Spécial sécurité : SSTIC en quête de communications

Depuis le début du mois d’août, LeMagIT ouvre ses colonnes à CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, la mise à jour de l’outil d’inventaire de faille de F-Secure, un point sur l’attaque TKIP et l’autopsie d’un pseudo antivirus.

cnis logo

Sommaire

- 1 - SSTIC en quête de communications

- 2 - Yes, Icann !

- 3 - InsomniHacks, nuit blanche pour white hats

- 4 - Crack TKIP: les chronos de Bob Graham

- 5 - 26 jours dans la peau (et le portefeuille) d'un spammeur

- 6 - Un kit de malware Skype à portée de tous

SSTIC en quête de communications

NdlC Note de la Correctrice: Est-ce un effet de mon charme naturel ou de l’estime que me portent les distingués abonnés de notre Confrère-et-néanmoins-Concurrent ? Toujours est-il que, contrairement à ce qui avait été écrit dans l’article du 31 octobre, un lecteur ME signale (à Moi, la Correctrice, et non à l’Auteur) que l’édito du numéro 40 de Misc, rédigé par « Papy » Raynal peut être lu dans son intégralité et au format html par la même occasion. Un édito qui, outre une exhortation à la jeunesse hackeuse et porteuse d’avenir, nous signale que les appels à communications des prochaines journées SSTIC de Rennes sont ouverts. Je me demande si, à l’occasion des Rump Sessions, je ne vais pas me lancer dans une démonstration de Social Engineering masculin… une de mes spécialités. D’ailleurs, à ce sujet, je précise à toutes mes lectrices que derrière le surnom de « Papy » se cache non pas un vieux barbon mais un jeune homme bien fait de sa personne. Potentiellement spoofable et très probablement sensible à nos exploits.

image001

Toujours à propos de Misc, on ne doit pas oublier la sortie, ce jour, du numéro spécial d’automne. Consacré aussi bien à vous, messieurs, qu’à nous, mesdames. Surtout à nous. Car les fêtes de fin d’année, puis le 3 janvier approchent à grands pas –je m’y vois déjà- et avec eux, la période des cadeaux, des soirées, des soldes ! A peine le temps de comprendre tout se qui se raconte dans ce hors-série consacré aux cartes à puce, leurs fonctionnalités, leurs limitations. Peut-être un jour saisirais-je la raison pour laquelle le trou de mon budget (difficilement rustinable) est provoqué par une si petite chose. Et je ne parle pas des sommes astronomiques englouties par mon ado de fille et son téléphone portable, à puce, lui aussi, bien sûr… Vous savez, vous, où on peut trouver un protocole snmp « sms très limités » ou une console d’administration OpenView avec blocage des trames « ma mère me saoule » ? Ecrire au journal qui transmettra.

Yes, Icann !

EstDomains, le registrar douteux, sera définitivement mort le 24 novembre prochain, la décision de l’Icann étant désormais sans appel. Le motif invoqué demeure le passé douteux du patron de l’entreprise, Vladimir Tsatsin, et non l’activité plus que néfaste de la grande majorité des possesseurs de sites hébergés. Les 281 000 noms de domaines –spécialistes du spamming, du phishing, de la culture intensive « d’adwares-qui-ne-sont-pas-des-spywares » y compris- auront leurs adresses relogées aux bons soins de l’Icann, qui se charge de trouver des DNS compatissants parmi ses membres. Il faut dire que les plus dangereux clients d’EstDomains ont, depuis plusieurs mois, changé cent fois de nom et utilisé de nouvelles filières d’enregistrement.

Le vendeur –car le métier de registrar est avant tout une opération commerciale- est donc reconnu comme étant non responsable de l’usage que font les clients des domaines déposés. Ce « coupe-feu juridique » ne semble, en revanche, plus franchement fonctionner du côté des hébergeurs et fournisseurs de services, puisque cette même semaine, McColo, hosteur américain, s’est fait couper la totalité de ses routes IP par ses propres fournisseurs d’accès. McColo était l’un des principaux portails américains par qui se déversait des cataractes de spam, des centaines de sites vendant des « scarewares », des milliards d’emails de phishing, sans oublier, précise Brian Krebs dans un long article de 3 pages, quelques filières d’images pédo-pornographiques et plusieurs vecteurs d’infection genre rootkits et virus-vers.

Dans les quelques heures qui ont suivi la coupure, des lignes dudit McColo, le niveau de spam général a chuté de près de 60 %. Les statistiques de Spamcop sur la semaine sont sans appel : morte la bête, mort le venin.

A l’origine de ce règlement de compte, l’on retrouve une fois de plus Hostexploit, entreprise de sécurité qui contribua activement, grâce à un rapport d’analyse édifiant, au démantèlement d’Atrivo/Intercage, le « hosteur félon » Californien et, par le plus grand des hasards, fortement lié au dit McColo. Une fois de plus, Hostexploit publie un état des lieux atterrant, décrivant par le menu les méfaits de McColo (enregistrement obligatoire avant téléchargement du rapport). McColo en chiffres ? c’est 172 vendeurs de viagra, 24 botnets et centres de commande et de contrôle, un peu moins d’un millier de liens hébergés pointant sur des malwares, 64 « rogues » et malwares locaux, 62 sites infectés –soit un taux anormalement élevé de 2%- et 40 sites illégaux, notamment pédophiles, avec leurs infrastructure de payement associées.

image003

Si la fermeture d’une industrie aussi nauséabonde est et sera toujours une bonne chose, il est à déplorer que cette décision soit le fait d’initiatives privées, ou plus exactement d’initiatives d’entreprises privées. Il ne semble pas, dans l’état actuel de l’affaire, que le FBI y ait joué un rôle déterminant. Ce n’est, de toute manière, pas un acte décidé ni par un juge Fédéral ou d’Etat, ni par un arrêté de la FCC, souveraine en ce secteur. Et c’est sur la musique de « Règlement de compte à OK Corral » que semble se clore ce nouvel épisode de la vie des ISP.

Par HostExploit.com

InsomniHack, nuit blanche pour white hats

J’ai dix s’condes pour vous dire qu’InsomniHack, c’est d’la dynamite ! La nuit la plus longue du hack blanc Helvétique tiendra sa seconde édition le vendredi 6 février 2009 prochain, quelque part dans la région Lémanique (le lieu sera choisi en fonction du nombre d’inscrits). Cette manifestation, organisée par SCRT, spécialiste Lausannois du « hacking éthique », a remporté l’an passé « un succès dépassant toutes les espérances » (dixit Bruno Kerouanton, CSO renommé du Canton du Jura). Emulation (saine), pentes neigeuses et double crème : le concours est ouvert à tous, le gagnant aura son portrait publié dans les colonnes Web de CNIS-Mag… ou pas, comme il est d’usage de préciser.

image005

Par SCRT

Cracking TKIP : les chronos de Bob Graham

image007

Non, Robert Graham ne revient pas, une fois de plus, sur les subtilités du cassage de tkip. Il s’intéresse plus précisément aux véritables benchmark, aux différences de performances des processeurs dans la course au cassage de clef. Sans surprise, les cartes graphiques « 112 core » à 600 MHz écrasent de leur puissance les extensions vidéo plus modestes… mais cette débauche de dollars et de processeurs a bien du mal à atteindre le « rapport 100 » clamé par Elcomsoft. Graham l’admet lui-même, l’usage des GPU les plus pointues n’améliore que de dix fois la vitesse de traitement des outils de cassage de clef. La performance est belle, mais peut difficilement être qualifiée de « révolutionnaire ».

Par Michelphoto53

26 jours dans la peau (et le portefeuille) d’un spammeur

Passionnante étude que celle de ces chercheurs de l’UCSD et de Berkeley. Durant des mois, ces universitaires ont étudié, disséqué, reconstruit, adapté toute une chaîne de spams destinée à attaquer trois fronts : acheteurs de pseudo-viagra, amateurs de cartes de vœux en ligne et canulars du premier avril. Et attaquer non pas de manière livresque, mais réelle, avec une véritable charge et un authentique –mais limité et contrôlé- serveur et ses calamiteuses émissions de pourriel.

Dire que le rendement est bas est un doux euphémisme : la plus rentable des campagnes –le fortifiant pharmaceutique- ne draine que 0,0000081% de la population d’un fichier comptant 347590389 adresses smtp. « Après une campagne de 26 jours et 350 millions d’emails envoyés dans la nature, nous n’avons conclu que 28 ventes effectives » constatent les chercheurs. Un taux de rentabilité inférieur à 0,00001%, un taux de pollution inimaginable dont les effets dévastateurs sont le dernier des soucis de ceux qui vivent de cette industrie.

26 jours, 28 victimes, 100 $ d’achat en moyenne par victime, un gain net de 2731,88 dollars. Dans les conditions réelles d’exploitation d’un « Storm Worm » vecteur de spam Viagreste, les chiffres seraient, pensent les scientifiques, plus proches de 7000 $. Un bon Storm élevé en batterie peut créer à lui seul 3500 à 8500 nouveaux Bots par jour. Dans ces conditions, il n’est pas impensable de tabler sur un revenu annuel gravitant aux environs de 3,5 millions de dollars. Et l’on ne parle alors que d’une seule campagne… Les multirécidivistes pouvant alors amasser bien plus en considérablement moins de temps.

Quant au retour sur investissement, il semble tout aussi pharamineux. « L’on peut estimer comme proche de la vérité l’estimation situant la mise de fond aux environs de 80 $ par million ». Dans ce milieu là, on ne pratique pas franchement les mêmes tarifs au « mille d’emails expédiés » que dans le monde civilisé.

image010

Tableau issu du rapport USCD/Berkeley 

Un kit de malware Skype à la portée de tous

Ce n’est pas d’hier que datent les injections de malware par le biais des messageries instantanées. Les virii Messenger, les vers Yahoo, les pollupostages et exploits Skype font déjà partie de l’histoire presque quotidienne. Pourquoi un tel intérêt des filières mafieuses envers ces systèmes de communication personnels ? Tout simplement, explique Dancho Danchev, parce que c’est le plus sûr moyen de dresser des listes de correspondants, de cibles privilégiées qui serviront aux exploitants secondaires, pharmaciens véreux, vendeurs de faux antivirus et autres produits frelatés. Le progrès aidant, l’on commence même à trouver des promesses de « programmes de fabrication automatique de malwares Skype ». Les premiers éléments de preuve ne sont pas encore totalement opérationnels et efficaces, mais si l’on en juge par la rapidité avec laquelle un Storm a été conçu et amélioré, cela ne devrait plus prendre tellement de temps.

image011

Par Capture Dancho Danchev

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close