Archives

Avec le titre aussi alléchant qu’allitérant de Google Poodle affect oodles Netcraft tire une analyse, des conseils et un bilan provisoire du bug SSL v3 alias Poodle

Un troll ? Allez tout droit en prison, ne touchez pas $20.000. Le Secrétaire à la Justice Britannique Chris Grayling envisage de proposer une loi anti-troll visant à poursuivre les instigateurs des « lynchages en ligne » révèle le Guardian . Qui donc poursuivra Grayling pour troll ?

Sandworm, la vengeance : Symantec explique comment un exploit Sandworm (attaque OLE) peut contourner les premières vagues de correctif CVE-2014-4114. Cette nouvelle menace (CVE-2014-6352) est corrigée par un « fixit » Microsoft . Un article du blog de F-Secure commente également cette « faille 2.0 »

Shellshock, le retour : le Sans signale plusieurs tentatives d’exploitation de la faille Shellshock (défaut du Bourn shell) via le protocole de messagerie smtp .

3 heures de retard sur un vol Los Angeles-Londres après qu’un passager ait découvert le SSID douteux d’un routeur WiFi : « Al-Quida Free Terror Nettwork » rapporte EyeWitnessNews . Le climat de suspicion entretenu par les compagnies aériennes et les entreprises de sécurité physique peut parfois leur coûter cher

Bob Radvanovsky et Jacob Brodsky ne sont pas des inconnus dans le monde de la sécurité industrielle. Cela fait près de deux ans qu’ils balayent Internet à la recherche de signatures caractéristiques propres au système de commande de processus industriels. En d’autres termes, ce sont des chasseurs de Scada, des entomologistes de l’OIV (opérateur d’importance vitale) qui publient ouvertement ce que des organismes comme l’Anssi ne souhaitent pas voir consulté. Et leur dernier rapport en date n’est pas des plus rassurants.

Leur arme ? Shine, pour Shodan INtelligence Extraction, un outil d’analyse des résultats tirés des scans de Shodan. Shodan, conçu par John Matherly, est un formidable outil de recherche qui passe son temps à parcourir Internet et classer, numéro de port par numéro de port, service par service, les équipements qui y sont connectés. Plus qu’un grand frère de Nmap, Shodan est le Google des objets connectés, auquel n’importe qui peut avoir accès à l’aide d’un simple navigateur. Inutile de préciser que, depuis 2012, date du lancement de Shine, il s’est proféré autant de menaces, autant de prédictions catastrophiques qu’il en fut à l’apparition de Nmap… outil de pirate mettant en danger la solidité de la civilisation occidentale, coin enfoncé dans le système vital des nations, acte d’un traître irresponsable… ce genre de propos réapparaît avec régularité. Seul le sujet change, par la magie d’un couper-coller. Aujourd’hui Shine et Shodan, hier le Full Disclosure, Nmap, Metasploit, voir les simples « googlehacking » de Johnny « I hack stuff » Long. La sécurité par l’obscurantisme digère toujours très mal certains plats épicés avec de véritables morceaux d’imprécation. Le roi est nu, la cour ne souhaite pas l’entendre.

Car l’une des premières applications de Shodan a précisément été d’extraire de ses bases de données des signatures significatives, autrement dit des métadonnées prouvant que de vieilles versions de systèmes étaient en service dans telle ou telle administration, ou que tel ou tel organisme utilisait un équipement réputé pour ses mots de passe par défaut et ses vulnérabilités rarement corrigées. Des multiples publications sur le sujet, l’on peut citer la présentation de Sajal Verma intitulée Searching Shodan For Fun And Profit , qui explique comment faire « parler » Shodan avec l’aide de Metasploit. Nombre de Services en fonction, numéros de version des différents outils installés, nature des services, numéros de ports actifs et visibles, localisation géographique, nom de domaine…

Mais mettre le doigt sur une antique version de Windows 2000 n’a que peu d’intérêt en termes de niveau de risque (hormis lorsque ces antiquités arborent une IP d’opérateur télécom par exemple). En revanche, ce qui passionne Bob Radvanovsky et Jacob Brodsky, ce sont de toutes autres signatures, celles reflétant les noms de Siemens, EnergyICT, Moxa, Lantronix, VXWorks, Intoto, Allied Telesyn, Honeywell, Liebert, Lennox. Bref, des automates programmables, des calculateurs de contrôle de processus industriel, des capteurs, des actuateurs, des transmetteurs utilisés dans des raffineries, des usines de production d’énergie, des forges, des hôpitaux, des réseaux d’alimentation en eaux ou en gaz.

Si, en outre, à ces signatures, correspondent des ports détectables ( Siemens Simatic sur le port 102, Modbus sur 502, DNP3 sur 20000, Bacnet sur 47808), le doute quant à la nature de l’objet connecté n’est plus permis. Et contrairement à ce qu’affirment les opérateurs de services d’importance vitale, ces métadonnées sont belles et bien présentes sur Internet, prouvant ainsi que les réseaux industriels prétendument « isolés du réseau public » sont en fait raccordés qui à un routeur d’entreprise, qui à une « box » ADSL, qui à un convertisseur série-Ethernet lui-même relié au réseau local sur lequel pullulent quelques passerelles ouvrant sur le monde.

En 2013, la publication du premier rapport Shine avait fait l’objet d’un électrochoc. L’on aurait pu croire que le coup de semonce serait salvateur, que des mesures d’urgence seraient prises. L’édition 2014 de Shine ne montre pas franchement de très nette évolution. La France y figure peu, mais le fait toutefois avec brio. Pays où l’on aime les vins vieux et les technologies fin de race, Shine y dénombre 968 « hits » sur le port 502, avec une signature Modbus, ancêtre des bus de commande d’origine Modcomp et généralisé dans les chaînes de contrôle industriel et liaisons avec des automates programmables. Dans cette catégorie, notre nation détient une honorable cinquième place, derrière l’Italie, la Suède, l’Espagne et les USA (plus de 4000 signatures Modbus). Toutes signatures confondues, la France est au neuvième rang des « cartographiables Scada », derrière l’Italie, le Brésil, le Canada, le Royaume Unis, la Corée, la Chine, l’Allemagne et enfin, au sommet du podium, les USA qui constituent à eux seuls 33 % des « hits industriels » enregistrés. Des chiffres qui sont le reflet de l’importance du développement des industries de production… et non pas de la vulnérabilité du secteur industriel.

Car la détection d’un port ne signifie pas nécessairement la présence d’une vulnérabilité exploitable à distance. Tout au plus une forte présomption. Cependant, bon nombre d’infrastructures industrielles ou d’importance nationale (Compagnies de Bassins, opérateurs du secteur de l’énergie ou des transports…) se lancent dans une course à la connexion Internet qui était impensable il y a peu. Généralement pour des raisons économiques. Il y a dix ans, on posait une paire torsadée entre le capteur d’une vanne et le système de supervision pour connaître un niveau de remplissage de bief ou un débit de rivière. Opération lourde, coûteuse, nécessitant le creusement de tranchées, l’enfouissement de câbles, sans mentionner les difficultés administratives. De nos jours, le capteur est relié à une box ADSL via une liaison radio, puis le signal est encapsulé et véhiculé dans une trame IP transitant sur Internet (généralement chiffrée mais pas toujours), pour enfin aboutir dans la mémoire du centre de commande. Lequel ordinateur central fera emprunter peu ou prou le même chemin à un ordre destiné à un actuateur (vanne, bief) qui « bouclera » cette logique de régulation. Plus complexe mais considérablement moins cher. La fonction créant l’organe, la mode se répand au nouvelles applications telle que la régulation des feux de circulation et capteurs de trafic routier.

Shine n’est donc qu’une sorte d’état des lieux, une approche typologique que l’on peut difficilement qualifier de campagne de pentesting. Pour savoir si les signatures de Shine présentent oui ou non un risque de manière formelle, il faudrait accompagner chaque réponse d’un second niveau de test un peu plus intrusif… illégal s’il est pratiqué en dehors d’un contrat d’audit. Reste à espérer que ces audits et remédiations conséquentes seront réellement engagés avant que d’autres personnes ne s’en chargent, un peu moins scrupuleuses, beaucoup plus « étrangères », beaucoup plus à l’abri des foudres de la police, des juges et des avocats.

La FCC vient de condamner la chaine d’hôtels Marriot pour avoir sciemment perturbé le « hotspot privé » d’un client, le forçant à utiliser le réseau Wifi mis à disposition de ses clients. L’équipement technique nécessaire a probablement été rapidement amorti, puisque, comme le précise nos confrères du Huffington Post,, le WiFi Marriot était facturé entre 250 et 1000 dollars. Cette forme de vente forcée n’a pas été du goût de l’autorité de régulation. Cette pratique déloyale est sanctionnée par une amende de plus d’un demi-million de dollars. Rappelons qu’en France une telle perturbation est illégale et il n’est pas nécessaire de déclencher un procès pour faire intervenir les vaillants défenseurs des ondes de l’ANFR.

Tout a débuté avec la publication des travaux de mm Narendra Anand, Ryan E. Guerra et Edward W. Knightly intitulée « The Case for UHF-Band MU-MIMO ».

Le professeur Knightly a démontré, à l’aide d’une plateforme relativement complexe constituée d’un empilement de SDR (radios logicielles) qu’il était possible d’atteindre les mêmes niveaux de débit et de bande passante sur les mêmes distances en utilisant des émetteurs 1 W sur 800 MHz qu’avec des routeurs Wifi sur 2,4 GHz ou 5 Ghz. Pourquoi ces fréquences UHF ? Parce que beaucoup espèrent voir attribuer à un service numérique sans licence les espaces laissés libres après la disparition des canaux TV analogique.

L’exploit des chercheurs de l’Université de Rice est essentiellement d’ordre logiciel (ou plus précisément réside dans la qualité du protocole Mimo utilisé), mais ne préfigure pas d’un éventuel Internet mondial sans fil à très haut débit… tout au plus peut-on espérer, en utilisant un spectre très large lié au protocole Mimo, améliorer les communications à distances moyennes (de 1 à 10 km) et les liaisons « hors vue » (non line of sight, ou Nlos comme disent les techniciens radio). On compense les limitations liées au théorème de Shannon par la multiplication des émetteurs et des fréquences… plusieurs petites bandes passantes concaténées font plus qu’un seul canal à large bande passante.

Cette expérimentation en chambre sur des distances de moins de 50 mètres ne tient pas compte du fait qu’entre 500 et 800 MHz, la directivité des antennes de faible dimension se dégrade comparé à des antennes de tailles identiques sur 2400 ou 5500 MHz, ce qui augmente considérablement le risques de perturbation au fur et à mesure que s’accroît la densité des routeurs exploitant cette même bande. En outre, en matière de transmissions radio, le rapport signal sur bruit s’accroît avec la distance, ce qui affecte d’autant la bande passante maximum utilisable. Ajoutons que les « canaux blancs » laissés libres par la disparition des anciennes fréquences TV analogique fait encore l’objet d’âpres discussions. Extension possible des boucles locales radio réservées aux opérateurs et collectivités territoriales, médium convoité par des opérateurs souhaitant améliorer les services de leurs infrastructures (Internet dans les trains, sur les autoroutes etc.) et tant d’autres de services facturés par paliers de vitesse et volume de données transféré, les« white space » ont très peu de chance de permettre à monsieur Toulemonde de fabriquer son propre réseau Internet longue distance et gratuit.

Apple sort la version OS X 10.10 Yosemite de son système d’exploitation, qui intègre elle aussi le correctif « Poodle » SSLv3 (déjà disponible sur les autres systèmes antérieurs jusqu’à la version Montain Lion 10.8.5)

Cisco publie un complément d’information et une extension de correctif « post Poodle » visant à colmater la faille SSL v3 sur certains de ses équipements