lundi 29 juin 2009

Keyloggers et screenloggers

On nous parle souvent des keyloggers et des screenloggers qui permettent pour les premiers, de récupérer les informations saisies par l'utilisateur au travers de son clavier ou pour les seconds, de faire des copies de l'écran de l'utilisateur à intervalles de temps réguliers.


L'objectif de cette article est de se faire une idée concrète de cette menace pour mieux la comprendre et adopter les bonnes contre-mesures.

Bien entendu il existe de nombreux outils de ce type, mais il a fallu faire un choix et comme vous le savez "Choisir c'est renoncer...!".

Nous avons testé pour vous Ghost Keylogger 3.40 et Spector Pro 5. Parmi ces deux outils, seul Spector semble être un vrai produit avec une existence légale au travers de la société SpectorSoft (http://www.spectorsoft.com/)

Vous trouverez ci-dessous la vidéo des tests.


Dans un prochain article nous verrons comment, avec Metasploit, il est possible de récupérer "à distance" les informations saisies par l'utilisateur sur son clavier. Mais c'est une autre histoire...!

Source : SpectorSoft (http://www.spectorsoft.com/) & Matthias que je remercie

vendredi 5 juin 2009

"USB Dumper", l'aspirateur des clefs USB...!

On pourrait croire que l'arrivée de Windows 7 faît définitivement disparaître la menace des clefs USB. Mais ce n'est malheureusement pas le cas! Windows 7 protége l'ordinateur d'une clef USB malveillante mais qui protège une clef USB d'un ordinateur malveillant?

C'est pourquoi nous avons ressorti des placards le vieil "USB Dumper" dont l'efficacité légendaire reste la même. L'USB Dumper lancé sur un ordinateur permet d'aspirer toutes les données d'une clef USB qui se connecte à cet ordinateur à l 'insu du propriétaire de la clef USB.


La plupart des outils (malware) permettant de simuler des attaques sun un poste client sont aujourd'hui reconnues par les bons anti-virus.

Mais si vous disposez du code source vous pouvez alors recompiler le malware en le modifiant légérement et la nouvelle signature de votre malware ne sera plus reconnue par la plupart des antivirus.

C'est le cas de l'USB Dumper pour lequel vous pouvez télécharger le code et l'exécutable ICI.

La vidéo ci-dessous vous montre la marche à suivre.



Source: Bruce Schneier & Eric Detoisien

jeudi 4 juin 2009

Quelques statistiques pour mieux comprendre le contexte de la sécurité !

Vous trouverez ci-dessous quelques statistiques qui donnent un éclairage édifiant sur des failles que l'on considère souvent à tort comme obsolètes.


Dans le graphe ci-dessous on observe la part des vulnérabilités qui affectent les applications web comparé au volume globale des vulnérabilités. On constate que la part prise par les vulnérabilités des applications web est en augmentation.





Parmi ces vulnérabilités des applications web on trouve l'injection SQL dont le but est d'injecter un contenu malicieux dans le site web pour attaquer les visiteurs.

On trouve également le XSS parmi ces vulnérabilités. Le nombre de vulnérabilités de type XSS reporté en 2008 est de 12.885 (en 2007 on avait reporté 17.697 vulnérabilités). La raison de cette baisse est que de nombreuses vulnérabilités de type XSS ont été corrigées en 2007. Malgré tout les failles XSS reste une des préoccupations majeures des administrateurs de site web.





Les failles sont également très présentes sur les postes des utilisateurs (au travers des browsers par exemple).

En 2008, 99 vulnérabilités ont affectés Mozilla (40 sont considérés comme peu sévère et 59 comme étant moyennement sévère). En 2007, 122 vulnérabilités avaient été documentées pour Mozilla.
En 2008, 47 vulnérabilités ont affectés Internet Explorer (16 sont considérés comme peu sévère et 31 comme étant moyennement sévère). En 2007, 57 vulnérabilités avaient été documentées pour Internet Explorer.

On constate que les browsers restent une cible attractive pour les attaquants (ainsi que les plug-ins des browsers). On observe une augmentation en 2008 du nombre de vulnérabilités autour des plug-ins Java (on passe de 4% en 2007 à 11% en 2008), et Adobe (on passe de 1% en 2007 à 4% en 2008)



On observe une confirmation de la tendance qui consiste à privilégier l'attaque du côté du poste du client.
En 2008, 7% des attaques utilisaient des vulnérabilités du côté du serveur. En 2007, 5% des attaques se basent sur des vulnérabilités côté serveur.




Il faut noter que le volume correspondant au "Top 50" des malwares en 2008 est plus du double du volume de 2007.
Il faut également noter qu'une diminution du pourcentage d'un malware d'une année sur l'autre n'indique pas forcément un déclin de ce malware.



Il est bon de redonner quelques définitions:
  • Trojan ou cheval de troie: un cheval de Troie est un malware qui permet de réaliser une fonction non souhaitée par l'utilisateur comme par exemple faciliter un accès non autorisé à l'ordinateur de l'utilisateur. A la différence des ver et des virus il ne se réplique généralement pas. Habituellement il requière une intervention du hacker pour réaliser leur fonction.
  • Worm ou ver: un ver est un programme qui peut se copier lui-même et infecter un ordinateur. Le ver peut se répandre d'un ordinateur vers un autre. A la différence du virus qui est nécessite un support, le ver est totalement autonome.
  • Virus: un virus est un programme qui peut se copier lui-même et infecter un ordinateur. Le virus peut se répandre d'un ordinateur vers un autre. A la différence du ver qui est totalement autonome le virus a besoin d'un support (un fichier, une application,..) pour se propager.
  • Back-door ou porte dérobée: une porte dérobée est un malware qui permet de contourner l'authentification normale qui sécurise l'accès "remote" à un ordinateur. La porte dérobée peut être un programme à part entière ou une modification d'un programme existant.

Source: Symantec (Avril 2009)

Partager avec...