Académique Documents
Professionnel Documents
Culture Documents
SO MM AIR E
H acking U P nP : pr s e nt a t io n d u p ro to c o le e t d e s e s f a ib le s s es
L es at t a qu e s UP nP /CSR F : le v e c te u r d a tta q u e F l a s h. . .
L a conf re nc e SSTIC 08
Vo u s t e s c o n c e r n p a r l a s c u r i t i n f o r m a t i q u e d e v o t r e e n t r e p r i s e ?
Xmco Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.
Tests d'intrusion
Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusion
OWASP, OSSTMM, CCWAPSS
Audit de scurit
Audit technique et organisationnel de la scurit de votre Systme d'Information
Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley
Veille en vulnrabilits
Suivi personnalis des vulnrabilits et correctifs affectant votre Systme d'Information
Rponse intrusion
Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets
forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent nos axes majeurs de dveloppement
pour notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de
RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands
comptes franais.
Aprs avoir assist une firewall si les ports 80, 135, 139 et majorit des informations de valeur
prsentation de Cdric Blancher 445 ne doivent pas tre bloqus ? circulent sur les postes d'utilisateur
(EADS/France/Innovation Works) Sachant que 99% des attaquants nomades rpartis chez des clients,
lors de la SSTIC Rennes, j'ai passeront forcment par ces ports, des prestataires, des htels, des
enfin pu nommer une ide qui me le firewall est-il vraiment utile ? De salles de runion, etc. Certains de
trottait dans la tte : la quelle menace nous protge un ces membres ont mis la philosophie
dprimtrisation. firewall ? J'ai plusieurs fois fait cette en application en positionnant leurs
remarque des entreprises. La flottes de nomades directement sur
Comme l'explique habilement rponse obtenue est bluffante : Internet.
Cdric Blancher, la "Oui, ces ports sont ouverts, mais
dprimtrisation est un concept, le firewall les filtre tout de mme et Et la scurit ? Le concept de
pouss par le Jericho Forum, nous protge un minimum contre dprimtrisation insiste sur le fait
plaidant pour le retrait des firewalls. les attaques, comme le spoofing. qu'il faut dpenser de l'argent pour
Cdric Blancher alerte l'assistance Je vois que le discours de vendeurs protger les vritables donnes de
sur le danger d'une telle vision. de firewall est bien rod... valeur de l'entreprise plutt que de
L'argument employ par le Jericho tenter de protger des lments
Forum a de quoi sduire : puisque Mais va-t-on connecter les peu importants.
les attaques arrivent dsormais par systmes critiques bancaires
email, par les sites web ou au directement sur Internet et partir en Le concept est intressant.
travers des VPNs nomades, quoi vacances ? Non. l'heure des datacenters et du Cloud
bon investir des millions dans des Pour cerner un peu la philosophie C o m p u t i n g , l e s fi r e w a l l s d e
firewalls devenus inutiles ? du Jericho Forum, peut-tre faut-il l'entreprise sont-ils encore garants
Beaucoup d'entreprises se sentent savoir que ses membres sont, entre de la scurit des donnes
draisonnablement protges par autres, Boeing, Air France, vitales ?
leur firewall. C'est un fait. Nous le Symantec, Deloitte...(Airbus n'en
vrifions rgulirement lors de nos fait pas partie). Pour ces Frdric Charpentier
audits de scurit : A quoi sert un entreprises internationales, la Consultant XMCO
PROTOCOLE UPNP
protocole mconnu. Cr en
1999, ce dernier a peu peu
t implment sur de nombreux
(PLUGN PLAY)
quipements afin de faciliter
linter-connexion sur un rseau
IP.
XMCO | Partners
Le protocole UPnP, mconnu, mais efficace... Les profils dfinis par le forum UPnP
Dfinition
Le forum UPnP [1] est un groupe fond en 1999 par
Le protocole UPnP (Plug and Play) a t cr en 1999. plusieurs entreprises de lindustrie (dont Microsoft). Ce
Le but de ce protocole est de groupe est charg de dfinir des normes pour
permettre aux utilisateurs de permettre aux fabricants dimplmenter correctement le
connecter un quipement (Pare-feux, protocole UPnP au sein de leurs quipements. Plus de
routeurs, imprimantes, priphriques 340 vendeurs provenant de divers horizons
m u l t i m d i a , s a n s - fi l o u a u t r e s (lectronique, informatique, rseau, quipements
quipements lectroniques) sans mobiles) ont rejoint ce forum et participent activement
avoir fait Polytechnique la dfinition de nouvelles spcifications.
linterconnexion (partage, communication) entre les dun rseau local sans ncessiter le
quipements d un rseau local et supprime une tape
qui a nerv plus dun utilisateur: la configuration moindre effort ct utilisateur...
Une fois branch sur un rseau, un priphrique Ce forum aide donc dvelopper ce protocole pour
compatible UPnP communique avec les autres simplifier linterconnexion des quipements au sein de
systmes et change des informations afin de sauto- rseaux personnels, mais galement dentreprise.
configurer. Tout ce processus de configuration est
transparent aux yeux de lutilisateur. Le site Web http://www.UPnP.org/ regroupe ainsi tous
Un quipement peut se connecter sur un rseau, les schmas et templates pour chaque type
obtenir une adresse IP, proposer et dcouvrir dquipement compatible avec ce protocole.
automatiquement les services disponibles sur ce Plusieurs catgories ont t dfinies et permettent de
rseau et tout cela automatiquement le rve? classifier les services offerts par UPnP en fonction du
types de protocoles:
Chaque produit UPnP doit respecter des
spcifications normalises. Cela nempche pas aux
SSDP (Simple Service Discovery Protocol) : ce
fabricants dajouter une couche supplmentaire pour
protocole repose sur lenvoi de requte HTTP over
des services spcifiques en fonction de leurs besoins
UDP en multicast ou en unicast. Il permet de
(certains routeurs peuvent, par exemple avoir une
dcouvrir les services proposs par les quipements
fonctionnalit dactivation du Wifi via UPnP!!!)
UPnP du rseau.
Dans notre exemple, nous exploiterons les
HTTP/SOAP : ce protocole permet de modifier les
caractristiques des routeurs ADSL. Ces derniers sont
configurations via lenvoi de requtes http POST
regroups selon le profil propre aux passerelles Internet
appeles Internet Gateway Device.
GENA (Generic Event Notification Architecture):
gre les notifications de changement dtat
Ladressage
La phase de dcouverte
Requte M-SEARCH
Description :
WWW.XMCOPARTNERS.COM
Le fichier contient la liste de tous les services quil La dernire tape permet de faire la notification
propose par lintermdiaire de balises service. dvmenents. Cette partie du protocole UPnP est la
moins connue, mme si elle permet dalerter les
quipements du rseau appels Subscribers lorsquun
changement de configuration survient. Ces alertes sont
formates au format GENA. [http://en.wikipedia.org/
wiki/GENA]
Cas concrt
m m e u n e c a s e c o c h e r a fi n d e n a t t e r
Le contrle : automatiquement les ports dun routeur ADSL.
WWW.XMCOPARTNERS.COM
De nombreuses fonctionnalits sont La preuve par lexemple : natter un port via UPnP
offertes par les routeurs UPnP mais ces
Essayons prsent de dmontrer comment un pirate
dernires divergent en fonction des peut utiliser ce protocole partir dun rseau local.
fabricants
Pour notre exemple, nous utiliserons un routeur ADSL
Lexemple le plus frappant serait de natter deux ports du march. Notre premier souhait tait dtablir un
externes vers les ports 139 et 445 dune machine comparatif entre les principaux acteurs du march.
interne afin daccder aux dossiers partags par la Cependant, tous les routeurs ADSL ont t tests et
victime. savrent intrinsquement vulnrables.
Cependant, la plupart de ces derniers offrent peu de
Par ailleurs, dautres fonctionnalits sont offertes par services accessibles via ce protocole ce qui limite la
les routeurs, mais divergent en fonction des vendeurs. surface dattaque. Pourtant, tous implmentent une
On peut entre autres citer les fonctionnalits suivantes : mme fonction phare : le Nat de port
activation de linterface dadministration sur Internet Pour notre exemple, nous tenterons donc de natter un
changement du serveur DNS pour mener des port sur un routeur personnel ce qui parle le plus pour
attaques de Pharming les informaticiens. Cette technique dattaque pourrait
modification des identifiants dadministration exactement tre reproduite sur un autre quipement et
changement des paramtres PPP avoir dautres consquences.
activation et modification de la configuration WIFI
etc.
La recherche dinformations
Autre exemple intressant, la possibilit de crer un
rseau de proxy. En effet, en mappant un port externe
Comme nous lavons expliqu dans notre premire
dune victime vers un autre port externe dune autre
partie, la premire tape consiste rcuprer
machine sur Internet, un pirate peut se crer un
WWW.XMCOPARTNERS.COM
ladresse pointant vers les fichiers de configuration
rseau rout qui lui permettra de camoufler son
XML de notre quipement. Plusieurs mthodes peuvent
adresse IP source lorsque ce dernier souhaite attaquer
tre utilises:
un serveur sur Internet. Bien entendu, ce problme
cration et envoi dun paquet SSDP M-
dimplmentation est rsolu sur les derniers
SEARCH
firmwares des routeurs Internet, mais pas sur tous
coute dune requte NOTIFY envoye par le
routeur
De plus, le pirate doit pouvoir cibler son attaque, c'est-
Nous avons choisi dutiliser deux outils, lun nomm
-dire faire pointer le dernier nud de son rseau vers
UPnPScan et un plugin NMAP permettant de crer ce
le site quil doit attaquer. Le changement de cible de
paquet SSDP, de tlcharger puis de parser le fichier
lattaque ncessite donc de pirater nouveau sa
de configuration afin de renvoyer quelques informations
dernire victime comme le montre le schma suivant.
que nous utiliserons pour mener bien notre attaque.
L e fi c h i e r P u b l i c _ U P n P _ WA N D . x m l p r o p o s e
galement diverses actions qui permettent un client
dobtenir des informations sur le statut de la ligne ADSL
WWW.XMCOPARTNERS.COM
3 me service: WANIPConnection:1
Entte :
WWW.XMCOPARTNERS.COM
le verbe POST suivi de lURL vers laquelle
envoyer la requte
le champs Host constitu de ladresse IP et du Automatisation de lattaque
service UPnP
le paramtre SOAPACTION qui va prciser Le serveur rpond alors par un 200 OK si la requte est
quelle action raliser sur lquipement cibl accepte.
le champs Content-Type qui spficit lutilisation
du format XML Le pirate a donc russi natter un port externe vers une
adresse IP interne. Dans notre cas, le pirate peut
Paramtre de la requte POST : ensuite accder depuis Internet au partage de
fichier de sa victime(nat des ports 139 et 445).
Les paramtres envoys dans le corps de la requte
ont t identifis au sein du fichier XML que nous avons
Conclusion
Les solutions
XMCO | Partners
.
Les attaques CSRF Les balises HTML pour les requte GET
Les attaques de Cross Site Request Forgeries Lattaque la plus frquente consiste placer une
(CSRF), sont des attaques lances partir de pages requte GET malicieuse dans lattribut src dune balise
web. HTML. Plusieurs balises HTML telles que <img>
Peu mdiatises, ces attaques peuvent avoir des effets <script> <iframe> peuvent tre utilises pour effectuer
dvastateurs. ce type dattaque.
En effet, la visualisation dune page Web malicieuse
peut forcer le navigateur dun utilisateur authentifi sur
une application Web, effectuer des actions son insu.
Celles-ci utilisent ses droits (cookies) et permettent
notamment de modifier la configuration de son routeur
ADSL, denvoyer des emails, dajouter des utilisateurs
sur une application
avoir des effets dvastateurs ... Ainsi, le navigateur tente de rcuprer limage en
effectuant une requte vers la cible spcifie. Jusquici
Plusieurs mthodes dattaque ont vu peu peu le jour, rien de malicieux (requte GET classique).
mais les dveloppeurs des navigateurs internet ont Cependant, en plaant une cible telle que :
progressivement restreint les possibilits des
attaquants, en plaant des limitations au fil des
versions.
Un article ddi aux attaques CSRF a dailleurs t
crit dans lActu-Secu n11 [2]
Le navigateur envoie une requte HTTP sur le site
www.site-vulnerable.com,demandant dajouter un
WWW.XMCOPARTNERS.COM
Certaines fonctionnalits externes sont omniprsentes Afin de se prmunir de ce type dattaque, les
sur les navigateurs internet. En effet, de nombreux applications utilisent principalement un token, chane
utilisateurs installent des logiciels simplmentant alatoire gnre par le serveur, valable pour une seule
directement dans les navigateurs (lecteur flash, lecteur action. Ce token, associ la session de lutilisateur,
vido ). est insr dans chaque formulaire.
Un attaquant ne peut donc plus prvoir les donnes
Cest le cas du Flash Player dit par envoyer puisque le token ne peut pas, priori, tre
Adobe. Une tude rvle que prs de prdit.
99% des utilisateurs possdent le Flash
Player dinstall sur leur machine. Exemple dune requte comportant un token :
w w w. s i t e - v u l n e r a b l e . c o m / a j o u t - a d m i n . p h p ?
Sujet de nombreuses attaques ces derniers temps, ce login=xmco&pass=xmco&token=q7645dfgd78erer
logiciel souffrait dune vulnrabilit permettant
denvoyer des requtes, sur des domaines externes. Si le serveur rceptionne une requte comportant un
Cest dailleurs pour cette raison que nous avons token diffrent de celui gnr, laction ne sera pas
commenc nos recherches dbut avril. excute.
Lien Microsoft :
http://msdn.microsoft.com/en-us/library/
cc288060(VS.85).aspx
WWW.XMCOPARTNERS.COM
Conclusion
Webographie
Les routeurs ADSL franais
[1] ActuScu n11 : Les attaques CSRF
Sur les principaux routeurs ADSL franais, le service h t t p : / / w w w. x m c o p a r t n e r s . c o m / a c t u - s e c u /
UPnP est activ par dfaut mis part sur la Freebox qui actu_secu_fevrier2007.pdf
nimplmente pas ce service.
[2] Blog de Jeremiah Grossman sur ltude
Tous les routeurs sont donc vulnrables une attaque crossdomain.xml
CSRF cependant les fonctionnalits offertes par les http://jeremiahgrossman.blogspot.com/2008/05/
diffrents constructeurs franais restent limites. Seule crossdomainxml-invites-cross-site.html
WWW.XMCOPARTNERS.COM
SSTIC
SSTIC
XMCO | Partners
Aprs une premire confrence gnraliste, Christophe Deux pirates: le premier proche de la victime active sa
Mourtel (Gemalto) nous propose une intervention plus carte son insu et transmet les informations son
technique sur lactivation des cartes puce via un acolyte. Le deuxime reoit les donnes et les
champ magntique. transmet la centrale de paiement.
Dans les annes venir, les cartes Bilan: la victime rgle une facture son insu.
sans contact pourront par exemple
remplacer les cartes de paiement
traditionnelles ou piste
magntique. MasterCard dveloppe
actuellement cette technologie avec
le nouveau systme de paiement
PayPass (en test aux tats-Unis).
Dynamic malwares analysis for dummies lieu et place de "[...] so strong that I can't get through ".
Enfin, Cdric Blancher a fait trembler le MINEFI et
La dernire confrence de la SSTIC explique comment lassemble en faisant croire que les certificats dlivrs
tudier le comportement dun malware sous Windows par le ministre taient vulnrables la faille OpenSSL
de faon simple. Connatre le comportement dun code (voir article suivant).
malveillant est utile et peut fournir de nombreux
renseignements. En effet, on peut obtenir des Webographie
informations sur la source de lattaque, dterminer les
fonctionnalits du malware (virus, cheval de Troie,
[1] Site officiel de la SSTIC
keylogger...), les modifications engendres sur le
http://www.sstic.org/SSTIC08/info.do
systme, connaitre les machines vulnrables
[2] Blog de Cdric Blancher :
Il existe deux types danalyse lune dite statiques :
http://sid.rstack.org/blog/
dsassemblage du code et analyse de ce dernier, cette
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est
strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![23]
LACTU SCU N20
XMCO | Partners
Depuis fin Mai, plusieurs vulnrabilits majeures ont t dcouvertes. Ces dernires ont aussi bien touch des
failles de logiciels utiliss sur des postes client comme sur des serveurs.
Les deux vulnrabilits majeures ont affect des problmes dentropie dans OpenSSL et dans BIND (DNS).
La presse comme les chercheurs en scurit se sont particulirement intresss ces deux problmes
majeurs. Le second dont peu dinformations ont t publies sera dailleurs dtaill lors de la confrence
BlackHat.
Nous dtaillerons galement deux problmes critiques qui ont affect Mac OS X (lvation de privilges ) et le
couple Safari/Internet Explorer (compromission dun systme)...bref des failles de scurit comme on les aime!
Enfin, nous prsenterons galement deux virus qui ont, sans doute, agac plus dun de nos lecteurs...
WWW.XMCOPARTNERS.COM
En effet, les quelques lignes de code modifies ont, Les certificats sont galement concerns: ils doivent
pour faire simple, supprim le facteur alatoire tre rvoqus, rgnrs et resigns par l'Authorit de
ncessaire la gnration des clefs publiques/prives. Certification. Ces oprations doivent videmment tre
ralises suite la mise jour de OpenSSL.
Cette faille, de type cryptographique, provient du
gnrateur de nombres pseudo-alatoires (PRNG) de Deux types d'attaques sont possibles: le dchiffrement
OpenSSL utilis pour crer les cls publiques et de trames captures ou le contournement des
prives. La graine d'ala tait gale au PID (identifiant mcanismes d'authentification par cls.
Automatisation de lattaque
Rfrence :
http://metasploit.com/users/hdm/tools/debian-openssl/
INFO...
Tor galement vulnrable
Prise de contrle dun systme via IE et Safari Suite la publication de Microsoft [3] alertant sur une
possible excution de code avec Safari, un internaute
Continuons la srie des vulnrabilits critiques de ce publie, le 10 juin, une preuve de concept (dj publi
mois. Aprs Debian, ce fut au tour dInternet Explorer en dcembre 2006) permettant d'exploiter la
dtre de nouveau montr du doigt. vulnrabilit d'Internet Explorer.
En effet, un problme de scurit identifi dans Safari L'attaque est donc aujourd'hui pleinement exploitable
pour Windows mais connu depuis quelques mois a sur un systme implmentant les deux navigateurs et
refait parler de lui la suite de la publication d'un vieil pourrait avoir des consquences dramatiques...
exploit pour Internet Explorer.
Le scnario d'attaque est simple.
Ce premier problme, dont lattaque drive a t En utilisant une balise iframe sur une page contrle
baptise "Carpet Bomb", concerne Safari. par le pirate, ce dernier peut forcer un utilisateur
Le chercheur Nitesh Dhanjani (connu galement pour naviguant avec Safari, tlcharger sur son bureau,
sa rcente intervention la Blackhat) a, depuis une librairie DLL malicieuse (schannel.dll).
plusieurs semaines, mis en garde les utilisateurs du
navigateur d'Apple [1]. En effet, le tlchargement de
fichiers non interprtables par le navigateur (dll,
excutables, fichiers compresss), est ralis de
manire automatique sous Safari. Ainsi, lorsquun
utilisateur clique sur un lien de tlchargement, Safari
lenregistre automatiquement sur le bureau de
lutilisateur sans aucune confirmation pralable Code de la page web malicieuse
(contrairement aux autres navigateurs).
Rfrences :
Exemple dun code dune libraire DLL malicieuse
[1] http://www.oreillynet.com/onlamp/blog/2008/05/
safari_carpet_bomb.html
Le code ci-dessous, compil sous le nom "schannel.dll" [ 2 ] h t t p : / / a v i v. r a f f o n . n e t / 2 0 0 8 / 0 5 / 3 1 /
permet de lancer la calculatrice de Windows. SafariPwnsInternetExplorer.aspx
[3] http://www.microsoft.com/technet/security/advisory/
953818.mspx
CODE
#include<windows.h>
BOOL WINAPI DllMain(
HINSTANCE hinstDLL,
DWORD fdwReason,
LPVOID lpvReserved
)
{
STARTUPINFO si;
PROCESS_INFORMATION pi;
TCHAR windir[_MAX_PATH];
TCHAR cmd[ _MAX_PATH ];
GetEnvironmentVariable("WINDIR",windir,_MA
X_PATH );
wsprintf(cmd,"%s\\system32\
\calc.exe",windir);
ZeroMemory(&si,sizeof(si));
si.cb = sizeof(si);
ZeroMemory(,sizeof(pi));
WWW.XMCOPARTNERS.COM
CreateProcess(NULL,cmd,NULL,NULL,FALSE,
0,NULL,NULL,&si,);
CloseHandle(pi.hProcess);
CloseHandle(pi.hThread);
return TRUE;
}
Exemple :
Rfrences:
[1] http://www.intego.com/news/ism0802.asp
[2]http://www.securemac.com/applescript-tht-trojan-
horse.php
WWW.XMCOPARTNERS.COM
Aprs une alerte majeure de lInternet Systems Daprs les premires informations publies, cette faille
Consortium (ISC) sous le titre ANYONE RUNNING ne semble pas tre nouvelle ! Il s'agit d'une faille de
BIND AS A CACHING RESOLVER IS AFFECTED, les scurit inhrente au protocole DNS, connue depuis
principaux diteurs (Microsoft, Sun, Cisco, IBM) ont des annes. La nouveaut rside priori dans une
publi un correctif sur le logiciel BIND, le moteur DNS le nouvelle mthode d'exploitation qui permettrait de
plus rpandu sur Internet. corrompre efficacement et durablement le cache
des serveurs DNS. Jusqu'alors, les attaques de DNS
En quelques heures, cette alerte a dferl dans les Cache-Poisonning ne pouvaient fonctionner que sur un
mdias et a t diffuse par lAFP: tout a t dit et crit laps de temps rduit.
dessus...
Les hypothses que nous mettons dans la suite de cet
article seront confirmes ou infirmes les semaines
prochaines...
Risque?
Principe de lattaque
La faille est trs prcisment ici. L'algorithme utilis 2 - Le serveur du FAI ne connait pas la rponse et
pour gnrer les identifiants des requtes DNS utilise dcide de faire une requte rcursive au serveur DNS
un espace de recherche trop restreint. De plus, les ayant autorit (soit le DNS de Google).
ports sources UDP utiliss sont simplement
incrments sur la majorit des systmes voire fixs 3 - Le pirate envoie massivement des fausses rponses
la valeur "53". au serveur du FAI en se faisant passer pour le DNS de
Un pirate est donc en mesure de prdire l'identifiant et Google. Le pirate devine lID utilis par le DNS du FAI
d'envoyer des rponses DNS falsifies. Cette (cest la faille).
vulnrabilit peut tre exploite afin de mener une
attaque nomme 'DNS Cache Poisonning'. Ce type 4 - Le serveur du FAI accepte la fausse rponse du
d'attaque permet au pirate de rpondre avant le pirate, lenregistre dans son cache et rpond
vritable serveur DNS de la victime, afin de rediriger le linternaute en lui indiquant la fausse adresse IP.
trafic rseau vers le serveur de son choix. Afin Linternaute est alors dirig vers un faux site Google. Le
d'optimiser les temps de rponse, les serveurs DNS faux site pourra alors lui proposer de tlcharger des
enregistrent 'en cache' les rponses. L'attaque virus, des bots, des malwares, lenvoyer vers dautres
persistera donc dans le temps au travers du cache du faux sites de commerce en ligne, etc.
serveur.
Bien sr, nous attendons dassister la BlackHat le 4 Cette concurrence sur la confiance est la base de
aot pour avoir les dtails de cette attaque et lattaque DNS qui a fait la une des mdias dbut juillet.
comprendre comment Dan Kaminsky Deputy Dan
a dcouvert un moyen efficace dexploiter la vieille faille Toutefois, cette attaque n'est pas aussi simple. En effet,
des DNS et comprendre pourquoi les diteurs ont eu si pour que la rponse envoye par le pirate soit traite,
peur. celle-ci doit contenir le mme identifiant DNS (ID)
utilis par la requte rcursive envoye au serveur
Rfrences : d'autorit (cod sur 16 bits soit 1 chance sur 65536). Le
pirate doit donc envoyer de une un maximum de
[ 1 ] h t t p : / / w w w. i s c . o r g / i n d e x . p l ? / s w / b i n d / b i n d - 65536 requtes diffrentes sur le serveur DNS de
security.php "fai.com" (10 minutes), avec des demandes pour
[2] http://www.microsoft.com/france/technet/security/ rsoudre de nombreux noms de domaine
bulletin/ms08-037.mspx INEXISTANTS (inexistant1.xmcopartners.com,
inexistant2.xmco.com..., inexistant65536.xmco.com).
chaque requte, une rponse forge sera envoye
avec un QID incrment.
lexploitation connue des failles DNS. Nous vous Nous supposons, donc ici pourquoi Microsoft a corrig
proposons ici une nouvelle analyse avec les nouveaux le serveur DNS et le client DNS (le resolver) dans son
dtails publis durant quelques heures Matasano. patch de scurit de juillet.
Ce dernier baptis AppleScript.THT se matrialise Une fois les fichiers chiffrs, le virus affiche des
sous la forme dun AppleScript compil sous le nom messages d'alerte, incitant l'utilisateur contacter le
ASthtv05 (60KB) permettant au pirate de prendre le pirate afin d'acheter le programme de dchiffrement
contrle total du systme (excution de code, captures (virus appel communment 'Ransom ware'),
dcran avec le logiciel iSight, enregistrement les restaurant les fichiers dans leur tat original.
frappes clavier, vols des mots de passe de lutilisateur
pig, dsactivation des messages systmes).
INFO...
Et Symbian OS ?
Les plateformes mobiles sont galement De plus, le fichier texte suivant est alors cr la racine
victimes de virus. Le dernier en date
de chaque rpertoire :
affecte les plateformes Symbian S60 de
troisime gnration et se matrialise
sous la forme dune archive Jar (lecteur
vido java) 'iSexPlayer.jar'. Cette
dernire, destine visualiser des vidos
pornographiques, est actuellement rpandue
WWW.XMCOPARTNERS.COM
sur Internet.
Rfrences :
[1] http://www.cgsecurity.org/wiki/Main_Page
[2] http://www.f-secure.com/v-descs/gpcode.shtml
INFO...
Firefox et les extensions caches
Les malwares sont friands de ces Une fois install sur l'quipement infect, le virus tente
extensions permettant notamment le vol de changer la configuration DNS du routeur.
d'identifiants et de comptes
bancaires ...L'extension 'FFsniFF' [3]
WWW.XMCOPARTNERS.COM
Rfrences :
http://extremesecurity.blogspot.com/2008/06/use-
default-password-get-hijacked.html
WWW.XMCOPARTNERS.COM
XMCO | Partners
KeePass
TrueCrypt
Flyingbit
Gestionnaire dinformations sensibles
Utilit
Type Scurit
Systme dexploitation Windows
Description Comme chacun a pu en faire lexprience, rester secure demande
une mmoire dlphant. Les dizaines de comptes (login rseau,
email, serveur, machines personnelles, compte en banque, FTP,
SSH...) doivent tre unique pour viter tout vol dinformation.
Le POST-IT est devenu au fils des annes, le moyen le plus utilis
en entreprise pour y crire ses mots de passe mais
malheureusement le mois scuris de tous.
WWW.XMCOPARTNERS.COM
Avis XMCO Flyingbit est un des logiciels du march capable de rpondre aux
besoins de stockage dinformations sensibles. Dote dun interface
simple, ce dernier deviendra rapidement votre compagnon prfr.
KeePass
Gestionnaire dinformations sensibles
Utilit
Type Scurit
Systme dexploitation Windows/Linux/Mac OS X/Blackberry/PalmOS/Symbian...
Description Toujours dans le mme genre, un autre outil nomm KeePass
propose exactement les mmes services que loutil prcdent :
classification des informations, gnrateur de mots de passe
solides, copie dans le presse papier, sauvegarde chiffre de la base
de donnes...
Capture dcran
Avis XMCO
WWW.XMCOPARTNERS.COM
KeePass est galement un des logiciels libres capable de rpondre
ce type de besoin. De plus, lditeur fournit galement une version
portable, ne ncessitant aucune installation particulire ainsi que
des versions pour quipements mobiles (Symbian OS, PocketPC,
PalmOS, Blackberry...De quoi emmener tous vos mot de passe en
vacances sans le moindre risque!
TrueCrypt
Logiciel de chiffrement
Utilit
Type Scurit
Systme dexploitation Windows/Linux/Mac OS X...
Description TrueCrypt est un logiciel qui permet de chiffrer la vole chaque
document sauvegard, de faon transparente pour lutilisateur.
Utilisant des algorithmes forts (AES, Triple DES), cet outil se
configure simplement. Il suffit de crer un fichier appel conteneur
qui stockera les fichiers chiffrs. Ce conteneur doit tre affect un
volume qui ne pourra tre accessible quavec un mot de passe entr
dans linterface du logiciel.
Ainsi, lorsque ce volume est dmont , personne ne pourra
accder vos donnes.
Capture dcran
http://www.truecrypt.org/downloads.php
Avis XMCO TrueCrypt est un logiciel pratique. Toutes vos donnes crites sur un
volume cr au pralable sont chiffres de manire transparente.
Les informations sensibles peuvent donc tre gardes et stockes
en toute tranquillit.
Attention toute fois de configurer correctement ce logiciel. Une fois le
mot de passe saisi pour accder la partition chiffre, celui-ci reste
donc accessible par les virus...Prenez donc garde bien fermer la
partition ou de manire automatique aprs un certain temps
dinactivit...
Type Administration
Systme dexploitation
Avis XMCO AxBan est un logiciel pratique. Il vous permet de connatre les
Active X installs sur votre machine et de pouvoir les bloquer en
un clic de souris.
propos de lActuScu
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet de conseil Xmco Partners.
Sa vocation est de fournir des prsentations claires et dtailles sur le thme de la scurit informatique, en toute
indpendance. Il sagit de notre newsletter.
Fonds en 2002 par des experts en scurit, dirige par ses fondateurs, nous
n'intervenons que sous forme de projets forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent
nos axes majeurs de dveloppement pour notre cabinet.
Pour contacter le cabinet Xmco Partners et obtenir des informations sur notre mtier : 01 47 34 68 61.
Notre site web : http://www.xmcopartners.com/
WWW.XMCOPARTNERS.COM