DDoS over Spam

Début mai se tenait en République Tchèque la conférence “Security and Protection of Information” avec en ouverture une conférence intitulée “Denial of Service attacks using the white horse systems: new proof-of-concept DoS against the DNS server“.

La présentation concernait une nouvelle méthode d’attaques en déni de service de serveurs DNS, via l’utilisation de campagnes de spam.

 Principe

Voici l’architecture de principe qui a été présentée par les chercheurs Jakub Alimov (Sez​nam​.cz) et Minor (Zone​-​h​.org) dans leur article disponible ici.

Amuse-bouche : Toast DNS

La mise en bouche est somme toute standard puisque l’attaquant va enregistrer modifier la zone DNS d’un nom de domaine pour y enregistrer le serveur cible comme serveur NS (ex: foobar.com NS 1.2.3.4). Ainsi tout serveur SMTP souhaitant envoyer un email à destination du nom de domaine, devra récupérer les informations adéquates telle que le précise la RFC2821, en interrogeant le serveur DNS autoritaire (ici 1.2.3.4).

Entrée : Salade de Spam

L’entrée en matière d’attaque relève alors des techniques habituelles de spam en utilisant comme adresse(s) d’expédition une (ou des) adresse(s) appartenant au domaine préalablement déclaré sur le serveur DNS (exemple: user.123@foobar.com, user.456@foobar.com). Il est également possible d’utiliser des sous-domaines (ex: user.789@dummy.foobar.com).

Note: lors de leurs observations, les chercheurs ont recensé plus de 14.000 adresses IP uniques, issues apparemment du même botnet, pour l’opération de spam.

Plat principal : Steak de cheval blanc

L’astuce consiste ici à utiliser sur que les chercheurs nomment des “White Horses“, à savoir des serveurs disposant d’une important capacité en terme de bande passante. A noter que les gros hébergeurs de serveurs SMTP tels Yahoo Mail, Microsoft ou Google sont par définition des cibles favorites.

Dotés d’une force de frappe importante, ces serveurs sont en mesure de lutter efficacement contre les attaques de type spam, mais dans de nombreux cas de figure, une analyse concernant la légitimité de l’expéditeur est requise. Conformément à la RFC en vigueur, les serveurs SMTP vont vérifier, pour chacun des messages, les informations associées au nom de domaine (ici une requête DNS de type MX RR ou A RR sur la zone foobar.com).

Les chercheurs précisent qu’il est envisageable d’utiliser un botnet de 50.000 machines, envoyant chacune des messages à destination de 100 systèmes “White Horse” différents.

Dessert :  Farandoles de DNS sauce DDoS

Pour réaliser la tâche qui leur incombent, les serveurs SMTP vont (directement ou indirectement) sollicités le serveur DNS autoritaire sur le nom de domaine. Ils vont donc propager un volume important de requêtes DNS à destination du serveur DNS cible (ici 1.2.3.4).

Ce dernier n’ayant par forcément les capacités à absorber la volumétrie, il est victime d’un déni de service. Pour rappel, les serveurs “demandeurs” d’informations font partie des “White Horses” qui eux, bénéficient de ressources importantes.

En reprenant les chiffres plus haut, nous arrivons vite ici à 50.000 (machines) x 100 (White-Horses) x 1 (message) = 5.millions de messages, soit autant de requêtes MX RR auprès du serveur DNS cible.

Remèdes anti-indigestion

La protection des zones DNS est bien évidemment la première des protections à mettre en place. Malgré cela, rien de vous garantit qu’une zone cyber-squattée ne déclare pas votre serveur DNS comme cible.

Le black-listage des domaines concernés reste également une protection simple, mais peu efficace dans la mesure où l’attaquant à toute liberté à varier les plaisirs en utilisant plusieurs noms de domaines durant l’opération (adaptant ainsi sa campagne de spam au fur et à mesure des blacklists).

Seuls les mécanismes de protection mis en place du côté des “White-Horses” peuvent être efficaces (protection anti-spam, limitation des flux de requêtes DNS, …. etc).

Une autre solution reste la mise en oeuvre de protection anti-DDoS.au sein ou en amont de votre infrastructure.

Auteur : Vincent Maurin

blogs.orange-business.com

IDéNum: vous en pensez quoi ?

Bah… pas grand chose…

Je me demande s’il faut en rire ou en pleurer en faite… http://bit.ly/kYKihX

IDéNum c’est quoi ?

Un jeune pirate embauché par Microsoft

High-Tech -

Microsoft a contacté un jeune hacker irlandais qui s’est illustré le mois dernier en tentant de pirater les serveurs du Xbox Live. Le jeune homme, âgé de 14 ans, voulait dérober des informations personnelles appartenant à d’autres joueurs. Bon prince, Microsoft n’a engagé aucune poursuite et a choisi de le prendre sous son aile pour le remettre dans le droit chemin.

C’est une approche nettement plus mesurée que celle de Sony. Alors que la firme japonaise s’est mobilisée toute entière contre George Hotz, un hacker qui a réussi à contourner les protections numériques de la PlayStation 3, Microsoft a fait preuve de retenue lorsque la société américaine a découvert qu’un jeune hacker irlandais de 14 ans a tenté d’escroquer des joueurs adeptes de Modern Warfare 2.

Selon l’Irish Central, le jeune homme s’est employé le mois dernier à pirater les serveurs du Xbox Live. L’objectif du hacker irlandais était de démarrer une campagne de hameçonnage afin de pousser les autres joueurs à divulguer certaines informations personnelles. L’attaque a été prise très au sérieux par Microsoft, car elle s’est déroulée pendant les déboires du PlayStation Network de Sony. La firme américaine craignait de vivre un scénario similaire.

Les tentatives du hacker irlandais n’ont manifestement pas abouti à grand chose. Et lorsque Microsoft a découvert que l’auteur n’était qu’un jeune garçon de 14 ans, l’entreprise s’est montrée magnanime et n’a engagé aucune procédure judiciaire contre lui. À la place, la direction de Microsoft en Irlande lui a proposé de collaborer afin de l’aider “à développer son talent” dans un cadre légal.

La posture de Microsoft est intelligente. Elle lui évite de se lancer dans une aventure judiciaire qui pourrait s’avérer désastreuse en terme d’image puisqu’elle apparaîtrait très vite comme un remake moderne de David contre Goliath. Par ailleurs, la société américaine cherche à faire du jeune hacker un collaborateur technique plutôt que de le laisser courir dans la nature et réitérer ses tentatives de piratage.

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Le certificat de sécurité SSL de fr.twitter.com non certifié

RapidShare et FileServe censurés en Turquie !

Société 2.0 -

Alors qu’un projet de censure de grande ampleur doit être mis en place le 22 août 2011, la justice d’Ankara a demandé le blocage immédiat des deux sites de téléchargement direct. Ils sont accusés de ne pas respecter la loi sur les contenus “obscènes” interdits en Turquie.

Un tribunal d’Ankara a ordonné aux fournisseurs d’accès à Internet le blocage des sites d’hébergement et de téléchargement direct RapidShare et FileServe, apprend-t-on ce lundi par TorrentFreak. Si l’on en croit cette source turque, la décision remontrait en fait au 2 mai 2011. Contrairement à ce que l’on pourrait croire vu de France, la décision n’a rien à voir avec le droit d’auteur.

C’est en effet pour avoir fourni l’accès à des contenus pornographiques et pour avoir violé les droits de la Turquie sur “l’obscenité” que les deux sites sont bloqués. Le pays a des règles très strictes concernant la diffusion de certains contenus, et l’on se souvient pas exemple que YouTube avait été banni pendant 3 ans pour des vidéos sur Atatürk, le fondateur vénéré de la république laïque turque. Des vidéos que Google a remises en ligne pour ne pas céder à la censure.

La censure devrait s’accentuer l’été prochain, comme l’avait expliqué Reporters sans Frontières (RSF) au début du mois :

Reporters sans frontières condamne la tentative du Bureau des Technologies de l’Information (BTK), qui dépend du Premier ministre, d’imposer aux internautes l’usage d’un filtre pour leur accès en ligne.

Selon une décision du 22 février dernier, les utilisateurs d’Internet en Turquie auraient le choix entre quatre options : famille, enfants, domestique et standard. A partir du 22 août, il sera obligatoire d’installer l’une de ces offres sur chaque ordinateur en sa possession. La liste des sites bloqués contenus dans chacun des filtres restera cependant confidentielle.“

Le dimanche 15 mai, une manifestation a réuni à Istanbul des des milliers de Turcs opposés au filtrage obligatoire. “Le gouvernement aura alors la possibilité de savoir quels sont les sites visités par chacun des utilisateurs de l’Internet turc en temps réel… Et aura aussi pour possibilité la censure de tous les articles qui ne plaisent pas au gouvernement islamiste actuellement en place à Ankara“, s’inquiète JSSNews.

Mercredi dernier, un débat a été organisé à l’initiative du Comité de l’Internet du Conseil des technologies informatiques. “Plus de 50 représentants de la société civile et du secteur de l’Internet étaient présents, de même que des responsables de la Tib (Haute Instance des télécommunications). Mais en définitive, chacun est resté sur ses positions“, relate RSF. L’espoir n’est cependant pas perdu, puisque les autorités d’Ankara ont déjà renoncé à un projet récent qui aurait conduit au blocage de tous les noms de domaine utilisant un ou plusieurs des 138 termes interdits.

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Le site des Nations Unies vulnérable

Une faille de sécurité sur le site des Nations Unies (ONU) permet d’extraire toutes les données dans la parti chinoise, via un injection SQL.

http://seclists.org/fulldisclosure/2011/May/532?utm_source=twitterfeed&utm_medium=twitter

(THN)

Tupac et Biggie Smalls en vie ?

La base de données du site Public Broadcasting Service, pbs.org, a été piratée.

Pbs.org situé à Alexandria, en Virginie, est un réseau de télévision public américain disposant de 354 stations à travers les États-Unis.

LulzSec, expert en sécurité informatique, est passé dans le coin pour en barbouiller la page web et dérober la base de données contenant login et mots de passe.

Mais ce n’est pas tout !

Dans le panneau administrateur du site si trouvait un rapport comme quoi le légendaire rappeur américain, Tupac et le rappeur Biggie Smalls, seraient en vie et habiteraient en Nouvelle Zélande !

Pour info, Tupac est mort assassiné le 13 septembre 1996 à Las Vegas, quant à Biggie Smalls, il est mort assassiné 6 mois après, le 9 mars 1997.

1.) PBS SQL database leaked
2.) PBS Frontline logins
3.) PBS all press passwords
4) PBS all stations and passwords
5.) PBS MySQL root passwords
6.) PBS Network map disclosure
7.) PBS staffers/admins

Entre temps un autre pirate, Shadow DXS, est passé sur pbs.org pour gribouiller aussi le site web.

Un expert en sécurité informatique se fait pirater !

Robert X. Cringely, un journaliste et expert en sécurité informatique, a été piraté.

Le service des fraudes de sa banque l’aurait informé que son numéro de carte de crédit aurait été utilisé par un pirate, sur Badoo, un site de rencontres en ligne.

Le pirate se serait ainsi fait passer pour une femme du nom de Katya sur le site de rencontre, pour attirer les hommes et les arnaquer.

L’adresse IP associée est impossible à retracer, le pirate est passé par de nombreux Proxy pour dissimuler son identité.

L’adresse mail inscrit sur le compte Badoo que le pirate a créée serait une adresse Russe, mais rien ne prouve que des pirates Russes soit à l’origine de ce piratage.

L’Egypte condamné pour avoir coupé l’accès à Internet

Société 2.0 -

L’ancien président de l’Egypte Hosni Moubarack a été condamné, avec deux des anciens membres du gouvernement égyptien, à payer une amende de 65 millions d’euros pour avoir coupé l’accès à Internet dans le pays pendant 5 jours. Une première.

Couper l’accès à Internet dans un pays tout entier a un coût. L’ancien président égyptien Hosni Moubarack et deux de ses anciens ministres ont été condamnés samedi par le tribunal du Caire pour avoir “porté préjudice à l’économie” nationale en décidant de briser l’accès au net et aux communications mobiles en Egypte. Ils devront payer une amende de 540 millions de livres égyptiennes, soit 65 millions d’euros environ. Une somme qui n’a pas été décidée au hasard.

C’est le 28 janvier dernier que le gouvernement Moubarack, dans l’espoir vain de mater la rébellion et de conserver le pouvoir, avait décidé de couper Internet dans les principales villes du pays, puis sur l’ensemble du territoire. Le service avait été rétabli cinq jours plus tard sous la pression internationale. Or dès le lendemain, l’Organisation de coopération et de développement économiques (OCDE) calculait que “les services bloqués représentent environ 3 % à 4 % du PIB, soit une perte de 18 millions de dollars (13 millions d’euros) par jour“.

L’ancien président égyptien et ses deux ministres devront donc rembourser de leur poche l’intégralité du préjudice estimé par l’OCDE. C’est l’ancien ministre de l’intérieur Habib el-Adli qui en paiera la plus grande part, puisqu’il est condamné à verser 300 millions de livres, contre 200 millions pour l’ex-président, et 40 millions pour l’ancien premier ministre Ahmad Nazif.

Cette décision est hautement symbolique. A l’occasion du forum eG8. La stratégie égyptienne, bien qu’inefficace, avait été suivie par la Libye, et par le Barhein. Ben Ali aussi, en son temps, avait coupé Internet en Tunisie.

En conclusion du G8, les chefs d’Etats et de gouvernements réunis à Deauville ont adopté une déclaration commune qui dit notamment que “en matière d’accès à l’Internet, la censure ou les restrictions arbitraires ou générales sont incompatibles avec les obligations internationales des États et tout à fait inacceptables“.

“L’Internet s’est imposé comme l’espace public de notre époque, comme un levier de développement économique et comme un instrument de liberté et d’émancipation politiques. Les libertés d’opinion, d’expression, d’information, de réunion et d’association doivent être sauvegardées sur l’Internet comme elles le sont ailleurs (…) De surcroît, elles entravent la croissance économique et le développement social“, déclare le G8. Les puissances mondiales s’engageaient aussi à “encourager l’utilisation de l’Internet comme instrument de promotion des droits de l’homme et de la participation démocratique dans le monde entier“.

Peut-être les prémisses de sanctions internationales en cas de coupure généralisé à l’accès à Internet.

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Liberty-land.net fermé !

Les trois administrateurs du site liberty-land.net,  ont été arrêtés mardi et mis en examen pour contrefaçon en bande organisée.

Une plainte avait été déposée en mai 2010 par la Sacem.

Les trois administrateurs, âgés de 25 à 30 ans, risque cinq ans de prison et 500 000 euros d’amende.

Relais SCTeam: A Barcelone, “les indignés” repoussent la police

Via montpellierjournal

eG8: vidéo du contre-sommet pour dénoncer la mascarade !

Une traduction en français faite par la Quadrature du Net est disponible sur http://www.laquadrature.net/wiki/Eg8_societecivile_fr

Numerama.com

La proposition de loi “Protect IP Act” validée au Sénat américain

Peer-to-Peer -

Le comité judiciaire du Sénat a voté cette semaine à l’unanimité la proposition de loi “Protect IP Act”. Celle-ci est destinée à offrir de nouvelles armes aux autorités et aux ayants droit pour combattre le piratage et la contrefaçon à l’étranger. Plusieurs entreprises américaines comme Google, eBay et Yahoo ont écrit aux élus pour marquer leur opposition à ce texte.

La nouvelle proposition de loi américaine dédiée à la lutte contre le piratage et la contrefaçon a franchi cette semaine une étape importante dans le processus législatif. Le comité judiciaire du Sénat a adopté à l’unanimité le texte, deux semaines après son introduction. Baptisée Protect IP Act, cette nouvelle législation prend la suite d’une précédente proposition de loi, COICA, qui avait également été soutenue à l’unanimité par le comité judiciaire.

“Le comité judiciaire du Sénat a fait un pas important dans la protection en ligne des droits de propriété intellectuelle. L’Internet n’est pas une zone de non-droit où tout est permis” a commenté le sénateur Orrin Hatch, déjà impliqué dans la loi COICA. “Le Protect IP Act cible les acteurs les plus flagrants, et est une première étape importante pour mettre fin au piratage et la vente de produits contrefaits” a abondé Patrick Leahy, le président du comité judiciaire.

Les deux parlementaires considèrent que les autorités et les ayants droit ne bénéficient pas des meilleures armes pour combattre le piratage et la contrefaçon en dehors des Etats-Unis. Ils pensent notamment aux sites hébergés à l’étranger et dont le nom de domaine de premier niveau n’est pas géré par un organisme de gestion situé sur le territoire américain. La saisie des serveurs ou le blocage du nom de domaine est en conséquence plus compliquée.

La législation Protect IP Act doit permettre aux autorités américaines et aux détenteurs de droits d’agir au niveau des intermédiaires, afin d’isoler les sites illicites situés à l’étranger et d’assécher leurs sources de revenus. Des mesures pourront être prises au niveau des moteurs de recherche, des fournisseurs d’accès à Internet, des sociétés de cartes de crédit ou encore des réseaux publicitaires.

Plusieurs grandes entreprises américaines (Google, eBay, Yahoo, American Express, Visa, PayPal et Discover) ont écrit aux élus pour les avertir des conséquences inattendues et indésirables qu’une telle loi peut entraîner. Ces sociétés seront en effet en première ligne lorsqu’il faudra prendre des mesures coercitives contre les sites illicites situés à l’étranger.

L’année dernière, les ayants droit – déjà favorables à COICA – avaient listé les sites web jouant un rôle-clé dans la diffusion d’oeuvres protégées par le droit d’auteur. La MPAA avait ainsi présenté une sélection de sites spécialisés dans les liens BitTorrent (IsoHunt, Demonoid, The Pirate Bay, BT Junkie…) et de services d’hébergement en un clic (RapidShare, MegaUpload, MegaVidéo, UseNext…).

Comme le fait remarquer Torrentfreak, tous les élus américains sont loin d’être favorables au Protect IP Act. Le sénateur Ron Wyden, déjà opposé à la proposition de loi COICA, devrait à nouveau se dresser contre ce texte. Le parlementaire s’était fait connaître en 2010, en manifestant son inquiétude au représentant américain au commerce vis-à-vis de l’accord international anti-contrefaçon (ACTA).

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Relais SCTeam : #SpanichRevolution

 

Via jsalvia

*Relais SCTeam : Catégorie qui a pour but de relayer l’information avant qu’elle soit censuré

Le site tracker BitTorrent, XNT.nu, fermé !

Selon torrentfreak.com, la police suédoise et allemande auraient arrêté les 2 administrateurs du site xnt.nu, un site tracker de fichier BitTorrent.

Le site suédois hébergé en Allemagne à été fermé et le matériel saisie par la police.

17.000 membres était inscrit sur le site qui avait environ 30.000 liens BitTorrent.

A l’époque de sa création, les administrateurs de TVSource et de DVDRSource avaient décidé de mettre en commun leurs ressources et de fusionner pour créer XNT.nu.

La méthode de chiffrement de l’iOS 4 cracké !

Une société russe du nom de Elcomsoft, spécialisée dans la sécurité informatique, déclare avoir cassé la méthode de chiffrement de l’iOS 4, le dernier système d’exploitation mobile d’Apple.

Elcomsoft aurait d’ailleurs mitonné un logiciel permettant d’accéder aux données chiffrées du système d’exploitation en question.

Il ni aurait donc plus aucun secret pour les détenteurs du fameux logiciel.

Selon Tom’s Hardware, le logiciel pour cracker le chiffrement sera vendu à des services de renseignements ou à des agences gouvernementales, comme le FBI et autres Sherlock Holmes.

Liens : Tom’s Hardware, elcomsoft.com & blog.crackpassword.com