1 Périphériques infectés en usine
Cette semaine, il a été relaté dans la presse spécialisée qu'un lot de téléphones mobiles avait été vendu en Allemagne avec un virus sur la carte MicroSD. Lorsque que l'on branche ce type de téléphone sur un ordinateur celui-ci est vu, entre autre, comme un périphérique de stockage amovible. Donc si un fichier Autorun.inf se trouve à la racine (comme c'est le cas dans cet exemple), et que le mécanisme d'Autorun n'a pas été désactivé, la machine se trouve infectée.
On retrouve des cas similaires d'infections en usine dans de nombreux exemples récents. Tout périphérique pouvant être vu comme un périphérique de stockage peut donc être un vecteur d'infection, et cela ne s'arrête pas aux clés USB. On peut y retrouver par exemple :
- les cartes mémoires (SD, MMC, ...) ;
- les disques externes ;
- les lecteurs MP3 ;
- les téléphones ;
- les appareils photos et caméscopes ;
- ...
Le CERTA recommande donc, au minimum, de vérifier la racine de ces périphériques et si possible de les formater avant toute utilisation.
La désactivation de l'Autorun sur les machines est évidement un pré-requis avant toute connexion de ce type de périphériques.
2 iscanner - vérifieur de fichiers Web
2.1 Présentation
Dans le bulletin d'actualité CERTA-2010-ACT-014 du 09 avril 2010, l'outil SKIPFISH, un scanner de vulnérabilités Web avait été présenté. Il utilisait une base de vulnérabilités exploitables en ligne pour tester la sécurité d'un site. L'outil, que nous présentons dans le présent article, utilise aussi une base de connaissances, mais cette fois-ci, de compromissions connues. Il ne recherche donc pas les vulnérabilités mais les incidents. Il s'utilise directement sur les fichiers, et peut donc être lancé sur une copie ou un site hors ligne. Il signale, par exemple, la présence de scripts dans les pages qui utilisent des sources externes ou des iframe invisibles. La partie détection s'apparente en fait à la commande Unix : grep utilisée avec une base de connaissances. Il permet aussi de nettoyer automatiquement les fichiers compromis. La faible incidence de cet outil sur le système permet de le programmer comme tâche planifiée et de surveiller ainsi l'évolution du système.
2.2 Recommandations
Encore une fois, plusieurs précautions sont à prendre lors de l'utilisation d'outils de sécurité. Tout d'abord le CERTA recommande de ne pas utiliser de l'option de nettoyage des fichiers. Si un incident est détecté, il faut commencer par en trouver l'origine et corriger les vulnérabilités associées. Ensuite, tous ces outils ne se suffisent pas à eux-mêmes. Sans une personne ayant l'expérience suffisante pour lire et interpréter les résultats, ils ne servent à rien, si ce n'est apporter un faux sentiment de confiance. Et enfin, il faut connaître les limites de ses outils. Dans le cas présent, l'outil cherche des compromissions dans des fichiers considérés par défaut comme légitimes. Un fichier local malveillant, mais ne portant pas de traces de compromission ne sera pas détecté. Exécuté sur le shellscript bien connu C99, il ne trouve aucun fichier infecté comme le montre la sortie ci-dessous :
[*] Scanning "/tmp/www/demo.local/pirate/c99.php". (db:0.1.6 - 26/Apr/2010) [*] Scan finished in (1) seconds, [0] infected files found.
2.3 Documentation
- Bulletin d'actualité du CERTA du 09 avril 2010, CERTA-2010-ACT-014 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-014/
- site du logiciel iscanner :
http://iscanner.isecur1ty.org
