Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 261 à 270.
| < Les 10 documents précédents | Les 10 documents suivants > |
(06/04/2011 17:38:58)
Windows 7 vulnérable avec IE9
L'attaque utilise une vulnérabilité non corrigée (Zero Day) dans Internet Explorer 9 et contourne toutes les mesures de sécurité supplémentaires de Windows 7. La dernière version du système d'exploitation de Microsoft, entièrement mis à jour avec le Service Pack 1 (SP1), est donc de nouveau vulnérable. La faille de sécurité a été rapportée par la société française de sécurité Vupen, qui avait déjà découvert une faille dans IE8 en décembre de l'année dernière.
La société classe cette attaque sur IE9 comme fiable, ce qui signifie que c'est un moyen efficace pour les pirates d'exécuter des codes malveillants de leur choix sur les PC fonctionnant sous Windows 7. Cette vulnérabilité permet aux cybers attaquant de passer à travers les couches de sécurité supplémentaires pour Windows, telles que ASLR, la DEP et la sandbox (mode protégé) dans IE9.
« L'attaque utilise deux failles distinctes. La première permet l'exécution de code arbitraire dans le bac à sable IE9. Le second permet le contournement de la sandbox pour réaliser l'exécution de code complet » précise le PDG de Vupen, Chaouki Bekra. Le risque de cette attaque à ce jour est limité: le code d'exploitation n'a pas été repéré dans la nature. Les vulnérabilités ont été découvertes par des chercheurs de Vupen. Chaouki Bekra a souligné que les vulnérabilités n'ont pas été divulguées au public. « L'accès à notre code et à l'analyse en profondeur de la vulnérabilité est réservé à nos clients gouvernementaux qui utilisent ces information pour protéger leurs infrastructures critiques » souligne le dirigeant.
Fonctionne avec des anciennes versions d'IE
Certes IE9 n'est pas encore beaucoup utilisé par les gouvernements ou les entreprises. Cependant, la vulnérabilité ne se limite pas à la dernière version du navigateur de Microsoft. La faille de sécurité est également présente les anciennes versions d'IE, pour lequel Vupen n'a pas réalisé de travaux d'exploitation. « La faille affecte Internet Explorer 9, 8, 7 et 6, et résulte d'une erreur use-after-free dans la bibliothèque « mshtml.dll » qui déclenche une combinaison spécifique de code HTML et JavaScript. » La société de sécurité conseille à tous les utilisateurs d'Internet Explorer de désactiver JavaScript ou utiliser un autre navigateur web qui n'est pas affecté par cette vulnérabilité.
Le code d'exploitation trouvé par Vupen n'est efficace que sur IE9, qui peut fonctionner sur Windows 7 et son prédécesseur de Vista. IE9 a récemment été publié, mais n'est pas encore distribué via Windows Update. Microsoft va commencer ce déploiement dans les prochaines semaines. La date précise pour l'ensemble de la distribution et l'installation de la dernière version du navigateur Windows n'a pas été divulguée.
(...)
Symantec pointe les smartphones et les réseaux sociaux comme prochaines victimes d'attaques
Symantec a présenté la 16ème édition de son rapport ISTR (Internet Security Threat Report). Ce dernier recense 286 millions d'attaques sur l'année 2010. Parmi celles-ci, les menaces Stuxnet et Hydraq constituent sans aucun doute l'avènement d'une ère d'attaques ciblées. Le début de l'année 2011 en témoigne avec les affaires contre le ministère de l'Economie et des Finances ou la Commission européenne. L'éditeur constate que l'utilisation de failles de type « zero days » augmente et se perfectionne.
Cette complexité se retrouve à disposition des pirates ou des apprentis pirates, via des toolkits d'attaques. Ces boîtes à outil utilisent en général les vulnérabilités des navigateurs et en particulier du langage de programmation Java (très prisé par les hackers). La mise à disposition de ces kits d'attaques est d'ailleurs relativement facile. Dans le laboratoire de sécurité de Symantec, basé à Dublin, une démonstration nous a été faite sur le kit Zeus, qui a la particularité de récupérer les données bancaires d'une personne. Un kit baptisé Unique est disponible sur Internet et sa mise en oeuvre est relativement facile.
Les mobiles et les réseaux sociaux en forte progression
Kevin Hogan, Senior Manager Security Response EMEA chez Symantec explique « l'année 2010 a été marquée par une montée en puissance des attaques contre les téléphones portables et en particulier les smartphones, ainsi que sur les réseaux sociaux ». L'éditeur constate ainsi une hausse de 43% des failles des plates-formes mobiles. Concernant les terminaux, des chercheurs nous ont fait la démonstration de Gemini, premier cheval de troie connu sous Android. Le programme malveillant est intégré à une application (le plus souvent un jeu) qui une fois lancé s'exécute directement sur le mobile. Celui-ci permet de prendre le contrôle du téléphone à distance et de faire certaines actions, comme envoyer des SMS ou appeler un numéro surtaxé par exemple.
Illustration: un terminal android infecté par Gemini
Les réseaux sociaux comme Facebook ou Twitter commencent aussi à être touchés par le piratage. Les attaques se concentrent autour de deux axes : le premier est l'utilisation d'URL court de type http://bit.ly/.e2reeC (il s'agit d'un exemple). L'objectif de cette technique obtenir par ces liens des informations sur la personne ou le pousser à télécharger un logiciel malveillant. Autres menaces, les fils d'actualité des sites qui ont la particularité d'avoir une distribution massive à l'ensemble des contacts. Les pirates usurpent l'identité d'un profil et diffusent ensuite un lien (en général une URL raccourcie) vers un site malveillant.
Une protection à plusieurs niveaux
L'objet d'une telle étude est bien évidemment de prendre le pouls de l'environnement sécurité pendant une année donnée, mais c'est aussi l'occasion de délivrer des recommandations. Pour Kevin Hogan « les anti-virus, anti-malwares ne suffisent plus, il faut détecter les programmes malveillants en prenant en compte leurs spécificités et leurs configurations. C'est ce que nous allons proposer avec notre technologie dénommée réputation ». Il s'agit de créer une base de données des programmes ou de logiciels, les fichiers seront alors analysés dans un cloud de Symantec qui attribuera un qualificatif, bon, neutre ou mauvais sur ces fichiers. Cette technologie devrait être intégrée prochainement dans la gamme professionnelle de l'éditeur. Pour autant, les spécialistes de la société pousse aussi les entreprises à mettre à jour et à renforcer leur politique de sécurité (correctifs, migration, etc.). Des évènements comme Wikileaks ont déjà fait prendre conscience aux entreprises de protéger les données sensibles conclut Kevin Hogan.
Illustration: Siège de Symantec à Dublin
Crédit Photo: Symantec
(...)(04/04/2011 17:13:29)Le piratage de RSA exploitait un bug zero-day dans Flash
Selon RSA, les attaquants ont pu accéder à son réseau en utilisant des feuilles de calcul Excel piégées, envoyées en pièce jointe par mail, à deux groupes de salariés. L'un d'eux a succombé à la tentation d'ouvrir les pièces jointes habilement intitulées «Plan de recrutement 2011.xls. » Or celles-ci contenaient un fichier Flash exploitant un bug « zero-day » inconnu d'Adobe, et donc non corrigé, qui a permis aux pirates de prendre le contrôle de son ordinateur. À partir de là, ils ont installé une variante de l'outil d'administration à distance Poison Ivy (RAT).
Avec le RAT, les pirates ont ensuite récupéré des informations d'identification utilisateurs pour accéder à d'autres machines au sein du réseau RSA. Ils y ont recherché et copié des informations sensibles, et ont ensuite transféré ces données vers des serveurs externes dont ils avaient le contrôle. Bien que RSA n'a donné aucun détail sur la nature des données subtilisées, l'entreprise a admis que des informations relatives à ses produits SecurID, qui permettent de créer un système d'authentification à deux niveaux, font parties des éléments volés par les hackers.
Une faille Flash pas encore répertoriée
La description, donnée la semaine dernière, de cette attaque utilisant Flash comme vecteur, permet d'expliquer la réaction d'Adobe et d'autres à propos de la faille. Elle indique aussi que RSA a été piraté au moins plusieurs jours avant que la société en fasse publiquement état. C'est le jeudi 17 mars au soir que RSA a signalé l'attaque et le vol de données. Mais trois jours auparavant, Adobe avait publié un avis de sécurité par lequel elle informait et reconnaissait que des pirates exploitaient un bug non corrigé de son Player Flash et utilisant des documents Excel trafiqués. « Des rapports indiquent que cette vulnérabilité est exploitée de manière sauvage dans des attaques ciblées via un fichier Flash (.swf) inclus dans un document Microsoft Excel (.xls) envoyé en pièce jointe par e-mail, » avait déclaré Adobe le 14 mars dans son communiqué.
À l'époque, l'éditeur de San José n'avait pas mentionné RSA comme étant la cible des attaques en cours. Mais la société avait promis de corriger cette vulnérabilité la semaine suivante. La promesse avait été tenue, puisqu'Adobe avait livré, le lundi 21 mars, en dehors de son calendrier habituel, une mise à jour de son lecteur multimédia. Ce n'est pas la première fois qu'Adobe livre des correctifs d'urgence pour Flash. Ainsi, en 2010, l'éditeur avait publié trois correctifs d'urgence, l'un six jours après seulement, et les deux autres une semaine après la mise en évidence d'une vulnérabilité.
Une vulnérabilité vite exploitée
Avec le recul, la gravité de la vulnérabilité identifiée dans Flash aurait dû paraître évidente. Le 17 mars, Microsoft indiquait aux utilisateurs d'Office de se protéger et avait fourni un outil de configuration spécifique pour mettre en place certaines parades. L'éditeur de Redmond avait formulé ces recommandations plusieurs heures avant qu'un responsable de RSA admette que le réseau de son entreprise avait été compromis. Le salarié de RSA qui a ouvert le fichier d'attaque Excel a du utiliser une version d'Office antérieure à la version 2010. En effet, dans un post publié le 17 mars sur son blog, un manager et ingénieur en sécurité du Microsoft Security Response Center (MSRC) avait déclaré que la version 2010 d'Excel n'était pas vulnérable à l'attaque en cours.
Dans Excel 2010, le DEP (Data Execution Prevention) est actif par défaut. Ce système de protection utilise une technologie anti-faille, qui isole également les fichiers malveillants ouverts avec Office 2010 dans un « bac à sable » nommé « Vue protégée », qui empêche le code d'attaque de s'échapper de l'application. Microsoft avait signalé que « les anciennes versions d'Excel, notamment Office 2003 et Office 2007, n'étaient pas protégées par le DEP ou la « Protected View. » RSA avait pourtant caractérisé l'attaque de « menace persistante avancée » ou APT « Advanced Persistant Threat » - une qualification souvent utilisée pour des attaques lentes, furtives, généralement attribuée à des pirates informatiques chinois - que certains experts en sécurité jugent tout à fait ordinaire. «Deux emails et un Flash Player d'Adobe zero-day, et on appelle ça un APT! » a déclaré sur Twitter Jeremiah Grossman, CTO de WhiteHat Security.
Le rapport X-Force d'IBM alerte sur la sécurité des mobiles et du cloud
Dans ce rapport, il est indiqué que les entreprises doivent notamment avoir à l'esprit que le jailbreak permet d'accéder au root des téléphones mobiles, ce qui pose un certain nombre de problèmes. Alors que de nombreux propriétaires de téléphone choisissent volontairement d'outrepasser les restrictions du constructeur pour installer sur leur mobile des applications initialement non compatibles, les pirates savent aussi tirer parti des outils de jailbreaking à leur disposition. Ainsi, ils peuvent modifier le code à l'intérieur d'un outil pour obtenir un accès root non autorisé, comme l'indique un rapport sur les tendances et les risques «IBM X-Force 2010 Trend et Risk Report» établi par des spécialistes de la sécurité chez IBM.
Une autre préoccupation émise dans ce rapport concerne les menaces que représente la sécurité des réseaux sociaux, généralement très sous-estimées selon eux. Certes, comme le précise le rapport, « les attaques généralisées visant à exploiter ces vulnérabilités ne sont pas légion. » Mais c'est essentiellement parce que « pour ceux qui mettent en place des réseaux de zombies à grande échelle sur Internet, les ressources financières que pourraient générer le piratage des appareils mobiles ne sont pas aussi intéressantes que celles procurées par les machines de bureau. » Néanmoins, chaque téléphone mobile peut contenir suffisamment d'informations précieuses pour justifier une attaque ciblée. « Introduit dans un mobile, un programme malveillant peut être utilisé pour espionner les utilisateurs, accéder à des informations sensibles, et entrer dans les réseaux d'entreprise. Par conséquent, les entreprises devraient prendre au sérieux le risque que représentent ces logiciels malveillants », indique le rapport.
Adapter sa sécurité
IBM X-Force recommande un minimum de mesures de sécurité dont un pare-feu, un anti-malware, des mots de passe forts, le verrouillage et la suppression des données après plusieurs tentatives de connexion, l'utilisation de passerelles entre les dispositifs et les réseaux d'entreprise (VPN), et la configuration du Bluetooth de façon à ce que seuls les appareils sécurisés puissent se connecter entre eux. Les entreprises qui utilisent une flotte mobile devraient également envisager le cryptage des données sensibles. « Toutes les données ne doivent pas être chiffrées, mais les données sensibles de l'entreprise, oui, » préconise le rapport.
Les boutiques légales d'applications en ligne sont également désignées comme source très dangereuse pour la diffusion de malware sur les smartphones. Si elles ne disposent pas des ressources nécessaires pour contrôler toutes les applications soumises, ces plates-formes peuvent en effet vendre des applications qui sont en fait des logiciels malveillants. « Probablement, des applications en apparence dignes de confiance, sont facilement utilisées comme vecteur pour la propagation de malware, » indique le rapport. Les entreprises qui cherchent à sécuriser les smartphones pourraient utiliser à bon escient la technologie d'encapsulage pour séparer les données et les applications professionnelles de tout le reste sur un même téléphone. « Les utilisateurs ne veulent qu'un seul appareil, et le fait d'encapsuler le contenu professionnel permettrait aussi un usage personnel du mobile, tout en protégeant les données sensibles, » indiquent les spécialistes.
Le cloud aussi touché
Le rapport X-Force s'est également intéressé aux services Cloud et à la sécurité des nuages, un aspect qui conditionne grandement leur adoption. Mais de plus en plus d'entreprises s'y mettent, au moins pour héberger certaines de leurs données et applications. La sécurité ne doit pas être infaillible si les risques associés à l'utilisation du Cloud sont acceptables. « Pour les entreprises, la question n'est pas de savoir si le Cloud dans son ensemble est sécurisé, mais si elles-mêmes se sentent à l'aise pour délocaliser une partie de leur charge de travail sur le Cloud, » commente le rapport. Les clients doivent naturellement faire confiance à la sécurité offerte par les fournisseurs de Cloud, et accepter que ceux-ci donnent peu de détails sur leurs mesures de protection pour éviter de révéler leurs méthodes aux attaquants éventuels.
« Donc, les clients doivent faire confiance à leurs fournisseurs, mais ceux-ci ne peuvent garantir une sécurisation infaillible, » résume le rapport X-Force. Il est possible que les fournisseurs de nuage soient en mesure d'offrir une meilleure sécurité à leurs clients. « La protection que procure le nuage pourrait contribuer à mieux défendre les réseaux d'entreprise qu'ils ne le font eux-mêmes, » dit encore le rapport. « Au moins à court terme, les clients doivent évaluer leur degré de tolérance par rapport aux risques associés à l'utilisation de services Cloud et agir en conséquence, » indique le rapport.
Crédit Photo: D.R
(...)(31/03/2011 15:10:29)« Houston, nous avons un problème... » : Les systèmes de la NASA vulnérables
Comment une agence capable d'envoyer un homme sur la lune peut-elle être aussi négligente pour protéger ses serveurs ? Le rapport publié à la suite de l'audit et intitulé «Des mesures de sécurité insuffisantes exposent le principal réseau de la NASA à une cyber attaque » est aussi embarrassant que préoccupant. Surtout, il est révélateur de la question plus générale de la sécurité des réseaux au sein des entreprises. Car si RSA, sur laquelle repose l'authentification sécurisée au sein des réseaux de nombreuses entreprises, si Comodo, qui sécurise les sites web avec des certificats SSL cryptés, et si la NASA, l'une des principales agences du gouvernement des États-Unis qui doit protéger des données cruciales et confidentielles, ne sont pas en mesure de verrouiller leurs systèmes, les administrateurs informatiques d'entreprises de taille moyenne sont en droit de se demander ce qu'ils peuvent faire.
Plusieurs spécialistes de la sécurité ont été sollicités pour donner leur avis sur le rapport de la NASA. Ainsi, selon Tim Keanini «TK», CTO de nCircle, la sécurité est une procédure, et apparemment la NASA ne s'est pas employée à en affiner les contours. « La bonne exécution d'une procédure dans un domaine donné est une chose et la sécurité en est une autre, même pour des entreprises qui ont la parfaite maîtrise de certains processus. Ce n'est pas une excuse, c'est juste une réalité, » a t-il commenté. « Je suis certain que si la NASA gérait la sécurité de son système informatique avec le même niveau d'exigence qu'elle le fait pour ses missions, cette situation ne se produirait pas et nous aurions beaucoup à apprendre de ses méthodes. »
Pour Anup Ghosh, fondateur et directeur scientifique d'Invincea, des événements comme les attaques récentes menées contre HBGary, RSA, et Comodo, auxquelles s'ajoute ce rapport de la NASA, pourraient conduire les administrateurs des services informatiques à se dire : « Si cela se produit dans ces entreprises, que peut-il nous arriver ? » Mais, selon lui, la meilleure question serait: « Si cela se produit pour des entreprises très sécurisées, cela veut dire que ça arrive partout dans le monde ? » Anup Ghosh pense que la réponse à cette question est sans doute « oui ». Et il explique : « Si vous regardez n'importe quel réseau à la loupe, vous allez trouver des problèmes. Donc le problème de la sécurité ne concerne pas que la NASA, mais l'ensemble des réseaux. Si l'audit n'avait pas mentionné de difficultés, il y aurait eu lieu de s'interroger sur sa validité. Plus important encore, la réponse de la NASA, du Gouvernement, de l'industrie ne devrait pas se réduire uniquement à proposer plus de cycles de mise à jour. La bonne réponse serait plutôt de modifier l'architecture des réseaux, des serveurs et des postes de travail pour leur permettre de résister aux attaques. »
Des risques à relativiser et à préciser
Randy Abrams, directeur de l'enseignement technique chez ESET, appelle à la prudence face à cette affirmation selon laquelle la vulnérabilité des systèmes de la NASA pourrait mettre en danger les missions de la navette spatiale, ou rendre la Station spatiale internationale inopérante, une appréciation faite « davantage pour les gros titres, mais pas vraiment le risque principal, » selon lui. Les pirates s'infiltrant dans les serveurs de la NASA sont plus intéressés à s'emparer de données sensibles et sur une durée la plus longue possible - comme des données relatives au vol furtif hors de portée des radars, par exemple. Des attaques contre une mission de la navette spatiale leur procurerait peu de bénéfices, et serait aussi moins lucrative. Pour Randy Abrams, « c'est trop facile d'exagérer une menace en parlant de crash de la navette ou d'immobilisation de la station spatiale alors que le risque réel concerne plutôt la protection des données classifiées et des systèmes du Gouvernement. »
Oliver Lavery, directeur de recherche sur la sécurité et le développement de nCircle fait un bon résumé de la situation. Celui-ci explique que, aujourd'hui, les entreprises sont confrontées au défi de sécuriser un réseau de plus en plus diversifié et impalpable, et de protéger une quantité colossale et sans cesse croissante de données. Il explique que « la vulnérabilité du programme de sécurité n'est sans doute ici pas liée à un élément technique, mais plus probablement à l'insuffisance de la modélisation des menaces, de la hiérarchisation des évènements, et du processus d'évaluation. » Selon lui, « le vrai défi pour les grosses entreprises est de faire en sorte que les investissements consacrés à la sécurité soient justifiés et efficaces. »
Donc, Houston, nous avons, bien un problème. Mais, pas de panique. Évitez le sensationnalisme en agitant le spectre d'attaques terroristes contre des missions de la navette, et concentrez-vous sur les véritables enjeux qui ne figurent pas dans le rapport d'audit de la NASA. Ce que nous pouvons apprendre de la NASA, c'est que la sécurité est un processus, et non un événement, et que les entreprises doivent être aussi diligentes que possible pour identifier et résoudre - au minimum atténuer - de manière proactive ce qui expose leurs réseaux à un risque.
Au coeur de la Silicon Valley: Sauvegarde fine chez BackBlaze et sécurité pointue de Palo Alto Networks
Dans la cour d'un immeuble de San Mateo, un petit escalier mène dans les locaux d'une jeune start-up baptisée BackBlaze. Fondée en 2007 par deux quadras, Gleb Budman (CEO, voir ci-dessous) et Brian Wilson (CTO) qui ont déjà vendu deux autres start-up(Kendara revendue à Excite@Hoem et MailFrontier à SonicWall) , BackBlaze repose sur une idée simple : faciliter et automatiser la sauvegarde en ligne des PC portables et des ordinateurs de bureau des particuliers et des PME-PMI.
Pour ce faire, la start-up a fixé un prix unique de 5$ par mois pour une quantité illimitée de données. Le plus gros client héberge ainsi en ligne pas moins de 10 To. Un cas extrême, mais qui répond bien à la philosophie de la petite entreprise (11 salariés à ce jour) : « nos clients ne doivent pas perdre de données et comme nous ne voulons pas stresser nos clients, ils peuvent tout sauvegarder » précise Gleb Budman. Il faut bien sûr installer un logiciel, un agent système en fait, sur son PC ou son Mac (pas encore de version Linux) qui envoie et synchronise les données sur les serveurs de BackBlaze hébergés dans un datacenter à Fremont. Si BackBlaze ne demande aux utilisateurs de sélectionner les données qu'ils veulent archiver, la start-up élimine les fichiers inutiles comme le système d'exploitation, les applications et les différents caches des logiciels.
Compression et dédup en standard
Les données conservées sont ensuite compressées, dédupliquées et cryptées sur les appliances de BackBlaze. C'est en effet une des particularités de cette start-up. Elle a en effet conçu une appliance baptisée Storage Pod d'une capacité maximale de 67 To avec des disques durs de 2 To. Configuré en RAID 6, ce serveur dédié peut ainsi perdre 1 ou 2 disques durs sans conséquence pour les données des clients. De type distribué, le stockage est réparti sur toutes les appliances animées par une version très allégée de la distribution Linux Debian.
L'architecture distribuée de BackBlaze repose sur une solution baptisée Central Authority qui répartit toutes les données entre les Pod et ce sans faire appel à une base de données. « Avec le temps, les bases de données deviennent gigantesques et ralentissent considérablement l'ensemble de la plate-forme. Nous avons préféré nous affranchir de cette contrainte lors de la conception de notre solution de stockage » précise Gleb Budman.
Une solution développée en interne
Si BackBlaze a fini par accepter de vendre ses Storage Pod - mais sans assurer de support - elle garde la main sur son logiciel. « Nous ne licencions pas notre programme, c'est le coeur de notre solution de sauvegarde » nous a indiqué Brian Wilson. Aujourd'hui, la start-up dispose d'une centaine de Pod avec plus de 2500 disques durs. Soit une capacité de stockage de 10 Pétaoctets. « Nous installons 10 nouveaux Pod tous les mois et remplaçons un ou deux disques durs cramés tous les semaines. »
La solution de sauvegarde incrémentale de cette start-up n'est pas seule sur le marché, mais elle permet de conserver des fichiers d'une taille maximale de 9 Go pendant 30 jours. La restauration est possible via un navigateur web, un DVD (99 $ avec une expédition partout dans le monde) ou un disque dur externe (199$ avec une expédition partout dans le monde). Mais pour restaurer ses données, il est bien sûr nécessaire de sauvegarder ses données. Gleb Budman rappelle pour l'anecdote qu'une de ses clients n'arrivait pas à récupérer ses données en ligne... et pour cause après la création de son compte (une adresse email, un mot de passe et une carte bancaire suffisent), il n'avait jamais installé l'agent système...
[[page]]
Une génie de la sécurité chez Palo Alto Networks
Changement de métier avec Palo Alto Networks. Si la sécurité est encore à l'ordre du jour, la société spécialisée dans la conception de firewall a été créée en mars 2005 par des gens qui pensaient qu'il y avait de graves lacunes dans ce domaine. La tête pensante de cette entreprise installée à Sunnyvale est bien connue dans le petit monde des firewalls : il s'agit du percutant Nir Zuk. Prodige des mathématiques, cet Israélien a fait parti de l'équipe qui a conçu la technologie d'inspection des paquets IP chez CheckPoint Software à la fin des années 90. Depuis il est passé par NetScreen et Juniper avant de fonder Palo Alto Networks à partir d'une idée simple : « toutes les technologies de sécurité utilisaient aujourd'hui pour protéger Internet datent des années 90. Toutes les compagnies utilisent des dérivés de la technologie d'inspection des paquets que j'ai développée pour les firewalls Check Point ».
Mais depuis les usages et les attaques ont bien changé. « Les firewalls ne protègent que le web et les emails et ignorent les autres usages : SalesForce, WebEX ou encore SharePoint. Facebook pose également un problème particulier en terme de sécurité. Les entreprises bloquent ou laissent passer le service avec tous les problèmes. Personne ne sécurise aujourd'hui Facebook tout comme Linkedin ou Viadeo en France. Skype est un autre exemple de bad application. Nous recommandons à tous nos clients de bloquer ce service ainsi que LogMeIn ou Tor mais s'ils le font les utilisateurs trouveront le moyen de contourner le blocage. Il est donc nécessaire de protéger les utilisateurs ».
Suivre les évolutions des usages
Provocateur, Nir Zuk finit toutefois par avouer qu'il ne s'agit plus aujourd'hui de bloquer des services devenus courants dans les entreprises, mais bien de sécuriser les accès. « Il faut reconnaître les nouvelles applications et les bloquer avant d'obtenir leur signature et d'établir une règle. » A l'usage, la société propose des firewalls aux défenses personnalisables et plus seulement périmétriques. Le moteur Pan-OS 4 des boitiers analyse les paquets émis par les applications actives sur le réseau et sur l'exploitation des profils utilisateur contenus dans Active Directory. Cela permet d'appliquer des règles de sécurité au niveau de chacun des utilisateurs en fonction de leur profil. Ce n'est plus l'adresse IP sur laquelle repose la politique de sécurité, mais sur l'identité de l'utilisateur. De plus, ces appliances sont capables d'identifier les applications web actives sur le réseau en analysant les paquets qui y transitent.
Aujourd'hui, Palo Alto Networks possède une base forte de 20 000 signatures qui continue de s'enrichir. Elle propose bien sûr d'utiliser des black listes avec son algorithme baptisé NGFWs Scan. Développé par Nir Zuk, ce dernier équipe les firewalls de nouvelle génération de Palo alto Networks. Très fier de son moteur d'analyse, le fondateur et CTO de la compagnie, précise que ce dernier ne contrôle pas tous les paquets, mais seulement ceux qui lui paraissent suspects. « C'est l'intelligence de notre moteur ». La firme a lancé un firewall 20 Gigabits, le PA-5060, capable d'adresser jusqu'à 100 000 utilisateurs environ et prépare une version 40 Gigabits et même 240 Gigabits (6 x 40 Gigabits en fait dans un même châssis). Ces équipements reposent sur un OS spécifique Pan-OS sur lequel le directeur technique ne désire guère s'attarder. On saura juste qu'une release majeure est proposée tous les six mois et qu'il s'agit d'un OS robuste qui peut sembler ressembler à Linux.
MySQL.com victime d'une injection SQL
Le site web MySQL.com réservé aux clients d'oracle a apparemment été compromis au cours du week-end par des pirates qui ont publié les noms d'utilisateurs et dans certains cas leurs mots de passe.
Les deux hackers d'origine roumaine se font appeler « TinKode » et « Ne0h». La méthode utilisée pour le piratage est une attaque par injection SQL, sans fournir de détail plus précis. Les noms de domaines touchés ont été recensés : www.mysql.com, www.mysql.fr, www.mysql.de, www.mysql.it et www-jp.mysql.com. Selon un post sur la liste de diffusion Full Disclosure, MySQL.com repose sur une variété de bases de données internes qui sont sur un serveur web Apache. Les informations affichées sur le post inclus une série d'empreintes (hash) de mots de passe, dont certains ont été cassés.
Attention au mot de passe trop simple
Parmi les informations d'identification publiées par le site Pastebin, on découvre par exemple le blog de deux anciens employés de MySQL. Il y a l'ancien responsable produit, Robin Schumacher, et l'ancien vice-président des relations communautaires, Kaj Arno. Le premier est actuellement directeur de la stratégie produit chez EnterpriseDB, tandis que le second est maintenant vice-président exécutif pour les produits à SkySQL. On notera que le mot de passe choisi par Robin Schumacher, 6661, est très simple et ne correspond pas aux règles élémentaires de sécurité.
Oracle, qui a pris le contrôle de MySQL avec l'acquisition de Sun Microsystems en avril 2009, n'a pas fait de commentaires. Sucuri, une entreprise de sécurité qui surveille les sites web des attaques de pirates, a conseillé aux utilisateurs ayant un compte sur MySQL.com, de changer leurs mots de passe dès que possible et surtout de ne pas utiliser le même mot de passe sur plusieurs sites.
Les cybercriminels vendent des kits d'attaques as a service
Ces kits vendus sont composés d'une variété de techniques de piratage, ou séquences de codes, capables de tirer parti des failles logicielles afin de les infecter par des programmes malveillants. Des chercheurs de Seculert ont trouvé au moins deux kits - Incognito 2.0 et Bomba - livrés avec leur propre solution d'hébergement et leur interface de gestion. « Le nouveau business model rend la tâche facile aux cybercriminels qui pouvaient avoir certaines difficultés à sécuriser leur hébergement ou à trouver des FAI prêts à héberger leurs serveurs malveillants, » dit Aviv Raff, CTO et cofondateur de Seculert. L'entreprise offre un service cloud spécialisé chargé d'alerter les clients sur les logiciels malveillants en circulation, les exploits et autres cyber-menaces.
Les offres globales sont destinées aux criminels qui souhaitent atteindre un grand nombre d'ordinateurs tournant sous Microsoft Windows. Une fois les ordinateurs piratés, les machines peuvent être utilisées pour voler des données personnelles, envoyer des spams, mener des attaques par déni de service ou à d'autres choses encore. C'est aussi moins cher. Les clients ne payent que le temps pendant lequel leurs attaques sont actives. « Autrement dit, si pour une raison ou une autre le FAI décide de fermer les serveurs pirates, ils n'ont rien à payer, » explique le CTO de Seculert. Celui-ci a estimé que ce type d'hébergement et de service coûtait entre 100 et 200 dollars par mois. «Tout est géré par le prestataire de services, » indique Aviv Raff. « Le client ne paye que pour le temps pendant lequel ses attaques sont hébergées. Nous ne connaissons pas les tarifs exacts, mais comme pour n'importe quel autre service cloud, il est clair que cette offre revient beaucoup moins cher que l'achat séparé d'un kit et de son hébergement, » a t-il dit.
Les clients doivent fournir leurs propres malware constituant les exploits à diffuser. Ils doivent également prendre en charge le piratage des sites web à partir desquels ils veulent rediriger leurs victimes vers le serveur malveillant hébergé par les opérateurs d'Incognito. Quand une victime potentielle visite l'un des sites web infecté, une balise iframe active le transfert de contenu à partir des serveurs Incognito d'où sont menées plusieurs attaques contre les machines en vue de réussir une ou plusieurs intrusions.
Les réseaux sociaux et l'actualité comme planche d'appel
Jusqu'à présent, Seculert a dénombré qu'environ 8 000 sites légitimes avaient été piratés et touchés par des exploits hébergés par Incognito. « Certaines victimes sont infectées quand elles vont visiter ces sites selon un mode de navigation normale, » explique Aviv Raff. Les pirates ont également mené des campagnes de spam pour tenter d'attirer les internautes vers ces sites infectés. Comme l'a récemment remarqué Seculert, un de ces messages prétendait venir de Twitter, manifestant son soutien au Japon et invitant les gens à cliquer sur un lien pour voir une vidéo des réacteurs de la centrale de Fukushima endommagée par le tsunami. En réalité, le lien de ce faux message ne débouchait sur aucune vidéo. Au lieu de cela, un cheval de Troie était téléchargé et installé sur l'ordinateur, dans le cas où celui-ci présentait une vulnérabilité logicielle.
« Incognito 2.0 fournit une interface de gestion basée sur le web qui permet aux clients de vérifier combien d'ordinateurs ont été infectés et quel type d'exploit a été utilisé, » ajoute le CTO de Seculert qui a posté des captures d'écran sur son blog. Incognito 2,0 semble en pleine croissance : les chercheurs de Seculert ont pu établir après analyse de son infrastructure, qu'au moins 30 clients utilisaient la plate-forme pour installer toute sorte de malware, depuis le Trojan Zeus de piratage des comptes bancaires, jusqu'aux faux logiciels antivirus et aux chevaux de Troie génériques qui provoquent le téléchargement et l'installation d'autres logiciels malveillants sur un ordinateur infecté. Sur une quinzaine de jours en janvier, au moins 150 000 machines ont été touchées : environ 70 % de ces ordinateurs ont été infectés avec un exploit utilisant une vulnérabilité dans l'environnement d'exécution Java, et 20 % en profitant d'une faille dans Adobe Reader.
IPsteel sécurise le WiFi avec AirTight Networks
Le grossiste à valeur ajoutée Ipsteel introduit en France et en Belgique SpectraGuard de l'américain AirTight Networks. Cette solution de prévention des intrusions pour les réseaux sans fil (Wireless Intrusion Prevention solution ou WIPS) se compose d'une appliance d'administration et de monitoring reliée en Ethernet à autant de capteurs que nécessaire pour couvrir le périmètre à sécuriser.
Dès lors, ces derniers vont empêcher toute personne située à l'extérieur de capter le signal du réseau wifi de l'entreprise équipée si elle n'est pas référencée dans l'annuaire des utilisateurs. Ils peuvent aussi éviter que l'équipement personnel d'un collaborateur qui se connecterai depuis le périmètre autorisé sans passer par le réseau de sa société ne puisse devenir une passerelle d'accès au systèmes d'information de l'entreprise.
A noter que l'appliance peut être administrée à distance. Cela autorise pour un revendeur de proposer SpectraGuard en mode SaaS en n'installant que des capteurs au sein de l'entreprise à sécuriser. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |