Archive

Archive for April, 2010

Il ne reste qu'une semaine pour profiter d'un rabais de 400$ sur la formation SANS SEC564 à Québec!

April 28th, 2010 No comments

Il ne reste qu’une semaine pour profiter d’un rabais de 400$ sur la formation SANS SEC564 à Québec! http://www.sans.org/quebec-2010-cs/description.php?tid=4337

Promotion SANS SEC564 à MTL & QC. Amenez un ami et recevez un certificat cadeau de 100$

April 21st, 2010 No comments

Nous sommes à mettre la touche finale à l’événement SANS Community de Montréal et de Québec et nous avons hâte de vous y rencontrer!

À seulement quelques semaines des cours, nous vous donnons l’opportunité de bénéficier de la promotion SANS Community – Amenez un ami et recevez un certificat cadeau de 100$.
Comment ça marche?

Eh bien, vous faites circuler l’information à propos de la formation à venir parmi vos collègues, contacts et autres membres d’associations professionnelles auxquelles vous appartenez. Si un ou plusieurs d’entre-deux s’inscrivent, vous n’avez qu’a me faire parvenir leur(s) nom(s) et le SANS vous fera parvenir un certificat cadeau en guise de remerciement.

L’information concernant les cours est disponible ici.

Comment les administrateurs de systèmes peuvent-ils détecter les pirates informatiques?

April 15th, 2010 No comments

Plusieurs outils et techniques existent pour aider les administrateurs de systèmes à répondre aux besoins de sécurité de leur organisation et à collaborer efficacement avec les équipes de sécurité et de vérification, tout en étant capable de continuer leur travail au quotidien.  Voici donc une présentation tirée du contenu du cours SANS Security 564 – Hacker Detection for System Administrator “Détection de pirates informatiques pour administrateurs de systèmes”. Lors de cette présentation j’aborde les sujets suivants:

  • Pourquoi certains problèmes arrivent-ils aux bons administrateurs de systèmes et pourquoi nous perdons la bataille;
  • Méthodologie de sécurité, architecture et processus de réflexion dans la gestion quotidienne des systèmes;
  • L’importance de la segmentation réseau;
  • Surveillance de la sécurité – Ne pas savoir ce qui se passe dans notre environnement fait le bonheur des pirates;
  • Comment les pirates s’y prennent pour contourner les mécanismes de défenses;
  • La partie difficile : Savoir ce qui est normal pour les systèmes Windows et Unix;
  • La partie plus difficile : Savoir ce qui est anormal pour les systèmes Windows et Unix;
  • Le durcissement des systèmes d’exploitation Windows et Unix (plus facile que vous le pensiez);
  • Comprendre le trafic réseau;
  • Les logiciels malveillants (Malware) – pourquoi sont-ils si efficaces dans votre environnement.

Je donnerai le cours SANS Security 564 – Hacker Detection for System Administrator “Détection de pirates informatiques pour administrateurs de systèmes” en français les:
•Montréal 19 – 20 mai 2010
•Québec 16 – 17 juin 2010
Cliquez ici pour plus d’information ou contactez moi par courriel

Scan de vulnérabilités avec NeXpose et metasploit – Annoté

April 6th, 2010 No comments

Scan de vulnérabilités avec NeXpose et metasploit

Par Michel Cusin

Scénario :

Vous êtes mandaté pour effectuer un test d’intrusion. Le test se divise en deux volets. Le premier s’effectue à partir d’Internet et l’autre à partir du réseau interne. Vous décidez alors de faire un peu d’ingénierie sociale pour la portion interne du test. En arrivant, vous vous présenterez comme le technicien ayant été appelé pour résoudre un problème critique de sécurité au niveau du réseau corporatif. Toutefois, afin de ne pas éveiller de soupçon et pour ne pas que la réceptionniste se mette à faire des vérifications ou qu’elle appel quelqu’un qui vous escortera tout a long de vos déplacements dans l’édifice, la veille, vous avez pris soin de faire appeler un complice afin qu’il parle à la réceptionniste en se faisant passer pour un employé de la compagnie. Vous avez bien sûr pris le temps de faire une petite recherche via WHOIS afin qu’il se présente sous le nom d’un contact technique réel et crédible, travaillant pour le département TI de l’entreprise. Votre complice lui dit qu’il est à l’extérieur de la ville pour quelques jours et qu’un technicien de la compagnie ACME «HackMe » passerait demain pour résoudre un problème critique de sécurité. Il lui demande également de l’appeler sur son cellulaire aussitôt lorsque le technicien arrivera.  Votre complice lui dit qu’il a changé de numéro de cellulaire et il prend bien soin de lui laisser son « nouveau » numéro. Il met également l’emphase sur le fait que le tout est relié à la sécurité de l’entreprise et qu’elle ne doit en parler à personne, car cela doit rester confidentiel. Le lendemain, vous vous présentez sur place et portez une chemise avec le nom de la compagnie ACME «HackMe » dessus. Vous dites à la réceptionniste que vous venez pour « LE » problème et qu’elle est supposée être déjà au courant de votre visite. La réceptionniste acquiesce et appelle alors votre complice pour lui dire que vous êtes arrivé. Ce dernier lui demande pour vous parler, ce que vous faites pendant quelques secondes. Vous redonnez ensuite le téléphone à la réceptionniste en disant qu’il veut lui parler de nouveau. Votre complice lui dit alors que vous savez ce que vous avez à faire et ou aller. Vous remerciez alors la réceptionniste et vous vous dirigez hors de son champ de vision pour vous connecter au réseau local afin de régler le « problème critique de sécurité ». Une fois branché au réseau local, vous réalisez que plusieurs systèmes faisant parti de la portée du test d’intrusion et des règles d’engagement, sont visibles à partir du segment réseau où vous vous trouvez. De plus, la majorité de ces systèmes ne sont même pas protégés par un coupe-feu. Vous utilisez donc NeXpose et metasploit pour faire un scan du réseau et exploiter les vulnérabilités que vous trouvez.

Les acteurs
Le pirate 192.168.118.118
La victime 10.0.0.10

Étape 1 –Dans ce scénario, nous utiliserons un poste avec le système d’exploitation Linux Ubuntu 9.10. Le framework metasploit et le scanneur NeXpose doivent d’abord être installés sur ce même poste. Les logiciels Metasploit et NeXpose ainsi que leurs procédures d’installation respectives peuvent être téléchargée ici.

Étape 2 – Le serveur NeXpose doit d’abord être démarré. Pour ce faire, il faut aller dans le répertoire d’installation. Par défaut, ce répertoire est : /opt/rapid7/nexpose/.  Le serveur peut ensuite être démarré à l’aide de la commande « ./nsc.sh »

# /opt/rapid7/nexpose/nsc/nsc.sh

Étape 3 – Lors d’un scan, il est judicieux d’utiliser un sniffer tel que TCPDUMP ou autre, afin de voir le trafic entre les postes du scanneur et la victime. Il y a plusieurs raisons à cela. Par exemple, il est important de savoir si le scan se déroule bien, s’il y a toujours du trafic entre les deux postes ou pour avoir une trace en cas de problème dans l’éventualité où le scan aurait fait planter la cible ou tout autre équipements entre les deux.

# tcpdump –i eth0 –nn host 192.168.118.118 and host 10.0.0.10

Étape 4 – Une fois le serveur NeXpose démarré, il faut créer la base de données qui sera utilisée pour stocker les informations telles que les vulnérabilités qui seront découvertes lors du scan.  Cette base de données est créée dans metasploit. Les informations recueillies par le scan seront par la suite utilisées par le module db_autopwn, que nous aborderons un peu plus loin.  Pour créé la base de données, il faut utiliser la commande “msf > db_create”.   Si la base de données est déjà créée, il suffit de s’y connecter :

Étape 5 – Le plugin NeXpose fait partie intégrante de metasploit à partir de la version 3.3.1. Afin que les deux puissent interagir, il faut tout d’abord charger le plug-in NeXpose dans metasploit à l’aide de la commande “msf > load nexpose”:

Étape 6 – Une fois que le plug-in NeXpose est chargé dans metasploit, il faut ensuite se connecter au serveur NeXpose lui-même en utilisant le même nom d’administrateur et mot de passe ayant été utilisé lors de l’installation.

msf > nexpose_connect <admin> :<passwd>@<NeXpose_hostname>

Ce qui pourrait ressembler à :

msf > nexpose_connect nxadmin:[email protected]

Étape 7 – La connexion au serveur NeXpose est maintenant établie et nous pouvons maintenant commencer à scanner notre victime à l’aide de la commande « msf > nexpose_scan –v 10.0.0.10 »

La commande “nexpose_scan”  démarre un scan avec des réglages préétablis par défaut et portant le nom de « Pentest ». D’autres types de réglages pour les scans sont également disponibles. L’option « -v » qui signifie « verbose » fera afficher de l’information supplémentaire au fur et à mesure que le scan s’effectuera. L’adresse 10.0.0.10 est bien sur, celle de notre victime.

Étape 8 – Une fois le scan complété, le module « db_autopwn » peut-être invoqué afin d’exploiter les vulnérabilités découvertes sur la cible. Les options suivantes sont utilisés, -t (afficher tous les modules d’exploits ayant une correspondance avec le résultat du scan), –x (sélectionner les modules d’exploits basés sur les références des vulnérabilités), –e (lancer les exploits sur toutes les cibles vulnérables à un exploit donné), –r (utiliser une connexion « reversée »)

msf > db_autopwn –t –x –e -r

Étape 9 – Une fois la cible compromise par un des exploits, une session meterpreter s’établit automatiquement entre la cible et le pirate. Il suffit de sélectionner la session et d’interagir avec cette dernière à l’aide de la commande « session –i 1 ». L’option –i signifie « interagir » et le « 1 » (un) signifie avec quel numéro de session.

msf > session –i 1

Étape 10 – Il ne vous reste qu’à exploiter allègrement la cible…

Cette vidéo explique comment le scanner de vulnérabilités NeXpose de la compagnie Rapid7, peut être utilisé en conjonction avec metasploit, meterpreter et db_autopwn pour découvrir et exploiter des vulnérabilités.  Ces outils permettent une multitude de possibilités, lorsqu’utilisé dans le cadre d’un test d’intrusion effectué par un professionnel de la sécurité, ou lors d’une attaque perpétrée par un pirate.

Scan de vulnérabilités avec NeXpose et metasploit from Michel Cusin on Vimeo.

Scan de vulnérabilités avec NeXpose via une session meterpreter (metasploit) sur Vimeo

Michel donnera le cours SEC564 du SANS en français à Montréal les 19-20 mai ainsi qu’à Québec les 16-17 juin 2010.

Powered by Netfirms