cloud's Blog

[Tool] Detectez les attaques Man in the Middle !

cloud — 2010-03-07T23:51:25+01:00

Quand on a l'habitude de se connecter à des réseaux publics, qu'on est un admin consciencieux ou qu'on est tout simplement un peu parano, il faut s'assurer que nous ne sommes pas victimes d'une attaque Man in the Middle. Je ne vais pas ici vous faire un cours d'arp spoofing car Google vous renseignera parfaitement sur ce sujet. J'ai par contre voulu développer un script Bash au doux nom d'ARP Poisoning Guardian surveillant mes tables ARP et m'indiquant si je suis victime d'une attaque et quand celle ci s'arrète. J'aurais également pu faire un système qui ajoute automatiquement la passerelle en statique mais c'est quand meme plus sympa de savoir si on est victime d'une attaque pour pouvoir remonter jusqu'au petit malin. Quand une attaque est détectée, le script vous donne l'adresse MAC du pirate et vous propose tout de meme d'ajouter la bonne entrée statique pour vous protéger.

L'utilisation est très simple :

./arprotec.sh -ip

Voici maintenant le script que j'ai codé sous FreeBSD. Celui ci devrait également fonctionner sous Linux en modifiant le chemin de Bash :

#!/usr/local/bin/bash

echo ">> ARP Poisoning Guardian by cloud"
echo ">> website : http://blog.madpowah.org"
echo "-----"
help() {
	echo "Usage: ./arprotec.sh -ip "
	exit
}

if [ $# -lt 2 ]
then
	help
	exit
fi
	
if [ "-ip" = $1 ]
then
	ip_gw=$2
else
	help
	exit
fi

arp -a > arpfile

while read line_arp
do
	ip=`echo $line_arp | cut -d ' ' -f2 | cut -d '(' -f2 | cut -d ')' -f1`
	
	if [ $ip = $ip_gw ]
	then
		mac_gw=`echo $line_arp | cut -d ' ' -f4`
	fi
done < arpfile

echo ">> IP :" $ip_gw "MAC :" $mac_gw
echo ">> Now starting..."
echo ">>"

attack=0
while [ 42 -eq 42 ]
do
	arp -a > arpfile
	while read line_arp
	do
		ip=`echo $line_arp | cut -d ' ' -f2 | cut -d '(' -f2 | cut -d ')' -f1`
	
		if [ $ip = $ip_gw ]
		then
			mac_gw_new=`echo $line_arp | cut -d ' ' -f4`
			if [ $mac_gw_new != $mac_gw ]
			then
				if [ $attack -ne 1 ]
				then
					heure=`date | cut -d ' ' -f5`
					echo ">>" $heure "/!\ ARP Poisoning detected !!!"
					echo ">>" $heure "MAC Attacker: " $mac_gw_new
					echo ">>" $heure "You should add a static arp entry typing: arp -s" $ip_gw $mac_gw
					echo ">>"
					attack=1
				fi
			else
				if [ $attack -ne 0 ]
				then
					heure=`date | cut -d ' ' -f5`
					echo ">>" $heure "Attack seems stopped ..."
					echo ">>"
					attack=0
				fi
			fi
		fi
	done < arpfile
	rm arpfile
	sleep 5
done

On obtient alors quelque chose comme cela :

[cloud@r00t ~]$ ./arprotec.sh -ip 192.168.0.254
>> ARP Poisoning Guardian by cloud
>> website : http://blog.madpowah.org
-----
>> IP : 192.168.0.254 MAC : 00:07:ca:3c:8e:d8
>> Now starting...
>>
>> 23:23:15 /!\ ARP Poisoning detected !!!
>> 23:23:15 MAC Attacker:  00:1c:f0:9e:3f:4a
>> 23:23:15 You should add a static arp entry typing: arp -s 192.168.0.254 00:07:ca:3c:8e:d8
>>
>> 23:25:09 Attack seems stopped ...

[Secu] Mise en place de Tripwire avec AIDE sous FreeBSD

cloud — 2010-02-28T21:54:18+01:00

Un jour ou l'autre, vous vous ferez pirater. C'est comme ça, les 0days sont publiés et la diffusion des patchs et leur application n'étant pas immédiates, on reste forcément vulnérable pendant une période. De la meme manière, les technos évoluent et des problèmes peuvent survenir à tout moment. C'est une fatalité. L'objectif est donc de réagir au plus vite, de détecter ces intrusions, et de les éradiquer aussitot.

Un des outils permettant de controler l'intégrité de ses serveurs est le Tripwire. Cet outil va créer une base de données de fichiers à surveiller en enregistrant les informations du fichier comme l'uid, gid, nom, heure de création, modification, le hash du fichier, sa taille... bref toutes les informations permettant d'identifier un fichier. Ensuite il vérifiera régulièrement l'état de ce fichier et s'il constate des différences, nous enverrons une alerte par mail.

Nous travaillerons ici avec AIDE sur un système FreeBSD. Les répertoires peuvent changer si vous utilisez Linux.

[cloud@r00t ~]$ psearch aide
security/aide             A replacement and extension for Tripwire

En règle général, Tripwire est configuré par défaut pour controler tous les fichiers systèmes et de configuration de base du système. Personnellement je délègue cette tache à mon analyseur de rootkit rkhunter ou chkrootkit.Ici nous allons configurer AIDE afin qu'il analyse notre répertoire web en ajoutant une exception sur un répertoire d'upload qui varie donc fréquemment. Le fichier de configuration va donc ressembler à ca :

[cloud@r00t ~]$ cat /usr/local/etc/aide.conf
/usr/local/www/apache22		R
!/usr/local/www/apache22/upload		R

R est un template de droits existants. Les différents templates sont :

# Templates: 
# (default) R :  [R]ead-only (+p+i+n+u+g+s+m+md5+tiger+rmd160+sha1-a)
#       L :  [L]og file (+p+i+n+u+g-s-a-m-md5-tiger-rmd160-sha1)
#       N :  ignore [N]othing (+p+i+n+u+s+g+s+a+m+c+md5+tiger+rmd160+sha1)
#       E :  ignore [E]verything (-p-i-n-u-s-g-s-a-m-c-md5-tiger-rmd160-sha1)

#       p :  permission and file mode bits      a: access timestamp
#       i :  inode number                       m: modification timestamp
#       n :  number of links (ref count)        c: inode creation timestamp
#       u :  user id of owner                 md5: MD5 signature
#       g :  group id of owner              tiger: tiger signature
#       s :  size of file                  rmd160: RMD160 signature
#                                            sha1: SHA1 signature

Rien de bien compliqué. On indique les répertoires dont l'on souhaite surveiller l'intégrité et les droit associés avec + ou -.

Une fois cela terminé, nous allons créer la base de donnée avec la commande suivante :

[cloud@r00t ~]$ sudo aide -i

AIDE, version 0.13.1

### AIDE database at /var/db/aide/databases/aide.db.new initialized.

Nous avons donc un fichier aide.db.new que nous allons copier et qui servira de référence.

[cloud@r00t ~]$ sudo cp /var/db/aide/databases/aide.db.new /var/db/aide/databases/aide.db

Le base de donnée ressemble à ceci :

[cloud@r00t ~]$ sudo cat /var/db/aide/databases/aide.db
@@begin_db
# This file was generated by Aide, version 0.13.1
# Time of generation was 2010-02-28 21:05:20
@@db_spec name lname attr perm uid gid inode lcount size mtime ctime md5 
/usr/local/www/apache22 0 3005 40755 0 0 378392 6 512 MTI2MjYyNzc5Mg== MTI2MjYyNzc5Mg== 0
/usr/local/www/apache22/data 0 3005 40755 0 0 378393 2 512 MTI2MjYyNzc5Mg== MTI2MjYyNzc5Mg== 0
/usr/local/www/apache22/error 0 3005 40755 0 0 378396 3 1024 MTI2MjYyNzc5Mg== MTI2MjYyNzc5Mg== 0
/usr/local/www/apache22/icons 0 3005 40755 0 0 378420 3 3584 MTI2MjYyNzc5Mg== MTI2MjYyNzc5Mg== 0

Maintenant que notre base est créée, l'objectif va etre de controler régulièrement si des modifications ont été apportées sur ces répertoires avec l'option -C (check)
Si aucune modification n'apparait, le résultat sera le suivant :

[cloud@r00t ~]$ sudo aide -C

AIDE, version 0.13.1

### All files match AIDE database. Looks okay!

Si des modifications ont été faites, on observera alors la chose suivante :

[cloud@r00t ~]$ sudo touch /usr/local/www/apache22/test
[cloud@r00t ~]$ sudo aide -C
AIDE found differences between database and filesystem!!
Start timestamp: 2010-02-28 21:15:19

Summary:
  Total number of files:        258
  Added files:                  1
  Removed files:                0
  Changed files:                1


---------------------------------------------------
Added files:
---------------------------------------------------

added: /usr/local/www/apache22/test

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /usr/local/www/apache22

--------------------------------------------------
Detailed information about changes:
---------------------------------------------------


Directory: /usr/local/www/apache22
  Mtime    : 2010-01-04 18:56:32              , 2010-02-28 21:15:16
  Ctime    : 2010-01-04 18:56:32              , 2010-02-28 21:15:16

Le Tripwire a donc bien détecté l'ajout du fichier ainsi que la date de modification du répertoire apache22/ .

Automatisons maintenant la recherche via un petit script que nous exécuterons toutes les 5 minutes via un cron. Le principe du script va etre le suivant : nous allons faire un check avec AIDE et stocker le résultat dans un fichier. Si tout est OK, nous ne faisons rien. Si AIDE voit une modification, il envoi un mail à l'admin avec le rapport pour le prévenir puis recrée une base afin d'éviter que l'admin ne se fasse spamer.
Voici le script Bash :

#!/usr/local/bin/bash

mail_admin="admin@site.com"
file_res="/root/aideres.txt"

aide -C > $file_res
res=`cat $file_res | grep "All files match AIDE database. Looks okay!"`

if [ $res!="" ]
then
	mail -s "Integrity Alert Tripwire" $mail_admin < $file_res
	aide -i
	cp /var/db/aide/databases/aide.db.new /var/db/aide/databases/aide.db
fi

rm $file_res

On rend notre script exécutable et on crée notre cron :

[cloud@r00t /root]$ sudo chmod +x aide_alert.sh
[cloud@r00t /root]$ sudo crontab -e
*/5 * * * *	/root/aide_alert.sh

Voilà nous avons maintenant un système de controle d'intégrité avec remontées d'alertes pour notre répertoire web !

Publication de 2 articles dans le nouveau Hakin9

cloud — 2010-02-28T16:38:10+01:00

Un petit post pour vous informer que vous pouvez retrouver 2 articles écrits par moi meme dans le nouveau numéro de Hakin9.

Au menu, 2 sujets que vous avez pu déjà voir ici que j'ai développé, à savoir :

Les premiers virus iPhone sont là ! : Cet article développe la vulnérabilité des iPhone jailbreakés déjà développée ici avec des détails sur les contres mesures et comment exploiter la vulnérabilité pour créer un botnet ou voler de l'argent.
FreeBSD local r00t exploit : Cet article reprend en détail l'explication du 0day de Kingcope et une explication de LD_PRELOAD.

En espérant que j'ai été clair dans mes explications et que cela vous intéresse :)

[Secu] Les metadata, sources de fuites d'informations

cloud — 2010-02-16T20:33:48+01:00

Les méta données sont des données insérées lors de la création de document par nos outils préférés comme MS Office, Adobe, Photoshop ... Les informations ajoutées peuvent etre le nom de l'auteur, le chemin de stockage, le nom de la machine, les domaines internes, les comptes utilisateurs... Bref tous pleins d'informations non maitrisées et qui ne sont pas censées etre connues en dehors du SI d'une société ou d'un établissement. Ces fuites d'informations peuvent servir à préparer une attaque ciblée ou meme à bruteforcer des comptes ou encore diffuser un malware via des adresses internes ou en remplacant un fichier sur le réseau.

Un logiciel permet d'automatiser très simplement cette recherche de méta données : FOCA, Fingerprinting and Organisation with Collected Archives. Celui ci a été présenté lors de la Blackhat09. Ce logiciel va se baser sur les moteurs de recherche Google et Bing afin de trouver tous les documents d'un certain type pour un domaine donné. Celui ci va ensuite analyser les données et fournir un rapport avec tous les nom utilisateurs, comptes, domaines, chemins, noms de serveurs trouvés dans les méta données.

Bien entendu il est possible de supprimer ces données directement avec les outils qui les crée comme MS Office ou avec Photoshop mais il faut y penser. Avant toute publication, il est donc nécessaire de mettre en place une procédure de suppression de ces méta données pour éviter toute fuite. Je vous laisse tester cet outil pour vous rendre compte par vous meme ce qu'on peut trouver :]

Merci Clément pour m'avoir fait découvrir cet outil :)

[Astuce] Boucles et scripts sous FreeBSD

cloud — 2010-02-14T23:19:08+01:00

Un petit post pour une astuce FreeBSD et pour éviter que je me repose cette question.

Lorsque l'on réalise un script sh et que l'on souhaite une boucle, on a l'habitude quand on vient du monde de Linux d'écrire quelque chose du genre :

for i in `seq 1 10`; do echo $i; done

Sauf que sous FreeBSD, seq ne fait pas parti du système de base :). Nous allons donc utiliser une autre commande moins connu, jot.
Notre script précédent va donc devenir :

for i in `jot 10 1`; do echo $i; done

Si vous utilisez Bash, il est toujours possible d'écrire le meme script comme ceci:

for i in {1..10}; do echo $i; done

Pour plus d'info, je vous laisse faire un man jot.

[Secu] 0day IE et blablabla

cloud — 2010-01-21T23:06:54+01:00

Etant donné la médiatisation de la dernière vulnérabilité Internet Explorer, je vais moi aussi donner mon opinion dessus (meme si tout le monde s'en fiche :) ).

Commencons par un petit résumé de l'histoire : une nouvelle éclate et fait grand bruit disant que Google stoperait de filtrer ses contenus pour la Chine pour des raisons assez vagues de piratage de l'état Chinois. Déjà ca attaque fort ! Très vite Google annonce qu'une 20aine de grosses sociétés américaines seraient également victimes d'intrusions provenant de Chine. Ca commence à ressembler à un bon nanard de Vandamme avec pleins de méchants chinois. La, clou de l'histoire, qui commence à bien se médiatiser, la vulnérabilité proviendrait d'IE et plus particulièrement d'IE6 pour cette vulnérabilité selon McAfee. Et la ... c'est le drame !

A partir de là, IE est devenu le logiciel à abattre. Mais est ce justifié ?

La polémique provoqué purement par les médias provient principalement de l'avis du CERTA. Pour rappel, le CERTA a proposé la contre mesure suivante pour cette vulnérabilité :

Dans l’attente d’un correctif de l’éditeur, le CERTA recommande l’utilisation d’un navigateur alternatif

Tout d'abord ce qu'il faut rappeler, c'est ce qu'est le CERTA, parce qu'apparement beaucoup de gens ne le savent pas. Donc sur le site officiel, on peut y lire :

Le CERTA est chargé d'assister les organismes de l'administration à mettre en place des moyens de protection et 
à résoudre les incidents ou les agressions informatiques dont ils sont victimes

Donc quand on sait lire, on voit que cette recommandation est destinée à l'administration francaise, donc ni aux particuliers, ni aux entreprises. Par ailleurs il est bien dit "dans l'attente d'un correctif" donc il ne conseille pas de ne plus utiliser IE mais propose aux administrations de change provisoirement. De plus, quand on lit régulièrement les avis du CERTA, chose qu'apparemment la presse ne fait pas, on a l'habitude de voir cette recommandation étant donné qu'elle est mentionnée pour chaque 0day sur un produit. On l'a par exemple très récemment vu pour le 0day Adobe Reader qui a fait beaucoup moins de bruit et qui niveau impacte pouvait etre à mon sens plus risqué de par le fait qu'il peut etre plus dur à detecter par un antivirus ou un analyseur de flux et que les gens connaissent moins d'alternatives.

Malgré cela, les médias ont insisté sur tous ces détails qui sont bien sur tombés dans les oreilles des décideurs qui ont vu que leur site préféré "d'actualité informatique" signale que IE c'est dangereux ! Certes cela a pu servir à appuyer des projets de migrations de navigateur... mais au final une société avec des antivirus et/ou des IPS et/ou des analyseur de flux et/ou des proxy et tout cela bien sur à jour ne risque pas grand chose de plus que d'habitude. Si le mal était fait, c'était avant que le 0day soit rendu publique.

Donc quel intéret de cette médiatisation ? A qui ca a servi ? Peut etre aux trolleurs anti Microsoft qui ne comprennent rien aux problématiques d'entreprises et qui croit que changer de navigateur se fait en 10mn. Ou alors aux autres sociétés proposant des navigateurs, comme ... Google :) qui par la meme occasion se prépare pour la sortir de son OS. Cela a du également bien amusé quelques chercheurs en sécurité informatique qui ont pu appliquer l'exploitation sur les différentes versions du navigateurs, sur les différents OS tout en tentant de bypasser les protections comme DEP.

Bref tout ca pour dire que les médias ont le pouvoir de faire "croire" qu'un risque est supérieur à d'habitude et à orienter les solutions à appliquer alors qu'ils n'ont pas les compétences pour le faire. Cela peut amener à faire croire des idées qui au final peuvent etre bien plus dangereuses. Quel est le risque le plus élevé ? Qu'une société moyenne change en urgence de navigateur sans passer par une étape d'intégration, sans avoir de support préparé à résoudre les problèmes d'un nouveau navigateur ou qu'une société garde IE tout en vérifiant que ses protections antivirales soient bien à jour ? Je pense que la réponse est évidente ... sauf pour les médias apparemment.

Allez je vous laisse patcher car si vous ne le saviez pas, le patch est déja sorti. Ah au fait, un nouveau 0day impacte tous les Windows, changez temporairement d'OS :)

[Secu] Et vous, quel disclosure etes vous ?

cloud — 2010-01-15T00:20:44+01:00

On voit en ce moment de nombreux 0days surgir d'un peu partout et par différentes voies. Certains par des sociétés travaillant dans le secteur de la SSI, certains par des passionnés, d'autres par des labos ... Bref plusieurs types de sources qui du coup gère leur publication (disclosure) de manière différente. Je vais ici faire un tour des différents disclosures et donner mon opinion dessus.

On trouve principalement 3 types de philosophie concernant la diffusion de vulnérabilités en matière de sécurité informatique, le Non diclosure, le Full disclosure et le Responsible disclosure

-Non disclosure : celle ci consiste à ne rien dire concernant une vulnérabilité. Je l'attribuerai plutot aux pirates du type "blackhat" qui souhaitent que les failles ne soient pas dévoilées afin de les exploiter le plus longtemps possible. C'est d'ailleurs ce que prone le groupe anti-sec, soi disant constitué de "vilain blackhat" mais ca, ca reste une autre histoire :). Ces vulnérabilités restent alors connues d'un cercle très fermé qui en profite pour se faire de l'argent en volant et revendant des informations ou en extorquant en demandant des rancons pour laisser le site en état. Cela peut paraitre dangereux mais au final arrange plutot pas mal certaines sociétés surtout quand la vulnérabilité qui peut avoir un niveau de criticité élevé va donner un cout de développement,pour réaliser le patch en urgence, assez élevé. Il est d'ailleurs arrivé que certaines sociétés demandent à la personne remontant la vulnérabilité de ne rien dévoiler pendant une longue période pour qu'elle puisse corriger dans le délai qu'elle va imposer. Plus grave, notre cher pays, la France interdit la publication de code d'exploitation de vulnérabilité si celle ci n'est pas corrigée ou si l'on ne propose pas de solution de contournement. En gros, on préfère que nos systèmes restent insécures tant que personne ne le sait ... sauf que certains pays le savent et sont bien plus en avance sur nous dans le domaine de l'exploitation de vulnérabilité et eux ne vont pas hésiter à revendre ces 0day qui chez nous seront connus mais non dévoilés donc non corrigés ... Bien sur en tant que bon francais respectant la loi, je vous propose une solution corrective à cela : prenez un serveur dans un autre pays et publiez :)

-Full disclosure : cette méthode consiste à publier directement la vulnérabilité sans prévenir au préalable la société responsable de l'application de celle ci. Souvent considérée comme la méthode la plus préconisée pour la sécurité, elle est un peu plus complexe que ca je pense. Car au final quel est le but de publier directement ? Imposer que l'éditeur corrige vite en laissant l'application vulnérable et exploitable par des milliers de kiddies pendant une période plus ou moins longue ? Pas terrible quand meme. Personnellement je vois surtout en cette méthode le besoin de flatter son égo. Et oui le "pirate" a besoin de reconnaissance pour s'intégrer et montrer qu'il est plus fort qu'un autre. Au final, etre un pirate n'est rien d'autre qu'une classe regroupant un type de personnes qui ont besoin de ressembler à un modèle. Une adolescence un peu tardive pour certains quoi :) . Après le full disclosure peut quand meme etre une finalité si une société veut abuser sur une proposition de reponsible disclosure et prend énormément de temps pour corriger la vulnérabilité. Il faut selon la complexité de correction de la faille évaluer une date limite de correction et décider de publier si rien n'est fait car au final on peut avoir l'impression d'etre pris pour un pigeon. Ou tout simplement on peut choisir le full disclosure pour ne pas se prendre la tete :)

-Responsible disclosure : derrière cette méthode qui peut sembler la plus logique et sensée se cache plus de complexité. Le responsible disclosure consiste à prévenir la société responsable du produit vulnérable afin que celle ci la corrige et à publier la faille une fois le patch fourni. Du coup on reste quelqu'un de responsable, de "whitehat", notre égo est flatté meme si cela oblige à attendre et à réduire l'impact de la publication vu qu'il existera un patch et cela peut meme payer si l'on passe par des systèmes comme le propose ZDI. Cependant ZDI c'est bien gentil mais quand on regarde la liste des vulnérabilités en cours de traitement on constate que le temps de correction est parfois énorme (plusieurs années) ! Du coup la faille a largement le temps d'etre exploitée par d'autres hackers qui eux vont rester sur le principe du non-disclosure et se faire de l'argent sale. Du coup le responsible disclosure peut amener un abus des sociétés de développement qui se croient du coup à l'abris.
Un cas récent et intéressant je trouve est la position de la société Intevydis qui propose un module pour l'outil CANVAS d'Immunity. Le 0day est donc le business de cette société. Celle ci a donc fait une réponse concernant son choix de ne pas pratiquer le responsible disclosure. Celle ci explique que les sociétés de développement profitent des cabinet de recherche en vulnérabilité et se reposent sur elle, attendant que celles ci leur soumettent les vulnérabilités et appliquent le Responsible disclosure que j'expliquerai par la suite. Ceci n'est pas faux. A mon sens, le travail généré pour la recherche et l'aide à résoudre doit etre payé et en prime doit passer prioritaire si la criticité l'impose, chose qu'elles ne font jamais. Cependant leur explication sur le fait que les grosses sociétés ont des moyens pour sécuriser leur application ne tient pas la route car les moyens ne donnent pas forcément la compétence :) . Du coup on peut mettre énormement d'argent et avoir quand meme des bugs qui passent à la trappe.
Un autre point de vue intéressant est celui qu'a donné Laurent Gaffié lors de ses publications sur la vuln SMBv2. Lors de sa première publication, il lui a été reproché de ne pas avoir prévenu Microsoft. Cependant la 2e fois, voulant bien faire, il a pratiqué le responsible disclosure mais a constaté devenir le larbin de la société souhaitant obtenir le maximum d'information, la manière de trouver la vuln, la correction ... bref de les assister sans rémunération. Et ca faut avouer que ca donne pas envi d'etre très responsable :)

Donc que faire dans tout ca ? Et bien ce que l'on semble de mieux :) Tout dépend de l'objectif de la publication, d'ou on se situe dans le monde de l'informatique (professionnel, passionné, pirate) et de ce qu'on l'on souhaite obtenir en retour : de l'argent, flatter son égo ou une bonne conscience :)

[Tool] Lire ses SMS iPhone depuis son PC

cloud — 2010-01-11T00:36:12+01:00

Avant toute chose, bonne année à tous :)

Un ami a eu la bonne idée de m'offrir un dock pour iPhone. Du coup mon téléphone est tout le temps connecté mais également hors de portée quand je suis sur mon PC. Et quand je l'entend au loin faire son "Tududuuu" qui signifie qu'un nouveau SMS est arrivé, j'ai souvent la fleme de me lever. Du coup je me suis codé un petit script rapide afin de lire mes nouveaux SMS directement depuis mon shell (oui l'informaticien est feignant :) ) Celui ci est codé en Python. Si j'ai un peu de temps, je l'améliorerai pour faire la jointure avec la base de contact pour avoir le nom de la personne qui envoie le SMS et non juste le numéro.

Voici le code :

#!/usr/bin/env python

import socket
import sys
import os 
import paramiko
from pysqlite2 import dbapi2 as sqlite

ip = ''
port = 22
username = ''
password = ''
sms_remote = '/private/var/mobile/Library/SMS/sms.db'
local_file = '/home/cloud/coding/Python/iphonesms/'

def start():
	print ">> iPhoneSMS v0.1 by cloud : http://blog.madpowah.org"
	
#Function which dl the sms db on the iphone 
def dlsms():
	if (len(sys.argv) == 4):
		ip = sys.argv[1]
		username = sys.argv[2]
		password = sys.argv[3]
	else:
		print "Usage : ./iphonesms   "
		print "Exemple : ./iphonesms 192.168.0.2 root monpass"
		sys.exit(0);
		
	print 'Downloading SMS db on :', ip, '...',
	t = paramiko.SSHClient()
	t.set_missing_host_key_policy(paramiko.AutoAddPolicy())
	t.load_system_host_keys()
	t.connect(ip, port=port, username=username, password=password)
	ftp = t.open_sftp()
	try:
		sms_file_ok = local_file + ip + '-sms.db'
		ftp.get(sms_remote, sms_file_ok)
		print "SMS downloaded ..."
	except:
		print "No SMS :( ..."
			
	return sms_file_ok

#Connection to the Sqlite DB
def connexionDB(smslocal):
	try:
		connexion = sqlite.connect(smslocal)
		cursor = connexion.cursor()
	except:
		print "Error connecting Sqlite DB"
		
	return cursor

def checkLastSms(smslocal):
	
	cursor = connexionDB(smslocal)
	i = 1
	for row in cursor.execute("select * from message where read='0'"):
		print "Message %d" % i,
		print row[1],
		print row[3]
	
	return 0

def main():
	start()
	smslocal = dlsms()
	checkLastSms(smslocal)
	os.remove(smslocal)
	
	return 0

if __name__ == '__main__':
	main()

[Secu] Phishing et Social Engineering

cloud — 2009-12-15T22:24:23+01:00

Je vais faire dans cet article une analyse personnelle du Phishing, du stockage de nos informations, tout ca mélé avec un zest de Social Engineering.

L'authentification par identifiant + mot de passe reste la solution la plus fréquente sur Internet. Du coup un des moyens d'attaque les plus fréquent consiste à faire croire que l'on ai le site officiel afin que la personne s'authentifie sur le faux site et que l'on récupère ses authentifiants. C'est le principe utilisé par le Phishing. Celui ci peut également être utilisé pour voler des informations plus critiques comme les informations bancaires.

Connu depuis des années, le Phishing reste toujours d'actualité meme si j'ai de gros doute sur le taux de réussite des phishing classiques. Cependant le danger est peut etre la ou on ne le voit pas. Je m'explique :

Imaginons 2 Phishers :
-le 1er va envoyer un mail classique du type :

Bonjour,

Suite à des problèmes techniques, il est nécessaire que vous vous authentifiez sur note site afin que votre compte 
reste actif. Pour cela, merci de cliquer sur le lien suivant.

Merci de nous excuser pour la gène occasionnée.

Le 2e Phisher choisi une toute autre stratégie et décide de créer un site demandant une inscription afin de gagner un cadeau qui bien sur ne sera jamais envoyé :

Bonjour,

Nous vous offrons la chance de gagner cette magnifique villa d'une valeur de 500 000euros ! Pour cela rien de plus simple, inscrivez vous sur 
notre site en cliquant ici. Le tirage au sort aura lieu de 3 Janvier 2010.

L'inscription est gratuite et nous nous engageons à ne pas divulguer vos informations. Rien à perdre, tout à gagner 
alors inscrivez vous vite !

Bien cordialement.

D'après vous, sur quel site aurez vous le plus d'entrée ? Ajoutons à cela que plus de 50% des gens utilisent toujours le même mot de passe, (voir source) le taux de réussite est je pense bien plus élevé pour le 2e Phisher que le 1er et en prime la personne n'aura jamais conscience qu'elle s'est faite voler son mot de passe via un site tout à fait autre du site piraté.

Ici nous avons joué sur la crédulité d'un utilisateur. Voyons maintenant des systèmes tout simplement mal concu à mon sens.

Prenons l'exemple d'un site bien sensible, comme celui d'une banque et plus précisément celui du Crédit Lyonnais. Je n'y ai jamais travaillé donc mon analyse est juste fondée sur des observations de leur portail. Tout d'abord on constate que pour s'authentifier, l'identifiant correspond à l'indicatif banque + le numéro de compte. Pour cela il suffit donc de récupérer le RIB de quelqu'un en faisant par exemple croire que l'on veut lui acheter quelque chose et que nous avons besoin de son RIB pour effectuer le virement. Un RIB est une information considérée non confidentielle pour la plupart des gens.
Pour le mot de passe, on constate via la source que celui ci ne fait que 6 caractères de long :

On constate donc desuite que le mot de passe n'est absolument pas robuste. En prime, ce mot de passe est numérique ! Il suffit d'etre client Crédit Lyonnais pour le savoir. Donc pour trouver un mot de passe de 6 caractères numériques, dans 70% des cas, je suis persuadé que tester la date de naissance du client ou de ses enfants (récupérable via les sites communautaires comme Facebook) ou que 123456 aboutira à une connexion au compte de la personne :). Je ne m'étalerai pas sur ce qu'il est ensuite possible de faire une fois connecté mais personnellement je suis assez étonné des règles de sécurité appliquées par des organismes aussi important que des banques.

Les techniques présentées ci-dessus peuvent etre considérées comme du Phishing intelligent, mélange de Phishing et de Social Engineering. Maintenant voyons si le Phishing classique est pret à diminuer.

Le Phishing est un problème traité par les sociétés fréquement visés. Cependant ce traitement n'est que correctif et vise à bloquer un site de Phishing actif et non à prévenir des futures attaques et l'évolution ne facilite pas la tache. Prenons par exemple la nouvelle mode des sites permettant de raccourcir une URL pour la mettre par exemple sur Twitter ou les caractères sont limités. Ces sites sont certes pratiques mais camouflent l'URL principale ce qui empèche de controler l'url de destination avant d'aller dessus et donc augmente fortement la potentialité de se faire avoir.
Par ailleurs, on constate que la navigation web ainsi que la lecture des mails se font de plus en plus à partir d'un téléphone portable. Avec un téléphone type iPhone, il est impossible de controler le lien sur lequel on clique. De plus la taille de la barre d'url d'un téléphone étant très courte, il est beaucoup plus facile de se faire avoir par manque d'attention.
Il est donc fort probable que le Phishing est de beau jour devant lui.

Pour le traiter, il serait nécessaire de mettre en place de la signature numérique sur les mails envoyés. Sinon à minima, il serait envisageable de controler l'adresse d'expédition qui est souvent facilement identifiable comme frauduleuse. Voici un exemple d'un spam facebook recu récemment :

Objet:   	Facebook Account Update
De:   	"Facebook"

Il serait imaginable un système qui nous permette de voir les vraies adresses d'expédition de Facebook. Une autre direction à étudier serait de pouvoir interdire selon ses réglages de bloquer les charsets et caracères inconnus. En effet on constate très souvent que les campagnes de Phishing proviennent de pays de l'Est et que ses mails contiennent des caractères russes non reconnus. Il pourrait etre envisageable de les bloquer directement.

Un dernier point que je souhaitais aborder dans cet article est le stockage des informations sensibles. Encore très récemment j'ai recu un email de lesjeudis.com suite à des modifications de leur part. Voici le mail :

Objet:   	Vos informations de connexion
De:   	"Lesjeudis.com" 

Bonjour,

Nous avons procede a une evolution de votre bureau candidat http://www.lesjeudis.com Lesjeudis.com .

Pour des raisons de securite il est possible que vos informations de connexion aient changees.

Voici vos identifiants :

Login de connexion : monemail@site.com

Mot de passe : monmotdepasseenclair

Merci de votre comprehension.

Bonne journee.

N'hesitez pas a nous contacter pour toutes questions.

Bien cordialement,

Support Lesjeudis.com

Mon mot de passe était affiché en clair et envoyé sur ma boite email. D'un, cela signifie que mon mot de passe est stocké en clair ou chiffré via un algorithme réversible et que donc celui ci est exploitable par cette société ou par un pirate ayant compromis ce site.
De deux, lesjeudis.com décide d'envoyer mon mot de passe sur ma boite sans action au préalable de ma part. Tous les cas récents et médiatisés de vols de boite email est apparement sans importance pour eux.

Pire, le site amazon semble conserver notre numéro de carte bancaire, la date d'expiration ainsi que nos coordonnées dans ses bases de données puisque il n'est pas nécessaire de rerentrer ses informations si plusieurs achats sont faits. A voir le chiffrement mis en place sur ces bases de données mais personnellement cela me semble assez dangereux et un pirate prenant la main sur les identifiants amazon d'un client, il peut alors modifier l'adresse de livraison et réutiliser la carte bleu pour effectuer des achats. En plus du risque SSI, je verrais bien une non conformité PCI-DSS derrière tout ca :)

Conclusion :
Internet est le lieu privilégié des fraudes en tout genre car permet d'agir rapidement et en masse. Pour s'en prémunir il est important de ne pas donner d'informations personnelles ou de s'inscrire sur des sites non considérés comme de confiance. De plus il est important d'avoir une politique de mot de passe adéquate consistant à utiliser des mots de passe différents pour chaque site et penser à renouveller régulièrement ces mots de passe. Un logiciel comme Keepass peut vous aider à gérer vos mots de passe. Ensuite il faut faire beaucoup plus attention sur des systèmes comme les PDA ou les téléphones portables qui rendent la personne plus vulnérable ainsi qu'aux url bizarres ou non officielles.
Par ailleurs il est important que les sociétés fassent des efforts de leur coté en ne stockant jamais les mots de passes des personnes mais juste des hash des mots de passe. De plus des données secrètes comme les données bancaires ne doivent etre stockées que dans des cas d'olbigation et non afin de facilité l'ergonomie pour l'utilisateur.

Sur ce, bon surf !

[Outils] Mes Tools / PoC / Scripts

cloud — 2009-12-03T23:26:55+01:00

J'ai décidé d'ajouter un article qui restera donc toujours dans le menu de droite dans lequel je stockerai tous les scripts que j'ai présenté sur mon blog afin que ceux ci ne soient pas perdus dans les méandres des différents sujets et pour que peut etre ils puissent servir à quelqu'un.

Donc si ca vous intéresse, rendez vous dans la rubrique Tools / PoC / Scripts