Une série de dénis de service distribués ciblent en ce moment certaines banques étrangères. Depuis hier soir, une "credit union" américain subit une attaque de ce type, couplée à un phishing. Il s'agit d'un "reflected dDoS" dont n'arrivent pas à se sortir les ISPs de cette banque.

Visiblement, pas d'extorsion derrière tout ça, mais plutôt l'utilisation de cette technique pour "occuper" les équipes internes et mettre les logs de la banque sans dessus-dessous histoire de gagner quelques heures pour l'exploitation du site de phishing...

Selon nos amis de shadowserver.org, il y a en ce moment environ 200 plate-formes actives de contrôle de botnets dédiés aux déni de service.

Lik-sang, société basée à Hong-kong, spécialisée dans la revente de consoles de jeux-vidéos et d’accessoires associés vient de fermer ses portes après que Sony ait engagé plusieurs procédures judiciaires à son encontre pour atteinte à ses marques commerciales et viol de ses propriétés intellectuelles. Concrètement le site proposait des consoles portables PSP japonaises à des clients européens.

Un phisher astucieux a profité de cette annonce pour lancer une campagne visant spécifiquement les clients de Lik-Sang avec des commandes en cours. Le message indique que la société met tout en œuvre afin de rembourser les clients et, cerise sur le gateau, offre généreusement 9,99$, à tous les chanceux détenteurs d’un compte Paypal. Un lien redirige vers une fausse page au nom de la Pacific Game Technology (Holding) Limited (maison mère de Lik-Sang).

Le domaine correspondant à la fausse page Web, utilise la technique dite du « typosquatting », et remplace une lettre par une autre dans l’appelation afin de tromper la vigilance de l'internaute. Ici, ljk-sang.com pour lik-sang.com.

Une attaque de déni de service distribué a démarrée le 26 Octobre à l'encontre des services DNS offerts par l'association XName :

Toujours en cours, cette attaque a temporairement et partiellement privé de visibilité sur Internet les plus de 60.000 noms de domaines et sites Web associés dont les services DNS sont gérés gracieusement par l'association XName. L'avenir permettra peut-être d'en identifier les motivations et les acteurs, mais le choix d'attaquer une petite structure DNS fortement utilisée pour des sites Web Français constitue déjà un élément de réponse.

Cet évènement rappelle combien les serveurs DNS sont primordiaux pour le bon fonctionnement d'Internet, et qu'ils restent une cible de choix pour la réalisation de nombreuses menaces.

You may eventually remember last September’s outburst of blog entries and online articles criticizing laptop seizures at the Sudanese border. This measure was intended to prohibit entrance of "inconvenient contents", such as pornography etc. into Sudan.
However, the following article explains that a similar policy is also being applied at the US Border, under the "border search exception to the warrant requirement". I.e.: laptops can be confiscated for an indefinite period of time and without explanations from US customs officers.

The Association of Corporate Travel Executives and the American Bar Association have been especially preoccupied over this policy and have expressed some concerns.
It may at first just solely increase the use of remote accesses through VPN or the use of encrypted ways of data storage on portable devices. Whatever the case will be, this issue would be only partially solved by means of new technologies, as the following question remains open : whether a laptop, a Blackberry or a storage device user will be able to deny access to their devices to US customs services officials ? It seems that the officers have the time and the law with them, if someone ever refuses to collaborate.

An interesting point of view by ComputerWorld shows how issues of legal prohibition of technologies often produce some quite surprising results. In some cases, it only resulted in scientific research outsourcing. In other cases, it led to internal market growth in specific technology areas, such as privacy protection, data storage and transmission, etc.
http://www.computerworld.com.au/index.php/id;1018323284

Le phishing rencontre toujours un succès grandissant auprès des pirates. Certains poursuivent ces activités criminelles avec une malveillance qui atteint des sommets, et touchent des cibles de plus en plus surprenantes.
Ainsi, notre partenaire PIRT (Castlecops) nous a transmis un phishing qui vise AIL, une association italienne de lutte contre la leucémie.

Cette association propose d'effectuer des dons en ligne. Il n'a pas fallu bien longtemps à des escrocs pour y voir une nouvelle proie et une nouvelle source de revenus. Le site est actif depuis plus de 24 heures, à l'adresse: http://62.217.53.211/leucemie/.

L'association a mis en garde les internautes sur sa page d'accueil face à cette attaque, mais il semble que l'hébergeur allemand du site Lexmon systems, qui a été prévenu, ne soit pas pressé de désactiver cette page.

Nous espérons que les auteurs de telles attaques seront confondus et que la confiance des internautes envers ce type d'oeuvre charitative ne sera pas trop écornée.

Après McDo, c'est au tour d'Apple de signaler un passager clandestin sur plusieurs iPod: RavMonE.exe, un vers de la famille RJump (McAfee) / Siweol (Symantec). Le problème a été identifié par Apple comme provenant d'une machine compromise au sein d'une unité de fabrication d'un prestataire :

"it was traced to a particular Windows machine in the manufacturing lines of a contract manufacturer that builds the iPods for Apple".

La mauvaise publicité a donc affecté à la fois les 2 concurrents...

http://news.com.com/Apple+loads+Windows+virus+on+iPods

Dans une initiative on ne peut plus malheureuse, McDo a offert au Japon 10000 lecteurs MP3-USB, contenant une dizaine de chansons préchargées, ainsi qu’un cheval de Troie !

Celui-ci était selon les sources ci-dessous une variante de la famille QQPass, qui dérobe notamment les mots de passe sur le disque dur des victimes ayant connecté ce lecteur sur leur poste. Les Internautes ne se privent pas de critiquer l’opération et de nombreux commentaires fleurissent sur les blogs et mailing-lists spécialisés.

"Would you like fries with your spyware?"

http://www.gizmodo.com/gadgets/gadgets/mcdonalds-im-lovin-malware-207639.php
http://www.engadget.com/2006/10/16/mcdonalds
http://www.bloggernews.net/1648
http://www.vitalsecurity.org/2006/10/mcdonalds-serves-up-free-malware.html

Lors de la conférence ToorCon 2006 qui se déroulait du 29 septembre au 1er octobre 2006 à San Diego (US), une conférence a attiré tous les regards du monde de l'OpenSource, celle sur la démonstration de failles 0-day dans le navigateur Mozilla Firefox.

Mischa Spiegelmock et Andrew Wbeelsoi ont présenté leur travail de recherche de vulnérabilités dans le moteur de Firefox, déclarant avoir découvert une trentaine de failles Javascript exploitables afin d'exécuter du code sur le navigateur Firefox. Cette présentation a été illustrée par une démonstration de l'une de ces 0-day, combinée à quelques slides dans lesquelles des informations sur le code étaient disponibles.
Les deux compères ajoutèrent que ces failles étaient incorrigeables par la nature même de l'implémentation du moteur Firefox.
Un représentant de Mozilla est entré en scène pour demander que ces exploits ne soient pas dévoilés ou utilisés pour déployer des botnets, à ce quoi Mischa Spiegelmock et Andrew Wbeelsoi ont répondu que ces exploits ne seraient utilisés que pour la communication entre blackhats.

Réaction immédiate de Firefox, par l'intermédiaire de Window Snyder, qui déclarait après avoir pris connaissance de la vidéo et que cette faille semblait être une variante d'une ancienne attaque.
Ensuite s'en sont suivies de nombreuses informations et désinformations concernant ces fameuses failles 0-days. Plusieurs entrées bugzilla ont été ouvertes mais sont restées privées ne proposant que les changements du code, ce qui a continué à alimenter les rumeurs dans la communauté du libre.

Finalement, dans une lettre adressée à Window Snyder, Mischa Spiegelmock retourne sa veste et annonce qu'il n'est pas en possession de ces 30 0-days et que cette présentation était un canular, qu'il n'a jamais été capable d'exécuter du code et finalement rejete l'annonce faite sur son binôme au ToorCon.

Beaucoup d'encre pour pas grand chose ? Un gros coup de pub ? Il existe néanmoins des dénis de service, et gardons aussi à l'esprit que la faille setslice d'Internet Explorer (Ref Lexsi : 7256) n'était au début qu'un simple déni de service... L'équipe Mozilla reste sur ses gardes.

Cette vulnérabilité (Réf Lexsi 7256) qui concerne Microsoft Internet Explorer n'est pas nouvelle : Nous l'avons saisie dans notre base de vulnérabilités le 18 Juillet de cette année. Il s'agissait alors d'un simple déni de service par le biais d'un contrôle ActiveX nommé "WebViewFolderIcon".

Malheureusement, il a été identifié comment exécuter du code arbitraire à l'aide de cette vulnérabilité, et elle est désormais utilisée par de nombreux sites Web malveillants. Comme souvent dans le cadre d'une faille concernant un ActiveX, il est possible de le désactiver en positionnant le fameux "kill bit" sur les clefs de base de registre suivantes :
- HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
{e5df9d10-3b52-11d1-83e8-00a0c90dc849}
- HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
{844F4806-E8A8-11d2-9652-00C04FC30871}