C'est chaud l'Italie...

Par Sid, jeudi 8 novembre 2007 à 21:36 :: (In)Sécurité :: lu 7212 fois :: #232 :: rss :: atom
Read it in english with Google

Écoute téléphonique

n Italie, le petit monde de la sécurité informatique est en pleine ébullition. En effet, Roberto Preatoni, fondateur de Zone-H, aurait été arrêté lundi en marge d'une sombre affaire d'espionnage industriel. C'est du moins ce qu'en disent certains. D'autres sources parlent en effet d'interrogatoire, mais pas d'inculpation.

Toujours est-il qu'il est intéressant de voir comment cette affaire, qui semble défrayer la chronique depuis le début de l'année de l'autre côté des Alpes, est à présent reprise plus largement. En effet, Roberto est également co-fondateur du très polémique site de vente de vulnérabilités aux enchères, Wabisabilabi. La perche était trop grosse pour ne pas être saisie et relancer s'il le fallait la polémique autour de ce site que d'aucuns qualifient d'eBay de la faille...

Pour comprendre un peu mieux cette histoire, il faut remonter quelques dix mois en arrière. En janvier 2007, quand quatre italiens se font arrêter pour piratage et écoutes illicites. Point commun ? Telecom Italia, entreprise dans laquelle ils ont tous exercé au sein d'une équipe sobrement appelée Tiger Team dirigée par Fabio Ghioni. Grosso modo, ils auraient profité de leurs accès pour pirater quelques machines et placer des écoutes illégales dans ce qui ressemble pas mal à une histoire d'espionnage industriel qui mêle industriels, patrons de presse, politiques et même services secrets.

Et c'est à cette histoire qui a forcément pris des dimensions médiatiques et politiques énormes que Roberto Preatoni se retrouve aujourd'hui mêlé, de part ses liens avec Fabio Ghioni, avec lequel il avait fait une présentation à HITB en 2006, et son équipe. Évidemment, je vous sors ça comme j'en ai entendu parler, soit sur le web, soit via des connaissances sur place. En tout cas, l'affaire semble des plus tordues, très à la hauteur de ce qu'on a connu dans l'hexagone avec l'affaire Clearstream. Bref, personne ne lui envie cette publicité soudaine.

Pour en revenir à Roberto, et aux à la vente de failles, il se trouve qu'il était à Jakarta pour Bellua^[1]. J'ai donc pu lui serrer la paluche et partager quelques bières. Puis-je affirmer pour autant que cela me permet d'avoir un avis sur l'affaire sus-citée ? Certainement pas, même si j'ai trouvé le personnage fort intéressant, sympathique pour ne rien gâcher, et que ça me fait de la peine pour lui. Par contre, dans la mesure où sa présentation^[2] parlait justement de Wabisabilabi, avec des arguments qu'on retrouve pour la plupart dans le blog de la société. J'ai donc pu conforter mon opinion sur la question. Je ne suis clairement pas pour ce genre de pratiques. Et ce n'est pas le casier judiciaire des fondateurs de ce site qui serait susceptible d'influencer mon jugement, dans un sens comme dans l'autre.

Car plus loin que la question de confiance soulèvée chez Matasano, je ne suis pas du tout à l'aise avec l'idée de vente de failles au plus offrant. Je goûtais déjà modérément le concept de marché de la faille tel qu'entretenu par iDefense ou ZDI. Je parvenais cependant à trouver quelque sens à l'argument qui voudrait qu'en rémunérant les découvreurs de failles, on les incite à rester du côté clair de la force. Pourquoi pas...

Mais j'avoue que ça n'atteignait pas le cynisme de la vente aux enchères, à laquelle j'ai du mal à trouver le moindre sens. C'est pourquoi je ne crois pas que vendre des failles au plus offrant rendra l'informatique plus sûre, ce qui est précisément le but annoncé : Closer to zero risk. J'ai en particulier du mal à croire à la maîtrise de ce genre de marché dans lequel on ne sert que d'intermédiaire, et son détournement à des fins répréhensibles. Si on reprend le parallèle avec eBay, on sait pertinemment, et malgré tous les efforts déployés, que ce site de vente aux enchères connait son lot d'arnaques et d'escroqueries. Certains font même mention de trafics en tout genre, en tête desquels vient celui des identifiants, et même de blanchiment d'argent... Pourquoi en irait-il autrement de Wabisabilabi ? D'autant que ce qu'on y achète est de la matière première de choix pour alimenter une criminalité déjà bien rompue aux identités factices et autres compte bancaires fantômes. Techniques qui permettront à pleins de gens bien intentionnés d'accéder simplement à ce marché.

Notes

[1] Oui, oui, le compte-rendu arrive...

[2] Intitulée WabiSabiLabi, The Exploit Marketplace.

Note : 0.0/5 pour 0 vote

Trackbacks

1. Le mardi 1 janvier 2008 à 14:48, de ACISSI

C'est chaud l'Italie... :: pirates sous les verrous

En Italie, le petit monde de la sécurité informatique est en pleine ébullition. En effet, Roberto Preatoni, fondateur de Zone-H, aurait été arrêté lundi en marge d'une sombre affaire d'espionnage industriel. C'est du moins ce qu'en disent...

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le jeudi 8 novembre 2007 à 21:40, par Tyop?

Wabisabilabi, c'est pas la vente d'exploit qui sont deja publics ? En plus d'etre un buisness discutable, c'est une arnaque.

Si on cherche un peu plus loin, des societes comme immunity, qui prone "toute information a un prix", et qui se justifient en disant que le 0day a sa place dans les pen-tests... J'aimerais bien savoir le pourcentage de clients qui utilise leur base d'exploits pour faire des audits legaux. Il est difficile (impossible) d'eradiquer ce genre de buisness, mais j'estime qu'il y a une limite entre Immunity et Wabisabilabi. Faut arreter le foutage de gueule.

Le grey-market, un troll passionnant.

Réponse de Sid

Faire un pentest à coups de 0day ne prouve qu'une chose : qu'on peut rentrer. Il est malheureusement pleins d'endroits où il est encore nécessaire d'avoir recours à ce genre d'artifice. Par contre, quand vient la question "Et comment je m'en protège maintenant ?", la réponse devient un peu plus difficile à trouver...

2. Le jeudi 8 novembre 2007 à 21:53, par Tyop?

sid: "Et comment je m'en protège maintenant ?"

facile ! Il suffit de proposer a la boite concernee les services de veille d'Immunity (je me doute qu'il doivent proposer ce genre de truc) !
Ca marche un peu comme une mafia quoi. En plus fun.

3. Le vendredi 9 novembre 2007 à 13:50, par fropert

@tyop:Si on prend un constructeur qui achète du -Xday, c'est un super argument pour se la péter en avant-vente devant d'autres concurrents sur le marché de l'IPS donc je ne dirais pas que c'est une arnaque pour tout le monde :)

4. Le vendredi 9 novembre 2007 à 15:24, par Tyop?

@fropert: Pour les bases de signatures, ca peut etre utile effectivement. Maintenant j'ai envie de dire que c'est acheter la protection (partielle, c'est un IDS, c'est mort les IDS :) aux personnes qui vendent aussi l'attaque...

Et je le dis ! C'est une mafia, ils generent un etat d'insecurite (a leur maniere, en ne suivant pas le principe Full Disclosure), pour t'en vendre la solution.

5. Le dimanche 11 novembre 2007 à 17:58, par somebodyishere

@fropert : Je suis d'accord avec Tyop un tel procédé tend à générer un climat d'insécurité pour les entreprise, en gros on tend de plus en plus vers du : "si tu n'as pas d'argent, alors oublies ta sécurité", aujourd'hui maintenir une politique de sécurité correcte devient de plus en plus cher, alors si on y ajoute ce genre de choses que va devenir le monde de la sécurité dans les 5 ou 10 ans.... Enfin et comme le souligne Tyop et Sid les criminels peuvent tout aussi bien participer et remporter ces enchères, qui plus est certaines personnes de ce milieux sont loin de manquer de capitaux, donc que ce soit pour de la vente ou du piratage acheter un exploit sur le site résulte à pouvoir amasser plus d'argent de manière quelques peu frauduleuse....

6. Le dimanche 11 novembre 2007 à 23:23, par fx

@Sid:cette affaire, qui semble défrayer la chronique depuis le début de l'année de l'autre côté des Alpes

etonnant que rien ne soit arrive jusqu'ici

The suspects allegedly exploited contacts with officers of the French domestic intelligence service Direction de la Surveillance du Territoire (DST) to spy on Pirelli Chairman Marco Tronchetti Provera and his family when they spent time in Paris. (source)

7. Le lundi 12 novembre 2007 à 10:56, par bartavelle

Je ne suis pas complètement d'accord. Utiliser un 0day pour pénétrer un périmètre permet de tester la défense en profondeur. Et justement, on se protège des 0day par la défense en profondeur (et en espérant que l'attaquant n'arrive pas avec une valise remplie de ces derniers ...).

L'autre alternative est d'envoyer des mails avec des trojans, ou le social engineering, mais ça pose des problèmes éthiques et probablement juridiques plus importants.

Réponse de Sid

Pas d'accord. Ça se fait très bien sans 0day, en venant se brancher successivement sur les zones à tester. Ainsi, on peut vérifier l'étanchéité de chaque zone, indépendamment de ce qui a été mis au-dessus. Et ça permet de tout tester, mêmes les zones pour lesquelles on n'a pas de 0day, justement.

8. Le lundi 12 novembre 2007 à 14:58, par Yann

Ce business est très discutable. Ca m'étonne même pas qu'à un moment donné ce genre de personnes se retrouvent mêler à des histoires de cybercrriminalité. Je ne vois pas comment on peut vendre des 0day et ne pas avoir des liens avec ce genre d'activités...

9. Le lundi 12 novembre 2007 à 15:11, par Yom

En fait, une boite qui exploite un 0-day pour réaliser un "enlarged" pentest fait de l'insécurité par l'obscurité quelque part...

10. Le lundi 12 novembre 2007 à 15:43, par bartavelle

Mais l'avantage du 0day c'est qu'on reste chez soi ...

... bon ok ça sert à rien!

11. Le lundi 12 novembre 2007 à 19:09, par Tyop?

@Yom: J'aime beaucoup l'idee d'insecurité par l'obscurité. :)

12. Le lundi 12 novembre 2007 à 21:28, par newsoft

J'ai une idée : pourquoi ne pas faire une marketplace des stagiaires ? Ca serait éthique ça ? ;)

Réponse de Sid

Ça serait quoi le but ? Vendre des stagaires au plus offrant ? Ou fourguer des stages au moins demandeur ?

13. Le mardi 13 novembre 2007 à 07:26, par newsoft

Plutôt la première solution, car maintenant qu'il n'y a plus de Challenge Securitech, faire le tri dans les "bons" stagiaires devient difficile ... (avoir écrit un article dans Hakin9 n'est *pas* un critère sélectif).

Tous les postulants n'étant pas du même niveau, et tous les stages n'étant pas du même intérêt, il semblerait logique d'organiser une bourse autour de ce marché, non ?

14. Le mardi 13 novembre 2007 à 14:43, par fropert

@newsoft: j'ai une proposition.

Pour le stages technique: celui qui aura le plus contribué (pas forcément en quantitatif mais plutôt en qualitatif) au movb gagne un stage technique reverse winwin Pour le stage écriture de documentation: celui qui fait le plus de commentaires sur movb avec le moins de faute de français possible (N'oublions pas la puissance du correcteur orthographique et grammatical de Microsoft Word) Pour le stage livecd intrusions et/ou forensics (plusieurs places à prendre): le premier qui dit qu'il est abonné à hackin9 a gagné (faire parti des relecteurs "beta" ça pourrait aussi compter)

15. Le mardi 13 novembre 2007 à 17:26, par john

Connaissant bien l'homme (Roberto Preatoni), cela me semble inconcevable qu'il ait fait quoi que ce soit d'illégal (comme accès non autorisé, écoutes..) par contre il y a des chances qu'ils lui causent des problèmes car il était l'employeur du dénommé melloni qui s'est fait arrêter et qui a avoué ce qu'il a fait, donc je ne vois pas d'autres raisons que pour cela.

Réponse de Sid

J'ai ajouté un lien vers un billet de Sunbeltblog qui est du même avis que toi. Ne parlant pas italien, je n'ai pas bien compris s'il était interrogé en tant que témoin ou véritablement mis en examen.

Mais bon, une sale histoire, quand ça pête, ça ne fait pas quartier. Je ne suis pas trop mal placé pour le savoir ;)

16. Le mardi 13 novembre 2007 à 17:27, par Yom

@newosft : "pourquoi ne pas faire une marketplace des stagiaires ?"

C'est pas monster ça ?

17. Le mercredi 14 novembre 2007 à 12:02, par jme

Personnellement, pour avoir un 0day, je suis obligé de promettre des bières au Flastaff... La technique du pauvre...

18. Le jeudi 15 novembre 2007 à 03:06, par uski

Mais bon, une sale histoire, quand ça pête, ça ne fait pas quartier. Je ne suis pas trop mal placé pour le savoir ;)

Ah ? Qu'est ce qui t'es arrivé ? Des infos ! Des infos !

Réponse de Sid

Arrivé à moi personnellement ? Rien. Mais j'ai vu la foudre tomber juste à côté de chez moi.

19. Le jeudi 15 novembre 2007 à 10:05, par Tyop?

Toujours prévoir son paratonnerre en cas d'orage...

20. Le jeudi 15 novembre 2007 à 13:53, par 0day for newbie

Connaissez-vous des sociétés utilisant des 0days lors de pentests ? Certaines communiquent un peu là-dessus et semblent indiquer que les 0days ne sont clairement pas utilisés lors de leurs pentests (cf newsletter HSC de septembre "L'âge d'or des tests d'intrusion externes est-il de retour ?"), d'autres promeuvent leur utilisation (Immunity "IPO of 0days") afin d'en tirer un avantage concurrentiel pour leurs produits (tel que CANVAS). Les vendeurs d'IDS/IPS, et bien sûr de failles et d'exploits, semblent donc ici les seuls gagnants dans cette histoire de cercle vicieux des 0days... Ou bien ?

21. Le jeudi 15 novembre 2007 à 16:28, par jme

Il y a une différence entre utiliser un 0day dans un test d'intrusion lorsqu'on est bloqué et en faire un argument marketing.

Je ne connais pas de société qui en a fait un argument de vente, personnellement.

22. Le jeudi 15 novembre 2007 à 17:08, par ouah

J'ai de la peine à imaginer une boîte de pentest acheter un 0day afin de le rentabiliser lors d'un pentest. Cependant qu'en est-il du copyright de celui qui a trouvé le 0day et qui le revend à Wabisabilabi? S'engage-t-il à céder tous ses droits, et notamment celui d'apparaître comme "découvreur" de la faille? Pourrait-on imaginer qu'une jeune société de sécurité achète quelques 0days dans le but de les releaser et ainsi de se faire un nom dans la sécurité?

23. Le jeudi 15 novembre 2007 à 18:02, par fropert

@jme: j'en connais au moins une (ça commence par un t et ça finit par un t avec plusieurs voyelles et plusieurs consonnes au milieu) d'où ma première remarque un peu plus haut :-)

24. Le vendredi 16 novembre 2007 à 00:35, par jme

@fropert : j'ai oublié de préciser « en France ». Sinon il y a Immunity (le nom est balancé par Nicolas dans son excellent article sur les pentests windows (je fais de la lèche en espérant un retour sur investissement sous forme de cocktail au prochain Paradis du Fruit)).

25. Le vendredi 16 novembre 2007 à 12:54, par fropert

A quand une voir des licences d'utilisation (maintenant que les indiens font du dév, les nolifes du libre peuvent essayer de s'améliorer dans l'une des choses qu'ils ne savent pas forcément bien faire, à savoir de la politique) sur les 0dayz ?

PS: Ce message est à lire pendant l'apéro! (ou alors vendredi c'est permis)

26. Le vendredi 16 novembre 2007 à 18:07, par Tyop?

Sur le blog de wabisabilabi, je cite :
''It has been recently submitted to our labs a vulnerability (...) ClamAV (...) crafted email to the vulnerable mailserver. You can bid on it HERE.
This vulnerability has a starting price of 500 euros: bid on that and, as a security company, you will gain a very high competitive advantage.''

Ils sont confiants.

27. Le dimanche 18 novembre 2007 à 10:30, par newsoft

@jme: tu sais bien qu'un consultant ne se fait jamais prier pour une free beer (ou un free cocktail, quand il a plus de 30 ans et qu'il surveille sa ligne).

On peut même transformer ça en "apéro 2.0 - speed dating de stagiaires".

Le seul problème du Paradis du Fruit : c'est exigü, bruyant, il n'y a pas de prises de courant et pas de WiFi.

Je recommande plutôt les salons du Café de la Paix ; le hotspot public de Google France y est accessible et il y a live de musique classique pendant l'happy hour.

Réponse de Sid

Et là, pour le coup, le Paradis, c'est pas top pour la free beer. Et ça aussi c'est un problème à ajouter à la liste...

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Ma petite parcelle d'Internet...