Archive | Trop sérieux

Le hacking d’une brosse à dent connectée souligne la vulnérabilité de l’IoT

Après son travail sur le haccking des bracelets connectés Fitbit, la chercheuse de Fortinet s’attaque à une brosse à dents connectée.

Ingénierie inverse d'une brosse à dents connectéee

Ingénierie inverse d’une brosse à dents connectéee

L’article de base de Valéry Marchive Rédacteur en chef adjoint
Publié dans Le MagIT le 14 juin 2017 à cette adresse.

Les menaces liées aux lacunes de sécurité des objets connectés vont bien au-delà du détournement de systèmes embarqués élaborés comme des routeurs, des caméras ou même des téléviseurs. Avec des risques multiples.

L’épisode Mirai, à l’automne dernier, a peut-être contribué à éveiller les consciences sur certains risques induits par les vulnérabilités présentes dans de nombreux objets connectés. D’ailleurs, Bruce Schneier, directeur technique d’IBM Resilient, estimait récemment proche l’implication des états dans la régulation de ce marché.

Mais la menace ne touche pas uniquement ces multiples appareils relativement ouverts, souvent construits autour d’une distribution Linux dédiée, comme les routeurs, les systèmes de stockage réseau, ou encore les caméras de surveillance.

Axelle Apvrille, chercheuse en menaces chez Fortinet, le souligne : « tous les objets doivent être sécurisés, quels qu’ils soient ». Et pour illustrer son propos, elle a présenté ses travaux, lors du Sstic, la semaine dernière, à Rennes, sur une… brosse à dents connectée. Pourquoi ? Parce si l’impératif de sécurisation est « un fait que la plupart des ingénieurs et chercheurs en sécurité ressentent intuitivement, ce n’est pas le cas des développeurs d’objets connectés, concepteurs ou hommes d’affaires ».

La brosse à dents question est celle livrée par l’assureur dentaire américain Beam à ses clients, qui communique avec une application pour smartphone via Bluetooth. Celle-ci « permet de vérifier à quel point vous vous brossez bien les dents ».

Mais voilà, il est possible d’altérer tant le fonctionnement de l’appareil que les données transmises à l’application et, par suite, à l’assureur… en faisant se passer un autre équipement Bluetooth pour une brosse à dents. Lequel interagit dès lors avec l’application mobile. Et cela en raison de l’absence de mécanismes d’authentification, ou de chiffrement des échanges, sauf pour une donnée relative au brossage, chiffrée en AES ECB avec clé « en dur dans le code, facilement récupérable ».

Pour arriver à ces trouvailles, Axelle Apvrille s’est penchée, d’une part, sur l’application mobile, avec un outil de désassemblage, et d’autre part, sur la capture des paquets Bluetooth, afin d’étudier les échanges entre brosse à dents et application. La chercheuse s’est également intéressée aux API du service en ligne de Beam. Pour y trouver, là encore, des vulnérabilités.

L’ensemble fait en définitive courir à l’assureur le risque de recevoir des informations falsifiées sur les performances de ses clients. Lesquels sont censés payer une prime d’assurance plus basse lorsqu’ils se brossent mieux les dents. A ce risque de fraude, s’en ajoutent d’autres, d’atteinte à la vie privée, notamment du fait de l’absence de randomisation de l’adresse MAC de l’interface Bluetooth de la brosse, et parce qu’elle émet en continu, mais également d’accès à des données personnelles.

Axelle Apvrille s’est rapprochée de l’assureur américain. Mais sa première notification a été appréhendée comme… un pourriel. Et son adresse e-mail s’est retrouvée placée en liste noire. C’est via le service commercial de Beam qu’elle est finalement parvenue à dialoguer avec l’assureur. Mais son compte de test a été fermé à l’issue de la notification des vulnérabilités découvertes dans les API utilisées pour les échanges avec l’application.

La vidéo / démonstration au SSTIC 2017 est ici.

SSTIC 2017

SSTIC 2017

Posted in Boulot, Hack0 commentaire

General Data Protection Regulation in a few words

Raccourci synthétique du Réglement Général pour la Protection des données, volé ici.

General Data Protection Regulation (GDPR) is a directive that will update and unify data privacy laws across in the European Union. GDPR was approved by the EU Parliament on April 14, 2016 and goes into effect on May 25, 2018.

GDPR replaces the EU Data Protection Directive of 1995. The new directive focuses on keeping businesses more transparent and expanding the privacy rights of data subjects. Mandates in the General Data Protection Regulation apply to all data produced by EU citizens, whether or not the company collecting the data in question is located within the EU, as well as all people whose data is stored within the EU, whether or not they are actually EU citizens.

Under GDPR, companies may not store or use any person’s personally identifiable information without express consent from that person. When a data breach has been detected, the company is required by the General Data Protection Regulation to notify all affected people and the supervising authority within 72 hours.

In addition, companies that conduct data processing or monitor data subjects on a large scale must appoint a data protection officer (DPO). The DPO is responsible for ensuring the company complies with GDRP. If a company does not comply with the GDPR when it becomes effective, legal consequences can include fines of up to 20 million euros or 4 percent of annual global turnover.

Under the General Data Protection Regulation, data subject rights include:

Right to be forgotten – data subjects can request personally identifiable data to be erased from a company’s storage.
Right of access – data subjects can review the data that an organization has stored about them.
Right to object – data subjects can refuse permission for a company to use or process the subject’s personal data.
Right to rectification – data subjects can expect inaccurate personal information to be corrected.
Right of portability – data subjects can access the personal data that a company has about them and transfer it.
Some critics have expressed concern about the United Kingdom’s upcoming withdrawal from the EU and wonder whether this will affect the country’s compliance with the GDPR. However, because companies in the U.K. often do business with customers or other organizations in EU member states, it is expected that businesses in the U.K. will still need to comply with the General Data Protection Regulation.

I would just add the following point about GDPR : Mapping all processing activities (in fact it goes far beyond data mapping, as it refers to processing operations themselves, not only to the data being processed, it also refers to cataloging the purposes of the processing operations and identifying all sub-contractors relevant for the processing operations);

Tableau CNIL de registre des traitements (registre-reglement-publie)
Trame CNIL de notification de violation de données à caractère personnel (CNIL_Formulaire_Notification_de_Violations)

Posted in Boulot, CyberDefense0 commentaire

Quand WannaCry bouscule mon petit quotidien…

Wannacry-ransomware Infection Map

Wannacry-ransomware Infection Map

Je n’avais pas prévu d’être interviewé par Hit West sur le sujet… mais suivez bien mon intervention entre Nekfeu et Zayn 🙂
Pour plus de détails, voir mes notes sur le sujet ci-dessous.

Extrait de l’article de Silicon.fr:

WannaCry est un ransomware dont la première version a été détectée pour la première fois le 10 février dernier par un chercheur de Malwarebytes.
La souche a fait ses premiers pas lors d’une brève campagne menée le 25 mars dernier. Sa deuxième version, qui a démarré ses ravages massifs le 12 mai, conserve les caractéristiques essentielles d’un ransomware : l’envoi par un e-mail piégé, une pièce jointe (Word ou PDF) qui déclenche l’infection, un chiffrement des données (documents, images, musique et autres) et une demande de rançon en bitcoins afin de restaurer l’accès aux informations prises en otage (dans le cas présent, l’équivalent de 300 dollars).

Mécanisme d’infection des plus banals + remerciements NSA / ShadowBrokers pour la large diffusion (cf la clef de déchiffrement publiée le 8 avril 2017 dans un article des ShadowBrokers intitulé Don’t forget your base)

Heureusement Microsoft avait patché …

Microsoft Security Bulletin MS17-010 – Critical
Security Update for Microsoft Windows SMB Server (4013389)
Published: March 14, 2017
Version: 1.0

Vendredi 12 mai 2017: gros phishing avec ver qui chiffre les disques + exploitation des vulnérabilités NSA

Excellente synthèse de NoLimitSecu https://www.nolimitsecu.fr/wannacry/ et article de Troy Hunt

Validation Metasploit : https://www.rapid7.com/db/modules/auxiliary/scanner/smb/smb_ms17_010

Kill switch iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com = évitement de sandbox ?

Grosse blague de la découverte par erreur 22-year-old from south-west England who works for Kryptos logic, an LA-based threat intelligence company.
C’est une découverte accidentelle dans le sens où quand il a déposé le nom de domaine il ne savait pas que cela stopperait le ver (sous certaines conditions): https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

Il déclare même « My job is to look for ways we can track and potentially stop botnets (and other kinds of malware), so I’m always on the lookout to pick up unregistered malware control server (C2) domains. In fact I registered several thousand of such domains in the past years« .

Analyse par Virus total : https://www.virustotal.com/en/file/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c/analysis/

https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis

wcry

wcry

Du coup, je fais quoi ???

Synthèse des recommandations avec les outils que je maîtrise: Fighting WannaCry with Rapid7

Le meilleur point de départ est sans doute ce blog post publié le premier jour de l’attaque: https://community.rapid7.com/community/infosec/blog/2017/05/12/wanna-decryptor-wncry-ransomware-explained

Quelques points intéressants:
· Le projet SONAR nous donne des tendances sur les terminaux qui exposent le protocole SMB potentiellement vulnérable.
· Le projet HEISENBERG monitore également la recrudescence des scans, des attaques et des techniques
· Base de vulnérabilités: Nexpose intègre bien un check depuis le 14/03/2017 et qui couvre semble-t-il toutes les versions vulnérables (de XP à Windows Server 2016)
· Metasploit: Un module auxiliaire est intégré dans la base Metasploit. Pas de panique, ce n’est donc pas un exploit mais un bout de code non armé qui permet de tester si la machine est vulnérable et ainsi répondre à la question : est-ce que ma machine est correctement protégée ? Ce peut être intéressant lors de l’application d’une contre-mesure par exemple ou sans disposer de Nexpose, si un patch est correctement appliqué.
· Une recherche dans la base à partager : https://rapid7.com/db/search?utf8=%E2%9C%93&q=MS17-010&t=a

CVE pour template Nexpose:

CVE-2017-0143
CVE-2017-0144
CVE-2017-0145
CVE-2017-0146
CVE-2017-0147
CVE-2017-0148

Posted in Boulot, CyberDefense0 commentaire

European Cyber Week Capture The Flag

5, 4, 3, 2, 1, 0 ... partez !!!

5, 4, 3, 2, 1, 0 … partez !!!


« mais qu’est-ce que tu fais ? »
« attends, je regarde 5 mn …  »
« ca fait deux heures ! Ca va, tes élèves ? »
« ouais, ils gèrent trop ! 2, 3, 4, 5 pour le moment … »
Après une heure...

Après une heure…


« et toi ??? »
« euhhh …là faut que je répare Twitter, le DNS, tout ça tout ça … pas trop le temps de jouer quoi »

Posted in Boulot, Hack0 commentaire

Finally, it blinks …

Arduino UNO makes me blink

Arduino UNO makes me blink

  1. Documente-toi
  2. hkhs1-1
    Par exemple le premier numéro Hors-Série de Hackable est très bien fait

  3. Paie ton UNO
  4. J’avais du acheter un kit Uno/breadboard sur http://www.semageek.com/

  5. Installe ton IDE
  6. Il y a vraiment beaucoup de ressources en ligne. Pour mon cas, j’ai suivi http://playground.arduino.cc/Linux/Debian

  7. Pompe le code de ton croquis
  8. /*
    Blink
    Turns on an LED on for one second, then off for one second, repeatedly.

    Most Arduinos have an on-board LED you can control. On the Uno and
    Leonardo, it is attached to digital pin 13. If you’re unsure what
    pin the on-board LED is connected to on your Arduino model, check
    the documentation at http://www.arduino.cc

    This example code is in the public domain.

    modified 8 May 2014
    by Scott Fitzgerald
    */

    // the setup function runs once when you press reset or power the board
    void setup() {
    // initialize digital pin 13 as an output.
    pinMode(13, OUTPUT);
    }

    // the loop function runs over and over again forever
    void loop() {
    digitalWrite(13, HIGH); // turn the LED on (HIGH is the voltage level)
    delay(1000); // wait for a second
    digitalWrite(13, LOW); // turn the LED off by making the voltage LOW
    delay(2000); // wait for a second
    }

  9. Crée ton circuit
  10. Breadboard et Uno

    Breadboard et Uno

  11. Téléverse
  12. IDE Arduino

    IDE Arduino

=> ça clignote, te voici ceinture verte d’Arduino

Posted in Arduino, Trop sérieux0 commentaire

Vous reprendrez bien un peu de cyber ?

Petit aide-mémoire « vocabulaire » pour les gens que j’ai pris l’habitude de rencontrer au mois de mai.

Glossaire ANSSI

Glossaire ANSSI

Cyber à toutes les sauces, mais que met-on vraiment dedans ?

Point de passage / lecture obligé : le glossaire de l’Agence.

  • Cyberespace

« Le cyberespace est un espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques. » (cf Charles Préaux dans DSI Hors série n°32 de novembre 2013).
Particularités du cyberespace :
– espace déterritorialisé,
– principe d’ubiquité,
– quasi instantanéité des actions,
– substitution des acteurs,
– virtualité de la matière.

La définition du cyberespace proposée par le Centre Interarmée de Concepts, de Doctrines et d’Expérimentations (CICDE) est la suivante : « un domaine global constitué du réseau maillé des infrastructures des technologies de l’information, des réseaux de télécommunication, des systèmes informatiques, des processeurs et des mécanismes de contrôle intégré ». Définition autrefois disponible dans un doc DIA Non Protégé qui n’est aujourd’hui plus accessible sur le site du CICDE.

  • Cyberdéfense

Pour le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN) la cyberdéfense est constituée de « l’ensemble des mesures techniques et non techniques permettant à un état de défendre dans le cyberespace les systèmes d’information jugés essentiels ».
Pour le Ministère de la Défense, la cyberdéfense recouvre « l’ensemble des activités qu’il conduit afin d’intervenir militairement ou non dans le cyberespace pour garantir l’efficacité de l’action des forces armées, la réalisation des missions confiées et le bon fonctionnement du ministère ».

  • Cybersécurité

La cybersécurité est l’état recherché pour un système d’information lui permettant de résister à des évènements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
Pour Wikipedia, « Le mot cybersécurité est un néologisme désignant l’ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels (connectés directement ou indirectement à un réseau) des états et des organisations (avec un objectif de disponibilité, intégrité & authenticité, confidentialité, preuve & non-répudiation) »

  • Cybercriminalité

La cybercriminalité désigne les actes contrevenant aux traités internationaux ou lois nationales, utilisant les réseaux ou les systèmes d’information comme moyen de réalisation d’un délit ou d’un crime ou les ayant pour cibles.

  • Cybernétique

Ce dernier terme apparu fin XXème siècle à l’époque de la mode des mots en « …tique » concerne l’étude des processus de contrôle et de communication chez l’être vivant et la machine.

 

Bref, c’est plus clair ? On compare avec la plus traditionnelle Sécurité des Systèmes d’Information ?

Selon la Bible Wikipedia, « la sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d’information. Assurer la sécurité du système d’information est une activité du management du système d’information.

Aujourd’hui, la sécurité est un enjeu majeur pour les entreprises ainsi que pour l’ensemble des acteurs qui l’entourent. Elle n’est plus confinée uniquement au rôle de l’informaticien. Sa finalité sur le long terme est de maintenir la confiance des utilisateurs et des clients. La finalité sur le moyen terme est la cohérence de l’ensemble du système d’information. Sur le court terme, l’objectif est que chacun ait accès aux informations dont il a besoin. La norme traitant des SMSI est l’ISO/CEI 27001 qui insiste sur Confidentiality – Integrity – Availability, soit en français Disponibilité – Intégrité – Confidentialité. »

So… buzzwords et bullshitteries, subtilité ou nuance fondamentale ?

On pourrait donc envisager la cybersécurité comme un ensemble englobant la SSI et s’appliquant à un cadre plus large de systèmes (au delà du système d’information).

Un indice, depuis une douzaine de mois, à l’ANSSI, des voix de premier rang n’évoquent plus que la SecNum / Sécurité du numérique. Au delà des éléments de langage et des guéguerres de « spécialistes » (bisous Charlie) et autres experts autoproclamés sur Twitter (aka cyberblablatteurs), le grand chantier de la sécurisation de nos infrastructures/systèmes/applications reste un Vaste programme ! Et vous ne couperez pas à la lecture de ce classique : « Stratégie Nationale pour la Sécurite du Numérique« .

Stratégie Nationale la sécurite du numérique

Stratégie Nationale pour la sécurité du numérique

Autres ressources associée : les Hors-Séries 32 et 52 de la revue DSI.

DSI HS52_2017

DSI HS52_2017

DSI HS32_2013

DSI HS32_2013

 

Ce qui se conçoit bien s’énonce clairement – Et les mots pour le dire arrivent aisément.
L’Art poétique (1674) – Nicolas Boileau-Despréaux

Posted in Boulot, Clic, Trop sérieux3 Comments

Débug ton HTTPS avec Wireshark

Vous aussi vous avez eu besoin d’aller déchiffrer un flux HTTPs pour un coup de débug ?
Ca n’a jamais été aussi facile.
Même plus besoin d’aller « emprunter » une clef privée sur un serveur ou de se mettre dans la peau de « l’homme du milieu » (souvenirs de galères avec sslstrip or mitmproxy).

1 – Tu définis ta variable d’environnement SSLKEYLOGFILE pointant sur un fichier local que Firefox/Chrome détectera au redémarrage et qui va servir à stocker les pre-master keys

2 – Tu renseignes le chemin vers ce fichier de stockage des pre-master keys dans les préférences SSL de Wireshark

3 – Tu ajoutes ton filtre Wireshark de capture entre ton poste et le serveur cible

ip host 87.98.170.232 and ip host 192.168.1.102

4 – Feu patate !

Toi aussi rigole avec Wireshark

Toi aussi rigole avec Wireshark


Merci qui ? Merci Jim !

Ah oui, il faudra quand même que je regarde les cas où cela ne fonctionne pas … et que je détaille dans ce cas les vieilles alternatives.

Posted in Boulot, Clic, Crypto, Hack0 commentaire

Under Attack ?

Under Attack on 2016-01-28

Under Attack on 2016-01-28


Petits tests depuis ZAP à l’ENSIBS 🙂

De 100 pages vues par jour à 16 000 aujourd’hui.

Posted in Boulot, Clic, CyberDefense, Hack1 Commentaire

Hackers partout, sécu nulle part ?

Lockpicker Training

Lockpicker Training

On en parle le samedi 23 janvier 2016 du côté de Vannes à l’ENSIBS à l’occasion d’un nouvel évènement du HackLab.

J’essaierai de vous éclairer sur le sujet en essayant de ne pas enfoncer que des portes ouvertes.

Quand Xavier Niel piratait l'Elysée

Quand Xavier Niel piratait l’Elysée


Je vous re-sortirai à cette occasions pas mal de vieilleries de mon adolescence … mais pas mon Commodore 64 !
Si vous ne vous souvenez pas de War Games (sorti en 1983) ou que vous n’avez pas eu le temps de lire L’éthique des hackers de Steven Levy, trop occupé que vous étiez à guerroyer sur Clash of Clans, c’est l’occasion de lancer une petit rafraichissement.

On frissonnera à la vue des prouesses techniques de ce BG de Nicholas Hathaway dans Hacker et on se tapera quelques bonnes barres en re-découvrant quelques récentes productions institutionnelles de la cybersécurité.

Du sérieux au futile, du politiquement correct à la limite de l’irrespectueux… je tenterai de vous faire partager ma vision du hacking.

Bref, il fait tout gris, alors lâchez votre PS4 et viendez vous ouvrir l’esprit !
Début à 14h00, fin à plus soif.
Désolé pour ceux qui ont déjà eu à me supporter jeudi et vendredi 🙂

Hackable Janvier-Février 2016

Hackable Janvier-Février 2016


La bête est à poste

La bête est à poste


Le badge #NDH2k15

Le badge #NDH2k15


Hackers: Heroes of the Computer Revolution.

Hackers: Heroes of the Computer Revolution


Notes :

http://phrack.org/issues/7/3.html
https://fr.wikipedia.org/wiki/Steven_Levy
https://fr.wikipedia.org/wiki/L’%C3%89thique_des_hackers
http://framablog.org/2013/01/15/manifeste-du-hacker-aaron-swartz/
http://www.lesinrocks.com/2013/03/11/actualite/steven-levy-le-sens-du-mot-hacker-a-considerablement-evolue-11372889/

Posted in Boulot, CyberDefense, Hack0 commentaire

Blagues potaches avec Metasploit

DOS from Metasploit Framework

DOS from Metasploit Framework


Et vous trouvez ça drôle ?

On n’a pas toujours un Nexpose Ultimate sous la main. C’est donc bien de continuer de faire à l’ancienne.

Petite démo de Blue Screen Of Death sur le PC pourri de mon petit Paulo.

MS12-020 Microsoft Remote Desktop Use-After-Free DoS
This module exploits the MS12-020 RDP vulnerability originally discovered and reported by Luigi Auriemma. The flaw can be found in the way the T.125 ConnectMCSPDU packet is handled in the maxChannelIDs field, which will result an invalid pointer being used, therefore causing a denial-of-service condition.

Posted in Boulot, Hack0 commentaire