Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 841 à 850.
| < Les 10 documents précédents | Les 10 documents suivants > |
(29/07/2010 11:09:31)
Fraude massive aux chèques via un botnet russe
La fraude aux chèques est un crime un peu dépassé à l'heure du numérique. Une organisation criminelle russe utilise pourtant des techniques de cybercrime pour réaliser des opérations de falsifications de chèques automatisées s'élevant à plusieurs millions de dollars de préjudice. Elle passe notamment par l'utilisation de botnets, de bases de données financières et d'archives de chèques numérisés. L'organisation, surnommée BigBoss suite à la découverte du nom sur un serveur utilisé durant la fraude massive, a été mise au jour par des chercheurs de SecureWorks. Joe Stewart, directeur d'analyse des malwares pour l'entreprise, précise qu'il s'est aperçu de l'existence de BigBoss durant l'analyse de code botnet sur Internet.
Une large récolte d'informations bancaires
Les botnets sont des systèmes de commande très élaborés, utilisés par les criminels pour contrôler les PC infectés. Ceux sur lesquels SecureWorks effectuait ses recherches, les « ZeuS », sont principalement utilisés pour des délits bancaires, comme le vol d'informations bancaires et le transfert de fonds. Mais Joe Stewart admet que c'est la première fois qu'il relie un de ces codes à une combine de fraude sur chèques. « Je suis tombé sur un échantillon de ZeuS utilisant un tunnel VPN, ce qui était pour le moins inhabituel. Ils étaient en train d'accéder à des archives de copies numériques de chèques, et en téléchargeaient massivement. Ils s'étaient au préalable introduits dans des services d'encaissement ou même des bases de données d'entreprises ». C'est en utilisant la faiblesse de certaines authentifications et l'introduction de vulnérabilités dans les bases SQL des entrepôts de stockage de chèques que BigBoss serait parvenu à les infiltrer. Ironiquement, certaines des images de chèques proviendraient d'un réseau anti-fraude dédié aux commerçants acceptant ce système de paiement. L'organisation criminelle cherchait non seulement ces numérisations, mais aussi le numéro de routage ABA, celui du compte, le nom de l'entreprise et son adresse, et une image de la signature autorisée, le tout pour des milliers de sociétés.
Au final, l'arnaque a exploité frauduleusement 3285 chèques durant les douze derniers mois, totalisant près de 9 millions de dollars afin de piéger les banques pour qu'elles reversent les sommes à travers des comptes d'entreprises légales. Ils étaient dupliqués sur papier avec une précision confondante par le réseau criminel qui entretient apparemment des liens étroits avec la ville de St Petersbourg dans laquelle le groupe voulait transférer l'argent.
Des mules américaines
Les sommes étaient payées à des individus recrutés aux Etats-Unis par l'organisation et qui devaient reverser l'argent sur des comptes créés par BigBoss. Certaines de ces personnes pensaient même qu'il s'agissait d'un réel emploi pour une compagnie finlandaise. Quelques unes des façades étaient épelées avec des fautes d'orthographes suspicieuses, comme Succes Payment ou Global Busines Payment. Les recrutés agissaient donc comme des « mules », acceptant la tâche de déposer les chèques reçus dans leurs propres comptes et de transférer la somme en Russie après coup.
Selon les estimations de SecureWorks, ces mules gagnaient une commission de 15% si elles parvenaient à encaisser les chèques en une journée, ou 8% si elles mettaient plus de temps. BigBoss disposait d'une réserve de 2884 noms de candidats à ce poste ou ayant été contactés par l'organisation suite au dépôt d'une annonce d'emploi sur Internet. Par ailleurs l'organisation aurait aussi piraté des bases de données dédiées à la recherche d'emploi pour dénicher ses recrues.
Il n'est pas encore établi si ces mules avaient connaissance de l'illégalité de leurs activités, mais Joe Stewart en a contacté une douzaine, et a même été frapper à la porte de deux de ces individus pour entendre directement leur version des faits. « Ils ont su directement de quoi je leur parlais. Ils ont souvent admis ne pas avoir compris dans un premier temps ce qui leur arrivait après avoir été contactés par BigBoss, mais au bout d'un certain moment, ils avaient fini par réaliser de quoi il s'agissait ». Une de ces mules a même expliqué que lorsqu'elle ne donnait pas, au bout de deux jours, les informations concernant le transfert de fond, le groupe n'abandonnait pas pour autant. Il lui téléphonait et réclamait l'argent, avec notamment une femme parlant anglais avec un accent russe.
Rester sous le radar des banques
La limite des chèques était de moins de 3000 $ (plutôt entre 2700 et 2900 en général), pour ne pas éveiller les soupçons des banques américaines qui ont certaines obligations lorsque le montant dépasse ce palier. Pourtant, certaines d'entre elles ont malgré tout remis en question la validité de ces chèques, ajoute Joe Stewart, notant qu'il est encore difficile de dire à quel point BigBoss a réussi son coup. SecureWorks a évidemment partagé sa trouvaille avec la justice américaine, et recommande aux entreprises d'utiliser un service appelé « Positive Pay » pour éviter de telles escroqueries.
Même si la plupart des opérations de BigBoss se déroulaient à partir de la Russie et via Internet, il pourrait y avoir eu complicité sur le territoire américain étant donné que la livraison des chèques se déroulait de nuit à partir d'endroits situés aux Etats-Unis. D'après Joe Stewart, l'utilisation d'un trafic crypté par VPN était un moyen d'empêcher la détection des transferts frauduleux par des dispositifs IPS/IDS. « Le principal usage du tunnel VPN était d'autoriser le pirate à rediriger le trafic vers les bots, outrepassant les firewalls et la translation d'adresse qui bloqueraient en principe les connexions provenant d'Internet ». En trois mois, SecureWorks a été en mesure de comprendre les objectifs réels de ce botnet en l'analysant au même titre que tout autre PC infecté.
Crédit Photo : D.R.
Le côté obscur de Twitter au service de l'ingénierie sociale
Au cours d'une conférence intitulée "La boîte à outils de l'ingénieur en réseau social : revenir à des solutions plus simples," Dave Kennedy, responsable de la sécurité dans une grande entreprise américaine, dévoilera la version complète de son SET (Social Ingenieer Toolkit) v0.6 - nom de code "Arnold Palmer," et ses méthodes visant à aider les experts en sécurité à identifier et à corriger les faiblesses dans leur propre environnement professionnel. Ce kit Open Source vient s'intégrer au Framework Metasploit. Selon Dave Kennedy, « il devient de plus en plus difficile de s'introduire dans une entreprise depuis le périmètre extérieur, celles-ci sont plus expérimentées pour gérer la sécurité des applications. Le travail doit désormais se faire au niveau du maillon le plus faible, l'élément humain.»
Aujourd'hui, les dirigeants d'entreprises sont devenus les cibles privilégiées de l'ingénierie sociale et de faux réseaux sociaux professionnels. La conférence de Dave Kennedy apportera des exemples d'attaques possibles en matière d'ingénierie sociale, et notamment celle appelée TabNabbing. L'utilisateur se rend sur un site web sur lequel s'affiche un message du type "merci de bien vouloir patienter." La victime passe à un autre onglet, qui la dirige vers un site cloné : croyant avoir été déconnectée ou pensant s'être trompée d'onglet, elle entre à nouveau ses informations de connexion. Derrière, les pirates ont tout prévu pour récupérer les logs in. Dans une autre technique d'ingénierie sociale liée à celle-ci, l'utilisateur du kit peut cloner automatiquement un site Web et réécrire les paramètres de post afin d'intercepter et de collecter les informations entrées au clavier. Ici, la victime est redirigée vers le site original pour mieux masquer la manipulation. Dave Kennedy a également prévu de faire la démonstration du vecteur d'attaque "Thomas Werth." Présenté lors du ShmooCon 2010, une réunion de hackers, ce vecteur permet de créer une applet Java pernicieuse qui, lorsque l'utilisateur clique sur "Lancer", exécute la mini application sur la machine de la victime.
Allant de pair avec l'ingénierie sociale, les réseaux sociaux - ces nouveaux meilleurs amis des pirates - seront aussi abordés. Ainsi, Paul Judge, directeur de recherche au Barracuda Labs et Dave Maynor, également chercheur au Barracuda Labs et par ailleurs CTO et co fondateur d'Errata Security, traiteront du « côté obscur de Twitter." Comme l'ont indiqué les deux intervenants, pendant plus de deux ans, Barracuda Labs, chargé de collecter les données de Twitter, a analysé plus de 20 millions de comptes utilisateurs afin d'évaluer le "taux de criminalité" du réseau social "depuis sa création en 2006 jusqu'à aujourd'hui." Ceux-ci veulent montrer la célérité avec laquelle les pirates ont répondu à la forte augmentation des utilisateurs, qui ont vu dans Twitter un moyen de gagner en célébrité. Les deux chercheurs traiteront au passage "de la pollution des raccourcisseurs d'URL et de la prolifération des profils imposteur.»
(...)(27/07/2010 17:28:44)Sophos et G Data sortent des palliatifs à la faille Windows utilisée par Stuxnet
Les firmes de sécurité Sophos et G Data lancent chacune un outil capable de bloquer toute attaque exploitant la vulnérabilité critique dans les fichiers raccourcis de Windows. « Sophos Windows Shortcut Exploit Protection Tool » et « G Data LNK Checker » protègent les utilisateurs jusqu'à ce que Microsoft se décide à sortir un patch permanent et officiel pour corriger le problème. Chet Wisniewski, conseiller en sécurité chez Sophos indique que « l'outil remplace le gestionnaire de raccourcis sous Windows, de sorte que si un élément fait appel à ce dernier, nous l'interceptons ». Le palliatif de G Data, pour sa part, contrôle la création de raccourcis et bloque l'exécution de codes lorsqu'ils sont affichés.
Comme à son habitude, lorsqu'un bug peut être corrigé par une application extérieure, « Microsoft ne soutient pas les outils de ce genre » précise Jerry Bryant, directeur de groupe pour le Microsoft Security Response Center (MSRC). « Nous recommandons à nos clients d'appliquer la solution temporaire explicitée dans le Security Advisory 2286198, qui protège des différentes attaques connues ». La vulnérabilité se trouve dans la façon dont Windows décode les raccourcis. Or, ceux-ci, avec le menu démarrer et la barre des tâche, sont des éléments clés du bureau de l'OS.
La faille qui rend les systèmes Scada vulnérables
Le bug avait été décrit il y a plus d'un mois par l'éditeur d'antivirus biélorusse VirusBlokAda. Après avoir attiré l'attention générale, cette faille avait été confirmée par Microsoft, qui avait admis que des pirates l'exploitaient déjà. Toutes les versions de Windows intègrent cette vulnérabilité. Le code malveillant a d'ailleurs été largement distribué à travers Internet, et de nombreuses attaques via cette faille ont été relevées depuis. Les premières utilisant ce problème de raccourcis ont d'abord ciblé les entreprises. Siemens a alerté, il y a deux semaines, les clients de son logiciel de gestion Simatic WinCC que des attaques de ce type ciblaient les ordinateurs utilisant le système Scada. Des hackers ont réussi à s'introduire dans au moins une entreprise allemande par ce biais s'appuyant sur le désormais bien connu vers Stuxnet. Symantec a quant à lui remarqué que 60% des systèmes infectés par ce virus se trouvaient en Iran, et a donc conjecturé que le pays était sa cible originelle.
Microsoft a conseillé de désactiver l'affichage des raccourcis, chose que beaucoup d'utilisateurs pourraient ne pas faire étant donné que cela rend Windows quasiment inutilisable. L'outil Sophos ne touche quant à lui pas aux icônes de ces derniers. « C'est une situation unique puisque nous pouvons nous dresser en travers des attaques. Nous ne disons pas aux utilisateurs de ne pas appliquer le patch Microsoft lorsque celui-ci sera prêt, mais pour l'heure, cet outil ne modifie ni Windows ni quelconque fichier. Ce n'est pas un correctif, juste un palliatif » ajoute Chet Wisniewski. En remplaçant le gestionnaire de raccourcis, il intercepte donc les fichiers concernés (.lnk), et crée une alerte lorsqu'il relève un élément suspicieux. « Il analyse chacun d 'entre eux pour vérifier s'il inclut ou non un code contenant l'appel vulnérable [LoadLibrary ()]. Ensuite, il regarde si l'objet appelé est un exécutable ou un .dll, et si tel est le cas, l'avertissement apparaît ». Le programme de G Data affiche, dans des circonstances analogues, un signal d'alerte rouge.
Un patch qui se fait désirer
La firme de Redmond n'a toujours pas donné de date quant à la livraison du patch. Pour autant, les prochaines mises à jour de sécurité prévues pour Windows sont attendues pour le 10 août. « Microsoft doit corriger le coeur du problème, c'est-à-dire patcher directement « Shell32.dll » » avertit Chet Wisniewski. Shell32.dll est une bibliothèque qui contient de nombreuses fonctions API du Shell (interface de programmation d'application). Il spécule que c'est aussi la raison pour laquelle la firme met tant de temps à le patcher : « s'ils se loupent et altèrent la bibliothèque, toutes les machines risquent de ne plus fonctionner correctement. La plus grosse difficulté, c'est de tester exhaustivement le correctif ». Graham Cluley, consultant en technologie chez Sophos informe dans son blog qu'il suffira de désinstaller l'outil lorsque le patch final aura été délivré. Le programme de la firme de sécurité fonctionne sous XP, Vista, Seven, mais pas sur Windows 2000. Son téléchargement est gratuit.
Google Apps renforce sa sécurité pour conquérir le gouvernement américain
Google a dévoilé une version de ses Apps spécialement conçue pour répondre aux besoins de sécurité des agences gouvernementales américaines. Cette mouture spéciale comprendra Gmail, Talk, Groups, Calendar, Docs, Sites, Video et Postini, et coûtera le même prix que la Premier Edition, à savoir 50 $ par utilisateur et par an. Les données seront stockées exclusivement aux Etats-Unis, et les serveurs qui seront dédiés à cette offre se trouveront séparés de ceux utilisés par les clients non-gouvernementaux.
Le service répond aux impératifs de sécurisation des données tels qu'ils sont présentés dans le Federal Information Security Act, et peut donc être utilisé par les agences concernées par l'acte en question. La version est déjà disponible, et la firme de Mountain View a d'ores et déjà présenté certains de ses clients. Par exemple, Berkeley Labs, qui fait partie du Département de l'Energie, a commencé à utiliser Google Apps plus tôt dans l'année. Plus de 4000 employés et 1000 partenaires de recherche utilisent Docs et Sites pour collaborer, et ils sont au total 4000 à avoir adopté Gmail. Le comté de Larimer, dans le Colorado, s'est lui aussi mis à cette version des Apps.
Un service aussi proposé par Microsoft
Cette année, Microsoft a lui aussi présenté une suite de services sur le cloud à destination des fonctionnaires. Ceux-ci sont hébergés dans des infrastructures spéciales, dont l'accès physique est contrôlé via des systèmes biométriques, et dont les employés sont rigoureusement évalués et vérifiés. Ces services sont alignés sur certaines certifications de sécurité du gouvernement.
L'annonce de Google fait suite à des rapports indiquant que l'entreprise a dépassé la date d'implémentation de ses Apps au sein des services de la ville de Los Angeles. Le délai serait justement dû à quelques inquiétudes concernant la sécurité de l'offre.
Crédit Photo : D.R.
Sécurité : Cisco tire la sonnette d'alarme
D'après ce rapport semestriel, le paysage de la sécurité des entreprises ne cesse d'évoluer. Les réseaux sociaux, la virtualisation, le cloud computing et un recours massif à des appareils mobiles continuent d'avoir un impact dramatique sur la capacité des départements IT à maintenir une sécurité réseau efficace. Les premiers sont particulièrement mis en cause par l'étude. En effet, des recherches du Cisco Security Intelligence Operations ont démontré que 7% des utilisateurs du monde entier accédant à Facebook passent en moyenne 68 minutes par jour à jouer à Farmville, 52 minutes à Mafia Wars. Bien que la perte de productivité ne soit pas une menace pour la sécurité, il y a de fortes présomptions que les cybercriminels développent des moyens de distribuer des malwares par le biais de ce type de jeux. Par ailleurs, 50% des utilisateurs finaux ont admis ignorer au moins une fois par semaine les politiques de sécurité de leur entreprise interdisant l'utilisation des réseaux sociaux, et 27% ont confirmé modifier les paramètres de leurs appareils pour accéder à des applications interdites.
Plus traditionnel, le spam continue sa forte progression +30% en 2009. Les pays à l'origine des spams sont les Etats-Unis, l'Inde, le Brésil, la Russie et la Corée du Sud. L'étude montre néanmoins une baisse de ces messages depuis le Brésil, en raison du blocage de certains fournisseurs d'accès à Internet du port d'accès 25.
Cisco propose des pistes pour réduire ces problèmes de sécurité :
-Appliquer des règles de sécurité personnalisées pour les accès aux applications et aux données sur les systèmes virtualisés
-Limiter l'accès aux données de l'entreprise
-Création d'une politique de sécurité pour les terminaux mobiles
-Utiliser des outils de gestion et de contrôle des activités dans le cloud
-Donner des conseils sur l'utilisation des médias sociaux en entreprise
(...)(26/07/2010 14:04:26)Le protocole de sécurité WiFi WPA2 est vulnérable
AirTight Networks, société indienne, spécialisée dans la sécurité WiFi peut se vanter de créer le buzz autour de son annonce. « Hole 196 » c'est le nom de la faille trouvée par le groupe indien sur le protocole de sécurité des réseaux WiFi, le WPA2, considéré comme la plus robuste des clés en vigueur.
Le chercheur, Md Sohail Ahmad, à l'origine de la découverte, devrait dévoiler plus d'informations lors de la prochaine conférence Defcon et Black Hat à Las Vegas. Cependant, la faille porte sur la ligne 196 du standard défini par l'IEEE 802.11. Le WPA2 fonctionne avec deux types de clés, la PTK (Pairwise Transient Key, qui est unique pour chaque client et est affectée au trafic unicast. Une deuxième baptisée GTK (Group Temporal Key) protège les données broadcast envoyées à plusieurs clients sur le réseau. La PTK peut détecter l'usurpation d'adresse et la falsification de données, par contre la GTK non. Quelqu'un peut donc créer un paquet de données broadcat et par le jeu d'envoi -récepetion à l'adresse MAC du client, capter les informations personnelles dont la clé de sécurité.
Que peut-on faire contre ce problème ? « Il n'y a rien aujourd'hui pour résoudre ou fixer cette faille » indique Kaustubh Phanse, l'architecte sans fil d'Air Tight qui décrit le Hole 196 comme « une vulnérabilité de type zero-day ». L'exploitation de cette faille nécessite quand même d'avoir des droits d'utilisateurs spécifiques. Un début de soulagement ?
Un impact sur Hadopi
Cette annonce peut avoir une incidence sur la mise en oeuvre de la loi Hadopi. Cette dernière prévoit, via un décret, une contravention pour négligence caractérisée protégeant la propriété littéraire et artistique. L'acte constitutif d'une telle négligence peut-être "de ne pas avoir mis en place un moyen de sécurisation" de son accès WiFi par exemple.
Crédit Photo: DR
(...)(26/07/2010 13:47:22)L'Iran était la cible principale du virus Stuxnet pour Scada
Selon des données recueillies par Symantec, 60% des systèmes infectés par Stuxnet sont situés en Iran. L'Indonésie et l'Inde ont aussi été très touchées par le logiciel espion. Elias Levy, directeur technique chez Symantec Security Response, explique que c'est en regardant les dates sur les signatures numériques générées par le vers que l'éditeur a pu déterminer qu'il devait être en circulation depuis au moins le mois de janvier.
L'Iran, cible plus facile ou aux secrets plus intéressants ?
C'est VirusBlokAda, éditeur biélorusse d'antivirus, qui a le premier découvert l'existence de Stuxnet, le mois dernier, dans un système infecté d'un de ses clients iraniens. Le vers, pour rappel, fonctionne de la manière suivante : il cherche un système Scada de Siemens, utilisé par les sites industrielles, et télécharge ses secrets de production sur Internet. Symantec admet ne pas comprendre pourquoi ces pays sont plus particulièrement touchés que d'autres. « Ce dont nous sommes sûrs cependant, c'est que celui ou ceux qui ont développé ce virus ciblaient des entreprises de ces zones géographiques précises » indique Elias Levy. Il ajoute que du fait de l'embargo des Etats-Unis contre l'Iran, le pays est probablement très peu équipé en antivirus tout en étant en parallèle le plus touché par Stuxnet.
Siemens n'a pas voulu donner le nombre de clients iraniens de Scada, mais affirme que deux entreprises allemandes ont été elles-aussi infectées. Le scanner de virus gratuit mis à disposition par la société la semaine dernière a été téléchargé 1500 fois selon un porte-parole. Plus tôt dans l'année, Siemens avait indiqué vouloir ralentir son activité iranienne forte de 290 salariés qui avait réalisé un bénéfice net de 438 millions d'euros en 2008. Des critiques avaient en effet affirmé que de l'entreprise dans le pays avait contribué au développement du programme nucléaire iranien.
Peu de PC infectés dans le monde
Symantec a recueilli ses données en travaillant de près avec l'industrie, redirigeant le trafic destiné à la commande du virus et celui des serveurs de contrôle vers ses propres ordinateurs. Sur une période de trois jours, ceux-ci ont localisé 14 000 adresses IP tentant d'accéder à ces deux éléments, ce qui indique que peu de PC ont été touchés à travers le globe. Ils seraient en réalité entre 15 000 et 20 000, étant donné que de nombreuses entreprises utilisent une seule adresse pour plusieurs postes de travail. Les IP ayant été relevées par Symantec peuvent désormais être associées aux sociétés effectivement infectées afin de les localiser. « Sans surprise, les machines infectées se trouvent dans des organisations qui utiliseraient en principe des systèmes Scada, ciblés par les attaquants » remarque Symantec sur son blog.
Le vers se propage par l'intermédiaire de dispositifs USB. Une fois inséré dans une machine sous Windows, il se met à la recherche d'un système Siemens et se copie vers tout autre port USB occupé. Une solution temporaire pour le bug de Windows qui rend possible la propagation de Stuxnet peut être trouvée à cette adresse.
Crédit Photo : Symantec
| < Les 10 documents précédents | Les 10 documents suivants > |