EureNet.com - Integration de vos projets Sécurité = Informatique & Internet


jeudi 26 février 2015

Comparatifs presse - Kaspersky Vs Av Comparatives

Signe de bonne santé du moteur Kaspersky, AV Comparatives a classe Kaspersky deuxième de son grand test annuel en signalant que Kaspersky ne peut être premier uniquement parce que Kaspersky l'a déjà été l'année dernière et qu'un éditeur ne peut pas être produit de l'année 2 fois de suite.

Vous pouvez télécharger directement le PDF à cette adresse :

mercredi 25 février 2015

Equation Group & Fanny

Découvrez à travers ces liens comment depuis 2001, le group Equation est à l'origine d'attaque persistante (APT) dans plus d'une trentaine de pays.

Ce groupe surpasse tout ce qui est connu en termes de complexité et de sophistication des techniques, et unique dans l'utilisation d'outils très complexes et coûteux à développer. L'infection des victimes, l'accès et l'extraction des données ainsi que les techniques pour masquer leurs activités montrent un professionnalisme remarquable.

Les pays les plus touchés sont l'Iran, la Russie, le Pakistan, l'Afghanistan, l'Inde, la Chine, la Syrie et le Mali. Les cibles sont toujours choisies avec précision: gouvernements, antennes diplomatiques, armées, médias, télécoms, hydrocarbures, nucléaire, etc.



Pour son attaque, Equation Group a notamment utilisé le virus Fanny, un code malveillant qui porte des traces qui indiquent que les développeurs d'Equation et Stuxnet sont soit les mêmes, soit coopèrent étroitement. Fanny est si sophistiqué qu'il est capable d'infecter un disque dur au niveau de son firmware, ce qui le rend pratiquement impossible à éliminer.

Sources :

Equation Group: from Houston with love

A Fanny Equation: "I am your father, Stuxnet"

Equation: The Death Star of Malware Galaxy

Le grand braquage - l'attaque APT Carbanak

Découvrez dans cette article passionnant en français, l'histoire de cette découverte qui a commencé par une banque en Ukraine suivie quelques mois plus tard d'une en Russie. Vous découvrirez aussi le mode opératoire montrant de plus en plus le retour du spam ciblé (spread phishing) dans les méthodes d'infection, comme ici avec l'installation d'une porte dérobée. Le professionnalisme des hackers se reflète également par la patience dont ils ont su faire preuve pendant la phase d'étude de la méthodologie des banques. Par exemple, pour comprendre le fonctionnement d'une banque, les hackers enregistraient des vidéos à l'aide des ordinateurs infectés. Ces vidéos étaient ensuite transmises aux serveurs de commande (C&C). Bien que de qualité médiocre, elles permettaient malgré tout aux attaquants d'analyser les données tapées au clavier des ordinateurs et de comprendre ainsi ce que faisait la victime. Ils obtenaient ainsi les informations dont ils avaient besoin pour s'emparer de l'argent.

Mais le plus impressionnant reste l'extraction de l'argent qui se faisait par des mules (intermédiaires) qui récupéraient l'argent sans même toucher au clavier du distributeur de billets !

Plus de 100 banques auraient été touchées, chacune ayant été ponctionnée de 2,5 à 10 millions de dollars.

Pour le laboratoire Kaspersky, cette campagne cybercriminelle est la plus aboutie techniquement jusqu'à ce jour.

Source :

lundi 23 février 2015

ALERTE - CAMPAGNE DE RAN?ONGICIEL - CTB-LOCKER

Le CERT-FR a identifié qu'une campagne touchait actuellement la France (particuliers, PME, mairies). Dénommée CTB-Locker, elle se répand par courriels. Les messages sont accompagnés d'une pièce jointe, parfois présentée comme un fax, qui en réalité contient le rançongiciel.

Un rançongiciel est un programme malveillant reçu par courriel ou mis à disposition sur un site Internet, qui provoque le chiffrement de tous les fichiers d'un ordinateur (et des fichiers accessibles en écriture sur les dossiers partagés si votre ordinateur est connecté à un réseau informatique). Il existe des moyens de prévenir et de remédier à ce rançongiciel.

Pour prévenir les risques

  • Effectuez des sauvegardes fréquentes - ainsi, en cas de chiffrement du disque dur, une restauration des données sera possible.
  • N'ouvrez pas les courriels dont vous n'êtes pas certain de l'expéditeur ; vérifiez l'adresse d'envoi. Méfiez-vous des courriels imitant les adresses de correspondants que vous connaissez : les attaquants peuvent avoir identifié leurs noms (organigramme d'une entreprise par exemple) pour vous induire en erreur. En cas de doute n'ouvrez pas les pièces jointes.
  • Evitez l'ouverture de pièces jointes de type SCR ou CAB (extensions de compression actuellement utilisées dans la campagne CTB-LOCKER)
  • N'ouvrez pas vos courriels, et ne naviguez pas depuis un compte ayant des autorisations « Administrateur ». Créez un compte « Utilisateur »
  • Utilisez un antivirus et mettez régulièrement à jour sa base de signatures. De même, effectuez toutes les mises à jour logicielles et système.

En cas d'incident

  • Déconnectez immédiatement votre poste de l'Internet (arrêt du WiFi, câble Ethernet débranché).
  • Ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).
  • Effectuez ou faites effectuer une restauration de votre ordinateur : il faut reformater le poste et réinstaller un système sain ; puis restaurer les copies de sauvegarde des fichiers perdus, lorsqu'elles sont disponibles.
  • Portez plainte au commissariat de votre domicile.

.../...

Source :

Kaspersky Security for Mobile SP1 (prochainement)

  • Portail ??self-service' : l'administrateur pourra avec cette fonction, déléguer un certain nombre d'actions directement aux utilisateurs. Ainsi quand un smartphone ou une tablette sera attribué, l'employé pourra lui-même procéder à l'installation. Il pourra également réagir plus vite en cas de perte ou de vol en envoyant les commandes de géolocalisation sur carte, de captures d'écran, d'alarme mais aussi de blocage ou de formatage, depuis l'interface graphique !
  • Plug-in MDM unifié : le MDM via ActiveSync et Apple se gère depuis une interface unique. En effet les fonctionnalités de l'utilitaire Apple ??iPhone Configuration Utility' ont été entièrement intégrées dans la nouvelle stratégie MDM Kaspersky. A noter également la configuration par groupe d'utilisateur AD possible maintenant.
  • Certificats : cette fonctionnalité a pour but de simplifier l'envoi de certificats dans le cas d'une gestion par PKI, permettant l'authentification des utilisateurs à leur système de messagerie, leur smartphones ou tablettes au VPN de l'entreprise.
  • Android : la nouvelle version de Kaspersky Security for Mobile SP1 supportera les commandes envoyées via GCM (Google Cloud Messaging) afin d'accélérer les synchronisations avec Security Center, très utile notamment lors de la perte ou du vol d'un matériel. Cette synchro GCM sera accessible directement via le menu contextuel sans aller dans la stratégie. Cette nouvelle version sera également compatible avec Android 5.0.x Lollipop.
  • RBAC (Role-Based Access Control (RBAC) ou contrôle d'accès à base de rôles) : il peut être appliqué à la mobilité c'est-à-dire qu'un administrateur peut avoir des droits spécifiques pour gérer uniquement la partie MDM.
  • Support Kerberos : permet aux grands comptes d'utiliser ce type d'authentification pour les périphériques mobiles.
  • Web Console : la console de supervision web étend ses fonctionnalités en s'étendant au MDM. Ainsi les stratégies de configuration MDM et de la protection des mobile Kaspersky Security for Mobile pourront être crées et gérées depuis la console. Les données sur les utilisateurs d'appareil mobile seront aussi disponibles.
  • Ajout du support iOS8
  • Suppression de la compatibilité des anciens OS (Windows Mobile, Symbian & Blackberry).

maj 31/03/15 - Kes10.2.2.10535 & Ksc10.2.434

  • [http://www.eurenet.com/blog/index.php/201

jeudi 19 février 2015

Kaspersky Security Center SP1 (prochainement)

Licence par souscription : licence spécialement adaptée aux partenaires faisant de l'infogérance avec les solutions Kaspersky Lab. Modalités restant à finaliser.

  • Intégration avec les solutions SIEM (security information and event management) : fonction permettant de gérer et corréler les logs Kaspersky dans les solutions IBM Q-Radar et HP ArcSight (les 2 leaders du marché).
  • RBAC (Role-Based Access Control (RBAC) ou contrôle d'accès à base de rôles) : possibilité d'assigner des rôles spécifiques à des administrateurs distincts. Cette fonction rajoute donc des droits et privilèges spécifiques dans la console d'administration, par exemple, un IT n'aura le droit de gérer que la partie ??gestion des vulnérabilités'.
  • Prise en main à distance : amélioration pour rendre la fonction plus transparente et sécurisée pour l'utilisateur. Audit possible de la session de prise en main.
  • Inventaire matériel : amélioration avec notamment l'ajout d'un champ spécifiant le propriétaire du matériel. Informations complémentaires sur le BIOS, le CPU (nombre de coeurs) et un champ libre.
  • Déploiement d'OS : nombreuses améliorations comme la possibilité de lancer un script ou d'installer un logiciel complémentaire après le système d'exploitation. Possibilité également de créer une clé USB de boot avec Windows PE ou encore d'importer une image d'OS au format WIM de Microsoft. Le tout avec le support UEFI.
  • Gestion des vulnérabilités et correctifs : amélioration de la fonctionnalité Wake-on-lan, très utile dans le cadre du patch management, avec l'envoi du signal via les agents de mise à jour en mode passerelle de connexion. Très attendu, le trafic lié à cette fonctionnalité peut être pris en charge par une machine spécifique sur un site distant !
  • Serveurs virtuels : plus de limitation commerciale à 10.

maj 31/03/15 - Kes10.2.2.10535 & Ksc10.2.434

mercredi 18 février 2015

Kaspersky Endpoint Security for Windows SP1 (prochainement)

Kaspersky Security Network : la version SP1 de KSN offre la possibilité d'accéder aux avantages de ce service mais sur le réseau privé de l'entreprise (sous conditions, offre orientée grands comptes)

  • Contrôle d'applications : possibilité d'appliquer le mode ??deny all' (tout est interdit sauf...) en mode audit pour valider la configuration sans impacter le fonctionnement du poste. L'administrateur peut aussi créer des catégories d'applications basées sur la signature numérique du logiciel, ce qui signifie que cela peut empêcher l'utilisateur de lancer une application qui aurait été modifiée par un malware.
  • Contrôle des périphériques : l'administrateur peut maintenant créer des règles basées sur des masques simplifiant ainsi la gestion en mettant en liste blanche de multiples périphériques en une seule règle et cela sans même à avoir à connecter le matériel en question.
  • Chiffrement FDE (full disk encryption) : interface de lancement redessinée.
  • Nouveaux claviers supportés (Arabe, Espagnol, Italien, Autrichien,Portugais, Turc... ).
  • Support des smartcards et tokens. Compatibilité avec les bios UEFI (que l'on trouve aujourd'hui sur la quasi-totalité des machines équipées de Windows 8 par défaut).
  • Paquet KES10 SP1 : la taille du paquet a été réduite de 30% et le module de chiffrement AES256 est maintenant inclus dedans, évitant ainsi les manipulations des versions précédentes.
  • Mécanisme de mises à jour : les autopatches incluant l'ajout de nouvelles fonctionnalités seront publiés une fois par trimestre. Ils pourront être gérés (approbation, déploiement) via le module de patch management comme c'est déjà le cas avec les éditeurs tiers

maj 31/03/15 - Kes10.2.2.10535 & Ksc10.2.434

  • [http://www.eurenet.com/blog/index.php/201

mardi 17 février 2015

Etes-vous à jour de votre version Kaspersky (février 2015) ?

Avez vous installés la dernière version de Kaspersky sur votre ordinateur ?

Pour mémoire si votre licence est valide, vous pouvez mettre à jour gracieusement votre logiciel.


---- Grand Public / Tpe / Soho ( 1 à 5 postes ) ----

Kis & Kav 2015 numéro de la dernière version : 15.0.2.361 (MR2 - KB11185)

Kis & Kav 2014 numéro de la dernière version : 14.0.0.4651 > Sans maintenance

  • téléchargement : Kav 2014 Vs Kis 2014
  • Supported until: 2016 Jan 08 
  • Database updates supported until: 2017 Jan 08

Kis & Kav 2013 numéro de la dernière version : 13.0.1.4190

  • téléchargement Kav 2013 Vs Kis 2013> Version non supportée
  • Database updates supported until: 2016 Feb 27

Pure 3 numéro de la dernière version : 13.0.2.558 > Sans maintenance

  • téléchargement Pure3
  • Supported until: 2016 Apr 13 
  • Database updates supported until: 2017 Apr 13

KTS - MD numéro de la dernière version : 15.0.1.415


---- Tpe / Pme ( 5 à 25 postes ) ----

KSOS3 numéro de la dernière version : 13.0.4.233


---- Entreprise ( à partir de 5 postes ) ----

Kes 10 Windows numéro de la dernière version : 10.2.1.23

Kes 8 Windows numéro de la dernière version : 8.1.0.1042

  • téléchargement Kes8fs Vs Kes8Wks
  • Supported until: 2016 Mar 31 
  • Database updates supported until: 2016 Sep 30

Windows Workstation & File Server 6MP4 numéro de la dernière version : 6.0.4.1611 > Limited support

  • téléchargement Wks6MP4 Vs Wfs6MP4
  • Supported until: 2015 Dec 31 
  • Database updates supported until: 2015 Dec 31

Attention :

  • Windows Workstation & File Server 6MP4 ( 6.0.4.1424 ) Supportée jusqu’au: 31.10.2014

----

Ksc10 numéro de la dernière version : 10.1.249

Ksc9 numéro de la dernière version : 9.3.75 ( supportée jusqu’au 31/01/2015 )

  • téléchargement Ksc9
  • Supported until: 2015 Jan 31 
  • Database updates supported until: 2016 Jan 31

Ak8 numéro de la dernière version : 8.0.2177 ( supportée jusqu’au 12/10/2013 )

  • téléchargement Kak8

Cycle de vie du support des produits Kaspersky

lundi 16 février 2015

Meilleur outil de nettoyage : Kaspersky Virus Removal Tool

Lors du test en continu d'AV-TEST d'une durée de 10 mois, le Kaspersky Virus Removal Tool s'est avéré être le meilleur outil de nettoyage pour les systèmes Windows après une attaque d'un programme malveillant. AV-TEST honore cette performance avec l'AWARD BEST REPAIR 2014.

Vous pouvez consulter tout le test ici.

Vous pouvez télécharger gratuitement le Kaspersky Virus Removal Tool :

jeudi 5 février 2015

Cryptovirus / Ransomwares / CTB Locker / Trojan-Ransom. Win32.Onion

Une nouvelle variante du ransomware Onion a fait son apparition vous le connaîtrez peut-être sous le nom de CTB-Locker ou Citroni. Il s'agit d'un ransomware polymorphique avec un mécanisme anti-émulation. La désignation Kaspersky est Trojan-Ransom.Win32.Onion. Une de ses particularités est que les serveurs de commande et de contrôle (C&C) sont cachés dansle réseau Tor compliquant la recherche des cybercriminels. Il se caractérise également par l'utilisation d'un schéma cryptographique orthodoxe (compression + l'algorithme Diffie-Hellman) rendant le déchiffrement impossible.

Afin de ne pas être détecté, CTB évite également les machines virtuelles que les chercheurs utilisent afin d'analyser en toute sécurité les malwares et de ne pas les exécuter dans ces environnements.

Une fois infecté, il est impossible de récupérer des fichiers chiffrés par CTB-Locker. Vous pourriez payer la rançon mais outre le fait que la cybercriminalité devient un business de plus en plus professionnel et orienté vers ses clients, il n'y a aucune garantie que vous recevrez la clé pour déchiffrer vos fichiers.

  • La meilleure ligne de défense contre les #ransomwares c'est d'avoir réalisé une sauvegarde de votre machine la veille.

La propagation se faisant par campagne de spams, rappelons quelques précautions d'usage :

  • Renforcer les filtres en amont - filtrage des flux SMTP/POP3/IMAP/MAPI avec moteurs antivirus, antispam, antiphishing?
  • Changer sa politique de pièces jointes - être très restrictif en terme de format accepté
  • Revoir/vérifier sa gestion des droits (GPO, Share?)
  • Utiliser les dernières versions de KES (ne plus utiliser par exemple KAV6MP4 !)
  • Activer System Watcher (impératif)
  • Activer Kaspersky Security Network
  • Activer ??Antivirus Courrier' avec gestion des PJ locales (supprimer toutes les extensions non nécessaires)
  • Eduquer les utilisateurs !!! Ne pas ouvrir les fichiers ZIP (ou autres) provenant d'un utilisateur inconnu
  • Sauvegarder - sauvegarder - sauvegarder !

Description - Les Ransomwares

Les Ransomwares sont une variété de malwares qui, une fois qu'ils ont infecté un ordinateur, affirment en avoir chiffré les données avant de bloquer l'ordinateur de la victime. Le malware informe ensuite l'utilisateur infecté qu'il ou elle doit payer une rançon afin de déverrouiller ses fichiers.

Certains programmes de chiffrement utilisent la technologie de cryptographie à clé publique, une méthode fiable pour la protection de la communication de données sensibles.

Cependant, elle est également utilisée par les cybercriminels dans des programmes malveillants (Ransomwares) qui cryptent les données des utilisateurs de telle manière qu'elles ne peuvent être déchiffrées sans une clé spéciale «privé». (AES / RSA jusqu'à 2048 bits)

Les cybercriminels exigent habituellement de l'argent, une « rançon » en échange de cette clé, généralement sous la forme de Bitcoins. Malheureusement, il est pratiquement impossible de déchiffrer les données sans la clé privée.

Les méthodes de chiffrement particulières utilisées par les cybercriminels peuvent parfois être trouvées lors de l'analyse du code du malware. Dans ces cas, les ingénieurs de Kaspersky Lab sont capables de créer un utilitaire spécial permettant de déchiffrer les données (http://support.kaspersky.com/viruses/disinfection).

Toutefois, certains programmes malveillants ne donnent pas cette information précieuse. En outre, certains logiciels malveillants de chiffrement sont conçus de manière à s'assurer que les données ne peuvent jamais être déchiffrées, quelle que soit la clé utilisée.

Il convient de noter, cependant, que le chiffrement par ce logiciel malveillant va fonctionner seulement après avoir été installé sur un ordinateur. Les produits de Kaspersky Lab empêchent la majorité absolue de ces infections lorsqu'ils sont bien à jour et correctement configurés.


Vecteurs d'infection - Protection

Les vecteurs d'infections possibles sont :

  • Mails (Phishing)
  • Supports amovibles
  • Sites Web
  • Sessions Terminal

L'infection peut se produire lorsque :

  • La solution de sécurité de l'ordinateur n'est pas à jour.
  • L'installation est autorisée en dépit des avertissements des solutions de sécurités qu'un programme spécifique peut être malveillant.
  • L'utilisateur a défini l'analyse heuristique des fichiers au réglage minimum.
  • La configuration de l'antivirus n'est pas protégée par un mot de passe.
  • Les technologies proactives ne sont pas utilisées. ( KSN, Défense Proactive / System Watcher )
  • La configuration du module de contrôle de l'activité des applications n'est pas au point

NB : La protection Kaspersky Antivirus 6 MP4 n'est pas suffisante pour parer efficacement à ce type de malwares.


VirusLab Kaspersky

En cas de doutes sur un fichier, il convient de le remonter au VirusLab ( le(s) fichier(s) doit être dans une archive en le protégeant à l'aide du mot de passe virus ) :


Ressources

Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
EUR'NET R.C.S. CLERMONT FERRAND 414 642 058 / NAF 6203 Z - Mentions Légales
Tél : 0899 49 48 49 (3 € / appel + prix appel)

*