août, 2014

En août, pas de doute, bouchons doux

Posté on 14 Août 2014 at 2:49

Ils sont 9, ce mois-ci. 9 correctifs Microsoft dont la majorité risque fort de passer dans l’indifférence générale. Exception faite de l’habituel, du nécessaire, de l’indispensable patch Internet Explorer qui colmate certains trous et remplace quelques vieux bouchons au passage. Au total, ce sont 26 CVE qui sont ainsi éliminés. Notons que c’est là probablement (si l’on en croit les affirmations de « Corp ») la dernière fois que l’on voit les noms d’anciennes versions d’Internet Explorer 6, 7, 8 et 9 dans un bulletin d’alerte. Est-il utile de préciser qu’un tel volume de pontages codo-coronariens fait passer ce bulletin dans la catégorie « à déployer tout de suite, niveau d’alerte critique »

Critique également (parfois la logique concernant la dangerosité des failles Microsoftiennes frise l’interprétation cabalistique) le bulletin MS14-043 qui concerne MediaCenter, un flop commercial pratiquement aussi magistral que celui de l’interface Bob. A oublier donc, car en dehors de quelques geeks redmondophiles, la planète multimédia a déjà été conquise depuis longtemps par XBMC (désormais il faudra dire Kodi et autres MediaPortal, Boxee ou MythTV. Egalement dans la catégorie « à déployer en urgence » mais non décoré de l’ordre de la faille critique, la MS14-048 touchant One Note.

Les autres trous de sécurité, qualifiés « d’important» tout au plus, touchent notamment .Net, SQL Server, Sharepoint et… l’installeur Windows, lequel présenterait un risque d’élévation de privilèges. Comme de tradition, la synthèse des rustines est à consulter sur la page Sécurité du Technet.

Chez Adobe, on élimine 7 CVE d’un coup dans Flash Player. Ce déploiement n’est pas urgentissime, aucun exploit, affirme le bulletin d’Adobe, n’a été rencontré dans la nature. Sous Windows, les usagers possédant plusieurs navigateurs doivent généralement déployer cette nouvelle version pour chaque version installée.

Constructeurs de voitures, ne nous menez plus en bateau !

Posté on 14 Août 2014 at 2:27

« il est temps que vous deveniez un peu plus sérieux et que vous commenciez à appliquer dans votre secteur les bonnes pratiques que l’on observe dans le secteur informatique » (ndlr : ou pas…). C’est ce que déclame en substance cette « lettre ouverte à l’industrie automobile » publiée par un quarteron de spécialistes de la sécurité des S.I. très modestement baptisé la cavalerie .

« Les automobiles d’aujourd’hui ne sont rien d’autres que des ordinateurs sur roues, de plus en plus connectées, de plus en plus pilotées par des logiciels, de plus en plus intégrées à des infrastructures de contrôle de trafic elles-mêmes informatisées à outrance. Chaque adoption de nouvelles technologies est accompagnée par un cortège de nouveaux risques entraînant de nouvelles catégories d’accidents ».

Et de suggérer plusieurs pratiques bénéfiques, telles que le suivi et la mise à jour de ces extensions informatiques, le suivi des « software development lifecycle », si possible par des entreprises spécialisées extérieures (entendons par là des entreprise du secteur SSI qui cherchent actuellement un ballon d’oxygène financier), sans oublier le Graal de la sécurité, le « security by design » qui, à l’instar du monstre du Loch Ness, fait couler plus d’encre qu’il n’a eu de témoins.

Si le cri d’alarme, à l’instar de tout conseil de prudence, est louable, on est en droit de se demander s’il sera véritablement entendu. Un avertissement lancé par la cavalerie fait espérer que cette analogie ne les fasse pas passer pour les carabiniers de Carmen. Et puis, une photographie de l’état des lieux des S.I. contemporains a tout de même de quoi faire peur aux géants de l’industrie mécanique. Imposer un « Patch Tuesday » aux fous du volant, voir apparaître en place publique les recommandations d’une sorte d’Owasp de l’embedded et de l’ordinateur de bord (l’une des principales sources de revenu des réseaux de concessionnaires), il ne faut tout de même pas exagérer. Car ce qu’ont totalement perdu de vue nos héroïques Cavaliers de l’Apocalypse Numérique, c’est que contrairement au monde du S.I., le secteur automobile a toujours su transformer la sécurité en un centre de profit. On appelle ça le SAV.

Les usines connectées farfouillent furieusement leurs fonctions favorites

Posté on 14 Août 2014 at 2:14

Le NIST Américain s’engage dans une grande opération d’assainissement des équipements d’infrastructure vitale (Scada) et commence par bâtir une plateforme de test des équipements industriels, le Reconfigurable Industrial Control Systems Cyber-Security Testbed. Plateforme dont la conception prendra en compte les avis des équipementiers et utilisateurs directement concernés, quelle que soit leur origine : « NIST is seeking responses from all responsible sources, including large, foreign, and small businesses ». Une attitude aux antipodes de la stratégie Anssi, plutôt axée sur le discret et secret en préférant, par exemple, ne pas mettre sur la place publique des documents qui pourraient donner de mauvaises idées.

A noter que les recommandations du Nist, une fois définies, sont généralement publiques et diffusées gratuitement.

Les Objets connectés font fi des failles et fuzzing à foison

Posté on 14 Août 2014 at 1:48

L’Internet des objets est un tonneau des Danaïdes : un immense réservoir aussi troué que le « méchant » d’un Western série B, affirment Andrei Costin, Jonas Zaddach, Aurélien Francillon et Davide Balzarotti (Eurecom). Ces quatre chercheurs viennent de publier le résultat d’une étude technique aussi succincte (16 pages) que ravageuse.

Ils ont, pour ce faire, récupéré 32 000 firmwares, soit 1,7 million de fichiers uniques. Et même « sans avoir effectué d’analyses sophistiquées, nous avons découvert 38 nouvelles vulnérabilités inconnues à ce jour sur plus de 693 images de firmware » affirment les chercheurs. La découverte de ces défauts peut être étendue à plus de 123 produits différents. De manière générale, l’étude tend à prouver que toutes vulnérabilités confondues, plus de 140 000 systèmes embarqués, accessibles sur Internet, sont entachés de défauts de sécurité, allant de la porte dérobée installée sur un routeur Wifi au système de contrôle défectueux de l’accélérateur d’une automobile. Les défauts en question se retrouvent sur tous les types d’équipements imaginables : équipements grand public vendus dans le commerce de détail ou appareils professionnels genre automates programmables ou actuateurs/capteurs intelligents utilisés dans le cadre d’infrastructures Scada/OIV. Caméras, serveurs, équipements VoIP, Dslam, boîtiers ISDN ou ADSL, passerelles réseau, routeurs… tous n’en meurent pas mais tous en sont frappés. A ne pas lire avant de s’endormir, cauchemars garantis

Un Cloud d’amoureux contre 80 tonnes de laiton

Posté on 14 Août 2014 at 1:17

La sécurité informatique fait preuve de ressources insoupçonnées. Afin de préserver les ponts de Paris qui croulent sous le poids des cadenas (plus de 80 tonnes sur le pont des Arts estime-t-on), la mairie de Paris suggère aux Héloïse et Abélard, depuis le début de cette semaine, de remplacer leurs Ronis et City par un « selfie » posté sur le site Love Without Lock, littéralement « l’amour déchaîné ». Il n’est pas dit que le bilan carbone d’un cloud réservé aux amoureux soit plus ou moins bénéfique à la planète que les dégagements polluants de l’industrie métallurgique et néanmoins serrurière. Mais dans l’immédiat, la sécurité physique des quidams empruntant lesdits ponts n’en sera que meilleure.

Il est d’ailleurs assez surprenant que nul hackerspace, pas la moindre conférence sécurité Parisienne (Hackito Ergo Sum, Hack in Paris, NoSuchCon ou autres GSdays) n’ait envisagé de voler au secours des ponts dans le cadre d’une formidable « keylockpicking party ». D’un point de vue médiatique, c’est un coup à faire la une du Parisien et de 20 Minutes.

Le Darpa souhaite la mort du « logon/password »

Posté on 14 Août 2014 at 1:06

Le prochain buzzword du landerneau sécuritaire risque d’être « cognitive fingerprint », que l’on pourrait traduire par « empreinte biométrique intelligente ». Le but visé est de remplacer toutes les lettres de crédit numériques actuelles (identification et mot de passe) par une caractéristique physique propre à chaque individu. Rien de nouveau sous le soleil, sinon que l’initiative est signée Darpa… le « machin » à l’origine d’Internet. Ce n’est pas rien, en matière de lobbying.

Mais qui dit biométrie pense capteur… et méthode pour le tromper. Empreintes digitales récupérées à grand renfort de colle cyanoacrylate, analyse rétinienne ou faciale entourloupée par une simple photographie noir et blanc, ce genre de hack fait la joie des chercheurs en mal de sujet de conférence, le bonheur des journalistes de la presse grand-public et les programmes des xxCon du monde entier.

Et c’est là que le Darpa marque un point : le meilleur des capteurs biométriques est un capteur qui n’a pas été prévu pour être biométrique. Et de citer en exemple les multiples travaux universitaires ayant fait l’objet de publications Outre Atlantique. Le JPL, par exemple, envisage d’utiliser les émetteurs des appareils mobiles (wifi/gsm …) et mesurer les variations de champ provoquées par les battements du cœur de l’usager. Le récepteur est déjà en place, manque seulement le logiciel d’analyse. D’autres organismes proposent des moyens bien plus classiques mais pourtant rarement utilisés, telle l’analyse temps/fréquence (spectre sur la durée) de la voix humaine. Même une « replay attack » à l’aide d’un magnétophone de qualité ne peut présenter les mêmes caractéristiques de signal. Et les outils d’analyse existent déjà depuis belle lurette. Passons également sur les réflexes personnels d’usage (frappe clavier, mouvement de souris, attitude du visage et du tronc de l’utilisateur face à l’écran, réaction face à un message d’erreur, tics d’utilisation…) autant de signes comportementaux quasiment impossibles à imiter… du moins au stade de l’outil faisant office de capteur.

L’initiative du Darpa ne peut pourtant être couronnée de succès que sous une condition. Celle qui consisterait à inciter les équipementiers à diffuser très largement et très rapidement ces nouveaux systèmes biométriques. Plusieurs raisons à cela.

En premier lieu, la multiplication des mécanismes d’authentification rend plus complexe l’automatisation des vols massifs de sésames électroniques. Elle nécessite une réponse adaptée à chaque protection. Ce qui pourrait « sauver la planète numérique » n’est pas l’aspect purement biométrique de l’authentification, mais le polymorphisme qu’il entraînerait.

Ensuite, l’absence de capteur dédié limite les chances de développement d’une contremesure spécifique. Plus un système de protection est spécifique, plus il s’expose à une contre-attaque spécifique à l’aide de doigts en plastique et photos noir et blanc. Une analyse spectrale de la voix sur un ordinateur a de fortes chances de fournir une signature biométrique qui sera totalement différente sur un autre ordinateur et avec la même voix, simplement en raison des disparités dans les réponses en fréquence des microphones, des amplificateurs, du bruit de phase des étages de conversion A/N… pour n’en citer que quelques-uns.

Enfin, l’aspect dynamique de l’analyse biométrique (que l’on devrait d’ailleurs appeler comportementale plutôt que biométrique) complexifie la génération d’un « même » numérique. Certes, il sera toujours possible de synthétiser une voix, une attitude, une frappe clavier si l’on possède une bibliothèque conséquente d’échantillons. Mais l’attaque ne peut être étendue à grande échelle. Le « superbiométrique cognitif » du Darpa pourrait être vulnérable aux attaques ciblées.
Mais la capture de la signature n’est pas tout. Les systèmes d’identification-authentification utilisés ont des chances d’aboutir à la génération d’un hachage qui, lui, est également vulnérable à un grand nombre d’attaques, à commencer par l’antique pass the hash, toujours aussi efficace. Cette menace est envisagée dans le cadre d’une seconde phase du programme Darpa, qui vise à voir se développer des jeux d’API les plus universelles possibles.

En Bref …

Posté on 14 Août 2014 at 12:37

Insérer une clef USB, rebooter l’équipement en maintenant enfoncé le bouton de mise en marche, voilà comment Yier Jin, Grant Hernandez et Daniel Buentello parviennent à « r00ter » un thermostat intelligent Nest. Google avait racheté l’entreprise pour 3,2 milliards de $. Un trou domotique qui coûte cher.

Defcon 2014 : Sniff Wifi félin, dogfood à fud

Posté on 12 Août 2014 at 6:00

Que l’on lance une requête « Gene Bransfield Wifi » sur n’importe quel moteur de recherche, et l’on tombe sur une multitude d’articles narrant comment un couple de chats (dont un superbe siamois « chocolate point ») a été utilisé pour conduire une campagne de Wardriving Wifi. Bransfield est ingénieur sécurité chez Tenacity. Avec une économie de moyens remarquable, il est parvenu à tirer à lui (et sur son entreprise) une couverture médiatique qui, en temps normal, aurait coûté une petite fortune en communiqués, attachées de presse, conférences et petits fours.

La recette est simple mais mérite que l’on s’y arrête.

Il faut tout d’abord dénicher un sujet qui passionne Internet de manière compulsive. Les chats, par exemple. Voilà qui garantit déjà 15% du trafic Twitter suivi d’un « like » et d’un « Retweet » par @EmergencyKitten.

La phase suivante consiste à dénicher un sujet anxiogène quelconque. Deux doigts de soupçon de fuite d’informations, un zeste de sans fil (c’est très « hype » le sans fil), un léger trait d’atteinte aux libertés individuelles. Va pour le Wardriving, pratique éculée, usée jusqu’à la corde, que même le pire des éditeurs d’antivirus n’ose plus mettre en avant dans ses plaquettes marketing. Qu’importe, le mignon minou va revigorer le procédé.

Enfin, il faut trouver un comité de lecture de « conférence infosec » pas trop exigeant. Ca existe.

Reste à mélanger les trois ingrédients en un « hack » simple à réaliser pour que tout le monde comprenne. Surtout les journalistes. Une batterie NiMH, une clef Wifi, un récepteur gps et de quoi loguer les SSID de l’un et les coordonnées de l’autre (un peu d’arduino et une mémoire spi par exemple). Il ne suffit plus que de lâcher le greffier dans la nature et attendre l’appel vespéral des croquettes pour récupérer ce sniffer à fourrure… s’il n’est pas passé sous une voiture, n’a pas été embarqué par la fourrière, n’a pas servi de repas à un renard, ni trouvé meilleure pitance ailleurs ou simplement rencontré une féline à son goût. En cas de malheur, trouver un autre chat et relancer la procédure. Et voilà plus de 13 000 hits Google engrangés.

En cas d’insuccès, changer l’un des ingrédients. Un autre animal domestique, par exemple. Le cycliste peut convenir , surtout si l’on a habitué le sujet à recevoir une dose d’EPO tous les soirs. Le drone (de l’espèce Dronus-dronus Volant) est également très prisé chez la gente geekesque et journalistique.

Techniquement parlant, cette « preuve de faisabilité » est très en deçà de ce qu’un modeste pratiquant du lâcher de ballon-sonde associé à un émetteur APRS est capable d’obtenir. Aucune mesure de pression, d’altitude, de température, pas d’émission des données en temps réel… non, ce qui est important, ce sont bien les mots « kitten » et « wardriving ».

Que suggérer de mieux, pour la DefCon 2015, que de décliner le sujet avec une série animalière d’attaque en DoS ou Evil Twin. Pour ce faire, il faut un peu de puissance sur 2400 et 5000 MHz, des batteries plus conséquentes, un routeur Wifi, un petit ordinateur et ses unités de stockage, éventuellement une caméra embarquée….et un Saint Bernard pour porter le tout. C’est sympathique et mignon, un Saint Bernard. Surtout si on n’a pas à le nourrir tous les jours. On peut également envisager la réception de signaux ADS-B durant un vol d’oies sauvages, le flicage des routes maritimes à dos de cachalot ou l’endoscopie optique intrusive via des larves de ténia …

Defcon 2014 : Le téléphone fuit furieusement

Posté on 12 Août 2014 at 5:59

Premier prix au hit-parade du flicage, le Chinois Xiaomi avec son smartphone modèle RedMi 1S suivi de près par le Star N9500 qui expédient discrètement, soit au fabricant, soit à de mystérieux collecteurs d’informations, le numéro IMEI, l’Imsi et le nom de l’opérateur. Cette évaporation de données peut, dans certains cas être accompagnée d’exécutions à distance telles que la mise en fonction de l’appareil photo intégré. Rappelons que Xiaoming a littéralement « bouté Samsung hors de Chine » en devenant le premier vendeur de Smartphones de l’Empire du Milieu avec 15,5 millions de terminaux, soit 14% des ventes en Chine pour la période Q2 2014. Comparativement, Samsung prenait 12 % du marché, tout comme Lenovo et Yulong, tandis que Huawei plafonnait à 11 % du marché. On peut constater une très nette reprise en main du marché intérieur par les constructeurs nationaux comparativement à l’an passé. Les espérances de vente de Xiaomi sont de 60 millions de terminaux cette année, tous marchés confondus….

Blackphone, le téléphone sécurisé a été r00té par le talentueux @TeamAndIRC. Le défaut exploité autorise l’accès aux outils de debugging de l’appareil. La faille aurait été rendue possible grâce à l’examen préalable d’un appareil non-durci et non patché. Le patron de la sécurité de BlackPhone a su réagir avec intelligence, en rassurant ses usagers sans conspuer le chercheur en sécurité.

Les services d’urgence du 911 aux Etats-Unis, équivalent du 112 Français, sont vulnérables à un genre d’attaque camouflée très simple, affirment trois chercheurs (Christian “quaddi” Dameff, dr en médecine ; Jeff “r3plicant” Tully, idem ; et Peter Hefley de Sunera ). Leur présentation intitulée « Hacking 911: Adventures in Disruption, Destruction, and Death » explique qu’en temps normal, chaque appel aux services d’urgence est accompagné d’une collecte d’informations concernant l’appelant : numéro d’appel, parfois IMEI, géolocalisation en cas d’appel sur terminal mobile… Mais il existe un mode de fonctionnement qui échappe à ce flicage. C’est lorsque l’appareil mobile est configuré en mode TTY, utilisé notamment par les sourds et malentendants. Ce service purement textuel est, en cas d’appel du 911, centralisé par un fournisseur de services. La présence de cet intermédiaire filtre et supprime l’acheminement des informations de localisation, ce qui donne à l’appelant la possibilité de s’adonner aux plaisirs du canular de mauvais goût : envoyer des pompiers éteindre l’incendie d’une piscine, faire enfoncer la porte d’une célébrité ou d’un ennemi mortel par les forces d’interventions du Swat… et nos lanceurs d’alertes d’imaginer des scénarii dignes d’un blockbuster avec Bruce Willis : détournement de l’attention des forces de police durant l’attaque d’une banque, désorganisation des services hospitaliers sur bruit d’épidémie de peste bubonique… Durant la DefCon, Las Vegas se rapproche toujours un peu plus des studios d’Hollywood.

En Bref …

Posté on 11 Août 2014 at 11:58

Le journal du Sans attire l’attention de ses lecteurs sur Triage-IT, un script « d’inventaire d’urgence » combinant les forces de plusieurs outils édités par Sysinternal et Moonsols (DumpIt de Mattieu Suiche). Config IP, dump mémoire, BDR, données ARP, fichiers partagés et ouverts, informations réseau etc. sont immédiatement « logués » dans un fichier

Publicité

MORE_POSTS

Archives

août 2014
lun mar mer jeu ven sam dim
« Juin   Sep »
 123
45678910
11121314151617
18192021222324
25262728293031