Serveur minecraft

Avion bidon bidon dans un épisode 7 choquant – GeekWire – Resoudre les problemes d’un serveur MineCraft

Le 22 juillet 2019 - 16 minutes de lecture

Angela (Portia Doubleday) dans la saison 3, épisode 7 de Mr. Robot. (Photo via USA Networks)

[Spoiler Alert] Cet article traite des points de complot et des détails techniques complets de l'épisode 7 de M. Robot (eps3.6_fredrick + tanya.chk). Arrêtez-vous ici si vous n’avez pas regardé l’épisode.

Cet épisode devrait s'appeler, L'abattage de la société… Wow. Je suis triste de voir deux personnages incroyablement intéressants figurer dans le dernier épisode de Mr. Robot.

DERNIÈRE DANS UNE SÉRIE: Corey Nachreiner, CTO de WatchGuard Technologies, basée à Seattle, passe en revue des épisodes de M. Robot sur GeekWire. L'émission est diffusée sur USA Network les mercredis à 22 h. Rejoignez la conversation sur Twitter en utilisant #MrRobotRewind et suivez Corey @SecAdept.

Si vous êtes nouveau dans la série Mr. Robot Rewind, ces articles disséquent les bidouilles que nous voyons dans la plupart des épisodes pour déterminer ce qui est exact et ce qui ne l’est pas. Étonnamment, cette série prend la technologie si au sérieux qu’elle obtient tout ce qui est bien (avec quelques exceptions pour guider le récit).

L’épisode 7, cependant, ne contient pas vraiment de piratage informatique; juste une allusion à celle qui aurait pu arriver. Néanmoins, nous pouvons toujours apprécier les quelques détails techniques inclus, au moins une fois que nous avons fini de pleurer sur nos amis perdus. Nous allons jeter un coup d'oeil.

Brute Forcing Serrures de vélo sur le siège arrière

Avant d’analyser la seule scène de l’épisode qui soit liée à un hack, parlons maintenant de la possibilité de casser des serrures de vélo. Comme je l’ai déjà mentionné dans des articles précédents, les scènes de combo cracking de M. Robot s’intègrent parfaitement dans la communauté des hackers. Bien que la cryptographie numérique et les serrures de vélo physiquement déchirantes soient deux bêtes différentes, l'apprentissage des mathématiques et de la psychologie derrière des combinaisons peut aider les pirates informatiques à tenter de brider leurs identifiants et mots de passe.

Dans cet épisode, Leon (l'assassin de la Dark Army) a Trenton et Mobley attachés sur le siège arrière de sa voiture, enchaînés avec ce qui semble être des verrous de vélo. La serrure que nous voyons a une jolie combinaison standard à quatre chiffres, que Trenton craque rapidement pour tenter de s'échapper. Est-ce réaliste?

Figure 1: Trenton tente de déchiffrer sa serrure à combinaison.

Premièrement, regardons les calculs pour ce type de serrure à combinaison. Ces verrous utilisent des chiffres (pas des lettres) – 0-9 ou 1-9. Nous supposerons le 0-9 légèrement plus fort, ce qui signifie que chacun des quatre chiffres peut être l’une des 10 possibilités. Pour identifier le nombre total de combinaisons possibles, il vous suffit de calculer 10 à la quatrième puissance, soit 10 000. En d'autres termes, il n'y a que 10 000 possibilités de combinaison (ou moins avec un modèle 1-9) avec un verrou à quatre chiffres.

Si cette combinaison faisait partie d’un programme informatique (sans limitation de connexion), il serait trivial pour un pirate informatique comme Trenton d’utiliser la puissance de traitement informatique pour la résoudre en moins d’une seconde. Cependant, les verrous physiques nécessitent une manipulation physique, ce qui prend du temps. La raison pour laquelle les verrous à quatre chiffres sont généralement suffisants est qu’un humain serait obligé de rester pendant un bon bout de temps pour essayer toutes les combinaisons possibles. Soyons généreux et supposons que cela ne prend que trois secondes à Trenton pour essayer chacune des 10 000 combinaisons à quatre chiffres. Il lui faudrait encore huit heures pour passer en revue toutes les options, et il ne lui restait probablement qu’une heure à l’arrière de la voiture.

Cependant, il existe d'autres moyens par lesquels les pirates informatiques peuvent accélérer les choses. Ils connaissent les pins communes (ou mots de passe communs). Malheureusement, la psychologie rend les humains relativement prévisibles. De nombreuses études ont montré comment nous utilisions des mots de passe et des épingles similaires, ou du moins que nous utilisions des méthodes similaires pour choisir nos identifiants. En fait, une étude a montré que plus de 26% de toutes les épingles à quatre chiffres constituent l’une des 20 combinaisons les plus maigres. Il est possible que Trenton le sache et ait réussi à trouver la bonne combinaison rapidement.

Plus important encore, les pirates informatiques savent comment exploiter les faiblesses ou les faiblesses de la mise en œuvre d'un système. Certaines serrures de vélo similaires à celles montrées dans cette scène ont eu des défauts de conception historiques. Ce tutoriel montre que vous pouvez rechercher un léger écart entre les nombres qui n'apparaît que lorsque vous frappez le bon nombre. En utilisant une astuce comme celle-là, vous pouvez complètement «pirater» un verrou de vélo à quatre chiffres en moins d’une minute.

En bref, si elle connaissait la bonne technique pour la serrure en question, il est plausible que Trenton ait craqué ce type de serrure sous les huit heures qu’il faudrait pour la forcer brutalement. De plus, des hackers comme Mobley et Trenton sont peut-être familiarisés avec ce type de verrou, simplement en raison de la proximité entre la sélection du verrou et la sous-culture du piratage. Cela dit, nous ne l’avons pas vue en train de faire la technique de «vérification des lacunes» de la vidéo et c’était beaucoup plus difficile à faire avec la position de ses mains.

Crashing Planes avec Java Server Hacks?

Pour être honnête, cet épisode n’a pas eu de véritable piratage. Cependant, une scène montre l’armée noire qui implique Trenton et Mobley dans le piratage de la deuxième étape en donnant l’impression de rechercher le dernier piratage promis par une (fausse) vidéo de la Fsociety.

Vers la fin de l’épisode, le bras droit de Whiterose fait entrer Trenton et Mobley dans leur garage, où l’Armée noire a organisé quelques ordinateurs et des impressions. Il leur demande ensuite d'expliquer ce qu'ils voient sur ces terminaux. Explorons leurs réponses et les écrans que nous voyons.

Premièrement, Trenton dit:Analyse des menaces pour le système IP de nouvelle génération de la FAA, "Et nous voyons cet écran:

Figure 2: Analyse des menaces Oracle WebLogic.

Ce que je vois sur cet écran est une preuve de la reconnaissance de pirates informatiques, où ils recherchent une cible pour découvrir comment ils pourraient violer son réseau. C’est ce que Trenton entend par analyse de la menace. La fenêtre principale est un navigateur qui effectue une recherche dans la base de données Common Vulnerabilities and Exposures (CVE), un site parrainé par le gouvernement américain qui répertorie toutes les failles de sécurité connues et signalées dans divers logiciels. Plus précisément, une personne a recherché des vulnérabilités dans le produit WebLogic d’Oracle, un serveur d’applications Java. Vous pouvez également voir certaines fenêtres de terminal en corrélation avec les vulnérabilités WebLogic, mais je vais y arriver dans une seconde. Dans tous les cas, il semble que quelqu'un ait découvert que cette cible utilise Oracle WebLogic quelque part, alors ils recherchent une faille à exploiter dans ce logiciel.

Cette sorte de reconnaissance est fidèle à la vie. Cependant, je dirai que rien sur cet écran ne semble donner à Trenton l'idée que les systèmes de la FAA étaient encore la cible… que les preuves sont davantage présentes sur les écrans de Mobley, mais je vais laisser à la série une marge de manœuvre artistique. .

Ensuite, Mobley dit:Cibler les IP à Chicago, Atlanta, L.A., "Et voici son écran:

Figure 3: Vue de Mobley sur les documents et les recherches de la FAA.

Maintenant, ces écrans sont ceux qui les auraient vraiment prévenus que la cible est des avions. Nous voyons un certain nombre d’écrans faisant référence à NEMS, un service de messagerie d’entreprise de la FAA, et au FAN WAN (infrastructure de télécommunication de la FAA), qui est fondamentalement un réseau sécurisé de la FAA pour leur «système de transport aérien de nouvelle génération». reconnaissance. Croyez-le ou non, les recherches de base sur Google (et les plus avancées) jouent un grand rôle dans la recherche sur les hackers, et il existe parfois des documents très juteux avec des détails techniques intéressants en ligne. Si vous effectuez une recherche de base pour «Service de messagerie d'entreprise FAA NAS», vous trouverez actuellement en ligne de nombreux documents similaires à ceux-ci, y compris la carte avec le statut de déploiement NEMS dans un guide de l'utilisateur en ligne.

Trenton dit alors:Il s'agit d'un malware qui cible les systèmes de contrôle du trafic aérien des principaux aéroports., "Alors que nous voyons deux écrans ci-dessous (en gros plan de son premier écran):

Figure 4: Écran des scripts de Trenton.

Décrivons ces tirs. Tout d’abord, sur l’écran supérieur, nous voyons le bord d’un autre document NEMS, dans lequel vous pouvez savoir que le système utilise à la fois la technologie Apache ActiveMQ et WebLogic d’Oracle. Nous savons donc maintenant pourquoi les pirates cherchaient des vulnérabilités WebLogic. La partie supérieure met également en évidence les résultats d'un excellent outil appelé SearchSploit, fourni avec Kali Linux (une distribution populaire de tests d'intrusion open source). En utilisant cet outil, vous pouvez effectuer une recherche du type "searchsploit WebLogic remote" et obtenir un résultat très similaire à ce que vous voyez, répertoriant tous les exploits de la base de données de Kali pour le serveur WebLogic.

Sur l'écran du bas, vous voyez deux scripts Python. Le premier s'appelle weblogic.py. Si vous effectuez une recherche Google à ce sujet, vous trouverez rapidement un lien Github pour un véritable exploit WebLogic publié par l’équipe de sécurité FoxGlove. Cela exploitait une très sérieuse vulnérabilité de dé-sérialisation de la racine Java à distance dans WebLogic (en particulier CVE-2015-4852) et de nombreux autres produits en 2015 (l'année du spectacle). La vulnérabilité générale liée à la désérialisation de Java a été signalée à un stade précoce, mais beaucoup n’ont pas réalisé combien de produits elle était réellement affectée avant bien plus tard. Dans tous les cas, cet exploit pourrait donner aux attaquants distants le contrôle total d’un serveur WebLogic non corrigé.

Nous voyons également une deuxième fenêtre avec un script serializekiller.py. C'est aussi un script de la vie réelle que vous pouvez rechercher sur Google et sur Github. Cet outil peut analyser un réseau à la recherche de serveurs vulnérables à cette faille. Bien que ce soit un excellent outil pour aider les chapeaux blancs à trouver et à corriger les serveurs sensibles, les chapeaux noirs peuvent également l’utiliser pour trouver des cibles. Si vous souhaitez en savoir plus sur cette ancienne faille critique, le fichier Lisez-moi de ce script indique la meilleure description technique qui soit.

En fin de compte, tout cela amène Mobley à résumer:Ils prévoient une autre attaque, probablement comme aujourd’hui, sauf que cette fois, ils font écraser des avions.

Exploits réels, résultat improbable

Sur la base de toute cette analyse, vous pouvez probablement dire qu'il y a beaucoup de réalité dans cette scène. Les écrans des ordinateurs mis en scène par l’Armée noire racontent l’histoire de techniques de reconnaissance de pirates informatiques. Il est vrai et vérifiable que des organisations telles que la FAA pourraient avoir des documents grand public qui font allusion aux technologies qu’ils utilisent (ce qui pourrait aider les pirates informatiques à les cibler). De plus, cette vulnérabilité WebLogic distante spécifique existait déjà en 2015 et les scripts d’exploitation qu’ils utilisent sont également réels (bien que je ne les appelle pas comme des logiciels malveillants comme Trenton l’a fait, ce terme est généralement réservé au contenu malveillant, et non à un script d’exploitation).

Cependant, rien de tout cela ne suggère que ce piratage particulier puisse détruire des avions dans le monde réel. Tout d’abord, le réseau FTI de la FAA est essentiellement privé et sécurisé. De nombreux systèmes NEMS de la FAA pourraient résider sur ce réseau privé, auquel un pirate informatique normal ne pourrait pas accéder facilement. Cela dit, même si vous ne le voyez pas dans l'épisode, vous pouvez trouver une version complète de l'écran NEMS de Trenton masquée sur le site "whoismrrobot.com". Ce plein écran, basé sur un document réel de la FAA, suggère que des clients externes pourraient avoir accès au serveur WebLogic. En passant, il semble que la série ait mal orthographié le mot «externe» en «exernal» dans la version factice.

Figure 5: Véritable document de la FAA comparé à la copie de M. Robot

Le plus important pour savoir si ce serveur WebLogic est publiquement accessible est de savoir quelles fonctionnalités il pourrait offrir à un attaquant. À la fin de la journée, même si tout ce hack réussissait, je pense que le pirate informatique n’aurait qu’un accès au contrôle de la circulation aérienne (ATC). Ne vous méprenez pas, avoir accès à de fausses informations à l’ATC pourrait être très mauvais, mais au bout du compte, les pilotes pilotent toujours des avions. Ils ont peut-être des informations erronées et s’ils ne font confiance qu’au pilote automatique, il y aura des problèmes, mais je ne pense pas qu’un piratage de ce type puisse garantir aux avions de tomber en panne.

Au final, cependant, l’efficacité de ce hack n’a aucune importance dans l’univers de la série. L'Armée noire n'a jamais eu l'intention de passer à travers cette attaque. Ils voulaient simplement présenter suffisamment de preuves pour qualifier Trenton et Mobley de boucs émissaires pour les précédents. Donc, bien que je ne pense pas que ce bidouillage de la FAA serait efficace, toutes les techniques et tous les exploits utilisés dans la série sont réels, et ce serait une preuve assez convaincante pour l’équipe du FBI.

Oeufs de Pâques et cotes "n" se termine

Cet épisode était léger sur les hacks, mais il était aussi très léger sur ses œufs de Pâques ordinaires. Toutefois, si vous n’avez pas encore trouvé le site «whoismrrobot.com», sachez qu’il est régulièrement mis à jour avec de nouveaux indices et de nouveaux jeux. Après cet épisode, ce site a ajouté un tout nouveau terminal avec lequel vous pouvez interagir. Entre autres choses, vous pouvez réellement voir une meilleure résolution en gros plan de certains écrans de la FAA de la semaine dernière (c’est ainsi que j’ai vu des détails que je ne pouvais pas réellement voir dans l’émission). Ces écrans ne sont que la couche de surface de quelques énigmes supplémentaires enfouies sur ce site. Si vous êtes un pirate informatique au coeur, je vous recommande de le visiter souvent.

Un dernier point de côté… Même si vous pleurez probablement la mort de Trenton et de Mobley, souvenez-vous que Trenton pourrait toujours racheter l’équipe morte avec son mystérieux courriel. Nous avons terminé la saison dernière en entendant Trenton suggérer qu'elle ait eu une idée qui pourrait leur permettre de revenir en arrière. Et dans la voiture, elle a dit à Mobley que si elle ne revenait pas à son ordinateur dans un délai déterminé, elle enverrait automatiquement un courrier électronique à une partie de confiance. Je ne sais pas qui est cette partie de confiance (a-t-elle toujours confiance en Darlene?), Mais mon instinct me dit que son courrier électronique pourrait avoir un rapport avec le cryptage.

Apprendre de M. Robot: Toujours mettre à jour le logiciel serveur

Espérons que ma discussion sur le verrouillage forcé brutal vous a fait réfléchir sur la longueur du mot de passe. Si un ordinateur peut déchiffrer un code à quatre chiffres en moins d'une seconde, combien de caractères faut-il pour un mot de passe fort? Ma réponse actuelle est 14. Cependant, la leçon la plus importante de cet épisode est l’importance de maintenir tous les logiciels à jour et la façon dont les failles des logiciels «open source» peuvent affecter de nombreux produits.

Dans cet épisode, nous avons vu comment l’Armée noire avait pu tirer parti d’une vulnérabilité très grave de WebLogic. En fait, c’était une faille trouvée dans un paquet d’abord – Apache Commons – mais on s’est rendu compte par la suite d’affecter bien d’autres choses. Vous ne pouvez pas faire grand chose pour vous protéger des vulnérabilités inconnues, mais si un fournisseur tel que Oracle publie un correctif pour une vulnérabilité connue, appliquez cette mise à jour dès que vous le pouvez. Sinon, les pirates de Dark Army pourraient l'exploiter (ou en créer d'autres pour l'exploiter)!

Rejoignez-moi à nouveau pour les prochains versements de M. Robot Rewind et n'hésitez pas à partager vos commentaires, théories et commentaires ci-dessous!

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.