Archives

En Bref ...

En Bref …

Posté on 12 Sep 2019 at 10:38

UKDrillas, un seul alias Tweeter, deux attaques en déni de services spectaculaires : celle, très médiatisée, de Wikipedia le 7 septembre, et celle plus discrète du site World of Warcraft Classic. La disparition du site WoW a provoqué quelques réactions violentes de la part de gamers

En bref ...

En bref …

Posté on 12 Sep 2019 at 10:32

Le chercheur Français @benkow signale la progression relativement rapide d’un ransomware affectant les serveurs Web sous Linux. Un peu plus de 6000 sites sont encore affectés

Moabi, le bug killer qui se moque des sources

Moabi, le bug killer qui se moque des sources

Posté on 12 Sep 2019 at 10:15

Moabi est un service Français dont l’unique fonction est de découvrir des vulnérabilités exploitables dans n’importe quel type d’exécutable.

Voilà pour la version résumée. Dans le détail, c’est une machinerie SaaS complexe,  « résultat d’années de recherches, de développement » assure son fondateur, Jonathan Brossard. Cette machinerie est une usine à exécution symbolique capable de traiter n’importe quel type de programme (compilé), destiné à n’importe quel type de processeur. Or, cette notion d’exécution symbolique fait partie des vieilles chimères des recherches universitaires. Trop lourde, trop lente, trop théorique, elle est longtemps demeurée dans les limbes du devenir, à côté d’autres idées révolutionnaires comme le calcul quantique et l’intelligence artificielle de HAL 9000. Mais ça, c’était avant l’arrivée sur le marché de capacités de calcul monstrueuses des vendeurs de Cloud.

Il existe plusieurs méthodes de « chasse au bug ». La plus classique consiste à analyser un programme qui s’exécute dans une machine -virtuelle ou réelle-, avec son système d’exploitation, ses bibliothèques de fonctions, ses variables… et dont les tests se limitent à vérifier que le moteur tourne rond dans des conditions normales, un test de premier niveau qui garantie en grande partie la validité des clauses de saisie, la conformité de certains points (randomisation ASLR, validation des signatures, conformité des API appelées …)

Une autre approche consiste à analyser le code source et extrapoler les déviances prévisibles provoquées par le compilateur. Des outils coûteux, exigeants en termes de compétences techniques, très liés (et pour cause) au type de langage utilisé. Seuls les Microsoft, les Apple, les Amazon et consorts ont les moyens financiers, les ressources humaines et le temps d’utiliser ces panoplies pour debugger en eaux profondes.

L’exécution symbolique, quant à elle, ne tient compte directement ni de l’environnement (système d’exploitation), ni des dépendances tierces et ne s’attache qu’aux symboles. Lorsque le programme est lancé, toutes les possibilités d’exécution et les appels du programme sont testées, et non seules celles rendues possible par le système. La connaissance du ou des langages entrant dans sa composition est donc relativement secondaire, puisque seul le résultat post-compilation est torturé (un .exe, une dll, mais également un elf, voir un .hex prévu pour être buriné dans le silicium d’un microcontrôleur).

On s’en doute, être capable d’analyser aussi bien un code X86, Motorola, Zilog ou ARM que celui destiné à une plateforme Atmel ou une gpu Nvidia a nécessité quelques années de travail pour forger ces multiples environnements d’exécution. Mais une exécution indépendante de tout système, une analyse qui ne se focalise que sur les défauts exploitables. Une exécution, enfin, qui n’exige pas une équipe de gourous surspécialisés puisque l’accès à ces exécuteurs symboliques s’opère par abonnement à un service.

 

Le secret des sources sans les risques

A qui s’adresse Moabi ? En priorité, à toute entreprise, à tout intégrateur qui redoute la moindre panne binaire sur un binaire dont ils ne possèdent pas le source. C’est le cas notamment des OEM dans le secteur de l’automobile de seconde monte et de l’embarqué à faible coût, de l’automatisme industriel (rares sont les constructeurs d’automates programmables qui fournissent leurs codes, encore plus rares sont les entreprises utilisatrices qui les demandent).

C’est également une solution élégante pour un éditeur qui rêve de faire qualifier un programme en garantissant un niveau de sécurité sans avoir à dévoiler ses secrets de fabrication et risquer la perte de sa propriété intellectuelle.

C’est enfin le dernier garde-fou dans les domaines où la sécurité et la fiabilité des systèmes priment avant tout : informatique embarquée militaire ou civile, aviation, spatial, transports et autres infrastructures Scada. Car même en possédant les sources d’un programme, il est n’est pas toujours possible de détecter une saturation de tampon, une faille XSS, un défaut inhérent non pas au code mais au compilateur ou à l’éditeur de liens. Moabi est donc, dans ce cas, non plus seulement un automate de chasse aux bugs, mais un outil de certification qui quantifie le niveau de qualité du programme en plusieurs points : conformité du chiffrement, du durcissement du programme, de sa conception générale et sa résilience selon les référentiels (posix, CE99…), sa salubrité générale notamment envers les failles référencées dans l’index CVE ou les trous non encore répertoriés et mis en évidence durant l’exécution, sans oublier des points plus triviaux tels que le respect des règles imposées par l’environnement d’exécution ou les contraintes du processeur.

Malgré une technique prometteuse, l’exécution symbolique se heurte tout de même à deux écueils de taille. D’une part, l’énorme difficulté à vulgariser la notion même de symbole, y compris auprès des professionnels de la SSI. D’autre part, l’indifférence dont fera preuve l’immense majorité des acteurs de l’électronique de grande consommation, dont le cycle de vie de développement se compte en mois, voire en semaines. Ce sont les industriels de l’IoT importé d’Orient, les armées de développeurs qui travaillent en mode « quick and dirty » et qui jamais n’investiront le moindre centime en contrôle-qualité logicielle, en raison de marges réduites à l’extrême, de contraintes « time to market » étriquées et d’absence totale de support clientèle. Cela va du traceur GPS à la caméra de surveillance domotique, de la montre fitness à 20 euros à la poupée électronique interactive. Le jour où Moabi aura convaincu les principaux géants du logiciel et du firmware, les organisateurs des conférences « InfoSec » auront du souci à se faire pour remplir leurs programmes de « sploits » spectaculaires, craquants sous la dent des hackers et reversers.

En Bref …

Posté on 28 Mar 2019 at 12:05

Un Bug bounty réservé DevOps a été  ouvert par Microsoft  avec des gains pouvant atteindre 20 000 USD.

En Bref …

Posté on 28 Mar 2019 at 11:39

Dancho Danchev livre une impressionnante compilation de sites frauduleux empruntant les apparences des sites d’aide en ligne d’Apple, Microsoft, Google, Kaspersky etc.

Want to play Global Thermonuclear War ?

Want to play Global Thermonuclear War ?

Posté on 16 Jan 2019 at 5:29

Le Department of Defense US a publié un rapport d’un peu moins de 50 pages sur l’état de la sécurité des « munitions complexes » (missiles balistiques (BMDS) de tous crins) utilisés par les trois armes. Et l’on n’est pas très loin des invraisemblances à la Wargames : Aucun chiffrement sur certains équipements, aucune capacité de détection antivirus, absence de mécanismes d’authentification multifacteurs, trous de sécurité encore béants remontant au début des années 90… « The Army, Navy, and MDA did not protect networks and systems that process, store, and transmit BMDS technical information ». Et ceci quand bien même l’accès au réseau de commande accepterait une authentification renforcée. Les employés négligent ces procédures. A ces mauvaises pratiques tant dans les usages que dans les procédures de déploiement, s’ajoutent quelques manquements en termes de sécurité physique. Il n’est pas rare, précise le rapport, que certaines armoires de serveurs ne soient pas fermées à clef, ou que des unités de stockage accessibles par le personnel ne soient pas elles-mêmes chiffrées. Pour couronner le tout, l’on ne trouverait pas d’IDS sur le réseau… lequel est tout de même chargé de relier plus d’une centaine de sites de missiles. L’on comprend d’autant mieux le « Comment j’ai appris à ne plus m’en faire et à aimer la bombe » de Stanley Kubrick.

Le Chiffre, toujours insaisissable

Le Chiffre, toujours insaisissable

Posté on 16 Jan 2019 at 5:01

Toucher au Chiffre ? mais vous n’y pensez pas ! Tollé général du côté des usagers et éditeurs après l’adoption d’une loi par le Gouvernement Australien, qui impose l’intégration d’une porte dérobée dans toute application de communication publique chiffrée. Histoire de se parer des habits de Grand Défenseur des Libertés Individuelles, les Gafa ont protesté comme un seul homme. Vrai quoi, la collecte d’information et l’espionnage, ça ne devrait être réservé qu’à des gens sérieux… nous nous comprenons, laisse entendre en filigrane nos confrères de Motherboard. Plus récemment, Joshua Lund d’Open Whisper Systems, collaborateur du projet de messagerie chiffrée Signal, tente d’expliquer sur son blog pour quelle raison une telle loi est quasiment impossible à appliquer. Compromettre la solidité d’une clef générée au niveau du terminal utilisateur ? C’est totalement illusoire, affirme-t-il en substance. Nous n’y avons pas accès, nous n’avons pas moyen de le faire a posteriori.

On imagine aisément que les barbouzes Australiennes sont, face à un tel manque de civisme, à deux doigts de la dépression nerveuse. Fort heureusement, l’équipe sécurité de Talos vient à leur secours en leur faisant remarquer que le protocole de chiffrement n’est pas tout… il faut savoir jouer -et exploiter- sur les vulnérabilités propres à l’environnement du poste client ou des serveurs de transit, lesquelles peuvent offrir des capacités d’écoute insoupçonnées et quasiment insoupçonnables. Soit en ouvrant une seconde session « clone », soit en ajoutant, via le serveur, de nouveaux comptes… et ce, tant sur Signal que WhatsApp ou Telegram.

En Bref

En Bref

Posté on 16 Jan 2019 at 4:32

Lecture pour tous : Les organisateurs du FIC ont publié la liste des ouvrages sélectionnés pour le « prix du livre FIC 2019 » , un empilement impressionnant de 40 livres allant du roman à l’ouvrage doctoral en passant par les précis de bonne pratique ou les recueils de vulgarisation

En Bref ...

En Bref …

Posté on 16 Jan 2019 at 4:27

Comment conduire une attaque en « rejeu » pour les nuls : Une séquence Youtube de 16 minutes qui explique comment ouvrir une voiture à distante à l’aide d’un Raspberry et d’une clef RTL-SDR

Drone de drame

Drone de drame

Posté on 09 Jan 2019 at 8:17

C’est la seconde fois en moins d’un mois qu’un aéroport Londonien (cette fois, il s’agit de Heathrow) est contraint de clouer les appareils au sol en raison de la présence d’un drone ou appareil télécommandé, rapporte CNN ou le Times. Plus de 100 000 voyageurs, 760 vols ont été affectés par ce blocage. Déjà, le 20 décembre, un incident comparable avait gelé le trafic de l’aéroport de Gatwick.

En réponse à ces « menaces », les deux aéroports auraient immédiatement investi « plusieurs millions de Livres Sterling » pour protéger l’espace aérien à proximité des pistes, rapporte l’agence Reuter. Lance-filets ? Brouilleurs UHF ? (Toujours risqué en zone aéroportuaire), rapaces dressés à la chasse d’appareils ? La nature du matériel utilisé n’est pas révélée. Elle serait, précise la dépêche, d’un niveau comparable à ce qu’utilisent les forces armées.

… ce qui ne veut pas dire grand chose d’un point de vue technique. Si les drones sont effectivement largement utilisés par les forces armées modernes, c’est principalement sous forme de vecteurs d’attaque ou de surveillance/renseignement. Les instruments et techniques servant à détecter et intercepter des appareils hostiles laissent encore largement à désirer. Si de telles contre-mesures existaient réellement, le nombre de victimes de grenades larguées par des « quadcoptères » en Irak, en Syrie, en Israël, serait nettement moins élevé.

Publicité

MORE_POSTS

Archives

septembre 2019
lun mar mer jeu ven sam dim
« Mar    
 1
2345678
9101112131415
16171819202122
23242526272829
30