articles
réactions
Jeff - 13.02.2008 | 0 réactions | #link | rss
On avait cru la mode terminée. Après le Month of Browser fun, le Month of Kernel Fun, le Month of PHP Bugs, le Month of Apple Bugs, le Month of ActiveX Bugs, voici peut-être le Month of home router bugs...

Les home routers, ce sont toutes les "boxes" ADSL fournies par les FAI pour permettre aux gens de se connecter: Freebox, Neufbox, Livebox, etc. Elles proposent habituellement quelques services de base, et surtout sont peu sécurisées pour permettre à chacun de les utiliser facilement (déballage-branchement-click&go).

A l'origine de l'initiative, on retrouve Gnucitizen. Ils avaient déjà publié des articles concernant les routeurs fournis par BT, très répandus au Royaume Uni. Ils y exposaient le manque de contrôle d'accès flagrant qui permettait de contourner l'utilisation du mot de passe admin pour effectuer des opérations sur le routeur. Au vu du manque de réaction, ils ont continué leurs expériences avec l'émission d'appels VoIP inattendus. Et vu le succès de ce genre d'études, ils ont donc démarré le router hacking challenge.

Notons que l'initiative n'est pas isolée, puisque la Neufbox a déjà été abordée sur le blog de devloop.

Personnellement, je continue à alimenter mes stats sur les mots de passe de ces routeurs domestiques ;)
Jeff - 06.02.2007 | 0 réactions | #link | rss
Les failles dites "client-side" concernent plus particulièrement les utilisateurs et leur poste de travail. En effet, ces failles s'appliquent aux logiciels de bureautique courants et non aux systèmes serveurs et autres mainframes.

Par définition, la principale victime est donc l'utilisateur du poste; par rebond, tout son voisinage réseau peut également être infecté (ce qui présente un intérêt dans le cas d'un employé travaillant sur le réseau de son entreprise, moins dans le cas du consommateur de base). Ainsi, il n'est pas rare de voir les plus grands acteurs (sic) du domaine de la sécurité se heurter à des infrastructures bien protégées puis viser les employés pour ensuite réussir à remonter vers les serveurs. Je ne leur jette pas la pierre, quand il n'y a pas le choix il faut bien s'en contenter...

Pour les internautes privés, les enjeux sont tout autres cependant. D'une part, les risques pris par un pirate sont très faibles, d'autre part les bénéfices sont multiples: une fois le poste de l'internaute contrôlé, il est virtuellement possible d'en faire ce que l'on veut. Envoyer ou relayer du mail et du spam, créer des réseaux de machines pour spammer massivement, héberger de faux sites webs, voler ou espionner des informations privées telles que numéros de cartes bancaires, identités, forcer l'achat de logiciels, etc...

Pour les anglophones, allez vous faire peur avec cette petite vidéo: quand un vers intègre une faille client-side (VML, dans IE). En gros, en prenant l'exemple de MySpace (voir mon post précédent), l'attaquant compromet un utilisateur, lui injecte son code, qui lui-même se répand par email entre les utilisateurs de Myspace, qui à leur tour sont infectés en ouvrant ce mail, etc, etc...
L'histoire originale du vers est disponible ici. Il n'utilisait pas de faille client-side, mais a réussi à compromettre plus d'1 million de comptes en 20h.


L'utilisation de failles client-side permettrait d'attaquer directement les postes des utilisateurs et non leurs comptes web. Les conséquences seraient catastrophiques.

Pour enfoncer un peu le clou, ces failles existent pour une multitude (la totalité?) d'applications courantes:

  • Microsoft Office (Word, Excel, Access, etc.): les fichiers peuvent contenir macros, virus, buffer overflows...

  • Acrobat Reader (fichiers PDF): multiples failles dans les plugins de navigateur, heap overflow dans le reader (critique).

  • Emails: attaques de phishing, XSS et autres manipulations des URLs.

  • VCard: buffer overflows divers et variés.

  • Pages web: tout contenu actif peut intégrer des virus ou autres (ActiveX, etc.)

  • Java: buffer overflow dans la JVM (critique)

  • Winzip: buffer overflows dans l'application (ici).

  • Images (JPG, WMF, VML, GIF, etc) : multiples vulnérabilités critiques.

FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch