La découverte date de l'année 2000, le sieur Tsutomu Shimomura, spécialiste de la médiatisation de ses actes, aurait donc un rôle plutôt faible dans cette affaire.
Aller plus loin
- L'article de Transfert (2 clics)
- L'article de VNUNet de novembre 2000 (2 clics)
- L'article de Libération (1 clic)
# Pas si exploitable ?
Posté par Anonyme . Évalué à 0.
Quand à monsieur Shimomura, je lui conseille de lire la liste de diffusion Bugtraq qui lui permettra de nous annoncer un trou de sécurité par jour :)
[^] # Re: Pas si exploitable ?
Posté par Anonyme . Évalué à 0.
Peut-etre que cela ne permet pas de penetrer sur un site depuis l'exterieur. Mais:
* Le truc qu'avait trouve Renaud Deraison, c'est juste qu'il n'y a pas de mot de passe par defaut sur les modem .... La, Tsutomu Shimomura a trouve un moyen de penetrer sur le modem meme si un admin a mis un mot de passe.
* Il a trouve le mode EXPERT non documente... qui permet de faire vraiment tout sur ce modem. (et entre autres y ajouter des programmes... comme un sniffer). L'avantage de faire cela directement sur le modem est que les machines a l'interieur ne sont pas infectees (donc c'est tres discret) et que pour le detecter il faut aussi savoir se logger sur le modem.
* Je pense qu'il est possible d'attaquer le modem en aveugle depuis l'exterieur comme il l'explique dans son article...
Alors, je suis d'accord, c'est pas une faille super dangereuse pour la survie de l'internet... mais c'est quand meme serieux et Tsutomu a pas fait (comme le dis l'article de Transfert) que reprendre le truc de Renaud Deraison.
voila .... A+
Et vraiment, essayez de vous loguer sur votre modem, il y a vraiment un systeme d'exploitation complet ... avec mount, fdisk, ps ... et tout..
[^] # Re: Pas si exploitable ?
Posté par Anonyme . Évalué à 0.
[^] # Re: Pas si exploitable ?
Posté par Anonyme . Évalué à 0.
[^] # Re: Pas si exploitable ?
Posté par Anonyme . Évalué à 0.
MaLaM
[^] # Re: Pas si exploitable ?
Posté par Anonyme . Évalué à 0.
[^] # Re: Pas si exploitable ?
Posté par Wawet76 (site web personnel) . Évalué à 1.
Bonne chance.
[^] # Re: Pas si exploitable ?
Posté par gle . Évalué à 1.
Et puis, quid des entreprises qui connectent leur LAN à internet par ADSL. N'importe qui sur le LAN a un accès ouvert pour reconfigurer le modem. Un peu dangereux, non?
[^] # Re: Pas si exploitable ?
Posté par Anonyme . Évalué à 0.
Parce que dans la plupart des cas, il n'y a qu'une machine sur le LAN du modem : un firewall.
Le LAN de la boite (ou du particuler qui partage) est sur un autre LAN généralement.
euclide
[^] # Re: Pas si exploitable ?
Posté par un nain_connu . Évalué à 1.
Les firewalls ça court pas les rues, chez les particuliers en tout cas.
[^] # Re: Pas si exploitable ?
Posté par Anonyme . Évalué à 0.
[^] # Re: Pas si exploitable ?
Posté par Anonyme . Évalué à 0.
http://security.sdsc.edu/self-help/alcatel/challenge.cgi(...)
# Il a quand meme trouvé quelque chose...
Posté par Anonyme . Évalué à 5.
Shimomura a trouvé le moyen d'outrepasser le mot de passe que les gens mettent à leur modem, et on ne peut pas lui enlever ça. Dans l'article de VNUnet, je ne fait que souligner l'absence de mot de passe (et encore - je n'ai jamais fait de démarche vis à vis de la presse, c'est un journaliste de VNUNet qui a vu qu'un plugin Nessus testait cette vulnérabilité et m'a écrit en conséquence)
Cependant, ce problème n'est pas exploitable de l'exterieur. La seule exploitation possible, c'est de jouer avec le serveur tftp du modem (qui ne demande pas de mot de passe) au travers d'un rebond sur le port echo (si ouvert) de la machine distante.
Pour mener une attaque il faut donc :
- que l'adresse source 10.0.0.138 ne soit filtré nul part sur le chemin entre le p1r4te et la cible (de plus en plus dur) ;
- que la machine distante ait echo d'ouvert (de plus en plus rare, sauf NT);
- flasher la rom par tftp (pas d'authentification) en utilisant les deux facteurs précédents.
Et je ne suis même pas sur que ça marche, puisque à ma connaissance tftp utilise un protocole de confirmation de reception de paquet, donc le modem va se tapper sur la figure avec le port echo. Donc il me semble inconcevable d'uploader un fichier d'un méga par cette bidouille.
[^] # Re: Il a quand meme trouvé quelque chose...
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
[SNIP]
- Installer un cheval de Troie sur le PC de la cible, qui flashe le Modem puis se désinstalle, rendant la détection pratiquement impossible...
[^] # Re: Il a quand meme trouvé quelque chose...
Posté par Anonyme . Évalué à 0.
Dans ton hypothèse tu as déjà gagné la guerre, et tu recules pour recommencer par une autre méthode.
C'est un peu compliqué comme manière d'agir
euclide
[^] # Re: Il a quand meme trouvé quelque chose...
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
C'est effectivement compliqué, mais le gain n'est pas négligeable : ton backdoor n'étant pas détectable (si il est bien fait), il ne sera pas éradiqué, contrairement aux backdoors sur les PC.
Une fois que tous les modems d'utilisateurs de Windows sont modifiés, tu peux lancer des DDOS à tout va, et ainsi tu fais chanter Wanadoo, et tu deviens très riche.
[^] # Re: Il a quand meme trouvé quelque chose...
Posté par Anonyme . Évalué à 0.
Shimomura utilise une combinaison de techniques d'IP-Spoofing (falsification d'IP) et de failles courantes sur les DSLAM (centraux digitaux qui gèrent les modems ADSL).
À partir de là, tu n'as pas besoin de passer par l'ordinateur du client. Tu contactes directement le modem ADSL.
C'est d'ailleurs pour cela que cette "feature" avait été introduite:
Pour permettre aux techniciens de mettre à jour le modem ADSL sans avoir à passer par l'ordinateur du client.
De plus, la faille signalée par Renaud Deraison est totalement différente (et à mon avis plus importante car plus simple à mettre en oeuvre).
Il s'agit juste de l'abscence de mot de passe sur les modem ADSL.
Lorsque tu fais : telnet 10.0.0.138
(En général, les techniciens France Télécom lui donnent cette adresse IP)
Tu rentres directement dans le système du modem.
Bien que non documenté, tu peux naviguer et découvrir pas mal de chose notamment grâce à la commande "help" (un standard dans ce genre de protocole).
Par contre, même avec le password fixé, l'attaque de Shimomura reste valable (car elle recourt à un mode "expert" qui passe par une technique d'authentification différente (one-time password)).
La parade actuellement trouvée par Shimomura est de configurer son Firewall de façon a filtrer les paquets suivant certaines rêgles.
Le mieux serait que les gens lisent l'avis du CERT avant de raconter des bétises ! :-)
[^] # Re: Il a quand meme trouvé quelque chose...
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
Non, ce n'est pas nécessaire, mais c'est une possibilité qui n'était pas présentée.
La parade actuellement trouvée par Shimomura est de configurer son Firewall de façon a filtrer les paquets suivant certaines rêgles.
Quel firewall ? Tu penses que tous les abonnés à l'ADSL ont un firewall ? AMHA seule une petite partie a configuré un FW. C'est pour cette raison qu'un cheval de Troie peut faire de gros dégats chez les particuliers.
(Note à propos du CERT : Le CERT a oublié comme parade de débrancher le modem :-) En effet l'attaque par l'interface WAN reste possible malgré leurs conseils, le firewall en effet ne protège que de l'intérieur...)
[^] # Re: Il a quand meme trouvé quelque chose...
Posté par Anonyme . Évalué à 0.
> > nécessaire.
>
> Non, ce n'est pas nécessaire, mais c'est une
> possibilité qui n'était pas présentée.
???
Cette réponse est stupide !
Les chevaux de Troie sont TOUJOURS des failles possibles. Mais on ne va pas s'amuser à les citer dans tous les advisory du CERT, sinon on a pas fini !!!
> > La parade actuellement trouvée par Shimomura
> > est de configurer son Firewall de façon a
> > filtrer les paquets suivant certaines rêgles.
>
> Quel firewall ? Tu penses que tous les abonnés
> à l'ADSL ont un firewall ? AMHA seule une
> petite partie a configuré un FW. C'est pour
> cette raison qu'un cheval de Troie peut faire
> de gros dégats chez les particuliers.
La question de la sécurité est une affaire personnelle. Le CERT est là pour donner des consignes qui permettent de se prémunir des attaques _lorsque_c'est_possible_ ou de les connaîtres cas échéant.
Si les gens n'ont pas la volonté de configurer un firewall pour une connection ADSL, ils s'exposent d'eux-même aux actes de pirateries.
Mais, l'important est de montrer qu'il est possible de trouver une parade.
Le choix de l'appliquer ou non revient à chacun.
Quant au cheval de troie (visiblement c'est la seule attaque que tu connais), il peut faire des dégats partout dans n'importe quelle circonstance et ce n'est pas lié à la présence d'un modem ADSL.
Le hic, c'est qu'il faut avoir un accès au système et même avoir certains droits particuliers pour qu'il soit réelement efficace.
Ce sont des hypothèse fortes. Plus fortes que celles que Shimomura suppose dans son attaque.
[^] # Re: Il a quand meme trouvé quelque chose...
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
> Cette réponse est stupide !
Ah, quand tu comprend pas c'est que c'est stupide. Tu es blonde ?
> Les chevaux de Troie sont TOUJOURS des failles possibles.
Oh ? Tu m'étonnes là.
Mais ce n'était pas du tout mon propos. Je disais qu'un cheval de Troie était un bon MOYEN pour modifier la xxROM du modem, et je ne le présentais pas en tant que FAILLE.
> Mais on ne va pas s'amuser à les citer dans tous les advisory du CERT, sinon on a pas fini !!!
Qu'est-ce que le CERT vient faire là ? Tu viens de découvrir ce site ?
>La question de la sécurité est une affaire personnelle.
Non. C'est d'abord une prise de conscience des risques, et ensuite une question de compétences. L'utilisateur de base n'a pas les moyens de mettre en oeuvre une politique de sécurité pour sa connexion à l'ADSL (qui dans plus de 80% des cas est un windows).
> Le CERT est là pour donner des consignes qui permettent de se prémunir des attaques _lorsque_c'est_possible_ ou de les connaîtres cas échéant.
Et ??? Heureusement que j'attend rien du CERT sinon mes serveurs seraient loin d'être sécurisés.
> Si les gens n'ont pas la volonté de configurer un firewall pour une connection ADSL, ils s'exposent d'eux-même aux actes de pirateries.
Il faut encore être au courant des risques encourus. Sans compter de la compétence nécessaire à la configuration d'un firewall (mais ça doit pas être bien dur à t'entendre, tu dois faire ça tous les jours installer des firewalls).
>Mais, l'important est de montrer qu'il est possible de trouver une parade.
Le choix de l'appliquer ou non revient à chacun.
Et la parade serait d'installer un firewall !!! Super !!! On va mettre des firewalls partout comme ça on va etre sécurisé. Mais oui.
Ce n'est pas la meilleure parade. La parade est d'avoir un système bien configuré, ce qui est beaucoup plus important que d'avoir un firewall.
La parade du cert est débile, ils devraient proposer d'éteindre le modem pour "etre sur"... Peu de personnes ont les moyens d'appliquer leur parade.
>Quant au cheval de troie (visiblement c'est la seule attaque que tu connais),
Mais oui j'ai appris la notion de cheval de Troie lorsque tu m'as fait découvrir le CERT, le meilleur site pour les pros de la sécu.
> il peut faire des dégats partout dans n'importe quelle circonstance et ce n'est pas lié à la présence d'un modem ADSL.
Et t'as découvert ça hier ? C'est bien. Maintenant , au lieu de me prendre pour un demeuré, relis ce que j'ai dit et tu me cites les phrases où j'explique qu'un cheval de Troie a besoin d'un modem ADSL pour faire des dégats.
>Le hic, c'est qu'il faut avoir un accès au système et même avoir certains droits particuliers pour qu'il soit réelement efficace.
Ben sous windows, en admettant que l'utilisateur execute un EXE, c'est bon on aura les privilèges nécessaires à l'execution de notre noble tâche.
> Ce sont des hypothèse fortes. Plus fortes que celles que Shimomura suppose dans son attaque.
Boaf il suppose qu'un "echo" soit bindé sur une machine derrière le modem. Or 80% au moins des PC connectés à l'ADSL sont des windows, donc n'ont pas d'echo qui traine. Donc l'attaque de Shimomura n'est pas possible dans 80 % des cas. Le cheval de Troie vise 80% des machines, donc y'a plus de chances d'arriver à nos fins de méchant pirate par ce moyen.
[^] # Re: Il a quand meme trouvé quelque chose...
Posté par pas_moi . Évalué à 1.
Hohooo, en voila un argumentaire costaud!!
Les chevaux de Troie sont TOUJOURS des failles possibles
Mais oui... Le cheval de Troie est une technique très classique, d'accord, mais principalement utilisée dans le monde Windows. T'en connais beaucoup de troyens Linux?
La question de la sécurité est une affaire personnelle.
C'est grace à ce genre de raisonnement que les virus et les attaques par backdoor prolifèrent... Parmi les personnes abonnées à Internet aujourd'hui (pas uniquement par ADSL), combien savent ce qu'est un firewall? Et parmi ceux qui savent, combien en ont? S'ils n'en ont pas, c'est peut-être parce que c'est trop simple à installer/gérer.
Quand quelqu'un s'abonne au gaz de ville, ce n'est pas à lui de gérer la sécurité de toute son installation; bien sûr, depuis le temps, les gens sont plus sensibilisés sur les dangers de leur installation au gaz. Avec Internet, ça devrait être pareil: l'ADSL n'est qu'un tuyau que l'ISP vient brancher chez le client, sans aucune sécurité!! Strange comme méthode, non?
L'eau qui coule de ton robinet, tu crois qu'elle vient directement de la rivière... Alors pourquoi les paquets qui arrivent d'Internet vers nos machines ne seraient pas filtrés eux aussi? Bien sûr, tout le monde n'a pas besoin de telles sécurités.
[^] # Re: Il a quand meme trouvé quelque chose...
Posté par Anonyme . Évalué à 0.
> très classique, d'accord, mais principalement
> utilisée dans le monde Windows. T'en connais
> beaucoup de troyens Linux?
Oui, des tas !
Tu peux en mettre où tu veux (telnet, ssh, ...)
Qui plus est, les rootkit sont des logiciels qui reprennent en partie le principe des chevaux de Troie et qui se retrouvent essentiellement dans le monde Unix.
> C'est grace à ce genre de raisonnement que les
> virus et les attaques par backdoor
> prolifèrent... Parmi les personnes abonnées à
> Internet aujourd'hui (pas uniquement par ADSL),
> combien savent ce qu'est un firewall? Et parmi
> ceux qui savent, combien en ont? S'ils n'en ont
> pas, c'est peut-être parce que c'est trop simple
> à installer/gérer.
Je suppose que tu veux parler des Worms (qui sont différents des virus). Melissa, Papa, Lion, etc...
Si c'est le cas, je suis parfaitement d'accord avec ton avis.
La faiblesse d'un réseau vient de ses maillons faible. Et sur Internet, il y en a plein de maillons faibles.
Comme par hasard ce sont souvent des systèmes Windows...
[^] # Re: Il a quand meme trouvé quelque chose...
Posté par pas_moi . Évalué à 1.
Donc toi, quand tu reçois un mail avec un exécutable Linux qui s'appelle telnet, tu t'empresses de l'installer et de l'exécuter!! Ben voyons... Pour installer un backdoor Linux, il faut d'abord réussir à hacker le système; sous Windows, tu as juste à envoyer une super anim Flash patchée et hop, ton backdoor se retrouve installé sur une bonne palanquée de systèmes. Donc je maintiens que l'attaque au backdoor est principalement une méthode Windows.
Je suppose que tu veux parler des Worms
Les virus (et les worms ne sont qu'une famille de virus à part) sont de nos jours principalement répandus au travers des mails. Un antivirus installé chez un FAI pourrait aussi détecter quand un Win.CIH est présent dans un exécutable transmis par mail.
[^] # Re: Il a quand meme trouvé quelque chose...
Posté par Marc . Évalué à 1.
où tu as vu ça??
tu as une URL :-)
# jour de bonté
Posté par kalahann . Évalué à -1.
[^] # Re: jour de bonté
Posté par Anonyme . Évalué à 0.
# un site qui détaille bien le problème
Posté par Schwarzy . Évalué à 1.
et suivre les différents liens. Il y a même une mise en oeuvre du mode EXPERT.
ben finalement ça semble moins méchant que le laissait entendre les médias, au moins pour les particuliers. Ce qui peut-être dangereux c'est une attaque physique sur le fil dorsadé entre le modem et le relais adsl car le tftp est non protégé. Des entreprises (et aussi des particuliers) peuvent être espionnées par cette voie.
[^] # Re: un site qui détaille bien le problème
Posté par Anonyme . Évalué à 0.
c un nouveau type de câble ? :)
Quant aux risques de piratage entre le modem ADSL et le DSLAM... je suis assez sceptique...
Et puis pour le tour de passe-passe.... m'en fout, j'ai un modem ECI, qui est un modem tout con et pas un modem qui voulait se faire routeur...
# cheval de Troie (Asie mineure)
Posté par seatrend . Évalué à 1.
# Les deux ont raison !!!
Posté par Anonyme . Évalué à 0.
On peut leur faire confiance, ils publient pas d'articles sans avoir fait de vérifs avant et d'ailleurs le nombre d'avis publiés est assez restreint...
Alors relisez le bien : le 2 failles sont décrites, celle découverte pat Tsutomu Shimomura et celle de Renaud Deraison (à la pointe de la sécu comme toujours :-)] :
- VU#243592 - Alcatel ADSL modems provide EXPERT administrative account with an easily reversible encrypted password
- VU#212088 - Alcatel ADSL modems contain a null default password
La où il ne sont pas d'accord avec Renaud, c'est que pour eux toutes ces attaques sont faisables de l'extérieur...
[^] # on peut aussi jouer au fr.soc.complots :
Posté par falbala . Évalué à 1.
à certaines conditions, qui ne sont pas près d'arrvier chez moi, donc on peut dormir tranquille.
C'est comme X-Files : la vérité est ailleurs :
1. Alcaltel est le premier fournisseur mondial d'équipement ADSL
2. Tsutomu Shimomura bosse aux EU
3. Si vous regardez la home page de CERT :
Who We Are
The CERT® Coordination Center (CERT/CC) is a center of Internet security
expertise. It is located at the Software Engineering Institute, a federally funded
research and development center operated by Carnegie Mellon University.
Suivez mon regard ...
# et pour les USB ???
Posté par Lecoeur Loïc . Évalué à 1.
juste des mots par-ci par-la.
J'ai un speed touch USB.
je risque qqch ?
[^] # Re: et pour les USB ???
Posté par Anonyme . Évalué à 0.
Les speed touch utilisaient le proptocole PPPOE ou PPTP.
[^] # Re: et pour les USB ???
Posté par Lecoeur Loïc . Évalué à 1.
merci
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.