient aux attaquants de s'octroyer des droits d'administration et d'accéder à toutes les données utilisateur du service. Les chercheurs ont informé AWS de ces trous de sécurité et Amazon Web Services les a corrigés. Néanmoins, ceux-ci estiment que, « dans la mesure où l'architecture cloud standard rend incompatible la performance et la sécurité, » de mêmes types d'attaques pourraient réussir contre d'autres services cloud.
L'équipe de chercheurs de la Ruhr-Universität Bochum (RUB) a utilisé diverses attaques d'encapsulation de signature XML (XML signature-wrapping) pour gagner l'accès administrateur aux comptes clients. Ils ont pu ensuite créer de nouvelles instances cloud au nom du client, puis ajouter et supprimer les images virtuelles. Dans un exploit distinct, les chercheurs ont utilisé des attaques de type « cross-site scripting » ou XSS contre le framework Open Source du cloud privé Eucalyptus. Ils ont également constaté que le service d'Amazon était vulnérable aux attaques de type XSS. « Ce problème ne concerne pas que le service d'Amazon», a déclaré l'un des chercheurs, Juraj Somorovsky. « Ces attaques concernent les architectures cloud en général. Les clouds publics ne sont pas aussi sûrs qu'on le croit. Ces problèmes pourraient très bien se retrouver dans d'autres frameworks cloud, » a-t-il expliqué.
Renforcer la sécurité XML
Juraj Somorovsky a indiqué par ailleurs que les chercheurs travaillaient sur des bibliothèques haute-performance qui pourront être utilisées avec la sécurité XML pour supprimer la vulnérabilité exploitable par des attaques d'encapsulation de signature XML. Celles-ci devraient être prêtes l'année prochaine. Ces bibliothèques s'appuient sur le mécanisme d'attaques de type « signature-wrapping » mis en évidence par les chercheurs de la Ruhr-Universität Bochum dans l'Amazon Web Service qu'ils sont parvenus à corriger. « Aucun client n'a été affecté, » a déclaré par mail un porte-parole d'AWS. « Il est important de noter que cette vulnérabilité potentielle impliquait un très faible pourcentage de tous les appels API AWS authentifiés qui utilisent des points de terminaison non-SSL. Cette vulnérabilité n'est pas disséminée, comme cela a été rapporté. »
AWS a posté une liste des meilleures pratiques en matière de sécurité, laquelle, si elle est suivie, aurait protégé les clients contre les attaques imaginées par l'équipe de chercheurs de l'université allemande, et contre d'autres attaques également.
Crédit photo : D.R.
(...)(27/10/2011 12:04:04)
Checkpoint part en chasse contre les botnets
Checkpoint a profité de son 3D Security Tour à Paris pour faire quelques annonces. Le spécialiste de la sécurité a ainsi présenté une extension de son châssis haut de gamme, le 61000. Dévoilée au mois d'août dernier, cette passerelle peut embarquer jusqu'à 12 serveurs en étant capable de gérer des débits de 200 Gbt/s sur une instance de pare-feu unique, ainsi qu'un IPS avec du trafic jusqu'à 85 Gbt/s. Les extensions annoncées concernent la possibilité d'intégrer des solutions de DLP, mais aussi le serveur lame anti-botnet.
La prévention des botnets
La réelle innovation réside dans ce serveur lame (Blade Software) qui est capable de protèger les entreprises contre les botnets, mais aussi les menaces persistantes avancées (APT). L'appliance comprend un moteur de détection baptisé Multi-tier ThreatSpect. Il analyse le trafic sur chaque passerelle, identifie plusieurs millions de types d'intrusions et démasque les botnets grâce à la corrélation de facteurs. Il propose ensuite des solutions de blackhauling (blocage de la communication et mise en quarantaine des échanges corrompus). Amnon Bar-Lev, PDG de Checkpoint constate que « la plupart des entreprises qui ont essayé notre solution ont trouvé des postes de travail infectés ». Cette aplliance sera intégrée dans les différentes passerelles du spécialiste de la sécurité et sera disponible au 1er trimestre 2012.
(...)(25/10/2011 16:11:05)Des pirates créent un outil DDOS capable de contourner le protocole SSL
L'outil dévoilé par un collectif de pirates allemands baptisés Hackerschoice s'appelle THC-SSL-DOS et s'appuie sur une faille rarement utilisé, mais largement disponible, dans le protocole SSL appelée renégociation SSL. Cette vulnérabilité un peu ancienne (en 2009, un étudiant turc avait utilisé cette faille pour développer une attaque Man In The Middle et détourner des identifiants sur Twitter) permet aux serveurs de modifier la clé de chiffrement utilisé pour sécuriser une session sans avoir besoin d'interrompre la connexion, selon le THC. Elle est activée par défaut sur la plupart des serveurs. « Renégocier une clé physique est une idée stupide du point de vue du chiffrement », explique le groupe de hacker et d'ajouter « si vous n'êtes pas satisfait avec la négociation initiale de la clé, vous devez générer une nouvelle session et non pas renégocier ».
Les attaques par déni de services se traduisent par un volume très important de requêtes pour saturer les serveurs. Habituellement, cela nécessite que les attaquants soient proches de la cible pour une question de bande passante, ce qui explique pourquoi la plupart des attaques DOS sont exécutées de manière distribuée à partir d'un grand nombre d'ordinateurs. Cependant, dans le cas de THC-SSL-DOS, c'est différent car les serveurs SSL consomment beaucoup plus de ressources au cours des négociations SSL que les clients. L'outil présenté peut déclencher des milliers de renégociations via une connexion TCP unique.
Un simple ordinateur portable et une connexion DSL suffisent
The Hackerschoice estime qu'avec un ordinateur portable avec une connexion DSL standard, son outil peut concurrencer un serveur disposant d'un lien de 30 Gbt/s. « Le serveur ne peut gérer en moyenne que 300 sessions par seconde, soit la consommation de 10 à 25% du CPU de votre ordinateur portable», explique le groupe.
Ce type d'attaques n'est pas nouveau. En fait, les constructeurs connaissent le sujet depuis 2003 et, selon le THC, la méthode a été utilisée l'année dernière dans des attaques DOS contre MasterCard. Avec son outil, THC automatise le processus et souhaite que l'industrie prenne conscience du problème pour mieux sécuriser les serveurs.
Le groupe souligne que, même sans renégociation SSL activée, un pirate peut toujours utiliser le THC-SSL-DOS avec succès contre les serveurs. Toutefois, pour de telles attaques, il faudrait plus qu'un simple ordinateur portable.
Le ministère de l'Intérieur avertit les acteurs des télécoms sur la sécurité
Il y a quinze jours, le Ministère de l'Intérieur a convoqué les responsables de plusieurs associations françaises de professionnels des télécoms. Objectif : lutter contre le piratage des entreprises, devenu de plus en plus facile. Les pirates sont des experts, mais surtout les PME françaises n'observent pas un minimum de règles de sécurité. C'est ce dernier point qui doit être travaillé.
Sur le salon IP Convergence, de nombreux cas étaient cités. Par exemple celui d'une PME francilienne. Entre Noël et le jour de l'an, elle était fermée. Des pirates ont très facilement pénétré le système d'information, en utilisant la messagerie. Bilan : 70 000 euros perdus.
Piratage de lignes téléphoniques pour appels internationaux
Autre cas, très fréquent, celui du piratage des connexions téléphoniques à l'international. Là encore avec de belles factures à la clé. « Dans les audits d'entreprises, on trouve encore des locaux de gardiens avec des téléphones fixes et la possibilité de communiquer à l'international », lance Guy Têtu, délégué général de la Ficome.
La Place Beauvau souhaite mobiliser la profession des télécoms pour inciter les PME françaises à adopter des procédures et des plans de vigilance contre le piratage de leurs messageries ou de leurs abonnements téléphoniques.
| < Les 10 documents précédents | Les 10 documents suivants > |