mercredi 26 janvier 2011
Le danger des ATTAQUES dites ZERO DAY
Par Marc Blanchard [Virus Docteur], mercredi 26 janvier 2011 à 14:58 :: Qu'est-ce que ...
Pourquoi doit-on redouter des failles de ZeroDay.
Après avoir analysé les dernières générations des Storm Worm, voici les questions principales sur lesquelles j’ai porté mes investigations.
Petit Rappel : Un storm worm : est un ver comportant un ensemble illimité de technologies pouvant être appliquées en ligne en temps réel, mises en suspend, s’autodétruire ou s’auto-adapter ou bien encore s’implémenter dans un système selon des conditions précises, est instable (volontairement par contrôle automatique ou de son propriétaire), se met à jour de façon autonome, court-circuite les antivirus en usurpant une application légitime ou signée numériquement, peut infecter les zones informatables des disques dur (MBR, secteurs défectueux, etc), s’implémenter dans certains BIOS de machines, patchent les firewalls logiciels ou mêmes infectant les BOX ADSL et les routeurs… et il y en a bien d’autres !
Le StormWorm est un réel fléau…. Mais personne n’en parle… en Europe. Les USA ont bien compris l’ampleur des storms worms.
C’est grâce à ces technologies que les pays comme la Géorgie, le Kirghizistan, la Birmanie ont été rayées de la carte internet pendant plusieurs jours, que des coupures d’électricités et de distribution d’eau (USA) ont été volontaires….de par des réseaux de BotNets utilisant les technologies des Storm Worms que dernièrement une centrale nucléaire a été impactée par le ver StuxNet. On ne parle plus du petit malware développé par des pirates de 15 ans, ou de scriptkiddies, on parle de terrorismes avec des dommages collatéraux dans le monde réel. Epidémiologiste depuis plus de 25 ans et travaillant sur ces technologies depuis plus de 10 ans, ce sujet, que je pensais qu’il allait s’étouffer par de nouvelles technologies, est encore plus d’actualité d’aujourd’hui que je ne le présageais.
Comment les storms worms (vers de catégorie 5) peuvent-ils avoir d’aussi longues durées de vies ?
Comment parviennent-ils à ne pas être détectés par l’antivirus, outre le fait des utilisations « standard » des rootkits ?
Comment parviennent-ils à se diffuser sans qu’aucun firewall ou système OS ne puissent les bloquer, malgré des systèmes à jour ?
Les réponses se dirigent sur une seule voie qui incontestablement rend aux storms worms un espace sans fin de propagation.
1. Les failles dites ZeroDay :
Les storms worms exploitent des failles dites ZeroDay. Il y a encore quelques mois, ces failles étaient publiées sur des sites de sécurité et transmises aux éditeurs de logiciels/OS concernés afin que des corrections arrivent sous forme de mises à jour le plus rapidement possible. Aujourd’hui, les constats établissent que les failles ZeroDay potentiellement exploitables par des script kiddies sont publiées d’une part et corrigées rapidement d’autres parts. Mais il est à noter que certaines des failles (ou exploits) bien plus furtifs et techniquement plus difficiles à exploiter, sauf pour un développeur chevronné et motivé (financièrement) … ayant du temps pour les trouver, sont secrètement bien gardées par les créateurs de storm worms afin d’allonger au maximum les durées de vie de leurs codes (appelés VLLC : Very Long Life Cycle)
2. Vivre avec !
Il arrive régulièrement aux internautes de se faire contaminer par de faux antivirus, de faux codec ou de fausses bannières publicitaires ou par de simples visites de serveurs internet légitimes mais infectés.
Je rappelle qu’un simple accès à un site légitime infecté suffit pour l’internaute de se faire infecté.
Pour les internautes, une mise à jour de leurs antivirus, un petit nettoyage avec des outils ou batch que l’on retrouve sur les sites d’aides aux personnes infectées, doivent largement suffire à ne plus être ennuyé par ces popups ralentissant fortement la productivité de son ordinateur.
C’est ici que commence le problème !!!
En effet, les storms worms se servent de ces infections dites « actives » pour pénétrer les systèmes vulnérables ou pas … ceux des internautes qu’ils soient chez eux ou au bureau.
Lors des nettoyages de premiers niveaux, le storm worm va lutter contre, contourner ceux-ci pour s’implanter plus en profondeur dans le système sur lequel il a été propulsé de façon à ne plus être détectable.
Le storm worm utilise les navigateurs en mode transparent pour contacter ses serveurs (simulation d’une navigation « standard » d’un internaute en utilisant tous les composants logiciels utilisés par l’utilisateur de la machine infectée, y compris les clefs usb, appareils photos/caméras, etc…
3. La rébellion !
Un storm worm se rebelle lors des tentatives de nettoyage en profondeur allant même jusqu’à son autodestruction en générant des écrans bleus lors des actions. Un storm worm capitalise sur les principes mêmes des habitudes de l’utilisateur de la machine. Il utilise des techniques d’intelligence artificielle lui permettant ainsi de devenir un des codes les plus redoutables.
4. Codé pour le terrorisme.
En effet, ces codes sont codés pour nuire, non pas l’internaute, mais les infrastructures du net pouvant produire des dommages collatéraux très important dans le monde réel.
5. Irréel ?
Non ! 3 avions de SPANAIR se sont crachés provoquant 157 morts… L’affaire a été très vite étouffée.
6. Question ouverte :
Doit-on maintenant nous dire « Ce n’est pas grâve si je suis infecté par un virus, je n’ai rien d’important sur ma machine » ou prendre conscience que notre ordinateur peut provoquer des dommages que l’on ne suspecte pas et y faire un peu plus attention ?