lundi 21 mars 2011

Vidéo du SSTIC bizarre autant qu'étrange.

En 17s:

T+2s: "Poc"
T+4-6s: "Scratch scratch"
T+13s: "bruit indéfinissable" (démarreur grippé?)

Vous ne comprenez pas? Vous n'êtes sans doute pas les seuls, mais je suis sûr que certains trouveront :-)


mercredi 9 mars 2011

Je ne parlerai pas du piratage du ministère des finances

Sun Tzu, dans l'art de la guerre disait:
Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux. Si tu ignores ton ennemi et que tu te connais toi-même, tes chances de perdre et de gagner seront égales. Si tu ignores à la fois ton ennemi et toi-même, tu ne compteras tes combats que par tes défaites.

Cette maxime est vraie en sécurité informatique, mais qui est l'ennemi et comment le connaître?
Il existe plusieurs études réalisées sur le sujet. J'en citerai deux, une américaine et une française, intéressante pour leur approche. Dans les deux cas, je ne parlerai que de la sécurité humaine. La sécurité informatique a une très forte composante "accidents naturels" (disque qui lache, haute disponibilité, résilience, onduleurs, etc..), mais je ne la considère pas dans ce post de blog. Seuls les facteurs "délibérés" seront exposés.

L'étude américaine recense 7 types d'attaquants.
  1. Cyber criminel: Il s'agit de personnes professionnalisées, groupées, qui souhaitent uniquement faire de l'argent. (Identité bancaire, etc..)
  2. Spammers et adware: Des personnes vendant du spam en gros.
  3. Advanced Persistent Threat (APT): Groupes très organisés dont le but est le vol de propriété intellectuelle. Éventuellement, pour la vendre, cher, mais idéalement pour connaitre les idées d'une organisation et travaillent sur le long terme.
  4. Espionnage: Le but est de voler une information particulière. Souvent de groupe réduit, et intéressés par des résultats rapides.
  5. Hacktivisme: Le but est de modifier l'image d'une organisation vers un jour défavorable. (defacement de site webs, leaks d'informations..)
  6. Cyber Guerrier: Exploitation informatique visant à détruire une capacité d'un pays adverse. (pensez à l'Estonie ou à Stuxnet). Lié à l'APT, ou à l'espionnage, mais la finalité fait penser à un but militaire.
  7. Le pirate: Un de ces millions d'informaticiens qui veut simplement tester des trucs, ou prouver au monde qu'il est le plus fort, ou simplement jouer avec des amis.
La défense à apporter à chacun de ces risques va bien évidemment varier. Contre le pirate, il faut être à jour des patchs, utiliser des antivirus et lire ses logs. Pour l'APT, cela devient beaucoup plus compliqué puisqu'il faut prendre en compte qu'il a en main l'intégralité du réseau et qu'il peut même lire les documents internes expliquant la stratégie mise en oeuvre pour s'en protéger! Concernant la cyber guerre, dès que l'objectif visé est connu, la défense devient efficace (pour Stuxnet, patchez vos 4 trous de sécurité et interdisez les ports USB, et l'attaque est anéantie).

Les français ont publié un document (2006, un peu ancien) qui décrit les éléments menaçants; tout d'abord les types, et ensuite les raisons poussant un individu ou une organisation à attaquer.
Types:
  1. Agresseurs: Hacker, qui est passionné et ne veut pas détruire (noté comme de moins en moins expérimenté) et Cracker, qui lui cherche à nuire.
  2. Fraudeurs (trait de caractère français? ;)) le but est de gagner de l'argent d'une victime ou de réduire ses frais (falsification de facture Edf par exemple).
  3. Employé malveillant: fraudeur interne, dont la motivation est soit vengeresse (absence de primes, non reconnaissance interne) soit pour des besoins matériels (détournements de fonds, de biens, chantage etc..)
  4. Militants. Idéologues qui souhaitent faire passer un message par n'importe quel moyen
  5. Espions. Guerre économique, patients, motivés, discrets, travaille à l'échelle étatique ou un concurrent
  6. Terroristes. Les réseaux sont devenus des systèmes vitaux à l'échelle d'un état et les terroristes veulent une action spectaculaire, influente, destructrice, meurtrière.
Les motivations, sont elles, au nombre de 7:
  1. Caractère stratégique: cette menace s'adresse au secret (d'état, de propriété intellectuelle, ou commercial) et aux capacités normales de fonctionnement (résilience). A l'échelle d'état, ou du concurrent.
  2. Caractère idéologique: combat pour les idées. Curieusement, le rapport indique que les pirates ont un courant de pensée souhaitant qu'aucune information ne soit la propriété d'une personne d'un groupe ou d'un état.
  3. Caractère politique: Le WhistleBlower américain. Le but est d'alerter les médias pour faire réagir sur un évènement.
  4. Caractère terroriste: cherche à déstabiliser un ordre établi. Par action violente (destruction) ou détournée (modification de documents). En général le but est spectaculaire. Souvent doté de moyens financiers importants.
  5. Caractère cupide: délinquance en col blanc :) qui se traduit de deux manières. Premièrement le gain (d'argent ou savoir-faire, brevet, etc..) pour l'attaquant. Deuxièmement, une perte pour la victime (crédibilité, fichier client, part de marchés, etc..).
  6. Caractère ludique: la démocratisation de l'informatique a permis à certain d'en décoder le fonctionnement précis. Plus intéressé par le jeu et l'exploit, ils cherchent à montrer les failles du système plutôt que de les exploiter. Les victimes seront des organismes réputés pour leur inviolabilité ou leur haut niveau technique...
  7. Caractère vengeur: souvent du fait d'un employé s'étant senti incompris. Ses actes ne sont pas corrélé avec les causes dans le temps.


On retrouve dans ces deux analyses des traits communs. L'étude française semble plus s'intéresser aux motivations et à l'humain, l'étude américaine aux risques. Dans les deux cas, il manque le cas ou c'est l'administrateur qui se retrouve malveillant (peut-être un sous-ensemble d'employé malveillant, ou l'employé est soit utilisateur, soit admin). Il manque aussi une définition des moyens et de l'expertise des attaquants, mais elle se lit assez bien en filigrane. Les moyens et expertise d'un hacktiviste voulant sauver les baleines à bosses (noble combat, ceci dit) ne seront bien évidemment pas ceux d'un groupe "Advanced Persistent Threat".


Maintenant que l'attaquant n'est plus ignoré, il reste à se connaître pour gagner 100 victoires.

mercredi 2 mars 2011

Retour sur l'USB

Je rebondis sur la remarque de Newsoft pour faire une petite rétrospective de l'USB et de ses failles. Tout d'abord, l'USB, c'est un protocole de communication présent aussi bien sur les ordinateurs que les smartphones, les consoles de jeux, etc.. Et les failles, elles, pleuvent intéressons nous tout d'abord à linux:

Commençons par une faille driver. La carte son USB caiaq sous linux. Le driver copie le nom du périphérique dans une structure de 80 caractères max avec un strcpy. Et paf l'overflow. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0712. Le correctif? Un strlcpy:
- strcpy(dev->pcm->name, dev->product_name);
+ strlcpy(dev->pcm->name, dev->product_name, sizeof(dev->pcm->name));

L'utilisation de strcpy est encore aujourd'hui une réalité..

Sur le périphérique le plus couramment utilisé, c'est à dire la clé USB en mass-storage, le tableau n'est pas plus propre (et je ne parle même pas d'autorun).
En effet, le montage d'un disque va lancer la détection de celui-ci, des partitions, des systèmes de fichiers, etc... Tout cela réalisé en bas niveau. Et que se passe t'il lorsqu'un attaquant branche une clé spécialement préparée?
Le noyau plante (à minima). La raison: "The kernel automatically evaluates partition tables of storage devices. Note that this happens independently of whether auto-mounting is enabled
or not". Il s'agit de tables de partitions Mac et LDM.
Si je prends le noyau debian, on observe qu'a peu près tous les systèmes de partitions sont disponibles, entre autre:
~/debian$ grep LDM_PARTITION boot/config-2.6.32-5-686
CONFIG_LDM_PARTITION=y

Donc si vous avez une debian, changez le noyau.

Et des failles liées à l'USB, on en trouve pleins d'autres dès qu'on cherche un peu. Je vais finir par coller les prises USB de mon laptop pour gagner en sécurité :-)

Enfin, on a encore une nouvelle norme, ThunderBolt qui est disponible sur les Macs. D'emblée en lisant wikipedia une partie sécurité prévient: "Since Thunderbolt extends the PCI Express bus, which is the main expansion bus in current systems, it allows very low-level access to the system. PCI devices need to have unlimited access to memory, and can thus compromise security. The same is true about other expansion bus standards such as PC Card, ExpressCard and FireWire. Also, compromised video display devices such as video projectors and monitors have thus become a security concern when connected to a Thunderbolt port."

On imagine du coup facilement les risques:
-"Monsieur le commercial, branchez donc votre machine sur notre rétro projecteur 'thunderbolt TM' afin qu'on puisse voir votre présentation (et qu'on en profite pour siphonner votre disque dur du même coup)"