Journal Un retour de Flame...

Posté par (page perso) . Licence CC by-sa
Tags : aucun
21
4
juin
2012

A moins de vivre près d'une faille spatio-temporelle, vous avez certainement entendu parler du dernier virus/cheval de troie à la mode au moyen-orient: Flame.
Si on ignore toujours l'origine exacte du 'malware' on sait désormais que certaines parties étaient signées par des certificats d'authenticité qui n'émanaient de personne d'autre que de Microsoft !

Évidemment les MIB de chez Ms se sont mis aussitôt au travail pour découvrir que l'infrastructure pour l'obtention de licences Terminal Server pouvait être utilisée afin de signer du code comme s'il provenait de chez eux… LOL
(oui je sais mais LOL quand même)
Donc, si elle n'est pas tout à fait spatio-temporelle, la faille existait bel et bien.

Bref, personne n'est à l'abri de ce genre de boulette et cette fois la firme de Redmond semble avoir joué la transparence. Enfin jusqu'à un certain point.
Ceci étant on n'a toujours pas les détails pour l'affaire de kernel.org en Septembre dernier non plus…

A vos trolls, prêt ? Partez…

http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx
https://www.securityweek.com/microsoft-unauthorized-certificate-was-used-sign-flame-malware

  • # hum...

    Posté par . Évalué à 6. Dernière modification le 04/06/12 à 18:26.

    vu que les derniers virus/malware ont ete fait par une entite du gouvernement americain pour compromettre des systemes iraniens (entre autre probablement). On peut juste se poser la question de savoir si Microsoft ne fait pas sa vierge effarouche alors qu'ils sont au courrant depuis le debut car parti prenante.

    Oui oui theorie conspirationiste, tout ca mais bon cela serait logique qu'une boite americaine aide le gouvernement americain. Cela montre par contre que mettre des systemes critiques d'un pays sous ce genre de systeme peut avoir des consequences pas forcement dans l'interet du pays en question.

    En ce qui concerne kernel.org, il me semble bien qu'une analyse detaille avec ete faite et publie (y compris sur ce site) mais je peux me tromper.

  • # Vidéo à voir

    Posté par (page perso) . Évalué à 6.

    La présentation de Raplph Langner à TED sur Stuxnet est très intéressante à regarder:

    Quand il a été découvert en 2010, le ver informatique Stuxnet a posé une énigme déroutante. Au delà de son niveau exceptionnellement élevé de sophistication se dessine un mystère plus troublant : son but. Ralph Langner et son équipe ont contribué à craquer le code qui a révélé la cible finale de cette ogive numérique—et ses origines secrètes. Dans un aperçu fascinant de la cyberexertise légale, il explique comment.

    Ralph Langner is a German control system security consultant. He has received worldwide recognition for his analysis of the Stuxnet malware

    http://www.ted.com/talks/lang/fr/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon.html

  • # Caaaapitaaiiiine Flame

    Posté par . Évalué à 10.

    Désolé, pas possible d'attendre vendredi. Pardon aux familles, toussa…
    /\/\/\/~> []

    • [^] # Re: Caaaapitaaiiiine Flame

      Posté par . Évalué à 3.

      Avec une prononciation à l'anglaise, pour moi ça donnait plutôt :
      ♩♫ flame *menace à coup de paume de main*, i'm gonna live forever ♪♬

      /o\ /o\ /o\ ~> [] itou

  • # Interressant

    Posté par . Évalué à 4.

    Ce qu'il y a de surtout tres interressant dans cette attaque, c'est qu'elle a permit d'utiliser le systeme de mise a jour de microsoft sur les reseaux locaux pour propager le virus. C'est juste la faille ultime que tous les malware revent d'utiliser !

    Mais maintenant la question est, dans le cadre du logiciel libre et via les systemes de mise a jour de paquets de nos distributions. Avons-nous la moindre protection ? Je ne pense pas. En fait je pense que Linux en terme de securite est base sur un seul paradigme : on fait confiance aux developpeurs et aux distributeurs.

    Resultat, on n'a pas de mecanisme de securite deploye pour proteger les donnees privees des utilisateurs. On n'a pas de mecanisme de securite pour verifier avec une source independante les regles de securites lie a un package (quelles regles de securite d'ailleur ?). Les applications elle-meme utilisent tres peu de technique de mitigation de faille (je parle du desktop, sur le serveur la situation est un peu meilleur tout de meme).

    Il y a boulot enorme dans le domaine de la securite des utilisateurs qui n'est pas mis en place sous Linux et la seule raison qui fait qu'on est en securite, c'est qu'on n'est pas assez nombreux pour representer une cible interressante. Mais a l'heure actuelle la securite d'un desktop linux est abyssallement bas !

    • [^] # Re: Interressant

      Posté par (page perso) . Évalué à 2.

      En fait je pense que Linux en terme de securite est base sur un seul paradigme : on fait confiance aux developpeurs et aux distributeurs.

      C'est exact. Mais tu peux aussi déployer SElinux ou une autre solution au dessus de tes applis. De toutes façons tant qu'il y aura des blobs…
      Ah et puis maintenant il y a aussi les puces avec des backdoors !

    • [^] # Re: Interressant

      Posté par . Évalué à 2.

      Mais a l'heure actuelle la securite d'un desktop linux est abyssallement bas !

      Pas plus qu'un desktop mac ou windows. Tu parles de protection des données utilisateurs, tu peux pas forcer les gens à faire des backups, ou les forcer à faire de la redondance. Avant de dire qu'il est bas tu devrais regarder du coté de SELinux, tomoyo ou apparmor.

      Ils ne sont pas installés par défaut, mais ils font partis des packages dispo.

      Ensuite c'est un peu comme tout si tu veux un max de sécurité par défaut, les utilisateurs se débarrasseront de la sécurité pour avoir un truc fonctionnel, il y a qu'a voir au boulot comment sont traité les anti virus, ou lorsque Vista était sorti et son UAC qui se déclenchait à presque tous les clics.

      Mais de toute façon rien ne remplace un backup, une défaillance matérielle et c'est tout le contenu du disque qui énonce "sparait". Et au moins on nous fourni de quoi faire les backup.

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: Interressant

        Posté par . Évalué à 0.

        Je parle pas de protection de l'OS, mais bien de la securite de mes donnees. Pourquoi un client mail a acces a autre chose que le nom et l'adresse email de mes contacts ? Pourquoi mon navigateur web peut uploader n'importe lequel de mes fichiers ? Je parle bien de limiter les acces aux donnees en fonction de ce que l'application fait reellement.

        Je parle meme pas de faire un backup qui est l'etape d'apres, je parle juste de proteger les donnees des gens de toute modification non voulu et de toute transmission a des tiers. Et non, un antivirus ca arrive apres que le probleme se soit poser. C'est deja trop tard et un backup ne protege que contre la destruction physique des donnees et a la rigueur d'une alteration.

        De maniere generale, si une application fait n'importe quoi sous Linux, elle peut emporter tout ton systeme et surtout toutes tes donnees personnelles avec elle. Et enfin X, ce machin, c'est juste plus une passoire, mais juste un enorme trou. N'importe quelle appli peut recuperer les appuis sur les touches faire des captures d'ecran envoyer n'importe quoi a une autre appli, et j'en passe et des meilleurs !

        Des que tu lances une application X, tu mets tes donnees personnelles en danger et ca la majorite des gens qui utilisent Linux n'en ont pas conscience ! Le desktop Linux, c'est une passoire en terme de securite !

        • [^] # Re: Interressant

          Posté par . Évalué à 3.

          Pourquoi un client mail a acces a autre chose que le nom et l'adresse email de mes contacts ?

          Pour pouvoir envoyer des pièces jointes ?

          Pourquoi mon navigateur web peut uploader n'importe lequel de mes fichiers

          Pour pouvoir uploader des fichier justement :)

          De maniere generale, si une application fait n'importe quoi sous Linux, elle peut emporter tout ton systeme

          Heu non justement, il faudrait qu'elle arrive à sniffer le mot de passe root, et ce dernier n'est pas tappé dans ma session utilisateur, ou qu'elle utilise une faille locale.

          et surtout toutes tes donnees personnelles avec elle.

          Pas chez moi ;)

          Et enfin X, ce machin, c'est juste plus une passoire, mais juste un enorme trou. N'importe quelle appli peut recuperer les appuis sur les touches faire des captures d'ecran envoyer n'importe quoi a une autre appli, et j'en passe et des meilleurs !

          Un peu comme sous windows ;) Je ne me prononcerai pas pour les Mac, mais sous l'OS de Redmond, il y a un paquet d'application permettant d'automatiser des taches à la sourie + clavier; Quant à écouter le claver, ça fait que très récemment que windows intègre un mode sécurisé pour empêcher le sniffage, et c'est uniquement pour le système, pas les appli comme firefox, ou du moins ces dernières ne l'ont pas implémentés.

          Donc plutôt que de dire sous Linux, tu pourrais dire sur les OSs.

          Et ce n'est pas n'importe quelle appli, mais celles de l'utilisateur, ou à la rigueur root, ou celle spécifiquement autorisé.

          Il n'y a pas de manière simple de sécuriser les entrées clavier/sourie sur un OS, a moins de supprimer tout ce qui permet l'automatisation. Un truc basique, très simple à mettre en œuvre, c'est une fenêtre transparente au dessus de toutes les autre qui transmet les événements juste en dessous, faut juste faire gaffe au highlight de la fenêtre, mais bon ça se fait.

          Ensuite si tu fais confiance dans ta distib, tu n'a pas besoin d'outils tiers pour bosser, tu as moins de chance de récupérer un sniffeur que si tu prends un windows de bases et que tu installes tous les trucs pour le rendre un poil plus utilisable (pour bosser) (supercopier, winmerge ou équivalent, un explorateur à onglet, un multibureau, 7zip, cygwin ou mingw, eclipse (ou emacs, gvim, jedit…)

          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

          • [^] # Re: Interressant

            Posté par . Évalué à 1.

            Pour pouvoir uploader des fichier justement :)

            Donc pouvoir envoyer toutes mes donnees privees, incluant mon historique de navigation, mes mails, mon carnet d'adresse, c'est normal ? De maniere generale, un navigateur web a des droits d'acces juste dantesque par rapport au respect de la vie prive et a la protection de mes donnees. Et avec HTML5, on ne va pas dans la direction d'une meilleur protection de l'utilisateur… Donc qu'il puisse uploader les documents que je choisis, oui. Qu'il puisse uploader toutes les donnees auquel j'ai access sur mon systeme, non.

            Heu non justement, il faudrait qu'elle arrive à sniffer le mot de passe root, et ce dernier n'est pas tappé dans ma session utilisateur, ou qu'elle utilise une faille locale.

            Tu ne tappes jamais ton mot de passe dans X ? Tu n'utilises pas sudo ? Tu n'utilises pas le meme mot de passe quelque part ailleur ? Tu n'utilises pas un ssh-agent ? Je me trompe peut-etre, mais je pense que la grande majorite des utilisateurs viennent de donner leur acces root et sans faille locale autre que en utilisant X. Et ca, c'est sans faire le moindre effort d'attaque serieux.

            Pas chez moi ;)

            Donc tu as mis en place une politique SELinux ou autre qui protege ton repertoire de cache, tes mails, tes documents de maniere suffisament fine pour eviter un leak. Quel sont les droits de ton script shell ? Est-il possible d'ajouter quelque chose a ton bashrc ou equivalent ? C'est juste le debut des questions, mais je pense que tu vois tres bien ou je veux en venir.

            A part si tu fais tourner chaque application dans une VM avec des droits d'acces tres fin aux systemes de fichiers, je suis certain que la tres tres grande majorite des utilisateurs fini par tomber dans le panneau a un moment donne. Et ca, il n'y a aucune distribution actuelle qui a resolu le probleme pour l'instant.

            Tiens je serais interresse de savoir quel desktop tu utilises et comment tu l'as configure pour eviter ca.

            Donc plutôt que de dire sous Linux, tu pourrais dire sur les OSs.

            Bah non, comme tu viens de le dire toi meme, les dernieres version de Windows ont deja plus de mecanisme de securite qu'une distrib Linux quand il s'agit de securiser l'utilisation du Desktop.

            Et ce n'est pas n'importe quelle appli, mais celles de l'utilisateur, ou à la rigueur root, ou celle spécifiquement autorisé.

            Malheureusement, il n'y a pas d'application specifiquement autorises sous Linux, des que tu as acces a X, tu es le roi du monde. Et je parle meme pas de faille de securite potentiel dans l'acceleration graphique, juste d'utiliser les bases du protocoles X.

            Ensuite si tu fais confiance dans ta distib, tu n'a pas besoin d'outils tiers pour bosser, tu as moins de chance de récupérer un sniffeur que si tu prends un windows de bases et que tu installes tous les trucs pour le rendre un poil plus utilisable (pour bosser) (supercopier, winmerge ou équivalent, un explorateur à onglet, un multibureau, 7zip, cygwin ou mingw, eclipse (ou emacs, gvim, jedit…)

            C'est bien ce que je dis, tout est base sur la confiance qu'on a envers les developpeurs et les distributeurs. Qu'est-ce qu'il se passe si la clef de signature de Debian/Redhat/Arch/… est compromise ? Bah, voila, quoi.

            Il n'y a pas d'autre mecanisme de securite que la confiance dans les developpeurs et les distributeurs. Ca marche tant que Linux ne prend pas plus de part de marche. Tant qu'une gentil bande de barbu joue avec, tout va bien. Le jour ou ca a du sens de le prendre pour cible, et bien, ca sera la fete !

            • [^] # Re: Interressant

              Posté par . Évalué à 2.

              Tu ne tappes jamais ton mot de passe dans X ?

              Pas dans la session utilisateur, le multisession c'est très pratique pour ça (:0 :1).

              Tu n'utilises pas sudo

              consolHelper uniquement, et c'est un mot de passe utilisateur (pour le reste je passe par l'autre session ou en mode console)

              Donc tu as mis en place une politique SELinux ou autre qui protege ton repertoire de cache, tes mails, tes documents de maniere suffisament fine pour eviter un leak.

              Tu parlais de destruction de données, elle sont protégées par backup régulier. Pour le leak, les information confidentielle ne sont pas gérées avec le même utilisateur; c'est bien plus simple que de faire du SELinux

              Il n'y a pas d'autre mecanisme de securite que la confiance dans les developpeurs et les distributeurs. Ca marche tant que Linux ne prend pas plus de part de marche. Tant qu'une gentil bande de barbu joue avec, tout va bien. Le jour ou ca a du sens de le prendre pour cible, et bien, ca sera la fete !

              Mais en quoi est ce différent de ce qu'il y a avec un windows ou un maxOS? Si on veut plus de sécurité on peut toujours configurer un SELinux;

              ps : je précise que je ne me fais chier avec une session séparé pour le super utilisateur et un user séparé pour les données confidentielle que sur le PC où j'ai des trucs confidentiels, pour le reste de mes machine, le backup régulier du home et la liste des packages installé suffit amplement.

              Il ne faut pas décorner les boeufs avant d'avoir semé le vent

        • [^] # Re: Interressant

          Posté par . Évalué à 2.

          Et enfin X, ce machin, c'est juste plus une passoire, mais juste un enorme trou. N'importe quelle appli peut recuperer les appuis sur les touches faire des captures d'ecran envoyer n'importe quoi a une autre appli, et j'en passe et des meilleurs !

          J'aimerais bien un exemple de code tiens …

          • [^] # Re: Interressant

            Posté par . Évalué à 3.

            J'aimerais bien un exemple de code tiens …

            Lance xev pour recevoir les inputs, (généralement dans toutes les bonnes distrib), ksnapshot pour les captures d'écran; par contre pour l'envoi d'évènement je ne sais pas mais j'avais lu que des clavier ou des souries usb pouvaient le faire ;) (blague à part on peut très bien avoir une clé qui se fait passer pour un clavier)

            Mais bon ce n'est pas spécifique à linux; tous les os que je connais ont le même problème.

            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

            • [^] # Re: Interressant

              Posté par . Évalué à 2.

              Pour l'envoie d'evenement, c'est comme ca que les applications d'accessibilite fonctionne. Sinon oui pour tout le reste, c'est des demos qu'on peut facilement detourner pour faire des troyens et autre cochonerie.

            • [^] # Re: Interressant

              Posté par . Évalué à 1.

              J'attends l'exemple de code …

              • [^] # Re: Interressant

                Posté par . Évalué à 2.

                Et bien, tu demandes a ton pote google de te donner le code source des logiciels cites (car ceux sont des logiciels libres, truc de ouf !). Tu verras en general, il fait un bon boulot et te laissera pas tomber.

              • [^] # Re: Interressant

                Posté par . Évalué à 4. Dernière modification le 11/06/12 à 09:53.

                urpmi xev || yum install xev || aptitude install xev
                xev -id $(xwininfo -root -tree | grep Mozilla |head -1 | awk '{print $1}')

                Voila tu as tout ce qui se passe dans ton petit firefox ou du moins dans l'une des fenêtre.

                Pour avoir la liste des fenêtre d'un display
                xwininfo -root -tree

                ça permet de savoir quel browser il utilise, et comme tu peux choper les titres des fenêtres tu peux même attendre qu'il soit sur un site intéressant avant de lancer la capture ;)

                pour déloger un gros lourd du PC xkill -id $( xwininfo -root | grep -w id | awk '{ print $4 }')

                évidemment cela nécessite de pouvoir accéder au display de la machine (et donc d'être le user ou root ou que le boulet ait fait des connerie avec xhost ou xauth )

                et cela marche depuis 10 ans au moins (je le faisait en IUT), et c'était même pire, sur les station DEC, on pouvais toujours accéder au :0, sauf sur Adonis, une solution consistait à se rlogger 3 fois sur la machine, et ça réglait le problème des rlogin, mais pas des rsh.

                Il ne faut pas décorner les boeufs avant d'avoir semé le vent

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.