Sécurité info - Page 25

Ok ok

Godzil (./715) :
1- TrustZone provoque des peurs irrationnelles chez certains a l’image du TPM à l’époque.
TPM est la, utilisé et... le monde ne c’est pas ecroulé.

Toutes ces technologies servent à nous retirer le contrôle de nos machines à travers des DRMs restrictifs.

TrustZone sert à avoir une chaîne des confiance pour l’execution de choses sensibles et est (malheureusement) un rempart contre les malwares et autres potentiels hack. Sachant que 99.9999999% des téléphones et aires appareils mobiles sont dans les mains de Mr Toutlemonde et que cette personne ne pige pas un brin d’en tout ça il faut éviter au maximum que son smartbidule serve à des fins malveillantes à son insu.

C'est avant tout une manière de protéger les DRMs, pour t'empêcher de capturer (enregistrer, comme à l'époque des bons vieux magnétoscopes) des streams en ligne par exemple. Par exemple, Widevine, le DRM web de Google, l'utilise, c'est mentionné dans l'article.

Et si c'est réellement utilisé "contre les malwares et autres potentiels hack", ça veut dire que tu as une plateforme totalement fermée qui n'accepte que du code signé (TrustZone permet aussi d'imposer en matériel les signatures de code, l'article en parle), toute forme de jailbreak ou d'installation de code perso serait impossible sans contourner le système (par exemple justement avec l'attaque de l'article). Mais à ma connaissance, même les iTrucs ne sont pas fermés à ce point. L'attaque serait aussi difficile à effectuer dans de telles conditions (cf. plus bas).

TrustZone sert aussi à sécurisé la crypto comme celle pour tes donnée perso.

C'est l'argument de vente, mais en réalité, "sécuriser la crypto" veut dire de te cacher ta propre clé de cryptage et donc te verrouiller au matériel.

La faille elle n’est pas spécifique à TrustZone, mais au chip dans son ensemble. Pourquoi TrustZone comme exemple ? Parce que c’est sensé être assez bien sécurisé et, si pas impossible, très difficile à attaquer.

La faille fonctionne en manipulant les paramètres du noyau de la machine. Pour effectuer l'attaque, il faut être capable d'exécuter du code natif sur la machine, en plus avec des privilèges suffisants pour modifier les paramètres de gestion d'énergie du noyau. Ces paramètres ne se changent pas avec du JavaScript dans le navigateur.

C’est effective une faille majeure si c’est aussi simple à utiliser qu’ils m’en dise’t qui va être difficile à corriger/protéger..

Tant mieux. Mais à mon avis, la mitigation est malheureusement plutôt simple, le noyau va valider les combinaisons autorisées et refuser de configurer autre chose.

squalyl (./718) :
laissez kevin s'étaler dans ses conneries.

C'est quoi cette attaque personnelle?

Je ne comprends pas: vous soutenez tous Ndless, qui exploite des failles de sécurité des TI-Nspire pour rendre le pouvoir au possesseur de la machine, mais quand quelqu'un trouve des failles permettant de faire la même chose sur toute une classe d'autres machines, vous paniquez.

tpm = chip qui fait les calculs RSA en dehors du PC, en gros une smartcard soudée, c'est safe, ca marche, ca faisait peur aux libristes avant que microsoft donne un grub signé pour lancer ce qu'on veut (puis c'est très souvent désactivable).

Tu mélanges TPM et "Secure Boot" (Restricted Boot) là.

c'est toi qui mélanges et qui n'y connais rien, visiblement.

Renseigne toi, vraiment. c'est pas pour t'emmerder mais tu n'as pas les bonnes infos.

je n'ai pas envie de débattre de détails d'horticulture avec une personne persuadée que les carrottes sont bleues.

Lurk moar, et reviens.

Kevin Kofler (./722) :

Godzil (./715) :
1- TrustZone provoque des peurs irrationnelles chez certains a l’image du TPM à l’époque.
TPM est la, utilisé et... le monde ne c’est pas ecroulé.

Toutes ces technologies servent à nous retirer le contrôle de nos machines à travers des DRMs restrictifs.

Blablabla

Kevin Kofler (./722) :
Et si c'est réellement utilisé "contre les malwares et autres potentiels hack", ça veut dire que tu as une plateforme totalement fermée qui n'accepte que du code signé (TrustZone permet aussi d'imposer en matériel les signatures de code, l'article en parle), toute forme de jailbreak ou d'installation de code perso serait impossible sans contourner le système (par exemple justement avec l'attaque de l'article). Mais à ma connaissance, même les iTrucs ne sont pas fermés à ce point. L'attaque serait aussi difficile à effectuer dans de telles conditions (cf. plus bas).

Non, tu peux securires le code noyaux sans bloquer l'installation d'app 3rd party au travers une sandbox ou autres moyen equivalent.
C'est ce que fait iOS, et Android (au travers de Java)

Kevin Kofler (./722) :

TrustZone sert aussi à sécurisé la crypto comme celle pour tes donnée perso.

C'est l'argument de vente, mais en réalité, "sécuriser la crypto" veut dire de te cacher ta propre clé de cryptage et donc te verrouiller au matériel.

A vrai dire si tu utilise la meme clef pour crypter tous les disques dur de tous tes PC, il y a pas mal de choses que tu n'a pas compris. Tes donnes sont accessibles, et il est plus que preferable que la clef privé ne soit justement pas accessible, meme par l'utilisateurs.

Kevin Kofler (./722) :

La faille elle n’est pas spécifique à TrustZone, mais au chip dans son ensemble. Pourquoi TrustZone comme exemple ? Parce que c’est sensé être assez bien sécurisé et, si pas impossible, très difficile à attaquer.

La faille fonctionne en manipulant les paramètres du noyau de la machine. Pour effectuer l'attaque, il faut être capable d'exécuter du code natif sur la machine, en plus avec des privilèges suffisants pour modifier les paramètres de gestion d'énergie du noyau. Ces paramètres ne se changent pas avec du JavaScript dans le navigateur.

Lapin?

Kevin Kofler (./722) :

C’est effective une faille majeure si c’est aussi simple à utiliser qu’ils m’en dise’t qui va être difficile à corriger/protéger..

Tant mieux. Mais à mon avis, la mitigation est malheureusement plutôt simple, le noyau va valider les combinaisons autorisées et refuser de configurer autre chose.

C'est tellement facile d'ecrire dans des registres memoire sans passer par le kernel que ton argument frise l'incompétence.

Attends, tu veux dire que l'accès aux ports matériels n'est pas protégé, sur un matériel qui se veut "sécurisé"? Dans ce cas, la faille est bien là, il y a probablement des attaques plus dangereuses que CLKSCREW dans ce cas, autant contre le DVFS (destruction du matériel par survoltage) que contre d'autres ports. Sur tout matériel sécurisé qui fonctionne correctement, seul du code privilégié (donc le noyau) a accès à ces ports. On n'est pas sur une TI sans MMU!

Effectivement, dans un SoC TZ même sans MMU, il y a un MPU et des bits de sélection, et donc on peut choisir quels périphériques sont uniquement disponibles en mode Secure.

Les cores bootent en mode secure, démarrent l'OS sécurisé et réservent les ressources nécessaires, puis basculent ASAP (dans le bootloader) en mode non secure et bootent l'OS normal. A partir de ce moment le mode secure ne peut démarrer que via le trap/svc qui va bien.

Ne pas oublier que c'est TRANSVERSAL, donc la différence superviseur/user est indépendante, il y a un mode superviseur secure, user secure, superviseur notsecure, user notsecure.

c'est un jeu complet de registres isolés, rien de plus, il n'y a aucune intention de fournir la virtualisation permise par la séparation kernel/user.

/dev/mem

Normalement /dev/mem ne peut pas accéder aux zones de mémoire de TZ car l'enforcing est sur le bus. donc même le DMA ne peut pas.

Tu connais des failles par ce moyen?

Je ne parle pas de TZ mais d’accéder à des registres en lien avec largument de Kevin que "on va combler le truc en rajoutant dans les drivers des test sur les valeurs"*.

Franchement, vu les contraintes d'un truc comme TrustZone je doute que beaucoup de drivers sont fait pour travailler la dedans.**

Prends linux (facile on a les sources) les drivers sont tous en mode "standard" kernel

* Soit dit en passant un driver bien ecrit fait deja ca.
** Une partie du hardware qui est, en theorie, aussi peu relié avec la securite tel que DVFS a peu de chances d'etre mis en zone securitaire.

Tiens le support des trustzones est inexistant dans le kernel linux (officiellement) avant le 4.12, et il n'est pas recommandé d'avoir le kernel dans la zone secure: https://community.arm.com/processors/f/discussions/4100/can-a-linux-kernel-run-as-a-trustzone-secure-os
Donc je suis pret a parier que quasiment aucun registres hardware n'est mis dans la zone secure et que si elle est utilisé c'est uniquement pour de la crypto et choses lié a la crypto

En même temps, si tu accordes l'accès à /dev/mem à n'importe qui, tu peux laisser tomber tout de suite

Zerosquare (./730) :
En même temps, si tu accordes l'accès à /dev/mem à n'importe qui, tu peux laisser tomber tout de suite

Beaucoup d'appareils embarqué sous linux ont leur appli principale tournant en tant que root...

Et c'etait vraiment que pour illustrer que le driver peux etre tres facilement bypassé. D'ailleurs je suis pret a parier que l'exploit ne passe pas par un driver.

il n'est absolument pas prévu que linux tourne dans le mode secure (même si c'est un exercice amusant )

Le mode secure est réservé au trusted OS et aux trustlets, dont le code est certifié. c'est comparable aux applets javacard et a GlobalPlatform pour les cartes a puce. Et personne ne s'en plaint.

Ce sont des sous-programmes utilitaires et très basiques (stockage de clé RSA et vérification de signatures).

Tout programme complexe serait quasiment impossible a certifier.

En tout cas il n'est pas possible de lancer du code arbitraire dans TZ, il faut forcément faire valider son code par le fournisseur qui délivre une signature.

sauf, dans certains CPUs qui permettent de booter du code user dans trustzone, comme les iMX6, je crois, bref, le CPU du Novena, ou la clé USB Armory.

Bref, un driver comme DVFS n'est pas en trust zone, donc les registres sont accessible au commun des mortels via un escalade de priviliege classiques.

wala.

Je n'ai jamais dit que les registres DVFS seraient protégés par la trust zone, ils sont protégés par le mode superviseur comme partout ailleurs. Il faut déjà faire tourner du code dans le noyau pour changer les réglages sans passer par la validation du noyau, ce qui impliquerait une faille (logicielle, corrigible) dans le noyau, indépendante de la faille matérielle. Donc le noyau est bien le bon endroit pour valider les réglages.

Et pour attaquer autre chose que la technologie TrustZone, la faille est absolument sans intérêt parce qu'il faut plus de privilèges pour l'exploiter qu'elle ne permet d'obtenir. C'est pour ça que je dis que cette faille ne vise absolument pas les utilisateurs.

ils visent les utilisateurs car ils pensent que trustzone est inviolable

En tout cas, je reste de l'avis que ce hack est, selon les circonstances, au mieux un bon hack comme Ndless et au pire une attaque théorique sans utilisation réelle et que la panique est donc entièrement injustifiée.

Oui le meilleur amis des rootkit en effet, c'est un bon hack.

C'est effectivement un bon hack, oui.

Godzil (./738) :
Oui le meilleur amis des rootkit en effet, c'est un bon hack.

Le meilleur ami des jailbreaks, des stream capturers etc., <SARCASM>tous de méchants pourriciels anti-utilisateur!!!!!!!!!!!!!!!!1111111!!!!!!!!!!!!!!!!!!!!!</SARCASM>

Non mais cherchez pas : l'idée qu'on puisse vouloir utiliser de la crypto pour soi est étrangère à Kevin, dans la mesure où toute sa vie est déjà publique, et qu'à son grand dam elle n'intéresse personne.

Oui en effet, le cryptage des données utilisateurs pour contrer les méchants gouvernements capitalistes inquisiteurs c'est le mal absolu !

Petits trucs amusants sur l'a(bsence de) sécurité des objets connectés pour adultes : lien potentiellement NSFW.

Je m'abstiendrai de tout commentaire tendancieux.

(Tiens, j'avais jamais spécialement pensé qu'il y avait des batteries. C'est bien sûr évident, mais c'est sans doute mieux d'éviter les contrefaçons )

(vaut mieux, ouais )

But now one could drive the Hush’s motor to full speed, and as long as the attacker remains connected over BLE and not the victim, there is no way they can stop the vibrations.

Le premier trou de sécurité par lequel on risque vraiment de se faire enculer grave.

Excellent Kevin

Finalement, c'était moins embêtant à l'époque où ça utilisait des ondes radio courte portée ^^

Oui mais c'etait mieux car il yavais une plus grande antenne ##ours##

Les ours ont des antennes ? Je ne croyais qu'on ne voyait ça que sur les insectes.