samedi 18 décembre 2010

Les failles Cross-Site Scripting: si communes et pourtant si méconnues !

Comme l’indique le site xss attacks information, les failles Cross-Site Scripting (aussi appelé XSS) sont toujours d’actualité bien qu’elles soient connues comme le "loup blanc" depuis de nombreuses années. Mais comme parfois avec ce qui nous est familier, nous en perdons le véritable signification et en oublions le risque. Je ne sais pas pour vous, mais pour moi c'est le cas!

A titre d’exemple, voici une capture d’écran du site de BP ayant subi une attaque XSS:

bpsucks

Nous allons dans ce qui suit décrire ce qu'est le XSS et les différentes formes qu'il peut prendre.

L'attaque "Stored XSS" ou “XSS permanent” dans laquelle le code injecté est stocké de manière définitive sur le serveur cible. Cette attaque peut être réalisé à deux conditons:

  • quand les informations transmises par un utilisateur sont stockées côté serveur (par exemple dans une base de données ou des fichiers)
  • quand ces informations stockées sont ensuite affichées de nouveau sans que les caractères spéciaux HTML aient été encodés.

C’est le cas d’un message écrit dans un forum qui peut être lu par des milliers de personnes.

Ci-dessous vous trouverez une vidéo détaillant la mise en oeuvre d’une attaque “XSS permanent” sur le site Webgoat de l’OWASP:

ScreenShot044

L'attaque "Reflected XSS" ou “XSS non-permanent” dans laquelle le code injecté est transmis dans la requête et renvoyé par le serveur cible (i.e. utilisation d’un message d’erreur ou d’un outil de recherche).

Mais vous allez me dire que ce n’est pas un problème car l’utilisateur malicieux ne peut injecter du code que dans ses propres pages. Eh bien non! Prenons l’exemple d’un mail de phishing qui vous propose d’aller sur une page avec une URL qui contient le code XSS!

Ci-dessous vous trouverez une vidéo détaillant la mise en oeuvre d’une attaque “XSS non-permanent” sur le site Webgoat de l’OWASP:

ScreenShot043

L'attaque "DOM Based XSS" ou “XSS local” dans laquelle le code injecté permet de modifier l’arbre DOM dans le browser de la victime permettant à la page web de se comporter différemment (i.e. phase d’authentification court-circuitée).

Comme précédemment un mail de phishing avec une URL prenant en compte la faille peut vous piéger.

Ci-dessous vous trouverez une vidéo détaillant la mise en oeuvre d’une attaque “XSS local” sur le site Webgoat de l’OWASP:

ScreenShot042

Le XSS est également utilisé dans une attaque nommée Cross-Site Request Forgery ou CSRF. Un précédent article décrit précisément en quoi consiste cette faille et comment la mettre en oeuvre (voir l’article Cross Site Request Forgery par l'image!).

Source: toujours l’OWASP !http://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

samedi 11 décembre 2010

Comment lutter contre le SPAM sur nos téléphones!

Cela fait plusieurs fois que l’on me pose la question. Alors voici un court article donnant la marche à suivre dans le cas où vous recevez un spam sur votre téléphone.

Vous devez simplement connaître un numéro de téléphone: le 33700 et suivre le mode d’emploi ci-dessous:

ScreenShot046

33700 mode d'emploi

L'usager victime d'un SMS non sollicité aura la possibilité de transférer par SMS le message texte au numéro spécial 33700. Le message ainsi envoyé fera l'objet d'un accusé de réception de la part de la plateforme de traitement. Dans le cas d'un spam ou d'une arnaque avéré les opérateurs de téléphonies mobiles seront avertis. Les spammeurs risquent de se voir fermer leurs numéros surtaxés, pour les cas de nuisance grave les autorités pourront transmettre les informations recueillies aux services de police.

Les étapes sont les suivantes:

  1. L'utilisateur transfère le spam par simple SMS au 33700
  2. Le 33700 le remercie de cette alerte et l'invite à compléter son signalement (numéro de l'émetteur du spam)...
  3. La plateforme de signalement établit la liste des messages indésirables et des numéros surtaxés à rappeler, puis la transmet aux opérateurs mobiles et fixes.

Coût total de l'opération pour l'utilisateur du 33700 deux SMS non surtaxés. Si vous possédez un forfait SMS les deux SMS envoyés en seront décomptés, sinon ils feront l'objet d'une tarification normale de votre opérateur.

Source: 33700 - Spam SMS

samedi 20 novembre 2010

Créer votre propre certificat avec Openssl

Voici un petit article vous permettant de créer vos propres certificats auto-signés avec Openssl. Ce certificat vous permettra de signer et d’encrypter vos mails (voir l’article suivant Signer vos mails à la maison, c’est possible)

Commençons par quelques précisions sur les formats des certificats:

  • .pem - (Privacy Enhanced Mail) contient un certificat dans le format Base64 encodé DER, entouré de "-----BEGIN CERTIFICATE-----" et "-----END CERTIFICATE-----"
  • .cer, .crt, .der – contient un certificat habituellement dans le format DER binaire
  • .p12 - PKCS#12, peut contenir des certificats publiques et les clefs privées associées, protégées par un mot de passe

Vous pouvez télécharger et installer Openssl pour Windows sur le site ci-dessous:

http://www.slproweb.com/products/Win32OpenSSL.html

Puis lancez une fenêtre de commande DOS et suivez la procédure ci-après.

Vous devez également télécharger le fichier de configuration pré-formaté Openssl que vous trouverez à l’URL suivante:

Télécharger le fichier de configuration d’Openssl !

Copiez ce fichier dans le répertoire “C:\Program Files\OpenSSL-Win32\bin”.

Puis, positionnez-vous dans le répertoire d’installation d’Openssl:

> cd "C:\Program Files\OpenSSL-Win32\bin"

Générez la paire de clefs (publique et privée) qui sera utilisée pour la création de votre certificat:

> openssl genrsa 1024 > %TEMP%\proxia.key

Générez votre certificat dans le format “cer”:

> openssl req -new -x509 -config openssl.conf -nodes -sha1 -days 365 -key %TEMP%\proxia.key > %TEMP%\proxia.cer

Convertissez votre certificat dans le format “pem”:

> openssl x509 -inform pem -outform pem -in %TEMP%\proxia.cer -out %TEMP%\proxia.pem

Transformez votre certificat dans le format “p12” pour y ajouter votre clef privée:

> openssl pkcs12 -export -out %TEMP%\proxia-mail.p12 -inkey %TEMP%\proxia.key -in %TEMP%\proxia.pem

C’est fait. Vous pouvez maintenant insérer votre certificat “proxia-mail.p12” dans votre carte à puce préférée (Gemalto .NET v2+) en utilisant l”outil en ligne Gemalto .NET Card Utilities.

Pour ceux qui veulent aller plus loin et générer un certificat permettant de faire du Smart Card Logon, vous trouverez ci-dessous les informations permettant de modifier le fichier “openssl.conf” (la procédure reste la même)

Dans la section [usr_cert] du fichier “openssl.conf”, modifier les lignes suivantes:

# For email protection
#extendedKeyUsage=critical,emailProtection
# For Smart Card Logon
LogonextendedKeyUsage=critical,1.3.6.1.4.1.311.20.2.2
 

samedi 13 novembre 2010

Signer vos mails à la maison, c’est possible !

Imaginons un monde sans spam avec dans votre boîte aux lettres exclusivement des mails signés par des personnes de confiance. Je rêve, me direz-vous! Eh bien non, je crois que ce monde meilleur peut exister. Il ne dépend que de nous de donner l’exemple. Cet article va vous montrer comment signer simplement vos mails sans grandes connaissances de la fameuse et effrayante ”Public Key Infrastructure”. Les plus avertis d’entre vous aurons même la possibilité de les encrypter!

Personnellement je trouve que les outils dont nous disposons aujourd'hui sont suffisamment matures pour nous permettre de les utiliser dans un cadre personnel.
C'est le cas de la signature et de l'encryption de mail. J'utilise Windows Live Mail et la configuration est plutôt simple pour permettre de signer nos mails et même de les encrypter (on dit aussi chiffrer).

A ce stade un petit rappel, très haut niveau, s'impose:

  • Pour générer un certificat, deux clefs sont nécessaires, la clef publique et la clef privée. La clef publique est incluse dans le certificat et peut être connue de tout le mode. La clef privée est, au contraire, à protéger (c’est elle qui permet de prouver votre identité)
  • Signer un mail permet à celui qui va recevoir le mail d'être certain que c'est bien vous l'émetteur du mail et non un méchant pirate ou spammeur (vous utilisez votre clef privée pour signer votre mail; la personne qui a reçu votre mail utilise la clef publique contenue dans votre certificat pour vérifier votre signature)
  • Encrypter un mail c'est permettre à la personne à qui vous envoyer le mail d'être la seule à pouvoir lire le message que vous lui envoyez (c’est la clef publique de la personne à qui vous envoyez le mail que vous utilisez pour le chiffrement; seul le possesseur de la clef privée, i.e. la personne à qui vous avez envoyé le mail, peut déchiffrer le mail).
  • Toutes ces vérifications sont transparentes pour vous

Autant la signature peut être utilisée de manière systématique, cela est moins vrai pour l'encryption pour au moins deux raisons:

  • pour encrypter un mail vous avez besoin de la clef publique contenue dans le certificat de la personne à qui vous voulez envoyer le mail. Le récepteur doit donc posséder un certificat (on parle aussi d'identité numérique) et vous devez avoir accès à ce certificat.
  • pour lire demain les mails qui vous ont été envoyés “encryptés” hier, vous aurez besoin de la paire de clefs correspondante (or nos certificats ont une durée de vie limitée dans le temps). Il est donc nécessaire de prendre cette contrainte en compte.

En ce qui concerne ce deuxième point, Windows Live Mail dispose d'une option permettant de stocker automatiquement l'identité numérique de vos correspondants (s’ils existent dans vos contacts)

Mais avant toutes choses, vous devez posséder un certificat permettant l'encryption et la signature de mail. Pour cela plusieurs solutions s'offrent à vous:

  • générer votre propre certificat avec Openssl (ce point fera l'objet d'un prochain article)
  • acheter un certificat chez Verisign et consorts. Oui mais c’est cher…!
  • récupérer un certificat gratuit chez Comodo

Dans mon cas j'ai récupéré un certificat chez Comodo à l'URL suivante:
http://www.comodo.com/home/email-security/free-email-certificate.php
Vous devez cliquer sur "Free Download" et suivre la procédure. Vous allez alors recevoir plusieurs mails de Comodo, dont un qui installera automatiquement le certificat dans le magasin des certificats d'Internet Explorer (les tests ont été faits avec Internet Explorer 8.0 mais l'utilisation de Firefox est aussi possible).

Vous pouvez si vous le souhaitez (cette manipulation est optionnelle) stocker votre certificat dans une carte à puce (c'est ce que j'ai fait).

Pour cela voilà les étapes à suivre:

  • ouvrir votre magasin de certificats d'Internet Explorer
  • sélectionner le certificat et l'exporter en incluant la clef privée dans un fichier protégé par un mot de passe
  • importer le certificat dans votre carte à puce

Pour cette dernière étape, si votre carte à puce est une carte .NET v2 ou v2 plus de Gemalto (avec la clef mère d'origine), vous pouvez utiliser le service Gemalto disponible à l'URL Gemalto .NET Card Utilities
Vous devez alors installer l'ActiveX SConnect qui permet l'accès à votre carte, puis sélectionner "Certificate Management", et suivre le process.

Maintenant vous disposez d'un certificat soit dans une carte à puce, soit dans le magasin des certificats d'Internet Explorer.

Pour configurer Windows Live Mail pour signer vos mails, sélectionnez "Outils / Options de sécurité" et choisissez l’onglet “Sécurité”.

Dans la zone “Courrier sécurisé”, activez l’option “Signer numériquement tous les messages sortants” pour permettre de signer automatiquement vos mails

ScreenShot053

Dans la zone “Courrier sécurisé”, cliquez sur “ID numériques…” pour vérifier que votre certificat de protection de mail est bien présent

ScreenShot054

Dans la zone “Courrier sécurisé”, cliquez sur “Avancé…” pour vérifier que:

  • l’option “Inclure l’ID numérique lors de l’envoi de messages signés” est activée (cette option vous permet d’inclure automatiquement votre certificat dans le mail envoyé pour permettre la vérification de votre signature)
  • l’option “Ajouter le certificat des expéditeurs à mes contacts Windows Live” est activée (cette option vous permet de stocker le certificat des personnes à qui vous souhaitez envoyer un mail encrypté / chiffré)

ScreenShot055

Si vous avez stocké votre certificat dans une carte à puce, alors, avant l’envoi du mail signé, votre PIN code vous est demandé (afin d’autoriser l’accès à votre clef privée pour effectuer la signature)

ScreenShot057

Si vous souhaitez chiffrer / encrypter un mail, créez votre mail et dans "Outils" cochez l’option "Chiffrer" (pour cela vous devez disposer de l'identité numérique du destinataire)

ScreenShot056

Vous remarquez que l’option “Signer” est activée par défaut suite à notre configuration.

samedi 23 octobre 2010

Protégeons nos accès SSL!

Plusieurs extensions de Firefox permettent de protéger nos connections SSL avec nos sites préférés. En voici quelques unes:

  • HTTPS-Everywhere
  • Force-HTTPS
  • Force-TLS

De nombreux sites offrent un support limité de l’encryption avec HTTPS. Ils peuvent par exemple proposer HTTP par défaut ou remplir des pages encryptées avec des liens non encryptés. Ce type d’extensions essaie de résoudre ces problèmes en redirigeant toutes les requètes vers HTTPS.



HTTPS-Everywhere

Cette extension peut être installée à partir de https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension en cliquant sur "this link"


Les sites pris en compte par HTTPS-Everywhere sont ceux disponibles dans Modules complémentaires / HTTPS-Everywhere / Options


ScreenShot025


HTTPS-Everywhere permet par exemple de convertir automatiquement http://www.google.com/ en https://www.google.com/ ou bien de convertir http://twitter.com/ en https://twitter.com/


Pour ajouter un nouveau site que l’on souhaite protéger, le process est décrit sur: https://www.eff.org/https-everywhere/rulesets


J’ai essayé de créer un répertoire HTTPSEverywhereUserRules sous “C:\Program Files\Mozilla Firefox\defaults\profile” et d’y ajouter un fichier monsite.xml contenant:


<ruleset name="monsite"><rule from="^http://www.monsite.com" to="https://www.monsite.com"/></ruleset>


Mais la règle ne semble ne pas être prise en compte avec la version 0.1.1 de HTTPS-Everywhere



Force-HTTPS


Collin Jackson et Adam Barth ont définit les spécifications de Force-HTTPS dans https://crypto.stanford.edu/forcehttps/
et ils ont également réalisé une implémentation de leur solution avec ForceHTTPS 0.4.4


ForceHTTPS 0.4.4 ne fonctionne malheureusement pas avec mon Firefox 3.5.10 (j’ai un problème de vérification de signature)



Force-TLS

Force-TLS s’inspire ouvertement des spécifications de ForceHTTPS (Collin Jackson et Adam Barth)
L’installation de Force-TLS se fait via les Modules complémentaires de Firefox


Comme HTTPS-Everywhere, Force-TLS permet de convertir automatiquement http://www.facebook.com/ en https://www.facebook.com/ (si Force-TLS a été configuré pour gérer le site “facebook”)


La configuration d’un site se fait dans Firefox:

- Soit via Outils / ForceTLS Configuration


ScreenShot027


- Soit, la première fois que l’on accède à notre site, via
Outils / Information sur la page / Permissions en cochant Secure Connection / Always access content from this site securely
ainsi que Require HTTPS on subdomains too.


ScreenShot026


Qu’un peu plus de sécurité vous accompagne!

samedi 16 octobre 2010

Encrypter vos clefs USB avec “BitLocker to Go”

Microsoft BitLocker to Go permet d’encrypter vos clefs USB. Ainsi en cas de vol ou de perte de votre clef, vos données personnelles ne sont pas compromises.

L’encryption par BitLocker peut être activée soit par un administrateur ou par l’utilisateur du poste.

Dans cet article nous allons montrer comme un utilisateur peut activer BitLocker to Go pour protéger ses données.

BitLocker est intégré à l’explorateur Windows de Windows 7. Lors de l’insertion de ma clef USB, Windows 7 me propose d’activer Bitlocker to Go.


ScreenShot016

Nous allons choisir de protéger notre clef avec un mot de passe, mais il est aussi possible et conseillé d’utiliser une carte à puce. Dans ce cas, la carte à puce et la saisie du code PIN sont nécessaires pour autoriser la lecture des données de la clef USB.

ScreenShot018

Dans le cas où l’utilisateur oublie son mot de passe (ou perd sa carte à puce), un fichier contenant la clef d’encryption est stocké sur la machine (ou imprimé à la convenance de l’utilisateur). Si ce fichier est perdu alors la clef USB ne peut plus être déchiffrée. Mais Microsoft permet de stocker les clefs d’encryption dans Active Directory. De même Microsoft permet de déployer l’utilisation de Bitlocker via les GPO (Group Policy Objects).

ScreenShot019

Puis la clef est encryptée.

ScreenShot022


ScreenShot024
Pour utiliser la clef USB ainsi encryptée il est nécessaire de saisir son mot de passe lors de son insertion.

ScreenShot023


Note: Pour désactiver BitLocker pour une de vos clefs allez sur “Control Panel/System and Security/BitLocker Drive Encryption” et désactiver BitLocker.

Source: WindowsNetworking.com “Using BitLocker to encrypt removable media

Tags:

Technorati Tags: ,
del.icio.us Tags: ,
BuzzNet Tags: ,

samedi 18 septembre 2010

S’authentifier à la maison avec un certificat dans une carte à puce, c’est possible!

A la question “Est-il possible d’authentifier un utilisateur local avec un certificat stocké dans une carte à puce?”, Microsoft répond “Non, pour s’authentifier avec un certificat sur une carte à puce il est nécessaire d’utiliser Kerberos et l’utilisation de Kerberos n’est possible qu’avec un contrôleur de domaine”.

Eh bien moi je vous annonce qu’il est désormais possible de le faire avec l’aide de Vincent Le Toux! Merci Vincent!

Deux possibilités s’offrent à vous, vous pouvez soit:

  • créer un certificat avec vos outils préférés puis le stocker sur votre carte à puce
  • générer automatiquement votre certificat via l’outil de Vincent

J’ai personnellement utilisé le certificat généré par l’outil (ce certificat est stocké sur ma carte à puce Gemalto .NET). Je peux visualiser le contenu de ma carte à puce avec l’outil en ligne .NetUtilities.

La première étape consiste à me connecter comme d’habitude sur mon Windows 7 Edition Familiale Premium 64 bits avec mon mot de passe préféré et à installer EIDAuthenticate (la solution fonctionne avec Windows Vista, Windows 7, 32 et 64 bits selon l’auteur).

Puis je lance Smart Card Logon dans System and Security:

ScreenShot026

Je choisis l’option Configure a new set of credentials car ma carte à puce ne contient pas de certificat.

ScreenShot027

Je sélectionne le certificat généré (dans mon cas je n’en ai qu’un) après avoir décidé de lui faire confiance. Tous les boucliers doivent être verts.

ScreenShot028

Puis je saisis le mot de passe de mon compte Windows (après avoir activé Activate the remove policy pour permettre de me déconnecter à chaque retrait de ma carte à puce)

ScreenShot029

Enfin je saisis mon code PIN

ScreenShot030

Lorque je me connecte sur mon ordinateur avec ma carte à puce insérée dans mon lecteur j’ai la possibilité de m’authentifier avec mon mot de passe standard (cette option peut être désactivée) ou avec ma carte à puce. Je choisis la carte à puce et le certificat qu’elle contient et je saisis mon PIN.

ScreenShot032

En conclusion, cette solution permet d’avoir un niveau de sécurité équivalent au mot de passe. Mais elle présente l’énorme avantage de la facilité d’utilisation (on pourrait également désactiver la saisie de PIN pour plus de simplicité). Cette facilité d’utilisation est l’élément différenciateur dans un environnement familial.

Source: Vincent Le Toux - http://www.mysmartlogon.com/

dimanche 12 septembre 2010

NoScript nous protège, alors utilisons le!

Comme vous le savez déjà, de nombreuses attaques sont basées sur l'exécution de scripts dans votre browser (voir à ce sujet l’article Cross Site Request Forgery par l'image!).
NoScript est une extension de Firefox qui permet de désactiver par défaut l'exécution de scripts dans le browser et de n'autoriser que les scripts nécessaires.
Notons, que NoScript ne date pas d’hier, il existe depuis 2006, et qu’il reste une des meilleures parades à l’exécution de scripts non autorisés dans notre browser. Inconvénient: l’utilisation de NoScript peut s’avérer contraignante pour une utilisation quotidienne. La sécurité aurait-elle un prix?

ScreenShot028

Lorsque l'on accède à un page web e.g. http://www.google.fr/, NoScript présente plusieurs options:

1) Autoriser google.fr temporairement. Cette option est la plus sûre.
2) Autoriser cette page temporairement. Cette option est un peu moins sûre.
3) Autoriser toute la page (cette option est pratique pour éviter d'autoriser la page de votre site préféré à chaque lancement de votre browser). Cette option est cependant encore moins sûre que la précédente.
4) Autoriser "google.fr". Cette option signifie que l'on a une confiance absolue dans le site visité et que l'on pense qu'il ne sera jamais infecté. Hum...!.
Une autre approche consiste à configurer ce site via Options / List blanche

ScreenShot029

5) Autoriser Javascript globalement. Cette option revient à ne pas installer NoScript. A éviter absolument!

A vos browsers!

samedi 21 août 2010

Protéger vos applications avec AppLocker

Microsoft AppLocker disponible sous Windows 7 permet de restreindre les applications qui peuvent être exécutées sur un poste. Cette fonctionnalité est très intéressante en entreprise pour éviter qu’un poste soit corrumpu par une application non nécessaire à l'entreprise et infecte ainsi les autres postes du réseau.

AppLocker permet par exemple d’interdire les applications portables (“portable apps”) présentes sur les clefs USB.

Dans cet article nous allons à titre d”exemple interdire l’application “notepad.exe”.

Pour cela nous allons définir un ensemble de règles dans AppLocker pour implémenter notre stratégie.

AppLocker nécessite que le service “Application Identity” soit démarré.

Lancer “secpol.msc” pour pouvoir gérer “Local Security Policy”. La configuration d’AppLocker se trouve sous “Application Control Policies”.

Par défaut il est possible de créer 3 types de règles pour:

  • les exécutables
  • les installeurs Windows
  • les scripts

Si vous sélectionnez “AppLocker/Properties/Advanced” vous pouvez activer un nouvel ensemble de règles pour les “dll”.

Créons une première règle pour interdire l’exécution de “notepad.exe

  • Sélèctionnons “Executables Rules/Create New rule…/Next/Deny” pour interdire un exécutable
  • Choisissons l’utilisateur ou le groupe d’utilisateurs auquel s’applique la règle: ”Everyone
  • Sélectionnons “Next” puis “Path” pour identifier l’exécutable par son chemin d’accès
  • Entrons le chemin de “notepad.exe” qui est “C:\WINDOWS\system32\notepad.exe
  • Sélectionnons “Next” puis “Create

La règle est créée et active. Mais “notepad.exe” se trouve aussi sous “C:\WINDOWS\notepad.exe”, il est donc nécessaire de créer une nouvelle règle pour cet autre chemin. On peut donc en conclure que toute autre copie de “notepad.exe” se trouvant dans un autre répertoire peut être exécutée.

ScreenShot015

Notre approche “black list” peut donc être associée à une approche “white list” donnant le chemin de l’exécutable autorisé.

Note: il est possible de tracer les actions d’AppLocker dans “Event Viewer/Applications and Services Logs/Microsoft/Windows/AppLocker”.

ScreenShot014

Note: En entreprise il est possible de déployer ces règles par GPO (Group Policy Objects).

Source: MISC n° 49 “Jouons avec Applocker” de Sylvain Sarméjeanne

Tags:

BuzzNet Tags: ,
del.icio.us Tags: ,
Technorati Tags: ,

samedi 14 août 2010

Sauvegarder vos données avec Toucan!

Toucan est une application portable, efficace et gratuite permettant de sauvegarder les données de votre clef USB.

La sauvegarde peut être lancée manuellement après une mise à jour de votre clef USB. Mais il est aussi possible d’automatiser la sauvegarde ! Toucan propose des commandes en ligne pour gérer vos sauvegardes mais c’est à vous de lancer ces commandes dans l’outil de votre choix.

Pour réaliser une sauvegarde il est nécessaire de configurer un “Job”. Ce “Job” permet de définir:

  • les paramètres de la synchronisation: nous utilisons l’onglet “Sync” pour sauvegarder nos données
  • l’origine de la sauvegarde (la clef USB peut être identifiée avec son label sans utiliser la lettre du drive: le label est MOBILE_DESK)
  • la destination de la sauvegarde
  • l’ensemble de règles qui doivent filtrer les données à sauvegarder: ici “Rule1
  • la fonction de Toucan qui doit être appelé: la fonction “Copy” est utilisée pour simplement copier les fichiers de l’origine vers la destination (quel que soit leur âge). Avec “Copy” aucun fichier n’est supprimé. Toucan propose de nombreuses autres fonctionnalités. Pour plus d’informations vous pouvez consulter la documentation et les forums.
  • les paramètres optionnels: nous avons sélectionné “Retain timestamps” pour permettre à l’origine et à la source d’avoir la même date et heure.

ScreenShot012

Un seul ensemble de règles de filtrage appelé “Rule1” a été créé. C’est dans l’onglet “'Rules” qu’il est possible d’ajouter de nouveaux ensembles de règles. Ces ensembles de règles permettent d’inclure ou d’exclure certains répertoires ou fichiers lors de la sauvegarde. Dans notre cas les exécutables des applications portables ainsi que les fichiers multimédia ne sont pas sauvegardés.

ScreenShot013

PStart peut être utilisé pour lancer une sauvegarde (cf l’article Transformer votre clef USB en bureau "mobile"!). La ligne de commande permettant de lancer une sauvegarde est formée du nom de l’exécutable “Toucan.exe” avec en paramètre le nom du “Job Name” appelé “Backup” dans notre exemple.

ScreenShot011


Tags:

Technorati Tags: ,
BuzzNet Tags: ,
del.icio.us Tags: ,

dimanche 18 juillet 2010

Ophcrack: pour cracker encore plus vite!

ScreenShot009

Ophcrack est un logiciel libre permettant de casser les mots de passe des utilisateurs de systèmes d'exploitation Windows en utilisant les “rainbow-tables”. L’utilisation des “rainbow-tables” permet d’augmenter sensiblement la rapidité du crackage en comparaison avec des méthodes plus classiques de type “brute-force” (cf l’article Cracker un mot de passe avec Cain & Abel).

Les “rainbow-tables” contiennent une grande quantité de chaînes qui proposent en alternance un mot de passe suivi de son “hash”.

ScreenShot010


Ophcrack permet de casser la plupart des mots de passe d'une longueur inférieure ou égale à 14 caractères composés de majuscules, minuscules et chiffres. Si votre mot de passe contient des caractères spéciaux, il vous faudra cependant acheter les “rainbow-tables” correspondantes sur le site d’Ophcrack.


A titre d’exemple, 13 minutes ont été nécessaires sur mon PC personnel (qui est on ne peut plus ordinaire) pour cracker mon mot de passe “administrateur” de 9 caractères utilisant de majuscules, des minuscules et des chiffres. Bluffant !


OphCrack se présente sous la forme d’un liveCD. Après avoir “booté” sur le liveCD, Ophcrack démarre automatiquement et tente de trouver les mots de passe de l'ordinateur.

Cet outil peut être très utile aux auditeurs pour vérifier la qualité des mots de passe de leurs clients (à utiliser cependant avec les précautions légales qui s'imposent).

Tags:

BuzzNet Tags: ,
del.icio.us Tags: ,
Technorati Tags: ,

dimanche 11 juillet 2010

Le “kriegspel” adapté au MITM

Selon les experts en sécurité, une attaque réussie est composée d’un peu de code et d’un protocole d’attaque. Dans cet article nous allons nous intéresser au protocole d’attaque dans le cadre d’une attaque MITM (Man In The Middle).

Comme vous le savez tous, une attaque MITM en HTTPS génère un warning dans le navigateur de la cible car l’autorité de certification qui a généré le certificat du serveur ne fait pas partie des autorités de certification de confiance stockées dans le navigateur.

Notre protocole d’attaque consiste donc à insérer le certificat de l’autorité de certification utilisée par le pirate dans le navigateur de la cible. Si notre attaque réussit alors notre pirate pourra réaliser son MITM sans que le navigateur de la cible ne le détecte.

Dans ce qui suit nous faisons l’hypothèse que l’attaquant est en contact direct avec la cible. Il va ainsi pouvoir exécuter le code malicieux permettant de stocker le certificat de l’autorité de certification “pirate”.

Les moyens à la disposition du pirate peuvent s’appuyer sur une clef USB, un CD ou un DVD (si l’autorun n’est pas désactivé sur le poste de la cible) ou sur le partage d’une application embarquant notre code malicieux (un jeu, un utilitaire,…) via une clef USB, un CD ou un DVD (cf l’article La clef USB: le maillon faible ?)

Voici le code permettant de stocker le certificat de l’autorité de certification:


ScreenShot006

Le code permet de:

  • couper le son sur la machine cible pour éviter les bips puis le réactiver en fin de traitement
  • stocker le certificat de l’autorité de certification du pirate
  • confirmer automatiquement le chargement du certificat en cliquant “Yes” sur la fenêtre '”Security Warning”
  • désactiver momentanément l’écran pour dissimuler les interactions (code actuellement en commentaires car cette option semble ne pas fonctionner pour toutes les configurations). L’option choisie dans l’implémentation courante consiste à détourner l’attention de la cible durant les quelques secondes nécessaires à l’opération

Le code utilise AutoIt, un langage de script qui permet d’interagir avec les pop-up générés par les applications ou le système d’exploitation. Le code a été testé sur Windows XP SP3.

Ce code fonctionne bien entendu quel que soit les droits de l’utilisateur (“Users” ou “Administrators”).

En conclusion, une attaque ciblée combinant le social engineering et un peu d’imagination a une très forte probabilité de réussir. Alors, prudence…!


Tags:

del.icio.us Tags: ,
Technorati Tags: ,
BuzzNet Tags: ,

samedi 26 juin 2010

KitRap0d élève les privilèges! Hum...à voir

Afin de supporter les routines du service BIOS dans les applications “16 bits”, Windows NT supporte encore les appels BIOS en mode Virtuel-8086.

Et KitRap0d s’appuie sur cette fonctionnalité pour transformer un simple utilisateur sans privilèges en un administrateur tout puissant.

Selon l'auteur, les versions 32-bits suivantes de Windows NT sont concernées:

  • Windows 2000Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows 7

J’ai personnellement testé avec succés KitRap0d sur Windows XP SP3 mais avec les patches de sécurité non mis à jour. Ce qui limite la portée de l'attaque. D'où, une fois encore, la nécessité de prendre en compte les mises à jour de Microsoft rapidement. Par contre sur un Windows 7 Ultimate de base, KitRap0d ne semble pas fonctionner.

Pour information mon antivirus AVG Free détecte KitRap0d dans sa version initiale (ce qui n'est pas le cas d'un autre antivirus pourtant bien connu dont je tairais le nom). Mais AVG Free ne le détecte plus une fois modifié et recompilé comme toujours.

Une fois n'est pas coutume, voici un lien vers un vidéo très bien réalisé décrivant le déroulement de l'attaque (et il n’y a rien à ajouter ou presque!) par Pieter Danhieux:














L'intérêt de cette exploit réside dans le fait que nous disposons du code source et que nous pouvons l'étudier, le modifier et le compiler à volonté. Vous pouvez télécharger l’exploit et le code via le lien suivant:

KitRap0d

Comme toujours il est possible d’embarquer l’exécutable de l’exploit dans une clef USB ou un DVD (soit dans un vrai programme corrompu i.e. jeux ou utilitaires, soit en utilisant l’autorun), et d’automatiser la procédure en utilisant AutoIt si nécessaire (cf l’article Je veux et j’exige les droits “administrateurs”!).

Une petite vérification de vos OS ne coûte pas grand chose!

Note: l’exploit est aussi disponible sous Metasploit

Source: Pieter Danhieux

Tags:
BuzzNet Tags: ,,,,
Technorati Tags: ,,,,
del.icio.us Tags: ,,,,

samedi 19 juin 2010

Je veux et j’exige les droits “administrateurs”!

Comme la plupart des développeurs j’ai besoin des droits “administrateurs” sur mon PC. Sinon, c’est bien simple, je ne peux pas travailler dans de bonnes conditions. En tout cas c’est que j’affirme haut et fort à qui veut l’entendre !

Le choix d’avoir les droits administrateur sur son poste de travail présente effectivement de nombreux avantages mais aussi quelques dangers.

Dans ce qui suit nous allons montrer une des nombreuses actions offensives qu’il est possible de réaliser avec quelques lignes de code sans beaucoup de complexité.

Au lieu d’essayer de cracker le mot de passe “administrateur” de notre développeur imprudent, nous allons simplement ajouter notre propre utilisateur “local” avec les droits “administrateurs” en profitant des privilèges locaux.

Dans ce qui suit nous faisons l’hypothèse que l’attaquant est en contact direct avec la cible. Il va ainsi pouvoir exécuter le code malicieux permettant de créer notre compte utilisateur “pirate”.

Les moyens à la disposition du pirate peuvent s’appuyer sur une clef USB, un CD ou un DVD (si l’autorun n’est pas désactivé sur le poste de la cible) ou sur le partage d’une application embarquant notre code malicieux (un jeu, un utilitaire,…) via une clef USB, un CD ou un DVD (cf l’article La clef USB: le maillon faible ?).

Vous trouverez ci-dessous le code nécessaire:

ScreenShot008

Ce code permet de:

  • désactiver momentanément le son du PC cible
  • ajouter les utilisateurs en fonction des informations stockées dans le fichier “myusers.txt”
  • donner le droit de “Interactive Logon” à l’utilisateur hacker1. Cette commande n’est pas nécessaire dans notre contexte car les membres du groupe “Administrators” possède déjà ce droit (elle peut cependant être utile dans d’autres cas).

Vous trouverez ci-dessous le contenu du fichier “myusers.txt”

ScreenShot007

Ce fichier permet de:

  • créer 2 utilisateurs: hacker1, hacker2
  • donner les droits administrateurs à hacker1 et hacker2

Ce code a été testé avec succès sous Windows XP SP3 et Windows 7 (avec la fonction UAC, User Access Control, désactivée cependant).

Est-il vraiment nécessaire de conclure ?

Tags:

BuzzNet Tags: ,
Technorati Tags: ,
del.icio.us Tags: ,

samedi 15 mai 2010

Un bug dans Webgoat 5.2? Non! Pas un mais deux…

Eh bien oui, il faut le voir pour le croire mais il y a bien quelques bugs dans la version 5.2 de Webgoat. Webgoat ne fait pas exception à la règle! Dans les développements de sites web il y a des bugs qui parfois échappent à la validation et qui peuvent devenir des vulnérabilités exploitables par des personnes mal intentionnées. Mais heureusement nous ne sommes pas dans ce cadre, Webgoat est fait pour être faillible! Ouf! L’honneur est sauf!

L'objectif de cet article est simplement de vous montrer qu'il est possible de modifier le code de Webgoat. Vous avez toujours la possibilité de récupérer Webgoat 5.3 si vous le souhaitez.

On peut trouver tous les bugs de Webgoat à l’URL suivante: http://code.google.com/p/webgoat/issues/list

Mais puisque nous disposons du code source et d’Eclipse (voir “Modifier le code source de Webgoat, c’est possible!”), nous n’allons pas nous priver du plaisir de faire les corrections.

Bug 1 dans la leçon DOM injection de Ajax Security(référence 28)

Dans le code source de la page, on trouve:

<input name='key' value='' type='TEXT' onkeyup='validate();' >

Or plus loin on trouve:

var keyField = document.getElementById('key');

Il n’y a pas de paramètre “id” avec la valeur ‘key’ mais un paramètre “name”, il est donc nécessaire d’ajouter le paramètre “id” et de lui donner la valeur ‘key’

Dans la méthode Element createContent(WebSession s) de la classe org.owasp.webgoat.lessons.DOMInjection (fichier DOMInjection.java), on ajoute donc la ligne ci-dessous qui permet d’ajouter un tag “id” et de lui donner la valeur ‘key’:

Input input1 = new Input(Input.TEXT, KEY, "");
input1.addAttribute("onkeyup", "validate();");

// Fix
input1.setID(KEY);

tr.addElement(new TD(input1));
t1.addElement(tr);

Bug 2 dans la leçon DOM injection de Ajax Security(référence 32)

Dans le code source de la page on trouve:

var result = req.responseXML.getElementsByTagName('reward');

Mais la valeur req.responseXML est nulle lors de l’exécution avec Firebug

Par ailleurs on peut observer que la variable result n’est pas utilisée.

Pour résoudre notre problème on peut donc simplement commenter la ligne dans la méthode Element createContent(WebSession s) de la classe org.owasp.webgoat.lessons.DOMInjection (fichier DOMInjection.java)

Environnement de développement

Lorsque vous sauvegardez une modification dans Eclipse, le “build” est automatiquement lancé et le serveur est mis à jour (cf. Project/Build automatically).

Il ne reste alors qu’à recharger la page dans le browser et votre correction est immédiatement prise en compte.

Etonnant non!

Tags:

- Technorati Tags: ,


- del.icio.us Tags: ,


- BuzzNet Tags: ,

samedi 8 mai 2010

Modifier le source de Webgoat, oui c’est possible!

Si comme moi vous avez eu le besoin ou l’envie de modifier le code de Webgoat, soit pour y ajouter votre propre leçon, soit pour corriger un bug (eh oui il y en a parfois!), alors vous allez être ravi. Oui, l’OWASP permet aux utilisateurs de Webgoat de modifier le code source.


Tout d’abord un petit rappel sur les principales versions de Webgoat actuellement disponibles:

  • Webgoat 5.3 est disponible en RC1 (première Release Candidate de cette nouvelle version) depuis le 10 novembre 2009

  • Webgoat 5.2 est disponible en version finale depuis le 12 juillet 2008

Contrairement à la version 5.2, la récente version 5.3 ne propose pas encore une version incluant le code source. C’est pourquoi nous allons nous intéresser à Webgoat 5.2.


Dans cet article nous allons voir comment installer Webgoat 5.2 fournit avec le code source et l’éditeur Eclipse. Puis dans un prochain article, nous essaierons de corriger un petit bug de la version 5.2.



Installation de Webgoat 5.2 avec le code source

Sur http://sourceforge.net/projects/owasp/files/WebGoat/ choisir le répertoire Webgoat 5.2 et télécharger le fichier WebGoat-OWASP_Developer-5.2.zip

Extraire le fichier sous “C:”. Vous devez alors trouver dans “C:\WebGoat-5.2”, le fichier “Eclipse-Workspace.zip”

Extraire ce zip dans ce répertoire. Vous devez alors avoir le nouveau répertoire suivant: “C:\WebGoat-5.2\eclipse”

Lancer alors “C:\WebGoat-5.2\eclipse.bat”. Vous avez alors accès au projet Webgoat.


ScreenShot052


Sélectionner “Window/Open perspective/Java” ou “Window/Open perspective/Other/Java” et vérifier que les projets “Servers2” et “Webgoat” sont bien présents dans l’onglet “Project Explorer”. Vous pouvez faire un clique droit sur “Servers2” et sélectionner “Refresh” (idem pour le projet “Webgoat”).


ScreenShot050


Lancer Webgoat via Eclipse. Pour cela sélectionner “Window/Open perspective/Resource” ou “Window/Open perspective/Other/Resource” et dans l’onglet “Servers” séléctionner la ligne “Webgoat Tomcat v5.5 server at localhost”, faites un clique droit et sélectionner “Start”. L’état de ce serveur doit alors passer à “Started”


ScreenShot048


Enfin dans votre browser préféré, vous pouvez entrer l’URL: http://localhost/WebGoat/attack


ScreenShot051




Tags:

- Technorati Tags: ,

- del.icio.us Tags: ,

- BuzzNet Tags: ,

dimanche 11 avril 2010

Sauvegarder les données de vos clefs USB avec YuuWaa!

Après quelques articles autour de la clef USB sur comment transformer sa clef en bureau mobile ou comment protéger les données présentes sur sa clef, je vous propose aujourd'hui de traiter la problématique de sauvegardes des informations contenues dans notre clef.

box_yuuwaa_go
Nous avons tous vécu l'expérience désagréable de perdre notre clef USB ou bien de ne plus pouvoir y accéder. Et nous avons alors tous décidé de sauvegarder périodiquement les informations stockées sur notre clef. Mais très vite, nos démons refont surface et nous oublions la sauvegarde. Ah si nous avions un outil nous permettant de gérer ce problème à notre place!

dongle_yuuwaa_goEh bien, c'est fait! Gemalto avec sa solution YuuWaa propose de prendre en charge cette problématique. Yuuhaa nous permet:

  • soit d'acheter une clef USB de:
    1. 4Go contenant l'application YuuWaa avec 20Go de stockage en ligne gratuit pendant 6 mois
    2. 8Go contenant l'application YuuWaa avec 50Go de stockage en ligne gratuit pendant 6 mois
  • soit de télécharger gratuitement l'application YuuWaa que l'on peut installer sur notre propre clef USB avec un stockage en ligne de 2Go gratuit pendant 1 mois.

C'est cette dernière solution que nous allons utiliser. Mais YuuWaa c'est plus que la simple sauvegarde de vos données. C'est aussi la possibilité d'accèder à vos données à tout moment via internet (vidéo, musique, photo) et de les partager avec vos amis.

Découvrons ensemble au travers de la vidéo ci-dessous, l'expérience YuuWaa.



L’utilisation de YuuWaa est intuitive hormis 2 petits détails:

  • Lors de l'installation de YuuWaa sur votre clef USB, l'installeur nous informe que le backup de la clef s'est bien passé et nous propose de lancer de nouveau un "backup". Ce message est perturbant mais n’en tenez pas compte! Le “backup” de votre clef est bel et bien fait!

  • Si comme moi vous ne lisez jamais les documentations, il faut savoir que votre "backup" est accessible sur votre compte en ligne YuuWaa en cliquant sur le petit parapluie (en haut à droite).
ScreenShot047

Pour 20Go de stockage en ligne pendant 1 an le prix est autour de 19,9 euros. Vous trouverez les prix à l’URL suivante: http://www.yuuwaa.com/fr/plans.html

Par contre dans la version courante il est impossible de choisir les répertoires et fichiers à sauvegarder (e.g. j’ai une clef de 16Go
et seulement 2Go de données sensibles à sauvegarder!).

On aurait également aimé avoir un lien pour importer nos données en provenance des Picasa, Flickr et consorts pour nous permettre d’utiliser YuuWaa comme unique interface de stockage en ligne et donc de partage.

En résumé, YuuWaa répond à un vrai besoin pour ceux dont la clef USB est un véritable outil de travail, et bien plus encore. Merci Gemalto!

Source: Essayer gratuitement YuuWaa https://www.yuuwaa.com/freetrial.html

Tags:

-
del.icio.us Tags: ,,,,
-
Technorati Tags: ,,,,

dimanche 4 avril 2010

L’authentification “pre-boot” n’est pas sans faille…

Un récent article de Joanna Rutkowska de Invisible Things décrivait comment récupérer le mot de passe utilisé pour l'authentification “pre-boot” avec TrueCrypt.

Voici une brève description du scénario d’attaque.

“Bertrand vient d’arriver à l’hôtel. Demain c’est le grand jour: la remise des prix attribués aux meilleurs vendeurs, et Bertrand en fait partie. Le lendemain, Bertrand laisse son PC éteint à l’hôtel, il traitera ses mails ce soir en rentrant. La femme de chambre profite de l’absence de Bertrand pour faire booter le PC sur sa clef USB afin de l’infecter. En rentrant Bertrand démarre son PC, entre le mot de passe de sa solution d’authentification et d’encryption “pre-boot”, saisie son mot de passe système et traite ses messages. Le lendemain matin Bertrand quitte l’hôtel comme à l’accoutumé en y laissant son PC éteint. La femme de chambre n’a plus qu’à faire booter le PC de Bertrand sur sa clef USB pour récupérer le mot de passe d’authentification et d’encryption “pre-boot”. Et Bertrand n’en sait rien! Il est maintenant simplement nécessaire d’”emprunter” le PC de Bertrand pour récupérer les informations souhaitées.”

Comme l’indique Joanna Rutkowska, TrueCrypt n’est pas la seule cible potentielle de ce type d’attaque.

Je n’ai pas résisté à l”envie de voir comment fonctionnait l’attaque dans un cas réel.

J’ai donc installé TrueCrypt sur mon PC portable et encrypté avec TrueCrypt ma partition système. En faisant cela lors du démarrage de mon PC, le mot de passe TrueCrypt m’est demandé pour permettre le lancement de mon Windows XP et la saisie de mon mot de passe système habituel.

Joanna Rutkowska dans son article nous fournit une image pour nous permettre de créer rapidement une clef USB bootable contenant l’exécutable pour récupérer le mot de passe de TrueCrypt. Mais j’ai personnellement rencontré quelques difficultés pour recréer cette image. Heureusement nous trouvons dans l’article d’Invisible Things le code source nous permettant de mieux comprendre l’attaque et de la reproduire avec quelques variantes.

Comme vous le savez déjà, si vous êtes un lecteur assidu de ce blog, je dispose d’une clef USB “bootable” avec Backtrack 3. Je vais donc simplement faire booter mon PC sur ma clef USB, puis lancer l’exécutable modifié et recompilé pour infecter TrueCrypt.

Après avoir copié le code source de l’exploit sur la clef USB et booté sur la clef, jetez un œil au répertoire qui contient le code source. Dans notre exemple:

> cd /mnt/sdb1/Misc/evilmaid/evilmaid-tc

snapshot3

Vous pouvez ensuite ouvrir avec votre éditeur préféré le fichier Makefile. On y trouve les commandes permettant de compiler notre exécutable. On note la présence d’un fichier “c” et d’un fichier “asm” qui contiennent le code de l’exploit. Le fichier “asm” est un fichier assembleur compilable avec nasm.

Vous pouvez alors compiler l’exécutable. Si vous rencontrez des difficultés avec le Makefile, vous pouvez exécuter les 3 lignes suivantes:

> nasm –f elf logger.asm

> gcc –m32 –c patch_tc.c

> gcc –m32 –o patch_tc patch_tc.o logger.o

Votre exécutable est alors patch_tc.

snapshot4

Puis allez dans le répertoire stick. Dans notre cas:

> cd /mnt/sdb1/Misc/evilmaid/stick/

snapshot2

On y trouve le script “shellstage2 qui est le point d’entrée principal de l’exploit. Le fichier stage2 est à modifier dans notre contexte. Ouvrez le fichier avec votre éditeur préféré:

snapshot5

Les lignes suivantes sont à changer:

- On associe la variable BASE au répertoire dans lequel se trouve notre exécutable patch_tc. Dans notre cas:

BASE=/mnt/sdb1/Misc/evilmaid/evilmaid-tc

- On vérifie que le disque cible correspond bien à /dev/sda. C’est notre cas.

- On commente les lignes permettant de monter le répertoire contenant notre exécutable dans la fonction run_evilmaid

Notre clef est prête pour la mise en œuvre de l’exploit.

Sur le PC cible on boote sur la clef USB et on lance stage2. Ce script permet soit d’infecter le PC, soit de lancer un shell, soit de rebooter. On choisit de lancer notre exécutable. Le PC est alors infecté. On attend que notre utilisateur se soit de nouveau connecté à son PC puis on reboote sur la clef et on relance stage2. On obtient le résultat ci-dessous:

snapshot1

Le script détecte que le PC est déjà infecté et récupère alors le mot de passe. Dans notre cas le mot de passe est “ErtyErty”.

C’est gagné…!

Source: Evil Maid goes after TrueCrypt de Joanna Rutkowska. Merci à Matthias pour le lien vers le blog de Joanna Rutkowska!

Tags:

del.icio.us Tags: ,,,,, -

samedi 13 mars 2010

Booter sur une clef USB avec Backtrack

Je viens de retrouver, sous un tas de livres non lus, une clef USB sur laquelle est installé Backtrack 3.0.
Et je pense que cette vielle clef peut faire l’objet d’un petit article au moins pour 2 raisons: la première est de vous donner quelques éléments pour installer Backtrack 3.0 sur une clef USB de 1 Go et la deuxième est de rappeler les dangers de la clef USB.
Si vous ne le trouvez pas vous pouvez me demander directement le contenu à copier sur votre clef USB de 1 Go pour installer Backtrack 3.0.
Sous Windows, il est nécessaire de copier le contenu ci-dessus à la racine de votre clef et de lancer bootinst.bat. Il ne vous reste alors plus qu’à booter sur votre clef USB.
Notez bien que toutes les modifications dans Backtrack doivent être sauvegardées explicitement sur la clef USB pour être définitivement prise en compte. Afin de ne pas perdre vos configurations, vos installations, etc..., il est nécessaire, à chaque fin de session, d’exécuter la commande:
dir2lzm /mnt/live/memory/changes changesX.lzm
(X est incrémental: changes1.lzm changes2.lzm...)
Récupérez alors le fichier changesX.lzm et copiez-le dans le dossier /BT3/modules/ de votre clef USB. Vous aurez donc autant de fichiers que vous aurez fait de sauvegardes!
Au démarrage Backtrack 3.0 vérifie ce dossier et restaure vos configurations.

Petite histoire autour de notre clef USB
“Bertrand doit partir plus tôt ce vendredi soir, c’est le départ annuel aux sports d’hiver et chez lui tout le monde est dans les starting-blocks. Bertrand est bien décidé: “Pendant les vacances je ne travaillerai pas! L’ordinateur portable restera ici toute la semaine!”.
C’est aussi le vendredi soir que Bruno nettoie les locaux de la société de Bertrand. C’est sa deuxième semaine, il vient d’être embauché! Il est bientôt 20:00, tous les bureaux sont vides. En entrant dans le bureau de Bertrand, Bruno sort de sa poche une clef USB qu’il connecte au PC de Bertrand. Il boote sur la clef et récupère les informations qu’un commanditaire lui a demandé. Bruno démissionnera dans une semaine!
A son retour de vacances Bertrand n’a absolument aucune idée de ce qui vient de se passer et il ne le saura jamais. Il aura cependant un doute lorsqu’il trouvera chez ses concurrents l’équivalent de leur nouveau produit…en beaucoup mieux!”

Alors vous allez me dire: “Il existe une solution: interdire le boot USB sur les PC de l’entreprise”. Eh bien oui, c’est une bonne idée, cependant, Bruno a dans ce cas la possibilité de retirer le disque dur du PC portable et de le connecter sur un autre PC ayant la fonctionnalité de boot sur clef USB.
Vous avez compris, la seule véritable solution est à ce jour de mettre en place une authentification avant le boot (appelée pre-boot authentication). Microsoft avec Bitlocker, McAfee avec EndpointEncryption, TrueCrypt et bien d’autres encore, proposent ce type de solution.
Note: on remarque qu’il est aussi possible de récupérer sur la clef USB les fichiers permettant de déterminer le nom de l’utilisateur et le mot de passe de la machine si le mot de passe est faible (confer l’article Cracker un mot de passe avec Cain & Abel)
Avertissement: ce type de manipulation peut endommager votre clef USB. A bon entendeur…
Tags:

Partager avec...