jeudi 28 février 2013

Des cookies bien chauds (et bien nombreux)

J'ai remarqué depuis quelques temps plusieurs sites webs (US généralement) qui demandent lors de la première connexion à choisir la politique de confidentialité des cookies.

Partisan du respect de la vie privée, je choisis toujours les paramètres au minimum. Il m'arrive de surfer en ayant une fenêtre d'affichage de requêtes WEB afin de pouvoir surveiller ce que fait mon navigateur. Dans le cas présent, j'utilisais avec un navigateur nu sans adblock, sans extensions d'aucune sorte, c'était un epiphany tout neuf d'une debian fraîchement installée.
Et en choisissant les paramétrages au plus bas d'un site web (le nom n'a pas d'intérêt pour la démonstration), ça a été le feu d'artifice:
(on constate que je choisis bien uniquement les cookies obligatoires)

Et analyse des logs après avoir cliqué sur le bouton "soumettre les préférences":

  • 546 requêtes HTTP (!!)
  • 121 domaines différents visités, indiqués sous forme d'image (cliquez pour zoomer):


on retrouve quelques sites comme google api, mais aussi facebook (il est partout) twitter, et une palanquée de sites de tracking. Il est sans doute temps de passer à firefox 22 (blocage par défaut des cookies tiers).

vendredi 15 février 2013

APT: High-tech ou Low-tech?


[Update du 20/02/2013] : Pour les personnes intéressées par les APT, Mandiant vient de fournir un document très intéressant et très complet sur un groupe appelé APT1 et ses méthodes.
--

J'ai lu récemment deux billets qui prennent un écho intéressant ensemble.

D'un côté, celui de Cedric Pernet qui explique de manière claire et didactique ce qu'est un APT, en démarrant sur la définition de la cible, puis des méthodologies d'attaques (Water hole, Spear Phishing, compromission directe, attaque physique), l'attaque en elle-même et l'intrusion profonde, la persistance et enfin l’exfiltration de données. Il termine en indiquant que ce qui le chiffonne, c'est l'aspect peu avancé de ces attaques. En effet, on retrouve dans ces attaques du code bas niveaux, des outils basiques, des RAT génériques et des exploits poussiéreux. Rien de tout ceci ne permet d'expliquer le A de APT (advanced).
Seul l'organisation nécessaire à ces campagnes semble indiquer un niveau élevé de compétences dans les groupes derrière ces APT.


Je souhaite revenir sur l'aspect faussement avancé des ces attaques en citant d'un autre côté l'article de technology review . Le développement de ces malware doit obligatoirement prendre en compte leur détection, tôt ou tard, ce qui signifie que les méthodes et techniques employées par les attaquants seront connues. Comme indiqué dans l'article "The parallel is dropping the atomic bomb but also leaflets with the design of it". Iriez-vous lâcher dans la nature les exploits les plus offensifs, alors qu'un RAT modifié et des exploits pas frais font grandement l'affaire[1] ?

A la réflexion, je trouve ces APT plutôt évolués bien que les techniques utilisées puissent de premier abord apparaître comme faibles.

[1] Pour infecter une centrale avec une clé USB, alors il est nécessaire de la "charger" car le malware devra vivre seul, mais pourquoi mettre du 0-day en pagaille alors qu'un bon vieux spear phishing va permettre d'installer un RAT donnant un point d'entrée sur le réseau.