vendredi 17 juin 2011

Lulzsec et Anonymous sont dans un Lulzboat...

Le groupe qui est à la mode en ce moment s'appelle Lulzsec. Ils ont un twitter, un site web, et ils font parler d'eux énormément. Ils ont un logo amusant et sont très fort pour faire du buzz autour de leurs activités.

Ils ont actuellement trois faits d'armes: ils tiennent à se démarquer d'Anonymous, ils piratent des sites et diffusent des listes de mot de passe. Les sites grands publics parlent d'eux (lemonde.fr par exemple), mais je vais plus m'intéresser à lulzsec sous l'angle de la sécurité informatique, je laisse le buzz et les lulz aux sites généralistes.

1/ Les piratages de sites.
Si on consulte la page release de Lulzsec, on constate que leurs piratages ne concernent que des sites webs. L'attaque se fait en deux temps: généralement une faille est découverte, puis une base de données est récupérée, lulzsec cherche la base contenant les couples login/pass ou adresse mail/pass puis les diffuses. Lulzsec essaie et communique beaucoup sur le fait qu'un très grand nombre d'utilisateurs réemploient systématiquement le même mot de passe sur tous leurs comptes. Lorsque des mots de passe de messagerie sont trouvés valides, alors lulzsec dumpe les mails de cet utilisateur, cf: " One of them, used his Infragard password for his personal gmail, and the gmail of the company he owns." etc, etc.. Il y a aussi le fichier de conf apache de Nintendo vraisemblablement dû à une LFI, comme pour bethesda: "From our LFI entry point, we acquired command execution via local file inclusion of enemy fleet Apache vessel. We then found that the HTTPD had SSH auth keys, which let our ship SSH into other servers.".
On arrive donc à la double conclusion double: lulzsec a quand même pas mal de lulzcanno^W talents pour détourner l'usage des serveurs et réaliser des SQL injection et ces sites webs sont tout de même mal tenus.

2/ Les bases de données adresses / pass
J'ai réalisé ma petite étude sur deux bases de données qui ont été dumpées. Celle de 62000 mots de passe et celle de pron.com.
Pour pron.com, on a 18 utilisateurs qui réutilisent leur adresse mail comme mot de passe:
$ awk '$1 == $3 {print $1}' pron.txt | wc -l
18
Et l'inévitable top ten, un peu surprenant pour une fois puisqu'il contient un grand nombre de mot de passe numériques:
     41 123123
     49 123
     52 1234567890
     62 password
     64 1234567
     71 12345678
     74 1234
    110 12345
    211 123456789
    669 123456

La base de données de 62000 mots de passe est un peu différent, toujours autant de 123456 et assimilé, mais avec password, romance, et mistery dans le top ten. Cette base de données est un peu plus surprenante. Attention, ce fichier doit être la concaténation de plusieurs bases, puisque le format est différent au cours du parcours du fichier. Il y a beaucoup d'analyses sur ces mots disponibles sur internet, je conseille ceux que ça intéresse de faire des recherches sur les autres blogs en parlant comme tux-planet par exemple.
Je pense qu'il est inutile aux petits malins de se précipiter pour aller voler du compte mail. La base a été releasé le 16 juin avec annonce sur twitter, ils ont 180000 followers, ce qui fait que même si un trentième de followers a testé une dizaine de comptes, alors ils ont tous été vérifiés..

3/ They did it for teh lulz, et puis?
Comme ils l'annoncent ils l'ont fait pour le lulz.
Pour les sites web, on hésite entre se joindre à lulzsec pour rigoler un bon coup ou être consterné. Leurs attaques sont dues vraisemblablement à de l'injection. Lorsque l'on regarde le top ten de l'OWASP, on trouve en première position l'injection... Comment se fait-il qu'en 2011 une société comme Sony puisse se faire attraper par des injections successives sur un grand nombre de leurs sites vitrines?
Certes Lulzsec est fort, mais le sont ils tant que ça? Mis à part les skills en injection web? (en com', c'est sûr, ils sont fort :) ) Ce que lulzsec a fait chez Sony, c'est à dire annoncer une succession d'attaques, on pourrait le faire ailleurs aussi, il n'y aurait au final pas grande gloire. Qui faut il donc réellement blâmer?
Cela me fait penser au débat "full disclosure ou pas". Lulzsec doit il dumper à tour de bras des bases de données et defacer des sites en faisant du buzz? ou au contraire faire des annonces responsible disclosure qui ne seront finalement jamais prises en compte? La prise de conscience est violente, il y a du dégât collatéral  pour les utilisateurs qui se feront voler leur comptes (je crois peu aux chutes de cours de bourse qui seraient un drame). Vu de l'extérieur, ils sont amusants mais ils doivent faire grincer pas mal de dents :/