Ricochet : la nouvelle messagerie instantanée anonyme

Ricochet.im est le nouveau soft de messagerie instantanée qui propose anonymat, confidentialité et respect de la vie privée.

A l’instar de TorChat il est décentralisé et utilise les notions de hidden-service et rendez-vous du protocole Tor pour l’échange des messages.
Il est développé à l’aide de Qt et les détails techniques ont été publiés ce qui n’est malheureusement pas toujours le cas pour des logiciels de ce type.

La chute de Silk Road (Wired, 2nde partie)

Voici la seconde partie de l’histoire de Silk Road racontée par Wired.

Cette partie se concentre d’un côté sur le FBI et la DEA qui ont fini par retrouver l’IP d’un serveur en Islande où ils ont pu récupérer un disque de backup (RAID probablement) du hidden-service et petit à petit remonter à un suspect : Ross Ulbricht.

De l’autre côté Ross Ulbricht a commis des erreurs techniques, agissant en toute impunité, pensant que l’architecture de Silk Road était suffisamment béton pour le protéger.

Enfin les auteurs reviennent sur comment le FBI a pu récupérer le laptop de DPR dans une bibliothèque quand celui était allumé et que DPR était logué en admin sur Silk Road.

Jellyfish, exemple de GPGPU Malware

Un groupe de hackers à mis en ligne quelques PoC concernant l’infection d’une machine par le biais du GPU. Pour que le PoC fonctionne, il faut un GPU compatible avec OpenCL.
Actuellement, il n’existe presque pas d’antivirus scannant la mémoire GPU d’où la dangerosité de ce vecteur d’attaque d’autant plus qu’il est possible d’accéder au CPU par la suite.

Pour quelques explications supplémentaires en français voir developpez.com.

Les codes sources des PoC (malware, keylogger et scanner) voir github.

OSX : sécurité insuffisante

Pour Patrick Wardle de chez Synhack, le système OSX d’Apple a encore beaucoup de lacunes en terme de sécurité, en particulier ses défenses contre les malwares.

Le chercheur à l’origine de l’exploitation par Dylib Hyjacking indique qu’il est simple de bypasser le mécanisme de signature des exécutables sur le système (GateKeeper) et que si les malwares touchant OSX sont aussi basiques c’est qu’ils n’ont pas besoin de se donner du mal pour prendre le contrôle du système.

La faute aussi aux éditeurs d’antivirus pour OSX qui se reposeraient sur leurs lauriers. Un peu comme si les antivirus Windows ne cherchaient la présence de malwares qu’en regardant dans les clés de registre \Software\Microsoft\Windows\CurrentVersion\Run

Des slides intitulées Writing Bad@ss OS X Malware datant de la dernière conf RSA de San Francisco sont trouvables via l’article de TheRegister.

USA : des skimmeurs piégés par la police

Via KrebsOnSecurity :

A Redlands en Californie des policiers ont choisi de placer un mouchard GPS sur un skimmeur découvert dans une borne de station service.
Dès le lendemain, via un outil de tracking de la police, ils découvrent que le skimmeur se déplace. En suivant le signal ils ont pu interpeller des suspects qui détenaient alors plusieurs skimmeurs.

D’après 3VR, une société spécialisée dans la surveillance et qui a vraisemblablement fourni le service au département de police, les policiers de Redlands auraient pu faire 139 arrestations grâce à l’utilisation de trackeurs GPS, pas seulement sur des cas de skimmming mais pour des vols de voiture, de pharmacie, de vélos, de laptop, de courrier… (?)

Les machines Lenovo encore piratables

Après la présence d’une faille dans les machines Lenovo apparue avec l’intégration du adware Superfish, l’entreprise remet du couvert avec un outil à elle baptisé System Update.

Ce soft est basé sur deux composants : un client System Update qui tourne avec les droits de l’utilisateur (donc peu de privilèges) qui communique avec un service appelé simplement System Update Service qui lui tourne en tant que SYSTEM.

IOActive s’est penché sur le soft et a découvert plusieurs failles (advisory PDF) dont l’une est bêtement le fait que le service exécute aveuglément sous les droits SYSTEM les commandes envoyées via un tube nommé par le process client.
Grosso modo c’est le rôle de la backdoor Windows présentée dans LOTFREE #09.

IOActive a découvert d’autres failles toujours lié au service d’update, l’une permettant de bypasser la vérification des signatures des exécutables et l’autre qui est liée à des mauvaises permissions sur un dossier (écrasement d’exécutables possible)

Rombertik : quand pas content, lui poutrer ton MBR

Via TheRegister :

Des chercheurs de chez Talos (Cisco) ont trouvé une bestiole bien vicieuse puisque Rombertik (le malware analysé) va écraser le MBR du système et forcer un redémarrage ou chiffrer les fichiers des utilisateurs Windows si il détecte qu’il est en train d’être débogué.

Rombertik est un keylogger / passlogger qui fait son maximum pour que sa rétro-ingénierie soit un calvaire : junk code, opérations destinées à remplir les logs de débug, quantité improbable de données inutiles et un graphe de fonctions à mettre un reverseur en position fœtale :p

Mumblehard : un bot spammeur Linux et BSD

Via ArsTechnica, TheRegister :

Dans un rapport PDF ESET indique avoir mis la main sur un malware baptisé Mumblehard.

La bestiole se présente sous la forme d’un binaire ELF écrit en assembleur qui via une petite astuce (numéros de syscalls qui n’ont pas la même signification) est capable de déterminer s’il tourne sous Linux ou BSD.
Il décode ensuite en mémoire (via boucle XOR) du code perl obfusqué dans le binaire et lance l’interpréteur perl en passant le code décodé sur l’entrée standard de l’interpréteur.

Le malware est alors capable de communiquer à un C&C succinct qui lui permettra surtout de télécharger et lancer un mass-maileur.

Ce qui est plus intéressant c’est que le C&C se trouve dans une plage d’adresse IP appartenant à une société russe baptisée Yellsoft qui commercialise… un outil d’envoi de mails en masse baptisé DirectMailer… et qui est écrit lui aussi en Perl (donc forcément obfusqué 😉 )

Plus original encore : sur le site de Yellsoft on trouve un lien vers une copie de DirectMailer qu’il ne faut surtout pas télécharger selon eux (voyez la logique).
Cette version incorpore étrangement le malware Mumblehard… Autant d’indications qui laissent supposer que les Yellsoft est à l’origine du malware :p

En PHP md5(‘240610708′) == md5(‘QNKCDZO’)

Via HN :

La raison de cette égalité qui semble surprenant est en réalité dû au fait que les hashs de ces chaines respectives commencent par “0e” et sont suivies uniquement par des chiffres qui est une forme de décrire un float.
Au final PHP converti les hashs résultants en float et comme les deux valeurs sont très proches de zéro elles sont considérées égales…

On peut imaginer qu’un certain nombre d’applis web effectuent des comparaisons de ce type et permettraient alors à des attaquants de tester un même mdp pour chaque account en espérant tomber sur un hash avec ces caractéristiques.
Qui plus est ça fonctionne bien sûr avec n’importe qu’elle fonction de hashage puisque le problème vient du parseur PHP.
Pour palier à ce problème il faut utiliser l’opérateur === au lieu de ==.

Plongez-vous dans les QUANTUM INSERT

A lire chez FoxIT :

QUANTUMINSERT c’est le nom de code de la NSA pour un outil capable d’injecter des données dans une session TCP.

Le principe est de retourner un paquet de réponse avant qu’un serveur légitime le fasse mais en prenant bien sûr soin de copier des métadonnées du paquet (adresse IP source et destination, numéros de ports, numéro de séquence et ACK…) pour qu’il soit accepté par la victime.
Si le QUANTUMINSERT réussi l’attaquant a gagné la course de l’envoi de la réponse et la réponse légitime sera ignorée par la machine de la victime.

La Chine a montré qu’elle dispose de capacités similaires à l’aide de son Great Canon analysé par Citizen Lab.

FoxIT fournit des scripts Python permettant de réaliser ce type d’attaque via un moniteur (celui qui surveille les requêtes) et un shooter (celui qui forge les réponses).
Des enregistrements de trafic TCP et des règles pour des NIDS sont aussi disponibles.