articles
réactions
Jeff - 25.02.2008 | 0 réactions | #link | rss
Ca bouge pour les amateurs de failles Web:

http://www.csnc.ch/misc/files/publications/the_onion_router_v1.0.pdf ce papier montre que l'on peut se placer en noeud de sortie (exit node) pour TOR, voir passer tout le trafic, modifier des requetes (je sais c'est pas nouveau, mais là c'est assez clair), pour rajouter du contenu dans les pages web à la volée (tel que Flash, Real, etc). Ce contenu, interprété par le navigateur, à pour but de forcer ce dernier ou l'add-on correspondant à contourner le tunnel TOR et ainsi révéler l'IP source. La papier montre par exemple comment faire des sockets avec Shockwave.

http://www.goolag.org pour ceux qui se souviennent du Cult of the Dead Cow (Back Orifice & co)... Un outil automatisant le Google hacking (mieux que celui de Foundstone, je suppose) et l'utilisation des dorks.

Enfin webapp_threats_and_countermeasures_v2.1.zip contient une matrice (en Allemand) sur les menaces du web. Utile comme checkliste.
Jeff - 06.02.2007 | 0 réactions | #link | rss
Les failles dites "client-side" concernent plus particulièrement les utilisateurs et leur poste de travail. En effet, ces failles s'appliquent aux logiciels de bureautique courants et non aux systèmes serveurs et autres mainframes.

Par définition, la principale victime est donc l'utilisateur du poste; par rebond, tout son voisinage réseau peut également être infecté (ce qui présente un intérêt dans le cas d'un employé travaillant sur le réseau de son entreprise, moins dans le cas du consommateur de base). Ainsi, il n'est pas rare de voir les plus grands acteurs (sic) du domaine de la sécurité se heurter à des infrastructures bien protégées puis viser les employés pour ensuite réussir à remonter vers les serveurs. Je ne leur jette pas la pierre, quand il n'y a pas le choix il faut bien s'en contenter...

Pour les internautes privés, les enjeux sont tout autres cependant. D'une part, les risques pris par un pirate sont très faibles, d'autre part les bénéfices sont multiples: une fois le poste de l'internaute contrôlé, il est virtuellement possible d'en faire ce que l'on veut. Envoyer ou relayer du mail et du spam, créer des réseaux de machines pour spammer massivement, héberger de faux sites webs, voler ou espionner des informations privées telles que numéros de cartes bancaires, identités, forcer l'achat de logiciels, etc...

Pour les anglophones, allez vous faire peur avec cette petite vidéo: quand un vers intègre une faille client-side (VML, dans IE). En gros, en prenant l'exemple de MySpace (voir mon post précédent), l'attaquant compromet un utilisateur, lui injecte son code, qui lui-même se répand par email entre les utilisateurs de Myspace, qui à leur tour sont infectés en ouvrant ce mail, etc, etc...
L'histoire originale du vers est disponible ici. Il n'utilisait pas de faille client-side, mais a réussi à compromettre plus d'1 million de comptes en 20h.


L'utilisation de failles client-side permettrait d'attaquer directement les postes des utilisateurs et non leurs comptes web. Les conséquences seraient catastrophiques.

Pour enfoncer un peu le clou, ces failles existent pour une multitude (la totalité?) d'applications courantes:

  • Microsoft Office (Word, Excel, Access, etc.): les fichiers peuvent contenir macros, virus, buffer overflows...

  • Acrobat Reader (fichiers PDF): multiples failles dans les plugins de navigateur, heap overflow dans le reader (critique).

  • Emails: attaques de phishing, XSS et autres manipulations des URLs.

  • VCard: buffer overflows divers et variés.

  • Pages web: tout contenu actif peut intégrer des virus ou autres (ActiveX, etc.)

  • Java: buffer overflow dans la JVM (critique)

  • Winzip: buffer overflows dans l'application (ici).

  • Images (JPG, WMF, VML, GIF, etc) : multiples vulnérabilités critiques.

FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch