Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 11 à 20.
| < Les 10 documents précédents | Les 10 documents suivants > |
(25/04/2012 11:51:54)
Des serveurs relais mis en place par le FBI bientôt débranchés
Une autre série de serveurs gouvernementaux utilisés comme filets de sécurité seront déconnectés le 9 juillet. Ces serveurs relais avaient été mis en place le 8 novembre dernier, après l'operation Ghost Click menée par le FBI, qui avait mis hors d'état de nuire un groupe de hacker opérant sous le nom de « Rove Digital ».
Depuis 2007, ces pirates exploitaient sur Internet une escroquerie par le biais de serveurs DNSChanger grâce auxquels ils ont pu prendre le contrôle d'environ quatre millions d'ordinateurs dans le monde et au moins 568 000 aux États-Unis. Avec leur spamming publicitaire les pirates ont pu collecter la coquette somme de 14 millions de dollars. Surtout, les ordinateurs infectés étaient devenus dépendant de ces serveurs voyous pour leur navigation sur Internet.
Une mesure temporaire qui va prendre fin
Selon le FBI, si l'agence avait pris l'option de fermer l'infrastructure des criminels et de confisquer les serveurs pirates, leurs victimes n'auraient plus été en mesure de se connecter à Internet. Pour éviter cela, la nuit où les agents fédéraux ont mené leur opération conduisant à l'arrestation de six personnes de nationalité estonienne, Paul Vixie, fondateur et président de l'Internet Software Consortium, a été recruté pour installer deux serveurs « propres » qui ont pris le relais des serveurs saisis. Ces serveurs avaient été programmés pour cesser leur activité le 8 mars, mais un juge fédéral a prolongé le délai jusqu'au 9 Juillet. Jenny Shearer, porte-parole du FBI a déclaré que l'agence voulait identifier les ordinateurs encore infectés, pour les faire pointer vers le site web du DNS Changer Serving Group (DCWG), afin de détecter, de nettoyer et de protéger ces machines contre l'escroquerie. Les experts en sécurité pensent que les utilisateurs concernés auraient intérêt à faire vérifier leurs machines par des personnes ayant des compétences techniques. « Il faudrait peut-être même restaurer les paramètres par défaut de ces ordinateurs », a déclaré Jenny Shearer.
« Souvent, une machine infectée a beaucoup plus qu'un seul problème », a convenu Dan Philpott, spécialiste de la sécurité au niveau fédéral pour le District de Washington DC. En effet, selon le FBI, les pirates ont profité de vulnérabilités présentes dans le système Windows de Microsoft pour installer des logiciels malveillants sur les ordinateurs des victimes. Ces malware ont désactivé la mise à jour des logiciels antivirus et les ont reprogrammer pour utiliser des serveurs DNS voyous hébergés dans des datacenter situés en Estonie, à New York et à Chicago, tous propriétés des cybercriminels. Les ordinateurs pouvaient ensuite être redirigés vers des versions frauduleuses de plusieurs sites web, puisque les utilisateurs accédaient en réalité à une fausse version de l'Internet.
Un faux réseau pour tromper les utilisateurs
Comme l'avait écrit l'expert en sécurité Eric Cissorsky au mois de février sur Infosec Island, « la fonction de DNSChanger était de rediriger les systèmes infectés vers des destinations malveillantes. En retour, ces sites installaient d'autres logiciels malveillants. Il est probable que des Chevaux de Troie comme Zlob, TDSS, Alureon, TidServ, et TLD4 ont été installés sur les systèmes DNSChanger infectés ». Cette semaine, dans une interview, Eric Cissorsky a déclaré que les utilisateurs infectés par DNSChanger devaient effectuer un scan de virus hors ligne, avec des utilitaires dans le genre de MS Windows Defender Offline, pour détecter et éliminer tout autre malware présent sur leur machine ».
Et pour ceux qui ne savent pas si leur machine est infectée, « tous les principaux vendeurs offrent un certain type d'outils gratuits pour réaliser des scans de virus en ligne. Plusieurs offrent même des anti-virus hors ligne gratuits. En cas de doute, celui-ci conseille de refaire le scan plusieurs fois et d'utiliser les outils de plusieurs vendeurs différents.
Le FBI estime que, même si le nombre d'utilisateurs touchés a diminué, il resterait environ 85 000 machines infectées aux États-Unis. Une nouvelle prolongation de la durée de vie des serveurs au-delà de la date limite du 9 juillet n'est pas envisagée. « Dès le départ, il était prévu que cette solution serait temporaire », a déclaré Jenny Shearer.
(...)(23/04/2012 12:10:11)Le FBI saisit un serveur d'anonymisation
Le serveur, saisi mercredi dernier, était hébergé dans un centre de calcul situé à New York, et partagé par Riseup Networks et May First/People Link. Ces deux entreprises passent par le FAI European Counter Network pour fournir des services à des associations militantes. Le serveur était équipé d'un programme de re-routage anonyme du nom de Mixmaster, qui acheminait les e-mails via des serveurs anonymes de son réseau, après avoir effacé les données de routage contenues dans les mails, susceptibles d'être utilisées pour remonter à leur source. L'application, qui a pour objectif de protéger l'identité des personnes, ne conserve ni les logs ni d'autres informations permettant d'identifier l'origine des messages.
Le FBI, qui enquêtait depuis plus de deux mois sur de multiples menaces d'attentat adressées à l'Université de Pittsburgh, avait obtenu un mandat de perquisition qui a permis la saisie du serveur. Jusque-là, aucune bombe n'a été découverte. Le serveur en question gérait aussi 300 comptes de messagerie, hébergeait des sites web et des listes de courrier électronique de groupes féministes, de groupes de défense des droits des homosexuels, de centres communautaires et autres associations. Selon Riseup Networks, « aucun d'eux n'est impliqué dans ces menaces ». La saisie de ce serveur « est une punition extrajudiciaire et une attaque contre la liberté d'expression et contre l'anonymat de l'Internet. Elle sert de prétexte pour faire peur aux autres fournisseurs de services de messagerie anonyme ou de services de re-routage de mails », a déclaré Riseup Networks dans un communiqué.
L'entreprise reconnaît que l'application Mixmaster a peut-être détourné de son usage, mais que, si c'était le cas, le nombre d'abus est très réduit. Selon le groupe, les cybercriminels ont déjà beaucoup de solutions pour préserver leur anonymat, par exemple en piratant des ordinateurs ou en volant des téléphones portables. « Alors qu'il ne dispose d'aucune autre preuve, le FBI a besoin de montrer qu'il fait des progrès dans cette affaire. La saisie du serveur est un prétexte pour faire-valoir que l'agence prend effectivement des mesures, » a déclaré Riseup. Pour l'instant, le FBI n'a pu être joint par notre correspondant d'IDG NS pour commentaires. (...)
Des sites web moins vulnérables, mais des pirates plus habiles
Selon un expert en sécurité, certes la quantité d'erreurs de codage continue de baisser sur les sites Internet, mais les entreprises tardent à réparer les failles qui pourraient être exploitées par des pirates, alors que ceux-ci ont a leur disposition des outils d'attaques de plus en plus performants.
« En 2011, le nombre moyen de vulnérabilités critiques introduites sur les sites web par les développeurs se situait autour de 148, donc moins que les 230 failles par site comptabilisées en 2010, et les 480 observées en 2009, » a déclaré Jeremiah Grossman, CTO de WhiteHat Security, une entreprise qui teste la sécurité des sites web des entreprises. Celui-ci s'exprimait en marge de la conférence Open Web Application Security Project qui se tenait à Sydney lundi.
« Ces vulnérabilités sont contenues dans le code même du site web et ne peuvent pas être réparées avec des patchs que pourraient livrer Microsoft ou Oracle par exemple, » a déclaré Jeremiah Grossman. Selon les statistiques de WhiteHat Security, il faut 100 jours en moyenne aux entreprises pour corriger environ la moitié de leurs vulnérabilités.
Un risque potentiel à ne pas négliger
Le risque, c'est que ces failles, qui restent longtemps en l'état, ne soient identifiées par un pirate, et entraînent une violation massive de données, comme celles dont Sony, ou l'agence Stratfor Global Intelligence, ou AT&T ont été les victimes. De leur côté, les pirates peaufinent leurs compétences et savent de mieux en mieux cibler leurs attaques. Ils ont aussi à leur disposition une gamme d'outils qu'ils améliorent sans cesse pour, notamment, repérer les failles de codage dans les sites Web. « Le nombre d'infractions progresse chaque année », a déclaré le CTO.
Les analystes de WhiteHat Security passent leur temps à essayer de pirater - avec leur permission - des sites Internet appartenant à de grandes institutions financières et à d'autres entreprises. Les développeurs de ces entreprises ne leur donnent aucune information, ne les préviennent pas quand ils ajoutent de nouvelles fonctionnalités ou s'ils font des modifications. Le travail des « pirates » de WhiteHat consiste spécifiquement à trouver des failles de type cross-site scripting (XSS) qui visent des éléments dynamiques, d'identifier celles qui permettraient des attaques par injection SQL ou des vulnérabilités susceptibles de laisser fuir des informations. « Notre rôle est de chercher à casser les sites sans relâche, » a déclaré le CTO. « Nous sommes des LulzSec ou des Anonymous 24 sur 24 et 7 jours sur 7. Nous n'arrêtons jamais ! ».
La sécurité n'est pas toujours une priorité
Si WhiteHat Security découvre une faille, l'entreprise décide ou pas de résoudre le problème. « Souvent, ce choix implique la réaffectation d'un développeur qui travaille déjà sur une nouvelle fonctionnalité que l'entreprise veut déployer, » a expliqué Jeremiah Grossman. Corriger ou non est un pari, puisque la vulnérabilité pourrait ne jamais être découverte par un pirate. Mais, si c'était le cas, elle pourrait au contraire coûter très cher à l'entreprise. « Faut-il ou non se passer d'un ou de plusieurs développeurs sur un projet pour les affecter à la correction d'une vulnérabilité identifiée, qui peut ou peut ne pas être exploitée, et peut ou non coûter de l'argent à l'entreprise ? » a encore déclaré le CTO.
La meilleure option possible c'est d'écrire un bon logiciel dès le début, en étant très attentif aux questions de sécurité. « Nous n'allons pas développer des logiciels parfaits. Mais nous pouvons créer des logiciels suffisamment bons », a déclaré Jeremiah Grossman.
(...)(12/04/2012 14:41:14)Adobe corrige Reader et supprime le plug-in Flash Player intégré
En début de semaine, Adobe a livré de nouvelles versions de Reader 10.x et 9.x, pour pallier à quatre vulnérabilités susceptibles de permettre l'exécution de code arbitraire. L'éditeur a aussi effectué plusieurs modifications relatives à la sécurité de son outil. Il a notamment supprimé le composant Flash Player de ses versions 9.x. « Toutes les vulnérabilités corrigées dans les versions 10.1.3 et 9.5.1 de Reader pouvaient être exploitées par un attaquant pour faire planter l'application et prendre potentiellement le contrôle du système infecté, » a déclaré l'éditeur dans son bulletin de sécurité APSB12-08. Les utilisateurs sont invités à installer ces mises à jour dès que possible. Adobe a également annoncé que Reader 9.5.1 ne comportait plus la bibliothèque authplay.dll, présente dans les versions précédentes, qui permettait de restituer du contenu Flash intégré dans des documents PDF.
Une aubaine pour les hackers
Dans le passé, ce composant a été la source de plusieurs problèmes de sécurité, en partie à cause d'un calendrier de mise à jour inconsistant de Reader et de Flash Player. La bibliothèque authplay.dll contient une bonne partie du code du lecteur Flash autonome, ce qui signifie aussi qu'elle partage avec lui la plupart des vulnérabilités. Cependant, alors que le Player Flash est patché par Adobe au coup par coup, Reader suit un cycle de mise à jour trimestrielle plus stricte. D'où des situations incohérentes où certaines vulnérabilités connues sont patchées dans le Player Flash, mais restent exploitables via l'authplay.dll contenu dans le Reader pendant des mois, en attente de la mise à jour programmée.
C'est encore ce qui se passe avec la version 10.1.3 du Reader, qui intègre trois anciennes mises à jour de sécurité du Player Flash livrées séparément au cours des trois derniers mois. À partir de la version 9.5.1 de Reader, le Reader 9.x passera par le plug-in autonome du lecteur Flash déjà installé sur les ordinateurs pour les besoins des navigateurs Firefox de Mozilla, Safari ou Opera, afin de lire des contenus Flash intégrés dans des fichiers PDF. Cette fonctionnalité ne fonctionne pas avec le plug-in du Player Flash pour Internet Explorer basé sur ActiveX basé ni avec le plug-in du Player Flash spécial couplé avec Google Chrome.
Bloquer par défaut la lecture Flash dans les PDF
« Adobe prévoit à l'avenir de supprimer aussi la bibliothèque authplay.dll de la série des Reader 10.x et travaille actuellement sur les API qui rendront cela possible, » a déclaré David Lenoe, responsable de l'équipe Product Security Incident Response Team (PSIRT) d'Adobe, dans un blog. Secunia, le vendeur de solutions de gestion des vulnérabilités, se félicite qu'Adobe ait pris la décision de supprimer l'authplay.dll de son Reader. « Cela va permettre aux utilisateurs de corriger plus facilement les vulnérabilités dans Flash, » a estimé Carsten Eiram, expert en sécurité chez Secunia. « Cependant, il faudrait que dans Adobe Reader, le contenu Flash des fichiers PDF ne soit pas lu par défaut, de façon à obliger les utilisateurs à l'activer spécifiquement si nécessaire, » a aussi déclaré l'expert. « La plupart des utilisateurs n'en ont pas besoin, et le contenu Flash intégré dans des fichiers PDF a été spécialement exploité comme vecteur pour compromettre les systèmes des utilisateurs de Reader. »
« La raison pour laquelle cette bibliothèque a été ajoutée tient à l'approche choisie par Adobe pour rendre du contenu 3D. Mais depuis la version 9.5.1 de Reader, la fonctionnalité a été désactivée par défaut, car elle n'est pas couramment utilisée et peut être exploitée dans certaines circonstances, » a expliqué David Lenoe. « Il n'y a pas eu une seule attaque ciblant cette partie de la fonctionnalité et pourtant c'est celle qui semble la plus vulnérable, » a déclaré Carsten Eiram. « Cela fait longtemps aussi que nous recommandons aux utilisateurs de désactiver les plug-ins utilisés pour le rendu 3D,» a t-il ajouté.
Un nouveau cycle de mise à jour
À part ces correctifs de sécurité et ces changements, Adobe a également décidé de mettre fin à son cycle de mise à jour trimestriel pour Reader et Acrobat, et revenir à sa politique précédente de livraison de correctifs. Les futures mises à jour du Reader continueront à être livrées le deuxième mardi du mois, mais celles-ci ne seront plus programmées tous les quatre mois. « Nous publierons des mises à jour pour Adobe Reader et Acrobat, selon les nécessités, tout au long de l'année, de façon à mieux répondre à l'attente des utilisateurs et à mieux assurer leur sécurité, » a déclaré David Lenoe. « Le cycle de mise à jour trimestriel n'a jamais fonctionné pour Adobe, » a ajouté Carsten Eiram. « Les correctifs impliquant des vulnérabilités qui mettent la sécurité en jeu doivent toujours être livrés le rapidement possible. Rien ne justifie de reporter un correctif de vulnérabilité pour de simples motifs d'organisation. »
(...)(11/04/2012 11:26:37)Zscaler également distribuée par Exclusive Networks en France
Le VAD Exclusive Networks élargit encore sa palette de solutions de sécurité, cette fois avec une offre en SaaS, celle de Zscaler. Elle porte sur la sécurisation des flux web via le cloud de l'éditeur qui dispose de datacenters - loués - un peu partout dans le monde. Exclusive Networks va proposer les solutions de Zscaler auprès de ses revendeurs de France et d'Afrique du nord. Via une passerelle cloud, elles fonctionnent depuis n'importe quel site et sur n'importe quel terminal. (...)
(04/04/2012 17:19:04)Mozilla blackliste les plug-ins Java obsolètes dans Firefox
Mozilla a blacklisté les plug-ins Java non mis à jour de Firefox pour Windows pour protéger les utilisateurs du navigateur contre les attaques qui exploitent les vulnérabilités connues de ces versions. C'est ainsi que Mozilla va ajouter les noms d'extensions ou de plug-ins à la liste noire des extensions de Firefox dans le cas où l'éditeur estime qu'ils mettent en danger la sécurité des utilisateurs ou posent des problèmes de performance.
Lors de l'installation, Firefox, qui vérifie automatiquement cette liste noire, prévient les utilisateurs avant de désactiver les add-ons incriminés. « La mise à jour du mois de février 2012 du kit de développement Java (JDK) et du Java Runtime Environment (JRE) comportait un patch destiné à corriger une vulnérabilité critique qui pouvait permettre le chargement de code arbitraire sur l'ordinateur de l'utilisateur final», a déclaré Kev Needham, Mozilla channel manager, dans un blog. « Cette vulnérabilité - présente dans les versions plus anciennes du JDK et du JRE - est activement exploitée, et représente un risque potentiel pour les utilisateurs », a ajouté le channel manager. « Pour atténuer ce risque, nous avons ajouté ces versions du plug-in Java pour Windows (Version 6 Update 30 et précédents, ainsi que la version 7 Update 2 et précédentes) à la liste noire de Firefox. »
Des malwares pourraient exploiter cette faille Java
Kev Needham n'a pas précisé si cette vulnérabilité était activement exploitée, mais pendant les deux dernières semaines, les entreprises de sécurité ont prévenu que des malwares exploitant la vulnérabilité CVE-2010-0507 de Java avaient été utilisés dans des attaques massives et avaient été incorporés dans la boîte à outils d'attaques très populaire Blackhole.
Contrairement au navigateur Chrome de Google, qui dispose d'une fonction spécifique pour désactiver les plug-ins obsolètes, Firefox fait confiance aux développeurs de Mozilla pour déterminer quels plug-ins sont susceptibles de représenter un risque pour les utilisateurs. Cependant, ceux-ci ont toujours le choix d'empêcher la désactivation de ces plug-ins.
Blocage plus délicat pour Mac OS X
La liste noire de Firefox a rarement été utilisée pour désactiver les plug-ins de grands éditeurs de logiciels comme Oracle, mais des précédents existent. Par exemple, en octobre 2009, Mozilla a décidé d'ajouter le plug-in Windows Presentation Foundation (WPF) à la liste de blocage de Firefox quand Microsoft a révélé qu'il comportait une vulnérabilité. « Mozilla encourage fortement tous ceux qui ont besoin du JDK et du JRE à les mettre à jour vers la version actuelle dès que possible sur toutes les plateformes, » a déclaré Kev Needham. Les dernières versions de Java pour Windows sont : Java 6 Update 31 et Java 7 Update 3.
Mozilla envisage également d'ajouter à la liste noire de Firefox le plug-in Java pour Mac OS X. Cependant, le blocage de Java sur Mac OS X pourrait être plus compliqué que sur Windows, parce que Apple a généralement plusieurs mois de retard sur Oracle pour délivrer les correctifs pour Java. En début de semaine, les chercheurs en sécurité de F-Secure ont annoncé que de nouvelles attaques basées sur le web exploitaient une vulnérabilité dans la dernière version de Java pour Mac OS pour installer des programmes malveillants. Pour empêcher que ces attaques affectent les utilisateurs de Firefox, il faudrait que Mozilla blackliste la dernière version du plug-in Java pour Mac. Mais dans ce cas, les utilisateurs sous OS X ne pourraient plus faire tourner les applications Java dans le navigateur de Mozilla.
(...)(02/04/2012 16:39:20)1,5 million de cartes bancaires compromises
Selon le journaliste américain spécialisé dans la cybercriminalité et la sécurité informatique Brian Krebs, une entreprise américaine chargée de gérer les transactions électroniques entre la banque et son client, aurait été compromis. Sur son site Briankebsonsecurity.com, celui-ci indique que ce piratage massif de données pourrait impliquer plus de 10 millions de comptes liés à ces cartes. Après cette révélation, la société Global Payments a indiqué avoir été hackée et que 1,5 million de cartes bancaires étaient compromises.
Si Brian Krebs n'a pas souhaité révéler le nom de l'intermédiaire de paiement, celui-ci écrit que Visa et MasterCard ont commencé à alerter toutes les banques et les ont informées que certaines cartes de paiement particulières ont peut-être été victimes de la fraude. Dès vendredi, MasterCard a confirmé qu'elle menait une enquête pour identifier un piratage possible et Visa a fait savoir qu'il donnerait ses propres résultats sur la question. Dans son communiqué, MasterCard a déclaré qu'elle « enquêtait sur le piratage possible de données bancaires dans une entité basée aux États-Unis. »
Sans le travail du journaliste la fraude serait restée cachée
L'entreprise de système de paiement reconnaît avoir aussi alerté certains émetteurs de cartes de paiement afin de surveiller des comptes MasterCard potentiellement à risque. MasterCard s'est dite également très concernée par tout désagrément que pourraient subir les détenteurs de ses cartes. « Nous continuons à surveiller de près cet événement et à prendre des mesures pour protéger les informations de compte. Si les titulaires de carte rencontrent des problèmes avec leurs comptes individuels, ils doivent prendre contact avec l'institution financière émettrice de leur carte, » a précisé l'institution financière.
Par ailleurs, Mastercard a indiqué que « la justice avait été informée de cette affaire et qu'une société indépendante, spécialisée dans la sécurité des données, analysait dans le détail ce qui s'était passé». Enfin, l'entreprise de système de paiement a précisé « qu'il était important de comprendre que les propres systèmes de MasterCard n'avaient en aucun cas été eux-mêmes victimes d'un piratage. » Depuis la société mise en cause, Global Payments donc, a reconnu avoir été victime d'une intrusion informatique. "Cet incident est contenu. La société continue à travailler avec des tiers du secteur, les régulateurs et les forces de l'ordre pour contribuer aux efforts visant à minimiser les répercussions potentielles pour les détenteurs de cartes", a indiqué un porte-parole de la compagnie cité par le Wall Street Journal.
(...)(19/03/2012 16:46:17)Fuite de code malveillant, Microsoft met en cause ses partenaires MAPP
Microsoft a confirmé que le code d'attaque, qu'elle avait elle-même mis au point, était probablement tombé dans les mains des pirates, dans le cadre du programme que l'éditeur mène en partenariat avec des vendeurs de solutions antivirus. « Les détails sur le code « proof-of-concept » (POC) semblent correspondre à la vulnérabilité que Microsoft a dévoilé à ses partenaires dans le cadre du Microsoft Active Protection Program (MAPP) », a déclaré Yunsun Wee, directeur du groupe Trustworthy Computing de Microsoft, dans un communiqué publié sur le site de l'entreprise. « Microsoft mène une enquête active pour savoir comment ces informations ont pu être divulguées et prendre les mesures nécessaires pour protéger ses clients. Nous devons nous assurer que les informations confidentielles que nous partageons sont protégées dans le respect de nos contrats et les exigences de notre programme, » a-t-il ajouté.
Dans le cadre du MAPP, Microsoft fournit à certains éditeurs de logiciels antivirus des informations techniques sur les bugs avant que l'éditeur ne les corrige. Le programme consiste à communiquer aux tierces parties un avis de sécurité préalable afin qu'elles puissent élaborer des signatures de détection correspondantes. Selon un FAQ sur le programme, Microsoft partage notamment avec ses partenaires du MAPP la « preuve de concept » ou des outils permettant de reproduire la vulnérabilité de manière à expliciter le problème et élaborer une protection en conséquence. » La reconnaissance du travail de Microsoft a été provoquée par l'alerte donnée dans la journée de vendredi par le chercheur en sécurité italien Luigi Auriemma, qui avait repéré la vulnérabilité dans Windows Remote Desktop Protocol (RDP) en mai 2011.
Soupçonnée, l'équipe ZDI de HP a vivement démenti
Selon Luigi Auriemma, le code trouvé dans un exploit « proof-of-concept » sur un site Internet chinois était identique à celui qu'il avait fourni au programme de chasse aux bogues Zero Day Initiative (ZDI) de HP TippingPoint. Son code avait ensuite été utilisé par ZDI pour créer un exploit fonctionnel comme le prévoit le programme de vérification. ZDI a ensuite transmis des informations sur la vulnérabilité de RDP à Microsoft, y compris l'exploit utilisant le code du chercheur. Selon Luigi Auriemma, l'exploit public comprenait la chaîne « MSRC11678 », un numéro de référence renvoyant au Microsoft Security Response Center (MSRC), ce qui indique selon lui que la fuite provient de Microsoft. ZDI a nié qu'elle avait été la source de la fuite. « Nous sommes à 100% sûr que la fuite ne vient pas de chez nous, et Microsoft n'a pas démenti, » a déclaré Aaron Portnoy, chef de l'équipe de recherche en sécurité qui travaille pour TippingPoint et lui-même patron de la Zero Day Initiative, dans une interview.
Ce dernier a également décrit la chaîne de traçabilité du code du chercheur italien - un pack de données spécialement construit pour déclencher la vulnérabilité Remote Desktop Protocol - entre le mois de mai 2011, date à laquelle le chercheur l'a soumise à l'équipe ZDI, jusqu'à son intégration dans l'exploit POC que ZDI a fourni à Microsoft en août 2011, dans le cadre d'un vaste travail d'analyse sur la vulnérabilité. « La « preuve de concept » qui circule actuellement parmi les hackers ne permet pas l'exécution de code à distance - nécessaire pour compromettre un ordinateur ou un serveur, et pour installer ensuite le malware dans le système. Par contre, elle fait planter une machine vulnérable, » a déclaré Aaron Portnoy. En fait, elle affiche le classique « Blue Screen of Death » ou écran bleu de la mort bien connu dans Windows. Le chef de la ZDI confirme également ce que Yunsun Wee de Microsoft a déclaré quant à la similitude entre l'exploit public et le code de Luigi Auriemma. « Nous pouvons confirmer que l'exploit exécutable comporte un paquet qui appartient au code que Luigi nous a donné», a déclaré Aaron Portnoy.
[[page]]
C'est en 2008 que Microsoft a lancé son programme MAPP, lequel réunit 79 partenaires, toutes des entreprises spécialisées dans la sécurité, comme AVG, Cisco, Kaspersky, McAfee, Trend Micro et Symantec, ainsi que plusieurs éditeurs de logiciels antivirus chinois. La liste complète des membres du programme MAPP est disponible sur la page de Microsoft. Avant le week-end, Yunsun Wee n'avait pas indiqué si Microsoft avait déjà établi sa liste de suspects, mais celui-ci faisait remarquer que toutes les informations transmises aux partenaires MAPP sont couvertes par « un strict accord de non-divulgation (NDA). » Ce serait donc une première si la fuite provenait d'un partenaire MAPP.
L'update MS12-020 publié par Microsoft corrige le bug RDP, et peut être téléchargé et installé via les services Microsoft Update et Windows Update, ainsi que via Windows Server Update Services.
(...)(16/03/2012 16:06:22)Black Hat Europe : les entreprises doivent modéliser les menaces offensives
Si la plupart des entreprises technologiques testent et évaluent les faiblesses techniques de leurs systèmes pour en repérer les failles informatiques éventuelles, « elles devraient également prendre plus sérieusement en compte l'hypothèse d'une attaque physique. » C'est ce que pensent en effet Rafal Los, évangéliste sécurité de Hewlett-Packard, et Shane MacDougall, associé principal du cabinet de conseil en sécurité Tactical Intelligence, lesquels ont donné une conférence commune pendant la Black Hat Europe d'Amsterdam.
Plutôt que de se mettre dans le rôle du gentil pirate qui traque les méchants, les « white hat hackers », c'est-à-dire ceux qui prône la divulgation des failles plutôt que leur exploitation, les testeurs en intrusion feraient bien d'enfiler les vrais habits de l'attaquant afin de considérer d'autres menaces, peut-être un peu négligées, en mettant à profit un outil de modélisation des menaces conventionnelles. « Les individus peuvent être assez imprévisibles, sauf si l'on essaye de les comprendre», a expliqué Rafal Los, pour qui « les salariés sont souvent le maillon faible, quand il s'agit de sécurisation des réseaux et des applications.
Attention aux épanchements dans les bars
Pour Shane MacDougall, il y a plusieurs façons de mettre en défaut la sécurité. « Si le personnel du département informatique se retrouve dans un bar, rien ne dit qu'un attaquant potentiel ne va pas se joindre à eux, » a-t-il fait valoir. Selon lui, « ils peuvent par exemple utiliser les médias sociaux pour surveiller les déplacements de leurs « amis» en temps réel. » L'attaquant potentiel peut payer à l'équipe quelques coups à boire, jusqu'à la mettre dans un état d'ébriété suffisant, et attendre le bon moment pour mettre son projet à exécution. « Par exemple, dans la nuit suivante, il peut planifier une attaque sur le réseau de l'entreprise visée, et profiter du défaut de vigilance de l'équipe, estimant qu'elle mettra plus de temps à contrer son action, » a-t-il expliqué.
Selon les chercheurs, d'autres méthodes peuvent être utilisées pour compromettre la sécurité d'une entreprise, comme le chantage, la corruption, le guet-apens sexuel ou encore l'addiction au jeu. Par ailleurs, les attaquants pourraient cibler les espaces privés de certains dirigeants ou procéder à ce qu'on appelle des attaques d'ingénierie sociale pour cibler les employés. « Les salariés mécontents sont vraiment faciles à trouver, » a affirmé l'évangéliste de HP. Mais, toujours selon lui, des salariés dévoués pourraient également être utilisés pour recueillir des informations sur l'entreprise, l'attaquant se faisant passer pour un client ou un fournisseur.
Hiérarchiser les menaces et les cibles potentielles
Pour tester ces faiblesses, Rafal Los et Shane MacDougall conseillent de dresser, sur un tableau blanc, la liste de toutes ces failles possibles, aussi bien physiques que techniques. Puis, selon eux, des testeurs en sécurité devraient hiérarchiser les cibles selon leur importance, par exemple les employés qui touchent des salaires élevés, ou des biens qui ont une valeur importante, sans oublier les plus hauts cadres dirigeants et le personnel de sécurité, mais aussi les personnels de vente, les vendeurs et le personnel affecté au support technique. Selon eux, « tous représentent un accès potentiel à l'entreprise ou sont susceptibles de livrer des informations sur les accès possibles. »
[[page]]
Cette liste de cibles potentielles peut ensuite être découpée en plusieurs approches offensives, de manière à bien identifier les failles dans un système de sécurité global. La liste des risques possibles comprend aussi bien ceux visant les membres de la famille, les risques pendant les loisirs, les conférences, à quoi il faut ajouter une analyse comportementale et un profilage psychologique et sociologique, entre autres. Quand ce travail est fini, les experts estiment qu'il est possible d'évaluer toutes les menaces possibles. Il faut s'assurer aussi de disposer du calendrier des maintenances informatiques. « Chaque année, nous remarquons que si la vigilance de systèmes très sécurisés baisse ne serait-ce que pendant quelques secondes, ceux-ci sont piratés. Peut-on vraiment croire à un simple accident ? » a déclaré Rafal Los.
L'étape suivante consiste à tester les situations listées. Les attaques peuvent se produire sur site. Il y aussi les attaques techniques et d'ingénierie sociale. Selon Shane MacDougall, « il faut identifier le risque que fait courir chaque utilisateur dans l'entreprise. » Le risque peut aussi se produire dans les conférences. « Les salariés participants peuvent se faire voler leur smartphone ou leur badge d'entrée et quelqu'un peut les utiliser pour s'introduire dans l'entreprise», a-t-il déclaré. Les experts en sécurité ont souligné que certaines des méthodes exposées dans leur discours sont « illégales et contraires à l'éthique ». Ils ne les approuvent pas, mais leur objectif est de se mettre dans la peau de pirates offensifs et imaginer comment ils pourraient agir, afin de réagir efficacement à leurs attaques.
Après la phase de tests, il est nécessaire d'analyser les résultats. Selon les deux chercheurs, l'enquête doit se faire de manière continue, et doit être répétée de temps à autre. «Le suivi est essentiel», a déclaré Shane MacDougall. Selon les chercheurs, les personnes qui ont commis des erreurs pourraient perdre leur job, même s'ils pensent que dans la plupart des cas ce serait inutile ou inefficace. « Je ne préconise jamais de se séparer d'un maillon faible », a déclaré Shane MacDougall. « Il peut aussi y avoir dans ce cas un risque de représailles et d'effet boomerang. »
(...)(08/03/2012 11:59:30)Le site de Panda Security défiguré par des hackers
Selon un message posté sur Pastebin, plus de 25 sous-domaines de « pandasecurity.com » et plusieurs autres domaines appartenant à Panda ont été détournés vers une vidéo relatant certaines actions phares menées par le groupe de pirates Lulz Security, connu aussi sous le nom de Lulzsec, qui soutient les Anonymous.
Le groupe a également rendu public des adresses mail et les identifiants de messagerie de personnes ayant des comptes chez Panda, plus d'autres détails internes au serveur. Luis Corrons, directeur technique du laboratoire de l'entreprise de sécurité, a été nommément cité par les pirates . Ceux-ci lui reprochent de s'être félicité de l'arrestation des pirates dans un billet publié sur le blog de Panda Security mardi. Les hackers accusent aussi Panda Security d'apporter son soutien à la justice. Sur Twitter, Luis Corrons se défend d'avoir fourni des informations ayant permis de localiser les membres Lulzsec, mais ajoute qu'il «aurait bien aimé y être impliqué. » Celui-ci écrit également que «les équipes de Panda Security sont en train de réparer les dégâts. »
Une représaille à l'affaire l'arrestation de 5 hackers
Mardi, le bureau du procureur du district sud de New York a annoncé l'inculpation de cinq personnes soupçonnées d'être liées aux Anonymous, à LulzSec et à d'autres groupes de pirates, et d'être impliquées dans des attaques contre des entreprises comme Sony Pictures, la société de renseignement privée Stratfor Global Intelligence, PayPal et MasterCard.
Parmi les accusés présumés figure un des leaders d'Anonymous, Hector Xavier Monségur, connu sous le pseudonyme de Sabu. Celui-ci a plaidé coupable et risque jusqu'à 124 ans et six mois de prison, selon des documents judiciaires. Arrêté en juin 2011 par le FBI, Sabu aurait aidé les enquêteurs à retrouver la trace de membres de LulzSec et d'Anonymous.
(...)| < Les 10 documents précédents | Les 10 documents suivants > |