http://www.secuobs.com Observatoire de la securite Internet fr webmaster@secuobs.com 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog : Ok, temps de faire le point par ici Les reproches des amis/contactset un certain sentiment de culpabilité ont eu raison de moi, voilà unnouveau post Pas forcément intéressant d'ailleurs, autant vousprévenir tout de suiteBref, j'ai été très occupé ces derniers mois, mes amis et certainesconnaissances savent pourquoi Toujours est-il que le peu de tempslibre que j'avais a été consacré à des distractions totalement sainesoui, c'est très sain la bière et non-informatiques photographie,ballades, sport, etcJ'ai craqué à un moment, j'ai passé quelques soirées à faire dudéveloppement PHP/MySQL je suis en train de développer un forumqueje ne compte pas releaser pour le moment et à faire un peu de Perl,mais globalement, je n'ai pas trop touché mes machines personnelles:-J'ai pas mal boosté mes contacts LinkedIn ces derniers mois,principalement parce que j'ai rejoins pas mal de groupes LI, et celasemble avoir été l'élément déclencheur pour que je reçoive pas mald'invitations Je suis même floodé par certaines grosses boites que jene citerai pas :-pJ'en suis arrivé à un stade où je commence à perdre le contrôle de monpérimètre LinkedIn, dans le sens où jusqu'à présent je connaissaisplutôt bien mes contacts J'ai toujours eu à coeur de n'envoyer desrequêtes qu'à des personnes que je connaissais/respectais/admirais, etavec lesquelles j'ai échangé un certain nombre d'e-mails Aveccertains un contact plus chaleureux s'est développé et ces derniers meconnaissent pour organiser des "bouffes de geeks" comme je lesappelle, qui permettent de réunir des gens passionnés et de passer dessoirées sympas D'autres ne veulent pas en entendre parler, etpréfèrent les petits restaus/bars intimistes où l'on ne peut jamais seréunir à plus de deux ou troisMais là, rejoindre trop de groupes LI m'a fait accepter "parpolitesse" pas mal de LIers avec lesquels je n'ai pas échangé un motBref, c'est un peu le bordel, et je commence à refuser desinvitations, que je commence à percevoir comme une forme despamSurtout quand ces invitations sont génériques, et ne sontdestinées qu'à faire de la collecte et devenir TopLinkedEncore plus pernicieux, le coup du "bonjour j'ai vu que tu étais unami de xxx, je me permet donc de te contacter, blablabla" Politesseoblige, on se sent contraint d'accepter ce genre de requête Et seretrouver avec un contact qu'on n'a pas forcément désiré Si ça setrouve, j'ai moi même peut-être utilisé ce stratagème honteux aveccertaines personnes ais-je une mémoire sélective Maybe :-pA côté de ça, je ne peux nier les avantages obtenus par le biais deLI, qui reste un réseau plutôt "intéressé"J'ai beaucoup moins de soucis sur Twitter :-phttp://www.secuobs.com/revue/news/101885.shtmlhttp://www.secuobs.com/revue/news/101885.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - A new article from the excellent Brian Krebs has been published todayon the Washington PostThe article is spreading Jart Armin's whitepaper about ATRIVO, afamous hosting company Well when I say "famous" I should sayfamous to fraudsters and computer security researchersThe case is quite similar to the RBN case at the end of last year : abulletproof hosting company, acting for years, suddenly gets in thespotlights Several things have been said concerning RBN Havingstudied the organisation for a while, I have to say some releasesabout RBN have been upsetting me According to almost the wholesecurity community, RBN had disappearedOnly to be spotted andmentionned everywhere for any fraudulent action taking place in themalware/phishing/fraud world RBN has spread all worldwide malware,has done every phishing case, has hosted all illegal contentworldwide, and has attacked Georgia CrapIt just seems that most researchers have simply forgotten one thing:RBN had customers When RBN "died", I heard shouts that they had goneto "AbdAllah" host for example I think that's totally untrue ; peoplenoticed fraudulent domains had moved from ex-RBN to AbdAllah, andclaimed it was a RBN move, which wasn't, in my opinionInstead, it was only a move from customers, from one bulletproofhoster to anotherNow Atrivo is "following" the RBN case, being shown as an evil hostEmil K, its founder, is declaring just like Tim Jaret did for RBN,that he is responding to the abuse requests But he doesn't He'squite following the same politic of communication than JaretAs for Jart's paper, I don't agree totally with him, thought I respecthis work I won't say more, and let you read his paper What willAtrivo's future be, now that all eyes are on them Will they vanishjust like RBN did Time will tellEdit: 2008-09-01 It seems that some people are reacting fastspeaking of GLBX Read this excellent article from Jose NazarioEdit: 2008-09-05 An excellent investigation from Knujon aboutDirecti can be read here Excellent workEdit: 2008-09-08 It seems that everyone is running away from Atrivo:http://sunbeltblogblogspotcom/2008/09/more-interesting-atrivointercageestdomahtmlhttp://voiceswashingtonpostcom/securityfix/2008/09/scam-heavy_us_isp_grows_more_ihtmlEdit: 2008-09-09 Another striking article from Brian aboutEstDomains this time Brian is very active recently against cybercrimehosting companies and registrar, and it seems to work fine This showsus all the power of the press But it shouldn't go too far, since itcould ruin some LE investigations I hope it will not be the caseUpdate: 2008-09-15: EstDomains declares global war againstmalware Can you really believe it Article hereUpdate 2008-09-15: Thanks to Communautech for a nice french articlehereUpdate 2008-09-17: Gary Warner has done a great work, showing us ahuge amount of domain names pointing to Intercage Here is the resultUpdate 2008-09-22: Atrivo seems to be down for the moment link hereand hereUpdate 2008-09-22: Atrivo is back tonight Some new peeringappeared, as can be seen here:Report for AS27595NameINTERCAGE - InterCage, IncAS Adjancency ReportIn the context of this report "Upstream" indicates that there is anadjacent AS that lines between the BGP table collection point in thiscase at AS20 and the specified AS Similarly, "Downstream" refers toan adjacent AS that lies beyond the specified AS This upstream /downstream categorisation is strictly a description relative topology,and should not be confused with provider / customer / peer inter-ASrelationships27595 INTERCAGE - InterCage, IncAdjacency: 1 Upstream: 1 Downstream: 0Upstream Adjacent AS listAS23342 UNITEDLAYER - Unitedlayer, IncThanks to cidr-reportorg as usual for the info :-http://www.secuobs.com/revue/news/101884.shtmlhttp://www.secuobs.com/revue/news/101884.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - After all these years of fighting and helping to fight cybercrime, I'mquite used to any kind of cybercrime I've seen a lot of evil actions,but one that always gets me angry is when innocent people areinvolved Such an act has been done these days One of the biggestdemoscene website, Nectarine, has been hacked It could have beenhacked by a white hat although I'm still not okay with this, or bysomeone at least not willing to destroy any data It has not been thecaseAll data on Nectarine have gone Database PHP code MusicEverything The hacker left nothing but a huge anger and pain for allpeople like me not even talking of the poor administrators Can youimagine working on a website for more than eight years, collectingcomputer music, distributing it to a whole big community of sceners,and then *bang* a stupid hacker comes and throw all you've done to/dev/null I guess it would drive anyone totally madMaybe the guy was a newbie, so proud of his ability to exploit a loosyvulnerability, and so stupid that he deleted the whole stuff whentrying to delete the log files Maybe not We'll probably never knowThe pity is the administrator of the website had no backup, which issilly, for sureThe french administrator, known in the scene under the nickname "Yes",has been requesting financial help on a new website to restore thedata Quite logically, he didn't want to try it himself, consciousthat this kind of operation needs strong forensic skills After aweek, the demo scene community had provided him with enough money tohave the hard disks sent to a professional company specialized in datarecoveringThis shows that some moral values are still present these days in thedemoscene And it definitely reminds me of those good old times, backin 1988-1992, when we were all swapping demodisks by snail mail=usual mail with long personnal letters, always mentioning at theend that we were part of a fictious "Friendship rulz" movement Iguess you can say we were already doing a lot of social networking atthat time ;-If you want to see some great demos on any platform, you can downloadthousands on pouet I suggest you to start with some 64k demo likethis one Have phun ;-http://www.secuobs.com/revue/news/101883.shtmlhttp://www.secuobs.com/revue/news/101883.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - This is just a quick update on my post concerning Atrivo/IntercageA lot has been happening during the last few days Atrivo lost all itsupstreams providers, then came back, finding one provider,UnitedLayer, as can be seen on cidr-report Anyway, while this washappening, some of the malware having its cetc servers hosted by Atrivosuddenly moved to another hosting company, namely CERNEL netIt is interesting to see that Cernelnet has been registered throughEstDomainsUpdate 2008-09-25 : Cernelnet is unreachable at the moment Thedomain is pointing toan Intercage IP address Need I say more :-http://www.secuobs.com/revue/news/101882.shtmlhttp://www.secuobs.com/revue/news/101882.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Well I guess it was high time to change the theme from this blog Iwas really liking the old one the japanese one but it wasunavailable under Dotclear 2So I finally took an hour to upgrade from dotclear 1x to 2x and Ifeel quite satisfied of the result, although I had some weird configproblem which are now hopefully solvedAfter some hesitation in the theme, I chose this nice "123ice" theme,preparing us for the cold winter that's slowly approaching Credits +link to the theme down the bloghttp://www.secuobs.com/revue/news/101881.shtmlhttp://www.secuobs.com/revue/news/101881.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Certains me définissent comme un empêcheur de tourner en rond dèsqu'il s'agit d'aborder les compromissions de serveurs On me considèrecomme quelqu'un de rigide sur cette problématique, et pas sans raison,je dois bien l'admettre Le fait est que je fais partie de ces gensqui affirment haut et fort que compromettre un serveur hors du cadrestrict de l'audit de sécurité est impardonnableJe me faisais cette réflexion suite à la lecture de cet article danslequel il est dit je cite: "More than a month ago, Ian Amit, directorof security research at Aladdin Knowledge Systems Inc, found andinfiltrated a server belonging to a longtime customer of Neosploit"Hmmm Well Vous ne trouvez rien de choquant dans ce petit extraitd'article Eh bien moi si INFILTRATED Voilà le mot Il y a quelquesannées encore cela aurait été un scandale Depuis quelques temps, celasemble normal Une bonne partie de la communauté de recherche et delutte contre la cybercriminalité semble approuver ces agissements, quiont une nette tendance à se généraliser De plus en plus, diversarticles de divers chercheurs/experts/whatever sont publiés, et lesinformations qu'ils contiennent proviennent clairement decompromissions de serveurs appartenant aux "méchants"N'est-ce-pas justement se placer au même niveau qu'eux finalement Qu'est-ce-qui justifierais plus cette compromission que celle qui varooter des serveurs légitimes d'entreprises ou même de particuliers La légitime défense n'a pas cours sur la toile Au regard de la loi,une compromission est une compromission Point barre L'article 323-1du Code Pénal français ne fait pas de distinction, et c'est normalLa tentation est grande, lorsque l'on travaille tous les jours sur dumalware, du phishing, ou toute autre infraction liée à Internet, depasser "de l'autre côté" à un moment, sous prétexte de vouloir jeterun oeil sur le serveur, ou sur le fonctionnement courant d'uneorganisation criminelle Et c'est l'escalade Ca commence par un"boah, un petit scan de port, juste pour connaitre les services, c'estpas vraiment illégal" Ca se poursuit par un "hmmm y'a peut-êtrede l'opendir, voyons voir ça" Ensuite c'est le "grmbl pasd'opendir évident, en même temps, y'a un phpmyadmin " Jem'arrête là, mais une fois ce stade de réflexion atteint, rares sontceux qui stoppent net leur explorationCeux qui ont une conscience fragile essayent de justifier leurs actes"Ce sont des serveurs de pirate, y'a jamais rien eu de légitimelà-dessus" "Je ne suis pas un black hat quand même, juste unpeu gris", j'en passe et des meilleuresD'autres se fient aveuglément à leurs boss et ignorent souvent la loi"Il ne peut rien m'arriver, c'est mon boss qui m'a ordonné de lefaire" Gros hic ici D'une part, le boss est complice parinstigation, d'autre part, nul n'est censé ignorer la loi L' employéest bel et bien auteur d'un délit Le fait qu'il ait eu l'ordre de sonpatron de le faire jouera *à peine* en sa faveur dans le cas d'unprocès Il y a en effet de grandes chances pour que cet argument soitcontrecarré par le célèbre " Mais vous êtes un professionnel de lasécurité informatique Monsieur, vous ne pouviez d'autant plus ignorerque vous commettiez un délit "Je ne peux totalement blâmer les actes de ces personnes, dont laprincipale préoccupation est après tout de récupérer de l'informationsur des fraudeurs, et apprendre à mieux les connaitre D'autant plusque dans les cas de phishing, ce genre de compromission permetégalement de récupérer les adresses IP et les identifiants desvictimes, et ainsi de permettre d'éviter certains virementsfrauduleux Il n'en reste pas moins que ces bonnes intentions nejustifient pas un acte de piratageEnfin, ces actes causent de sérieux problèmes aux forces de l'ordre :ces compromissions lorsqu'elles sont détectées font que les donnéessont déplacées ailleurs, mettant souvent à plat certainesinvestigations judiciaires Elles laissent aussi des traces dans deslogs, rendent les criminels plus prudents, etcL'article de Computer World conclue par une citation de Ian Amit : "Ihope that this will help both law enforcement and security researchersstay ahead of the game," Là encore, je ne suis pas d'accord Ok, j'aiapprécié les informations contenues dans l'article, mais j'aurai pum'en passer Pour avoir été Officier de Police Judiciaire dans une vieantérieure, je sais que certaines enquêtes sont corrompues par cespiratages, et finalement, je préfèrerais lire un article qui parle del'arrestation des criminels plutôt que le report d'un piratage"éthique"http://www.secuobs.com/revue/news/101880.shtmlhttp://www.secuobs.com/revue/news/101880.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - On m'a *un peu* reproché de favoriser l'anglais sur ce blog, sachantque j'avais annoncé au départ que la proportion d'articles FR/ENserait à peu près respectée Est-ce ma faute si je disposemajoritairement de flux RSS en anglais, et que les seulesmailing-lists que je trouve intéressantes le sont également :-Bref, ce post n'est pas là pour blablater sur cet aspect linguistique,mais bien pour faire un peu le point sur le cas Atrivo/IntercagePour rappel, cet hébergeur localisé aux US sur lequel j'ai déjà bloggéici et là hébergeait apparemment 100% de données illicites telles quede la pédopornographie, des consoles d'administration de malware, duphishing, des faux sites, j'en passe et des meilleuresSuite à l'étude de Jart Armin lien dans mon premier post sur Atrivo,*flemme* et au mouvement d'ensemble de la communauté de lutte contrela cybercriminalité, Atrivo se retrouvait sans connexion, aprèsquelques épisodes de changement de peer etcUn nouvel article, cette fois-ci d'Ars Technica, apporte de l'eau aumoulin L'article nous indique ainsi que selon Messagelabs, qui estentre autre je le rappelle un *énorme* gestionnaire de trafic e-mail,l'activité globale des botnets s'est vue baisser de façonsignificative à la fermeture d'Atrivo :L'impact a été de courte durée, puisqu'Atrivo est revenu online aprèssa première fermeture du 21 septembre 2008, et que certains de leursclients ont probablement commencé à migrer rapidement toutes leursdonnées illicites et leurs commandetcontrol vers d'autres hébergeursbulletproofLe spam quant à lui, malgré le fait que d'autres facteurs soient àprendre en compte, a baissé de 8,1% pour septembre 2008La fermeture d'Atrivo depuis le 21 septembre a fait couler beaucoupd'encre, et la communauté des professionnels de la sécuritéinformatique et de la lutte contre la cybercriminalité sembleactuellement sur un mode de réflexion un peu plus mature quesimplement vouloir fermer de nouveaux hébergeurs bulletproof, et dieusait qu'il y en a encore un bon paquet Les réflexions sur unemeilleure collaboration avec les services judiciaires font partieintégrante de cette réflexion, de laquelle il émergera peut-être denouvelles méthodes de lutte contre ce type d'hébergeurs Time willtellhttp://www.secuobs.com/revue/news/101879.shtmlhttp://www.secuobs.com/revue/news/101879.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Hi all,Just a short post to ask all my readers if they would want to see moreposts here, but in a kind of microblogging way a kind of frequentreview with few comments about computer security news, or if theywould prefer few posts once or twice a month, but longer You can answer privately or comment this post, as you wish Thank you:---French short version :Voudriez-vous voir plus de posts sur ce blog, de façon "microblog"commentaires et liens sur l'actualité de la sécurité informatique,ou préfèreriez-vous moins de posts 1 ou 2 par mois, mais plus long Réponses en privé ou en commentaire, merci :-http://www.secuobs.com/revue/news/101878.shtmlhttp://www.secuobs.com/revue/news/101878.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Eh oui Le 19 et le 20 novembre 2008, c'est INFOSEC Je devraisplutôt parler d'Infosecurity même mais bon Ca fait des années quenous parlons d'Infosec finalementBref, cette année changement de lieu, puisque ça se passe à la Portede Versailles J'y serais normalement les deux jours, et bienévidemment si vous passez par là-bas, passez-moi un petit coup de fil,on ira se boire un café ou troller sur un stand :-@++ à Infosec http://www.secuobs.com/revue/news/101877.shtmlhttp://www.secuobs.com/revue/news/101877.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Et voilà, les 2 jours d'Infosec sont passés J'ai un peu tardé pourécrire ce billet mais j'avais tout simplement la flemme de faire laphoto rituelle des "goodies" accumulées lors des 2 joursBref, j'ai été un peu déçu cette année Encore plus de commerciauxmais bon c'est le jeu après tout Par contre, j'ai été déçu par :* le lieu : je préfère largement le CNIT mais bon, travaux obligent,cela ne semblait pas possible cette année* les exposants: j'ai eu l'impression qu'il y en avait moins,certains grands noms manquaient Symantec par exemple, et un amim'a indiqué qu'il y avait une 30ène d'exposants en moins parrapport à l'an dernier je n'ai pas vérifié cette information* les goodies: de moins en moins :-p* les visiteurs: où sont passés tous les potes qui y venaient lesannées précédentes J'ai apprécié:* Les confs: il y en avait de bonne qualité, et pas tropcommerciales* Le soin apporté à certains stands : celui de Secure Computing enparticulier était magnifique* L'ambiance de certains stands : étonnante même, la présence decertains alcools en dégustation sur certains espaces* Le coin café assez à l'écart finalementPour finir, je salue chaleureusement tous ceux que j'ai pu croiser àInfosec 2008, en particulier les copains de chez INL Jérôme, Vincent,et toute la clique, Thomas, Denis B, Marc O, Jérôme A, Antoine P,Nicolas B, Marc B, les gens de chez Lexsi, et un certain SRT ;-Enfin, voilà quelques photos : le stand INL, le Knight de chez Bull,et ma récolte de goodies ;-1JPG2jpggoodiez-i2008jpgSee ya @infosec 2009 ;-http://www.secuobs.com/revue/news/101876.shtmlhttp://www.secuobs.com/revue/news/101876.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Vous vous souvenez peut-être de cet évènement judiciaire survenu en2004 Une enseignante américaine de 40 ans, Julie Amero, se trouvaitdans une salle de classe avec ses élèves et un ordinateur, lorsque lenavigateur Internet Explorer de ce dernier s'est mis à ouvrir demultiples fenêtres pop ups contenant de la pornographieJeschématise beaucoup mais vous pourrez trouver de nombreux articles surle net si vous voulez en savoir plus wikipediaPlainte fût déposée, et l'affaire s'est éterniséeMa réaction de l'époque fut de me dire que l'on risquait de voir seprofiler de nombreuses plaintes du même type, étant donné le nombred'utilisateurs à qui cela arrive à des moments plus ou moinsincongrus Je pensais que l'affaire allait être jugée rapidement etque Julie s'en tirerait sans trop de soucis Je me trompaislourdementL'affaire a duré jusqu'à maintenant Le jugement définitif a été rendulundi dernier et Julie est enfin débarassée de ce poids et de cettehonte qui planait sur elleNéanmoins, bien que cette partie de l'histoire soit intéressante, lapartie cachée l'est tout autant : les analyses forensic pratiquées surle poste de travail concernéAlex Eckelberry de Sunbelt, expert qu'il n'est plus nécessaire deprésenter, a réuni une équipe de bénévoles pendant le procès afin deproposer leur expertise forensic L'équipe composée d' Alex, GlennDardick, Joel A Folkers, Alex Shipp, Eric Sites, Joe Stewart, etRobin Stuart, s'est donc retrouvée avec une image de type "ghost" àanalyserAlex et son équipe ont fourni un travail de qualité, qui est résumésuccintement dans un excellent document publié par Alex sur le blog deSunbeltCe document, très bien rédigé, est clair et précis, même pourl'utilisateur moyen Sa lecture est très plaisante, et éducative Alexexplique une bonne partie des recherches effectuées, et les résume entermes très simples Je ne peux que lui tirer mon chapeau, merappellant certains moments de ma propre expérience professionnelle aucours desquels je devais expliquer de façon très schématique et clairecertains concepts de sécurité informatique à des personnes quin'avaient aucune connaissance particulière Mais revenons-en à nosmoutonsCe document montre à quel points certaines pratiques peuvent êtrenuisibles à l'enquête forensic, et nous rappelle quelques bonnespratiques Je tiens à souligner quelques points évoqués largement dansle document:* L'image fournie pour analyse à l'équipe était un "ghost" Bien quece genre d'image puisse être générée de façon assez précise, iln'en reste pas moins souhaitable de *toujours* faire une imagesaine du disque à analyser au moyen d'outils reconnus, pasforcément très chers d'ailleurs : un "dd" ou un "dd rescue" estgratuit et efficace par exemple Une image EnCase est égalementune bonne chose Le but est d'avoir une image *complète* et *bit àbit* du disque* Certaines données manquaient à l'équipe forensic, notamment leslogs de Firewall Une analyse forensic ne fournit pas forcémentles mêmes résultats quand il manque de l'info* La présence de documents dans le "Temporary Internet Files" n'estqu'un élément à charge, pas une preuve Le fait qu'il y ait desimages pornos dedans ne veut pas forcément dire qu'elles sontarrivées par une navigation volontaire de l'utilisateur* En l'absence d'éléments tangibles, on ne doit jamais "supposer"Quand je lis qu'une personne dit des énormités dans un procès dugenre "je n'ai jamais vu ça, donc ça ne doit pas exister", j'ailes cheveux qui se hérissent pour certaines mauvaises langues,il m'en reste encore un peu :-p* Le manque de compétences et de connaissances de certains "ITmanagers" et autres, confrontés à la défense, se révèlentdésastreux Que dire d'autre, quand on lit que "un lien html quidevient rouge quand on clique dessus et qu'on visite une page,c'est parce que c'est javascripté" No commentJe vais en rester là, n'ayant pas envie de passer ma soirée à trollersur certains aspects de cette affaire Notre pauvre Julie, dont jen'imagine même pas la souffrance morale qu'elle a subi, peut néanmoinsremercier des personnes intègres et compétentes comme les analystesforensic qui ont travaillé bénévolement pour elle, sans quoi le procèsaurait pu prendre une toute autre tournure :-/http://www.secuobs.com/revue/news/101875.shtmlhttp://www.secuobs.com/revue/news/101875.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Les attaques par bruteforce SSH existent depuis des années Il s'agittout simplement pour un attaquant de trouver un serveur SSH à attaquersouvent par un scan de plages complètes d'adresses IP et d'essayerd'obtenir un accès SSH Pour cela, l'attaquant tente de trouver unidentifiant et un mot de passe valideCe type d'attaque laisse d'énormes traces dans les logs On y voitclairement des tentatives de connexion avec des noms d'utilisateursbien connus guest, root, etc ou sortis d'une liste alex, mike,etc De nombreuses tentatives infructueuses sont ainsi constatées,l'attaquant essayant souvent plusieurs dizaines de mots de passecourants toto, frodo, starwars, barneystinson etcHabituellement, une seule adresse IP était utilisée à ces fins Ilétait très facile de faire bannir une adresse IP qui essayait de selogger sur plusieurs comptes, ou qui tentait de se connecter plus de xfois sur un compteOr depuis la semaine dernière, et même si je pense que la techniqueexiste depuis beaucoup plus longtemps que ça, certains chercheurs ensécurité informatique s'inquiètent de voir apparaitre des tentativesd'attaque par bruteforce SSH provenant de botnets La synthèsed'Arbor Networks est bien rédigée, je vous laisse la lire, ellereprend d'autres posts égalementAinsi, l'attaquant peut utiliser des centaines d'adresses IPdifférentes pour essayer de trouver un accès valide Chaque IP ne seravue qu'une ou deux fois, et ne sera pas bannieAfin de contrer ces attaques, il semble donc judicieux d'établir desrègles strictes sur les accès:* verrouiller les comptes après X tentatives d'accès infructueux jeconseille 3 X 5;* ne pas autoriser les accès distants pour "root";* utiliser de préférences un port exotique pour votre serveur SSH;* faut-il encore le préciser, déployez une politique stricte de motsde passe : plus de 7 caractères,majuscules-minuscules-nombres-caractères spéciaux obligatoires;* dans le cas où vous êtes le seul à vous connecter à ce serveur,n'autoriser que les connexions à partir de vos adresses IP sipossiblehttp://www.secuobs.com/revue/news/101874.shtmlhttp://www.secuobs.com/revue/news/101874.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Petit post rapide pour vous souhaiter à tous et toutes une bonne année2009Je vous souhaite santé, bonheur, amour, réussite professionnelle,ainsi que la concrétisation de tout ce que vous pourriez souhaiter Je ne peux pas faire mieux :-pDe mon côté, et comme à chaque début d'année, je souhaite pouvoirposter plus souvent sur ce blog Quant à mes véritables résolutionsde 2009, j'espère poursuivre ma route sans cigarettes 6 ans déjà, etfaire plus de sport En même temps, ce n'est pas trop mon trip,l'histoire des résolutions ;-L'année 2009 promet en tout cas d'être passionnante pour moi, autantau niveau professionnel que personnel Challenges et émotions, il n'ya que ça de vraiA bientôt donc :-http://www.secuobs.com/revue/news/101873.shtmlhttp://www.secuobs.com/revue/news/101873.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Just a quick post to wish you all a happy new year 2009 I am wishing you health, joy, love, professionnal success I amalso wishing you everything else you could wish for, I cannot do more:-pAs for me, as always when starting a new year, I hope I'll be able topost more on this weblog As for my real resolutions for the year,I hope to go on my way without any cigarette 6 years already, and tomake more sports But you know, this whole resolution stuff is notreally my cup of tea ;-2009 is very promising for me, on both professional and personnalground Challenges and emotions, that's what makes me run See you soon :-http://www.secuobs.com/revue/news/101872.shtmlhttp://www.secuobs.com/revue/news/101872.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Youpi, MISC 41 est sortiCe numéro fête les 7 ans du magazine et comprend un dossier trèsintéressant :"La Cybercriminalité Où quand le net se met au crime organisé"Vous y trouverez un de mes articles, intitulé "Blanchiment d'argentsur Internet" Je n'en dis pas plus ;-misc-41jpghttp://www.secuobs.com/revue/news/101871.shtmlhttp://www.secuobs.com/revue/news/101871.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - J'ai posté hier mon estimation de l'évolution de la cybercriminalitéen 2009 sur le blog du CERT Lexsi Je vous renvoie donc là-bas si çavous intéresse ;-http://www.secuobs.com/revue/news/101870.shtmlhttp://www.secuobs.com/revue/news/101870.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Difficile de passer à côté des scareware ces derniers temps, même enne travaillant pas dans la sécurité informatique ou lacybercriminalitéTrès succintement, un scareware est un logiciel qui se fait passerpour un respectable anti-virus mais n'en est pas un Dans quel but Vous faire payer pour une license, ou même infecter votre machine etainsi vous voler de la donnéeToute une économie souterraine est alimentée par ce type de maliciel,qui peut se révéler très lucratif pour certains escrocs Uneexcellente étude du phénomène a d'ailleurs été publiée par Joe Stewartde SecureWorks il y a quelques tempsPlus récemment, j'ai lu un article de Dancho Danchev qui m'a d'abordfait rire, avant de me dire que comme d'habitude, les fraudeursavaient décidément beaucoup d'imaginationIl est fait état d'un rogue anti-virus scareware donc nommé"Anti-Virus 1" qui une fois installé sur votre poste modifie certainesde vos navigations En l'occurence, le logiciel procède eneffectuant une légère modification du fichier host de votre systèmeWindows Le résultat Simple : lorsque vous naviguerez vers zdnet,toptenreviews, pc mag, pc pro, et j'en passe, vous verrez en fait unefausse page vantant les mérites d'autres scareware Une méthode simple et probablement efficace de donner de lacrédibilité à des applications néfastesJ'en profite donc pour rappeller une bonne pratique pour lesnouveaux-venus dans le monde informatique, qui sont les principalesvictimes de ce phénomène de scareware :N'utilisez que des solutions anti-virales *connues* Et surtout, encas de doute, plutôt que de télécharger et d'installer un anti-virustrouvé sur Internet, demandez son avis à quelqu'un qui a un peu plusd'expérience dans le domainehttp://www.secuobs.com/revue/news/101869.shtmlhttp://www.secuobs.com/revue/news/101869.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Je me suis rendu au FIC Forum International Cybercriminalité le 24mars dernier J'ai posté un compte-rendu de cet évènement sur le blogdu CERT Lexsi iciJe tiens à saluer et remercier tous mes amis présents à cet évènement,en particulier mes amis belges Serge H, Christophe M, Olivier B, ainsique David B, Franck V, Marc O et ses anecdotes savoureuses, SolangeBF, David C, Georges L, Nicolas B, ainsi que toutes les autrespersonnes présentes avec lesquelles j'ai eu plaisir à discuter Abientôt au FIC 2010, ou avant à Solutions Linux ;-http://www.secuobs.com/revue/news/101868.shtmlhttp://www.secuobs.com/revue/news/101868.shtml Secuobs.com : 2009-05-27 01:34:27 - Another blog about Cybercrime and Computer Security... Cedric Pernet's weblog - Après la vague de documents de qualité variable sur le malwareConficker/Downadup/Kido, que je n'ai pas commenté ici par manque detemps, et après l'excellente étude de Torpig de l'Université de SantaBarbara, largement commentée par les médias, j'ai décidé de sortir dema torpeur et de mon planning plutôt chargé pour partager avec vous undocument un peu moins médiatisé mais que j'ai trouvé absolumentdélicieux : l'étude du malware Pushdo/Cutwail/Pandex réalisée parTrend MicroCet excellent document de 39 pages nous décrit le botnet constitué parle malware Pushdo Techniquement, ce produit probablement russophonese décompose en deux parties : le downloader, nommé Pushdo, etd'autres modules payloads dont le fameux Cutwail, destinéexclusivement à envoyer du spamNous y apprenons que Pushdo délivre environ 7,7 milliards de spam parjour, la majorité ciblant la Russie, fait suffisamment étonnant pourêtre soulignéLe contenu des spam est varié Cutwail propage en effet de lapublicité pour des sites pornographiques payants, ainsi que pour dessites de contrefaçon pharmaceutique Canadian Pharmacy, pour dessites de contrefaçon de produits de luxe replica watches etc, etspamme même de la publicité pour des commerces russes "locaux" Ainsi,le document de Trend nous montre preuve à l'appui un spam destiné àpromouvoir un cabinet d'avocats de Moscou, par exemple Pushdo envoiemême des e-mails pour fairesa propre publicitéCe botnet, qui serait le second plus gros botnet mondial, est géré pardes cybercriminels dans un but commercial : proposer leurs servicespour envoyer des spam "sur mesure"Des grilles de tarifs très précises sont d'ailleurs indiquées par cescriminels :* 4000 roubles environ 90 Euros pour spammer 1 million d'adressesd'entreprises de Moscou* 12000 roubles pour spammer 6 millions de particuliers sur Moscou* 18000 roubles pour spammer 10 millions de particuliers dans toutela RussieMais le service n'est pas limité à la Russie : des tarifs sont fournispar pays Ainsi, cela reviendrait à 7000 roubles pour spammer 3millions de particuliers françaisD'un point de vue technique, Pushdo/Cutwail est plutôt bien programmé,et tente de se dissimuler au mieux sur un système infecté : opérationsminimales d'écriture sur le disque de la victime la plupart desinformations sont stockées en mémoire et non sur le disque, et soncode varie très fréquemment En plus de ses fonctionnalités de spam,Pushdo peut déposer d'autres malware sur le système infecté,permettant ainsi de générer d'autres revenus pour ses propriétaires :un service de distribution de malware D'autre part, il embarque unmodule de sniffing qui lui permet de faire de la collecte d'adressese-mail, alimentant probablement les listes ciblées établies par sesexploitants Ce réseau va même jusqu'à proposer à ses clients de leurcréer des sites web, pour que leurs spams gagnent en crédibilitéDe nombreux éléments dans l'enquête de Trend laissent à penser que sesauteurs et ses exploitants sont russes Notamment une clef dechiffrement contenue dans le malware, qui se révèle être une phraserusse écrite à l'envers et pouvant être traduite par "screw you myfriend"Quant au site principal des auteurs, son hébergement varie J'aieffectué une recherche rapide et pu trouver très rapidement 135 autresnoms de domaines hébergés au même endroit actuellement en Allemagne,dont voici la liste:0yandexru1spamru2009-rosmouldruabusehostruabushostruabuz-hostruabuzhostruadvert1ruakroboruallo-intimruanalyzersrlp3rubalashcityrubalashcltyrubalashhouserubalashlhouserubalashouserubal-karuballashouserubldrouprubl-rouprubluectonerubuildhostrucamminruclulbclharucollortracrudelaemsaytirudetmirrurudevisexruecopane1ruemail-advertruemail-spamruemailspamruemail-sruengl4u2ruenterboomrueralash-megashouruevroreklamarufarma-reklamarufingertruruflowermagazinruforumdenegruforum-itrugiftoportalrugoohostrugooreklamarugranlt-mrugssotravellruhalljascomhotellmetallurgruhot-englishruhruhruruigrushki-detiamruinet-emailruinter-reklamaruisuzu-daromrukdr-englishrukompforumrukompkatalogrulky-kyrullght-decorrumadeforwomenrumagazinreklamyrumagicstaffmedrumailadvertisingrumailer1rumed-consultingrumetalstuffrumnogonaroduruneintimruns1buildhostruonline-emailruonline-korpruonline-mailruonline-masruonline-masterruonline-millionruonline-standartruonline-startruonline-vzletruorigtovaryrupeklama-bestrupereplanlrovkarupingovrupoligrafarsenalrupolligrafarssenalrupolligralfarsenallruposlh-slhopruppkurortrupreciselyruprintarsenalruproektcltyruprojekt-onlinerurassilka-onlinerureklamictrureklmagazinrureseller-softrurosmould-2009rurucasinorururucvetokrururuintimrururukinomaniarusaitbazruseminar-on-lineruseomagnatrusetevaya-reklamarusetevayareklamarushablon1rusitepostroimrusklb-trmrusmszasexruspam502ruspamarenaruspam-magazinruspamonlineruspmagazinruspmmagazinrustroyka-bestrustroy-systemsrusuper-fuel-maxrusuper-kvartiryrusuper-mailerrusuper-rassylkarusvet-rusrutestcenterrtrutopspamruturistmagruvideo77ruvldeo-girlruwmirbizyandex1ruzemli777ruzemlya777ruzmailerruzvezdamruLa plupart des noms sont suffisamment explicites Un joli nidbulletproof à services de spam, parmi autres joyeusetés Je ne sauraisque trop vous conseiller de ne pas aller y naviguer, la probabilitéqu'ils propagent du malware n'étant pas négligeableNul doute en tout cas que nos boites aux lettres vont continuer àsouffrir de ce genre de services à la demandehttp://www.secuobs.com/revue/news/101867.shtmlhttp://www.secuobs.com/revue/news/101867.shtml