[Newsletter HSC] N°24 - Août 2006
newsletter at hsc-news.com
newsletter at hsc-news.com
Mar 1 Aou 13:18:45 CEST 2006
========================================================================
HSC Newsletter -- N°024 -- août 2006
========================================================================
"La violence engendre la violence."
[ Eschyle ]
--[ Sommaire ]----------------------------------------------------------
1. Partenariat avec Integrated Data SA
2. Prochaines formations HSC
3. Agenda des interventions publiques
4. Tutoriels au Salon de la Sécurité Informatique 2006
Réduction pour les lecteurs de la newsletter
5. Tutoriels à Alger
6. Nouveautés du web HSC
7. Veille en vulnérabilités HSC
8. La sécurité "au jour d'aujourd'hui" - Hervé Schauer
Le symposium SSTIC 2006
--[ 1. Partenariat avec Integrated Data SA ]----------------------------
Après le partenariat signé avec IT Training Academy pour la
formation ISO 27001 Lead Auditor à Genève, HSC a signé un partenariat
avec Integrated Data SA (IDSA), entreprise de formation informatique
à Genève. IDSA va organiser et commercialiser à Genève une session de
formation "Sécurité des réseaux sans fil" assurée par HSC.
Cette session aura lieu le 8 novembre 2006.
Pour vous inscrire en ligne :
http://www.idsa.ch/fr/formation/cours_decouverte_sansfil.php
Contact : Aurelie Pernet, sales at idsa.ch
Tél : +41 22 879 8550 -- Fax : + 41 22 793 8632
http://www.idsa.ch/
--[ 2. Prochaines formations HSC ]--------------------------------------
Des places sont disponibles sur les modules suivants :
- Paris
ISO 27001 Lead Auditor ............ : 4 au 8 septembre
Sécurité Internet/Intranet ........ : 7 et 8 septembre
Sécurité des réseaux et des transmissions : 11 au 13 septembre
Sécurité des serveurs web ......... : 14 et 15 septembre
Sécurité Unix ..................... : 18 et 19 septembre
Sécurité Windows .................. : 20 et 21 septembre
Sécurité des réseaux sans fil ..... : 22 septembre
ISO 27001 Lead Auditor pour qualiticiens : 25 au 29 septembre
Serveur de nom / DNS .............. : 3 octobre
Postfix et lutte contre le SPAM ... : 4 octobre
Fonctionnement des PKI ............ : 5 octobre
ISO 27001 Lead Auditor ............ : 16 au 20 octobre
Implémentation des normes ISO 27001/17799 : 9 et 10 novembre
- Toulouse
Implémentation des normes ISO 27001/17799 : 13 et 14 octobre
Sécurité des réseaux et des transmissions : 13 au 15 novembre
Sécurité des serveurs web ......... : 16 et 17 novembre
Sécurité Windows .................. : 20 et 21 novembre
Sécurité Unix ..................... : 22 et 23 novembre
Sécurité des réseaux sans fil ..... : 24 novembre
- Lyon
ISO 27001 Lead Auditor ............ : 27 novembre au 1 décembre
- Genève
ISO 27001 Lead Auditor ............ : 28 août au 1 septembre
ISO 27001 Lead Auditor ............ : 2 au 6 octobre
Sécurité des réseaux sans fil ..... : 8 novembre
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
Pour les formations ISO 27001 à Genève contactez
Manuel.Janelas at ittacademy.ch
Tél : +41 22 709 0900 -- Fax : +41 22 709 0901
http://www.youlearnit.ch/
Pour les formations sécurité des réseaux sans fil à Genève contactez
Aurelie Pernet, sales at idsa.ch
Tél : +41 22 879 8550 -- Fax : + 41 22 793 8632
http://www.idsa.ch/
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations certifiantes).
Retrouvez le détail de nos formations (plan pédagogique, agenda) sur
http://www.hsc.fr/services/formations/index.html.fr
Téléchargez le Catalogue des formations 2006 en PDF sur
http://www.hsc.fr/services/formations/formations_hsc.html.fr
Retrouvez les tarifs en France des formations non certifiantes et
modalités d'inscription aux formations HSC dans la newsletter n°8 :
http://www.hsc-news.com/archives/2005/000021.html
et les tarifs des formations certifiantes dans la newsletter n°20 :
http://www.hsc-news.com/archives/2006/000033.html
--[ 3. Agenda des interventions publiques ]-----------------------------
- 12 septembre 2006 : Groupe SUR de l'OSSIR - Paris
Compte-rendu de la conférence Blackhat
Olivier Dembour et Guillaume Lehembre
http://www.ossir.org/
- 12 octobre 2006 : Assises de la Sécurité - Monaco
Remise du prix de l'innovation des Assises de la Sécurité à l'entreprise
lauréate - Hervé Schauer
http://www.lesassisesdelasecurite.com/prix.asp
- 17 octobre 2006 : Conference Eyrolles "Comment accompagner et réussir
sa migration vers les logiciels libres" - Paris
"Logiciels libres et sécurité des systèmes d'information" - Hervé Schauer
http://www.editions-eyrolles.com/Evenement/SeminaireLL/page1.html
- 31 octobre 2006 : Conférence SSI de l'EMIAE - Casablanca
"Introduction aux normes en sécurité" et "La certification ISO 27001"
Hervé Schauer
- 29 novembre 2006 : Journées Sécurité du CELAR - Rennes
"Exemples d'intrusions sur des réseaux VoIP"
Olivier Dembour et Guillaume Lehembre
http://www.rennes.supelec.fr/JSSI/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 4. Tutoriels au Salon de la Sécurité Informatique 2006 ]------------
HSC propose en excluvisité deux tutoriels animés par Hervé Schauer
au Salon de la Sécurité Informatique 2006 (http://www.infosecurity.com.fr/)
à Paris La Défense. Deux sujets nouveaux sont proposés cette année, afin
de répondre aux attentes des participants des années précédentes :
-> "Sécurité de la voix sur IP"
22 novembre 2006
Olivier Dembour, Guillaume Lehembre
http://www.hsc.fr/conferences/reed2006_securite_voip.html.fr
-> "Enquêtes post-incident : retours d'expériences HSC"
23 novembre 2006
Benjamin Arnault, Frédéric Lavécot, Jérôme Poggi, Julien Raeis
http://www.hsc.fr/conferences/reed2006_forensic.html.fr
Organisateur : Reed Exhibitions
Prix pour chaque tutoriel : 650 euros HT
Pour toutes les inscriptions reçues avant le 4 septembre 2006, une
réduction de 10% est accordée, soit 590 euros HT.
Contact pour vous inscrire : Sandrine.Jean at reedexpo.fr
Tél : +33 (0) 141 904 754 -- Fax : +33 (0) 141 904 769
--[ 5. Tutoriels à Alger ]----------------------------------------------
NT2S (www.nt2s.com) organise des tutoriels assurés par HSC à
l'hôtel Sofitel d'Alger (Algérie).
- "Sécurité Windows" - Benjamin Arnault
7 et 8 novembre 2006
http://www.hsc.fr/conferences/NT2S06_securite_windows.html
- "Sécurité des serveurs web" - Olivier Dembour
5 et 6 décembre 2006
http://www.hsc.fr/conferences/NT2S06_securite_web.html
Organisateur : NT2S (http://www.nt2s.com/)
Prix de chaque formation : 57 000 dinars
Contact : Sofiane Saadi, nt2s at yahoo.fr -- Tel : +213 21 67 86 14
Retrouvez l'agenda de nos tutoriels sur
http://www.hsc.fr/conferences/index.html.fr
--[ 6. Nouveautés du web HSC ]------------------------------------------
- "Détection de tunnels en périphérie du réseau"
Présentation d'Alain Thivillon et Guillaume Lehembre (SSTIC 2006)
http://www.hsc.fr/ressources/presentations/sstic06/
- "VoIP et Sécurité : retour d'expérience d'audits de sécurité"
Présentation d'Hervé Schauer à la conférence Ténor
http://www.hsc.fr/ressources/presentations/tenor06-voip-sec/
- "Une authentification forte par des systèmes cauchemardesques
n'est pas la solution"
Interview d'Hervé Schauer par Emmeline Ratier sur l'hameçonnage
http://solutions.journaldunet.com/0606/060629-avis-des-managers-banques-et-phishing/4.shtml
- "RSSI, un visionnaire dans la banque"
Interview d'Hervé Schauer par Marion Leblanc-Wohrer
http://www.hsc.fr/presse/banque-et-informatique/156p45.jpg
http://www.hsc.fr/presse/banque-et-informatique/156p46.jpg
Retrouvez les supports de toutes nos interventions publiques sur
http://www.hsc.fr/ressources/presentations/
Retrouvez toutes les brèves HSC, disponibles également en RSS, sur
http://www.hsc.fr/ressources/breves/
--[ 7. Veille en vulnérabilités HSC ]-----------------------------------
1134 03-07-2006 Dépassement d'entier dans libwmf
1135 11-07-2006 Vulnérabilité dans le client DHCP de Windows - MS06-036
1136 11-07-2006 Plusieurs vulnérabilités dans Microsoft Office - MS06-037,
MS06-038 et MS06-039
1137 12-07-2006 Vulnérabilités distante dans le service serveur - MS06-035
1138 12-07-2006 Elévation locale de privilèges dans Linux 2.6.x
1139 13-07-2006 Problème de configuration dans les routeurs Cisco Web Setup
1140 13-07-2006 Multiples vulnérabilités dans le produit Cisco CallManager
1141 16-07-2006 Nouvelle vulnérabilité 0day dans Microsoft Powerpoint
affectant la bibliothèque mso.dll
1142 22-07-2006 Multiples vulnérabilités dans Oracle (CPU Juillet 2006)
1143 24-07-2006 Problème de sécurité sur Apache Tomcat 5.x.x
1144 28-07-2006 Multiples vulnérabilités dans les produits Mozilla
1145 28-07-2006 Vulnérabilité dans l'analyseur eIQ networks présents dans
différents produits commerciaux
1146 28-07-2006 Déni de service sur les sondes ISS
1147 28-07-2006 Vulnérabilité dans le module mod_rewrite d'Apache
--[ 8. La sécurité "au jour d'aujourd'hui" - H. Schauer ]---------------
Le SSTIC s'est déroulé à Rennes du 31 mai au 2 juin 2006.
Le général Gérard Bezacier a brillamment introduit la conférence avec
un rappel de quelques faits : depuis 1980 nous sommes passés de 80 états
à 190 états, des hommes ont exterminé des hommes à 700 km de chez nous,
personne ne maîtrise les flux d'argent, la délinquance en col blanc est
en plein développement, il y a une prolifération des armements accessibles
à tous, la Chine produit 3 millions d'ingénieurs parlant anglais par an. Les
causes des conflits sont notamment les inégalités de richesse et la
densité des hommes sur la planète. Avec des entreprises qui vivent dans
un espace sans nationalité, l'avènement de 5 blocs, des dommages
irréversibles sur la planète, nous avons achevé une phase de la
mondialisation et nous sommes à l'aube d'inversions et de changements
majeurs qui imposent de repenser entièrement le rôle de l'armée.
Fabrice Desclaux d'EADS a présenté leurs travaux de rétro-ingénierie
de Skype. Le protocole de Skype est non divulgué, le binaire est chiffré et
son désassemblage est impossible. Skype utilise un mini payload qui
déchiffre la suite du programme, puis efface le code ayant servi
à déchiffrer. A aucun moment, le code déchiffré n'est en entier en mémoire.
La section data est aussi chiffrée ainsi que les chaînes de caractères.
Skype utilise aussi les mêmes méthodes de protection que des malwares
comme Bropia et MyTob contre les débogueurs connus. Contre les attaques
dynamiques, Skype a une détection par mesure de temps, et va même jusqu'à
utiliser des représailles. Il a aussi un test d'intégrité du binaire :
chaque somme de contrôle vérifie une partie de code et une autre somme
de contrôle, ces sommes de contrôle sont insérées au hasard dans le code
et générées différemment les unes des autres. La partie de code
responsable du déchiffrement des paquets est obscurcie. Pour désassembler
Skype, un outils maison spécifique a été développé en python au sein
d'EADS. Les flux réseaux sont chiffrés en RC4, la clé étant néanmoins
contenue dans le paquet, il s'agit plutôt d'obfuscation. Skype utilise
une fonction de transformation. A l'origine il y a eu 2 développeurs,
il sont 5 ou 6 maintenant.
En conclusion, Fabrice Desclaux a montré qu'il était possible de
faire un plug-in de Skype commandé à distance qui fait un shell ou scanne
le réseau en détournant certaines fonctions.
Carlos Sarraute de Core Security Technologies a proposé une
détection d'OS basée sur un réseau de neurones. Ils ont défini des
UUID et des points finaux permettent de reconnaître les versions
et différentes éditions de Windows. Le réseau de neurones utilisé est
en 3 couches :
- couche d'entrée (413 neurones) : un neurone pour chaque UUID et un
neurone pour chaque point final correspondant à cet UUID ;
- couche de neurone cachée (42 neurones, meilleure combinaison trouvée
par tâtonnement) : chaque neurone représente une combinaison des
neurones d'entrée ;
- couche de sortie (25 neurones) : un neurone pour chaque version
de Windows et édition de Windows (XP Home, XP Pro), un neurone pour
les versions de service Pack.
Cette méthode permet avec très peu de tests de déterminer de manière fiable
les OS distants avec 5 réseaux de neurones, un par OS, alors que nmap fait
des centaines de tests.
Malheureusement, leur méthode ne fonctionne exclusivement que dans le cas
où il n'y a aucun filtre en face de soi, et donc ne s'applique
que dans le cas d'un logiciel qui a un agent dans chaque segment de
réseau.
Cédric Lauradoux de l'INRIA a montré qu'un modchip d'un coût
d'environ 60 euros était un système matériel permettant de contourner
les moyens de sécurité implémentés par les constructeurs de consoles
de jeu. Le modchip opère vers les I/O bus de données et au niveau du
processeur, il permet d'éliminer ou de régénérer tous les signaux
d'authentification lors de l'insertion d'un jeu piraté. Il est
possible d'enregistrer ce qui passe sur le bus avec un oscilloscope et
de le faire régénérer par son FPGA après, et ainsi de leurrer un
mécanisme complexe d'authentification. Il conclut en rappelant que,
même dans le cas du TPM, il y a du rejeu.
Nicolas Bareil d'EADS a réalisé une présentation de ptrace(), qui est
l'interface de débogage dans l'espace utilisateur d'un programme sous Unix
et donne accès à la copie des registres et à la mémoire en lecture et
en écriture.
En utilisant différentes méthodes, il est possible d'injecter du code dans
un programme en cours d'exécution. Ce code dialogue par signaux avec des
processus qui peuvent le tracer. Il est aussi possible de rejouer : par
exemple plutôt que de comprendre la fonction de chiffrement de Skype, il est
ainsi possible de la réutiliser. Avec un skype qui tourne et ptrace() des
variables sont injectées puis la fonction de chiffrement de Skype exécutée.
Renaud Bidou de Radware a présenté comment exploiter une ancienne faille
MS03-026 en contournant les IPS récents. En utilisant la fragmentation
RPC, en utilisant des techniques de binding de ports multiples et de
pipelining (plusieurs requêtes dans un même paquet), plus aucun IDS
ne détecte l'attaque.
Philippe Lagadec a présenté un logiciel en python permettant de rapatrier
du contenu public comme des correctifs de sécurité vers des réseaux sensibles,
en n'autorisant que les formats de fichier maîtrisés et inoffensifs. Ce
logiciel de diode réseau devrait être publié en logiciel libre sur
http://admisource.gouv.fr. Le protocole FLUTE (File Delivery over
Unidirectional Transport) normalisé à l'IETF pour cette tâche n'a pas été
utilisé.
Nicolas Pouvesle de Tenable Security a présenté les failles MSRPC et
DCERPC connues et a donné des exemples d'exploitation. Même si la sécurité des
services RPC Windows a été améliorée, les anciennes failles RPC Windows
demeurent dans logiciels tiers comme les logiciels de sauvegarde, et DCERPC
reste incontournable. Il a fait une démonstration d'écriture à distance dans
les journaux telle que décrite par Jean-Baptiste Marchand, cf. l'article mis à
jour en mai 2006 :
http://www.hsc.fr/ressources/articles/win_net_srv/index.html.en
Bernard Ourghanlian de Microsoft a présenté les évolutions de
l'implémentation des spécifications du TCG au sein de la plate-forme
Windows.
Dans Windows Vista apparaît Palladium ou NGSCB, nom plus compliqué
choisi pour minimiser la couverture médiatique. Le CPU est soit en mode
"standard", soit en mode "trusted". Quand des pages en mémoires sont
marquées "trusted", elles ne peuvent être accédées qu'avec le CPU en
mode "trusted". Il y a aussi des E/S sécurisées par un concentrateur
USB de confiance pour permettre le dialogue sécurisé avec le nexus et
offrir une sécurité de bout de bout. La principale utilisation est le
chiffrement du disque dur interne : "BitLocker Drive Encryption"
pour le contrôle de la séquence d'amorçage de la machine.
Le TPM est le composant matériel de contrôle qui inclut RSA, SHA-1,
la génération de nombres aléatoires, une "Endorsement Key (EK)"
installée par le fabricant et la "Storage Root Key (SRK), des opérations
de signature, et le calcul d'empreintes sur certains composants.
Windows Vista impose un TPM 1.2 au minimum dans la machine.
La partition d'amorçage de Windows Vista est de 350Mo, avec le MBR
(Master Boot Record), le chargeur du système, et des utilitaires d'amorçage
non chiffrés.
La clé de chiffrement est scellée au moyen d'un TPM au bénéfice du
chargeur d'amorçage autorisé.
Avec juste, le TPM cela est presque transparent pour l'utilisateur et
interdit contre les attaques logicielles mais pas toutes les
attaques matérielles. Avec le TPM et un code
PIN (4 à 20 digits) cela permet le descellement de la VMK.
Avec le TPM plus une clé USB de démarrage cela protège contre les
attaques du TPM et de nombreuses attaques matérielles.
Un scénario dégradé est d'utiliser une clé USB de démarrage seule sur
une machine sans TPM. Il faut chercher la clé de chiffrement sur la clé
USB. Cela ne contrôle pas la séquence d'amorçage. Enfin un scénario
de récupération de mot de passe par un mot de passe de récupération
est possible.
Comme BitLocker chiffre des partitions, il n'est pas possible d'avoir un
double amorçage avec un autre OS sur une même partition.
BitLocker sera utilisable pour les disques externes à partir du SP1
de Windows Vista.
Nicolas Ruff d'EADS a cité les failles connues des boîtiers
ADSL distribués par les FAI, qui montrent que ceux-ci n'avaient
pas jugé bon d'intégrer la sécurité dans le développement de leurs
boîtiers ADSL. Il a testé en internaute Alice, AOL, Cegetel, Free,
et Wanadoo (NDLR : devenu Orange) Livebox. Les OS utilisés sont VxWorks
ou Linux. L'interface réseau côté LAN a souvent FTP, SSH, Telnet, UPnP
ouverts. Celle coté WAN a parfois un port d'administration. Dans tous
les cas, le FAI et le constructeur ont généralement des mots de passe
pour l'accès distant, la mise à jour logicielle par FTP, au travers
de canaux ATM réservés à l'administration, par lesquels Nicolas Ruff
a vérifié qu'il était également possible de compromettre les serveurs
de mise à jour des boîtiers du FAI. Enfin, à titre de démonstration,
Nicolas Ruff a piraté en direct un utilisateur au hasard de Cegetel
Box (NDLR : boîtier qui n'est plus maintenu ni distribué depuis la
fusion avec 9 telecom).
Loïc Duflot et Olivier Grumelard de la DCSSI ont refait leur
présentation de CanSecWest sur l'usage des fonctionnalités des
processeurs pour contourner les mécanismes de sécurité des systèmes
d'exploitation. Le système d'exploitation contrôle les échanges avec
son noyau en coupure, sauf dans les cas de la mémoire partagée et
du DMA : accès direct à la mémoire sans contrôle du processeur. Le
chipset de fonction graphique Northbridge fait le dialogue entre
mémoire vidéo et mémoire vive peut être détourné de son usage pour
écrire ou écraser des tables de redirection de code ou pour
recopier une routine de la mémoire vidéo vers la mémoire vive.
Pour que l'ACPI fonctionne, les systèmes sont configurés par défaut
avec une possibilité d'écriture qui permet ce détournement. Il faut
déjà être administrateur pour exploiter de telles possibilités, donc
avoir un OS qui a un système de privilèges intéressant à escalader
par ce moyen comme les Securelevel BSD. Dans ce cas, la seule protection
est d'interdire les accès directs aux ports d'entrée/sortie dans la
mémoire graphique (option allowaperture sous OpenBSD), ce qui empêche
l'utilisation d'un serveur X.
Pietro Michiardi d'Eurecom a dit qu'il serait possible de
s'inspirer de la théorie des jeux pour permettre à des réseaux ad-hoc
de s'auto-gérer même lorsque tous les noeuds sont potentiellement
hostiles.
Gael Delalleau et Renaud Feil d'Ernst & Young ont rappelé que les
postes clients demeuraient le maillon faible de la sécurité.
Il est possible d'identifier les logiciels des postes clients,
par exemple pour les butineurs par l'ordre relatif des en-têtes, le
support de certaines fonctionnalités, les fonctions disponibles. Avec IE
il est possible de demander les versions d'autres logiciels.
Un serveur web malveillant peut envisager de contourner les anti-virus
et arriver à déposer un cheval de troie pour attaquer des sites internes
d'une entreprise. Si HTTPS est autorisé, cela sera toujours possible
malgré l'analyse de contenu sur HTTP. La seule parade efficace est
d'utiliser deux navigateurs : un pour naviguer sur internet et l'autre
pour naviguer sur les sites internes.
Dans les sessions courtes, Nicolas Pouvesle a cité une solution
de contournement de la protection ASLR (Address Space Layer Randomization)
de Windows Vista beta 2, qui vise à empêcher l'exploitation distante
des débordements de buffers et Nicolas Ruff a expliqué l'attaque
d'hameçonnage avec un fichier Word contenant une attaque 0day envoyée
au nom d'EADS.
Alain Thivillon et Guillaume Lehembre ont présenté moltunnel, un
logiciel libre essayant de détecter les canaux cachés sur le périmètre
du réseau.
Marie Barel, avocate, a précisé les responsabilités qui pouvaient
affecter un RSSI :
- responsabilité du fait d'un préjudice causé à un tiers au
travers du système d'information ;
- responsabilité d'agissements d'un salarié : l'employeur
est responsable civilement, d'où l'importance de la qualité des
chartes d'usage ;
- responsabilité pénale : comportement délictueux du salarié
accompli dans le cadre de son emploi, il est possible d'envisager
une hypothétique condamnation de l'entreprise et son dirigeant,
car ils ont une obligation de surveillance et contrôle interne.
- responsabilité engagée du fait des mesures de cybersurveillance sur
le réseau d'entreprise.
Elle rappelle à ce sujet que la pornographie relève de la vie privée
et qu'aucun employeur ne peux l'interdire ni même aller fouiller dans
l'espace privé du salarié.
Francois Gaspard et Samuel Dralet ont exposé comment réaliser
une exécution distante uniquement en mémoire, sans jamais écrire
sur le disque afin d'intruser sans laisser de traces.
Une première possibilité est d'avoir le logiciel d'exploitation de
la faille qui va s'exécuter sur la machine de l'attaquant, mais tous
les appels systèmes qui s'exécutent sur la machine victime, au travers
d'un relais d'appels système. Cependant, cela apporte trop de communications
réseau et ne donne pas satisfaction.
Une autre possibilité est avec execve() (appel système permettant
d'exécuter un programme), l'image du processus est remplacée par
l'image exécutée par le noyau, execve ne retourne donc pas à l'ancien
processus. execve() a besoin d'un binaire sur le disque. En développant
un execve() en mode utilisateur, il sera possible de prendre un binaire
en mémoire :
1. Unmapper les pages de l'ancien processus ;
2. Si binaire dynamique alors charger éditeur de liens ;
3. Charger le binaire ;
4. Initialiser la pile ;
5. Déterminer le point d'entrée ;
6. Transférer l'exécution du point d'entrée.
Le binaire est réceptionné par exemple dans une socket.
Une porte dérobée peut être ainsi installée par injection de bibliothèques.
Un appel système dlopen() est injecté avec ptrace() en assembleur
pour charger la bibliothèque dans l'espace du processus.
Mais dlopen() nécessite que la bibliothèque soit sur le disque, il
faut soit utiliser une partition type tmpfs ou ramdisk (partitions en
mémoire), soit reprogrammer dlopen() pour qu'il charge une bibliothèque
déjà présente en mémoire. dlopen() représente plus de 1000 lignes de
code alors que execve() ne fait que 200 lignes, la tâche a été ardue.
Le processus (service) exploité est condamné à mourir ou ne peut être
relancé par manque de privilèges (exemple : Apache).
Pour augmenter ses privilèges en restant un seul processus, par
le noyau il faut un programme qui va falsifier la structure du noyau
pour mettre mettre l'UID du processus à 0, la solution en mode
utilisateur est d'exploiter un programme local comme "su" en déplaçant
le processus d'attaque vers un programme avec déjà un UID à 0.
En conclusion, ils rappellent que l'analyse forensique de la mémoire
vive est aussi importante que celle du disque dur.
Gildas Avoine du MIT a exposé son expérience avec les RFID.
Les RFID sont des étiquettes d'identification par radio-fréquence
à l'aide d'un transpondeur (tag). Un lecteur interroge le transpondeur
qui répond avec son identifiant unique et des numéros complémentaires.
Un RFID a une mémoire de 128 bits à 10ko qui est toujours lisible
par un tiers par une attaque physique, et la possibilité de faire du XOR
ou de la cryptographie symétrique. La technologie est ancienne, mais
c'est la disponibilité à très faible coût de transpondeurs passifs,
sans batterie qui fait la popularité récente pour tatouer les animaux
ou les oeuvres d'art, pour les passeports, navigo, les forfaits de
remontées mécaniques ou les clés de voiture.
Les RFID révèlent de l'information, et il suffit d'interroger le RFID
pour qu'il nous réponde, sachant qu'une étiquette RFID ne peut être éteinte.
Avec un passeport, cela conduit à une fuite d'information : sur le RFID
d'un passeport il y a toutes les données du passeport, la photo, et parfois
des informations biométriques. Les Américains avaient peur que des
bombes se déclenchent quand un passeport américain passe, c'est pourquoi
quand le passeport est fermé celui-ci devient une cage de Faraday avec du
métal : le RFID ne reçoit plus les sollicitations. De plus, il faut envoyer
une clé au transpondeur pour qu'il réponde, et cette clé est imprimée sur
le passeport, il faut donc une lecture optique du passeport en plus
de l'étiquette RFID. Mais dans le cas de produits étiquetés qui seraient
dans un camion, avec un lecteur il est possible de voir tout ce qu'il
y a dans le camion. La seule solution est d'avoir un brouilleur dans
le camion. D'autres techniques permettent d'éviter la fuite
d'information : envoyer une clé pour que le RFID s'autodétruise, avoir
une antenne amovible qui se détache comme dans les vêtements (au
premier lavage), ou un bouton sur l'étiquette RFID. La cryptographie
n'est pas la solution vu le problème de gestion des clés.
Dans le cas de RFID permettant un contrôle d'accès, l'intérêt est
d'usurper l'identité : remontée mécanique, accès bureau, péage d'autoroute
(dans ce cas ce sont des étiquettes RFID actives avec batterie).
Les systèmes actuels sont très faibles : le contrôle d'accès du
MIT se contourne de suite, quiconque qui sollicite l'étiquette dans mon
sac entre dans mon bâtiment. L'algorithme de chiffrement (non public), doté
d'une clé de 40 bits, utilisé pour accéder aux voitures Ford,
a été cassé en moins d'une minute par une recherche exhaustive.
Et aux USA, la carte de payement d'essence SpeedPass utilise aussi un RFID...
Gildas Avoine nous passe la vidéo de la démonstration du vol de voiture.
L'attaque est toujours possible par relais car l'étiquette RFID répond
toujours sans demander au porteur. Ainsi, en suivant quelqu'un dans un
supermarché, relié par un moyen quelconque avec un complice sur le parking,
on peut ouvrir sa voiture.
Laurent Butti de FT R&D a présenté un logiciel de détection et
géolocalisation des points d'accès sans-fil pirates branchés sur le site
protégé. Le logiciel utilise 70 signatures et 3 méthodes d'analyse pour la
détection d'usurpation d'adresses MAC, il analyse les n° de séquence, les
champs optionnels, la volumétrie des trames, et est complété par un moteur
d'agrégation et de corrélation basé sur SEC. Ce logiciel ne sera
pas disponible en logiciel libre.
A l'exception notable de la présentation d'HSC qui proposait avec
moltunnel une solution de détection des canaux cachés ou celle de
Laurent Butti pour la détection des bornes sauvages, les présentations
étaient plutôt orientées sur les attaques et les mécanismes de
contournement.
Les présentations sont disponibles en ligne sur :
http://actes.sstic.org/SSTIC06/
Plus d'informations sur la liste de diffusion newsletter