Archives

Modifications de la version DSM 5.2-5644 Update 3

(22/01/2016)

Problèmes corrigés

  1. Correction de deux failles de sécurité dans le module FFmpeg (CVE-2016-1897 and CVE-2016-1898).
  2. Correction d’une faille de sécurité dans le noyau Linux (CVE-2016-0728).
  3. Mise à jour d’OpenSSL vers 1.0.1 pour corriger de multiples failles de sécurité (CVE-2015-3194, CVE-2015-3195 and CVE-2015-3196).
  4. Correction de deux failles de sécurité dans le module OpenSSH (CVE-2016-0777 and CVE-2016-0778).
  5. Amélioration de l’algorithme de configuration des redirections de port
  6. Correction de deux failles de sécurité de type XSS.
  7. Correction d’une vulnérabilité relative à GnuTLS (CVE-2015-7575).
  8. Pour améliorer la sécurité, le blocage automatique des connexions indésirables sera activé après cette mise à jour.
  9. Amélioration de la stabilité du réseau lorsque la redirection de ports est configurée.
  10. Mise à jour de PHP vers 5.5.31.

Depuis peu, Gandi propose à ses clients la création de certificats SSL gratuits Let’s Encrypt. L’hébergeur a opté pour une méthode plus complexe que ce qu’a proposé Infomaniak.

Gandi avait annoncé il y a quelques temps qu’il travaillait sur l’intégration des certificats SSL Let’s Encrypt, c’est désormais chose faite pour ses clients.

Pourquoi faire simple quand on peut faire compliqué ?

letsencryptDifférentes méthodes sont proposées mais tout n’est pas aussi simple que ce qui a été mis en place chez Infomaniak. Il faut utiliser un plugin compatible uniquement PHP ou Ruby, pour l’instant. L’hébergement doit être de taille M au minimum pour pouvoir en profiter.
Le code du plugin est disponible sur un dépôt GitHub et est distribué sous licence Apache. Pour l’installation, il faut se rendre à cette adresse. Pour info, Gandi propose un certificat SSL gratuit la première année si vous achetez votre nom de domaine chez eux. Il est intéressant de suivre l’actualité de Let’s Encrypt, peut être pourrons nous en profiter sur les NAS Synology.

Let’s Encrypt, c’est quoi ?

letsencrypt-logo-largeLet’s Encrypt est un service proposé par l’alliance Internet Security Research Group (ISRG), qui regroupe des partenaires comme Mozilla, l’Electronic Frontier Foundation, Akamai, Cisco ou Automattic (l’éditeur de WordPress). Le but de Let’s Encrypt est simple : proposer et distribuer gratuitement des certificats de sécurité à ceux qui en feront la demande. Les certificats émis par cette autorité de certification sont reconnus par presque tous les navigateurs.

La famille des ransomwares vient de s’agrandir… Le petit nouveau s’appelle Ransom32 et il est le premier du genre à être codé en JavaScript. Grâce à cela, aucun système d’exploitation n’est à l’abri : OS X, Windows, probablement DSM via des paquets tiers de source douteuse. 

Un rançongiciel est un logiciel malveillant capable de chiffer intégralement les données de l’utilisateur pour lui demander une rançon en échange de la clé de chiffrement. En payant dans le délai imposé par le développeur, la victime a de fortes chances de retrouver ses données. Dans le cas contraire, les données sont irrécupérables.

Ce type de menace est très efficace car elle repose sur la peur de perdre des données importantes ou représentant une quantité de travail conséquente. Le FBI recommande d’ailleurs de payer : les chiffrements utilisés rendent la récupération de données bien souvent impossible. Le FBI ajoute également que ne pas rendre les données chiffrées est “mauvais pour le business” des développeurs : si les fichiers ne sont pas récupérables après paiement de la rançon, plus personne ne paiera. De son côté, StopRansomware, soutenu par la Gendarmerie Nationale, recommande de ne jamais payer.

Ransom32, pionnier du JavaScript

Les malwares sont en constante évolution, leurs auteurs cherchent à les rendre de plus en plus efficaces. Ransom32 peut en théorie s’exécuter indifféremment sur Windows, OS X ou Linux. Qu’en est-il vraiment ?
Il a la particularité d’être écrit entièrement en JavaScript, langage très présent dans le développement web. La société EMSISoft a découvert Ransom32 dans une archive auto-extractible WinRAR pour Windows. Le framework utilisé est NW.js (Node-Webkit), conçu à la base pour le développement basé sur Node.js et Chromium. Ce framework permet aux applications web de fonctionner avec les mêmes privilèges qu’une application classique et leur permet de sortir de la sandbox du navigateur dans lequel le script est exécuté.

Ransom32

Je m’adapte, tu t’adaptes, il s’adapte !

Théorie du fonctionnement de cette petite bête : Ransom32 commence par infecter une machine lambda en étant envoyé dans une pièce jointe d’un email. Le sujet du mail est la plupart du temps : notification de livraison, messages vocaux en attente, ou tout ce qui pourrait vous inciter à ouvrir l’archive et lancer le script. Comme bien souvent, l’interface chaise-clavier est la principale origine de la contamination. Une fois la pièce jointe ouverte, Ransom32 infecte la machine et chiffre alors les données personnelles en AES 128 bits puis réclame une rançon en Bitcoins. Il est connecté à un serveur C&C via le réseau Tor.

D’après Fabian Wosar, chercheur chez EMSISoft, il n’existe qu’un exécutable pour Windows mais celui-ci précise que la conception de Ransom32 lui permet d’être très facilement adaptable sur une autre plateforme. NW.js étant très répandu, le système hôte ne vous alertera pas. EMSISoft rappelle qu’un antivirus à jour augmente les chances de détection et de blocage. Mais, deux semaines après sa découverte, Ransom32 n’est pas encore dans les bases de données de tous les éditeurs d’antivirus.

Ransom32, “ransomware-as-a-service”

ransom32_generate
Crédits : EMSISoft

Enfin, NextINpact précise que la conception de Ransom32 simplifie la vie de ceux qui souhaitent s’en servir. Il y a un tableau de bord permettant de renseigner facilement quelques informations. Cela veut dire que tout pirate ayant un compte BitCoin et un navigateur Tor peut s’en servir. Selon EMSISoft, il est commercialisé sur des forums spécialisés sur le réseau Tor via une offre simple : les développeurs demandent 25% des gains.

Comment s’en protéger ? La façon la plus simple est de sauvegarder ses données importantes sur un support de stockage externe qui n’est pas branché en permanence à une machine. Les solutions de sauvegarde dans le cloud sont inutiles : en détectant le changement sur vos fichiers, les clients OneDrive, Google Drive ou Dropbox vont envoyer les fichiers chiffrés dans le cloud et écraser les données saines.

Enfin, il est également important de faire attention aux mails que l’on reçoit. L’archive de Ransom32 pèse tout de même 32 Mo et attirera instantanément la méfiance des utilisateurs les plus avertis tandis que d’autres n’y prêteront pas attention. Il n’est pas non plus impossible de le voir arriver sur les NAS XPEnology si des développeurs peu scrupuleux l’intègre dans un paquet de source tierce.