IKAT un outil d'audit pour les terminaux des kiosques Internet

Par Xavier Poli, secuobs.com
Le 17/11/2008

---

Résumé : Paul Craig mis à disposition un outil en ligne permettant d'auditer la sécurité relative aux bornes d'accès présentes dans les kiosques Internet que l'on peut retrouver dans les hôtels, les gares et les aéroports ainsi que dans les zones d'accueil de certaines entreprises. - Lire l'article



Le consultant en sécurité, Paul Craig ( Security Assessment - lien ), a mis à disposition récemment un outil permettant de tester la sécurité des terminaux d’accès aux différents kiosques Internet que l’on peut trouver dans différents lieux publics comme les hôtels, les gares et les aéroports ; ces terminaux sont souvent relativement basiques dans les fonctionnalités que leurs usages permettent.

L’outil développé par Paul se dénomme IKAT pour « Internet Kiosk Attack Tool » et met en évidence le potentiel d’insécurité relatif à ces différentes bornes d’accès. A l’aide de IKAT, il suffirait de moins d’une minute, dix secondes en moyenne, pour contourner les protections mises en place sur ces bornes. Ce contournement permettant d’obtenir une invite de type Shell afin de lancer des commandes arbitraires ; ces bornes d’accès deviennent alors de véritables passerelles pour les attaques vers le réseau global notamment dans le cas de bornes qui soient situées dans les zones d’accueil d’une l’entreprise.

En prévision de vols potentiels, ces bornes sont en général plutôt bien isolées (boîtes de protection, cadenas, etc) vis-à-vis de de l’extérieur, l’accès aux différentes connectiques, qui pourraient y être présentes, est difficile ; il est donc la plupart du temps impossible d’accéder de manière discrète aux périphériques d'entrée comme les lecteurs de disquettes, de DVD ainsi que les ports USB et FireWire pour les compromettre.

Une possible compromission trouve alors son champ d’action uniquement confiné aux systèmes d’exploitation en présence ainsi qu’à l’ensemble des logiciels qui y sont installés et « accessibles ». Concernant ces systèmes d’exploitation, ce sont pour la plupart du temps des systèmes de type Microsoft Windows ; il existe ainsi plus de quarante solutions de kiosques, basées sur ces systèmes, que l’on peut acheter à moindre coût afin de transformer un ordinateur basique en kiosque Internet.

A noter que lors de ses recherches sur la sécurité des kiosques Internet, Paul a eu l’occasion de découvrir plusieurs failles 0day dans les composants additionnels des navigateurs Internet en présence et notamment sur le plugin Adobe Flash ; des failles qu’il aura pu utiliser comme vecteur d’attaque afin de compromettre la sécurité de ces kiosques et les intégrer à son outil.

IKAT se présente sous la forme d’un site Web qu’il est nécessaire de visiter lors de l’utilisation d’une borne d’accès ; il ne reste alors plus qu’à choisir entre les différentes méthodes qui sont proposées afin de réveiller les fonctionnalités endormies du système d’exploitation utilisé. Ces différentes méthodes utilisent de nombreuses technologies éprouvées comme le Java, les composants ActiveX ainsi que le JavaScript et le Flash précédemment cité.

Les fonctionnalités de IKAT sont ainsi classifiées en plusieurs catégories que sont : la reconnaissance de l’environnement, les liens vers les systèmes de fichier, l’accès aux boîtes de dialogue, le gestionnaire d’applications ainsi que les composants additionnels du navigateur utilisé et les outils (binaires et vbscript, cmd.exe, netcat, nmap, etc). On notera également le « Panic button » permettant de fermer l’instance de navigateur via laquelle est visité le service IKAT ainsi que la possibilité de partager ses découvertes lors de l’audit d’un kiosque.

Cet outil peut bien sûr être utilisé autant par les responsables de ces bornes afin d’en augmenter le niveau de sécurité que par les consultants en charge de leur audit. IKAT est disponible à l’adresse suivante ( lien ) et a été présenté lors de différentes conférences sur la sécurité soit dans l’ordre chronologique la DEFCON 16 ( lien ), Hack.lu 08 ( lien ) et enfin HITB 08 ( lien ) ; son nombre d’utilisateurs ne cessant apparemment d’augmenter depuis sa mise à disposition.