mai, 2013

Ce n’est pas la première fois que Cnis-mag rapporte les exploits de Michael Ossmann, père de HackRF, une carte d’émission-réception « radio logicielle » qui couvre des ondes courtes à 5,4 GHz. En juillet de l’an passé notamment, puis en novembre, lorsque le Darpa avait attribué une enveloppe de 200 000 dollars au chercheur. Et nous revenons une fois de plus sur le sujet puisque HackRF (alias Jawbreaker dans sa toute dernière version) était le sujet d’étude proposé lors du dernier Hackito Ergo Sum par deux personnes relativement bien connues dans le domaine des SDR : Benjamin Vernoux et Youssef Toul, ce dernier étant l’auteur de SDR Sharp, l’un des programmes sous Windows les plus utilisés par les hackers radio.

Il existe une grande différence entre lire la description d’un outil de hacking « sur le papier » et le voir à l’œuvre, lancer des « replay attack », intercepter des communications, esquisser les premiers pas d’une attaque MIM. La démonstration des deux chercheurs étaient édifiantes : il n’est plus nécessaire de dépenser 2 à 3000 $ pour « intruser » un réseau radio analogique ou numérique, il n’est plus obligatoire d’être un sorcier des ondes pour capturer une émission entre 100 MHz et 6 GHz (en dessous de 100 MHz, il existe d’autres solutions). Il n’est plus non plus nécessaire d’être millionnaire. Il n’y a pas 10 ans, ce genre de hack coûtait le prix d’une petite voiture de sport estampillée Rhodes & Schwartz ou Thomson CSF. Aujourd’hui, il suffit d’un circuit imprimé, d’un peu de calme pour souder quelques circuits QFN/QFPN et tssop, d’une ribambelle d’antennes (accordées) et si possible de quelques filtres, et l’on est équipé pour analyser cette couche de transport invisible et rapide comme la lumière.

Une publicité Microsoft Office 365 visant le marché Australien cache, dans l’épaisseur d’une page cartonnée, un routeur Wifi et 15 jours d’accès gratuits au service d’un opérateur. Un scoop signé Neowin

HES 2013 (2 au 4 mai dernier) pourrait se résumer ainsi : Vive l’Internet des Objets, vive les NFC, vive les technologies Sans Fil de tous crins, elles nous promettent des décennies de développement « quick & dirty », des avalanches d’erreurs d’intégration, des torrents de trous et de « sécurité par obscurantisme » qui feront la joie des reversers et autres hackers. Poussées par la mode et par l’opportunisme des formules faciles, ces techniques (appelées aussi technologies) font de plus en plus parler d’elles dans le monde du hacking et de la sécurité. Principalement en raison de la mode de l’Internet des Objets tant vantée par quelques Ministres et beaucoup d’industriels, mais également parce que la communauté sécurité commence à découvrir, avec près de 15 ans de retard, la souplesse et la facilité d’utilisation des radios logicielles.

Le festival du sans-fil s’est ouvert avec une présentation de RFCat, effectuée par Adam Laurie, Pape du hacking des RFID (http://rfidiot.org/). Il s’agit à la fois d’un firmware open source que l’on peut récupérer sur Google Code et d’une plateforme matérielle organisée autour du CC1111EMK, outil de développement signé T.I.. Ce circuit intégré est en fait un émetteur-récepteur couvrant les bandes ISM 315/433/868/915 MHz. Une vision bien plus étriquée que ce qu’appelle Laurie un hacking « sub-GHz ». C’est d’ailleurs avec un récepteur à couverture générale, le Funcube Dongle que le chercheur effectue ses premières approches de détection.

Le principal avantage des radios logicielles sur les émetteurs-récepteurs conventionnels, c’est qu’elles travaillent non plus sur un signal unique de quelques centaines de Hz, mais sur tout un spectre, pouvant couvrir plusieurs MHz d’un coup. Un travail qui s’entend aussi bien en émission qu’en enregistrement de ce spectre. En enregistrant un spectre, l’on peut plus aisément analyser « post mortem » une transmission numérique, même et surtout si celle-ci est accompagnée de signaux associés ou de sous-porteuses ou qu’elle comporte (c’est d’ailleurs souvent le cas) des données très importantes durant les premières secondes de transmission : préambules, handshake, échanges de clefs… En émettant dans les mêmes conditions tout spectre enregistré, sans même que l’utilisateur/hacker ait à analyser le signal, il devient possible de lancer des séries de « replay attack ». Adam Laurie montrait ainsi comment activer une sonnette de porte, ouvrir les portières d’une coûteuse automobile de marque allemande ou décoder le signal d’une commande de porte de garage.

Comme la majorité du traitement de signal est effectuée par logiciel sur un ordinateur tout à fait conventionnel (sous Windows ou Linux) il est également possible de filtrer, traduire, transformer des informations analogiques reçues en données binaires compréhensibles par tout système numérique. La démonstration de Laurie reprenait en ce sens ce qu’il avait déjà écrit sur son blog début mars et qui explique de manière très claire comment passer de la réception au décodage, puis du décodage au spoofing.

Ouvrir un porte, activer une sonnette, voilà, reconnaissons-le, de tous petits hacks sans grande conséquence. Mais ils donnent à réfléchir à la communauté des chercheurs en sécurité qui, des années durant, ont ignoré la couche « hardware » et son cousin germain, le fer à souder. Il faudra attendre encore quelques mois, peut-être quelques années avant que l’on voit se répandre des outils un peu moins « gadget » que des RFCat. Propreté d’émission, immunité à l’intermodulation provoquée par des signaux hors bande, sélectivité, propreté en termes de bruit de phase, tout ça est encore inconnu de bien des apprentis RF hackers aujourd’hui.

Nous nous enfonçons chaque jour un peu plus profondément dans la quatrième cyberdimension. Sans le secours d’AlienVault, comment aurions-nous su, par exemple, que le Ministère du Travail US avait été piraté par de probables agents Chinois ?. Un hack qui redirigeait outrageusement d’honnêtes travailleurs afin probablement de leur extorquer quelque menue monnaie et, au passage, plusieurs informations techniques concernant leur environnement dans le but de zombifier leur machine. On frémit à la seule idée qu’une telle aventure puisse un jour survenir en France, que le site de Pôle Emploi (en maintenance, veuillez consulter cette page plus tard) soit subrepticement caviardé par de dangereux agents asiatiques.Chrch monteur H/F comp. Electron. travaillant plus pour gagner moins, Ref Foxconn007. Urgent, Chef de rang et gâte sauce, spécialiste cuisine Sichuan, repas à emporter. Salaire : 3500 Yuan x12, appartement de fonction, banlieue de Wanxian. On en frémit.

Autre attaque, revendiquée cette fois par la très médiatique cyber-armée syrienne, qui a pris pour cible le compte Twitter de The Onion, journal satirique d’expression Anglaise, aussi irrévérencieux que loufoque. Plusieurs médias ont rapporté l’information, notamment Raw Story. A moins que ce hack ne soit un canular de plus monté par la rédaction de The Onion, ce que laisserait penser le Twitt prétendument détourné : « non, il n’y a pas eu usage d’arme chimique, affirme l’ONU. Les analyses prouveraient qu’il s’agirait des odeurs corporelles des jihadistes ». Détourner un compte est une chose parfois plus facile que de savoir imiter le mauvais goût et le nonsense du média anglo-saxon le plus farfelu de la planète. Et quand bien même cela serait que tout l’honneur en reviendrait encore à l’Onion.

Selon le Ministère de la Justice US, l’administrateur principal du botnet « financier » SpyEye aurait été extradé de Thaïlande vers les USA. Il est sous le coup de 22 chefs d’inculpation auprès de la Cour de Géorgie. Sa culpabilité réelle est cependant contestée et minimisée par plusieurs experts Français qui ne voient en lui qu’un lampiste, ex-petit truand du phishing en France il y a quelques années, et codeur occasionnel de plugins autour de SpyEye.

Conséquence du hack du compte Twitter de l’Associated Press, les têtes pensantes du réseau social envisagent de déployer un mécanisme à double facteur d’identification. Un prétexte pour collecter du numéro de téléphone pour la bonne cause ?

L’annonce de McAfee est officiellement confirmée par l’édition d’un communiqué commun émis le 6 de ce mois. McAfee rachètera le Finlandais Stonesoft pour une somme estimée à un peu moins de 400 millions de dollars. Stonesoft, spécialisé dans le domaine des firewall, des vpn et des IPS, s’était fait connaître ces dernières années pour avoir inventé la notion d’AET, Advanced Evasion Technique, un procédé de camouflage d’attaque consistant à cumuler plusieurs types d’intrusion afin d’en masquer une éventuelle signature unique… et donc reconnaissable par un équipement de filtrage

Avec cette acquisition, Intel/McAfee montre son intérêt toujours croissant pour le secteur professionnel et, peut-être, son désengagement progressif du monde de l’antivirus grand-public, battu en brèche par les gratuits en général et celui de Microsoft en particulier.

Reste à savoir si tous les clients professionnels qui avaient délibérément choisi un équipementier sécurité Européen accepteront aussi facilement de passer sous le giron d’une entreprise des USA.

Sur le Blog d’Eset, un autre billet de blog, à prendre au sérieux semble-t-il, car exploité dans la nature par quelques outils de hack. Cette alerte concerne les serveurs Web Apache, ou plus exactement le remplacement du binaire d’Apache par un autre contenant une porte dérobée. La vérification du binaire par les moyens classiques ne peut s’appliquer, seule la présence d’un « open_tty » dans /usr/local/apache laisse deviner qu’il y a eu compromission. Outre l’infection locale, ce malware baptisé Linux/Cdorked.A utilise d’autres techniques de camouflage, et ne laisse pas de trace disque en rapport avec son C&C. Une fois le serveur compromis, tout visiteur peut être aiguillé vers un autre site à son insu, sur simple et unique envoi d’un cookie, et le serveur est placé sous le contrôle d’un serveur d’exploits BlackHole. Un autre article sur le sujet a été rédigé, par l’équipe de Sucuri qui est à l’origine de la découverte et qui a contribué à l’analyse d’Eset.

Hafei Li, de l’Avert McAfee, vient d’écrire un billet de blog signalant une possible fuite d’information lors de l’appel d’un lien externe depuis un document pdf. En temps normal, un tel appel d’UNC déclenche l’affichage d’une fenêtre d’alerte sur l’écran de l’usager. Mais si l’UNC ne débouche sur rien, aucun dialogue ne vient avertir l’utilisateur, alors que l’API est belle et bien active. Et l’API peut notamment délivrer quelques informations sur la présence et la localisation d’un fichier sur la machine cible. L’exploit aurait déjà été rencontré dans la nature, explique le chercheur, utilisé principalement par des services d’analyse et de suivi de courriel promotionnel (du spam tracking en quelque sorte), mais jamais encore dans le cadre d’attaques mafieuses. Les plus suspicieux peuvent, conseille McAfee, désactiver Javascript dans Acrobat Reader.

L’attaque ne fut ni discrète ni opérée en douceur : LivingSocial, le site mondial d’offfes de biens et services de proximité s’est fait pirater au cours de ce qui semblerait un raid organisé. Cette sorte de Craigslist du petit commerce avec des images compterait près de 70 millions d’inscrits, et plus de 50 millions d’entre eux seraient potentiellement victimes de ce vol d’identité. Les porte-paroles de l’entreprise déclarent, rapportent nos confrères d’IDG-NS, qu’ont été ainsi dérobés les noms, prénoms, adresse de messagerie, date de naissance et mot de passe chiffré. Le déchiffrement du mot de passe serait « compliqué », mais aucun propos n’explique pourquoi ce serait effectivement compliqué. Un salage aurait-il été appliqué ? Dans l’affirmative, on ne comprend pas pourquoi ce genre ce détail technique n’a pas été révélé.