Archives par mot-clé : cdaisi

Piratage : Coupure de courant en Ukraine à la suite d’un acte 2.0 contre une centrale

Coupures de courant en Ukraine à la suite de l’attaque informatique à l’encontre d’une centrale électronique.

Les professionnels de la sécurité des systèmes d’information alertent depuis quelques années sur les vulnérabilités, les failles et les défauts de sécurisation dans les systèmes industriels. L’attaque Stuxnet en 2010 a non seulement démontré que ce genre d’attaque pouvait endommager un système SCADA mais a aussi généralisé l’outillage et le mode opératoire, pour être exploitable par des non experts.

Le 23 décembre 2015, une variante du logiciel malveillant Black Energy a paralysé plusieurs centrales électriques Ukrainiennes, causant une coupure électrique dans une des régions du pays. Avec cette attaque et 5 ans après Stuxnet, on voit bien que la menace ciblant les systèmes industriels SCADA est plus que jamais présente et constitue un risque réel pour les infrastructures vitales d’un pays.

Conçu au départ en 2007 comme Cheval de Troie pour mener des attaques en Déni de Service Distribués (DDOS), BlackEnergy a mué au fil du temps en un outil modulaire et sophistiqué, capable de passer inaperçu et conçu comme une boite à outil pour contourner les antivirus, mener des campagnes de fraude sur les banques en ligne ou des attaques ciblées.

La Loi de Programmation Militaire aborde ces aspects de protection contre les cybermenaces et liste les mesures de sécurité à mettre en œuvre en vue de protéger les infrastructures vitales. Afin de se préparer au mieux contre des attaques visant des OIV (Opérateur d’Importance Vitale), il faut effectivement mettre en place des mécanismes de protection et de cloisonnement entre les réseaux SCADA et les autres réseaux ; mais encore faut-il avoir la visibilité et l’intelligence pour détecter les intrusions au niveau applicatif.

La solution pourrait venir de l’Analyse Comportementale ou des “Analytics” qui consistent à agréger, corréler et interpréter des informations issues des infrastructures réseaux et applicatives. La société F5 Network propose ce type d’outil, capable de détecter différent types de malwares qu’ils soient génériques ou ciblés. En novembre dernier, le HackFest Canada 2015, proposait un concours de hacking éthique sur le thème, entre autres, du piratage d’infrastructures SCADA.

En France, la licence CDAISI (Licence Professionnelle Cyber défense, anti-intrusion des systèmes d’information) de Maubeuge apprend aux informaticiens (à partir de bac +2) à réfléchir comme un pirate informatique afin de mieux les contrer propose des cours sur ce thème.

Dans le cas des centrales électriques Ukrainienne, le cheval de Troie BlackEnergy a ciblé et exploité des postes de travail des opérateurs, donc « légitimes », en utilisant des vulnérabilités connues comme vecteurs d’attaques. Une fois installé sur le poste de l’opérateur, Black Energy a eu le champ libre pour intercepter les crédentiels (couples nom d’utilisateurs / mots de passes) utilisés par les opérateurs en charge des systèmes SCADA. Rien de magique. Un pirate malin, un courriel bien ciblé, des ordinateurs nons sécurisés, ni mi à jour et le tour était joué. la cible est moins conventionnelle.

Face à ce mode opératoire, la solution est de mettre en place des technologies de protection contre la fraude qui permettent d’avoir une visibilité sur les activités frauduleuses initiées depuis le poste de l’opérateur d’un système SCADA. L’objectif étant de détecter les comportements identifiables d’un malware et de brouiller, par exemple, les crédentiels collectés lors de l’utilisation d’un navigateur Web, comme le fait BlackEnergy.

Fic 2014 – réponses aux épreuves du challenge Forensic

Voici la première partie des réponses concernant les épreuves du challenge Forensic proposé par les étudiants de la licence CDAISI lors du Forum International de la Cybersécurité 2014. Les 21 et 22 janvier derniers, la ville de Lille a reçu le 6ème Forum de la CyberSécurité. Pour la première fois, un Challenge Forensic (recherche de trace, Ndr) a été proposé. Le mardi 21, les étudiants de la licence CDAISI (Collaborateur pour la Défense et l’Anti-intrusion des Systèmes Informatiques) de l’Université de Valencienne (Antenne de Maubeuge) ont proposé une vingtaine d’épreuves. Étant l’animateur de ce rendez-vous, et que vous avez été très nombreux (et le mot est un doux euphémisme, Ndr) à demander les réponses aux épreuves, voici la première partie du Challenge Forensic FIC  2014. Le challenge FIC a eu pour objectifs, en distinguant quelques profils prometteurs, d’encourager et de valoriser chaque année, les métiers liés au Forensic et à la lutte informatique défensive. Vous allez comprendre pourquoi des étudiants, mais aussi des professionnels de chez Google, Thalès, … sont venus tâter du bit à la sauce ethical hacking [Voir]. Les premières épreuves que nous vous présentons ici sont signées par Lucas R., Florian E., Julien G.. Ils étaient encadrés par Thibaut Salut. Retrouvez les réponses de la première partie de ce challenge sur zataz.com. La suite sera diffusée lundi prochain, le 27 janvier.

L’épreuve du Morse
Un exécutable, codé en python, reposait sur l’exécution de print et de sleep. Chaque participant récupérait un exécutable qui, une fois lancé, affichait des lignes en hexadécimal. Ils devaient découvrir deux intervalles différents lors de l’affichage des lignes. Un court intervalle court qui correspondait à un point et un intervalle long qui correspondait à un tiret. En faisant la correspondance avec un tableau morse, on obtenait alors les coordonnées géographiques d’un toit dans un parc d’attraction, en Australie, sur lequel est écrit Big Brother. Big Brother était la clé qui permettait de passer à l’épreuve suivante.

Epreuve Scapy
L’idée de cette épreuve, dissimuler la clé dans les paquets ICMP. Pour cela, il a été utilisé un framework python spécialisé réseau nommé Scapy. Un petit script a envoyé les paquets ICMP modifiés à l’adresse voulue. Il suffisait d’exécuter le script et faire une capture Wireshark. Les participants recevaient une capture Wireshark contenant plusieurs milliers de trames. Parmi toutes ces trames, se trouvaient des trames ICMP dont le champ ID avait été modifié. Les candidats devaient alors, soit écrire un script permettant de récupérer le champ ID, soit le faire à la main en regardant le détail de chaque trame avec Wireshark.

Epreuve Windows
Pour créer l’épreuve, il a été utilisé une machine virtuelle Windows sous Virtual box. Pour modifier les shellbags, juste brancher une clé USB avec le dossier voulu, et attendre un peu que les shellbags soient modifiés. Chaque participant avait à sa disposition une machine virtuelle Windows. Son but était de retrouver le nom d’un dossier stocké sur une clé USB qui auparavant avait été branchée sur la fameuse machine virtuelle. Il suffisait d’utiliser des logiciels comme Windows ShellBag Parser (sbag) afin de remonter aux traces.

Epreuve de l’icône
Dans cette première étape, 2 fichiers : un fichier texte et un fichier ReadMe dans lequel se trouvait le sujet de l’épreuve. La partie 1 consistait à retrouver le mot de passe de l’épreuve 1. Il était dissimulé dans le fichier epreuve1.txt. Ce dernier est en réalité non pas dans le contenu du fichier texte mais dans l’icône de celui-ci. Le mot de passe était : funnyh4ck.

Epreuve archive
Les participants recevaient une archive contenant un dossier contenant lui-même un certain nombre d’images, un fichier ReadMe.txt (dans lequel se trouvait le sujet de l’épreuve) et un fichier chiffré comportant l’extension .axx. Il fallait donc, dans un premier temps, savoir ce qu’était un fichier .axx. Après une brève recherche, on s’apercevait que ce fichier était chiffré à l’aide de l’outil AxCrypt. Les challengers devaient ensuite déduire qu’il fallait un mot de passe, ou un fichier clé, pour lire le .axx. Etant donné qu’un dossier rempli d’images était donné aux candidats, ils devaient en déduire qu’un fichier avait été caché parmi elles. Cacher un fichier dans un autre est le principe même de la stéganographie. Ils devaient alors récupérer à l’aide de l’outil de leur choix (steghide par exemple), un éventuel fichier dans l’une des images fournies. Pour retrouver la passphrase, il suffisait de regarder les commentaires de l’archive : cdaisi. Une fois le fichier clé retrouvé, il suffisait de lancer AxCrypt, préciser le fichier clé et lancer le déchiffrement.

Epreuve Blowfish
Il fallait que le candidat déduise que le fichier proposé était crypté en blowfish-cbc. Dans le fichier ReadMe qui lui avait été proposé, il y avait des informations importantes. Il suffisait de regarder quel genre de chiffrement prenait deux paramètres. Blowfish prends 2 paramètres en hexadécimal, cependant les éléments donnés sont en ASCII et en base64. Il fallait donc les convertir. La commande pour le déchiffrer était la même que pour chiffrer sauf qu’il suffisait d’ajouter -d à la commande pour préciser l’action de déchiffrement. Une fois le fichier déchiffré, on obtenait un fichier texte contenant une suite de chiffre qui, à première vue, n’a rien de spécial. Sauf qu’il y avait un message caché : « Le Losc ira en champions league l’année prochaine. Félicitation : Vous avez réussi l’épreuve =) » Il ne restait plus qu’à tester cette phrase avec le fichier testEXE.!

La suite des solutions, le 27 janvier.