octobre, 2014

EN BREF …

Posté on 29 Oct 2014 at 1:39

Selon H.D. Moore, certains firewall Palo Alto mal configurés pourraient laisser fuir l’identifiant, le nom de domaine et le condensat du mot de passe des utilisateurs authentifiés sur le réseau local protégé. L’équipementier rappelle dans un communiqué la nécessité de respecter certaines bonnes pratiques.

En Bref …

Posté on 29 Oct 2014 at 1:36

En bref …

Posté on 29 Oct 2014 at 1:06

Le bug qui fit perdre un demi-million de dollars à Las Vegas : un article de Kevin Poulsen dans Wired . Se lit comme un thriller et fait regretter que certaines failles n’aient pas, en 2009, été référencées sur le Bugtraq ou publiées sur la liste Full Disclosure.

En Bref …

Posté on 29 Oct 2014 at 1:00

Avec le titre aussi alléchant qu’allitérant de Google Poodle affect oodles Netcraft tire une analyse, des conseils et un bilan provisoire du bug SSL v3 alias Poodle

En Bref …

Posté on 29 Oct 2014 at 12:51

Un troll ? Allez tout droit en prison, ne touchez pas $20.000. Le Secrétaire à la Justice Britannique Chris Grayling envisage de proposer une loi anti-troll visant à poursuivre les instigateurs des « lynchages en ligne » révèle le Guardian . Qui donc poursuivra Grayling pour troll ?

En Bref …

Posté on 28 Oct 2014 at 8:21

Sandworm, la vengeance : Symantec explique comment un exploit Sandworm (attaque OLE) peut contourner les premières vagues de correctif CVE-2014-4114. Cette nouvelle menace (CVE-2014-6352) est corrigée par un « fixit » Microsoft . Un article du blog de F-Secure commente également cette « faille 2.0 »

En Bref …

Posté on 28 Oct 2014 at 7:15

Shellshock, le retour : le Sans signale plusieurs tentatives d’exploitation de la faille Shellshock (défaut du Bourn shell) via le protocole de messagerie smtp .

En Bref …

Posté on 28 Oct 2014 at 6:58

3 heures de retard sur un vol Los Angeles-Londres après qu’un passager ait découvert le SSID douteux d’un routeur WiFi : « Al-Quida Free Terror Nettwork » rapporte EyeWitnessNews . Le climat de suspicion entretenu par les compagnies aériennes et les entreprises de sécurité physique peut parfois leur coûter cher

Deux années de hacking SCADA en accès libre

Posté on 28 Oct 2014 at 5:07

Bob Radvanovsky et Jacob Brodsky ne sont pas des inconnus dans le monde de la sécurité industrielle. Cela fait près de deux ans qu’ils balayent Internet à la recherche de signatures caractéristiques propres au système de commande de processus industriels. En d’autres termes, ce sont des chasseurs de Scada, des entomologistes de l’OIV (opérateur d’importance vitale) qui publient ouvertement ce que des organismes comme l’Anssi ne souhaitent pas voir consulté. Et leur dernier rapport en date n’est pas des plus rassurants.

Leur arme ? Shine, pour Shodan INtelligence Extraction, un outil d’analyse des résultats tirés des scans de Shodan. Shodan, conçu par John Matherly, est un formidable outil de recherche qui passe son temps à parcourir Internet et classer, numéro de port par numéro de port, service par service, les équipements qui y sont connectés. Plus qu’un grand frère de Nmap, Shodan est le Google des objets connectés, auquel n’importe qui peut avoir accès à l’aide d’un simple navigateur. Inutile de préciser que, depuis 2012, date du lancement de Shine, il s’est proféré autant de menaces, autant de prédictions catastrophiques qu’il en fut à l’apparition de Nmap… outil de pirate mettant en danger la solidité de la civilisation occidentale, coin enfoncé dans le système vital des nations, acte d’un traître irresponsable… ce genre de propos réapparaît avec régularité. Seul le sujet change, par la magie d’un couper-coller. Aujourd’hui Shine et Shodan, hier le Full Disclosure, Nmap, Metasploit, voir les simples « googlehacking » de Johnny « I hack stuff » Long. La sécurité par l’obscurantisme digère toujours très mal certains plats épicés avec de véritables morceaux d’imprécation. Le roi est nu, la cour ne souhaite pas l’entendre.

Car l’une des premières applications de Shodan a précisément été d’extraire de ses bases de données des signatures significatives, autrement dit des métadonnées prouvant que de vieilles versions de systèmes étaient en service dans telle ou telle administration, ou que tel ou tel organisme utilisait un équipement réputé pour ses mots de passe par défaut et ses vulnérabilités rarement corrigées. Des multiples publications sur le sujet, l’on peut citer la présentation de Sajal Verma intitulée Searching Shodan For Fun And Profit , qui explique comment faire « parler » Shodan avec l’aide de Metasploit. Nombre de Services en fonction, numéros de version des différents outils installés, nature des services, numéros de ports actifs et visibles, localisation géographique, nom de domaine…

Mais mettre le doigt sur une antique version de Windows 2000 n’a que peu d’intérêt en termes de niveau de risque (hormis lorsque ces antiquités arborent une IP d’opérateur télécom par exemple). En revanche, ce qui passionne Bob Radvanovsky et Jacob Brodsky, ce sont de toutes autres signatures, celles reflétant les noms de Siemens, EnergyICT, Moxa, Lantronix, VXWorks, Intoto, Allied Telesyn, Honeywell, Liebert, Lennox. Bref, des automates programmables, des calculateurs de contrôle de processus industriel, des capteurs, des actuateurs, des transmetteurs utilisés dans des raffineries, des usines de production d’énergie, des forges, des hôpitaux, des réseaux d’alimentation en eaux ou en gaz.

Si, en outre, à ces signatures, correspondent des ports détectables ( Siemens Simatic sur le port 102, Modbus sur 502, DNP3 sur 20000, Bacnet sur 47808), le doute quant à la nature de l’objet connecté n’est plus permis. Et contrairement à ce qu’affirment les opérateurs de services d’importance vitale, ces métadonnées sont belles et bien présentes sur Internet, prouvant ainsi que les réseaux industriels prétendument « isolés du réseau public » sont en fait raccordés qui à un routeur d’entreprise, qui à une « box » ADSL, qui à un convertisseur série-Ethernet lui-même relié au réseau local sur lequel pullulent quelques passerelles ouvrant sur le monde.

En 2013, la publication du premier rapport Shine avait fait l’objet d’un électrochoc. L’on aurait pu croire que le coup de semonce serait salvateur, que des mesures d’urgence seraient prises. L’édition 2014 de Shine ne montre pas franchement de très nette évolution. La France y figure peu, mais le fait toutefois avec brio. Pays où l’on aime les vins vieux et les technologies fin de race, Shine y dénombre 968 « hits » sur le port 502, avec une signature Modbus, ancêtre des bus de commande d’origine Modcomp et généralisé dans les chaînes de contrôle industriel et liaisons avec des automates programmables. Dans cette catégorie, notre nation détient une honorable cinquième place, derrière l’Italie, la Suède, l’Espagne et les USA (plus de 4000 signatures Modbus). Toutes signatures confondues, la France est au neuvième rang des « cartographiables Scada », derrière l’Italie, le Brésil, le Canada, le Royaume Unis, la Corée, la Chine, l’Allemagne et enfin, au sommet du podium, les USA qui constituent à eux seuls 33 % des « hits industriels » enregistrés. Des chiffres qui sont le reflet de l’importance du développement des industries de production… et non pas de la vulnérabilité du secteur industriel.

Car la détection d’un port ne signifie pas nécessairement la présence d’une vulnérabilité exploitable à distance. Tout au plus une forte présomption. Cependant, bon nombre d’infrastructures industrielles ou d’importance nationale (Compagnies de Bassins, opérateurs du secteur de l’énergie ou des transports…) se lancent dans une course à la connexion Internet qui était impensable il y a peu. Généralement pour des raisons économiques. Il y a dix ans, on posait une paire torsadée entre le capteur d’une vanne et le système de supervision pour connaître un niveau de remplissage de bief ou un débit de rivière. Opération lourde, coûteuse, nécessitant le creusement de tranchées, l’enfouissement de câbles, sans mentionner les difficultés administratives. De nos jours, le capteur est relié à une box ADSL via une liaison radio, puis le signal est encapsulé et véhiculé dans une trame IP transitant sur Internet (généralement chiffrée mais pas toujours), pour enfin aboutir dans la mémoire du centre de commande. Lequel ordinateur central fera emprunter peu ou prou le même chemin à un ordre destiné à un actuateur (vanne, bief) qui « bouclera » cette logique de régulation. Plus complexe mais considérablement moins cher. La fonction créant l’organe, la mode se répand au nouvelles applications telle que la régulation des feux de circulation et capteurs de trafic routier.

Shine n’est donc qu’une sorte d’état des lieux, une approche typologique que l’on peut difficilement qualifier de campagne de pentesting. Pour savoir si les signatures de Shine présentent oui ou non un risque de manière formelle, il faudrait accompagner chaque réponse d’un second niveau de test un peu plus intrusif… illégal s’il est pratiqué en dehors d’un contrat d’audit. Reste à espérer que ces audits et remédiations conséquentes seront réellement engagés avant que d’autres personnes ne s’en chargent, un peu moins scrupuleuses, beaucoup plus « étrangères », beaucoup plus à l’abri des foudres de la police, des juges et des avocats.

Marriot, l’hôtel qui perturbe l’audition

Posté on 27 Oct 2014 at 4:53

La FCC vient de condamner la chaine d’hôtels Marriot pour avoir sciemment perturbé le « hotspot privé » d’un client, le forçant à utiliser le réseau Wifi mis à disposition de ses clients. L’équipement technique nécessaire a probablement été rapidement amorti, puisque, comme le précise nos confrères du Huffington Post,, le WiFi Marriot était facturé entre 250 et 1000 dollars. Cette forme de vente forcée n’a pas été du goût de l’autorité de régulation. Cette pratique déloyale est sanctionnée par une amende de plus d’un demi-million de dollars. Rappelons qu’en France une telle perturbation est illégale et il n’est pas nécessaire de déclencher un procès pour faire intervenir les vaillants défenseurs des ondes de l’ANFR.

Publicité

MORE_POSTS

Archives

octobre 2014
lun mar mer jeu ven sam dim
« Sep   Nov »
 12345
6789101112
13141516171819
20212223242526
2728293031