Journal Le retour de la revanche du Pentagone

Posté par (page perso) .
Tags : aucun
13
25
sept.
2010
Cher journal,

J'ai appris aujourd'hui que l'épisode du Pentagone avec ses clefs USB n'avait pas servi de leçon. C'est maintenant au tour de Siemens de se faire avoir et la gravité des faits est bien pire puisqu'il ne s'agit pas de voler des informations, mais de saboter les équipements de contrôle de Siemens y compris dans les centrales nucléaires, ce qui pourrait les faire exploser.

Et cette fois-ci encore, il s'agit d'attaques visant les postes Windows sur lesquels tourne le logiciel Siemens. De ce que j'ai trouvé dans la presse, il s'agit d'utiliser en premier lieu l'autorun des clefs USB, avant d'utiliser des failles zero-day (à cette époque, c'est-à-dire juin) de Windows pour attaquer le logiciel Siemens. Je me pose du coup les questions suivantes : pourquoi l'autorun n'est-il pas désactivé sur les postes sensibles (à moins qu'il y ait une faille dans la désactivation) ? Combien faudra-t'il d'attaques pour qu'on se dise que c'est dangereux qu'il y ait des cas où ce n'est pas du tout approprié ?

Je passerais sous silence les failles de Windows vu qu'il s'agirait d'une équipe qui aurait bossé pendant plusieurs mois pour arriver à ça, on peut se dire qu'ils auraient pu trouver des failles Linux aussi (certains diront que comme il n'y a pas d'autorun sous Linux, il n'y avait pas de risque que ça soit utile)

http://www.computerworld.com/s/article/9185419/Siemens_Stuxn(...)
http://it.slashdot.org/story/10/09/17/2150254/Stuxnet-Worm-I(...)
http://www.lefigaro.fr/sciences-technologies/2010/09/24/0103(...)
  • # Ahhh la presse généraliste

    Posté par (page perso) . Évalué à 10.

    Le figaro : « Cependant, le virus peut encore muter. Symantec a retrouvé des premières versions datant de juin 2009, qui se sont perfectionnées depuis, en exploitant de nouvelles failles. »

    C'est un virus magique qui se perfectionne tout seul pour trouver de nouvelles failles…
    • [^] # Re: Ahhh la presse généraliste

      Posté par (page perso) . Évalué à 10.

      C'est un virus magique qui se perfectionne tout seul pour trouver de nouvelles failles…

      C'est parce qu'il a été écrit sur MultiDeskOS.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Ahhh la presse généraliste

      Posté par . Évalué à 1.

      Ouais, même que les mises à jour automatiques ça n'existe pas. C'est décrit exactement comment dans l'article que tu cites (le figaro), le virus sait aller chercher de nouvelles versions et se mettre à jour tout seul. Alors lis tout avant de critiquer...
      • [^] # Re: Ahhh la presse généraliste

        Posté par . Évalué à 0.

        En même temps, ça ne paraît pas totalement invraisemblable d'avoir un code qui génère d'autres copies de lui même (différentes) en y rajoutant des bouts de codes qu'il irait par exemple chercher sur des sites internet de référence "public".

        Par exemple on pourrait très bien imaginer un soft qui soit capable de télécharger les derniers exploits sortis sur un site internet, les compiler puis les utiliser, voir créer des copies de lui même qui embarquent aléatoirement plusieurs de ses exploits (une copie qui ne s'attaque aux serveurs ssh, une autre aux serveurs web ou à certains types de sites, etc..). Une fois la machine "corrompue", il regénère d'autres copies différentes, etc...

        Il pourrait très bien ajouter des volumes de code aléatoire assez importante, et effectuer des changements mêmes basiques (convention de nommage de ses variables, fonction + cryptage de zones aléatoires du code, etc...) qui pourraient apparaître comme des virus différents
      • [^] # Re: Ahhh la presse généraliste

        Posté par (page perso) . Évalué à 5.

        Ouais, même que les mises à jour automatiques ça n'existe pas

        Si si ils en parlent au début d'article. Ce qui me faisait rire dans cette phrase c'est l'analogie très foireuse entre les virus informatiques et les virus en biologie avec le mot muter et l'impression qu'il évolue tout seul « se perfectionne ». Bref ça accentue le « super sophistiqué » mais ça laisse dans l'imaginaire collectif qu'un virus informatique est une sorte d'être vivant.

        De plus je suis assez surpris qu'un virus « dormant » soit mis à jour par Internet cela veut dire qu'il devient plus facilement détectable et que l'auteur du virus peut être plus facilement identifier.
  • # pc sensibles

    Posté par . Évalué à 6.

    echo "blacklist usb_storage" >> /etc/modprobe.d/blacklist.conf

    bah désolé c'était vraiment trop facile.
    ha ? comment ça c'est la merde sous windows pour y arriver ? ha ben désolé pour eux, hein.

    Je me souviens encore de la tranche de rire que nous avait procurer, à des amis et moi, la lecture d'un document sur les directives à appliquer au laptops sensibles. Enfin, rigoler, parceque nous ne sommes que des petits techos, le responsable sécurité, lui, il doit se réveiller souvent la nuit et se faire des cheveux blancs plus vite que la moyenne...

    ps : ce n'est pas le bureau Gnome qui permet de "lancer des programmes à l'insertion de médias" ? (warnings troll inside)
    • [^] # Re: pc sensibles

      Posté par . Évalué à -1.

      T'inquiète pas, KDE aussi ouvre une fenêtre (pompée sur windows) quand tu insère un nouveau média.
      • [^] # Re: pc sensibles

        Posté par (page perso) . Évalué à 7.

        Mais il n'exécute les binaires sur la clé automatiquement, KDE demande ce qu'il doit faire avec.
        • [^] # Re: pc sensibles

          Posté par (page perso) . Évalué à 6.

          Par défaut, GNOME te demandera aussi.
        • [^] # Re: pc sensibles

          Posté par . Évalué à 9.

          Et je n’ai jamais vu le choix « exécuter le premier programme venu », il faut que l’utilisateur le fasse lui-même.
          • [^] # Re: pc sensibles

            Posté par . Évalué à 4.

            Non, Gnome m'a déjà fait le coup. J'avais un fichier .bin (ou quelque chose du genre), et il m'a proposé de l'exécuter quand j'ai inséré ma clef. Sauf que je savait très bien que ce n'était pas un exécutable mais une image de CD Debian.

            Quand j'ai vu ça, j'ai été désespéré. Heureusement que chez moi je n'utilise pas Ubuntu.
    • [^] # Re: pc sensibles

      Posté par (page perso) . Évalué à 2.

      echo "blacklist usb_storage" >> /etc/modprobe.d/blacklist.conf

      bah désolé c'était vraiment trop facile.
      ha ? comment ça c'est la merde sous windows pour y arriver ? ha ben désolé pour eux, hein.


      Rooh bien sûr que si il reste une parade : repasser sous NT 4.
      • [^] # Re: pc sensibles

        Posté par . Évalué à 2.

        tu rigole? suffit de désactiver la je sais plus quoi de matériel noyau dans les services ^^

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: pc sensibles

      Posté par . Évalué à 2.

      T'as pas idee comme c'est complique sous Windows :

      Tu mets un Deny ACL sur

      %SystemRoot%\Inf\Usbstor.pnf
      %SystemRoot%\Inf\Usbstor.inf

      et c'est regle
      • [^] # Re: pc sensibles

        Posté par . Évalué à 6.

        C'est tellement simple que ça n'est même pas dans la documentation inclue dans le système.
      • [^] # Re: pc sensibles

        Posté par (page perso) . Évalué à 2.

        Il faut plus faire circuler l'info, visiblement, les gens ne sont pas au courant.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # ...

    Posté par . Évalué à 5.

    Pour la petite histoire au boulot on a des oscilo qui tourne sur windows.
    Les clefs usb servent a sauvegarder des captures d'écrans.
    Et ben l'autorun est activé sur ces osillos et on a eu une belle diffusion de virus via des oscillos qui sont partagée entre plusieurs équipes.

    Bon on critique Windows, mais linux n'est pas forcement mieux. Certains desktop user-friendly tente à se rapprocher du comportement de windows. Et Linux a aussi des failles de sécu.

    Au passage sous Mac, ca donne quoi ?
    • [^] # Re: ...

      Posté par . Évalué à 10.

      C'est justement ça le problème utiliser un "desktop user-friendly" sur une machine industrielle sensible. Sous Windows, t'as pas le choix, et tu colles la panoplie de conneries habituelles (firwall, anitvirus, surveillance) permettant d'avoir un papier "conformes aux specs internes", si la centrale nucléaire est cassée ou si le train se vautre, c'est pas grave "c'était conforme aux specs". alors qu'avec un linux il serait bien regrettable de ne pas adapter le système au besoin, puisque c'est possible. Là il aurait suffit de simplement d'interdire les clefs usb. Trop difficilement controlables d'une part (on contourne des restricitions réseaux par des clefs usb pour "faciliter" le transport d'infos... ha ben justement c'est pas ça qui était voulu ?). Même pas besoin de se servir de Udev comme d'un "firewall" pour dire quelles sont clefs qui ont le droit d'être montées et quelles sont les actions à effectuer, juste un gros un blacklist et hop roule ma poule.

      Mais c'est vrai que c'est pré-occupant quant même. On tape sur les défauts de windows parcequ'il n'est pas suffisament adaptable. Mais on devrait aussi taper sur tout ceux qui sortent l'argument de "la productivité" pour justifier que des mesures salutaires de sécurité les embêtent.

      Alors oui, certainement un linux a des failles de sécu, mais le système étant par nature ouvert il est possible de fermer une porte. Joli paradoxe. Salutaire.
    • [^] # Re: ...

      Posté par . Évalué à 10.

      En même temps, des oscillos sous windows... vous avez bien cherché la merde.
      • [^] # Re: ...

        Posté par . Évalué à 5.

        En même temps quand tu bosses dans le test électronique, tu choisis pas l'oscillo en fonction de l'OS sur lequel tourne le programme d'exploitation...
        • [^] # Re: ...

          Posté par . Évalué à 10.

          Ben vu les risques que ça engendre, peut-être que ça serait pourtant sage de prendre en compte ce paramètre.
        • [^] # Re: ...

          Posté par . Évalué à 9.

          Ha si désolé. L'OS tournant sur la bécane peut vraiment être un critère dans le choix du matériel à acheter !
        • [^] # Re: ...

          Posté par . Évalué à 3.

          "(...)l'OS sur lequel tourne le programme d'exploitation... "

          Huh ?
          • [^] # Re: ...

            Posté par . Évalué à 3.

            Le programme d'exploitation des données.

            Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

      • [^] # Re: ...

        Posté par . Évalué à 2.

        Rien qu'un « oscillo sous Windows » me fait bondir mais, après réflexion, je pense qu'il s'agit plutôt de cartes d'extension PCI (voire parfois USB) qui se branchent sur un PC et permettent de faire de l'acquisition à moindres frais.

        Si c'est bien de cela qu'il s'agit, il doit y avoir moyen d'écrire — sinon de trouver — un logiciel sous Linux qui puisse les prendre en charge.
        • [^] # Re: ...

          Posté par (page perso) . Évalué à 2.

          Si c'est bien de cela qu'il s'agit, il doit y avoir moyen d'écrire — sinon de trouver — un logiciel sous Linux qui puisse les prendre en charge.

          Rien n'est moins sûr. Il s'agit souvent de système ultra-propriétaire impossible à utiliser même avec la version suivante de Windows.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: ...

          Posté par . Évalué à 6.

          Et non justement.

          Si les oscillos sous windows sont généralement bien des pc équipés de cartes PCI (mais pas seulement), ce ne sont justement pas des systèmes "à moindres frais" mais au contraire du très haut de gamme, dont le prix peut dépasser allégrement les 200 000 dollars en version "de base".
  • # USB dans une centrale nucléaire

    Posté par (page perso) . Évalué à 7.

    Vu le niveau de sécurité, les PC ne devraient même pas avoir de prise USB...

    Puis comment ça se produit?, les mecs qui veulent regarder des PPS / ODP n'ont que les PC qui contrôlent la centrale pour les regarder ? :s ça fait peur...


    La dernière fois que je suis passé dans le commissariat de chez moi, ils n'avaient pas le net sauf sur 1 pc (et le pc était isolé, tellement bien que ma déclaration de vol via internet ils ne savaient rien en faire) et ils savaient mettre des clés USB dans les PC mais le PC ne pouvait pas y accéder (sauf chez le lieutenant pour certains besoin)
    • [^] # Re: USB dans une centrale nucléaire

      Posté par (page perso) . Évalué à 3.

      Puis comment ça se produit?, les mecs qui veulent regarder des PPS / ODP n'ont que les PC qui contrôlent la centrale pour les regarder ? :s ça fait peur...

      C'est peut-être le seul moyen de transférer les logs pour les analyser ou pour charger une procédure à effectuer par l'outil pour éviter de devoir le connecter au réseau.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: USB dans une centrale nucléaire

      Posté par (page perso) . Évalué à 2.

      Les médias amovibles sont sensé être désactiver sur les systèmes critiques pour les opérateurs et n'être accessible que pour les ingénieurs.
      C'est çà la théories.

      En pratique, les opérateurs ont beaucoup trop de privilèges («tiens pourquoi les alertes sont bypassé ?» «qui as changé les confs des capteurs ?»).
  • # pwner via USB sans autorun (sous GNU/Linux aussi)

    Posté par (page perso) . Évalué à 4.

    Si la clé USB se présente comme un clavier, celui-ci peut effectuer toute action que l'utilisateur pourrait taper au clavier (comme par exemple copier un sudo « personnalisé » dans ~/.bin et ajouter le répertoire dans le PATH).

    Je ne sais pas si dans ce cas ci c'est la technique utilisée mais en principe, cela pourrait fonctionner aussi bien sous Windows que GNU/Linux (OK, la même implémentation pour les deux va être plus compliquée) et l'autorun n'a pas besoin d'être activé.

    http://blogs.msdn.com/b/oldnewthing/archive/2009/11/09/99195(...)

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: pwner via USB sans autorun (sous GNU/Linux aussi)

      Posté par (page perso) . Évalué à 2.

      Si la clé USB se présente comme un clavier, celui-ci peut effectuer toute action que l'utilisateur pourrait taper au clavier (comme par exemple copier un sudo « personnalisé » dans ~/.bin et ajouter le répertoire dans le PATH).

      C'est aussi ce que je m'étais dit, mais, d'autre part, dans tout ce que j'ai lu sur le sujet, on parle d'une clef USB sans dire que ce n'en est pas une, mais un truc vraiment différent qui a dû être introduit dans l'usine. On parle de réplication sur beaucoup d'ordinateurs, ce qui veut dire qu'on utilise beaucoup de fois la même clef USB sans se rendre compte qu'elle réagit bizarrement (détection de nouveau clavier par Windows au pire ou simplement la clef est non-fonctionnelle) ou que le modèle est répandu. Ou alors, il y a un « espion » infiltré et la clef n'est pas le problème.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: pwner via USB sans autorun (sous GNU/Linux aussi)

        Posté par (page perso) . Évalué à 3.

        Normalement, les homes sont montés avec l'option nosuid et nodev.
        • [^] # Re: pwner via USB sans autorun (sous GNU/Linux aussi)

          Posté par (page perso) . Évalué à 2.

          Et ?

          Avec noexec ça devient plus amusant mais sur la plupart des systèmes tu peux trouver un répertoire dans lequel tu peux écrire un exécutable avec l'utilisateur de base.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

          • [^] # Re: pwner via USB sans autorun (sous GNU/Linux aussi)

            Posté par (page perso) . Évalué à 2.

            Et ... j'avais mal lu (ou trop vite lu) et cela parlait surtout de sudo !

            A vrai dire, je ne met jamais un sudo sur ALL pour un utilisateur sur un poste de travail.

            Sinon, c'est très différent de mettre nosuid et nodev que noexec. Le noexec ne sers pas à grand chose car sous linux, il se contourne très facilement. le nosuid et le nodev sont plus important.

            Ceci dis, il y a pas mal de dossier système un peu trop ouvert qu'il faudrait aussi protéger. Les deux premiers qui me viennent à l'esprit sont :

            - /tmp
            - /var/tmp

            D'ailleurs, je ne vois pas trop l'intérêt de /var/tmp par rapport au /tmp ?
      • [^] # Re: pwner via USB sans autorun (sous GNU/Linux aussi)

        Posté par (page perso) . Évalué à 2.

        > sans se rendre compte qu'elle réagit bizarrement (détection de nouveau
        > clavier par Windows au pire ou simplement la clef est non-fonctionnelle)

        La clé peut présenter un clavier juste le temps d'introduire le malware. Elle peut aussi sans doute présenter à la fois un clavier et du mass storage en même temps (je connais pas bien les spécifications USB mais ça ne me semble pas impossible vu qu'il existe des hubs USB).

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

        • [^] # Re: pwner via USB sans autorun (sous GNU/Linux aussi)

          Posté par (page perso) . Évalué à 2.

          Elle peut aussi sans doute présenter à la fois un clavier et du mass storage en même temps (je connais pas bien les spécifications USB mais ça ne me semble pas impossible vu qu'il existe des hubs USB).

          Tout-à-fait (il suffit d'un hub dans la clef) mais tu as déjà vu le nombre de popup quand tu branche un nouveau clavier dans Windows? Ça se voit facilement quand même et on ne parle pas de Mme Michu mais de gars formé à l'outil qui doivent quand même être capable de se rendre compte que c'est pas normal et (au minimum) le signaler.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: pwner via USB sans autorun (sous GNU/Linux aussi)

            Posté par (page perso) . Évalué à 2.

            > tu as déjà vu le nombre de popup quand tu branche un nouveau clavier dans Windows?

            À vrai dire, non.

            Mais à partir du moment où le « clavier » est branché, il devrait pouvoir désactiver les popups de manière assez rapide pour que ça ne se remarque pas trop.

            Mais de toute façon apparement, ça n'est pas la technique qui était utilisée dans ce cas.

            pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Non, pas d'autorun

    Posté par . Évalué à 10.

    Inutile d'utiliser l'autorun pour activer ce virus.
    La faille se situait dans l'affichage des icones. Bah oui, windows peut aller chercher une icone dans une dll à côté de l'icone, et exécuter du code de cette dll. Les journalistes devraient lire la presse on line un peu avant de hurler à l'autorun. La faille fonctionne aussi bien sur un partage réseau ou un sur un partage webdav. Nada autorun.

    Ce ver avait une autre faille zero-day, une troisième, et même une quatrième pour augmenter les privilèges ou exécuter du code. Pour être discret le virus installait un driver. Ce driver était signé par une clé de signature valide, volée auparavant à un vendeur de cartes réseaux. Le jour ou le virus s'est fait détecter, le groupe de codeurs a du pleurer cher la disparition de leur petit prodige.

    Les mots de passe des équipements SCADA étaient connus et écrits en dur. Le logiciel devait être dormant jusqu'a trouver la (ou les) bonne usine afin de lui envoyer des commandes de surveillances et rapports d'activité, ou de la faire se bauger comme une bouse.

    Ce virus est particulièrement violent, il a été détecté comme étant vivant en juin 2009, a eu une grosse pub cet été, et son analyse n'est pas terminée. On ne sait toujours pas ce qu'il devait vraiment faire. Les chercheurs disent que c'est un malware gouvernemental (duquel?) qui présage les cyberguerres de demain. Va t'en faire la guerre si ton usine de canon se met à fabriquer des grilles-pain? (sous NetBSd, oeuf corse).

    wala, wala.
    • [^] # Re: Non, pas d'autorun

      Posté par (page perso) . Évalué à 2.

      Merci pour ces précisions.

      La faille se situait dans l'affichage des icones.

      Je pensais que c'était classé dans l'autorun l'affichage automatique des icônes.

      Va t'en faire la guerre si ton usine de canon se met à fabriquer des grilles-pain? (sous NetBSd, oeuf corse).

      Je crois que le but est plus de faire exploser les usines, ça fait déjà des dégâts avant de commencer

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Non, pas d'autorun

      Posté par . Évalué à 2.

      J'ai appris l'existence de ce virus au boulot. Un des admin m'a demandé si nous avions des machines équipées de ce soft Siemens, WinCC en l'occurence. Il m'a dit qu'une usine en Allemagne avait été infectée et que les 'pirates' avaient démarré des pompes à distance. Je n'ai pas recoupé l'info.
      • [^] # Re: Non, pas d'autorun

        Posté par . Évalué à 3.

        Ça m'étonnerait que l'info soit vrai. Perso ce que j'ai lu (notamment via le blog de B. Schneier):
        - le virus a été lancé en 2009 et visait les infra nucléaires iraniennes (vraisemblablement l'enrichissement d'uranium plutot que les centrales)
        - il a atteint son but dans l'été 2009 mais n'a été découvert que plus tard (printemps/été 2010)
        - il visait un type très spécifique d'installation, si le fingerprint ne correspondait pas, il ne faisait rien

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.