Cyberwarfare

[hadriel]

Je voudrais pas jouer les trouble-fête, mais utiliser les pilotes comme argument en faveur de Linux c'est assez osé

Blague à part, la question de la mise à jour des OS dans l'industrie est compliquée. Par exemple je bosse dans les appareils médicaux. Comme à chaque nouvelle version de l'appareil on doit faire tout une batterie de tests pour vérifier qu'il est sûr pour les patients et efficace, et que ça prend des mois, on ne peut pas installer les mises à jour d'OS fréquemment. Cela dit les agences de régulation se sont rendues compte du problème et commencent à bosser sur la cybersécurité.

 

 

[Boule75]

Il y a 2 heures, hadriel a dit :

Je voudrais pas jouer les trouble-fête, mais utiliser les pilotes comme argument en faveur de Linux c'est assez osé

C'est à la fois un peu osé et pas tant que ça : la plupart des pilotes arrivent directement avec le noyau, noyau régulièrement amendé pour corriger des failles, failles des compilo ou du code, pilotes compris. En cas de défaut sur des pilotes de cartes réseau ou autres non-fournis par Microsoft (personnellement, ça a toujours foutu la grouille, cet aspect des mises à jour par Krosoft !), combien de grosses boutiques Windows sont-elles capables d'identifier qu'elles ont un problème puis de le corriger ?

En outre, mon expérience personnelle sur des configs grand public, vu du petit bout de la lorgnette, c'est que quand on fait un tout petit attention aux configurations qu'on achète, quand on fait gaffe à demeurer sur du matériel classique, le support des pilotes sous Linux est devenu très bon.

Outre les imprimantes, je suis certain que vous allez trouver des contre-exemples et c'est logique, vu que, pour le coup, Windows est toujours supporté. Ou pas, comme par exemple du vieux matos qui ne fonctionnera plus sous W10 par exemple... alors qu'il tourne encore sous une Debian7 (cas de certaines cartes ATI).

 

Il y a 2 heures, hadriel a dit :

Blague à part, la question de la mise à jour des OS dans l'industrie est compliquée. Par exemple je bosse dans les appareils médicaux. Comme à chaque nouvelle version de l'appareil on doit faire tout une batterie de tests pour vérifier qu'il est sûr pour les patients et efficace, et que ça prend des mois, on ne peut pas installer les mises à jour d'OS fréquemment. Cela dit les agences de régulation se sont rendues compte du problème et commencent à bosser sur la cybersécurité.

Seht gut.

[rogue0]

Le 17/05/2017 à 15:33, Marcus a dit :

Maintenant, tout le monde a entendu parler du ransomware WannaCrypt.

A ce sujet, si vous connaissez des personnes infectées, un chercheur français vient de publier un outil qui peut décrypter les données dans certains cas :  a savoir windows XP et pas de reboot

https://m.nextinpact.com/news/104328-wannakey-peut-retrouver-sur-windows-xp-cle-utilisee-par-wannacrypt.htm

En tout cas payer ne sert sans doute a rien. Le groupe créateur du worm doit être en train de se planquer pour échapper à la traque.

A propos du groupe créateur, on n'a pas plus de preuve sur les hackers. Néanmoins, voici un article de fond sur des hackers au service des nord coréens  :  certains sont mercenaires, d'autres seraient agents dormants dans les pays environnants (malaisie ou autre), et hackent pour financer le pays malgré les sanctions (référence @zx pour Command Conquer Generals )

https://mobile.nytimes.com/2017/05/16/world/asia/north-korea-cyber-sleeper-cells-ransomware.html?rref=collection%2Fsectioncollection%2Fasia&referer=https://www.lawfareblog.com/todays-headlines-and-commentary-1311

De façon assez surprenante, certains hackers nordco auraient commencé a cibler la Chine (avertissement de ne pas les lâcher ? ). @Henri K. aurais tu vu des confirmations  de source chinoise dessus ? 

[Henri K.]

il y a 20 minutes, rogue0 a dit :

De façon assez surprenante, certains hackers nordco auraient commencé a cibler la Chine (avertissement de ne pas les lâcher ? ). @Henri K. aurais tu vu des confirmations  de source chinoise dessus ? 

Pas trop suivi ce genre de truc, mais je peux jeter un coup d’œil oui.

Henri K.

[rogue0]

A propos du groupe Lazarus (le groupe suspecté de hacks massifs contre les banques, dont la tentative de hack de la banque centrale du Bangladesh a 1 milliard de $ , et dont certains outils de hack ont des similarités avec le vers wannacry).

Voici un rapport complet de kaspersky (société d'antivirus russe) sur leurs activités contre les banques a début avril 2017 (avant wannacry donc)

https://securelist.com/blog/sas/77908/lazarus-under-the-hood/

Ils ont été très actifs.

[zx]

c'est pas lui qui dit

Cyberattaque mondiale: Pyongyang dément

http://www.lefigaro.fr/flash-actu/2017/05/19/97001-20170519FILWWW00330-cyberattaque-mondiale-pyongyang-dement.php

[rogue0]

Citation

A ce sujet, si vous connaissez des personnes infectées, un chercheur français vient de publier un outil qui peut décrypter les données dans certains cas :  a savoir windows XP et pas de reboot

https://m.nextinpact.com/news/104328-wannakey-peut-retrouver-sur-windows-xp-cle-utilisee-par-wannacrypt.htm

L'outil de décryptage a été amélioré (toujours par les frenchies!).

Il peut maintenant "récupérer" des PC sous Win7 et Win Server 2003 (toujours s'il n'y a pas eu de reboot).

Pour les curieux, la clé de cryptage est effectivement effacée de la mémoire, mais l'outil fonctionne en cherchant les données intermédiaires pour construire la clé.

https://arstechnica.com/security/2017/05/more-people-infected-by-recent-wcry-worm-can-unlock-pcs-without-paying-ransom/

[rogue0]

Le 13/05/2017 à 12:51, rogue0 a dit :

https://arstechnica.com/security/2017/05/an-nsa-derived-ransomware-worm-is-shutting-down-computers-worldwide/

Le vers a le nom de code WannaCry, et exploite une faille Samba dévoilée le 14/04/2017 par les Shadow Brokers (un vendredi, pour avoir le maximum de dommage collatéral).

[...]

Seul coup de bol, un agent de Kaspersky a bloqué la réplication du vers (une adresse réseau était codée en dur dedans, comme serveur de contrôle du vers : il a bloqué ce domaine réseau, et a ainsi stoppé la propagation)

Correctif,

Pour Wannacry 1.0, c'est un jeune chercheur anglais en cybersecurité qui a trouvé le bouton "stop" (kill switch), par inadvertance.
Il a développé depuis une allergie aux tabloids anglais qui le traquent jusqu'à chez lui: (2 heures pour trouver sa photo, 3 jours pour trouver son adresse...)

Résumé par le journal Guardian:

https://www.theguardian.com/technology/2017/may/14/malware-tech-cyber-attack-surf-fan-loves-pizza-anonymous-hero-who-halted

Voilà son récit (technique):

https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

Pour Wannacry 2.0, c'est un chercheur français qui a le crédit d'avoir trouvé et activé le "bouton stop", ainsi qu'un outil de décryptage:

https://twitter.com/msuiche

 

Modifié le 21 mai 2017 par rogue0

[Marcus]

Le 21/05/2017 à 15:27, rogue0 a dit :

Correctif,

Pour Wannacry 1.0, c'est un jeune chercheur anglais en cybersecurité qui a trouvé le bouton "stop" (kill switch), par inadvertance.
Il a développé depuis une allergie aux tabloids anglais qui le traquent jusqu'à chez lui: (2 heures pour trouver sa photo, 3 jours pour trouver son adresse...

L'excellent idée du jeune chercheur anglais est bien expliquée ici

yhttp://www.commitstrip.com/fr/2017/05/17/wannacrypt-bad-code-doesnt-pay-much/

[rogue0]

Dernier vecteur d'attaque informatique : 

Les fichiers sous titres de vidéo (tipiak ou pas) délibérément modifiés pour exécuter des actions non désirées : 

http://www.01net.com/actualites/telechargement-illegal-gare-aux-fichiers-de-sous-titres-malveillants-1170376.html

[Marcus]

Deux articles sur des faiblesses sur des sécurités Informatiques biométriques.

Le premier article parle des empreintes digitales sur iPhone.
https://boingboing.net/2017/04/14/something-you-have-2.html
https://www.nytimes.com/2017/04/10/technology/fingerprint-security-smartphones-apple-google-samsung.html

Le scanner à empreinte est petit et ne prend qu’une partie de l’empreinte. Ce n’est pas comme un scanner policier. Les experts en sécurité ont fait une liste d’empreintes qui sont différentes pour le scanner.

Ils présentent les empreintes un par une jusqu'à ce que la sécurité du téléphone se bloque. Cela débloque le téléphone dans 65 % des cas.

Si l’utilisateur a donné plusieurs empreintes, la sécurité de son téléphone s’effondre. Il suffit qu’une de ses empreintes ressemble à une image de la liste pour débloquer le téléphone.

Le deuxième article parle du capteur d’iris du Samsung S8.
https://motherboard.vice.com/en_us/article/hackers-unlock-samsung-galaxy-s8-with-fake-iris

Les experts en sécurité du CCC (Chaos Computer Club) sont partis de photos d’une personne. Ils ont imprimé son iris et l’ont collé sur une lentille de contact. Les photos doivent être prises avec le bon réglage.

Le CCC s ‘était déjà fait remarquer en donnant l’empreinte digitale d’un ministre Allemand à partir d’une image parfaitement normale sur le site officiel du ministère en question. Ce n’est pas encore le cas avec les iris. Pout l’instant…

[rogue0]

Le 21/05/2017 à 15:06, rogue0 a dit :

L'outil de décryptage a été amélioré (toujours par les frenchies!).

Il peut maintenant "récupérer" des PC sous Win7 et Win Server 2003 (toujours s'il n'y a pas eu de reboot).

Pour les curieux, la clé de cryptage est effectivement effacée de la mémoire, mais l'outil fonctionne en cherchant les données intermédiaires pour construire la clé.

https://arstechnica.com/security/2017/05/more-people-infected-by-recent-wcry-worm-can-unlock-pcs-without-paying-ransom/

A propos de wannacry

Kaspersky a présenté une analyse détaillée de ce vers, avec ses très nombreuses erreurs de conception.

La bonne  nouvelle étant que dans de nombreux cas, le malware est tellement mal fichu que les fichiers sont récupérables :  par exemple, les fichiers en lecture seule (hors bureau et mes documents) sont simplement mis dans la corbeille, pas effacés.

Donc récupérables via les outils standards de récupération de fichier : 

https://m.nextinpact.com/news/104456-wannacrypt-nombreuses-erreurs-dans-code-ransomware.htm

[fraisedesbois]

Un peu de comm' de l'ANSSI: publication du rapport annuel 2016, téléchargeable en pdf.

http://www.ssi.gouv.fr/actualite/rapport-dactivite-2016-la-securite-condition-sine-qua-non-dune-transition-numerique-reussie/

[Marcus]

Le général Keith Alexander était le chef de la NSA entre 2005 et 2013.

Maintenant retraité, il fait des déclarations dans un salon militaire au Canada :

http://www.cbc.ca/news/politics/cyber-attacks-nsa-election-1.4141737

Pour lui, malgré les rumeurs sur les manipulations électorales  aux USA, il faut avoir confiance dans le vote électronique. La seule condition étant d’avoir des bons services de défense et d’attaques  informatiques.

Deux hypothèses sur cette déclaration :
 1 - Il veut que la NSA  puisse choisir facilement les présidents des autres pays
 2 - Il est un lobbyiste pour des entreprises de sécurités informatiques.

Les deux hypothèses sont parfaitement compatibles. Il peut vouloir à la fois que la NSA entre et que des entreprises de sécurités informatiques aient des jobs rentables pour lui.

Dilbert a fait ce dessin expliquant bien les problèmes du vote électronique :

Maintenant, vous savez comment et pourquoi Trump a été élu.

Modifié le 7 juin 2017 par Marcus

[rogue0]

Précision, il est ceo d'une société de cybersecurité

Son pantouflage a 1M $  par mois a laissé pantois pas mal de monde (en brevetant dans le privé des technologies/ techniques probablement pensées par la NSA)

https://www.google.fr/amp/foreignpolicy.com/2014/07/29/the-nsas-cyber-king-goes-corporate/amp/

Modifié le 7 juin 2017 par rogue0

[rogue0]

Il y a 1 heure, Marcus a dit :

Le général Keith Alexander était le chef de la NSA entre 2005 et 2013.

Maintenant retraité, il fait des déclarations dans un salon militaire au Canada :

http://www.cbc.ca/news/politics/cyber-attacks-nsa-election-1.4141737

Pour lui, malgré les rumeurs sur les manipulations électorales  aux USA, il faut avoir confiance dans le vote électronique. La seule condition étant d’avoir des bons services de défense et d’attaques  informatiques.

L'avis de schneier sur la question est simple.

Les machines a voter pourraient être  relativement bien durcies... Mais le vote par internet ne peut pas être sécurisé (a moins de renoncer au vote secret )

https://www.schneier.com/blog/archives/2017/05/securing_electi.html

 

[Marcus]

il y a 35 minutes, rogue0 a dit :

Précision, il est ceo d'une société de cybersecurité

Son pantouflage a 1M $  par mois a laissé pantois pas mal de monde (en brevetant dans le privé des technologies/ techniques probablement pensées par la NSA)

https://www.google.fr/amp/foreignpolicy.com/2014/07/29/the-nsas-cyber-king-goes-corporate/amp/

Bonne trouvaille. Je ne savais pas qu’il était CEO. C’est encore plus radical pour les $$$.

[Marcus]

https://www.theregister.co.uk/2017/06/06/contractor_leaked_russians_hacking_election_systems/

https://theintercept.com/2017/06/05/top-secret-nsa-report-details-russian-hacking-effort-days-before-2016-election/

The intercept  a publié  un rapport secret de la NSA donné par une source arrêtée : Reality Leigh Winner

D’après The intercept , la NSA pense que la  Russe aurait  envoyé des  macros –virus Word à des société de comptage de vote et à VR Systems

 VR Systems est un éditeur de logiciel de vote utilisé en Californie, Floride, Illinois, Indiana, New York, Caroline du Nord, Virginie, and Virginie occidentale.

La NSA ne sait pas le résultat de  l’attaque.

[rogue0]

Il y a 16 heures, Marcus a dit :

https://www.theregister.co.uk/2017/06/06/contractor_leaked_russians_hacking_election_systems/

https://theintercept.com/2017/06/05/top-secret-nsa-report-details-russian-hacking-effort-days-before-2016-election/

The intercept  a publié  un rapport secret de la NSA donné par une source arrêtée : Reality Leigh Winner

D’après The intercept , la NSA pense que la  Russe aurait  envoyé des  macros –virus Word à des société de comptage de vote et à VR Systems

 VR Systems est un éditeur de logiciel de vote utilisé en Californie, Floride, Illinois, Indiana, New York, Caroline du Nord, Virginie, and Virginie occidentale.

La NSA ne sait pas le résultat de  l’attaque.

Déjà posté sur le fil service secret

Récapitulatif complet par lawfare sur tous les aspects  :  du document fuité a l'arrestation de la source.

A priori, malgré les erreurs de theintercept sur la protection des sources, elle se serait fait arrêté rapidement de toute façon (document rarement accédé, connexion a theintercept depuis son poste de travail, etc) et tout ça pour un document de faible valeur.

https://www.lawfareblog.com/recent-nsa-leak-arrest-few-observations-and-lesson

[rogue0]

Test de la sécurité IT du club préféré de Trump.

Les résultats sont prévisibles :  mauvais  (wifi non sécurisés, imprimantes réseau ouvertes aux 4 vents... Avec la description des conséquences)

Edit  : On y parle aussi du budget sécurité IT de camp david (2M$)  et ils se sont quand même fait hacker en 2015.

https://www.propublica.org/article/any-half-decent-hacker-could-break-into-mar-a-lago

Modifié le 9 juin 2017 par rogue0

[rogue0]

Le 16/05/2017 à 12:41, zx a dit :

Cyberattaque WannaCry : un groupe de pirates liés à la Corée du Nord est suspecté

http://www.lefigaro.fr/secteur/high-tech/2017/05/16/32001-20170516ARTFIG00093-cyberattaque-wannacry-un-groupe-de-pirates-lies-a-la-coree-du-nord-est-suspecte.php

Analyse de thegrucq et symantec sur la genèse de wannacry : 

* Avec le recul, il y a de forts indices que c'est un malware en version Beta qui s'est échappé (par accident ? ) du groupe lazarus (lié aux nord coréens). On voit des versions précédentes depuis février, sans la faille EternalBlue.

*  ( plus fumeux  pour moi). Il spécule sur la comm' et l'attribution très rapide des shadow brokers (le lendemain)  :  auraient-ils été en contact avec les créateurs du virus ?

 Par exemple du help desk de malware? . Comme aider a implémenter l'exploitation de la faille de sécurité sans expliquer le frein a main ?

Séduisant mais spéculatif.

https://medium.com/@thegrugq/internet-of-wilderness-of-mirrors-9eaa24bd99d8

[zx]

En tout cas, ca balise dur dans les services bureautique des entreprises, ils serrent la vis au maximum, on n'arrive plus à installer un pauvre utilitaire qui vient d'un site parfaitement identifier, faut demander des autorisations spéciales en faisant un ticket à la bureautique. 

Modifié le 9 juin 2017 par zx

[rogue0]

 

Le 21/10/2016 à 22:36, rendbo a dit :

Je discutais il y a peu avec un ami qui travaille dans la cybersécurité. Il a cité un blog et un article avec lequel il était plus que d'accord... ne l'ayant pas vu passé ni ici ni dans les cybermenaces, je partage... 

http://korben.info/tv5-a-failli-etre-detruite-cyber-criminels.html

A propos du hack de TV5 monde il y a 2 ans :

Les agents de l’ANSSI ont présenté leur intervention, dans le détail, lors du symposium sur la sécurité des systèmes d’information (SSTIC), à Rennes, vendredi 9 juin.

C’est la première fois que l’ANSSI se prête en public à un tel exercice.

C'est un peu long, mais instructif pour ceux qui ont un minimum de bagage IT (l'architecture réseau est là, mais les détails sensibles sont floutés).

Ils parlent de tout:

• de leur intervention en urgence pour analyser la source de l'attaque
• rétablir le réseau et le service (service minimum en 24h, puis plus d'1 mois pour remonter un réseau sain)
• l'analyse et la chronologie de l'attaque (très destructrice : grillade de firmware, etc)
• comment travailler sous forte pression médiatique (obligé de murer un bureau, et de se planquer sous les tables si quelqu'un rentre)

Vidéo de la présentation (1h15, 770Mo!)

https://www.sstic.org/2017/presentation/2017_cloture/
https://static.sstic.org/videos2017/SSTIC_2017-06-09_P09.mp4

Résumé et article de vulgarisation ici:
http://www.lemonde.fr/pixels/article/2017/06/10/le-piratage-de-tv5-monde-vu-de-l-interieur_5142046_4408996.html

Ici, pas de polémique sur l'attribution des attaques.

TV5 monde a voulu que les détails de l'attaque soient publiés pour que ça serve de prise de conscience aux autres.
C'est facile de se moquer de leurs manquements à la sécurité ... mais qui peut se targuer d'être parfait en la matière? (surtout face à des attaquants experts en face).

Bilan de l'attaque : 20 millions d'EUR de dégâts (et réparation), et la TV a failli fermer boutique.
 

Modifié le 10 juin 2017 par rogue0

[rogue0]

Il y a 18 heures, rogue0 a dit :

A propos du hack de TV5 monde il y a 2 ans :

Les agents de l’ANSSI ont présenté leur intervention, dans le détail, lors du symposium sur la sécurité des systèmes d’information (SSTIC), à Rennes, vendredi 9 juin.

Y a peut être des forumeurs qui en étaient 

A noter que pour leur protection, tous les visages sont floutés, et il n'y a pas de nom sur les slides.

Bon, ils auraient pu altérer les voix aussi, les empreintes vocales progressant a grand pas.

[rogue0]

 

Le 07/01/2016 à 01:08, rogue0 a dit :

Des malware impliqués dans des pannes électriques en Ukraine.

L'explication en français, version "grand public"
http://www.nextinpact.com/news/97947-panne-electrique-en-ukraine-sur-piste-malware.htm#/

Et les rapports d'analyse par la société ESET (antivirus NOD32)
http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/

Et les rapports d'analyse par iSight / ArsTechnica
http://arstechnica.com/security/2016/01/first-known-hacker-caused-power-outage-signals-troubling-escalation/

Les affaires de hack de réseau électrique refont surface.

En préambule, y a t il des forumeurs qui s'y connaissent en systèmes de contrôle industriel style ICS/SCADA ?
Spécifiquement, les protocoles de contrôle de réseau électrique  IEC104 et IEC61850?
Parce qu'il me manque la connaissance métier pour vérifier le rapport qui suit.

 

2 sociétés de sécurité IT (ESET slovaque et Dragos américaine) ont annoncé la détection d'un nouveau malware appelé CrashOverride.
C'est un malware capable de destruction physique d'outils industriels (ici l'infrastructure électrique) : après Stuxnet, ce n'est que le second malware publiquement connu à faire ça. (sur 4 incidents de malware visant les infrastructures industrielles).

Ce malware est la suite logique des cyber attaques contre l'Ukraine:

• Le 23 décembre 2015, des hackers piratent une compagnie d'électricité ukrainienne, puis avec des actions manuelles, provoquent des coupures de courant jusqu'à 6 heures pour + de 225 000 clients (au coeur de l'hiver ...). Les malware ont servi de porte d'entrée, et à saboter les efforts de récupération (formatage/flashage sauvage des machines).
   
• Le 17 décembre 2016, le nouveau malware a frappé une sous-station électrique en Ukraine (test grandeur nature?).
  Il est capable d'automatiser les attaques antérieures (phase de reconnaissance du réseau, stratégie d'attaque du réseau électrique et destruction des serveurs de commande), et il est modulaire pour s'adapter facilement à n'importe quelle cible dans le monde.
  
  L'aspect qui m'inquiète, c'est qu'il n'a pas besoin de faille 0-day pour causer les dégâts.
  Il exploite directement les protocoles de communication électrique (standards) pour donner des ordres qui destabilisent le réseau (qu'aucun opérateur humain ne donnerait).
   

Qui est derrière tout ça ?
Dragos ne fait pas d'attribution.

Néanmoins, CrashOverride a de fortes ressemblances aux malwares développés par le groupe Sandworm (BlackEnergy 1 -2 -3).
Et Sandworm est soupçonné par les spécialistes de servir les intérêts russes (Pour une fois, Kaspersky, société de sécu russe est d'accord avec FireEye et SANS).
Rajouter la liste des cibles (Ukraine et OTAN) ne fait que renforcer l'impression.

 

Révélation

https://www.scmagazine.com/experts-share-new-insight-on-sandworm-apt-exploits-blackenergy-malware/article/539096/

https://ics.sans.org/blog/2016/01/09/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid?utm_source=hs_email&utm_medium=email&utm_content=25135530&_hsenc=p2ANqtz-87XLhYBXFcESdxOIJIB8DSoYBZ5sPrfHQv9xNUp11BwFsfcUBouRDj-R7y6YcJY2BsrUeKvRVbwO4lPcVAPgHLmDrj7w&_hsmi=25135530

Sources:
Rapport détaillé (35 pages), mais compréhensible
https://dragos.com/blog/crashoverride/CrashOverride-01.pdf

Résumé par les auteurs:
https://dragos.com/blog/crashoverride/
https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/

Vulgarisation par Wired

https://www.wired.com/story/crash-override-malware/amp

Vulgarisation (sans garantie) par le Washington Post

https://www.washingtonpost.com/world/national-security/russia-has-developed-a-cyber-weapon-that-can-disrupt-power-grids-according-to-new-research/2017/06/11/b91b773e-4eed-11e7-91eb-9611861a988f_story.html

Modifié le 13 juin 2017 par rogue0