Les zombies continuent de faire un massacre

Les zombies continuent de faire un massacre, c’est ce titre du quotidien 20 minutes (édition du 28 Septembre, page 14) qui m’a donné l’envie d’écrire ce post.

Même si le sujet traité par le quotidien est totalement différent de notre centre d’intérêt ici, le titre n’en reste pas moins légitime. Même la première phrase de l’article « Les zombies semblent éternels » est tristement d’actualité lorsque l’on parle de sécurité informatique.

La France occupe la 7ème place des pays relayant le plus de spam dans le classement publié par Sophos avant l’été (source: Rapport de milieu d’année de Sophos (en anglais).

La principale source de ces spams reste évidemment les machines Zombies (ordinateurs infectés qui sont en attente d’ordres reçus de leur centre de commandes et de contrôle (C&C), pour envoyer du spam, participer à un déni de service distribué (DDos), ou encore à des attaques plus ciblées.

Ci-dessous une représentation des tentatives d’envoi de spams reçus sur une passerelle de messagerie de tests que j’utilise. Chaque point jaune sur le globe représente une tentative d’envoi de spam depuis une machine Zombie. Il s’agit d’une carte reprenant uniquement l’activité de la journée d’hier.

Pour conclure, laissez moi citer à nouveau cet article du quotidien « Et comme l’apocalypse est toujours à venir, le voilà bien parti pour durer ce zombie moderne ».
A défaut d’apocalypse, il est malheureusement peu probable que l’on puisse prévoir une amélioration de la situation rapidement.

10 idées fausses sur la navigation Web

Dans la continuité de mon post précédent « Infections web: comment ça marche? », dans lequel je vous proposait de comprendre comment l’infection d’un site web était conduite, je vous propose aujourd’hui un document qui reprend 10 fausses idées sur la navigation web.

Nous avons tous des idées reçues, des principes devenus tellement communément acquis qu’on n’ose pas ou ne pense même pas à les remettre en cause, et pourtant, la navigation web ne présente pas de risque que lors de la visite de sites pornographiques, le filtrage d’URLs est essentiel, mais pas forcément suffisant, l’acte de téléchargement n’est pas forcément indispensable pour conduire à une infection …

Je vous propose de retrouver ces idées reçues dans ce document que je vous laisse découvrir plus en détails:

10_mythes_sur_la_securite_web.pdf
md5 : fada724c85985085364e11aefd5397d3

Infections web : comment ça marche ?

Tout administrateur système, responsable sécurité ou responsable informatique le sait probablement en analysant les rapports fournis par sa solution antivirale, le premier vecteur d’infection est la navigation internet. Malheureusement, après avoir mentionné ceci, on a tout et rien dit en raison du caractère trop généraliste utilisé.

Loin de se vouloir un descriptif complet de l’ensemble des méthodes d’infection par le web, ce billet a pour but de répondre aux interrogations du plus grand nombre sur le « pourquoi la navigation n’est pas toujours une activité sûre ».

Le scénario est en général assez classique pour la plupart des cas. Je ne parlerais donc pas dans ce billet des attaques très ciblées, mais de ces attaques de masse auxquelles on doit faire face au quotidien.

Le scénario le plus typiquement utilisé est le suivant :

(1) L’attaquant a besoin d’un site web sur lequel il peut déposer ses fichiers malveillants, on retrouvera ici beaucoup d’hébergeurs gratuits, et proposant des ressources dans des pays peu regardants sur le contenu hébergé, mais les pays occidentaux ne sont pas exempts, loin de là.

(2) Un site web légitime est identifié comme vulnérable aux attaques (typiquement Injection SQL dans un formulaire vulnérable).

(3) Le site web est attaqué afin d’inclure dans les pages légitimes le chargement des fichiers malveillants présents sur le serveur web mentionné en (1), grâce à du code javascript ou des balises Iframe

(4) Des visiteurs sur le site web légitime, mais infecté.

Avec cette « recette », l’attaquant peut donc tenter d’infecter tout visiteur peu ou mal protégé, et malheureusement, ça marche.

Afin de se protéger contre ces menaces, le filtrage d’URLs n’est pas suffisant car un site web peut très bien avoir une bonne réputation, et être néanmoins attaqué et porteur de code malveillant. Il est donc nécessaire de s’assurer que les solutions de protection de poste de travail, ainsi que les proxys déployés sont en mesure d’analyser le code téléchargé, et notamment de prendre en compte dans ses algorithmes de détection le code Javascript masqué.

En effet, Javascript peut etre écrit de manière très lisible, ou au contraire totalement illisible par l’oeil humain sans assistance. Les SophosLabs décrivent deux techniques de masquage du Javascript dans ces deux billets ici et ici (liens en Anglais).

Le but du masquage du Javascript étant de transformer la chaîne « Bonjour cher visiteur ! » en ceci afin de tenter de berner les moteurs de détection et ainsi porter l’infection jusqu’à son destinataire :

Un cheval de troie suspecté d’avoir contribué au crash de l’avion de la Spanair en 2008

Les autorités qui enquêtent sur le crash en 2008 d’un avion de la Spanair juste après son décollage de l’aéroport de Madrid lors d’un vol qui se voulait de routine entre Madrid et les Iles Canaries ont fait une découverte intéressante : l’ordinateur utilisé pour superviser les problèmes techniques de l’avion était infecté.

Ce crash est la pire catastrophe dans l’histoire de l’aviation espagnole depuis 25 ans, avec seulement 18 survivants.

Selon El Pais, un rapport interne de la compagnie mentionnerait qu’une machine située dans les locaux de la maison mère de la compagnie aérienne et qui aurait du identifier les problèmes de l’avion, était infectée.

Selon El Pais toujours, l’avion n’aurait pas du être autorisé à décoller si les problèmes avaient été identifiés. Le rapport final des enquêteurs ne devrait pas être disponible avant décembre, et il est possible que cette infection ne soit pas l’unique facteur ayant conduit au crash, ces derniers survenant la plupart du temps en raison d’une corrélation d’événements comme nous l’a malheureusement appris l’histoire de l’aviation.

Toutefois, la prochaine fois que vous entendrez quelqu’un vous dire que les auteurs de malwares ne font finalement pas grand chose de dangereux, peut-être vous souviendrez-vous de cette histoire.

Viadeo : le caractère viral de vos news

Le réseau social qui a probablement fait le plus couler d’encre est Facebook. Souvent décrié, toutefois toujours plus utilisé, Facebook s’est illustré pas toujours sous le bon angle vis a vis de sa politique de sécurité ou de confidentialité. Ce n’est toutefois pas de Facebook dont je vais vous parler aujourd’hui mais d’un réseau social à caractère professionnel très utilisé dans les pays francophones : Viadeo.

Plus particulièrement, je vais parler aujourd’hui du caractère viral des news, et la consultation des articles postés sur Viadeo. Prenez cet exemple :

En cliquant sur le lien « Viadéo encore une arnaque », on est logiquement redirigé vers le site en question (qui est l’arnaque en elle-même, et non une explication de cette arnaque d’ailleurs !). Toutefois, en visitant ce lien, si votre compte Viadeo est paramétré par défaut, vous partagez automatiquement à votre tour cet article avec vos contacts. S’ils visitent également ce lien, l’article sera également proposé à vos contacts …

La question qui se pose donc est : avez-vous réellement besoin que tous vos contacts sachent quel article vous avez consulté ? Souhaitez-vous que vos contacts professionnels sachent précisément quel sujet vous intéresse à l’heure actuelle ? Peut-être, dans ce cas, utilisez judicieusement votre fil de nouvelles, et supprimez les entrées que vous ne souhaitez pas diffuser :

Ou alors, une solution peut-être plus automatique est de correctement paramétrer votre profil Viadeo pour ne pas partager automatiquement vos lectures avec vos contacts … pour ce faire, configurez votre profil comme suit en positionnant le paramètre « consultation d’articles » à « personne » :

CPLINK : après les fichiers LNK, voici les PIF, pages web et documents

L’actualité sur le 0-Day touchant les systèmes Windows permettant l’exécution de code sans intervention de l’utilisateur au travers de fichiers de raccourci (.LNK) ne cesse de s’étoffer et l’analyse de la vulnérabilité CVE-2010-2568 continuant, on découvre de nouvelles méthodes d’exploitation de la faille.

Cet exploit (que Sophos a nommé et détecte sous le nom de CPLINK) est désormais bien connu pour permettre l’exploitation via des clés USB, partages réseau et partages WebDav.

Le code permettant d’exploiter cette vulnérabilité a été publié, et Microsoft aucun correctif n’est disponible pour le moment. Microsoft conseille de désactiver le rendu graphique des icônes afin d’empêcher l’exploitation de la faille, toutefois le résultat pourrait résulter rapidement en des difficultés importantes d’utilisation du système (voir le blog de Chet W. pour plus d’information sur ce sujet (en anglais).

La nouveauté porte sur la dernière révision du bulletin de sécurité de Microsoft sur ce sujet. Il est en effet possible d’exploiter cette vulnérabilité via une page web malveillante, permettant donc l’infection lorsque l’utilisateur visite un site web malveillant ou compromis, ou encore via des fichiers de document. Parions que cet exploit fera prochainement partie des pages malveillantes utilisées pour les attaques BlackHat SEO.

Par ailleurs, les fichiers au format .PIF peuvent également être utilisés pour exploiter la vulnérabilité au même titre que les fichiers de raccourci .LNK.

Suivez les dernières nouvelles à propos de cette menace sur notre site dédié CPLINK (en anglais).

Raccourcis sur clés USB : un 0-Day Windows

Les ports USB de nos machines sont potentiellement dangereux, désormais presque tout le monde le sait, notamment depuis la vague d’infection de Conficker utilisant les médias amovibles pour se propager de système en système.

A la suite de cette infection, la capacité Autoplay de Windows a été très fortement remise en cause car ayant très largement contribué à la diffusion du ver.

Malheureusement, aujourd’hui une nouvelle menace semble peser sur les machines avec un 0-Day dans Windows permettant l’exécution de code sur un média amovible (typiquement une clé usb), même si l’Autorun et Autolay sont désactivés. Il est possible d’exécuter le code sans action de l’utilisateur.

Même s’il convient de ne pas s’alarmer outre-mesure, il faut néanmoins mesurer l’impact potentiel de cette faille. En effet, On connaît le risque associé à une propagation automatique de code malveillant via médias amovibles sans action utilisateur avec le triste retour d’expérience de l’infection Conficker, cette faille semble donc être réellement critique.

Les analyses de la faille et des codes malveillants relatifs est toujours en cours d’analyse, il s’agit d’une faille 0-Day non corrigée et actuellement exploitée pour la diffusion d’un rootkit que Sophos détecte en tant que W32/Stuxnet-B.

L’exploitation de cette faille semble venir de la manière pour Windows Explorer d’utiliser l’image lors de l’affichage d’un raccourci (.lnk). L’exploitation de cette vulnérabilité permet l’exécution de code depuis un fichier DLL afin d’implanter le malware dans le système.

Brian Krebs mentionne sur son blog (en Anglais) que la charge de ce rootkit serait de rechercher des informations spécifiques aux logiciels SCADA de Siemens. Il serait donc très ciblé sur des systèmes devenus aujourd’hui critiques dans notre vie quotidienne.

Combien de codes malveillants utiliseront cette faille pour se propager, c’est malheureusement la grande inconnue. Il est pourtant à parier qu’elle le sera, et si la vulnérabilité n’est pas corrigée à ce moment là, le risque est élevé. Je garde pour ma part les yeux tournés vers les futurs codes malveillants l’exploitant, mais également sur Microsoft pour la fourniture d’un correctif.

Si vous êtes client Sophos, je ne peux que vous recommander d’activer si ce n’est déjà fait les capacités de contrôle de périphériques de Sophos Endpoint Security & Control.

Smartphones : l’avis de la CNIL

Le sujet smartphones est récurent dans les discussion ayant attrait à la sécurité de l’information pour diverses raisons.

Les sujets sont variés, et tournent principalemlent autour de la capacité de ces terminaux à se protéger contre les codes malveillants et des moyens de protection existants, des applications un peu trop mais également sur la confidentialité des informations stockées et transitant par ces terminaux.

Les remarques de la CNIL dans cet article restent très généralistes, mais ont tout de même le mérite d’être claires. On notera en bloc les applications prenant peu ou pas en compte la confidentialité (localisation GPS, utilisant et « transmettant » des numéros de téléphone, etc.), et une mention spéciale pour les Blackberrys qui continuent à utiliser le réseau RIM pour la capacité push-mail.

La CNIL rappelle à juste titre que l’installation d’une application sur un terminal mobile n’est pas une action anodine, et peut avoir des conséquences néfastes en terme de sécurité si cette application est malveillante.

La CNIL nous rappelle au passage que le service de téléphonie mobile assuré par une entreprise française (typiquement votre flotte de mobiles) est soumis et doit se conformer à la loi Informatique et Libertés. La CNIL rappelle à cet effet qu’elle peut contrôler une entreprise dans ce contexte.

La problématique Smartphones est en fait complexe, et relève autant de la partie technologique que de la partie organisationnelle. L’idéal serait de pouvoir gérer la flotte de terminaux mobiles comme on gère le parc de machines bureautique et portables. Malheureusement, entre les terminaux gérés par l’informatique interne, les terminaux professionnels non gérés par l’informatique interne, et les terminaux personnels utilisés avec des puces GSM d’entreprise, le casse-tête des responsables sécurité n’a pas fini de faire couler de l’encre.

Des solutions existent aujourd’hui afin d’assurer un minimum de sécurité sur les terminaux mobiles. Blackberry propose la gestion des politiques de sécurité sur les terminaux déployés, Apple assure la protection des utilisateurs contre les applications malveillantes en auditant les applications disponibles sur l’Apple Store (ce qui ne protège pas les iPhones « jailbreakés » sur lesquels l’utilisateur peut installer une application sans passer par le service en ligne d’Apple), et il reste possible sur les terminaux Windows Mobile de gérer les applications d’entrerprise.

Reste toutefois les utilisations détournées qui sont faites de ces terminaux par les utilisateurs. Installation d’applications en tout genre qui peuvent compromettre la sécurité, utilisation du smartphone en média amovible qui fait courir un risque à vos données en cas de perte ou de vol du terminal …

En résumé, un terminal mobile doit impérativement être considéré comme une machine cliente. Il doit être clairement fait mention de l’utilisation des terminaux dans le cadre de la charte informatique et les limites imposées aux utilisateurs qu’il ne faut pas oublier de sensibiliser. Il est également impératif lors du choix de la flotte de smartphone de prendre en compte la gestion centralisée de la flotte, de sa protection en cas de perte ou de vol, et régulièrement auditer les applications installées sur ces derniers.

UnrealIRCd distribuait un backdoor depuis 9 mois

Bien embêtés les développeurs de UnrealIRCd en postant la nouvelle sur leur portail et sur le forum le 12 juin : leur code source contenait une porte dérobée depuis … novembre 2009 !

Les versions infectées par ce backdoor (connu sous le nom de Troj/UnIRC-A permettent aux attaquants d’exécuter n’importe quelle commande via l’utilisateur utilisé pour démarrer le démon d’UnrealIRCd.

On peut alors s’interroger sur comment une porte dérobée a pu être présente pendant aussi longtemps sans avoir été découverte, sachant que des techniques simples permettent de s’assurer de l’intégrité d’un code source avant son utilisation. On pourra noter notamment la publication de checksum ou les signatures numériques des fichiers mis à disposition.

Malheureusement, ces techniques n’avaient pas été mises en place par les développeurs d’UnrealIRCd. Il est louable qu’ils aient pris conscience de ce manquement et qu’ils signent désormais leurs archives systématiquement. Ceci doit en théorie permettre à toute personne utilisant un code source ou une archive compilée de vérifier qu’elle est bien intègre et non empoisonnée.

En pratique, bien peu de développeurs ou d’utilisateurs prennent la peine de vérifier ces signatures avant l’utilisation, ce qui leur fait courir un risque important. Pourtant il ne s’agit pas d’une étape longue ou fastidieuse, cela prend au plus quelques minutes le temps de récupérer la clé utilisée pour la signature.

Je ne peux parler malheureusement que de laxisme dans ce cas présent, tant des développeurs d’UnrealIRCd, que des utilisateurs en général. Leur cas n’est malheureusement pas isolé et pourrait se reproduire à l’avenir.

Si vous utilisez régulièrement les codes sources de logiciels, il faut impérativement – s’ils sont fournis – vérifier les signatures et les checksums des tarballs mis à disposition. Faites plus confiance à une signature numérique qu’à un checksum (qui la plupart du temps est hébergé sur le même répertoire, avec les mêmes droits que le tarball, et qui, si l’archive est compromise, il est facile de remplacer le checksum par une version correspondante à l’archive modifiée !)

Il est primordial de se rappeler que Windows n’est pas la seule plateforme vulnérable à des codes malveillants, et que la sécurité des systèmes doit être prise en compte pour toutes les plateformes que l’on utilise, et tous les logiciels que l’on utilise. Linux n’est pas exempt de codes malveillants, cet événement nous le rappelle une fois de plus.

60% des membres de Facebook envisagent de se désinscrire pour des raisons de confidentialité

Récemment, Sophos a réalisé une étude auprès de 1588 utilisateurs de Facebook, qui met en lumière l’ampleur de l’inquiétude des membres quant aux réglages de confidentialité mis en place par le célèbre site de réseau social. L’enquête en ligne montre que près des deux tiers des utilisateurs envisagent de quitter le site, 16% d’entre eux affirmant même avoir déjà cessé d’utiliser Facebook à la suite d’un contrôle inadéquat des informations privées. Seuls 12% affirment ne pas souhaiter quitter Facebook pour cette raison, et 12% mentionnent qu’ils ne quitteront probablement pas le réseau social pour cette raison.

A la question : « Pensez-vous abandonner Facebook pour des raisons liées à la confidentialité ? », les réponses se répartissent comme suit :

Peut-être 484 30%
Très probablement 469 30%
Déjà fait 254 16%
Non 191 12%
Probablement pas 190 12%
Total des réponses : 1588

Facebook fait face à des critiques croissantes concernant les changements effectués sur la manière dont le réseau peut partager les données des utilisateurs au sein du site lui-même et avec des sites Web extérieurs.

Rappelons au passage que pour que vos données ne soient pas partagées par Facebook à des ressources extérieures, l’opt-out a été choisi par le réseau social, au lieu de l’opt-in, ce qui implique forcément que la plupart des membres de Facebook « autorisent » l’utilisation de leurs données personnelles par des tiers.

En réponse à la multiplication des critiques, plusieurs campagnes de sensibilisation des utilisateurs sur ces questions ont été lancées, dont un « Quit Facebook Day » prévu le 31 mai prochain.

Même s’il est peu probable que Facebook perde 60% de ses membres dans quelques jours, la multiplication de ce genre d’initiatives peut sensibiliser le plus grand nombre sur l’utilisation des réseaux sociaux. Vous pouvez trouver des informations utiles dans le kit de sécurité pour médias sociaux que vous pourrez réutiliser pour l’éducation de vos utilisateurs directement sur le site de Sophos : http://www.sophos.fr/lp/threatbeaters/ (téléchargement gratuit)