mercredi 10 septembre 2008

On a frôlé le Big One(tm)

... la question est: "lequel ?" :)


Je ne parle donc pas de la mise en service du LHC, mais bien de la cryptographie dans les versions françaises de Windows, qui par une sorte d'exception culturelle, a toujours été beaucoup plus faible.

On apprend donc dans cette note du CERTA qu'un patch est désormais disponible pour le Protected Storage. Contrairement au High Encryption Pack pour Windows 2000, ce patch s'applique également à Windows XP SP2 et 2003 qui disposaient encore de quelques portions de code "peu entropiques".

Voyons ce que cela donne sur un Windows XP SP2 FR complètement à jour. Nous allons pour cela utiliser l'outil gratuit PatchDiff2.

Après installation, un seul fichier est modifié: pstore.dll

Dans ce fichier, une fonction a été supprimée (IsEncryptionPermitted), une autre a été ajoutée. Soit.


Voyons maintenant les fonctions qui ont été modifiées: elles sont au nombre de 8.


Prenons la première: FMyEncryptKeyBlock. Un seul bloc fonctionnel a été modifié.

Même si vous ne lisez pas bien l'assembleur, je pense que vous avez une petite idée de ce qui se passe ...

Au fait, à quoi sert le Protected Storage ? A stocker un peu tous les mots de passe qui trainent ... Heureusement il est deprecated à partir de Vista.

En conclusion:
  • Difficile de se moquer de Debian après ça.
  • Il ne faut pas croire que "d'autres ont audité le binaire, et s'il y avait quelquechose ça se saurait".
A part ça quoi de neuf ? C'est presque la routine: patch Microsoft pour 5 failles GDI+, failles dans Wordpress, Apple QuickTime, mDNSResponder/Bonjour, Google Chrome ... Mais on attend toujours le Big One.

dimanche 7 septembre 2008

Bâches, suite (ou comment finir le challenge T2 en 2 minutes)

Et oui, j'ai rattrapé quelques flux RSS de retard pendant ce week-end pluvieux :)


1. Tout d'abord le piratage. Il est responsable de tous les maux, comme d'habitude. Mais de là à déclarer:
(...) selon Henri Dumoulin, responsable de Pathé Nord. « Le piratage nous a joué un petit tour », a-t-il déclaré à l'AFP. « En 1998 (date de sortie de Titanic), il n'y avait pas d'internet à haut débit. »
... il y a un pas.

2. Un cas d'école de fuite d'information.


Je vous fait grâce de mon avis sur les réponses obtenues, par contre j'aime bien ce passage:
I am reminded as a result of reading your note on new Cyber strategies, about a place I used to work that constructed aerospace components for the many companies that offered their goods to the USA military machine. One of these devices were housings machined to contain the electronics which was capable of jamming the navigation signal of the French Exocet missile.

When the target, usually a ship, is acquired from the radar of the jet fighter, the navigation was transferred to the missile's gyro system so that once released from under the wing of the fighter, the missile was on it's own to reach it's designated target. Raytheon, a Canadian designer of anti aircraft and anti missile electronics developed a signal to send to the incoming missile that would instruct the missile to turn around and return to the jet from whence it came. Needless to say the pilot would have a sudden digestive problem once it became known the missile he just launched was coming back for a visit.
3. Et enfin, le challenge T2.

Pour mémoire, il s'agit d'un challenge annuel de reverse enginnering, qui attire chaque année un grand nombre de participants de qualité, même s'il n'y a rien à gagner (à part un aller-retour en Finlande). C'est probablement le manque du challenge Securitech qui se fait sentir :)

Le challenge 2008 a commencé samedi matin à 9h, heure française. L'objectif est un peu différent des années précédentes, puisque cette fois-ci l'objectif est de retrouver une adresse email cachée dans un Tetris 3D.

Par curiosité, je télécharge et je lance l'exécutable sur mon Vista 32-bits. Comme souvent avec ces challenges bourrés d'astuces Windows, rien ne se passe. Il y a probablement des valeurs spécifiques à Windows XP SP2 "en dur" dans le programme.

Toutefois un processus "challenge.exe" est présent en mémoire, Vista va donc me permettre (via le Task Manager) de créer un fichier de vidage au format "minidump applicatif".

A tout hasard, je cherche une adresse email (toujours faire simple avant de chercher compliqué ;) :

C:\> strings -n 8 Challenge.DMP | findstr @ | more
(...)
Please, contact support@oreans.com. Thank you!
(...)

Oreans.com ... Les auteurs du packer Themida ?

Il suffit d'attacher KD et de consulter le DebugView pour s'en rendre compte:

Waiting to reconnect...
Connected to Windows XP 2600 x86 compatible target, ptr64 FALSE
Kernel Debugger connection established.
Symbol search path is: SRV*C:\WINDOWS\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
Windows XP Kernel Version 2600 UP Free x86 compatible
Built by: 2600.xpsp_sp2_rtm.040803-2158
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055ab20
System Uptime: not available
ERROR: DavReadRegistryValues/RegQueryValueExW(4). WStatus = 5
ERROR: DavReadRegistryValues/RegQueryValueExW(5). WStatus = 5
ERROR: DavReadRegistryValues/RegQueryValueExW(6). WStatus = 5
SYNC:DriverEntry.
SYNC:DriverEntry - Done.

%s------------------------------------------------
---          Themida Professional            ---
---      (c)2007 Oreans Technologies         ---
------------------------------------------------

watchdog!WdUpdateRecoveryState: Recovery enabled.

Et oui ! Cette année le challenge T2 consiste simplement à dumper un binaire protégé par Themida. Désolé les gars, mais si vous voulez une évaluation de votre protection commerciale par des experts du domaine, je peux vous envoyer une propale ...

vendredi 5 septembre 2008

Il pleut des bâches

Petit florilège du vendredi soir ...


1. D'abord, l'une de mes banques en ligne.

Il semble qu'elle prenne très au sérieux le risque des malwares sur téléphones portables. Je ne me risquerai pas à dire qu'il s'agit de pur FUD, n'ayant pas toutes les cartes en main (si quelqu'un a déjà vu un virus mobile "en vrai", qu'il me contacte !).

Dans tous les cas, l'article est rédigé dans un style tellement technique qu'il rebutera immédiatement la moindre ménagère de moins de 50 ans.

Et surtout, avant qu'un téléphone soit suffisamment puissant pour pouvoir interpréter la page d'accueil de cette banque, il y a de la marge !


Pour le coup, l'information est accessible au commun des mortels. Le graphisme est lêché, la mise en page est aérée, on sent qu'il y a du produit à vendre derrière (contrôle parental, antivirus, support sur site et tout le tremblement - on parle de pack 6-en-1 ici !).

Le partenariat avec F-Secure est difficile à rater. D'ailleurs vous pouvez même installer leur ActiveX.

Au final, le chaland n'a rien compris, mais il s'est fait peur avec la carte de propagation en temps réel de NSAnti.Packed ou VB.Trojan-Downloader. Et si mon pâté de maison était dans la zone d'infection du virus ?

3. Les consultants certifiés CISSP

Bon là c'est certes un peu facile. Mais comme le faisait remarquer un ami (lui-même CISSP), le nouveau certifié prête serment sur la Bible de suivre le code d'éthique du CISSP. Les valeurs de ce code sont simples: d'abord la patrie, ensuite le business.

D'ailleurs tout consultant CISSP a répondu lors de l'examen que s'il voyait son patron faire du P2P (et donc alimenter les caisses du terrorisme international en 2003 comme en 2008), il jouerait son rôle de whistleblower sans états d'âme.

Vous l'aurez compris, c'est une certification américaine.

4. Et pour finir, Hakin9 est arrivé

Il n'y a pas grand'chose à ajouter, si ce n'est qu'un pilier de la sécurité informatique française m'a récemment recommandé d'écrire dans Hakin9. Et qu'on ne dit pas "crypter" en français.

mercredi 3 septembre 2008

Free fail


Espérons que l'infâme ' OR DROP DATABASE clients; -- ne se soit pas abonné chez Free !