Bruno pose les bases de ce que je pense être le socle du plus vaste problème sécurité des 20 prochaines années. Et çà, à cause d’un tout petit bout de câble. Ou plus exactement de l’absence de ce petit bout de câble. Car en quoi consiste le câble en question ?

- Dans le cas décris par notre CSO helvético-breton, il s’agit d’une interface qui converti un signal basse fréquence analogique en signaux carrés (trigger de Schmidt) et qui les expédie sur un port qui ne comprend que ce genre de langage (Centronics). Ce qui entre donc dans l’ordinateur peut être considéré comme un signal pratiquement démodulé, du moins déjà remis en forme… le reste n’est qu’une histoire de transcodage simplounet, limite Turbopascal.

- De nos jours, on aurait préféré abandonner JVFax au profit de MultiPSK, qui est à la réception d’émissions codées de que OpenOffice est à la bureautique : un hyper intégré. Et le subtile bricoleur qu’est Bruno aurait alors sans coup férir directement injecté le signal dans son ordinateur. Dans la carte audio, entrée « CD-Rom » plus exactement, à l’aide d’un simple fil, sans le moindre ampli-op ou interface quelconque. De cette manière, l’on possède le « jus original », non déformé par le trigger de schmidt. Avantage premier, il est possible de traiter des signaux large bande (192 KHz de bande passante) et non plus des bégaiements numériques à moins de 5 KHz. Plus de bande passante, et possibilité de s’attaquer non plus seulement aux émissions codées, mais en outre aux signaux « large bande » (ainsi la modulation DRM, Digitale Radio Mondiale) et aux informations analogiques (AM, FM, FM large, BLU, modulation de phase ou par impulsions codées, double bande latérale à porteuse supprimée, etc etc)

Cette technique et cette approche implique que la partie «radio », qui injecte le signal dans la carte audio, soit d’un genre légèrement particulier. On emploie en général un mélangeur qui se débrouille pour délivrer un signal basse fréquence possédant deux composantes identiques mais décalées en quadrature de phase. Je n’insisterais pas sur la partie électronique et développement, les plus curieux peuvent se pencher sur l’article en 4 volets publié par l’ARRL intitulé « software defined radio for the masses »
http://www.arrl.org/tis/info/pdf/020708qex013.pdf
… et suivants.

Ca, c’est l’approche empirique. Mais prenons un peu de recul.
Le récepteur de Bruno utilise une technologie dépassée depuis plus de 20 ans. C’est un « superhétérodyne » qui fonctionne selon le principe simple du changement de fréquence : F in moins F oscillateur=F intermédiaire, amplification, re-mélange avec un autre oscillateur local, seconde fréquence intermédiaire, démodulation, amplification BF, et hop, on écoute Britney ou un peu de Tektonik. Cette succession de transformations limite la bande passante du signal reçu. En outre, la façon de fabriquer les oscillateurs locaux a longtemps limité la « couverture » générale des récepteurs. C’est amplement suffisant pour Britney.

Avec un récepteur moderne, l’on peut bénéficier des merveilles de la science. A commencer par des oscillateurs à base de DDS (générateurs à synthèse directe) qui couvrent en une seule « bande » les fréquences comprises entre 0 et 1 000 MHz. F d’entrée moins F dds = fréquence directement injectable dans la carte son de notre ordinateur (ou, dans les récepteurs plus performants, on remplace la carte son par des FPGA considérablement plus efficaces qu’un chipset audio)

Moins de composants, plus le moindre étage intermédiaire limitant la bande passante du signal reçu, et surtout, absente totale d’électronique dédiée à la démodulation du signal. Oubliés, les discriminateurs de Foster-Seeley, aux oubliettes les démodulateurs équilibrés, à la poubelle les diodes de détection AM… tout se fait par soft. Avec moins de 100 euros de composants, un poil de C (Nooon ! restons poli ! je parle du langage !) et deux grammes de Java, l’on peut concevoir un récepteur aussi performant qu’une usine à gaz « multimodes » qui coûtait 20 000 francs il y a 20 ans.
http://websdr.ewi.utwente.nl:8901/
étonnant, non ? prix du récepteur : 40 euros par bande à tout casser.
On appelle ces petites merveilles des « software defined radio » (SDR), ou Radio « définies » par logiciel. Le « défini » signifie que le soft définie ce que décodera la radio. Il la « modèle » selon les désirs du programme utilisé. C’est, pour ceux qui n’auraient pas saisi, le même principe que ces abominables « winmodems », interfaces téléphoniques minimalistes qui laissaient à la CPU la totalité du traitement du signal, à la haute époque des transmissions en 9600 pbs sur RTC. Les SDR, c’est « presque » la même chose. Mais en considérablement plus puissant.

Quel rapport avec le hacking et le pentesting ?
Prenons un SDR. Pas une électronique conçue pour fonctionner avec une carte son, mais un système plus haut de gamme, utilisant un processeur de traitement audio dédié. Un fpga.
Ozymandias, par exemple
http://www.tapr.org/kits_ozy.html
ou bien l’USRP de Matt Ettus
http://www.ettus.com/
(qui accuse déjà plus de 12 ans d’ancienneté)
Ou la toute dernière production de Phil Covington, le QuickSilver QS1R
http://www.srl-llc.com/
Tous sont « fpga powered »… et surtout, tous sont compatibles GNU Radio
http://www.gnu.org/software/gnuradio/
Résumons :
- une base matérielle capable de recevoir n’importe quoi, de 0 à 4 GHz ET EMETTRE n’importe quoi sur ces mêmes fréquences
(ainsi l’USRP, ce sera également le cas des prochaines productions Covington)
- Un socle logiciel qui permet de démoduler (de décoder) absolument tout ce qui est émis (j’insiste sur le mot décoder, et non déchiffrer… c’est important). Pour les procédés de modulation exotiques, il suffit de chercher et de développer le bon algo. La dernière Defcon sur l’écoute distante des dialogues RFID et la remise en forme des signaux en est un exemple remarquable
- Le mélange des deux donne un outil susceptible d’écouter TOUT ce qui utilise la voie des ondes. Une sorte d’enfant hybride qui combinerait, dans le domaine sans fil, les charmes de Wireshark, la mémoire de Nessus et le flaire de Snort.
- Avec en prime quelque chose d’un poil plus préoccupant : une SDR est totalement réversible. Une fois que l’on a modélisé la partie démodulation du signal, il est simple de « retourner » l’électronique et d’émettre avec le même procédé, puisque la modulation est également le fruit d’un développement logiciel. Eavedroping d’un coté, injection de l’autre… Rogue & roll !
Pour l’heure, les rares personnes qui se sont intéressées à l’usage des SDR dans le domaine du pentesting n’ont pas véritablement saisi l’universalité de son mode de fonctionnement. On l’utilise pour hacker du RFID (voir la précédente defcon), ou spécifiquement du GSM (THC The Hacker’s Choice), plus rarement pour se lancer dans l’eavesdroping Bluetooth (Errata Security, Dave Maynor). C’est là une pure question d’éducation : un protocole, une interface, et à chaque jour suffit sa peine.
La base matérielle est universelle et large bande. Est-il si compliqué de combiner, en une sorte de Metasploit GNU-Radio, un kit de pentesting à usage général, capable de s’adapter à toutes les situations ? (ceci est une fausse question, les extensions wireless de Metasploit sont trop « verticalisées », mais il faudrait peu de chose pour les marier entre elles dans un framework différent)
Et maintenant, la question fondamentale : Pourquoi ?
Pourquoi éprouver un spectre de modes de transmission plutôt que d’en analyser les constituants pièce après pièce (l’approche de Christophe Devine, que j’admire profondément). J’entends déjà un barbu équipé d’un sac à dos me dire qu’il est plus simple d’établir une méthode pour vérifier la manière dont on serre les boulons d’un bateau plutôt que de vérifier un à un tous les boulons du bateau. Iso ! Seulement voilà, y’a Mitola.
http://www.eetimes.com/disruption/interviews/mitola.jhtml

Joseph Mitola, du Mitre, est un monsieur qui a dit la chose suivante : En vérité, je vous le dit, un jour, tous les réseaux radios s’enfileront comme des tuyaux de poêle et donneront naissance à un énooooooorme –paf !- réseau hybride. Le Wifi acheminera ce qui vient du GSM, le Bluetooth embrassera Wimax, et la 3G s’embringuera avec les réseaux Tetra. Babel sur les ondes. Il a tellement raison, Monsieur Mitola, avec son idée de « réseaux cognitifs », que les militaires planchent sur sa théorie et tentent de la mettre en pratique depuis déjà près de 5 ans. Les opérateurs dépensent sans compter les sous des fonds de recherche de la Communauté Européenne pour parvenir au même résultat (ou pour tenter de le bloquer… certains vendeurs historiques de minute de télécom ne sont pas franchement favorables à cette vision). Le réseau « cognitif », c’est l’art de router un flux indépendamment de sa couche de transport, en fonction de diverses considérations : coût (least cost routing) QoS, SLA du chargé de transport (ou acceptation de concession de la part de l’usager)… je pars en Wifi, je « jump » en GPRS, je retombe en Wimax, je transite par les CPL (qui, comme chacun sait, est un réseau sans fil) avant de finir sur la ligne Dect de mon correspondant. Et ce, quelque soit le flux : streaming, audio, data en paquets… cela n’a rien à voir avec de l’encapsulation.
D’un point de vue sécurité, soit l’on bétonne le truc de bout en bout avec un vpn ou un machin « dur » -et on perd tout ce qu’on veut en terme d’optimisation de bande passante-, soit on n’utilise qu’un seul protocole maitrisé que l’on encapsule à chaque saut de puce (encore pire que la solution précédente en terme de QoS), soit on « transcode » les niveaux de sécurité, on adapte les chiffrements, on bidouille les négociations sur chaque passerelle, qui devient du coup un point de vulnérabilité. Bref, on se prépare des réveils difficiles et des nervoussses brèkdone. IP sur X25 ou IP dans ATM ne donne qu’une très vague approche des paquet d’em… pardon, des sommes phénoménales de hiatus et d’impondérables…

Tout çà pour dire qu’il y a des compétences qui se perdent. La subtilité analytique du redoutable couple News0ft/Ivanlef0u, l’approche universaliste –et électronique- d’un Kerouanton, la sapience du fuzzing d’un Matthieu Suiche et d’un Jérôme Athias (the metasploit’ boy), l’œil wireless d’un Sid.. si on agite le tout et que l’on sert chaud, crédié, ca fera jaser CanSecWest pendant au moins 10 berges.

Enfin, moi, c’que j’en dit…