211service.com
Cartographier le Web malveillant
Au cours des deux dernières années, les cybercriminels se sont de plus en plus concentrés sur la recherche de moyens d'injecter du code malveillant dans des sites Web légitimes. En général, ils l'ont fait en incorporant du code dans une partie modifiable d'une page et en utilisant ce code pour diffuser du contenu nuisible provenant d'une autre partie du Web. Mais cette activité peut être difficile à repérer, car les sites Web attirent également de plus en plus de contenus légitimes, tels que des publicités, des vidéos ou des extraits de code, provenant de sites externes.

Toile méchante : FireShark détecte les serveurs potentiellement malveillants en déterminant ceux qui diffusent du contenu sur plusieurs sites Web.
Aujourd'hui chercheur à Websens , une entreprise de sécurité basée à San Diego, a développé un moyen de surveiller automatiquement ces activités malveillantes.
S'exprimant à la Conférence sur la sécurité RSA à San Francisco la semaine dernière, Stephan Chenette, chercheur principal en sécurité chez Websense, a détaillé un système expérimental qui explore le Web, identifiant la source du contenu intégré dans les pages Web et déterminant si un code sur un site agit de manière malveillante.
Le logiciel de Chenette, appelé FireShark, crée une carte de sites Web interconnectés et met en évidence le contenu potentiellement malveillant. Chaque jour, le logiciel cartographie les connexions entre près d'un million de sites Web et les serveurs qui fournissent du contenu à ces sites.
Lorsque vous représentez plusieurs sites, vous pouvez voir leurs communautés de contenu, explique Chenette. Alors que certains des hubs de contenu qui connectent différentes communautés peuvent être légitimes, comme les serveurs qui diffusent des publicités sur de nombreux sites différents, d'autres sources de contenu peuvent indiquer qu'un attaquant diffuse du code malveillant, dit-il. Selon une étude publiée par Websense, l'utilisation par les attaquants en ligne de sites légitimes pour diffuser des logiciels malveillants a augmenté de 225% au cours de la dernière année.
Cependant, même les hubs légitimes peuvent constituer une menace. En septembre, par exemple, le New York Times a reconnu que des cybercriminels, se faisant passer pour des annonceurs légitimes, avaient placé du contenu sur son site via un réseau publicitaire.
Attaquer un réseau de ce type peut être bien plus lucratif que d'attaquer un seul site. Supposons que la sécurité du site soit de premier ordre. Comment un attaquant malveillant peut-il atteindre l'utilisateur ? dit Chenette. Un réseau publicitaire serait un bon choix.

Télécommande: FireShark a découvert que certains contenus du site howtofindmyIP.com provenaient de sites douteux hébergés en Ukraine.
Les chercheurs de Websense prévoient de publier un plug-in pour le navigateur Firefox qui révélera les hubs de contenu auxquels un site est lié.
Ce qui est intéressant dans tout cela, c'est lorsque les attaquants utilisent, disons, DoubleClick comme vecteur d'attaque, explique Tom Pinckney, cofondateur de la société de sécurité Web SiteAdvisor, qui a été rachetée par McAfee en 2006, et maintenant vice-président de l'ingénierie pour le site de recommandation Hunch. Pour de nombreuses attaques, quelqu'un achète le contenu sur le réseau publicitaire, mais le gars qui fournit réellement le contenu sur la page – Dieu sait qui c'est.
SiteAdvisor propose un plug-in qui fournit un service similaire à celui proposé par FireShark. McAfee a utilisé un centre de données rempli de PC virtuels pour rechercher sur le Web des sites malveillants, évaluer les liens et soumettre des adresses e-mail uniques qui sont ensuite surveillées pour détecter le spam.
FireShark va plus loin que SiteAdvisor en décodant le code HTML, Javascript et d'autres codes intégrés dans chaque page Web qu'il analyse, à la recherche de la source ultime de contenu, même s'il est redirigé plusieurs fois. FireShark donne une vue plus approfondie de ce qui se passe, dit Chenette.
Maxim Weinstein, directeur exécutif de StopBadware , une organisation à but non lucratif qui aide à créer des listes de sites Web malveillants, affirme que FireShark pourrait être un outil intéressant pour les chercheurs. La mise en garde, dit-il, est qu'un comportement anormal n'est pas toujours malveillant. Les schémas qui semblent mauvais sont souvent de bonnes choses, simplement anormaux, dit-il.
Le suivi de la manière dont les sites sont connectés au fil du temps pourrait également aider à identifier les modifications malveillantes apportées aux sites, explique Chenette. Il ajoute que le plug-in du navigateur FireShark peut éventuellement permettre aux utilisateurs de fournir des informations sur les sites qu'ils visitent à Websense.