Les cybercriminels ont mis au point des logiciels malveillants de plus en plus sophistiqués qui utilisent des scripts Windows PowerShell afin d’éviter d’être repéré.

Pour rappel, Windows PowerShell est une ligne de commande et un environnement de scripting, ayant pour but de simplifier la vie des administrateurs en permettant l’automatisation de tâches via ces scripts. Il est installé par défaut depuis Windows 7 mais est également disponible sous Windows XP en installation un package à part.

L’abus de la puissance de Windows PowerShell à des fins malveillantes n’est pas nouveau, mais ces derniers temps il semble que certains développeurs de malwares s’y intéressent très sérieusement. D’ailleurs, les chercheurs en sécurité de Symantec et Trend Micro ont déjà trouvé certaines de ces menaces.

Un nouveau script PowerShell malveillant a été identifié, détecté comme Backdoor par Symantec. Roberto Sponchioni, chercheur en sécurité chez Symantec précise d’ailleurs que les Trojans “sont capables d’injecter du code malveillant dans rundll32.exe afin qu’il puisse se cacher sur l’ordinateur tout en exécutant et en agissant comme une backdoor“.

A l’exécution, le script compile et exécute du code malicieux qu’il embarque. Le code compilé injecte une couche de code malicieux dans le processus système rundll32, dans le but de rendre la détection plus difficile. Une fois le processus infecté, le malware établit une connexion avec un serveur distant et attend que des instructions lui soit transmises, pour ensuite les exécuter de façon discrète, précise Roberto Sponchioni.

Fin Mars, les chercheurs en sécurité de chez Trend Micro alertaient à propos de différentes attaques qui utilisaient des scripts PowerShell connus sous le nom CRIGENT ou Power Worm.

CRIGENT se présentait sous la forme d’un document Word ou Excel malicieux, cela téléchargeait des composants additionnels à l’ouverture, notamment Tor et Polipo Web Proxy.

“Un script PowerShell (détecté comme VBS_CRIGENT.LK ou VBS_CRIGENT.SM) est téléchargé, qui comprend tout le code nécessaire pour mener à bien le comportement malveillant de CRIGENT“, précise les chercheurs de chez Trend Micro.

Une routine est également intégrée au script afin d’infecter des documents Word et Excel “propres”, dans le but de faciliter la propagation de l’attaque.

D’après Symantec, les “utilisateurs doivent éviter d’exécuter des scripts PowerShell inconnus et, ne doivent pas baisser les paramètres d’exécution par défaut de PowerShell afin d’éviter l’exécution potentielle de scripts malveillants”

En ce qui concerne la gestion de l’exécution des scripts, consultez ce tutoriel :

Autoriser/Refuser l’exécution de scripts PowerShell

Source

En fin de journée, j’ai reçu un mail dans ma boîte de réception m’annonçant la fin des comptes gratuits sur DynDNS. Depuis de long mois déjà, je bataillais pour renouveler mon compte gratuit à chaque rappel de leur part.

Désormais, plus d’autres solutions que d’aller voir ailleurs ou de souscrire à une offre premium donc payante.

Pour rappel, DynDNS est un service permettant à des utilisateurs qui utilisent une adresse IP dynamique de disposer quand même d’un nom de domaine

Il est précisé dans ce mail que depuis 15 ans, l’offre à séduite des millions d’utilisateurs alors qu’à la base elle n’était destinée qu’à un petit nombre d’utilisateurs. Avant d’être mondialement utilisée.

Dans 30 jours, à compter de ce 8 Avril 2014, le programme gratuit sera terminé. Afin de nous encourager à opter pour le statut de VIP (premium) sur le service DynDNS, un bon de réduction de 25% est offert.

Utilisez-vous DynDNS ? Ou un autre système de ce type ?

Si vous êtes comme moi et que vous préférez vous occupez vous même de vos machines, vous disposez alors d’une “infrastructure” qui doit vous permettre cet hébergement en toute sécurité.

Je distingue alors deux niveaux de sécurité :

- la sécurité “active” c’est à dire celle dont on parle tout le temps et qui comprend entre autres la sécurité de l’Internet et des réseaux en général, la sécurité de l’accès aux données ou aux applications, les outils de supervision etc…

- la sécurité “passive“, celle qu’on oublie de temps en temps et qui comprend principalement l’accès physique aux machines (l’accès à la salle “serveurs“), la fourniture en courant fort, la fourniture de climatisation, les sauvegardes…

C’est à cet aspect “passif” auquel je souhaite m’intéresser dans cet article…

J’ai appelé ce niveau “passif” parce que l’on sort du contexte purement “informatique” de la chose et c’est peut-être pour cela que ces sujets sont parfois délaissés, voire mis de côté à tort bien évidement !

La salle “serveurs” doit être un sanctuaire, une église, un endroit où on ne rentre pas pour faire simplement un petit tour ou pour y entreposer un carton qu’on ne saurait mettre ailleurs. Chaque entrée doit être consignée, par le système de gestion des accès de l’entreprise par exemple, et chaque entrée doit être motivée par une réelle tâche à accomplir à l’intérieur. Le simple fait de mettre en place ces règles diffuse dans l’entreprise un sentiment de “forteresse“, pas parce que vous y avez des choses à cacher mais uniquement pour dire : “là, vous voyez derrière cette porte il y a quelque chose de sensible et d’important pour l’entreprise“.

L’alimentation en courant fort n’est pas un sujet facile, tant sur le calcul des puissances à mettre à disposition que sur la sécurisation, c’est à dire le “secours électrique“. Les matériels les plus sensibles doivent disposer de deux alimentations, connectées sur deux réseaux électriques distincts. Les onduleurs doivent être supervisés et des tests doivent être effectués régulièrement. Pour ma part un test de coupure est effectué tous les quinze jours et le résultat de ces tests est consigné. Profitez-en pour vérifier que les matériels doublement alimentés émettent bien une alarme quand ils ne tournent que sur une patte ! Rédigez un plan d’extinction de votre salle en cas de panne secteur majeur, plan qui prévoit dans un 1er temps l’extinction des systèmes les moins sensibles pour augmenter la capacité de votre secours électrique puis dans un deuxième temps, l’extinction au complet de la salle. Du coup vous aurez besoin d’une procédure pour vous guider lors de la remise sous-tension des équipements…et qui indique clairement par quoi commencer ! *Un accident grave n’arrive pas qu’aux autres : il y a quelque mois un poids-lourd est venu s’encastrer dans le poste haute-tension située au bout de notre rue, il a fallu attendre plus de six heures pour retrouver du courant.*

Sans climatisation, pas de production informatique… La mise en place de sondes (au moins deux) permet très facilement, et à moindre coût, de contrôler en temps réel la température et l’hygrométrie de la salle. Là aussi, il convient de tester le bon fonctionnement des sondes régulièrement. Chez nous on fait ce test tous les quinze jours, en déplaçant tout simplement les sondes vers une source de chaleur (exemple, à l’arrière d’un serveur) pendant quelques secondes et à observer le
comportement de vos alarmes.

Sans entrer dans le détails des sauvegardes et de leur fonctionnement, en tant que DSI, vous devez, au minimum, contrôler que les opérations de sauvegardes sont bien effectuées selon le planning prévu. Pour ma part, je suis tout simplement en copie des mails de compte-rendu qui sont envoyés directement par les solutions de sauvegardes. Au même titre, vous devez exiger de la part de vos équipes des tests de restauration réguliers, dont le résultat détaillé devra être également consigné.

Toutes ces missions sont en général vécues comme un mal nécessaire mais n’oubliez pas qu’elles sont primordiales ! Il est donc du devoir du DSI de contrôler, quasi quotidiennement, la bonne application de ces contrôles.

Afin de faciliter la “gestion” de toutes ces tâches, vous pouvez vous appuyer sur votre solution de “ticketting” (votre solution de gestion des demandes de support utilisateurs) et générer, automatiquement des tickets dans lesquels vous aurez mentionné la tâche d’administration à effectuer.

Cette “méthode” vous permettra également consigner le résultat de la tâche, comme s’il s’agissait d’une véritable demande de support. Nous utilisons GLPI et la fonction “Ticket récurrent” qui rend très bien ce service.

Le manque criant d’autonomie des smartphones est un véritable inconvénient auquel on semble s’être habitué. On s’est tous fait une raison et on recharge notre smartphone en moyenne tous les deux jours, voir même tous les jours selon l’utilisation que l’on en a.

Plutôt que de chercher à augmenter l’autonomie des batteries, pourquoi nne pas chercher à les recharger plus rapidement ? C’est exactement ce qu’a fait StoreDot en prenant le problème à l’envers.

Présenté lors de la conférence Think Next de Microsoft à Tel-Aviv, ce mécanisme de rechargement mit en place permet de recharger complétement votre appareil en 30 secondes. Cette innovation et cette start-up pourraient intéresser des constructeurs qui souhaiterait améliorer l’améliorer.

Tout cela n’est qu’au stade du prototype mais voici une vidéo où une démonstration est effectuée avec un Galaxy S4 :

Ce que l’on ne sait pas c’est l’impact de ce type de chargement express sur la batterie, va-t-elle être abîmée ? Va-t-elle perdre en autonomie ? en durée de vie ?

Par ailleurs et en sortant du contexte high-tech, ce type de chargement pourrait être intéressant pour recharger les voitures électriques.

Wait and see…

Source

Le nouveau Z Turbo Drive SSD de chez HP sera plus rapide que les SSD qui se connectent dans un slot de disque dur standard, d’après la compagnie elle-même. Ce nouveau modèle se connectera directement dans un port PCI-Express de l’ordinateur et non sur le bus SATA.

Ce SSD sera disponible en capacité de 256 et 512 Go, aura une vitesse de lecture de 1 GBps tout en ayant un prix comparable au SSD SATA, toujours selon HP. Annoncé en Mai prochain, le modèle 256 Go devrait coûter 499$ contre 899$ pour le modèle 512 Go.

D’après Jim Douglas, directeur produit chez HP pour le stockage sur poste de travail, les performances de ce SSD “permettront d’écrire et de lire plus vite, le lecteur démarrera plus rapidement, déplacera les données plus rapidement et permettra l’utilisation de nouvelles applications“. Par exemple, ce modèle sera en mesure de gérer la création de vidéo 4K plus efficacement.

Ces performances accrues s’expliquent par le fait que le débit est plus important en PCI-Express 3.0 qu’en SATA, avec 8 Gbps contre 6 Gbps.

Source