review "Hacking: The Next Generation"

1. Chapter 1 Intelligence Gathering: Peering Through the Windows to Your Organization

   1. Physical Security Engineering

   2. Google Earth

   3. Social Engineering Call Centers

   4. Search Engine Hacking

   5. Leveraging Social Networks

   6. Tracking Employees

   7. What Information Is Important?

   8. Summary

2. Chapter 2 Inside-Out Attacks: The Attacker Is the Insider

   1. Man on the Inside

   2. Cross-Site Scripting (XSS)

   3. Cross-Site Request Forgery (CSRF)

   4. Content Ownership

   5. Advanced Content Ownership Using GIFARs

   6. Stealing Files from the Filesystem

   7. Summary

3. Chapter 3 The Way It Works: There Is No Patch

   1. Exploiting Telnet and FTP

   2. Abusing SMTP

   3. Abusing ARP

   4. Summary

4. Chapter 4 Blended Threats: When Applications Exploit Each Other

   1. Application Protocol Handlers

   2. Blended Attacks

   3. Finding Blended Threats

   4. Summary

5. Chapter 5 Cloud Insecurity: Sharing the Cloud with Your Enemy

   1. What Changes in the Cloud

   2. Attacks Against the Cloud

   3. Summary

6. Chapter 6 Abusing Mobile Devices: Targeting Your Mobile Workforce

   1. Targeting Your Mobile Workforce

   2. Summary

7. Chapter 7 Infiltrating the Phishing Underground: Learning from Online Criminals?

   1. The Fresh Phish Is in the Tank

   2. Examining the Phishers

   3. The Loot

   4. Infiltrating the Underground

   5. Summary

8. Chapter 8 Influencing Your Victims: Do What We Tell You, Please

   1. The Calendar Is a Gold Mine

   2. Social Identities

   3. Hacking the Psyche

   4. Summary

9. Chapter 9 Hacking Executives: Can Your CEO Spot a Targeted Attack?

   1. Fully Targeted Attacks Versus Opportunistic Attacks

   2. Motives

   3. Information Gathering

   4. Attack Scenarios

   5. Summary

10. Chapter 10 Case Studies: Different Perspectives

    1. The Disgruntled Employee

    2. The Silver Bullet

    3. Summary

J'ai lu une partie de ce bouquin (pas tout ne m'intéressait dans son contenu). Ce n'est pas du très haut niveau, mais ce qui est décrit dans ce livre s'applique finalement aussi bien pour des entreprises, que pour des particuliers (après tout, le social engineering a toujours très bien fonctionné).
Quand je dis que ce n'est pas du très haut niveau, j'entends par là au niveau technique. De toutes façons, dans une majorité de cas, pour réussir un pentest, il n'y a pas besoin de savoir faire du ret-into-libc (oui bon ok il y a largement mieux que ça, elle est vieille la blague (sortie des tréfonds d'IRC il y a longtemps), moi aussi) tous les matins au petit déjeuner.
Quelques études de cas sont données à la fin, pour la mise en application de la plupart des "techniques" décrites dans le bouquin, afin d'expliquer en gros comment le gros vilain hacker fait pour nuire. Ce n'est pas encore comparable à la série de bouquins "stealing the network", mais ça reste très intéressant.
Ce livre n'est pas un "must", mais chacun y trouvera son intérêt.

L'attaque de la femme de ménage malveillante

"Evil Maid", c'est le nom d'une petite backdoor de l'équipe d'Invisible Things Labs, qui permet de récupérer le mot de passe d'un système dont le disque dur a été entièrement chiffré à l'aide de TrueCrypt.
Je ne vais pas revenir sur la manière de l'employer, Joanna l'explique sur son blog. Pour le fonctionnement, je vous renvoie au code source qui est simplissime.
Alors vous aussi, comme moi, vous vous dites qu'il suffit de protéger par un mot de passe l'accès au BIOS et au menu de boot afin d'empêcher une personne non autorisée à booter depuis l'USB, mais en réalité, rien n'empêche la personne souhaitant infecter le système de retirer le disque dur, le brancher sur un autre ordinateur et l'infecter depuis ce dernier. Mais cela fait pas mal de contraintes.

Q: I've disabled boot from USB in BIOS and my BIOS is password protected, am I protected against EM?
No. Taking out your HDD, hooking it up to a USB enclosure case and later installing it back to your laptop increases the attack time by some 5-15 minutes at most. A maid has to carry her own laptop to do this though.

Mais le tout étant stocké (pour le moment) sur le disque, il me semble suffisament facile de détecter cette backdoor et ses cochonneries laissées sur le disque. Plus tard, cela pourra être envoyé via le réseau (mais ça pourra être détecté par un gros parano [mais pas suffisament parano pour se faire infecter])

Pour sa version actuelle (qui n'est qu'un proof of concept), un moyen de feinter cette backdoor si on soupçonne sa présence, c'est de donner une mauvaise passphrase juste avant de partir en laissant son PC sans surveillance, dans la mesure où elle ne sauvegarde que la dernière passphrase saisie, partant du principe qu'elle est correcte:

The current implementation of Evil Maid always stores the last passphrase entered, assuming this is the correct one, in case the user entered the passphrase incorrectly at earlier attempts.

Mais bon, c'est juste la méthode du pauvre pour le moment, (jusqu'à ce qu'un workaround soit trouvé) et ça n'empêche personne de venir infecter la machine. Il faut soit ne pas laisser son PC sans surveillance, soit l'enfermer dans un coffre fort ou une malette protégée, l'un ou l'autre devant être inviolable.
Voilà j'ai du éclater mon quota de conneries pour la semaine dans ce post. Fort heureusement c'est le week-end dans quelques heures. Je vais retourner à mon écoute du tout dernier album de Rammstein qui vient de sortir. J'aurais peut-être mieux fait d'écrire une review de cet album, au lieu de disserter sur "Evil Maid" :-)

Musée des Arts&Métiers

Ce week-end j'ai visité le Musée des Arts et Métiers (station Arts et Métiers). Au cours de la visite, je suis tombé nez à nez avec un Cray 2:

J'avais déjà vu un spécimen similaire quelques mois auparavant au Musée de l'Informatique, en haut de l'arche de la défense.

Ce qui est épatant, c'est sa puissance pour l'époque: 243MHz en 1985. Le grand public n'aura accès à une telle fréquence qu'une douzaine d'années plus tard avec le Pentium II. Bien sûr, tout n'est pas comparable quant à l'architecture d'un Cray et d'un ordinateur de bureau.
Autre star, un des "Avions" de Clément Ader, pionier de l'aviation:

Bien évidemment, je suis passé devant le "Fardier" de Cugnot, premier véhicule automobile de l'histoire (la qualité d'image est à chier...)

Le "clou" de la visite était bien évidemment le Pendule de Foucault, qui était bien sûr l'objet de ma visite (étant en pleine lecture du Pendule de Foucault, d'Umberto Eco) qui se trouve juste au niveau de la fin du parcours.
En somme, un excellent musée, à visiter lorsque cela n'a pas déjà été fait.

Sinon, hier, je me suis rendu par curiosité à la Journée de la Sécurité Intérieure, j'ai pu apercevoir le Kärcher de la Police!

Viva HADOPI

Edit: Mars 2013
J'avais oublié cet article ! Il semblerait qu'utiliser StreamRipper sur une webradio soit "légal" (ou du moins, toléré, au même titre que l'enregistrement sur k7 audio à la radio, ou k7 vidéo à la télé/magnétoscope, à partir du moment où c'est pour un usage dans le cercle familial)


Non, je ne suis clairement pas un fan d'HADOPI. Loin de là en fait. Je ne vais pas troller sur cette "haute autorité". En réalité je me posais juste la question suivante:
- hadopi: quid des web-radios légales ?
Par web-radio légale, j'entends "webradio qui a payé sa taxe à la sacem pour avoir le droit de streamer de la musique" (via shoutcast par exemple). Je sais, c'est un très gros racourci, mais en ce moment j'en prends beaucoup. Un exemple de webradio légale à mes yeux: Frequence3 (Qui au passage propose un stream spécial années 90, que j'écoute volontiers pour me replonger dans mes jeunes années :p)

Pour ne pas toujours écouter la même chose au niveau musical, j'écoute parfois des webradios, comme "GothMetal dot net" (chacun ses gouts, comme on disait dans le bon vieux temps). Lorsqu'un morceau me plait, je fonce [l'acheter/le télécharger] (rayez la mention inutile). Malheureusement, il arrive que certains morceaux, ou groupes, ne soient tout simplement pas trouvables. Comment faire pour faire écouter à mes oreilles, une nouvelle fois, cette douce mélodie qui les a bercées le temps d'une chanson ? (rigolez pas, je n'écoute pas que des trucs enregistrés dans une cave ou un garage hein :))
* Vous me direz, une possibilité est de contacter l'artiste et lui demander un album dédicacé (surtout si le chanteur est en fait une chanteuse, bien sûr, histoire d'avoir une photo à accrocher dans le salon). Mais ça n'est pas toujours possible, même si ça reste à mon sens un très bon moyen.
* L'autre possibilité est d'enregistrer le flux de la webradio. Alors on m'a parlé (vive IRC pour ça) de StreamRipper tout à l'heure. Cet outil est vraiment démentiel, il est ultra simpliste d'utilisation, et remplit parfaitement son rôle.

Cela nous mène donc à ma question: est-ce qu'enregistrer des mp3 de cette manière est illégal ? Il y a quelques années, l'équivalent de cette méthode revenait à enregistrer sur cassette ce qui passait à la radio.
Le flux streamé est légal (autant que peuvent l'être NRJ, Fun Radio ou les autres), est-ce-que les mp3 produits par streamripper le seront eux aussi ? S'ils ne le sont pas, comment la HADOPI compte-t'elle s'y prendre pour remettre ces violeurs du droit d'auteur dans le droit chemin ?

phishing / botnet ... allez savoir

L'actualité sécurité de ces derniers temps a été assez peu fournie, mis à part la faille dans SMBv2 dont il a été largement question sur des tonnes et des tonnes de blogs, et un début de troll/réflection sur la définition d'exploit public, et l'impact que tout cela a sur des sites comme OSVDB et la gestion du risque[1] (et ça a encore continué cette nuit sur la mailing list Daily Dave, et je n'ai pas encore lu tout ça). Comme je le disais, des tas de sites et de gens plus concernés que je ne le suis en ont déjà parlé, m'y mettre à mon tour n'apprendrait rien du tout au lecteur que vous-êtes, et ne ferait qu'augmenter la probabilité (déjà suffisament haute) que je dise une connerie :-)

Alors je pensais me rabattre sur un truc plus récent, à savoir la mise à disposition (qui a parlé de "fuite" ? :)) d'énormes quantités d'identifiants, avec leurs mots de passe, tout d'abord de Microsoft Live (live, hotmail, msn, je ne sais même plus comment ça doit s'appeller ce truc là), puis ensuite google, yahoo, ...
News0ft nous a proposé sa vision des conséquences que l'on peut tirer vis à vis de ce que l'on peut constater à la vue de tous ces mots de passe. Des sites d'information généralistes ont juste proposé une analyse des mots de passe. Ce que l'on peut retenir de cet incident, c'est que tant que les gens utiliseront des mots de passe aussi triviaux que "12345" ou "love", la situation en terme de sécurité n'évoluera pas, du moins, pas dans le bon sens. Finalement, "Hackers" (le film de 95 avec Angelina Jolie) c'est pas si débile que ça :) (je pense aux scènes où le guru hacker dit que tout ce qu'il y a à savoir, c'est que les mots de passe les plus utilisés sont "love", "sex", "secret" et "god")

Officiellement, tous ces credentials ont été obtenus via une "massive campagne de phishing" (vous savez, le truc où on vous envoie un mail disant que pour une raison de sécurité vous devez confirmer votre mot de passe, ou votre numéro de carte de crédit et qui en fait est hébergé sur un site dans un pays assez lointain). J'ai lu quelque part qu'un chercheur en sécurité doute fortement de cette hypothèse et pense qu'il s'agit plutôt d'un botnet qui aurait récolté tous ces identifiants. Voici ses arguments:

Landesman based her speculation on an accidental find in August of a cache of usernames and passwords, including those from Windows Live ID, the umbrella log-on service that Microsoft offers users to access Hotmail, Messenger and a slew of other online services.

That cache contained about 5,000 Windows Live ID username/password combinations, said Landesman, who found the trove while researching a new piece of malware. "From the organization [of that cache] and what the data looked like in raw form, I think it's more likely that this latest was the result of keylogging or data theft, not phishing," Landesman said.

En gros, une référence à une anecdote remontant au mois d'aout, où une liste de 5000 comptes windows live ont été découverts sur un site de haxorz, avec leurs mots de passe, le tout organisé sous une forme assez brute. Ouais ok cool, mais ça ne prouve rien ça.
Sur un autre site que je ne retrouve malheureusement plus, il était fait référence à cette même ancienne liste, contenant également une URL et quelques autres identifiants, style FTP, qui auraient pu faire penser à des données capturées par un keylogger.
L'idée n'est pas totalement absurde cependant. Le second argument l'est par contre:

"Phishing is not generally a wildly successful scam, it doesn't have a big return. People are more savvy about phishing than we give them credit for."

Je préfèrerais des chiffres pour appuyer cette idée. Moi je n'en ai pas non plus pour la réfuter. Je pars juste du principe que si ça se fait encore beaucoup (le phishing), c'est que le taux de "retour" (données récoltées) reste suffisament attractif.
Après tout, ce n'est peut-être qu'un peu de pub pour ScanSafe, pour qui travaille Mary Landesman, qui vend des produits anti malware. (fin du troll)

Alors je n'ai pas trop analysé cette liste (trouvable en deux minutes sur google, en utilisant quelques mots clés présents sur un des nombreux articles analysant cet incident), mais de ce que j'ai pu voir, il y a au moins un identifiant qui apparait plusieurs fois, avec un oubli de lettre à chaque fois:

blanco_395@hotmail.com:blaco
blanco_395@hotmail.com:blasco
blanco_395@hotmail.co:blasco

Je n'ai jamais analysé de très près le fonctionnement interne d'un botnet, tel que sa manière de récolter un mot de passe d'accès à un webmail, mais si j'avais à développer ça, je pense que j'irais taper dans les fichiers profil du navigateur (les fichiers signonsX.txt et keysX.db de firefox). Sans vouloir faire de psychologie à deux balles de l'utilisateur lambda d'internet, je pense que le type qui utilise "12345" comme mot de passe l'a aussi enregistré dans son navigateur (en plus d'utiliser ce même mot de passe partout).
Sans vouloir glorifier les développeurs de botnet (sans qui, pas mal d'entre nous n'auraient pas un boulot aussi fascinant que celui que nous avons, ah ah), j'ose espérer qu'ils ont recours à des méthodes "efficaces" pour récolter des mots de passe, et non pas des techniques hasardeuses qui consistent à lire le mot de passe saisi à chaque fois que l'utilisateur se loggue, en prenant le risque d'enregistrer des mots de passe erronés.
Alors tout cela me rappelle une anecdote il y a quelques années, à l'époque où j'ai découvert le côté obscur de The Internets (ça nous ramène vers le milieu de l'an 2000 quoi). Un "kit" de phishing caramail circulait. Oui, Caramail (rigolez pas :)). Le mot phishing n'existait pas à l'époque. Ce n'était pas un kit à proprement parler, mais un script CGI hébergé quelque part, avec un formulaire pour le gros haxor lui demandant deux adresses: la sienne et celle de la victime. En validant le formulaire, un mail était envoyé à la victime, se faisant passer pour un service de caramail incitant, pour une sombre raison, la victime à saisir ses identifiants dans un mail en html (eh ouais). Impossible de saisir un mot de passe erroné, le script vérifiait (en tentant de se connecter j'imagine) si les identifiants étaient bons ou pas, et la victime se mangeait un message d'erreur si elle osait mal remplir son formulaire. Le truc fonctionnait en tout cas. Ensuite, n'ayant pas analysé de kit de phishing récemment, je ne sais pas du tout s'ils font encore cela (je vous entends d'ici me dire d'aller en télécharger et en analyser un, au lieu d'écrire des suppositions bidon issues d'expériences douteuses avec caramail il y a 10 ans, mais en fait je n'en ferai rien).

Au final on en sait rien, si c'est issu de phishing ou d'un botnet. Moi je pencherais plutôt pour du phishing, mais je pense surtout que les gens trollent sur le mauvais truc, au lieu de troller sur la qualité des mots de passe utilisés, qui, botnet ou phishing, est un problème bien pire (tant qu'on obligera pas les gens à utiliser des mots de passe plus complexes, ou des méthodes d'authentification forte (non, je ne vais pas troller là dessus, pas ce soir)) l'utilisateur lambda représentera le plus gros danger (pour lui même, ou son entreprise)).

Fin du troll pour aujourd'hui. Je sais que j'ai pris pas mal de racourcis que je n'aurais probablement pas du prendre lors de la rédaction de ce truc, mais je pense que chacun s'y retrouvera.

Sans transition, je me suis remis à la musique (j'ai pris un clavier-maitre MIDI), c'est impressionnant comme LMMS peut-être performant pour ce que je lui demande de faire (restituer ce que je joue, le modifier et l'enregistrer). En tout cas, pour un logiciel libre. Je ne balancerai probablement pas ce que je joue sur ce blog, mais si des gens sont intéressés, il suffira de me demander par mail.

[1] La derniere fois que j'ai sorti "gestion du risque" lors d'un troll avec des collègues, on m'a dit que je m'engageais dans la mauvaise direction.