Ma petite parcelle d'Internet...

eux publications récentes poussent à réfléchir. La première est signée Verizon Business et s'intitule "2008 Data Breach Investigations Report". Ce rapport, qui s'appuie sur l'analyse de quelques cinq-cent incidents de sécurité, nous livre des chiffres intéressants qui ont l'intérêt de contester quelques idées reçues, comme celle selon laquelle patcher rapidement vous met à l'abri des attaques.

La seconde est un article de Bruce Schneier publié dans Wired dans lequel il explique le plus calmement du monde pourquoi son réseau Wi-Fi personnel est ouvert. Une position surprenante venant d'une des personnalités les plus en vue au sein du petit monde de la sécurité informatique. Position qui ne manque pas de susciter les commentaires.

Lire la suite...

etour rapide sur cette histoire d'OpenSSL sous Debian. Et sur les conséquences pratiques de cette histoire surtout. Parce que s'escrimer en commentaires pour savoir à qui revient la faute et comment on a pu en arriver là, se dire que ça ne serait pas arrivé sous Gentoo, qu'il vaut mieux rester sous OpenBSD, que si tu compilais à la main, tu ne serais pas dans la merde, et toutes les joyeusetés dans le genre, à part empiler les conneries et faire sourire le trolleur, ça ne fait pas réellement avancer la situation dans la pratique.

Donc, comme on a pu le voir précédemment, grâce aux excellents commentaires de jmdesp et Philippe Teuwen et d'autres billets sur la toile, le problème réside dans une fonction servant à ajouter de l'aléa au pool d'entropie d'OpenSSL. Ce qui se traduit en pratique par le fait que l'entropie du générateur aléatoire d'OpenSSL se résume à un PID du fait du patch malheureux, lequel peut prendre 32768 valeurs. Grosso modo. Du coup, il devient extrêmement prédictible, et avec lui tout ce qui l'utilise.

Et maintenant, quelles sont les conséquences de tout ça dans la vraie vie ?

Lire la suite...

a faisait un moment que ça leur pendait au nez aux mainteneurs Debian. Un moment que quelques développeurs se plaignaient régulièrement de modifications sauvages de leur code par les mainteneurs des paquetages de leurs logiciels. Et j'ai bien écrit sauvages. C'est à dire des patches qui vont modifier le code même du logiciel, pas juste les scripts d'installation, et de démarrage ou les fichiers de configuration par défaut. Le code. Et ce, sans remonter les-dits patches aux développeurs. Allant même parfois jusqu'à les rendre inutilisables...

Cette fois, c'est un poil plus grave. Une modification introduite par un mainteneur Debian entraîne une faille de sécurité dans OpenSSL. Bug bien grave qui traîne depuis deux ans et qui va obliger tout le monde à renouveler ses clés générées sur cette période... Bref, de quoi bien énerver les développeurs, les faire écrire pleins de choses méchantes et surtout susciter la polémique...

Lire la suite...

n me demande souvent ce que nous, les paranoïaques professionnels en sécurité informatique, avons contre les fonctionnalités que nous qualifions couramment de "phone home". Ces petits programmes qui se rappellent régulièrement à l'attention de leur éditeur, en fournissant au passage quelques informations bien senties, mais pas du tout personnelles promis, juré, craché, si je ments, je vais en enfer. Ou presque.

Plutôt que de me lancer dans un long discours, je vais juste vous relayer cette anecdote fort amusante que nous propose le New York Times. Ou comment une fonctionnalité de prise de contrôle à distance couplée à un "phone home" a permis à une employée d'un Apple Store de récupérer, entre autres, son Macbook.

Lire la suite...

a découverte, quoique contestée, serait à mettre au profit d'une société appelée Damballa, laquelle propose des solutions de protection contre les attaques ciblées, parmi lesquelles l'utilisation des botnets. C'est donc à eux qu'on devrait d'avoir, début avril, porté au grand jour Kraken. Derrière ce terrible nom se cacherait un botnet estimé aujourd'hui à quelques 600000 machines, soit trois fois plus que Storm.

Autant dire que la bête ne peut que susciter l'intérêt et que la consultation de leur whitepaper décrivant son fonctionnement atteint des records. Mais quelle déception ! Sur treize pages de document, seules deux se révèlent utiles. Ou presque. En fait, si on veut en savoir plus sur Kraken, il vaut carrément mieux lire les deux billets que viennent de poster Cody Pierce et Pedram Amini de TippingPoint DVLabs.

Lire la suite...

eut-être avez-vous noté, ne serait-ce que via Slashdot, la sortie la semaine dernière d'un papier sur la génération automatique d'exploits. Trois chercheurs américains semblent y démontrer cette possibilité par analyse, elle aussi automatique, des patches publiés par les éditeurs, Microsoft en tête. Bref, de créer une machine à pondre de l'exploit à partir de patches, sans intervention humaine.

On comprend bien les implications de ce genre de résultat en terme d'impact sur cette activité déjà pas facile qu'est le patch management. Par contre, d'ici à sauter à des conclusions comme celle citée dans un récent article de Robert Lemos sur SecurityFocus, il y a un pas, un bond, voire une sacré galipette intellectuelle :

When Microsoft releases a patch, what they are saying -- from
a security standpoint -- is, 'Here is an exploit.'

Lire la suite...

'ai bien dû recevoir une dizaine de mails m'annonçant que j'étais cité, aux côté d'Éric Alata, dans un article intitulé "l'activité des pirates du Web sous l'œil des scientifiques" publié par Les Échos ce mardi 22 avril. Frank Niedercorn s'y intéresse au honeypots par le biais de la thèse d'Éric.

Rien de bien intéressant là-dedans, sinon qu'on assiste à un vrai retour du honeypot, sujet particulièrement à la mode il y a trois ou quatre ans. Il faut dire que les travaux ont fait des progrès considérables et que le temps du bricolage est un peu derrière nous. Je participais en début de semaine au premier workshop du projet européen Wombat à Amsterdam, projet dont un énorme volet concerne l'acquisition et le partage des données, en particulier celles générées par les divers projets de honeypots.

Lire la suite...

'exploration de la mémoire est revenue à la mode. Ce sont des chercheurs de Princeton, en publiant ce papier intitulé "Lest We Remember: Cold Boot Attacks on Encryption Keys", qui l'ont remise au goût du jour. Car n'en déplaise à ceux qui veulent voir une révolution à chaque coin de news, c'est un centre d'intérêt qu'on pourrait presque qualifier d'ancien, en tout cas de commun. D'ailleurs, une présentation est prévue sur le sujet au prochain SSTIC qui, considérant le temps de préparation pour une bonne soumission et la deadline, montre bien qu'il ne s'agit pas d'un phénomène récent.

Parlant de SSTIC, je ne peux m'empêcher de citer en exemple la présentation faite par Nicolas Ruff l'an dernier dont une bonne partie portait sur la collecte de la mémoire. Et plus récemment, dans la lignée des pistes qu'il mentionnait, cette présentation faite avec Matthieu Suiche à Pacsec sur l'analyse des fichiers d'hibernation Windows. Et si on remonte encore une année en arrière, on trouvera cette autre présentation, "Hit By A Bus: Physical Access Attacks with Firewire" par Adam Boileau à Ruxcon 2006 sur l'exploitation de la mémoire via un port Firewire, elle-même inspirée des travaux de Maximillian Dornseif, "Owned by an iPod", présenté en 2004 en Pacsec, puis en 2005 à Cansecwest.

Lire la suite...