août 17th, 2015

Defcon : NetRipper (sur Github) est un outil « post exploitation » d’analyse intelligent du trafic réseau, un sniffer qui détecte et met en évidence les échanges douteux d’une machine compromise

En ces temps ou les « bugs téléphoniques du siècle » se succèdent au rythme d’une série B télévisée, Lobotomy est un outil de détection de vulnérabilités sous Android , en téléchargement sur Github

« Une vuln de fonte unique pour les commander tous », de Mateusz Jurczyk (j00ru pour les intimes) pour le Google Project Zero, se penche sur l’exploitation des défauts des fontes de caractères. Premier épisode , second volet , troisième acte , et les transparents de ReCon .

Tous les systèmes de communication distribués font, un jour ou l’autre, l’objet d’études visant à transformer leurs « correspondants » en un formidable botnet ou leur système d’échange en un énorme canon à déni de service distribué. Déjà, par le passé, certains spywares (Gator par exemple, ou les DRM de Sony Music) ont révélé des failles offrant un tel potentiel. En attendant qu’un chercheur trouve un défaut dans le système de mise à jour d’un antivirus ou d’un système d’exploitation connu, quatre chercheurs universitaires Britanniques et Allemands sont parvenus à modéliser une attaque par amplification en utilisant les clients d’un réseau d’échange Peer to Peer conçu à partir du protocole ouvert Bittorrent. Les logiciels uTorrent, Mainline, Vuze sont vulnérables à ce genre d’attaque.

En substituant son adresse IP à celle de la cible à attaquer, un faux client P2P transforme alors tous les systèmes de retransmission accessibles du réseau P2P en attaquants. Des attaquants qui, du fait d’un manque de vérification de validité de l’adresse IP et d’une absence de contrôle des accusés de réception de paquets (ACK), parviennent à submerger la cible sous un déluge de paquets jusqu’à 54 fois plus important que le volume initial émis par l’attaquant. En jargon de téléchargeurs, l’attaquant fait passer sa cible pour un Leecher et incite tous les Seeders d’un Swarm à bombarder la cible de paquets*.
L’attaquant est indétectable puisque son adresse IP ne peut apparaître dans les trames de dénis de service. Masqué par les « serveurs intermédiaires », il peut également viser plusieurs cibles différentes sans qu’il n’ait besoin d’une liaison Internet à large bande passante. Ce genre d’assaut est appelé DRDos, pour Distributed Reflective Denial-of-Service (et non pas en hommage au noyau de Digital Research).
Les attaques en Ddos se professionnalisent de plus en plus depuis ces 2 dernières années, et font partie des techniques de racket les plus utilisées à l’encontre des grandes entreprises utilisant Internet. Elles peuvent également cacher, par « foisonnement », d’autres actes agressifs tels que des tentatives d’intrusion qu’il devient alors très difficile de détecter dans des logs parfois saturés.

*NdlC Note de la Correctrice : j’ai bien tenté de passer la phrase sur Google Translate, mais il n’y a pas d’option L33tsp34k.

La dernière fournée en date des « fichiers Snowden » confirme la longue collaboration de l’opérateur AT&T avec les services de renseignement US, et fournit une idée plus précise de l’ampleur de cette « machine à surveiller » intérieure qu’on construit, année après année, les deux entités. L’article conjoint de Propublica et du New York Times reviennent sur ces amitiés particulières qui remontent à 1985.

Lorsqu’ont été publiés les premiers fichiers Snowden, l’opérateur avait immédiatement réagit en précisant que seules les lignes terrestres faisaient l’objet d’une telle surveillance. Il semble qu’il n’en soit rien, puisque dès 2011, AT&T fournissait déjà à la NSA jusqu’à 1,1 million d’enregistrements de communications entre téléphones cellulaires par jour, sous le couvert du Patriot Act.

Plus grave encore, cette affaire dévoile un pan entier de la politique d’espionnage systématique des diplomates et personnes détachées au service de l’ONU, dont le siège est à New York. Si le fait était déjà connu, on ignorait l’implication directe d’AT&T dans cette opération, ni même le fait que ces écoutes étaient autorisées par une décision de justice qui chapeautait l’ensemble des opérations désignées par le nom de code Fairview.

Un Fairview tentaculaire, qui capturait tout ce qui passait sur le réseau de l’opérateur. Dès les premiers mois de fonctionnement, écrivent les journalistes, près de 400 milliards de métadonnées ont ainsi été enregistrées et environ un million d’emails par jour se sont retrouvés aiguillés vers les centres d’analyse et de recherche de mots-clefs de Fort Meade, siège de la NSA. En 2011, précise l’article, le volume de métadonnées frisait les 1,1 milliard d’enregistrements d’appels par jour. Des métadonnées indiquant notamment l’origine de l’appel, sa destination, sa durée et, par recoupement, la fréquence des appels passés entre telle et telle personne. En 2008, cette analyse de trafic s’étend aux autres opérateurs utilisant les services et réseaux d’AT&T dans le cadre d’accords de peering.

Que récupérait cette fantastique pêche au chalut ? Bien sûr un volume immense de communications (emails, téléphones fixes et mobiles) de citoyens US. Mais également, et surtout, les échanges provenant de pays étrangers. Car, explique le NYT, s’il faut l’aval d’un juge pour surveiller les communications d’un citoyen US, le Foreign Intelligence Surveillance Act (Fisa) permet de s’en passer lorsqu’un étranger communique avec ce même citoyen. Et strictement aucune limitation ou entrave légale ne vient interdire l’enregistrement d’une communication (ou métadonnées, ou détournement d’email…) établie entre deux ressortissants étrangers. Et au nombre de ces étrangers, les plénipotentiaires des Nations Unies.

S’ajoute à cette longue liste de vol de données et d’écoutes les échanges de pays à pays qui doivent, pour des raisons purement techniques, transiter sur le sol Américain, et, dans bien des cas, via un des hubs de AT&T. 60 millions d’échanges par jour estime-t-on, qui ont souvent «volontairement adressées » à l’agence de renseignements US.

Si les estimations du NYT ou du Guardian sont exactes, les fichiers Snowden publiés à ce jour ne représenteraient que seulement 1% du volume détourné des ordinateurs de la NSA.