Retour sur la Defcon 26 (édition 2018)

Sécurité de l'information
Retour sur la Defcon 26 (édition 2018)
Entre le 9 et le 12 Août 2018 se déroulait la Defcon 26 (édition 2018) à laquelle Advens était présent. C’est ici pour nous l’occasion de faire un retour sur cet événement organisé dans les hôtels du Flamingo et du Caesar Palace à Las Vegas.

Après quelques contrôles renforcés et des surprises classiques lors des passages des douanes, une courte nuit, un café anti-jetlag et une queue quasi-interminable, nous voici enfin prêts à recueillir notre précieux badge Defcon 26, contenant un challenge à résoudre.

Ce sésame, bien qu’un peu lourd à porter avec ses 4 piles AA, nous permet alors d’accéder aux 4 jours de conférences (environ 27500 participants estimés), aussi bien de jour (conférences, « villages », « workshops » et « talks » non filmées) que de nuit (aux rencontres organisées un peu partout dans les hôtels et « after party »).

Nous identifions alors rapidement durant la durée de la conférence quelques particularités notables:
  • des personnes avec des LEDs sur le corps ou portant des badges non officiels
  • des personnes masquées ou cachant leur visage
  • une personne portant un chapeau équipé d’un ventilateur et d’antennes wifi
  • des sacs à dos avec des équipements suspects (antennes, fausses BTS, des clusters de Wifi Pineapple ou encore des Proxmarks sur batterie…)
  • des SSIDs de réseaux Wifi peu rassurants
Nous confirmons alors l’utilité:
  • d’utiliser des bloqueurs de signal RFID pour nos cartes bancaires et passeport afin d’éviter qu’elles ne soient lues à distance.
  • de passer en mode avion nos téléphones durant toute la conférence, car de très nombreuses attaques RFID, Bluetooth et Wifi ont pu être notées.

D’autres rumeurs (vérifiées ou non) nous inquiéterons également sur la présence de pièces proches de la conférence, réquisitionnées pour des besoins spécifiques (comme à peu près à toutes les éditions de la Defcon). Pas de doute, nous sommes bien à la DEFCON !

Nous notons d’autre part, pour seulement 280 dollars de frais d’entrée, d’impressionnants moyens mis en œuvre pour cette conférence:

  • des dizaines de « goons » habillés de rouge : des personnes dédiées au bon déroulement de la conférence (mise en ordre des files d’attente, orientation des personnes, sécurité, « trolling »)
  • 2 hôtels contenant au total 5 grandes salles de conférence principales + les autres salles plus petites dédiées aux « villages », aux « workshops », aux CTF, aux « parties », aux « skytalks » et à la « vendor area »
Après cette mise en en contexte, voici ci-dessous un bref retour sur quelques conférences auxquels nous avons pu assister (après de longues réflexions et des choix difficiles à faire parmi le grand nombre de sujets intéressants et le planning serré !)
  • «Ne pas dupliquer, s'il vous plaît: attaquer la boîte Knox et d'autres systèmes similaires et par clé» par m010ch_
https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20
presentations/m010ch_%20-%20Updated/DEFCON-26-m010ch_
Attacking-the-knox-box-and-other-keyed-alike-systems-Updated.pdf

On se souvient du gros travail de Deviant Ollam (@deviantollam) sur le « lockpicking » de serrures en mission red team lors de nos dernières conférences.

m010ch_, aka « Brett », a ici présenté les « knox box », ces fameuses « boite à clés » (utilisées plutôt aux USA, bien qu’assez fréquentes en France) servant à mettre à disposition le fameux sésame d’une porte soit aux pompiers en cas d’urgence, soit à une personne disposant d’une autre clé pour accéder au boitier de manière ponctuelle.

D’un point de vue utilisateur, on découvre assez vite le problème : un passe générique permet d’accéder à plusieurs « knox box ». En cas de compromission de celui-ci, l’ensemble des clés présentes dans différentes boites sont alors en danger.

Nous nous rendons compte de l’ampleur du problème lorsque Brett nous explique qu’aux USA:
  • ces boites à clés sont obligatoires pour tous les bâtiments, et qu’en général un passe générique ouvre des centaines de boites d’une même région
  • des centaines de passes de pompiers ont été « perdus » au cours des années précédentes
  • des vidéos Youtube laissent apparaître ces passes, et en zoomant il est possible d’obtenir la position des dents de la clé, et donc de potentiellement réussir à reproduire chaque passe
  • la boite à clé peut être achetée par n’importe qui

Brett s’est donc intéressé en particulier à ce dernier point, et s’est procuré une boite pour l’étudier. Il s’est rendu compte qu’en démontant la boite et en découpant la serrure dans un certain angle, il était possible de reproduire un passe qui ouvre cette boite.

Pour résumer:

  • L’utilisation de « knox box » est une méthode totalement obsolète, et la sécurité des clés à l’intérieur ne peut être garantie. Ceci revient à mettre à disposition la clé finale permettant d’ouvrir la porte protégée.
  • Tout propriétaire de l’une d’entre elles aux USA :
    • Peut reproduire un passe ouvrant des dizaines, voire des centaines d’autres « knox box », pour s’introduire dans des bâtiments plus ou moins sensibles (plusieurs cas de cambriolages ont déjà été identifiés via ces fameuses clés)
    • Doit s’inquiéter du risque d’usurpation de passe permettant d’ouvrir et d’obtenir sa clé. Des sécurités supplémentaires doivent être mises en place telles qu’un système de vidéosurveillance avec une levée d’alerte en temps réel en cas d’ouverture.

« What the Fax !? » par Yaniv Balmas et Eyal Itkin (@ynvb & @eyalitkin, Checkpoint)

Cette conférence, comme son nom l’indique, s’est concentrée sur le FAX, cette bonne vieille technologie des années 60 qui n’a pas encore été totalement enrayée de la planète, malgré l’utilisation massive de l’e-mail.

En particulier, ces chercheurs ont montré qu’il existe toujours des millions de lignes FAX dans le monde, et que les imprimantes multifonctions (« all-in-one ») gèrent maintenant parfaitement cette technologie.

Ils ont alors prouvé avec beaucoup de « reverse engineering » sur le firmware d’une imprimante que celle-ci utilise des librairies obsolètes gSOAP et un parseur d’images JPEG vulnérable.

En envoyant des données FAX malicieuses et en exploitant un « buffer overflow », ils nous ont montré qu’il est possible d’injecter un nouveau micrologiciel malveillant à partir d’une ligne FAX vers une imprimante multifonction et de la compromettre totalement.

Une fois l’imprimante compromise, il est alors possible:

  • S’il s’agit d’une imprimante réseau : d’attaquer le réseau interne connecté à cette imprimante : postes de travail et serveurs de l’entreprise directement
  • S’il s’agit d’une imprimante connectée en USB, Wifi ou Bluetooth à un seul poste : d’attaquer le poste de travail connecté
La porte d’entrée se résume alors à un simple numéro de ligne FAX, qui peut être découvert la majorité du temps à partir d’une recherche web.

Pour conclure, ils ont rappelé que les seuls moyens de contrer ce type d’attaque sont de:
  • Mettre et maintenir à jour les imprimantes de l’entreprise. Par expérience, nous pouvons en effet confirmer que ces équipements sont beaucoup trop souvent laissés à l’abandon sans aucun suivi. Mots de passe par défauts et vulnérabilités datant de plusieurs années sont malheureusement légions sur ce type d’équipements.
  • Ne plus utiliser la technologie FAX.
  • Isoler et cloisonner les machines reliées à une ligne FAX si leur usage est strictement obligatoire.
  • «Vous feriez mieux de sécuriser vos appareils BLE ou nous vous botterons les fesses! »Par Damien Cauquil aussi nommé Virtualabs (Digital Security)

https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20
presentations/Damien%20Cauquil%20-%20Updated/DEFCON-26-Damien-Cauquil-Extras/

Damien Cauquil explore depuis maintenant 3 ans la technologie BLE (Bluetooth Low Energy) afin d’étendre le champ des possibles pour l’analyse des communications.

Grâce à son nouvel outil « BtleJack » (précédemment « Btlejuice »), celui-ci vient défier les difficultés connues pour attaquer la technologie BLE.

Il a pu mettre au point un outil peu coûteux (15$) avec les fonctionnalités/attaques suivantes:

  • Capable de « sniffer » toute connexion BLE déjà établie ou non.
  • Brouiller le signal de la connexion BLE afin de pouvoir usurper l’identité du « maître » légitime et forcer l’équipement à se connecter à l’outil, à une distance de 5 mètres maximum. Cette distance pouvant cependant augmenter avec les futures versions du BLE qui seraient à priori également vulnérables.
  • Capable de produire des exports PCAP
  • Fonctionne avec toutes les versions existantes du BLE
Virtualabs nous a fait 2 démonstrations spectaculaires où il a réussi à attaquer 2 objets connectés différents : il a pu provoquer la chute d’un drône et prendre le contrôle et augmenter la vitesse d’un « sextoy » connecté avec son outil Btlejack.

La présentation s’est terminée par les différents moyens de protections:
  • Utiliser la technologie BLE « Secure Connection », dont la RFC existe déjà et qu’il est nécessaire d’implémenter
  • Implémenter un mécanisme d’authentification et de signature au niveau de la couche de données, afin d’éviter l’usurpation et l’injection de données arbitraires
  • « One-Click to OWA » par William Martin
https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026
%20presentations/William%20Martin/DEFCON-26-William-Martin-
SMBetray-Backdooring-and-Breaking-Signiatures-Updated.pdf

Lorsqu’un serveur Exchange est exposé sur Internet, différents « Endpoints » sont mis à disposition. Ceux-ci sont nécessaires par exemple pour l’accès à OWA ou encore ActiveSync. Si la double authentification est mise en place (ce qui est fortement recommandé), certains de ces accès peuvent ne pas être protégés par cette sécurité additionnelle (point déjà remonté en Septembre 2016 à Microsoft).

En effet, il est nécessaire d’utiliser l’authentification dite « Modern Authentification » implémentée en 2005 par Microsoft (basée sur Oauth2) pour s’assurer que l’ensemble des points d’accès soient protégés.

En cas d’utilisation de NTLM, un exemple d’attaque connu dénommé « NTLM Relay Attack » a ensuite été exposé pour démontrer la possibilité de s’authentifier à la place d’un autre utilisateur après une redirection préalable du trafic ou via les liens SMB envoyés (afin de forcer l’envoi automatique de la requête d’authentification) et donc sans double authentification.

Un outil a d’ailleurs été mis à disponible à l’adresse suivante:

https://github.com/quickbreach/ExchangeRelayX
  • «Wifi MitM pratique et amélioré avec Mana» par Singe
https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%
20presentations/singe/DEFCON-26-singe-Practical-and-Improved-Wifi-MitM-with-Mana.pdf


Cette présentation a été dispensée par la société américaine Sensepost. Un outil dénommé « Mana » a été développé afin d’accéder aux réseaux Wifi en attaquant directement le client et non le point d’accès.

En effet, la technique consiste à forcer le client à s’authentifier sur un point d’accès contrôlé par un attaquant afin d’intercepter les communications et « simplement » s’authentifier à sa place.

Pour se protéger contre cette attaque, il est nécessaire de cocher la case ci-dessous sur le poste de travail dans la configuration EAP.

L’outil pour réaliser cette attaque est disponible ici: https://github.com/sensepost/wpa_sycophant
  • «Le piratage avec l'IoT: ingénierie inverse et piratage d'appareils Xiaomi IoT» par Dennis Giese (360)
https://dgiese.scripts.mit.edu/talks/DEFCON26/DEFCON26-Having_fun_with_IoT-Xiaomi.pdf

Dennis Giese nous expose ici ses recherches sur les différents équipements de la marque chinoise Xiaomi et plus particulièrement sur le robot connecté V1.

Après une brève présentation de l’écosystème et les informations collectées par le cloud Xiaomi (locations GPS, informations liées au point d’accès utilisé,…), les différentes vulnérabilités identifiées sur plusieurs équipements ont été révélées:
  • AQARA SMART IP CAMERA : Accès telnet sur le port 23 et récupération du mot de passe root harcodé dans le fichier /etc/shadow.
  • WI-FI NETWORK SPEAKER : Exécution de commandes en root via une vulnérabilité Web sur le port 9999 (upnp) (corrigé en avril 2018)
  • VACUUM CLEANING ROBOTS : Ce robot est équipé de deux processeurs ARM et basé sur la distribution Ubuntu 14.04. L’accès et l’exploitation sont ici un peu plus complexes. Après avoir supprimé les liens de données entre le CPU et la mémoire MMC, il est possible de récupérer la mémoire flash et la reprogrammer via USB afin d’accéder en tant que root sur le système d’exploitation et modifier la configuration. Cela permet par exemple d’être indépendant du cloud Xiaomi.
Une présentation très intéressante qui confirme à nouveau qu’il ne faut pas toujours avoir une confiance aveugle envers les différents objets connectés que nous pourrions avoir chez nous.
  • « Playback : a TLS 1.3 story » par Alfonso Garcia Alguacil & Alejo Murillo
https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20
presentations/Alfonso%20Garcia%20and%20Alejo%20Murillo%20-%20
Updated/DEFCON-26-Alfonso-Garcia-and-Alejo-Murillo-Playback-a-TLS-story-Updated.pdf

Bien que le TLS 1.3 offre différents avantages (L'IETF a par ailleurs officiellement publié la version 1.3 de TLS en Aout 2018):
  • Seulement 5 algorithmes de chiffrement sont supportés
  • La version 1 .3 n’est pas vulnérable aux attaques des précédentes versions
  • Forward Secrecy est indispensable et non optionnel comme les versions précédentes.
  • Des analyses de sécurité ont été effectuées sur cette version avant la version finale.
Garcia Alguacil & Alejo Murillo vont s’attarder sur une fonctionnalité dénommée Zero Round Trip Time Resumption ou « O-RTT » intégrée intégrée dans cette version qui est utilisée pour accélérer significativement les échanges lors de la reconnexion TLS (et ainsi éviter un « handshake complet »).

Ce mode de fonctionnement offre cependant à l’attaquant la possibilité de rejouer des requêtes (« replay attacks ») dans la mesure ou un simple paquet via « O-RTT » (avec les données à traiter) est suffisant pour être compris par le serveur.

Les données via « O-RTT » sont contrôlées par le navigateur qui décide quand envoyer ce type de paquet, mais ce comportement peut être modifié par l’envoi d’un RST de la connexion lors d’une attaque de type Man In The Middle.

Des protections partielles sont existantes pour limiter ce risque. Un outil a cependant été développé pour prouver la possibilité de réaliser des attaques de type « replay » quelle que soit la protection mise en œuvre.

L’outil est disponible ici: https://github.com/portcullislabs/tlsplayback

Vous l’aurez compris, la méthode la plus simple de se protéger contre ça est la désactivation pure et simple de la fonctionnalité « O-RTT »

Notre ressenti général sur la conférence

La Defcon est une conférence riche en contenu innovant, à laquelle toute personne spécialisée dans la sécurité devrait assister au moins une fois. Les moyens mis en œuvre, la quantité de présentations, le côté « underground » avec les « skytalks », les « workshops » et les « villages », ainsi que le nombre de participants fait la différence avec d’autres conférences et c’est une expérience à part entière que d’y participer.

Cependant, étant donné le nombre de participants et le planning très serré, il est nécessaire de privilégier certaines conférences à d’autres (d’autant plus que le passage d’un hôtel à l’autre peut mettre environ 15/20 minutes). L’accès aux « skytalks » est encore plus difficile dans la mesure où la queue commence 2h avant chaque présentation.

Petite anecdote : Peu de goodies sont distribués gratuitement, et les outils vendus à la « vendor » et la « swag area » ne sont pas réellement bon marché. À titre d’exemple, le t-shirt officiel n’est pas fourni avec le badge et celui-ci est vendu plus de 35 dollars.

L’ensemble des contenus sont disponibles sur le site officiel :
https://media.defcon.org/DEF%20CON%2026/DEF%20CON%
2026%20presentations/


Notre équipe, Audit, Advens