Journal De Snowden, Kaspersky, CitizenFour et Gemalto

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
26
24
fév.
2015

Journal bookmark rapide, désolé si ça fait doublon mais je crois pas avoir vu passer.

Le documentaire sur les révélations de Snowden par Laura Poitras a gagné l'oscar du meilleur documentaire, ça on le sait tous.

Mais saviez-vous que le docu est passé (discrètement) dans le domaine public ? C'est l'info rapportée par Cryptome et ce site allemand : http://t3n.de/news/citizenfour-oscar-gekroente-595416/ En gros le docu a été versé au dossier dans le cadre d'une plainte contre le film, et de ce fait passe dans le domaine public en tant qu'éléments versés au dossier. Le film est dispo sur Archive.org : https://archive.org/details/LauraPoitrasCitizenfour et sur http://cryptome.org/

Snowden, Poitras et Greenwald répondent aux questions des commentateurs de Reddit suite à l'oscar obtenu par CitizenFour : https://www.reddit.com/r/IAmA/comments/2wwdep/we_are_edward_snowden_laura_poitras_and_glenn/

Ces jours-ci plusieurs révélations de taille ont eu lieu sur la sécurité. La première c'est Kaspersky qui analyse des malwares de la NSA (nommée pour l'occasion "Equation Group"), qui recoupent les infos leakées précédemment par Snowden, mais cette fois-ci nous avons un cas pratique.

Quelques détails croustillants (résumé) :

  • des malwares ont été transmis sur un CD-ROM après une conférence, les envois pourraient avoir été interceptés à la poste et les CD remplacés par des copies infectées
  • un malware est capable de modifier le firmware des disques durs de 12 fabricants différent et s'y installer définitivement. Sa détection est alors impossible (son code est chargé avant même le boot, et formater le disque ne peut pas le supprimer), et il a tout loisir pour intercepter des clés de crypto et les stocker sur des secteurs du disque cachés à l'OS.
  • un autre malware est capable d'infecter le firmware de clés USB afin d'aller infecter une machine qui n'est pas connectée au net, récupérer les infos et les cacher sur la clé, puis les transmettre quand la clé est à nouveau insérée dans une machine connectée au net
  • des vers exploitaient des failles zero-day avant même que StuxNet (autre malware de la NSA) ne les utilisent, et encore plus inquiétant Kaspersky relève des failles non identifiées et non corrigées dans Firefox et TorBrowser…

Des centaines de serveurs de contrôle existent, et les activités de ces malwares remonteraient jusqu'à 1996. Le réseau de contrôle utilise des failles de certains forums pour pouvoir installer des backdoors et infecter les visiteurs.

Encore une fois je renvoie vers le blog de Kaspersky qui contient un PDF très intéressant : https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/

Pour résumer aucune de ces techniques n'est nouvelle, elles ont toutes été démontrées par des chercheurs et hackers, mais on pensait que leur exploitation était trop complexe et coûteuse (enfin jusqu'aux révélations de Snowden). Ici on voit qu'elles sont bien exploitées à grande échelle.

Enfin la dernière révélation de Snowden est une énorme faille de sécurité chez Gemalto, qui produit les cartes SIM et puces de cartes bancaires du monde entier. Les clés de chiffrement auraient été comprises et les cartes SIM produites ces dernières années seraient potentiellement à jeter (jusqu'à 10 milliards de cartes SIM potentiellement compromises).

Les détails : https://firstlook.org/theintercept/2015/02/19/great-sim-heist/

Le fait que ces clés soient compromises pourraient faciliter l'interception et le déchiffrement des communications téléphoniques sans avoir à obtenir l'autorisation d'un juge.

Le réseau interne de Gemalto a été compromis par le GCHQ, et un grand nombre d'ordinateurs de l'entreprise seraient sous le contrôle des britanniques. Mais même sans ça, les pratiques de Gemalto en matière de sécurité semblaient loufoques : envoi des clés privées par e-mail, par FTP, ou simple courrier.

On sait que le GCHQ a pu pénétrer dans le réseau de Gemalto via l'accès de la NSA aux comptes Yahoo, Google et Facebook des ingénieurs de Gemalto. Les ingénieurs de nombreux fabricants de téléphones ont aussi été ciblés comme Huawei ou Nokia.

Des questions se posent aussi de ce fait sur la sécurité des puces de CB produites par Gemalto ces dernières années.

Conclusion :

“We need to stop assuming that the phone companies will provide us with a secure method of making calls or exchanging text messages”

  • # Question

    Posté par  (site web personnel) . Évalué à 4.

    et il a tout loisir pour intercepter des clés de crypto et les stocker sur des secteurs du
    disque cachés à l'OS.

    Il tourne comment le malware? Si il est caché de l'OS, c'est bien que c'est une sorte d'OS, il faut qu'il gère ses accès CPU, mémoire, … Comment cela fonctionne?

    • [^] # Re: Question

      Posté par  (site web personnel) . Évalué à 6.

      Il peut tourner sur le disque dur lui-même.

      « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

      • [^] # Re: Question

        Posté par  (site web personnel) . Évalué à 6.

        J'ai l'impression que le journal de Tankey n'a pas été compris. Au lieu d'y voir une bidouille pour occuper ses nuits blanches, il montre qu'il est possible l'installation d'un code indépendant de l'os et du processeur, au plus bas niveau de l'ordinateur.

        Dans le même ordre idée, le fait que l'OS puisse mettre à jour le microcode du cpu me laisse présager aussi un beau dossier d'ici quelques années. J'ignore si les interruptions du bios sont encore accessibles à cette étape du chargement, mais on dispose d'un accès au matériel et au système sans limite…

        • [^] # Re: Question

          Posté par  . Évalué à 3.

          Dans le même ordre idée, le fait que l'OS puisse mettre à jour le microcode du cpu me laisse présager aussi un beau dossier d'ici quelques années. J'ignore si les interruptions du bios sont encore accessibles à cette étape du chargement, mais on dispose d'un accès au matériel et au système sans limite…

          Pas sûr. Cela fait longtemps que ça existe, beaucoup de monde aujourd'hui cherche sur ce sujet, mais ce qui a été trouvé laisse entendre que c'est bien fait (http://inertiawar.com/microcode/). Encore faut-il que les fondeurs ne se fassent pas gauler les clefs.
          En tout cas, pas le moindre début de vulnérabilité détecté à ma connaissance et il y a des moyens plus simples d'entrer en mode SMM.

      • [^] # Re: Question

        Posté par  . Évalué à 1.

        Oui mais il tourne à combien de tours minute ? Sur un disque à 15000, j'espère qu'il est bien fixé au disque !

        Plus sérieusement, je n'ai pas lu tout les liens ( honte à moi ), il tourne sur le disque, ok, mais il doit être interfacé avec le reste du système. Soit c'est un OS à part entière, soit c'est un processus. Si on veut que les données sortent, par la carte réseau imaginons, il ne doit pas envoyer les données en même temps que le système légitime. Il doit obtenir un IP si c'est un système autonome. Est-ce qu'il marche sous Windows seulement, tout les drivers de cartes réseaux, il y a une abstraction, etc.

        Bref, plein de challenges intéressant !

        • [^] # Re: Question

          Posté par  (site web personnel) . Évalué à 3.

          Est-ce qu'il marche sous Windows seulement

          ça, cela voudrait déjà dire qu'il a des jambes !

        • [^] # Re: Question

          Posté par  (site web personnel) . Évalué à 1.

          C'est sûrement un autre malware qui s'occupe du rapatriement des données vers les serveurs. Celui sur le disque ne pourrait s'occuper que de la collecte et le stockage local des données en question.

        • [^] # Re: Question

          Posté par  (site web personnel, Mastodon) . Évalué à 3.

          On peut imaginer que le malware renvoie du code malicieux quand l'OS va chercher un exécutable et donc installer en toutes circonstances un autre malware.

          Dans la démo ici : http://spritesmods.com/?art=hddhack&page=6

          On peut voir qu'il arrive à modifier le contenu de /etc/shadow à la volée pour qu'un attaquant puisse être root en toutes circonstances.

          Mais vu la puissance du processeur ARM sur les contrôleurs des disques, y'a de quoi bien s'amuser, on pourrait même imaginer un malware qui soit un OS qui charge lui-même l'OS présent sur le disque mais intercepte tous les appels système.

          « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

          • [^] # Re: Question

            Posté par  . Évalué à 2. Dernière modification le 24 février 2015 à 20:57.

            Oula très très compliqué.

            Je ne suis pas spécialiste du truc, mais pour moi un disque dur ne connaît pas la nature des données qu'il manipule (il ne connait que le "va lire ou écrire tel bloc à l'adresse machin", le reste lui passe au dessus de la tête).

            Ca rend la détection et le remplacement de fichiers très hasardeux et complexe (il n'y a pas vraiment de liens entre l'écriture dans la table d'alloc et le contenu des fichiers). Je n'ai pas l'accès à la video flash, mais je ne vois pas comment il a pu faire d'autre dans le cas du remplacement de mot de passe qu'un équivalent memcmp/strstr bourrin sur un pattern genre "root:dollar1dollar" (cochonnerie de markdown) pour ensuite remplacer ce qu'il y a derrière. Autant ça marche bien sur un truc aussi trivial (classiquement la ligne en question est en début de fichier, et donc en début de cluster), autant ça devient rapidement complexe si l'on veut faire un remplacement à cheval sur deux clusters, comme ça va être le cas pour un binaire (>512bytes). Pour le disque, deux clusters lus l'un à la suite de l'autre restent deux clusters indépendants.

            Ensuite l'impact sur les perfs doit être assez catastrophique, car l'opération doit être faite sur chaque secteur lu ou écrit, car on ne sait pas à l'avance sur quel(s) cluster(s) est le fichier intéressant, et il est probable que les CPU soient dimensionnés en fonction de leur usage prévu et pas forcément pour encaisser une analyse temps réel supplémentaire à 150+Mo/sec.

            Compliqué !

    • [^] # Re: Question

      Posté par  (site web personnel) . Évalué à 5.

      Quelques hypothèses :

      Vu que le disque dure dispose d'un firmeware, il y a un cpu dessus. Les ordres de transmission viennent du bus SATA, à lui de renvoyer les données qu'il veut. Il peut donc créer des secteurs défecteux pour y stoquer des informations.

      On peut même imaginer qu'il contrôle le boot, et se planque en ring0 ou au équivalent. Je serais curieux de voir si une vérification de la mémoire de ces zones est possible par les OS.

      "La première sécurité est la liberté"

      • [^] # Re: Question

        Posté par  (site web personnel) . Évalué à 2.

        Oui, mais comment les informations sortent de la machine?

        • [^] # Re: Question

          Posté par  (site web personnel) . Évalué à 3.

          Cela doit être la partie la plus compliqué : Utilisation de la carte réseau (mettre les infos dans le padding parfois présent dans les protocoles), avec un drivers maison, ou usage des fonctionnalités d'un browser.

          C'est sûr qu'ils doivent ruser pour ne pas se faire attraper par des firewalls. Ensuite, si les firewall sont des cisco…

          "La première sécurité est la liberté"

        • [^] # Re: Question

          Posté par  . Évalué à 3.

          L'idée est d'avoir une machine compromise branchée à internet, et de télécommander les autres machines "cibles" via des canaux cachés sur des clefs USB et de récupérer les infos par ce biais. D'après Kasperski, ça a l'air de marcher assez bien.

      • [^] # Re: Question

        Posté par  . Évalué à 2.

        Le malware final ne tourne pas dans le disque lui même. Il tourne dans l'OS de la machine hôte. Il y a tout un tas de techniques qui permettent au sein de windows, linux ou macos de cacher un malware de façon assez convaincante. Le firmware du disque dur quant à lui, a été modifié pour 1/permettre l'injection de données au moment du boot via la manipulation à la volée du MBR, et 2/à permettre un stockage permanent de données invisibles à l'OS.

        • [^] # Re: Question

          Posté par  (site web personnel) . Évalué à 2.

          Mais un malware en mémoire, peut réellement être invisible de l'OS ? J'ai du mal à le croire.

          Si il active la moindre défense hardware, le cpu aura un comportement bizarre. Dans trustzone de ARM, il est possible de dérouter les interruptions dans la zone secure, avant de les envoyé vers l'OS. Il est peut être possible d'imiter un comportement normal, un peu comme avec les téchniques de VM x86 ?

          Si les cpu peuvent recevoir des updates de microcode, on peut imaginer une manière de faire du masquage par ce moyen-là.

          "La première sécurité est la liberté"

          • [^] # Re: Question

            Posté par  . Évalué à 4.

            Mais un malware en mémoire, peut réellement être invisible de l'OS ? J'ai du mal à le croire.

            Réellement, non. Mais ça peut être très convaincant. Par exemple, on peut imaginer le chargement d'un module noyau qui déroute les appels d'énumération de modules et qui se petit suicide lorsqu'un autre module chercherait à faire de même ou alors qui se nettoie lorsqu'on charge un module capable de lire la ram noyau (kikoo bitlocker).
            Sinon, il est possible de se faire passer pour un hyperviseur.

            etc.

            Dans le cas des malwares de l'Equation Group, il faut vraiment lire le rapport de Kasperky.

            • [^] # Re: Question

              Posté par  (site web personnel) . Évalué à 2.

              Pour cela, il faudrait utiliser des fonctions de l'OS ciblé. Pour être détecté, il "suffirait" que l'OS produise des logs. Dans ton exemple, c'est l'os qui gère les modules. Je pensais plus à des trucs genre hyperviseur.

              "La première sécurité est la liberté"

  • # Domaine public

    Posté par  . Évalué à 8.

    Mais saviez-vous que le docu est passé (discrètement) dans le domaine public ? C'est l'info rapportée par Cryptome et ce site allemand : http://t3n.de/news/citizenfour-oscar-gekroente-595416/ En gros le docu a été versé au dossier dans le cadre d'une plainte contre le film, et de ce fait passe dans le domaine public en tant qu'éléments versés au dossier.

    Ceci m'etonne.

    Est-ce dans le domaine public pour toute l'europe ? seulement en Allemagne ?
    Je ne comprends pas le mécanisme. Si je comprends bien la phrase (mais je pense que non, ce serait trop gros), il y a une plainte qui a été posée contre ce film, du coup le film lui-meme est versé au dossier de la plainte en question, et du coup il est dans le domaine publique ?

    M'en vais porter plainte contre tous les films qui sortent, moi ! Comme ca, hop, tous versés au dossier, et comme ca, hop, tous les films dans le domaine publique. C'est Hollywood qui va être content ! Ou alors, c'est que ca ne se passe pas comme ca, ce qui m'etonnerait beaucoup moins.

    Bref, j'aurais voulu des infos sur ce mécanisme qui fait que le film serait passé en domaine publique. Désolé, je n'ai pas pu lire l'article en lien, ne comprenant pas l'Allemand.

    • [^] # Re: Domaine public

      Posté par  . Évalué à 2.

      Ils n'étaient probablement pas obligés de verser le film au dossier, mais ils en ont peut-être profité pour faire un petit effet Streisand.

    • [^] # Re: Domaine public

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      En réalité la plainte est aux USA, pas en Allemagne. Donc il est possible que le film ne soit pas dans le domaine public en dehors des USA.

      « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

  • # une petite boulette se cache dans cette citation tronquée,

    Posté par  . Évalué à -1.

    …ement auraient été comprises et les cartes SIM

    Enfin, je crois :)

    < quart d'heure c'est de la merde>

    Pour le reste je ne sais pas.
    Plus le temps passe, et plus les choses empires.
    Nous améliorions nos connaissances, les perfectionnons, mais jamais, absolument jamais, cela ne produit d'amélioration de notre vivre ensemble.
    A chaque fois cela est détourné pour assouvir le délire d'un tel ou d'un tel.

    L'industrie agroalimentaire, parmis les plus grosses du monde, et pourtant, vache folle, plastique nocif, et autre ogm en pagaille..
    L'informatique, on a jamais vu d'entreprise de mises sur écoute aussi vaste.
    La science, au mieux quelques délires sur les étoiles, au pire, tentative de manipulation cognitive.
    L'art, on a finit par mettre en god génat sur la place vandome. Epique.
    L'économie, avoir imprimer 1000 milliards d'euros et maintenir la grèce dans une situation de pauvreté….

    Bref, prenant pour contre-exemple tous ces projets libre qui ont si bien réussit,
    mais constatant notre incapacité à corriger le tir, question ouverte,

    A quel moment vous basculez dans une réaction épidermique de rejet ?

    < /quart d'heure c'est de la merde>

  • # Ne marche plus ?

    Posté par  . Évalué à 4.

    Archive.org affiche :

    The item is not available due to issues with the item's content.
    If you would like to report this problem as an error report, you may do so here.

    Et cryptome.org affiche une erreur encore plus inquiétante…

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.