Les attaques Web étrangères modifient le paradigme de sécurité

Selon Val Smith, fondateur d'Attack Research, les systèmes de sécurité traditionnels peuvent être inefficaces et devenir obsolètes pour contrer les attaques Web lancées par les pays. Les nouvelles tendances en matière d'attaques incluent le spam de blog et les injections SQL en provenance de Russie et de Chine, a déclaré Smith lors de son discours au Source Boston Security Showcase vendredi.

"Les attaques côté client sont le point de départ du paradigme". «Les systèmes de sécurité monolithiques ne fonctionnent plus.»

Les pirates informatiques utilisent les navigateurs Web comme outils d'exploitation pour diffuser des programmes malveillants et collecter des informations sensibles. Smith a utilisé des exemples de clients de sa société, qui analysent et recherchent des attaques informatiques, pour démontrer la menace posée par le spam de blog et les attaques SQL.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows] "Trafic sites avec des blogs spam et posté des commentaires sur les blogs, at-il dit. Les commentaires semblaient étranges et avaient tendance à avoir des phrases non-anglaises placées dans de grands blocs de texte avec des mots aléatoires reliés par des hyperliens, a-t-il dit. Smith a déclaré:

Une banque chinoise possédait les domaines pour chaque site malveillant, mais les adresses IP (Internet Protocol) étaient attribuées à l'Allemagne. L'étude des liens a révélé que chacun contenait des mots en russe ou en roumain, a déclaré Smith. En mettant un accent international sur leurs activités néfastes, les hackers espéraient confondre quiconque enquêtait sur leur travail, at-il dit.

"Comment allez-vous les retracer aux méchants?" Il a ajouté que le suivi est compliqué par des barrières linguistiques, travaillant avec des organisations de droit étranger et traitant avec des pays "qui ne veulent pas nous parler."

Bien que les objectifs des attaques par spam ne soient pas clairs, servir de motivation. Adware installé après un utilisateur visite un site infecté filets un argent de pirate, tout comme en cliquant sur une publicité sur la page. D'autres hackers cherchent à étendre leurs botnets, ou des réseaux de machines compromises utilisées à des fins malveillantes.

L'enquête de Smith a retracé les attaques sur un compte DSL à domicile en Russie.

L'attaque par injection de SQL dont Smith a parlé est originaire de Chine et a tenté de voler des informations sur les entreprises qui ont visité le site Web de la société, qui était le client de Smith.

Les pirates ont d'abord lancé une injection SQL et téléchargé une porte arrière qui leur a permis de prendre le contrôle du système

Les injections SQL supplémentaires ont échoué, les pirates ont donc cherché dans le système un autre exploit. Ils ont trouvé une application de bibliothèque qui permet de télécharger des images. Les pirates ont téléchargé un fichier GIF avec une ligne de code contenue dans l'image. Le système informatique a lu la balise GIF et a téléchargé la photo et exécuté automatiquement le code.

Hackers "ciblait une application personnalisée, interne, et lançait une attaque spécifique contre cette application", a déclaré Smith. > Les pirates ont finalement placé le code HTML «iFrame» sur chaque page du site Web de l'entreprise. Les iFrames redirigé le navigateur de la victime vers un serveur qui infecte l'ordinateur en utilisant un outil appelé "MPack".

Le résultat est que les victimes sont frappées par de multiples attaques, a déclaré Smith.

Aujourd'hui, les attaques par injection SQL sont la principale menace pour la sécurité Web, Ryan Barnett, directeur de la sécurité des applications chez Breach Security, dans une interview séparée de la conférence.

L'année dernière, les cybercriminels ont commencé à déclencher des attaques massives qui ont compromis plus de 500 000 sites Web, selon le fournisseur de sécurité. "Ils ont débuté en janvier et se sont déroulés essentiellement toute l'année", a déclaré Barnett. Auparavant, la création d'une attaque par injection SQL prenait du temps, mais l'année dernière, les pirates créaient un code de ver qui pouvait automatiquement rechercher et percer des centaines de milliers de sites très rapidement.

Maintenant, au lieu de voler des données à partir des sites Web piratés, les méchants se retournent de plus en plus et plantent des scripts malveillants qui attaquent les visiteurs du site. "Maintenant, le site devient un dépôt de logiciels malveillants", at-il dit.

(Bob McMillan à San Francisco a contribué à ce rapport.)