Vers l'infini et au-delà...! (*)

Social Engineering: le livre…

2012-02-11T06:37:00.000-08:00

“Social Engineering, The art of Human Hacking” de Christopher Hadnagy (en anglais) permet de découvrir ce qu'est réellement le "Social Engineering" et ainsi de mieux s'en prémunir. Sa lecture devrait être obligatoire pour tout bon RSSI.

Tout d’abord il faut noter le petit mot de Kevin Mitnick sur la page de couverture qui nous donne une idée du sérieux de l’auteur pour ceux, rares je l’espère, qui ne le connaissent pas déjà.

En quelques mots, Christopher Hadnagy participe activement à www.social-engineer.org, le premier site mondial sur le « Social Engineering ». Il a aussi collaboré avec l’équipe de www.backtrack-linux.org et est actuellement formateur pour « Offensive Security ». Impressionnant non ! Chris (je me permets cette familiarité bien amicale), Chris, disais-je, est convaincu que la sécurité passe par l’éducation. Moi aussi ! (mais ce n’est pas le sujet!)

Chris décrit les différentes méthodologies pour rassembler des informations sur une cible potentielle et les outils associés. Ses principales sources d’information sont internet bien sûr (l’émergence des réseaux sociaux facilitant grandement cette étape), l’observation directe, et également celle du contenu des poubelles. Oui, oui , j’ai bien dit « poubelles » et les informations que l’on y trouve sont toujours surprenantes (selon Chris bien sûr; cette activité est totalement illégale en France).

Selon Chris toujours, l’élicitation (activité chère à nos agents très spéciaux) est un art très difficile à maitriser. Elle consiste (entre autres choses) à user de stratagèmes comportementaux pour manipuler votre cible afin qu’elle vous donne les informations dont vous avez besoin pour mener à bien votre mission.

Mais pour établir le contact avec votre cible, il est souvent nécessaire de créer un scénario et un personnage très crédibles. C’est ce que Chris appelle le « pretexting », on pourrait dire « prétexter » en français. Cette technique nécessite une préparation très importante comportant une recherche d’informations en amont, l’intégration d’intérêts personnels pour augmenter votre propre crédibilité et de nombreuses répétitions (n’oubliez pas qu’il est obligatoire de rester dans la légalité).

Bien entendu Chris ne peut pas échapper à la description de quelques principes psychologiques fondamentaux dont la PNL (Programmation Neuro Linguistique). La sécurité rejoint la communication !

Mais pour influencer et surtout persuader, il est parfois nécessaire de manipuler (toujours avec intégrité). Pour cela Chris nous donne quelques techniques dont le « framing » permettant d’altérer la réalité. En d’autres termes le « framing » consiste à présenter des faits d’une manière légèrement différente permettant de transformer quelque chose généralement considéré comme mauvais en quelque chose de bon. Ca fait peur, non ?

Mais le « social engineer » a également besoin d’une boite à outils techniques parmi lesquels on trouve l’incontournable « Maltego » permettant de rassembler des informations via internet sur une personne ou une entreprise, et le fameux SET (Social Engineering Toolkit) pour entre autres choses créer automatiquement un site web de phishing afin de récupérer des mots de passe. Mais on y trouve aussi les bons vieux outils de « lock-picking » ou comment ouvrir une porte sans en avoir la clef, et les bonnes vielles caméras « espions ».

Chris termine son livre en disséquant ses propres études de cas et celles de Kevin Mitnick. C’est passionnant !

On échappe évidemment pas à quelques bonnes références sur l’art de la guerre de Sun Tzu qui jalonnent le livre. Un vrai régal !

Bonne lecture!

PS: vous trouverez plus d’informations sur SET dans les articles suivants:

Microsoft et l’authentification par SMS!

2012-02-04T01:59:00.000-08:00

Microsoft a lancé pendant l’été, l’authentification par SMS pour les heureux possesseurs d’un passeport Windows Live! La démarche est excellente et suit le mouvement initié par Google avec l’authentification par OTP généré par une application mobile appelée Google Authenticator (voir l’article à ce sujet dans ce blog: Quand Google se met à l'authentification forte...)

C’est pourquoi j’ai eu très envi de tester cette nouvelle fonctionnalité pour apporter plus de sécurité à mon passeport Windows Live.

Cette nouvelle méthode d’authentification apporte un nouveau facteur d’authentification qui est “ce que je possède”, le téléphone, me permettant de recevoir un mot de passe à usage unique pour m’authentifier sur mon compte Windows Live

Jusqu’ici tout parait simple! Mais c’est là que ça se complique!

En effet lorsqu’une modification est faite sur votre compte Windows Live, avant qu’elle ne soit effective, il est nécessaire de la confirmer à partir de l’ordinateur que vous avez défini comme votre ordinateur de confiance. Sage précaution me direz-vous? Oui effectivement c’est une belle mesure de sécurité! Le problème se présente si votre ordinateur de confiance n’existe plus, et c’est mon cas (mon pauvre ordinateur de confiance a rejoint le cimetière des ordinateurs. Paix à son âme!)

Après avoir discuté sur les forums de Microsoft, les experts m’ont présenté la solution suivante: supprimer les informations obsolètes de mon compte (dans mon cas le nom de mon ordinateur de confiance), attendre 30 jours, oui oui 30 jours pour que la modification soit effective, puis saisir les nouvelles informations! Ce n’est qu’à partir de ce moment là que je pourrai profiter de l’authentification par SMS!

La sécurité a un prix que je trouve personnellement un peu fort!

Qu’a cela ne tienne, vous trouverez ci-après les différentes étapes à suivre.

Pour permettre l’activation de la fonctionnalité d’authentification par SMS, connectez-vous sur votre compte Windows Live et faites un click-droit sur votre nom d’utilisateur en haut à droite, puis sélectionner l’option “Votre compte”

Sélectionnez ensuite l’option “Gérez” dans la catégorie “Sécurité du compte”

Et enfin choisissez l’option “Supprimer” pour les éléments que vous souhaitez

Et vous devez alors attendre 30 jours pour pouvoir paramétrer de nouveau votre compte. Arrgh…!

Bon d’accord le service est gratuit et on ne peut pas être trop exigeant, comme l’affirment certains de mes camarades. Mais j’ai un avis différent, Google Authenticator fonctionne lui parfaitement et je l’utilise quotidiennement!

La tête dans le “cloud”

2012-01-08T01:53:00.000-08:00

Après avoir décrit les services d’Amazon dans le “cloud” (voir l’article sur ce sujet dans le blog: Du nouveau dans le "cloud" d'Amazon!), continuons notre promenade dans les nuages avec Office365, la suite Office selon le “cloud” de Microsoft.

Microsoft propose d’utiliser pendant 30 jours Outlook , Powerpoint, Excel, Word et même Lync.

Pour commencer vous devez posséder un passeport Windows Live pour pouvoir vous connecter sur Microsoft Windows Online à l’URL suivante: https://login.live.com

La vidéo ci-dessous présente les différentes étapes nécessaires à l’activation d’Office365 pendant 30 jours et plus pour ceux qui aiment.

How to use Microsoft Office 365 in the “cloud” ?

Personnellement je trouve l’approche intéressante pour les petites et moyennes entreprises disposant d’un bon accès internet et ne gérant pas de données “trop” confidentielles.

Cependant l’activation de l’authentification par SMS permet de renforcer la sécurité de cette solution (la sécurisation de la phase d’authentification étant indispensable pour tous les fournisseurs de services hébergés digne de ce nom).

Comment obtenir un compte administrateur sous Windows?

2012-01-07T06:15:00.000-08:00

C’est malheureusement très simple à mettre en oeuvre! Et bien que cela ne date pas d’hier l’expérience est toujours probante sur un Windows 7 Ultimate comme le montre la vidéo ci-dessous:

Il vous suffit d’avoir une clef USB bootable ou un “Live CD” avec Backtrack ou toutes autres distributions Linux selon vos préférences. Dans notre cas nous utilisons une Backtrack 5.

Pour obtenir le “Live CD” nous avons utiliser l’outil “remastersys” pour Ubuntu avec lequel nous avons généré un fichier “iso” bootable de notre VM Backtrack 5 préféré.

La première étape consiste à booter la machine cible sur notre “Live CD”.

Puis on remplace le fichier “Windows/System32/sethc.exe” par “Windows/System32/cmd.exe”. Pour information le fichier “sethc.exe” correspond à l’éxecutable qui est lancé lorsque l’on clique 5 fois sur la touche “shift” de notre PC (vous savez, ce sont les fameuses “sticky keys” de Microsoft).

Après avoir rebooter la machine cible et clique 5 fois sur la touche “shift”, une fenêtre “DOS” s’ouvre avec les droits “SYSTEME”. On crée alors un nouvel utilisateur en lui donnant les droits “administrateur”.

Enfin on reboote une dernière fois et on se connecte avec l’utilisateur précédemment créé.

Comme contournement il est possible de désactiver les “sticky keys” de la manière suivante

Ouvrir “Démarrer” / “Panneau de configuration”
Ouvrir “Options d’ergonomie” / “Rendre le clavier plus facile à utiliser”
Désactiver “Souligner les raccourcis clavier et les touches d’accès rapide”

A bon entendeur!

Social Engineering Toolkit (Partie II: le site web malveillant)

2011-12-10T12:35:00.000-08:00

Dans notre série "découverte de SET” (Social Engineering Toolkit) nous allons nous intéresser à la création d'une page web contenant un code malveillant permettant de prendre la main sur la machine de la victime.
Une fois l'accès permis, nous allons récupérer les mots de passe de la victime en utilisant le bon vieux "John The Ripper".

Après avoir configuré SET (en utilisant notre Backtrack 5 préféré) pour générer une fausse page web, et après avoir choisi le type de charge utile, nous lançons le serveur nous permettant d'attendre patiemment la connexion de la machine de la victime.

Dans cet article nous ne nous intéressons pas aux moyens permettant de provoquer le "clic" de la victime sur notre fausse page web. Mais comme vous le savez il en existe de nombreux comme par exemple l'envoi d'un mail de phishing ciblé ou l'utilisation des réseaux sociaux.

Le scénario est donc le suivant:

la victime clique sur la page web
le browser s'arrête brutalement
un faux exécutable est lancé à l'insu de la victime (la machine est corrompue)
l'attaquant prend la main sur la machine de la victime

La vidéo ci-dessous décrit les détails de cette attaque et de sa configuration:

Prenons le cas où le compte de la victime a des droits "utilisateur" alors l'attaquant accède à la machine mais il lui est nécessaire de mettre en œuvre une élévation de privilèges pour accéder aux mots de passe.
Si le compte de la victime a les droits "administrateur" alors tout devient plus simple; l'attaquant accède directement au fichier des mots de passe.

Il ne lui reste alors plus qu'à utiliser John The Ripper pour découvrir le mot de passe "administrateur" de la machine (et ce n'est qu'un exemple).

Pour information le test a été fait avec un Windows XP SP3 et Internet Explorer 6 (selon SET cette attaque fonctionne également avec IE 6, 7, 8, 9 et Firefox).

Est-il nécessaire de rappeler les règles élémentaires de protection? Non bien sûr, vos droits, lorsque vous surfez sur internet, ne sont pas des droits "administrateur"!

Social Engineering Toolkit (Partie I: la récolte des mots de passe)

2011-12-02T14:23:00.000-08:00

L'objectif de cet article est de découvrir les immenses possibilités du Social Engineering Toolkit (appelé SET) disponible dans Backtrack5.

Le cas d'utilisation que nous avons choisi de couvrir consiste à créer un faux site web pour récupérer les noms d'utilisateur et les mots de passe des utilisateurs imprudents.

C'est SET qui prend en charge la création du faux site web et la récupération des identifiants de l'utilisateur.

En plus de SET, il est nécessaire de configurer un MITM (Man In The Middle) basé sur un spoofing DNS du nom de domaine cible. Ce spoofing DNS est permis par Ettercap.

Concrètement:

La victime accède comme à l'accoutumée à Facebook
Elle est redirigée vers le faux site web généré par SET.
L'utilisateur s'authentifie.
Son authentification échoue et SET récupère son nom d'utilisateur et son mot de passe
La victime est redirigée vers la page de login officiel de Facebook
Elle s’authentifie de nouveau, pensant avoir saisi un mauvais mot de passe lors de sa première tentative

Tous les détails de l’attaque dans la vidéo ci-dessous:

Cette attaque est particulièrement imparable si le MITM a pu être mis en place et si l'utilisateur n'est pas paranoïaque.

La création de noms de domaine comme indicateur de tendance!

2011-11-12T09:04:00.000-08:00

Obtenir les bons indicateurs pour identifier les tendances du moment, voilà le rêve de tous les éditeurs de solutions informatiques!

Pourquoi ne pas utiliser le nombre de création de domaines intégrant un mot clef particulier comme indicateur d'évolution de la tendance associée à ce mot clef ?
Prenons un exemple, si nous sommes capables de tracer le nombre de créations de noms de domaine contenant le mot clef "cloud" par mois, nous obtiendrons un indicateur intéressant sur la maturité de l'écosystème concernant le cloud.

Et bien c'est possible avec l'aide d'un petit script Visual Basic et du site "dailydomainspy.com". Ce site recense toutes les créations de domaines dans le monde par jour.

Une page web correspond à un jour suivant la syntaxe suivante:

http://dailydomainspy.com/domain-annee-mois-jour-page.htm

On peut donc écrire un script qui parcourt le contenu de ces pages à la recherche d'un mot clef présent dans le nom du domaine.

Vous pouvez télécharger le script ici. Il suffit alors de suivre les étapes suivantes:

1) Ouvrir le fichier de configuration "config.txt" pour préciser votre recherche

errorFileName=erreurs1.txt     // nom du fichier contenant les pages web parsées
resultsFileName=results1.txt    // nom du fichier contenant la liste des noms de domaine filtrés
countFileName=quantite1.txt    // nom de fichier contenant le nombre de noms de domaine créés par mois
startMonth=6            // mois de début de la recherche
endMonth=7            // mois de fin de la recherche
startDay=1            // jour de début de la recherche
endDay=31            // jour de fin de la recherche
chosenYear=2011            // année de la recherche
maxpages=1000            // nombre de pages maximum pour un jour
keySearch=gaming        // critère de recherche

2) Lancer le "extracteurDeNomsDeDomaine.vbs"

En fonction des critères choisis la recherche peut durer longtemps, très longtemps, trop longtemps... Vous êtes prévenu!

3) Consulter vos résultats et tracer votre courbe

Le fichier "quantite1.txt" contient le nombre de domaines par mois
Le fichier "results1.txt" contient l'ensemble des noms de domaines correspondant au critère recherche.

Ce script peut être modifié pour récupérer tout autre type d'informations dans une page web.

Du nouveau dans le “cloud” d'Amazon!

2011-11-11T22:28:00.000-08:00

Amazon se positionne comme un acteur majeur des services dans le “cloud” au travers de l'offre AWS (Amazon Web Services).

Voici les différents services que propose l’offre AWS:

AWS Elastic Beanstalk
AWS Elastic Beanstalk permet de déployer et gérer rapidement vos applications dans le “cloud”: auto-scaling, monitoring, load-balancing

Amazon S3 (Simple Storage Service)
S3 permet de stocker et retrouver n'importe quelles données de 1 octet à 5 To

Amazon propose des interfaces REST et SOAP pour développer votre propre application permettant d'automatiser la gestion de vos données

Chaque nouvel utilisateur dispose gratuitement de 5 Go de stockage (avec 20000 requêtes de type "GET" autorisées, 2000 de type "PUT" et 15 Go de transfert de données chaque mois, et ce pendant une année)

Avis aux amateurs!

Amazon EC2 (Elastic Compute Cloud)
EC2 propose un service web pour gérer vos applications dans des machines virtuelles avec la capacité mémoire et CPU de votre choix

Amazon VPC (Virtual Private Cloud)
VPC propose la gestion d'un réseau privé virtuel (à utiliser en complément de S3 et EC2)

Parmi de nombreux autres services Amazon vous propose également:

de gérer votre base de données relationnelles dans le “cloud” (avec Amazon RDS Relational Database Service)
de gérer la publication de messages d'une application pour les délivrer aux abonnés (avec Amazon SNS Simple Notification Service)
de créer des utilisateurs et de gérer leurs droits sur l'utilisation de vos ressources Amazon (Amazon IAM Identity and Access Management)

Bien sûr vous avez toujours la possibilité de ne payer que ce que vous consommez!

Toutes ces ressources peuvent être gérer au travers de AWS Management Console (on voit ici l'onglet de Amazon S3)

Par défaut l’authentification des utilisateurs pour accéder à AWS se base sur les mots de passe.

Mais, cerise sur le gâteau, Amazon propose une authentification 2 facteurs utilisant l'OTP et plus particulièrement les tokens Gemalto

Par défaut vous utilisez un mot de passe mais vous pouvez à tout moment passer à la vitesse supérieure.

La première étape consiste à acheter le token Gemalto sur le webstore de Gemalto

La deuxième étape consiste à activer le token en suivant la procédure ci-dessous.

En conclusion, Amazon confirme que l'OTP est une bonne solution pour protéger les données dans le “cloud” et que finalement le déploiement est particulièrement simple pour un utilisateur lambda.

Associer un fichier sans extension à une application c’est possible!

2011-10-08T04:38:00.000-07:00

Dans la série “Trucs & Astuces” pour Windows, voici le contenu d’un fichier “reg” qui vous permet d’associer un éditeur (et plus largement une application) à un fichier sans extension.

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\.]
[HKEY_CLASSES_ROOT\.\shell]
[HKEY_CLASSES_ROOT\.\shell\open]
[HKEY_CLASSES_ROOT\.\shell\open\command]@="Notepad.exe %1"

Cela me fait gagner un peu de temps, en particulier, lorsque je dois éditer et modifier un fichier “hosts”. Ainsi lorsque je clique sur mon fichier “hosts” il s’ouvre immédiatement avec mon éditeur préféré. Mais vous aviez déjà tout compris!

Pour tout vous dire, j’ai remplacé “notepad.exe” par "C:\Program Files\PSPad editor\PSPad.exe".

Si on regarde cet astuce sous un angle plus sécuritaire, la modification de la registry permet d'associer l'exécution de n'importe quelle application (donc d'une application malveillante) aux fichiers ayant une extension donnée! Et ainsi de déclencher l'exécution de votre application malveillante par une action de l'utilisateur!

Les mots de passes c’est bien, la biométrie c’est mieux ?

2011-10-01T13:14:00.000-07:00

Je viens de m’offrir un ordinateur portable, un Alienware! Je sais, je suis un heureux homme! Et comme toujours j’ai configuré un mot de passe fort: minuscules, majuscules, caractères spéciaux et chiffres, et d’une longueur d’au moins… Mais c’est beaucoup trop long à saisir malheureusement pour un usage régulier (et la complexité du mot de passe est source d’erreurs de frappe)!

La biométrie apporte la solution en permettant de remplacer une authentification à 1 facteur de forme (le mot de passe) par une autre authentification du même type. Je ne gagne pas en sécurité mais en facilité d’utilisation. C’est le but!

Je ne dispose malheureusement pas de lecteur biométrique intégré alors j’utilise un lecteur d’empreintes digitales USB de la société Precise Biometrics, le modèle 100xs..

Dans ce qui suit je vais vous montrer à quel point la biométrie est facile à configurer sur un Windows 7 64 bits.

On insère le lecteur biométrique dans un des ports USB

Puis, après avoir ouvert le “Gestionnaire de périphériques” dans “Panneau de configuration / Matériel et audio / Périphériques et imprimantes” on fait un clique droit sur la ligne correspondant à notre capteur biométrique et on choisit “Mettre à jour le pilote”

Dans “Panneau de configuration / Matériel et audio” on trouve alors l’option “Périphériques biométriques”

On choisit l’option “Utiliser les empreintes digitales pour se connecter à Windows” et on suit le guide. On commence par confirmer que le capteur d’empreintes digitales est bien inséré.

Puis on sélectionne un doigt

Et on enregistre l’empreinte digitale correspondant à ce doigt, trois fois consécutives

Et c’est fini!

Note: Gemalto propose, avec la carte à puce, d’ajouter un deuxième facteur d’authentification à l’authentification biométrique. Vous devez alors entrer votre carte dans le lecteur de cartes (ce que je possède) et faire glisser votre doigt sur le lecteur biométrique (ce que je suis ) pour accéder à votre ordinateur.

Note: Merci Nico pour le lecteur biométrique

Les transformations “XSLT” fournissent toujours de précieux services!

2011-09-04T14:00:00.000-07:00

Je me suis retrouvé, il y a quelques mois de cela, avec un fichier “xml” contenant toutes les informations dont j’avais besoin, ou presque, pour pouvoir initialiser ma base de données.

Il ne me restait plus qu’à programmer un petit “wrapper” de XML vers SQL. Et avant de me lancer dans des développements avec mon language préféré C#, je me suis souvenu qu’il existait un language de transformation de XML, appelé XSLT, qui permettait de transformer un fichier “xml” en de nombreuses autres choses dont html, doc, pdf, wml et bien d’autres choses encore.

Alors pourquoi ne pas utiliser XSLT pour transformer mon fichier XML en fichier SQL que je n’aurais alors plus qu’ à importer dans ma base de données préférée.

Pour information, il existe plusieurs languages de requêtage XML dont XQUERY et XPATH.

Pour faciliter nos manipulations de XML nous allons utiliser une version d’évaluation d’un excellent outil appelé Altova XMLSpy qui nous permet de créer et tester nos requêtes avant de les appliquer à notre fichier “xml” source et produire notre fichier “sql” destination.

Description du contexte

En observant le fichier “xml” source on note qu’il contient 2 catégories d’objets qui nous intéressent plus particulièrement: l’objet “Computer” et l’objet “User”. On constate que le champ “computerid” nous manque dans le fichier “xml” source pour permettre la création de l’objet “Computer” dans la table '”Computer” de la base de données. De même un champ “guid” nous manque pour permettre de créer un objet “User” dans la table “User” de la base de données.

Dans le fichier “xml” source, le paramètre “UserID” de l’objet “Computer” correspond au paramètre “UserID” de l’objet “User” auquel il appartient.

Dans la base de données, la valeur du “guid” de l’objet “Computer” doit avoir la valeur du “guid” de l’objet “User” auquel l’objet “Computer” appartient.

Le paramètre “computerid” de la la table “Computer” est initialisé à une valeur unique incrémentée à partir de 200.

Le paramètre “guid” de la la table “User” est initialisé à une valeur unique incrémentée à partir de 100.

Création des fichiers "xsl"

La première étape consiste à créer le(les) fichiers “xsl” décrivant la(les) transformation(s) à effectuer.

Commençons par écrire le fichier “guid_generator.xsl” ci-dessous permettant de créer le champ “guid” pour l’objet “User”:

<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">

<xsl:variable name="guid" select="100"/>
<xsl:template match="@*node()">
<xsl:copy>
<xsl:apply-templates select="@*node()"/>
</xsl:copy>
</xsl:template>
<xsl:template match="User">
<User>
<xsl:apply-templates select="@* *"/>
<guid>
<xsl:choose>
<xsl:when test="not(preceding-sibling::*)">
<xsl:value-of select="$guid"/>
</xsl:when>
<xsl:otherwise>
<xsl:value-of select="$guid + count(preceding-sibling::*)"/>
</xsl:otherwise>
</xsl:choose>
</guid>
</User>
</xsl:template>

Le champ “guid” est initialisé à 100. Puis on copie simplement le contenu du fichier source; et si l’objet XML est “User” alors on ajoute aux champs existants, un champ “guid” auquel on donne une valeur initiale (i.e. 100) à laquelle on ajoute le nombre d’objets “User” que l’on vient de parcourir. Simple et efficace!

Il ne nous reste plus qu’à transformer le fichier généré précédemment en fichier “sql” en créant le fichier “insert_generator.xsl” ci-dessous. On profite cependant de cette transformation pour donner une valeur au champ “computerid” nécessaire à la création de la table “Computer” (cette valeur est initialisée à 200):

<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">

<xsl:output method="text"/>
<xsl:variable name="computerid" select="200"/>
<xsl:template match="/">
<xsl:apply-templates select="//ComputerList"/>
<xsl:apply-templates select="//UserList"/>
</xsl:template>
<xsl:template match="User">
<xsl:text>INSERT INTO USER"("GUID", …, "MODIFDATE")
VALUES(</xsl:text>
<xsl:value-of select="./guid"/>
<xsl:text>,'</xsl:text>
<!—…-->
<xsl:text>SYSDATE);
</xsl:text>
</xsl:template>
<xsl:template match="Computer">
<xsl:param name="temp"><xsl:value-of select="./UserID"/></xsl:param>
<xsl:text>INSERT INTO COMPUTER"("COMPUTERID","GUID",…, "MODIFDATE")
VALUES(</xsl:text>
<xsl:choose>
<xsl:when test="not(preceding-sibling::*)">
<xsl:value-of select="$computerid"/>
</xsl:when>
<xsl:otherwise>
<xsl:value-of select="$computerid + count(preceding-sibling::*)"/>
</xsl:otherwise>
</xsl:choose>
<xsl:text>,</xsl:text>
<xsl:value-of select="//UserList/User[UserID=$temp]/guid"/>
<xsl:text>,'</xsl:text>
<!—…-->
<xsl:value-of select="./ExpirationDate"/>
<xsl:text>');
</xsl:text>
</xsl:template>
</xsl:stylesheet>

Comme dit précédemment, notons qu’un objet “Computer” est associé à un objet “User” dans le fichier source “xml” au travers du paramètre “UserID”. La valeur du paramètre “UserID” de l’objet “Computer” courant est sauvegardée dans un paramètre appelé “temp” afin de permettre la récupération du “guid” correspondant à l’objet “User” ayant un “UserID” correspondant à “temp”, car c’est ce “guid” là qui doit être associé à l’objet “Computer” courant. Est-ce clair! Oui, bon on continue…

Les fichiers “xsl” nécessaires à nos transformations sont enfin écrits. Il ne nous reste plus qu’à installer notre parseur XML préféré, j’ai nommé Xalan installé sous C:\.

La génération du fichier “sql” se passe en 2 étapes:

cd C:\xalan-j_2_7_1
java -classpath "C:\xalan-j_2_7_1\xalan.jar";"C:\xalan-j_2_7_1\xercesImpl.jar";"C:\xalan-j_2_7_1\serializer.jar";"D:\xalan-j_2_7_1\xml-apis.jar" org.apache.xalan.xslt.Process -IN input.xml -XSL guid_generator.xsl -OUT output.xml
pause
java -classpath "C:\xalan-j_2_7_1\xalan.jar";"C:\xalan-j_2_7_1\xercesImpl.jar";"C:\xalan-j_2_7_1\serializer.jar";"D:\xalan-j_2_7_1\xml-apis.jar" org.apache.xalan.xslt.Process -IN output.xml -XSL sql_insert_generator.xsl -OUT output.sql
pause

La première étape permet de prendre le fichier “xml” source appelé “input.xml” et le transformer en un autre fichier “xml” appelé “output.xml” contenant également un champ “guid” incrémenté. Ce champ est nécessaire pour insérer l’objet “User” dans la table “User”. C’est le fichier “guid_generator.xsl” qui permet cette transformation.

La deuxième étape prend en entrée le fichier “output.xml” et le transforme en “output.sql”. C’est le fichier “insert_generator.xsl” qui permet cette transformation. Il permet également de créer un champ “computerid” et de lui donner une valeur unique pour permettre la création de l’objet “Computer”' dans la table “Computer” de la base de données.

Le tour est joué!

Note: pour des raisons de confidentialité vous ne trouverez pas les fichiers “input.xml”, “output.xml” et “output.sql”. Mais je suis à votre entière disposition pour répondre à toutes questions!

Etre anonyme sur internet avec Tor!

2011-09-03T10:50:00.000-07:00

J’ai longtemps utilisé Sockschain pour mon anonymat sur internet. Mais à cette époque là, mon problème principal était de trouver des proxy actifs et fiables. Tor fait tout ça à votre place.

Vous pouvez télécharger Tor à l’URL suivante: https://www.torproject.org/download/download.html.en#Windows. Personnellement j’utilise la version stable appelée “Stable Vidalia Bundle works with Windows 7, Vista, XP”.

Ce package contient:

L’application Tor
Vidalia, l’interface graphique pour Tor
Torbutton, le “add-on pour votre Firefox
Polipo, le proxy web utilisée par Tor

Une fois l’installation terminée (voir l’URL suivante pour une description détaillée de l’installation: https://www.torproject.org/docs/tor-doc-windows.html.en, vous pouvez ouvrir le panneau de contrôle de Vidalia.

Si vous passez par un service mandataire vous devez, bien entendu, préciser son adresse IP et son port.

Par défaut la configuration de Tor permet d’aider les personnes (ayant un FAI qui interdit l’utilisation de Tor) à transiter par votre passerelle dont l’adresse est publiée automatiquement. Ces utilisateurs peuvent être chinois par exemple… A vous de voir!

L’activation et la désactivation du Torbutton, le ”add-on” Tor pour Firefox, se font en cliquant sur l’icône représentant un oignon.

Par défaut le “add-on” Firefox est configuré comme indiqué ci-dessous. On accède à cette configuration par “Firefox / Modules complémentaires / Extensions / Torbutton 1.3.3-alpha / Options”

Lorsque votre configuration est terminée et votre “add-on” actif, vous pouvez vérifier que tout fonctionne convenablement avec le lien: https://check.torproject.org/

Si vous obtenez la page ci-dessous, vous êtes prêts pour l’anonymat. L’adresse IP affichée ici est une adresse américaine (from San Francisco).

Bien sûr l’anonymat à un prix, la performance!

Quand le Social Engineering vient en aide au marketing…

2011-08-07T13:23:00.000-07:00

Préparer une campagne de mails nécessite d’avoir une bonne base d’adresses email. Mais ces bases sont souvent très, voire trop chères.

Alors lorsque l’on ne dispose pas des budgets suffisants on peut utiliser le système “D”.

Dans ce qui suit nous allons présenter 2 approches (il en existe certainement beaucoup d’autres), l’utilisation d’un outil au nom évocateur (en version gratuite) appelé EmailExtractor et le bon vieux “whois”.

EmailExtractor peut être téléchargé à l’URL suivante: http://emailextractorpro.com/download.html. Vous pouvez entre autres choses pour récupérer les adresses email d’un site web particulier ou encore pour récupérer les adresses email liées à un ou plusieurs mot clefs.

Récupérer les adresses email sur un site web

Dans l’onglet “Web site” vous pouvez saisir le nom du site web pour lequel vous souhaitez rechercher les adresses email et vous cliquez sur “Start”. Nous obtenons:

Récupérer les adresses email associées à un mot clef

Faisons le test avec le mot iPhone pour créer une base d’adresse des possesseurs d’iPhone (ou tout du moins les personnes intéressées par l’iPhone)

Dans l’onglet “Search engine” vous pouvez saisir le mot clef pour lequel vous souhaitez rechercher les adresses email et vous cliquez sur “Start”. Et nous obtenons:

Selon Wikipedia, “Whois” est un service de recherche fourni par les registres Internet, par exemple les Registres Internet régionaux (RIR) ou bien les registres de noms de domaine permettant d'obtenir des informations sur une adresse IP ou un nom de domaine.

Il existe de nombreuses manières d’utiliser la fonctionnalité “Whois”. J’ai personnellement un faible pour le site Geektools à l’URL: http://www.geektools.com/whois.php

Faisons un test sur le site “ergologic.fr” (par ailleurs excellent spécialiste de l’utilisation des outils informatiques et bureautiques)

Nous obtenons le résultat ci-dessous contenant:

l’adresse de l’organisation
l’adresse email de l’administrateur
le numéros de téléphone

Les informations que nous obtenons par ce biais sont parfois très surprenantes, et permettent de créer une base d’adresses avec de vrais personnes et non pas des adresses génériques augmentant ainsi le succès de notre campagne marketing.

Nous avons un très bonne exemple de ce qu’il aurait fallu faire lors de l’enregistrement DNS pour éviter la récupération de ce type d’informations avec le domaine “agarri.fr” (excellent spécialiste de la sécurité offensive).

On note en particulier le “WARNING” indiquant que le propriétaire du site a choisi l’anonymat. On remarque également le nom du contact: “Ano Nymous”.

Bonne campagne !

Générer des mots de passe intelligents avec Cupp!

2011-08-06T13:00:00.000-07:00

En jouant avec ma “Backtrack 5” j’ai découvert le générateur de mots de passe dont je rêvais.

Pourquoi générer des mots de passe, me direz-vous ? Eh bien pour faire une attaque “brute force” bien sûr. Mais vous allez alors me dire qu’il existe “pléthore” de générateurs de ce type. Oui! Mais Cupp est différent.

Cupp intervient dans le cadre d’une attaque de type SE (Social Engineering”). Imaginons que vous faites l’audit de la sécurité d’une entreprise et que vous souhaitez vérifier la politique de gestion des mots de passe. Vous pouvez alors commencer par récupérer toutes les informations laissées par les employés de l’entreprise sur leurs réseaux sociaux préférés, puis identifier vos cibles (les plus bavards et les moins prudents). Vous allez ensuite donner ces informations à Cupp qui en retour vous génèrera la liste des mots de passe les plus probables pour vos cibles. Et vous êtes alors sur la voie de la réussite de votre démonstration!

Regardons de plus prêt ce fameux Cupp!

Cupp requière les informations suivantes sur votre cible, sa femme, leur enfant et leur animal domestique préféré:

nom
prénom
surnom
date de naissance
des mots clefs

Sur cette base, Cupp génère des mots de passe, en concaténant ces informations, en ajoutant des nombres, des caractères spéciaux et en inversant les lettres.

Mais la fonctionnalité dont je rêvais est la suivante, le remplacement de certains caractères par des chiffres comme par exemple la lettre “o” par le chiffre “0”.

Pour être plus précis j’aurais souhaité pouvoir remplacer certaines lettres par des caractères spéciaux comme par exemple la lettre “a'” par “@”. Avec un peu de configuration, Cupp le permet également.

Dans ce qui suit nous allons décrire les quelques opérations qui permettent la génération de ce type de mots de passe.

Il est simplement nécessaire de modifier le fichier de configuration “cupp.cfg”. Dans la section “Leet”, on remplace les voyelles par les caractères de notre choix:

[leet]
a=@
i=!
e=e
t=t
o=0
s=s
g=g
z=z

Et on modifie la longueur maximale du mot de passe:

wcto=15

Puis lançons la commande (on remarque au passage que Cupp est écrit en Python):

>./cupp.py –i

Et nous saisissons nos données comme dans l’exemple ci-dessous:

Note: il est nécessaire de répondre “Yes” à la question concernant le mode “Leet” (c’est ce mode qui permet le remplacement de certaines lettres en fonction de notre configuration). Et nous obtenons la liste de mots de passe souhaités:

Merci Cupp!

Excusez moi! J’ai un appel…

2011-07-03T14:54:00.000-07:00

Toujours dans la série “trucs et astuces de l’amateur de Social Engineering”, un autre petit outil, fonctionnant sur votre téléphone, appelé Call Faker, peut vous rendre quelques menus services.

Call Faker sur Android, comme de nombreuses autres applications du même type (par exemple Escape Call sur iPhone), permet de programmer un appel téléphonique que vous allez recevoir à une heure donnée en provenance de la personne de votre choix.

Là encore, cette application peut vous permettre de:

Faire croire à votre cible que venez de recevoir un appel important du bureau
Vous absentez de la pièce où vous êtes en négociation en ayant pris soin d’y laisser un micro (bon là c’est un peu jamesbondesque, je sais !)
Vous absentez d’une pièce, alors que tout le monde y est réuni, pour pouvoir faire ce que vous avez à faire ailleurs
…et bien d’autres choses encore

Call Faker peut être téléchargé sur l’Android Market.

Sa configuration est très simple: vous précisez l’heure de l’appel, le numéro de téléphone et le nom à afficher et le type de sonnerie. Vous n’avez alors plus qu’à attendre patiemment.

Attention, l’usage de ce type d’application doit se faire dans un cadre éthique ou de sensibilisation au SE (ou bien, allez soyons fous, pour faire une petite blague…)

Je dois vous laisser, j’ai un appel!

Pour les apprentis James Bond voilà un site (http://www.spyassociates.com) que même Q nous envierait (paix à son âme!)

Spoof pouf pouf…!

2011-07-02T14:53:00.000-07:00

Dans la panoplie du bon amateur de Social Engineering, il est nécessaire, en plus d’un certain sens du scénario bien ficelé, une certaine capacité à jouer un rôle avec conviction et une bonne connaissance de l’être humain et de ses petits défauts, donc en plus de tout cela, disais-je, il est nécessaire d’utiliser les bons outils!

Parmi ces outils on trouve Spoofcard qui vous permet d’appeler quelqu’un en vous faisant passer pour quelqu’un d’autre. Le nom et le numéro de la personne de votre choix apparaissent sur le téléphone de votre cible.

C’est pratique pour donner du poids à votre scénario de SE. Vous pouvez appeler votre cible, en lui expliquant que:

Monsieur X vient de vous prêter son téléphone, c’est donc qu’il a confiance en vous
Vous appelez de Bretagne, où vous vous trouvez actuellement, car votre numéro est bien un numéro breton
Vous faites partie de la même entreprise que lui, car bien sûr vous avez un numéro de téléphone identique à ceux de son entreprise
…et bien d’autres choses encore.

Cet élément peut être déterminant pour la réussite de votre scénario et peut vous permettre d’établir une relation de confiance, base à partir de laquelle les langues se délient.

Pour télécharger l’application allez sur http://www.spoofcard.com/mobile/apps et suivez le guide. En ce qui me concerne j’ai téléchargé l’application en entrant l’URL suivante http://m.spoofapp.com/ dans le browser de mon téléphone.

Cette application fonctionne sous Android, iPhone (j’ai pu tester les deux environnements) et Blackberry.

Quelques unités vous sont offertes pour vous permettre de tester l’application, puis le service devient payant. Dommage!

Spoofcard propose quelques options comme modifier votre voix ou enregistrer vos conversations.

Bien entendu l’usage de ce type d’application doit être limité à un cadre légal et servir à la sensibilisation contre les risques du Social Engineering uniquement! ~~(ou bien dans les cas extrêmes pour faire une petite blague!)~~

Gérer les logs de vos serveurs à moindre coût!

2011-06-12T01:29:00.000-07:00

Cela fait plusieurs mois que je songe à faire un article sur la gestion des logs. J’ai mis en place, dans un passé très récent, un petit outil de centralisation des logs de serveurs pour pouvoir générer quelques statistiques sur l’utilisation de services “web” et autres évènements de l’”EventViewer” dans un environnement Windows. Pour cela j’ai utilisé une application gratuite appelé LogParser.

Je pensais que cette problématique de gestion de logs à moindre coût était simplement une préoccupation de “geek”. Et bien non, lors d’une réunion récente avec le TOP 10 des RSSI français (selon mes critères à moi ;-)), j’ai constaté qu’il pouvait finalement être intéressant de partager ce type information.

LogParser est à la base un outil de gestion des logs utilisables en ligne de commande. Mais on trouve aussi LogParserLizard qui permet de faire les mêmes opérations avec une interface graphique qui facilite grandement la vie.

J’ai utilisé la version gratuite de LogParserLizard. Cette version est bien sûr quelque peu limitée. Cependant vous pouvez définir vos requêtes de récupérations de logs sur le serveur local ou sur des serveurs distants, les sauvegarder et les exécuter. Mais vous êtes limité lors de l’exploration des données récupérées pour les intégrer dans vos rapports. Je n’ai personnellement utilisé uniquement que le format “csv”.

Après avoir installé LogParser puis LogParserLizard et lancer LogParserLizard, vous pouvez créer vos premières requêtes (au format SQL).

Voici l’exemple d’une requête qui récupère des données dans les fichiers de log d’IIS pour extraire le nombre de connexions par utilisateur d’un site web:

SELECT DISTINCT cs-username, count(cs-username) AS Number
FROM \\mon_serveur.com\C$\WINDOWS\system32\LogFiles\W3SVC1\ex*.log WHERE cs-username LIKE 'MON_DOMAIN%' AND cs-uri-stem LIKE '/mon_site%' GROUP BY cs-username ORDER BY Number

Les fichiers en entrée de la requête sont de la forme “ex*.log”. Le site “web” qui nous intéresse contient dans son URL le mot clef “mon_site”. Le serveur sur lequel fonctionne IIS se nomme “mon_serveur.com”. Les utilisateurs appartiennent au domaine “MON_DOMAINE”.

Les résultats sont triés par nombre de connexions décroissants.

Si vous connaissez ne serait-ce qu’un peu SQL, la création de ce type de requêtes ne présente pas de difficulté (les spécialistes pourront par ailleurs améliorer la requête ci-dessus). Il est par contre nécessaire de configurer les informations que vous souhaitez qu’IIS enregistre dans ces fichiers “log” et de connaitre les noms des champs correspondants aux informations qui vous intéressent.

Voici l’exemple d’une autre requête dans l’EventViewer de Windows qui permet de récupérer des informations sur les opérations effectuées sur un service Windows particulier:

SELECT TimeGenerated, Strings FROM Application WHERE EventID=16666 AND SourceName='Mon_Service' ORDER BY Strings

L’EventViewer tourne sur le serveur en local. L’identifiant de l’évènement est 166666. Le nom de l’application est “Mon_Service”. Il est nécessaire de connaitre les noms des champs de l’EventViewer pour paramétrer correctement la requête.

Les résultats sont ordonnés en fonction de la valeur du champ “Strings”.

Remarque: les requêtes peuvent être exporter et importer.

Une fois les requêtes crées, vous pouvez récupérer vos résultats et générer le rapport. Voici une liste d’actions étape par étape qu’il est possible de réaliser:

Sélectionner "IIS Logs"
Sélectionner "Liste des utilisateurs de mon_site sur un serveur distant"
Lancer Query
Sélectionner "Tools/Log Parser Export..."
Exporter au format = “Comma Separated Values"
Sélectionner Path: mon_site_utilisateurs.prn
Sélectionner "Event Logs"
Sélectionner "Liste des utilisateurs du service mon_service"
Lancer Query

Sélectionner "Tools/Log Parser Export..."
Exporter au format = “Comma Separated Values"
Sélectionner Path: “mon_service_utilisateurs.prn”
Intégrer les fichiers dans un fichier “Excel” (“Resultats.xlsx”)
Générer le rapport

Remarque: si une erreur se produit pendant la génération du fichier “prn” et que ce message est suivi par un message de succès, alors le résultat est bon

Est-il nécessaire de rappeler qu’une bonne gestion des logs fait partie intégrante de la sécurité de vos systèmes?

Protégeons nos chères têtes blondes des dangers d’internet

2011-06-11T03:44:00.000-07:00

Si vous souhaitez filtrer les informations auxquelles vos enfants accèdent sur internet, il existe aujourd’hui un nombre grandissant de solutions efficaces (parmi elles on trouve Microsoft Windows Live Family Safety ou les outils du contrôle parental intégré à Windows 7).

L’avantage de la solution décrite ici est de pouvoir être mise en œuvre soit par un particulier souhaitant centraliser le filtrage des contenus auxquels accèdent les membres de sa famille, soit par une entreprise souhaitant faire la même chose pour ses employés, et ce à moindre coût.

Cette solution est basée sur des solutions “opensource” tels que Squid et DansGuardian et est installée sur un serveur Ubuntu 10.10.

Pour information l’éducation nationale semblerait vouloir mettre en œuvre ce type de solution pour gérer leur parc d’ordinateurs accessibles par les élèves des écoles maternelles et primaires (pour plus d’informations vous pouvez lire l’excellent article de Fabrice Flauss et Cédric Foll du numéro 51 de MISC).

Après avoir installé Ubuntu sur un de mes vieux serveurs, il est nécessaire d’installer et de configurer Squid et DansGuardian.

Installer et configurer Squid

On installe Squid:

sudo apt-get install squid

On édite le fichier de configuration de Squid:

sudo nano /etc/squid/squid.conf

On modifie le port de Squid (Squid joue le rôle de serveur mandataire entre les utilisateurs et internet)

http_port 3128

On recharge la configuration de Squid:

sudo /etc/init.d/squid reload

Installer et configurer DansGuardian

On installe DansGuardian:

sudo apt-get install dansguardian

On édite le fichier de configuration de DansGuardian:

sudo nano /etc/dansguardian/dansguardian.conf

On modifie les paramètres ci-dessous:

language = 'french'
filterip = x.x.x.x
filterport = 8080
proxyip = 127.0.0.1
proxyport = 3128
#contentscanner= '/etc/dansguardian/contentscanners/clamdscan.conf’

L’option “language” permet de définir la page d’erreur affichée dans le browser de l’utilisateur lorsque le contenu n’est pas autorisé.

Cette page par défaut peut être adaptée suivant vos besoins via:

sudo nano /etc/dansguardian/languages/french/template.html

Les options "filterip" and "filterport" définissent respectivement, l’adresse IP et le port du serveur proxy. Positionnez “filterip” à la valeur de l’adresse IP de votre machine sur votre LAN, et “filterport” à la valeur du port que vous souhaitez avoir pour votre proxy; une bonne valeur par défaut est 8080.

L’option "proxyip" correspond à l’adresse IP du serveur proxy Squid et "proxyport" est le port d’écoute de Squid.

La ligne "contentscanner" reste en commentaire tant que l’on ne souhaite pas utiliser l’antivirus clamAV pour scanner les requêtes HTTP.

On redémarre DansGuardian:

sudo /etc/init.d/dansguardian restart

Maintenant, si vous souhaitez sécuriser Squid et interdire à vos utilisateurs de contourner DansGuardian vous pouvez utiliser les commandes suivantes:

sudo ufw default DENY # on interdit tout
sudo ufw ALLOW 8080 # on autorise seulement le port 8080
sudo ufw enable # on active le firewall

Remarque: n’utilisez pas les commandes ci-dessus si votre firewall est déjà configuré! Cela pourrait faire des dégâts sur votre configuration courante!

Il est ensuite nécessaire de configurer votre nouveau proxy dans les browsers de vos machines clientes (adresse IP du proxy X.X.X.X et port du proxy 8080). C’est la manière la plus simple de mettre en, œuvre votre filtrage. Il en existe d’autres plus proches d’un déploiement réel utilisant WPAD par exemple mais ce sujet pourra être traité dans un prochain article).

Et voilà! Si vous saisissez un mot clef interdit dans votre moteur de recherche préféré, vous êtes automatiquement redirigé vers la page par défaut de DansGuardian.

Vous pouvez jouer avec les fichiers contenant les informations permettant de filtrer le contenu des pages web. Vous trouverez ces fichiers sous “/etc/dansguardian/lists”.

En parcourant ces fichiers vous aurez une idée précise de tout ce qu’il est possible de faire avec DansGuardian: être plus ou moins permissif, ajouter des mots clefs interdits ou des URLs interdites.

Il est également possible de configurer votre serveur avec 2 cartes réseaux pour créer 2 sous-réseaux: le premier sur lequel se trouve l’accès à internet et le second sur lequel se trouvent les postes à filtrer.

Dans un prochain article nous verrons comment scanner le contenu HTTP avec l’antivirus ClamAV.

Source: Squid Proxy Server On Ubuntu 9.04 Server With DansGuardian

Comment restaurer la configuration de votre bureau Windows

2011-04-24T07:27:00.000-07:00

Bien qu’il n’y ait pas de lien très directe avec la sécurité (mais en cherchant bien il devrait être possible d’en trouver un!), je ne résiste pas à l’envie de partager avec vous quelques trucs et astuces qui facilitent la vie, en tout cas la mienne!

Vous avez sûrement été victime de la catastrophe suivante. Vous faîtes une présentation à vos collègues de travail en utilisant un vidéo projecteur et là, horreur, malheur, toutes les icônes de votre bureau, pieusement triées par catégories, méticuleusement organisées pour vous permettre de ne pas oublier les actions que vous devez impérativement faire dans la semaine, et bien toutes ces précieuses icônes se retrouvent mélangées, éparpillées, satellisées aux quatre coins de votre écran! Arghhh!

Après m’être arraché les cheveux pendant un certain temps (la décence ne me permet pas de vous dire combien de temps!), j’ai trouvé une petite solution que je prends plaisir à partager avec vous! Car comme vous, certainement, le bureau de mon ordinateur ressemble à mon bureau (le vrai), on y trouve beaucoup de choses plutôt presque toujours utiles et généralement pas mal organisées, sans me vanter!

Cette petite application miraculeuse permet à vos icônes de retrouver leur place après un changement de définition de votre écran, un changement d’écran, l’utilisation de plusieurs écrans ou d’un vidéo projecteur! Pratique non!

Dans un premier temps il est nécessaire de télécharger la librairie à l’adresse suivante et d’extraire le contenu du fichier “zip”. Puis vous devez copier les fichiers “layout.dll” et “layout.reg” sous “C:\WINDOWS\system32”.

Pour finaliser l’installation dans la “registry”, vous devez double-cliquer sur “layout.reg”

Maintenant quand vous faîtes un clique-droit sur “MyComputer” généralement sur le bureau, vous découvrez des fonctionnalités supplémentaires permettant de sauvegarder ou de restaurer l’organisation de vos icônes.

Il ne vous reste alors plus qu’à organiser au mieux vos icônes, puis à cliquer sur “Save desktop icon layout”

Une boîte de dialogue vous confirme que la sauvegarde s’est bien effectuée.

Enfin lorsque le besoin est là, et en ce qui me concerne c’est assez souvent, il ne vous reste plus qu’à cliquer sur “Restore desktop icon layout” pour retrouver l’organisation de vos icônes sauvegardée précédemment.

J’espère que cela vous aidera autant que cela m’aide!

Le coup “Hack” du magazine “Investigations” de Canal+

2011-04-17T07:50:00.000-07:00

Je ne résiste pas à l’envie de partager avec vous cette critique de l’émission “Investigations” de Canal+.

Les premières minutes de la vidéo ci-dessous sont édifiantes sur le choix fait par l’émission de ceux qui vont représenter les hackeurs, et sur l’image qu’elle donne de ce groupe.

C’est drôle! Mais l’image de l’émission “Investigations” n’en sort pas grandi!

Savourez!

Quand Google se met à l’authentification forte…

2011-04-03T07:10:00.000-07:00

Vous connaissez certainement tous ce qu’est l’authentification forte. Vous savez, c’est la possibilité de s’authentifier avec soit ce que l’on est (en utilisant la biométrie), soit ce que l’on possède (un token ou un téléphone), et tout cela en plus de ce que l’on sait (généralement un mot de passe statique).

Bref rappel sur l'authentification forte et le One Time Password

L’authentification forte peut être permise par le One Time Password (aussi appelé OTP). Ce mot de passe dynamique généré soit par un token ou une application sur un téléphone mobile, sert à authentifier l’utilisateur. Comment me direz-vous? Et en quoi est-ce une authentification forte?

L’OTP doit être généré (avec ce que l’utilisateur possède i.e. un token ou un téléphone) puis l’OTP doit être saisi par l’utilisateur, soit en complément d’un mot de passe statique (ce que l’on sait), soit en utilisant un mot de passe (souvent appelé PIN) pour autoriser la génération de l’OTP par le token ou le téléphone (ce que l’on sait). Voici par exemple l’image d’un token OTP Gemalto qui peut être utilisé en complément d’un mot de passe statique (ce token là ne dispose pas de clavier permettant de saisir un PIN pour autoriser la génération d’un OTP, mais Gemalto propose toute une gamme de produits complémentaires permettant une authentification forte dont une application Mobile OTP):

Il existe un standard définissant (entre autres choses) l’algorithme de génération des OTPs. Cette norme s”appelle OATH. Et Google est compatible OATH.

Google et l'authentification forte

Vous faites certainement partie des nombreux utilisateurs des applications Google: Gmail, Picasa, Blogger, Adwords et j’en passe. Jusqu’à ce jour l’authentification permettant d’accéder aux applications Google était basée sur un unique mot de passe statique. Il n’est bien sûr pas nécessaire de rappeler à quel point les mots de passe statiques représentent une faible sécurité. Pour pallier ce problème, Google vient de sortir son Google Authenticator qui permet de transformer l’authentification Google en authentification forte.

Comment configurer Google Authenticator pour sécuriser son compte Google?

La première étape consiste à activer l’authentification forte (aussi appelée authentification 2 facteurs) sur votre compte Google. Pour cela authentifiez-vous comme d’habitude sur votre compte Gmail, séléctionner “Settings”, puis l’onglet “Accounts and import” et cliquer sur “Using 2 steps verification”

Vous devez ensuite choisir le type de votre téléphone (l’iPhone dans notre exemple).

Puis il est nécessaire de télécharger l’application Google qui correspond à votre téléphone mobile. Sur l’AppStore d’Apple on retrouve facilement l’application.

Une fois l’application installée, il est nécessaire de la configurer. Pour cela il suffit de suivre les instructions très claires fournies par Google (Google vous permet d’utiliser un “code-barres 2D appelé également QR Code” pour vous éviter d’avoir à saisir vos identifiants de compte! Très bien vu!). Vous devez, entre autres choses, récupérer des OTPs qui vous permettront de vous authentifier dans le cas où vous perdez votre téléphone (c’est ballot mais indispensable!), puis fournir un autre numéro de téléphone pour les cas extrêmes (non seulement vous avez perdu votre téléphone mais également vos OTPs de secours; il y a des jours comme cela!).

Vous pouvez, bien entendu, configurer plusieurs comptes Google sur votre application mobile Google Authenticator.

Il faut cependant noter que lorsque vous activez l’authentification forte Google (qui ne fonctionne que pour les applications “web”), vous devez définir un nouveau mot de passe statique (généré automatiquement par Google) pour vous permettre de continuer à accéder à, par exemple, votre compte Gmail que vous utilisez dans Outlook, ou bien à votre application Picasa installée sur votre ordinateur personnel.

Et pour finir regardons de plus près la phase d’authentification! C’est très simple, vous entrez vos identifiants habituels (adresse email et mot de passe), puis vous saisissez le code OTP qui apparaît sur votre application mobile. On peut noter que l’OTP est valide pendant une minute seulement (voir le petit cadran sur votre application mobile) et que lorsque l’OTP devient rouge cela signifie qu’il est préférable de ne pas l’utiliser car il est sur le point de changer).

Lorsque vous vous authentifiez vous avez la possibilité de dire que vous ne souhaitez pas réutiliser l’authentification forte pendant les 30 prochains jours. Si vous cochez la case correspondante, l’OTP ne vous sera pas demandé pendant 30 jours.

Certains sont critiques par rapport à cette fonctionnalité. Moi je la trouve plutôt intéressante et je m’explique. Soit je suis sur un PC de confiance et je ne vois pas la nécessité (voir contrainte) de réaliser une authentification forte en moyenne 2 fois par jour pour lire mes mails, soit je ne suis pas sur un PC de confiance et il est alors obligatoire d’effectuer une authentification forte.

Bienvenue dans le monde de l’OTP!

Les antivirus ne sont pas tous égaux devant les “malwares”!

2011-03-06T06:10:00.000-08:00

Lors de la préparation d'une formation sur l'insécurité des clefs USB (et autres CDROM, fichiers ISO,…), j'ai observé un comportement de certains antivirus assez intéressant pour le partager avec vous.

Lors d'un poste précédent, je vous ai présenté une élévation de privilèges sur Windows faite par Tavis Ormandy, alias taviso (voir l'article KitRap0d élève les privilèges! Hum...à voir). Comme toujours l'exécutable généré est détecté par quasiment tous les antivirus. C’est un minimum!

Après avoir modifié le code pour l'adapter aux besoins du cours et l'avoir recompilé, les antivirus testés ont alors réagi différemment.

Les antivirus testés sont les suivants:

McAfee (version payante)
Avira (version gratuite)
AVG 2011 (version gratuite)

Et voici les résultats:

Antivirus	Détection au scan	Détection à l'exécution
McAfee	Non	Non
Avira	Oui	Oui
AVG 2011	Oui	Oui

Seul AVG et Avira s'en sortent "haut la main"! Pour information, après quelques investigations, il s'avère qu’AVG propose un “Smart Intrusion Detection” plutôt efficace!

Et c’est cadeau!

Le grisant “GreaseMonkey” est incontournable!

2011-02-20T06:32:00.000-08:00

Vous avez surement entendu parlé du plug-in “GreaseMonkey” de Firefox .

Ce plug-in présente de nombreuses applications dont une que nous allons décrire ici.

Nous allons utiliser le plug-in “GreaseMonkey” pour permettre de nous authentifier sur un site web (Gmail en l’occurence) sans avoir à saisir notre nom d’utilisateur et notre mot de passe (pour remplacer à moindre coût les outils comme “Keypass” et “Roboform”).

La première étape consiste à installer le plug-in “GreaseMonkey”. Le plug-in est téléchargeable comme tous les plug-ins Firefox via “Outils / Modules complémentaires / Catalogue”.

Puis nous allons écrire un petit script “Javascript” pour nous permettre de nous authentifier automatiquement sur le site “Gmail”.

Pour pouvoir écrire convenablement le script et connaître le nom des champs à remplir vous pouvez utiliser “Firebug”.

Une fois le script terminé, il suffit de faire un “drag and drop” sur Firefox pour l’activer.

Attention, cette solution n’est cependant pas très sécurisée puisque le nom de l’utilisateur et le mot de passe sont écrits “en dur” dans le script “GreaseMonkey”. Cette solution pourrait être nettement améliorée en écrivant un script un peu plus complexe nous permettant de stocker les informations sensibles dans un fichier encrypté par exemple.

“GreaseMonkey” peut être utilisé dans de nombreux autres contextes. Libérez votre imagination!

Démarrer votre application portable préférée sans “autorun”!

2011-02-13T06:28:00.000-08:00

Lors d’un article précédent appelé Comment gérer les applications des clefs USB sur votre bureau?, je vous présentais une application gratuite développée par Prox-IA vous permettant de désactiver l’autorun de votre PC et de lancer la (les) application(s) de votre choix sur votre clef USB.

Et bien une nouvelle version d’’USB Grabber” est disponible. Cette version, rebaptisée “USB Starter”, propose moins de fonctionnalités que la version précédente (pas de saisie de mot de passe pour autoriser la modification et le lancement des applications portables, impossibilité de configurer plus d’une application) mais elle est beaucoup plus simple d’utilisation.

C’est d’ailleurs personnellement la version que j’utilise tous les jours sur mon PC professionnel.

Vous pouvez télécharger la nouvelle version à l’URL suivante: “USB Starter”.

Pour la configurer c’est très simple. Vous ouvrez le fichier de configuration “usbstarter.ini” et indiquer le nom de votre application portable préférée. Dans notre exemple “PStart” a été choisie car elle permet l’accès à toutes les autres applications portables de la clef USB

Puis vous devez permettre le lancement d’ ”USB Starter” au démarrage de votre PC. L’insertion d’une clef USB contenant l’application “PStart” permettra son lancement automatique.

Vos remarques et idées d’évolution sont les bienvenues!

Sécuriser vos accès SSL avec Certpatrol!

2011-01-16T06:24:00.000-08:00

En mars 2010, je recevais un mail sur l’article suivant “Law Enforcement Appliance Subverts SSL” décrivant officiellement (plus ou moins d’ailleurs) l’existence d’ “appliances” facilitant la mise en oeuvre d’un MITM pour les connections SSL (merci Jim!).

L’article concernait un produit de la société “Packet Forensics” qui fournit effectivement des “appliances” de ce type pour l’usage d’organisations gouvernementales comme l’indique la photo ci-dessous extraite de leur site web (voir l’encadré en rouge).

L’idée est la suivante. Ces boîtiers sont conçus pour interrompre le tunnel SSL afin de vérifier le contenu des échanges sans que l’utilisateur ne s’en aperçoive. Cela requière bien sûr la “complicité” des autorités de certification racines de confiance. Complicité qui n’est pas difficile à obtenir pour une organisation gouvernementale!

Donc de nouveaux certificats “serveur” sont créés pour les différents sites à espionner. Chaque certificat peut avoir été généré par une autorité de certification ayant “pignon sur rue”, ou par l’autorité de certification de votre entreprise, ou par l’autorité de certification d’une personne mal intentionné qui a pris le temps d’insérer le certificat racine correspondant dans le magasin des autorités de certifications de confiance de votre browser (voir l’article: Le “kriegspel” adapté au MITM).

Cette attaque correspond à une attaque “Man In The Middle”: Bob pense parler à Alice mais c’est en fait Jack qui s’est immiscé dans la conversation et qui relaie les messages entre Bob et Alice à leur insu. Pour plus d’informations sur l’attaque MITM vous pouvez jeter un oeil à l’article suivant: L'attaque MITM démystifiée avec Backtrack 3.

Bon, rien de surprenant! Si comme moi, vous vous intéressez à la sécurité, vous êtes certainement un brin paranoïaque!

Alors lorsque j’ai découvert le plug-in Certpatrol de Firefox (merci Sébastien!), j’’ai pensé qu’il y avait matière à faire un petit article! Certpatrol ne nous protège bien sûr pas d’une organisation gouvernementale mais il peut nous donner quelques informations sur les conditions de confidentialité avec lesquelles nous surfons!

Certpatrol permet de détecter tout changement dans votre certificat: renouvellement du certificat, changement d’autorité de certification racine.

Vous trouverez ci-dessous le message qui apparaît lors du premier accès à un site web HTTPS. Ce message vous informe que le certificat du serveur est stocké pour servir de référence aux vérifications que Certpatrol fera lors des prochains accès.

Pour modifier les options de Certpatrol, vous devez sélectionner “Tools / Add-ons” puis cliquer sur le bouton “Options” disponible sur le plug-in Certpatrol. Voici la configuration que j’ai choisie:

Par exemple si vous surfez sur le site gmail en HTTPS et si Certpatrol vous informe d’un changement, cela peut signifier que Google a mis à jour son certificat serveur (et dans ce cas tout va bien!) ou bien que quelqu’un de mal intentionné (ou pas d’ailleurs) surveille vos "échanges.

Un homme averti…

Source: Law Enforcement Appliance Subverts SSL

Tags:

L’authentification par reconnaissance faciale

2011-01-09T06:16:00.000-08:00

Toujours à la recherche de la méthode d’authentification idéale dans un contexte familial, privilégiant la facilité d’authentification à la sécurité, voici un article sur l’utilisation de la biométrie et plus particulièrement de la reconnaissance faciale. Cet article est dans la lignée de “S’authentifier à la maison avec un certificat dans une carte à puce, c’est possible!” traitant de l’authentification par certificat dans une carte à puce sans avoir de contrôleur de domaine.

L’authentification par reconnaissance du visage est permise par la société Luxand avec leur produit Luxand Blink!. La version gratuite, mais limitée, du logiciel est téléchargeable à l’URL suivante: Luxand Blink!.

Nous allons utiliser un “Windows 7 Familial Premium 32 bits” en français pour réaliser notre test.

La première étape consiste à installer “Luxand Blink!”. Une documentation en anglais est disponible sur le site de Luxand.

Il est bien entendu nécessaire de posséder une webcam afin de permettre la reconnaissance faciale.

La phase d’installation est très simple et assez intuitive. Une fois l’installation terminée, il est possible d’accéder à la configuration de Luxand Blink! à partir de la barre de tâche: clique droit et “Settings”.

En sélectionnant “History” on obtient la liste des authentifications réussies.

La phase d’authentification dure quelques longues secondes pendant lesquelles on se demande un peu ce qui se passe. On observe cependant un petit carré vert qui apparaît de temps à autres autour du visage confirmant l’acquisition des données biométriques.

Mais globalement l’expérience est plutôt concluante. Cependant, en revenant de chez le coiffeur (c’est parfois nécessaire!), la reconnaissance faciale ne fonctionnait plus et j’ai dû réinitiliaser mes données biométriques! La reconnaissance du visage a donc ses limites! D’un point de vue strictement sécuritaire, il est préférable de refuser l’accès à une personne autorisée qu’accorder l’accès à quelqu’un qui n’a pas les droits. Mais enfin! Heureusement que Luxand permet à l’utilisateur de choisir entre l’authentification par mot de passe et la reconnaissance faciale!

Par ailleurs on peut noter que Luxand conseille à l’utilisateur d’enregistrer les données biométriques dans des conditions optimales (i.e. peu variables) incluant une lumière homogène et une expression calme du visage.

Dans la version actuelle, chaque utilisateur du poste possédant son propre compte, lors de la connexion qui suit la première installation de Luxand Blink!, doit configurer ses données biométriques pour bénéficier de l’authentification par reconnaissance faciale. Dans une prochaine version Luxand annonce la possibilité de déclarer plusieurs utilisateurs sur le même compte.

La version professionnelle permet de vérifier votre présence devant l’ordinateur à intervalles réguliers paramétrables et de verrouiller le poste en cas d’absence.

Je n’ai cependant pas trouvé dans cette version la possibilité de stocker les données biométriques dans un token ou une carte à puce. C’est bien dommage! Cela permettrait d’ajouter un deuxième facteur d’authentification.

Les failles Cross-Site Scripting: si communes et pourtant si méconnues !

2010-12-18T04:40:00.000-08:00

Comme l’indique le site xss attacks information, les failles Cross-Site Scripting (aussi appelé XSS) sont toujours d’actualité bien qu’elles soient connues comme le "loup blanc" depuis de nombreuses années. Mais comme parfois avec ce qui nous est familier, nous en perdons le véritable signification et en oublions le risque. Je ne sais pas pour vous, mais pour moi c'est le cas!

A titre d’exemple, voici une capture d’écran du site de BP ayant subi une attaque XSS:

Nous allons dans ce qui suit décrire ce qu'est le XSS et les différentes formes qu'il peut prendre.

L'attaque "Stored XSS" ou “XSS permanent” dans laquelle le code injecté est stocké de manière définitive sur le serveur cible. Cette attaque peut être réalisé à deux conditons:

quand les informations transmises par un utilisateur sont stockées côté serveur (par exemple dans une base de données ou des fichiers)
quand ces informations stockées sont ensuite affichées de nouveau sans que les caractères spéciaux HTML aient été encodés.

C’est le cas d’un message écrit dans un forum qui peut être lu par des milliers de personnes.

Ci-dessous vous trouverez une vidéo détaillant la mise en oeuvre d’une attaque “XSS permanent” sur le site Webgoat de l’OWASP:

L'attaque "Reflected XSS" ou “XSS non-permanent” dans laquelle le code injecté est transmis dans la requête et renvoyé par le serveur cible (i.e. utilisation d’un message d’erreur ou d’un outil de recherche).

Mais vous allez me dire que ce n’est pas un problème car l’utilisateur malicieux ne peut injecter du code que dans ses propres pages. Eh bien non! Prenons l’exemple d’un mail de phishing qui vous propose d’aller sur une page avec une URL qui contient le code XSS!

Ci-dessous vous trouverez une vidéo détaillant la mise en oeuvre d’une attaque “XSS non-permanent” sur le site Webgoat de l’OWASP:

L'attaque "DOM Based XSS" ou “XSS local” dans laquelle le code injecté permet de modifier l’arbre DOM dans le browser de la victime permettant à la page web de se comporter différemment (i.e. phase d’authentification court-circuitée).

Comme précédemment un mail de phishing avec une URL prenant en compte la faille peut vous piéger.

Ci-dessous vous trouverez une vidéo détaillant la mise en oeuvre d’une attaque “XSS local” sur le site Webgoat de l’OWASP:

Le XSS est également utilisé dans une attaque nommée Cross-Site Request Forgery ou CSRF. Un précédent article décrit précisément en quoi consiste cette faille et comment la mettre en oeuvre (voir l’article Cross Site Request Forgery par l'image!).

Source: toujours l’OWASP !http://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

Comment lutter contre le SPAM sur nos téléphones!

2010-12-11T04:40:00.000-08:00

Cela fait plusieurs fois que l’on me pose la question. Alors voici un court article donnant la marche à suivre dans le cas où vous recevez un spam sur votre téléphone.

Vous devez simplement connaître un numéro de téléphone: le 33700 et suivre le mode d’emploi ci-dessous:

33700 mode d'emploi
L'usager victime d'un SMS non sollicité aura la possibilité de transférer par SMS le message texte au numéro spécial 33700. Le message ainsi envoyé fera l'objet d'un accusé de réception de la part de la plateforme de traitement. Dans le cas d'un spam ou d'une arnaque avéré les opérateurs de téléphonies mobiles seront avertis. Les spammeurs risquent de se voir fermer leurs numéros surtaxés, pour les cas de nuisance grave les autorités pourront transmettre les informations recueillies aux services de police.
Les étapes sont les suivantes:
L'utilisateur transfère le spam par simple SMS au 33700
Le 33700 le remercie de cette alerte et l'invite à compléter son signalement (numéro de l'émetteur du spam)...
La plateforme de signalement établit la liste des messages indésirables et des numéros surtaxés à rappeler, puis la transmet aux opérateurs mobiles et fixes.
Coût total de l'opération pour l'utilisateur du 33700 deux SMS non surtaxés. Si vous possédez un forfait SMS les deux SMS envoyés en seront décomptés, sinon ils feront l'objet d'une tarification normale de votre opérateur.

Source: 33700 - Spam SMS

Créer votre propre certificat avec Openssl

2010-11-20T04:40:00.000-08:00

Voici un petit article vous permettant de créer vos propres certificats auto-signés avec Openssl. Ce certificat vous permettra de signer et d’encrypter vos mails (voir l’article suivant Signer vos mails à la maison, c’est possible)

Commençons par quelques précisions sur les formats des certificats:

.pem - (Privacy Enhanced Mail) contient un certificat dans le format Base64 encodé DER, entouré de "-----BEGIN CERTIFICATE-----" et "-----END CERTIFICATE-----"
.cer, .crt, .der – contient un certificat habituellement dans le format DER binaire
.p12 - PKCS#12, peut contenir des certificats publiques et les clefs privées associées, protégées par un mot de passe

Vous pouvez télécharger et installer Openssl pour Windows sur le site ci-dessous:

http://www.slproweb.com/products/Win32OpenSSL.html

Puis lancez une fenêtre de commande DOS et suivez la procédure ci-après.

Vous devez également télécharger le fichier de configuration pré-formaté Openssl que vous trouverez à l’URL suivante:

Télécharger le fichier de configuration d’Openssl !

Copiez ce fichier dans le répertoire “C:\Program Files\OpenSSL-Win32\bin”.

Puis, positionnez-vous dans le répertoire d’installation d’Openssl:

> cd "C:\Program Files\OpenSSL-Win32\bin"

Générez la paire de clefs (publique et privée) qui sera utilisée pour la création de votre certificat:

> openssl genrsa 1024 > %TEMP%\proxia.key

Générez votre certificat dans le format “cer”:

> openssl req -new -x509 -config openssl.conf -nodes -sha1 -days 365 -key %TEMP%\proxia.key > %TEMP%\proxia.cer

Convertissez votre certificat dans le format “pem”:

> openssl x509 -inform pem -outform pem -in %TEMP%\proxia.cer -out %TEMP%\proxia.pem

Transformez votre certificat dans le format “p12” pour y ajouter votre clef privée:

> openssl pkcs12 -export -out %TEMP%\proxia-mail.p12 -inkey %TEMP%\proxia.key -in %TEMP%\proxia.pem

C’est fait. Vous pouvez maintenant insérer votre certificat “proxia-mail.p12” dans votre carte à puce préférée (Gemalto .NET v2+) en utilisant l”outil en ligne Gemalto .NET Card Utilities.

Pour ceux qui veulent aller plus loin et générer un certificat permettant de faire du Smart Card Logon, vous trouverez ci-dessous les informations permettant de modifier le fichier “openssl.conf” (la procédure reste la même)

Dans la section [usr_cert] du fichier “openssl.conf”, modifier les lignes suivantes:

# For email protection
#extendedKeyUsage=critical,emailProtection
# For Smart Card Logon
LogonextendedKeyUsage=critical,1.3.6.1.4.1.311.20.2.2

Signer vos mails à la maison, c’est possible !

2010-11-13T04:39:00.000-08:00

Imaginons un monde sans spam avec dans votre boîte aux lettres exclusivement des mails signés par des personnes de confiance. Je rêve, me direz-vous! Eh bien non, je crois que ce monde meilleur peut exister. Il ne dépend que de nous de donner l’exemple. Cet article va vous montrer comment signer simplement vos mails sans grandes connaissances de la fameuse et effrayante ”Public Key Infrastructure”. Les plus avertis d’entre vous aurons même la possibilité de les encrypter!

Personnellement je trouve que les outils dont nous disposons aujourd'hui sont suffisamment matures pour nous permettre de les utiliser dans un cadre personnel.
C'est le cas de la signature et de l'encryption de mail. J'utilise Windows Live Mail et la configuration est plutôt simple pour permettre de signer nos mails et même de les encrypter (on dit aussi chiffrer).

A ce stade un petit rappel, très haut niveau, s'impose:

Pour générer un certificat, deux clefs sont nécessaires, la clef publique et la clef privée. La clef publique est incluse dans le certificat et peut être connue de tout le mode. La clef privée est, au contraire, à protéger (c’est elle qui permet de prouver votre identité)
Signer un mail permet à celui qui va recevoir le mail d'être certain que c'est bien vous l'émetteur du mail et non un méchant pirate ou spammeur (vous utilisez votre clef privée pour signer votre mail; la personne qui a reçu votre mail utilise la clef publique contenue dans votre certificat pour vérifier votre signature)
Encrypter un mail c'est permettre à la personne à qui vous envoyer le mail d'être la seule à pouvoir lire le message que vous lui envoyez (c’est la clef publique de la personne à qui vous envoyez le mail que vous utilisez pour le chiffrement; seul le possesseur de la clef privée, i.e. la personne à qui vous avez envoyé le mail, peut déchiffrer le mail).
Toutes ces vérifications sont transparentes pour vous

Autant la signature peut être utilisée de manière systématique, cela est moins vrai pour l'encryption pour au moins deux raisons:

pour encrypter un mail vous avez besoin de la clef publique contenue dans le certificat de la personne à qui vous voulez envoyer le mail. Le récepteur doit donc posséder un certificat (on parle aussi d'identité numérique) et vous devez avoir accès à ce certificat.
pour lire demain les mails qui vous ont été envoyés “encryptés” hier, vous aurez besoin de la paire de clefs correspondante (or nos certificats ont une durée de vie limitée dans le temps). Il est donc nécessaire de prendre cette contrainte en compte.

En ce qui concerne ce deuxième point, Windows Live Mail dispose d'une option permettant de stocker automatiquement l'identité numérique de vos correspondants (s’ils existent dans vos contacts)

Mais avant toutes choses, vous devez posséder un certificat permettant l'encryption et la signature de mail. Pour cela plusieurs solutions s'offrent à vous:

générer votre propre certificat avec Openssl (ce point fera l'objet d'un prochain article)
acheter un certificat chez Verisign et consorts. Oui mais c’est cher…!
récupérer un certificat gratuit chez Comodo

Dans mon cas j'ai récupéré un certificat chez Comodo à l'URL suivante:
http://www.comodo.com/home/email-security/free-email-certificate.php
Vous devez cliquer sur "Free Download" et suivre la procédure. Vous allez alors recevoir plusieurs mails de Comodo, dont un qui installera automatiquement le certificat dans le magasin des certificats d'Internet Explorer (les tests ont été faits avec Internet Explorer 8.0 mais l'utilisation de Firefox est aussi possible).

Vous pouvez si vous le souhaitez (cette manipulation est optionnelle) stocker votre certificat dans une carte à puce (c'est ce que j'ai fait).

Pour cela voilà les étapes à suivre:

ouvrir votre magasin de certificats d'Internet Explorer
sélectionner le certificat et l'exporter en incluant la clef privée dans un fichier protégé par un mot de passe
importer le certificat dans votre carte à puce

Pour cette dernière étape, si votre carte à puce est une carte .NET v2 ou v2 plus de Gemalto (avec la clef mère d'origine), vous pouvez utiliser le service Gemalto disponible à l'URL Gemalto .NET Card Utilities
Vous devez alors installer l'ActiveX SConnect qui permet l'accès à votre carte, puis sélectionner "Certificate Management", et suivre le process.

Maintenant vous disposez d'un certificat soit dans une carte à puce, soit dans le magasin des certificats d'Internet Explorer.

Pour configurer Windows Live Mail pour signer vos mails, sélectionnez "Outils / Options de sécurité" et choisissez l’onglet “Sécurité”.

Dans la zone “Courrier sécurisé”, activez l’option “Signer numériquement tous les messages sortants” pour permettre de signer automatiquement vos mails

Dans la zone “Courrier sécurisé”, cliquez sur “ID numériques…” pour vérifier que votre certificat de protection de mail est bien présent

Dans la zone “Courrier sécurisé”, cliquez sur “Avancé…” pour vérifier que:

l’option “Inclure l’ID numérique lors de l’envoi de messages signés” est activée (cette option vous permet d’inclure automatiquement votre certificat dans le mail envoyé pour permettre la vérification de votre signature)
l’option “Ajouter le certificat des expéditeurs à mes contacts Windows Live” est activée (cette option vous permet de stocker le certificat des personnes à qui vous souhaitez envoyer un mail encrypté / chiffré)

Si vous avez stocké votre certificat dans une carte à puce, alors, avant l’envoi du mail signé, votre PIN code vous est demandé (afin d’autoriser l’accès à votre clef privée pour effectuer la signature)

Si vous souhaitez chiffrer / encrypter un mail, créez votre mail et dans "Outils" cochez l’option "Chiffrer" (pour cela vous devez disposer de l'identité numérique du destinataire)

Vous remarquez que l’option “Signer” est activée par défaut suite à notre configuration.

Protégeons nos accès SSL!

2010-10-23T05:17:00.000-07:00

Plusieurs extensions de Firefox permettent de protéger nos connections SSL avec nos sites préférés. En voici quelques unes:

HTTPS-Everywhere
Force-HTTPS
Force-TLS

De nombreux sites offrent un support limité de l’encryption avec HTTPS. Ils peuvent par exemple proposer HTTP par défaut ou remplir des pages encryptées avec des liens non encryptés. Ce type d’extensions essaie de résoudre ces problèmes en redirigeant toutes les requètes vers HTTPS.

HTTPS-Everywhere

Cette extension peut être installée à partir de https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension en cliquant sur "this link"

Les sites pris en compte par HTTPS-Everywhere sont ceux disponibles dans Modules complémentaires / HTTPS-Everywhere / Options

HTTPS-Everywhere permet par exemple de convertir automatiquement http://www.google.com/ en https://www.google.com/ ou bien de convertir http://twitter.com/ en https://twitter.com/

Pour ajouter un nouveau site que l’on souhaite protéger, le process est décrit sur: https://www.eff.org/https-everywhere/rulesets

J’ai essayé de créer un répertoire HTTPSEverywhereUserRules sous “C:\Program Files\Mozilla Firefox\defaults\profile” et d’y ajouter un fichier monsite.xml contenant:

<ruleset name="monsite"><rule from="^http://www.monsite.com" to="https://www.monsite.com"/></ruleset>

Mais la règle ne semble ne pas être prise en compte avec la version 0.1.1 de HTTPS-Everywhere

Force-HTTPS

Collin Jackson et Adam Barth ont définit les spécifications de Force-HTTPS dans https://crypto.stanford.edu/forcehttps/
et ils ont également réalisé une implémentation de leur solution avec ForceHTTPS 0.4.4

ForceHTTPS 0.4.4 ne fonctionne malheureusement pas avec mon Firefox 3.5.10 (j’ai un problème de vérification de signature)

Force-TLS

Force-TLS s’inspire ouvertement des spécifications de ForceHTTPS (Collin Jackson et Adam Barth)
L’installation de Force-TLS se fait via les Modules complémentaires de Firefox

Comme HTTPS-Everywhere, Force-TLS permet de convertir automatiquement http://www.facebook.com/ en https://www.facebook.com/ (si Force-TLS a été configuré pour gérer le site “facebook”)

La configuration d’un site se fait dans Firefox:

- Soit via Outils / ForceTLS Configuration

- Soit, la première fois que l’on accède à notre site, via
Outils / Information sur la page / Permissions en cochant Secure Connection / Always access content from this site securely
ainsi que Require HTTPS on subdomains too.

Qu’un peu plus de sécurité vous accompagne!

Encrypter vos clefs USB avec “BitLocker to Go”

2010-10-16T04:02:00.000-07:00

Microsoft BitLocker to Go permet d’encrypter vos clefs USB. Ainsi en cas de vol ou de perte de votre clef, vos données personnelles ne sont pas compromises.

L’encryption par BitLocker peut être activée soit par un administrateur ou par l’utilisateur du poste.

Dans cet article nous allons montrer comme un utilisateur peut activer BitLocker to Go pour protéger ses données.

BitLocker est intégré à l’explorateur Windows de Windows 7. Lors de l’insertion de ma clef USB, Windows 7 me propose d’activer Bitlocker to Go.

Nous allons choisir de protéger notre clef avec un mot de passe, mais il est aussi possible et conseillé d’utiliser une carte à puce. Dans ce cas, la carte à puce et la saisie du code PIN sont nécessaires pour autoriser la lecture des données de la clef USB.

Dans le cas où l’utilisateur oublie son mot de passe (ou perd sa carte à puce), un fichier contenant la clef d’encryption est stocké sur la machine (ou imprimé à la convenance de l’utilisateur). Si ce fichier est perdu alors la clef USB ne peut plus être déchiffrée. Mais Microsoft permet de stocker les clefs d’encryption dans Active Directory. De même Microsoft permet de déployer l’utilisation de Bitlocker via les GPO (Group Policy Objects).

Puis la clef est encryptée.

Pour utiliser la clef USB ainsi encryptée il est nécessaire de saisir son mot de passe lors de son insertion.

Note: Pour désactiver BitLocker pour une de vos clefs allez sur “Control Panel/System and Security/BitLocker Drive Encryption” et désactiver BitLocker.

Source: WindowsNetworking.com “Using BitLocker to encrypt removable media

Tags:

Technorati Tags: Windows 7,BitLocker

del.icio.us Tags: Windows 7,BitLocker

BuzzNet Tags: Windows 7,BitLocker

S’authentifier à la maison avec un certificat dans une carte à puce, c’est possible!

2010-09-18T09:57:00.000-07:00

A la question “Est-il possible d’authentifier un utilisateur local avec un certificat stocké dans une carte à puce?”, Microsoft répond “Non, pour s’authentifier avec un certificat sur une carte à puce il est nécessaire d’utiliser Kerberos et l’utilisation de Kerberos n’est possible qu’avec un contrôleur de domaine”.

Eh bien moi je vous annonce qu’il est désormais possible de le faire avec l’aide de Vincent Le Toux! Merci Vincent!

Deux possibilités s’offrent à vous, vous pouvez soit:

créer un certificat avec vos outils préférés puis le stocker sur votre carte à puce
générer automatiquement votre certificat via l’outil de Vincent

J’ai personnellement utilisé le certificat généré par l’outil (ce certificat est stocké sur ma carte à puce Gemalto .NET). Je peux visualiser le contenu de ma carte à puce avec l’outil en ligne .NetUtilities.

La première étape consiste à me connecter comme d’habitude sur mon Windows 7 Edition Familiale Premium 64 bits avec mon mot de passe préféré et à installer EIDAuthenticate (la solution fonctionne avec Windows Vista, Windows 7, 32 et 64 bits selon l’auteur).

Puis je lance Smart Card Logon dans System and Security:

Je choisis l’option Configure a new set of credentials car ma carte à puce ne contient pas de certificat.

Je sélectionne le certificat généré (dans mon cas je n’en ai qu’un) après avoir décidé de lui faire confiance. Tous les boucliers doivent être verts.

Puis je saisis le mot de passe de mon compte Windows (après avoir activé Activate the remove policy pour permettre de me déconnecter à chaque retrait de ma carte à puce)

Enfin je saisis mon code PIN

Lorque je me connecte sur mon ordinateur avec ma carte à puce insérée dans mon lecteur j’ai la possibilité de m’authentifier avec mon mot de passe standard (cette option peut être désactivée) ou avec ma carte à puce. Je choisis la carte à puce et le certificat qu’elle contient et je saisis mon PIN.

En conclusion, cette solution permet d’avoir un niveau de sécurité équivalent au mot de passe. Mais elle présente l’énorme avantage de la facilité d’utilisation (on pourrait également désactiver la saisie de PIN pour plus de simplicité). Cette facilité d’utilisation est l’élément différenciateur dans un environnement familial.

Source: Vincent Le Toux - http://www.mysmartlogon.com/

NoScript nous protège, alors utilisons le!

2010-09-12T05:17:00.000-07:00

Comme vous le savez déjà, de nombreuses attaques sont basées sur l'exécution de scripts dans votre browser (voir à ce sujet l’article Cross Site Request Forgery par l'image!).
NoScript est une extension de Firefox qui permet de désactiver par défaut l'exécution de scripts dans le browser et de n'autoriser que les scripts nécessaires.
Notons, que NoScript ne date pas d’hier, il existe depuis 2006, et qu’il reste une des meilleures parades à l’exécution de scripts non autorisés dans notre browser. Inconvénient: l’utilisation de NoScript peut s’avérer contraignante pour une utilisation quotidienne. La sécurité aurait-elle un prix?

Lorsque l'on accède à un page web e.g. http://www.google.fr/, NoScript présente plusieurs options:

1) Autoriser google.fr temporairement. Cette option est la plus sûre.
2) Autoriser cette page temporairement. Cette option est un peu moins sûre.
3) Autoriser toute la page (cette option est pratique pour éviter d'autoriser la page de votre site préféré à chaque lancement de votre browser). Cette option est cependant encore moins sûre que la précédente.
4) Autoriser "google.fr". Cette option signifie que l'on a une confiance absolue dans le site visité et que l'on pense qu'il ne sera jamais infecté. Hum...!.
Une autre approche consiste à configurer ce site via Options / List blanche

5) Autoriser Javascript globalement. Cette option revient à ne pas installer NoScript. A éviter absolument!

A vos browsers!

Protéger vos applications avec AppLocker

2010-08-21T04:02:00.000-07:00

Microsoft AppLocker disponible sous Windows 7 permet de restreindre les applications qui peuvent être exécutées sur un poste. Cette fonctionnalité est très intéressante en entreprise pour éviter qu’un poste soit corrumpu par une application non nécessaire à l'entreprise et infecte ainsi les autres postes du réseau.

AppLocker permet par exemple d’interdire les applications portables (“portable apps”) présentes sur les clefs USB.

Dans cet article nous allons à titre d”exemple interdire l’application “notepad.exe”.

Pour cela nous allons définir un ensemble de règles dans AppLocker pour implémenter notre stratégie.

AppLocker nécessite que le service “Application Identity” soit démarré.

Lancer “secpol.msc” pour pouvoir gérer “Local Security Policy”. La configuration d’AppLocker se trouve sous “Application Control Policies”.

Par défaut il est possible de créer 3 types de règles pour:

les exécutables
les installeurs Windows
les scripts

Si vous sélectionnez “AppLocker/Properties/Advanced” vous pouvez activer un nouvel ensemble de règles pour les “dll”.

Créons une première règle pour interdire l’exécution de “notepad.exe”

Sélèctionnons “Executables Rules/Create New rule…/Next/Deny” pour interdire un exécutable
Choisissons l’utilisateur ou le groupe d’utilisateurs auquel s’applique la règle: ”Everyone”
Sélectionnons “Next” puis “Path” pour identifier l’exécutable par son chemin d’accès
Entrons le chemin de “notepad.exe” qui est “C:\WINDOWS\system32\notepad.exe”
Sélectionnons “Next” puis “Create”

La règle est créée et active. Mais “notepad.exe” se trouve aussi sous “C:\WINDOWS\notepad.exe”, il est donc nécessaire de créer une nouvelle règle pour cet autre chemin. On peut donc en conclure que toute autre copie de “notepad.exe” se trouvant dans un autre répertoire peut être exécutée.

Notre approche “black list” peut donc être associée à une approche “white list” donnant le chemin de l’exécutable autorisé.

Note: il est possible de tracer les actions d’AppLocker dans “Event Viewer/Applications and Services Logs/Microsoft/Windows/AppLocker”.

Note: En entreprise il est possible de déployer ces règles par GPO (Group Policy Objects).

Source: MISC n° 49 “Jouons avec Applocker” de Sylvain Sarméjeanne

Tags:

BuzzNet Tags: Windows 7,AppLocker

del.icio.us Tags: Windows 7,AppLocker

Technorati Tags: Windows 7,AppLocker

Sauvegarder vos données avec Toucan!

2010-08-14T09:09:00.000-07:00

Toucan est une application portable, efficace et gratuite permettant de sauvegarder les données de votre clef USB.

La sauvegarde peut être lancée manuellement après une mise à jour de votre clef USB. Mais il est aussi possible d’automatiser la sauvegarde ! Toucan propose des commandes en ligne pour gérer vos sauvegardes mais c’est à vous de lancer ces commandes dans l’outil de votre choix.

Pour réaliser une sauvegarde il est nécessaire de configurer un “Job”. Ce “Job” permet de définir:

les paramètres de la synchronisation: nous utilisons l’onglet “Sync” pour sauvegarder nos données
l’origine de la sauvegarde (la clef USB peut être identifiée avec son label sans utiliser la lettre du drive: le label est MOBILE_DESK)
la destination de la sauvegarde
l’ensemble de règles qui doivent filtrer les données à sauvegarder: ici “Rule1”
la fonction de Toucan qui doit être appelé: la fonction “Copy” est utilisée pour simplement copier les fichiers de l’origine vers la destination (quel que soit leur âge). Avec “Copy” aucun fichier n’est supprimé. Toucan propose de nombreuses autres fonctionnalités. Pour plus d’informations vous pouvez consulter la documentation et les forums.
les paramètres optionnels: nous avons sélectionné “Retain timestamps” pour permettre à l’origine et à la source d’avoir la même date et heure.

Un seul ensemble de règles de filtrage appelé “Rule1” a été créé. C’est dans l’onglet “'Rules” qu’il est possible d’ajouter de nouveaux ensembles de règles. Ces ensembles de règles permettent d’inclure ou d’exclure certains répertoires ou fichiers lors de la sauvegarde. Dans notre cas les exécutables des applications portables ainsi que les fichiers multimédia ne sont pas sauvegardés.

PStart peut être utilisé pour lancer une sauvegarde (cf l’article Transformer votre clef USB en bureau "mobile"!). La ligne de commande permettant de lancer une sauvegarde est formée du nom de l’exécutable “Toucan.exe” avec en paramètre le nom du “Job Name” appelé “Backup” dans notre exemple.

Tags:

Technorati Tags: Toucan,portable apps

BuzzNet Tags: Toucan,portable apps

del.icio.us Tags: Toucan,portable apps

Ophcrack: pour cracker encore plus vite!

2010-07-18T09:07:00.000-07:00

Ophcrack est un logiciel libre permettant de casser les mots de passe des utilisateurs de systèmes d'exploitation Windows en utilisant les “rainbow-tables”. L’utilisation des “rainbow-tables” permet d’augmenter sensiblement la rapidité du crackage en comparaison avec des méthodes plus classiques de type “brute-force” (cf l’article Cracker un mot de passe avec Cain & Abel).

Les “rainbow-tables” contiennent une grande quantité de chaînes qui proposent en alternance un mot de passe suivi de son “hash”.

Ophcrack permet de casser la plupart des mots de passe d'une longueur inférieure ou égale à 14 caractères composés de majuscules, minuscules et chiffres. Si votre mot de passe contient des caractères spéciaux, il vous faudra cependant acheter les “rainbow-tables” correspondantes sur le site d’Ophcrack.

A titre d’exemple, 13 minutes ont été nécessaires sur mon PC personnel (qui est on ne peut plus ordinaire) pour cracker mon mot de passe “administrateur” de 9 caractères utilisant de majuscules, des minuscules et des chiffres. Bluffant !

OphCrack se présente sous la forme d’un liveCD. Après avoir “booté” sur le liveCD, Ophcrack démarre automatiquement et tente de trouver les mots de passe de l'ordinateur.

Cet outil peut être très utile aux auditeurs pour vérifier la qualité des mots de passe de leurs clients (à utiliser cependant avec les précautions légales qui s'imposent).

Tags:

BuzzNet Tags: Ophcrack,rainbow-tables

del.icio.us Tags: Ophcrack,rainbow-tables

Technorati Tags: Ophcrack,rainbow-tables

Le “kriegspel” adapté au MITM

2010-07-11T09:07:00.000-07:00

Selon les experts en sécurité, une attaque réussie est composée d’un peu de code et d’un protocole d’attaque. Dans cet article nous allons nous intéresser au protocole d’attaque dans le cadre d’une attaque MITM (Man In The Middle).

Comme vous le savez tous, une attaque MITM en HTTPS génère un warning dans le navigateur de la cible car l’autorité de certification qui a généré le certificat du serveur ne fait pas partie des autorités de certification de confiance stockées dans le navigateur.

Notre protocole d’attaque consiste donc à insérer le certificat de l’autorité de certification utilisée par le pirate dans le navigateur de la cible. Si notre attaque réussit alors notre pirate pourra réaliser son MITM sans que le navigateur de la cible ne le détecte.

Dans ce qui suit nous faisons l’hypothèse que l’attaquant est en contact direct avec la cible. Il va ainsi pouvoir exécuter le code malicieux permettant de stocker le certificat de l’autorité de certification “pirate”.

Les moyens à la disposition du pirate peuvent s’appuyer sur une clef USB, un CD ou un DVD (si l’autorun n’est pas désactivé sur le poste de la cible) ou sur le partage d’une application embarquant notre code malicieux (un jeu, un utilitaire,…) via une clef USB, un CD ou un DVD (cf l’article La clef USB: le maillon faible ?)

Voici le code permettant de stocker le certificat de l’autorité de certification:

Le code permet de:

couper le son sur la machine cible pour éviter les bips puis le réactiver en fin de traitement
stocker le certificat de l’autorité de certification du pirate
confirmer automatiquement le chargement du certificat en cliquant “Yes” sur la fenêtre '”Security Warning”
désactiver momentanément l’écran pour dissimuler les interactions (code actuellement en commentaires car cette option semble ne pas fonctionner pour toutes les configurations). L’option choisie dans l’implémentation courante consiste à détourner l’attention de la cible durant les quelques secondes nécessaires à l’opération

Le code utilise AutoIt, un langage de script qui permet d’interagir avec les pop-up générés par les applications ou le système d’exploitation. Le code a été testé sur Windows XP SP3.

Ce code fonctionne bien entendu quel que soit les droits de l’utilisateur (“Users” ou “Administrators”).

En conclusion, une attaque ciblée combinant le social engineering et un peu d’imagination a une très forte probabilité de réussir. Alors, prudence…!

Tags:

del.icio.us Tags: AutoIt,hacking

Technorati Tags: AutoIt,hacking

BuzzNet Tags: AutoIt,hacking

KitRap0d élève les privilèges! Hum...à voir

2010-06-26T03:35:00.000-07:00

Afin de supporter les routines du service BIOS dans les applications “16 bits”, Windows NT supporte encore les appels BIOS en mode Virtuel-8086.

Et KitRap0d s’appuie sur cette fonctionnalité pour transformer un simple utilisateur sans privilèges en un administrateur tout puissant.

Selon l'auteur, les versions 32-bits suivantes de Windows NT sont concernées:

Windows 2000Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7

J’ai personnellement testé avec succés KitRap0d sur Windows XP SP3 mais avec les patches de sécurité non mis à jour. Ce qui limite la portée de l'attaque. D'où, une fois encore, la nécessité de prendre en compte les mises à jour de Microsoft rapidement. Par contre sur un Windows 7 Ultimate de base, KitRap0d ne semble pas fonctionner.

Pour information mon antivirus AVG Free détecte KitRap0d dans sa version initiale (ce qui n'est pas le cas d'un autre antivirus pourtant bien connu dont je tairais le nom). Mais AVG Free ne le détecte plus une fois modifié et recompilé comme toujours.

Une fois n'est pas coutume, voici un lien vers un vidéo très bien réalisé décrivant le déroulement de l'attaque (et il n’y a rien à ajouter ou presque!) par Pieter Danhieux:

L'intérêt de cette exploit réside dans le fait que nous disposons du code source et que nous pouvons l'étudier, le modifier et le compiler à volonté. Vous pouvez télécharger l’exploit et le code via le lien suivant:

KitRap0d

Comme toujours il est possible d’embarquer l’exécutable de l’exploit dans une clef USB ou un DVD (soit dans un vrai programme corrompu i.e. jeux ou utilitaires, soit en utilisant l’autorun), et d’automatiser la procédure en utilisant AutoIt si nécessaire (cf l’article Je veux et j’exige les droits “administrateurs”!).

Une petite vérification de vos OS ne coûte pas grand chose!

Note: l’exploit est aussi disponible sous Metasploit

Source: Pieter Danhieux

Tags:
BuzzNet Tags: kitrap0d,USB,privilege,escalation,administrator
Technorati Tags: kitrap0d,USB,privilege,escalation,administrator
del.icio.us Tags: kitrap0d,USB,privilege,escalation,administrator

Je veux et j’exige les droits “administrateurs”!

2010-06-19T09:08:00.000-07:00

Comme la plupart des développeurs j’ai besoin des droits “administrateurs” sur mon PC. Sinon, c’est bien simple, je ne peux pas travailler dans de bonnes conditions. En tout cas c’est que j’affirme haut et fort à qui veut l’entendre !

Le choix d’avoir les droits administrateur sur son poste de travail présente effectivement de nombreux avantages mais aussi quelques dangers.

Dans ce qui suit nous allons montrer une des nombreuses actions offensives qu’il est possible de réaliser avec quelques lignes de code sans beaucoup de complexité.

Au lieu d’essayer de cracker le mot de passe “administrateur” de notre développeur imprudent, nous allons simplement ajouter notre propre utilisateur “local” avec les droits “administrateurs” en profitant des privilèges locaux.

Dans ce qui suit nous faisons l’hypothèse que l’attaquant est en contact direct avec la cible. Il va ainsi pouvoir exécuter le code malicieux permettant de créer notre compte utilisateur “pirate”.

Vous trouverez ci-dessous le code nécessaire:

Ce code permet de:

désactiver momentanément le son du PC cible
ajouter les utilisateurs en fonction des informations stockées dans le fichier “myusers.txt”
donner le droit de “Interactive Logon” à l’utilisateur hacker1. Cette commande n’est pas nécessaire dans notre contexte car les membres du groupe “Administrators” possède déjà ce droit (elle peut cependant être utile dans d’autres cas).

Vous trouverez ci-dessous le contenu du fichier “myusers.txt”

Ce fichier permet de:

créer 2 utilisateurs: hacker1, hacker2
donner les droits administrateurs à hacker1 et hacker2

Ce code a été testé avec succès sous Windows XP SP3 et Windows 7 (avec la fonction UAC, User Access Control, désactivée cependant).

Est-il vraiment nécessaire de conclure ?

Tags:

BuzzNet Tags: AutoIt,hacking

Technorati Tags: AutoIt,hacking

del.icio.us Tags: AutoIt,hacking

Un bug dans Webgoat 5.2? Non! Pas un mais deux…

2010-05-15T12:38:00.000-07:00

Eh bien oui, il faut le voir pour le croire mais il y a bien quelques bugs dans la version 5.2 de Webgoat. Webgoat ne fait pas exception à la règle! Dans les développements de sites web il y a des bugs qui parfois échappent à la validation et qui peuvent devenir des vulnérabilités exploitables par des personnes mal intentionnées. Mais heureusement nous ne sommes pas dans ce cadre, Webgoat est fait pour être faillible! Ouf! L’honneur est sauf!

L'objectif de cet article est simplement de vous montrer qu'il est possible de modifier le code de Webgoat. Vous avez toujours la possibilité de récupérer Webgoat 5.3 si vous le souhaitez.

On peut trouver tous les bugs de Webgoat à l’URL suivante: http://code.google.com/p/webgoat/issues/list

Mais puisque nous disposons du code source et d’Eclipse (voir “Modifier le code source de Webgoat, c’est possible!”), nous n’allons pas nous priver du plaisir de faire les corrections.

Bug 1 dans la leçon DOM injection de Ajax Security(référence 28)

Dans le code source de la page, on trouve:

<input name='key' value='' type='TEXT' onkeyup='validate();' >

Or plus loin on trouve:

var keyField = document.getElementById('key');

Il n’y a pas de paramètre “id” avec la valeur ‘key’ mais un paramètre “name”, il est donc nécessaire d’ajouter le paramètre “id” et de lui donner la valeur ‘key’

Dans la méthode Element createContent(WebSession s) de la classe org.owasp.webgoat.lessons.DOMInjection (fichier DOMInjection.java), on ajoute donc la ligne ci-dessous qui permet d’ajouter un tag “id” et de lui donner la valeur ‘key’:

Input input1 = new Input(Input.TEXT, KEY, "");
input1.addAttribute("onkeyup", "validate();");

// Fix
input1.setID(KEY);

tr.addElement(new TD(input1));
t1.addElement(tr);

Bug 2 dans la leçon DOM injection de Ajax Security(référence 32)

Dans le code source de la page on trouve:

var result = req.responseXML.getElementsByTagName('reward');

Mais la valeur req.responseXML est nulle lors de l’exécution avec Firebug

Par ailleurs on peut observer que la variable result n’est pas utilisée.

Pour résoudre notre problème on peut donc simplement commenter la ligne dans la méthode Element createContent(WebSession s) de la classe org.owasp.webgoat.lessons.DOMInjection (fichier DOMInjection.java)

Environnement de développement

Lorsque vous sauvegardez une modification dans Eclipse, le “build” est automatiquement lancé et le serveur est mis à jour (cf. Project/Build automatically).

Il ne reste alors qu’à recharger la page dans le browser et votre correction est immédiatement prise en compte.

Etonnant non!

Tags:

- Technorati Tags: Webgoat,OWASP

- del.icio.us Tags: Webgoat,OWASP

- BuzzNet Tags: Webgoat,OWASP

Modifier le source de Webgoat, oui c’est possible!

2010-05-08T06:44:00.000-07:00

Si comme moi vous avez eu le besoin ou l’envie de modifier le code de Webgoat, soit pour y ajouter votre propre leçon, soit pour corriger un bug (eh oui il y en a parfois!), alors vous allez être ravi. Oui, l’OWASP permet aux utilisateurs de Webgoat de modifier le code source.

Tout d’abord un petit rappel sur les principales versions de Webgoat actuellement disponibles:

Webgoat 5.3 est disponible en RC1 (première Release Candidate de cette nouvelle version) depuis le 10 novembre 2009

Webgoat 5.2 est disponible en version finale depuis le 12 juillet 2008

Contrairement à la version 5.2, la récente version 5.3 ne propose pas encore une version incluant le code source. C’est pourquoi nous allons nous intéresser à Webgoat 5.2.

Dans cet article nous allons voir comment installer Webgoat 5.2 fournit avec le code source et l’éditeur Eclipse. Puis dans un prochain article, nous essaierons de corriger un petit bug de la version 5.2.

Installation de Webgoat 5.2 avec le code source

Sur http://sourceforge.net/projects/owasp/files/WebGoat/ choisir le répertoire Webgoat 5.2 et télécharger le fichier WebGoat-OWASP_Developer-5.2.zip

Extraire le fichier sous “C:”. Vous devez alors trouver dans “C:\WebGoat-5.2”, le fichier “Eclipse-Workspace.zip”

Extraire ce zip dans ce répertoire. Vous devez alors avoir le nouveau répertoire suivant: “C:\WebGoat-5.2\eclipse”

Lancer alors “C:\WebGoat-5.2\eclipse.bat”. Vous avez alors accès au projet Webgoat.

Sélectionner “Window/Open perspective/Java” ou “Window/Open perspective/Other/Java” et vérifier que les projets “Servers2” et “Webgoat” sont bien présents dans l’onglet “Project Explorer”. Vous pouvez faire un clique droit sur “Servers2” et sélectionner “Refresh” (idem pour le projet “Webgoat”).

Lancer Webgoat via Eclipse. Pour cela sélectionner “Window/Open perspective/Resource” ou “Window/Open perspective/Other/Resource” et dans l’onglet “Servers” séléctionner la ligne “Webgoat Tomcat v5.5 server at localhost”, faites un clique droit et sélectionner “Start”. L’état de ce serveur doit alors passer à “Started”

Enfin dans votre browser préféré, vous pouvez entrer l’URL: http://localhost/WebGoat/attack

Tags:

- Technorati Tags: Webgoat,OWASP

- del.icio.us Tags: Webgoat,OWASP

- BuzzNet Tags: Webgoat,OWASP

Sauvegarder les données de vos clefs USB avec YuuWaa!

2010-04-11T01:54:00.000-07:00

Après quelques articles autour de la clef USB sur comment transformer sa clef en bureau mobile ou comment protéger les données présentes sur sa clef, je vous propose aujourd'hui de traiter la problématique de sauvegardes des informations contenues dans notre clef.

Nous avons tous vécu l'expérience désagréable de perdre notre clef USB ou bien de ne plus pouvoir y accéder. Et nous avons alors tous décidé de sauvegarder périodiquement les informations stockées sur notre clef. Mais très vite, nos démons refont surface et nous oublions la sauvegarde. Ah si nous avions un outil nous permettant de gérer ce problème à notre place!

Eh bien, c'est fait! Gemalto avec sa solution YuuWaa propose de prendre en charge cette problématique. Yuuhaa nous permet:

soit d'acheter une clef USB de:

4Go contenant l'application YuuWaa avec 20Go de stockage en ligne gratuit pendant 6 mois
8Go contenant l'application YuuWaa avec 50Go de stockage en ligne gratuit pendant 6 mois

soit de télécharger gratuitement l'application YuuWaa que l'on peut installer sur notre propre clef USB avec un stockage en ligne de 2Go gratuit pendant 1 mois.

C'est cette dernière solution que nous allons utiliser. Mais YuuWaa c'est plus que la simple sauvegarde de vos données. C'est aussi la possibilité d'accèder à vos données à tout moment via internet (vidéo, musique, photo) et de les partager avec vos amis.

Découvrons ensemble au travers de la vidéo ci-dessous, l'expérience YuuWaa.

L’utilisation de YuuWaa est intuitive hormis 2 petits détails:

Lors de l'installation de YuuWaa sur votre clef USB, l'installeur nous informe que le backup de la clef s'est bien passé et nous propose de lancer de nouveau un "backup". Ce message est perturbant mais n’en tenez pas compte! Le “backup” de votre clef est bel et bien fait!
Si comme moi vous ne lisez jamais les documentations, il faut savoir que votre "backup" est accessible sur votre compte en ligne YuuWaa en cliquant sur le petit parapluie (en haut à droite).

Pour 20Go de stockage en ligne pendant 1 an le prix est autour de 19,9 euros. Vous trouverez les prix à l’URL suivante: http://www.yuuwaa.com/fr/plans.html

Par contre dans la version courante il est impossible de choisir les répertoires et fichiers à sauvegarder (e.g. j’ai une clef de 16Go
et seulement 2Go de données sensibles à sauvegarder!).

On aurait également aimé avoir un lien pour importer nos données en provenance des Picasa, Flickr et consorts pour nous permettre d’utiliser YuuWaa comme unique interface de stockage en ligne et donc de partage.

En résumé, YuuWaa répond à un vrai besoin pour ceux dont la clef USB est un véritable outil de travail, et bien plus encore. Merci Gemalto!

Source: Essayer gratuitement YuuWaa https://www.yuuwaa.com/freetrial.html

Tags:

BuzzNet Tags: Gemalto,YuuWaa,clef,USB,stockage

del.icio.us Tags: Gemalto,YuuWaa,clef,USB,stockage

Technorati Tags: Gemalto,YuuWaa,clef,USB,stockage

L’authentification “pre-boot” n’est pas sans faille…

2010-04-04T11:18:00.000-07:00

Un récent article de Joanna Rutkowska de Invisible Things décrivait comment récupérer le mot de passe utilisé pour l'authentification “pre-boot” avec TrueCrypt.

Voici une brève description du scénario d’attaque.

“Bertrand vient d’arriver à l’hôtel. Demain c’est le grand jour: la remise des prix attribués aux meilleurs vendeurs, et Bertrand en fait partie. Le lendemain, Bertrand laisse son PC éteint à l’hôtel, il traitera ses mails ce soir en rentrant. La femme de chambre profite de l’absence de Bertrand pour faire booter le PC sur sa clef USB afin de l’infecter. En rentrant Bertrand démarre son PC, entre le mot de passe de sa solution d’authentification et d’encryption “pre-boot”, saisie son mot de passe système et traite ses messages. Le lendemain matin Bertrand quitte l’hôtel comme à l’accoutumé en y laissant son PC éteint. La femme de chambre n’a plus qu’à faire booter le PC de Bertrand sur sa clef USB pour récupérer le mot de passe d’authentification et d’encryption “pre-boot”. Et Bertrand n’en sait rien! Il est maintenant simplement nécessaire d’”emprunter” le PC de Bertrand pour récupérer les informations souhaitées.”

Comme l’indique Joanna Rutkowska, TrueCrypt n’est pas la seule cible potentielle de ce type d’attaque.

Je n’ai pas résisté à l”envie de voir comment fonctionnait l’attaque dans un cas réel.

J’ai donc installé TrueCrypt sur mon PC portable et encrypté avec TrueCrypt ma partition système. En faisant cela lors du démarrage de mon PC, le mot de passe TrueCrypt m’est demandé pour permettre le lancement de mon Windows XP et la saisie de mon mot de passe système habituel.

Joanna Rutkowska dans son article nous fournit une image pour nous permettre de créer rapidement une clef USB bootable contenant l’exécutable pour récupérer le mot de passe de TrueCrypt. Mais j’ai personnellement rencontré quelques difficultés pour recréer cette image. Heureusement nous trouvons dans l’article d’Invisible Things le code source nous permettant de mieux comprendre l’attaque et de la reproduire avec quelques variantes.

Comme vous le savez déjà, si vous êtes un lecteur assidu de ce blog, je dispose d’une clef USB “bootable” avec Backtrack 3. Je vais donc simplement faire booter mon PC sur ma clef USB, puis lancer l’exécutable modifié et recompilé pour infecter TrueCrypt.

Après avoir copié le code source de l’exploit sur la clef USB et booté sur la clef, jetez un œil au répertoire qui contient le code source. Dans notre exemple:

> cd /mnt/sdb1/Misc/evilmaid/evilmaid-tc

Vous pouvez ensuite ouvrir avec votre éditeur préféré le fichier Makefile. On y trouve les commandes permettant de compiler notre exécutable. On note la présence d’un fichier “c” et d’un fichier “asm” qui contiennent le code de l’exploit. Le fichier “asm” est un fichier assembleur compilable avec nasm.

Vous pouvez alors compiler l’exécutable. Si vous rencontrez des difficultés avec le Makefile, vous pouvez exécuter les 3 lignes suivantes:

> nasm –f elf logger.asm

> gcc –m32 –c patch_tc.c

> gcc –m32 –o patch_tc patch_tc.o logger.o

Votre exécutable est alors patch_tc.

Puis allez dans le répertoire stick. Dans notre cas:

> cd /mnt/sdb1/Misc/evilmaid/stick/

On y trouve le script “shell” stage2 qui est le point d’entrée principal de l’exploit. Le fichier stage2 est à modifier dans notre contexte. Ouvrez le fichier avec votre éditeur préféré:

Les lignes suivantes sont à changer:

- On associe la variable BASE au répertoire dans lequel se trouve notre exécutable patch_tc. Dans notre cas:

BASE=/mnt/sdb1/Misc/evilmaid/evilmaid-tc

- On vérifie que le disque cible correspond bien à /dev/sda. C’est notre cas.

- On commente les lignes permettant de monter le répertoire contenant notre exécutable dans la fonction run_evilmaid

Notre clef est prête pour la mise en œuvre de l’exploit.

Sur le PC cible on boote sur la clef USB et on lance stage2. Ce script permet soit d’infecter le PC, soit de lancer un shell, soit de rebooter. On choisit de lancer notre exécutable. Le PC est alors infecté. On attend que notre utilisateur se soit de nouveau connecté à son PC puis on reboote sur la clef et on relance stage2. On obtient le résultat ci-dessous:

Le script détecte que le PC est déjà infecté et récupère alors le mot de passe. Dans notre cas le mot de passe est “ErtyErty”.

C’est gagné…!

Source: Evil Maid goes after TrueCrypt de Joanna Rutkowska. Merci à Matthias pour le lien vers le blog de Joanna Rutkowska!

Tags:

Technorati Tags: Truecrypt,clef,attaque,faille,USB,Backtrack -

del.icio.us Tags: Truecrypt,clef,attaque,faille,USB,Backtrack -

BuzzNet Tags: Truecrypt,clef,attaque,faille,USB,Backtrack

Booter sur une clef USB avec Backtrack

2010-03-13T12:07:00.000-08:00

Je viens de retrouver, sous un tas de livres non lus, une clef USB sur laquelle est installé Backtrack 3.0.

Et je pense que cette vielle clef peut faire l’objet d’un petit article au moins pour 2 raisons: la première est de vous donner quelques éléments pour installer Backtrack 3.0 sur une clef USB de 1 Go et la deuxième est de rappeler les dangers de la clef USB.

Vous trouverez ici le contenu à copier sur votre clef USB de 1 Go pour installer Backtrack 3.0.

Sous Windows, il est nécessaire de copier le contenu ci-dessus à la racine de votre clef et de lancer bootinst.bat. Il ne vous reste alors plus qu’à booter sur votre clef USB.

Notez bien que toutes les modifications dans Backtrack doivent être sauvegardées explicitement sur la clef USB pour être définitivement prise en compte. Afin de ne pas perdre vos configurations, vos installations, etc..., il est nécessaire, à chaque fin de session, d’exécuter la commande:

dir2lzm /mnt/live/memory/changes changesX.lzm

(X est incrémental: changes1.lzm changes2.lzm...)

Récupérez alors le fichier changesX.lzm et copiez-le dans le dossier /BT3/modules/ de votre clef USB. Vous aurez donc autant de fichiers que vous aurez fait de sauvegardes!

Au démarrage Backtrack 3.0 vérifie ce dossier et restaure vos configurations.

Petite histoire autour de notre clef USB

“Bertrand doit partir plus tôt ce vendredi soir, c’est le départ annuel aux sports d’hiver et chez lui tout le monde est dans les starting-blocks. Bertrand est bien décidé: “Pendant les vacances je ne travaillerai pas! L’ordinateur portable restera ici toute la semaine!”.

C’est aussi le vendredi soir que Bruno nettoie les locaux de la société de Bertrand. C’est sa deuxième semaine, il vient d’être embauché! Il est bientôt 20:00, tous les bureaux sont vides. En entrant dans le bureau de Bertrand, Bruno sort de sa poche une clef USB qu’il connecte au PC de Bertrand. Il boote sur la clef et récupère les informations qu’un commanditaire lui a demandé. Bruno démissionnera dans une semaine!

A son retour de vacances Bertrand n’a absolument aucune idée de ce qui vient de se passer et il ne le saura jamais. Il aura cependant un doute lorsqu’il trouvera chez ses concurrents l’équivalent de leur nouveau produit…en beaucoup mieux!”

Alors vous allez me dire: “Il existe une solution: interdire le boot USB sur les PC de l’entreprise”. Eh bien oui, c’est une bonne idée, cependant, Bruno a dans ce cas la possibilité de retirer le disque dur du PC portable et de le connecter sur un autre PC ayant la fonctionnalité de boot sur clef USB.

Vous avez compris, la seule véritable solution est à ce jour de mettre en place une authentification avant le boot (appelée pre-boot authentication). Microsoft avec Bitlocker, McAfee avec EndpointEncryption, TrueCrypt et bien d’autres encore, proposent ce type de solution.

Note: on remarque qu’il est aussi possible de récupérer sur la clef USB les fichiers permettant de déterminer le nom de l’utilisateur et le mot de passe de la machine si le mot de passe est faible (confer l’article Cracker un mot de passe avec Cain & Abel)

Avertissement: ce type de manipulation peut endommager votre clef USB. A bon entendeur…

Tags:

BuzzNet Tags: clef,USB,Backtrack,sécurité,vulnérabilité

- Technorati Tags: clef,USB,Backtrack,sécurité,vulnérabilité

- del.icio.us Tags: clef,USB,Backtrack,sécurité,vulnérabilité

Comment faire du neuf avec l’ancien PXE ?

2010-03-06T12:08:00.000-08:00

Il y a quelques années un serveur PXE (permettant le boot sur le réseau) pouvait être utilisé pour prendre la main sur une machine cible que l’on faisait “booter” sur une image fournie par notre serveur PXE pirate pour accéder aux informations de la machine cible.

Mais de l’eau est passée sous le pont de la sécurité et aujourd’hui un LiveCD ou une clef USB permettent beaucoup plus simplement d’accéder aux informations d’une machine cible. Il n’est même pas nécessaire de voler votre PC car quelques minutes suffisent pour faire son marché dans vos données privées.

Comment? Il faut faire “booter” la machine cible sur le LiveCD ou la clef USB, et généralement, et ce dans le pire des cas, le pirate se contente d’accéder aux données privées de l’utilisateur. S’il a plus de chance il a aussi la possibilité d'infecter votre machine.

La parade à ce type d’attaque consiste habituellement à mettre en place une authentification de l’utilisateur avant le “boot” de la machine cible (appelé pre-boot authentication). Microsoft avec Bitlocker, et bien d’autres encore, propose ce type de solution. Dans un prochain article nous aurons l’occasion de parler de ces solutions. Mais revenons à notre serveur PXE! A quoi donc peut-il bien servir?

Eh bien, j’ai retrouvé dans mes cartons un vieux PC portable sans CDROM et ne proposant pas le “boot” sur clef USB. Or ce vieux PC, en Windows 98, ne demandait rien de mieux qu’une petite mise à jour. Et c’est dans ce contexte que le serveur PXE intervient. Il existe de nombreux blogs qui traitent de ce problème qui ne date pas d’hier. Mais devant les petites difficultés agaçantes que j’ai rencontrées pour mettre en place cette solution, j’ai pensé qu’il serait opportun de les partager.

Quel est notre objectif?

Nous souhaitons permettre à notre vieux PC de booter sur un serveur pour permettre l’accès à un CD d’installation de Windows XP pour mettre à jour notre vielle machine.

De quoi avons-nous besoin?

Premièrement nous avons besoin d’une image sur laquelle nous allons “booter”. Cette image contient les outils nécessaires pour permettre l’accès à notre CD d’installation de Windows XP.

Deuxièmement nous avons besoins d’un serveur PXE (avec son serveur DHCP): ainsi notre vielle machine peut récupérer une adresse IP et se connecter à notre serveur pour “booter” sur l’image que nous avons créée.

Voici les différentes étapes nécessaires à la mise à jour de notre vielle machine:

Vous pouvez créer votre propre image avec l’outil WinImage ou bien vous pouvez récupérer une image prête à l’emploi. Je vous conseille personnellement d’utiliser l’image existante et de la copier sous “C:\PXE”

Lors du “boot” l’utilisateur peut choisir de booter sur sa vielle machine en local ou sur l’image présente sur le réseau. Il est pour cela nécessaire de créer un menu PXE. La création de ce menu se fait avec l’outil ImgEdit de la façon suivante:
1. Lancer ImgEdit
2. Choisir “Create a PXE menu boot file”
3. Ajouter notre image pour permettre le boot sur celle-ci
4. Ajouter l’option “Hard drive” pour permettre le “boot” local
5. Sauvegarder sous “C:\PXE\mba.pxe”
6. Choisir “Edit an existing file” et sélectionner notre image précédemment sauvegardée sous “C:\PXE”
7. Sélectionner “Properties” puis “Change” et activer les paramètres suivants: TCP/IP, Pre-OS et Writable

Configurer et lancer TFTP (n’oubliez pas de vous assurer qu’un firewall mal configuré ne bloque pas l’accès au serveur PXE). Pour information, dans notre cas, le serveur PXE est un Windows XP SP2.
1. Lancer TFTP
2. Choisir “Settings”
  1. Base directory: C:\PXE
  2. TFTP server activé
  3. TFTP client activé
  4. DHCP server activé
3. Choisir l’onglet “DHCP server”
  1. IP pool starting address: 192.168.12.100
  2. Size of pool: 10
  3. Boot file: mba.pxe
  4. Additional option: 66 / 192.168.12.100

Partager le CDROM du serveur en lui donnant le nom sharedcdrom et y insérer le CD d’installation de Windows XP

Booter la vielle machine sur notre image proposée par le serveur PXE (l’image est chargée avec tous les outils nécessaires, en particulier les accès réseau) et lancer les commandes suivantes lorsque le prompt est affiché (serveur est le nom de votre serveur PXE, sharedcdrom est le nom du partage de votre CDROM):
1. net view \\serveur
2. net use z: \\serveur\sharedcdrom
3. z:
4. cd i386
5. winnt

L’installation de Windows XP se lance. Votre vielle machine est sur le point de rajeunir!

Note: dans notre configuration le serveur PXE a un compte “Administrator” sans mot de passe.

Note: si vous avez des problèmes pour télécharger ou utiliser les outils nécessaires n’hésitez pas à me contacter!

Source: le blog de Didier Stevens et The Bit Bucket

Tags:

Technorati Tags: attaque,sécurité,protocole,faille -

del.icio.us Tags: attaque,sécurité,protocole,faille -

BuzzNet Tags: attaque,sécurité,protocole,faille

L'attaque "Cold Boot", ça fait froid dans le dos...

2010-02-13T12:46:00.000-08:00

Je viens de voir une vidéo saisissante de l'université de Princeton (eh oui encore eux...) sur la possibilité de retrouver la clef utilisée pour l'encryption d'un disque dur. La technique utilisée est la rémanence des données en DRAM.

Mais voyons de plus prêt comment ça marche!

Contrairement à ce que l'on peut croire, les DRAMs utilisées dans les ordinateurs modernes retiennent leur contenu de quelques secondes à quelques minutes après que l'alimentation soit arrêtée; et cela même à température ambiante; et même si elles sont retirées de la carte mère.

A titre d'exemple, après 2 minutes à température ambiante, on obtient une dégradation correspondant aux photos ci-dessous:

Après avoir réfrigéré la DRAM aux alentours de -50°C en utilisant un spray, on observe de nouveau la dégradation de la mémoire

Après 10 minutes, on obtient une dégradation très faible correspondant aux photos ci-dessous:

Bien que les DRAMs deviennent moins fiables quand elles ne sont pas soumises à des températures basses, elles ne sont pas immédiatement effacées; et leur contenu persiste un temps suffisant pour récupérer malicieusement l'image mémoire du système d'exploitation.

Il a donc été démontré que ce phénomène limite la capacité d'un système d'exploitation à protéger les données cryptographiques vis-à-vis d'un attaquant disposant d'un accès physique à la machine cible.

Ces attaques appelées "Cold Boot" (et on comprend maintenant mieux pourquoi) sont utilisées contre les systèmes d'encryption de disques les plus populaires: Bitlocker, FileVault, et TrueCrypt; et tout cela sans matériel spécifique.

L'attaque se déroule en plusieurs phases:

On accède physiquement à la machine (on peut se contenter de l'emprunter le temps de l'attaque uniquement)

Dans notre cas l'ordinateur fonctionne

La clef se trouve en DRAM

On connecte un disque externe et on reboote sur le disque externe pour lancer l'application malicieuse en charge de récupérer la clef d'encryption. L'application copie l'image de la mémoire puis recherche la clef d'encryption

La clef est trouvée. L'ensemble de l'opération ne dure que quelques minutes

Source: Center for Information Technology Policy (Princeton University): http://citp.princeton.edu/memory

Membre de l'OWASP! Yes!

2010-02-06T06:45:00.000-08:00

Faîtes comme votre serviteur, devenez membre (ou devrais-je dire adhérent) de l'OWASP.

Pour la modique somme de 50 dollars soit environ 35 euros (en fonction des fluctuations du cours), vous pouvez rejoindre la communauté OWASP de ceux qui se sentent concernés par la sécurité des applications web et qui veulent que les choses changent!

En retour vous ne serez pas en reste car vous recevrez, un magnifique T-Shirt pour les étés torrides...

une vraie carte de membre pour impressionner...

et un merveilleux diplôme à afficher au dessus de votre bureau.

Rejoignez le mouvement...!

Source: Open Web Application Security Project http://www.owasp.org/

Protéger votre clef USB avec une carte à puce

2010-01-10T06:17:00.000-08:00

Nous avons vu dans l'article précédent qu'il était possible de protéger sa clef USB en encryptant les données stockées sur la clef en utilisant un mot de passe.

Le mot de passe correspond à une authentification à 1 facteur (ce que je sais). Mais il est aussi possible de renforcer cette authentification en une authentification à 2 facteurs (ce que je possède et ce que je sais). Comment? Et bien tout simplement en utilisant une carte à puce.

Avec une carte à puce pour s'authentifier il est nécessaire d'avoir la carte à puce (ce que je possède) et de connaître le PIN code (ce que je sais). Ce type d'authentification correspond à ce que l'on appelle une authentification forte.

Dans l'article précédent nous avions utilisé TrueCrypt. Eh bien, TrueCrypt permet également d'utiliser une carte à puce à condition que l'on puisse communiquer avec elle en utilisant le protocole PKCS#11.

Qu'est-ce que PKCS#11?

PKCS#11 est une API définissant une interface générique pour périphérique cryptographique. La carte à puce est un périphérique cryptographique et les fabricants de carte ont implémenté cette API pour communiquer avec leurs propres cartes.

C'est la carte à puce de Gemalto (et plus précisément la carte .NET) que nous allons utiliser pour nous authentifier avec TrueCrypt.

Que faire pour communiquer avec la carte à puce Gemalto .NET en PKCS#11?

Il est nécessaire de se procurer une carte à puce (voir le site Web Store Gemalto à l'adresse suivante: http://store.gemalto.com/)

Puis on doit installer la librairie PKCS#11 que l'on peut télécharger à l'adresse suivante:

.NET PKCS#11 Library for Windows OS. Vous trouverez également à l'adresse suivante une documentation qui décrit comment utiliser la carte .NET dans un environnement Windows en utilisant PKCS#11 (Gemalto .NET Smart Cards PKCS#11 Library for Windows User Guide).

La librairie PKCS#11 est stockée sur la clef USB. Ce qui nous évite de devoir installer la librairie PKCS#11 sur chaque machine.

Comment paramétrer TrueCrypt pour utiliser une carte à puce ?

Comme dans l'article précédent, le fichier "protégé" est stocké sur la clef USB.

Vous trouverez ci-dessous les différentes étapes à suivre pour configurer TrueCrypt:

Settings / Security Tokens pour ajouter un accès PKCS#11à la carte à puce. Il est nécessaire de préciser le chemin permettant d'accéder à la librairie PKCS#11 de la carte Gemalto .NET

Volume password. On doit sélectionner "Keyfiles" pour permettre l'utilisation de la carte à puce. Le choix du mot de passe est alors facultatif.

Keyfiles... / Generate Random Keyfile... permet de générer un fichier au contenu aléatoire que nous allons ensuite stocker dans la carte à puce. C'est ce fichier qui sera nécessaire pour ouvrir le disque "protégé". L'accès à ce fichier ne sera permis que par la saisie d'un code PIN.

Keyfiles... / Add token Files permet de stocker le fichier sur la carte à puce. Dans notre cas le nom du fichier est smartcard_keyfile. Ce fichier doit ensuite être sélectionné pour apparaître dans la liste Keyfile sous la forme token://slot/0/file/smartcard_keyfile.

Comment utiliser votre disque "protégé" avec PStart?

Vous trouverez ci-dessous les différentes étapes à suivre pour configurer PStart:

Ouverture de votre disque "protégé" par carte à puce en utilisant les commandes en ligne de TrueCrypt. Il est nécessaire de configurer PStart pour ouvrir le disque "protégé" en utilisant la commande en ligne de TrueCrypt suivante:

TrueCrypt\TrueCrypt.exe /q /v smartcard_container /e /k token://slot/0/file/smartcard_keyfile /tokenlib \TrueCrypt\PKCS114NET\gtop11dotnet.dll

avec:

/v smartcard_container donne le nom du fichier "protégé" correspondant au disque

/tokenlib indique l'emplacement de la librairie PKCS#11 stockée sur la clef USB

/k indique l'emplacement du keyfile appelé smartcard_keyfile et stocké sur une carte à puce

Pour plus d'informations sur la configuration de PStart vous pouvez vous référer à l'article suivant: Transformer votre clef USB en bureau "mobile"! .

Saisie du PIN code pour permettre l'accès au disque "protégé"

Fermeture de votre disque "protégé"

Source: TrueCrypt Encryption Software est téléchargeable sur http://www.truecrypt.org/downloads. PStart est téléchargeable sur http://www.pegtop.de/start/.

Encrypter vos clefs USB avec TrueCrypt

2010-01-03T06:17:00.000-08:00

Si comme moi vous transportez des informations privées voire confidentielles sur votre clef USB, vous allez aimer ce que nous propose TrueCrypt: protéger le contenu de votre clef USB en l'encryptant.

L'encryptage de votre clef peut s'avérer très utile en cas de perte de votre clef, ou dans le cas où vous connectez votre clef sur une machine corrompue, ou bien dans le cas où tout simplement vous prêtez votre clef USB à un collègue de travail pour lui transmettre des informations, mais vous ne souhaitez pas qu'il voit vos informations confidentielles.

Comment faire pour encrypter votre clef USB?

Grâce à TrueCrypt nous allons créer un fichier sur votre clef USB qui sera vu par notre ordinateur comme un disque. Vous pourrez ainsi copier, supprimer vos fichiers confidentiels sur ce disque "protégé". Bien entendu l'accès au disque ne sera possible qu'à partir du moment où vous aurez saisi votre mot de passe.

Quelles sont les principales étapes de la configuration de votre disque "protégé"?

Copie de TrueCrypt sur votre clef USB (version portable de TrueCrypt)

Vous pouvez télécharger TrueCrypt et choisir l'option d'extraction des fichiers sur votre clef USB au lieu de choisir l'option d'installation. Vous pouvez alors lancer TrueCrypt en mode portable en exécutant "TrueCrypt.exe".

Création du fichier sur votre clef USB

Choix de la méthode d'encryptage

Choix du mot de passe

Association de votre fichier à un disque de votre ordinateur

Il est nécessaire de sauvegarder le fichier "protégé" dans le répertoire d'installation de TrueCrypt (ici le répertoire d'installation est TrueCrypt). Dans la suite le fichier "protégé" est nommé "fichier_encrypte".

Comment utiliser votre disque "protégé" avec PStart?

Ouverture de votre disque "protégé" en utilisant les commandes en ligne de TrueCrypt

Il est nécessaire de configurer PStart pour ouvrir le disque "protégé" en utilisant la commande en ligne de TrueCrypt suivante:

TrueCrypt\TrueCrypt.exe /q /v fichier_encrypte /e

Pour plus d'informations sur la configuration de PStart vous pouvez vous référer à l'article suivant: Transformer votre clef USB en bureau "mobile"! .

Saisie du mot de passe
Fermeture de votre disque "protégé"

Il est nécessaire de configurer PStart pour fermer le disque "protégé" en utilisant la commande en ligne de TrueCrypt suivante:

TrueCrypt\TrueCrypt.exe /q /d /f /s

Note: TrueCrypt en mode portable nécessite que l'utilisateur ait les droits "administrateur" sur sa machine. L'alternative consiste à installer TrueCrypt directement sur la machine de l'utilisateur.

Source: TrueCrypt Encryption Software est téléchargeable sur http://www.truecrypt.org/downloads. PStart est téléchargeable sur http://www.pegtop.de/start/. Merci à G. (alias glando) pour l'idée d'utiliser les commandes en ligne de TrueCrypt.

Le code source Java en libre service!

2009-12-13T03:47:00.000-08:00

Si vous pensez que votre code Java est toujours obfusqué (et bien obfusqué) et que de toutes les façons on y trouve jamais d'informations confidentielles, alors cette article n'est pas pour vous.
Sinon, vous trouverez peut être dans cet article quelques informations intéressantes.

Tout d'abord un bref rappel!

Le reverse engineering est une technique permettant de reconstituer le code source d'une application à partir de sa forme compilée telle que livrée à ses clients par un éditeur. La possession du code source permet de connaître le fonctionnement précis d'une application.

Une personne malveillante peut grâce à cette technique connaître les algorithmes utilisés par son concurrent et lui voler ses secrets. Outre les algorithmes, les identifiants de connexion à des ressources (bases de données, annuaires...) sont là aussi accessibles, d'où le risque de vol de mot de passe et d'accès frauduleux à des ressources protégées.

Face aux risques liés au reverse engineering quelles techniques permettent de cacher le code source d'une application ? L'une d'elles est l'obfuscation qui transforme le code source avant compilation de manière à le rendre illisible pour l'être humain.

L'aspect général du code source d'une application peut être obfusqué de la manière suivante:

renommage de tous les identifiants

suppression des commentaires

élagage des déclarations d'API non utilisées

suppression des règles de style (comme l'indentation)

cryptage des chaînes de caractères pour cacher leur valeur.

Démonstration par l'image au travers d'un exemple... à suivre (plus ou moins)!

Voici quelques obfuscateurs (c'est une liste non exhaustive):

JavaScript Obfuscator & Encoder de Stunnix pour le JavaScript

Dotfuscator de PreEmptive Solutions pour .NET

Retroguard for Java Obfuscation de Retrologic Systems pour Java

Le décompilateur Mocha peut être téléchargé ICI.

Le décompilateur Java Sothink peut être téléchargé ICI.

A bientôt...

Transformer votre clef USB en bureau "mobile"!

2009-12-06T03:45:00.000-08:00

L'objectif de cet article est de vous montrer comment transformer votre clef USB en bureau mobile. Mais qu'est-ce qu'un bureau mobile? C'est la possibilité d'installer sur votre clef USB vos applications préférées et ainsi de pouvoir les utiliser sur n'importe quel ordinateur.

Cette approche est dans le même esprit que le "cloud computing" dans la mesure où elle vous permet d'accèder à vos applicatifs préférés à tout moment (je sais la comparaison est cavalière et j'espère que les puristes me pardonneront ce raccourci). Tandis que le "cloud computing" met à votre disposition les applications sur internet (Word, Photoshop,...), votre clef USB, transformée en bureau mobile, vous permet également d'accèder à vos applicatifs préalablement installés sur votre clef.

La premier application qui vient à l'esprit est le Single Sign On, i.e. la possibilité de stocker vos associations dans un applicatif sécurisé par un mot de passe. Vous pouvez ainsi accèder à vos sites web favoris sans avoir à entrer l'URL, le nom de l'utilisateur et le mot de passe à chaque session. Parmi les nombreux applicatifs qui permettent cette fonctionnalité on trouve Roboform et Keypass. Dans notre vidéo nous décrivons l'installation et l'utilisation de Roboform.

Mais il existe de nombreux autres applicatifs disponibles dans des domaines très variés. Certains de ces applicatifs se trouvent sur le site PortableApps. Dans notre vidéo nous installons et configurons PStart et FirefoxPortable. PStart permet de lister les applications installées sur votre clef USB et de choisir celle que vous souhaitez exécuter. Quant à FirefoxPortable, c'est la version "légére" de Firefox qui vous permet d'utiliser votre propre browser pour surfer sur internet avec vos favoris et vos plug-ins.

La cerise sur le gâteau est de pouvoir lancer automatiquement votre application préférée dés l'insertion de votre clef USB. Mais cette fonctionnalité est parfois désactivée en entreprise et disparaît totalement avec l'arrivée de Windows 7 (pour des raisons de sécurité: cf les articles du blog à ce sujet "Plus d'Autorun dans Windows 7...!" et "La clef USB: le maillon faible ? ").

La solution consiste à installer l' "USB Grabber" (outil gratuit proposé par Prox-IA) qui permet de configurer les applicatifs à lancer à l'insertion de la clef USB. "USB Grabber" permet également de créer des raccourcis sur votre bureau. La vidéo nous montre l'installation et la configuration d' "USB Grabber".

On ne peut parler de mobilité et des clefs USB sans parler du format U3.

L'U3 ou Smart Drive est un format de clé USB comprenant une plate-forme logicielle spéciale qui permet aux développeurs d'écrire des applications spécialement conçues pour fonctionner depuis une clé de ce type. Une application U3 est dite portable car elle peut être utilisée sur différents ordinateurs sans nécessiter une installation sur chacun d'entre eux : le programme ainsi que ses données et sa configuration sont stockés sur la clé et non sur les ordinateurs hôtes.

SanDisk et M-Systems ont créé un mini-environnement avec une sorte de menu de démarrage appelé LaunchPad qui ne fonctionne que sous Windows. Celui-ci permet aux utilisateurs de lancer les applications installées sur la clé et de configurer leur « clé intelligente ». Un site web dédié aux clés U3 permet aux propriétaires d'une de ces clés de télécharger de nouvelles applications portables.

Les clés U3 sont compatibles avec Microsoft Windows Vista à partir de la version 1.4 du LaunchPad.

A bientôt...

Une parade à l'attaque Man In The Middle (ou pas)!

2009-11-14T06:50:00.000-08:00

Pour éviter une attaque de type MITM (Man In The Middle) dans une architecture orientée services, une solution possible est le CBT (Chain Binding Token de Microsoft) appelé aussi "Extended Protection for Authentication".

Cette solution, proposée par Microsoft, fait partie de WCF et apparaît avec le .NET Framework 3.5 et Windows 7.

WCF (Windows Communication Foundation) est un sous-système de communication de Windows Vista. Les applications WCF peuvent être développées en utilisant les différents langages de Microsoft .NET. WCF est l'un des composants majeurs du .NET Framework 3.0, qui est inclus dans Windows Vista et Windows Server 2008.

Le modèle de programmation WCF est une couche d'abstraction qui unifie et simplifie la mécanique d'intégration des services Web (entre autres choses).

Si vous souhaitez mieux comprendre en quoi consiste une attaque du type MITM, vous pouvez consulter l'article du blog suivant "L'attaque MITM démystifiée avec Backtrack 3".

Décrivons le scénario d'attaque suivant avec 3 participants: un client, un serveur et un attaquant.

L'attaquant fait croire au client qu'il accède au serveur alors qu'en fait le client accède à l'attaquant. Puis l'attaquant transmet la requète du client au serveur. Le serveur répond à l'attaquant avec une demande d'authentification HTTP sous la forme d'un header contenant un "WWW-Authenticate". L'attaquant ne dispose pas des informations d'authentification, il va alors transmettre le "WWW-Authenticate" au client. Le client envoie alors à l'attaquant (qu'il prend pour le vrai serveur) la réponse au "WWW-Authenticate" avec un header contenant un "Authentication" (qui est la réponse au "WWW-Authenticate" contenant les informations d'authentification). Puis l'attaquant se contente de transmettre le "Authentication" au serveur. L'attaquant a ainsi accès aux ressources sécurisées du client.

Généralement, quand un client s'authentifie auprès d'un serveur avec une authentification Kerberos ou NTLM en utilisant HTTPS, un canal SSL est établi en premier lieu afin de permettre à la phase d'authentification d'avoir lieu dans de bonnes conditions. Cependant il n'existe pas de lien entre la clef de session générée par SSL et la clef de session générée pendant l'authentification.

Ainsi, dans le scénario précédent, il y a deux canaux SSL distincts: un entre le client et l'attaquant et un entre l'attaquant et le serveur. Les "credentials" du client (généralement le nom d'utilisateur et le mot de passe) sont envoyés vers le serveur en premier lieu au travers du canal SSL entre le client et l'attaquant, puis dans un deuxième temps au travers du canal SSL entre l'attaquant et le serveur. Une fois que les "credentials" sont transmis au serveur, le serveur vérifie les "credentials" sans pouvoir détecter que le canal SSL au travers duquel les "credentials" ont été transmis est celui en provenance de l'attaquant et non pas celui en provenance du client.

La solution consiste à utiliser un canal SSL externe et un canal interne (celui du client authentifié) et à passer un CBT au serveur (Channel Binding Token). Le CBT est une propriété du canal SSL externe, et il est utilisé pour lier le canal SSL externe au canal interne (celui du client authentifié).

Dans le scénario précédent, le CBT du canal "client-attaquant" est combiné avec les informations d' "Authentication" transmises par le client au serveur en réponse au "WWW-Authenticate" (via l'attaquant). Un serveur capable de gérer ce CBT qui correspond au canal SSL "client-attaquant" le compare au CBT attaché au canal "attaquant-serveur". Le CBT est lié à la destination du canal, et donc le CBT "client-attaquant" ne correspond pas au CBT "attaquant-serveur". Le serveur peut ainsi détecter l'attaque MITM et refuser la requète d'authentification.

Le client ne nécessite aucune configuration particulière (à partir du moment où le CBT est implémenté). Une fois que la machine cliente à été mise à jour pour passer le CBT, elle le fait toujours. Si le serveur à lui aussi été mise à jour alors il peut être configuré pour vérifier ou ignorer le CBT. S'il n'a pas été mis à jour alors le serveur ignore toujours le CBT.

N'est-ce pas fantastique!

La vidéo ci-dessous va nous permettre au travers d'un exemple de comprendre comment configurer le CBT entre un client et un serveur.

Il nous reste maintenant à vérifier que cette nouvelle solution ne présente pas de failles. Mais ceci est une autre histoire!

Source: Microsoft MSDN http://msdn.microsoft.com/en-us/library/dd767318.aspx

Cross Site Request Forgery par l'image!

2009-10-10T00:43:00.000-07:00

Cross Site Request Forgery est aussi connu sous l'abbréviation CSRF. Le CSRF exploite un site web pour lequel des commandes non autorisées sont transmises par un utilisateur en qui le site web à confiance.

A la différence du XSS (Cross Site Scripting) qui exploite la confiance d'un utilisateur pour un site web particulier, le CSRF exploite la confiance qu'un site web à dans le browser de l'utilisateur.

Prenons un exemple pour nous permettre de mieux comprendre la mécanique du CSRF.

Bertrand se connecte comme tout les matins sur son site bancaire pour effectuer les opérations nécessaires à son activité professionnelle. Il commence par s'authentifier auprès de sa banque et réalise quelques transferts de fonds. Puis il va consulter ses mails personnels sur son web mail favori en oubliant de fermer la session avec son site bancaire. Il est impatient de recevoir la confirmation de la réservation d'un séjour d'une semaine en Guadeloupe. Il aimerait annoncer la bonne nouvelle à sa famille en rentrant ce soir. Bertrand trouve de nombreux mails dans sa boîte aux lettres, mais pas de confirmation de réservation. Déception!Par contre, un de ces mails non attendus lui propose d'obtenir la liste des salaires de son entreprise (un grand groupe international). Intrigué, il ne résiste pas à la tentation et clique sur l'URL proposée. Il obtient effectivement une liste de salaires mais l'information ne lui semble pas très fiable. Tant pis! Bertrand reprend consciencieusement son travail.

Ce que Bertrand ne sait pas encore c'est qu'en cliquant sur l'URL pour accèder à la liste des salaires, il a ouvert la boîte de Pandore: un script malicieux s'est exécuté pour réaliser un transfert de fonds de son compte bancaire vers un compte tiers.

Ce scénario est bien entendu une fiction et la ficelle semble bien grosse. Mais il permet, me semble t'il, de bien comprendre ce qu'est le CSRF.

La vidéo ci-dessous explique plus en détails les arcanes du CSRF à partir d'un exemple similaire.

Quelques conseils pour essayer d'éviter ce type d'attaque:

Demander des confirmations à l'utilisateur pour les actions critiques au risque d'alourdir l'enchaînement des formulaires. La demande de confirmation peut être basée sur une ré-authentification de l'utilisateur avec la même méthode d'authentification, ou une méthode d'authentification plus forte si l'action requise est critique.
Vérifier l'adresse URL du script appelant (referrer) au risque également d'alourdir le développement des formulaires.
Utiliser des jetons de validité dans les formulaires pour faire en sorte qu'un formulaire posté ne soit accepté que s'il a été produit quelques minutes auparavant : le jeton de validité en sera la preuve. Le jeton de validité doit être transmis en paramètre et vérifié côté serveur.

A bientôt...

Comment détecter les PDFs malveillants?

2009-10-03T01:19:00.000-07:00

Avant de vous présenter comment on peut détecter les PDFs (Portable Document Format) malveillants un bref rappel du format PDF me semble nécessaire.

Un document PDF peut être défini comme un ensemble d’objets qui décrivent comment une ou plusieurs pages peuvent être affichées. Ces objets et autres composants additionnels sont gérés par une combinaison d'opérandes (objets) et opérateurs qui constituent un véritable langage dédié à la description de pages PDF.

Cette description de page se fait en 2 étapes:

l'application génére une description du document en langage PDF indépendante du matériel
un interpréteur assure ensuite le rendu et l'affichage du document à partir de la description précédente.

Tout fichier PDF contient les sections suivantes:

Le « Header » contient la version du fichier PDF.

L’ « Object » racine contient le catalogue qui décrit le contenu du fichier.

Les autres « Object » décrivent le type des données et leur format. Par exemple le type peut être du texte et la police « Helvetica ».

La table « Cross References » contient la liste des objets utilisés et les objets supprimés (ce qui signifie que lorsque vous créez un fichier PDF puis en supprimez une partie, cette partie supprimée n’est plus affichée mais elle est toujours présente dans le fichier PDF et peut donc être récupérée; danger!). La table de référence croisée (alias Cross References) permet d'accéder directement aux objets sans avoir à parcourir tout le code.

Le « Trailer » contient des informations essentielles à la lecture du fichier dont entre autres choses le nombre d'objets contenus dans le fichier et l'offset de la table de référence croisée (alias Cross References). Cette section bien que située à la fin du fichier est la première lue.

Maintenant que les présentations sont faites, nous allons voir comment détecter un PDF contenant un script malveillant.

Une fois de plus nous utilisons le framework «Origami 1.0.0. Beta 0» non pas cette fois pour créer un PDF malveillant mais pour détecter les PDFs malveillants.
Pour cela nous lançons le script Ruby appelé pdfscan.rb situé dans le répertoire «scripts/scan» en ligne de commande et nous obtenons le résultat suivant :

La première chose à remarquer est qu’il y a plusieurs sections dans le résultat de l’analyse:

File ID : permet de se souvenir du fichier analysé

Structure : permet d’avoir une vue rapide sur la structure du PDF (la version, les «object»,…). Chacun de ces éléments permet d'obtenir des indices pour mieux comprendre le résultat

Properties : permet de savoir si le fichier est encrypté (afin de cacher un code malveillant) ou s’il contient des fichiers embarqués (qui peuvent contenir un «malware»)

Triggers : un contenu malicieux est inutile s’il n’est pas utilisé, c’est pourquoi il est intéressant de connaître les moyens de générer des événements.

Actions : même si les actions ne sont pas nécessaires pour exploiter une faille, elles sont à suspecter car la plupart du temps un fichier PDF ne contient pas d’actions dynamiques.

Revenons aux résultats de l’analyse de notre fichier suspicieux! Si le résultat de l’analyse est suspect il apparaît en rouge. Cela signifie que vous devez vous méfier de ce PDF et l’analyser plus en détails.

A bon entendeur...

Sources: « Origami in PDF » (http://www.security-labs.org/origami/), “Blog de l’équipe R&D Essec” (http://esec.fr.sogeti.com/blog) et MISC n°38 (je ne saurais que trop vous recommander de vous y abonner) avec l'article "Les nouveaux malwares de document" d'Alexandre Blonce, Eric Filiol et Laurent Frayssignes.

Patcher vos applicatifs avec Secunia

2009-09-19T03:53:00.000-07:00

Secunia est un fournisseur de services pour la sécurité des ordinateurs permettant de traquer les vulnérabilités de plus de 12.400 logiciels applicatifs et systèmes d'exploitations.

De nombreux ordinateurs possèdent des versions non-patchées des applications les plus populaires. Et les utilisateurs oublient souvent de les mettre à jour. Secunia se charge pour vous de vérifier les versions de vos applications et vous propose les patchs de sécurité lorsqu'ils existent.

Secunia permet de scanner votre ordinateur à partir de leur site web. Mais il propose également un petit logiciel gratuit appelé Secunia PSI à installer sur votre poste client qui fonctionne en tâche de fond et qui scanne periodiquement vos applications vous permettant ainsi d'avoir un statut clair de la sécurité de votre ordinateur. Secunia permet via Secunia PSI de mettre à jour vos applicatifs.

Secunia s'est fait connaître en découvrant des vulnérabilités '"0-day" majeures dans Internet Explorer et de nombreux autres applicatifs.

Source: http://secunia.com/

Du rififi dans le Wifi! Le WPA malmené!

2009-09-12T05:09:00.000-07:00

Depuis le récent article des scientifiques japonais concernant la possibilité de craquer WPA (Wifi Protected Access) en 1 minute (http://blogs.zdnet.com/BTL/?p=23384), je ne sais pas pour vous, mais pour moi, quelques éclaircissements s'imposent!

Un peu d'histoire...

En 2003, Moskowitz a montré une faiblesse de WPA devant une attaque par dictionnaire. Mais cette faiblesse peut être facilement évitée en générant la clef maître à partir d'une chaîne de caractères longue et aléaoire.

En 2008, Beck et Tews ont proposé une attaque pratique sur les implémentations de WPA qui supportent IEEE802.11e QoS (Quality of Services). Cette attaque appelée l'attaque Beck-Tews (c'est original!) permet de récupérer la clef MIC et un texte en clair à partir d'un paquet encrypté court tel qu'un paquet ARP ou DNS. Ces paquets courts de type ARP ou DNS sont intéressants car ils ne nécessitent pas de fragmentation en plusieurs messages et réduisent le temps de calcul. L'objectif de l'attaque Beck-Tews n'est pas d'obtenir le texte en clair mais de retrouver la clef MIC et de l'utiliser pour falsifier un paquet.

En 2009, Ohogashi et Morii (de l'université d'Hiroshima) généralisent l'attaque Beck-Tews à toutes les implémentations de WPA. En appliquant l'attaque Beck-Tews à une attaque MITM (Man In The Middle), ils réduisent le temps d'exécution de l'attaque à 1minute. Pour plus de détails vous pouvez jeter un oeil à l'article de Ohogashi et Morii.

Détaillons un peu le scénario de l'attaque Ohogashi-Morii

Ohogashi et Morii affirment que leur attaque s'applique à toutes les implémentations WPA. La pré-condition pour exécuter l'attaque Beck-tews sur WPA est d'obtenir une trame encryptée dont la valeur de l'IV (Initialization Vector) est plus grande que la valeur courante du compteur TSC (TKIP Sequence Counter). Beck-Tews satisfont cette condition en utilisant les caractéristiques de IEEE802.11e QoS.

Les caractéristiques de IEEE802.11e QoS autorisent 8 canaux différents pour des flots de données différents, et dans ce cas chaque canal à un compteur TSC indépendant. Supposons qu'un attaquant à récupéré un paquet encrypté avec un IV = 15 pour le canal 0. Alors l'attaquant ne peut pas réaliser son attaque sur le canal 0 car le compteur TSC a été mis à jour avec la valeur 15. Cependant ce même attaquant peut exécuter son attaque sur un autre canal, si le compteur TSC de ce canal est inférieur à 15.

Dans l'attaque Ohogashi-Morii, les auteurs utilisent l'attaque MITM pour d'obtenir une trame encryptée dont la valeur de l'IV est plus grande que la valeur courante du compteur TSC. L'attaquant intercepte les trames encryptées du destinataire (Access Point /client). Ainsi une trame encryptée dont la valeur de l'IV est plus grande que la valeur courante du compteur TSC peut être obtenue puisque le paquet capturé n'a pas atteint le destinataire.

L'attaquant se place entre le client et l'AP en utilisant une antenne directionnelle ou une plus forte puissance de transmission. Pour établir le MITM entre le client et l'AP (Access point), l'attaquant transmet des "Beacons" et des "Probe Responses" sur un canal différent et utilisant le même SSID que l'AP légitime.

L'attaquant doit ensuite obtenir la clef MIC pour générer et injecter des trames modifiées.

Quelques détails techniques...

WPA s'appuie sur des mécanismes de confidentialité basés sur TKIP ou CCMP, et sur deux mécanismes d'authentification: EAP pour le marché entreprise et hotspot, et PSK (Pre-Shared Key) pour le marché résidentiel (clef partagée entre tous les utilisateurs et les APs).

Le standard 802.1x est une solution de sécurisation, mise au point par l'IEEE, permettant d'authentifier un utilisateur souhaitant accéder à un réseau (filaire ou non) grâce à un serveur d'authentification. Le standard 802.1x repose sur le protocole EAP (Extensible Authentication Protocol), défini par l'IETF, dont le rôle est de transporter les informations d'authentification des utilisateurs.

Le tableau ci-dessous résume les différentes méthodes EAP (Extensible Authentication Protocol):

Le tableau ci-dessous décrit les méthodes d'encryption utilisées par les WLAN en 802.11:

TKIP signifie Temporary Key Integrity Protocol. Il utilise un message de vérification d'intégrité appelé "Michael" alias "Mike". Comme WEP, TKIP utilise l'algorithme d'encryption RC4.

Avec un mécanisme de confidentialité basé sur TKIP, un clef maître (PMK) est partagée entre le point d'accès (AP) et le client. Soit la clef maître est partagée en suivant le modèle du WEP comme dans le modèle WPA-Personal du tableau ci-dessus, soit la clef maître est dérivée dans le contexte de l'authentification EAP (avec un serveur d'authentification 802.1x) comme dans le modèle WPA-Entreprise du tableau ci-dessus.

En d'autres termes, le standard fournit 2 méthodes de distributions des PMKs. Quand un serveur d'authentification 802.1x est utilisé, la PMK est dérivée lorsqu'un client s'authentifie sur le serveur. Pour les réseaux qui ne supportent pas 802.1x, une clef partagée appelée PSK (Pre-Shared Key) est "distribuée" à tous les clients et les APs. Cette PSK est la PMK.

La PMK permet de générer la clef MIC (64 bits) et une clef d'encryption (128 bits). Un MIC (Message Integrity Check) est généré à partir de la clef MIC et d'une donnée; ce MIC est utilisé pour détecter la falsification du message (i.e. son intégrité). La clef d'encryption permet d'encrypter et de décrypter les paquets.

CCMP signifie CTR (Counter mode) with CBC-MAC (Cipher Block Chaining Message Authentication Code) Protocol. CTR est un attribut de la méthode d'encryption. CBC-MAC est utilisé pour l'intégrité des messages et l'authentification. CCMP utilise l'algorithme d'encryption AES (Advanced Encryption Standard).

TKIP et CCMP utilisent une clef maître séparée appelée PMK (Pair-wise Master Key) pour chaque couple de noeuds e.g. un client et un AP ou deux clients. La clef maître est utilisée pour dériver d'autres clefs qui sont utilisées pour encrypter/décrypter le trafic entre le couple de noeuds. Cette approche permet de moins exposer la clef maître.

L'association entre 2 noeuds du réseau est créée par l'échange de 4 paquets appelés "4 way handshake". Pendant cette transaction les noeuds dérivent la PTK (Pair-wise Transient Key) qui est ensuite partitionnée pour produire les autres clefs qui seront utilisés pour l'encryption et l'intégrité. La PTK est dérivée à partir de la PMK et de valeurs aléatoires fournit par le client (SNonce) et l'AP (ANonce).

Quand TKIP ou CCMP sont utilisés, le traffic "broadcast" et "multicast" est encrypté en utilisant une clef de groupe. La clef de groupe appelé GTK (Group Temporal Key) est distribuée pendant le "4 way handshake".

Le tableau ci-dessous compare WEP, TKIP et CCMP:

Si nous devions conclure...

Les attaques Beck-Tews et Ohogashi-Morii se basent sur le mécanisme de confidentialité TKIP. Pour plus de sécurité il est donc conseillé d'utiliser le mécanisme de confidentialité CCMP. Mais pour cela le matériel doit implémenter AES.

On remarque cependant qu'un IDS (Intrusion Detection System) convenablement configuré peut détecter la tentative de MITM nécessaire à la réalisation de l'attaque.

A bientôt...

Source: "Analysis of MITM based TKIP attack described in paper titled - "A Practical Message Falsification Attack on WPA" by Robbie Gill et le cours de Laurent Butti sur la sécurité des réseaux (France Telecom).

Forger des PDFs malveillants avec Origami

2009-09-05T00:29:00.000-07:00

Dans cet article nous allons voir comment créer des PDFs malveillants en utilisant Origami. Origami est un ensemble d'outils en Ruby permettant d'analyser et de forger des documents PDF.

La vidéo ci-dessous décrit succintement comment utiliser Origami pour forger un PDF malveillant.

Vous pouvez télécharger ci-après 2 exemples de PDFs malveillants:

PDF contenant l'exécution de code Javascript et lancement du browser

PDF contenant le lancement de l'application "calc.exe"

D'une manière générale pour éviter d'avoir des applicatifs présentant des failles de sécurité, vous devez posséder un outil comme Secunia permettant de détecter les mises à jour de sécurité disponibles pour les applicatifs installés sur votre machine.

Dans un prochain article nous verrons comment, avec Origami, il est possible d'analyser les fichiers PDF afin d'y découvrir d'éventuels dangers. Mais c'est une autre histoire...!

Source: http://security-labs.org/origami/ de Guillaume Delugré & Fred Raynal. Merci également à Laurent Butti.

Comment gérer les applications des clefs USB sur votre bureau?

2009-07-19T04:09:00.000-07:00

English version

Cet article vous présente un petit outil gratuit appelé "USB Grabber" développé par Prox-IA.

Cet outil permet de faire apparaître sur le bureau de votre ordinateur les raccourcis de vos applications préférées se trouvant sur vos clefs USB. Lors de l'insertion d'une clef USB, "USB Grabber" crée un raccourci sur le bureau pour les applications que vous aurez configurées. "USB Grabber" permet également d'exécuter automatiquement cette application si vous le souhaitez. Il permet aussi de créer un raccourci vers n'importe quel autre type de fichier (.ppt, .pdf, .doc,...).

Lors du retrait de la clef USB, "USB Grabber" se charge d'enlever du bureau les raccourcis des applications se trouvant sur la clef USB retirée.

Cette outil a été developpé afin de faciliter l'accès aux applications "portables" des clefs USB dans des environnements où les "autorun" sont désactivés ou avec Windows 7 qui fait disparaître la fonctionnalité d' "autorun" (cf l'article du blog sur le sujet "Plus d'Autorun dans Windows 7...!").

"USB Grabber" a actuellement été testé sur Windows XP SP2, SP3 et Windows 7. Vos commentaires, remarques, suggestions pour améliorer cet outil sont les bienvenus. "USB Grabber" est actuellement en version anglaise. Si vous souhaitez une version dans une autre langue vous pouvez nous en faire part.

Pour installer "USB Grabber" vous pouvez télécharger le programme ICI. Puis vous pouvez extraire le contenu du fichier "rar" dans le répertoire de votre choix. Et enfin si vous le souhaitez vous pouvez créer un raccourci sur votre bureau pour "USB Grabber.exe" et configurer votre ordinateur pour lancer "USB Grabber" lors du "boot".

La première étape de l'utilisation de "USB Grabber" consiste à saisir un mot de passe de 8 caractères qui permet de protéger "USB Grabber" et ses données.

Pour des raisons de sécurité, le mot de passe est demandé au lancement de "USB Grabber" et lors de l'ajout, la suppression et la modification d'une application dans "USB Grabber".

Vous trouverez plus d'informations sur les applications que l'on peut installer sur une clef USB sur le site http://portableapps.com/

PDF: attention danger!

2009-07-14T03:39:00.000-07:00

Régulièrement nous recevons des "PDF" par mails ou nous les téléchargeons sur internet. Puis nous les ouvrons en toute confiance sans penser que la menace peut venir d'un tel fichier.

Et bien nous avons tort. La menace est aussi présente dans les "PDF". Adobe Reader et Adobe Acrobat sont actuellement sous les feux de la rampe mais bien entendu ce ne sont pas les seules applications à présenter des vulnérabilités.

Nous allons cependant nous intéresser aux "PDF" dans le cadre de cet article.

Le scénario est le suivant. Notre cible télécharge un "PDF" sur internet et l'ouvre. En l'ouvrant un canal est établi entre la cible et le pirate. Et le pirate dispose alors d'un accès à la cible grâce auquel il peut réaliser ce qu'il souhaite.

La vulnérabilité utilisée dans cette session a été découverte en Avril 2008 par Secunia Research (Référence CVE: CVE-2008-2992). Elle est causée par une mauvause gestion des limites dans la vérification des chaînes de caractères de la fonction javascript "util.printf()". Cette vulnérabilité peut être exploitée pour causer un débordement de la pile via un PDF spécialement conçu.

C'est ce que nous allons voir dans la vidéo ci-dessous:

C'est pour toutes ces raisons que je ne saurais trop vous conseiller de mettre à jour, non seulement votre OS avec les patchs fournis, mais également vos applicatifs comme Adobe Reader et les autres. Mettre à jour vos applicatifs, c'est intégrer les corrections des dernières failles de sécurité.

Vous trouverez un outil intéressant sur le site http://secunia.com/ pour vous tenir au courant des patchs de vos applicatifs (Secunia propose un outil à installer sur votre ordinateur pour scanner les applications installées et vous prévenir des mises à jour éventuelles).

A bon entendeur...!

Quand Metasploit joue au Keylogger!

2009-07-05T06:54:00.000-07:00

Au travers de cet article nous allons découvrir que Metasploit permet aussi de faire du keylogging à distance.

L'attaque se passe en trois temps. La première étape consiste à exploiter une faille présente sur la machine cible (dans notre cas un Windows XP SP2). La faille choisit est la faille MS08-067.
La deuxième étape consiste à injecter la dll qui nous permettra de faire du keylogging sur le poste cible. La dernière étape consiste à exploiter cette faille en associant le keylooging aux processus qui fonctionnent sur la machine cible et que l'on veut surveiller. Dans le cadre de la vidéo nous associons notre keylogger aux processus "explorer.exe" et "winlogon.exe".

Afin de décrire en quoi consiste la faille MS08-067, vous trouverez ci-après un extrait du bulletin de sécurité Microsoft MS08-067 paru le 23 octobre 2008:

"Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service Serveur. La vulnérabilité pourrait permettre l'exécution de code à distance si un système affecté recevait une requête RPC spécialement conçue. Sur les systèmes Windows 2000, Windows XP et Windows Server 2003, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sans nécessiter d'authentification. Il serait possible d'utiliser cette vulnérabilité dans la création d'un ver. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les ressources réseau contre les attaques lancées depuis l’extérieur de l’entreprise.

Il s'agit d'une mise à jour de sécurité de niveau « critique » pour toutes les éditions prises en charge de Windows 2000, Windows XP, Windows Server 2003 et de niveau « important » pour toutes les éditions prises en charge de Windows Vista et Windows Server 2008."

Pour information les bulletins de sécurité de Microsoft peuvent être consultés à l'adresse suivante: http://www.microsoft.com/france/technet/security/bulletin/default.mspx

Sur ce site vous avez la possibilité de vous abonner aux newsletters et alertes Sécurité Microsoft.

Pour ceux qui ne sont pas familier avec les processus de Windows, l'explorateur Windows ("explorer.exe") est l'application utilisée dans le système d'exploitation Windows pour l'affichage, l'exploration et l'utilisation des fichiers et répertoires.

Quant à "winlogon.exe", c'est un composant de Windows qui gère l'ouverture et la fermeture de session, et le "Ctrl-Alt-Delete".
En particulier, il charge le profil d'un utilisateur après qu'il se soit authentifié, et il gère l'écran de veille.

Vous trouverez ci-dessous la vidéo de l'exploit:

D'une manière générale pour éviter d'être la cible de ce type d'attaque vous devez avoir un pare-feu personnel mis à jour.

Bien entendu votre pare-feu peut lui même être la cible d'attaque afin de vous laisser croire qu'il contrôle la situation alors qu'il a été désactivé. Mais ceci est une autre histoire...!

Keyloggers et screenloggers

2009-06-29T07:10:00.000-07:00

On nous parle souvent des keyloggers et des screenloggers qui permettent pour les premiers, de récupérer les informations saisies par l'utilisateur au travers de son clavier ou pour les seconds, de faire des copies de l'écran de l'utilisateur à intervalles de temps réguliers.

L'objectif de cette article est de se faire une idée concrète de cette menace pour mieux la comprendre et adopter les bonnes contre-mesures.

Bien entendu il existe de nombreux outils de ce type, mais il a fallu faire un choix et comme vous le savez "Choisir c'est renoncer...!".

Nous avons testé pour vous Ghost Keylogger 3.40 et Spector Pro 5. Parmi ces deux outils, seul Spector semble être un vrai produit avec une existence légale au travers de la société SpectorSoft (http://www.spectorsoft.com/)

Vous trouverez ci-dessous la vidéo des tests.

Dans un prochain article nous verrons comment, avec Metasploit, il est possible de récupérer "à distance" les informations saisies par l'utilisateur sur son clavier. Mais c'est une autre histoire...!

Source : SpectorSoft (http://www.spectorsoft.com/) & Matthias que je remercie

"USB Dumper", l'aspirateur des clefs USB...!

2009-06-05T09:11:00.000-07:00

On pourrait croire que l'arrivée de Windows 7 faît définitivement disparaître la menace des clefs USB. Mais ce n'est malheureusement pas le cas! Windows 7 protége l'ordinateur d'une clef USB malveillante mais qui protège une clef USB d'un ordinateur malveillant?

C'est pourquoi nous avons ressorti des placards le vieil "USB Dumper" dont l'efficacité légendaire reste la même. L'USB Dumper lancé sur un ordinateur permet d'aspirer toutes les données d'une clef USB qui se connecte à cet ordinateur à l 'insu du propriétaire de la clef USB.

La plupart des outils (malware) permettant de simuler des attaques sun un poste client sont aujourd'hui reconnues par les bons anti-virus.

Mais si vous disposez du code source vous pouvez alors recompiler le malware en le modifiant légérement et la nouvelle signature de votre malware ne sera plus reconnue par la plupart des antivirus.

C'est le cas de l'USB Dumper pour lequel vous pouvez télécharger le code et l'exécutable ICI.

La vidéo ci-dessous vous montre la marche à suivre.

Source: Bruce Schneier & Eric Detoisien

Quelques statistiques pour mieux comprendre le contexte de la sécurité !

2009-06-04T06:55:00.000-07:00

Vous trouverez ci-dessous quelques statistiques qui donnent un éclairage édifiant sur des failles que l'on considère souvent à tort comme obsolètes.

Dans le graphe ci-dessous on observe la part des vulnérabilités qui affectent les applications web comparé au volume globale des vulnérabilités. On constate que la part prise par les vulnérabilités des applications web est en augmentation.

Parmi ces vulnérabilités des applications web on trouve l'injection SQL dont le but est d'injecter un contenu malicieux dans le site web pour attaquer les visiteurs.

On trouve également le XSS parmi ces vulnérabilités. Le nombre de vulnérabilités de type XSS reporté en 2008 est de 12.885 (en 2007 on avait reporté 17.697 vulnérabilités). La raison de cette baisse est que de nombreuses vulnérabilités de type XSS ont été corrigées en 2007. Malgré tout les failles XSS reste une des préoccupations majeures des administrateurs de site web.

Les failles sont également très présentes sur les postes des utilisateurs (au travers des browsers par exemple).

En 2008, 99 vulnérabilités ont affectés Mozilla (40 sont considérés comme peu sévère et 59 comme étant moyennement sévère). En 2007, 122 vulnérabilités avaient été documentées pour Mozilla.
En 2008, 47 vulnérabilités ont affectés Internet Explorer (16 sont considérés comme peu sévère et 31 comme étant moyennement sévère). En 2007, 57 vulnérabilités avaient été documentées pour Internet Explorer.

On constate que les browsers restent une cible attractive pour les attaquants (ainsi que les plug-ins des browsers). On observe une augmentation en 2008 du nombre de vulnérabilités autour des plug-ins Java (on passe de 4% en 2007 à 11% en 2008), et Adobe (on passe de 1% en 2007 à 4% en 2008)

On observe une confirmation de la tendance qui consiste à privilégier l'attaque du côté du poste du client.
En 2008, 7% des attaques utilisaient des vulnérabilités du côté du serveur. En 2007, 5% des attaques se basent sur des vulnérabilités côté serveur.

Il faut noter que le volume correspondant au "Top 50" des malwares en 2008 est plus du double du volume de 2007.
Il faut également noter qu'une diminution du pourcentage d'un malware d'une année sur l'autre n'indique pas forcément un déclin de ce malware.

Il est bon de redonner quelques définitions:

Trojan ou cheval de troie: un cheval de Troie est un malware qui permet de réaliser une fonction non souhaitée par l'utilisateur comme par exemple faciliter un accès non autorisé à l'ordinateur de l'utilisateur. A la différence des ver et des virus il ne se réplique généralement pas. Habituellement il requière une intervention du hacker pour réaliser leur fonction.
Worm ou ver: un ver est un programme qui peut se copier lui-même et infecter un ordinateur. Le ver peut se répandre d'un ordinateur vers un autre. A la différence du virus qui est nécessite un support, le ver est totalement autonome.
Virus: un virus est un programme qui peut se copier lui-même et infecter un ordinateur. Le virus peut se répandre d'un ordinateur vers un autre. A la différence du ver qui est totalement autonome le virus a besoin d'un support (un fichier, une application,..) pour se propager.
Back-door ou porte dérobée: une porte dérobée est un malware qui permet de contourner l'authentification normale qui sécurise l'accès "remote" à un ordinateur. La porte dérobée peut être un programme à part entière ou une modification d'un programme existant.

Source: Symantec (Avril 2009)

Et pourtant ce n'est pas nouveau le Google Hacking !

2009-05-13T16:09:00.000-07:00

Connaissez-vous Johnny? Pas le chanteur mais celui de IHS (I HACK STUFF). Eh bien ce Johnny là, depuis maintenant plusieurs années, recense les "googledorks"; vous savez ces personnes qui laissent sur internet des informations qui ne devraient pas s'y trouver.

Grâce à lui vous êtes au centre de l'univers du Google Hacking i.e. comment utiliser la syntaxe avancée de Google pour retrouver des informations confidentielles.

Pour le plaisir nous allons de nos propres yeux voir quel type d'informations on peut récupérer encore aujourd'hui sur internet grâce au Google Hacking.
Plus précisément nous allons rechercher les URLs contenant les paramètres "passwd" et "login" en espèrant y trouver également les valeurs associées.

Vous trouverez ICI la vidéo de notre petite ballade dans le monde du Google Hacking.

Vous trouverez la liste des "googledorks" à l'adresse suivante: http://johnny.ihackstuff.com/ghdb/

Je vous laisse conclure...

Plus d'AutoRun dans Windows 7...!

2009-05-13T05:45:00.000-07:00

Devant l'augmentation des menaces liées à la fonctionnalité AutoRun, Microsoft a décidé de réagir par la suppression de la fonctionnalité AutoRun à partir de Windows 7 disponible en fin d'année.

Avant de détailler les changements de Windows 7 il est important de comprendre la différence entre l'AutoRun et l'AutoPlay:

L'AutoRun est une technologie utilisée pour démarrer des programmes automatiquement quand un CD ou un autre média est inséré dans l'ordinateur. L'objectif principal de l'AutoRun est de fournir une réponse logicielle à une action matérielle qu'un utilisateur déclenche sur un ordinateur.

L'AutoPlay est une fonctionnalité Windows qui permet à l'utilisateur de séléctionner quel programme démarrer quand un type spécifique de média est inséré e.g. CD ou DVD. Pendant l'AutoPlay le fichier Autorun.inf est aussi parcouru. Ce fichier (s'il est disponible) spécifie quelles commandes additionnelles seront affichées dans le menu de l'AutoPlay. De nombreux fournisseurs de logiciels utilisent cette fonctionnalité pour démarrer l'installation de leur logiciel.

Ceci étant dit, quels sont les changements apportés dans Windows 7?

Premier changement: l'AutoPlay ne supporte plus la fonctionnalité AutoRun. En d'autres termes, l'AutoPlay continuera à fonctionner pour les CD/DVDs mais il ne fonctionnera plus pour les clefs USB. Les images ci-dessous montre le changement: avec Windows 7, l'AutoPlay est sécurisé.

Avant le changement:

Après le changement:

Deuxième changement: la boîte de dialogue fait apparaître explicitement que le programme que l'on souhaite exécuter se trouve sur la clef USB.

Avant le changement:

Après le changement:

Ce changement devrait aussi être disponible sous Windows Vista et Windows XP.

Source: Microsoft

Bien qu'ancienne la faille de l'AutoRun reste d'actualité...!

2009-05-04T15:29:00.000-07:00

On me fait parfois la remarque suivante: "L'utilisation de l'AutoRun sur une clef USB n'est pas nouveau, regardez Conficker!". Cette remarque est juste mais l'utilisation de cette faille fait toujours de nombreux ravages.
Vous trouverez ci-dessous quelques statistiques confirmant l'actualité de la menace.

La WLO (WildList Organization) produit chaque mois la liste des virus confirmés se répandant parmi les utilisateurs. Leur compte des virus identifiés comme étant des Worm:Win32/AutoRun montre une augmentation significative.

Le tableau ci-dessous montre le nombre de virus identifiés comme étant également des Worm:Win32/AutoRun dans les laboratoires de Microsoft. On constate un nombre considérable de virus de ce type à partir de 2008.

Le graphe ci-dessous nous montre l'augmentation de la détection par Microsoft des infections répandues via l'AutoRun.

On constate une augmentation très sensible en 2008 et une présence toujours très importante début 2009.

Source: Microsoft

Cracker un mot de passe avec Cain & Abel

2009-05-02T00:47:00.000-07:00

Pour faire suite à l'article sur les clefs USB, imaginons que nous avons récupéré en suivant la méthode décrite dans l'article "La clef USB: le maillon faible?" du 02/04/2009 les fichiers suivants sur la machine de la victime

C:\WINDOWS\repair\system
C:\WINDOWS\repair\sam

A quoi servent ces fichiers?

Eh bien le fichier "sam" contient les noms d'utilisateurs et les mots de passe utilisés sur la machine (utilisateurs locaux). Mais le fichier "sam" est encrypté en utilisant une clef appelé SYSKEY que l'on retrouve par l'intermédiaire du fichier "system". Avec ces deux fichiers et l'outil approprié nous avons la possibilité de retrouver le nom et le mot de passe de la machine "cible".

Vous trouverez plus d'informations sur le rôle de ces fichiers à l'adresse suivante: http://en.wikipedia.org/wiki/Security_Accounts_Manager.

Cain & Abel: une autre vision de l'ancien testament!

L'objectif de cet article est de décrire l'utilisation de Cain & Abel pour retrouver le nom et le mot de passe de l'utilisateur.
L'outil peut être téléchargé à l'adresse suivante: http://www.oxid.it/cain.html .

L'utilisation de Cain & Abel permet de réaliser une attaque "brute-force" pour trouver le mot de passe. On note immédiatement que plus le mot de passe est complexe et plus le temps nécessaire à Cain & Abel pour retrouver le mot de passe sera important.

Action

Afin de limiter dans le temps la recherche du mot de passe, nous avons réduit l'ensemble des caractères utilisés pour l'attaque "brute force" aux minuscules et non avons fixé la longueur du mot de passe à 7 (ce qui correspond à la longueur du mot de passe que nous recherchons). Bien entendu ces contraintes permettent uniquement de limiter le temps de recherche qui peut être très (voir trop) élévé pour des mots de passe complexes.

Comme toujours vous trouverez la vidéo décrivant l'utilisation de Cain & Abel ICI.

En conclusion

On comprend alors mieux l'intérêt d'avoir des mots de passe qui suivent les règles de base suivantes:

supérieur ou égal à 8 caractères
incluant des chiffres
incluant des lettres minuscules et majuscules
incluant des caractères spéciaux

A bon entendeur...