Les données personnelles de plusieurs centaines de milliers de clients (263.822, excusez du peu) d'Astroglide, spécialiste américain de lubrifiants destinés aux relations intimes, ont été exposées au regard de tous. Concrètement, les noms, adresses de courriels et adresses de livraison (aucune information bancaire heureusement) de tous ceux qui avaient commandé des petites fioles du précieux liquide entre 2003 et 2007 ont été malencontreusement rendus publics et indexés par Google. On trouve notamment une commande effectuée au nom de George W. Bush (on me signale qu'il s'agirait d'un fake). Parmi les vrais gens, on trouve des étudiants, des programmeurs, des docteurs et même un doyen d'une prestigieuse université américaine.

La société Biofilm Inc. qui possède la marque Astroglide et administre le site associé a nié toute responsabilité dans cette fuite d'informations sensibles et a courageusement pointé du doigt l'algorithme d'indexation de Google :

(...)We received a call from someone who had looked up his own name on Google and found, among other entries, his request for an Astroglide sample. We immediately investigated and discovered that this was limited to Google. Text files were not available on Yahoo or other search engines. Although this was clearly a Google issue, Astroglide didn’t want to waste any time in fixing the problem in order to protect the security of our customer files. We have never sold nor shared any of our database information, and we don’t even recontact people. Although what transpired was beyond our control, Astroglide has always made the security of our internet customers our top priority and we deeply regret this unique and unfortunate occurrence."(...)

Texte complet disponible ici. Grossière et peu convaincante façon de se defausser de toute responsabilité !

Les données ont été rendues inaccessibles (après plusieurs jours et quelques couacs), même s'il reste quelques traces...

When you call yourself Mr-Brain, well, you have to prove it, right? And when you consider yourself a scam *artist*, you at least have to show that you can be stealth. XXX uncovered one on these multi-scam-kits websites yesterday and I was surprised to see a phishing kit for DSL subscribers of free.fr (the French ISP for geeks). I'm a long standing client of free.fr and that was the first time I've seen a phishing kit for them... so I began to dig.

On this scam repository (what for? Why the hell do you have to put a phish-kits' repository on a website, with commercials?), there were all the usual targets (Chase, Barclays, hsbc...) and all kits were really kiddy-style (23 lines-long php file that send stolen credentials to a hotmail address):

Mr Brain considers himself as really smart in the online world. He even knows how to put a fake ID in whois, uh. But brain surgery still needs improvements these days because he doesn't know the obscure terms "reverse-ip" and "dns logs". No one's perfect.

Browsing the websites he operates, we can uncover that this moroccan boy has some mental disease I can't diagnose right now, but islamic website on the one hand while pornographic and phishing ones on the other hand : this is schyzophrenia, right?

Even phishing attacks can have special discount offer nowadays...
Thanks to David A. Harley, an active writer and researcher in the security community, we found a phishing campaign targeting both Paypal AND MidAmerica IN THE SAME SPAM !

Both fraudulent sites were up at the time of this writing.

Revente de cocaïne par internet ?

Un nouveau message de spam incite à acheter des contrefaçons de médicaments, ce qui est banal. Pourtant, l'argument commercial est assez original...

Maintenant que le Cialis et le Viagra & Co sont des produits courants, la nouvelle tendance des contrefacteurs de médicaments serait-elle de se tourner vers la revente de drogues dures?

Le site de l'Agence Bolivienne d'Information (http://abi.bo), mentionné dans le courriel, était évidemment "spoofé" et redirigeait vers un autre site (http://fastpharm.net/index.php) qui ne proposait pas de cocaïne mais des médicaments comme Cialis, Viagra, Xanax & Co.

Il semblerait que, pour l'originalité du texte, ils se soient inspirés simplement d'une entrée de Wikipédia (http://en.wikipedia.org/wiki/Cocaine), bien qu'ayant oublié de citer le paragraphe intitulé :

Prohibition currently

Some countries, such as Peru and Bolivia permit the cultivation of coca leaf for traditional consumption by the local indigenous population, but nevertheless prohibit the production, sale and consumption of cocaine.

La 8ème édition de CanSecWest s'est tenue à Vancouver du 18 au 20 avril. Outre les conférences et les dojos habituels, il y a eu un petit concours consistant à prendre le contrôle à distance de deux Apple Mac OS X comprenant tous les derniers correctifs de sécurité. A gagner : les Macbooks eux-mêmes ! Pour mettre un peu plus de piment dans l'affaire, TippingPoint, filiale de 3COM et créateur du Zero Day Initiave, a rajouté 10 000 dollars dans la balance.

Dans un premier temps, les participants n'avaient comme information que le nom du réseau Wifi mis en place ("SSID"). Aucun d'entre eux n'auraient alors réussi à prendre le contrôle des machines. Les organisateurs leur donnent alors une adresse de courriel en indiquant qu'ils navigueront sur tout lien présent dans les messages avec Safari. Il n'en fallait pas plus à deux chercheurs en sécurité pour mettre en place une page web malicieuse contenant une "0-day" pour le navigateur d'Apple et gagner le concours.

Ils ont en effet pu installer un interprète de commandes distant avec les droits de l'utilisateur ayant visité la page. La faille semble se situer dans Quicktime au niveau des fonctions concernant la prise en charge de Java. La mauvaise nouvelle est qu'elle serait apparemment exploitable quel que soit le navigateur (donc sous Mozilla Firefox aussi) et que la version Microsoft Windows de Quicktime serait aussi impactée.

En attendant un correctif officiel, désactiver la prise en charge de Java dans le navigateur semble empêcher l'exploitation de la vulnérabilité. Vous pouvez retrouver tous les détails sur notre bulletin Ref. Lexsi 8453.

Ca ressemble à de véritables logiciels, c'est souvent proposé gratuitement (au début du moins, faut bien payer un jour), et c'est garanti "100% Customers Satisfaction" (c'est vous dire !) : Bienvenue dans le monde des vraies-fausses solutions de sécurité !

Il est toujours intéressant de présenter des exemples concrets de sites Web proposant, sous couvert de vous aider à résoudre un dysfonctionnement grave de votre machine, des logiciels qui vont surtout détourner les ressources de votre système et abuser de vos données personnelles. En effet, l'art de l'imitation et du faux "plus vrai que vrai" n'est pas réservé aux tableaux de grand maîtres ou aux sites de "phisheurs" : Il en existe également une belle collection dans le domaine des solutions de sécurité informatique.

Ouvrons la liste avec les imitateurs d'antivirus, tel que "WinAntiVirus" :



On remarque l'illustration du logiciel sous la forme d'une boite que l'on pourrait acheter, en toute confiance, dans un magasin ayant pignon sur rue ...

Et bien sûr, toujours dans le registre des anti-anti-spyware, le célèbre "SpySheriff" :

Soit-disant "anti-spyware", il a surtout pour habitude d'être installé par le biais de failles de sécurité du navigateur Web.

Concluons avec la troisième catégorie bien représentée, "les logiciels qui réparent facilement les erreurs de la base de registre", tel que notre ami "RegFixer" :

Comme bien souvent, on le retrouve aussi sous d'autres noms, tels que "Repair Registry Pro". Bref, même si souvent la supercherie n'est pas difficile à détecter, il convient d'être méfiant avant de télécharger tout (et n'importe quoi) sur le Web.

To hack websites, even by defacing phishing pages, could maybe seem funny but is still NOT cool (a.k.a : legal).

A less intrusive move to help is to notify people involved (owner, registrar, hosting provider, anti-phishing teams and toolbars...) and law enforcement agencies.

And for those who don't know The BOFH, here is the Wikipedia entry.

Un nouveau ver est actuellement en activité sur le réseau Skype. Il a notamment été identifié par F-Secure sous l'appellation IM-Worm:W32/Pykse.A.

Il se propage en envoyant un message à tous les contacts d'un utilisateur infecté, leur proposant un lien vers un fichier image accompagné d'un court message ou d'une émoticône. Le ver prend aussi soin de placer l'utilisateur infecté en mode "Do Not Disturb", afin que celui-ci ne reçoive pas de nouveaux appels et messages.

Un clic sur le lien provoque le téléchargement d'un malware et l'affichage de la photo d'une demoiselle légèrement vêtue, afin de détourner l'attention de l'utilisateur piégé. Le ver semble avoir été conçu afin de promouvoir les sites web suivants :

• http://aras.lookingat.us/index.htm
• http://asilas.my-php.net/index.html
• http://bobodada.3-hosting.net/index.html
• http://bobos45.bebto.com/index.html
• http://gogo442.hatesit.com/index.html
• http://jackdaniels.110mb.com/index.html
• http://timboss.1majorhost.com/index.html
• http://zozole.php0h.com/index.html

Les sites ont tous l'aspect suivant :

Le malware se connecte aussi au site http://aras.allfreehost.net/cal***nt.php, qui semble agir comme un compteur pour déterminer le nombre d'utilisateurs infectés.

Encore une fois, il est bon de rappeler qu'il est dangereux de cliquer sur des liens dont le nom semble attrayant lorsque vous ne connaissez pas l'expéditeur, ou si le message associé ne semble pas naturel.

Deux jours après la publication des correctifs mensuels, Microsoft annonce qu'une vulnérabilité dans les serveur DNS équipant les éditions serveur de son système d'exploitation est actuellement exploitée "dans la nature". Un attaquant pourrait ainsi exécuter du code arbitraire à distance avec les privilèges SYSTEM (Ref. Lexsi 8425).

D'après le SANS Institute, qui a analysé plus précisément les attaques, cette faille serait une adaptation de la faille DCOM (Ref. Lexsi 3209), qui a été activement exploitée par le ver Blaster lors de l'été 2003.

En l'attente d'un correctif de la part de Microsoft, prévu pour le mois prochain, les administrateurs sont invités à désactiver l'administration à distance des services DNS par RPC.

Nous assistons depuis hier à la propagation d’une variante du ver "Storm". Le malware est envoyé par courriel à des dizaines de millions d’internautes. Il s’agit bien évidemment d’un de ces malware « pandémiques » dont nous perdons progressivement l’habitude…

Alors que notre esprit malade nous pousse à souligner, depuis plusieurs mois, le manque de réactivité et d’exhaustivité des traditionnels éditeurs antivirus, il est intéressant dans ce cas précis de dresser un état des lieux de la détection de cette attaque.

En effet, si les éditeurs antivirus ne sont (dans leur majorité) pas encore au niveau de détection souhaité face à l’extraordinaire développement du volume de malware en général, nous pensions, peut-être à tort, que ceux-ci faillissaient sur le volume pour se concentrer sur les attaques pandémiques. Le cas présent (détaillé plus loin) nous pousse hélas à revoir notre jugement.

J’ai repris consciencieusement toutes les traces de cette variante, qui se présente sous la forme d’un fichier compressé attaché à un courriel dont le contenu est le suivant :

La première personne a avoir communiqué (sur une liste de diffusion privée, pourtant) une analyse de ce malware serait, d’après mes recherches, Jose Nazario, d’Arbor Networks (12 avril, 18h41 UTC). Ce n’est donc pas un éditeur antivirus puisque cette société est un prestataire de lutte contre les dénis de service…

Un peu plus de 2 heures plus tard, l’ISC (Internet Storm Center) du SANS Institute mentionne l’existence de cette attaque. A 21h16, une analyse VirusTotal montre que notamment ni McAfee, ni Kaspersky, ni Sophos, ni Microsoft ne détectent encore le suspect. Le (presque) nouveau venu Prevx, dont le slogan est « We see more malware. We see it faster. We protect you better »… ne voit rien non plus.

Reste la célèbre liste Full-Disclosure sur laquelle reposent bien des détections de nouvelles vulnérabilités. Et là, la première interrogation timide ne vient que le lendemain à 00h10.

Près de 12h après le lancement de cette attaque, il reste encore une grosse majorité d’antivirus qui se demandent : quoi ? pour qui ? pour quoi ?

Une question de fond nous taraude : pourquoi les acteurs d’un marché de l’antivirus de quatre milliards de dollars, et qui représentent un maillon critique de la sécurité d’Internet, ne peuvent faire mieux qu’une armée mexicaine de chercheurs dont ce n’est pas le métier ?

Par ailleurs, il faut bien le reconnaitre, nous avons aussi été les premiers surpris du niveau de diffusion de ce malware : on peut légitimement se demander pourquoi tant de passerelles de messagerie d’entreprise tolèrent encore des courriels contenant, in fine, un fichier exécutable …

Nicolas

According to the excellent blog The Spam Diaries, clients of Ameritrade may have been targeted by pump-and-dump scams. NANA's entries do confirm this is the second time this type of leakage occurs (here and here). Hacking or (most probably) insider leaks?

About 8 months ago, Ameritrade lost 4m$ (while eTrade lost 18m$) as fraudsters used stolen account credentials of legitimate clients to massively buy penny stocks they handled on the other hand. Good news, some of these bank robbers seem to have been arrested.

Electronic brokerage providers do face a large specter of fraud schemes such as phishing websites, malware, pump&dump... But that is not enough for this company: they also lose backup tapes with 200.000 clients' details.

Comme chaque mois (ou presque...), Microsoft a publié sa liste de correctifs. Rappelons que la publication du correctif pour la faille des curseurs ANI, qui devait faire partie du lot d'aujourd'hui, avait été avancée d'une semaine en raison de sa criticité et des nombreux codes d'exploitations disponibles dans la nature. Voici les failles critiques au menu de ce mois-ci :

MS07-018 : Content Management Server, le système de gestion de contenu de Microsoft, est affecté par deux vulnérabilités, dont une permettant l'exécution arbitraire de code à distance (Ref. Lexsi 8409).

MS07-019 : le composant Universal Plug and Play (UPnP) de Windows est affecté par une vulnérabilité permettant l'exécution arbitraire de code à distance (Ref. Lexsi 8410). Un code d'exploitation non-public, dont on ne connait pas la portée, existe.

MS07-020 : le composant Microsoft Agent de Windows est affecté par une vulnérabilité permettant l'exécution arbitraire de code à distance par l'intermédiaire de certains contrôles ActiveX (Ref. Lexsi 8411).

MS07-021 : parmi les trois failles corrigées par ce bulletin sur le composant CSRSS (Client/Server Runtime Server Subsystem) de Windows, une était déjà connue et des codes d'exploitation de déni de service local disponibles (Ref. Lexsi 7931). Les deux autres concernent une élévation locale de privilège et un déni de service (Ref. Lexsi 8413).

Une autre faille de type condition de concurrence dans le noyau (MS-07-022) est qualifiée d'"importante" (Ref. Lexsi 8412).

On croyait avoir à peu près fait de le tour de l'insécurité du protocole WEP avec l'ensemble des papiers publiés depuis plus de 6 ans sur le sujet. Un nouveau document de recherche écrit par des chercheurs de l'université de Darmstadt pousse pourtant encore plus loin l'état de l'art. Publié le 1er avril avec un titre aguicheur, Breaking 104 bit WEP in less than 60 seconds aurait pu passer pour un simple canular si une preuve de concept des idées développées n'avait pas été donnée. Pour résumer : avec leur nouvel outil aircrack-ptw, il est possible de retrouver une clé WEP de 104 bits à l'aide de seulement 40 000 paquets, avec une probabilité de 50 %, soit très rapidement. Il s'agit d'une attaque active, c'est-à-dire nécessitant l'envoi de paquets ; elle est donc potentiellement détectable.

Le papier décrit en fait l'application au WEP d'avancées récentes contre le protocole RC4, publiées par Klein, elles-mêmes issues de recherches menées par Fluhrer, Mantin et Shamir. Il est ainsi possible de retrouver les octets de la clé WEP indépendamment les uns après les autres. Comme d'autres attaques précédemment publiées, celle-ci utilise les paquets ARP, car leur taille est fixe (36 octets tout compris) et leur contenu partiellement connu à l'avance (les 8 premiers octets du paquet et de la charge utile), afin de récolter suffisamment de paquets intéressants.

Au final, pour avoir une probabilité de 95 % de trouver la clé, il ne faut avoir capturé que 85 000 paquets, ce qui améliore d'un ordre de grandeur la rapidité des attaques connues jusqu'alors. L'attaque, en terme d'espace et de temps, est à la portée de tout ordinateur actuel et même des PDAs.

Le WEP ayant depuis longtemps montré de graves faiblesses dans la protection des réseaux sans-fils, nous ne saurions évidemment que trop vous conseiller d'utiliser le protocole WPA2 (voire WPA le cas échéant) sur votre périmètre.

Petite compilation des principaux poissons attrapés ce 1er avril sur les sites de la communauté InfoSec :

• Honneur au gros poisson de chez Google, qui devient ISP via son offre d’accès Internet : TiSP. On vous laisse découvrir la signification du "T" :
  

• Un peu de science-fiction avec les malware se transmettant aux humains chez Comodo . Assez classique, Websense avait en quelque sorte déjà prédit cette (r)évolution.

• Du « Fun(.A) » chez F-Secure, avec la pandémie d’infection à la Wii qui touche les salariés de l’éditeur finlandais…

• 2 nouveaux « Mois des Failles » sur McAfee et sur la mailing-liste NANOG.

• La palme (ou la nageoire plutôt) revient néanmoins à C|Net et son site de poissons…

• Mais le plus "beau" à nos yeux reste sans doute le XSS des Russes de Securitylab :

Vivement l'année prochaine !