Magic Lantern

Magic Lantern
Magic Lantern
ou comment un cheval de Troie sert
les besoins d'une nation.
Conséquences pour la sécurité nationale,
industrielle et individuelle
Intervention à l'Institut E.S.A.S. Le 21 mars 2002
www.esas-institute.com
Par
Laurent Deséchalliers
www.desechalliers.com
Définition d'un troyen
2. Démonstration de troyens
3. Sources de propagation et de pillage
4. Les parades
5. Le cas Magic Lantern
6.Problèmes des stratégies propriétaires :
les Backdoors, problèmes de
souveraineté nationale et politique
1.
1.1 Fonctionnement du Troyen
1.2 Caractéristiques d'un troyen
•
Petit
•
Léger
•
Discret
•
Puissant
1.3 Quelques exemples de troyens
•
SubSeven
•
BackOrifice
•
NetBuss
•
MagicLantern
2. Démonstration de Troyens
2.1.
KeyLoger
2.2.
Vol de fichiers
2.3.
Autres fonctionnalités de NetBuss
2.4.
''Ecoute d'écran'' (V.N.C.)
(NetBuss)
(NetBuss)
2.1 KeyLoger
Espion
Espionné
2.1 KeyLoger
2.1 KeyLoger
Mot de passe volé !
2.2 Vol de fichiers
2.4 ''Ecoute d'écran''
•
Logiciel libre
•
Multi protocole
•
Multi OS
•
Léger
Attention VNC n'est pas un logiciel d'espionnage. Je l'ai utilisé à
titre d'exemple de potentialité technique
3.1 Le E-mailling
Message Labs estime qu'aux
Etats-Unis la proportion de messages
contenant un virus est passée de
1 sur 1400 à 1 sur 150 aujourd'hui.
Source LEXSI
3.1 Le E-mailling
•
Sociétés marketing peuvent (par des mouchards)
savoir si vous avez ouvert un mail.
•
Ouverture automatique de Javascript
•
Ouverture automatique de VB Script
•
Les maillers soufrent des mêmes maux que les
navigateurs web
3.1 Le E-mailling
•
Le logiciel de mail
•
Execution par défaut
des scripts VB
•
Patchs correctifs en
cascade
3.2.1. Crackage de mots de passe
Mots de passe ''simplistes'' caractères a-z/A-Z
5 caractères : 8 secondes
11 millions password testés
6 caractères : 4 min 8 sec
308 millions password testés
7 caractères : 2h30
8 milliards password testés
Test : un simple ordinateur portable
3.2.1. Crackage de mots de passe
Mots de passe ''complexes''
caractères a-z/A-Z/0-9/@#_°
5 caractères : 18 min
1,45 milliards password testés
6 caractères : 22 heures
98 milliards password testés
7 caractères : 62 jours (estimés)
6,7E12 password testés
Test : un simple ordinateur portable
3.2.1. Crackage de mots de passe
Les attaques par dictionnaire
Ces temps peuvent êtres diminués de manière
exponentielle par une attaque par dictionnaire.
Temps de test pour 250000 mots courants :
1 seconde sur un simple ordinateur portable
3.2.2 Gestion avancée des mots de
passe
•
La taille minimum
•
Le vieillissement
•
La gestion d'historique
•
La gestion de dictionnaires de mots de passe
triviaux
3.3 Virus et faiblesse des OS
•
Nouvelles sources de virus provenant de formats
considérés comme sûrs.
•
Format PDF : Un virus avertissement
•
Format Flash : Virus SWF/LFM-926 pour Win
2000/XP
3.5 Microsoft et sa nouvelle politique
sécuritaire
Bill Gates vient d'écire à 50000 des ses employés
pour leur signifier que la nouvelle priorité de
Microsoft était la sécurité.
7000 de ses développeurs sont envoyés en
formation sécurité.
Microsoft arrêtera l'ensemble des ses
développements au niveau mondial pendant un
mois afin de renforcer la sécurité de ses produits.
3.5 Microsoft et sa nouvelle politique
sécuritaire
Qu'en est-il de Windows NT équipant des millions
de serveurs dans le monde, Microsoft ayant, il y a
quelques mois, décidé de ne plus fournir de patch
correctif pour ce produit.
La licence Microsoft interdit de modifier
Windows NT (reverse ingeniering).
Vous devrez donc subir les failles de sécurité de
Win NT (ou migrer vers Win 2000).
4.1 Les antivirus
•
NetBuss détectable par antivirus (Norton et Panda
par exemple) idem pour BackOrifice
•
NetBuss est visible
•
Processus
•
Charge réseau pour certaines taches
4.3 Cas d'étude d'un Ministère
Français
Un grand ministère français à dédoublé son
réseau.
Chaque administratif ayant un accès à
l'internet possède 2 machines branchées à 2
réseaux physiques distincts.
● 1 réseau interne pour la messagerie interne,
la bureautique et les progiciels
● 1 réseau pour la messagerie et l'accès internet.
4.4 Cas du gouvernement chinois
•
Le gouvernement chinois interdit pour ses
administrations l'utilisation de logiciels non
validés
•
L'ensemble des ses logiciels sont basés sur le
noyau Linux
•
Le gouvernement possède son Linux ''maison''
•
Les états émergeants (au niveau informatique)
possèdent l'avantage de ne pas souffrir d'un
existant
5. Le cas MagicLantern
Comment ML a été porté à la connaissance du
grand public ?
5.1.
5.2.
Hypothèses sur le fonctionnement de ML
Carnivore, Cyber Knith : stratégie d'écoute
américaine
5.3.
5.4.
La boite de Pandore
5.2 Comment ML a été porté à la
connaissance du grand public ?
•
Révélé par la chaîne de TV MSNBC
•
Lors d'un procès, le mafieu Nicodemo Scarfo
avait demandé comment le F.B.I. avait eu accès à
ses courriers électroniques alors qu'il utilisait PGP
•
Le F.B.I., afin de valider sa preuve, a du admettre
l'existence de MagicLantern.
•
MagicLantern est un KeyLogger
5.3 Hypothèses sur le fonctionnement
de ML
•
Processus léger agissant à bas niveau
•
Processus discret
•
Processus asynchrone
•
Processus intelligent (au niveau applicatif) ?
•
Programme-autoreproductible (sur mesure) ?
•
Programme mono-os (profite-t-il de l'hégémonie
Windows ?)
5.4 Carnivore, Cyber Knith : stratégie
d'écoute américaine
•
Carnivore : écoute du e-mail
•
Cyber Knith : pour une stratégie globale d'écoute
•
Réseau de communication
•
Infrastructures sensibles du pays
•
•
•
•
Contrôle aérien
Réseaux électriques
Téléphonie
Eau
5.5 La boite de Pandore
•
•
Possibilité d'écoutes pirates
•
Désassemblage des paquets réseau
•
Analyse
•
Développement d'un client alternatif
Vols du clients/serveurs et utilisations par des
tiers
•
Très facile à voler
•
Comment sont gérées les sorties de ML
6.2. Logiciels propriétaires : une
ambassade en Russie...
6.2.1.
Contraintes des logiciels propriétaires
6.2.2.
Intelligence : un exemple israélien
6.2.3.
Les antivirus : le cas américain
6.2.1 Contraintes des logiciels
propriétaires
•
Interdiction du reverse engeneering
•
Difficulté du reverse engeneering
•
Temps de correction des correctifs et
dissimulations des failles de sécurité
•
Impossibilité de test sécuritaire et divulgation des
failles de sécurité : opposition hypocrite au
''monde réel''
6.2.1 Contraintes des logiciels
propriétaires
•
•
La validation en aveugle
•
Impossible de tester un logiciel sans l'acheter (problème
pour progiciels coûteux)
•
Impossible de ''désosser'' un logiciel pour le valider
•
Validation en aveugle
Refus des éditeurs de s'engager sur une
quelconque validité de leur soft
6.2.2 Intelligence : un exemple
israélien
Le second volet de l'enquête (effectuée par la
chaine FOX) touche à des sociétés israéliennes
prestataires d'administrations ou de sociétés
américaines, qui déroberaient des informations.
6.2.2 Intelligence : un exemple
israélien
Sont visés le fabricant de logiciels Amdocs... qui
liste, pour les 25 premières sociétés de téléphone
aux Etats-Unis, tous les appels passés sur, vers
et à partir du territoire américain, ainsi que les
sociétés Nice et Comverse Infosys, cette dernière
fournissant des programmes informatiques aux
administrations américaines autorisées à
procéder à des écoutes.
6.2.2 Intelligence : un exemple
israélien
Comverse est soupçonnée d'avoir introduit dans
ses systèmes des "portes dérobées" afin
d'"intercepter, enregistrer et emmagasiner" ces
écoutes. Ce matériel rendrait l'"écouteur" luimême "écouté".
Source : Un réseau d'espionnage israélien a été démantelé aux Etats-Unis.
Le Monde du 6/3/2002
6.2.3 Les antivirus : le cas Américain
•
D'après le Washington Post, McAfee aurait
contacté le F.B.I. pour lui assurer que ses produits
ne détecterons pas le KeyLogger
•
« McAfee n'a pas contacté le F.B.I. et le F.B.I.
n'a pas contacté McAfee. Nous continuerons à
nous conformer aux lois et législations des
Etats-Unis ». Qu'en est-il de cette soumission aux
lois US pour les versions vendues hors
U.S.A ????
Source : pirate magazine, n°10/Février 2002
6.2.3 Les antivirus : le cas américain
•
Sophos Antivirus (société anglaise) s'engage à
détecter Magic Lantern
Cet exemple est une preuve de ''l'asservissement
des sociétés U.S. à leur gouvernement''
dans le domaine des antivirus mais aussi pour tous les autres domaines
informatiques : sécurité informatique, finance, gestion R.H. ...
6.3 Des « pseudo Backdoors » made
in Microsoft
Le journal allemand Der Spiegel dans un
article du 17 mars affirmait que les services
de sécurité de la RFA était convaincu que la
NSA "dispose de tous les codes des produits
de Microsoft" et peut ainsi lire les données
cryptées transitant via les produits Microsoft
Source ZDNET du 21 mars 2001
6.3 Des « pseudo Backdoors » made
in Microsoft
Internet Explorer 5.x et 6, Windows XP et Office
XP intègrent un outil nommé
Error Reporting Tool.
Lors d'un plantage d'un des applicatif, ce dernier
ferme l'application et transmet à Microsoft, par
internet, le bloc mémoire buggé.
Cette zone mémoire peut contenir des données
confidentielles.
Source : Pirate Magazine, n°10/février 2002
6.5 Cas d'étude des projets « Bug de
l'an 2000 »
Stephen Northcutt
Judy Novak
Donald McLachlan
Détection des
intrusions réseaux
CampusPress
page 6
6.5 Cas d'étude des projets « Bug de
l'an 2000 »
Pour changer l'affichage des dates à deux chiffres
en un nombre à quatre chiffres, de nombreuses
entreprises ont fait appel à des spécialistes,
lesquels ont sous-traité le travail, souvent à
des pays étrangers. En octobre 1999, Terril
Maynard, le chef de la cellule d'analyse NIPC du
FBI publiait un document qui décrivait les pays
actifs pour la protection des informations et pour
le règlement du problème de l'an 2000
Stephen Northcutt – Judy Novak - Donald McLachlan. Détection des
intrusions réseaux. CampusPress. p6
6.5 Cas d'étude des projets « Bug de
l'an 2000 »
Le souci du jour était que les chevaux de Troie ou
d'autres types de code malveillants étaient
susceptibles d'avoir été insérés dans les logiciels
de certaines organisations à l'occasion des
réparations imposées par la compatibilité an
2000. Le rapport alla jusqu'à mentionner des
noms de pays tels qu'Israël et l'Inde (tous deux
alliés des Etats-Unis).
Stephen Northcutt - Judy Novak - Donald McLachlan. Détection des
intrusions réseaux. CampusPress. p6
6.5 Cas d'étude des projets « Bug de
l'an 2000 »
Michel Vatis fut amené à discuter de cette question
devant le Congrès en octobre 1999 et déclara :
''La menace provient d'états-nations étrangers,
d'acteurs étrangers et également d'acteurs
domestiques qui s'introduisent dans les réseaux
informatiques qui contrôlent les infrastructures
vitales de notre pays, c'est-à-dire les services
essentiels au fonctionnement de notre économie
et de notre sécurité nationale''.
Stephen Northcutt - Judy Novak - Donald McLachlan. Détection des
intrusions réseaux. CampusPress. p6
6.5 Cas d'étude des projets « Bug de
l'an 2000 »
•
Exemple du problème classique de délégation et
suivi de projet
•
Problème lié à la communication avec la
hiérarchie ''non technique''
•
Conséquences