Via Wired :

Des chercheurs israéliens ont trouvé une autre façon de transmettre des données malgré les air gaps entre deux machines : la chaleur.

Ces chercheurs de l’Université Ben Gurion (Cyber Security Labs) utilisent des senseurs de température pour détecter un changement de chaleur et en déduire une information binaire (en gros 1 pour une augmentation de chaleur, 0 pour une réduction).
Les conditions pour que ce soit possible semblent peu efficace pour être utilisées : les deux machines doivent être distancées d’au maximum 40 centimètres et il faut compter 1 heure pour transférer 1 octet sans compter tous les changements de chaleur n’étant pas liés aux machines elles-même.

Dans leur vidéo de démonstration ils utilisent cette méthode pour déclencher à distance un lance-missile USB (la vidéo est accélérée en 16x)

,

Ça c’est du bug : sous RHEL 6.7 un bug sévère semble supprimer tous les fichiers du système quand on tente de redémarrer le service Squid (proxy http).

Le bug devrait être lié à une variable d’environnement d’après une discussion sur HN.

Le problème provient sans doute d’une erreur de packaging et doit être spécifique à la version de RedHat et la version du package Squid.

, ,

Deux anciens chercheurs de MITRE, Corey Kallenberg et Xeno Kovah, qui ont depuis fondé Legbacore ont présenté hier à la CanSecWest leurs études sur le hack des BIOS permettant alors d’obtenir un accès très bas niveau sur une machine, échappant alors à l’œil des antivirus.

Des techniques qu’on pensait jusque alors réservées aux chercheurs de la NSA avec leurs attaques de firmwares.

Il faudra à priori attendre lundi pour lire le whitepaper et connaître les détails de ces attaques.

EDIT : Le whitepaper (pdf) est disponible.

,

Une nouvelle version de Tor est disponible.

Elle introduit des changements concernant la liste des autorités ainsi que des corrections de bugs importantes.

Pendant ce temps la branche 0.2.6 se rapproche de la stabilité et pourrait bientôt prendre le relais.

Page de téléchargement

Quand on analyse un exécutable disposant d’une fonction difficile à réverser (encodage, crypto custom, etc) une solution maintenant bien connue consiste à réutiliser le code de l’exécutable par exemple en détournant son exécution avec un débogueur.

Dans cet article traitant d’un crackme du Cyber Security Challenge Belgique le participant utilise LD_PRELOAD avec une librairie qui se charge de tester les différentes fonctions intéressantes du crackme depuis un constructeur de la librairie.

Une astuce sympa à garder sous la main.

Le whitepaper de la présentation qui a eu lieu à la CanSecWest est finalement disponible sur le site de VirusBulletin (pdf).

EDIT:

Le white-paper montre deux cas d’attaques sur les binaires OSX.

Dans le premier cas un binaire peut avoir un lien optionnel (weak) pour le chargement d’une librairie (on peut imaginer que ce soit utilisé par un système de plugin). L’avantage de ce cas là c’est que potentiellement aucune librairie n’est présente au path indiqué dans le header du binaire OSX (format MachO) laissant ainsi à l’attaquant la possibilité de placer sa librairie malicieuse.

Le second cas se base sur les @rpath. Un binaire peut indiquer qu’il a besoin d’une librairie dont il ne connait pas exactement le path. Dans ce cas là le header contiendra des paths du type @rpath/chemin/vers/lib.dylib. Le binaire aura aussi une liste de ces rpath possibles indiquée dans son header.
Le loader OSX va donc substituer la chaine “@rpath/” dans le chemin exporté par chaque valeur de la liste jusqu’à trouver un chemin où la librairie est présente.
Si aucune librairie n’est présente dans le (ou les) premier paths calculés alors ça laisse à l’attaquent la possibilité de placer une librairie qui sera prioritaire par rapport à celle légitime.

La création d’une librairie malicieuse fonctionnelle requiert quelques particularités qui peuvent être définies depuis XCode.
Sur Github, Synhack fournit un script Python facilitant la génération d’une dylib malicieuse fonctionnelle pour peut que l’on dispose d’un squelette de dylib.

Il fournit aussi un script Python permettant de scanner le système à la recherche de programmes vulnérables à ces attaques.
Et c’est la grande question qu’on attendait : est-ce que ça touche beaucoup de programmes ? La réponse est oui, la technique devrait par conséquent attirer de nombreux auteurs de malwares.

L’autre question est à quoi peut servir cette attaque ?
Principalement ça permettra à des malwares de se rendre persistant tout en étant discret. Comme si sous Windows un malware se faisait charger par un programme légitime sans avoir à créer la moindre clé en registre.
Ensuite l’auteur indique que l’attaque peut être utilisé contre l’outil interne Gatekeeper d’OSX qui demande à l’utilisateur une validation pour lancer un exécutable si celui-ci ne provient pas du AppStore. Dès lors un malware ayant obtenu un accès sur un système pourrait exploiter cela pour installer d’autres malwares… De quoi intéresser les botherders.

Est-ce que ça permet d’entrer dans un système OSX ou de faire une escalade de privilège ?
Vraisemblablement non, il faudrait en plus que les PATHs où l’on peut placer la dylib malicieuse soient peu protégés (mauvaises permissions), ce qui n’est pas discuté dans le whitepaper. Mais peut-être que des cas particuliers seront découverts.

Pour le moment il semble qu’Apple ne souhaite pas corriger le problème.

, ,

reverse c’est le nom de ce projet dispo via Github qui désassemble des exécutables PE ou ELF pour vous donner du pseudo-code C.
C’est écrit en Python et basé sur Capstone.

,

Superfish est le adware créé par Komodia qui installe de faux certificats sur une machine dans le but d’intercepter (pour surveillance et/ou modification) le trafic encrypté.

Découvert sur les PCs Lenovo, la présence de cet adware a fait beaucoup de bruit en particulier parce que le certificat utilisé par Komodia était facilement cassable permettant ainsi à n’importe qui de déchiffrer le trafic SSL/TLS émit par un poste infecté.

Dans un article, Journal du Net a fait un bon résumé de cette histoire.

, ,

On trouve différents articles sur le sujet sur le web mais celui-ci a l’avantage d’être simple peut être grâce à l’utilisation du langage Python.

Dans l’article l’auteur explique les différentes étapes qu’il a réalisé en Python (recherche d’une section d’un exe où placer un décodeur, encodage de la section .text, génération d’instructions inutiles destinées à passer le temps d’analyse en sandbox, etc.) pour rendre des binaires backdoorés (contenant par exemple des shellcodes Metasploit) en exécutables qui passent les défenses de la majorité des antivirus.

A lire sans modération :)

, ,

Via KrebsOnSecurity :

Les malfaiteurs ne manquent pas d’imagination quand il s’agit de voler vos informations de carte bleue. Ainsi certains posent désormais des skimmers sur les portes des banques menant au sas où se trouvent les distributeurs de billets…

, ,