7 replies to this topic

[Txon]

Salut !

Pour fouiller dans votre vie privée et se servir de vos faiblesses, il n'y a pas que les « scandalophiles », qu'ils soient des maniaques hystériques du « buzz » ou de bas journalistes polémistes de la presse à scandale, y compris ceux qui se rendent coupables de "phone hacking".
Dans des styles différents, il y a bien entendu le piratage de votre Wi-Fi et les logiciels espions (Tuto4pc - eoRezo etc.).
Mais il y a encore plus sournois, à commencer par les déjà très connus "botnets" et beaucoup plus pervers encore ...

[..A..] … Les "botnets" classiques ou réseaux d'ordinateurs "zombies".
Citation Vincent Cerf – 25 janvier 2007 - One quarter of all computers part of a botnet

Des 600 millions d’ordinateurs connectés chaque jour à Internet, de 100 à 150 millions seraient en fait des PC zombies.

Citation Txon – 18 juin 2007 – Rootkits et antirootkits

L'usage d'un bac à sable comme celui de Sandboxie ou d'une machine virtuelle peut permettre d'isoler l'infection.

Tout ceci, c'était il y a maintenant plus de quatre ans.
Aujourd’hui, les botnets sont plus nombreux, bien que souvent de taille beaucoup plus modeste que le fameux réseau Mariposa. Si les éditeurs de logiciels de protection commerciaux gonflent les chiffres pour vendre leurs misérables produits, il n'en demeure pas moins vrai que les botnets constituent dans le monde des réseaux de centaines de millions d'ordinateurs infectés, d'autant plus redoutables que les "zombies" n'ont aucune conscience de leur état.
Dans une grande majorité des cas, les botnets sont classiquement constitués d'un rootkit et d'utilitaires multifonctions, du "code" caché quelque part dans le fatras des systèmes d'exploitation Windows ou Mac OS X. Les plus sophistiqués utilisent le MBR (Master Boot Record). Si la technique de base est connue depuis les "virus" sous DOS, leur effet de virtualisation est relativement récent et très efficace. Si l'utilisateur s'en rend compte, ce qui n'est pas évident, et alors que Microsoft ne sait plus comment fiabiliser son système d'exploitation, de plus en plus d'experts préconisent une réinstallation de Windows… ce qui ne met pas à l'abri d'un nouveau maliciel.
Combien de ces réseaux sont-ils, en sous-main, à la disposition de gouvernements en vue d'une cyberguerre ou d'agressions des citoyens ?

[..B..] … Matériels spécialisés, firmwares corrompus.
Il existe d'autres possibilités, moins commentées, pour prendre la main sur un ordinateur ou le polluer. Les techniques sont connues depuis belle lurette [1], mais, depuis deux ans surtout, les plus efficaces en grand nombre se passent surtout au niveau des firmwares, des logiciels intégrés à des composants de l'ordinateur et maintenant des téléphones portables, tablettes … et des routeurs. .
Citation Txon – 18 juin 2007 – Rootkits et antirootkits

Les rootkits firmware (driver level rootkits) ou flash .
Certains éléments de l'ordinateur disposent en interne d'une mémoire propre et d'un logiciel de fonction dont l'accès n'est pas complètement verrouillé afin que des mises à jour puissent être effectuées. Une première annonce de possibilité d'intrusion dans un "processeur secondaire" a été faite par Greg Hoglung dès 2004.
De son côté, le chercheur John Heasmann de NGS Software a démontré qu'il était possible de profiter de failles de sécurité pour implanter dans la mémoire en question des programmes totalement différents des originaux. Il a conçu des rootkits "POC" pour BIOS et cartes graphiques ...

Le principal problème rencontré est lié à la diversité des firmwares et à la nécessite d'adapter le maliciel à chaque variante.
Cependant, les premiers botnets basés sur une infection de firmware sont apparus et en particulier ...

• Psyb0t, en 2009, s'est attaqué en premier au firmware MIPSEL des processeurs "little endian" MIPS, en premier lieu dans les routers/modems ADSL Netcomm NB5. Une autre version s'en est prise plus tard aux firmwares DD-WRT et OpenWrt de modems Linkys et Netgear.
• Chuck Norris, en 2010, s'est également attaqué aux firmwares de modems/routeurs ADSL basés sur des processeurs MIPS. Il pouvait également s'en prendre à des récepteurs TV de satellites.
• ELF_Tsunami-R, découvert cette année au mois de mars, corrompt les routeurs D-Link, surtout le modèle DWL-900AP+, eux-aussi équipés de processeurs MIPS

Si, d'une manière ou d'une autre, l'usager se rend compte des dysfonctionnements occasionnés par ce genre d'infection, il lui suffit en général de réinitialiser son modem/routeur pour que tout rentre dans l'ordre. Une mise à jour du firmware et des paramètres est alors de mise.

[..C..] … Modems/routeurs en France (ou ailleurs).
Chez les particuliers, rares sont les connexions à Internet qui se font encore avec un vieux modem et, dans ce cas, il est encore moins fréquent de trouver là un routeur. A part dans les cambrousses profondes et chez d'irréductibles "geeks", la grande majorité des usagers ordinaires dispose maintenant d'une "box" dans laquelle modem et routeur sont intégrés, micro-logiciels inclus bien évidemment.
Un « soucis de transparence » anime les FAIs français qui diffusent tout ou partie du code source de leur firmware …

• La Freebox Revolution est équipé d'un processeur Intel Atom CE4100 et a mis à jour ses micro-logiciels en mai dernier,
• La Bbox disposera bientôt d'un Intel Atom CE 4200,
• La Livebox Sagem 2 en reste à un vieil ADI Fusiv 160 (Ikanos vx160 ) dont le code est connu depuis longtemps et il n'y aura pas d'amélioration avant 2012.

Comme en 2007 pour la Neufbox 4, Efixo, le développeur de firmware de SFR, a diffusé le code source au printemps 2010. Cette fois, il est facilement modifiable et ceci peut présenter des inconvénients majeurs surtout quand on sait que la plate-forme utilisée, OpenWrt, a déjà été attaqué avec succès par Psyb0t. Un développeur indépendant et bénévole, "fxmx86", avait mis au point une version améliorée il y a quatre ans. Il a récidivé avec : Ob4-Full+USB.
Pourquoi un "black hat hacker" n'en ferait-il pas autant ?
La France des internautes n'est peut-être pas en première ligne actuellement car elle intéresse peu de monde excepté les français eux-mêmes … et leur gouvernement.

[..D..] … Espionnage des puissants..
Il n'y a pas que les méchants pirates ! … Qu'est ce qui empêcherait un gouvernement totalitaire d'imposer un firmware modifié, mouchard, en lieu et place de l'original ?
En France nous avons déjà la loi LOPPSI 2 et son article 36, section 6bis – 706-102, selon lequel la police, sur autorisation du juge d'instruction et sans consentement de l'intéressé, pourrait utiliser tout moyen localement ou à distance pour s'introduire dans des ordinateurs et en extraire des données relatives à des suspicions de délits graves (pédophilie, meurtre, trafic de stupéfiants etc.) et d'autres qui le sont beaucoup moins. Il suffirait de faux prétextes ou d'une évolution de cette loi ou d'une adaptation de la HADOPI pour que l'espionnage soit généralisé.
Le stockage des données à l'extérieur de l'ordinateur communiquant et un cryptage solide des paquets transmis par Internet sera-t-il suffisant pur éviter l'espionnage systématique ? Pour l'instant, sans doute, sauf si l'espion à têtes multiples introduit dans le matériel est également programmé pour détecter ces usages.
Attention aussi à Microsoft et pas seulement pour les mouchards introduits dans ses logiciels applicatifs standards comme WMP et la série des "Live".
Fin juin 2011, le monstre a breveté "Legal Intercept" [2], une technologie qu'il détient depuis 2009 et qui permet « d'enregistrer silencieusement » les communications VoIP ou, en d'autres termes, de les espionner. Ce type de fouineur n'a rien à voir avec le "hack"de firmware, il relève du procédé "man in the middle"[3], mais les deux techniques se complètent à merveille. Sachant que Microsoft a fait main-basse sur Skype et que celui-ci était, de loin, le système de communication populaire le plus sûr ….
L'usage de "Legal Intercept" serait réservé à Microsoft soi-même … et aux gouvernements. Combien de ronds de cuir ministériels ont-il déjà été chargés de s'y intéresser de plus près ?

[..E..] … Matériels pré-hackés.
La mise en place dans les modems/routeurs, dans les cartes-mères d'ordinateurs, téléphones portables, autres gadgets électroniques et même les serveurs de réseau de composants déjà prêts pour l'espionnage ne relève même pas de l'imagination d'un paranoïaque ...

• Dès 2009 de nombreuses failles de sécurité ont été découvertes dans des composants asiatiques.
• En 2010, John Villasenor, professeur d’ingénierie électrique de l'UCLA (University of California, Los Angeles) a découvert que des composants fabriqués en Asie embarquaient du code malveillant … « Tout bug placé dans le code de la puce va passer inaperçu jusqu'à ce qu'il soit activé par une sorte de déclencheur, comme une date et une heure spécifiques, comme un cheval de Troie. Il lance son attaque puis il se cache en sécurité dans les entrailles de la quincaillerie ». De son côté, Michael Sutton de Zscaler Labs a encore trouvé cette année de nombreuses vulnérabilités dans divers matériels dont des serveurs Web et des téléphones VoIP. Ceci confirme que les attaques par tout type de "black-hat hacker" (y compris ceux d'un état malveillant) ne seront pas si compliquées qu'il pourrait sembler. Il va participer (avec Vivek Ramachandran et bien d'autres scientifiques) à la conférence Black Hat 2011 [4][5].
• Les Etats-Unis d'Amérique du Nord s'en inquiètent vraiment maintenant. Trop tard ?
  Des "ouvertures" parfaitement connues seraient volontairement laissées pour faciliter un "hack" ou même une destruction de matériel au moment opportun. Dans d'autres cas, un maliciel serait pré-implanté dans n'importe quel type de composant : périphériques USB (clés, disques, souris etc.), puces électroniques, caméras et webcams, imprimantes, téléphones cellulaires, cartes-mères, disques durs etc.[6][7][8]

La cyberguerre et l'espionnage industriel sont privilégiés mais les particuliers ne sont pas à l'abri, d'autant que l'inconscience humaine n'a pas de limite [9].

Qui garantit qu'un serveur web, celui de votre FAI par exemple, ne se chargera pas un jour de gangrener tout ordinateur ciblé qui s'y connectera, que ce soit parce qu'il est lui-même un "zombie" ou par ordre d'un état totalitaire ? …
Qu'est-ce qui empêchera une dictature de fabriquer puis imposer aux citoyens des matériels pré-infectés ?

@+
[1] Hacking Hardware (Nicolas Ruff - SecuObs)
[2] Legal Intercept (Freepatent - format .pdf)
[3] L'attaque Man In The Middle (Staygeek)
[4] The Hacker in Your Hardware: The Next Security Threat (John Villasenor - Scientific American) … Embedded Web Servers Exposing Organizations To Attack (Kelly Jackson Higgins - Dark Reading)
[5] 2010 Embedded Malware whitepaper (Kuitty - format .pdf)
[6] Apple Laptops Vulnerable To Hack That Kills Or Corrupts Batteries (Andy Greenberg – Forbes) … Macs prone to hacking via battery (LBG - GMA News)
[7] DHS: Imported Tech Tainted with Backdoor Attack Tools (Ms Smith - NetworkWorld)
[8] Netragard’s Hacker Interface Device (HID) (Adriel Desautels – Netragard)
[9] Human Errors Fuel Hacking as Test Shows Nothing Stops Idiocy (Cliff Edwards, Olga Kharif and Michael Riley - Bloomberg)

[noisette]

[..D..] … Espionnage par les puissants..

Il n'y a pas que les méchants pirates ! … Qu'est ce qui empêcherait un gouvernement totalitaire d'imposer un firmware modifié, mouchard, en lieu et place de l'original ?
En France nous avons déjà la loi LOPPSI 2 et son article 36, section 6bis – 706-102, selon lequel la police, sur autorisation du juge d'instruction et sans consentement de l'intéressé, pourrait utiliser tout moyen localement ou à distance pour s'introduire dans des ordinateurs et en extraire des données relatives à des suspicions de délits graves (pédophilie, meurtre, trafic de stupéfiants etc.) et d'autres qui le sont beaucoup moins. Il suffirait de faux prétextes ou d'une évolution de cette loi ou d'une adaptation de la HADOPI pour que l'espionnage soit généralisé.

http://translate.goo...110709/&act=url

Il n'y a pas que les méchants pirates ! … Qu'est ce qui empêcherait un gouvernement totalitaire d'imposer un firmware modifié, mouchard, en lieu et place de l'original ?

On y va tout droit.


Merci beaucoup pour cet article, à diffuser.

[Th-Crown]

Rappel très intéressant que tout le monde devrait connaître.

[Txon]

Il n'y a pas que les méchants pirates ! … Qu'est ce qui empêcherait un gouvernement totalitaire d'imposer un firmware modifié, mouchard, en lieu et place de l'original ?

On y va tout droit.

Merci beaucoup pour cet article, à diffuser.

Merci pour ton appréciation, mais je ne sais pas "diffuser".

@+

[noisette]

Je me suis mal exprimé, je voulais dire que ce sujet sensible que tu abordes ici mériterait d'être abordé plus souvent et plus clairement sur des médias à forte audience. Et que la qualité de tes articles pourraient très bien y prétendre.

Mais entre ceux qui s'en foutent, ceux qui s'en satisfont, et ceux qui ne le voit pas venir, les journalistes font une impasse regrettable.

[Txon]

Rappel très intéressant que tout le monde devrait connaître.

Tous les usagers devraient effectivement être informés des risques et de la manière de ne pas se faire piéger. Il s'en faut de beaucoup.

Mais entre ceux qui s'en foutent, ceux qui s'en satisfont, et ceux qui ne le voit pas venir, les journalistes font une impasse regrettable.

Il y a effectivement tous les utilisateurs qui s'en foutent, et ceux qui ne savent pas bien à quoi ça correspond et qui classent ce genre d'information dans la catégorie des emmerdements potentiels qui seront étudiés "plus tard".
Les journalistes professionnels, dont fort peu comprennent correctement ce qui touche de près ou de loin à l'informatique, s'occupent en priorité de ce qui attire les lecteurs les plus ordinaires : les nouveautés en ce qui concerne les téléphones portables, tablettes et compagnie, mais ça viendra peut-être un jour.

Les gens et les journalistes ressassent le passé, s'intéressent au présent (en particulier s'il est scandaleux ou "scandalisable") et surtout ne cherchent pas à voir plus loin que le bout de leur nez car "ça prend la tête". Il faut des mois ou des années de rabâchage pour que des idées nouvelles entrent dans les têtes et d'autres encore pour les mises en pratique ... voir ce qui se passe pour l'écologie par exemple.

@+

[lolo32]

objectif est claire ! mais qui veut vraiment savoir????

[Txon]

Les équipement Linksys cités ci-dessus étaient des WRT54G version 1. Ils utilisaient des packages firmwares DD-WRT et Tomato.
Depuis, et à partir de la version 5, Linksys utilise un système d'exploitation propriétaire de type "RTOS" nommé VxWorks.
Craig, au début de ce mois de juillet 2011, a publié un guide d'ingénierie inverse pour les WRT54Gv8. Une fouille dans le dump hexadécimal lui a permis d'arriver à un header ELF à partir duquel les petits secrets commencent à être percés. De là, il a effectué un long processus de désassemblage du code pour obtenir quelque chose de compréhensible. Pour se faire il a utilisé IDA Pro disassembler and debugger.
Funny ! Isn't it ?

@+