Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet JF Baillette 
En 2014 aussi, je me rappelle d'une très belle présentation sur des
backdoors dans le firmware de disques durs lors d'une JSSI OSSIR:

14h40 - 15h20 : 3B, Aurélien Francillon (Eurecom)

*"*Implementation and Implications of a Stealth Hard-Drive Backdoor*"*



Le 05/10/2018 à 10:09, Phil Regnauld a écrit :
> Philippe Bourcier (philippe) writes:
>> A quel moment quelqu'un peut se dire que c'est plus sympa d'installer une
>> puce dans un serveur qui va modifier un software plutôt que de modifier
>> directement le software en question ?
>   Surtout, ça c'est déjà fait:
>
>   
> https://www.cnet.com/news/nsa-reportedly-installing-spyware-on-us-made-hardware/
>
>   P.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

-- 
JF BAILLETTE +33.6.03.62.14.40
www.g-echo.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet Michel Py 
> Alexandre DERUMIER a écrit :
> Ca serait donc au niveau de la bmc.
> Après est-ce que c'est exploitable si la bmc n'est pas accessible sur le net ?

Oui. Le fait que la BMC ne soit pas accessible sur le net n'est qu'un obstacle 
supplémentaire.
Il y a au moins 3 voies pour contourner çà :

1. Même si la BMC est dans un VLAN OOB privé, le serveur a probablement des 
interfaces qui peuvent avoir accès. Il y a quelque temps, j'avais expliqué ici 
comment exploiter la porte dérobée d'un routeur de cœur de réseau par la 
méthode du flux de bourrage. Si la BMC a contrôle sur les autres cartes réseau 
(probable) c'est du domaine du possible.

2. Sur le VLAN OOB de la BMC, il va y avoir plein de ressources qui contiennent 
du code écrit avec les pieds, des macros pas sécurisées, et des passoires 
basées sur Flash ou Java. Il peur y avoir du code dormant qui attend de 
détecter les BMC compromises.

3. Il reste toujours la méthode de la taupe; avec un vrai faux CV c'est pas 
trop difficile de se faire embaucher comme technicien dans une de ces grosses 
boites, et d'avoir accès au réseau en question. Se méfier des techniciens qui 
conduisent une Aston-Martin, ont une montre Omega, et boivent des vodka-martini.

> vu la taille du chip, ca semble difficile d'implémenter un exploit ou autre 
> autonome.

On fait des trucs de plus en plus petits


> Philippe Bourcier a écrit :
> Franchement, je n'achète pas l'histoire, c'est trop fumeux et capillotracté...

Il y a un arrière-gout de sensationnel qui fait perdre à cet article beaucoup 
de sa crédibilité; ceci étant dit, même si c'est à prendre avec des pincettes, 
j'ai rarement vu de fumée sans feu et il y a probablement une partie vraie.
 

> Fabien ILLIDE a écrit :
> Fakenews ou pas, Google Cloud qui fabrique ses propres cartes mères, Bios 
> etc, c'est pas idiot ;)

Certainement, mais ils ne sont pas à l'abri non plus.


> Giles R DeMourot a écrit :
> L'information concernant Amazon et Apple a été démentie:
> "The two companies are adamant it's made up. In a statement Amazon called the 
> story “untrue” . Apple
> said in a statement that “we have found absolutely no evidence to support any 
> of” the allegations."

Cà c'est du maxi-bullshit encore plus gros que Bloomberg. Que çà soit vrai ou 
pas, ils démentent de toute façon. Les R.P sont laissées dans l'obscurité 
totale, ce qui leur permet d'écrire n'importe quelle connerie sans mentir.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet Stéphane Rivière 



Du coup, si backdoor il y avait... ca en ferait pas mal des gens qui 
auraient vu des trucs bizarre dans les logs de leurs firewalls... des 


+1

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] FRnOG 31.0 - RELEASE

2018-10-05 Par sujet Philippe Bourcier 



Bonjour,

Petit rappel, la réunion est cet après-midi à partir de 14h00.
Pas la peine de me prévenir si vous ne pouvez pas venir.

Si vous avez oublié de vous inscrire, venez quand même, on peut 
imprimer des badges sur place... vous serez juste moins prioritaire pour 
une place assise, si elles venaient à manquer.



Le programme final est en ligne :
http://www.frnog.org/?page=frnog31



Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet Richard Klein 
Bonjour,


>A quel moment quelqu'un peut se dire que c'est plus sympa d'installer
>une puce dans un serveur qui va modifier un software plutôt que de
>modifier directement le software en question ?
Ben a partir du moment ou des fondeurs de puce commence a graver dans le
silicium ce type de backdoor :
https://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor

Sécurité[modifier

 | modifier le code

]
Les logiciels qui fonctionnent sur processeur de baseband sont très souvent
propriétaires  (au
moins jusqu'en 2015). Il est donc très dur de faire des audits de sécurité
indépendant dessus. En utilisant l'ingénierie inverse
, des chercheurs ont
trouvé des failles permettant d'accéder et modifier les données des
appareils (c'est-à-dire pas uniquement celles du baseband) à distance1
,2
. En
mars 2014, le projet Replicant
 (un
dérivé d'AOSP ) a trouvé une faille de
sécurité dans les logiciels du baseband utilisés dans certains ordinateurs
Samsung Galaxy qui permettait la lecture, l'écriture et la suppression de
données sur la mémoire persistante principale3
.

Envoyé de mon  Samsung S7

Toctoctoc  Qui est la ?   Les men's in Black...


Le ven. 5 oct. 2018 à 10:07, Philippe Bourcier  a
écrit :

>
> Re,
>
> >>Ensuite, on fait quoi pour attaquer l'OS depuis la BMC ?
> >>Franchement, je n'achète pas l'histoire, c'est trop fumeux et
> >
> >
> >
> https://airbus-seclab.github.io/ilo/RECONBRX2018-Slides-Subverting_your_server_through_its_BMC_the_HPE_iLO4_case-perigaud-gazet-czarny.pdf
>
> Très intéressant... reste la faisabilité d'une telle attaque non pas en
> ayant préalablement modifié le firmware de la BMC (ce que font les
> auteurs de la présentation), mais en insérant une puce qui doit le
> faire... ça en fait des lignes de code et de la complexité en plus. Et
> c'est bien cela qui rend la chose peu crédible...
>
> A quel moment quelqu'un peut se dire que c'est plus sympa d'installer
> une puce dans un serveur qui va modifier un software plutôt que de
> modifier directement le software en question ? D'autant que peu de gens
> mettent à jour les firmware de BMC, donc la résilience d'une backdoor
> serait énorme (comme le disent d'ailleurs les auteurs de la
> présentation). La moindre mise à jour de la BMC et les offsets vont
> changer... ça commence à en faire de la complexité... tout ça pour avoir
> accès à quoi ? Les entreprises dont on parle tournent des clusters
> géants de big data... va falloir se lever tôt pour extraire des choses
> utiles de cette data morcelée et envoyer le tout via Internet... le tout
> sans se faire prendre, bien sure.
>
> Et enfin, je crois peu probable que dans notre bas monde, malgré les
> omertas (non disclosure vs full disclosure), un "scandale technique" de
> cet ordre soit révélé par un journaliste plutôt que par la communauté
> technophile.
>
>
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet Giles R DeMourot 
L'information concernant Amazon et Apple a été démentie:

The Washington Post écrit  à propose de l'article de BloombergBusinessWeek et 
de son propre article:

"This story has been updated with additional reporting on the views of U.S. 
officials about the Bloomberg Businessweek report. One official who previously 
had conveyed confidence in the report later expressed uncertainty. The story 
also includes additional denials from Apple and Amazon."

"The two companies are adamant it's made up. In a statement Amazon called the 
story “untrue” . Apple said in a statement that “we have found absolutely no 
evidence to support any of” the allegations." 

https://goo.gl/4Lx2d5



-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Richard 
Klein
Sent: Friday, October 5, 2018 11:21 AM
To: phili...@frnog.org
Cc: FRench Network Operators Group 
Subject: Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

Bonjour,


>A quel moment quelqu'un peut se dire que c'est plus sympa d'installer 
>une puce dans un serveur qui va modifier un software plutôt que de 
>modifier directement le software en question ?
Ben a partir du moment ou des fondeurs de puce commence a graver dans le 
silicium ce type de backdoor :
https://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor

Sécurité[modifier

 | modifier le code

]
Les logiciels qui fonctionnent sur processeur de baseband sont très souvent 
propriétaires  (au 
moins jusqu'en 2015). Il est donc très dur de faire des audits de sécurité 
indépendant dessus. En utilisant l'ingénierie inverse 
, des chercheurs ont 
trouvé des failles permettant d'accéder et modifier les données des appareils 
(c'est-à-dire pas uniquement celles du baseband) à distance1
,2
. En 
mars 2014, le projet Replicant 
 (un 
dérivé d'AOSP ) a trouvé une faille de 
sécurité dans les logiciels du baseband utilisés dans certains ordinateurs 
Samsung Galaxy qui permettait la lecture, l'écriture et la suppression de 
données sur la mémoire persistante principale3 
.

Envoyé de mon  Samsung S7

Toctoctoc  Qui est la ?   Les men's in Black...


Le ven. 5 oct. 2018 à 10:07, Philippe Bourcier  a écrit :

>
> Re,
>
> >>Ensuite, on fait quoi pour attaquer l'OS depuis la BMC ?
> >>Franchement, je n'achète pas l'histoire, c'est trop fumeux et
> >
> >
> >
> https://airbus-seclab.github.io/ilo/RECONBRX2018-Slides-Subverting_you
> r_server_through_its_BMC_the_HPE_iLO4_case-perigaud-gazet-czarny.pdf
>
> Très intéressant... reste la faisabilité d'une telle attaque non pas 
> en ayant préalablement modifié le firmware de la BMC (ce que font les 
> auteurs de la présentation), mais en insérant une puce qui doit le 
> faire... ça en fait des lignes de code et de la complexité en plus. Et 
> c'est bien cela qui rend la chose peu crédible...
>
> A quel moment quelqu'un peut se dire que c'est plus sympa d'installer 
> une puce dans un serveur qui va modifier un software plutôt que de 
> modifier directement le software en question ? D'autant que peu de 
> gens mettent à jour les firmware de BMC, donc la résilience d'une 
> backdoor serait énorme (comme le disent d'ailleurs les auteurs de la 
> présentation). La moindre mise à jour de la BMC et les offsets vont 
> changer... ça commence à en faire de la complexité... tout ça pour 
> avoir accès à quoi ? Les entreprises dont on parle tournent des 
> clusters géants de big data... va falloir se lever tôt pour extraire 
> des choses utiles de cette data morcelée et envoyer le tout via 
> Internet... le tout sans se faire prendre, bien sure.
>
> Et enfin, je crois peu probable que dans notre bas monde, malgré les 
> omertas (non disclosure vs full disclosure), un "scandale technique" 
> de cet ordre soit révélé par un journaliste plutôt que par la 
> communauté technophile.
>
>
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet Philippe Bourcier 



Re,


Ensuite, on fait quoi pour attaquer l'OS depuis la BMC ?
Franchement, je n'achète pas l'histoire, c'est trop fumeux et



https://airbus-seclab.github.io/ilo/RECONBRX2018-Slides-Subverting_your_server_through_its_BMC_the_HPE_iLO4_case-perigaud-gazet-czarny.pdf


Très intéressant... reste la faisabilité d'une telle attaque non pas en 
ayant préalablement modifié le firmware de la BMC (ce que font les 
auteurs de la présentation), mais en insérant une puce qui doit le 
faire... ça en fait des lignes de code et de la complexité en plus. Et 
c'est bien cela qui rend la chose peu crédible...


A quel moment quelqu'un peut se dire que c'est plus sympa d'installer 
une puce dans un serveur qui va modifier un software plutôt que de 
modifier directement le software en question ? D'autant que peu de gens 
mettent à jour les firmware de BMC, donc la résilience d'une backdoor 
serait énorme (comme le disent d'ailleurs les auteurs de la 
présentation). La moindre mise à jour de la BMC et les offsets vont 
changer... ça commence à en faire de la complexité... tout ça pour avoir 
accès à quoi ? Les entreprises dont on parle tournent des clusters 
géants de big data... va falloir se lever tôt pour extraire des choses 
utiles de cette data morcelée et envoyer le tout via Internet... le tout 
sans se faire prendre, bien sure.


Et enfin, je crois peu probable que dans notre bas monde, malgré les 
omertas (non disclosure vs full disclosure), un "scandale technique" de 
cet ordre soit révélé par un journaliste plutôt que par la communauté 
technophile.



Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet Julien Escario 
Le 05/10/2018 à 09:01, Philippe Bourcier a écrit :
> 
> Re,
> 
>> "The spy chip could have been placed electrically between the
>> baseboard management controller (BMC) and its SPI flash or serial
>> EEPROM storage containing the BMC's firmware. Thus, when the BMC
>> fetched and executed its code from this memory, the spy chip would
>> intercept the signals and modify the bitstream to inject malicious
>> code into the BMC processor, allowing its masters to control the BMC."
> 
> Les gens qui auraient fait ça se seraient donc autant embêté pour
> accéder au réseau OOB de leurs victimes (la BMC elle est reliée à un
> réseau OOB, on est d'accord)... réseau OOB qui aurait donc accès à
> Internet.

Je me suis dit peu ou prou la même chose : quelqu'un ici laisse l'IPMI
en IP publique accessible sur le net ?

Nan parce que les rares fois où j'ai vu ça, il n'y avait pas besoin de
backdoor matériel pour prendre la main en admin sur la BMC.
Vous trouverez des exploits qui font ça en 30 secondes.

Valable pour IPMI, iLO, DRAC et autres variantes.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet GROS Jerome - Wokifr 

On Fri, Oct 05, 2018 at 07:01:42AM +, Philippe Bourcier wrote:

Ensuite, on fait quoi pour attaquer l'OS depuis la BMC ?
Franchement, je n'achète pas l'histoire, c'est trop fumeux et 


https://airbus-seclab.github.io/ilo/RECONBRX2018-Slides-Subverting_your_server_through_its_BMC_the_HPE_iLO4_case-perigaud-gazet-czarny.pdf

--
@++
jg.
"Si vous n'êtes pas vigilants, les médias arriveront à vous faire détester les gens 
opprimés & aimer ceux qui les oppriment." - Malcolm X


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet Phil Regnauld 
Philippe Bourcier (philippe) writes:
> 
> A quel moment quelqu'un peut se dire que c'est plus sympa d'installer une
> puce dans un serveur qui va modifier un software plutôt que de modifier
> directement le software en question ?

Surtout, ça c'est déjà fait:


https://www.cnet.com/news/nsa-reportedly-installing-spyware-on-us-made-hardware/

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro #fakenews

2018-10-05 Par sujet Philippe Bourcier 



Bonjour,

Il semblerait tout de même que cela soit une bonne grosse fake news :
https://aws.amazon.com/fr/blogs/security/setting-the-record-straight-on-bloomberg-businessweeks-erroneous-article/
https://www.apple.com/newsroom/2018/10/what-businessweek-got-wrong-about-apple/
https://blog.erratasec.com/2018/10/notes-on-bloomberg-supermicro-supply.html

Et oui, même Bloomberg verse dans la fake news... de là à y voir une 
relation avec les attaques actuelles du président US contre la Chine, il 
n'y a qu'un pas.


On 2018-10-04 22:39, Michel Py wrote:

Un troll de luxe pour ce vendredi !


https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

En bref : les carte mères de serveurs Supermicro contiennent un
composant conçu par les services de renseignements Chinois qui
permettrait de prendre le contrôle du serveur. Comme un root kit, 
mais

dans le matériel.


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet Alexandre DERUMIER 
un article un peu plus technique:

https://www.theregister.co.uk/2018/10/04/supermicro_bloomberg/

"The spy chip could have been placed electrically between the baseboard 
management controller (BMC) and its SPI flash or serial EEPROM storage 
containing the BMC's firmware. Thus, when the BMC fetched and executed its code 
from this memory, the spy chip would intercept the signals and modify the 
bitstream to inject malicious code into the BMC processor, allowing its masters 
to control the BMC."

Ca serait donc au niveau de la bmc.

Après est-ce que c'est exploitable si la bmc n'est pas accessible sur le net ?
vu la taille du chip, ca semble difficile d'implémenter un exploit ou autre 
autonome.



- Mail original -
De: "Michel Py" 
À: "frnog-misc" 
Envoyé: Vendredi 5 Octobre 2018 00:39:10
Objet: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

Un troll de luxe pour ce vendredi ! 

https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies
 

En bref : les carte mères de serveurs Supermicro contiennent un composant conçu 
par les services de renseignements Chinois qui permettrait de prendre le 
contrôle du serveur. Comme un root kit, mais dans le matériel. 

Michel. 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet Fabien ILLIDE 
Fakenews ou pas, Google Cloud qui fabrique ses propres cartes mères, 
Bios etc, c'est pas idiot ;)


Le 05/10/2018 à 00:39, Michel Py a écrit :

Un troll de luxe pour ce vendredi !

https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

En bref : les carte mères de serveurs Supermicro contiennent un composant conçu 
par les services de renseignements Chinois qui permettrait de prendre le 
contrôle du serveur. Comme un root kit, mais dans le matériel.

Michel.


--
Fabien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] à la recherche du diamant vert

2018-10-05 Par sujet Philippe BAROUK 
Bonjour la liste, 

Vous ne connaissez peut-être pas Magic Online, mais pour la faire courte j’ai 
démarré cet ISP en 1993 avec Philippe Fabre et Edouard Correia.

Comme pour beaucoup des participants de cette liste, ça n’a pas été, et ça 
n’est toujours pas, un long fleuve tranquille.

Ces dernières années nous avons repris 4 sociétés d’hébergement (Euro Web, 
Nuxit, Phpnet et Netissime).

Pour renforcer nos équipes, et continuer notre croissance, je profite de cette 
FRNoG pour vous informer que nous recherchons :

- Un administrateur réseau avancé, ayant déjà de l’expérience chez un 
ISP/Hébergeur et notamment avec une majorité des technologies et compétences 
que nous recherchons (BGP,  IS-IS, HSRP, MPLS, VRF, L2TP, CISCO, NEXUS, …) ; le 
poste est situé à Montreuil avec un salaire brut de 50K-60K négociable selon 
profil.
- Des sociétés (accès, VOIP, Saas, Hosting) à intégrer au groupe.

Je vous invite à me contacter en privé si vous souhaitez en discuter.
Vous pouvez aussi en parler directement cet après-midi avec :
- Philippe Fabre notre Directeur Technique
- David Chanial (un des fondateurs d’Euro Web)
Qui seront présents à l’évènement.

Bonne Journée,
-- 
Philippe Barouk


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet Alexandre DERUMIER 
>>Les entreprises qui ont externalisé l'administration de leur parc de 
>>serveurs doivent connecter leur réseau dédié d'admin. (IPMI...) à 
>>l'Internet, moyennant un filtrage (plus ou moins) bien serré. 
>>Et vu le nombre qu'on en voit sur Shodan, la pratique fait fureur. 

my 2 cents:

Le minimum c'est quand meme un vpn ou bastion ssh/proxy pour accéder au réseau 
OOB.
et les cartes BMC n'ont pas de default gw vers internet.

ou alors les admins doivent changer de métier ^_^


- Mail original -
De: "daniel Azuelos" 
À: "frnog" 
Envoyé: Vendredi 5 Octobre 2018 12:56:14
Objet: Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

[ Mes questions & réponses sont dans le sens normal de lecture. ] 

Le 05/10/2018, Philippe Bourcier  a écrit : 

> Les gens qui auraient fait ça se seraient donc autant embêté pour 
> accéder au réseau OOB de leurs victimes (la BMC elle est reliée à un 
> réseau OOB, on est d'accord)... réseau OOB qui aurait donc accès à 
> Internet. 
> Je sais pas vous, mais chez moi un OOB n'a pas accès à Internet... 
> Ca semble être une règle minimale de sécurité. 
[...] 

Les entreprises qui ont externalisé l'administration de leur parc de 
serveurs doivent connecter leur réseau dédié d'admin. (IPMI...) à 
l'Internet, moyennant un filtrage (plus ou moins) bien serré. 
Et vu le nombre qu'on en voit sur Shodan, la pratique fait fureur. 

D'ailleurs sans externalisation, le réseau d'admin. est accessible 
indirectement. On ne va pas tous en doudoune en salle serveur pour 
intervenir sur le réseau d'admin.. 
-- 
« Je reste optimiste. La vie m'a appris qu'avec le temps 
le progrès l'emporte toujours. » 
Simone Veil 
 
daniel Azuelos 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet Wallace 
Depuis 2012 ce type d'attaque est connu, Jonathan Brossard et Florentin
Demetrescu l'avait présenté à la conférence Hackito Ergo Sum de cette
année là.

A ce moment là on ne parlait pas de puces à part mais de malwares. Ils
étaient capables de se répliquer dans tous les rom d'un ordi
(alimentation, bios, carte réseau, ...). Déjà à l'époque ils
conseillaient de ne pas acheter trop de matériel d'un coup. Au delà de
plusieurs dizaines d'équipements, il faut monter des entités tierces et
acheter de façon séparée.

Pareil ils déconseillaient l'achat d'occasion pour du matériel
spécifique (ex la grosse carte réseau 100G spécifique que personne
n'achète sauf les grosses structures) car il est impossible de vérifier
la rom des composants et une fois installé cela contamine le reste.

Bien entendu à cette époque tout le monde a dit mais ça va se voir sur
le trafic réseau d'un firewall ou routeur. Sauf que si ces derniers sont
aussi contaminés, une carte réseau est capable de faire des traitements
en local sans en informer l'OS. On peut donc imaginer que les packets
transitent sans laisser de trace.

Des usages légitimes existent déjà sur ce mode là, on peut penser au
projet d'Online pour Scaleway sur le nat directement fait par la carte
réseau (j'ai plus le nom en tête, ils l'ont rendu open source il me
semble) et donc le système n'a pas conscience des translations d'adresses.

Bref c'est pas nouveau, c'est juste sur la place publique et pour
information les américains font pareil avec la master key légalement
encadrée, le but c'est simplement de pousser à ce que les boites
américaines consomment de l'américain pour que seulement eux même
puissent s'espionner.


Le 05/10/2018 à 00:39, Michel Py a écrit :
> Un troll de luxe pour ce vendredi !
>
> https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies
>
> En bref : les carte mères de serveurs Supermicro contiennent un composant 
> conçu par les services de renseignements Chinois qui permettrait de prendre 
> le contrôle du serveur. Comme un root kit, mais dans le matériel.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

2018-10-05 Par sujet daniel Azuelos 
[ Mes questions & réponses sont dans le sens normal de lecture. ]

Le 05/10/2018, Philippe Bourcier  a écrit :

> Les gens qui auraient fait ça se seraient donc autant embêté pour 
> accéder au réseau OOB de leurs victimes (la BMC elle est reliée à un 
> réseau OOB, on est d'accord)... réseau OOB qui aurait donc accès à 
> Internet.
> Je sais pas vous, mais chez moi un OOB n'a pas accès à Internet...
> Ca semble être une règle minimale de sécurité.
[...]

Les entreprises qui ont externalisé l'administration de leur parc de
serveurs doivent connecter leur réseau dédié d'admin. (IPMI...) à
l'Internet, moyennant un filtrage (plus ou moins) bien serré.
Et vu le nombre qu'on en voit sur Shodan, la pratique fait fureur.

D'ailleurs sans externalisation, le réseau d'admin. est accessible
indirectement. On ne va pas tous en doudoune en salle serveur pour
intervenir sur le réseau d'admin..
-- 
« Je reste optimiste. La vie m'a appris qu'avec le temps
le progrès l'emporte toujours. »
   Simone Veil

daniel Azuelos


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro #fakenews

2018-10-05 Par sujet Giles R DeMourot 
Effectivement comme je l'ai indiqué il y a quelques heures, Apple, Amazon et 
les services de renseignement américains (anonymement) on démenti. J'ai donné 
la correction publiée dans le Washington Post.

Giles

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Philippe 
Bourcier
Sent: Friday, October 5, 2018 8:22 AM
To: frnog@frnog.org
Subject: Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro #fakenews


Bonjour,

Il semblerait tout de même que cela soit une bonne grosse fake news :
https://aws.amazon.com/fr/blogs/security/setting-the-record-straight-on-bloomberg-businessweeks-erroneous-article/
https://www.apple.com/newsroom/2018/10/what-businessweek-got-wrong-about-apple/
https://blog.erratasec.com/2018/10/notes-on-bloomberg-supermicro-supply.html

Et oui, même Bloomberg verse dans la fake news... de là à y voir une relation 
avec les attaques actuelles du président US contre la Chine, il n'y a qu'un pas.

On 2018-10-04 22:39, Michel Py wrote:
> Un troll de luxe pour ce vendredi !
>
> 
> https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-ch
> ina-used-a-tiny-chip-to-infiltrate-america-s-top-companies
>
> En bref : les carte mères de serveurs Supermicro contiennent un 
> composant conçu par les services de renseignements Chinois qui 
> permettrait de prendre le contrôle du serveur. Comme un root kit, mais 
> dans le matériel.

Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/