Magic Lantern
Transcription
Magic Lantern
Magic Lantern Magic Lantern ou comment un cheval de Troie sert les besoins d'une nation. Conséquences pour la sécurité nationale, industrielle et individuelle Intervention à l'Institut E.S.A.S. Le 21 mars 2002 www.esas-institute.com Par Laurent Deséchalliers www.desechalliers.com Définition d'un troyen 2. Démonstration de troyens 3. Sources de propagation et de pillage 4. Les parades 5. Le cas Magic Lantern 6.Problèmes des stratégies propriétaires : les Backdoors, problèmes de souveraineté nationale et politique 1. 1.1 Fonctionnement du Troyen 1.2 Caractéristiques d'un troyen • Petit • Léger • Discret • Puissant 1.3 Quelques exemples de troyens • SubSeven • BackOrifice • NetBuss • MagicLantern 2. Démonstration de Troyens 2.1. KeyLoger 2.2. Vol de fichiers 2.3. Autres fonctionnalités de NetBuss 2.4. ''Ecoute d'écran'' (V.N.C.) (NetBuss) (NetBuss) 2.1 KeyLoger Espion Espionné 2.1 KeyLoger 2.1 KeyLoger Mot de passe volé ! 2.2 Vol de fichiers 2.4 ''Ecoute d'écran'' • Logiciel libre • Multi protocole • Multi OS • Léger Attention VNC n'est pas un logiciel d'espionnage. Je l'ai utilisé à titre d'exemple de potentialité technique 3.1 Le E-mailling Message Labs estime qu'aux Etats-Unis la proportion de messages contenant un virus est passée de 1 sur 1400 à 1 sur 150 aujourd'hui. Source LEXSI 3.1 Le E-mailling • Sociétés marketing peuvent (par des mouchards) savoir si vous avez ouvert un mail. • Ouverture automatique de Javascript • Ouverture automatique de VB Script • Les maillers soufrent des mêmes maux que les navigateurs web 3.1 Le E-mailling • Le logiciel de mail • Execution par défaut des scripts VB • Patchs correctifs en cascade 3.2.1. Crackage de mots de passe Mots de passe ''simplistes'' caractères a-z/A-Z 5 caractères : 8 secondes 11 millions password testés 6 caractères : 4 min 8 sec 308 millions password testés 7 caractères : 2h30 8 milliards password testés Test : un simple ordinateur portable 3.2.1. Crackage de mots de passe Mots de passe ''complexes'' caractères a-z/A-Z/0-9/@#_° 5 caractères : 18 min 1,45 milliards password testés 6 caractères : 22 heures 98 milliards password testés 7 caractères : 62 jours (estimés) 6,7E12 password testés Test : un simple ordinateur portable 3.2.1. Crackage de mots de passe Les attaques par dictionnaire Ces temps peuvent êtres diminués de manière exponentielle par une attaque par dictionnaire. Temps de test pour 250000 mots courants : 1 seconde sur un simple ordinateur portable 3.2.2 Gestion avancée des mots de passe • La taille minimum • Le vieillissement • La gestion d'historique • La gestion de dictionnaires de mots de passe triviaux 3.3 Virus et faiblesse des OS • Nouvelles sources de virus provenant de formats considérés comme sûrs. • Format PDF : Un virus avertissement • Format Flash : Virus SWF/LFM-926 pour Win 2000/XP 3.5 Microsoft et sa nouvelle politique sécuritaire Bill Gates vient d'écire à 50000 des ses employés pour leur signifier que la nouvelle priorité de Microsoft était la sécurité. 7000 de ses développeurs sont envoyés en formation sécurité. Microsoft arrêtera l'ensemble des ses développements au niveau mondial pendant un mois afin de renforcer la sécurité de ses produits. 3.5 Microsoft et sa nouvelle politique sécuritaire Qu'en est-il de Windows NT équipant des millions de serveurs dans le monde, Microsoft ayant, il y a quelques mois, décidé de ne plus fournir de patch correctif pour ce produit. La licence Microsoft interdit de modifier Windows NT (reverse ingeniering). Vous devrez donc subir les failles de sécurité de Win NT (ou migrer vers Win 2000). 4.1 Les antivirus • NetBuss détectable par antivirus (Norton et Panda par exemple) idem pour BackOrifice • NetBuss est visible • Processus • Charge réseau pour certaines taches 4.3 Cas d'étude d'un Ministère Français Un grand ministère français à dédoublé son réseau. Chaque administratif ayant un accès à l'internet possède 2 machines branchées à 2 réseaux physiques distincts. ● 1 réseau interne pour la messagerie interne, la bureautique et les progiciels ● 1 réseau pour la messagerie et l'accès internet. 4.4 Cas du gouvernement chinois • Le gouvernement chinois interdit pour ses administrations l'utilisation de logiciels non validés • L'ensemble des ses logiciels sont basés sur le noyau Linux • Le gouvernement possède son Linux ''maison'' • Les états émergeants (au niveau informatique) possèdent l'avantage de ne pas souffrir d'un existant 5. Le cas MagicLantern Comment ML a été porté à la connaissance du grand public ? 5.1. 5.2. Hypothèses sur le fonctionnement de ML Carnivore, Cyber Knith : stratégie d'écoute américaine 5.3. 5.4. La boite de Pandore 5.2 Comment ML a été porté à la connaissance du grand public ? • Révélé par la chaîne de TV MSNBC • Lors d'un procès, le mafieu Nicodemo Scarfo avait demandé comment le F.B.I. avait eu accès à ses courriers électroniques alors qu'il utilisait PGP • Le F.B.I., afin de valider sa preuve, a du admettre l'existence de MagicLantern. • MagicLantern est un KeyLogger 5.3 Hypothèses sur le fonctionnement de ML • Processus léger agissant à bas niveau • Processus discret • Processus asynchrone • Processus intelligent (au niveau applicatif) ? • Programme-autoreproductible (sur mesure) ? • Programme mono-os (profite-t-il de l'hégémonie Windows ?) 5.4 Carnivore, Cyber Knith : stratégie d'écoute américaine • Carnivore : écoute du e-mail • Cyber Knith : pour une stratégie globale d'écoute • Réseau de communication • Infrastructures sensibles du pays • • • • Contrôle aérien Réseaux électriques Téléphonie Eau 5.5 La boite de Pandore • • Possibilité d'écoutes pirates • Désassemblage des paquets réseau • Analyse • Développement d'un client alternatif Vols du clients/serveurs et utilisations par des tiers • Très facile à voler • Comment sont gérées les sorties de ML 6.2. Logiciels propriétaires : une ambassade en Russie... 6.2.1. Contraintes des logiciels propriétaires 6.2.2. Intelligence : un exemple israélien 6.2.3. Les antivirus : le cas américain 6.2.1 Contraintes des logiciels propriétaires • Interdiction du reverse engeneering • Difficulté du reverse engeneering • Temps de correction des correctifs et dissimulations des failles de sécurité • Impossibilité de test sécuritaire et divulgation des failles de sécurité : opposition hypocrite au ''monde réel'' 6.2.1 Contraintes des logiciels propriétaires • • La validation en aveugle • Impossible de tester un logiciel sans l'acheter (problème pour progiciels coûteux) • Impossible de ''désosser'' un logiciel pour le valider • Validation en aveugle Refus des éditeurs de s'engager sur une quelconque validité de leur soft 6.2.2 Intelligence : un exemple israélien Le second volet de l'enquête (effectuée par la chaine FOX) touche à des sociétés israéliennes prestataires d'administrations ou de sociétés américaines, qui déroberaient des informations. 6.2.2 Intelligence : un exemple israélien Sont visés le fabricant de logiciels Amdocs... qui liste, pour les 25 premières sociétés de téléphone aux Etats-Unis, tous les appels passés sur, vers et à partir du territoire américain, ainsi que les sociétés Nice et Comverse Infosys, cette dernière fournissant des programmes informatiques aux administrations américaines autorisées à procéder à des écoutes. 6.2.2 Intelligence : un exemple israélien Comverse est soupçonnée d'avoir introduit dans ses systèmes des "portes dérobées" afin d'"intercepter, enregistrer et emmagasiner" ces écoutes. Ce matériel rendrait l'"écouteur" luimême "écouté". Source : Un réseau d'espionnage israélien a été démantelé aux Etats-Unis. Le Monde du 6/3/2002 6.2.3 Les antivirus : le cas Américain • D'après le Washington Post, McAfee aurait contacté le F.B.I. pour lui assurer que ses produits ne détecterons pas le KeyLogger • « McAfee n'a pas contacté le F.B.I. et le F.B.I. n'a pas contacté McAfee. Nous continuerons à nous conformer aux lois et législations des Etats-Unis ». Qu'en est-il de cette soumission aux lois US pour les versions vendues hors U.S.A ???? Source : pirate magazine, n°10/Février 2002 6.2.3 Les antivirus : le cas américain • Sophos Antivirus (société anglaise) s'engage à détecter Magic Lantern Cet exemple est une preuve de ''l'asservissement des sociétés U.S. à leur gouvernement'' dans le domaine des antivirus mais aussi pour tous les autres domaines informatiques : sécurité informatique, finance, gestion R.H. ... 6.3 Des « pseudo Backdoors » made in Microsoft Le journal allemand Der Spiegel dans un article du 17 mars affirmait que les services de sécurité de la RFA était convaincu que la NSA "dispose de tous les codes des produits de Microsoft" et peut ainsi lire les données cryptées transitant via les produits Microsoft Source ZDNET du 21 mars 2001 6.3 Des « pseudo Backdoors » made in Microsoft Internet Explorer 5.x et 6, Windows XP et Office XP intègrent un outil nommé Error Reporting Tool. Lors d'un plantage d'un des applicatif, ce dernier ferme l'application et transmet à Microsoft, par internet, le bloc mémoire buggé. Cette zone mémoire peut contenir des données confidentielles. Source : Pirate Magazine, n°10/février 2002 6.5 Cas d'étude des projets « Bug de l'an 2000 » Stephen Northcutt Judy Novak Donald McLachlan Détection des intrusions réseaux CampusPress page 6 6.5 Cas d'étude des projets « Bug de l'an 2000 » Pour changer l'affichage des dates à deux chiffres en un nombre à quatre chiffres, de nombreuses entreprises ont fait appel à des spécialistes, lesquels ont sous-traité le travail, souvent à des pays étrangers. En octobre 1999, Terril Maynard, le chef de la cellule d'analyse NIPC du FBI publiait un document qui décrivait les pays actifs pour la protection des informations et pour le règlement du problème de l'an 2000 Stephen Northcutt – Judy Novak - Donald McLachlan. Détection des intrusions réseaux. CampusPress. p6 6.5 Cas d'étude des projets « Bug de l'an 2000 » Le souci du jour était que les chevaux de Troie ou d'autres types de code malveillants étaient susceptibles d'avoir été insérés dans les logiciels de certaines organisations à l'occasion des réparations imposées par la compatibilité an 2000. Le rapport alla jusqu'à mentionner des noms de pays tels qu'Israël et l'Inde (tous deux alliés des Etats-Unis). Stephen Northcutt - Judy Novak - Donald McLachlan. Détection des intrusions réseaux. CampusPress. p6 6.5 Cas d'étude des projets « Bug de l'an 2000 » Michel Vatis fut amené à discuter de cette question devant le Congrès en octobre 1999 et déclara : ''La menace provient d'états-nations étrangers, d'acteurs étrangers et également d'acteurs domestiques qui s'introduisent dans les réseaux informatiques qui contrôlent les infrastructures vitales de notre pays, c'est-à-dire les services essentiels au fonctionnement de notre économie et de notre sécurité nationale''. Stephen Northcutt - Judy Novak - Donald McLachlan. Détection des intrusions réseaux. CampusPress. p6 6.5 Cas d'étude des projets « Bug de l'an 2000 » • Exemple du problème classique de délégation et suivi de projet • Problème lié à la communication avec la hiérarchie ''non technique'' • Conséquences