To content | To menu | To search
Saturday, June 20 2009
By Cedric Pernet on Saturday, June 20 2009, 10:26 - General
Paco Hope just released a remix of the famous Paul Simon song "50 ways to leave your lover".
It's called "50 Ways to Inject Your SQL" and is available on Youtube here.
I like it, it's elegant and funny. Great job, Paco ! 
Thanks to Bruno and Marc who made me discover this great song 
Wednesday, June 17 2009
By Cedric Pernet on Wednesday, June 17 2009, 16:05 - General
Finjan vient de publier son second "Cybercrime Intelligence Report", qui s'avère très intéressant.
Ce document relativement court nous présente le système de rémunération et le mode de fonctionnement d'un réseau de criminels organisés sous le nom Golden Cash World.
Le but de ce réseau est de faire infecter des machines par un malware de type cheval de troie, pour ensuite les revendre.
A cette fin, ils procèdent de la façon suivante:
A noter que Finjan a découvert 100 000 accès FTP différents lors de son étude... Les cybercriminels n'auront pas trop de soucis pour trouver de nouveaux sites à compromettre.
Tuesday, June 9 2009
By Cedric Pernet on Tuesday, June 9 2009, 21:47 - General
Sous ce titre très évocateur, je tenais à bloguer rapidement pour partager avec vous une publication de Microsoft Research qui est à peu près passée inaperçue dans la presse française la semaine dernière.
Ce papier, en anglais, est intitulé "Nobody Sells Gold for the Price of Silver: Dishonesty, Uncertainty and the Underground Economy".
Il s'agit d'une analyse pertinente de l'économie souterraine liée à la cybercriminalité. Attention cependant, sont exclusivement considérés dans l'étude le phishing, le carding, les botnets et autres services "directs" fournis par les fraudeurs, et la monétisation de l'argent obtenu par ces biais. Sont donc exclus tous les autres actes de cybercriminalité tels que le vol d'information à la demande (et Marie Barel nous a montré récemment au SSTIC que le vol d'information n'existe pas), le chantage, etc...
Le but premier de ce document est de rompre avec les idées reçues : non seulement les sommes frauduleuses imputées à cette cybercriminalité sont exagérés par de nombreux professionnels du domaine, mais les estimations fournies par ces derniers alimentent le phénomène à l'inverse. Je cite l'étude : "Ironically, defenders (i.e., whitehats, security vendors and members of the security community) actively and energetically recruit their own opponents. By repeating unverified claims of cybercrime riches, and promoting the idea that easy money is there for the taking, we attract new entrants into the lower tier of the underground economy. While they may produce little profit they still generate large quantities of spam and phishing and cause significant indirect costs."
Une autre des idées reçues dénoncée par les chercheurs de Microsoft est le fait qu'il est facile pour n'importe quel fraudeur de monétiser l'argent issu de ces fraudes. Ce n'est heureusement pas le cas. Ainsi, un bon tiers de l'ensemble de ces fraudeurs ne sont que des escrocs sans aucun talent, qui essayent de se procurer des données intéressantes telles que des dumps de cartes bancaires ou des accès à des comptes bancaires en ligne. En réalité, ils se font escroquer eux-même la plupart du temps par des "rippers", une catégorie d'escrocs qui leur revendent des informations périmées ou tout simplement fausses/créées.
C'est particulièrement vrai sur certains réseaux IRC : sur une analyse de 490 numéros de cartes bancaires découvertes rapidement sur IRC, 22% ne satisfaisaient même pas à l'algorithme de Luhn.
Toujours sur IRC, certains bots (des programmes destinés à effectuer certaines actions, à discrétion ou pas des utilisateurs leur envoyant des lignes de commandes) servent à vérifier si les numéros sont bons. Là encore la fourberie est de mise, puisqu'un certain nombre d'entre eux retournent des résultats volontairement éronnés, mais envoient les données soumises à un administrateur qui pourra s'en servir ou les revendre, devenant ainsi un ripper...Et je ne parle même pas de ces kits de phishing disponibles trop facilement, mais qui en fait contiennent du code dissimulé qui enverra toutes les données phishées à l'auteur du kit...
Bref, un bon tiers de ces fraudeurs galère finalement pour pas grand chose, voir pour rien, tandis que le reste, plus méthodique et surtout plus structuré quand on arrive sur le tiers supérieur, monétise effectivement beaucoup plus. Le travail collaboratif, en groupes de criminels structurés, apporte ici tous ses avantages aux fraudeurs. Ces derniers ne sont pas sur IRC, mais communiquent sur des forums spécialisés sur lesquels il faut montrer patte blanche, ce qui ne les empêche pas d'entretenir des rivalités. J'ai encore pu constater ça récemment, un célèbre forum de carders en accusant un autre de n'être qu'une façade de certains services gouvernementaux étrangers...
Un beau travail de Microsoft et une lecture très agréable donc, que je ne saurai que trop vous recommander.
Monday, June 8 2009
By VFL on Monday, June 8 2009, 14:33 - Security
Bonjour à tous,
Tout d'abord, merci à Cédric de me laisser quelques pages sur son blog.
Je travaille actuellement dans une structure CERT d'un établissement bancaire français. Nous nous occupons entre autres de réponse à incidents de sécurité informatique et de lutte contre la cybercriminalité. Dans le cadre de ma mission, j'ai eu l'occasion d'assister à l'édition 2009 du SSTIC.
Ceci est le compte-rendu de ma première participation à cette manifestation. L'impression générale que j'ai eue de cet évènement est très positive.
L'ambiance était très bonne, et j'ai eu l'occasion de pouvoir échanger avec des gens venant d'industries différentes. J'ai notamment beaucoup apprécié le social event.
Evoluant d'habitude dans un environnement peu technique (en tout cas beaucoup moins que la plupart des participants de ce Symposium), je ne pense pas pouvoir faire aussi bien que d'autres blogueurs bien connus, à moins de reprendre le contenu des actes.
Pour cette raison, la suite de cet article présentera les conférences qui m'ont le plus marqué au cours de l'édition 2009 du SSTIC.
Merci de votre indulgence et bonne lecture.
La conférence d'ouverture a été présentée par M. Pascal Andrei, directeur de la sûreté aérienne chez Airbus. Elle a été l'occasion de découvrir une vue métier sur la sécurité informatique dans un environnement aérien. Notamment, la différence entre la sécurité (safety) et la sûreté (security) a été évoquée.
La sécurité concerne la conception d'appareils, le développement de composants. En résumé, il s'agit de s'assurer de la fiabilité des appareils, démarche en cours depuis plus de 30 ans chez Airbus. La Sûreté (security) est quand à elle plus récente. Elle distingue la sécurité physique (bombes, passagers clandestins, etc.) et la sécurité informatique. Cette dernière a été un sujet de préoccupation plus récent, qui à coïncidé avec l'entré de composants logiciels dans les systèmes embarqués ainsi que l'informatique de divertissement. Au passage, des connexions à Internet ont été mises à disposition dans l'A380. Les équipements connectés sont bien entendu isolés du reste de l'infrastructure critique.
Cette conférence a aussi été l'occasion d'évoquer l'évolution des contraintes de sécurité informatique imposées aux compagnies aériennes en général et à Airbus en particulier. Ainsi, il n'y avait que peu de contraintes sur les appareils conçus avant l'A380. Puis des pentests ont
étés mis en place, ainsi que la création d'un CERT interne, dont le but est de surveiller les vulnérabilités pouvant impacter l'infrastructure informatique. Il est aussi question de l'adoption de normes telles que ISO 27000.
De manière générale, Les problématiques de sécurité semblent être prises très au sérieux chez Airbus.
Data tainting
Cette conférence, présentée par Florent Marceau du CERT LEXSI, a évoqué une technique d'automatisation d'analyse de code malveillant mettant en œuvre du data tainting.
Le principe est de marquer et tracer les données manipulées par un code malveillant lors de son exécution sur une machine victime. Ce traçage s'applique également aux données chargées d'un serveur éventuellement contacté dans le cadre de l'attaque. On peut ainsi contourner les techniques de chiffrements employées par la plupart des malware modernes. En pratique, le code malveillant est soumis à une machine virtuelle pour être analysé. En moyenne, une analyse prend une dizaine de minutes (dans le cas où aucun système de détection de machine virtuelle n'est mis en œuvre par le code malveillant). LEXSI peut ainsi parvenir à analyser entre 2000 et 2500 binaires suspicieux par jour. Un autre challenge à l'analyse est les stimuli qui déclenchent l'activation d'actions malveillantes.
Projet WOMBAT
Symantec a ensuite présenté son projet WOMBAT. Le but est d'obtenir une meilleure compréhension des menaces qui pèsent sur Internet. L'implémentation de WOMBAT consiste en une multitude de senseurs qui ont 2 fonctionnalités principales: identifier les attaques connues dont ils sont la cible et identifier les nouvelles attaques. Les données ainsi collectées sont transmises à un serveur qui procède à l'analyse. Une fois qu'un chemin d'attaque est identifié, il est diffusé à toutes les sondes WOMBAT du réseau. La présentation était émaillée de nombreux graphes et données statistiques.
ACPI et routine de traitement SMI
La démonstration de l'exploitation de failles ACPI et SMI a été très visuelle. Nous avons vu M. Loïc Duflot de la DCSSI obtenir un accès root à une machine en débranchant et rebranchant plusieurs fois le câble d'alimentation de son laptop. Le but était de mettre en évidence deux types de failles.
La faille ACPI qui permet à un attaquant de modifier les routines de gestion de la batterie en réécrivant les tables ACPI.
La deuxième exploitation présentée était un accès à la routine SMI. L'attaque se produit par une compromission du BIOS.
Questions sur l'utilité de ISO 27001.
Alexandre Fernandez-Toro de HSC a dressé un bilan de l'implémentation de la norme ISO 27001. ISO 27001 ne constitue pas un nouveau "nirvana" de la sécurité mais a eu le mérite d'établir un référentiel des bonnes pratiques de sécurité. Ce qui est certifié n'est pas un niveau de sécurité, mais un processus d'amélioration continue de la sécurité. Chercher la certification "pour la certification" n'est pas utile. Il est plus intéressant de voir ISO 27001 comme un modèle vers lequel tendre et de se faire certifier sur opportunité. Présentation intéressante et vivante.
Traçage des traitres en multimédia.
Sujet d'actualité évoquant le watermarking (tatouage digital). Le but est d'identifier le ou les utilisateurs à l'origine de la dissémination de copies pirates d'un fichier multimédia. Un fichier multimédia est tatoué différemment pour chaque utilisateur.
Le tatouage permet d'identifier quel utilisateur est à l'origine de la fuite.
Dans le cas où plusieurs fraudeurs entrent en jeu, il est possible d'identifier les fraudeurs avec un certain degré de probabilité.
Le vol d'information n'existe pas.
Il n'est pas reconnu juridiquement. En revanche, la divulgation peut faire l'objet de sanctions. Pour l'entreprise, il est possible de se protéger par le contrat de travail (obligation de loyauté), une politique de classification des documents, une charte utilisateur et une politique de gestion des tiers.
Pourquoi la sécurité est un échec
D'après Nicolas Ruff, la sécurité est un échec. La faute à de mauvaises décisions techniques et organisationnelles, des marchés captifs et un buzz non mérité sur certaines applis de sécurité. La présentation était conviviale et mettait en relief certaines opinions assez partagées dans le monde de la sécurité.
Macaron, une porte dérobée pour toutes les applications JavaEE
Une présentation d'Atos a démontré l'installation d'une backdoor dans une application J2EE via l'insertion d'un jar malveillant dans une Web Archive. Le but était de mettre en évidence un trou dans les procédures d'audit standard. Si la vérification du code est effectuée, il n'y a en général pas de vérification des binaires compilés. Cela met aussi le doigt le champ beaucoup plus large de la sécurité des applications J2EE en général.
Émanation compromettantes électromagnétiques des claviers filaires et sans-fil
La conférence sur la détection des émanations électromagnétiques des claviers a mis en évidence qu'il est possible de détecter les entrées tapées sur un clavier en se basant sur les interférences électromagnétiques produites lors de l'utilisation des touches. Cette technique pourrait permettre d'espionner les entrées clavier à l'aide d'une antenne dans un périmètre de 20 mètres autour de la source. Des recherches sont toujours en cours pour tenter d'étendre le périmètre.
A noter les présentations rumps de Philippe Lagadec de l’OTAN sur la cybersécurité et de Bruno Kerouanton sur la communication.
Pour conclure, ce SSTIC 2009 a été pour moi une très bonne expérience.
J’espère la renouveler en 2010.
Vincent Ferran-Lacome
Tuesday, May 26 2009
By Cedric Pernet on Tuesday, May 26 2009, 22:34 - Security
Après la vague de documents de qualité variable sur le malware Conficker/Downadup/Kido, que je n'ai pas commenté ici par manque de temps, et après l'excellente étude de Torpig de l'Université de Santa Barbara, largement commentée par les médias, j'ai décidé de sortir de ma torpeur et de mon planning plutôt chargé pour partager avec vous un document un peu moins médiatisé mais que j'ai trouvé absolument délicieux : l'étude du malware Pushdo/Cutwail/Pandex réalisée par Trend Micro.
Cet excellent document de 39 pages nous décrit le botnet constitué par le malware Pushdo. Techniquement, ce produit probablement russophone se décompose en deux parties : le downloader, nommé Pushdo, et d'autres modules (payloads) dont le fameux Cutwail, destiné exclusivement à envoyer du spam.
Nous y apprenons que Pushdo délivre environ 7,7 milliards de spam par jour, la majorité ciblant la Russie, fait suffisamment étonnant pour être souligné.
Le contenu des spam est varié. Cutwail propage en effet de la publicité pour des sites pornographiques payants, ainsi que pour des sites de contrefaçon pharmaceutique (Canadian Pharmacy), pour des sites de contrefaçon de produits de luxe (replica watches etc.), et spamme même de la publicité pour des commerces russes "locaux". Ainsi, le document de Trend nous montre preuve à l'appui un spam destiné à promouvoir un cabinet d'avocats de Moscou, par exemple. Pushdo envoie même des e-mails pour faire...sa propre publicité.
Ce botnet, qui serait le second plus gros botnet mondial, est géré par des cybercriminels dans un but commercial : proposer leurs services pour envoyer des spam "sur mesure".
Des grilles de tarifs très précises sont d'ailleurs indiquées par ces criminels :
Mais le service n'est pas limité à la Russie : des tarifs sont fournis par pays. Ainsi, cela reviendrait à 7000 roubles pour spammer 3 millions de particuliers français.
D'un point de vue technique, Pushdo/Cutwail est plutôt bien programmé, et tente de se dissimuler au mieux sur un système infecté : opérations minimales d'écriture sur le disque de la victime (la plupart des informations sont stockées en mémoire et non sur le disque), et son code varie très fréquemment.
En plus de ses fonctionnalités de spam, Pushdo peut déposer d'autres malware sur le système infecté, permettant ainsi de générer d'autres revenus pour ses propriétaires : un service de distribution de malware.
D'autre part, il embarque un module de sniffing qui lui permet de faire de la collecte d'adresses e-mail, alimentant probablement les listes ciblées établies par ses exploitants.
Ce réseau va même jusqu'à proposer à ses clients de leur créer des sites web, pour que leurs spams gagnent en crédibilité...
De nombreux éléments dans l'enquête de Trend laissent à penser que ses auteurs et ses exploitants sont russes. Notamment une clef de chiffrement contenue dans le malware, qui se révèle être une phrase russe écrite à l'envers et pouvant être traduite par "screw you my friend".
Quant au site principal des auteurs, son hébergement varie. J'ai effectué une recherche rapide et pu trouver très rapidement 135 autres noms de domaines hébergés au même endroit (actuellement en Allemagne), dont voici la liste:
0yandex.ru
1spam.ru
2009-rosmould.ru
abusehost.ru
abushost.ru
abuz-host.ru
abuzhost.ru
advert1.ru
akrobo.ru
allo-intim.ru
analyzersrlp3.ru
balashcity.ru
balashclty.ru
balashhouse.ru
balashlhouse.ru
balashouse.ru
bal-ka.ru
ballashouse.ru
bldroup.ru
bl-roup.ru
bluectone.ru
buildhost.ru
cammin.ru
clulbclha.ru
collortrac.ru
delaemsayti.ru
detmirru.ru
devisex.ru
ecopane1.ru
email-advert.ru
email-spam.ru
emailspam.ru
email-s.ru
engl4u2.ru
enterboom.ru
eralash-megashou.ru
evroreklama.ru
farma-reklama.ru
fingertru.ru
flowermagazin.ru
forumdeneg.ru
forum-it.ru
giftoportal.ru
goohost.ru
gooreklama.ru
granlt-m.ru
gssotravell.ru
halljas.com
hotellmetallurg.ru
hot-english.ru
hruhru.ru
igrushki-detiam.ru
inet-email.ru
inter-reklama.ru
isuzu-darom.ru
kdr-english.ru
kompforum.ru
kompkatalog.ru
lky-ky.ru
llght-decor.ru
madeforwomen.ru
magazinreklamy.ru
magicstaffmed.ru
mailadvertising.ru
mailer1.ru
med-consulting.ru
metalstuff.ru
mnogonarodu.ru
neintim.ru
ns1.buildhost.ru
online-email.ru
online-korp.ru
online-mail.ru
online-mas.ru
online-master.ru
online-million.ru
online-standart.ru
online-start.ru
online-vzlet.ru
origtovary.ru
peklama-best.ru
pereplanlrovka.ru
pingov.ru
poligrafarsenal.ru
polligrafarssenal.ru
polligralfarsenall.ru
poslh-slhop.ru
ppkurort.ru
precisely.ru
printarsenal.ru
proektclty.ru
projekt-online.ru
rassilka-online.ru
reklamict.ru
reklmagazin.ru
reseller-soft.ru
rosmould-2009.ru
rucasinoru.ru
rucvetokru.ru
ruintimru.ru
rukinomania.ru
saitbaz.ru
seminar-on-line.ru
seomagnat.ru
setevaya-reklama.ru
setevayareklama.ru
shablon1.ru
sitepostroim.ru
sklb-trm.ru
smszasex.ru
spam502.ru
spamarena.ru
spam-magazin.ru
spamonline.ru
spmagazin.ru
spmmagazin.ru
stroyka-best.ru
stroy-systems.ru
super-fuel-max.ru
super-kvartiry.ru
super-mailer.ru
super-rassylka.ru
svet-rus.ru
testcenterrt.ru
topspam.ru
turistmag.ru
video77.ru
vldeo-girl.ru
wmir.biz
yandex1.ru
zemli777.ru
zemlya777.ru
zmailer.ru
zvezdam.ru
La plupart des noms sont suffisamment explicites... Un joli nid bulletproof à services de spam, parmi autres joyeusetés. Je ne saurais que trop vous conseiller de ne pas aller y naviguer, la probabilité qu'ils propagent du malware n'étant pas négligeable...
Nul doute en tout cas que nos boites aux lettres vont continuer à souffrir de ce genre de services à la demande.
Tuesday, March 31 2009
By Cedric Pernet on Tuesday, March 31 2009, 09:39 - General
Je me suis rendu au FIC (Forum International Cybercriminalité) le 24 mars dernier. J'ai posté un compte-rendu de cet évènement sur le blog du CERT Lexsi ici.
Je tiens à saluer et remercier tous mes amis présents à cet évènement, en particulier mes amis belges Serge H, Christophe M, Olivier B, ainsi que David B, Franck V, Marc O (et ses anecdotes savoureuses), Solange B.F., David C, Georges L, Nicolas B, ainsi que toutes les autres personnes présentes avec lesquelles j'ai eu plaisir à discuter. A bientôt au FIC 2010, ou avant à Solutions Linux !
Wednesday, March 4 2009
By Cedric Pernet on Wednesday, March 4 2009, 18:19 - Windows
Difficile de passer à côté des scareware ces derniers temps, même en ne travaillant pas dans la sécurité informatique ou la cybercriminalité.
Très succintement, un scareware est un logiciel qui se fait passer pour un respectable anti-virus mais n'en est pas un. Dans quel but ? Vous faire payer pour une license, ou même infecter votre machine et ainsi vous voler de la donnée...
Toute une économie souterraine est alimentée par ce type de maliciel, qui peut se révéler très lucratif pour certains escrocs. Une excellente étude du phénomène a d'ailleurs été publiée par Joe Stewart de SecureWorks il y a quelques temps.
Plus récemment, j'ai lu un article de Dancho Danchev qui m'a d'abord fait rire, avant de me dire que comme d'habitude, les fraudeurs avaient décidément beaucoup d'imagination...
Il est fait état d'un rogue anti-virus (scareware donc) nommé "Anti-Virus 1" qui une fois installé sur votre poste modifie certaines de vos navigations... En l'occurence, le logiciel procède en effectuant une légère modification du fichier host de votre système Windows. Le résultat ? Simple : lorsque vous naviguerez vers zdnet, toptenreviews, pc mag, pc pro, et j'en passe, vous verrez en fait une fausse page vantant les mérites... d'autres scareware !
Une méthode simple et probablement efficace de donner de la crédibilité à des applications néfastes...
J'en profite donc pour rappeller une bonne pratique pour les nouveaux-venus dans le monde informatique, qui sont les principales victimes de ce phénomène de scareware :
N'utilisez que des solutions anti-virales *connues* ! Et surtout, en cas de doute, plutôt que de télécharger et d'installer un anti-virus trouvé sur Internet, demandez son avis à quelqu'un qui a un peu plus d'expérience dans le domaine.
Wednesday, January 7 2009
By Cedric Pernet on Wednesday, January 7 2009, 07:56 - General
J'ai posté hier mon estimation de l'évolution de la cybercriminalité en 2009 sur le blog du CERT Lexsi. Je vous renvoie donc là-bas si ça vous intéresse...
Monday, January 5 2009
By Cedric Pernet on Monday, January 5 2009, 19:11 - General
Youpi, MISC 41 est sorti.
Ce numéro fête les 7 ans du magazine et comprend un dossier très intéressant :
"La Cybercriminalité ... Où quand le net se met au crime organisé"
Vous y trouverez un de mes articles, intitulé "Blanchiment d'argent sur Internet". Je n'en dis pas plus ...
Sunday, January 4 2009
By Cedric Pernet on Sunday, January 4 2009, 22:02 - Personnal
Just a quick post to wish you all a happy new year 2009 ...
I am wishing you health, joy, love, professionnal success ... I am also wishing you everything else you could wish for, I cannot do more :-p
As for me, as always when starting a new year, I hope I'll be able to post more on this weblog ... As for my real resolutions for the year, I hope to go on my way without any cigarette (6 years already), and to make more sports ... But you know, this whole resolution stuff is not really my cup of tea ...
2009 is very promising for me, on both professional and personnal ground. Challenges and emotions, that's what makes me run !
See you soon !
By Cedric Pernet on Sunday, January 4 2009, 21:49 - Personnal
Petit post rapide pour vous souhaiter à tous & toutes une bonne année 2009...
Je vous souhaite santé, bonheur, amour, réussite professionnelle, ainsi que la concrétisation de tout ce que vous pourriez souhaiter ... Je ne peux pas faire mieux :-p
De mon côté, et comme à chaque début d'année, je souhaite pouvoir poster plus souvent sur ce blog ... Quant à mes véritables résolutions de 2009, j'espère poursuivre ma root route sans cigarettes (6 ans déjà), et faire plus de sport ...En même temps, ce n'est pas trop mon trip, l'histoire des résolutions...
L'année 2009 promet en tout cas d'être passionnante pour moi, autant au niveau professionnel que personnel. Challenges et émotions, il n'y a que ça de vrai...
A bientôt donc !
Wednesday, December 10 2008
By Cedric Pernet on Wednesday, December 10 2008, 07:53
Les attaques par bruteforce SSH existent depuis des années. Il s'agit tout simplement pour un attaquant de trouver un serveur SSH à attaquer (souvent par un scan de plages complètes d'adresses IP) et d'essayer d'obtenir un accès SSH. Pour cela, l'attaquant tente de trouver un identifiant et un mot de passe valide.
Ce type d'attaque laisse d'énormes traces dans les logs. On y voit clairement des tentatives de connexion avec des noms d'utilisateurs bien connus (guest, root, etc.) ou sortis d'une liste (alex, mike, etc.).
De nombreuses tentatives infructueuses sont ainsi constatées, l'attaquant essayant souvent plusieurs dizaines de mots de passe courants (toto, frodo, starwars, barneystinson etc.).
Habituellement, une seule adresse IP était utilisée à ces fins. Il était très facile de faire bannir une adresse IP qui essayait de se logger sur plusieurs comptes, ou qui tentait de se connecter plus de x fois sur un compte.
Or depuis la semaine dernière, et même si je pense que la technique existe depuis beaucoup plus longtemps que ça, certains chercheurs en sécurité informatique s'inquiètent de voir apparaitre des tentatives d'attaque par bruteforce SSH provenant de botnets. (La synthèse d'Arbor Networks est bien rédigée, je vous laisse la lire, elle reprend d'autres posts également)
Ainsi, l'attaquant peut utiliser des centaines d'adresses IP différentes pour essayer de trouver un accès valide. Chaque IP ne sera vue qu'une ou deux fois, et ne sera pas bannie.
Afin de contrer ces attaques, il semble donc judicieux d'établir des règles strictes sur les accès:
Tuesday, November 25 2008
By Cedric Pernet on Tuesday, November 25 2008, 18:54 - General
Vous vous souvenez peut-être de cet évènement judiciaire survenu en 2004. Une enseignante américaine de 40 ans, Julie Amero, se trouvait dans une salle de classe avec ses élèves et un ordinateur, lorsque le navigateur Internet Explorer de ce dernier s'est mis à ouvrir de multiples fenêtres (pop ups) contenant de la pornographie.Je schématise beaucoup mais vous pourrez trouver de nombreux articles sur le net si vous voulez en savoir plus (wikipedia).
Plainte fût déposée, et l'affaire s'est éternisée.
Ma réaction de l'époque fut de me dire que l'on risquait de voir se profiler de nombreuses plaintes du même type, étant donné le nombre d'utilisateurs à qui cela arrive à des moments plus ou moins incongrus. Je pensais que l'affaire allait être jugée rapidement et que Julie s'en tirerait sans trop de soucis. Je me trompais lourdement.
L'affaire a duré jusqu'à maintenant. Le jugement définitif a été rendu lundi dernier et Julie est enfin débarassée de ce poids et de cette honte qui planait sur elle.
Néanmoins, bien que cette partie de l'histoire soit intéressante, la partie cachée l'est tout autant : les analyses forensic pratiquées sur le poste de travail concerné.
Alex Eckelberry de Sunbelt, expert qu'il n'est plus nécessaire de présenter, a réuni une équipe de bénévoles pendant le procès afin de proposer leur expertise forensic. L'équipe composée d' Alex, Glenn Dardick, Joel A. Folkers, Alex Shipp, Eric Sites, Joe Stewart, et Robin Stuart, s'est donc retrouvée avec une image de type "ghost" à analyser.
Alex et son équipe ont fourni un travail de qualité, qui est résumé succintement dans un excellent document publié par Alex sur le blog de Sunbelt.
Ce document, très bien rédigé, est clair et précis, même pour l'utilisateur moyen. Sa lecture est très plaisante, et éducative. Alex explique une bonne partie des recherches effectuées, et les résume en termes très simples. Je ne peux que lui tirer mon chapeau, me rappellant certains moments de ma propre expérience professionnelle au cours desquels je devais expliquer de façon très schématique et claire certains concepts de sécurité informatique à des personnes qui n'avaient aucune connaissance particulière. Mais revenons-en à nos moutons.
Ce document montre à quel points certaines pratiques peuvent être nuisibles à l'enquête forensic, et nous rappelle quelques bonnes pratiques. Je tiens à souligner quelques points évoqués largement dans le document:
Je vais en rester là, n'ayant pas envie de passer ma soirée à troller sur certains aspects de cette affaire. Notre pauvre Julie, dont je n'imagine même pas la souffrance morale qu'elle a subi, peut néanmoins remercier des personnes intègres et compétentes comme les analystes forensic qui ont travaillé bénévolement pour elle, sans quoi le procès aurait pu prendre une toute autre tournure 
Monday, November 24 2008
By Cedric Pernet on Monday, November 24 2008, 18:29 - General
Et voilà, les 2 jours d'Infosec sont passés... J'ai un peu tardé pour écrire ce billet mais j'avais tout simplement la flemme de faire la photo rituelle des "goodies" accumulées lors des 2 jours.
Bref, j'ai été un peu déçu cette année ... Encore plus de commerciaux mais bon c'est le jeu après tout... Par contre, j'ai été déçu par :
J'ai apprécié:
Pour finir, je salue chaleureusement tous ceux que j'ai pu croiser à Infosec 2008, en particulier les copains de chez INL (Jérôme, Vincent, et toute la clique), Thomas, Denis B., Marc O., Jérôme A., Antoine P., Nicolas B., Marc B., les gens de chez Lexsi, et un certain SRT...
Enfin, voilà quelques photos : le stand INL, le Knight de chez Bull, et ma récolte de goodies
See ya @infosec 2009
Monday, November 17 2008
By Cedric Pernet on Monday, November 17 2008, 11:41 - Security
Eh oui ... Le 19 et le 20 novembre 2008, c'est INFOSEC. Je devrais plutôt parler d'Infosecurity même mais bon... Ca fait des années que nous parlons d'Infosec finalement.
Bref, cette année changement de lieu, puisque ça se passe à la Porte de Versailles. J'y serais normalement les deux jours, et bien évidemment si vous passez par là-bas, passez-moi un petit coup de fil, on ira se boire un café ou troller sur un stand
@++ à Infosec !
Thursday, November 13 2008
By Cedric Pernet on Thursday, November 13 2008, 17:54 - General
Here is the link to an article I just wrote for CERT Lexsi. It's about the fraudulent hosting company McColo, and my own investigations about it.
Wednesday, November 5 2008
By Cedric Pernet on Wednesday, November 5 2008, 23:11 - General
Hi all,
Just a short post to ask all my readers if they would want to see more posts here, but in a kind of microblogging way (a kind of frequent review with few comments about computer security news), or if they would prefer few posts (once or twice a month), but longer ?
You can answer privately or comment this post, as you wish. Thank you
--
French short version :
Voudriez-vous voir plus de posts sur ce blog, de façon "microblog" (commentaires et liens sur l'actualité de la sécurité informatique), ou préfèreriez-vous moins de posts (1 ou 2 par mois), mais plus long ?
Réponses en privé ou en commentaire, merci
Tuesday, October 7 2008
By Cedric Pernet on Tuesday, October 7 2008, 14:27 - General
On m'a *un peu* reproché de favoriser l'anglais sur ce blog, sachant que j'avais annoncé au départ que la proportion d'articles FR/EN serait à peu près respectée... Est-ce ma faute si je dispose majoritairement de flux RSS en anglais, et que les seules mailing-lists que je trouve intéressantes le sont également ?
Bref, ce post n'est pas là pour blablater sur cet aspect linguistique, mais bien pour faire un peu le point sur le cas Atrivo/Intercage.
Pour rappel, cet hébergeur localisé aux US sur lequel j'ai déjà bloggé ici et là hébergeait apparemment 100% de données illicites telles que de la pédopornographie, des consoles d'administration de malware, du phishing, des faux sites, j'en passe et des meilleures...
Suite à l'étude de Jart Armin (lien dans mon premier post sur Atrivo, *flemme*) et au mouvement d'ensemble de la communauté de lutte contre la cybercriminalité, Atrivo se retrouvait sans connexion, après quelques épisodes de changement de peer etc.
Un nouvel article, cette fois-ci d'Ars Technica, apporte de l'eau au moulin. L'article nous indique ainsi que selon Messagelabs, qui est entre autre je le rappelle un *énorme* gestionnaire de trafic e-mail, l'activité globale des botnets s'est vue baisser de façon significative à la fermeture d'Atrivo :
L'impact a été de courte durée, puisqu'Atrivo est revenu online après sa première fermeture du 21 septembre 2008, et que certains de leurs clients ont probablement commencé à migrer rapidement toutes leurs données illicites et leurs command&control vers d'autres hébergeurs bulletproof.
Le spam quant à lui, malgré le fait que d'autres facteurs soient à prendre en compte, a baissé de 8,1% pour septembre 2008.
La fermeture d'Atrivo depuis le 21 septembre a fait couler beaucoup d'encre, et la communauté des professionnels de la sécurité informatique et de la lutte contre la cybercriminalité semble actuellement sur un mode de réflexion un peu plus mature que simplement vouloir fermer de nouveaux hébergeurs bulletproof, et dieu sait qu'il y en a encore un bon paquet. Les réflexions sur une meilleure collaboration avec les services judiciaires font partie intégrante de cette réflexion, de laquelle il émergera peut-être de nouvelles méthodes de lutte contre ce type d'hébergeurs. Time will tell.
Monday, October 6 2008
By Cedric Pernet on Monday, October 6 2008, 12:18 - General
Certains me définissent comme un empêcheur de tourner en rond dès qu'il s'agit d'aborder les compromissions de serveurs. On me considère comme quelqu'un de rigide sur cette problématique, et pas sans raison, je dois bien l'admettre. Le fait est que je fais partie de ces gens qui affirment haut et fort que compromettre un serveur hors du cadre strict de l'audit de sécurité est impardonnable.
Je me faisais cette réflexion suite à la lecture de cet article dans lequel il est dit je cite: "More than a month ago, Ian Amit, director of security research at Aladdin Knowledge Systems Inc., found and infiltrated a server belonging to a longtime customer of Neosploit".
Hmmm... Well... Vous ne trouvez rien de choquant dans ce petit extrait d'article ? Eh bien moi si. INFILTRATED. Voilà le mot. Il y a quelques années encore cela aurait été un scandale. Depuis quelques temps, cela semble normal. Une bonne partie de la communauté de recherche et de lutte contre la cybercriminalité semble approuver ces agissements, qui ont une nette tendance à se généraliser. De plus en plus, divers articles de divers chercheurs/experts/whatever sont publiés, et les informations qu'ils contiennent proviennent clairement de compromissions de serveurs appartenant aux "méchants".
N'est-ce-pas justement se placer au même niveau qu'eux finalement ? Qu'est-ce-qui justifierais plus cette compromission que celle qui va rooter des serveurs légitimes d'entreprises ou même de particuliers ? La légitime défense n'a pas cours sur la toile. Au regard de la loi, une compromission est une compromission. Point barre. L'article 323-1 du Code Pénal français ne fait pas de distinction, et c'est normal.
La tentation est grande, lorsque l'on travaille tous les jours sur du malware, du phishing, ou toute autre infraction liée à Internet, de passer "de l'autre côté" à un moment, sous prétexte de vouloir jeter un oeil sur le serveur, ou sur le fonctionnement courant d'une organisation criminelle. Et c'est l'escalade. Ca commence par un "boah, un petit scan de port, juste pour connaitre les services, c'est pas vraiment illégal..." ... Ca se poursuit par un "hmmm y'a peut-être de l'opendir, voyons voir ça..." ... Ensuite c'est le "grmbl pas d'opendir évident, en même temps, y'a un phpmyadmin ..." ... Je m'arrête là, mais une fois ce stade de réflexion atteint, rares sont ceux qui stoppent net leur exploration.
Ceux qui ont une conscience fragile essayent de justifier leurs actes. "Ce sont des serveurs de pirate, y'a jamais rien eu de légitime là-dessus..." ... "Je ne suis pas un black hat quand même, juste un peu gris...", j'en passe et des meilleures...
D'autres se fient aveuglément à leurs boss et ignorent souvent la loi. "Il ne peut rien m'arriver, c'est mon boss qui m'a ordonné de le faire". Gros hic ici. D'une part, le boss est complice par instigation, d'autre part, nul n'est censé ignorer la loi. L' employé est bel et bien auteur d'un délit. Le fait qu'il ait eu l'ordre de son patron de le faire jouera *à peine* en sa faveur dans le cas d'un procès. Il y a en effet de grandes chances pour que cet argument soit contrecarré par le célèbre "... Mais vous êtes un professionnel de la sécurité informatique Monsieur, vous ne pouviez d'autant plus ignorer que vous commettiez un délit ... ".
Je ne peux totalement blâmer les actes de ces personnes, dont la principale préoccupation est après tout de récupérer de l'information sur des fraudeurs, et apprendre à mieux les connaitre. D'autant plus que dans les cas de phishing, ce genre de compromission permet également de récupérer les adresses IP et les identifiants des victimes, et ainsi de permettre d'éviter certains virements frauduleux. Il n'en reste pas moins que ces bonnes intentions ne justifient pas un acte de piratage.
Enfin, ces actes causent de sérieux problèmes aux forces de l'ordre : ces compromissions lorsqu'elles sont détectées font que les données sont déplacées ailleurs, mettant souvent à plat certaines investigations judiciaires. Elles laissent aussi des traces dans des logs, rendent les criminels plus prudents, etc.
L'article de Computer World conclue par une citation de Ian Amit : "I hope that this will help both law enforcement and security researchers stay ahead of the game,". Là encore, je ne suis pas d'accord. Ok, j'ai apprécié les informations contenues dans l'article, mais j'aurai pu m'en passer. Pour avoir été Officier de Police Judiciaire dans une vie antérieure, je sais que certaines enquêtes sont corrompues par ces piratages, et finalement, je préfèrerais lire un article qui parle de l'arrestation des criminels plutôt que le report d'un piratage "éthique".
Sunday, October 5 2008
By Cedric Pernet on Sunday, October 5 2008, 17:13 - General
Well I guess it was high time to change the theme from this blog. I was really liking the old one (the japanese one) but it was unavailable under Dotclear 2.
So I finally took an hour to upgrade from dotclear 1.x to 2.x and I feel quite satisfied of the result, although I had some weird config problem which are now hopefully solved.
After some hesitation in the theme, I chose this nice "123ice" theme, preparing us for the cold winter that's slowly approaching. Credits + link to the theme down the blog.
« previous entries - page 1 of 5