Journal 10 millions ou vous ne reverrez jamais vos données !

Posté par  (site web personnel) .
14
7
mai
2009
L'Etat de Virgine a un site web qui s’occupe de gérer les données médicales des patients. Ce "Virginia Department of Health Professions" liste toutes les prescriptions qui sont faites et enregistre les délivrances de médicaments par les pharmaciens.
Ce beau site web, visible ici, a été attaqué par un ou des pirates et la page d'accueil a été remplacée par le message suivant (traduction de votre serviteur):

"J'ai toute votre merde ! J'ai actuellement en *ma* possession les enregistrements de 8 257 378 patients pour un total de 35 548 087 prescriptions. J'ai fait un backup chiffré et j'ai supprimé l'original. Dommage pour la Virginie mais les sauvegardes semblent également avoir disparu. Uhoh :(
Pour dix millions de dollars je serai heureux de vous envoyer le mot de passe.
"

L'histoire est relatée sur le site Securityfocus et le spécialiste de sécurité Bruce Schneier en parle également sur son blog.
La page d'accueil du site du Department of Health Professions est revenue à la normale mais une déclaration de son directeur est disponible et indique qu'une enquête criminelle est en cours.

A ce stade il est difficile d'en savoir plus mais on peut tout de même se poser quelques questions.
- Les données des patients étaient-elles chiffrées ? Cela ne change rien pour la rançon demandée par le pirate car il a quand même les données et il ne les rendra que contre les 10 millions...mais au moins ces données ne pourront pas apparaitre en clair dans la nature.
- Comment est-il possible que le pirate ait pu effacer les backups ? Les sauvegardes auraient du être complètement distinctes de la base de données, sans aucun accès possible depuis le net. Une hypothèse plausible serait que le pirate ait eu un accès depuis des mois et qu'il ait corrompu les sauvegardes semaines après semaines avant de faire son coup.
- Quelle est l'origine de la faille de sécurité initiale ? Est-ce un vrai trou dans un logiciel ou l'OS ou bien un simple problème de mauvaise configuration ? Et quel était l'OS d'ailleurs ?
  • # Demande de rançon

    Posté par  . Évalué à 4.

    Je me demande comment peut être viable une demande de rançon de cet ordre.

    Rien que pour récupérer l'argent, il va pas se trimbaler avec ses sauvegardes et de quoi les effacer :/

    Envoyé depuis mon lapin.

    • [^] # Re: Demande de rançon

      Posté par  . Évalué à 6.

      De ce que j'ai cru comprendre, les données ont été sauvegardées en local et chiffrées.
      Il n'a donc qu'à envoyer la clef par email une fois le pognon reçu :)
      • [^] # Re: Demande de rançon

        Posté par  . Évalué à 5.

        Euh, et pour 10 millions de dollars, la NSA peut pas utiliser ses supercalculateurs pour craquer ça en "brute force"?
        • [^] # Re: Demande de rançon

          Posté par  (site web personnel) . Évalué à 10.

          "Chers utilisateurs,

          Demain, les services Google seront indisponibles entre 10h et 10h30 (central time). Veuillez nous excuser pour cette interruption momentanée de service"
        • [^] # Re: Demande de rançon

          Posté par  . Évalué à 4.

          S'il a utilisé un algorithme correct, normalement non - enfin pas avec les connaissances officielles (recherche scientifique publique) et les moyens de calculs évalués par ces mêmes chercheurs.
          Après c'est sûr que s'il y a des failles ou si les chercheurs de la NSA ont des moyens de calcul de type inconnu du public spécialisé, tout devient possible... Mais faut aussi se rappeler que si la NSA avait diminué la taille de clef du DES de 64 bits à l'origine à 56 bits, c'est pas vraiment pour des raisons de sécurité, mais bien pour être capable de bruteforcer les clefs.
          Mais bon en plus vu l'atmosphère de secret qui entoure la NSA, ce serait pas le genre à montrer qu'ils savent casser ça ou bien n'en sont pas capable. Ça donnerait beaucoup d'informations sur leurs capacités, ce qu'ils sont certainement pas près de faire.
          • [^] # Re: Demande de rançon

            Posté par  . Évalué à 2.

            Pour la petite histoire,

            La NSA a évalué la qualité de l'algo DES et a propos DEUX changements

            1 - changement du fonctionnement de l'algo
            2 - réduction de la taille de la clé : 112 à 56 bits

            Les modifications apportées ont réellement amélioré la sécurité de DES

            un peu de lecture : http://www.zdnet.fr/actualites/informatique/0,39040745,39177(...)

            Je trolle dès quand ça parle business, sécurité et sciences sociales

            • [^] # Re: Demande de rançon

              Posté par  (site web personnel) . Évalué à 5.

              Les changement dans l'algo lui même (notament les tables S) ont éffectivement amélioré l'algo. Sans ces modifications l'algo était bien moins résistant aux attaques par cryptographie différentielle, une technique d'analyse qui ne sera publiquement découverte que plusieurs années plus tard. (mais que la NSA connaissait surement déjà à l'époque...)

              Par contre la réduction de la taille de la clé, elle, n'a certainement pas amélioré la sécurité offerte par DES... Bien au contraire.

              Pour plus d'info, voir l'excelent livre «Applied cryptographie» de Bruce Schneier.
            • [^] # Re: Demande de rançon

              Posté par  (site web personnel) . Évalué à 1.

              > Les modifications apportées ont réellement amélioré la sécurité de DES

              On retrouve une situation analogue pour SHA-0 pour lequel la NSA a proposé une modification sans explication qui s'est avérée améliorer la sécurité de l'algorithme.

              http://en.wikipedia.org/wiki/SHA1#SHA-0_and_SHA-1

              pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

        • [^] # Re: Demande de rançon

          Posté par  . Évalué à 10.

          Avec un peu de chance le pirate utilisait Debian et son prodigieux générateur de nombre aléatoires ... ;)

          BeOS le faisait il y a 20 ans !

  • # Il ne reste plus qu'a remetre une page

    Posté par  (site web personnel) . Évalué à 2.

    avec une heure et un lieu de rendez-vous :p
  • # et quel était l'OS d'ailleurs ?

    Posté par  . Évalué à 10.

    La machine actuellement en place (165.176.249.168) utilise Windows 2k avec IIS/5.0 comme serveur.

    ... oh eh ! demain c'est férié !
    • [^] # Re: et quel était l'OS d'ailleurs ?

      Posté par  (site web personnel) . Évalué à 1.

      Tiens, comment on obtiens ce genre d'informations ? Y a une commande pour ça ?
      • [^] # Re: et quel était l'OS d'ailleurs ?

        Posté par  . Évalué à 6.

      • [^] # Re: et quel était l'OS d'ailleurs ?

        Posté par  . Évalué à 5.

        nmap et telnet.
        • [^] # Re: et quel était l'OS d'ailleurs ?

          Posté par  . Évalué à 10.

          En même temps je ne suis pas certain que lancer nmap sur cette machine en ce moment même soit une vraie bonne idée, ils doivent avoir les ports sensibles :)
      • [^] # Re: et quel était l'OS d'ailleurs ?

        Posté par  . Évalué à 7.

        1. lary@server:/$ lynx http://www.dhp.virginia.gov/
        2. Appuyer sur =
        3. Observer :

        Lynx 2.8.5rel.1 (04 Feb 2004) (latest release)

        File that you are currently viewing

        Linkname: Virginia Department of Health Professions - Home
        URL: http://www.dhp.virginia.gov/
        Charset: iso-8859-1
        Server: Microsoft-IIS/5.0
        Date: Thu, 07 May 2009 18:15:16 GMT
        Last Mod: Wed, 06 May 2009 20:22:36 GMT
        Owner(s): None
        size: 126 lines
        mode: forms mode

        Link that you currently have selected

        Linkname: Virginia.gov
        URL: http://www.virginia.gov/

        Commands: Use arrow keys to move, '?' for help, 'q' to quit, '<-' to go back.
        Arrow keys: Up and Down to move. Right to follow a link; Left to go back.
        H)elp O)ptions P)rint G)o M)ain screen Q)uit /=search [delete]=history list

        Sachant que généralement la version de IIS ne peut correspondre qu'à une génération d'OS chez Microsoft.
        • [^] # Re: et quel était l'OS d'ailleurs ?

          Posté par  . Évalué à 2.

          Avec mod_security, on peut faire passer Apache pour un IIS facilement. Se baser uniquement sur la signature du serveur web n'est pas suffisant. Le charset peut-être une petite information non-négligeable. Nmap reste quand-même le meilleur moyen de connaître l'OS.
          • [^] # Re: et quel était l'OS d'ailleurs ?

            Posté par  . Évalué à 2.

            faire passer un Apache pour du IIS. Même les amateurs d'honeypot n'y avaient pas pensé :-)

            Je trolle dès quand ça parle business, sécurité et sciences sociales

    • [^] # Re: et quel était l'OS d'ailleurs ?

      Posté par  . Évalué à 4.

      les administrateurs avaient qu'a mettre à jour.
      • [^] # Re: et quel était l'OS d'ailleurs ?

        Posté par  . Évalué à 4.

        Dans le meme genre :
        $HEAD www.dhp.virginia.gov

        200 OK
        Connection: close
        Date: Thu, 07 May 2009 20:37:23 GMT
        Accept-Ranges: bytes
        ETag: "04edf6488cec91:af5"
        Server: Microsoft-IIS/5.0
        Content-Length: 18499
        Content-Location: http://www.dhp.virginia.gov/Default.htm
        Content-Type: text/html
        Last-Modified: Wed, 06 May 2009 20:22:36 GMT
        Client-Date: Thu, 07 May 2009 20:38:04 GMT
        Client-Peer: 165.176.249.168:80
        Client-Response-Num: 1
        MicrosoftOfficeWebServer: 5.0_Pub
        PICS-Label: (PICS-1.0 "http://www.rsac.org/ratingsv01.html" l on "2002.01.30T11:07-0400" exp "2035.12.31T12:00-0400" r (v 0 s 0 n 0 l 0))
  • # Oracle?

    Posté par  . Évalué à 9.

    D'après ce que j'ai pu en lire, oracle permet de chiffrer de manière transparente les données.
    De plus, cette méthode peut être mise en oeuvre 'on-the-fly'.

    Donc:
    le pirate entre. Il active le chiffrement.
    Les admins continuent de bosser, c'est transparent pour eux.
    Ils font leurs sauvegardes (mais elles sont chiffrées..)
    Le pirate attend.

    Le pirate se déconnecte et déconnecte tout le monde en activant le chiffrement avec demande de mot de passe.

    Il écrit une page web, heu, originale dont une copie est visible ici:
    http://riga.ax.lt/leak/virginia-ransom-2009.html

    Il attend.

    Néanmoins, j'ai vraiment du mal à comprendre ce qu'il peut attendre de cette 'attaque'. Comment gérer les 10 millions qu'il va recevoir? Comment va t'il pouvoir y avoir accès?
    • [^] # Re: Oracle?

      Posté par  . Évalué à 1.

      comme le serveur est sous Windows, les données ont été restaurées le lendemain. C'est rassurant n'est-il pas...
    • [^] # Re: Oracle?

      Posté par  . Évalué à 2.

      Un compte dans un paradis financier devrait suffire. Comme à la télé : Je demande confirmation d'un virement de 10 millions.

      Mais comme les États-Unis sont un peu ric-rac en ce moment, il paraîtrait que la NSA pourrait tenter de récupérer la sauvegarde.
      • [^] # Re: Oracle?

        Posté par  (site web personnel) . Évalué à 10.

        Il parait justement que les paradis fiscaux (liste noire) n'existent plus depuis le G20. il n'y aurait plus que quelques purgatoires fiscaux(liste grise). Et heureusement, tout le reste du monde bancaire se trouve en enfer fiscal.
        • [^] # Re: Oracle?

          Posté par  . Évalué à 4.

          Les paradis financiers assurent un très fort secret bancaire. Les paradis fiscaux, eux, ont une fiscalité très basse. Mais c'est vrai que les paradis fiscaux sont aussi paradis financiers et pourquoi pas aussi paradis judiciaire. Ouvrir un compte dans un pays qui combine les trois, c'est le minimum avant de faire ce genre coup.
    • [^] # Re: Oracle?

      Posté par  (site web personnel) . Évalué à 4.

      Ah pas mal d'avoir retrouvé une copie de la page qu'il avait mise en place. Merci.
      Avec ça on a une information supplémentaire puisqu'il dit que les données des patients sont en clair et qu'il pourra les revendre à qui il veut.
      • [^] # Re: Oracle?

        Posté par  . Évalué à 7.

        au moins le site n'a pas été réalisé avec Front Page...

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Tour de passe passe.

    Posté par  . Évalué à 3.

    Et si, en fait, il voulais juste faire un sale coup parce qu'il a eu un différent avec le possesseur du mail hackingforprofit at yahoo ?
  • # Est-ce vrai

    Posté par  . Évalué à 3.

    A-t'on seulement une preuve que ce n'est pas juste la page d'accueil qui a été changé juste pour «rire»?

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Est-ce vrai

      Posté par  (site web personnel) . Évalué à 4.

      C'est ce que le FBI doit être en train de vérifier.
      • [^] # Re: Est-ce vrai

        Posté par  . Évalué à 10.

        ils sont en train de contacter les services de police français pour connaître leurs méthodes légendaires, histoire de retrouver si un gars a envoyé un SMS à un copain en lui disant "Pour hacker le site du Department of Health Professions, t'as une solution ?"

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.