Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 351 à 360.
| < Les 10 documents précédents | Les 10 documents suivants > |
(04/11/2010 16:09:33)
L'Europe simule une cyberattaque pour tester ses défenses
Cet exercice s'est déroulé dans le cadre de l'opération « Cyber Europe 2010 ». Des spécialistes de la cybersécurité vont tenter de contrer les tentatives simulées de pirates informatiques pour paralyser des services en ligne critiques dans plusieurs Etats membres. Ce test repose sur un scénario où la connectivité Internet est progressivement perdue ou gravement altérée dans tous les pays participants, rendant difficile l'accès aux sites essentiels (comme les services d'administration en ligne) pour les particuliers, les entreprises et les institutions. L'opération est orchestrée par l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et par le Centre commun de recherche (JRC) de la Commission européenne.
Une nécessaire coopération
Le but de cet exercice, selon Neelie Kroes, commissaire en charge de la stratégie numérique, « vise à évaluer l'état de préparation de l'Europe face aux menaces informatiques et constitue une première étape dans l'instauration d'une coopération dans la lutte contre les dangers en ligne ciblant les infrastructures essentielles ». L'opération « Cyber Europe 2010 » implique que l'ensemble des pays participant à l'exercice coopère. Cela permettra de tester à la fois les points de contact dans les différents pays, les canaux de communications, le type d'échange de données par ces canaux, etc... La simulation intervient quelques semaines après la médiatisation du ver Stuxnet, qui s'attaquait à des systèmes industriels et avait un impact politique en ciblant prioritairement l'Iran. Le développement de ces menaces et de la complexité des attaques font que les Etats coopèrent sur ce sujet. Il est d'ailleurs prévu que l'initiative européenne qui concerne aussi l'Islande, la Suisse et la Norvège, soit étendue à d'autres pays.
Comment sécuriser un iPad pour une utilisation en entreprise ?
Parmi ces ajouts, on peut citer le chiffrement des e-mails et des pièces jointes stockés sur les appareils, déclare Andrew Jaquith, analyste chez Forrester Research. « Nous nous attendons à ce qu'Apple accélère matériellement le système de chiffrement pour que les données restent sécurisées, même si le terminal lui-même a été jailbreaké ou compromis par une attaque », explique l'analyste Jaquith dans son rapport « l'iPhone et iPad d'Apple suffisamment sécurisés pour les entreprises? » Le système d'exploitation mis à jour devrait également supporter les VPN SSL, qui autoriseront des sessions d'accès à distance sur iPad.
De plus, les outils de gestion des périphériques mobiles ajouteront des API issues d'applications tierces qui peuvent verrouiller ou effacer des iPad, dit-il. Ces API permettront le contrôle à distance de l'inventaire des terminaux en circulation et la gestion des mots de passe par des applications tierces. La mise en place de politique de sécurité au sein de l'entreprise peut également être prise en charge par ces API, mais il n'y a pas de plate-forme de gestion Apple adaptée pour une utilisation d'entreprise, souligne l'analyste. Toutefois, des fournisseurs tels que Mobile Iron, Odyssey et Tangoe tous ont un accès privilégié aux API pour développer de tels outils.
Une méthode didactique pour renforcer la sécurité
En dehors de ces différents éléments prévus dans l'iOS 4.2, Andrew Jacquith affirme que toute la planification des activités d'iPad devrait tenir compte de sept étapes:
1-Chiffrer les sessions e-mail, qui peut être fait via ActiveSync de Microsoft.
2-Les effacer s'ils sont perdus ou volés à l'aide d'outil de
3-Les verrouiller avec un code d'authentification forte.
4-Les bloquer automatiquement quand ils ont été inactifs pendant une période donnée.
5-Les effacer après un certain nombre d'échecs de connexion.
6-Signer la configuration de votre profil et la protéger par mot de passe pour éviter la falsification.
7-Actualisation automatique des politiques de sécurité à l'aide d'ActiveSync en combinaison avec Microsoft Exchange 2007.
Pour les entreprises avec des exigences plus strictes, Jaquith recommande:
* L'utilisation d'un chiffrement matériel à venir avec iOS 4.2.
* Le renforcement du niveau des codes.
* L'utilisation de l'authentification par certificat.
Même avec toutes ces mesures en place, l'iPad ne sera pas en mesure de répondre à certaines exigences de sécurité, prévoit l'analyste. Par exemple, certaines entreprises sont tenues d'archiver les messages comme les SMS, ce qui ne peut pas se faire sur la tablette d'Apple. Cette dernière ne prend pas non plus en charge les lecteurs de cartes à puces, qui pourraient lier le possesseur de la carte à son terminal.
Des techniques d'intrusions mettent en échec les IPS
Les CERT (Computer Emergency Response Team) de plusieurs pays ont envoyé des avis à des dizaines de vendeurs de solutions IPS pour les informer de la menace AET (Advanced Evasion Technique) afin qu'ils puissent prendre des mesures pour s'en prémunir. Le CERT finlandais a émis cette alerte, après avoir été informé de la découverte de cette méthode d'intrusion par Stonesoft, fournisseur de solution IPS.
AET ne combine pas simplement des tentatives d'intrusion que les programmes d'IPS combattent facilement, mais cet agencement créé une méthode indétectable, déclare Stonesoft. « Ces techniques ne font pas de dégâts, mais elles donnent des capacités furtives pour les logiciels malveillants pour lui permettre d'atteindre des systèmes ciblés », dit Mark Boltz, architecte senior de solutions pour Stonesoft et d'ajouter « jusqu'ici il n'y a aucune preuve que des AET aient été utilisés de manière anarchique ». Ces dernières sont connues depuis plus d'une décennie et la plupart des systèmes de préventions d'intrusion sont capables de se défendre contre elles, mais en utilisant des combinaisons, elles peuvent contourner les IPS actuels, confirme Mark Boltz. « En mélangeant par pair des AET connues, on obtient 2180 résultats possibles, si on ajoute les combinaisons à trois ou plus, le nombre total de possibilités est encore plus grand » précise-t-il.
Des tests validés
Dans les tests Stonesoft, un ensemble de AET a été utilisé pour cacher des vers Conficker et Sasser. Ils ont été envoyés contre 10 IPS reconnus et classés dans le Magic Quadrant du Gartner. Aucune de ces IPS n'a détecté cette combinaison de techniques d'intrusion. Les tests et l'alerte émis par Stonesoft ont été validés par ICSA Labs, qui a autorisé l'éditeur à simuler une attaque via un VPN Finlandais avec l'aide d'un outil élaboré par l'éditeur de solutions de sécurité. L'attaque a réussi à passer l'IPS installé à l'ICSA en Pennsylvanie, dit Jack Walsh, directeur de l'ICSA, en charge du programme IPS. Le dirigeant affirme que l'AET généré a échappé à la prévention d'intrusion et a donné au vers Conficker la possibilité d'atteindre la cible de serveurs Windows en utilisant la vulnérabilité non corrigée CVE-2008-4250. Conficker a été utilisé car il est bien connu et que les outils de sécurité sont en mesure aujourd'hui de le reconnaître, sauf s'il est masqué.
Un exemple d'une technique simple de fraude est la fragmentation IP, dit Mark Boltz. La méthode permet de fragmenter les différents paquets contenant les logiciels malveillants dans l'espoir que l'IPS ne sera pas capable de reconstituer les paquets et ainsi oublier le malware. Aujourd'hui, la plupart des IPS ont des moteurs qui rassemblent des paquets fragmentés et les analysent. L'URL obscurci est un autre exemple de fraude simple dans lequel une URL est légèrement modifiée de sorte qu'il passe l'IPS sans penser qu'elle a été transformée.
Des combinaisons redoutables
Mais en association, certaines de ces techniques peuvent contourner les IPS. Par exemple, en utilisant une pile TCP / IP de leur propre conception, les chercheurs Stonesoft ont profité de l'horloge TCP, pour notifier aux machines des délais de réception et ainsi laisser ouvert les ports TCP en prévision d'une communication ultérieure. En se connectant à un ordinateur cible et immédiatement fermer la session, la pile TCP / IP peut alors démarrer une nouvelle session par les ports encore ouverts et l'utiliser pour transmettre les logiciels malveillants. Parce que l'IPS a déjà vérifié la connexion initiale était correcte et que les informations autorisaient une communication ultérieure. Stonesoft garde confidentiel son outil AET.
Crédit Photo: D.R
(...)(15/10/2010 14:58:25)Microsoft freine juridiquement les activités des botnets
Ce malware a été utilisé pour envoyer des e-mails et infecter des ordinateurs par l'entremise d'un faux logiciel antivirus, en s'appuyant sur un système peer-to-peer compliqué pour communiquer avec d'autres machines infectées. Dans le dernier rapport semestriel sur la sécurité informatique qu'elle vient de publier, Microsoft indique ainsi avoir nettoyé seulement 29 816 ordinateurs infectés par Waledac au second trimestre de cette année, contre 83 580 ordinateurs au premier trimestre.
Selon Adrienne Hall, directeur général du département "Trustworthy Computing" de Microsoft, « la baisse du nombre de machines infectées atteste du succès de l'action juridique menée par Microsoft cette année. » Les actions en justice menées par Microsoft contre Waledac sont sans précédent, puisque, fait assez rare, l'entreprise a obtenu une ordonnance ex parte d'interdiction temporaire (TRO) pour fermer les noms de domaine malveillants que les contrôleurs de Waledac ont utilisé pour communiquer avec les machines infectées. Le fait de recourir à un tribunal « permet de prendre acte du fait que des poursuites sont engagées pour rechercher les auteurs, » a déclaré Adrienne Hall.
Jugement favorable et exequatur accélérée
Ce type de jugement permet d'interrompre une activité sans préavis et sans nécessité de faire comparaître l'auteur devant un tribunal. Dans le cas de Waledac, le blocage soudain des noms de domaine a empêché les opérateurs du botnet de disposer de suffisamment de temps pour enregistrer d'autres domaines et permettre à leurs robots de réinitialiser des instructions. En général, les tribunaux fédéraux rechignent à délivrer ce genre d'ordonnance, car elle peut violer le droit des accusés à un procès équitable, sauf si le juge est convaincu que les auteurs peuvent se réorganiser rapidement et reprendre leur activité. C'est ainsi que Microsoft a réussi à obtenir deux TRO ex parte du tribunal.
Dans les documents d'assignation de Microsoft, on trouve 27 fois le nom de celui qui a enregistré les noms de domaines mis en cause, apportant au tribunal « un objectif identifiable pour une procédure juridique, tout en protégeant les droits des personnes de recourir à une procédure régulière. » Mais la plupart des 276 noms de domaines utilisés pour contrôler Waledac ont été enregistrés par des registrars domiciliés en Chine. Autre signe de la diligence dont a bénéficié Microsoft, celle-ci a pu rendre la TRO ex parte applicable par la loi chinoise et mettre la procédure en conformité avec les traités internationaux. Les titulaires des noms de domaine ont été notifiés par la Convention de La Haye par une « demande aux fins de signification ou de notification à l'étranger d'un acte judiciaire ou extra judiciaire » et tous les documents ont été envoyés au ministère chinois de la Justice en plus d'être publiés sur un site Internet spécifique.
Touché mais encore actif
Les sites ont été fermés dans les 48 heures après que la cours de justice de Virginie a délivré son ordonnance. Le mois dernier, le tribunal avait déjà tenu audience, ouvrant un jugement par défaut contre les prévenus non identifiés, et a octroyé le transfert du contrôle des domaines à Microsoft. L'entreprise indique dans son rapport qu'une injonction permanente est en cours. « Nous pensons que cela a effectivement porté un coup à Waledac, » a déclaré Adrienne Hall. Si les avocats ont travaillé sur le plan juridique, les experts techniques ont également attaqué Waledac. Microsoft a ainsi mobilisé une équipe de chercheurs en sécurité informatique qui ont infiltré le système de contrôle peer-to-peer de Waledac. Une fois à l'intérieur du réseau de zombies, ils ont détourné les machines infectées vers leurs serveurs, de manière à couper les cybercriminels de leur propre botnets.
Mais si Waledac a bien été touché, il reste encore actif, puisque le botnet arrive en 23ème position des sur l'ensemble de botnet détectées. Ce qui fait dire à Microsoft dans son rapport, que même après de nombreuses mesures juridiques et techniques, les botnets restent des adversaires difficiles à combattre.
Joueurs en ligne : des proies idéales pour les cybercriminels
La société a établi un rapport sur les sites de jeux en ligne récemment détectés comme infectés par des virus. Résultat, des sites comme Gamefactoryinteractive.com, Jeux-digest.com, ou encore Mariogamesplay.com font partie des sites les plus infectés. "Les joueurs sont une cible parfaite pour les pirates informatiques, car ils sont plus préoccupés par leurs jeux que par la sécurité de leur ordinateur", explique Ondrej Vlcek, Directeur Technique chez Avast. "Comme l'industrie du jeu ne cesse de croître, les pirates vont inévitablement développer d'autres moyens de cibler cette importante communauté". Avast recommande aux joueurs de ne pas éteindre leur antivirus lorsqu'ils jouent, utiliser les fonctions "jeu" des antivirus, ou encore se méfier des téléchargements de jeux des sites "warez". (...)
(12/10/2010 11:10:12)Les hackers Zeus pourraient aussi voler des secrets d'entreprise
Le chercheur, qui a suivi de près différents groupes criminels utilisant Zeus, se dit inquiet : en général, le malware est utilisé pour voler les identifiants aux services bancaires en ligne et se sert ensuite de ces informations pour transférer de l'argent depuis les comptes Internet. Mais l'an dernier, il a constaté que certains hackers utilisant Zeus essayaient également de savoir pour quelles entreprises travaillaient leurs victimes.
Dans certains cas, le malware affiche un faux écran de connexion à une banque en ligne, demandant à la victime d'inscrire le numéro de téléphone et le nom de son employeur. Dans les forums, il a aussi repéré des pirates se demandant comment ils pourraient monnayer l'accès à des ordinateurs de certaines entreprises ou d'organismes gouvernementaux. « Ils veulent savoir où vous travaillez, » a-t-il expliqué. « Cela peut valoir la peine pour eux de visiter votre ordinateur plus en profondeur, car il peut constituer une passerelle vers le système informatique de l'entrepris ». C'est inquiétant, parce que Zeus a les capacités de devenir un outil très puissant pour voler des secrets d'entreprise. Il permettrait aux criminels de contrôler à distance les ordinateurs de leurs victimes, d'analyser des fichiers, de récupérer des mots de passe et d'enregistrer les frappes au clavier. Avec Zeus, les pirates peuvent même utiliser l'ordinateur de leur victime comme passerelle pour pénétrer les systèmes informatiques de l'entreprise.
Une extension de son périmètre d'application malveillant
Néanmoins, il existe d'autres raisons pour lesquelles les créateurs de Zeus veulent savoir où vous travaillez. « Ils pourraient tout simplement essayer d'estimer quelles sont les données les plus précieuses, » a déclaré Paul Ferguson, chercheur en sécurité chez Trend Micro. « Une entreprise de soudure pourrait rapporter plus d'argent que, par exemple, une troupe de majorettes, » a-t-il ajouté. Cependant, Paul Ferguson imagine surtout que les escrocs pourraient faire de l'argent en vendant l'accès à des ordinateurs appartenant aux employés de certaines entreprises. « Je n'ai pas vu cela personnellement, mais ces gars-là sont suffisamment tordus. » D'ailleurs, ces dernières années, ce genre d'espionnage industriel ciblé est devenu un problème sérieux, et de nombreuses entreprises, dont Google et Intel, ont été touchées par ce type d'attaques. La police a même arrêté plus de 100 membres présumés d'un gang Zeus la semaine dernière, mais cela ne met pas fin pour autant aux attaques. Zeus est largement vendu à des fins criminelles, et les experts en sécurité affirment qu'il existe des dizaines d'autres gangs Zeus. Le groupe qui, l'an dernier, a disséminé le ver Kneber, est soupçonné de disposer du plus grand équipement Zeus encore en activité.
Revoir son informatique nomade
Si les opérateurs de Zeus commencent à vendre leur logiciel illégal en le présentant comme un outil permettant d'entrer dans les backdoors des entreprises - et Gary Warner pense que c'est déjà le cas - alors les entreprises ont du souci à se faire. Le plus gros problème viendrait des ordinateurs personnels et des ordinateurs portables opérant en dehors du pare-feu de l'entreprise, et qui ont toujours accès aux données via Internet. « Ces systèmes pourraient brutalement s'avérer un risque pour les responsables informatiques, » a déclaré Gary Warner. A l'intérieur du pare-feu, un ordinateur qui se met soudain à envoyer des données vers la Russie pourrait être repéré tout de suite. Ce qui ne serait pas le cas sur un réseau domestique. « Si vous travaillez pour une entreprise qui vous permet l'accès à des données sensibles, celle-ci doit se soucier de savoir si votre équipement domestique n'est pas infecté par un malware,» a ajouté le chercheur. « La solution pourrait impliquer soit de ne pas laisser les gens utiliser leur ordinateur professionnel à domicile, soit de procurer aux salariés des ordinateurs réservés exclusivement à un usage professionnel, » a déclaré Gary Warner.
(...)| < Les 10 documents précédents | Les 10 documents suivants > |