mars 10th, 2017

200 000 caméras Wifi vulnérables… encore

Posté on 10 Mar 2017 at 9:51

Les jours de l’IoT se suivent et se ressemblent. Cette fois, le chercheur Pierre Kim est tombé sur un OEM quelque peu fâché avec la « security by design », et dont les étourderies et mauvaises pratiques se sont répercutées sur tous les modèles de ses clients intégrateurs. Au total, plus de 1200 modèles et marques, soit environ 200 000 équipements dans la nature, peuvent être considérés comme faillibles.

Les failles en question sont d’un pur classicisme:

Mot de passe de maintenance telnet (aka « backdoor ») par défaut : root:$1$ybdHbPDn$ii9aEIFNiolBbM9QxW9mr0:0:0::/root:/bin/sh

Contournement d’authentification lors des accès aux pages contenant les fichiers de configuration (lesquels contiennent les créances ftp et smtp des usagers)

Contournement d’authentification permettant l’exécution à distance de code dans le noyau de la caméra, avec privilèges root

Accès au serveur rtsp, port 10554, sans authentification nécessaire. N’importe qui peut alors voir le flux vidéo que délivre l’appareil

Vulnérabilité dans le service d’administration distante via Cloud pouvant, après attaque en Brute Force révéler les logins d’accès aux appareils. Pierre Kim estime d’ailleurs que cette vulnérabilité va bien au-delà de l’attaque des caméras en question, mais pourrait servir à attaquer plus d’un million d’appareils IoT utilisant le service.

… parfois, nul n’est besoin d’avoir à lire 8700 pages de fichiers CIA pour espionner son prochain.

Patch anti-CIA chez Intel

Posté on 10 Mar 2017 at 9:29

Bien qu’une large proportion des espioniciels décrits dans les documents « fuités » de la CIA aient été bloqués grâce aux mises à jours successives des programmes et firmwares, certains risques demeurent, véritable aubaine pour les spécialistes du marketing InfoSec. Les annonces pleuvent dont celle d’Intel qui propose gracieusement un programme d’inventaire de vulnérabilités capable d’analyser les éventuelles atteintes au bios UEFI ciblé par quelque infâme CIAware.

Chipset, plateforme gratuite d’inventaire de failles conçu par les ingénieurs d’Intel, existe depuis un peu moins de 3 ans. Ce logiciel doit être récupéré sur un dépôt Github, et sa toute dernière mise à jour inclus un module python d’analyse des bios par « liste blanche » spécifiquement destinée à l’examen de la chaine de démarrage de l’ordinateur.

La faille, sa vie, son œuvre, sa légende

Posté on 10 Mar 2017 at 7:34

La Rand Corporation publie une étude plutôt copieuse de 115 pages, entièrement consacrée aux exploits « Zero Days », travail qui repose sur l’analyse quasi « sociologique » d’environ 200 failles « inconnues et non corrigées » au moment de leur exploitation, le tout sur une période allant de 2002 à 2012. Un formidable travail de bénédictin qui classe les failles en X catégories : les « vivantes », connues publiquement, les « immortelles », qui ne seront jamais corrigées, généralement en raison de la disparition de l’éditeur et de l’absence de maintenance du code, les « décédées », celles pour lesquelles un correctif a été développé et enfin les « zombies », failles corrigées sur des versions récentes des logiciels faillibles, mais toujours actives sur des éditions plus anciennes. Les Zero Day se situent dans un monde parallèle, et parfois franchissent le pas qui va de l’ombre à la lumière, prenant alors de statut de faille vivante.

Combien de temps peut vivre un zéro day ? Longtemps, très longtemps. En moyenne 7 ans, affirment les statisticiens de Rand. Si certains trépassent dans leur prime jeunesse -25% n’ont une espérance de vie de seulement 1,5 an, ce qui n’est déjà pas mal, d’autres ont l’âme chevillée au corps. Sur 200 cas précis, 25% peuvent se maintenir en activité durant 8 ou 10 ans. Mais le moindre mouvement est susceptible de révéler l’existence de l’exploit sur les radars des chasseurs de faille. Et dans ce cas, le malware n’a plus qu’à numéroter ses abatis : en moins de 22 jours, une parade est développée puis déployée. C’en est fini du Zero Day.

Le taux de découverte d’un même ZDE par une équipe de recherche tierce est assez faible, aux environs de 5%. Une sorte d’assurance-immunité qui joue en faveur d’un marché parallèle florissant, dans les allées duquel se côtoient truands et barbouzes, clients prêts à payer très cher ces machines à intrusion. Entre 100 000 $ et un million de dollar (montant d’une panoplie complète d’attaque sur iPhone). Une lecture que l’on ne peut que recommander aux agents de la CIA.

EN Bref …

Posté on 10 Mar 2017 at 7:28

L’Israélien Cybereason offre un outil gratuit de « protection contre les ransomwares ». Très peu de renseignements sur le fonctionnement du programme. Analyse comportementale, affirme l’éditeur, et peut-être surveillance des accès aux API de chiffrement Windows

Droit à l’oubli ? l’UE a un trou de mémoire

Posté on 10 Mar 2017 at 7:18

L’agence Reuters rapporte une décision de la cour de justice de l’Union Européenne stipulant que les personnes privées ne peuvent demander l’effacement des données personnelles incluses dans les registre des Chambres des Commerces chargées de l’enregistrement des entreprises.

A l’origine de cette décision, la plainte d’un entrepreneur Italien, Salvatore Manni. Constatant la mévente d’un complexe immobilier touristique dont il avait la charge, il invoque alors le fait que les clients potentiels se sont désistés après avoir consulté les registres des sociétés qu’il avait précédemment dirigé. Or, la précédente entreprise avait dû déposer le bilan. Cette mésaventure entachant la réputation du vendeur, celui-ci demande alors l’application du « droit à l’oubli ». De refus en refus, l’affaire finit par se plaider au niveau Européen. En vain, puisque Manni est débouté, au motif que les registres des chambres de Commerce ne contiennent que très peu d’informations à caractère personnel. Bonne renommée vaut mieux que ceinture d’avocats.

Dans le flou de Wikileaks

Posté on 10 Mar 2017 at 1:01

Bombe médiatique, la série de révélations diffusée par Wikileaks l’est, sans l’ombre d’un doute. Mais une bombe qui n’explose pas nécessairement là où la presse généraliste l’affirme. Des téléviseurs connectés indiscrets ? Des techniques d’évasion contre les antivirus ? Des failles exploitées dans les noyaux embarqués des routeurs et téléphones portables ? Le fait même qu’une agence de renseignement cherche à militariser des exploits ? Tout ça n’a strictement aucun caractère de nouveauté pour qui fréquente de temps en temps les conférences sécurité. D’autant moins qu’aucun des cyber-flingues décrits ne peuvent servir dans des opérations de surveillance de masse. Ce sont là des « spear-malwares », des programmes destinés à cibler une cible unique et précise. Dégâts collatéraux mineurs et peu inquiétants, donc.

Ce qui, en revanche, dérange un peu plus la communauté Infosec, ce sont des détails qui échapperaient un peu plus au grand public. A commencer par la date de publication de ces informations, et les assertions de Wikileaks.

La date de publication tout d’abord, peu de temps après le basculement de la Maison Blanche dans le camp Républicain. Wikileaks, qui, durant toute la campagne électorale, n’a cessé de divulguer des documents à charge contre le parti Démocrate, n’a jamais tenu sa promesse « d’en faire autant pour la partie adverse ». Avec, pour première conséquence, une perte de crédibilité d’autant plus importante que bon nombre des positions émises par Wikileaks étaient reprises en écho par Sputnik, organe de propagande piloté par le Kremlin. Cette nouvelle série de révélations pourrait éventuellement constituer une tentative de reconquête de l’opinion, en replaçant Wikileaks dans son rôle de lanceur d’alerte et d’opposant aux pratiques de basse police. Mais cette collection de « non révélations techniques » d’une fraîcheur douteuse sent trop le renfermé. Trop peu d’informations, datant d’il y a trop longtemps.

Autre fait troublant, la série de documents « fuités » ferait partie d’un ensemble de fichiers qui seraient passés de mains en mains entre différents hackers travaillant pour le compte de l’Agence ( The archive appears to have been circulated among former U.S. government hackers and contractors in an unauthorized manner). Durant plus d’un an ou deux ? Sans que la CIA ne parvienne à l’apprendre ? Voilà qui semble assez improbable. Un codeur s’attarde peu à collectionner des exploits vieux de deux ans pour la plupart, surtout s’il travaille réellement pour le gouvernement et possède les autorisations nécessaires d’accès aux ressources en question. Ce qui pose la question de l’origine de la source d’information. Laquelle source joue sans l’ombre d’un doute aux échecs avec (ou contre) les services de renseignements US. La « fuite CIA » est une pièce que l’on avance semblant dire « un pion peut en cacher un autre ». Mais on est loin du gambit. Un joueur plus averti aurait placé des pièces menaçantes, plus récentes, prouvant à quel point il est capable d’infiltrer les ordinateurs stratégiques des Etats Unis.

Le contenu publié interroge également. Aucune identité révélée (les précédentes divulgations de Wikileaks prenaient moins de pincettes lorsqu’il s’agissait de violer la correspondance privée de personnalités politiques) et surtout aucun code véritablement actif, ni charge utile, ni dropper, ni programme de contournement. « Il seront, peut-être, publiés plus tard ». L’on peut arguer du fait que l’ouverture des vannes à spywares estampillés CIA aurait les conséquences dramatiques que l’on peut imaginer, et qu’une institution telle que Wikileaks se sentait responsable de la sécurité des usagers. Mais une ou deux preuves concrètes n’auraient pas été de trop. D’ailleurs, si Wikileaks possède cette panoplie d’armes numériques, pour quelle raison cette organisation n’a-t-elle pas déjà entamé une campagne d’information à destination des éditeurs et équipementiers mentionnés dans les quelques 8700 documents ? Là est la véritable responsabilité. Et puis, compte tenu du nombre de victimes potentielles et de la publicité faite autour de ces révélations, les éditeurs auraient profité de l’aubaine pour clamer bien haut leur volonté de corriger et renforcer leurs productions « grâce à Wikileaks ». A commencer par les éditeurs d’antivirus, toujours prompts à sortir des torrents de communiqués de presse. Pourquoi manquer à ce point une occasion de jouer les cyber-garants des libertés et de la sécurité ?

Du côté de la communauté des chercheurs en sécurité, la révélation de l’existence d’une cyber-armada d’exploits battant pavillon CIA soulève un cas de conscience. Alors que commencent à se développer de plus en plus les initiatives « bug bounty », que les éditeurs et chasseurs de failles parviennent à trouver un terrain d’entente, voilà que ressurgit le spectre de la militarisation des failles exploitables, la certitude de l’existence d’un marché occulte du « PoC à barbouzes ». A tel point que certaines voix plaident pour un retour au « full disclosure », ou militantisme de la transparence immédiate et totale, présenté comme la seule parade possible.

En Bref …

Posté on 10 Mar 2017 at 12:28

Zero Day pour Apache Struts 2, à corriger d’urgence ! prévient Nick Biasini sur le blob du Response Team de Cisco-Talos . Le trou de sécurité serait activement exploité. Struts est un environnement de création d’applications Web

Oubliez le Buzz ! Une petite histoire de la CIA par Wikileaks

Posté on 10 Mar 2017 at 11:35

Coup de pub ou véritable cri d’alerte ? Wikileaks publie environ 8700 documents révélant l’existence d’outils, de développements en cours durant les années 2014-2015, de liste de systèmes d’exploitations et applications « ciblées » pour y implanter chevaux de Troie et spywares… mais aucun code, aucun nom, aucune adresse IP ne sont contenus dans cette montagne de fichiers. Le travail de vérification et de recoupement des sources est donc difficile, voire impossible.

Si ce déluge de pages html ne contient pas de véritable révélation technique tangible, il confirme pourtant bien des choses que les professionnels de la sécurité savaient de manière intuitive ou logique.

Oui, la CIA peut « contourner » (et non casser) les principaux outils de messagerie instantanée chiffrés, en profitant des failles de sécurité des systèmes hôtes (IOS, Windows, Android, Linux… )

Oui, les développeurs et reversers qui travaillent pour le compte de la CIA s’intéressent de très près à l’Internet des Objets et cherchent à exploiter les failles (nombreuses) des systèmes embarqués. Et Non, tous les téléviseurs ne sont pas « rootés » avec Weeping Angel… tout au plus un modèle particulier du constructeur Samsung, avec une série de firmware très précis, a fait l’objet de tentatives de développement d’espioniciel pouvant laisser espérer une écoute des conversations tenues dans la pièce où est installé l’appareil. Cela fait beaucoup trop de « si » pour transformer un PoC en arme générique facile à déployer.

Oui, cet intérêt porté aux objets connectés s’étend au secteur automobile. La prise de contrôle à distance d’une pédale d’accélération et d’une direction assistée coûte moins cher et se montre plus discret qu’une arme à feu.

Oui encore, il apparaît clairement qu’il existe un arsenal de procédés de camouflage de code et d’exploits proprement rangés, visant par exemple les noyaux embarqués des téléphones mobiles, les systèmes d’exploitation station et serveurs les plus vendus, à commencer par Windows, et que bon nombre de ces exploits ne sont pas nécessairement « made in CIA ». Car…
…Oui, Il existe une sorte de marché de la vulnérabilité exploitable sur lequel la NSA, la CIA, le CGHQ Britannique font leurs emplettes et s’échangent parfois les fruits les plus intéressants. Certaines de ces failles, suggère le document, doivent être classifiées afin que l’éditeur ou le constructeur, tenu dans l’ignorance de ce défaut, ne cherche pas à le corriger. Et si de surcroît la faille affecte un appareil ou un logiciel largement diffusé à l’étranger, ce n’en sera que mieux et facilitera la surveillance d’acteurs politiques, du monde de la presse ou de l’industrie. Parfois même, d’anciens spywares publics, tels que les productions de l’entreprise Italienne Hacking Team , peuvent servir de source d’inspiration.

Indispensable complément à cet arsenal, les vecteurs d’attaque et d’espionnage que développe la CIA intègrent des méthodes d’évasion ou de camouflage ciblant la majorité des antivirus et firewall.

Mais tout ça reste très en deçà du niveau des révélations Snowden, lesquelles s’attachaient moins aux détails des outils employés qu’aux grandes lignes stratégiques de la NSA, à ses capacités d’infiltration des opérateurs télécom, à ses accords secrets passés avec les Gafa notamment. Wikileaks n’offre, pour l’heure, qu’un instantané des moyens mis en œuvre par les services de renseignements extérieurs des USA. Des moyens intéressants, mais qui ne permettent pas de mesurer l’activité réelle de la CIA, pas plus que l’étude du canon Gribeauval ne peut expliquer l’ensemble des campagnes Napoléoniennes.

La bonne nouvelle, c’est que le sensationnalisme qui a entouré cette publication sauvage va pousser les Samsung, Apple, Microsoft, Google et quelques autres à « pousser » quelques correctifs et auditer leurs systèmes embarqués avec un peu plus d’attention.

UBER : Chasser les flics, « an App for that »

Posté on 10 Mar 2017 at 9:50

L’actualité autour d’Uber ressemble à une partie de Mille Bornes, dans laquelle chaque joueur abat ses « bottes » et ses « coups fourrés ». Un pneu crevé pour la publication de la vidéo d’un Travis Kalanick plein de morgue et de mépris. Limitation de vitesse face aux conditions de travail draconiennes qui lient l’employeur à ses « employés-patrons». Panne d’Essence avec les différents légaux et techniques d’un Google qui accuse Uber de vol de technologie. L’image de marque de l’entreprise dégringole un peu plus chaque jour.

Mais c’est le New York Times qui vient d’abattre la carte « Accident », en révélant l’existence de Greyball, une « app » chargée de profiler chaque client d’Uber et annuler la course si celui-ci appartient au mieux à une entreprise concurrente, au pire à un organisme de police ou de contrôle fiscal.

Dans un pays où la petite entreprise ne connaît pas la Cnil, tout au plus les communiqués rageurs de l’EFF ou de l’Epic, cette initiative « visant à renforcer la sécurité des chauffeurs » indigne les médias et scandalise la police. Pour quelle raison ? Qu’est-ce qui différencie le profilage perpétuel d’un Google ou d’une NSA de celui d’un Uber ? Peut-être simplement le fait que l’un est en grande partie virtuel et l’autre débouche sur un acte concret. Mais c’est également une question sociétale

En Europe, la définition platonicienne de la République pourrait se résumer en une phrase lapidaire : « seule structure habilitée à employer des moyens que condamne son corpus législatif ». Tuer, agresser son voisin, kidnapper, racketter, dicter un comportement de manière coercitive est un délit lorsque pratiqué par un particulier, et un droit régalien pour un Etat-Nation, que l’on appelle justice, armée, police et finance.

Outre Atlantique, cet attachement aux droits régaliens est un peu plus distendu, mâtiné d’esprit libertarien, cherchant à chaque instant de s’affranchir de tout carcan étatique ou de toute inféodation à l’assentiment populaire. Ce qu’Alexis de Tocqueville désignait par le « refus d’une dictature de la multitude ». Sans ce rêve libertarien et libéral, point de startup, de rêve Américain, de plans audacieux et de fortunes rapides. Moins de protection sociale de l’individu, d’unité des textes de loi sur l’ensemble du territoire, d’égalité devant l’impôt, d’équité devant la justice et de respect scrupuleux de la vie privée.

Une situation qui n’aurait que très peu d’importance si ces différences sociétales étaient confinées. Ce qui est loin d’être le cas, puisque les Google, Uber, Microsoft exportent et imposent leur modèle de fonctionnement en Europe. Si Greyball est de l’histoire ancienne et n’a a priori pas concerné le marché du vieux continent, tout le reste, de la paupérisation des pseudo-employés aux méthodes de management d’une brutalité extrême a bel et bien été imposé en nos contrées. Jusqu’à quel point ? Que les développeurs d’Uber se rassurent. Dans le monde des produits et services, il y a toujours moyen de se lancer dans une formidable opération de retrofit marketing pour donner une nouvelle vie à Greyball. Un abonnement « baluchonnage et monte-en-l’air » facturé 25 % des gains journaliers, une édition « spéciale Ministre délégué chargé du Budget » en langue Helvétique (non, pas le Romanche, le patois Banquier), voir un « custom design » ne nécessitant que très peu de modification, pour conducteurs de go-fast ou commerçants de végétaux biologiques, Place de la Boule à Nanterre.

Publicité

MORE_POSTS

Archives

mars 2017
lun mar mer jeu ven sam dim
« Fév   Mai »
 12345
6789101112
13141516171819
20212223242526
2728293031