septembre, 2012

Un bon hacker sait hacker même avec un fer à souder. Histoire de liquéfier nos mélanges eutectiques pour en tirer du plaisir et quelque profit (intellectuel s’entend) voici quelques accessoires électroniques, dont l’un reposant essentiellement sur un code très travaillé, l’autre ne nécessitant, pour fonctionner, d’aucune ligne de programme, mais qui prend une toute autre ampleur s’il est associé à un sniffer réseau.

Le premier hackcessoire, donc, est l’œuvre de Soufiane Tahiri, et est publié sur le blog d’Infosec Institute. Il s’agit d’un « dropper », autrement dit d’un outil de largage de malwares se présentant sous la forme d’une clef USB, elle-même exonérée de driver puisqu’étant reconnue comme un périphérique HID (au même titre qu’un clavier ou une souris). Le résultat est un outil d’attaque capable d’afficher le score honorable de 0/42 à l’analyse VirusTotal. Les techniques de camouflage utilisées pour échapper notamment à la détection des défenses périmétriques Kaspersky constitue le principal morceau de bravoure de l’article.

Les outils de hacking suivants sont signés Michael Ossmann, qui avait déjà fait parler de lui avec le lancement d’un SDR à très large bande baptisé HackRF. Le premier outil est le déjà très connu UberTooth et plus particulièrement sa version Ubertooth One, une carte d’expérimentation, d’analyse et d’injection (classe 1) de trafic Bluetooth.

L’autre outil est également un outil déjà ancien, mais qui mérite que l’on s’y arrête un moment. Il s’agit d’un « tap » Ethernet passif tout simple, qui pourrait presque susciter un bâillement d’ennui chez les administrateurs réseau : le moindre brin Ethernet même chez un particulier repose sur des cartes Gigabit. Or, un tap passif provoque immanquablement une rupture d’impédance qui impacte le segment de réseau espionné et l’empêche de fonctionner… donc d’être espionné. L’astuce d’Ossmann est simple : il ajoute deux condensateurs de quelques centaines de picofarad entre les pistes 7 et 8 du lien Ethernet, provoquant un déphasage assez important mais pas trop, pour forcer la carte ou le switch à retomber sur une vitesse de repli… 100 Mb/s la plupart du temps. Une vitesse qui permet d’utiliser le fameux Tap passif avec succès.

Par mesure de précaution et de discrétion, les paires susceptibles d’émettre des données ne sont pas connectées sur les deux prises RJ45 servant à y brancher le sniffer. De cette manière, les risques de détection sont quasi nuls.

Comme pour la majorité des hacks signés Michael Ossmann, le schéma et surtout le « cuivre » (le pcb) du montage est diffusé en licence open source et au format Kicad (logiciel de CAO d’origine Française et également Open Source).

Gottfrid Svartholm, l’un des co-fondateurs de Pirate Bay, aurait été arrêté au Cambodge et extradé pour… piratage. Sa cible : le service des impôts de Suède, nous apprennent nos confrères de Wired. Les Anonymous auraient répliqué en piratant des administrations Cambodgiennes.

Qubes première version, le système virtualisé et sécurité conçu par l’équipe d’Invisible Things et signé Joanna Rutkowska, est disponible en téléchargement depuis ce début septembre

F-Secure relate la publication d’une petite annonce du BKA (la « crim » Allemande) visant à recruter des spécialistes des troyens et portes dérobées. Ecrire à Madame A.M. qui transmettra.

Les associations bancaires, depuis une bonne décennie, cherchent à encourager l’usage de la petite monnaie numérique, celle qui sert à acheter la baguette de pain ou le journal. Ainsi Moneo, un quasi échec qui n’a pourtant découragé personne, puisque les principaux organismes Européens reviennent sur le sujet par la petite porte et tentent à tout prix d’imposer les payements « sans contact » à l’aide des NFC.

On se souvient, grâce aux travaux de Renaud Lifchitz du manque de sérieux avec lequel les saigneurs de la finance avaient tenté de digérer cette technique dérivée des RFID (eux même piratés de manière quasi industrielle depuis leur création). Puis c’est au tour de Charlies Miller (qui vient de rejoindre les rangs de Twitter) de publier un article ravageur sur la surface d’attaque des NFC. Presque tout est dit dans cet article, le reste n’est qu’extrapolations techniques. A partir de ce moment-là, ou un peu avant, le hack des NFC tombe dans la banalité la plus totale, les failles d’intégration se multipliant proportionnellement au nombre de « promoteurs » souhaitant utiliser ce moyen de payement. La chose était prévisible. Il y a plus d’un an d’ailleurs qu’Eric Butler publiait les premières recherches sur les fuites d’information des cartes de transport RFID grâce aux lecteurs NFC intégrés dans certains téléphones mobiles à base d’Android.

Et voilà que plus récemment, les présentations d’EuSecWest remettent le sujet sur le tapis. Le lecteur NFC est, cette fois, utilisé comme canal d’injection de malware, démonstration réalisée sur un téléphone Galaxy S3 par l’équipe de MWR Labs. Une fois proprement « intrusé », le téléphone peut voir ses données (contacts, sms) pillés et son mécanisme d’appel subverti de telle manière qu’il puisse composer des numéros à facturation élevée.

Le FBI fait état de l’arrestation d’un employé d’une grande entreprise juridique New Yorkaise dans une affaire de trafic d’images pédopornographique

Même si la nouvelle édition d’IOS élimine des failles par centaines, elle vient au monde avec son propre lot de trous et d’inconsistances lié à la conception même du noyau et au choix des outils Web… notamment Webkit. Le Sans Institute, dans un rapide tour d’horizon, remarque que Siri est capable d’émettre des informations y compris lorsque le téléphone est verrouillé, que les mises à jour s’exécutent sans la moindre nécessité d’entrer un mot de passe… sans parler de quelques indélicatesses avec la liste des contacts lorsque le terminal est associé à un compte Facebook.

L’équipe Redsn0w, pour sa part, indique (via Redmond Pie ) comment effectuer un jailbreak (en mode « teethered » hélas) des appareils utilisant ce tout nouveau système, tandis que dans les allées de EuSecWest et de son inoxydable concours P0wn20wn, IOS explosait sous les assauts redoublés de Joost Pol de Certified Secure, comme en témoigne Dan Goodin dans les colonnes d’Ars Technica.

D’accord, injecter du code dans un téléphone nécessite quelques connaissances dans l’art de pirater. A moins que l’on tire sur la corde sensible, celle de l’offre que l’on ne peut pas refuser, celle qui masque (ou pourrait masquer) une attaque en social Engineering par exemple. Le métro Londonien offre des cartes géographiques des environs à tout usager d’IOS 6…Preuve à l’appui, une photo prise par Georges Smart M1GEO dans les couloirs du Tube . Le cliché date du jour même de la mise à disposition du nouveau noyau… Sous les bords de la Tamise, on a le réflexe marketing plus vif qu’à la RATP.

Sur le blog DataGenetics de Nick Berry, l’on peut lire l’étude la plus instructive qui soit sur la faiblesse des codes PIN. Certes, ce n’est un secret pour personne de savoir que le plus utilisé de tous se résume à la fameuse séquence « 1234 » (ou 1234567890 pour les plus prudents qui emploient des mots de passe de 10 chiffres), et qu’en seconde position arrive « 1111 ». Mais ce ne sont pas les statistiques de fréquence qui nous apprennent quelque chose. Ce sont plutôt les réflexions de l’auteur sur la manière dont le cerveau humain fabrique son propre générateur de nombres pas du tout aléatoires. Ainsi, la fréquence élevée de la séquences « 2580 » vient du fait que ces chiffres sont alignés verticalement sur le clavier d’un téléphone cellulaire (mais pas sur le clavier d’un distributeur de billets ou d’ordinateur… c’est 8520 dans ce cas). Les séquences « géométriques » (78963, 74124, 7415963 etc.) montreront naturellement une redondance certaine dans le classement des PIN les plus utilisés. Idem pour certains chiffres gravés dans nos mémoires. A commencer par 3141592654 qui peut paraître complexe mais qui détient la 17ème place dans le classement des « codes à 10 chiffres »… tout le monde se souvient de Pi au moins jusqu’à la 7ème décimale. Encore une influence arithmétique avec les suites paires/impaires de chiffres, tel 24681357 et autres combinaisons.

Viennent ensuite les dates de naissance : forte récurrence des binômes de 1 à 31 pour les jours, de 1 à 12 pour les mois. Et lorsque l’on analyse les codes PIN de grande longueur, on est étonné par la fréquence élevée de séquences répétées (1212121212, 420420420…), des suites, voir même des chansons à la mode.

Cisco revoit l’étanchéité de son AnyConnect Secure Mobility Client qui n’était plus si « secure » que ça. L’alerte de l’éditeur détaille les multiples trous et les mesures de contournement conseillés.

Chez Apple, le récapitulatif « sécurité » d’IOS 6 a été remis à jour. Difficile de trouver rapidement les changements apportés dans un déluge comptant plus d’une centaine de CVE. Le bulletin 2012-004 consacré à OSX « mountain lion » élimine quant à lui 34 CVE.

Chez Adobe, une nouvelle édition de Flash Player est émise, sans préciser pour quelle raison ni quel niveau de risque en cas de défaut présumé. Les versions de Flash installées peuvent être vérifiées grâce à une page de service située sur le Web d’Adobe.

Le bruit provoqué autour de l’alerte 2757760 a probablement fait craindre le pire aux membres du Security Response Team de Microsoft. Un « fixit » a été développé dans l’urgence, qui protège les machines vulnérables et rassurera les RSSI craignant une exploitation « ciblée ». Une mise à jour automatique (le fameux « out of band » attendu) sera diffusée dans le courant de la journée de vendredi (temps nord-américain), donc probablement trop tard pour que les déploiements puissent se dérouler dans de bonnes conditions en Europe. Samedi ne sera pas un jour férié pour beaucoup.

Selon l’éditeur AlienVault, qui publie une analyse et un historique détaillé de l’exploit, de nouvelles variantes d’un troyen distant (RAT) aurait été détecté et justifierait une certaine attention dans le déploiement des correctifs disponibles.