Vulnérabilités pour les caméras de surveillance Guardzilla Indoor Security

Des experts en cybersécurité passent au banc d’essai la caméra de surveillance pour la maison, Guardzilla Indoor Security. Ils découvrent de nombreuses vulnérabilités.

Guardzilla produit des caméras de surveillance, discrètes, faciles à utiliser et à installer à la maison. Il s’agit de produits très abordables dont l’objectif principal est de fournir une sécurité physique contre l’effraction. Elles s’intègrent également de manière transparente aux réseaux domestiques et sont faciles à utiliser via des smartphones et une application Guardzilla dédiée. Il n’y a pas de frais et de coûts supplémentaires associés au produit.

Un produit assez populaire dans sa catégorie : plus de 100 000 installations et 4000 commentaires vérifiés enregistés par Google Play. En plus des utilisateurs d’Android, il existe une forte communauté Apple qui utilise Guardzilla. Les recherches de Bitdefender Labs estiment le nombre d’appareils Guardzilla activés à environ 410 000, ce qui donne un bon indice sur leur popularité.

Prise de contrôle à distance, accès au flux vidéo en direct…

L’analyse révéle de nombreuses vulnérabilités au sein de la caméra Guardzilla Indoor Security. Ces vulnérabilités peuvent être exploitées pour compromettre totalement la caméra, ce qui se traduitrait par un grave impact sur la vie privée de ses utilisateurs. Les criminels peuvent se connecter à distance à la caméra, avoir un accès complet pour faire fonctionner l’appareil, et également accéder au flux vidéo en direct.

Trois types d’attaques potentielles, offrant chacune un contrôle total à la caméra :

A – Prise de contrôle total de la caméra en altérant le service d’authentification Guardzilla et en usurpant l’identité d’un utilisateur légitime. En forçant brutalement des ID de comptes uniques, l’attaquant peut demander des noms d’utilisateurs (adresses e-mail) et des mots de passe et les modifier sans aucune confirmation.

B – Prise de contrôle total de la caméra et exécution du code à distance en exploitant un composant Cloud.

C – Obtention du contrôle total de l’appareil en usurpant l’identité d’une fausse mise à jour. Connaissant l’ID utilisateur et le mot de passe des périphériques (voir attaque A), l’attaquant peut accéder au système en abusant de la commande de mise à jour à distance.

Informé en août 2018, le fabricant n’a pas donné suite aux alertes

Les chercheurs ont établit un premier contact avec le fournisseur en août 2018. Ils demandent une clé PGP ou un canal sécurisé pour une divulgation privée des vulnérabilités. Aucun accusé de réception, ni réponse. Après une relance en septembre 2018, les CVE (Common Vulnerabilities Exposures) suivants : CVE-2018-18600, CVE-2018-18601, CVE-2018-18602 en préparation pour publication. Ces CVE accordés en moins de 24h. Finalité, un rapport publié. Une décision de diffusion motivée par l’absence complète de réponse du fournisseur. Le délai de 90 jours pour la divulgation des vulnérabilités expire. Bitdefender décide de prolonger ce délai. Une partie des vulnérabilités identifiées sont toujours à ce jour présentes dans le firmware de la caméra.

47 vulnérabilités dont 7 critiques corrigées en janvier 2019

De taille moyenne, le premier Patch Tuesday de l’année 2019 permet de résoudre 47 vulnérabilités dont seulement 7 sont considérées comme critiques.

26 de ces vulnérabilités concernent les serveurs Windows et des systèmes d’exploitation pour postes de travail. Deux des vulnérabilités critiques concernent Hyper-V et pourraient conduire à l’exécution de code à distance (RCE) sur le système hôte. En outre, Microsoft a publié un correctif en urgence en décembre pour les versions 9 à 11 d’Internet Explorer en raison d’attaques actives à l’aveugle. Quant à Adobe, l’éditeur a publié des correctifs en urgence la semaine dernière pour Acrobat et Reader afin de résoudre deux vulnérabilités critiques.

Patches pour postes de travail

Les patches pour les navigateurs et le moteur de script sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à sa messagerie ou à Internet depuis un navigateur. Concernés, les serveurs multi-utilisateurs comme poste de travail distant. Quatre des sept vulnérabilités critiques concernent Chakra / Microsoft Edge. ils devraient être traitées rapidement pour ces types de systèmes.

Patch pour IE en urgence

Le 19 novembre, Microsoft a publié un patch en urgence (CVE-2018-8653) pour les versions 9 à 11 d’Internet Explorer à cause d’attaques actives en mode aveugle contre cette vulnérabilité. Ce patch est également une priorité pour tous les équipements de type poste de travail.

Hyper-V

Deux des vulnérabilités concernent Hyper-V et pourraient conduire à un exploit de type Évasion de machines virtuelles (VM). Microsoft les considère comme moins susceptibles d’être dangereuse, mais le déploiement de ces correctifs critiques sur les hôtes Hyper-V doit rester prioritaire.

Patches Adobe

Adobe a publié des patches pour Flash, mais ces derniers ne contiennent pas de mises à jour de sécurité. Des patches sécurité publiés pour Adobe Digital Editions et Adobe Connect afin de traiter deux vulnérabilités CVE importantes. En outre, Adobe a publié des patches urgents pour traiter deux vulnérabilités critiques dans Acrobat et Reader.

Ces patches doivent également être déployés en priorité sur tous les équipements de type poste de travail. (Par Jimmy GrahamThe Laws of Vulnerabilities)

10 ans de prison pour des DDoS à l’encontre d’hôpitaux

Un internaute de 34 ans condamné à 10 ans de prison pour avoir lancé des attaques de DDoS, sous le masque Anonymous. Ils voulaient punir des centres de soins américains.

Dix ans de prison pour un DDoS critique ! Toute l’affaire débute en avril 2014. Un internaute, s’annonçant comme membre Anonymous, lance plusieurs attaques informatiques de type DDoS. Des Dénis Distribués de Services à l’encontre du Boston Children’s Hospital et du Wayside Youth Family Support.

L’Anonymous voulait soutenir une jeune fille, Justina Pelletier. Cette dernière, par décision médicale, avait été séparée de ses parents.

Bilan, une opération Anonymous s’organise, la #OpJustina.

Plusieurs internautes participent à « l’op », dont Martin Gottesfeld.

10 ans de prison !

40 000 routeurs, via un bot, utilisés pour lancer ce DDoS.

Reconnu coupable en août 2018, il écope aujourd’hui de 443 000 dollars de dommages et intérêts et 10 ans de prison.

L’attaque a été si puissante que l’hôpital de Boston mettra deux semaines pour relancer ses services. Un DDoS qui impactera, sans que cela soit prévu par le pirate, plusieurs autres hôpitaux de la région.

Le baron de la drogue El Chapo utilisait son propre réseau de communication chiffré

Joaquin Guzman, plus connu sous le pseudonyme d’El Chapo, l’un des plus important baron de la drogue utilisait un réseau de communication chiffré spécialement créé pour lui. Le FBI va réussir à le mettre sur écoute avec l’aide de son administrateur.

En informatique, la première faille reste l’humain. Le baron de la drogue mexicain Joaquin Guzman, alias El Chapo, aujourd’hui dans les mains des autorités américaines, en a fait les frais.

Pour converser avec ses clients et fournisseurs, El Chapo utilisait un réseau de communication privé et chiffré spécialement créé à son intention. Bilan,les autorités ne pouvaient n’y le suivre, ni l’écouter.

Un système de sécurité mis en place par un informaticien qui apparaît dans les documents du FBI sous le nom de Cristian Rodriguez, très certainement un pseudonyme.

Cristian se retrouve chez El Chapo. Son travail pour un autre baron de la drogue, le colombien Jorge Cifuentes, attire Guzman. De la VoIP interne sécurisée.

Seulement, le FBI a réussi à convaincre Rodriguez à collaborer.

Infiltration du FBI

Dans un premier temps, février 2010. L’agent du FBI se fait passer pour un dealer Russe. Il souhaite acquérir son système de chiffrement. Quelques semaines plus tard, le FBI « propose » de collaborer. L’histoire n’indique pas la proposition : argent, risque de prison, finir dans un bloc de béton …

Bilan, Rodriguez va migrer son serveur de communication au Pays-Bas. Préalablement installé au Canada, le serveur se retrouve aux Pays-Bas. Un pays choisi pour être plus souple avec les demandes de la justice américaine.

Finalité, l’agence fédérale a pu mettre sur écoute ce système chiffré. 1 500 appels téléphoniques sur écoute avec l’aide du service cybercrime (Team High Tech Crime) néerlandais.

L’existence de ce stratagème – et de plusieurs appels téléphoniques – a été révélée pour la première fois mardi 8 janvier 2019 lorsque Stephen Marston, un agent du FBI qui a aidé à diriger l’opération, a comparu en tant que témoin lors du procès de Guzmán.

Marston a déclaré aux jurés que l’étape cruciale de l’enquête consistait à recruter Rodriguez. Il fallait qu’il collabore avec les autorités américaines.

Les voix ont pu être comparées et authentifiées à partir, entre autre, d’une interview donnée par El Chapo à l’acteur Sean Penn pour le journal Rolling Stone.

El Chapo est locataire d’une prison fédérale américaine depuis 2016.

Espionnage des vidéos des sonnettes de porte d’entrée Ring

Les employés de la filiale d’Amazon, Ring, pouvaient consulter les vidéos et photos prises par les sonnettes de portes connectées installées partout dans le monde.

Ambiance espionnage pour la société Ring, filiale d’Amazon. Cette société, créée en Ukraine et racheté en 2018 par le géant de la vente en ligne américain (environ 1 milliard de dollars), commercialise des objets connectés, dont une sonnette pour porte d’entrée. L’objet permet de recevoir sur son smartphone des photos et vidéos des personnes pouvant sonner à l’entrée de votre domicile. Ring indique que sa mission est de « diminuer la criminalité dans les voisinages du monde entier« .

Les développeurs pouvaient accéder aux vidéos. Un espionnage des visiteurs sans véritable intérêt. Mais une fuite de données, reste une fuite de données d’autant plus pour les clients qui versent une abonnement de quelques euros par mois pour un stockage de 6 mois des documents créés par les sonnettes. The Information explique que les employés de l’ex-bureau de Ring en Ukraine accédait aux serveurs de stockage 3S d’Amazon.

Ensuite, les vidéos n’étaient pas chiffrées. Lisibles par tous, et cela depuis 2016. Il suffisait de taper le mail d’un client et utilisateur de Ring pour accéder aux clichés. Les employés se servaient des images pour « se taquiner ». La filiale d’Amazon a diffusé un communiqué de presse stipulant qu’elle prenait « très au sérieux la confidentialité et la sécurité des informations personnelles de ses clients. »

Pour conclure, le communiqué indique que les employés et son intelligence artificielle continuent de visionner les images prises par son matériel « afin d’améliorer ses services« . Des vidéos partagées publiquement. Les clients de Ring peuvent aussi donner leur accord de visionnage.

Une fausse mise à jour s’affiche sur Electrum Bitcoin, des centaines de milliers d’euros volés ?

Une faille a permis à des pirates informatiques d’afficher une fausse mise à jour pour les utilisateurs d’Electrum Bitcoin.

Une faille sur le site d’Electrum, un espace dédié à la cryptomonnaie Bictoin, a permis l’affichage de fausses mises à jour dans les écrans des utilisateurs. Les pirates ont eu pour mission d’inciter les « clients » à se connecter à l’un des 33 faux serveurs Electrum ouverts pour l’occasion.

Bilan de cette attaque, la possibilité de voler plusieurs centaines de milliers d’euros.

Une page Github revient sur cette infiltration sournoise. « Une attaque contre des utilisateurs dans laquelle les serveurs soulèvent des exceptions lorsqu’un client diffuse une transaction ; dans ce cas, une fenêtre s’affiche« .

 

Le pirate a créé de nombreux serveurs afin d’augmenter ses chances de connexion. Les messages d’erreur tentent d’amener l’utilisateur à télécharger et à installer des logiciels malveillants. Déguisés en versions de mises à jour d’Electum. Une fois le logiciel malveillant installé, les utilisateurs étaient invités à entrer les codes d’authentification 2FA. Les pirates ont pu transférer des fonds dans leurs propres portefeuilles.

L’Electrum, un alliage naturel d’or et d’argent, utilise des serveurs distants qui se chargent des transactions Bitcoin. Electrum permet, par exemple, de récupérer son portefeuille BTC via une phrase secrète.

Failles et bugs corrigés dans Symfony 3.4.20

Le framework Symfony a sorti une nouvelle version. Elle corrige 14 failles de sécurité et autres bugs.

Le framework Symfony est un environnement informatique qui a fait ses preuves. Un bel outil robuste, proposant des fonctionnalités de cybersécurité. Authentification, gestion des sessions, … Symfony permet d’assurer la sécurité à la condition d’être prise au sérieuse. C’est d’ailleurs pour cela qu’une mise à jour, la 3.4.20, a été diffusée, début décembre 2018. 12 bugs et 2 problèmes sérieux de sécurité ont été corrigés.

La première faille de sécurité concerne [CVE-2018-19790] une vulnérabilité de redirection lors de l’utilisation des formulaires de connexion. Il était possible de rediriger l’utilisateur vers n’importe quel domaine après la connexion. La seconde faille corrigée [CVE-2018-19789] permettait de connaitre le chemin complet des fichiers téléchargés. En manipulant certaines commandes, cela pouvait lancer une exécution de code à distance.

Se protéger… avant le drame

Une protection, nous le savons, ne sera jamais infaillible. Il y aura toujours ce petit « truc » qui perturbera. Ce bug oublié, cette faille laissée de côté pour « plus tard ». Il existe pourtant quelques bases simples. Pour symfony, comme pour l’ensemble de vos productions web, assurez que vos mots de passe soient chiffrés. Dans ce cas, nous parlons de hashage. Des mots de passe hashés dans la base de données. Pour cela, utilisez bcrypt, par exemple. Mais, par pitié, par du MD5. Aujourd’hui, trop facilement maltraité par les centaines de bases de données regroupant des hashs de mot de passe. Pensez aussi au https. Cela évitera de jouer, entre autres, avec les cookies. le « secure flag » n’est pas à prendre à la légère. un firewall digne de ce nom doit renforce votre politique de sécurité. un WAF (Web Application Firewall). Dans tous les cas, un budget sécurité n’est plus une option.

Fuite de données pour Nokia

Le constructeur Nokia a mis en péril sa sécurité interne et diffusant, sans le savoir, des données extrêmement sensibles sur Internet !

Imaginez, vous avez une entreprise de taille internationale et vous laissez fuiter vos informations les plus sensibles. Dans le lot des données perdues des mots de passe d’utilisateurs et d’administrateurs, un mot de passe Weave, une clé de chiffrement k8s, une clé privée d’utilisateur Gluster, des clés privées SSH et RSA, une clé de cluster et des clés secrètes AWS S3 … Bref, autant dire qu’il n’est pas utile de faire parti du bureau 39 de la Corée du Nord ou de la NSA pour se servir.

Les informations ont été découvertes par le directeur de l’équipe de recherche d’une société de cyber sécurité, hacken Ecosystem. Avec Shodan, le moteur de recherche dédié à la cybersécurité, la fuite est apparue. Plusieurs bases de données internes, des mots de passe et des clés d’accès secrètes aux systèmes internes de Nokia.

Découverte le 13 décembre 2018, personne ne sait depuis quand elles fuitaient. Nokia n’a jamais répondu au mail d’alerte. Il aura fallu attendre plusieurs jours et un message twitter pour la mise hors ligne.

L’équipe de sécurité de Nokia a reconnu la fuite. Elle a déclaré qu’il ne s’agissait que d’un « environnement de test« . Le chercheur indique avoir un doute sur cet environnement de test. « Ce serveur AWS créé il y a quelque temps par l’un de nos développeurs à des fins de test. Nous pouvons confirmer que le serveur ne contient aucune information sensible. Cela dit, nous utiliserons cet épisode pour notre propre formation de sensibilisation des employés de Nokia R&D ».

Un Français invente un anti piratage de l’électronique d’une voiture

Un garagiste du Maine-et-Loire a trouvé une solution ingénieuse pour bloquer les tentatives de piratage de l’électronique d’une voiture.

Landry Bourrieau, le patron du garage VL Auto basé à la Romagne dans le Maine-et-Loire a-t-il découvert le système ultime anti piratage de l’électronique d’une voiture ? Peut-être pas, mais chose est certaine, son idée retardera un maximum les voleurs de voitures. Un détail que ces derniers ne vont pas apprécier, leur mission étant d’être rapide.

VL Auto a inventé une solution qui coûte moins de 60€. L’idée, bloquer la prise l’OBD ou OBD2 en inversant les files électriques. Le matériel permettant le piratage de la voiture ne peut plus fonctionner sans posséder la bonne connexion. Bilan, le voleur doit posséder la panoplie complète d’adaptateurs et tous les essayer. Il peut aussi inverser les fils électriques, mais ici aussi, il faut tout démonter. Bref, pas rapide. Malin, le système continue d’être alimenté électriquement, permettant de perturber, encore plus, le malveillant et son matériel.

De quoi donner du fil à retordre aux pirates et voleurs de véhicules. De quoi aussi et surtout ressortir, pour les concepteurs et les bibliothécaires CAO les planches à dessin.

Espionnage via l’autoradio

Et les problèmes de sécurité informatique ne cessent de toucher les voitures et autres objets connectés. Par exemple, fin d’année 2018, près de 90 000 conducteurs américains découvraient qu’ils avaient été mis sur écoute durant 3 mois.

Le constructeur automobile expliquait alors une « étude » pour mieux cibler les consommateurs clients et leur fournir des publicités ciblées. Bref, vendre des biens de consommation à partir des stations, musiques et publicités écoutées.

Un espionnage via l’autoradio ? Un ciblage à quatre roues parmi tant d’autres !

Il y a quelques semaines, le moteur de recherche Français Qwant s’inquiétait de l’accord signé entre le constructeur automobile Renault et le moteur de recherche américain Google. L’alliance franco-japonaise Renault-Nissan-Mitsubishi signe avec le diable ? Qwant, concurrent de Google, n’a pas apprécié que le constructeur automobile fournisse, dès 2021, les applications Google dans ses véhicules.

Ce que fait déjà Hyundai, par exemple, avec Androïd Connect. Pour rappel, il est obligatoire de connecter son téléphone à la voiture … et donc vos données.

Chez General Motors, la réflexion aura été plus personnelle. Les propriétaires (un peu moins de 90 000 conducteurs) surveillés durant 3 mois via leur autoradio. Un autoradio connecté via le Wi-Fi des autos. Le constructeur américain a reconnu les faits après la révélation du Detroit Free Press. GM a avoué collecter des données afin de les utiliser “manière intelligente“.

Tendances cyber sécurité 2019 : des menaces de plus en plus complexes et difficiles à contrer

Avec l’explosion de l’IoT, des réseaux sociaux, du Cloud et les smartphones, de nouveaux vecteurs d’attaques apparaissent. Les cyberattaques se renforcent et des menaces de plus en plus complexes sont à prévoir pour l’année à venir.  Naaman Hart, Manager Services Security Engineer chez Digital Guardian fait le point pour DATASECURITYBREACH.fr sur l’année écoulée pour anticiper les évolutions à venir.

Windows 7 continuera de poser problème. Lorsque Microsoft a lancé Windows 10, l’éditeur l’a distribué gratuitement à travers le monde essentiellement afin de perturber le nombre important de machines qui fonctionnaient encore sous Windows XP – dont beaucoup étaient connues pour faire partie des plus grands botnets au niveau mondial. Difficile de comprendre que Microsoft ait prolongé le support des mises à jour de sécurité pour Windows 7 jusqu’en janvier 2023, alors que ce dernier devait être abandonné.

Cela retarde davantage la migration des entreprises, et ce malgré la pression exercée pour les inviter à passer à des systèmes d’exploitation plus récents et moins vulnérables. C’est à se demander ce qui a été appris des problèmes causés par les machines tournant sous Windows XP. Windows XP avait 14 ans lorsque Microsoft a lancé Windows 10. En étendant la commercialisation d’un produit lancé en juillet 2009 au-delà de son 13e anniversaire Microsoft a donné le ton.

Alors que les entreprises ont encore à subir les effets de la maintenance de Windows 7 pour les 5 années à venir elles peuvent s’attendre à avoir également à se défendre contre les réseaux de botnets constitués de cet OS. Si les entreprises tardent à faire les investissement IT nécessaires, elles risquent de se retrouver face à des attaques internes et externes rendues viables par le même système d’exploitation auquel elles sont si étroitement accrochées.

Le « whaling » : une technique efficace et lucrative

La compromission des emails professionnels va se poursuivre. Généralement, les entreprises s’évertuent à mettre en place des formations afin de sensibiliser leurs employés au danger des courriels et liens suspects mais combien d’entre elles forment leur personnel à refuser l’ordre d’un cadre supérieur ? La technique de phishing appelée «Whaling » consiste à compromettre l’adresse email d’un dirigeant de l’entreprise et à l’utiliser afin de demander aux collaborateurs d’effectuer des paiements sur les comptes bancaires frauduleux. Comme ces attaques sont généralement efficaces et lucratives, elles continueront d’attirer davantage de groupes cybercriminels désireux de s’y essayer.

« Il est donc indispensable que des règles de sécurité soient intégrées au quotidien dans l’entreprise. En effet, les outils de sécurité informatique ne sont pas infaillibles face au comportement humain et les personnes malveillantes s’appuient sur la confiance que les employés portent à leurs supérieurs et la crainte d’être sanctionnés s’ils n’agissent pas de la manière attendue par ces derniers. Former et sensibiliser le personnel à exiger la validation d’une tierce partie pour toute transaction financière ou introduire des procédures de paiement nécessitant plusieurs personnes indépendantes peuvent être de bonnes façons de renforcer la sécurité. », déclare Naaman Hart, Managed Services Security Engineer chez Digital Guardian.

La protection des données encore une fois au centre de la stratégie de sécurité en 2019

Nous allons voir une demande croissante de solutions pérennes de gestion d’incidents centrées sur les données tout au long du cycle de vie de ces dernières. Alors que le volume de données ne cesse d’augmenter et que les cybermenaces et systèmes informatiques deviennent de plus en plus complexes à contrer, les entreprises cherchent une solution offrant une bonne visibilité des mouvements de leurs données qu’elles soient dans le cloud, sur un terminal ou sur le réseau. Afin de se conformer aux réglementations sur la protection des données, les organisations devront prouver que les données qu’elles détiennent sont correctement protégées et qu’en cas d’incident, elles disposent d’une procédure et d’une politique de réponse solides pour atténuer le risque de perte de données.

Cloud computing, : vers des services de sécurité gérés

Dans un contexte de menaces de plus en plus complexes et une pénurie persistante de compétences, la technologie cloud computing offre un véritable confort et 2019 verra une augmentation des demandes pour bénéficier de services de sécurité gérés. Les solutions gagnantes seront celles qui profiteront de la puissance de l’Intelligence Artificielle et du machine learning, pour aider à identifier et faire face aux menaces cachées au sein des données produites par les organisations.

Vers une consolidation du marché en 2019

Le marché de la cybersécurité est actuellement très fragmenté ce qui conduira nécessairement à une consolidation du marché au sein de l’écosystème des fournisseurs, ainsi qu’au niveau des portefeuilles proposés par les partenaires channel. Pour ces derniers d’ailleurs, il ne s’agit plus seulement de disposer de l’expertise et du talent pour chacun de leurs fournisseurs, mais d’être en mesure de déployer des efforts plus larges en matière de planification, de ventes et de marketing. En l’état actuel, compte tenu des efforts et investissements nécessaires pour bien faire les choses, ce business model n’est pas durable. Nous le constatons également chez les fournisseurs, qui sont de plus en plus nombreux à adopter une approche de type plateforme. Le résultat est que les partenaires channel réduiront le nombre de fournisseurs de leurs portefeuilles, ce qui aura pour conséquence de contribuer à combler la pénurie d’experts en cybersécurité, à réduire les frais généraux des entreprises pour, au final, les aider à être plus rentables.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile