L'ICANN offr-t'il un outil aux cybercriminels?

La décision de l’ICANN d’autoriser les entreprises privées à créer et gérer leur propre nom de domaine pourrait changer à terme le paysage du cyber-crime. Selon les plans de l’organisme, n’importe quelle organisation pourra devenir un registrar de premier niveau (c’est à dire global, à l’image des .com, .net et .org). Cela est censé permettre à de grandes entreprises de gérer leur marque en contrôlant une extension à leur nom, telle par exemple « .apple » ou « .microsoft« ).

Mais bien entendu, il est fort à craindre que les cyber-criminels ne jettent aussi leur dévolu sur cette opportunité afin de mieux contrôler leurs infrastructures malveillantes.

Lire la suite

Spam : l'astuce DNS du mois

Les créateurs de Botnets et les spammers sont toujours à la recherche du bon tuyau qui leur permettra de brouiller les anti-spam et anti-virus.

La toute dernière technique permet de contrecarrer les techniques d'inspections de liens mises en place par les anti-spam. Le filtrage par inspection de lien fonctionne de la manière suivante :
- un mail arrive dans une boite protégé par un anti-spam
- l'A-S scanne sont contenu
- l'A-S scanne le contenu de la page web en lien, ou compare le lien à base base de données de réputation de nom de domaine
- l'A-S fait de choix de bloquer ou laisser passer le mail
Pour un spammer, il est donc très important de pouvoir surpasser ces vérifications.

Donc certains ont eu une idée, que l'on pourrait qualifier de génial (machiavélique?). Cela consiste à contrôler temporellement la destination du lien, en changeant le pointage au moment critique. Ainsi ils brouillent les A-S, qui scanne une webpage alors inoffensive, puis change le pointage du site vers un site malicieux (malware spreading, phishing, ...) avant que l'utilisateur ne lise le mail.
L'idée est bonne, tout autant que la technique employée.

Pour arriver à leur fin, les spammers manipulent avec un timing parfait le DNS. Ils suivent la procédure suivante :
- envoi du spam durant la nuit (fuseau horaire de la cible)
- ils font en sorte que la résolution DNS du lien présent dans le spam corresponde à un site bénin (ou un HTTP 404)
- une fois le spam délivré aux cibles, ils switchent le DNS vers le site malicieux
Le changement de DNS doit s'effectuer avant que la victime ne lise ses mails, mais après l'inspection de l'anti-spam! Il faut donc aux pirates une précision d'horloger.

Cette méthode permet ainsi de troubler les filtres anti-spam qui utilise l'inspection de lien bêtement. N'oublions pas que face à ces logiciels se trouvent des humains, experts dans leur domaine : le spammer aura toujours un temps d'avance sur la protection.

Mac OSX : 58 failles comblées

Le 9 novembre, Apple a émis un bulletin de sécurité patchant 58 vulnérabilités affectant son système Mac OS X.

Les mises à jour de sécurité concernent :
- Mac OS X Server 10.4, 10.5, 10.6
- Mac OS X 10.4, 10.5, 10.6,
- AirPort (accès à internet sans fil)
- Apple TV
- l'iPhone et l'iPod Touch
- les logiciels iPhoto, QuickTime 7 et Safari
ainsi que bien entendu les produits relatifs à la sécurité.

Si la plupart venait de vulnérabilité causé par Adobe Flash ou Java, certaines touchant le système de gestion domaine (DNS). Les serveurs tournant avec les versions de 10.4 à 10.6 de Mac OSX Server étaient vulnérables à des mises à jour malicieuses, ce qui permettait les empoisonnement du cache.

J'espère que cette mise à jour de sécurité montrera à certains utilisateurs qu'il y a bien des bugs et vulnérabilité sur Mac...et la mode tendant plus vers la firme de Steve Jobs, les pirates trouveront la pomme toujours plus attirante.