Article

Hier, nous vous faisions le retour de la première journée à la Hack.lu se déroulant au Luxembourg. Continuons aujourd’hui avec la deuxième journée où plusieurs conférences ont retenu notre attention.

14 easy lessons for thinking about complex adversarial systems

(Par Eleanor Saitta @Dymaxion)

Eleanor a commencé par expliquer que la sécurité de l’information de nos jours se résume seulement à parler de systèmes et techniques d’attaques spécifiques ou d’exploits de vulnérabilités et d’outillage. Elle souligne que la vraie valeur de la sécurité ne peut être atteinte en discutant de problèmes, mais plutôt de modèles qu’il faut adopter, quel que soit le sous-domaine de la sécurité de l’information dans lequel on travaille (défensif ou offensif).

Eleanor a ensuite défini la sécurité comme étant « un ensemble d’activités réduisant la probabilité qu’un groupe d’adversaires puisse altérer les objectifs qu’un groupe d’utilisateurs souhaiterait atteindre ». Elle souligne également que le terme « ordinateur » n’y apparaît pas puisque l’enjeu principal de ce domaine est l’humain.

Un système adversaire, d’après Eleanor, est un système complexe où l’acteur humain doit faire face à des conflits, y compris tous les problèmes qui relèvent de la sécurité de l’information, le capitalisme et la guerre numérique.

La conférencière a présenté ensuite les 14 leçons apprises durant ses 15 années d’expérience dans le domaine, qui lui ont permis d’étudier les systèmes dits « systèmes adversaires complexes » :

  1. Les conflits de ressources (temps et argent) sont la première préoccupation d’un groupe adversaire
  2. L’intuition est le meilleur moyen pour comprendre certains systèmes complexes et anticiper la présence de certaines failles
  3. Les 4 types de failles en sécurité de l’information sont : les failles mathématiques, l’acteur humain, les failles techniques et organisationnelles exploitables ainsi que les failles qui existent par erreur
  4. Les attaques ciblant une infrastructure peuvent également cibler la structure et la superstructure
  5. Connaître son infrastructure et les potentiels points de défaillance permet de prévoir les futures attaques
  6. Planifier en la présence de l’attaquant permet de répondre rapidement à une attaque : observer, orienter, décider puis réagir à l’attaque. Ce processus est notamment utilisé par les stratégistes militaires et s’appelle « ooda loop »
  7. Choisir son terrain est important, car si, par exemple, une entreprise choisit un plan d’activité permettant à ses employés de pouvoir utiliser les cartes bleues pour vendre ou acheter des produits sur un site particulier, cette activité représente une opportunité pour les attaquants adversaires
  8. La connaissance du contexte global de ses tâches en prenant du recul, permet à une équipe de sécurité expérimentée de mieux comprendre les objectifs plutôt que de se concentrer sur des détails qui n’intéresseraient pas un adversaire
  9. Avoir une liste de quelques principes sur lesquels repose la sécurité de l’entreprise est mieux que d’avoir plusieurs principes et de ne pas les appliquer. Exemple : Confidentialité, Intégrité, Disponibilité, Traçabilité
  10. En tant que professionnel de la sécurité de l’information, il est important de sécuriser son environnement, en mettant en place des « honeypots », en installant les patchs sur sa propre infrastructure, en sensibilisant les employés, et en auditant ses propres outils
  11. La capacité de communiquer son stress et ses travaux au sein d’une équipe permet aux membres de l’équipe de s’adapter rapidement. Il est également important aux employés de prendre des vacances quand il le faut
  12. La sécurité doit suivre la règle du minimum syndical, afin d’éviter de créer des problèmes de sécurité que les adversaires peuvent exploiter
  13. La probabilité pour une attaque technique ne peut être définie ou mesurée numériquement, seules les méthodes qualitatives permettent d’évaluer ces mesures.
  14. Il faut partir du postulat que tout peut être compromis, la sécurité doit ainsi être prise en compte dès les premières étapes de design et configuration d’un système

How To Hack A Yacht – Swimming IoT

(Par Stephan Gerling)

Les yachts sont des bateaux de plaisance de plus de 10m de long équipés d’équipement électronique en tout genre. L’aisance financière des propriétaires (PDG, célébrités, etc.) en fait une cible de choix pour des attaquants. Il est d’ailleurs déjà arrivé que des yachts se fassent compromettre et fort à parier que cela se reproduira à nouveau.

Stephan nous montre un schéma d’un bateau, avec la connectique de celui-ci et les dispositifs embarqués :

BSSI_Hack.lu_J2_Yatch1

Les dispositifs sont interconnectés avec le protocole NMEA permettant à ces équipements de communiquer entre eux. NMEA 2000 est notamment compatible avec le protocole CAN, utilisé dans les voitures.

Il existe de nombreux vecteurs d’attaques, comme on peut le voir sur l’image précédente. Le chercheur parle notamment du brouillage et du spoofing GPS (nécessite un dispositif spécial ou un accès sur le réseau NMEA).

Ensuite, il présente le logiciel permettant de contrôler le routeur du bateau (locomarine). Il s’avère que celui-ci utilise un protocole non sécurisé (FTP) pour son administration. Un fichier de configuration (XML) contenant les mots de passe en clair (Wifi, interface administrateur, etc.) est également téléchargeable.

Après avoir effectué de la rétro-ingénierie sur le logiciel, le chercheur s’est aperçu que des mots de passe sont en clair dans ce dernier. Ce dernier étant « hardcodé » est présent par défaut sur tous les équipements utilisant ce logiciel d’administration.

Enfin, Stephan s’est concentré sur les antennes satellites des yachts. Il s’avère qu’elles sont facilement trouvables sur Shodan, et que celles-ci proposent une interface d’administration. Stephan continue sa démonstration en identifiant une page d’administration ne nécessitant pas d’authentification. Il finit sa démonstration en démontrant qu’il était possible de garder l’accès grâce à la modification d’un paramètre (referer) :

BSSI_Hack.lu_J2_Yatch2

Vidéo de la conférence : https://www.youtube.com/watch?v=_6MXtNMds3w

Ecrire un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Catégories
Twitter

TeamViewer bans your ID if you will try to connect with the wrong password and close the connection 10 times, but if you don't finalization a connection (on the screen "Cancel" button), you can brute 4-digit PIN-code.
cmd "C:\PF\TeamViewer\TeamViewer.exe" -i %ID% -P %PIN%

Le 26/09 l'EBG remettra à l'ensemble de la communauté le livre blanc "Cybersécurité et Confiance Numérique" réalisé en partenariat avec @AFNOR, @Certigna et @CESIN_France Pour vous inscrire à la conference @ebg https://t.co/fWQSZHf7Jy … #cybersécurité #EBG

BSSI continue son développement et recherche des compétences en cybersécurité sur Paris et Toulouse. https://t.co/hj4uJ53EVM

La Californie possède sa version du RGPD. #rgpd #privacy #europefirst https://t.co/CtJilpW0z3

Load More...

© 2017 Blog BSSI, inc. All rights reserved.