mardi 28 août 2012

Exploitation d'un téléphone Android et Meego via NFC

Je viens de regarder la présentation de Charlie Miller à la Blackhat 2012 sur le sujet du NFC. Sa présentation est disponible ici.

Il existe de nombreuses études de fiabilité autour des protocoles et de la technologie RFID. Les sujets tournent souvent autour de l'extension de la portée ou de l'attaque des protocoles populaires comme le Mifare ou l'EMV. Miller ne s'est pas intéressé à cet aspect du RFID et s'est concentré sur l'implémentation du NFC sur téléphone portable. Son objectif était de tester s'il était possible d'obtenir un accès root sur le téléphone en utilisant le NFC comme voie d'accès.

Le gros de son travail a consisté à trouver et développer une association de matériel et de logiciel qui lui permette de "fuzzer" la stack NFC des téléphones. Et ceci à différentes couches du protocole du plus bas niveau au niveau applicatif. Miller ne s'est cependant pas intéressé à la couche purement physique (transmission par ondes en l'occurrence).

Miller précise, que sauf particularité ou bug d'un téléphone, le NFC n'est activé que lorsque le téléphone n'est pas en veille. Il est en revanche possible d'activer un téléphone à distance dont on connait le numéro en lui envoyant un SMS par exemple.

Intéressant aussi à noter que la distance maximale de lecture est plus proche des 3/4 cm que des 10 cm parfois annoncés dans les spécifications.

Grâce à l'automatisation d'envoie de paquets défectueux ou corrompus Miller a donc pu mettre en évidence plusieurs bugs à différents niveau d'implémentation de la pile. Grâce à l'exploitation de certains de ces bugs il a été capable d'obtenir un accès root. La démonstration qu'il fait lors de sa présentation consiste à transmettre une URL par NFC qui sera automatiquement ouverte par le navigateur du téléphone. La page web en question utilisant un exploit webkit connu afin obtenir l'accès root.

On est donc pas dans une exploitation purement NFC puisque l'on se reporte finalement sur un bug du navigateur web mais on utilise le NFC pour amener l'utilisateur automatiquement sur cette page plutôt que par un autre biais comme l'ingénierie sociale.


dimanche 19 août 2012

Shodan sur iPhone

Une version mobile de Shodan est disponible pour iPhone depuis quelque semaines. Bon l'application est quelque peu instable pour le moment et a des bugs mais peut importe je ne doute pas qu'elle va être améliorée au cours des mois qui viennent. Ce qui est important c'est le concept de l'application. Je trouve particulièrement intéressant le concept de recherche géographique. Avec Shodan vous pouvez spécifier un pays, une ville ou des coordonnées GPS avec un filtre pour restreindre la zone de recherche. Pour le moment la zone de recherche minimum est de 5 miles mais on peut entrevoir un futur ou de son téléphone on pourra observer le monde des machines qui nous entourent. Couplé avec une analyse radio fréquence captant le WIFI, le Bluetooth, ou le GSM ce genre d'analyse géolocalisé pourrait donner des applications de reconnaissance très puissantes. On peut même imaginer faire des recoupements entre une machine apparaissant dans Shodan et un réseau WIFI que l'on capte par exemple.



Etonnant qu'Apple ai accepté cette application d'ailleurs. A n'en pas douter le testeur n'en comprenait pas la fonction. Si elle a du succès elle sera à n'en pas douter retiré de l'Apple Store.


Shodan, moteur de recherche de machines connectées

Shodan est une idée géniale. Shodan est un moteur de recherche qui parcours internet à la recherche de machines connectées. Shodan ne s'intéresse pas aux sites web comme Google ou Bing le font, vous pouvez ne pas avoir de port 80 ouvert mais quand même retrouver votre box, votre media center, votre camera IP sur Shodan. Pour le grand public internet est synonyme de web. Hors le web n'est que la partie visible et facilement accessible d'internet. Cette face cachée du net a toujours été accessible aux hackers, Shodan se contente d'en faciliter l'accès. 
Techniquement Shodan fait ce que tout bon hacker fait, il scanne le net pour des ports ouverts, capture des bannières, sauvegarde des hostnames, enregistre des versions de protocole, de serveur web, de système d'exploitation. Je ne peux qu'imaginer comment Shodan fonctionne en interne mais ça doit ressembler à un boucle infinie à base de
nmap -p 21,22,23,80,8080,443 -A -0 CURRENTIP
Théoriquement n'importe quel hacker / développeur aurait pu réaliser Shodan mais comme toute bonne idée sa valeur n'est pas dans l'idée elle même mais dans la réalisation de celle ci. John Matherly lui, a été jusqu'au bout de son idée.
On ne peut qu'imaginer que des hackers un peu besogneux, mais surtout des organisations cyber criminelles organisées, ont leur propre version personnelle de Shodan depuis des années. Les organisations gouvernementales de cyber surveillance et de renseignement également. D'ailleurs lorsque l'on a utilisé Shodan depuis un certain temps on se met à imaginer de multiples extensions possibles. Shodan permet d'ailleurs certaines extensions via son API.
Quelques exemple des usages les plus évidents de Shodan
  • Rechercher des machines avec des OS obsolètes.
  • Rechercher des machines avec un version spécifique d'un OS, d'un protocole, typiquement vulnérable à un exploit connu.
  • Rechercher des services sans protection, avec des mots de passe par défaut.
  • Rechercher des machines géographiquement proches.
  • Rechercher un certain type de machine: router, automate, caméra, mobile, passerelle, ...

jeudi 16 août 2012

Kisbee un sniffer pour protocole Zigbee

Zigbee est un des divers protocoles basés sur la norme 802.15.4. Cette norme est utilisé en domotique et dans de nombreuses applications faisant usage de capteur. Capteur de température, d'intensité, de débit d'eau, de luminosité, etc. L'avantage du Zigbee est de consommer très peu et de pouvoir porter sur de longues distances. Un capteur sur batterie s'il est bien paramètré peu fonctionner plusieurs années. Le débit est faible mais ce n'est pas l'objectif de la norme.

Il existe des sniffers industriels mais c'est la première fois que le grand public a accès à un sniffer open source, open hardware et qui va disposer du support de la communauté Kismet.

Les détails du projet Kisbee ici.

L'appareil peut même être relié en bluetooth à un téléphone Android afin de monitorer en temps réel et en mobilité ce que le sniffer détecte. Le sniffer est également compatible Kismet.


vendredi 10 août 2012

Trou de ver NFC

Présentation au Blackhat 2012 du l'outil NFCProxy qui permet de facilement créer un trou de verre (wormhole) ou relay entre deux téléphones Android compatibles NFC.

 


On distingue le trou de ver (wormhole) à l'attaque man in the middle dans le sens ou le trou de ver ne nécessite pas de comprendre quelque chose au protocole que l'on relaie. Dans le cas du NFC on a un téléphone qui lit une carte de paiement et un autre téléphone qui transmet le signal à un système de paiement. A aucun moment NFCProxy n'a besoin de décoder le protocole de paiement, ce sont les modules NFC du chaque téléphone qui l'interprètent. Ils agissent comme une passerelle d'un point géographique à un autre. D'ou l'analogie avec le concept de trou de ver en astronomie et en physique. On peut en revanche également détourner ce type de relais pour réaliser une attaque en man in the middle.

Résumé des menaces sur les mobiles en 2011 ... et en français.

Cette présentation d'un expert sécurité de chez Orange a eu lieu lors des Panoramas de la cybercriminalité 2011 organisé par l'association Clusif. Le lien direct vers la vidéo à télécharger ici.




Parmi les sujets abordés on trouve:
  • Android est il le windows XP du mobile ? La plateforme est telle attaquée en raison de sa popularité ou de son laxisme niveau sécurité ? Mon opinion sur le sujet en tant que développeur sur les deux plateformes iOS et Android est qu'Android est intrinsèquement plus vulnérable. Je dirais même que c'est une vrai passoire. La non certification des applications qui fait le bonheur de ses usagers est également la cause de nombreux problèmes. Entre le laxisme d'Android et le quasi fascisme d'Apple il semblerait que Windows Phone s'oriente vers un juste compromis en testant la fiabilité des applications sans en juger l'intérêt ou le contenu. (un peu comme le Symbian Signed à l'époque)
  • Hacking du GMS et détournement des femtocells. 
  • Hacking naissant du GPRS qui ne va pas résister bien longtemps. A noter qu'un grand opérateur des USA a déjà annoncé l'abandon du réseau GSM en faveur du réseau 3G pour 2017. Mais c'est une exception et le GSM a encore des années devant lui et probablement des dizaines d'années dans certains pays.
  • La compromission de Google Play et le fait que pirater un compte Google permet d'installer subrepticement une application de son choix sur le téléphone Android de l'utilisateur associé ?!!!
  • Le fait que Javascript pour offrir toujours plus de fonctionnalités et une alternative viable aux applications peut accéder de plus en plus en profondeur au système et ouvre ainsi une porte d'accès web aux pirates.
  • La multiplication des malwares sur mobile.
  • Des outils de DOS ou Dénis de Service sur mobile de type LOIC.
  • Le fiasco de l'affaire Carrier IQ.
D'une manière plus générale je conseille la lecture du panorama entier des menaces 2011 si vous ne vous intéressez pas qu'au mobile.

dimanche 5 août 2012

Extensions navigateurs pour la sécurité

Je ne sors jamais sur Internet sans elles. Mon navigateur de prédilection est Firefox à cause de la multitude de ses extentions disponibles. Franchement, si préfèrerais utiliser Safari ou IE que je trouve plus rapides mais seul Firefox propose autant de fonctionnalités annexes.

https everywhere permet de forcer toute connexion http en https. Indispensable pour se protogér des attaques Man In The Middle et des plugins de vol de cookies type Firesheep. J'ai recherché un équivalent sur Safari et j'ai trouve SSL everywhere. Malheuresement comme le décrit son auteur sur ce post les limitations d'API de Safari ne permettent pas le même niveau de protection que sous Firefox. Du coup l'auteur ne propose le plugin qu'à compiler pour que seuls les personnes averties et comprennant les limitations du plugin l'installe.

No script qui permet de désactiver toute forme de script dans les pages web. Javascript, Java, Flash tout est désactivé par défaut et No Script vous demande d'instaurer des règles d'autorisation au fur et à mesrure à la manière d'un firewall. Comme pour un firewall au début on doit valider pas mal de fenêtres de confirmations mais No Script se fait de plus en plus discret. On pourrait croire que naviguer sans scripting est impossible de nos jours mais on s'y fait très vite. Un des effets secondaires de No Script est de supprimer les majorités des publicités et fioritures inutiles comme les options de partage sur les réseaux sociaux qu'on retrouve sur toute page web de nos jours. Il accélère également la navigation en refusant de télécharger certaines données de la page.

Ad block car moins je vois de publicité mieux je me porte. Je n'ai ni radio ni télévision ce n'est pas pour me faire pourrir la cervelle par l'envahissement des publicités sur le net. De plus toutes ces systèmes de publicité sont munis de système de tracking et de cookie sauvegardant vos moindres faits et geste sur le net afin de dresse un profile psychologique. La suppressions de publicité est donc autant une protection de sécurité que de votre vie privée.