Sécurité info - Page 12

Zerosquare (./323) :
Je ne pense pas que le contexte soit le même. Un câble réseau piégé, ça demande quand même un bon degré de miniaturisation, je ne suis pas sûr que ce soit à la portée de tout le monde de le fabriquer ou de l'acheter ; et puis il faut pouvoir l'installer discrètement. Là on parle de matos à bas prix et facilement accessible à tout le monde.
(cross)

C'est sûrement plus facile d'échanger un câble réseau par un autre que d'installer discrètement un RasPi

Sinon, je me suis un peu renseigné : l'idée n'a visiblement rien d'extraordinaire et ne permet pas grand-chose (beaucoup moins que ce qui est annoncé en grande pompe, en tout cas) : tu peux récupérer les cookies de quelques sites web qui sont mal configurés, à condition d'avoir un navigateur qui accepte gentiment de faire tout plein de requêtes de lui-même.
Par contre, avant il y avait une faille rigolote avec le même principe, permettant de déverrouiller un Windows verrouillé (en se faisant passer pour le serveur AD et en forçant le changement de mot de passe).

flanker (./331) :
C'est sûrement plus facile d'échanger un câble réseau par un autre que d'installer discrètement un RasPi

Le but est apparemment de le connecter quelques instants pour corrompre la machine, pas de le laisser branché à demeure ^^

Merci pour les explications

flanker (./331) :
en se faisant passer pour le serveur AD et en forçant le changement de mot de passe

pour avoir testé, ça permettait plus que simplement déverrouiller un Windows...

Avec Windows 10 bien configuré ?

c'était y'a 15 ans hein ^^ sous Windows 2000

ah oui, y a du patch qui a coulé sous les ponts depuis ^^

Comme dit prévédement la "raspi" (on peux utiliser une carte bien plus petite il faut juste avoir un controlleur USB) peux tenir dans le volume d'une clef USB "data", tu donne la clé a la cible pour qu'il y copie des fichiers, ou prendre des fichiers a toi, il suffit que ca soit correctement configuré pour que ca exporte a la fois la carte reseau ET du mass storage sur l'USB et c'est foutut.

Sinon au dire du gars, il y a quand meme pas mal de site sur lequel ca marche, et dans sa présentation c'est Chrome qu'il attaque, je pense aps que ca soit une version spéciale. Ca ne me choquerais pas plus que ca que cette attaque marche plutot bien, meme avec des sites en HTTPS, mais oui c'est sur que pour le HTTPS c'est un poil plus complexe, mais le problème premier n'est pas HTTP vs HTTPS, mais comment le site web configure ses cookies, si ils sont configuré pour tout protocole, c'est foutu.

Je ne fais que répéter l'opinion de quelqu'un « qui s'y connaît » en sécu ^^

Pour que l'attaque fonctionne, il faut que

* le navigateur soit ouvert
* fasse de lui-même des requêtes
* l'utilisateur fréquente des sites intéressants MAIS mal configurés (de plus en plus rare sur les gros sites).

Sachant que le résultat reste quand même assez minime (le vol de cookie).
Ça commence à faire beaucoup de prérequis et limite la portée de l'attaque.

"Mal configuré" voulant dire HTTPS non obligatoire. C'est très courant. Le forum sur lequel nous nous trouvons ne gère même pas le HTTPS!

Quelle honte, ces admins ne branlent vraiment rien!

- Le navigateur ouvert oui c'est une limitation, mais c'est quand meme souvent qu'il soit ouvert
- Qu'il fasse des requettes ? ben, pas mal de site font des requettes types ajax/autorefresh & co donc :/
- Je n'en mettrais pas ma main a couper sur ce point que les "gros site" ai leur cookie bien configuré :/

Le point 1 et 2 tu ne peux rien faire contre, et le vol de cookie n'est pas si minime, il permet de se connecter a un site si tu es loggé sur le dit site, ce n'est pas rien quand meme

https://www.scmagazine.com/debugging-mechanism-in-intel-cpus-allows-seizing-control-via-usb-port/article/630480/

sympatoche.

Du JTAG over USB, activé par défaut, mais quelle excelleeeeeeente idée

c'est beau hein

mais mon chefxpert en sécu dit que dès que t'as un accès physique a la machine la sécurité est de toute facon foutue. ce qui est pas faux.

Oui mais on en a déjà parlé : y'a un monde entre une faille qui demande de démonter la machine, et une faille exploitable en branchant un machin USB 30 secondes.

Ah ils laissent l'accès aux circuits JTAG sur les puces de prod? En effet, quelle bonne idée

bah ca c'est pas choquant tant qu'il faut un adaptateur spécifique sur la CM, la c'est surtout le cul a l'air sur les ports USB

Ceci dit franchement c'set un truc qui manque sur PC, pouvoir debugger simplement le cote OS, ca m'arrangerais bien au boulot actuellement d'avori ca :/

https://www.wordfence.com/blog/2017/01/gmail-phishing-data-uri/

This is the closest I've ever come to falling for a Gmail phishing attack. If it hadn't been for my high-DPI screen making the image fuzzy… pic.twitter.com/MizEWYksBh

— Tom Scott (@tomscott) December 23, 2016

This is disturbingly clever. You get sent to a text/html data URI! Not testing any further but, blimey, talk about using power for evil. pic.twitter.com/TamVn7DBfW

— Tom Scott (@tomscott) December 23, 2016

Shit :/

Ne pas utilsier gmail comme client c'est le mieux encore!

Mais rien n'empêche de faire pareil pour d'autres webmails.

Spécialement vicieux mais bien trouvé comme attaque !

Zero: oui mais c'est rare sont les webmails a mettre des liens de cette sorte..

RoundCube par exemple affiche les fichiers joints dans une partie qui n'est pas le corp de l'email.

gmail est un des rare a faire ca..

Ça date, mais c'est assez impressionnant, et je ne me souviens pas qu'on en ait parlé :
http://securityaffairs.co/wordpress/36178/hacking/spy-in-the-sandbox-attack.html

Il n'y a pas beaucoup de détails, tu as trouvé d'autres liens qui en parlent ?

Je n'ai pas creusé, mais tu as lu leur papier ?
https://arxiv.org/pdf/1502.07373v2.pdf

Lu en diagonale (TL;DR) ; il passent un moment à parler du fonctionnement des caches CPU puis à expliquer comment forcer leur éviction, à condition d'avoir accès à certaines informations bas niveau notamment l'adresse des variables. Mais comme on est en JS ici pas d'adresse de variables, donc ils proposent un algo qui essaie de déterminer le mapping mémoire de variables avec une grosse boucle qui fait plusieurs tentatives et benche les temps d'accès pour trouver les pages mémoire. Pourquoi pas, mais d'une part ça me parait quand même reposer sur un paquet de château de cartes, d'autre part (et surtout) je ne vois pas ce qu'on fait de cette information : comment passe-t-on de ça à une éventuelle capture des saisies clavier, ou de n'importe quelle autre information non triviale ? (il y a des références citées dans le papier, mais ce point n'est même pas évoqué directement)

Il y a un exemple où ils détectent les mouvements de la souris (juste le fait que la souris bouge ou pas, pas sa position ni ses déplacements) et la présence de trafic réseau comme ça. L'intérêt reste limité mais n'est pas nul : si deux pages web utilisent ce système, avec les corrélations tu peux repérer les utilisateurs qui se servent des deux, même s'ils utilisent des sessions, navigateurs (voire réseaux) différents pour les deux pages.

L'autre exemple est plus spécifique mais plus puissant : ils montrent comment une appli malveillante mais qui n'a pas accès au réseau peut envoyer des données à une page web, même s'il y a une VM entre les deux. Ça n'est pas quelque chose qui servira tous les jours, mais c'est le genre de trucs bien utile quand tu veux cibler quelqu'un qui a accès à des données confidentielles sur une machine protégée.

https://www.bleepingcomputer.com/news/security/koolova-ransomware-decrypts-for-free-if-you-read-two-articles-about-ransomware/
Je cautionne pas la méthode, mais je dois dire que ça a un côté rigolo ^^

Marf