La Fibre
Fonctionnement du forum => A lire avant de commencer... => 
Bistro => Discussion démarrée par: krtman le 12 novembre 2013 à 22:40:05
-
Source : http://www.silicon.fr/espions-anglais-gchq-faux-profils-linkedin-slashdot-90706.html (http://www.silicon.fr/espions-anglais-gchq-faux-profils-linkedin-slashdot-90706.html)
ps : Une petite explication sur les GRX par les spécialistes des infras mobiles serait le bienvenue.
-
Cette semaine a été riche en révélations. Après avoir révélé, que la NSA intercepte les colis (http://www.lemonde.fr/technologies/article/2013/12/30/de-l-interception-de-colis-a-l-espionnage-du-moniteur-inventaire-des-outils-de-la-nsa_4341385_651865.html) de matériel informatique (routeurs (http://www.silicon.fr/nsa-les-materiels-cisco-juniper-et-huawei-transformes-en-passoire-91760.html), commutateurs, firewalls, serveurs (http://www.silicon.fr/nsa-backdoors-disques-durs-serveurs-91761.html), disque dur, IPhone, etc) pour y insérer des mouchards persistant. Le Spiegel nous apprend que la NSA a utilisé son système dénommé "Quantum Insert", pour accéder a un serveur (http://www.silicon.fr/piratage-du-cable-sous-marin-le-petard-mouille-qui-met-le-feu-la-presse-francaise-91754.html) du consortium qui est propriétaire (dont Orange, Verizon, etc) du câble sous marin SEA-ME-WE 4 qui relie Europe-Moyen Orient-Asie-Océanie.
Le système "Quantum Insert", utilise une technique appelé Man-on-Side (en fait un Man in the Middle qui ne dit pas son nom) pour injecter du code dans les machines de ses cibles ayant une vulnérabilité (failles 0 day ou non). Orange fait la vierge effarouchée et va porter plainte (http://www.lemonde.fr/technologies/article/2013/12/30/la-nsa-a-pirate-orange-pour-acceder-aux-donnees-d-un-cable-sous-marin_4341168_651865.html). Un diagramme détaillé du fonctionnement du système a été publiée par le Spiegel ici (http://www.spiegel.de/fotostrecke/nsa-dokumente-so-uebernimmt-der-geheimdienst-fremde-rechner-fotostrecke-105329.html).
Leur système utilise des sondes qui analyse le trafic. Lorsqu'une requête provenant d'une cible vulnérable est détectée, le système va renvoyer une réponse avant le serveur a qui était destiné la requête. Cette réponse contient ou renvois vers le code malveillant tout en veillant a ce que la requête initiale s’exécute correctement.
-
Qui a forgé l'expression Man-on-the-Side? La NSA? Schneier?
-
C'est le terme employé par la NSA dans son slide (http://www.spiegel.de/fotostrecke/nsa-dokumente-so-uebernimmt-der-geheimdienst-fremde-rechner-fotostrecke-105329.html).
Par contre je m'interroge sur les techniques qu'ils utilisent pour arriver à répondre avant le serveur légitime. Dans certains cas par exemple quand le serveur est au États Unis ou qu'il est tres lent a envoyer la reponse cela ne doit pas leurs poser de problème. Par contre quand le serveur et le client sont à l'etranger, ils ne peuvent pas s'affrenchir des lois de la physique. ils ont forcèment des équipements répartis aux quatre coins du monde pour forger les paquets spoofés.
-
Pas claire cette présentation.
Il y a pas de TLS sur Yahoo? (Si c'est vrai, ça craint un max.)
Une chose est claire d'après la présentation : la NSA contrôle des routeurs-clef.
J'ai quand même de gros doutes; l'explication ne semble pas correcte. La NSA a peut être accès à plein de choses, mais celui a fait ces slides n'a peut être pas tout compris correctement.
-
man in the middle: l'attaquant reçoit les packets et les retransmet (sans nécessairement les modifier) à qui il faut, parfois il décide de répondre à la place d'un serveur et/ou de ne pas retransmettre à ceux-ci
man on the side: l'attaquant écoute les paquets sur la ligne sans nécessairement les intercepter (le destinataire, sur le schéma le routeur, ne change pas), normalement on le dessine directement au niveau des liens (victime-routeur, victime-serveur, routeur-serveur...), pas du routeur comme sur leur schéma
l'avantage, c'est qu'en mode "sonde", l'attaquant est invisible, tant qu'il n'injecte rien
d'ailleurs dans leur schéma, il n'injecte jamais, il y a un lien que j'appellerais lien magique entre FOXACID et la victime pour cela
le lien magique c'est ce qui apparemment leurs permet de gagner la race condition à coup sur
c'est d'ailleurs probablement de là que viendrait le nom (QUANTUM, dans le sens la plus petite unité de temps)
je pense qu'il n'y a pas de duplication de packet, quand le SSO voit un packet qui l'intéresse, il l'envoi à la NSA/FOXACID qui est en contact direct avec le serveur de YAHOO et lui donne une url à injecter, et c'est en fait yahoo qui répond bien à la victime de façon très bien authentifié avec une page valable
la victime se laisserai ensuite infecté avec l'exploit du choix de FOXACID avec l'url qui peut-être utilise un certificat yahoo puisqu'on est pas à ça prêt
pas besoin de lien magique ou de téléportation de données
J'ai quand même de gros doutes; l'explication ne semble pas correcte. La NSA a peut être accès à plein de choses, mais celui a fait ces slides n'a peut être pas tout compris correctement.
c'est récurent avec tout ces leak, on apprend plein de chose mais c'est à chaque fois ou très souvent du point de vue des opérateurs (ce sont des guides d'utilisations qu'on nous montre) techniquement j'en reste à chaque fois sur ma faim
-
Il y a pas de TLS sur Yahoo? (Si c'est vrai, ça craint un max.)
La NSA dispose probablement des clés privés de Yahoo, Google, etc. Pour ce faire ils ont eu recours a différentes techniques (http://www.silicon.fr/prism-les-parades-des-entreprises-it-pour-se-proteger-des-ecoutes-89179.html) et ils ont du tricher un peu (http://www.lemonde.fr/technologies/article/2013/09/06/pour-casser-les-clefs-de-chiffrement-la-nsa-a-du-tricher_3472728_651865.html) et utiliser supercalculateurs (force brute ), partenariats techniques, mandats et persuasion. Les requêtes judiciaires semble être leur méthode privilégiée (quand la société est américaine). Ils l'ont utilisés a de nombreuses reprises aux cours de ses dernières années.
-
man in the middle: l'attaquant reçoit les packets et les retransmet (sans nécessairement les modifier) à qui il faut, parfois il décide de répondre à la place d'un serveur et/ou de ne pas retransmettre à ceux-ci
man on the side: l'attaquant écoute les paquets sur la ligne sans nécessairement les intercepter (le destinataire, sur le schéma le routeur, ne change pas), normalement on le dessine directement au niveau des liens (victime-routeur, victime-serveur, routeur-serveur...), pas du routeur comme sur leur schéma
l'avantage, c'est qu'en mode "sonde", l'attaquant est invisible, tant qu'il n'injecte rien
d'ailleurs dans leur schéma, il n'injecte jamais, il y a un lien que j'appellerais lien magique entre FOXACID et la victime pour cela
le lien magique c'est ce qui apparemment leurs permet de gagner la race condition à coup sur
c'est d'ailleurs probablement de là que viendrait le nom (QUANTUM, dans le sens la plus petite unité de temps)
Dans le MITM classique via un routeur que tu contrôles, tu récupères tout mais tant que tu ne modifies rien c'est indétectable.
Et si un paquet TCP est dupliqué, deux serveurs vont y répondre, et les deux réponses vont arriver chez la victime. C'est pas super discret. (Et le vrai serveur va retransmettre le segment.)
-
Dans le MITM classique via un routeur que tu contrôles, tu récupères tout mais tant que tu ne modifies rien c'est indétectable.
Et si un paquet TCP est dupliqué, deux serveurs vont y répondre, et les deux réponses vont arriver chez la victime. C'est pas super discret. (Et le vrai serveur va retransmettre le segment.)
C'est justement la remarque que je me fais, à la lecture des nombreuses news concernant la NSA (Man on the side, routeurs ou firmwares de certains périphériques vérolés ...)
Comment de telles techniques peuvent-elles passer inaperçues, lorsque celles-ci sont mises en œuvre ? Je suis surpris de ne constater aucun cas de flagrant délit (ex : capture réseau d'un équipement envoyant certaines données à des adresses douteuses ...)
-
Dans le MITM classique via un routeur que tu contrôles, tu récupères tout mais tant que tu ne modifies rien c'est indétectable.
a moins de ne se placer physiquement entre deux points (mais en interrompant des liaisons), il faut modifier des routes, donc détectable
je pense plutôt a des prises vampires, disons, au fond des océans
Et si un paquet TCP est dupliqué, deux serveurs vont y répondre, et les deux réponses vont arriver chez la victime. C'est pas super discret. (Et le vrai serveur va retransmettre le segment.)
justement, sur le schéma, les deux packets (de réponse) se font la course, je pense que c'est faux, le "SSO SITE" se contente de communiquer au FOXACID, qui est en frontend de yahoo
-
a moins de ne se placer physiquement entre deux points (mais en interrompant des liaisons), il faut modifier des routes, donc détectable
Non, tu fais un tunnel.
je pense plutôt a des prises vampires, disons, au fond des océans
Vampire sous marin? ???
-
Je trouve que la NSA a vraiment dépassé les limites...
Chaque semaines des révélations les plus incroyables les une que les autres...
Détourner les colis qui sortent des chaînes de montage de Cisco pour y installer des backdoors. Même si la NSA ne les utilise pas d'autres petits malins (service sercret d'autres pays) peuvent aussi chercher à utiliser les portes installées par la NSA.
Apple, Dell, Cisco et Huawei mécontents des backdoors installés par la NSA
Les grandes oreilles de la NSA se connectent à tous les équipements : mobiles, firewalls, PC, serveurs...
Selon le magazine allemand Der Spiegel, depuis plusieurs années, la NSA exerce ses opérations d'espionnage grâce à des mouchards installés sur un grand nombre de matériels. Cisco, Huawei, Dell et même le canadien Blackberry...
Comme nous vous l'expliquions lundi dernier, l'hebdomadaire d'investigation allemand Der Spiegel rapportait que, depuis plusieurs années, dans le cadre de ses activités d'espionnage, l'Agence de Sécurité Nationale américaine a accès à une large gamme de périphériques, depuis les PC, les iPhone, jusqu'aux disques durs, et routeurs de réseau. Toujours selon Der Spiegel, la NSA aurait également installé des portes dérobées dans les réseaux de télécommunications européens et dans le centre opérationnel du réseau BlackBerry pour espionner les communications des entreprises clientes.
C'est une unité spéciale de l'agence nommée Tailored Access Operations (TAO) qui aurait été chargée d'installer ces mouchards dans divers matériels Apple, Cisco Systems, Dell, Huawei, Juniper, Maxtor, Samsung, Seagate et Western Digital, entre autres. Le mode opératoire n'est pas très clair, mais il semble que la TAO a introduit des logiciels de surveillance ou modifié les firmwares sur certains appareils interceptés avant qu'ils ne soient livrés à leurs clients. Apple, Cisco Systems, Dell, et Huawei ont tous publiquement exprimé leur préoccupation quant à la présence éventuelle de portes dérobées et ont promis d'informer leurs clients sur toutes vulnérabilités identifiées. Tous ont déclaré ne pas être au courant de ces vulnérabilités ou ignorer l'existence du programme TAO. Selon l'article du magazine allemand, il semble que les entreprises n'ont pas coopéré avec la NSA pour permettre l'installation de ces backdoors. Avant-hier, Apple a clairement dit qu'il n'avait jamais travaillé avec la NSA pour lui faciliter l'accès à ses produits. Le constructeur, qui a comparé la NSA aux hackers, a déclaré qu'il protègerait ses clients « contre tout attaquant menaçant la sécurité, quel qu'il soit ».
Personne n'échappe à la NSA
La présence éventuelle d'un mouchard sur l'iPhone a retenu beaucoup d'attention. Des diapositives de la NSA obtenues par Der Spiegel montrent qu'en 2008, l'agence de sécurité savait déjà comment installer des logiciels espions dans l'iPhone, à condition d'avoir le terminal entre les mains. Ces diapositives indiquent aussi que la NSA cherchait des solutions pour installer ce type de spyware à distance. Il est difficile de savoir si la NSA a réussi à parvenir à ses fins et si c'est le cas, pour quelles versions d'iOS. L'installation de logiciels espions sur les terminaux de personnes ciblées est une pratique courante des agences d'espionnage. On sait par exemple que les agents chinois installent des logiciels espions sur les PC et les appareils mobiles des hommes d'affaires occidentaux voyageant dans le pays. Les révélations de l'ex-consultant de la NSA, Edward Snowden, montrent que les États-Unis et d'autres grandes puissances espionnent aussi les citoyens d'autres pays en employant des méthodes aussi agressives que celles longtemps reprochées aux agents chinois.
Dans un communiqué, la NSA n'a pas nié cette activité d'espionnage. Mais l'agence affirme que toutes ses activités sont circonscrites à la surveillance de personnes étrangères. Pourtant, d'après certains documents également révélés par Edward Snowden, la NSA espionnerait aussi des citoyens américains.
Source : Le Monde Informatique (http://www.lemondeinformatique.fr/actualites/lire-apple-dell-cisco-et-huawei-mecontents-des-backdoors-installes-par-la-nsa-56133.html) le 2 janvier 2014. Article de Jean Elyan avec IDG NS
-
Enfin, chez certains constructeur, pas besoin d'intercepter les équipements une fois fabriqués pour le mettre une backdoor : c'est livré en série !
Une backdoor sur des routeurs Linksys et Netgear
Très répandu, le routeur WAG200G de Linksys est une véritable passoire.
Passionné par le reverse-engineering, le français Eloi Vanderbeken a expliqué sur Github que certains routeurs Linksys et Netgear sont de véritables passoires.
La NSA n'est pas la seule à s'amuser avec les équipements réseau, certains vieux routeurs grand public sont en effet livrés d'office avec un backdoor comme vient de le révéler Eloi Vanderbeken qui a dressé une liste fort instructive (https://github.com/elvanderb/TCP-32764) sur Github. Sont ainsi épinglés les modèles Linksys WAG200G, WAG320N, WAG54G2 et WAG54G2, mais également les Netgear DM111Pv2 et DGN1000 N150. D'autres routeurs sont également soupçonnés d'abriter des backdoors, toujours chez Lynksys et Netgear. Rappelons que la présence de backdoor sur ces équipements permet de récupérer le mot de passe permettant d'accéder ensuite à la page d'administration du produit à distance ou sur le réseau local.
Source : Le Monde Informatique (http://www.lemondeinformatique.fr/actualites/lire-une-backdoor-sur-des-routeurs-linksys-et-netgear-56142.html), le 2 janvier 2014 par Serge Leblal
-
D'où l'importance, plus que jamais, d'utiliser du logiciel libre et de crypter ses communications;
-
Vampire sous marin? ???
Les américain dispose d'un sous marin (USS Jimmy Carter (http://rpdefense.over-blog.com/l-uss-jimmy-carter-les-oreilles-de-la-nsa-au-fond-des-mers)) capable de mettre sur écoute les câbles sous-marin. Ils semble que s'était une pratique courante (https://fr.wikipedia.org/wiki/Guerre_froide_sous_les_mers) du temps de l'URSS.
Du reste ce n'est probablement pas cette technique qu'ils utilisent majoritairement car c'est bien plus simple et beaucoup moins couteux de forcer la main a un opérateur pour venir y installer des splitters sur ses fibres a terre (cf le cas de la Spy Room (http://www.wired.com/science/discoveries/news/2006/04/70619) chez AT&T et les révélation de son ex employé Mark Klein).
-
Cette technique est possible pour les câbles qui passent par les USA, ce qui n'est pas le cas de la fibre posée par Orange Marine entre la France et l’Afrique du sud :
(https://lafibre.info/images/orange/201107_France_Telecom_Marine_ACE.png)
-
Ils ont des accords avec leurs alliés. Tu me donne ce que tu vois et qui me concerne et je te donne ce que je vois et qui te concerne. En plus comme les services de renseignement intérieurs ont souvent une interdiction légale d'espionner leurs concitoyens, ils demandent (et inversement) a leurs partenaires de s'en charger car ces derniers ne sont pas soumis a cette obligation.
Il y a un lien (http://souvenirs-de-mer.blogdns.net/spip.php?article278) intéressant qui explique la technique utilisée pour mettre des bretelles sur les cables sous marin en fibre optique sans que ça ce voit trop.
-
n'oublions pas que le CGHQ a félicité l'ANSSI auprès de la NSA pour ses services
-
Je me demande ce que les hackers de la NSA peuvent penser de ce grand débalage.
-
Je me demande ce que les hackers de la NSA peuvent penser de ce grand débalage.
beaucoup cherchent à partir apparemment
I’ve never seen so many résumés that people want to have cleared in my life.
http://www.washingtonpost.com/world/national-security/nsa-morale-down-after-edward-snowden-revelations-former-us-officials-say/2013/12/07/24975c14-5c65-11e3-95c2-13623eb2b0e1_story.html (http://www.washingtonpost.com/world/national-security/nsa-morale-down-after-edward-snowden-revelations-former-us-officials-say/2013/12/07/24975c14-5c65-11e3-95c2-13623eb2b0e1_story.html)
-
Apparement, ils auraient une autre technique qui n'engendre pas de coupure et qui consiste a se brancher directement sur un des répéteurs (http://reseau.echelon.free.fr/reseau.echelon/cables.htm).
-
Est une autre fournée d'outils pour agent secret : http://www.silicon.fr/arsenal-surveillance-fourni-ghcq-alter-ego-nsa-95642.html (http://www.silicon.fr/arsenal-surveillance-fourni-ghcq-alter-ego-nsa-95642.html)
-
Ils ont de l'imagination pour les noms!