Du lard, du cochon ou juste du flan ?

Par Sid, samedi 26 août 2006 à 09:50 :: Wi-Fi :: lu 9483 fois :: #113 :: rss :: atom
Read it in english with Google

Flan

écidemment, la vidéo de David Maynor et Johnny Cache ne semble pas avoir fini de faire circuler les octets sur le réseau mondial. Après la mini-polémique stérile quant à l'exploitation ou non du driver de la carte WiFi embarquée, ceux qui remettent tout simplement en question la véracité des faits exposés se font de plus en plus nombreux, bruyants et surtout aggressifs, comme en témoigne, entre autres, ce billet de James W. Thompson.

Pour le dire plus simplement, la thèse de la démo complètement bidon est en train de faire son chemin, largement entretenue par l'absence totale d'éléments techniques corroborant les dires des deux chercheurs. Mais plus loin que toutes ces discussion, ne serait-ce pas plutôt sur la démarche qu'il faudrait s'attarder ?

D'abord, il y avait eu la question de savoir si le driver exploité était celui de la carte embarquée. Dans la mesure où les auteurs se sont montrés très clairs sur ce point en précisant qu'ils allaient attaquer un périphérique tierce-partie, ça ressemblait plus à une campagne de communication pour noyer le poisson qu'autre chose. Ceci étant, les critiques étaient de bonne guerre, dans la mesure où l'attaque d'une plate-forme d'Apple avait largement été mise en avant comme publicité :

"We're not picking specifically on Macs here, but if you watch those 'Get a Mac' commercials enough, it eventually makes you want to stab one of those users in the eye with a lit cigarette or something."

Forcément, quand on y va de la sorte, il ne faut pas s'attendre à se faire caresser dans le sens du poil par le camp d'en face, en particulier quand on laisse sous-entendre que le driver de la carte Atheros embarquée serait lui-même vulnérable :

"The exploit shown in the video was targeting a specific third party driver and that same vulnerability does not affect the built in card. We are, however, doing ongoing research on the built-in card as well and have shared our findings with Apple."

Pour couronner le tout, Brian Krebs du Washington Post nous apprend qu'Apple dément fermement qu'on lui ait montré quelque exploitation que ce soit, tandis qu'Atheros affirme n'avoir été contacté d'aucune manière.

Finalement, c'est bien le manque d'informations techniques concrêtes qui donne prise à la rumeur, un peu comme à Cansecwest/core05, puis à ToorCon, où David Maynor avait fait une présentation sur l'attaque via des périphériques malicieux, USB et PCMCIA principalement. Malheureusement, personne ne semble avoir vu la moindre démonstration, ligne de code ou explication un peu détaillée permettant d'appuyer ses dires. Et ça me hérisse particulièrement le poil dans la mesure où j'avais abandonné les quelques démos de ma présentation parce qu'il était censé en faire des similaires...

Et puis vient la thèse du fake, qu'on retrouve argumentée par Jim Thompson dans ce long billet qui décortique la vidéo façon Fox Mulder en forme, son attention exacerbée ne passant à côté d'aucun détail. Je passerai sur les trucs blancs qui ressemblent à d'autres trucs blancs, mais pas tout à fait, qui disparaissent ou apparaissent bizarrement, et autres choses un peu capillotractées qui se trouvent largement décrite dans le billet. Par contre, il y a deux points qui m'ont fait plus particulièrement réagir : la connexion au réseau 192.168.1.0/24 et l'adresse MAC cible de l'attaque.

La connexion réseau semble revêtir une grande importance dans cette affaire parce qu'elle soit manifestement réalisée à l'aide de l'Airport sur MacBookPro, alors qu'elle n'est pas censée être impliquée. Mais mettons trente secondes à la place de Maynor. Il veut une démonstration. L'idée qu'il veut mettre en pratique consiste à r00ter sa petite victime via un dongle WiFi USB non associé et de récupérer un shell en connect back. Le problème, c'est que sans association, pas de connexion ! À partir de là, soit il monte tout un système de communication au dessus de trames de signalisations, genre IP over Probes, soit il se débrouille pour récupérer un lien réseau ailleurs. C'est évidemment cette dernière solution qu'il va choisir, comme n'importe qui d'autre l'aurait fait. Il a alors deux solutions : la carte ethernet ou l'Airport. Comme sa démo porte sur du WiFi et qu'il veut bien montrer à tout le monde qu'il n'y a pas de câble qui traîne, il va opter pour la seconde. Il monte donc un AP avec son Dell^[1], y associe l'Airport et le tour est joué. Il peut donc attaquer son dongle et récupérer son shell via le lien IP porté par l'Airport. Ça ne me choque pas outre mesure, mais le manque d'explication et la complexité du montage laissent planer le doute. D'autant que comme me le faisait très justement mon chevelu de voisin de bureau, il aurait pu faire pleins d'autres choses aussi démonstratives qu'un connect back, comme ajouter un utilisateur, créer un fichier sur le bureau, ouvrir un popup, etc. On y perd en interactivité, le côté Wargames en prenant un coup au passage, mais au moins, ça démontrerait l'effet dans les conditions minimales d'exploitation sans mettre pas en jeu l'Airport et, plus important, sans prêter à confusion ou polémique.

Par contre, l'histoire de l'adresse MAC est un peu plus gênante. Lorsque Maynor lance son exploit, on peut lire à l'écran l'aide en ligne qui montre qu'un des paramètres nécessaires est l'adresse MAC de la carte WiFi ciblée. Vu la manière dont le programme est appelé, il semble très probable que ce soit le dernier argument fourni, dont on voit la fin en retour à la ligne, avec 6D pour le dernier octet. Il se trouve que c'est la même valeur que l'Airport du MacBookPro. Argh, pas de bol quand même... Si c'est effectivement le cas, cela voudrait dire qu'il envoie quelque chose à cette carte, alors que d'une part elle n'est pas censée servir et que d'autre part elle porte un lien IP. Il n'en fallait pas plus pour que doucement se profile l'idée du bidonnage complet : Maynor ne lancerait en fait qu'une simple connexion vers un programme en écoute de l'autre côté (genre netcat), et poupouf le shell. À vrai dire, la vidéo ne montrant que très peu de choses, aucun élément technique n'étant là, on ne peut que conjecturer dans un sens ou dans l'autre. Ajoutez à cela les antécédants de Maynor, et forcément, vous vous posez la question : fake ou pas ?

J'ai plutôt tendance à faire confiance, c'est mon côté bisounours. Toutefois, je m'interroge sur la démarche des auteurs. Ces dernier se réfugient en effet derrière l'argument du full disclosure responsable pour justifier l'absence de démonstration et de publication détaillée qu'ils disent vouloir diffuser lorsque la faille sera patchée. Et c'est bien là que le bât blesse. Quand on publie, on ne fait pas les choses à moitié. Soit on en dit suffisament, soit on se tait en attendant de pouvoir le faire. Mais non, forcément, il fallait que ça sorte pour la BlackHat. Mais au final, on n'a rien. Juste des présomptions, des plans sur la comètes et surtout une sombre impression de malaise, comme si on était passé à côté de quelque chose d'important, tant il y a des choses à dire sur les drivers. Dommage.

La question aujourd'hui n'est donc pas à mon avis de savoir si tout cela est vrai ou non, ou dans quelle mesure ce serait bidonné, mais plutôt de savoir si ces travaux dépasseront l'énorme perte de temps et d'énergie qu'ils ont suscité jusque là. J'espère vraiment que ce sera le cas, vraiment... Parce qu'au delà de la honte que vont devoir se trainer Maynor et Cache, ça sera un énorme discrédit pour BlackHat, qui aurait alors laisser passer un papier sans aucune justification technique pour l'appuyer...

Notes

[1] Pourquoi ne pas utiliser un simple AP à deux francs six sous qui aurait aussi bien pu faire l'affaire ?

Note : 4.8/5 pour 4 votes

Trackbacks

1. Le mardi 19 juin 2007 à 17:17, de Cert-IST

Vulnérabilité des pilotes WIFI

Ce mois-ci, deux événements ont impacté le monde du Wifi :
* lors de la conférence "BlackHat" (USA), il a été fait une démonstration de compromission d'un système Mac OS X via une faiblesse des pilotes ("drivers") Wifi.
* la veille de cette...

2. Le mardi 6 novembre 2007 à 09:57, de L'actu Sécurité, XMCO Partners

BlackHat 2006 : les présentations qui ont marqués la conférence

Tous les concernés par la sécurité informatique en ont forcément déjà entendu parler. La Blackhat est la conférence la plus renommée. 3000 participants : développeurs, consultants, RSSI, et les fameux hackers se réunissent dans un endroit prestigieux...

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le samedi 26 août 2006 à 22:07, par jme

L'enchère au m'as-tu-vu je pense. Sauf que des fois, cela va trop loin et ça se voit. Pas de chance pour eux. Comme tu l'as dit, soit on fait la démo en entier, soit on la fait pas.

Le fantastique monde des conférences. En tout cas, ils vont avoir du mal à la trainer pendant 2 ans celle là. Même en retouchant plus que la moyenne les slides entre 2 présentations.

2. Le lundi 28 août 2006 à 02:21, par Bruno Kerouanton

Carrément déçu par leur attitude. J'ai lu ton analyse très pertinente, revu la vidéo plusieurs fois, et en effet je penche égalemnt pour la thèse du fake.

Dommage, car le tout petit monde des experts en sécurité informatique a besoin de légitimité et de reconnaissance, et cela ne peut se faire que par l'honnêteté des acteurs... Il y a déjà plein de greyhats semant la confusion dans les esprits des utilisateurs normaux, j'ai déjà eu affaire à des escrocs notoires et incompétents se faisant passer par des experts en sécurité (je peux citer dis ? leur boite a coulé il y a longtemps, c'était code511), si en plus ca commence à envahir les Defcon, BlackHats et autres manifestations réputées sérieuses c'est le drame... (bon d'accord au Sstic il y a les Rump, mais tout le monde sait à quoi s'en tenir et on ne fait pas de présentations d'attaques bidon en faisant croire que c'est du sérieux (heu enfin si !!!! mais il est excusé)).

C'est tout pour aujourd'hui, je viens de finir mes 200 pages de rapport de stage et j'avais besoin d'écrire un peu sur autre chose pour décompresser ;)

3. Le lundi 28 août 2006 à 10:25, par newsoft

Il y a déjà eu un long débat dans la liste Focus-Apple, où David Maynor est intervenu en personne. Ce que je trouve bizarre (personnellement), c'est la sortie de la commande ifconfig qui ne montre qu'une seule interface WiFi, celle d'Apple !

http://www.securityfocus.com/archive/142/443040/30/90/threaded

Et comme le faisait remarquer un éditeur de produit de scan de vulnérabilités (qui se reconnaitra :), quand on a un exploit kernel, il y a mieux à faire qu'ouvrir un shell "/Users/Dave" ...

Je pense très fortement que l'ensemble de la conf' est bidonnée ... Le scénario le plus probable : ils ont commencé à chercher des failles *après* avoir soumis à BH ; ils n'ont rien trouvé mais ils ont quand même dû faire la conf' !

Réponse de Sid

quand on a un exploit kernel, il y a mieux à faire qu'ouvrir un shell "/Users/Dave"

D'autant qu'un exploit kernel qui se retrouve à lancer un shell pile poil dans le répertoire utilisateur en question, c'est pas louche du tout, mais alors paaaaas duuuuu tooouuut... :)

4. Le lundi 28 août 2006 à 12:48, par jme

Je propose qu'on lance une chasse aux sorcières. Bruler des consultants sécurité, voilà une activité qui réchauffera nos longs hivers !

5. Le lundi 28 août 2006 à 18:31, par Yom

Faudra les faire sécher avant, ça brûle mal, un consultant mouillé...

6. Le lundi 28 août 2006 à 21:40, par newsoft

Le consultant moyen étant constitué à 50% de papier et à 50% d'air, ça doit prendre feu comme d'un rien ! Mais certains sont un peu collants, attention aux fumées toxiques qui peuvent s'en dégager ! Quant à ceux qui portent la barbe ...

Réponse de Sid

ça doit prendre feu comme d'un rien

À 233°C, c'est théoriquement sans problème. Maintenant, faudrait vérifier empiriquement...

7. Le lundi 4 septembre 2006 à 20:19, par Francky

Jon (aka Johnny Cash) a finit par en dire un peu plus... un post discret sur Daily Dave, reprise sur /. Plus d'info : http://enterprise.linux.com/article.pl?sid=06/09/04/138253

Alors, toujours Info ou Intox ?

Réponse de Sid

J'ai vu. Comme je le disais plutôt, j'ai tendance à penser qu'il y a vraiment quelque chose là-dessous, essentiellement parce que Johnny Cash a tout de même un beau pedigree sur les questions WiFi, comme en témoigne son site et Airbase :

http://www.802.11mercenary.net/

Suite à son post sur DailyDave, on a d'ailleurs eu un échange de mails particulièrement intéressant sur le sujet.

Mais ça ne change pas mon point de vue sur la démarche qui semble fortement imposée par SecureWorks. Si est aussi pointilleux sur l'éthique, alors on la ferme tant qu'on ne peut pas publier. On ne fait pas de 1/3 d'advisorie parce que c'est la BlackHat... Je n'étais pas à la conférence, mais je pense qu'une des dernières réponses sur Daily Dave résume particulièrement l'état d'esprit dans lequel j'aurais été si j'avais assisté à ce talk :
You and DM have joined [quelques noms] on my very short
list of "people who fucked me out of precious Black Hat
Briefings time by misrepresenting their talk", and I
_really_ didn't appreciate that. 

8. Le mercredi 20 septembre 2006 à 11:16, par Zaf

David Maynor is back: Beginner's guide to wireless auditing (David Maynor 2006-09-19)

9. Le mercredi 20 septembre 2006 à 23:49, par newsoft

Holy shit ! Maitre Phil est partout !

10. Le vendredi 22 septembre 2006 à 08:25, par Francky

Pour rester dans l'actu : (/. du 21/9/06)

"Apple quietly released a pair of patches today to its
wireless drivers. The patches (one for PowerPC, one for
Intel) address distinct buffer overflow vulnerabilities
found during an internal audit in response to the claim
that fuzzing the drivers resulted in an exploitable
failure."

Du nouveau ? c'est le moment de démarrer bindiff...

-Francky

11. Le vendredi 22 septembre 2006 à 09:27, par Zaf

@newsoft: Scapy rul3z!

@Francky: idem ici : Apple wireless vulnerable after all Robert Lemos, 2006-09-21. Pour une release silencieuse, ça commence a se voir. Mais ne nous emballons pas : "The Mac maker (...) denied that any of the flaws matched the one allegedly found by two security researchers and demonstrated in a video presentation at the Black Hat Security Briefings in August."

Réponse de Sid

Apple peut bien dire ce qu'ils veulent, pour le moment, personne n'a vérifié. Mentir sur les failles qu'on patche pour ménager sa comm' est une pratique courante à laquelle Apple n'échappe pas, loin de là.

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Ma petite parcelle d'Internet...