Spécial sécurité : Introduction à la vie des Bots

Régulièrement, LeMagIT ouvre ses colonnes à ses partenaires de CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, nos confrères nous donnent des nouvelles de Windows, reviennent sur les départ qui affectent VMWare et nous parlent bots et hackers.

cnis logo

Sommaire

- 1 - Nouvelles du front Windows : Bug Iznogoud et retour de trous

- 2 - Alexander Sotirov abandonne VMWare

- 3 - Litchfield offre un outil d’autopsie Oracle

- 4 - Introduction à la vie des Bots

- 5 - 25c3 : Hacker les GSM, les CPL, le soleil et Tor pour le fun et le gai savoir

Nouvelles du front Windows : Bug Iznogoud et retour de trous

Lu, au fil des annonces du Bugtraq, cette alerte de Thomas Unterleitner signalant l’existence d’un possible buffer overflow du stack IP intégré dans Vista éditions Intégrale ou Ultimate. Ce « route add » tueur permettrait, sous certaines conditions, d’injecter un code exécutable qui, à son tour, ouvrirait au « Network Configuration Operator group » le droit d’acquérir les privilèges suprêmes sur le système. En d’autres termes, des Grands Vizirs Administrateurs de Réseau pourraient caresser l’espoir de devenir Califs Administrateurs « pleins ». Le source d’exploitation est fourni, son exécution se solde généralement par un écran d’un azur aussi reposant pour les yeux que pour la CPU.

Venu tout droit de la Franche Comté et publié sur Millw0rm, ce synthétique travail sur la faille MS08-069 signé Jérome Athias. Joli comme un « one liner » et fort pratique pour montrer, à quel point il est parfois important d’appliquer certains correctifs… sans avoir à sortir le moindre compilateur.

Parti tout seul en campagne, Symantec tente de faire très peur en portant au niveau 2 la cote d’alerte de son « threatcon », et en invoquant un important sursaut d’activité sur les ports 445 et 139… « On » pourrait craindre une exploitation intensive de la faille MS08-067 affirme le bulletin d’alerte. Certes, quelques laboratoires ont bien remarqué que la 067 faisait partie des armes « offertes » dans les panoplies genre « storm worm », mais de là à en conclure à une utilisation massive et à une apocalypse RPC, il y a un pas. De son côté, le Microsoft Research Center rappelle que divers exploits sont dans la nature et qu’il est important d’appliquer les rustines salvatrices... Mêmes échos chez McAfee.  L’Avert, sans témoigner la moindre crainte toutefois, confirme être tombé sur plusieurs codes d’exploitation. Les périodes de fêtes, traditionnellement tragiques pour les dindes, risqueraient de l’être également pour les ordinateurs dont le Windows Update serait tombé en panne.
 
Alexander Sotirov abandonne VMWare

VMWare perd, coup sur coup, deux de ses plus importants gourous sécurité : Nand Mulchandani, qui a été débauché par OpenDNS pour y tenir le rôle de CEO, et Alexander Sotirov. De ces deux départs, c’est probablement celui de Sotirov qui sera le plus remarqué. Fréquent contributeur sur la liste du « Full Disclosure », inlassable chercheur qui, à l’instar d’http-equiv ou de Liu Die Yu, transforma en sport national la chasse au bug Internet Explorer, il reste encore dans la mémoire de tous pour sa dernière communication faite à l’occasion de la BlackHat 2008 de Las Vegas, intitulée Comment impressionner les filles en court-circuitant la protection mémoire des navigateurs. Ce travail, effectué en compagnie de Mark Dowd, permettait de contourner les mécanismes de protection DEP et ASLR intégrés aux récentes versions de Windows. Nul ne sait encore où Sotirov compte reprendre du service.


 Litchfield offre un outil d’autopsie Oracle

Cela faisait bien longtemps que David Litchfield, de NGSS, n’avait fait parler de lui. Le voilà de nouveau en scène, avec la publication du septième volet de sa série « Oracle Forensic » intitulée Using the Oracle System Change Number in Forensic Investigations. Les 6 premiers chapitres peuvent être récupérés sur le site de NGSS. Cet article est également accompagné d’un utilitaire, Orablock, destiné à examiner une base Oracle sans qu’il soit nécessaire d’exécuter le moteur du gestionnaire de base. Une nécessité pour tous ceux qui, dans le cadre d’une recherche de preuve, souhaitent conduire leurs travaux sans que ne soit modifié le moindre octet présent sur les disques de stockage. Ces outils, Orablock et Oratime, peuvent être compilés sous Windows, Macintosh et Linux.


 Introduction à la vie des Bots

L’histoire, une fois n’est pas coutume, commence bien. SRI offre aux administrateurs un outil de surveillance réseau, BotHunter, dont le nom seul le dispense d’en dire plus long. Comme il est pratiquement impossible de savoir à quoi ressemble un « client » de botnet, compte-tenu du polymorphisme des codes utilisés, des exploits mis à contribution, des failles visées, le meilleur moyen, expliquent les auteurs du programme, est encore d’écouter les dialogues qui s’établissent généralement entre le centre de commande (C&C) du botnet et le botnet lui-même. Un dialogue qui est reconnu grâce à la compilation consciencieuse des ingénieurs de SRI, et qui est régulièrement mis à jour, un peu comme les tables de signature des principaux antivirus. La simple installation du programme au sein d’un réseau, en aval des firewalls, permet de savoir si, oui ou non, une infrastructure d’entreprise a été compromise. L’utilitaire est considérablement plus simple à utiliser qu’un IDS. Il est disponible en version Linux/FreeBSD/Mac OS/X, et en édition Win32. Une mouture « live CD » est également disponible.

Encore une histoire de Bot avec cette analyse de FireEye : la baisse du spam, qui fut notable peu de temps après la fermeture de l’hébergeur marron McColo, pourrait bien n’être qu’un souvenir dans les jours qui vont suivre. En effet, Srisbi, le principal botnet spammeur télécommandé par l’un des serveurs hostés chez McColo, serait entré en « mode reconfiguration » et se préparerait à attaquer, alimenté par de nouveaux serveurs de supervision situés en Estonie, lesquels seraient gérés par des registrars Russes. L’équipe de FireEye décrit le processus de reconfiguration : après une période d’inactivité marquée, le code qui hante les ordinateurs zombifiés cherche la présence d’un nouveau nom de domaine dont l’intitulé est tiré d’une fonction prenant en compte la date du jour. Et voilà qu’apparaissent des requêtes en direction de gffsfpey.com, ypouaypu.com, oryitugf.com, prpoqpsy.com et autres proches cousins, qui, par le plus grand des hasards, se retrouvent tous sur le même netbloc. Un article tout entier est consacré à cet algorithme miracle qui transforme le calendrier en générateur de noms de domaine.
Une fois l’étape « E.T. Téléphone Maison » achevée, les nouveaux serveurs se chargent de remettre à jour les programmes distants ainsi qu’un nouveau formulaire de spam. On connaît, en France, des fournisseurs de services qui demandent bien plus de temps pour que leurs services puissent renaître après un incident réseau.
Pour l’heure, les dernières estimations laissent penser que les anciens propriétaires ont réactivé environ 50 000 zombies.

25c3 : Hacker les GSM, les CPL, le soleil et Tor pour le fun et le gai savoir

Le prochain 25c3 du Chaos Computer Club se tiendra, comme de tradition, à Berlin, du 27 au 30 décembre de cette année. Le dernier tour de table vient de s’achever et le calendrier des interventions a été définitivement arrêté. Parmi de nombreuses causeries généralement très « sociales », l’on remarquera Running your own GSM network – un hommage vibrant au THC et à l’usage des Software Defined Radio -, « Security Failures in Smart Card Payment Systems » et autres causeries traitant d’isoloirs électroniques, de chiffrement intégral de disque dur, d’über-XSS dans le monde Web 2.0, de hack Symbian… et même de Commodore 64 ! Pas de doute, on est bien en Allemagne.

A noter particulièrement cet exposé de Kellbot, dont le thème sera «Crafting and Hacking: Separated at Birth». Il y a peu de chances que l’on y apprenne beaucoup de choses, mais l’intervenant met le doigt sur un détail fort important : de plus en plus de travaux dans le domaine de la sécurité sont devenus œuvres de spécialistes, à tel point que les concepteurs eux-mêmes sont incapables de comprendre les possibles interpénétrations de leurs découvertes et celles de « voisins de recherches » s’escrimant sur des problèmes connexes. Il n’est par rare, par exemple, d’entendre dire, par des spécialistes reconnus de la sécurité « sans fil », que l’installation d’une antenne à grand gain (50 euros dans un magasin de bricolage) « dépasse de loin les investissements envisagés par d’éventuels pirates ». Cette dichotomie entre les univers de l’électronique et du développement, cette vision autiste d’un monde qui ne serait fait que de clous sous prétexte que l’on possède un marteau risque de poser, à terme, de graves problèmes de sécurité architecturale. Lorsque chaque spécialiste ne travaille que sur son propre domaine, sans apprendre à communiquer avec ses pairs, il élude les risques de failles interstitielles. Un état de fait bien connu des hackers spécialisés dans les consoles de jeu, qui pourrait, à très court terme, faire sourire les pirates qui écument l’océan des réseaux par exemple.

Pour approfondir sur Menaces, Ransomwares, DDoS