avril 14th, 2010

La palme de l’originalité de ce Hackito Ergo Sum première édition pourrait bien revenir à Raoul Chiesa de @ mediaservice.net, non seulement en raison de l’aspect totalement décalé de son discours, mais également parce qu’il met le doigt sur l’une des failles de sécurité les plus énormes de notre époque… une faille Scada connue de beaucoup mais gardée sous silence, celle des réseaux fossiles que sont les infrastructures X25. X25, en France notamment, c’est le royaume de Transpac, l’empire du réseau Minitel… c’est également le système de communication le plus prisé par les banques, les grandes administrations, les grandes entreprises, les gestionnaires d’infrastructures routières ou aériennes. C’est surtout un protocole antérieur à l’époque TCP/IP, qui date d’un temps où les pirates étaient moins nombreux qu’aujourd’hui et où les visiteurs indiscrets se comptaient sur les doigts de la main. Peu étonnant alors de comprendre pourquoi certaines notions sont absentes de ce monde là. Comment conjugue-t-on Firewall en langage « packet » ? Comment décline-t-on le mot « authentification » ? « il n’y a rien de tout cela dans le monde X25 » nous apprend R. Chiesa. « En simplifiant à l’extrême, le plus gros du travail qu’aurait à fournir un blackhat serait de découvrir l’adresse X25 (ce qui relève plus d’un travail de recherche Google et d’ingénierie sociale que d’une technique de scanning) et éventuellement de lancer une attaque en brute force pour récupérer le login/password d’accès. Lorsque celui-ci ne se trouve pas en clair quelque part ailleurs ». Quel est l’intérêt de fouiller ces vieux protocoles ? « Mais tout simplement parce qu’à tous les coups l’on gagne, s’exclame le chercheur transalpin. Derrière un node X25, on ne peut trouver qu’une banque, une grande administration, des fichiers nominatifs, des bases de données de grandes entreprises… il n’y a pas de « coup dans l’eau ». Risque d’autant plus réel qu’il n’est pas nécessaire de posséder un accès X25 « plein » pour se promener sur ces réseaux. Via un canal D Numéris, par le truchement d’une liaison IP aboutissant à un node « IP sur X25 », en utilisant un équipement Cisco (IOS supporte X3)… Rappelons qu’antique ou moderne, pénétrer sans autorisation sur un réseau ou un système de traitement de données tombe sous le coup de la LCEN… même si la « victime » est coupable d’entretenir des infrastructures fragiles et quasiment impossible à protéger sérieusement.

Trois jours durant, du 8 au 10 avril dernier, le cycle de conférences Hackito Ergo Sum (HES) a tenu en haleine une centaine de passionnés du pentesting, de l’analyse de failles, du « development lifecycle », du balayage réseau ou de la sécurité des systèmes Scada. Une manifestation organisée par les membres du tmp/lag, sous la houlette de Philippe Langlois (P1 Security, co-fondateur de Qualys). HES est donc, après l’inévitable grand-messe Rennaise que sont les Sstic et le rendez-vous de Besançon FRHack, la troisième grande manifestation sécurité « pointue » Française, et surtout l’unique événement parisien du genre.

Qu’est-ce qui fait marcher la B-Box de l’opérateur historique Belge ? Une question que se pose Benjamin Henrion (FFII.org). Plus qu’un simple hack de « box » adsl d’opérateur, B. Henrion s’est lancé dans une véritable enquête policière pour retrouver les héritages génétiques « open source » du noyau embarqué dans ce routeur multifonctions. Outre les traces de noyau open source et d’extensions jalousement « propriétarisées », de telles enquêtes servent à cerner rapidement les points de vulnérabilité réels et probables, ainsi que les redoutables trous laissés par des configurations par défaut (telnets d’administration ouverts y compris via les ports WiFi). Ou encore, comme c’est souvent le cas dans les appareils fabriqués en grandes séries, des « oublis » souvent bénéfiques aux chercheurs. Ainsi l’absence de verrouillage en écriture de la mémoire flash du routeur. La B-Box 2 parviendra-t-elle un jour à égaler un Linksys ou un Fonera sous OpenWRT ? Pourra-t-on un jour y injecter un Asterisk ?

Les présentations suivantes ont progressivement atteint de sérieux niveaux techniques, avec notamment deux analyses des vulnérabilités réelles et potentielles des liaisons VoIP. L’un exposant les travaux de Philippe Langlois (P1 Security) sur SS7, l’autre de Sandro Gauci, d’EnableSecurity, sur l’examen approfondi du protocole SIP et la manière de transformer une bonne partie des « softphones » en porte d’entrée vers un monde où les communications internationales deviennent gratuites… mais pas nécessairement pour tout le monde. Une visite sur le site d’EnableSecurity s’impose, ne serait-ce que pour y récupérer SIPVicious (une production de l’auteur) et s’intéresser à d’autres outils tels que le honeypot Artémise ou le crawler VoipHunt.

Autre thème majeur de HES, la sécurité au sein des environnements Microsoft. Généralement, ce genre de conférence technique s’avère relativement « Linux centric » ou « BSD read only ». Hackito 2010 a prouvé le contraire en invitant Tim Burrell (Microsoft), Julien Vanegue (Microsoft) et Laurent Gaffié (Stratsec). Tim Burell a fait voyager l’assistance dans le temps, remontant à l’aube de la « prise de conscience sécuritaire » de MS, période Windows XP, avec /GS, le système de vérification de sécurité de la mémoire tampon, puis en déroulant l’historique (DEP, ASLR et les différentes évolutions) de Vista à Windows 7/2008 R2. Julien Vanegue enchaînait sur une méthode d’analyse automatique facilitant la détection des « heap » de taille 0, et Laurent Gaffié achevait ce tour d’horizon Microsoft avec un exposé sur le fuzzing du protocole SMB. En résumant très rapidement, l’on pourrait dire : première faille découverte après deux minutes de fuzzing, 20 trous révélés en moins de 2 mois de travail, 6 d’entre eux étant considérés comme « universels » (présents sur plusieurs versions de Windows) dont 1 propre à SMB v2. Ce serait sans oublier près d’un an de travail à compulser dans le détail la longue documentation de SMB, dont les origines remontent, il faut s’en rappeler, aux développements de l’OS/2 Lan Server d’IBM. Travail de bénédictin, mais également travail de laboratoire, avec la construction d’une plateforme de test associant tout ce qui a un jour supporté ce protocole… depuis Windows pour Workgroup à l’actuel « Seven », en passant par les intégrations exogènes telles que SaMBa. Le résultat est à la hauteur des efforts. Ce mois-ci ouvrait d’ailleurs le début officiel de cette campagne de toilettage réseau avec la publication de la ms10-020.

Ce rapide survol de HES 2010 ne serait pas complet si l’on oubliait les travaux de Matthieu Suiche qui, après s’être penché ces dernières années sur les « memory dump » sous Windows 32 et 64 bits, se lance dans la découverte de l’espace mémoire d’OSX. Rappelons que Matthieu Suiche a créé il y a peu de temps la société MoonSol, et diffuse des programmes commerciaux et communautaires destinés entre autres choses à fouiller dans les fichiers d’hibernation ou la mémoire vive d’une machine. Egalement très suivi, l’intervention de Gloire Gwendal sur le « piratage du GSM ». Les différents exploits de l’équipe Shamir, du Hacker’s Choice, du team de Karsten Nohl, ont souvent provoqué des titres plus qu’alarmistes dans les colonnes de la presse grand public. La réalité est toute autre, explique Gwendal. Non seulement le cassage du A5 n’est pas une opération réalisable sur un « coin de table », mais encore, même si le système de chiffrement a sérieusement été mis à mal, les outils de contournement sont loin de pouvoir être utilisés simplement, rapidement et dès les premières secondes de communication. La séquence vidéo de cet exposé est à suivre sur le site LiveStream. C’est probablement la première fois qu’un homme de la technique consent à vulgariser clairement, sans verbiage abstrus, les principes de base du hacking du GSM et surtout à dégager la notion de risque réel.

« Etes-vous partant pour un HES 2011 ? » à cette question, tous les participants interrogés ont répondu « oui » sans même réfléchir. Et compte tenu du succès de cette première édition parisienne, il y a fort à parier qu’elle se déroulera dans un amphithéâtre encore plus vaste.

La Toile explose, et IPv4 sature. Les demandes d’adresses IP affluent, de plus en plus nombreuses et vont continuer d’augmenter dans les années à venir, surtout compte tenu de l’accroissement exponentiel des outils et produits ayant accès à Internet. Parti à la conquête du réseau dès 2008, notamment via le FAI Free, IPv6 débarque dans les entreprises, et nécessite forcément une adaptation des politiques sécuritaires et de protection du patrimoine informationnel.
Quelles modifications l’adoption d’IPv6 induira-t-elle ? Quel challenge pour les entreprises, les particuliers ?
Le premier résultat d’IPv6 sera l’interconnexion globale, à savoir un Internet vraiment mondial : en 2015, nos frigos seront interconnectés et twitteront lorsque l’on n’aura plus de bière au frais. En découlera un champ d’exploration É-NOR-ME pour les crackers et les script kiddies de tout poil.
Et la seule force d’IPv6 contre cette accès direct sera sa taille. Un attaquant scannant 100 machines par seconde mettra environ… 10 puissance 20 milliards d’années à trouver votre frigidaire. Le côté rassurant de cette statistique est que même si plus d’un milliard d’ordinateurs lancent un scan concerté et simultané, nous sommes encore dans un délai raisonnable de 10 puissance 10 milliards d’années : on est bien caché au milieu d’un cloud IPv6.
Hormis une attaque ciblée, l’ouverture depuis l’extérieur n’est donc pas un véritable problème pour la nouvelle génération d’adresses IP.
Le NAT, ou Network Adress Translation était utilisé par certains pour empêcher les connexions directes vers l’extérieur et notamment vers un autre réseau NATé. Les attaques de type « prédictions de port », utilisées notamment par Skype, permettaient déjà d’établir des connexions directes entre machines de réseau NATé. IPv6 octroiera un nombre quasi illimité d’adresses IP, rendant l’utilisation du NAT inutile.
D’un point de vue purement entreprise, les principales difficultés se situeront au niveau des politiques de sécurité.
Une politique de sécurité à reconstruire
Fournir IPv6 sur un réseau est relativement aisé. Le protocole propose de nombreux modes de configuration automatique et l’utilisation d’IPv6 peut se résumer sur les systèmes d’exploitation évolués à une simple activation du pilote dédié. Les choses se compliquent pour l’entreprise lorsqu’elle décide de mettre en œuvre une politique de sécurité adaptée aux évolutions réseau : mes pare-feu gèrent-ils correctement IPv6 ? Comment puis-je déterminer l’adresse de mes serveurs et m’en souvenir ? Mes outils de journalisation supportent-ils IPv6 ? C’est tout un pan de l’administration système et réseau qui est donc à revoir.
Des extensions à s’arracher les cheveux !
IPv6 facilite l’anonymisation des adresses. Même si le DHCP (Dynamic Host Configuration Protocol) sur IPv6 a récemment connu un regain d’intérêt, il ne s’agit là que d’une solution de contournement d’une problématique opérationnelle liée au système d’attribution directe des adresses IP.
Une nouvelle fonctionnalité des systèmes d’exploitation est le changement régulier des adresses du poste, ceci dans le but de protéger la vie privée de l’utilisateur, ou plus globalement les échanges de données des entreprises. Il est donc complètement impossible de prévoir l’adresse du poste. Toute politique de sécurité basée sur une IP source donnée est donc à proscrire, et il faut envisager de systématiser l’utilisation de l’identification.
IPv6 Mobile est l’une des extensions les plus controversées si on la considère d’un point de vue sécuritaire. Le principe d’IPv6 Mobile est de fournir une connectivité à une machine sur une même adresse IP et ce, quelle que soit sa position géographique. Deux types de techniques sont utilisées pour parvenir à ce résultat. D’une part, l’établissement d’un tunnel IPsec entre le routeur d’origine (dit Home) et la machine déplacée derrière un routeur distant. D’autre part, un système de collaboration entre les routeurs assurant le transfert des flux entre les adresses de la machine (la locale et la distante). Ce dernier mécanisme repose sur une encapsulation des paquets d’origine qui ont alors deux couples d’adresses source et destination. Faut-il alors filtrer l’adresse Home ou l’adresse locale ? Ou prendre en compte les deux adresses, Home, codant l’emplacement fonctionnel, et l’adresse locale, codant l’emplacement géographique. Le déploiement IPv6 Mobile reste hypothétique car les recherches sur le sujet sont encore très actives mais son intérêt pratique fera peut-être son succès.
Après de longues années d’hésitation l’adoption rapide d’IPv6 semble se profiler. Einstein disait que « L’homme et sa sécurité doivent constituer la première préoccupation de toute aventure technologique. » Mais comme il est de coutume, les enjeux de sécurité ne seront pas traités en premier… Ce qui ouvrira la porte à une nouvelle phase dans les attaques.