You are on page 1of 28

HERV SCHAUER CONSULTANTS

Cabinet de Consultants en Scurit Informati ue de!uis "#$# S!cialis sur Uni%& 'indo(s& TC)*I) et Internet

Berlin 27-30 d em!re 2010 - Mardi 8 fvrier 2011 Ben"amin #rnault $Ben"amin%#rnault&'( %fr) *uillaume +e'em!re $*uillaume%+e'em!re&'( %fr)

OSSIR Compte rendu 27C3

,lan
Prsentation de la confrence Faits marquants Rsum des confrences intressantes

2/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

27C3
CCC = Chaos Computer Club 27me dition de la confrence depuis !8" #
$ %e come in peace &

'erlin ()le*anderplat+ , 'erliner Con-ress Center. du 27 au 3/ dcembre 2/ / 0roit d1entre trs raisonnable (7/2 pour les "3.
45stme de pr67ente depuis cette anne pour le tic8et "3 Possibilit d1acheter des places 9 la 3ourne (ou 9 la soire.

Confrences de midi 9 minuit pass :6.


; // confrences< ;7=> en an-lais< pro-ramme 7olutif # 3 salles en simultan ? streamin-< 0@CA et crans BC0
3/28
Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

27C3
Confrence $ Cnder-round &< plus que 0efcon 0e nombreuses acti7its paralllesDDD
Crocheta-e de serrure Construction de robots en Be-o Cration de circuits lectroniques (tlcommande uni7erselle. Rseau E4F alternatif Gols d1hlicoptres 9 " hlices Hmpression en 30 Ieu* de lumire DDD

"/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

-ait( mar.uant( 2010


Confrences E4F
Cassa-e d1une communication 7oi* E4F en direct a7ec deu* tlphones 9 J / Bes a7ances du pro3et Ksmocom'' @*ploitation de 7ulnrabilits au ni7eau $ baseband & Eolocalisation )ndroid

RFH0 4)P $ @pic F)HB P43 &

=/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

*SM Sniffin/ 0ar(ten 1o'l 2 S3lvain Munaut


0monstration en direct de l1interception d1une communication 7oi* sur l1un des rseau* mobile allemand Plusieurs tapes
Hdentification de la 7ictime 9 la cellule prs
Hnterro-ation publique de MBR ( HF4H et 7ille. 4F4 silencieu* ( B)C N AF4H.

Ctilisation de deu* tlphones 9 J / modifis utilisant Ksmocom'' (interception d1appel N sui7i des sauts de frquence. Chiffrement )=/ cass 9 l1aide de $ RainboO Aables & (Pra8en.
Rcupration de la cl de session

@*traction de la 7oi* #

L/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

*SM Sniffin/ 0ar(ten 1o'l 2 S3lvain Munaut


Principau* problmes :
Qon chan-ement des cls de sessions a7ant un appel ou un 4F4 (confi-uration dpendant de l1oprateur. 'ourra-e prdictible dans les trames E4F Chan-ements peu frquents des AF4H

Hnterception de donnes EPR4/@d-e pas encore possibleDDD 9 sui7re

7/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

O(mo omBB 4arald 5elte 2 Steve Mar6/raf


Ksmocom'' = Kpen 4ource Fobile Communication 'ase'and Pro3et n en Ian7ier 2/ / )ctuellement< quatre implmentations fermes sont utilises par les fondeurs de puce $ baseband & )pproche adopte :
Ctiliser des puces $ baseband & lar-ement rpandues< bon march< aussi simple que possible et dont certaines informations ont fuit @* : Ae*as Hnstrument Cal5pso< Fediate8 FAL22*

Ksmocom'' implmente les couches 9 3< les pilotes matriels pour la puce $ baseband &< une ECH simpliste (tlphone N PC.
8/28

Couche

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

sur le tlphone< couche 2 N 3 sur le PC

O(mo omBB 4arald 5elte 2 Steve Mar6/raf


Ra fonctionne # 0monstration d1un appel sur l1un des rseau* mobile allemand Hmplmentation permettant d1en7o5er des trames arbitraires au* quipements oprateurs ('4C< F4C< 4F4C< etcD.DDD Bimitations actuelles : pas de mesure de cellules ad3acentes< pas de handover< pas de trafic donnes (EPR4. $ Ba scurit ACP/HP de7ient ennu5euseDDD il faut passer 9 autre chose &

!/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

SMS-O-7eat' 1i o *olde 2 Collin Mulliner


4F4 : 7ecteur d1attaque pri7il-i Hn3ection de 4F4 pr6encods au format P0C (Kpen'A4. 0o4 sur la plupart des tlphones tests
$ Feature phone & : Qo8ia< BE< 4amsun-< Fotorola< 4on5 @ricson< Ficroma* SHndeT Certains n1acquittent pas 9 la 4F4C les 4F4 pi-s reUus 0o4 9 rptition ##

Vuid d1une attaque de masse entraWnant la reconne*ion de centaines de milliers de tlphones en simultan X 4olution : F)I fir !areDDD Ua e*istait a7ant l1a7nement des ordiphones (s artphone. X

//28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

8'e !a(e!and apo al3p(e Ralf ,'ilipp 5einmann


Ara7au* sur les corruptions de mmoire dans les piles des tlphones : possibilit d1e*cution de code au ni7eau des processeurs $ baseband & X Ba scurit lo-icielle de la partie $ baseband & date des annes !/D
Pas de canaris< QY< )4BR< etcD

Plusieurs 7ulnrabilits dcou7ertes par in-nierie in7erse au ni7eau 3 des piles E4F en anal5sant les fir !are ou en e*tra5ant la mmoire
0bordement de tampon dans le dfi/rponse E4F/CFA4 che+ Vualcomm 0bordement de tas dans le AF4H che+ Hnfineon (CG@62/ /63838 , e*ploitable sur iPhone.
/28
Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

#ndroid /eolo ali(ation u(in/ *SM net9or6 Renaud +if 'it:


Eolocalisation sur )ndroid : 2 mthodes
)PH Eoo-le utilise par Faps< peu documente Eeolocation)PH utilise par Eoo-le Eears Z la meilleure

)ccs 9 la lon-itude< latitude et adresse complte Hnformations intressantes


)ppels : numros et dure 4F4 : format P0C :6.

Fo5ens pour accder 9 l1information


Permissions applicati7es Becture des 3ournau* )ndroid
/de7/lo-/s5stem /de7/lo-/radio (position.
2/28
Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

#ndroid /eolo ali(ation u(in/ *SM net9or6 Renaud +if 'it:


4cnarios d1attaque
)ccs ph5sique< utilisation du mode de debu- C4' et lecture des lo-s Hnstaller une application
0isposant des bons pri7il-es )CC@44[CK)R4@[BKC)AHKQ ou )CC@44[FHQ@[BKC)AHKQ ? HQA@RQ@A @n7oi direct de la position R@)0[BKE4 ? HQA@RQ@A Copie des donnes de /de7/lo-/radio 7ers /de7/lo-/s5stem Crash de l1application puis en7oi du rapport au d7eloppeur :6. Vui utilise l1)ndroid Q0P (Qati7e 0e7elopement Pit. )ppel de fonctions nati7es (C/C??. qui s1e*cutent hors de la sandbo"

)nnonce une application permettant de dresser la carte Emaps du parcours du tlphone a7ec appels et 4F4
3/28
Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

I( t'e SS+iver(e a (afe pla e ; ,eter < 6er(la3 2 =e((e Burn(


Aest de tous les sites HP7" accessibles sur le port ""3/ACP Carto-raphie de tous les C)
=2 pa5s Plusieurs problmes
Cls errones (3////. Fau7aises si-natures (=// dont diplomatieDbe. Certificat pour localhost< mail ou des adresses de rseau* internes @*tended Galidation non respect DDD

Prolifration : 2=2 sous6C) pour 0eutsche Aelecom #


Firefo* et H@ -ardent en cache des C) intermdiaires #

'ase de donnes ( 2Eo. et carto-raphie des C) disponibles


"/28
Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

7ata Re over3 8e 'ni.ue( ,eter -ran 6


Pr6requis 9 la rcupration de donnes
)tmosphre saine< microscopes< beaucoup d1ordinateurs< de disques et de c\bles

0ifficults
0-\ts ph5siques< corruption des parties lo-icielles< dfauts du contr]leur DDD

@n fonction de l1ampleur des domma-es<


Fatriel spcifique peut ^tre ncessaire @n dernier recours l1ima-erie 9 force atomique

)ccs au fir !are du contr]leur d1un disque


Conne*ion des c\bles au* PHQ utilises pour dfinir l1tat du disque Hn7ite de commande permet alors de lire/crire des informations
=/28

@* : Bire les tempratures ou modifier le numro de srie #


Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

-ro:en Ca 'e =>r/en ,a!el


Ba R)F contient des donnes sensibles (cls cr5pto-raphiques< mots de passe< etcD.
Rcupration d1informations pendant quelques minutes (Cold 'oot )ttac8.

Hde : stoc8er ces informations dans le cache du processeur


Re-istre CR/ (*8L. contr]le la mise en cache

_tapes : Hnscrire les donnes sensibles dans les re-istres du processeur< effacer les donnes en R)F< -eler le cache CPC< crire les donnes des re-istres dans le cache Protection 9 acti7er lors d17nements prcis (mise en 7eille< 7errouilla-e de l1cran. car les performances du s5stme sans cache processeur sont asse+ catastrophiques #
L/28
Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

8'e 4idden 1eme(i( Ralf ,'ilipp 5einmann


)ttaque ph5sique sur des ordinateurs portables
7ia le contr]leur embarqu (contr]leur de cla7ier amlior.
acti7 ds qu1un poste est aliment< m^me si celui6ci est teint #

)ccs ph5sique court et dp]t d1une porte drobe Porte drobe permettra
d1enre-istrer des donnes dans la mmoire de les communiquer par
CPC 7ia l1)CPH< B@0 ou DDD Bampe 7eilleuse qui dispose d1une li-ne 9 /Fh+ et ainsi peut ser7ir d1antenne #

Pour ce prot-er d1une modification de fir !are


base de donne fiable des bonnes 7ersions et de leurs empreintes
7/28
Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

Root6it( and 8ro3an( on 3our S#, land( ape <rtun/a #r(al


Panorama des attaques
@nre-istrement d1un ser7eur au ni7eau du rpartiteur de char-e : FiAF @*cution de commande distante sur s5stme sous63acent 7ia
RFC directement 40P et pro-ramme de test startrfc Commandes intressantes Bectures de tables Cration ou modification de la table des utilisateurs @*cution de code )')P

Rcupration de la cl pri7e utilise pour crer des tic8ets 44K Hn3ection de code )')P et de requ^tes 4VB Compromission du client 7ia 4)PECH
8/28
Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

7i(tri!uted -,*# 1um!er for t'e ma((e( -eli? 7om6e


Kb3ectif : Casser le chiffrement 0@4 des fir !are utiliss sur la $ Ariforce )rcade 45stem 'oard & (4@E). 9 moindre co`t en moins d1une semaineD Co`t :
?3// processeurs Hntel Y="L/ 9 3< LEh+ : ;J =/8 ?3// P43 : ;J!38 ? de7 =/EPC : ;J"=8 2/ -roupes de 3 FPE) Yilin* : ; 8 d1occasion sur @ba5 :6. ? de7

Kutil Crunch5 permettant de distribuer les t\ches sur les FPE)D

!/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

#nal3(in/ a modern r3pto/rap'i R-I7 (3(tem Milo(' Meria 2 4enri 6 ,l@t:


MH0 iClass 0ans le mode de scurit standard : deu* cls parta-es
une pour l1authentification (0@4. une pour le chiffrement (30@4.

)chat d1un lecteur R%"//


0cou7erte d1une interface de pro-rammation PHC sur un connecteur L PHQ Contournement du dispositif anti6copie e*traction des mmoires FB)4M et @@PRKFD 0cou7erte des deu* cls

RFH0 : encoda-e de la norme H4K =L!3 a7ec des commandes spcifiques (lecture< criture< authentification< etcD. qui ont pu ^tre dcou7ertes
2//28
Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

Rever(e <n/ineerin/ a real-9orld R-I7 pa3ment (3(tem - 4arald 5elte


45stme @as5Card == QYP FiF)R@
Ctilis pour les transports et le paiement en ma-asins (F)Y 2"/2.

Faille
4toc8a-e du crdit de l1utilisateur dans la carte

0marche
Rcupration des cls (mthode 0ar8 4ide a7ec 8it FFCCP. Ralisation de nombreuses transactions l-itimes
Hdentification de la si-nification des champs de la carte

Fodification du contenu
Rduire le crdit )u-menter le crdit Passer outre la limite 3ournalire de dpense
2 /28
Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

<m!edded rever(e en/ineerin/ tool( 2 te 'ni.ue( 1% -ain 2 A% A3/onet(


Hntroduction didactique au hac8in- matriel Hnterface srie : anal5ser les tensions sur chaque PHQ
Kutil : R4232@num (bas sur )rduino.

Hnterface IA)E : proche de rsistance de tira-e de "D78


Kutil : IA)E@num (bas sur )rduino.

@*traction des informations directement d1une puce


)7ec un peu de documentationDDD

0cou7rir la lo-ique derrire les circuits imprims


Kutil 0ePC' bas sur 0eEate

22/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

OM* 58- ,7=ulia 5olf


)dobe Reader = = millions de li-nes de code P0F = format normalis par une norme H4K
Fais aucune mthode de 7alidation du format # Qombreuses fonctionnalits
KpenEB< )0'C< e*cution flash< 3ouer des sons ou des 7idos et e*cuter du 3a7ascript DDD @*cution de code 3a7ascript dans le na7i-ateur 9 partir du 3a7ascript du P0F

@nsemble des rfrences prsentes dans un ficher P0F ne sont pas 7alues 9 l1anal5se du fichier #
Hde : inclure du code mal7eillant dans un fichuer P0F

23/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

OM* 58- ,7=ulia 5olf


Failles
)ucune r-le ne dfinit qui 7a pr7aloir
dfinition de la lon-ueur dlimiteurs

/2" premiers octets peu7ent ^tre de tout t5pe


-if< 3pe-< +ip< e*e

P0F peu7ent facilement s1inclure dans un fichier EHF ou MAFB

Rsultat d17asion 7is 9 7is des solutions anti7irus


4olutions anti7irus ne sont pas encore matures pour dtecter tous les fichiers P0F for-s

2"/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

Son3 at i: 4app3 B

2=/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

Con(ole 4a 6in/ 2010 ,S3 <pi -ail -ail0verflo9


Kb3ectif : e*cuter du code et installer Binu* )nnonce du s5stme d1e*ploitation )bestK4
4e char-e en mmoire 9 la place du EameK4

Faille critique == @PHC F)HB


0ans l1utilisation des courbes elliptiques pour la si-nature des pro-rammes
0es paramtres sont publics< 2 ne doi7ent pas l1^tre m et 8 (la cl pri7e. m est doit ^tre une 7aleur alatoire 9 chaque si-nature 4on5 n1a pas utilis /de7/random mais une constante #

Fail/7erfloO a eu ainsi accs 9 la cl pri7e 8 permettant de si-ner tout pro-ramme

2L/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

Con(ole 4a 6in/ 2010 ,S3 <pi -ail -ail0verflo9

27/28

Copyright Herv Schauer Consultants 2011 - Reproduction Interdite

Con lu(ion
Confrences trs intressantes
Comme d1habitude< du trs bon et du trs mau7aisDDD

'onne ambiance Gidos (FP". et/ou audio (FP3/KEE. disponibles


http://e7entsDcccDde/con-ress/2/ //Oi8i/Conference[Recordin-s

Prsentations et documents
http://e7entsDcccDde/con-ress/2/ //Fahrplan/
28/28
Copyright Herv Schauer Consultants 2011 - Reproduction Interdite