Sécurité: Tester des failles de sécurité

Apprenez à utiliser Metasploit avec des tutos et des vidéos

Metasploit est une bonne plateforme pour quiconque souhaite tester des failles de sécurité ou réaliser des "exploits" mais il n'est pas simple de l'utiliser et beaucoup se retrouvent vite perdu lorsqu'ils essayent de pousser un peu plus la chose.
Pour vous aider dans votre apprentissage, je vous ai trouvé quelques liens sympa avec des tutoriels et des vidéos expliquant les principes de bases de Metasploit.

Tout d'abord, un bon tuto vidéo de chez IronGeek vous montrera (même si vous ne parlez pas anglais), ce qu'il faut faire étape par étape pour utiliser. Ce tuto aborde l'utilisation de Metasploit à partir du Live CD Auditor pour compromettre un Windows XP non patché via la faille RPC DOM.
Metasploit chez IronGeek
Ce doc est une présentation par HD Moore lui-même au CanSecWest 2006:csw06-moore.pdf
Et voici quelques vidéos :
Computer defense - TASK Presentation
Les vidéos les plus à jour pour Metasploit 3 sont dispo ici :
Découvrez Metasploit 3 et sa nouvelle interface web - Partie 1
Découvrez Metasploit 3 et sa nouvelle interface web - Partie 2
N'oubliez pas le site de Metasploit qui regorge d'exemples et de doc :
http://framework.metasploit.com/msf/support
Le bouquin (wiki) en ligne "Comment utiliser Metasploit" est aussi pratique à avoir dans ses bookmarks :
Utiliser Metasploit
Le site SecurityFocus a aussi publié 2 bons articles qui sont aussi une bonne référence (même si ils commencent à dater un peu) :
Metasploit Framework, Partie 1
Metasploit Framework, Partie 2

Source.:

Web 3,0(Web social) : L'Internet des objets IdO ou IoT pour Internet of Things

Internet des objets

L'Internet des objets (IdO ou IoT pour Internet of Things en anglais) représente l'extension d'Internet à des choses et à des lieux du monde physique. Alors qu'Internet ne se prolonge habituellement pas au-delà du monde électronique, l'internet des objets connectés représente les échanges d'informations et de données provenant de dispositifs présents dans le monde réel vers le réseau Internet. L'internet des objets est considéré comme la troisième évolution de l'Internet, baptisée Web 3.0 (parfois perçu comme la généralisation du Web des objets mais aussi comme celle du Web sémantique) qui fait suite à l'ère du Web social. L'internet des objets revêt un caractère universel pour désigner des objets connectés aux usages variés, dans le domaine de la e-santé, de la domotique ou du Quantified Self. L'internet des objets est en partie responsable d'un accroissement exponentiel du volume de données générées sur le réseau, à l'origine du Big Data.
Selon une équipe de l'ETH de Zurich avec les smartphones puis un nombre croissant d'objets connectés, en dix ans (2015-2025) 150 milliards d'objets devraient se connecter entre eux, avec l'internet et avec plusieurs milliards de personnes¹. Selon une récente étude menée par IDC Canada pour TELUS, d’ici à 2018, le nombre d’« objets connectés » quadruplera au pays, passant de 28 millions d’unités (2013) à 114 millions.

L'information issue de ce big data devra de plus en plus être filtrée par des algorithmes complexes, ce qui fait craindre une moindre protection des données personnelles, une information des personnes et de la société de moins en moins autodéterminée notamment en cas d'appropriation exclusive de filtres numériques par des entités (gouvernementales ou privées) qui pourraient alors manipuler les décisions. L'ETH plaide donc pour des systèmes d'information ouverts et transparents, fiables et contrôlés par l'utilisateur¹.


L'Internet des objets est apparu dans le cadre d'une tendance² lourde, issue de la mécanisation et standardisation, appliquée à l'automatisation du traitement du document et de l’information sur support matériel puis numérique (dont au service de la production et recherche documentaire). Apparu aux États-Unis, il s'est rapidement diffusé avec la mondialisation, aboutissant à connecter des machines à des serveurs capables de les superviser (ces machines étant notamment des ordinateurs mis en réseau dans ce que certains ont nommé l'« internet des machines »)³. Peu à peu des objets ont été modifiés (avec des puces RFID par exemple) ou conçus pour « parler le protocole IP », devenant des « objets connectés », reliés à des serveurs centralisés et/ou capables de communiquer entre eux et/ou avec des réseaux de serveurs et divers acteurs, d'une manière de moins en moins centralisée.
Ses enjeux diffèrent selon les pays ou régions du monde, et selon les acteurs « et de leurs intérêts parfois divergents »⁴. Ce mouvement s'est accompagné d'une croissance et complexification des systèmes de sécurité (pare-feux, mots de passe, etc.).
Il est parfois suggéré que l'objet deviendra un acteur autonome de l'Internet, capable de percevoir, analyser et agir de lui-même selon les contextes ou processus dans lesquels il sera engagé⁵. Dans ce cas de figure, l'avènement de l'Internet des objets s'associe à celui des technologies ou méthodes de conception logicielle liées à l'Intelligence artificielle et des sciences de la Complexité. Le couple « objet physique » / « intelligence virtuelle associée », qu'elle soit embarquée, distribuée ou hébergée dans le Cloud (cloud computing) y est alors mentionné sous l’appellation « cyberobjet »⁶. Les cyberobjets sont des acteurs potentiels des chaînes de valeurs qui agissent sous le contrôle des opérationnels ou en partenariat avec eux. En accédant ainsi au statut d’assistants, de conseillers, de décideurs ou encore d’organisateurs (selon les cas), ils deviennent de véritables agents économiques⁷ et contribuent à la mutation des modèles économiques ou de gestion existants.
Deux enjeux récurrents sont la protection de la vie privée (« privacy ») et de la régulation⁸ et la gouvernance de cet internet de plus en plus ubiquitaire et multiforme, quand il n'y a plus d'interface unique^9,10. En France, à partir de 2015, le forum international IoT Planet se déroule chaque mois de novembre à Grenoble afin de faire le point sur l'évolution technologique des objets connectés^11,12.
 L'internet des objets est « un réseau de réseaux qui permet, via des systèmes d’identification électronique normalisés et sans fil, d’identifier et de communiquer numériquement avec des objets physiques afin de pouvoir mesurer et échanger des données entre les mondes physiques et virtuels. »¹³.
 L'explosion du nombre de smartphones et de connexions a créé un marché nouveau aux opportunités quasi-infinies : dans les années 2010, de nombreux rapports comme celui du cabinet McKinsey¹⁹ désignent ce marché comme l'une des principales sources de croissance. En 2016, 5,5 millions d'objets sont connectés chaque jour dans le monde. Un nombre qui pourrait rapidement passer la barre des milliards, d'ici à 2020. 20



Source.:

Mon site a été piraté, que faire ?

Suite à une demande récente d’une association qui s’est fait pirater son site web, je tiens à faire un article qui regroupera quelques conseils pour récupérer son site et se protéger à l’avenir.
Note : Si il s’agit d’un compte, l’article correspondant aux comptes piratés se situe à l’adresse suivante : http://www.leblogduhacker.fr/reference-mon-compte-a-ete-pirate-que-faire/
Je suppose dans la suite que vous avez accès au serveur pour y effectuer les manipulations nécessaires. Si ce n’est pas le cas, il faut voir avec votre administrateur système/web.

3 étapes pour savoir si mon site est piraté

Habituellement lorsqu’un site est piraté, on le remarque, des fichiers sont supprimés, des éléments changent, certains services ne fonctionnent plus…etc.
Que ce soit pour en avoir le cœur net ou pour simplement vérifier, il est intéressant d’analyser le serveur et le site à la recherche des traces d’un pirate.
Voici donc 3 étapes (non exhaustives) à suivre.

1. Observer les messages externes

L’exemple typique nous vient de Google, lorsque la phrase « Ce site risque d’endommager votre ordinateur » s’affiche dans les résultats de recherche.

Parfois, c’est votre antivirus qui détecte le site comme malveillant ou un autre outil comme Google Safebrowsing :

http://www.google.com/safebrowsing/diagnostic?site=leblogduhacker.fr

(Remplacez « leblogduhacker.fr » par votre site).
Si vous utilisez les Outils pour les webmasters de Google, vous aurez potentiellement un message et un moyen de régler le problème. Voici également d’autres informations de la part de Google : http://www.google.com/webmasters/hacked/
Votre navigateur peut également vous avertir :

L’exemple suivant vient du navigateur Firefox. Pour recevoir plus d’informations sur les messages affichés, vous pouvez cliquer ici.

2. Observer les logs

Et dans d’autres cas vous observez par vous-même que quelque chose est suspect et qu’une intrusion est probable. Pour cela on peut notamment observer dans les logs (enregistrements de l’activité) du serveur web, des messages d’erreurs suspects. Pour cela il existe beaucoup de services comme URLVoid, Sucuri, ou Virustotal ainsi que des outils de scan de logs comme Scalp ou encore Fail2ban.
Il existe aussi les commandes classiques pour récupérer le contenu du répertoire de logs (/var/log). Ici un autre exemple avec la commande « last » sous Linux qui affiche la liste des derniers utilisateurs connectés ainsi que leur adresse IP :

Il est facile de repérer une adresse IP inhabituelle car elle ne correspond pas à votre adresse IP.

Pour de l’aide sur les adresses IP, je vous redirige par ici :
http://www.leblogduhacker.fr/donne-moi-ton-ip-je-te-dirai-qui-tu-es/
http://www.leblogduhacker.fr/comment-recuperer-une-adresse-ip/

3. Observer les fichiers modifiés

Enfin, vous pouvez également observer les derniers fichiers modifiés durant les 24 dernières heures (1 * 24) à l’aide de la commande Linux suivante :

find /repertoire-a-observer -mtime 1 -print | more

Récupérer un site piraté

Vient maintenant l’étape cruciale :  Comment récupérer un site piraté ?
Cela dépend beaucoup du travail de sauvegarde et de prévention que vous avez fait auparavant. Si le point précédent vous a permis de savoir qui est entré ou du moins comment il est entré sur votre serveur, vous pouvez supprimer/corriger les fichiers en questions afin de « patcher » la faille.
Si cela ne pose pas de problème pour vous et que vous préférez opter pour la solution brutale, vous pouvez réinstaller votre serveur mais sachez que si vous réinstallez par dessus un site faillible, le pirate reviendra sans problèmes.

Faire des analyses du serveur et du site

Un moyen plutôt sûr mais coûteux et de faire analyser votre serveur et/ou site. Pour cela il existe ce que l’on appelle des scanners de vulnérabilités comme Nikto (gratuit) ou Acunetix (payant).
Faire un test d’intrusion (pentest) est également le job des hackers éthiques, il existe divers types de prestations dont l’audit de sécurité en boîte noire (le hacker n’a pas connaissance du système interne) et l’audit de sécurité en boîte blanche (le hacker connaît le fonctionnement interne). Ces prestations sont souvent réservées aux grandes entreprises, mais en ayant acquis des connaissances en hacking vous serez tout de même en mesure d’analyser votre site ou votre serveur afin de détecter et déjouer vous même la plupart des attaques.

Installer des outils de détection d’intrusion

Ces outils sont divisés en deux groupes principaux : Les premiers vérifient les intrusions au niveau de la machine, les seconds vérifient les intrusions au niveau du réseau.
Parmi eux le plus populaire est probablement Snort, et vous aurez à maintenir des règles de sécurité.

Mettre à jour encore et toujours

Souvent les failles sont patchées via des mises à jour de sécurité. Faites donc absolument toutes les mises à jour que vous pouvez faire, et observez éventuellement si les patchs en question corrigent les vulnérabilités rencontrées.

À faire quoi qu’il arrive : Changer les mots de passe

Peu importe comment votre site a pu être sécurisé, il faut à présent que vous changiez tous les mots de passe. C’est-à-dire les mots de passe de votre compte (et de tous les autres comptes) sur le site et le serveur, le mot de passe de la base de données, etc… Car sécuriser un site en laissant un mot de passe au pirate, c’est lui permettre de revenir sans soucis.

Garder un site et un serveur sain à l’avenir

Pour que cela ne recommence pas à peine votre récupération terminée. Il faut garder en tête des bonnes pratiques.
Parmi les bonne pratiques, on notera les suivantes :

Sauvegarder régulièrement

En ayant sauvegardé vos fichiers régulièrement, il est bien plus facile de se remettre d’une attaque. Pensez donc à sauvegarder votre base de données, vos fichiers importants et tout ce dont vous avez besoin.

Surveiller ce qu’il se passe

C’est maintenant une bonne occasion d’installer des outils de monitoring pour votre serveur. On notera :

• https://www.pingdom.com/monitoring/ (en anglais et non testé)
• http://www.monitor.us/en/website-monitoring (en anglais et non testé)

Vous pouvez également vous rendre sur l’article suivant dans lequel j’explique comment créer un site web sécurisé :
http://www.leblogduhacker.fr/creer-un-site-web-securise/
Vous y trouverez des conseils similaires à ceux-ci et d’autres astuces pour être et rester en sécurité.

Connaître les menaces et savoir s’en protéger

Je parle souvent des menaces et des moyens de s’en protéger, en ayant conscience de celles-ci vous saurez les éviter et comment réagir et cas de problème.
Par exemple :

• Sécurité des sites de vente en ligne
• Sécuriser son site sous WordPress

Source.:

Comment se protéger de cette « faille » liée à WebRTC avec Chrome et Firefox ?

WebRTC, VPN et adresse IP : quand une « faille » vieille d'un an refait surface

Récemment, certains ont évoqué une « faille » de sécurité qui touche WebRTC : si vous utilisez un VPN, il est possible d'obtenir votre adresse IP. Mais, comme nous allons le voir, elle n'est pas nouvelle et faisait déjà parler d'elle il y a plus d'un an. Ce problème avait même été anticipé dès les brouillons de WebRTC de l'époque. Mais aucune protection n'a été mise en place depuis.

WebRTC est un ensemble d'API permettant de gérer des conversations audio/vidéo directement depuis un navigateur, sans plug-in à installer. Chrome et Firefox le prennent nativement en charge, Mozilla l'exploitant par exemple pour son client Hello disponible depuis la mouture 34 de Firefox.

C'est l'histoire d'une « faille » WebRTC qui diffuse votre IP, même derrière un VPN

Problème, WebRTC présente une « faille » qui peut s'avérer relativement gênante pour ceux qui utilisent un VPN et qui souhaitent cacher leur adresse IP d'origine. Elle permet en effet à n'importe quel site web de retrouver cette dernière, et non de s'arrêter à celle du VPN, du moins sous Windows. De très nombreux médias sont revenus sur cette affaire au cours des derniers jours, en évoquant notamment un prototype qui avait été mis en ligne via ce dépôt Github. Pour tester cette « faille », il suffit de se rendre à cette adresse via un VPN pour constater que, dans la liste des adresses IP, celle de votre connexion est bien présente aux côtés de celle du VPN.

Cette situation est due au protocole STUN (traversée simple d'UDP à travers du NAT) développé par l'Internet Engineering Task Force (IETF) qui permet à une application de connaitre l'adresse IP réelle de la machine. Il est notamment utilisé dans les clients de type VoIP ainsi que dans le protocole SIP. Il n'est donc pas anormal que WebRTC récupère cette donnée, mais ce qui est plus inquiétant c'est que cela se fasse sans que l'utilisateur en soit informé et sans qu'aucune confirmation ne soit demandée. Mais de fait, cette situation n'a absolument rien de nouveau.

Une « faille » dévoilée il y plus d'un an

En effet, après quelques recherches, on découvre rapidement qu'il existe déjà une extension Chrome permettant de bloquer cette « faille » : WebRTC Block. Détail surprenant, elle est en ligne depuis le 30 mai 2014 et, à l'heure actuelle, toujours en version 1.0. Surprenant pour une « faille » qui faisait parler d'elle fin janvier ? Pas tant que cela puisqu'elle avait en fait déjà été présentée fin mars 2014 par @vitalyenbroder, là encore avec un prototype fonctionnel :
Suite aux papiers de différents médias de fin décembre/début janvier, il a d'ailleurs mis à jour son blog, non sans une certaine dose d'ironie : « Le même problème de fuite VPN/IP a de nouveau été rendu public par un programmeur américain et cela a soulevé beaucoup plus d'intérêt sur Twitter et chez les magazines web. Conclusion : vous devez être américain pour être entendu ? »

It's not a « faille », it's a « feature » !

Mais nous ne sommes pas encore au bout de nos surprises puisqu'on se rend compte que, dès le mois de janvier 2014 (quelques mois plutôt l'annonce de Vitalyenbroder), le cas d'un VPN utilisé avec WebRTC était remonté via le Bugzilla de Mozilla ainsi que sur les forums de Chromium.
Du côté de la fondation au panda roux, l'importance du bulletin est jugée comme « critique », mais uniquement depuis le 31 janvier 2015 (date à laquelle la vague d'articles est sortie dans la presse). Si l'on regarde l'historique, on se rend compte qu'il était seulement considéré comme « normal » auparavant.  De son côté, Chromium a décidé de classer ce problème avec les labels entreprise et vie privée, et non pas sécurité.
Au-delà de ce classement, les réponses des développeurs sont tout aussi intéressantes à étudier. Dans les deux cas, on retrouve en effet une même remarque qui arrive rapidement sur le tapis et qui précise, en substance, que « ce comportement est dû à la conception même de WebRTC ». On retiendra principalement les interventions d'Eric Rescorla, auteur d'un des brouillons de WebRTC et fondateur de RTFM, sur Bugzilla, ainsi que de Justin Uberti, ingénieur logiciel, sur le blog de Chromium. Au travers de leurs commentaires, ils renvoient vers deux documents de l'IETF.

L'IETF avait anticipé ce problème dans les brouillons de WebRTC

Le paragraphe 5.4 du premier document, qui est un brouillon de WebRTC, précise clairement les choses (nous sommes début 2014) : « Un effet secondaire du fonctionnement du ICE [NDLR : Interactive Connectivity Establishment] est que la machine distante connait l'adresse IP de la première, ce qui donne de grandes quantités d'informations sur la géolocalisation. Cela a des conséquences néfastes sur la vie privée dans certaines situations. »
Le second document est un autre brouillon de WebRTC et, à la section 4.2.4 dédiée à la localisation d'une adresse IP, on trouve le commentaire suivant : « En fonctionnement normal, les sites connaissent les adresses IP, mais elle peut être cachée via des services comme Tor ou un VPN. Cependant, parce que les sites peuvent obtenir l'adresse IP du navigateur, cela donne aux sites un moyen de récupérer des renseignements sur le réseau de l'utilisateur, même s'il est derrière un VPN afin de masquer son adresse IP. » Il est ensuite précisé qu'il « serait souhaitable que les implémentations proposent des paramètres qui suppriment toutes les adresses IP qui ne sont pas celles du VPN si l'utilisateur exploite certains types de VPN, et en particulier des systèmes de protection de la vie privée comme Tor ».
Des recommandations sont également formulées afin de proposer des protections pour protéger l'adresse IP native dans le cas de l'utilisation d'un VPN. L'API de WebRTC pourrait par exemple fournir une solution afin de permettre à JavaScript de supprimer une demande de connexion tant que l'utilisateur n'a pas décidé de répondre à l'appel. Il est également question de restreindre les connexions aux adresses passant par un serveur TURN (Traversal Using Relays around NAT), ce qui aurait pour effet de protéger l'adresse IP native. Des recommandations qui ne semblent pas avoir été spécialement suivies par Mozilla et Google. Par contre, WebRTC est bien désactivé par défaut dans dans Tor Browser (qui exploite Firefox).

 La différence entre STUN et TURN

Au final, comment se protéger de cette « faille » liée à WebRTC avec Chrome et Firefox ? 

Quoi qu'il en soit, il règne désormais une ambiance tendue avec une certaine incompréhension entre les deux camps. D'un côté, ceux qui pensent qu'il s'agit d'une « fonctionnalité » liée à WebRTC, qui nécessiterait tout de même des ajustements afin de mieux protéger la vie privée ou au moins donner plus d'information et de possibilités à l'utilisateur. De l'autre, et ceux qui estiment qu'il est question d'une importante faille de sécurité qui doit être corrigée.
Notez que pour vous protéger de ce genre de mésaventure, dans Firefox il est possible de désactiver WebRTC par défaut. Pour cela, il faut vous rendre dans « about:config » puis désactiver « media.peerconnection.enabled ». Cette manipulation n'est pas possible pour l'instant sur Chrome et il faudra donc passer par l'extension WebRTC Block afin de désactiver ce service. Le problème semblerait ne pas apparaitre lorsque le VPN est configuré sur une box ou un routeur et pas directement sur l'ordinateur sous Windows.
Avec l'ampleur médiatique des deux semaines précédentes, il sera intéressant de voir comment vont régir les deux navigateurs par rapport aux deux camps et aux différentes possibilités d'évolution. La situation restera-t-elle la même, désactiveront-ils par défaut WebRTC ou bien demanderont-ils une validation à l'utilisateur avant de transmettre l'adresse IP ? La question reste pour le moment ouverte.
Notez néanmoins que cette dernière possibilité ne semble pas spécialement plaire à Google qui indique, par la voix de l'un de ses développeurs avoir « considéré cette option, mais je ne pense finalement pas qu'introduire une action de l'utilisateur soit logique. Ce n'est pas une demande qui sera bien comprise ("voulez-vous que cette application puisse dévoiler vos différentes interfaces réseau ? ") ». Après, rien n'empêche de modifier le message afin de mettre un avertissement pour ceux qui utilisent un VPN, avec un lien vers des explications détaillées si besoin.
On pourrait par exemple imaginer un système qui fonctionne comme les demandes de géolocalisation qui peuvent être autorisées pour certains sites mais pas pour d'autres (comme lorsque les sites de presse veulent vous géolocaliser).
 

 

Source.:

Bloquer les adresses IP indésirables avec PeerBlock pour Windows

PeerBlock est un logiciel libre permettant de bloquer simplement des adresses IP indésirables issues de logiciels espions et publicitaires. Idéal pour protéger votre connexion à Internet contre les intrusions.

A l'instar de son prédécesseur PeerGuardian, le logiciel PeerBlock permet de protéger une connexion à Internet contre les intrusions malveillantes issues de logiciels de P2P, de logiciels espion ou encore de publicités.

Pour se faire, vous disposerez dès le début de plusieurs listes noires d'adresses IP néfastes afin de bloquer les communications entrantes et sortantes selon les adresses IP. Ces listes sont régulièrement mises à jour automatiquement. Pour chaque entrée, vous pourrez visualiser l'adresse source, celle de destination ainsi que le protocole utilisé.

De plus, vous aurez la possibilité de saisir vos propres adresses IP afin de bloquer les communications avec les logiciels espions, les publicités et autres sites web indésirables. De nombreux paramètres sont disponibles afin de protéger votre système selon vos besoins.

En somme, même si PeerBlock ne dispose pas de l'interface la plus attrayante de l'année, il n'en est pas moins simple à prendre en main

Source.: