mercredi 4 novembre 2015

Menace sur les box

Modèle de menaces sur les Box en tout genre.


De nos jours, les pirates sont motivés par les gains financiers. Le hacking d’antan ou les scripts kiddies sont passés en arrière-plan des menaces. 

Les pirates d'hier et d'aujourd'hui

Dans les années 1990, les attaquants étaient motivés par des aspects ludiques et technologiques. C’était l’époque des virus et des élévations de privilège par débordement de tampon et écrasement de pile. Le pirate était motivé par le fait de repousser les limites technologiques et par la recherche d’une certaine reconnaissance...

A l’heure d’Internet, les objectifs ont commencé à changer. La Cybercriminalité s’est professionnalisée et des marchés parallèles dans le Darknet ont été créés pour échanger ou vendre des méthodes d’attaques, des outils ou malwares et des données sensibles exfiltrées.

Maintenant, les Cybercriminels sont des entrepreneurs, les attaques sont plus abouties, et techniquement plus évoluées. Leurs compétences sont souvent en avance sur celle des défenseurs. Les moyens mis en œuvre visent d’emblée une rentabilité financière. Pour atteindre ces objectifs économiques, les pirates s’appuient sur une organisation humaine et technique à l’image d’une entreprise. Il ne s’agit plus d’individus isolés et opportunistes mais d’entrepreneurs n’hésitant pas à créer des sociétés ayants pignon sur rue pour mener à bien leurs projets.

Nouveau malware, Advanced Persistent Threat

Les nouveaux malwares sont aujourd’hui appelées APT (Advanced Persistent Threat) par les services Marketing des industriels de la Cybersécurité. Il s’agit d’une typologie d’attaques qui fait généralement référence à un groupe organisé ayant l’intention de cibler efficacement une attaque contre une entité spécifique en mettant en œuvre les ressources nécessaires pour l’atteinte de l’objectif. 

Le terme est couramment utilisé pour désigner les menaces d’espionnage, de vol d'informations sensibles, mais s'applique également à d'autres menaces telles que la fraude au clic, le pharming

Pharming est une attaque moins connue visant à modifier la configuration DNS d’une victime de façon a rediriger des requêtes légitimes vers des sites contrefaits. Cette attaque est insidieuse car la victime dispose de peu de moyen de détecter l’attaque, particulièrement lorsque la configuration DNS altérée est celle d’une Box  hors du contrôle de la victime. L’intention du pirate est de collecter des renseignements personnels comme des mots de passe, numéro de compte bancaire ou tout renseignement exploitable pour une attaque ciblant un gain financier. 
La fraude au clic est une catégorie d’attaque dans laquelle les victimes sont les annonceurs qui rétribuent les régies publicitaires malveillantes faisant émettre aux internautes des requêtes à leur insu vers des sites rémunérateurs pour le pirate. Ces attaques s’appuient sur les bots et parfois sur les attaques par pharming

L’attaque APT est dite « avancée » au sens où elle utilise un ensemble de moyens pour atteindre un objectif déterminé. Pris individuellement, les composants d’une telle attaque ne sont pas forcément évolués techniquement. C’est en réalité la combinaison de méthodes et d’outils qui en font une attaque avancée.

L’attaque est dite persistante car l’objectif est de rester furtif le plus longtemps possible, par opposition à une attaque opportuniste rapide et visible. L’attaque est ainsi planifiée par les attaquants. Des objectifs précis sont préétablis pour compromettre la cible. Le mot clef de la persistance est en réalité de ne pas être détecté pour durer dans le temps, sauf lorsque l’objectif à atteindre est la destruction comme ce fût le cas avec le malware Stuxnet et les centrales nucléaires Iraniennes.

L’APT est une menace qui implique une importante coordination de moyens techniques, humains et financiers (déploiement de systèmes en ligne, création de société, conception logicielle, rétro-ingénierie de système, etc.). Une APT n’est pas forcément automatisée, cela dépend du contexte.

Les attaques APT sont dites à « signaux faibles » car difficilement détectable mais leur impact est souvent majeur. Elles possèdent des objectifs précis et une stratégie de mise en œuvre ne souffrant aucune improvisation. Les techniques employées sont parfois sophistiquées mais requièrent surtout de la coordination entre les différentes phases de l’infection jusqu’à exploitation des systèmes compromis. L’attaque doit absolument rester furtive car elle vise une rentabilité financière. Toute détection mettra fin à cet objectif économique. Le gain financier n’est pas forcément immédiat, il peut s’agir de la mise en œuvre d’une fraude à grande échelle. L’attaque doit durer jusqu’à l’atteinte de l’objectif si celui-ci à un terme. Dans le cas du vol d’information et d’exfiltration de données, cela peut être très long.Certaines APT peuvent avoir pour objectif une campagne offensive étatique, d’hacktivisme ou de Cyberterrorisme.

En général, elles sont orchestrées par des bandes organisées, des groupes militants, voire des Etats comme ce fut aussi le cas avec l’APT Regin piloté par le GCHQ opérant pour le compte de la NSA en 2013 pour attaquer le GRX (Global Roaming Exchange) du BICS (Belgacom International Carrirer Services) à des fins d’espionnage de la téléphonie en Europe continentale. 

Menaces sur les Box Internet

Box Internet
Le revers de la médaille pour un opérateur d’accès à Internet est que toute compromission de Box engage sa responsabilité parce qu’il est propriétaire de l’équipement et qu’il fournit le service a contrario des fabricants de routeurs domestiques sur étagère, qui se déresponsabilisent de l’usage fait pas les utilisateurs de leurs produits. 

Une évolution récente des attaques positionne le terminal d’accès Internet comme la pierre angulaire pour la fraude à grande échelle. 

Le point d’orgue est qu’un parc de Box, dépourvu de tout anti-malware ou mesures techniques de protection avancées, devient un candidat idéal pour les Cybercriminels. Le principal intérêt des pirates pour les Box est la furtivité de la compromission. Dans un tel cas de figure, la victime est dans l’impossibilité de détecter la compromission et encore plus d’y remédier.  

La typologie des objectifs de telles attaques va de l’installation de bots au pharming pour le détournement DNS ouvrant la voie aux attaques par phishing ou à la fraude au clic. 

La Box est un équipement domestique raccordant toutes les systèmes du foyer quel que soit le type de périphérique ou de système d’exploitation. Même les équipements itinérants, connectés épisodiquement via les points d’accès Wi-Fi des Box sont exposés à ces nouvelles menaces.

Ainsi, une seule compromission de plateforme donne accès à un large spectre de systèmes numériques tels que tablette, ordinateur, smartphone, décodeur TV, lecteur multimédia, smartTV, console de jeu, domotique, chaine Hi-Fi numérique...  

Le retour d’expérience montre que le mode opératoire des pirates consiste majoritairement à compromettre les routeurs domestiques depuis le LAN. En effet, la Box Internet dispose de nombreux services ouverts côtés LAN dont habituellement une interface Web d’administration tandis que l’interface Internet dispose de peu de services ouverts ou bien de services filtrés par les équipements de l’opérateur ou la Box elle-même.

Ce constat contraint les pirates à compromettre une Box en attaquant au préalable un ordinateur du LAN ou, dans le meilleur des cas, par simple rebond sur celui-ci grâce à de simples attaques CSRF.


Menaces sur la Femto

Femto cell
Les chercheurs en sécurité et les Cybercriminels se sont intéressés de près aux Femtocells car il s’agit de petites antennes relais telles qu’une BTS (GSM) ou un eNodeB (3G). Ces types d’équipements, hier hors de portée, deviennent ainsi accessibles à des populations qui en étaient privées. 

Les chercheurs académiques les utilisent pour constituer des laboratoires afin de monter en compétences sur les technologies des réseaux mobiles. Par exemple, la thèse en 2013 d’un doctorant de l’Université TU de Berlin a traité du piratage de Femtocell.

Cet engouement a généré un marché de l’occasion sur Internet pour les modèles de terminaux compromettables. La communauté de la Cybersécurité s’y est ainsi intéressée et les conférences sécurité (dont Defcon, CCC et BlackHat) ont présentés différentes attaques pratiquées contre les Femto.

Parmi les centres d’intérêts, les Femtocells permettent la mise en œuvre économique d’antennes relais pirates pour intercepter des communications téléphoniques et des SMS, usurper des abonnés, frauder sur les appels internationaux, etc.
   
Etant donné qu’une Femto se connecte au cœur du réseau voix de l’opérateur, il s’agit d’un chemin privilégié pour mener des attaques contre les équipements de l’infrastructure de l’opérateur dont les composants sensibles comme le HLR (Home Location Register) sont exposés au travers de l’accès privilégié.

Pour finir, des Cybercriminels ont été de la partie avec de réelles attaques substituants les firmwares de périphériques par des versions sous leur contrôles. Ces difficultés cumulées ont conduit au retrait du parc de terminaux chez certins opérateurs.

Menace sur la Box Domotique

Bien qu’encore confidentiels, les offres de Box domotique présentent un nouveau visage de menaces, portant sur la sécurité des biens et des personnes et allant de la désactivation des alertes incendie, à la prévisualisation intérieure avant cambriolage, en passant par la surconsommation d’énergie, l’accroissement des factures pour intervention du centre de télésurveillance, ou encore la captation d’images personnelles pour rançonnage. 

Ces nouvelles menaces, encore peu fréquentes, peuvent s’enrichir d’un ensemble de menaces pléthoriques selon les domaines d’extension des Box domotiques.


Menace sur les Set-Top-Box

La menace sur les Set-Top-Box (STB) ou décodeur TV est déjà ancienne et bien connue. Aujourd’hui, du fait de l’antériorité du contexte, il s’agit d’équipements dotés de nombreuses fonctionnalités de sécurité et d’un modèle de menaces connu. Les plates-formes matérielles de STB sont en avance techniquement d’un point de vue sécuritaire (comme c’est aussi le cas pour les consoles de jeu).

Le savoir-faire en matière de sécurité des STB s’exporte petit à petit vers les autres écosystèmes de terminaux. Les ayants-droits (Major du cinéma et chaînes de TV) contraignent à l’adoption d’obligations contractuelles, requérant la mise en œuvre d’exigences de sécurité. Une offre de services de sécurité spécialisée existe sur ce type de terminaux, débouchant sur des certifications sécurité propriétaires des terminaux.

Dans cet écosystème, les Cybercriminels cherchent à copier les contenus numériques ou à accéder gratuitement à la TV à péage ou à des contenus vidéo. Récemment, l’ouverture de cette gamme de produit au SmartTV et lecteurs de salon connecté, concentre les attaques sur ces nouveaux venus qui n’ont pas encore tiré parti du savoir-faire de l’écosystème de la PayTV. 

Enfin, pour les STB Broadcast (Staellite, TNT, câble), les attaques par Card sharing sont encore fréquentes. Le concept est de capturer les Control Words (clefs de chiffrement changeant toutes les 10 secondes) en clair circulant sur le lien série entre la carte à puce est le terminal et de les mettre à disposition via Internet.

Menaces sur les consoles de jeu

A rédiger


Industrialisation des attaques

Il est de notoriété publique que la sécurité totale est une chimère. Une entité disposant de ressources techniques, humaines et financières parviendra à défaire les meilleures protections. 

Les bandes organisées de la cybercriminalité contemporaine visent des rendements financiers. Dorénavant, il s’agit d’une logique de rentabilité. Les cybercriminels s’organisent en conséquence comme tout acteur économique crédible. Leur dévolu peut se jeter sur n’importe qu’elle cible leur promettant un retour sur investissement.

Evolution des attaques autour de la Box Internet

L’évolution des attaques ciblant les terminaux fixes est d’exploiter une faille logicielle ou la connaissance d’un mot de passe pour compromettre massivement un système. Pour les Box il s’agit de conduire des compromissions à des fins de pharming pour conduire des attaques par phishing mais aussi plus généralement toute attaque ayant un retour sur investissement pour les pirates. 

Ce nouveau postulat, centré sur la Box, apporte de nombreux avantages aux pirates. Le type de plateforme à circonvenir est plus réduit comparé aux multiples versions de Windows, Apple, Linux et tous les objets connectés multimédia ou non. Ce principe, centré sur la Box, rend la compromission plus furtive car les Box ne possèdent pas de logiciel de sécurité (anti-malware, anti-virus, anti-intrusion) en mesure de détecter une attaque. Même un utilisateur averti ne peut pas détecter ces compromissions s'il ne possède pas d'accès au système.

Après la découverte d’une vulnérabilité exploitable par les pirates, une attaque massive devient industrialisable. Un vecteur de compromission de Box possède un facteur démultiplicateur car la Box est le passage obligé de tous les équipements du foyer, et même des équipements tiers de passage. Du point de vue du pirate, ce sont autant de vecteurs de fraudes intéressants.

Motivation de l’attaque de Box

Tous les arguments évoqués supra font des Box des cibles intéressantes pour les cybercriminels déterminés par l’appât du gain.

Le vol de données et d’identifiants, la redirection des utilisateurs vers des sites malveillants, la capture de communication, etc. sont des actions réalisables pour celui qui contrôle le routeur domestique. 

La position centrale des Box dans les réseaux domestiques en font une cible de choix, de surcroît, elles captent aussi les systèmes itinérants comme des terminaux d’amis ou des nomades du voisinage connectés au point d’accès WiFi de la Box. Les compromissions restent furtives car les Box ne disposent pas de capacité de détection avancée contre les attaques. Elles voient passer tous les trafics vers Internet et peuvent participer à un botnet ou à des fraudes distribuées (phishing, fraude au clic ou à l’affiliation, etc.) sans réel risque de découverte.

Les Cybercriminels recherchent la profitabilité, ce postulat a vu une montée en puissance des attaques massives de pharming et phishing centrées sur des Box comme au Mexique et au Brésil ou encore avec le malware "DNS Changer" sur un spectre d’équipements plus large. 

Les agences étatiques de sécurité de l’information dans plusieurs pays se mobilisent contre ces nouvelles menaces. En France, l’ANSSI a axé ses exercices nationaux Piranet sur ce thème, tandis que les exercices "Cyber Europe" de l’ENISA ont ciblé ces catégories de menaces sur un plan Européen.

Principaux problèmes de sécurité de l’écosystème de la Box

Aujourd'hui, les périphériques réseau tels que les modem/routeurs et autres Box font partie intégrante des environnements domestiques et des petites entreprises. En règle générale, ces équipements sont fournis par le FAI de l'abonné et parfois acheté par l’utilisateur. 

Ces équipements sont généralement administrés par des personnes possédant peu ou pas de connaissance technique particulière. Souvent mal configurés et vulnérables, ces dispositifs deviennent une proie facile pour les pirates, donnant aux Cybercriminels un contrôle rapide et un accès à tous les équipements du réseau domestique compromis. 
Ces équipements en apparence anodins offrent une furtivité idéale pour les pirates, que ce soit pour maîtriser les communications ou héberger des logiciels malveillants.

Les mots de passe connus


Les périphériques réseau domestiques sont conviviaux et requièrent un simple branchement sur le réseau pour fonctionner. Pour en arriver à cet état, la configuration par défaut n’est bien souvent pas ou peu sécurisée et un utilisateur lambda ne changera pas le mot de passe par défaut du routeur nouvellement déployé. Cela ouvre une brèche importante parce que les mots de passe par défaut des équipements sur étagère sont bien connus des pirates. Pour s’en convaincre, rien de tel que d’aller visiter des sites spécialisés et

Les mots de passe par défaut concernent une des plus grandes vulnérabilités de ces gammes d'équipements réseau, mais ce n’est pas le seul. Parfois, un fabricant fourni l'administration sans mot de passe par défaut ou encore accessible depuis l’interface publique sur Internet ou bien même dispose d’un compte pour son support technique sans réelle protection. En cas de découverte de ce mode opératoire, l’affaire peut devenir tragique.

Les vulnérabilité concerptuelles d’UPnP


D’autres vulnérabilités concernent des fonctionnalités comme UPnP (Universal Plug and Play) et le profil IGD (Internet Gateway Device). UPnP est un ensemble de protocoles qui simplifie la coopération entre les périphériques réseau tels que les ordinateurs, les imprimantes, les routeurs/modems, etc. 

UPnP définit la façon dont ces équipements se découvrent automatiquement et établissent une communication. Une fois connecté au réseau, un dispositif compatible UPnP ne nécessite aucune intervention de l'utilisateur pour mettre en place une configuration adaptée. Idéal pour l'utilisateur lambda, UPnP ne possède aucune méthode d'authentification et par voie de fait, n'a besoin d’aucun identifiant pour effectuer des actions critiques comme la modification de paramètres du routeur ou la modification de règle de trafic entrant, traversant le coupe-feu. 

UPnP IGD permet à des applications du LAN de solliciter le routeur pour en modifier sa configuration sans authentification par une simple requête SOAP XML normalisée.
De telles fonctions permettent de modifier la politique de sécurité du firewall du routeur en ouvrant des flux entrant depuis Internet. UPnP IGD spécifie même une fonction pour modifier les paramètres DNS de la Box, heureusement quasiment jamais implémentées. 
Certains routeurs domestiques ne permettent pas d’invalider UPnP. De surcroit, la plupart des routeurs domestiques supportant UPnP IGD, l’active par défaut. 
Les cas les plus néfastes de certaines implémentations d’UPnP IGD ont permis de rendre accessible depuis Internet une interface Web d’administration initialement ouverte que côté LAN ou encore d’utiliser la Box comme proxy ouvert, masquant les IP des pirates avec l’IP publique de la Box.

Ce protocole offre une nouvelle surface d’attaque de choix aux cybercriminels.

Interface Web de gestion

Malheureusement, même les utilisateurs les plus attentifs ne peuvent s'assurer que leurs équipements sont bien sécurisés. De nombreuses vulnérabilités potentielles existent dans le firmware de ces périphériques. En particulier les interfaces Web d’administration sont particulièrement sujettes au contournement de l'authentification par des attaques CSRF, d’autant plus lorsque le mot de passe est connu. 

En général, ni les utilisateurs, ni les fournisseurs ne semblent avoir pris pleinement la mesure de ces menaces.


Panorama de malwares ciblant les routeurs domestiques


Hydra

Le premier malware connu pour routeur domestique est Hydra, apparu en 2008. C’est un logiciel open-source ciblant la plateforme MIPS. Classiquement, il était managé par C&C IRC et son but principal était d'accéder aux routeurs en utilisant des attaques de mots de passe. Sa destination finale visait l'exécution d’attaques DDoS.

L’obtention d’un accès au routeur était basée sur une liste intégrée de mots de passe par défaut ou avec l'utilisation d'un exploit de contournement de l'authentification de routeurs D-Link. L’un de ces descendants, début 2012, nommé Aidra, infecte des routeurs domestiques, des Set-Top-Box, des media center et des caméras IP.

Psyb0t sur MIPS

Psyb0t est un malware décelé in-the-field infectant des périphériques réseau domestique directement entre eux. Découvert par le chercheur australien Terry Baume en janvier 2009, il a été utilisé lors d'une attaque DDOS sur le portail DroneBL par un botnet composé de routeurs infectés par psyb0t.

Psyb0t est un bot IRC qui se connecte au serveur en quête de commandes à exécuter. 
Quand il a été découvert, le bot scannait tous les périphériques du réseau et tentait d'accéder à des routeurs en utilisant des mots de passe par défaut ou via un exploit pour contourner l’authentification (shellcode pour architecture MIPSel). Le malware se propageait à travers le réseau via SSH, telnet ou HTTP, en infectant tous les périphériques vulnérables découverts. Psyb0t est destiné à divers attaques de DDoS, à la propagation virale de routeur en routeur (par mot de passe), à l'exécution de commandes shell et à l'accès par dictionnaire à d'autres services comme MySQL, PHP MyAdmin, serveurs FTP, partages SMB, etc. 

Comme le firmware du routeur est généralement en lecture seule, Psyb0t réside exclusivement en RAM. Un simple redémarrage de l’équipement le désinfecte. Néanmoins, les équipements vulnérables sont aussitôt infectés de nouveau à moins que le mot de passe n’ait été changé ou que le firmware soit mis à jour. Comme les routeurs sont rarement redémarrés, cela permet au malware de résider pour de longue période sans difficulté.

Le 22 mars 2009, son créateur a lancé des commandes d’auto destruction sur le canal IRC. Le botnet avait atteint 100 000 machines infectées. 

Psyb0t a été conçu pour fonctionner sur architecture RISC sous Linux sur plate-forme MIPSel (little endian) comme par exemple les distributions pour routeurs domestiques comme OpenWRT et DD-WRT. MIPS/MIPSel est l’architecture matérielle majoritaire des routeurs domestiques mais aussi professionnels.

Le binaire était compressé et chiffré avec le packer open source UPX (bien que l’en-tête ait été modifiée en extrayant la chaine « UPX ! »). Après décompression, psyb0t cherche s’il est déjà actif sur l’hôte. Dans la négative, il charge le payload depuis un serveur HTTP ou TFTP servi par le routeur attaquant, puis lance l’exécution du code malveillant.
Bien que le botnet Psyb0t ait disparu fin mars 2009, en décembre 2009 des chercheurs de l'Université Masaryk en République tchèque ont découvert un autre bot IRC pour routeur qui ressemble à bien des égards à Psyb0t.

tsunami

Au début mars 2010, une nouvelle version est apparue en Amérique latine, probablement un descendant direct du précédent malware. Ce binaire a été classé comme une variante du Backdoor.Linux.Tsunami car il partage des traits communs avec Tsunami et avec Psyb0t (compression et chiffrement UPX avec la même clef).

SYNful Knock


En septembre 2015, les chercheurs en sécurité de la société FireEye ont révélé l’existence d’un malware ciblant les routeurs Cisco. Bien que le vecteur d’infection ne soit pas identifié, la supposition est qu’il s’agit d’une infection réalisée à cause de la faiblesse de mot de passe et la présence d’accès telnet ou SSH sur des interfaces publiques du routeur.




samedi 3 octobre 2015

Capture sur réseau filaire

Comment capturer des flux sur un réseau filaire ?

Tôt ou tard, lors de pentest ou reverse engineering de boite noire, il est nécessaire de capturer des flux sur un réseau filaire. Depuis un système informatique, il suffit de faire la capture tout simplement.

Quand il s’agit de capturer le flux, sur un réseau filaire, d’un périphérique matériel comme un routeur ou switch, ou un dispositif multimédia comme une Set-Top-Box ou une SmartTV ou encore de systèmes plus particuliers comme une box domotique ou une Femtocell, il faut disposer d’un équipement spécifique. 


Les équipements sur le marché

Traditionnellement, il faut utiliser un TAP réseau, spécifiquement dédié à l’interception, mais ces appareils sont coûteux.. Un TAP économique ne permet de rediriger qu’un simplex (un sens de trafic) sur un autre port ce qui s’avère inexploitable dans la pratique.J'en possède un qui ne me sert à rien...

Autrefois, un simple hub, donc la caractéristique est d’être un répéteur multi-port, était utilisé pour écouter tout le trafic, simplement en se connectant sur un port. J'ai deux vieux hub FastEthernet que j'utilise fréquemment et que j'ai gardé précieusement. Mais aujourd'hui, je dois de plus en plus souvent capturer des flux sur des interfaces GigaEthernet

Le marché ne propose plus que des commutateurs (switch), parfois improprement appelés Hub par le service Marketing du fabricant ou du vendeur. Malheureusement, le fonctionnement d’un switch est basé sur une matrice qui commute les trames d’un port à l’autre, améliorant la bande passante disponible pour chaque port, mais en isolant les différents trafics. Ce principe est donc incompatible avec l’interception. 

Pour résoudre ce problème de capture, il faut disposer d’un swicht professionnel, qui offre des fonctions de port mirroring. Le port mirroring permet de dupliquer un trafic d’un port vers un port dédié à la capture.

Sur Internet, il y a de vieux Hubs d’occasion, mais ceux-ci ne supporte généralement pas de GigaEthernet, et sont parfois des équipements avec 8 ou 16 ports plutôt encombrant. Quoi qu'il en soit, ils restent difficiles à trouver aujourd'hui. J'en ai acquis deux en 2007 et déjà ils étaient rares.

Les modèles entrée de gamme de switch 5 ports GigaEthernet (RJ45) chez Cisco ou HP, qui disposent de port mirroring sont dans des gammes de prix allant de 200 à 300 €. Dualcomm propose quelques produits 5 ports GigaEthernet supportant du port mirroring dans une gamme de prix de 150 à 170 $, mais ils sont difficiles à acheter. CyberData a des dispositifs avec juste 3 ports pour du mirroring aux environs de 120 à 130 $. Je n'en ai jamais eu entre les mains.

Dans la gamme professionnel, chez Netgear, il y a la gamme ProSafe, dont le switch 5 ports GigaEthernet GS105Ev2 supporte le port mirroring. Il est disponible à la vente chez quelques enseignes pour ~30 € hors frais de port.


Capturer le flux avec Linux

Enfin, par souci d’exhaustivité, il est possible d’utiliser un PC sous Linux et de capturer le trafic en activant le forwarding IP. Le PC est alors un routeur. Sinon, avec du ARP poisoning, il est possible d'acheminer le trafic vers la station d'écoute en usurpant la passerelle par défaut. Une autre méthode au niveau de la couche 2 est de faire du du bridging avec deux interfaces réseaux pour intercepter le trafic sur le système hôte Linux. Dans tous ces cas de figure, le trafic est intercepté mais peut aussi être altéré en espace utilisateur. 

Il m’est arrivé aussi de positionner une règle iptable sur un routeur OpenWRT pour dupliquer le trafic d'une IP source vers l'IP de la station d’écoute. Un petit routeur OpenWRT ou DD-WRT économique et peu encombrant fait l’affaire. Cela a été quelque fois un mode opératoire en l'absence de switch pro.


Le switch Netgear ProSafe GS105Ev2


J’ai déjà évoqué ce switch Netgear ProSafe économique. J’en ai acquis un pour disposer d’un équipement dédié, à faible encombrement, pour m’accompagner lors de pentests.

L'inconvénient de ce switch est qu’il n’est manageable que depuis Windows. En effet, il faut installer l’utilitaire Netgear, qui s’appuie sur Adobe Air et requiert aussi l’installation de WinPCAP.

Cet outil Netgear procède à une découverte des switchs sur le LAN et les affiche dans son interface graphique. Ensuite, il suffit de choisir le switch à manager parmi ceux découverts. Il est possible d’assigner un nom à l’équipement, de changer son mot de passe (password par défaut) et de définir sa configuration IP (DHCP ou statique). Il supporte la gestion de QoS et de VLAN mais surtout, un onglet permet de définir le port mirroring en cochant le(s) port(s) source(s) à écouter et le port de destination (celui auquel se connecte l’ordinateur d’interception).  


Interface de découverte de switch
L’avantage est que lorsque la configuration est faite, elle est stockée en mémoire non volatile et permet de se passer de Windows et du soft propriétaire. Un accès SSH, telnet ou même HTTP aurait été plus judicieux que d'installer un outil exotique… 

Port mirroring du port 5 vers 1

Côté avantage du produit, j’ai défini un mirroring permanent du port 1 vers le port 5. Il suffit de connecter l’équipement à écouter sur le port 1, et la station d’écoute sur le port 5 pour capturer le trafic. La capture fonctionne bien et supporte Ethernet en 10/100/1000. Les diodes frontales indiquent la présence de trafic par clignotement et la configuration du port avec un code sur 2 diodes pour Ethernet / FastEthernet / GigaEthernet.

Projet ngadmin pour Linux

En capturant les échanges, on découvre des paquets qui comportent la chaîne “NSDP” (Netgear Switch Dicovery Protocol), il s'agit d'un protocole de gestion de périphérique réseau conçu par Netgear. Un projet Open Source pour Linux existe, il s'agit de ngadmin. Il est accessible via git. Voici les instructions pour le build manquantes sur le package du site :
$ git clone http://git.darkcoven.tk/c/ngadmin.git
$ cd ngadmin
$ autoreconf -i
$ ./configure
$ make
$ sudo make install

$ sudo ldconfig

Apparemment, le code a changé de place avec un script autogen.sh  :

git clone https://github.com/Alkorin/ngadmin
$ cd ngadmin
$ ./autogen.sh
$ ./configure
$ make
$ sudo make install
$ sudo ldconfig

Les outils nécessaires pour construire le script configure et les makefiles sont :
$ sudo apt-get install automake m4 autoconf libtool libreadline-dev

Pour le manuel en ligne :
$ man ngcli

Si l'interface âr défaut n'est pas eth0 :
$ ngcli -i <dev>

L'utilisation est plutôt intuitive, il  faut d'abord scanner le réseau pour découvrir les switchs présents, puis configurer le mot de passe avant d'executer la commande login pour le switch avec lequel on souhaite interagir. Après, la commande mirror [disable|set|show] permet de gérer le port mirroring de façon conviviale:
$ ngcli 
> help
Available commands:
bitrate cabletest defaults firmware help igmp list login loop mirror name netconf password ports qos quit restart scan stormfilter tree vlan
> scan
Num Mac               Product  Name       IP           Ports Firmware
0   c0:ff:d4:b7:ab:2f GS105Ev2 gigaswitch 192.168.1.97 5     V1.4.0.2
found 1 switch(es)

> list 
Num Mac               Product  Name       IP           Ports Firmware
0   c0:ff:d4:b7:ab:2f GS105Ev2 gigaswitch 192.168.1.97 5     V1.4.0.2
found 1 switch(es)

> password set password
> login 0 

> mirror show
destination: 5
ports: 1
> mirror set
usage: mirror set <destination port> clone <port1> [<port2> ...]
> mirror set 2 clone 3
> mirror show
destination: 2
ports: 3
> quit


Netgear a publié de nouveaux outils et firmware disponible là : https://www.netgear.com/support/product/GS105Ev2.aspx#ProSAFE%20Plus%20Configuration%20Utility%20v2.7.8
Il y a notamment un outil de découverte NSDP disponible pour Mac OS, Windows et Linux (en mode graphique). L'utilitairer de configuration reste uniquement sous Windows.

La doucmentation est disponible là : https://www.netgear.com/support/product/GS105Ev2.aspx#docs

Mode batch

La commande en ligne permet d'interprèter un fichier batch contenant une liste de commande. le script shell suivant montre un exemple.

$ cat ng-config-ls.sh
#!/bin/bash

BATCH=cmds.txt

MAC="c0:ff:d4:b7:ab:2f"
PASS="password"
DEV=$(ifconfig | grep -B1 192.168.1 | grep UP | cut -f1 -d':')

# -- Create a batch file containing commands

cat << EOF > $BATCH
name show
firmware show
netconf show
list
ports state
ports statistics show
mirror show
quit
EOF

echo "[*] Display config of Netgear Prosafe switch GS105Ev2 (on dev: $DEV)"
ngcli -i $DEV -m $MAC -p $PASS < $BATCH


Execution:

$ ./ng-config-ls.sh 
[*] Display config of Netgear Prosafe switch GS105Ev2 (on dev: fibre0)
scan... done
login... done
gigaswitch
V1.4.0.2
DHCP : no
IP : 192.168.1.97
Netmask : 255.255.255.0
Gateway : 192.168.1.1
Num Mac Product Name IP Ports Firmware
  0 c0:ff:d4:b7:ab:2f GS105Ev2        gigaswitch                      192.168.1.97        5 V1.4.0.2

found 1 switch(es)
port 1: down
port 2: 1000M full-duplex
port 3: 1000M full-duplex
port 4: 1000M full-duplex
port 5: down
Port             Received                 Sent           CRC errors
   1            862532791          35475805793                    0
   2          19220858434         338862320567                    0
   3         107140899658         272389080547                    0
   4         623058922101         127056668540                    0
   5                    0                    0                    0
port mirroring is disabled



Conclusion

Tout black box hacker doit disposer d’un équipement de capture pour réseau filaire. Ce switch est économique (~30 €) et gigaEthernet, il supporte le port mirroring et possède un faible encombrement permettant de l’emmener partout.

L’inconvénient d'un utilitaire disponible uniquement sous Windows n’est pas un vrai problème car une alternative open source en ligne de commande existe. A défaut, une configurartion statique permet de se sortir de ces contraintes, mais on aurait aimé un accès ssh, telnet ou encore http pour fonctionner avec tout type de station de travail sans devoir installer des logiciels. 

samedi 26 septembre 2015

Le marché du zero day

Zerodium, mouchard et marché du 0day

Aujourd’hui, les agences gouvernementales (et les cybercriminels) utilisent principalement l’ingénierie sociale ou des accès physiques pour compromettre un système, ordinateur ou smartphone, dans l’optique d’y installer des outils de surveillance et d’interception, en clair un "mouchard" ! 

Les évolutions attendues de ces modes opératoires sont d’obtenir un accès facilement, rapidement et à distance sur les équipements ciblés. La compromission à distance de système informatique et l’installation furtive du mouchard est devenue 
le vecteur d’attaque de choix car l'ingénierie sociale est risquée et l'accès physique à l’équipement (Evil maid attack) bien souvent compliqué à entreprendre. 

Ces nouvelles méthodes, proches de celles de séries TV, ne sont pas de doux rêves de scénaristes mais elles requièrent néanmoins la disponibilité et la mise en oeuvre de 0-day exploitables sur un ensemble assez large d’applications, systèmes d’exploitation et architectures matérielles.

Déjà, un processeur Baseband 
(System-On-Chip avec un RTOS qui gère l'interface radio mobile, l'accès à la SIM et les piles protocolaires) d'un smartphone haut de gamme bien connu a été pris la main dans le sac entrain d'exfiltrer des données à distance en accédant au système de fichiers en mémoire flash sur une partition dédiée au SoC Applicatif du smartphone. Ce cas de figure reste probablement une situation exceptionnelle, car l'exploitation de processeur Baseband avec un firmware propriétaire et fermée est une tâche plutôt complexe. Des méthodes plus accessibles sont disponibles en ciblant directement les processeurs Applicatifs des smartphones devenus de véritables ordinateurs grand public. Les régulières découvertes de malwares sur les « app stores » sont un exemple tangible d'une évolution des vecteurs d'attaque. 

En partant de ce constat, les agences gouvernementales telles que la NSA, le GCHQ, le BND, la DGSE et bien d’autres, se sont dotées d’expertises humaines pour développer les outils nécessaires en provoquant une certaine pénurie 
de profils d’experts. Malgré tout, cela semble être insuffisant. Pour compléter leur démarche, les grandes agences de renseignement se fournissent aussi auprès d’acteurs spécialisés comme Vupen Security.
Vupen a changé d’activité en 2010 pour rejoindre ce marché plus rémunérateur, avant de s’implanter dans le Maryland à Annapolis à une demi-heure de Fort Meade, lieu de villégiature de la NSA... Ce changement est intervenu dans un contexte défavorable pour la full-disclosure de vulnérabilités avec la jurisprudence, confortée par la cours de cassation, interdisant la divulgation publique d’exploits, alors cœur d’activité de Vupen. Depuis, l’actualité a confirmé que la NSA, le BND allemand ainsi que Hack Team étaient clients de Vupen. 



En mai 2015, Vupen a cessé d’exister puis, en juillet, est né Zerodium dont les fondateurs ne sont autres que Chaouki Bekrar et Isabelle Gorius anciens dirigeants de Vupen. A contrario de Vupen, Zerodium s’ouvre au marché des 0day en qualité d’acquéreur de vulnérabilités en lançant un programme Bounty de 1 000 000 $ pour la compromission d’IOS 9.  

Reward  $1.000.000

Le marché du 0day


Le marché du 0day possède ses propres règles et modes opératoires. Le vendeur est soit un indépendant (chercheur en sécurité), soit une société spécialisée comme Vupen. Les acheteurs sont principalement des cybercriminels ou des gouvernements (services de police ou de renseignement). Certains sont les deux ! Les gouvernements utilisent les 0days pour se prémunir de Cyberattaque mais aussi dans un cadre de programme de sécurité offensive. 

Certains de ces acteurs achètent des exploits pour permettre l’installation furtive de logiciels espions tandis que d’autres sont de simples courtiers de 0day. Les utilisateurs finaux sont toujours des gouvernements ou des cybercriminels de tout poil.

Le cadre législatif en France


En France, l’article R.226 du code pénal devenait insuffisant pour pratiquer des interceptions légales. De nos jours, il est simple de communiquer avec un PC ou smartphone sans passer par des services téléphoniques classiques fixes ou mobiles. En outre, il est possible de chiffrer ses communications de bout en bout. Il devient donc nécessaire pour la justice et la police de pouvoir intercepter les communications numériques à la source, sur ordinateur et smartphone. La législation a évoluée (LOPSSI, LPM, Loi renseignement, etc.) et les derniers arrêtés publiés en juillet 2015 vont permettre aux forces de police et de renseignement intérieur d’utiliser les fameux mouchards en France. 

La LOPPSI de 2010 a prévu que les services de police puissent intercepter les communications : « un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères ». 

Comme un logiciel espion s’installe sur le système informatique à la source de la production des données, il devient possible d’intercepter toute information avant un éventuel chiffrement. 

En France, ces dispositifs doivent être homologués comme pour les interceptions légales téléphoniques. C’est régit par l’article R.226-3 du code pénal. Les logiciels de captation doivent être homologués, à défaut, tout contrevenant, même autorisé à pratiquer des écoutes, tombe sous le coup de la loi. Le ministre de la justice a publié une circulaire explicative là. 

L’arrêté du 4 juillet 2012 « fixant la liste d'appareils et de dispositifs techniques prévue par l'article 226-3 du code pénal » n’avait pas non plus été mis à jour depuis la loi contre le terrorisme. Cet oubli empêchait donc la commercialisation sous contrôle des mouchards. Ce nouveau manque a été corrigé au Journal officiel.
L’examen par la CNIL du projet de décret autorisant le traitement des données captées est

Voilà pour les mouchards, mais que sait-on du marché amont, celui du 0day qui permet de déployer des mouchards de manière furtive sur des systèmes informatiques distants ? 


Le marché du 0day

Après le piratage de la société italienne Hacking Team, la divulgation par Wikileaks des données techniques et commerciales exfiltrées met en lumière le marché des exploits 0day.

La tarification

Dans les documents de Hacking Team, les tarifs de vente d’exploits Flash sans exclusivité par Vitaly Toropov, (chercheur en vulnérabilité moscovite) sont fixés de 35 à 45 000 $, tandis que les ventes d’exploits avec exclusivité atteignent 3 fois ces prix. 

Vulnerabilities Brokerage International quand à elle, pratique des remise de 20% pour des exploits Firefox sans exclusivité.

La période probatoire

Lors de la conclusion de la vente, l’acheteur possède une garantie sous la forme d’une période probatoire au cours de laquelle il évalue le fonctionnement et la fiabilité de l’exploit contre les objectifs annoncés. Dans le cas des ventes de Vitaliy Toporov, cette période a été fixée à 3 jours. Vitaliy n’a pas assisté aux tests bien que cela semble être le modus operandi habituel. 

Le mode de paiement

Les modalités de paiement pour les deux premiers exploits de Vitaliy ont été de 50 % à la commande et 25 % à terme des deux mois suivants. Pour le troisième exploit, Vitaliy a demandé un paiement de 100 % à la commande en s’engageant à fournir un exploit en remplacement si un patch de sécurité intervenait avant deux mois. Hacking Team a refusé ces modalité de paiement. La confiance n’est pas de mise dans ces ventes...

Le livrable

Bah, le livrable est assez classique et consiste en une description du fonctionnement de l’exploit, accompagné du code source, d’une analyse technique décrivant : les prérequis de configuration de la cible, les vecteurs d’attaque, la mise en œuvre de l’exploitation et toute information pertinente. L’objectif du livrable est une compréhension et une prise en main rapide de l’exploit.