Archive | Trop sérieux

Quand WannaCry bouscule mon petit quotidien…

Wannacry-ransomware Infection Map

Wannacry-ransomware Infection Map

Je n’avais pas prévu d’être interviewé par Hit West sur le sujet… mais suivez bien mon intervention entre Nekfeu et Zayn 🙂
Pour plus de détails, voir mes notes sur le sujet ci-dessous.

Extrait de l’article de Silicon.fr:

WannaCry est un ransomware dont la première version a été détectée pour la première fois le 10 février dernier par un chercheur de Malwarebytes.
La souche a fait ses premiers pas lors d’une brève campagne menée le 25 mars dernier. Sa deuxième version, qui a démarré ses ravages massifs le 12 mai, conserve les caractéristiques essentielles d’un ransomware : l’envoi par un e-mail piégé, une pièce jointe (Word ou PDF) qui déclenche l’infection, un chiffrement des données (documents, images, musique et autres) et une demande de rançon en bitcoins afin de restaurer l’accès aux informations prises en otage (dans le cas présent, l’équivalent de 300 dollars).

Mécanisme d’infection des plus banals + remerciements NSA / ShadowBrokers pour la large diffusion (cf la clef de déchiffrement publiée le 8 avril 2017 dans un article des ShadowBrokers intitulé Don’t forget your base)

Heureusement Microsoft avait patché …

Microsoft Security Bulletin MS17-010 – Critical
Security Update for Microsoft Windows SMB Server (4013389)
Published: March 14, 2017
Version: 1.0

Vendredi 12 mai 2017: gros phishing avec ver qui chiffre les disques + exploitation des vulnérabilités NSA

Excellente synthèse de NoLimitSecu https://www.nolimitsecu.fr/wannacry/ et article de Troy Hunt

Validation Metasploit : https://www.rapid7.com/db/modules/auxiliary/scanner/smb/smb_ms17_010

Kill switch iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com = évitement de sandbox ?

Grosse blague de la découverte par erreur 22-year-old from south-west England who works for Kryptos logic, an LA-based threat intelligence company.
C’est une découverte accidentelle dans le sens où quand il a déposé le nom de domaine il ne savait pas que cela stopperait le ver (sous certaines conditions): https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

Il déclare même « My job is to look for ways we can track and potentially stop botnets (and other kinds of malware), so I’m always on the lookout to pick up unregistered malware control server (C2) domains. In fact I registered several thousand of such domains in the past years« .

Analyse par Virus total : https://www.virustotal.com/en/file/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c/analysis/

https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis

wcry

wcry

Du coup, je fais quoi ???

Synthèse des recommandations avec les outils que je maîtrise: Fighting WannaCry with Rapid7

Le meilleur point de départ est sans doute ce blog post publié le premier jour de l’attaque: https://community.rapid7.com/community/infosec/blog/2017/05/12/wanna-decryptor-wncry-ransomware-explained

Quelques points intéressants:
· Le projet SONAR nous donne des tendances sur les terminaux qui exposent le protocole SMB potentiellement vulnérable.
· Le projet HEISENBERG monitore également la recrudescence des scans, des attaques et des techniques
· Base de vulnérabilités: Nexpose intègre bien un check depuis le 14/03/2017 et qui couvre semble-t-il toutes les versions vulnérables (de XP à Windows Server 2016)
· Metasploit: Un module auxiliaire est intégré dans la base Metasploit. Pas de panique, ce n’est donc pas un exploit mais un bout de code non armé qui permet de tester si la machine est vulnérable et ainsi répondre à la question : est-ce que ma machine est correctement protégée ? Ce peut être intéressant lors de l’application d’une contre-mesure par exemple ou sans disposer de Nexpose, si un patch est correctement appliqué.
· Une recherche dans la base à partager : https://rapid7.com/db/search?utf8=%E2%9C%93&q=MS17-010&t=a

CVE pour template Nexpose:

CVE-2017-0143
CVE-2017-0144
CVE-2017-0145
CVE-2017-0146
CVE-2017-0147
CVE-2017-0148

Posted in Boulot, CyberDefenseCommentaires fermés sur Quand WannaCry bouscule mon petit quotidien…

European Cyber Week Capture The Flag

5, 4, 3, 2, 1, 0 ... partez !!!

5, 4, 3, 2, 1, 0 … partez !!!


« mais qu’est-ce que tu fais ? »
« attends, je regarde 5 mn …  »
« ca fait deux heures ! Ca va, tes élèves ? »
« ouais, ils gèrent trop ! 2, 3, 4, 5 pour le moment … »
Après une heure...

Après une heure…


« et toi ??? »
« euhhh …là faut que je répare Twitter, le DNS, tout ça tout ça … pas trop le temps de jouer quoi »

Posted in Boulot, HackCommentaires fermés sur European Cyber Week Capture The Flag

Finally, it blinks …

Arduino UNO makes me blink

Arduino UNO makes me blink

  1. Documente-toi
  2. hkhs1-1
    Par exemple le premier numéro Hors-Série de Hackable est très bien fait

  3. Paie ton UNO
  4. J’avais du acheter un kit Uno/breadboard sur http://www.semageek.com/

  5. Installe ton IDE
  6. Il y a vraiment beaucoup de ressources en ligne. Pour mon cas, j’ai suivi http://playground.arduino.cc/Linux/Debian

  7. Pompe le code de ton croquis
  8. /*
    Blink
    Turns on an LED on for one second, then off for one second, repeatedly.

    Most Arduinos have an on-board LED you can control. On the Uno and
    Leonardo, it is attached to digital pin 13. If you’re unsure what
    pin the on-board LED is connected to on your Arduino model, check
    the documentation at http://www.arduino.cc

    This example code is in the public domain.

    modified 8 May 2014
    by Scott Fitzgerald
    */

    // the setup function runs once when you press reset or power the board
    void setup() {
    // initialize digital pin 13 as an output.
    pinMode(13, OUTPUT);
    }

    // the loop function runs over and over again forever
    void loop() {
    digitalWrite(13, HIGH); // turn the LED on (HIGH is the voltage level)
    delay(1000); // wait for a second
    digitalWrite(13, LOW); // turn the LED off by making the voltage LOW
    delay(2000); // wait for a second
    }

  9. Crée ton circuit
  10. Breadboard et Uno

    Breadboard et Uno

  11. Téléverse
  12. IDE Arduino

    IDE Arduino

=> ça clignote, te voici ceinture verte d’Arduino

Posted in Arduino, Trop sérieuxCommentaires fermés sur Finally, it blinks …

Vous reprendrez bien un peu de cyber ?

Petit aide-mémoire « vocabulaire » pour les gens que j’ai pris l’habitude de rencontrer au mois de mai.

Cyber à toutes les sauces, mais que met-on vraiment dedans ?

  1. Cyberespace
  2. « Le cyberespace est un espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques. » (cf Charles Préaux dans DSI Hors série n°32 de novembre 2013).
    Particularités du cyberespaces :
    – espace déterritorialisé,
    – principe d’ubiquité,
    – quasi instantanéité des actions,
    – substitution des acteurs,
    – virtualité de la matière.
    La définition du cyberespace proposée par le Centre Interarmée de Concepts, de Doctrines et d’Expérimentations (CICDE) est la suivante : « un domaine global constitué du réseau maillé des infrastructures des technologies de l’information, des réseaux de télécommunication, des systèmes informatiques, des processeurs et des mécanismes de contrôle intégré ». Définition autrefois disponible dans un doc DIA Non Protégé qui n’est aujourd’hui plus accessible sur le site du CICDE.

  3. Cyberdéfense
  4. Pour le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN) la cyberdéfense est constituée de « l’ensemble des mesures techniques et non techniques permettant à un état de défendre dans le cyberespace les systèmes d’information jugés essentiels ».
    Pour le Ministère de la Défense, la cyberdéfense recouvre « l’ensemble des activités qu’il conduit afin d’intervenir militairement ou non dans le cyberespace pour garantir l’efficacité de l’action des forces armées, la réalisation des missions confiées et le bon fonctionnement du ministère ».

  5. Cybersécurité
  6. La cybersécurité est l’état recherché pour un système d’information lui permettant de résister à des évènements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
    Pour Wikipedia, « Le mot cybersécurité est un néologisme désignant l’ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels (connectés directement ou indirectement à un réseau) des états et des organisations (avec un objectif de disponibilité, intégrité & authenticité, confidentialité, preuve & non-répudiation) »

  7. Cybercriminalité
  8. La cybercriminalité désigne les actes contrevenant aux traités internationaux ou lois nationales, utilisant les réseaux ou les systèmes d’information comme moyen de réalisation d’un délit ou d’un crime ou les ayant pour cibles.

  9. Cybernétique
  10. Ce dernier terme apparu fin XXème siècle à l’époque de la mode des mots en « …tique » concerne l’étude des processus de contrôle et de communication chez l’être vivant et la machine.

Bref, c’est plus clair ? On compare avec la plus traditionnelle Sécurité des Systèmes d’Information ?

Selon la Bible Wikipedia, « la sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d’information. Assurer la sécurité du système d’information est une activité du management du système d’information.

Aujourd’hui, la sécurité est un enjeu majeur pour les entreprises ainsi que pour l’ensemble des acteurs qui l’entourent. Elle n’est plus confinée uniquement au rôle de l’informaticien. Sa finalité sur le long terme est de maintenir la confiance des utilisateurs et des clients. La finalité sur le moyen terme est la cohérence de l’ensemble du système d’information. Sur le court terme, l’objectif est que chacun ait accès aux informations dont il a besoin. La norme traitant des SMSI est l’ISO/CEI 27001 qui insiste sur Confidentiality – Integrity – Availability, soit en français Disponibilité – Intégrité – Confidentialité. »

So … buzzwords et bullshitteries, subtilité ou nuance fondamentale ? On pourrait donc envisager la cybersécurité comme un ensemble englobant la SSI et s’appliquant à un cadre plus large de systèmes (au delà du système d’information).

Un indice, depuis une douzaine de mois, à l’ANSSI des voix de premier rang n’évoquent plus que la SecNum / Sécurité du numérique. Au delà des éléments de langage et des guéguerres de « spécialistes », le grand chantier de la sécurisation de nos infrastructures/systèmes/applications reste un Vaste programme ! Et vous ne couperez pas à la lecture de ce classique : « Stratégie Nationale pour la Sécurite du Numerique« .

Stratégie Nationale la sécurite du numérique

Stratégie Nationale la sécurité du numérique

Ce qui se conçoit bien s’énonce clairement – Et les mots pour le dire arrivent aisément.
L’Art poétique (1674) – Nicolas Boileau-Despréaux

Posted in Boulot, Clic, Trop sérieuxCommentaires fermés sur Vous reprendrez bien un peu de cyber ?

Débug ton HTTPS avec Wireshark

Vous aussi vous avez eu besoin d’aller déchiffrer un flux HTTPs pour un coup de débug ?
Ca n’a jamais été aussi facile.
Même plus besoin d’aller « emprunter » une clef privée sur un serveur ou de se mettre dans la peau de « l’homme du milieu » (souvenirs de galères avec sslstrip or mitmproxy).

1 – Tu définis ta variable d’environnement SSLKEYLOGFILE pointant sur un fichier local que Firefox/Chrome détectera au redémarrage et qui va servir à stocker les pre-master keys

2 – Tu renseignes le chemin vers ce fichier de stockage des pre-master keys dans les préférences SSL de Wireshark

3 – Tu ajoutes ton filtre Wireshark de capture entre ton poste et le serveur cible

ip host 87.98.170.232 and ip host 192.168.1.102

4 – Feu patate !

Toi aussi rigole avec Wireshark

Toi aussi rigole avec Wireshark


Merci qui ? Merci Jim !

Ah oui, il faudra quand même que je regarde les cas où cela ne fonctionne pas … et que je détaille dans ce cas les vieilles alternatives.

Posted in Boulot, Clic, Crypto, HackCommentaires fermés sur Débug ton HTTPS avec Wireshark

Under Attack ?

Under Attack on 2016-01-28

Under Attack on 2016-01-28


Petits tests depuis ZAP à l’ENSIBS 🙂

De 100 pages vues par jour à 16 000 aujourd’hui.

Posted in Boulot, Clic, CyberDefense, Hack1 Commentaire

Hackers partout, sécu nulle part ?

Lockpicker Training

Lockpicker Training

On en parle le samedi 23 janvier 2016 du côté de Vannes à l’ENSIBS à l’occasion d’un nouvel évènement du HackLab.

J’essaierai de vous éclairer sur le sujet en essayant de ne pas enfoncer que des portes ouvertes.

Quand Xavier Niel piratait l'Elysée

Quand Xavier Niel piratait l’Elysée


Je vous re-sortirai à cette occasions pas mal de vieilleries de mon adolescence … mais pas mon Commodore 64 !
Si vous ne vous souvenez pas de War Games (sorti en 1983) ou que vous n’avez pas eu le temps de lire L’éthique des hackers de Steven Levy, trop occupé que vous étiez à guerroyer sur Clash of Clans, c’est l’occasion de lancer une petit rafraichissement.

On frissonnera à la vue des prouesses techniques de ce BG de Nicholas Hathaway dans Hacker et on se tapera quelques bonnes barres en re-découvrant quelques récentes productions institutionnelles de la cybersécurité.

Du sérieux au futile, du politiquement correct à la limite de l’irrespectueux… je tenterai de vous faire partager ma vision du hacking.

Bref, il fait tout gris, alors lâchez votre PS4 et viendez vous ouvrir l’esprit !
Début à 14h00, fin à plus soif.
Désolé pour ceux qui ont déjà eu à me supporter jeudi et vendredi 🙂

Hackable Janvier-Février 2016

Hackable Janvier-Février 2016


La bête est à poste

La bête est à poste


Le badge #NDH2k15

Le badge #NDH2k15


Hackers: Heroes of the Computer Revolution.

Hackers: Heroes of the Computer Revolution


Notes :

http://phrack.org/issues/7/3.html
https://fr.wikipedia.org/wiki/Steven_Levy
https://fr.wikipedia.org/wiki/L’%C3%89thique_des_hackers
http://framablog.org/2013/01/15/manifeste-du-hacker-aaron-swartz/
http://www.lesinrocks.com/2013/03/11/actualite/steven-levy-le-sens-du-mot-hacker-a-considerablement-evolue-11372889/

Posted in Boulot, CyberDefense, HackCommentaires fermés sur Hackers partout, sécu nulle part ?

Blagues potaches avec Metasploit

DOS from Metasploit Framework

DOS from Metasploit Framework


Et vous trouvez ça drôle ?

On n’a pas toujours un Nexpose Ultimate sous la main. C’est donc bien de continuer de faire à l’ancienne.

Petite démo de Blue Screen Of Death sur le PC pourri de mon petit Paulo.

MS12-020 Microsoft Remote Desktop Use-After-Free DoS
This module exploits the MS12-020 RDP vulnerability originally discovered and reported by Luigi Auriemma. The flaw can be found in the way the T.125 ConnectMCSPDU packet is handled in the maxChannelIDs field, which will result an invalid pointer being used, therefore causing a denial-of-service condition.

Posted in Boulot, HackCommentaires fermés sur Blagues potaches avec Metasploit

En mode hacker…

Carburer au Club-Mate à Numa

Carburer au Club-Mate à Numa

Fin de semaine et WE très chargés entre Hack In Paris, Pas Sage En Seine et Nuit du Hack

De bien belles rencontres et quelques moment de répit à Numa.

Je vous raconte sous peu !

Le badge #NDH2k15

Le badge #NDH2k15

Posted in Crypto, CyberDefense, FêteCommentaires fermés sur En mode hacker…

Ton coeur saigne en 2014 !

Ce billet m’est largement inspiré par l’article Wikipedia version anglaise ainsi que par ma traversée attentive de l’évènement qui m’aura permis de revisiter TLS, les sockets Python et TCPDump.

Je sais, comme dirait ma mère à @turblog : « pffff, c’est compliqué !« . Mais, je peux vous éclairer.

J’avais par ailleurs publié dès le 11avril sur le site d’Alliacom mon analyse à chaud de la situation.

Ce post servira de trame à notre Afterwork Alliacom du jeudi 24 avril 2014 à 18h00.

En l’écrivant, je me remémore curieusement / furieusement une vidéo de Julien Codorniou à CONF@42 – Facebook – Why hackers will rule the world et la nécessité d’être un peu DEV pour comprendre le monde d’aujourd’hui. Nécessité de l’être même davantage si on ne veut pas que le gimmick se transforme en Why hackers will ruin the world !

Heartbleed déà oublié, what else ?

Heartbleed déà oublié, what else ?

Chronologie :

  • Janvier 1999 : RFC 2246 on passe de SSLv3.0 à TLS1.0
  • Février 2012 : RFC 6520. L’extension Heartbeat ! Un des gros soucis de TLS, la phase de négociation aussi appelée handshake est très consommatrice  en ressources, on crée donc une extension pour garantir qu’une connexion est toujours vivante (keep-alive). Simple échange de messages entre les 2 pairs détaillé sur son blog par Stéphane Bortzmeyer dès 2012. Il aurait pu nous prévenir de la faille 🙂

« Heartbeat fournit un moyen de tester et de maintenir vivante un lien de connexion sécurisé sans être obligé de renégocier une connexion« .

  • 31 janvier 2011 : Robin Seggelmann réalise le comit fatal, en implémentant Heartbeat au sein d’openSSL. Beaucoup d’annedotes invérifiables pas forcément glorieuses pour l’auteur circulent sur internet sur les conditions de cette réalisation.
  • 14 mars 2012 : openSSL v1.0.1 est publiée. Cette version est la première à intégrer le bug.
  • 3 décembre 2013 : réservation du CVE – 2014 – 0160 sur le site du MITRE, par qui ? pour quoi ?
  • 21 mars 2014 : Bodo Moeller et Adam Langley de Google publient un patch corrigeant le bug découvert auparavant par Neel Mehta membre de l’équipe sécu de Google.
  • 31 mars 2014 ; CloudFlare patche ses serveurs après avoir été mystérieusement averti et avoir signé un accord de non-divulgation.
  • 1er avril 2014 : Google notifie openSSL de la faille.
  • 3 avril 2014 : Codenomicon, une société de cybersécu finlandaise rapporte à son tour le bug qu’elle signale au CERT finlandais.
  • 7 avril 2014 ; la version 1.0.1g d’openSSL intégrant le patch est publiée.
  • Dans la nuit du 7 au 8 avril,  Cloudflare sur son blog et Codenomicon (qui a imaginé le nom de la faille et dans la foulée déposé le nom de domaine heartbleed.com) lancent le buzz volant la vedette à Microsoft qui devait être ce même jour sur le grill du fait de l’arrêt de maintenance pour Windows XP.

 

Le bug :

  • Une bonne démonstration technique de la cause sur le blog de Lexsi ou sur le site de The Register. Il s’agit en termes techniques d’un très banal buffer overflow.
  • Une présentation très pertinente de DenyAll sur le sujet.
  • Les versions impactées : 1.0.1 à 1.0.1f, la version 1.0.1.g étant la version patchée.
  • En raccourci : le bug vous permet de voler le contenu de la mémoire du serveur vulnérable auquel vous vous connectez par paquets de 64 Ko.
  • Une explication simplifiée en images:
Heartbleed simplifié en images humoristiques

Heartbleed simplifié en images humoristiques

  •  Ne pas oublier que le bug est une faille d’implémentation et ne remet absolument pas en cause TLS.
  • Cette faille apparait très tôt après le gotoFail d’Apple et les déboires de GnuTLS.
  • Microsoft et Oracle (Java) traditionnels gros pourvoyeurs de failles en tout genre rigolent doucement de la situation car non touchés par leur implémentation.
  • Vous voulez la liste des produits impactés ? 
  • Conduite à tenir pour les utilisateurs des systèmes vulnérables : changement de mot de passe après patch du site impacté, révocation des certificat après regénération de clefs.

 

 Les riques :

  • Vol de mots de passe, clefs privée, numéro de CB, …
  • Ecoute d’échanges numériques.

 

Démonstration :

  • Sur des sandboxes internes à Alliacom
  • Sur des sites non patchés  ahhh non ça c’est interdit 🙂
  • En utilisant les démonstrateurs plus ou moins faibles/fiables en ligne.
  • Cloudflare challenge : 4 personnes ont réussi à récupérer une clef privée sur un serveur de tests. Cela leur a demandé de générer entre 200 000 et 2 500 000 requêtes. 
  • Limites : exploits basiques largement diffusés mais outils d’attaque pertinents rares et complexes. Il est amusant de constater que dans un tweet du 7 avaril, Adam Langley pensait qu’il n’était pas possible de voler une clef privée.
doztlsbleed

doztlsbleed

 

Conséquences :

  • Depuis mars 2012, vos mots de passe de 47 caractères dont 13 caractères spéciaux ne vous protègent pas de grand chose.
  • NSA au courant  (on me dit dans l’oreillette que Vupen revend l’exploit depuis 18 mois  Bad joke !) ? Théorie du complot ?
  • Sale temps pour les bibliothèques SSL (Apple et GnuTLS).
  • Coup de mou et stress test pour les autorités de certification et les CRL qui explosent.
  • Tests non fiables et sécurité en carton (attention, rien ne remplace un audit de vos équipements et recherche d’utilisation d’openSSL par des professionnels)
  • 500 000 serveurs webs touchés (plus autant d’équipements réseau ?)
  • Je veux un IDS/IPS. Tu l’as vu passer mon \x16\x03\x02\x00 ?
  • openSSL => fork LibreSSL lancé par quelques membre de la communauté openBSD. La concurrence, ça dope la qualité ? En tout cas, ça fait maigrir : on parle de 90 000 lignes de code C supprimées.
  • Communauté opensource : des voix s’élèvent déjà pour critiquer la faible qualité d’openSSL qui a bénéficié de 800 $ de dons la semaine de la divulgation de la faille. Que se passerait-il avec du code propriétaire ? Personne ne serait au courant sauf ceux ayant découvert la faille après reverse engineering (ah non c’est vrai, c’est interdit …)
  • Autres victimes collatérales : découverte dans les produits de notre ami éditeur xxxxx de bibliothèques openSSL 0 .9.8a (antédiluviennes ? = avant le bug de l’an 2000 ) datant de 2000 et farcies de failles … mais non vulnérables à Heartbleed !
  • Non, SSH n’est pas concerné !
  • Nous, Alliacom ? Par exemple, comment utiliser SPLUNK pour détecter ce genre d’activité suspecte.

 

Questions en suspens :

  • Pourquoi cette date de création de l’entrée CVE – 2014 – 0160 sur le site du MITRE (2013-12-03) ?
  • Je fais comment pour lire précisément telle ou telle zone mémoire ?
  • A qui le tour ?
  • Rappel d’une question du FIC 2014 : La cybersécurité est-elle un échec ?
    CVE MITRE 2014-0160

    CVE MITRE 2014-0160

Vous reprendrez bien un peu de Python ?

Vous reprendrez bien un peu de Python ?

 

TLS Handshake

TLS Handshake

Posted in Boulot, CryptoCommentaires fermés sur Ton coeur saigne en 2014 !