Le mur de Chine s’effrite. Green Dam Youth Escort

Various

Le 19 Mai 2009, le Ministre de l’Industrie et des Technologies de l’Informations (MIIT) de Chine a envoyé une note à tous les constructeurs d’ordinateurs de son intention d’obliger l’installation de logiciels de filtrage sur tous les nouveaux PC installés en Chine, et ceci dès le premier Juillet 2009. Le logiciel en question, nommé “Green Dam Youth Escort“, est un produit de la société Jinhui Computer System Engineering.

L’objectif officiel de ce filtrage est protéger les jeunes contre l’accès à des contenus subversifs afin d’avoir un Internet Chinois sain et harmonieux, sic.

Green Dam se mets à jour automatiquement, tous comme les logiciels d’antivirus, en recevant des mises à jour des sites bloqués. Il est tous de même possible de désactiver ou de désinstaller ce logiciel avec les droits administrateur Windows. De plus, suivant l’éditeur de Green Dam, il est aussi possible de désactiver la “blacklist” avec un mot de passe propre au logiciel, ou encore de mettre les sites bloqués dans une liste blanche permettant ainsi tous de même l’accès aux sites considérés comme subversifs.

Green Dam, en Mars 2009, a été télécharger près de 3,27 millions de fois, installé sur 518 000 ordinateurs scolaire, et environ 1,16 million de PC l’utilisent.

Ce logiciel de filtrage n’a malheureusement pas tenu très longtemps face à la curiosité de chercheurs en sécurité informatique.

Le 11 Juin 2009, Scott Wolchok, Randy Yao, et J. Alex Halderman de l’Université du Michigan aux Etats-Unis, ont découvert plusieurs vulnérabilités dans ce logiciel de filtrage chinois.

La première vulnérabilité se situe dans le module de filtrage en lui-même et permettrait à un internaute malveillant de prendre le contrôle de l’ordinateur hôte du logiciel Green Dam. La deuxième vulnérabilité se situe dans le module de mises à jour des règles de filtrage, qui pourrait permettre à l’éditeur de Green Dam, ou à une partie tierce de prendre contrôle de l’ordinateur de l’utilisateur final. De plus il est aussi à noter, que malgré la désinstallation possible du logiciel, les fichiers de logs d’accès, ou de tentatives d’accès à des sites subversifs ne sont pas supprimés.

D’ici à ce qu’un exploit soit créé, il ne fallait qu’un seul pas, et c’est ce qui est arrivé. Il est maintenant possible de trouver l’exploit sur Milw0rm, intégrable à MetaSploit, permettant de prendre la main sur les ordinateurs utilisant Green Dam.

Tous ce billet, pour finalement dire à mes voisins français, que la loi Hadopi va sûrement imposer l’installation d’un mouchard sur vos PC personnel, est-ce que cela ne vous fait pas penser à un pays et à un billet présent sur ce blog cool.gif

Scan SSH en augmentation

Various

Depuis environ une semaine, l’on peut voir une augmentation important des scan SSH et de tentatives de brutes force SSH.

Ces machines, sauf 189.121.4.150 et 174.36.210.138 (seraient aussi utilisées pour effectuer des attaques de SPAM), ne participent pas à d’autres tentatives de piratages, tels que RFI, etc. Ce sont des machines dédiées à cette activité de scan SSH.

IP : 122.41.71.143 – FQDN : 122.41.71.143 – City : Seoul – Country : Korea, Republic of
IP : 69.64.38.17 – FQDN : air627.startdedicated.com – City : Saint Louis – Country : United States
IP : 74.208.96.107 – FQDN : u15278563.onlinehome-server.com – City : Wayne – Country : United States
IP : 58.254.250.44 – FQDN : 58.254.250.44 – City : Guangzhou – Country : China
IP : 85.25.151.128 – FQDN : india598.server4you.de – Country : Germany
IP : 189.121.4.150 – FQDN : bd790496.virtua.com.br – City : São Paulo – Country : Brazil
IP : 174.36.210.138 – FQDN : 174.36.210.138-static.reverse.softlayer.com – City : Dallas – Country : United States
IP : 202.153.121.210 – FQDN : 202.153.121.210 – City : Central District – Country : Hong Kong
IP : 200.212.140.186 – FQDN : 200.212.140.186 – City : São Paulo – Country : Brazil

Le mythe de la sécurité par la virtualisation ou Cloud Computing

Various

De plus en plus d’entreprises se lancent dans la virtualisation de leurs informatiques internes et de leurs informatiques orientées Internet (sites web, serveurs de mail, serveurs de DNS, etc.). Le gain en ressources et l’optimisation de celles-ci est évident, mais la plupart du temps, les infrastructures virtualisées omettent l’aspect de la sécurité. Il n’est pas rare de retrouver sur un hôte virtuel des “guests” privés (qui ne sont pas censés être en contact direct avec Internet) et des “guests” publics (qui sont autorisés d’être exposés à Internet), ou encore l’on peut retrouver des serveurs hôtes qui sont rarement mis à jour, car cela demanderai des migrer ou d’arrêter tous les serveurs “guests” localisés sur ces hôtes.

De plus, le marketing de la virtualisation, pousse a faire croire à leurs clients que la sécurité de ces solutions est éprouvées, le “mythe de la sécurité par la virtualisation”. Ce mythe est de plus en plus mis à mal par les différentes découvertes effectuées par des chercheurs en sécurité informatique.

SecuraBit, un podcast que je vous conseille, a présenté dans son épisode 33, une interview de Kostya Kortchinsky qui a développé un exploit se nommant CLOUDBurst permettant de prendre la main sur l’hôte VMWare et sur tous les “guests” VMWare en passant par un des “guest” VMWare.

La vulnérabilité, permettant que l’exploit CLOUDBurst fonctionne, affecte VMWare WorkStation, VMWare Server, VMWare ESX et VMWare Fusion (CVE-2009-1244).

Il faut tous de même avoir accès à un guest afin de lancer CLOUDBurst, mais pour cela quoi de plus simple que de louer un serveur virtuel biggrin.gif

Lien vers la vidéo de démonstration de CLOUDBurst sur Immunity.

Dans le même ordre d’idée, Rob VandenBrink a présenté sur le podcast PaulDotCom, une présentation et démonstration d’une attaque du type SSL MITM lors de la migration VMotion d’un “guest” virtuel, tournant sur VMWare ESX. Cette technique d’attaque SSL MITM va permettre de récupérer tous les contenus affichés actuellement à l’écran (par exemple, les mots de passe que vous êtes en train de saisir, etc.), malgré que les flux entre les deux serveurs VMWare ESX soient chiffrés par défaut.

[vimeo 5219962]

Réveil des Russian Business Network

Various,

Russian Business Network est à l’origine une entitée basée à St. Petersbourg en Russie qui loue des prestations d’hébergement uniquement aux cybercriminels. Ces hébergements sont loués à différents autres prestataires qui eux mêmes ne savent pas l’usage que sera effectué de la prestation vendu.

En novembre 2007, le réseau RBN avait été coupé et l’on pouvait espérer que les différentes activités criminelles de ces réseaux allaient arrêter, mais il ne faut pas compter dessus, RBN a tous simplement migrer vers un nouvel eldorado des pirates, la Chine. Et la location des serveurs à des fins obscures ont pu continuer.

Je n’avais pas eu l’occasion de voir une activité poussée des RBN, mais depuis quelques heures certains réseaux RBN ce sont remis en route et scan à tous va.