e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


en flag Read it in english with google

Microsoft Algérie conduit actuellement une compagne médiatique sur les "dangers" d'utilisation des logiciels piratés. Je ne vais pas discuter dans ce billet l'exactitude, les motifs ou les conséquences de ce qu'ils disent, mais je m'intéresse plutôt à l'autre côté de la barrière.

Une réplique classique et souvent usitée des détracteurs des produits de Microsoft en particulier et ceux propriétaires ou "closed-source" en général est celle là "Be safe. Use Linux". Une vidéo YouTube trouvée sur le blog de freefoxtv reprend cette idée. Sur le billet en question j'ai commenté :

"Je vais vous casser l’atmosphère à tous :)

Dire que être sous Linux est équivalent ou une garantie de sécurité c’est dangereux. Et je vois deux conséquences graves :


1- Le faux sentiment de sécurité qui va impliquer une baisse de garde des gens qui vont croire ça..et là bonjour les dégâts.

2- Les gens, après un certain temps, vont être déçus de la non véracité de cette affirmation…et une personne déçu fait quoi ? elle maudit et lâche presque totalement ce qui l’a induit en erreur (Linux dans ce cas)"

Avant d'aller plus loin, je dirais que personnellement j'utilise presque uniquement Linux pour mon travail personnel et de plus en plus (mais pas totalement) pour mes activités professionnelles. Pour les serveurs, quand c'est moi qui décide c'est du Debian ou du OpenBSD.

Maintenant, est ce que le fait de tourner sous Linux nous prémuni contre toutes les menaces ou même une grande partie ? Désolé ... je ne le croix pas. Le plus qu'on peut dire est qu'il "facilite" l'implémentation des mesures de sécurité !

Quelles sont déjà les menaces les plus répandues (pas forcément les plus dangereuses) ?

Si on voit par exemple la liste "top 10" du SANS, le facteur type du système d'exploitation n'est vraiment décisif. J'accorderais qu'un grand nombre d'attaques cible les produits Microsoft....mais là à sauter directement à la conclusion "Utilise Linux est tu ne risques rien"... c'est un peu léger à mon avis.

Prenant l'exemple des Virus. Est-ce un truc spécial pour Windows ? Pas du tout.
En fait, les créateurs de ces malwares sont simplement "raisonnable" : ils visent la population la plus large possible....mais faire un virus pour Linux est tout aussi possible techniquement ... et même ça existe !

Et même les virus conçu pour Windows peuvent faire des dégâts avec des utilisateurs "Linuxiens". Ce billet fort intéressant de l' Avert Labs de McAfee montre comment l'utilisation de Wine peut propager le Virus par les même vecteurs : infection clés USB, infection réseau....

Morale de l'histoire, vous devez toujours considérer votre sécurité avec le même degré d'importance indépendamment de votre système d'exploitation ou de vos applications.



.

en flag Read it in english with google

On est vraiment de plus en plus dépendant des moyens et outils qu'on utilise. Outre les aspects liés aux utilisations "forcées" (véhicule, Mobile, PC...), une autre forme de "dépendance", la plus dangereuse de loin, est celle concernant nos possessions "immatérielles".

Nos contacts téléphoniques et électroniques, nos appels, nos mails, nos habitudes, nos centres d'intérêts...tous ça est quelque chose de personnel, que NOUS SEULS (et pas d'autres) devront pouvoir communiquer ou autoriser les autres à le connaitre. Ce "contrôle" de ces informations est possible uniquement si nous pouvons "contrôler" les moyens de "dépôt" et d'échange.

Or, ceci n'ai pas vraiment possible (pour ne pas dire impossible tout court) !! Nos communications téléphoniques sont chez l'opérateur (il intercepte où non est un autre débat), nos mails, nos interventions sur le Web, nos habitudes de navigation...tous ceci est chez autant de fournisseurs qu'on utilise...et qu'on n'utilise pas (ils ont l'esprit de partage bien développé ;)).....en résumé on ne contrôle rien !!!!

Sommes nous condamnés alors à cette nouvelle forme de dépendance ? on n'a pas le choix ?

Pour moi, il n'est plus possible de vivre sans des liens avec ce nouveau monde. Néanmoins, je tiens toujours à mon "indépendance" et j'essayerais de tous les moyens (pacifiques...parce que ce billets étant chez "eux" peut prêter à confusion :)) de la préserver.

Réellement, quelle est la marche de manœuvre ?

Pour moi, c'est une approche à deux volets, qui en fait la même stratégie en matière de sécurité des SI :

1- Élévation des coûts :


Si on considère que toute action d'un "attaquant" quelconque (mon fournisseur, un pirate, des agences....) visant à intercepter, collecter, utiliser, garder ou analyser mes "données" personnelles a UN COUT (en ressources financières et humaines), alors tout ce que je peux faire est de faire en sorte que la barre soit le haut possible pour éliminer le plus de "candidats" possibles.

En d'autres termes : vous voulez avoir quelque chose de moi ? il faut payer le prix....maintenant si c'est le NSA et compagnie ou même l'état qui sont les "attaquant"...et ben prenez ce que vous voulez ... je suis très honoré de votre intérêt pour moi :).
Sérieusement, si on est un "Target" de ce calibre, il faut remettre en cause le mode de vie en lui-même. Personnellement, je ne vaux pas autant.

Maintenant, concrètement comment je vais faire pour élever la barrière ?

En premier lieu, et le plus important à mon avis, est de diversifier ses "fournisseurs". Mettre ses œufs dans le même panier est rarement une bonne stratégie. On vous perlera à longueur de journée de la "convergence" des services, du "point d'entrée" unique ou de la personnalisation de la prise en charge ... autant d'argument pour avoir tous vos œufs ;)

La tendance chez certains "Géants" est l'offre "tout en un"...en "vous prend en charge". Inutile d'attendre une "preuve majeure" pour se soucier de ce type de stratégie.

C'est cette même idée que j'essayais, tant bien que mal, d'expliquer dans un thread sur forumdz concernant la possibilité de recevoir les emails sur son tél portable.

Une deuxième manière est d'utiliser pleinement les solutions existantes de protection des données et des flux : SSL, TOR (bien que ...) , TrueCrypt.....

2- Surveillance :

OK, on ne peut pas se protéger contre tout le monde, mais est-il possible de savoir au moins que certaines quantité de nos données personnelles ont été "traitées" (interception, collecte, sauvegarde, analyse..) à notre insu ?

Si on part du fait que les "attaquants" utiliseront tôt ou tard ces données, alors on peut normalement trouver des "effets" de cette utilisation. Un exemple des plus triviaux est la réception d'un mail ou un coup de tél d'une boite qu'on n'a jamais contacté. Je laisse votre imagination faire des scénarios plus élaborés...mais on risque de devenir paranoïaque :)

Cette notion de "surveillance" est en fait pour moi, une autre manière de présenter la nécessité de "visibilité" : on a une idée la plus précise et la plus complète possible (mais ce n'est si évident que ça) sur ce qui nous entour ET nous concerne en même temps.


.

en flag Read it in english with google

Avant d'entamer d'autres billets sur ce blog, je voudrais faire d'une part un bilan et d'autre part une réaffirmation et précision du but de ce blog...c'est plus pour moi afin de me recadrer et préciser mes idées.


Ce billet était programmé pour début Janvier. Les évènements de GAZA l'ont retardé, mais c'est mieux ainsi. Mon tout premier billet a vu le jour le 03 Février 2008 ... alors maintenant il y a bien plus d'une année :)

J'avais une autre alternative. A part mes deux premiers billets de février de l'année dernière, je n'ai commencé à bloguer régulièrement qu'à partir du mois d'Aout....mais bon, ce bilan n'est pas vraiment primordial pour attendre le passage d'une année "effective" !


Alors, qu'est-ce qu'il y a à dire ?

Bilan

En débutant mon blog, je me suis donné comme objectif d'audience pour 2008 d'avoir une douzaine de lecteurs réguliers !

Alors, le seul moyen que j'ai pour mesurer ça est ce que disent les stats de feedburner.


Voyons ce quelles disent :



une moyenne de 11 ... à un près de l'objectif :)

L'autre indice, c'est les stats de Google Analytics :





Là ... ça ressemble au cours des actions :) .... je dirais que c'est bien, bien que je n'ai aucun élément de référence pour comparer ..... en tout cas c'est beau :)


Un dernier point dans ce bilan, les 7 "top post" , toujours avec google Analytics :




Pourquoi bloguer ?

Après plus d'une année de blog, j'ai essayé de définir exactement les raisons qui m'ont poussé, et me poussent encore, à continuer à consacrer du temps à cette activité.

La première est un besoin (naturel je croix) de participer à quelque chose, dans ce cas, la prise de conscience des enjeux des nouvelles technologies, et surtout de l'aspect sécurité, dans mon pays. C'est dans ce sens que j'ai récemment changé l'item de mon profil en reprenant une citation de Malek BENNABI : apporter sa contribution dans la construction.

La deuxième est cette opportunité de réfléchir et d'analyser des concepts ou des situations qu'on croyait maitriser....en fait, ça me force à aller plus loin et subir les remarques et commentaires des autres sur des divers sujets .

Enfin, ça m'a permis d'avoir de nouvelles connaissances et de construire un nouveau cercle de contacts...mais cette fois "virtuel" :)

Finalité de la chose, je croix que ça mérite le temps et l'effort consentis et j'ai l'intention de continuer dans ce sens.


.

en flag Read it in english with google

Depuis les massacres de GAZA, je n'ai pas pu publier d'articles traitant d'autres choses que ces massacres....je considérais qu'on devait traiter ces évènements comme la priorité des priorités...rien ne devait "partager" notre attention ni nous éloigner, même quelques secondes, de ce qui se passait.

Maintenant, une "phase" du conflit est passée...je reprendrais inchallah mes contributions avec un nouveau souffle. Plus qu'avant, le devoir de construire, d'améliorer et de montrer ce qui ne va pas...ce devoir est plus que jamais nécessaire et important.

Mais comment passer de mes derniers billets concernant GAZA à quelque chose qui traite de la sécurité ?

En lisant, il y a quelques semaines, un billet sur "An Israeli patriot program or a trojan" , j'ai trouvé le "lien". En fait, j'ai promis à certains de faire un billet un peu "pédagogique" sur les premières actions d'analyse à mener quand on est on face d'un PC sous Windows qui présente des signes de compromission / infection.

Alors de quoi s'agit-il ?

C'est une "initiative" qui a pour objectif de donner à chaque personne voulant "aider Israël à gagner" dans son combat contre les Palestiniens un moyen de participer à cet effort !!! On n'a qu'à télécharger un petit programme, et du coup, ce petit "patriote" va faire tout seul le nécessaire...mais la question : comment le fait-il vraiment ?

Je vais donc considérer ce programme comme "suspect" et l'analyser comme un exemple pour les gens qui sont dans la situation suivante :

1- Un comportement suspect (supposé ou avéré) du PC est remarqué
2- L'anti-virus / spyware ne détecte ou ne fait rien
3- On veut savoir ce qui se passe vraiment avant d'installer un nouveau antivirus ou réinstaller complètement le système !

Faisons connaissance avec notre suspect

Toute personne censée, avant d'affronter un adversaire, cherche à avoir le plus d'informations possibles...sans éveiller les soupçons (comprendre : sans exécuter le programme).

On sollicite déjà l'aide des "services spécialisés" !

Dans notre cas, on s'intéresse potentiellement à un code malicieux, autant consulter les sites qui proposent de vous analyser un programme en le passant par plusieurs moteurs antivirus.

Le plus connu (pour moi au moins) est bien sûr virustotal....celui-ci nous dit que, pour 5/36 des antivirus utilisés, le fichier en question est un "code malicieux"



(notez le "not-a-virus" de Kaspersky !!)

On est maintenant conforté dans notre idée...

Voyons nous-même maintenant s'il y a des indices qu'on peut récolter de ce fichier. L'outil "strings" nous donne quelques fois de bonnes indications (dans des cas d'applications mal codées...on obtient même des mots de passe).
Sous Linux, c'est une commande, sous Windows, on utilise par exemple la suite ShellExt de idefense Labs

$ strings Suspect.exe
(sous Windows, après installation de ShellExt, on fait un clic droit...comme d'hab :))

Dans ce cas rien d'intéressant, à part quelques fonctions Windows, qui confirment que c'est un truc codé probablement en Visual C++ ou dans le même genre.

Dernière chose, j'aime voir la date et l'heure de création du binaire (supposée, parce que on peut altérer ces informations). Comme on est devant un fichier avec un format PE, on a le champ "TimeDateStamp".
Pour le voir on utilise un éditeur hexa, sous Linux xxd par exemple nous suffit. Pour Windows, PSPad est un de mes préférés.

On obtient la valeur suivante :
$ xxd Suspect.exe head -n 15 ...........................................
00000d0: 5045 0000 4c01 0500 e5e7 4c49 0000 0000 PE..L.....LI....
Alors, comme les calculs sont fait à partir du 1er Janvier 1970 00:00:00, il sera question de convertir "494ce7e5" (qui est en hexa) en une valeur date / heure...ça revient à calculer la date recherchée qui est 1229776869 secondes après la date référence. Et ça donne " Samedi 20 décembre 2008, 12:41:09 GMT"
On peut le faire en ligne ou par commande sous Linux :
$date -u --date="1970-01-01 1229776869 sec GMT"
Alors comme les attaques ne commençaient que le Samedi 27 décembre 2008 (une semaine après), soit le fichier a été altéré (je l'ai récupéré quand même de leur site) ou on se préparait déjà à ça bien avant !!!!

Préparons notre boite à outils

Analyser le comportement est en grande partie savoir que fait exactement et quels sont les processus, les clés de registres, les fichiers et les connexions réseau créés. Pour le faire sur un environnement Windows, la suite (gratuite) de Sysinternals est la solution idéale....surtout après leur acquisition par Microsoft.

On va construire alors notre boite avec seulement les 2 outils suivants :

Process Monitor est le premier à utiliser. En fait, il combine les fonctionnalités de deux autres anciens utilitaires : Registre Monitor et File Monitor.

Dans notre cas, on va installer le programme à analyser tout en le surveillant via un filtre sur le nom du programme :



Certaines actions sont intéressantes à vérifier : création de fichier, création de clé de registre....les filtres sont là pour affiner l'analyse :



On a testé le comportement lors de l'installation, maintenant voyons ce qu'il fait quand il est exécuté.... mais là, en plus de ProcMon on va surveiller le trafic réseau avec wireshark, notre 2ème outil.

Apparemment, on est arrivé un peu en retard. Les sites demandée ne répondant pas ou ferment la connexion (pas de service en écoute probablement) : (les essais se font sur les port 80, 443 et 8080)

64.244.62.198 irc.foonet.com
74.204.188.180 unknown180.188.204.74.defenderhosting.com
74.204.170.92 unknown92.170.204.74.defenderhosting.com

Il parait aussi que ça utilisait un serveur IRC pour recevoir ses "ordres"

Bon, cet exemple n'est pas le bon choix pour analyser un code malicieux.
Si je tombe sur quelque chose d'intéressant ou si quelqu'un m'envoie un petit "suspect" j'essayerais de refaire l'analyse.

Une dernière chose, vous pouvez avoir une analyse gratuite et plus complète en soumettant vos échantillons à certains sites. Un des plus intéressant est cwsandbox


.

Inscription à : Articles (Atom)