tag:blogger.com,1999:blog-2330984441575997476.post3955371585078798825..comments2023-04-03T13:37:17.973+02:00Comments on Exploitability: badbios, php.net et la grehackKevinhttp://www.blogger.com/profile/02931502286392645382noreply@blogger.comBlogger6125tag:blogger.com,1999:blog-2330984441575997476.post-22375334837862544512013-11-02T10:59:39.963+01:002013-11-02T10:59:39.963+01:00On m'a envoyé plusieurs fois le même lien qui ...On m'a envoyé plusieurs fois le même lien qui "prouverait" que badbios ne serait que du vaporware:<br /><a href="http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/" rel="nofollow">http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/</a>.<br /><br />Quelques réactions face à ça:<br />-Comme indiqué, je n'ai fait que compiler quelques liens sur un sujet qui me semble d'intérêt, et je dis juste que l'histoire mérite d'être suivie.<br /><br />-L'analyse faite par rootwyrm repose sur trois points:<br />1/ il est impossible d'avoir un code unique infectant tous les BIOS du marché. 2/ Un BIOS modifié serait immédiatement détecté grâce au checksum d'intégrité. 3/ Certaines supposées fonctionnalités de badbios sont impossibles à réaliser depuis le BIOS (émettre du son ou manipuler des process).<br /><br />C'est intéressant, mais dragosr n'a jamais indiqué que toutes les machines du monde seraient infectées, il a seulement dit que le malware résistait au reflashage d'un BIOS. Concernant le contrôle d'intégrité supposé rendre les modifications de BIOS immédiatement détectables, je pense qu'on peut juste rire un grand coup (intégrité != signature et je contournais déjà des routines d'intégrité dans des jeux sous DOS). Et enfin dragosr indique bien que des fonctions sont effectuées au niveau de l'OS (puisqu'il parle d'un hyperviseur).<br /><br />Ainsi, je pense que rootwyrm a partiellement raison: imaginer que badbios soit un malware uniquement logé dans un BIOS est impossible. Le problème, c'est que dragosr indique dans ses tweets qu'il s'agit bien d'un malware à multiples étages, dont l'infection du BIOS ne serait qu'une partie, il reste l'hyperviseur, la carte son, les fontes, les firmwares des clés USB, les CD, etc..<br /><br />Comme on me faisait remarquer aussi, dragosr s'est peut-être fait owner non pas ses machines, mais seulement son compte twitter et on est juste en face du troll de l'année :-)Kevinhttps://www.blogger.com/profile/02931502286392645382noreply@blogger.comtag:blogger.com,1999:blog-2330984441575997476.post-30477967384033900602013-10-31T09:29:22.804+01:002013-10-31T09:29:22.804+01:00@ITI: merci pour ces précisions
Et pour la GreHac...@ITI: merci pour ces précisions<br /><br />Et pour la GreHack, n'hésitez pas à me voir pour discuter de ça ou autre chose [ou juste boire une bière, c'est sympa aussi :-) ]Kevinhttps://www.blogger.com/profile/02931502286392645382noreply@blogger.comtag:blogger.com,1999:blog-2330984441575997476.post-2079328663025889322013-10-30T16:09:48.080+01:002013-10-30T16:09:48.080+01:00@Kevin: Ne mélangeons pas, l4air Gap est une notio...@Kevin: Ne mélangeons pas, l4air Gap est une notion bien connue qui consiste à introduire un "espace vide" entre deux possibles connexions, afin de s'assurer de l'absence de liaison électronique. Tonton Bruce ne parle pas de liaison radio.<br />En ce qu iconcerne le SDR, en réception comme en émission, il faudra bien une antenne (un aérien dans le vocable radio ham), probablement une préamplification en réception et une amplification en émission. Il faudra également un multiplexeur (on fait quoi de nos I &Q ?). Le DAC/ADC de la carte son ne fait pas tout. Je pense qu'on peut évincer de cette démarche le rêve de laision radio. Par contre, à la GreHack, il y aura des gens pour t'en causer (MarcO ou BrunoK...).<br />Amicalement,<br />ITIITInoreply@blogger.comtag:blogger.com,1999:blog-2330984441575997476.post-62871646216575546182013-10-30T14:15:45.063+01:002013-10-30T14:15:45.063+01:00@IT, @Anonyme: Pour le SDR, ça reste imaginable.
S...@IT, @Anonyme: Pour le SDR, ça reste imaginable.<br />Si on lit par exemple <a href="https://www.schneier.com/blog/archives/2013/10/air_gaps.html" rel="nofollow">https://www.schneier.com/blog/archives/2013/10/air_gaps.html</a>, Schneier indique utiliser un portable déconnecté du réseau et qu'il échange uniquement des fichiers chiffrés via clés USB. Il est plus que probable que son PC connecté à internet et celui déconnecté de tous réseaux soient dans la même pièce: son bureau. Et nous sommes précisément dans une situation ou badbios est efficace.Kevinhttps://www.blogger.com/profile/02931502286392645382noreply@blogger.comtag:blogger.com,1999:blog-2330984441575997476.post-29967233054132811132013-10-30T10:53:29.753+01:002013-10-30T10:53:29.753+01:00C'est un peu du pinaillage, mais c'est pas...C'est un peu du pinaillage, mais c'est pas le hardware qui est compromis, c'est le middleware ou firmware (couche driver bas-niveau), et encore pour les éléments reprogrammables ( les OTP sont encore sûrs). La solution est simple : rajouter des OTP avec clés de cryptage pour empêcher les reprogrammations non désirées.<br /><br />Sinon le SDR ça sent un peu l'effet d'annonce : même en supposant qu'il soit possible d'émettre avec la carte son (quelle antenne ?) la portée d'émissions sonores ne dépasse pas le cadre d'un appartement. Idem pour le wifi : le bâtiment au maximum.<br /><br />Par contre le contrôle du BIOS (et du mbr je suppose) est une mauvaise nouvelle...<br /><br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-2330984441575997476.post-44310362693853136012013-10-29T16:21:10.127+01:002013-10-29T16:21:10.127+01:00Yop. Faut pas rêver, SDR ne rime pas avec magie. F...Yop. Faut pas rêver, SDR ne rime pas avec magie. Faut quand même un peu de composants avant de pouvoir sortir un signal. Et la carte son n'est là que pour jour le role de CAN CNA, pas d'étage final ni de mixer..... ;-)ITInoreply@blogger.com