Search Results

Sans fil encore durant la conférence Parisienne Hackito Ergo Sum, avec l’exposé de Daniel Mende intitulé Paparazzi over IP. Le constructeur d’appareils photo Canon propose aux possesseurs d’appareils professionnels (gamme EOS-1D et suivantes) un service de télé-administration/transfert de fichiers par transmission sans fil (norme WiFi), couche de transport conduisant vers un service Internet et un protocole simple, PTP/IP… le tout conçu par des photographes plus que par de véritables spécialistes réseau. Le slogan de la marque est d’ailleurs assez édifiant, puisqu’il promet « vos prises de vues sur Youtube sitôt votre film achevé». L’approche est prometteuse, d’autant plus prometteuse que chaque caméra embarque un serveur Web (un grand classique de l’intrusion depuis l’apparition des premiers routeurs administrables). D’ailleurs, la prise de pouvoir sur l’appareil photo suit une logique assez proche de celle conduisant au root d’un équipement de commutation, en un peu plus simple cependant. Seule la récupération de l’ID de session demande un peu d’attention. Une fois l’appareil rooté, il est possible de récupérer les photos et films stockés dans la mémoire de l’appareil (inutile donc de se battre pour avoir une place confortable au pied des marches lors du Festival de Cannes). L’intrus peut également prendre le contrôle de l’appareil à distance, autrement dit prendre des films et photos, modifier les paramètres de prise de vue (mise au point, sensibilité, réglages des températures etc.), et ainsi piloter tout ce qui n’exige pas d’action manuelle, tel que le réglage du zoom. Autrement dit transformer l’appareil en un outil d’espionnage efficace… tant que son propriétaire ne décide pas d’obturer son « caillou » avec un cache-objectif. Une vidéo de la présentation de Daniel Mende lors de Schmoocon 2013 est disponible sur Youtube.

Sur de plus courtes distances (bien que certains chercheurs parlent de sniffing à plus de 4 mètres), les RFID et autres NFC ont fait l’objet d’une passionnante typologie dressée par Philippe Teuwen, chercheur sécurité chez NXP (anciennement Philips), et animateur de nombreux ateliers de prise en main lors de manifestations genre Hackito. De la définition des normes utilisées (Iso 14444 et ses variantes) aux différentes techniques d’écoute, de sniffing, de spoofing, d’attaques divers, en passant par les multitudes d’outils disponibles (RFIdiot de Laurie, les libnfc tools, Omnikey CardMan 5321, ACG-LF, Frosch, ASK LoGO, SCL3711), Teuwen offre un panorama complet de ce qu’il est possible de faire dans le domaine du « sans contact ». Un peu à la manière de Charlie Miller, mais de façon plus générale encore. C’est, dans le domaine de la sécurité sans-fil, l’une des très rares personnes qui n’aborde pas les problèmes de sécurité par le point de vue étroit d’un seul type de hack, d’une seule méthode d’attaque. Une vision globale comparable à celle (dans un tout autre domaine, celui des attaques sans fil Scada) donnée par Atlas Of D00M également lors de la dernière Schmoocon.

Une dernière couche de Wireless et de flicage en mentionnant la conférence de Glenn Wilkinson sur la surveillance et le profilage des personnes par la simple surveillance de leurs téléphones cellulaires (et un peu de hacking au passage). Ambiance Orwellienne garantie, une interview donnée notamment par Wilkinson à nos confrères de The Nacked Scientist à l’occasion de la dernière 44Con 2012 donne le ton. Difficile de mettre un Galaxy ou un iPhone sous tension après un tel discours.

Mais toutes les interventions de Hackito Ergo Sum ne portaient pas l’étiquette « wireless ». On y parlait Scada également avec l’œil d’expert « touche à tout » d’Edmond “bigezy” Rogers, un spécialiste de la sécurité des infrastructures mises en place par les opérateurs de fourniture d’électricité des USA. Un monde ou les transformateurs de tension coûtent des millions de dollars et sont administrables à distance (tiens donc), un monde ou le consommateur-client est lui-même potentiellement vulnérable depuis que se répand la mode du déploiement des compteurs télé-opérables, un monde qui, surtout, ne fonctionne que grâce à la coexistence de techniques et technologies tantôt modernes, tantôt tellement âgées qu’il est pratiquement impossible d’assurer un service de maintenance efficace.« No pictures, no recording, no camera », exige Edmond Rogers. On le comprend lorsqu’il dévoile les plans tentaculaires du réseau IP assurant la fourniture en énergie de la moitié centre et Ouest des Etats-Unis.

Hackito, c’était également l’occasion de retrouver des habitués des conférences sécurité Européennes. Notamment Paul Rascagnères, dont la banque Luxembourgeoise de malware devient chaque jour de plus en plus connue des chercheurs européens. Hack In Paris, Insomni’hack Genève, Hackito, Paul Rascagnères prend son bâton de pèlerin et vient prêcher en faveur de cette bibliothèque très spéciale, indépendante de tout vendeur d’antivirus, et capable de fournir une information non biaisée par les contraintes marketing et le sensationnalisme dont sont victimes les marchands de sécurité. Le discours tenu à l’occasion de Hackito Ergo Sum reprenait les grandes lignes de l’étude du virus Red October que l’on peut consulter sur le site Luxembourgeois.

Une toute dernière mention sur le travail de Mathieu ‘GoToHack’ Renard, déjà présenté lors de GreHack 2012 et dont on peut encore consulter les transparents. Après avoir entendu Mathieu parler de sa station d’accueil pour iPhone « légèrement modifiée » à l’aide d’un Raspberry Pi, on se méfie du moindre chargeur, du plus insignifiant amplificateur que l’on trouve dans une chambre d’hôtel : le root du périphérique est si discret, si silencieux…

Hackito Ergo Sum, quatrième épisode : la conférence de sécurité parisienne vient de publier son appel à communication. La date de clôture a été fixée au 31 mars prochain, et les orateurs retenus seront informés le 4 avril suivant. Le programme définitif sera rendu public trois jours plus tard.

Cette année, HES se déroulera du 2 au 4 mai, dans l’enceinte de la Cité des Sciences de Paris (La Villette). Les tarifs d’entrée sont fixés à 480 € pour les représentants d’entreprises, à 160 € pour les professionnels de la sécurité et 70 Euros pour les « non inscrits ». Des ateliers de formation pratique répartis sur deux jours sont également proposés à raison de 1900 euros par participant.

Salle comble, avec 160 participants, des intervenants venus du monde entier, des conférenciers aussi passionnants que réputés, un éclectisme des thèmes abordés digne d’un Hackito, un rigorisme technique tout universitaire : GreHack, la toute première conférence sécurité organisée dans le cadre de l’Ensimag (http://ensimag.grenoble-inp.fr/) de Grenoble, laisse présager un avenir prometteur. C’est en effet pour l’heure la seule conférence sécurité se déroulant dans le quart sud-est de la France, à à-peine plus d’une heure de route de Lyon et d’Annecy, à portée d’autoroute de la région Paca, autrement dit en prise directe avec la seconde et la troisième plus grande ville de France. Il ne faudra pas rater l’édition 2013, et espérer qu’elle ne souffrira pas de « l’effet Sttic », cette lutte acharnée pour l’obtention d’une place durant la courte demi-journée d’ouverture des réservations.

Pourtant, pour Fabien Duchène, l’un des organisateurs de la manifestation, la partie n’était pas jouée d’avance. « Il fallait tout d’abord inciter des chercheurs à venir, des chercheurs capables d’offrir aux participants des travaux originaux, et non pas de nous ressortir une présentation ayant déjà été inscrite au programme d’une autre manifestation. Il était ensuite nécessaire que ladite recherche offre toutes les garanties de sérieux et de précision qu’une telle manifestation exige… beaucoup n’ont pas passé le filtre du comité de lecture »… l’une d’entre elle a même été annoncée sur le site Web de GreHack puis refusée in-extrémis.

Il faut dire que la barre a été placée assez haut, avec, en « guest star », une analyse de Kostya Kortchinsky (dans une allocution en direct de Seattle) des possibilités d’exploitation des failles Windows depuis les années 2000. Analyse, précisait l’intervenant, qui n’était en aucun cas l’expression officielle de son employeur (Microsoft) mais le résultat de plusieurs années d’analyse et, précisément, de recherche d’exploits. Kortchintsky travaillait récemment encore pour Dave Aittel, fondateur d’Immunity Sec, entreprise spécialisée dans les tests de pénétration. Sans exploit, pas de pentest, sans expert, pas d’exploit.

Plus qu’un passage en revue à la sauce « trustworthy computing », c’était là une dissection des contre-mesures et des multiples améliorations que Microsoft a apporté au fil du temps à son noyau et applications (DEP, ASLR entre autres choses). Discours appuyé par quelques exemples dont la fameuse faille « ani » CVE-2006-4777, le trou Upnp MS07-019/ CVE-2007-1204 ou la faille TCP/IP MS10-009 largement commentée. Largement commentée mais pas franchement largement exploitée. « depuis 2009, il n’y a pas eu d’exploitation remarquable du code Windows » estime Kostya.
Cette présentation « core code » en suivait une autre, plus « infrastructure », celle d’Eric Freyssinet, sur un sujet déjà abordé mais tellement polymorphe et complexe : la typologie des botnet. Les transparents de cet exposé sont disponibles sur les serveurs de GreHack, tout comme ceux de bon nombre d’autres intervenants.

Une typologie nécessaire, car le Botnet, c’est le fourre-tout de la cyberdélinquance, le véhicule (ou plus exactement le réseau) qui favorise la circulation de spam, de virus, d’opérations scareware, de trafics divers, le tout lié à des filières de blanchiment d’argent. Peu d’organismes publics ou indépendants se sont penchés sur ces toiles complexes. Dancho Danchev à l’époque où il était chercheur indépendant, quelques experts de l’Unicri comme Raoul Chiesa, aucun, pourtant, n’a observé une démarche aussi méthodique et complète. A ne pas lire avant de se coucher, on finirait par voir des cybertruands de partout.

Il n’est pas sorti de l’œuf que l’on prévoit déjà un moyen de l’assassiner avant même son démarrage. Il, c’est naturellement Windows 8, par le biais précisément de UEFI (Unified Extensible Firmware Interface) l’un de ses mécanismes d’extension Bios que l’on disait aussi sécurisé que les couloirs de Fort Knox. Il serait donc possible, expliquent les techniciens d’IT Sec, entreprise transalpine des environs de Pérouse, de concevoir un malware s’exécutant durant le boot, capable de désactiver au passage les mécanismes de vérification de signature des pilotes ainsi que la fameuse « kernel patch protection » dont la création avait fait hurler d’indignation bon nombre d’éditeurs de logiciels antivirus. L’esprit de Rakshasa n’est pas mort.

C’est G-Data, le chasseur de virus Allemand, qui vient de publier un article sur la Tor-éfaction des botnets. Il ne s’agit pas là d’un PoC, d’une étude de possibilité, mais bel et bien d’une application « in the wild » du réseau à routage segmenté et chiffré dans le cadre d’un pilotage de Botnet. Le réseau Tor sert alors de médium entre les ordinateurs zombies et le C&C, le centre de commande, ce qui offre deux avantages majeurs pour le gardien de troupeau de machines compromises : une isolation quasi certaine entre C&C et terminal d’attaque (il devient impossible de remonter jusqu’à l’organisateur du réseau), une quasi assurance de permanence de service (puisque le protocole Tor ne peut être filtré par les opérateurs ou les FAI en raison de son importance stratégique) et une simplicité d’utilisation, laquelle permet au gardien de Bot de n’avoir pas à développer de protocole chiffré, camouflé et fragmenté pour diriger son troupeau : Tor se charge de toutes ces fonctions à la fois. L’éditeur fait également remarquer qu’étant chiffré, le contenu du trafic Tor ne peut être analysé et bloqué par les firewalls.

En revanche, les temps de latence imposés par le réseau lui-même impactent fortement l’efficacité du Botnet, ce qui explique probablement le fait que, jusqu’à présent, G-Data et ses confrères ne soient tombés que sur une seule souche de genre de virus.

La constitution de réseaux de Bot reposant sur des médias impossibles à bloquer ne date pas d’aujourd’hui. Déjà, à l’occasion de la conférence Hackito Ergo Sum de 2011, Itzik Kostler et Zif Gadot (à l’époque chercheurs pour le compte de Radware), avaient imaginé un Botnet utilisant une page de journal en ligne ou un site de petites annonces (Craigslist ou bbc online par exemple) pour expédier les commandes entre C&C et machines distantes.

C’est fait : les principales conférences techniques du premier GreHack de Grenoble ont été arrêtées. Le mélange des genres est agréable : personnalités et chercheurs moins connus, hack purement réservé aux codeurs acharnés, exploits matériel classiques et pourtant ignorés… Il ne faut rater sous aucun prétexte, par exemple, le « talk » de Rahul Sasi (iSight), qui nous parlera de fuzzing DTMF, qui aura un sacré goût de madeleine pour les vieux amateurs de freaking et autres chasseurs de commandes cachées dans les modems Hayes ou USR. Ari Takanen (Codenomicon) parlera une fois de plus (mais le sujet est tellement vaste) du fuzzing de code dans l’électronique embarquée. Jtag et assembleur, security by stupidity, le monde de l’électronique grand-public est un vaste terrain de jeu pour hackers et chercheurs. Le sport devient encore plus intéressant lorsque cette électronique embarquée touche à la sécurité de véhicules, de systèmes de contrôle de processus industriels etc. Mathieu Renard, quant à lui, sera plus classique, et discutera de hack IOS, sujet à la mode, surtout depuis le début de la semaine passée.

Olli-Pekka Niemi et Antti Levomäki (Stonesoft) reviendront sur un classique de l’entreprise et invention purement Finlandaise, les fameux AET et l’art d’échapper aux mécanismes de détection des firewall. On peut s’attendre à un franc moment de détente avec la présentation de « Phil » sur les échecs successifs du cryptage audiovisuel. Nagravision à tous les étages… les nostalgiques des codes « season » et du travail « anti-sky » du Cray de l’université de Dortmund reprendront bien eux aussi un peu de madeleines.

Il ne serait pas juste d’oublier Paul Amar, un local de l’étape, qui va interpréter une variation originale sur le thème indémodable du « mon routeur ADSL en petite tenue sur IP », succédant ainsi à de nombreuses démonstrations analogues (HSF, Defcon, Hackito). David Worth et Justin Collins plongeront dans les « drogues dures » avec un papier intitulé « Leveraging Convention over Configuration for Static Analysis in Dynamic Languages » (si !), tandis que Yann Sephan causera C# et reverse, correctif et anti-correctif…

Nous reviendrons sur les présentations des conférenciers de plénières peu de temps avant sauter dans notre Viva-Sport 37 améliorée 39* histoire d’aller contempler, le mois prochain, le trou de la mère d’Agoult (Marie) et les salles de conférence de GreHack.

*ndlc : Franchement, seuls les dinosaures se souviennent de ce sketch de Fernand Raynaud. Ceci mis à part, je m’insurge contre cette appellation sexiste qui désigne la cluse de Voreppe. Marie aimait les hommes, certes, mais pas n’importe lesquels. Plutôt un abbé talentueux et romantique (Liszt) qu’un lieutenant boutonneux complexé comme l’était Henri Beyle.

La mise en image d’un cycle de conférences est toujours un travail long et ardu. Ce qui explique les presque deux mois de décalage entre le déroulement de la conférence Hack in Paris et la toute récente publication des vidéos desdites conférences.

Profitons donc de l’arrivée de ces vidéos pour écouter ou réécouter Amol Sarwate dans son exercice de vulgarisation « qu’est-ce qu’une attaque Scada » (et pourquoi les industriels utilisent-ils des protocoles vieux de 30 ans ?), Nicolas Grégoire et ses attaques XML (il reprendra cette présentation peu ou prou Outre Atlantique), Georgia Weidman qui, à genoux derrière son pupitre, expliquait pourquoi et comment le modèle Android était (et est toujours) pratiquement indéfendable, ou encore Ange Albertini qui nous a entrainé dans la sécurité « par obscurantisme, manque de documentation et respect de règles parfois approximative» des winPE . A revoir également le discours de Fernando Gont sur la consolidation d’IP v6 (redite de Hackito mais avec une meilleure prise de vue) et, dans un registre moins technique, plus humain, l’intervention de Jayson Street sur le fameux complexe de la sensibilisation de l’utilisateur. Street donne des conseils pratiques, cite des cas de figure vécus qui montrent à quel point le travail du RSSI est difficile, voire impossible. Son « équation de la sécurité » et son constat d’impossible dialogue entre les réactions « a priori » des hommes sécurité et « a posteriori » des hommes du management montre à quel point la dialectique est une science exacte que doivent maîtriser les CSO et consorts.

La Bastille en question, c’est celle qui domine Grenoble, capitale des terres du Dauphin, berceau de la recherche atomique Française, patrie de Champollion (crypto analyste avant l’heure) et très prochainement, à partir du 19 octobre, berceau du hacking alpin avec GreHack, un cycle de conférences traitant de sécurité Informatique accompagné de son inévitable CTF. C’est donc, après les Sstic de Rennes, Hackito Ergo Sum à Paris, Hack in Paris à Eurodisney, la quatrième conférence sécurité institutionnelle de France, et la première qui se déroule dans le quart sud-est du pays. Evènement tardif d’autant plus surprenant qu’entre Grenoble, Lyon, Sophia, Marseille, ce ne sont pas les centres de recherche qui manquent (à commencer par l’InriAlpes) et qui ont des choses à dire.

Pour l’heure, certains conférenciers sont déjà pressentis. Eric Freyssinet (Gendarmerie Nationale) assurera la première « plénière », et nous parlera des botnets, de la détection à la traque des réseaux de machines zombies. Après cette entrée en matière, Christophe Devine (Anssi, père du très connu d’Aircrack) abordera l’épineux sujet de la confiance que l’on doit accorder aux réseaux de téléphonie mobile et à leurs protocoles. Car cette confiance s’est singulièrement érodée ces dernières années, avec des hacks qui vont d’OpenBTS aux compromissions de femtocells, en passant par les antiques travaux du THC, les dernières publications de Karsten Knohl, sans oublier le précieux et indispensable concours des opérateurs eux-mêmes et de leurs erreurs d’implémentations, le tout saupoudré des impressionnantes avancées dans le domaine des radios à définitions logicielles.

Encore un « keynote speaker » de renom, avec le témoignage d’un Français faisant partie du club très fermé des chasseur de faille et concepteurs d’exploits, Constantin Kortchinsky, ex Cert Renater, « expert à Miami » pour le compte de Dave Aitel/Immunity Sec. Il parlera de ses quelques 20 années d’expérience, et ce sera très probablement avec la verve et le franc-parler que l’on lui connait. Ses apparitions publiques dans des conférences Françaises ont été, ces dernières années, rares, trop rares.

Sont également prévues deux présentations sur des attaques orientées matériel, une tendance de plus en plus forte au vu de ce qui s’est dit au fil des dernières SSTIC, Hackito Ergo Sum et Hack in Paris. La première conférence sera animée par Philippe Elbaz-Vincent, et traitera des défauts de certains générateurs de nombres premiers aléatoires (le socle indispensable à tout système de chiffrement efficace), la seconde cigarettes online sera signée Régis Laveugle et s’intitule « attaques visant du matériel sécurisé, principes de base et exemples ». L’on se rappelle avec émotion de la présentation de Jonathan Brossard et Florentin Demetrescu durant la dernière HES, qui montrait à quel point il pouvait être facile de contourner un système « protégé » par TPM par exemple.

L’appel à communication
étant loin d’être clos, CNIS Mag reviendra sur le programme de cet évènement.

Un millier d’élèves également à l’écoute d’un professeur renommé dans le monde du hacking, puisque Robert Erra, de l’Esiea (dont les amphis abritèrent la conférence Hackito Ergo Sum l’an passé) venait expliquer ce que pourraient devenir et surtout ce que ne seront jamais les ordinateurs quantiques. Ni super-ordinateur précognitif de romans de science-fiction, ni système inviolable, les réseaux dits « quantiques » à génération de QDK l’ont hélas prouvé (Richard Hughes Jane Nordholt « Refining Quantum Cryptography ») : ces calculateurs serviront essentiellement de formidables outils à casser des mécanismes de cryptographie asymétriques, du moins certains d’entre eux. Il a été question de chats, de certitudes basées sur le principe d’incertitude, de Schrödinger et d’Heisenberg et, comme dans tout exercice de bonne vulgarisation, tout ceci a paru très clair à l’assistance… du moins durant le trop bref laps de temps durant lequel s’est déroulée la présentation. « Attends, c’est simple, je vais t’expliquer… heu… un instant, que je reprenne mes notes. »

Un dernier « talk » pour la route ? Celui de Paul Rascagnères et de Hugo Caron, qui ont disséqué « in vivo » un botnet, Herpesnet le bien nommé, pour en démonter pièce par pièce ses mécanismes de camouflage et de furtivité, puis pour ensuite remonter vers son centre de commande et ainsi établir un profil de son « bot herder ». Paul Rascagnères et Hugo Caron sont surtout connus pour le travail d’animation et de promotion autour de Malware.lu, un dépôt de malwares et d’analyses techniques comptant près de 1,2 million de souches. Ces chirurgiens du code malsain seront également présents début juillet à Genève durant les rencontres « mondiales » du logiciel libre.

Une seule mauvaise nouvelle : il faudra attendre un an avant la prochaine édition. Un an pour affûter une démo, un an pour perfectionner sa maîtrise de Metasploit, Whireshark et autre tools, un an à se préparer physiquement à la nuit informatique la plus longue de ce côté-ci de l’Atlantique, dopé à coup de boissons énergisantes et de compilations répétées à l’adresse 0xC0FFEE.

Mais la Nuit du Hack, ce n’est pas seulement un théâtre d’opérations cyber-bellicistes, et la tendance « black hat tools » se mélange harmonieusement avec les approches White Hat… tout çà donne finalement un hacking gris du plus bel effet. C’est également et traditionnellement un lieu de rencontres, de conférences publiques orientées sécurité, et des ateliers thématiques aux niveaux techniques très variés. Dans la catégorie « drogue dure », le hacker Séraphin racontait la genèse des premiers « reversers » matériel et logiciel des jeux d’arcade japonais, machines hyper-protégées, propriétaires en diable, au prix exorbitant et aux techniques de programmation hors de tout standard, le tout reposant sur une base matérielle tellement « customisée » que deviner le type de processeur animant cette électronique relevait déjà de l’exploit. Une petite équipe, des années de travail pour donner naissance, entre autres choses, à Mame.

Tout aussi techniques, la présentation de Bruno Kerouanton sur l’analyse Windows et la recherche

de preuve, à l’aide d’une collection d’outils personnels (un peu) et d’expérience (beaucoup). Bruno Kerouanton achevait d’ailleurs la nuit du hack en assurant, au petit matin, une conférence-bonus sur les exploits artistiques des demomakers des années 80, artistes de l’optimisation de code et fanatiques des présentations graphiques en assembleur sur moins de 4ko. Reverse également, et initiation approfondie à l’usage de Metasploit par Paul Rascagneres. Impressionnant également la clarté des explications de Sorcier_FXK, malgré un sujet ardu : Pass Cracking sans ressource lors d’un audit. Mais l’atelier qui a probablement le plus impressionné a été celui de Mescal & Wicef, simplement intitulé « OpenBTS et USRP ». l’USRP est le SDR de Matt Ettus (radio à définition logicielle), système d’émission-réception pouvant recevoir et émettre selon n’importe quel type de modulation… pour peu que l’on ait réussi à en imaginer un modèle mathématique. Quant à OpenBTS, il s’agit d’une architecture de cellule GSM Open Source. Le mélange des deux permet de fabriquer de véritables « fausses » cellules, des attaques téléphoniques MIM, des outils d’espionnage difficilement détectables, mais également de cloner des cartes SIM, d’expédier des SMS dont le numéro d’expéditeur a été usurpé (spoofing)… et pire encore. La souplesse des moyens mis en œuvre est considérablement plus grande que celle atteinte avec le hack de femtocell compromises (voir conférences Hackito Ergo Sum 2010). Le sujet a déjà largement été commenté dans les milieux « radio » depuis la création du projet OpenBTS en 2010, mais entre lire un résumé technique sur un Wiki et voir comment Wicef parvient à clôner une carte SIM, intercepter une conversation ou expédier un SMS avec un numéro de téléphone d’expéditeur totalement spoofé, il y a une certaine différence. L’on ressort de ce genre de démonstration avec un peu moins d’illusion sur la notion de « preuve recevable » et sur l’inviolabilité des communications mobiles tant vantées par les opérateurs.