Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 371 à 380.
| < Les 10 documents précédents | Les 10 documents suivants > |
(17/09/2010 12:47:37)
Réseaux sociaux : trop diaboliques pour les entreprises ?
« Les réseaux sociaux sont vraiment diaboliques ». Selon Alan Lustiger, directeur de la sécurité de l'information chez Gain Capital Holding, société de commerce en ligne, les réseaux sociaux constituent une ressource majeure pour les hackers essayant de s'approprier des données d'entreprises ou de s'attaquer à leurs réseaux internes. Il explique cela en sept points.
1. Rechercher sur ces sites les noms des entreprises renvoie à des organigrammes partiels, et il s'agit donc d'un bon début pour préparer une attaque via ces réseaux.
2. Utiliser les adresses email glanées sur ces sites peut fournir des informations cruciales. Si le système de nom de l'adresse (initiale du prénom suivie du nom, ou prénom, tiret, nom par exemple) est identique au système d'attribution de mots de passe, la sécurité est compromise. « Vous êtes alors à mi-chemin de pirater leur nom d'utilisateur et mot de passe », affirme-t-il.
3. Les informations publiées sur les réseaux sociaux donnent des indices pour déterminer les mots de passe : nom des enfants, équipes préférées, goût alimentaires...
4. Des faux concours prenant place sur ces sites et demandant toutes sortes d'informations peuvent contribuer à un changement du mot de passe par les pirates. Les noms de l'école, de l'animal de compagnie ou de l'oncle préféré donnent les réponses aux questions secrètes par lesquelles il est possible de modifier le mot de passe.
5. Les URL réduites utilisées sur Twitter peuvent mener n'importe où, et il n'y a aucun indice dans le nom de l'adresse qui aiderait à deviner cette redirection. Un site malveillant peut très bien se trouver à l'arrivée.
6. Exploiter les forums et sites de recherches d'emploi peut informer sur des embauches IT dans des entreprises spécifiques. Les attaquants pourraient alors obtenir un entretien au cours duquel ils rassembleraient des détails sur l'infrastructure réseau de cette société en discutant de leurs expériences et du travail éventuel.
7. L'utilisation du GPS par Google Latitude publie le lieu où l'on se trouve, mais révèle par là même les endroits où l'on n'est pas. Les individus cherchant une excuse pour pénétrer dans l'entreprise peuvent faire usage de cette information en se rendant sur place et demandant à voir quelqu'un alors qu'ils savent que la personne n'est pas là.
Dans cette dernière situation, ils peuvent demander au réceptionniste d'imprimer un document dont ils auraient besoin pour leur entrevue avec la personne absente. Formé à l'accueil et à rendre service, le réceptionniste pourrait insérer une clé USB dans leur ordinateur pour procéder à l'impression, et laisser malgré lui entrer un malware créant une porte dérobée, volant des données ou bien propageant un code destructeur et ce, sans laisser de traces, explique-t-il.
Des risques difficiles à estimer
D'autres astuces réalisables « en personne » via des connaissances acquises sur les réseaux sociaux peuvent être dangereuses. Offrir un emploi dans l'entreprise et donner l'accès au réseau interne aux attaquants est un risque réel. Le meilleur moyen de bloquer de tels risques de sécurité reste d'éduquer les employés aux réseaux sociaux et d'étendre cette formation à leur activité personnelle sur ces derniers, selon Alan Lustiger. « En quoi un site web a-t-il besoin de connaître votre date d'anniversaire ? », déclare-t-il, indiquant que cela peut être utilisé pour déterminer et changer le mot de passe dans le but de voler l'identité. Les équipes de sécurité internes devraient prendre à leur charge de vérifier, par échantillonage, que les informations postées par les employés sur les réseaux sociaux ne risquent pas d'être utilisées pour porter atteinte à l'entreprise. Mais même dans ce cas, elle peut toujours être vulnérable. « C'est virtuellement impossible de se prémunir face à un attaquant ayant passé suffisamment de temps à se préparer en scrutant les réseaux sociaux ».
Crédit Photo : D.R.
Des chercheurs s'opposent sur l'origine des récentes attaques contre Google
Les chercheurs de Symantec affirment avoir trouvé des preuves indiquant que les pirates qui ont pénétré les systèmes de Google en décembre 2009 ont repris leurs activités. Mais pour Don Jackson, chercheur chez SecureWorks, la preuve de l'éditeur de Mountain View fait l'amalgame entre deux attaques distinctes. Le litige concerne des actions récentes menées via des fichiers PDF joints à des messages concernant l'entraineur de golf bien connu David Leadbetter qui exploitent un bug non corrigé dans le Reader d'Adobe. Ces attaques ont été rendues publiques la semaine dernière par le chercheur en sécurité indépendant Mila Parkour qui en a avisé Adobe avant de publier ses conclusions préliminaires. Le jour suivant, l'éditeur sortait un avis de sécurité, annonçant dans la foulée qu'il corrigerait le problème au début du mois prochain. Les experts en sécurité ont qualifié ces attaques "d'effrayantes et de brillantes" dans la manière dont elles évitent les systèmes de défenses de Windows, normalement conçues pour isoler le code malveillant et pour limiter sa capacité à exécuter des logiciels malveillants.
C'est Symantec qui a tiré le premier. L'expert en sécurité dit avoir relevé des signes d'attaque par e-mails "au moins à partir du 1er septembre," ajoutant par l'intermédiaire de son chercheur Karthik Selvaraj que le libellé des récents mails était "très similaire" à la formulation utilisée dans les attaques - baptisées «Opération Aurora» par un chercheur de McAfee - menées contre Google et les autres en janvier 2010. Google, qui avait remonté les attaques d'Aurora jusqu'aux hackers chinois, avait menacé d'interrompre ses activités en Chine. À l'époque, le géant de Mountain View avait qualifié les attaques de «très sophistiquées et ciblées», et avait indiqué qu'au moins 20 autres grandes entreprises avaient subi le même type d'agressions. Depuis, Google a trouvé un compromis sur la question de la censure avec les autorités chinoise et continue de proposer son portail de recherche.
Des deux attaques issues du même groupe ?
«Nous avons examiné la façon dont ils ont propagé et renouvelé la récente série d'attaques," a déclaré Joe Chen, directeur de l'ingénierie au sein du groupe de sécurité et de riposte de Symantec dans une interview pour expliquer pourquoi il estime que ces deux attaques ont été initiées par le même groupe. Karthik Selvaraj trouve aussi d'autres similitudes. "Par exemple, l'utilisation d'un "zero day"dans un document PDF, ou encore la manière dont l'exécutable a été laché sur le système. Tous ces modes portent la signature de la méthode Hydraq", a t-il déclaré. Hydraq, c'est le nom attribué par Symantec au cheval de Troie introduit en janvier par les attaques d'Aurora sur les ordinateurs piratés. "Ils utilisent les mêmes techniques que Hyrdraq, ce qui nous conduit à croire que, ou bien deux groupes se partagent leur savoir faire, ou bien il s'agit d'un seul et même groupe," a ajouté Joe Chen.
Mais Don Jackson est plus prudent. "Pas si vite, Hydraq est une porte dérobée dans Trojan," a t-il déclaré en parlant du malware qui, une fois installé par le biais des attaques Aurora et par celles du mail Leadbetter, ouvre l'accès à l'ordinateur infecté, laisse l'attaquant télécharger dans les systèmes plus de code malveillant depuis des serveurs distants pour en prendre le contrôle. "De nombreux cybercriminels, et particulièrement les pirates chinois, utilisent Hydraq, ce qui en fait une pièce à conviction un peu pauvre," a-t-il poursuivi. "Affirmer que les deux attaques ont utilisé Hydraq, c'est comme dire que deux attaques tout à fait indépendantes ont été initiées par le même groupe parce que les deux ont utilisé Zeus," a t-il encore dit, se référant à la boîte à outil du pirate prête à l'emploi qu'il a découverte en 2007. "C'est le kit de logiciels malveillants par excellence pour les criminels spécialisés dans la fraude financière," avait-il commenté à l'époque. "En fait, les techniques utilisées par le groupe à l'origine des faux e-mails sur David Leadbetter remontent à Juillet 2009," avait il fait valoir plusieurs mois avant qu'une seule preuve sur Aurore ne fasse surface. "Les gars derrière les attaques Leadbetter ont utilisé ce modus operandi depuis plus d'un an," a encore déclaré Don Jackson.
Une preuve plus ancienne
Joe Chen de Symantec a également noté que les chercheurs de son entreprise avait trouvé la première preuve sur le groupe responsable des emails dès juillet de l'année dernière, faisant valoir qu'ils avaient identifié les signe précoces du piratage de Google par cette bande. « Nous pensons que la première preuve est arrivée beaucoup plus tôt que Aurora, l'année dernière, » a t-il déclaré. « Ils utilisent le même type de techniques d'ingénierie sociale. » Non, a encore rétorqué Jackson. « Là où il y a confusion, c'est que au moment de l'opération Aurora qui visait Google, des attaques simultanées étaient menées via les PDF par le groupe Leadbetter, » a insisté Don Jackson. C'est, selon lui, ce qui a induit Symantec en erreur. « ls ont mélangé deux attaques qui ont eu lieu à la même époque et ont été initiées depuis la même région géographique, » a t-il encore déclaré.
Au contraire, Karthik Selvaraj de Symantec trouve que le lieu géographique apporte une preuve supplémentaire permettant d'associer Aurora et les attaques Leadbetter. « Nous avons détecté qu'un grand nombre de versions uniques de PDF - encore diffusées nulle part ailleurs - provenait d'un seul ordinateur situé dans la province chinoise de Shandong, la même où les enquêteurs ont pu remonter jusqu'à la trace des attaques Hydraq, » a expliqué Karthik Selvaraj. La province de Shandong tient une place importante dans l'histoire qui oppose les chercheurs. En février, le New York Times avait rapporté que les experts, y compris les enquêteurs de l'Agence de sécurité nationale (NSA), avait remonté l'opération Aurora jusqu'à deux écoles de la province du Shandong, des indices faisant pointer vers l'école professionnelle de Lanxiang, qui a des liens avec les militaires chinois. Le second établissement identifié n'est autre que la Shanghai Jiaotong University, également associée à un pirate chinois influent, qui, selon certains, aurait lancé une série d'attaques DDoS (déni de service distribué) contre le site whitehouse.gov en 2001. "Mais le fait d'avoir remonté les attaques jusqu'à Shandong n'est pas une preuve," a estimé Don Jackson. "C'est une grande province, et elle a déjà servi de base pour des attaques du groupe Leadbetter," a t-il déclaré. "Les réseaux qui ont lancé l'Opération Aurora ne sont pas liés à ces nouvelles attaques, je suis certain de cela,' a t-il encore affirmé.
Pas de correctifs disponibles avant octobre
La possible méprise de Symantec résulte peut être du fait que le peloton Leadbetter a utilisé les attaques Aurora comme appât pour mener ensuite une campagne PDF. C'est elle qui a déclenché l'alerte informant de l'attaque contre Google. Surtout, et c'est la pièce maîtresse de Don Jackson, le groupe Leadbetter a toujours utilisé des fichiers PDF malveillants pour mener ses attaques, ce qui n'a pas été le cas d'Aurora. "Aucune des entreprises attaquées en même temps que Google n'a trouvé trace d'un fichier PDF dans le piratage," a déclaré Don Jackson. Après l'attaque contre Google, les chercheurs ont en effet supposé que l'une ou plusieurs vulnérabilités non corrigées dans Adobe Reader avait été exploitées par le biais de fichiers PDF. Mais il est vite apparu que les assaillants avaient exploité un "zero-day" dans Microsoft Internet Explorer, pas dans Reader. McAfee, mandaté par plusieurs entreprises victimes pour décortiquer l'attaque, a dit que dans tous les cas, le bug responsable se trouvait dans IE. Bientôt, le fait de connaitre le nom du gang de pirates qui a mené ces attaques, sera sans objet puisqu'Adobe a dit qu'il patcherait le Reader et Acrobat la semaine du 4 octobre. D'ici à ce que ces correctifs soient disponibles, Microsoft et Adobe ont demandé aux utilisateurs d'installer et de configurer l'ancien Enhanced Experience Migration Toolkit (EMET) pour bloquer les attaques.
Illustration : Intrusion du malware Hydraq dans un PC, source Symantec
51 milliards de dollars perdus à cause du piratage de logiciels
Plus de quatre logiciels sur dix utilisés dans le monde n'ont pas de licence ou ont été piratés si l'on en croit une étude d'IDC, qui considère que 51 milliards de dollars ont été perdus en 2009 de cette façon. Effectuée pour le compte de la Business Software Alliance (BSA), groupe de pression de l'industrie du logiciel, cette étude affiche des taux de piratage impressionnants. En tête, on retrouve le Vietnam et l'Ukraine avec 85% de programmes non licenciés, suivis de près par la Chine à 79% et la Russie à 67%. A l'opposé, dans les très règlementés États-Unis, ils ne sont que 20%, tandis qu'en Suisse et en Belgique le taux reste à 25%, et que le Royaume-Uni ne dépasse pas les 27%.
Les bénéfices à s'attaquer à cette pratique seraient importants d'après IDC. Même en récupérant à peine 10% du marché sur le piratage mondial, cela donnerait un coup de fouet de 142 milliards de dollars à l'économie globale d'ici 2013, rapporterait 32 milliards en taxes et créerait environ 500 000 emplois dans le secteur du high-tech. « Réduire le piratage des logiciels représenterait une opportunité de stimuler une économie qui en a bien besoin », indique Michala Wardell, représentante britannique du BSA. « Cette étude montre que l'économie tout entière peut profiter d'une baisse rapide et agressive de ces pratiques ».
Frapper fort pour récupérer le marché
La méthodologie utilisée pour calculer les potentielles économies se base sur l'expérience de la Russie et de la Chine qui, en voyant leur taux de piratage baisser, ont connu une élévation de leur croissance et du marché de l'emploi. Du point du vue de la BSA, ces estimations abondent dans le sens d'une généralisation des préconisations du Traité sur le droit d'auteur émis par l'Organisation mondiale de la propriété intellectuelle, et dans le sens d'une meilleur capacité d'action au niveau du respect la propriété intellectuelle à travers les frontières pour s'attaquer aux pirates.
« Une réduction de 10 points reste réaliste grâce aux avancées du Software Asset Management (SAM), qui rend les licences et les mises aux normes plus simples que jamais pour les entreprises, mais maintenant, c'est le travail des organisations de communiquer autour de ce but à atteindre », explique Matt Fisher, de l'entreprise FrontRange, spécialisée en SAM. La BSA a récemment lancé une campagne publicitaire pour faire rentrer le thème du piratage dans la conscience publique. Le groupe de pression a d'ailleurs révélé avoir versé une prime de 10 000 £ à un technicien IT qui avait dénoncé un ancien employeur utilisant des logiciels piratés.
Crédit Photo : IDC et SBA
Microsoft : Le Tuesday Patch du 14 septembre sera conséquent
C'est plus de deux fois le nombre de correctifs accompagnant la plus grosse mise à jour livrée en 2010 hors calendrier par l'éditeur. Quatre des mises à jour annoncées sont qualifiées de «critiques», c'est à dire à l'échelon le plus élevé des menaces dans le système d'évaluation à quatre niveaux de Microsoft, et les cinq autres sont notées comme "importantes", soit au deuxième rang. L'énumération des mises à jour que fait l'éditeur dans la communication mensuelle qu'il adresse à ses clients est, selon Wolfgang Kandek, chef de la sécurité informatique chez Qualys, «très importante», du fait que le mois de septembre devrait être traditionnellement un mois "off" pour les correctifs.
Une succession de mises à jour critiques
Microsoft a livré alternativement de grosses et de petites séries de patchs, réservant les mois pairs aux mises à jour les plus importantes. En août, par exemple, l'éditeur avait livré le nombre record de 14 mises à jour pour patcher 34 vulnérabilités ! La série du mois de juillet se limitait cependant à quatre bulletins de sécurité corrigeant cinq failles. Compte tenu de ces va-et-vient, on aurait pu s'attendre à ce que Microsoft émette cette fois un petit nombre de mises à jour de sécurité. « Je suis un peu surpris par la quantité, » a déclaré Wolfgang Kandek. « Peut-être que certaines d'entre elles sont destinées à résoudre la question de la .dll. » Celui-ci fait référence à une vulnérabilité qui touche un grand nombre d'applications Windows - certains chercheurs en sécurité en ont comptabilisé plus de 200 - révélée publiquement il y a trois semaines par HD Moore, chef de la sécurité chez Rapid7 et créateur de la boîte à outils Open Source Metasploit. À l'époque, HD Moore avait annoncé que plusieurs dizaines de programmes Windows étaient infectés parce qu'ils pouvaient facilement charger de mauvaises bibliothèques de code, autrement nommées "bibliothèques de liens dynamiques", ou "DLL, » offrant aux pirates la possibilité de détourner un PC.
Un outil pour bloquer les tentatives de substitution de DLL
Une semaine plus tard, l'éditeur faisait savoir qu'il ne serait pas en mesure de fournir un correctif pour Windows destiné à contrecarrer ces attaques, renvoyant le problème vers les développeurs d'applications, et leur demandant de corriger cette faille dans leurs propres produits. Microsoft a néanmoins livré un outil pour bloquer les attaques possibles, mais difficile à utiliser. « Certains des correctifs annoncés pourraient être destinés à résoudre la question des DLL, » a avancé Wolfgang Kandek, faisant référence aux deux mises à jour prévues pour corriger des vulnérabilités dans la suite Office. Les chercheurs ont estimé que plusieurs des applications Office, notamment PowerPoint 2007 et 2010 et Word 2007, étaient vulnérables au bogue, connu sous la dénomination de « détournement de DLL. » Le « Bulletin n°3 ,» inclus dans le préavis publié par Microsoft, pourrait être destiné à résoudre un problème de DLL dans Word.
[[page]]
Huit des neuf mises à jour affectent une ou plusieurs versions de Windows. L'une d'elles corrige l'IIS (Internet Information Services) dans le logiciel de serveur web de l'éditeur, et deux d'entre elles concernent Office. (Microsoft a listé l'un des bulletins dans deux catégories.) "À mon avis, il y a peu de chance qu'ils touchent au problème de DLL dans Windows, » a estimé Wolfgang Kandek. « J'aurais bien aimé, mais je pense que c'est une décision difficile, parce qu'une telle modification a potentiellement la capacité de bloquer les applications. » Certains experts en sécurité ont émis l'hypothèse que Microsoft pourrait proposer aux utilisateurs de Windows une façon de se protéger, en déclenchant par exemple un avertissement lorsqu'une DLL ou un fichier exécutable est chargé à partir d'un site web ou un SMB (Server Message Block). Ils estiment en effet que la plupart des utilisateurs ne mettront pas en place l'outil de blocage. « J'imagine mal les utilisateurs mettre en place cet outil, » a déclaré le responsable de Qualys. Mais Microsoft pourrait proposer une autre solution pour sa mise en oeuvre. La semaine dernière, Jerry Bryant du Microsoft Security Response Center a déclaré que l'éditeur distribuerait l'outil de blocage via son service Windows Server Update Services (WSUS), le mécanisme le plus utilisé en entreprise pour traiter les questions de mises à jour. Il a également ajouté que l'éditeur envisageait de livrer son outil à tous les utilisateurs via Windows Update.
Les anciens Windows sont devenus très peu sûrs
« Ce cocktail de mises à jour est en grande partie destiné aux anciennes versions de Windows, » fait remarquer Don Leatham, directeur senior des solutions et de la stratégie chez Lumension. Celui-ci fait remarquer que Windows XP Service Pack 3 (SP3), la seule version du système d'exploitation sorti il y a 9 ans, dont Microsoft assure toujours le support technique, recevra huit mises à jour, dont trois critiques. Comparativement, Windows Vista, est concerné par cinq mises à jour seulement, dont deux « critiques, » tandis que Windows 7 bénéficiera de trois mises à jour, dont aucune critique. «Ces chiffres montrent que les entreprises fonctionnant avec des machines tournant sous Windows 7 bénéficient d'un environnement beaucoup plus sûr. Pour elles, ce Tuesday Patch sera pratiquement un non-événement, » a anticipé Don Leatham. «Les entreprises qui sont restées arc-boutées sur Windows XP devraient reconsidérer leur choix d'une manière critique et estimer les coûts et les facteurs de risque associés à cette plate-forme. »
Pas d'infos sur ces patchs
Microsoft, qui informe généralement dans ses avis de sécurité des bugs qu'il projette de résoudre, ne dit rien sur le détournement de DLL ou sur le patch d'autres bogues pas encore résolus. « Nous ne pouvons pas faire état de détails sur les mises à jour qui seront livrées, » a répondu Jerry Bryant. "La question de la charge de DLL fait partie d'une enquête en cours. Nous prévoyons de diffuser des bulletins de sécurité adaptés pour les produits affectés et/ou des mises à jour pour parer à ce problème." La semaine dernière, Microsoft a indiqué qu'elle se penchait actuellement sur des rapports récents faisant état d'une vulnérabilité connue de longue date et affectant Internet Explorer (IE). Un correctif est peu probable, dans la mesure où Microsoft communique toujours à l'avance sur les mises à jour de sécurité d'IE. Les neuf mises à jour du prochain Tuesday Path seront disponibles le 14 septembre à partir de 1 h du matin, Eastern Time (soit 7 heures, heure française).
(...)(07/09/2010 16:09:22)Les logiciels malveillants se multiplient toujours plus sur Internet
Au premier semestre 2010, G Data a identifié 1,017 million de nouveaux logiciels malveillants, soit une augmentation de 51% par rapport au premier semestre 2009. Sur l'ensemble de l'année, ce chiffre devrait dépasser les 2 millions. "Tendance" de l'année, les spywares (ou logiciels espions), qui permettent aux pirates de collecter et s'emparer de données personnelles des internautes ciblés. Il s'agit, selon G Data, l'une des principales activités des cybercriminels cette année. Type de spywares les plus fréquents, les enregistreurs de frappes, et les chevaux de Troie bancaires.
"Les cybercriminels souhaitent un retour sur investissement rapide et pour cela toutes les solutions sont envisagées. Les ransonwares (logiciels de chantage qui cryptent les données d'un utilisateur et l'invite à payer pour le décryptage) et les faux logiciels antivirus payants, qui sont des solutions rapides pour gagner de l'argent, ont ainsi été multipliés par 10 par rapport à l'année 2009", indique le rapport de G Data.
(...)(07/09/2010 14:39:04)FPTI : Une fédération dédiée au monde de l'intrusion informatique
Pour Laurent Dupuy, Président de la FPTI « cette fédération est née du constat que les règles des tests d'intrusion informatiques sont créées par les entreprises. Nous souhaitions réunir des personnes spécialistes en sécurité informatique pour définir des règles permettant de certifier ces entreprises au travers d'une charte ». Cette association a donc vu le jour au début de l'année 2010 et compte actuellement une trentaine de personnes, Laurent Dupuy espère attirer une centaine de membres d'ici la fin de l'année. Les affiliés viennent de différents horizons soulignent le président de la fédération : « Nous avons aussi bien des experts au sein des cabinets de consultant, que des spécialistes de l'audit sécurité travaillant au sein des grands groupes »
Des groupes de travail sur des sujets porteurs
En cette rentrée de septembre, la FPTI a créé des groupes de travail sur 3 thèmes. Le premier concerne son coeur de métier, c'est-à-dire les tests d'intrusion informatique. Le second porte sur la virtualisation, avec comme but de « définir des scénarios de durcissement des plates-formes de virtualisation tout en garantissant la possibilité de construire des plates-formes virtuelles complètes allant des dispositifs de filtrage aux moyens de supervision de la sécurité informatique ». Le dernier thème est comme le souligne Laurent Dupuy, plus « citoyen » et s'articule autour de l'ultra-mobilité et plus particulièrement sur les risques d'intrusion dans les smartphones, Blackberry, iPhone et autres.
Les membres de la FPTI disposent d'un accès privilégié à une plate-forme contributive et collaboratif sur le sujet de la sécurité informatique, Securitygarden.com. Ils pourront trouver des bibliothèques, des outils, des logiciels pour élaborer, échanger et travailler sur la future certification. Interrogée sur la perception des entreprises spécialistes en la matière, Laurent Dupuy indique « certaines nous suivent avec attention, mais il faudra attendre la fin 2011 pour qu'elles se positionnent par rapport à nos propositions et notre travail ».
Emet, l'outil de sécurité gratuit de Microsoft, arrive en version 2.0
« Emet (Enhanced Experience Attenuation Toolkit) 2.0 est un outil gratuit conçu pour prévenir contre des techniques de piratage actuellement en cours à travers l'Internet, » a indiqué Microsoft. « Il permet notamment de bloquer les attaques ciblées visant à exploiter des vulnérabilités non corrigées dans des logiciels Microsoft, des applications tierces, ou des lignes de produits professionnels, » a précisé l'éditeur. « Il peut être utilisé par n'importe qui, mais il est principalement destiné à protéger les applications installées sur des machines à risque. » Cela concerne par exemple les applications industrielles résidant sur des serveurs back-end et les navigateurs Internet tournant sur les ordinateurs des dirigeants d'entreprises. « Ce sont des scénarios où le piratage de ces applications pourrait être particulièrement dommageable," ont déclaré dans un blog Andrew Roth et Fermin J. Serna, deux chercheurs en ingénierie du Microsoft Security Research Center (MSRC).
Renforcer la sécurité de toutes les applis
Parmi les modifications apportées à la version 2.0, on note une interface utilisateur qui permet de suivre les processus en cours et de voir si l'outil Emet a bien été activé. En outre, le logiciel sait désormais ajouter des parades de protection à des applications qui ne les supportent pas en natif.
Du point de vue de la sécurité, cette version embarque, selon le blog des équipes de Microsoft, de nombreuses améliorations comme : La randomisation de l'espace d'adressage (ASLR), une technique d'adressage aléatoire des objets partagés. Cette technique pourrait compliquer les attaques qui exploitent les adressages mémoires écrits en dur; «Export Address Table Access Filtering », une atténuation qui empêche les shellcode d'allouer les API Windows; « Structured Error Handling Overwrite Protection » par la validation de la chaine des gestionnaires d'exception; « Dynamic Data Execution Prevention », qui marque des parties de la mémoire allouée par un processus donné comme non exécutable, ce qui complique l'exploit des vulnérabilités de corruptions de la mémoire; « NULL page allocation », qui empêche l'exploit des références NULL en mode utilisateur; « Heap Spray Allocation », Emet réserve les adresses mémoires généralement utilisées pour ce type d'exploit, qui consiste à injecter aléatoirement du shellcode dans la mémoire dans l'espoir de l'exécuter accidentellement.
Emet 2.0 permet aux utilisateurs de sécuriser les applications en 32 ou 64 bits, soit en ligne de commande soit avec l'interface utilisateurs. Les mesures d'atténuation peuvent être déterminées par application et par processus. Emet pourra être mis à jour au fur et à mesure de la disponibilité de nouvelles technologies de protection.
(...)(03/09/2010 15:25:04)
Defcon 2010 : Les femmes résisteraient mieux aux pirates en ingénierie sociale
Parmi les 135 personnes ciblées à partir du classement du magazine Fortune 500 pour mesurer leur capacité à résister aux pirates en ingénierie sociale, seules cinq ont refusé de livrer une quelconque information sur leur entreprise. Et devinez quoi? Toutes sont des femmes. C'est l'une des données que les organisateurs du concours qui s'est tenu pendant la conférence Defcon sur le piratage informatique le mois dernier, et largement médiatisé depuis ont recueilli. Cette semaine, ils se sont même déplacés à Washington pour un debriefing au siège du FBI pour y exposer ce qu'ils ont appris. Et ils devraient publier le détail de leur rapport la semaine prochaine.
Au cours de l'événement qui s'étalait sur deux jours, les participants, isolés dans une cabine en plexiglas plantée au milieu du public, se sont focalisés sur 17 grandes entreprises, dont Google, Wal-Mart, Symantec, Cisco Systems, Microsoft, Pepsi, Ford et Coca-Cola. Leur mission : appeler les employés pour essayer de leur soutirer des informations. "Ils ont obtenu de très bons résultats," a déclaré Chris Hadnagy, l'un des organisateurs. Une seule entreprise n'a pas divulgué les informations que les participants tentaient d'obtenir, et pour cause : ils n'ont jamais pu avoir directement accès à un interlocuteur physique au téléphone. "Si nous avions été mandatés par ces entreprises pour mener un audit de sécurité en matière d'ingénierie sociale, presque toutes auraient obtenu de mauvais scores," a ajouté Chris Hadnagy. Les participants n'étaient pas autorisés à demander des informations vraiment sensibles comme des mots de passe ou des numéros de sécurité sociale. Mais ils ont essayé de trouver des informations susceptibles d'être détournées par la suite par des attaquants potentiels, comme quel système d'exploitation, quel type de logiciels antivirus ou de navigateur Internet utilisaient leurs victimes. Ils ont également essayé de pousser leurs interlocuteurs à se connecter à des pages web non autorisées. Parmi les découvertes intéressantes, ils ont pu établir que la moitié des entreprises contactées utilisaient encore Internet Explorer 6, un navigateur pourtant réputé pour présenter de graves failles de sécurité. Autre découverte: les candidats ont toujours réussi à amener les employés à visiter un site web externe ouvert pour les besoins du concours. Les résultats montrent que la sécurité des entreprises, même les plus sûres, peut être sapée par des salariés qui font ce qu'ils ne devraient pas faire ou disent ce qu'ils ne devraient pas dire.
Apprendre à résister aux appels inquisiteurs
Et les menaces sont réelles, selon Christopher Burgess, expert en sécurité chez Cisco, l'une des sociétés visées par les candidats. "Dans la vie réelle, de nombreuses entreprises reçoivent en permanence de faux appels où s'exerce un art raffiné de la collecte d'informations," a-t-il déclaré. "Comme ces individus qui appellent Cisco, affirmant que leurs systèmes sont en panne et qu'ils se trouvent dans une situation d'urgence, pour amener les employés à donner des informations qu'ils ne devraient pas donner," raconte t-il. "Notre personnel est formé pour apprendre que l'ingénierie sociale est un moyen que certains utilisent pour manipuler les autres et les amener à effectuer des actions ou à divulguer des informations sensibles." Cisco a rendu publiques un bon nombre de ces formations, de façon à permettre à d'autres entreprises à tirer les leçons de cette expérience acquise depuis plusieurs années. Pour Christopher Burgess, les résultats du concours montrent d'abord que le processus de formation ne doit jamais s'arrêter. "On ne peut pas tout expliquer une fois pour toute et disparaître," a-t-il estimé. "Il faut faire en sorte que cette formation reste toujours active et présente." Beaucoup de candidats ont obtenu leurs informations en prétendant être des experts spécialisés dans les audits ou des consultants qui réalisaient des enquêtes. Selon lui, les employés doivent savoir démasquer ces tentatives. "Si j'ai appris une chose de ce test, c'est que la meilleure défense est de former tous les membres de son personnel à identifier la personne avec laquelle ils parlent, s'ils ne reconnaissent pas sa voix, avant d'échanger une quelconque information concernant l'entreprise." Celui-ci n'a pas voulu expliquer pourquoi toutes les personnes qui ont su faire opposition aux candidats étaient des femmes.
Les femmes sont plus prudentes
Pour Chris Hadnagy cependant, différentes attaques marchent contre des personnes différentes. Et peut-être que les techniques d'ingénierie sociale utilisées par les concurrents du concours Defcon n'étaient pas forcément bien choisies. "Les cinq femmes se sont comportées de manière admirable," a-t-il déclaré. "Après les 15 premières secondes, elles disaient : cela ne me semble pas correct, et mettaient un terme à l'appel, " a-t-il expliqué. Ce qui n'a pas été le cas de leurs collègues. "Sans doute, elles ont été sensibilisées à la question de la sécurité pendant leur formation," a-t-il dit. "Cela peut aussi tenir au fait que tous les participants étaient des hommes, et je pense que, fondamentalement, les femmes sont plus prudentes," a-t-il ajouté. "Moins de la moitié des 135 personnes appelées pour les besoins du concours étaient des femmes," a encore précisé l'organisateur.
Jonathan Ham, consultant en sécurité au sein du Groupe Lake Missoula qui effectue des tests en ingénierie sociale pour des sociétés de services financiers, constate que "trois des cinq femmes qui ont mis rapidement fin à leur conversation avec les concurrents étaient des cadres," ajoutant que "les cadres de sexe féminin, plus méfiantes, sont souvent les moins susceptibles de se laisser prendre à des attaques d'ingénierie sociale." Lors d'une prochaine étape de l'expérience et de la formation, "j'essaierai d'éviter les femmes et de parler au téléphone avec des hommes, si je peux," a-t-il suggéré.
Crédit photo ; Defcon
(...)| < Les 10 documents précédents | Les 10 documents suivants > |