samedi 13 mars 2010

Booter sur une clef USB avec Backtrack

Je viens de retrouver, sous un tas de livres non lus, une clef USB sur laquelle est installé Backtrack 3.0.
Et je pense que cette vielle clef peut faire l’objet d’un petit article au moins pour 2 raisons: la première est de vous donner quelques éléments pour installer Backtrack 3.0 sur une clef USB de 1 Go et la deuxième est de rappeler les dangers de la clef USB.
Si vous ne le trouvez pas vous pouvez me demander directement le contenu à copier sur votre clef USB de 1 Go pour installer Backtrack 3.0.
Sous Windows, il est nécessaire de copier le contenu ci-dessus à la racine de votre clef et de lancer bootinst.bat. Il ne vous reste alors plus qu’à booter sur votre clef USB.
Notez bien que toutes les modifications dans Backtrack doivent être sauvegardées explicitement sur la clef USB pour être définitivement prise en compte. Afin de ne pas perdre vos configurations, vos installations, etc..., il est nécessaire, à chaque fin de session, d’exécuter la commande:
dir2lzm /mnt/live/memory/changes changesX.lzm
(X est incrémental: changes1.lzm changes2.lzm...)
Récupérez alors le fichier changesX.lzm et copiez-le dans le dossier /BT3/modules/ de votre clef USB. Vous aurez donc autant de fichiers que vous aurez fait de sauvegardes!
Au démarrage Backtrack 3.0 vérifie ce dossier et restaure vos configurations.

Petite histoire autour de notre clef USB
“Bertrand doit partir plus tôt ce vendredi soir, c’est le départ annuel aux sports d’hiver et chez lui tout le monde est dans les starting-blocks. Bertrand est bien décidé: “Pendant les vacances je ne travaillerai pas! L’ordinateur portable restera ici toute la semaine!”.
C’est aussi le vendredi soir que Bruno nettoie les locaux de la société de Bertrand. C’est sa deuxième semaine, il vient d’être embauché! Il est bientôt 20:00, tous les bureaux sont vides. En entrant dans le bureau de Bertrand, Bruno sort de sa poche une clef USB qu’il connecte au PC de Bertrand. Il boote sur la clef et récupère les informations qu’un commanditaire lui a demandé. Bruno démissionnera dans une semaine!
A son retour de vacances Bertrand n’a absolument aucune idée de ce qui vient de se passer et il ne le saura jamais. Il aura cependant un doute lorsqu’il trouvera chez ses concurrents l’équivalent de leur nouveau produit…en beaucoup mieux!”

Alors vous allez me dire: “Il existe une solution: interdire le boot USB sur les PC de l’entreprise”. Eh bien oui, c’est une bonne idée, cependant, Bruno a dans ce cas la possibilité de retirer le disque dur du PC portable et de le connecter sur un autre PC ayant la fonctionnalité de boot sur clef USB.
Vous avez compris, la seule véritable solution est à ce jour de mettre en place une authentification avant le boot (appelée pre-boot authentication). Microsoft avec Bitlocker, McAfee avec EndpointEncryption, TrueCrypt et bien d’autres encore, proposent ce type de solution.
Note: on remarque qu’il est aussi possible de récupérer sur la clef USB les fichiers permettant de déterminer le nom de l’utilisateur et le mot de passe de la machine si le mot de passe est faible (confer l’article Cracker un mot de passe avec Cain & Abel)
Avertissement: ce type de manipulation peut endommager votre clef USB. A bon entendeur…
Tags:

samedi 6 mars 2010

Comment faire du neuf avec l’ancien PXE ?

Il y a quelques années un serveur PXE (permettant le boot sur le réseau) pouvait être utilisé pour prendre la main sur une machine cible que l’on faisait “booter” sur une image fournie par notre serveur PXE pirate pour accéder aux informations de la machine cible.

Mais de l’eau est passée sous le pont de la sécurité et aujourd’hui un LiveCD ou une clef USB permettent beaucoup plus simplement d’accéder aux informations d’une machine cible. Il n’est même pas nécessaire de voler votre PC car quelques minutes suffisent pour faire son marché dans vos données privées.

Comment? Il faut faire “booter” la machine cible sur le LiveCD ou la clef USB, et généralement, et ce dans le pire des cas, le pirate se contente d’accéder aux données privées de l’utilisateur. S’il a plus de chance il a aussi la possibilité d'infecter votre machine.

La parade à ce type d’attaque consiste habituellement à mettre en place une authentification de l’utilisateur avant le “boot” de la machine cible (appelé pre-boot authentication). Microsoft avec Bitlocker, et bien d’autres encore, propose ce type de solution. Dans un prochain article nous aurons l’occasion de parler de ces solutions. Mais revenons à notre serveur PXE! A quoi donc peut-il bien servir?

Eh bien, j’ai retrouvé dans mes cartons un vieux PC portable sans CDROM et ne proposant pas le “boot” sur clef USB. Or ce vieux PC, en Windows 98, ne demandait rien de mieux qu’une petite mise à jour. Et c’est dans ce contexte que le serveur PXE intervient. Il existe de nombreux blogs qui traitent de ce problème qui ne date pas d’hier. Mais devant les petites difficultés agaçantes que j’ai rencontrées pour mettre en place cette solution, j’ai pensé qu’il serait opportun de les partager.

Quel est notre objectif?

Nous souhaitons permettre à notre vieux PC de booter sur un serveur pour permettre l’accès à un CD d’installation de Windows XP pour mettre à jour notre vielle machine.

De quoi avons-nous besoin?

Premièrement nous avons besoin d’une image sur laquelle nous allons “booter”. Cette image contient les outils nécessaires pour permettre l’accès à notre CD d’installation de Windows XP.

Deuxièmement nous avons besoins d’un serveur PXE (avec son serveur DHCP): ainsi notre vielle machine peut récupérer une adresse IP et se connecter à notre serveur pour “booter” sur l’image que nous avons créée.

Voici les différentes étapes nécessaires à la mise à jour de notre vielle machine:

  1. Vous pouvez créer votre propre image avec l’outil WinImage ou bien vous pouvez récupérer une image prête à l’emploi. Je vous conseille personnellement d’utiliser l’image existante et de la copier sous “C:\PXE

  1. Lors du “boot” l’utilisateur peut choisir de booter sur sa vielle machine en local ou sur l’image présente sur le réseau. Il est pour cela nécessaire de créer un menu PXE. La création de ce menu se fait avec l’outil ImgEdit de la façon suivante:

    1. Lancer ImgEdit
    2. Choisir “Create a PXE menu boot file
    3. Ajouter notre image pour permettre le boot sur celle-ci
    4. Ajouter l’option “Hard drive” pour permettre le “boot” local
    5. Sauvegarder sous “C:\PXE\mba.pxe
    6. Choisir “Edit an existing file” et sélectionner notre image précédemment sauvegardée sous “C:\PXE
    7. Sélectionner “Properties” puis “Change” et activer les paramètres suivants: TCP/IP, Pre-OS et Writable

  1. Configurer et lancer TFTP (n’oubliez pas de vous assurer qu’un firewall mal configuré ne bloque pas l’accès au serveur PXE). Pour information, dans notre cas, le serveur PXE est un Windows XP SP2.

    1. Lancer TFTP
    2. Choisir “Settings
      1. Base directory: C:\PXE
      2. TFTP server activé
      3. TFTP client activé
      4. DHCP server activé
    3. Choisir l’onglet “DHCP server
      1. IP pool starting address: 192.168.12.100
      2. Size of pool: 10
      3. Boot file: mba.pxe
      4. Additional option: 66 / 192.168.12.100

  1. Partager le CDROM du serveur en lui donnant le nom sharedcdrom et y insérer le CD d’installation de Windows XP

  1. Booter la vielle machine sur notre image proposée par le serveur PXE (l’image est chargée avec tous les outils nécessaires, en particulier les accès réseau) et lancer les commandes suivantes lorsque le prompt est affiché (serveur est le nom de votre serveur PXE, sharedcdrom est le nom du partage de votre CDROM):

    1. net view \\serveur
    2. net use z: \\serveur\sharedcdrom
    3. z:
    4. cd i386
    5. winnt

L’installation de Windows XP se lance. Votre vielle machine est sur le point de rajeunir!

Note: dans notre configuration le serveur PXE a un compte “Administrator” sans mot de passe.

Note: si vous avez des problèmes pour télécharger ou utiliser les outils nécessaires n’hésitez pas à me contacter!

Source: le blog de Didier Stevens et The Bit Bucket

Tags:

Technorati Tags: ,,, -
del.icio.us Tags: ,,, -

Partager avec...