Investigation & transformation numériques

Cybercriminalité

Des images utilisées pour commander des botnets

monkif-secureworksIl y a quelques jours, j’évoquais l’utilisation des groupes de discussion de Google pour diffuser les commandes d’un botnet. Les chercheurs de SecureWorks (CTU Counter Threat Unit) ont ainsi mis au jour un nouveau mode de distribution de ces ordres : l’utilisation d’images diffusées par des serveurs Web. C’est en observant le fonctionnement du botnet DIKhora/Monkif qu’ils ont pu faire ces observations. Il s’agit d’un cheval de Troie apparu apparemment assez récemment (08/2009) et encore peu documenté.

Cette méthode est particulièrement astucieuse, dans la mesure où elle sera le plus souvent indétectable pour les outils de filtrage des entreprises. En effet, quoi de plus banal sur un réseau que la visualisation d’images via une connexion HTTP. Ce type de canal caché n’est pas complétement nouveau dans sa conception, au sens où des images mouchards sont souvent utilisées pour permettre le décompte de visites sur des sites Web.

Mais ici, le procédé est encore plus astucieux : l’image téléchargée présente non seulement un nom de fichier caractéristique d’un JPEG, avec une extension en « .jpg », mais possède un en-tête  identique à ces images. L’en-tête d’un fichier est constitué – le plus souvent – par les premiers octets d’un fichier et constituent une sorte de signature  qui va indiquer au système d’exploitation ou au logiciel d’affichage à quel type de fichier il a affaire, et parfois quelle version du format de fichier est utilisée.

La technique (décrite aussi ici) est la juxtaposition de 32 octets typiques du début d’un fichier JPEG, suivis d’une commande pour les machines zombies embrouillées par un codage spécial (un XOR avec la valeur 4). Dans l’exemple cité, les concepteurs n’ont même pas pris la peine de rendre le fichier affichable. Mais sachant qu’une image JPEG peut contenir des commentaires (par exemple en utilisant le codage EXIF qui permet d’ajouter à une image des informations collectées pendant la prise de vue telle que la position GPS ou la marque de l’appareil photo), il est parfaitement imaginable de camoufler ces commandes de façon beaucoup plus difficile à détecter.

A suivre donc, et cela milite peut-être pour une évolution des pare-feux installés sur les réseaux des entreprises.

1 octobre 2009 by Cybercriminalité Sécurité 1

Guerre des hackers: Pakbugs.com attaqué

pakbugs

F-Secure le relevait hier, le site pakbugs.com subit des attaques répétées depuis plusieurs jours. Ce forum où s’échangent les techniques de piratage, mais où sont aussi commercialisées des numéros de carte bancaire et autres produits d’activités illicites n’était plus accessible hier, mais est à nouveau visible aujourd’hui.

Un groupe arborant la signature « WAR Against Cyber Crime » a ainsi revendiqué cette action sur la liste de discussion de Full Disclosure, l’accompagnant d’une liste supposée d’utilisateurs de ce forum, invitant les services d’investigation à se pencher sur leurs cas.

En France aussi, rappelez-vous…

Ce type de forums n’est pas présent qu’à l’étranger. Ainsi, en novembre 2008, la gendarmerie nationale interpellait les participants à un groupe warez (leurs activités étaient ici centrées sur la contrefaçon de vidéos, mais étaient aussi facilitées par des atteintes à des systèmes de traitement automatisé de données, ou de nombreux autres dossiers précédents et à venir, comme en mai 2008, une enquête de la gendarmerie menait à l’interpellation de 22 personnes animant un forum très semblable à Pakbugs.

Quid de Pakbugs?

www.pakbugs.com, pakbugs.com ou india.pakbugs.com sont hébergés sur deux serveurs Web distincts. Le premier est hébergé actuellement en Allemagne sur une adresse IP d’un serveur de la société Hetzner… Les deux autres sont hébergés aux Etats-Unis.

Le nom de domaine est enregistré depuis le 03/01/2009, sous une identité vraisemblablement inventée. En mai 2009, ce groupe se présentant comme d’origine Pakistanaise revendiquait le piratage du site Web de Google Maroc, au mois d’août 2009 du site Web du gouvernement Pakistanais (www.sindh.gov.pk). On en trouve des traces sur Zone H.

La liste révélée par le groupe de corsaires revendiqué est inexploitable sur le plan juridique, puisque la source ne peut pas en être vérifiée (et pour certaines législations son origine illégale posera problème). Il serait certainement plus efficace que ce type de groupes fasse l’objet d’investigations de la part du pays hôte (d’ailleurs une enquête est peut-être en cours et cette action illégale a pu y nuire!).

A suivre donc !

19 septembre 2009 by Cybercriminalité Juridique 0

Cybercriminels: une économie souterraine

Canaux de discussion IRC utilisés par les cybercriminels (Image: Symantec)

Canaux de discussion IRC utilisés par les cybercriminels (Image: Symantec)

Le 17 septembre 2009, David Goldman de CNNMoney.com publie une enquête sur les activités des cybercriminels telles qu’elles sont perçues aux États-Unis.

Il replace d’abord les choses sur le terrain adéquat: aujourd’hui les cyberdélinquants sont avant tout motivés par le gain financier. Effectivement, grâce aux multiples scénarios d’escroquerie développés, ce sont des milliards d’euros qui sont à leur portée. Le premier vecteur de ces méfaits serait la diffusion de logiciels malveillants selon l’article.

Une fois les informations personnelles des victimes récoltées grâce aux divers chevaux de Troie, les escrocs décrits dans l’article se retrouvent sur de véritables places de marché confidentielles organisées sur des canaux de discussion IRC privés. $0.98 pour un numéro de carte de crédit acheté en gros ou $10 environ pour une identité « complète ».

Des intermédiaires fournissent des services particulièrement utiles pour ce commerce: vérification de la validité de la carte bancaire, transfert d’argent sur des comptes offshore,… Certains de ces intermédiaires sont en fait des victimes malgré elles, les « mules » qui croient – avec plus ou moins de bonne foi – travailler pour un employeur étranger. Ainsi il leur est demandé de retirer l’argent qui arrive sur leur compte bancaire ou un colis à la poste pour le réexpédier ailleurs dans le monde, contre une rémunération de 10 à 15% de la valeur.

Les enquêteurs du FBI déclarent avoir infiltré ces canaux IRC… Albert Gonzales était d’ailleurs l’un de leurs informateurs.

Vu le nombre de victimes dans le monde aujourd’hui, de gros progrès restent à faire en matière de prévention: sur l’efficacité des logiciels antivirus, la détection des courriers électroniques d’escrocs ou tout simplement une bonne information du public qui tombe trop souvent dans le panneau.

19 septembre 2009 by Cybercriminalité Prospective 2

Un standard IETF pour la lutte contre les bots chez les FAI

ietflogotrans

Comme pour faire suite à l’article que j’ai publié hier, une information tombe à propos sur le site de SANS : l’IETF (Internet engineering task force), l’organisme qui anime la rédaction des standards de l’Internet, travaille depuis le mois de juillet 2009 sur un projet de standard de recommandations à destination des fournisseurs d’accès pour lutter contre la propagation de réseaux de machines zombies parmi leurs abonnés.

Un élément de plus à rajouter sur ce débat pour un rôle actif des FAI dans la lutte contre ces phénomènes criminels.

16 septembre 2009 by Cybercriminalité Prospective Sécurité 0

Australie: plan de lutte des FAI contre les logiciels malicieux

L’association des fournisseurs d’accès Australiens a publié le 11 septembre un projet de code de conduite pour faciliter la lutte contre la diffusion des logiciels malveillants chez leurs abonnés.

Il s’agit ici de lutter contre toutes les formes de malveillances qui sont facilitées par les centaines de milliers de machines zombies que constituent les ordinateurs des abonnés à Internet qui ont été infectés par des chevaux de Troie. Ainsi, le client détecté comme participant à de telles activités, par exemple parce qu’il diffuse de très nombreux pourriels, serait alerté par son fournisseur d’accès et sensibilisé sur des mesures de sécurité adaptées.

Les autres mesures proposées, au-delà de l’information de l’abonné, sont la limitation de l’accès, le placement de la connexion de l’abonné dans un environnement qui lui donne des indications sur les mesures de sécurité à appliquer, la coupure temporaire de l’accès à certains ports ou protocoles de l’Internet. Il s’agirait aussi pour les fournisseurs d’accès d’informer les autorités lorsque des incidents particulièrement graves sont détectés qui pourraient nuire au fonctionnement des infrastructures d’importance vitale.

Cette proposition, qui semble présentée de façon assez volontariste par les différents partenaires publics et privés concernés est assez intéressante et semble recevoir le soutien de certains spécialistes en sécurité de l’Internet. D’ailleurs, au-delà de l’assistance aux internautes concernés et des qualités éventuellement préventives de ces mesures vis-à-vis des autres internautes, ce dispositif offrirait aux fournisseurs d’accès Australiens un moyen, reconnu par le gouvernement, de diminuer l’impact des infections de leurs clients sur leurs infrastructures, par exemple offrir un service de meilleure qualité à leurs abonnés (bande passante, accès au serveur d’envoi de courrier électronique, etc.).

L’exemple Australien pourrait-il être reproduit ailleurs et en France notamment ? Il revient évidemment aux différents partenaires d’en discuter. Les débats actuels sur la neutralité du réseau et la coupure de l’accès Internet dans le cadre de la loi dite « HADOPI » donnent un éclairage particulier à cette proposition. Ainsi, quelles précautions faudrait-il prendre pour que l’internaute ne soit pas abusivement lésé par ces mesures ? Dans quel délai l’internaute pourra-t-il obtenir le rétablissement complet de ses services ? Ne peut-on automatiser la détection du rétablissement d’une situation normale sur la connexion de l’abonné ?

Ce chantier mérite en tous cas d’être discuté, dans un univers où l’essentiel des activités illicites sur Internet sont ou peuvent être facilitées par les botnets et autres formes d’action des logiciels malveillants. Corollairement, les spécialistes se posent souvent la question de savoir s’il est légitime ou souhaitable pour une personne officielle (un service d’enquête, agissant éventuellement sous le contrôle d’un magistrat) qui aurait pris le contrôle d’un serveur de commande de botnet de commander à l’ensemble des machines victimes de désactiver le logiciel malveillant ou afficher un message d’alerte officiel sur l’écran de la victime. Ces mesures, peut-être impressionnantes, seraient très certainement efficaces, mais comment les encadrer ? Quelles mesures de communication devront les accompagner ?

En conclusion, il est grand temps d’envisager et de discuter sérieusement des solutions industrielles et de grande ampleur face au phénomène des logiciels malveillants qui a pris lui-même une dimension industrielle.

15 septembre 2009 by Cybercriminalité Juridique Prospective 1

Les pirates ont pignon sur rue

Un phénomène de plus en plus courant est dénoncé aujourd’hui par un article posté sur Switched.com: la présence de vitrines commercialisant des services de « piratage » divers et variés. Bien évidemment, je ne donne pas dans cet article de lien directement cliquable vers ces sites web dont l’activité est illicite.

Ici ce sont deux sites Web qui sont présentés : yourhackerz.com et slickhackers.com.

Que proposent-ils ? On peut voir sur le site du premier la page d’accueil suivante :

Page d'accueil de YourHackerZ.com

Page d'accueil de YourHackerZ.com

et les services proposés: « Pour 100 dollars, nous crackons les mots de passe des principaux sites de messagerie web ». Ils indiquent être en relation avec slickhackers.com. On y retrouve le même concept, mais étendu à d’autres types de sites comme Facebook mais aussi les mêmes messageries en ligne.

Aparté juridique

Sur le plan juridique, je rappelle que non seulement les services commercialisés par de telles personnes sont répréhensibles pénalement (2 à 3 ans de prison et 30.000 à 45.000 euros d’amende au moins en France, selon que le procédé suppose ou non de modifier le mot de passe), mais de la même façon pour toute personne qui achèterait un tel service ou en utiliserait le résultat. De surcroît, il s’agit vraisemblablement d’un groupe de délinquants rentrant dans la définition de la délinquance organisée, donc susceptibles de circonstances aggravantes.

Creusons un peu le dossier

Le site web que nous examinons ici est hébergé sur une adresse IP (94.194.139.xxx) qui héberge plusieurs sites Web :

  • www.hackfacebookpasswords.com
  • www.yourhackers.net
  • yourhackerz.com
  • www.slickhackers.com
  • www.yourhackerz.com

Un examen des informations d’enregistrement de ces domaines nous donne des informations d’enregistrement pour :

  • Un certain V.M. (pas besoin de mentionner le nom complet pour la démonstration et de toutes façons c’est certainement un alias), chez Dynadot.com
  • Un certain V.S.
  • Un certain M.K.
  • Un certain H.S., dans un autre bureau d’enregistrement (EHostpros.com), avec cette fois-ci une adresse postale au Royaume-Uni.

L’adresse IP du serveur est identifiée elle-même comme correspondant à un serveur hébergé au Royaume-Uni (AS 35228, Beunlimited), qui semble en réalité être un fournisseur d’accès, donc vraisemblablement ici un hébergement artisanal « à domicile » (www.bethere.co.uk). Soit il s’agit de l’abonnement du premier suspect à inquiéter, soit il s’agit d’une machine dont le contrôle a été pris, à l’insu de son propriétaire…

Combien de temps avant que les personnes derrière ce site web soient identifiées et ce site fermé ? En plus, rien ne nous prouve (et je ne vais pas essayer ni les lecteurs non plus !) que le service offert soit réel.

Au passage, on note ici l’utilisation des services de Dynadot qui est souvent cité comme lié à des enregistrements de noms de domaines aux activités peu recommandables, tout simplement parce que cette société offre des services d’anoymisation et certainement des tarifs attractifs. Apparemment ces sites web sont en ligne depuis le début de l’année 2008 au moins…

En France, ce ne serait pas simple de mener une enquête sur ce type de site Web. En effet, il n’est possible de rentrer en contact et échanger avec des délinquants supposés (et donc vérifier les services proposés) que pour les infractions liées aux atteintes aux mineurs et de traite des êtres humains, visées par les articles 706-35-1 et 706-47-3 du code de procédure pénale introduits par la loi sur la prévention de la délinquance de mars 2007 (j’ai évoqué ce thème des cyberpatrouilles à plusieurs reprises). Souhaitons que ces dispositions soient étendues aux infractions d’atteintes aux systèmes de traitement automatisé de données.

14 septembre 2009 by Cybercriminalité Juridique Prospective 0

Un mode original de centre de commande : Google groups

groups_logoLes botnets, ces réseaux chevaux de Troie installés sur les ordinateurs de tout un chacun pour organiser des attaques coordonnées, ont besoin d’un mécanisme pour en permettre le contrôle par leur maître. Ainsi, des canaux de discussion IRC, des sites Web ou des réseaux Pair à Pair sont utilisés pour transmettre les commandes de façon quasi instantanée à l’ensemble des machines « zombie » connectées à un botnet particulier.

Des chercheurs de Symantec décrivent dans un article publié le 11 septembre 2009 un mode de commande original: l’utilisation d’un groupe de discussion hébergé chez Google.

Dans l’exemple cité, il s’agit d’une connexion sur un groupe privé « escape2sun », où le maître du botnet publie ses commandes. Ce mode de diffusion des commandes a permis aux auteurs de l’étude de faire un examen approfondi des commandes publiées. L’analyse du cheval de Troie a permis aux auteurs de l’article de déchiffrer les commandes et les réponses des bots.

Dans ce cas précis, il semble qu’il ne s’agisse que d’un essai ou d’un prototype étant donné le faible nombre de machines zombies repérées (de l’ordre de 3000) et les commandes de débogage retrouvées. En tous cas, nous avons ici un nouveau mode de canal caché de contrôle de botnets à ajouter à la liste !

13 septembre 2009 by Cybercriminalité 5

Jeux en ligne – Dirigeants de BetOnSports bientôt fixés sur leur sort

I Bari, Le Caravage (c. 1594)

I Bari, Le Caravage (c. 1594)

La société BetOnSports (littéralement « parier sur les sports »), fondée en 1995, avait localisé ses activités dans certains paradis fiscaux bien connus (Antigua, Aruba et Costa Rica), mais réalisait une grosse partie de son chiffre d’affaires sur le marché des Etats-Unis.

Cela lui a valu l’intérêt en 2006 de l’administration fiscale et des autorités judiciaires pour différentes infractions présumées, dont l’évasion fiscale, le racket et des escroqueries… Onze de ses dirigeants sont ainsi poursuivis dont le fondateur Gary Kaplan et David Carruthers, directeur général de la société. Ils sont tous les deux détenus par la justice américaine.

Comme souvent dans ce genre de dossiers aux U.S.A, les personnes mises en cause ont été amenées à accepter une reconnaissance de culpabilité et ne devraient donc pas faire l’objet d’un procès. C’est ce qu’annonçait vendredi dernier le ministère de la justice américain. Kaplan devrait ainsi être condamné à une peine de 4 ans d’emprisonnement et a accepté de verser près de 44 millions de dollars.

Leur société, BetOnSports, employant près de 2000 personnes au Costa Rica est en cessation de paiement, a été interdite d’activité à destination du public américain et pourrait essayer de se redresser sur d’autres marchés.

Où en est la situation en France ?

La France, comme les autres pays de l’Union Européenne, est contrainte d’ouvrir son marché à des sociétés de jeux et de paris en ligne et l’échéance du 1er janvier 2010 s’approche. Ainsi, un projet de loi a été présenté par le ministre du budget début 2009. Ce projet reposera sur un principe de licence délivré par l’État français (pour une durée de cinq ans), une taxation des mises et la création d’une autorité de contrôle.

Il s’agit ici tout autant de protéger le consommateur français (qui est déjà client de ces services en ligne, souvent en toute illégalité et parfois avec le risque de se faire escroquer) que de préserver l’équilibre d’un monopole préexistant qui assure des revenus non négligeables pour le budget de l’État. L’exemple de BetOnSports cité en début de cet article illustre particulièrement l’intérêt d’un encadrement efficace lors de l’ouverture du marché français et évidemment d’un accent fort à porter sur la coopération européenne et mondiale contre les activités les moins recommandables qui côtoient souvent les entreprises les plus sérieuses dans ce domaine d’activité.

La discussion de ce projet de loi est annoncée pour le début de l’automne à l’assemblée nationale. Je ne manquerai pas de suivre ces débats avec mes lecteurs et notamment leur impact sur la sécurité en ligne des internautes et l’activité criminelle.

17 août 2009 by Actualité judiciaire Cybercriminalité Juridique Prospective 1

Attaque DDoS Twitter (suite)

En complément à mon billet d’hier sur l’attaque contre Twitter de la semaine passée, Arbor Networks en ferait une analyse intéressante tendant à indiquer qu’il ne s’agit effectivement que d’un événement de faible amplitude et qu’au même moment des attaques beaucoup plus importantes avaient lieu (contre un opérateur asiatique par exemple).

(Plus d’informations ici)

Cela confirmerait les inquiétudes sur la résistance de telles plateformes à des attaques de grande ampleur.

14 août 2009 by Cybercriminalité Sécurité 0

C’est la rentrée – attaques DDoS sur Twitter ?

Image du blog de Cyxymu

Image du blog de Cyxymu

Les vacances sont finies pour moi ou presque, l’actualité n’a pas été particulièrement active. J’ai continué d’alimenter la liste de signets que vous voyez dans la colonne de gauche du présent blog (sous le titre : « Mes derniers bookmarks »).

Un « événement » a fait la une de l’actualité, y compris dans les principaux journaux français (Le Monde par exemple et plus ici), à savoir l’attaque dont Twitter et Facebook ont été victimes. Je suis presque contraint de l’évoquer, tout en soulignant que des attaques en déni de service sont quotidiennes sur Internet, mais ce n’est pas réellement là le sujet.

Une attaque en déni de service distribué (plus d’explications sur Wikipédia), tout d’abord, consiste à empêcher l’accès des usagers légitimes d’un service sur Internet (donc par exemple un site Web tel que Twitter ou Facebook, ou votre blog personnel) en initiant des connexions multiples depuis plusieurs endroits sur Internet (d’où la notion de distribution).

Ce type d’attaque a été rendu célèbre par les événements survenus en Géorgie l’année dernière, où des attaques coordonnées contre les sites Web gouvernementaux ont accompagné les tensions militaires avec la Russie du mois d’août 2008. C’est donc assez logiquement qu’une explication politique a été trouvée à cette attaque contre Twitter et Facebook. En effet, l’hypothèse d’un attaque ciblant Cyxymu, un abonné Géorgien de Twitter et Facebook et s’exprimant pour l’indépendance la défense d’intérêts liés à la situation de l’Abkhazie s’est très rapidement propagée.

Évidemment, l’utilisation croissante de ces sites par des personnalités du monde politique n’est pas pour rien dans cette médiatisation de l’incident. Et la politique est souvent évoquée dans le cas d’attaques rendues publiques au cours des trois dernières années. La torpeur de l’été y est sans doute aussi pour quelque chose et cela montre aussi l’intérêt des médias pour ces nouvelles formes de communication et de diffusion de l’information.

La réalité des attaques en déni de service est qu’elles sont quotidiennes sur Internet. Les botnets, par exemple, que j’ai évoqués à plusieurs reprises ici, permettent ce genre d’attaques. Ces types de services sont même commercialisés par des groupes criminels pour quelques dizaines ou centaines de dollars, vantant la possibilité d’empêcher le fonctionnement du site Web de son concurrent. Certains (comme Max Kelly, directeur de la sécurité chez Facebook, répondant ici à CNet News), ont émis l’hypothèse que cette attaque particulière aurait été rendue possible grâce à la diffusion de spams supposément émis par Cyxymu et conduisant des milliers d’usagers à se connecter en même temps sur son « tweet » (blog de Cyxymu).

L’explication est-elle convaincante ? L’information sur la coïncidence entre le spam visant Cyxymu et les incidences sur Twitter et Facebook est perturbante, parce qu’elle vise encore la Russie ou plutôt des citoyens Russes, mais sa source est intéressante : Max Kelly a certainement accès aux journaux des serveurs Web de sa société (Facebook) et donc à l’origine des clics qui ont conduit à cet incident, où en tous cas d’une partie d’entre eux.

Cette affaire mérite-t-elle un tel intérêt ? Oui, au sens où la défaillance pendant plusieurs heures d’un site Web aussi utilisé (et utile selon les points de vue) que Twitter en tant que telle est un événement. Les protections contre les attaques en déni de service ne sont pas facile à mettre en œuvre et supposent souvent d’installer des infrastructures supplémentaires en amont des serveurs Web pour filtrer les requêtes problématiques. Il semblerait que dans ce cas il s’agissait – au moins partiellement – de connexions légitimes provenant d’internautes réels utilisant leur propre navigateur : il paraît difficile d’imaginer de filtrer de telles connexions (il faudrait filtrer au niveau applicatif, à savoir sur la base du contenu de la requête lui-même – l’adresse de la page demandée – qui est quasiment le même pour tous les clics).

En tous cas, il sera essentiel que des dispositifs plus efficaces soient inventés pour lutter contre les attaques en déni de service, notamment dans le cas de serveurs utilisés par autant d’internautes dans le monde. Le « cloud computing », c’est-à-dire le développement de technologies qui permettent de stocker toutes ses données dans des serveurs accessibles et exploitables de partout sur Internet n’est pas viable à long terme dans de telles conditions (on voit combien les incidents dont souffrent parfois les plateformes de Google fait douter ses usagers).

PS: Information incidente révélée aujourd’hui par Jose Nazario de chez Arbor Networks (origine ici). Celui-ci a découvert pendant des investigations sur cette affaire d’attaque en déni de service contre Twitter, que des comptes Twitter sont utilisés par des criminels Brésiliens comme outil pour diffuser les commandes à destination d’un botnet, dont la fonction est vraisemblablement la collecte illégale de données personnelles.

13 août 2009 by Cybercriminalité Sécurité 1