OutlawCountry : l'outil de la CIA pour espionner les serveurs Linux

Le par  |  48 commentaire(s)
CIA

Wikileaks continue de distiller les informations récupérées auprès des agences gouvernementales américaines et nous dévoile OutlawCountry, l'outil de piratage que la CIA exploite pour espionner les serveurs Linux.

Toujours dans le cadre de son projet "Vault 7", Wikilieaks attire désormais l'attention sur OutlawCountry, un logiciel espion employé par la CIA assez étonnant.

OutlawCountry se présente comme un module d'extension du kernel dont le but est de reconfigurer la table de routage d'un serveur Linux afin de permettre à ses commanditaires de siphonner littéralement l'ensemble du trafic sortant. En exploitant cet outil, la CIA peut ainsi potentiellement récupérer l'ensemble des échanges passant par des serveurs Linux, mais également puiser dans les données stockées.

OutlawCountry

Wikilieaks ne donne toutefois pas de détails sur la façon dont la CIA peut installer son outil au coeur des serveurs, la procédure nécessitant un accès shell et des privilèges root. En somme, on peut estimer qu'OutlawCountry fait plutôt partie d'un ensemble d'outils plus poussés qui se chargent pour leur part de briser la sécurité des serveurs pour permettre l'installation de modules tiers ou l'exécution de code distant. De plus, il apparait que l'outil de la CIA ne fonctionne que sur les noyaux standards des systèmes d'exploitation CentOS ou Red Hat Enterprise Linux 6.x en 64 bits.

Aucune information n'a été communiquée quant à d'éventuelles cibles connues de la CIA avec ce type d'outil.

Complément d'information

Vos commentaires Page 1 / 5

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1971967
J'avais lu un "illuminé", il y a pas mal de temps, qui disait que le noyau de la RHEL était vulnérable...

Mais bon, je me fais pas d'illusion au sujet des autres distros...


Le #1971970

De plus, il apparait que l'outil de la CIA ne fonctionne que sur les noyaux standards des systèmes d'exploitation CentOS ou Red Hat Enterprise Linux 6.x en 64 bits



RHEL est largement majoritaire dans les milieux professionnels. Ils se partagent le marché avec SuSe.
On voit quelle est leur cible: "Meuh non on ne fait pas d'espionnage industriel"
Le #1971981
«la procédure nécessitant un accès shell et des privilèges root.»
Moui, c'est déjà pas si simple alors, à moins qu'une faille/backdoor dans un driver, un firmware, etc ne leur en donne un (accès root).

mouarf@padrys au QI d'huitre qui tente vainement de réfléchir.
Le #1971983
Padrys a écrit :

«la procédure nécessitant un accès shell et des privilèges root.»
Moui, c'est déjà pas si simple alors, à moins qu'une faille/backdoor dans un driver, un firmware, etc ne leur en donne un (accès root).

mouarf@padrys au QI d'huitre qui tente vainement de réfléchir.


D'après ce que j'ai compris :

Il ne s'agit pas d'une faille mais d'un outil (d'ou la nécessité d'avoir un shell root)
Cet outil est compatible avec les distributions Red Hat / CentOS 6.X ayant un noyau Linux 64 bits 2.6.32
C'est un module Kernel (nf_table_6_64.ko) qui permet d’insérer des règles dans une table "cachée" (un "iptables -t nat -L" ne montrera pas ces règles, il est possible de les voir que si l'on connais le nom de la table)

L'outil en v1.0 ne supporte que l'insertion de règles DNAT dans la chaîne PREROUTING.

Pour vérifier si le module en question est chargé :
$ lsmod | grep nf_table

Infos/source RedHat : https://access.redhat.com/solutions/3099221

Comme souvent le titre laisse penser à un impact énorme, et comme souvent il n'en est rien.

Edit: 2 huîtres valent mieux qu'une

Le #1971987
LinuxUser a écrit :

Padrys a écrit :

«la procédure nécessitant un accès shell et des privilèges root.»
Moui, c'est déjà pas si simple alors, à moins qu'une faille/backdoor dans un driver, un firmware, etc ne leur en donne un (accès root).

mouarf@padrys au QI d'huitre qui tente vainement de réfléchir.


D'après ce que j'ai compris :

Il ne s'agit pas d'une faille mais d'un outil (d'ou la nécessité d'avoir un shell root)
Cet outil est compatible avec les distributions Red Hat / CentOS 6.X ayant un noyau Linux 64 bits 2.6.32
C'est un module Kernel (nf_table_6_64.ko) qui permet d’insérer des règles dans une table "cachée" (un "iptables -t nat -L" ne montrera pas ces règles, il est possible de les voir que si l'on connais le nom de la table)

L'outil en v1.0 ne supporte que l'insertion de règles DNAT dans la chaîne PREROUTING.

Pour vérifier si le module en question est chargé :
$ lsmod | grep nf_table

Infos/source RedHat : https://access.redhat.com/solutions/3099221

Comme souvent le titre laisse penser à un impact énorme, et comme souvent il n'en est rien.

Edit: 2 huîtres valent mieux qu'une


Je ne dis pas le contraire, juste que pour insérer ce module dans le kernel, il faudra quand même une ouverture avant, d'où mon exemple du pilote/firmware/autre avec une faille/backdoor.

2 huitres, ça fait bien 2 de QI, ça commence à le faire
Le #1971994
Padrys a écrit :

LinuxUser a écrit :

Padrys a écrit :

«la procédure nécessitant un accès shell et des privilèges root.»
Moui, c'est déjà pas si simple alors, à moins qu'une faille/backdoor dans un driver, un firmware, etc ne leur en donne un (accès root).

mouarf@padrys au QI d'huitre qui tente vainement de réfléchir.


D'après ce que j'ai compris :

Il ne s'agit pas d'une faille mais d'un outil (d'ou la nécessité d'avoir un shell root)
Cet outil est compatible avec les distributions Red Hat / CentOS 6.X ayant un noyau Linux 64 bits 2.6.32
C'est un module Kernel (nf_table_6_64.ko) qui permet d’insérer des règles dans une table "cachée" (un "iptables -t nat -L" ne montrera pas ces règles, il est possible de les voir que si l'on connais le nom de la table)

L'outil en v1.0 ne supporte que l'insertion de règles DNAT dans la chaîne PREROUTING.

Pour vérifier si le module en question est chargé :
$ lsmod | grep nf_table

Infos/source RedHat : https://access.redhat.com/solutions/3099221

Comme souvent le titre laisse penser à un impact énorme, et comme souvent il n'en est rien.

Edit: 2 huîtres valent mieux qu'une


Je ne dis pas le contraire, juste que pour insérer ce module dans le kernel, il faudra quand même une ouverture avant, d'où mon exemple du pilote/firmware/autre avec une faille/backdoor.

2 huitres, ça fait bien 2 de QI, ça commence à le faire


Fake
1 X 1 = 1
C'est toujours 2 Huîtres a 1 QI
(Sont pas comme les humains les huitres, la preuve ils se font bouffer à nouvel an)
Le #1972003
Et ceux qui disaient que Linux étais ultra sécurisé, ultra sécuritaire, ultra inviolable, ils sont où maintenant. Linus le concepteur avais été approché pour laisser une porte dérobée a l'usage de la CIA et du FBI, il a toujours nié avoir eu ces discussions là, qui nous dit a 100% que même si le code source est 100% ouvert, qu'il n'y a pas un truc prévu pour la CIA et autres intégré dans le système que personne n'a jamais réussi a trouver car bien caché, et on apprendra son existence en 2025 où quelque chose du genre et les gens seront stupéfaits.
Le #1972005
Dodge34 a écrit :

Et ceux qui disaient que Linux étais ultra sécurisé, ultra sécuritaire, ultra inviolable, ils sont où maintenant. Linus le concepteur avais été approché pour laisser une porte dérobée a l'usage de la CIA et du FBI, il a toujours nié avoir eu ces discussions là, qui nous dit a 100% que même si le code source est 100% ouvert, qu'il n'y a pas un truc prévu pour la CIA et autres intégré dans le système que personne n'a jamais réussi a trouver car bien caché, et on apprendra son existence en 2025 où quelque chose du genre et les gens seront stupéfaits.


Linux violable
Microsoft violable
APPLE Violable

Il reste quoi du coup?
Le #1972006
iFlo59 a écrit :

Padrys a écrit :

LinuxUser a écrit :

Padrys a écrit :

«la procédure nécessitant un accès shell et des privilèges root.»
Moui, c'est déjà pas si simple alors, à moins qu'une faille/backdoor dans un driver, un firmware, etc ne leur en donne un (accès root).

mouarf@padrys au QI d'huitre qui tente vainement de réfléchir.


D'après ce que j'ai compris :

Il ne s'agit pas d'une faille mais d'un outil (d'ou la nécessité d'avoir un shell root)
Cet outil est compatible avec les distributions Red Hat / CentOS 6.X ayant un noyau Linux 64 bits 2.6.32
C'est un module Kernel (nf_table_6_64.ko) qui permet d’insérer des règles dans une table "cachée" (un "iptables -t nat -L" ne montrera pas ces règles, il est possible de les voir que si l'on connais le nom de la table)

L'outil en v1.0 ne supporte que l'insertion de règles DNAT dans la chaîne PREROUTING.

Pour vérifier si le module en question est chargé :
$ lsmod | grep nf_table

Infos/source RedHat : https://access.redhat.com/solutions/3099221

Comme souvent le titre laisse penser à un impact énorme, et comme souvent il n'en est rien.

Edit: 2 huîtres valent mieux qu'une


Je ne dis pas le contraire, juste que pour insérer ce module dans le kernel, il faudra quand même une ouverture avant, d'où mon exemple du pilote/firmware/autre avec une faille/backdoor.

2 huitres, ça fait bien 2 de QI, ça commence à le faire


Fake
1 X 1 = 1
C'est toujours 2 Huîtres a 1 QI
(Sont pas comme les humains les huitres, la preuve ils se font bouffer à nouvel an)


Tu ne vas pas me sortir des calculs savants nécessitant plus que mon QI j'espère
Le #1972007
Dodge34 a écrit :

Et ceux qui disaient que Linux étais ultra sécurisé, ultra sécuritaire, ultra inviolable, ils sont où maintenant. Linus le concepteur avais été approché pour laisser une porte dérobée a l'usage de la CIA et du FBI, il a toujours nié avoir eu ces discussions là, qui nous dit a 100% que même si le code source est 100% ouvert, qu'il n'y a pas un truc prévu pour la CIA et autres intégré dans le système que personne n'a jamais réussi a trouver car bien caché, et on apprendra son existence en 2025 où quelque chose du genre et les gens seront stupéfaits.


C'est justement parce qu'il est difficile de cacher du code quand il est vu par n'importe qui, c'est forcément plus sécurisé qu'un code inconnu.
Après, je parlais de firmware, c'est pas pour rien.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]