Scott Granemman, consultant sécurité de renom, éditorialiste pour SecurityFocus, Linux Magazine et enseignant à l’université Washington de St Louis, a partagé dans un article l’expérience vécue par un de ses proches.

Son beau-frère, résident d’un pays de l’Union Européenne, aurait acheté sur Internet un iMac Intel d’occasion à une jeune femme. Jusque là, rien d’exceptionnel. Sauf qu’à la réception de la machine, il s’est rendu compte que le disque dur, protégé par un mot de passe, n’avait pas été effacé. Pensant avoir besoin du mot de passe pour installer le système, il a donc contacté la personne qui lui a gentiment fourni…

Le voilà donc en possession de l’ensemble des documents appartenant à la vendeuse, dont un lot de photos et de vidéos personnelles salaces la montrant dans diverses poses sans équivoque !!

Cette histoire simple aurait pu être un exemple de plus de l’absence de précautions de bases prises par les utilisateurs en terme de sécurisation de données personnelles, sauf que cette jeune femme se trouve être une présentatrice de télévision bien connue du pays en question !

Les « tabloïds » doivent s’en délecter d’avance tandis que le beau-frère de Scott Granemman a effacé les documents compromettant… après en avoir fait une copie sur son iPod. On est jamais trop prudent.

Scammers' ideas to rob Internet users seem to never stop.

Artists against 419 discovered today a particularly ironical website set up by Nigerian scammers. This fake site presents itself as an official european body in charge of tackling money laundering. It is rather simple and not very credible though, as the scammer put on the home page both the United Nations and the Council of Europe logos.

The domain is using nameservers from an american hosting provider -Cirtexhosting- that has been compromised and abused in another recent cybercrime case. A Romanian phisher gained control of one of their servers, and managed to host phishing sites targeting half a dozen French banks and an indefinite number of international financial institutions.

One of the most recognized and effective international body trying to combat money laundering issues is the Financial Action Task Force.

Initiative surprenante, la compagnie LSsecurity propose de vendre des informations sur des vulnérabilités non corrigés à des entreprises dites de "confiance". Jusqu'ici rien d'original, si ce n'est que LSsecurity redistribue un certain pourcentage des ventes à des organismes de charité. A ce jour, Zero Day Initiative a acheté plusieurs de ces vulnérabilités non corrigées. Quant aux organismes de charité, l'UNICEF et Vision2020 ont récolté respectivement 125$ et 120$ chacun.

Après discussion avec LSsecurity, on nous confirme que les découvertes ne sont vendues qu'à des entreprises de confiance (fournissant des services de protection, type TippingPoint).

Le "Package" fourni comprend :

• un document avec détails techniques, analyses debug et méthodes d'exploitation,
• un code d'exploitation opérationnel.
  

Le prix s'élève à $2,000.00 USD pour une vulnérabilité, sur lequel 5% est reversé à des oeuvres de charité selon LSsecurity, qui précise vouloir augmenter ce taux à 10% très prochainement.

Deux vulnérabilités sont en vente, à votre bon coeur messieurs dames !

En plus de ce projet, LSsecurity propose Akathisia, un fuzzer pour la recherche de vulnérabilités sur les interfaces RPC Windows.

La banque canadienne Desjardins a été la semaine dernière la cible d'une campagne de phishing rédigée dans un français quasiment impeccable, notamment au niveau des accents et de la concordance des temps (Notez néanmoins la faute : "si dessus"). Ce kit de phishing, utilisé depuis cet été dans plusieurs campagnes différentes, a donc selon nous reçu le concours d'individus maîtrisant la langue française.

Possibilité d'erreur lors de notre maintenance du réseau

Le département de vérification comptable du Groupe Desjardins a détecté un problème de transaction dans votre compte. Un montant a été déposé et retiré par notre système comptable. Nous vous avisons de cette erreur afin que vous ne soyez pas surpris quand vous verrez ces transactions sur votre relevé transactionnel. Nous avons repris le montant total sans appliquer les frais de transactions. Ne divulguez jamais vos renseignements personnels sur un site autre que le site sécurisé Desjardins. Si vous constatez une autre erreur, communiquez avec votre institution durant les heures de votre caisse.

Pour accéder à votre compte et vérifier que tout soit normal, cliquez sur ce lien sécurisé si dessus
https://accesd.desjardins.com/
(NDLR : lien spoofé, dirigeant vers :
http://desjardins.aboutparachutes.com/accesdesjardins/loggin/cgi.bin/secure/)

Soyez assuré que Desjardins met tout en œuvre pour protéger les utilisateurs de ses services Internet. Le Groupe Desjardins vous remercie de votre clientèle et apprécie votre compréhension.

Ce site de phishing n'est heureusement plus actif à l'heure où nous écrivons ces lignes. En revanche, un autre phishing, utilisant ce même kit, l'est toujours depuis le 24 novembre, à l'adresse suivante :
http://desjardins.mad.mw/cgi.bin/secure/secuADGestionAcces.html.

Ce phisher exploite vraisemblablement une vulnérabilité de Wiklog pour héberger le contenu sur mad.mw, un site relevant du registre en charge des domaines au Malawi.

La langue française était jusqu'à présent une barrière importante à l'entrée sur le "marché" du phishing des banques francophones, pour des pirates issus principalement d'Europe de l'Est. Ainsi, la qualité du message laisse augurer de nouvelles formes d'associations toujours plus professionnelles entre les cybercriminels. Et donc potentiellement des victimes de plus en plus nombreuses à ce type d'arnaque d'ores et déjà très rentable.

Vous avez sans aucun doute remarqué que le volume de spams diffusés actuellement bat des records. Les chiffres donnent le vertige : En octobre 2005, IronPort estimait à 31 milliards le volume de messages de ce type par jour ; un an plus tard, leur calculette affichait 61 milliards. On note également que la structure des messages a changé. Désormais ce sont 25% de l'ensemble de ces mails qui se composent d'une image (afin de tromper les filtres anti-spam), contre 4,8% il y a un an. De même, la taille d'un seul de ces messages est passée de 8.9 à 13 ko.

Qui n'a pas reçu récemment un mail anglophone l'invitant à investir sur des actions d'une petite entreprise promettant un rendement maximal ?

Pour bien prendre la mesure du phénomène et tenter de comprendre la nature de ces mails reçus en masse chaque jour, il convient de saisir les mécanismes à l'œuvre qui permettent un tel niveau de propagation.

Au commencement était l'outil.

Joe Stewart, ingénieur sécurité, oeuvrant pour la société américaine SecureWorks a récemment analysé le malware Spamthru. Au-delà du fait qu'il n'était détecté que par une petite moitié des logiciels antivirus du marché (au moment de cette analyse, et sous réserve de variantes à venir), son niveau de sophistication est assez exceptionnel.

La grande nouveauté se situe dans la structure même du réseau qu'il permet de constituer. À la différence des botnets ancienne génération qui adoptaient une structure pyramidale, intégrant un serveur de contrôle ayant la main sur l'ensemble des machines, rendant ainsi fragile l'équilibre de l'ensemble (il suffisait de déconnecter le serveur de contrôle pour faire tomber l'ensemble du réseau) Spamthru s'appuie sur un protocole peer-to-peer. Ainsi, il suffit de spécifier aux machines sous contrôle l'adresse d'un nouveau serveur de commandes pour garder la maîtrise de l'ensemble.

Il propose évidemment des fonctions de mass-mailing particulièrement bien étudiées. Ainsi, il permet le téléchargement sur la machine zombie d'un modèle (« template ») de spam crypté en AES. Chacun des messages indésirables en devenir est unique, une image GIF intégrant un pixel aléatoire qui assure la singularité de chacun des messages.

Le comble reste qu'il intègre son propre antivirus (une copie modifiée du logiciel Kaspersky AV) afin de scanner la machine hôte et éliminer la concurrence (comprendre les malwares déjà confortablement nichés sur la machine). Notons qu'il est également capable de mettre à jour sa base de signatures virales.

L'outil crée, il ne reste plus qu'à l'exploiter.

Il suffit bien souvent d’un petit groupe de pirates malintentionnés et suffisamment avisés pour impacter plusieurs dizaines de milliers de machines, diffuser plusieurs centaines de millions de messages et coûter 18 millions de dollars à un des plus grands services de comptes titres aux Etats-Unis.

Les autorités américaines ont enquêté sur un réseau russophone particulièrement bien organisé qui utilisait une variante de Spamthru. Ils ont ainsi découvert 73 000 machines sous contrôle, découpées en tranches de 512 bots, permettant l'envoi potentiel d'un milliard de mails par jour.

Joe Stewart a eu accès à plusieurs fichiers d'un serveur de contrôle, et s’est rendu compte que les pirates conservaient des statistiques complètes sur l'ensemble des machines infectées : OS utilisés (XP SP2 en majorité) ainsi que l'origine géographique des machines contrôlées (166 pays dont les Etats-Unis représente plus de la moitié des infections).

Mais les pirates, consciencieux, en plus d'utiliser les millions d'adresses mails récoltées sur les machines zombies, ont voulu atteindre le « cÅ“ur de cible » des informations boursières. A cette fin, ils ont piraté les bases de données d'une vingtaine de petits sites Web dédiés aux informations boursières afin de recueillir les coordonnées d'internautes censés être plus réceptifs aux spams boursiers. Du marketing sauvage en somme !

Au final, il est difficile d'estimer le coût total d'une telle fraude. Mais il est important de noter que la diffusion de spams ne constitue bien souvent qu'une des facettes du problème. Elle s'accompagne d'un faisceau de malveillance plus large intégrant pêle-mêle la création et la dissémination de malware, le vol d'informations personnelles, les attaques DDOS (et les schémas d'extorsions associés), les campagnes de phishing, et ses déclinaisons : pharming et « spear phishing ».

Comme indiqué dans notre fiche de vulnérabilités Ref. Lexsi 7507 à propos de la faille de sécurité liée au contrôle ActiveX "daxctle.ocx" (MS06-067) et exploitable par Internet Explorer, le code d'exploitation publié permettant d'exécuter du code arbitraire est de plus en plus utilisé. Voici une illustration du code source incriminé que l'on peut retrouver actuellement sur plusieurs sites Web malveillants ou compromis :

Le code d'exploitation a été développé par le groupe de pirates chinois bien connu, xsec.org.
Ce code Javascript, une fois décodé, révèle l'adresse à partir de laquelle est chargé le "malware" normalement automatiquement exécuté par le biais de la faille de sécurité :

Quand au "malware" en question, nommé ici "price.exe" et dont la nature et le nom varie d'un site à un autre, il est actuellement détecté par un petit nombre d'éditeurs antivirus sous les noms suivants :

• [AntiVir] TR/PSW.PdPinch.101376.1,
• [BitDefender] Trojan.PSW.PdPinch.D,
• [CAT-QuickHeal] Suspicious,
• [eSafe] suspicious Trojan/Worm,
• [Fortinet] suspicious,
• [Kaspersky] Trojan-PSW.Win32.PdPinch.gen,
• [Panda] Suspicious file.

Vigilance donc, et pensez à intégrer le correctif dans vos prochaines mises à jours.
Analyse technique effectuée par Florent MARCEAU.

L'entreprise américaine a, ces dernières semaines, successivement :

- été poursuivie en justice pour pratiques anti-compétitives,
- nommé son président et son directeur éxécutif à son comité d'administration,
- découvert plusieurs vulnérabilités critiques (PHP Buffer Overflow, Linux Kernel, etc.),
- reçu un prix de la prestigieuse IT Services Marketing Association,
- racheté Traverse Networks,

-et enfin... perdu un ordinateur portable contenant des informations personnelles d'un nombre indéfini de ses clients!

http://attrition.org/dataloss/Avaya.tif

Avaya est la dernière multinationale américaine à annoncer ce type de pertes de données (Starbucks, Hertz, T-Mobile récemment), mais certainement pas la dernière à en être victime...

Microsoft has published six security bulletins with five rated critical. Affected products are Windows, Internet Explorer, XML Core Services, Flash Player, Netware client services, Microsoft Agent, Workstation service. These bulletins provide patches for thirteen vulnerabilities.

MS06-066: Netware Client Service Buffer Overflow (Ref. Lexsi 7743)
MS06-067: Internet Explorer DirectAnimation and HTML Rendering Vulnerability (Ref. Lexsi 7742, 7507, 7431)
MS06-068: Microsoft Agent (Ref. Lexsi 7745),
MS06-069: Adobe Flash Player (Ref. Lexsi 7494, 7493, 7214, 7140),
MS06-070: Workstation service (Ref. Lexsi 7744),
MS06-071: MSXML Core Services (Ref. Lexsi 7688).

The Internet Explorer remote code execution Vulnerabilty (MS06-067) and the XML Core services vulnerability (MS06-071) should be patched immediately on clients.

According to the Microsoft msrc Blog, Microsoft has extended the lifetime of SUS till Tuesday July 10th, 2007. So those of you not having completed deploying WSUS to replace their SUS have a few more months time. Moreover, you can notice in these Microsoft bulletins that Windows XP SP1 is now not supported anymore. Now you have to upgrade to SP2 absolutely, although everyone did it since a long time.

For CSI subscribers, you can consult our alert which will be published soon / Pour les abonnés CSI, vous pouvez retrouver notre alerte détaillée qui va être disponible bientôt.

Les serveurs d'Emil Kacpersky (à ne pas confondre donc) de EstHost/EstDomains, connus pour héberger de nombreux sites malveillants, viennent d'accueillir un nouveau "client" :

European Internet Certification Agency

Mais méfiance, cette entité n'est absolument pas reconnue à aucun niveau. Elle a au contraire été identifiée par le passé dans le cadre de plusieurs arnaques sur Internet, en tant qu'autorité de certification sur des faux sites de ventes en ligne, notamment de matériel électronique.

Les différents domaines suivants, enregistrés grâce à des identités volées, sont toujours utilisés :
- eicafraud.org
- eica-fraud.org
- eica-frauds.org
- eicafrauds.org (dernier en date, avec NS server = 34157.managedns1.estboxes.com)

Au sein de ce serveur de nom opéré par EstDomains, nous retrouvons ainsi par exemple les domaines :
- rizalof.com, ledamog.com, fonarez.com, ou robobot.org (utilisés en 2005 pour transmettre du spam de médicaments contrefaits, et plus récemment par des troyens pour se mettre à jour)
- ebay-isapi.com (pas de commentaires)
- get-pornz.com (idem)

EICA Fraud précise par ailleurs les coordonnées de ses bureaux, dont un en France situé à l'adresse suivante :
9, rue de Bretagne 75008 PARIS.

Or à cette adresse, ne demeurent que quelques particuliers sans histoires, et le très fameux Sushi Ba'r!

Des amateurs de cuisine japonaise parmi les pirates ?

Les électeurs américains appelés aux urnes aujourd’hui dans le cadre des élections legislatives vont sans doute exprimer leurs voix par le biais de machines à voter électroniques de marque Diebold leader du marché et implantées dans des centaines de villes américaines à travers plus de 32 états (40% des suffrages exprimés passent par leurs systèmes et 80% des votes sont informatisés aux Etats-Unis). Ces machines prétendues fiables et censées remplacer les obsolètes « cartes à perforer » dématérialisent toute la procédure de vote et s’accompagne, comme tout système informatique, d’un lot non négligeable de failles en tout genre. Des chercheurs de l’université de Princeton ont par exemple fait la démonstration documentée et filmée du piratage d’une machine Diebold permettant le trucage des résultats via un programme indétectable.

Ces failles béantes du système, causant un sérieux préjudice à un des principes fondateurs de la démocratie, ont été récemmment dénoncées dans un reportage sans concession diffusé sur la chaîne cablée HBO, « Hacking democracy » (disponible intégralement en ligne) qui a fait grand bruit outre-atlantique :

Ecrans tactiles permettant de manipuler des variables, cartes mémoires enregistrant les votes pouvant être changées « Ã  chaud » durant une session électorale, secret de l’isoloir trahi par les émissions radios, code source du programme de vote diffusé publiquement sur un serveur ftp de Diebold, programme de vote codé en Visual Basic (!), etc.

L'ensemble de ces manquements de base à la sécurité des systèmes de vote ne semblent pas particulièrement émouvoir les autorités publiques qui laisse la gestion de ces problèmes aux seuls experts diligentés par les sociétés fabricant ce type de matériel, ce qui n'est pas vraiment un gage d'indépendance.

David Dill, professeur en informatique à l'université de Stanford a déclaré :

Lots of people involved in writing the software, and lots of people who could have touched the software before it went into that machine. If one of those people put something malicious in the software and it's distributed to all the machines, then that one person could be responsible for changing tens of thousands of votes, maybe even hundreds of thousands, across the country.

A l’heure ou l’Europe s’apprete à franchir en masse le pas du vote électronique, il serait temps de s’interroger sérieusement sur les fondements technologiques de l’e-démocratie.

La méthode a prouvée son efficacité, son efficacité en a fait sa popularité et sa popularité en a fait une technique à la mode :
Le fuzzing est de retour en force ce mois ci ! Via la mise en ligne d'un nouveau blog de la bande à H. D. Moore, celui-ci propose un nouveau défi : relever un bug par jour concernant le noyau Linux pendant un mois.

Le projet fait suite au très célèbre projet browserfun du mois de juillet qui a permis, à l'aide d'un Fuzzer très utile nommé Axman, la découverte de nombreuses vulnérabilités, la plupart concernant les ActiveX Windows.

Plus récemment, lors de la conférence Black Hat en août, David Maynor de SecureWorks et Jon Ellch démontrèrent le hack d'un périphérique Wifi d'Apple, ces derniers ayant affirmés que plusieurs autres vulnérabilités auraient été découvertes. Le blog Kernel bugs ouvre donc le bal avec son premier post concernant une faille Wifi dans le périphérique Airport d'Apple (Ref Lexsi : 7677).

Pour le nouveau projet, un fuzzer nommé "fsfuzzer", disponible sur le site projects.info-pull.com/mokb permet de tester les principaux systèmes de fichiers des OS tels que Linux et *BSD ainsi que les périphériques Wifi. L'outil étant disponible dès le début du projet, parions que de nombreuses vulnérabilités seront publiées au cours du mois.

Rappelons enfin que Metasploit 3.0 est disponible et qu'un module concernant la vulnérabilité Wifi d'Apple non corrigée est fourni dans le framework.