Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 301 à 310.
| < Les 10 documents précédents | Les 10 documents suivants > |
(09/02/2011 17:22:25)
Oracle sort un correctif en urgence pour réparer une faille Java
Oracle a sorti un correctif d'urgence pour réparer une faille Java qui peut être exploitée à distance sans authentification. Le bug plante le runtime Java lors de la conversion du nombre décimaal "2.2250738585072012e-308" en nombre binaire à virgule flottante, selon l'alerte diffusée par Oracle. Un problème qui a déjà affecté certains serveurs PHP.
L'attaque réussie de cette vulnérabilité peut résulter de la capacité à causer un blocage ou fréquemment un crash reproductible (complétant l'attaque Denial of Service) du runtime, a indiqué l'éditeur. Il a précisé que les applications et les serveurs web Java étaient particulièrement exposés à cette vulnérabilité. Un certain nombre de produits sont touchés par le virus, comme Java SE et Java for Business.
Des produits qui nécessitent davantage de rustines
Une liste complète vers les patchs recommandés de même que des liens ont a été publiés sur le site de l'éditeur. Oracle sort généralement des correctifs de sécurité pour tous les produits concernés chaque trimestre. Pourtant, dans ce cas-ci, l'éditeur a également mis au point des correctifs pour les bugs jugés trop graves qui ne permettent pas d'attendre la prochaine mise à jour. « Par le passé, alors qu'il y avait beaucoup moins de produits au catalogue d'Oracle, l'éditeur avait l'habitude de rectifier 100 failles à la fois sur sa base de données, a indiqué Amichai Shulman, CTO d'Imperva, une société spécialisée dans la sécurité des données dans un billet de blog. Il semble évident qu'un nombre plus important de produits réclame davantage de rustines. Et pourtant, nous voyons arriver des patches plus petits rassemblant moins de correctifs, alors qu'il y a plus de produits. »
(...)
Microsoft corrige un bug de sécurité affectant Windows Azure
Le bug concerne les sites web et les services Internet qui utilisent des cookies pour conserver certaines informations de statut entre deux sessions de navigation, et fournir aux clients de Microsoft qui gèrent des sites web sur Azure certaines informations générées par les visiteurs pendant leur connexion. Quand le processus fonctionne correctement, le cryptage des cookies fait que « les clients peuvent constater que des informations de statut sont effectivement transmises, mais sans qu'ils soient en mesure ni de les voir, ni de les modifier » a indiqué Microsoft. La faille identifiée rend visible ces informations contenues dans le cookie. « Ce problème affecte les applications développées avec ASP.NET et utilisant la nouvelle fonctionnalité « Full IIS» du SDK v1.3 qui implémente le Web Role (en charge de traiter les requêtes HTTP/HTTPS) » a indiqué la firme de Redmond. « Dans le cas où ces Web Roles sont vulnérables, le client peut voir le contenu des informations de statut (sans pouvoir les changer). La confidentialité du contenu n'étant plus assurée, la sécurité du site web se trouve compromise. » Les clients Azure concernés par ce problème doivent télécharger la mise à jour du SDK, redéployer leurs applications et vérifier que le correctif assure son rôle. Des instructions pour la mise en oeuvre du correctif sont disponibles sur le blog de Windows Azure. En plus de ce correctif spécifique, l'éditeur doit corriger cette semaine 22 bogues, conformément à son calendrier Tuesday Patch mensuel. Toutes les versions de Windows doivent recevoir plusieurs correctifs critiques. Pus Internet Explorer, qui n'échappe pas à cette campagne de correctifs.
L'annonce de configurations Extra Small
Indépendamment de ces annonces de sécurité, Microsoft a annoncé qu'il offrirait des instances de calcul « de très petite taille » dans Windows Azure. Avec la nouvelle version bêta publique, l'entreprise veut apporter aux développeurs un moyen peu onéreux de démarrer avec le Cloud computing. En effet, Microsoft a fixé le prix de ces mini instances de calcul dans Windows Azure à 5 centimes de l'heure, contre 12 à 96 centimes actuellement pour les quatre offres d'instances de calcul de plus grandes tailles. La nouvelle instance se compose d'un CPU à 1GHz, de 768 Mo de mémoire vive, 20 Go de capacité de stockage, et des performances I/O inférieures aux configurations plus conséquentes. Des instances de deuxième niveau avec un CPU de 1.6GHz, 1.75GB de mémoire vive et 225 Go de stockage, plus une meilleure performance I/O sont également proposées. L'éditeur indique que ces instantes de petite taille, disponibles en version bêta privée depuis octobre dernier, ont reçu un très bon accueil.
« Cette configuration de petite taille permet aux développeurs d'accéder à un environnement de développement et de test à un prix très avantageux, » a indiqué Microsoft. « Les développeurs peuvent également utiliser la configuration Extra Small pour tester des solutions cloud à un moindre coût.» La version bêta publique est accessible à tous. Les petites instances Windows Azure proposées par Microsoft sont semblables aux configurations « micro » proposées par son concurrent Elastic Compute Cloud (ECC) d'Amazon. Aujourd'hui, un an après son lancement commercial, Windows Azure compte 31 000 abonnés actifs et héberge 5 000 applications.
Le Nasdaq en proie à des intrusions informatiques
Selon le rapport, qui cite des sources anonymes, les ordinateurs du groupe Nasdaq OMX ont été compromis plusieurs fois au cours de la dernière année, mais la plate-forme de négociation de l'entreprise n'a pas été affectée. « Jusqu'à présent, les auteurs de ces intrusions n'ont pas été actifs mais plutôt observateurs » explique une source au quotidien.
Nasdaq OMX Group gère un certain nombre de places de marché, y compris le Nasdaq, ainsi que les places d'échanges commerciaux de Copenhague, Stockholm, Helsinki et de la région Baltique. L'enquête est menée par le FBI et les services secrets américains, indique le rapport. Les représentants Nasdaq n'a pas pu être joint pour commenter.
Des tentatives de plus en plus fréquentes
Les incidents d'intrusion de ce genre sont de plus en plus fréquents, comme les attaques depuis les e-mail et via le web, au sein des entreprises et des administrations. Dans certains cas, le piratage d'un ordinateur d'un simple employé peut être la première étape pour une attaque plus sophistiquée, mais souvent les cybercriminels ne peuvent pas aller plus loin dans le réseau.
Les informations révélées par le journal sont inquiétantes, car elles interviennent quelques jours après les révélations du Times qui rapportait que la police anglaise avait enquêté pour savoir si la chute dramatique en mai 2010 de 1000 points de l'indice Dow Jones pourrait être lié à un cybercrime. Les autorités enquêtent aussi sur des incidents qui se sont déroulés le 24 août 2010 à la bourse de Londres et portant sur des mouvements spéculatifs suspects sur cinq sociétés, dont BT et Next, rapporte le Times. Une erreur humaine serait à l'origine de ces deux incidents.
Google offre 20 000 dollars pour craquer son navigateur Chrome
Lors du concours Pwn2Own 2011, les chercheurs vont donc se mesurer et appliquer leur savoir-faire pour s'attaquer aussi à des machines fonctionnant sous Windows 7 ou Mac OS X et pour tenter de cracker Internet Explorer, Firefox, Safari et surtout Chrome. Les premiers chercheurs qui pirateront IE, Firefox et Safari recevront 15 000 dollars et l'ordinateur où le navigateur est exécuté. Les prix sont de 5 000 $ de plus que ceux proposés à l'édition 2010 du Pwn2Own, et trois fois plus que le montant de 2009. « Nous avons augmenté la somme totale distribuée pour établir les gains à 125 000 dollars » a déclaré Aaron Portnoy, responsable d'une équipe de chercheurs en sécurité d'HP TippingPoint. Cette société parraine le concours et vient d'en fixer des règles dans un message sur un blog.
La nouveauté de cette année est la participation de Google. La société est le premier éditeur de navigateur à financer un prix. Aaron Portnoy « félicite l'équipe de sécurité Google pour avoir pris l'initiative de nous approcher à ce sujet ». Les règles de Chrome sont légèrement différentes que pour les autres navigateurs, car il est le seul des quatre à utiliser une « sandbox », un outil de défense pour éviter les attaques exploitant une faille. Avec ce bac à sable, les chercheurs ont besoin non pas d'une mais de deux vulnérabilités: la première pour que leur code d'attaque contourne la sandbox, et une seconde pour exploiter les failles de Chrome. D'autres éditeurs de logiciels ont suivi les traces de Chrome pour essayer de rendre leurs applications plus sécurisées. L'année dernière, par exemple, Adobe a ajouté un bac à sable - provenant en partie du travail de Google - à son programme PDF Reader.
Chrome se met en avant et la sand box aussi
Pour repartir avec les 20 000 dollars promis par Google le premier jour du Pwn2Own, les chercheurs devront trouver et exploiter deux vulnérabilités dans le code du navigateur. Lors du deuxième et troisième jour du concours les chercheurs pourront utiliser un bug non-Chrome, par exemple celui de Windows, pour sortir de la sandbox. Si une attaque arrive lors du deuxième et troisième jour, les apprentis pirates gagneront 20 000 dollars, mais seulement de 10 000 proviendront de l'éditeur de Mountain View; TippingPoint complétera l'autre moitié. La participation de Google au Pwn2Own 2011 peut être considérée comme une marque de confiance dans la sécurité de son navigateur. Si Chrome a été un des navigateurs cibles aux différentes éditions du concours depuis 2 ans, aucun chercheur n'a réussi à le craquer.
IE, Firefox et Safari sont eux déjà tombés lors des deux dernières années, de différentes manières rendant le concours un peu embarrassant pour les éditeurs. En 2009, un chercheur - un informaticien allemand qui n'a donné que son prénom, Nils - a réussi à pirater les trois navigateurs. Grâce à cela, il a empoché 15 000 dollars, soit 5 000 dollars pour chaque hack. Charlie Miller, le seul chercheur à avoir remporté des prix Pwn2Own trois années consécutives, ne souhaitait pas récidiver cette année, mais l'annonce pour Chrome l'a intrigué. « Pwn2Own offre maintenant 20k pour l'attaque sur Chrome », a inscrit Charlie Miller sur Twitter. « Cela sera dur et je suis heureux que Mac OS X ne dispose pas de sandbox pour son navigateur ».
TippingPoint va aussi focaliser le concours Pwn2Own sur les mobiles où les chercheurs tenteront de pirater les smartphones sous iOS, Android, Windows Phone 7 et BlackBerry OS. Les attaques réussies seront rémunérées à hauteur de 15 000 dollars.
Crédit Photo : D.R
Détecter les malwares et les botnets sans base de signatures
Avec son Razor, HBGary introduit un appliance à la périphérie du réseau de l'entreprise qui surveille les intrusions des logiciels malveillants et les tentatives des botnets pour communiquer avec l'extérieur. Cette solution utilise une machine virtuelle qui stocke et inspecte tous les fichiers, notamment PDF, dans une « sandbox » pour détecter des programmes ou des contenus malveillants selon Greg Hoglund, CEO de HBGary. Ce système surveille également les commandes malveillantes et contrôle l'activité du réseau pour automatiquement bloquer le trafic vers un site suspect. Greg Hoglund souligne que le Razor utilise les mêmes technologies, le Digital DNA et l'Active Defense, déjà utilisées dans les produits sécurité de la compagnie.
En déployant Razor à la périphérie du réseau, l'idée est que si des logiciels malveillants sont détectés en transit, une alerte est envoyée au responsable de la sécurité de l'entreprise pour lui signaler quelle machine est visée. La méthode de détection de HBGary ne repose pas sur « l'analyse statique des signatures », explique Hoglund, qui ajoute que les clients sentent bien que ce n'est plus suffisant. L'intérêt pour les méthodes de protection non-basées sur la recherche de signature, qui demandent de fréquentes mises à jour de leur base de données, est en hausse. La solution Razor vient en effet concurrencer celle de NetWitness, de FireEye et de Damballa qui analysent le comportement et les requêtes des applications et des fichiers au lieu de se contenter d'interroger une base de signatures.
Actuellement en bêta, l'appliance Razor est attendu en février dans sa version finale à un prix d'environ 23 500 $.
La cartographie des malwares sur Internet réalisée par HBGary, cliquez pour agrandir l'image
(...)(28/01/2011 10:48:10)Des « Anonymous » Pro-Wikileaks arrêtés en France et dans le monde
Hier, cinq personnes ont été arrêtées au Royaume-Uni et les autorités américaines ont affirmé avoir mené plus de 40 mandats de perquisition relatifs aux attaques le mois dernier contre des sociétés qui avaient rompu leur contrat avec Wikileaks.
Des enquêtes sont également en cours aux Pays-Bas, en Allemagne et en France, a précisé le FBI. Le mois dernier, la police française a arrêté un jeune auvergnat de 15 ans, selon les informations d'Europe 1, qui aurait participé à des attaques pour bloquer trois sites en ligne. Les actions menées par les « Anonymous » ont ciblé les sites de MasterCard, Visa et brièvement déconnecté d'autres sites. Cette opération a été menée par des bénévoles équipés d'un outil de piratage appelé LOIC (Low Orbit Ion Cannon). Ce programme avait pour but de lancer des attaques par déni de services (DDOS). Les Anonymous ont également visé PayPal, Amazon et les sites Internet de Sarah Palin et du bureau du procureur suédois qui demandait l'extradition de Julian Assange. Ces attaques, connues sous le nom opération Payback étaient une réponse aux actions « liberticides » de plusieurs sociétés contre le site Wikileaks.
Des peines de prison prévisibles
« Aider ou mener une attaque DDoS est illégale, passible de 10 ans de prison » souligne le FBI dans un communiqué de presse. Les actions des membres Anonymous sont des représailles contre les entreprises qui ont abandonné Wikileaks et donc porté atteinte à la liberté d'expression. Ces types d'attaques DDoS politiques sont devenus monnaie courante ces derniers mois. Les Anonymous s'étaient déjà fait connaître pour des agressions concernant les sites Internet de la Recording Industry Association of America (qui menait une bataille contre le téléchargement) et contre la scientologie. Plusieurs utilisateurs pro-russes avaient également utilisé ce mode opératoire informatique pour bloquer une grande partie de l'infrastructure Internet Estonienne en 2007.
Hier, une page web utilisé pour coordonner les dernières séries d'attaques DDoS a été désactivée ainsi que le fil Twitter du groupe et certains blogs.
Le protocole Telnet reprend du service avec les pirates
Akamai, spécialiste dans la gestion du trafic et de contenu web, a publié son étude trimestrielle sur les tendances du trafic Internet. Elle montre qu'au troisième trimestre 2010, 10% des attaques qui venaient de réseaux mobiles étaient dirigées sur le port 23, utilisé par Telnet. Cela marque un pic quelque peu inhabituel pour un protocole vieillissant.
Telnet est un outil d'accès à distance utilisé pour se connecter à des serveurs distants, mais il a été progressivement remplacé par SSH, aussi connu comme Secure Shell. Les administrateurs conseillent généralement de désactiver le protocole Telnet s'il n'est pas utilisé pour empêcher les attaques, mais certains oublient de le faire. Bien que ces attaques proviennent de réseaux mobiles, Akamai explique qu'il ne semble pas que les terminaux mobiles en ont été la source, mais plutôt des modules 3G qui équipent les PC.
Le port 445 très sollicité
Akamai a constaté également que le port 445, celui généralement utilisé par les produits Microsoft, a été le plus visé, même si les attaques ont diminué. Ces dernières avaient atteint un pic plus d'un an auparavant en raison de Conficker, un ver qui s'est propagé rapidement et ciblait ce port. « Si les pourcentages sont encore assez importants, cette baisse peut signaler les efforts des fournisseurs de services pour identifier et isoler les systèmes infectés, ainsi que les réparer et les mettre à niveau » , indique le rapport. Les attaques sur le port 445 représentent une majorité du trafic des agressions au Brésil, Allemagne, Italie, Russie, Taiwan et aux États-Unis.
Facebook dévoile des outils de sécurité après le piratage de la page de Zuckerberg
Sur un des blogs de Facebook, Alex Rice, ingénieur en charge de la sécurité du réseau social, annonce des mesures pour renforcer la protection des utilisateurs du site. Si le vendredi 28 janvier est annoncé comme la journée de « la protection des données personnelles », la presse et les blogueurs ont particulièrement glosé sur les déboires de Mark Zuckerbeg, victime du piratage de sa page Facebook. Un comble pour le fondateur de l'empire de la surexposition.
La première mesure de sécurité consiste la généralisation de l'utilisation du HTTPS - Hypertext Transfer Protocol Secure - au-delà du simple échange de mot de passe. Alex Rice écrit ainsi sur son blog : « Dès aujourd'hui nous allons fournir la capacité de consulter Facebook entièrement en HTTPS. Vous devriez envisager d'utiliser cette option si vous utilisez fréquemment Facebook dans des points d'accès Internet public dans les cafés, les aéroports, les bibliothèques ou les écoles. L'option sera intégrée aux fonctions de sécurité avancées, que vous retrouvez dans la section «Sécurité du compte », de la page Paramètres du compte. » Google était déjà passé par là après ses déboires chinois en mars 2010. Facebook avait d'ailleurs déjà testé ces mesures pour faire résister aux intrusions du gouvernement tunisien dans les pages de ses utilisateurs.
Une authentification plus sociale
La deuxième mesure est un mécanisme d'authentification captcha plus sophistiqué que celui déjà utilisé par le site pour valider certains commentaires. Alex Rice poursuit : « Au lieu de vous montrer un captcha traditionnel, Facebook peut vous aider à confirmer votre identité par le biais de l'authentification sociale. Nous allons vous montrer quelques photos de vos amis et vous demander de nom des personnes dans ces photos. Ainsi si des pirates peuvent connaître votre mot de passe, il leurs est plus difficile de connaître les noms de vos amis. »
Pendant ce temps, Facebook est resté officiellement muet au sujet de l'incident qui a touché la page de Mark Zuckerberg suivi par 2,8 millions de fans. Bien que le problème ait été rapidement détecté et la page désactivée, 1 800 utilisateurs ont réagi au détournement et laissé plus de 400 commentaires sur le commentaire qui ornait le mur de Zuckerberg. Ce message disait : « Le piratage ne fait que commencer : Si Facebook a besoin d'argent, au lieu d'aller voir les banques, pourquoi ne pas laisser ses utilisateurs investir dans Facebook d'une manière sociale ? Pourquoi ne pas transformer Facebook en « une entreprise à caractère sociale » à la manière du prix Nobel de la paix sic] Muhammad Yunus ? # Hackercup2011 »
Intel travaille sur une technologie bloquant les attaques zero days
Justin Rattner, CTO d'Intel, a expliqué à nos confrères de Computerworld, que des chercheurs internes travaillent sur une technologie de sécurité qui permet d'arrêter toutes les attaques zero-day. Sans donner beaucoup de détails à ce sujet, il espère que les travaux seront publiés cette année. « Je pense que nous avons quelques idées pour changer la donne vis-à-vis des logiciels malveillants », a déclaré le CTO d'Intel. « Nous allons voir un saut extrêmement imprtant dans la capacité des futurs terminaux, ordinateurs, smartphones, tablettes ou les télévisions connectées, à se défendre contre les attaques. »
Il a précisé que la technologie proposée ne sera pas basée sur les signatures, comme le font les spécialistes de la sécurité actuellement. La détection de logiciels malveillants basés sur la signature repose sur la recherche de modèles connus au sein du code malveillant. Cependant, les attaques «zero day» ou de malwares plus complexes n'ont pas de code connu et il est donc difficile de s'en prémunir. « Nous avons découvert une nouvelle approche qui empêche les attaques les plus virulentes. Elle devrait arrêter celles de type zero-day». La technologie comprendra un aspect matériel, sans savoir pour l'instant si une brique logicielle est envisagée.
Fiabilité et avantage concurrentiel
Dan Olds, analyste chez Gabriel Consulting, indique que si cette technologie fonctionne comme Justin Rattner l'explique, il pourrait s'agir d'une avancée majeure pour la sécurité informatique. « Si Intel dispose d'une technologie matérielle qui peut sûrement arrêter les attaques zero-day, ce serait une grande victoire dans la guerre contre les logiciels malveillants », confirme le consultant. « La clé, c'est que ce système doit être fiable. Il doit avoir la capacité de discerner le logiciel légitime du programme malveillant. En résolvant ce problème, cela donnera un avantage concurrentiel à Intel par rapport à AMD. » Il ajoute que la technologie qui repose sur du matériel peut être très intéressante. « La meilleure protection est une combinaison de matériel et de logiciels. La sécurité du matériel peut être plus forte et plus rapide dans certaines situations, mais elle n'est pas aussi souple que les mécanismes purement logiciels. Le grand changement ici, c'est qu'Intel devrait tirer parti des fonctions de sécurité dans le circuit ou le processeur » conclut Dan Olds.
Justin Rattner a déclaré que les chercheurs d'Intel ont travaillé sur cette technologie de sécurité avant que la compagnie ne propose d'acquérir McAfee, spécialiste de logiciel de sécurité, pour 7,68 milliards de dollars. Toutefois, cela ne signifie pas que McAfee serait écarté des travaux menés.
Illustration : Justin Rattner, CTO d'Intel
Crédit Photo: D.R
(...)
Comment Facebook a résisté aux intrusions du régime tunisien
Les détails de cette incroyable opération, qui consistait à intercepter les communications à l'insu du réseau social et de ses utilisateurs, menée par le régime tunisien contre sa propre population ne sont pas clairs. Mais il semble que le gouvernement ait tenté d'exploiter les FAI tunisiens pour diriger les utilisateurs vers de fausses pages Facebook et éventuellement d'autres sites de médias sociaux. Depuis ces pages, les autorités auraient essayé d'infecter les ordinateurs des personnes connectées avec un code Javascript malveillant chargé d'enregistrer les frappes effectuées au clavier au moment de la connexion. Ces précisions sur les modalités de l'attaque ont été fournies par Facebook lui-même. Réalisant ce qui se passait, le réseau social a riposté en forçant les connexions effectuées depuis la Tunisie à utiliser le protocole sécurisé https, afin de protéger les sessions. Mais ce n'est pas tout : en cas de blocage des adresses https par les FAI, Facebook demandait aux utilisateurs de s'authentifier aussi au moment de quitter leur session, étape où ils pouvaient être vulnérables, en identifiant des amis pour contrecarrer l'opération d'espionnage.
La défense de Facebook semble avoir fonctionné, même si un nombre inconnu d'utilisateurs tunisiens se sont fait voler leurs identifiants de connexion les jours qui ont précédé la mise en oeuvre de cette contre-attaque. « Quand vous prenez du recul et vous réfléchissez à la manière dont le trafic Internet est acheminé à travers le monde, vous vous rendez compte qu'une quantité surprenante de données est susceptible d'être mise sous contrôle d'un gouvernement, » peut-on lire dans l'article qui cite les propos de Joe Sullivan, le chef de la sécurité de Facebook.
Un outil de liberté qui inquiète
La remarque est importante. La Tunisie n'est pas une exception et de nombreux régimes de pays arabes et d'Afrique du Nord restreignent autant qu'ils le peuvent la dissidence sur Internet, même si ce n'est pas toujours avec le niveau de sophistication dont a fait preuve le régime tunisien. Aujourd'hui, l'Egypte a purement et simplement bloqué l'accès à Facebook et Twitter.
De manière générale, le rôle des médias sociaux dans la dissidence politique est sous-estimé. On leur reconnaît surtout d'avoir joué un rôle important dans l'échec du soulèvement contre le régime extrémiste en Iran et qu'ils sont étroitement contrôlés en Chine. Cette semaine, l'Iran a annoncé la mise en place d'une force spéciale dont l'action est destinée à combattre l'utilisation des médias sociaux pour organiser des manifestations anti-gouvernementales. Quant à Facebook, les évènements vont lui offrir un peu de répit : l'année passée, la communauté Internet lui a souvent fait le reproche de ne pas suffisamment protéger la vie privée de ses utilisateurs.
Crédit Photo : D.R
(...)| < Les 10 documents précédents | Les 10 documents suivants > |