L’éditeur de logiciels Tripwire, a annoncé que Craig Young, un chercheur en sécurité de sa division « Vulnerability and Exposure Research Team (VERT) » travaille sur un document à propos des vulnérabilités du SSL qui seront présentées à la conférence de hacking « DEF CON 22 Wireless Village ».

Il y a des milliers de sites sur internet qui contiennent des erreurs de configuration dans l’implémentation de SSL et TLS, ce qui les rends vulnérables à des attaques de type Man In The Middle, et, qui pourrait compromettre des données sensibles appartenant aux utilisateurs comme des identifiants d’accès à ses comptes bancaires comme PayPal, des numéros de cartes bancaires, etc.

Craig Young met en évidence que les mauvaises implémentations SSL combinées à l’utilisation du Wi-Fi 802.11 et de ses faiblesses peuvent amener à l’exploitation de certaines failles par les hackers avec « des conséquences dévastatrices pour le monde réel ».

Qui est ce Craig Young ?

Un expert en cyber sécurité, qui a découvert de multiples vulnérabilités dans des routeurs, des vulnérabilités dans l’authentification de Google, et, il a aussi déposé de nombreux CVEs. Il travaille actuellement à VERT, une équipe qui doit s’assurer que les consommateurs de Tripwire ont la meilleure protection possible.

Le Wifi Pineapple

Le chercheur a également créé une courte vidéo qui démontre comment un « Wifi Pineapple » peut être facilement exploité pour espionner des victimes et obtenir des informations.

Le « Wifi Pineapple » est un petit boîtier contenant une appliance basée sur Linux et contenant le programme d’attaque « Karma Wi-Fi ». Il aide les chercheurs en sécurité dans la conduite de tests de pénétration de façon discrète. On le trouve pour 99$ sur certains sites.

La conférence de Craig Young

Dans sa future conférence, il donnera des explications sur :

- Une stratégie générale pour confirmer qu’une demande SSL effectue une validation de certificat adaptée.

- Comment reconnaître et analyser les implémentations de confiance dans une application Android compilée (APK).

- Quels sont les types d’applications les plus à risque ?

- Des stratégies pour minimiser l’exposition des faiblesses du protocole 802.11 qui permettraient une attaque Man In The Middle.

Source

I. Présentation

Il est souvent utile de savoir si deux fichiers comportent des différences. Cela peut par exemple être le cas dans le cas du développement d’application ou de script mais aussi pour la comparaison de configuration par exemple. Je vais ici vous présenter la commande “diff” sous Linux ainsi que quelques une de ses fonctionnalités pour y faire le tour.

II. Utilisation de la commande diff

La commande diff est par défaut présente sur la plupart des systèmes UNIX. Je fait ici mes commandes d’illustration sur une distribution Debian 7. Pour ce faire, je crée deux fichiers f1.txt contenant “Chaine de caractère” et f2.txt contenant la même chose. On va ensuite faire un “diff” sur ces deux fichiers pour voir leurs différences :

diff f1.txt f2.txt

On ne voit alors aucun retour, ce qui est normal puisque nos fichiers sont identiques (pour l’instant) ! Pour rendre le retour un peu plus sympa quand les fichiers comparés sont identiques, on peut ajouter l’option -s pour avoir le résultat suivant :

Je modifier maintenant mon fichier f2.txt pour y insérer des lettres majuscules aléatoirement dans le message au lieu de certaines minuscules :

diff f1.txt f2.txt

Voici le retour que nous aurons :

On voit donc que diff nous trouve une différence entre le contenu des deux fichiers. Pour ignorer ce que l’on appelle la casse, on peut utiliser l’option “-i” :

diff f1.txt f2.txt -i

A nouveau, on peut également y joindre l’option “-s” pour avoir une confirmation textuelle que les fichiers sont identiques.

Nous allons maintenant ajouter deux lignes de texte dans le fichier f2.txt, ces deux lignes contiendront respectivement “Ligne1″ et “Ligne2″. On va ensuite comparer les deux fichiers :

On voit donc une détection de différence entre les deux fichiers. Si l’on ajoute la même modification dans f1.txt mais avec un saut de ligne entre les deux, la différence sera toujours détectée, pour éviter que les sauts de lignes vides soient considérées comme des différences, on peut utiliser l’option “-B“, comme suivant :

De la même façon, nous pourrons exclure les différences d’espace au sein d’une même ligne avec l’option “-b” cette fois-ci. Voila, nous avons rapidement fait le tour de quelques options bien sympathiques de cette commande, il en existe beaucoup d’autres, vous pourrez les découvrir avec “diff –help“.

La Russie et son ministère de l’intérieur ne voit pas d’un bon œil l’anonymat, c’est pourquoi ils cherchent à obtenir des informations techniquement concernant le réseau Tor. L’état Russe veut prendre le contrôle de Tor !

Grâce à Tor vous passez au travers d’un réseau qui permet de masquer votre adresse IP et donc votre position géographique. Intéressant en matière d’anonymat et cela se reflète avec les 4 millions d’utilisateurs du réseau à travers le monde.

Pour parvenir à ses fins, le gouvernement Russe a lancé un concours destinés aux entreprises certifiés pour qu’elles travaillent sur le sujet afin d’étudier la possibilité d’obtenir des informations techniques sur les utilisateurs du réseau anonyme Tor.

D’après le parti Pirate de Russie, cette initiative a pour but de lutter contre les sites pornographiques au sein du pays afin d’éviter l’utilisation d’un système de surveillance utilisé par les agences de renseignement.

Ce projet semble important et sera certainement difficile à réaliser. L’état Russe a prévu d’offrir 82 000 euros à celui qui hackera Tor et donnera des informations précieuses sur son fonctionnement.

Source

La gamme “Professional” de chez Intel comprends désormais un nouveau disque SSD : l’Intel Pro 2500. Il intègre de nouvelles fonctionnalités en matière de sécurité et de gestion.

Ce produit destiné avant tout au monde professionnel présenterait des taux de défaillance annuels moindres qu’avec des disques durs classiques : moins de 1% contre 5% pour certains disques.

Par ailleurs, il intègre une fonctionnalité très intéressante qui permet un chiffrement automatique et effectué au niveau du matériel en AES 256 bits. De plus, il supporte la plupart des standards comme Microsoft eDrive et OPAL 2.0 du Trusted Computing Group.

La fiabilité est également mise en avant puisqu’une garantie de 5 ans accompagne le produit. Au niveau de la taille, deux formats sont proposés : M2 ou 2,5 pouces.

Pas de folies en revanche au niveau de la capacité (120, 180, 240 ou 360 Go) ou des performances (540 Mo/s en lecture et 490 Mo/s en écriture).

En ce qui concerne le tarif, Intel n’a pour le moment pas transmit l’information.

Des chercheurs en sécurité de chez Yandex, le portail le plus populaire de Russie, ont découvert un nouveau malware qui serait utilisé pour cibler des serveurs web sous Linux et FreeBSD. Une fois le serveur infecté, ce dernier sera intégré au sein d’un réseau botnet, sans même avoir besoin de privilèges root.

Les chercheurs ont nommés le malware « Mayhem », un malware modulable qui intègre de nombreux payloads afin d’effectuer des actions malicieuses et de cibler des machines qui ne sont pas sécurisée pour les infecter. Basé sur un script PHP sophistiqué, il a un ratio de détection par les antivirus qui est faible.

Ces mêmes chercheurs ont trouvés plus de 1400 serveurs Linux et FreeBSD dans le monde compromis par le malware, avec potentiellement encore un millier à venir. Les principaux pays touchés sont les USA, la Russie, l’Allemagne et le Canada.

Trois experts en sécurité de chez Yandex, Andrej Kovalev, Konstantin Ostrashkevich et Evgeny Sidorov, ont découverts que le malware ciblait les serveurs Unix et tous les systèmes similaires. Ils ont également indiqué : « Dans le monde *nix, les technologiques de mises à jour automatique ne sont pas très utilisée, en comparaison aux PCs de bureau et aux smartphones. La majorité des webmasters et des administrateurs systèmes mettent à jour leurs logiciels manuellement et vérifient que l’infrastructure fonctionne correctement. »

Le malware se connecte à un serveur de commande qui lui donne des ordres, et, comme il est modulable il est accompagné de différents plug-ins remplissant chacun une fonction particulière. Pour le moment, huit plug-ins ont été découverts :

- Rfiscan.so : Trouver les sites internet qui ont une vulnérabilité de type RFI (Remote File Inclusion)
- Wpenum.so : Énumérer les utilisateurs d’un site WordPress
- Cmsurls.so : Identifier les pages de connexion des sites basés sur WordPress
- Bruteforce.so : Brute force pour l’authentification sur des sites basés sur WordPress et Joomla
- Bruteforceng.so : Brute force pour les pages d’authentification
- Ftpbrute.so : Brute force sur les comptes FTP
- Crawlerng.so : Crawler les pages web par URL et extraire des informations utiles
- Crawlerip.so : Crawler les pages web par IP et extraire des informations utiles

Dans le cas du plug-in rfiscan.so, le malware cherche des serveurs qui hébergent des sites contenant une vulnérabilité de type « Remote File Inclusion » en vérifiant l’existence d’un fichier « humans.txt ». Si la réponse http contient la chaîne « We can shake » alors le plug-in détermine que le site contient une vulnérabilité RFI.

Une fois la vulnérabilité RFI exploitée, ou une autre vulnérabilité, un script PHP sera exécuté afin de tuer tous les processus « /usr/bin/host », puis, vérifiera qu’il s’agit bien d’une machine Linux ou FreeBSD pour ensuite envoyer un objet malicieux nommé « libworker.so ».

Pendant ce temps, le script PHP définit également une variable nommée « UA », qui inclut l’URL complète du script en cours d’exécution. Un script shell est également exécuté afin de communiquer avec le serveur de commande.

Ensuite, le malware crée un fichier système caché, connu sous le nom « sd0 », et télécharge les 8 plug-ins (aucun d’entre eux n’est détecté par VirusTotal).

Mayhem fût détecté pour la première fois en Avril 2014, et les trois chercheurs précisent qu’il y a d’autres plug-ins en plus des 8 cités, notamment un qui est capable de détecter et d’exploiter les systèmes contenant la vulnérabilité critique « Heartbleed » dans OpenSSL.

Source