Archive

Archive for September, 2010

Venez apprendre à maitriser l’Art du Kung-fu!

September 22nd, 2010 No comments

Le 19 Octobre prochain, dans le cadre du CQSI 2010, j’aurai la chance de participer à un présentation conjointe Bell/Radware et qui a pour titre: “Maitriser l’Art du Kung-fu”.

Description:

« Instaurer et ajuster les niveaux de sécurité sont, en soi, une forme d’art que plusieurs organisations évitent ou ne maîtrisent tout simplement pas! »

Un nombre important et grandissant d’attaques sont dynamiques et ne peuvent normalement pas être détectées ou bloquées par des systèmes de prévention des intrusions (Intrusion Prevention System – IPS) statiques par signature.

Les attaques de nouvelle génération, en évolution constante, exposent malheureusement les organisations.

La stratégie de protection doit donc être construite avec plusieurs formes de technologies de sécurité qui vont bien analyser et repousser chacune des menaces.

Alors venez apprendre l’Art du Kung-fu pour protéger votre organisation!

– Michel

Le « chfeimerfnt » des données: Une technologie simple à utiliser et accessible à tous.

September 14th, 2010 2 comments

La nature de l’information contenue sur les supports électroniques que nous utilisons aujourd’hui tel que les disques durs, les clés USB ou autre type de médias, varie beaucoup. Qu’il s’agisse d’un schéma réseau, d’un résultat d’analyse de vulnérabilités, de courriels ou d’informations stratégiques, un fait demeure : La nature et l’importance de ces informations est souvent méconnue et les conséquences qu’elles tombent entres de mauvaises mains sont malheureusement sous-estimées et peuvent être catastrophiques.

C’est top secret, alors personne ne le lira…

Qu’adviendrait-il si, par exemple, le P.D.G. d’une multinationale perdait ou se faisait voler son ordinateur portable alors qu’il contient des informations stratégiques sur une transaction d’acquisition majeure visant à engloutir sont principal compétiteur? Quelles pourraient être les conséquences si le contenu du disque dur de l’ordinateur d’un agent des services secrets se faisait copier et que son contenu se retrouvait dans les mains d’un espion étranger? Bon d’accord, vous me direz que je pousse un peu et que tous ces scénarios qui semblent sortir tout droit d’un film d’espionnage sont peu probable et que toutes cette paranoïa ne vous concerne pas vraiment et vous avez le droit. Toutefois, que diriez-vous si VOTRE ordinateur portable se faisait volé? Même si vous n’êtes pas P.D.G. ou agent secret, vous êtes tout de même à risque. Qu’il soit dans votre véhicule, dans votre chambre d’hôtel ou même chez vous, votre portable peut se faire voler.

« Bah! Nous ne sommes pas la NASA alors… »

Vous êtes-vous déjà arrêté quelques instants pour réfléchir à ce que votre ordinateur peut contenir comme informations et des conséquences possibles si ces informations se faisaient voler? Si vous ne l’avez jamais fait, je vous invite à le faire. Voici une liste d’éléments qu’il peut contenir juste pour alimenter votre réflexion :

–         Données financières (personnelles et corporative);

–         Historiques des sites Web que vous avez visités;

–         Mots de passe (personnels et corporatifs);

–         Courriels;

–         Historique de clavardage;

–         Informations sensibles/stratégiques/confidentielles de toute sorte;

–         Lettre de démission prête à être envoyée à votre patron si …;

–         Certaines photos que vous souhaitez garder secrètes;

–         Numéro d’assurance sociale (NAS)

–         Etc…

La liste peut être longue. J’entends parfois dire « Bah! Nous ne sommes pas la NASA alors… ».  Donc, dois-je déduire que ce type de commentaire signifie qu’il n’y a aucun problème à ce que les éléments mentionnés ci-haut sortent publiquement? Vraiment?

Mais qu’est-ce que je peux faire?

Tout le monde sait maintenant que d’utiliser uniquement un mot de passe au niveau du système d’exploitation (Windows, Linux, Mac, etc..) pour protéger l’information qu’il contient est nettement insuffisant. Une des solutions pouvant aider à enrayer ce problème est, vous l’aurez deviné, le chiffrement. Ce n’est pas la première fois que j’écris à ce sujet et ce n’est (je l’espère) pas la première fois que vous en entendez parler. Mais cette fois-ci, le bût de ma démarche, est de vous fournir quelques pistes de solutions simple et rapide à utiliser pour vous aider à protéger vos données.

Note : Avant d’aller plus loin, j’aimerais attirer votre attention sur le fait que l’utilisation du chiffrement peut également rendre l’information inaccessible même pour son propriétaire si utilisé de façon inadéquate. Il faut donc s’assurer d’avoir une bonne stratégie de prise de copies de sauvegarde (Backups). Cette stratégie devrait non seulement tenir compte de l’information chiffrée elle-même, mais également des mots de passe ou des phrase de passe (Passphrase) ainsi que des clés de chiffrement. Il faut également tenir compte du fait que votre entreprise offre peut-être déjà une solution de chiffrement centralisée qui permet de récupérer l’information sur le poste d’un employé ayant quitté l’organisation. Il est donc important de s’informer et de demander la permission à quelqu’un en autorité dans l’organisation avant d’installer une solution de chiffrement sur un dispositif appartenant à l’entreprise. En ce qui concerne les postes privés ou personnels, j’espère que les quelques exemples de solution mentionnés ci-bas seront utiles.

Voici une liste non exhaustive de quelques exemples solutions de chiffrement gratuites, ayant des caractéristiques différentes :

AxCrypt

AxCrypt est un logiciel libre (open source) de chiffrement de fichiers pour Windows. Il s’intègre parfaitement à Windows pour compresser, chiffrer, déchiffrer, stocker, envoyer des fichiers individuels.

(Source http://www.axantum.com/axcrypt/)

GPG (GnuPG)

GnuPG est un outil qui se lance via une console par une ligne de commande sans aucune interface graphique. C’est un vrai moteur cryptographique qui peut être utilisé directement depuis un prompt, un script shell ou par d’autres programmes. Il peut aussi fournir à d’autres applications les outils de crypto nécessaires.

Cependant, même utilisé via une ligne de commande, il fournit toutes les fonctionnalités nécessaires – ainsi qu’un menu interactif. Le jeu de commande de cet outil sera toujours plus complet que celui de n’importe quelle interface graphique.

  • Remplacement complet de PGP.
  • Ne doit pas utiliser un quelconque algorithme breveté.
  • Sous licence GPL, écrit à partir de zéro.
  • Peut être utilisé comme programme filtrant.
  • Implémentation complète d’OpenPGP (Cf RFC4880 à RFC Editor ).
  • Plus performant que PGP et offrant des améliorations par rapport à PGP 2; au niveau de la sécurité.
  • Déchiffre et vérifie les messages créés avec PGP 5, 6 et 7.
  • Supporte ElGamal, DSA, RSA, AES, 3DES, Blowfish, Twofish, CAST5, MD5, SHA-1, RIPE-MD-160 et TIGER.
  • Implémentation facilitée de nouveaux algorithmes utilisant des modules d’extension.
  • L’ID utilisateur est forcé d’être dans un format standard.
  • Supporte les dates d’expiration de clé et de signature.
  • Les langues suivantes sont supportées: Anglais, Danois, Néerlandais, Espéranto, Estonien, Français, Allemand, Japonais, Italien, Polonais, Portugais (Brésilien), Portugais (Portugais), Russe, Espagnol, Suédois et Turc.
  • Système d’aide en ligne.
  • Récepteurs de message anonyme en option.
  • Support intégré des serveurs de clés HKP (wwwkeys.pgp.net).
  • Nettoie les fichiers patch signés-clairs pour permettre leur traitement par l’utilitaire patch.
  • Et bien d’autres choses…

Le projet Gpg4win fournit une version Windows de GnuPG

(Source http://www.gnupg.org/)

True Crypt


TrueCrypt est un logiciel gratuit de chiffrement à la volée, fonctionnant sur Microsoft Windows XP/2000/2003/Vista (32-bit et 64-bit)/7, Mac OS X et Linux. Son code source est disponible, mais pour autant il ne s’agit pas d’un logiciel libre.

Il permet de créer un disque virtuel chiffré (volume TrueCrypt) contenu dans un fichier et de le monter comme un disque physique réel. TrueCrypt peut aussi chiffrer une partition entière ou un périphérique, comme une disquette ou une clé USB. Le chiffrement est automatique, en temps réel et transparent.

Tout ce qui sera stocké dans un volume TrueCrypt sera entièrement chiffré (i.e. incluant les noms des fichiers et les répertoires). Les volumes TrueCrypt se comportent (une fois montés) comme des disques durs physiques. Il est ainsi possible, par exemple, d’en réparer le système de fichiers avec chkdsk, ou de défragmenter les volumes créés par TrueCrypt une fois monté, etc…

Sources : http://www.truecrypt.org/ & Wikipedia)

Bon chiffrement!

– Michel

Hping – Revisited

September 9th, 2010 3 comments

Dans cette vidéo, je revisite l’outil Hping3 (http://www.hping.org/). Hping n’est  pas un nouvel outil qui vient tout juste de sortir. Il existe déjà depuis plusieurs années. Cependant, comme  plusieurs ignorent son potentiel ou tout simplement son existence, j’ai eu envie de partager quelques-unes de ses fonctionnalités qui, même si elles sont très simples, peuvent s’avérer très utiles.

Cette vidéo démontre donc  trois des multiples fonctionnalités de l’outil Hping. J’y explique comment manipuler les les « Control Bits » (syn, push, fin, ack, rst, urg) qu’on retrouve dans l’entête (header) d’un paquet TCP. Je démontre ensuite comment recréer les conditions d’une attaque « Land » (Land Attack) en utilisant la capacité de Hping à « spoofer » l’adresse IP source des paquets. Finalement, je fais une démonstration comment Hping peut transporter du data via le « payload » des paquets ICMP.

Hping – Revisited from Michel Cusin on Vimeo.

Pour ceux qui aimeraient en apprendre plus sur Hping et sur d’autres outils du même genre ainsi que sur des technique d’utilisation,  vous êtes invité à visiter le site du SANS et à porter une attention particulière au cours Security 560 : Network Penetration Testing And Ethical Hacking. Je vous invite également à me contacter si vous souhaiteriez suivre cette formation en français.

– Michel

Les métadonnées : Une mine d’or d’informations. Mais pour qui ?

September 7th, 2010 5 comments

Une métadonnée, aussi appelée metadata (en anglais), est en fait de l’information à propos de l’information elle-même. Prenons l’exemple d’un document produit à partir de la suite Microsoft Office ™, de la suite OpenOffice ou Adobe Acrobat ™ (PDF), pour ne nomme que ceux-ci. À première vue, l’information qu’il contient se résume à ce qui peut être lu ou vu sur le document comme le texte, les images, les graphiques, etc… Mais détromper vous, il y a plus. Il y a les métadonnées. Mais que sont-elles exactement? Que contiennent-elles?

Publiez un document et je vous dirai qui vous êtes!

Afin d’étudier la question,  J’utiliserai un logiciel qui s’appelle FOCA et qui à été créé par une compagnie basée à Madrid en Espagne qui s’appelle Informática 64. FOCA est un outil permettant notamment de trouver, de télécharger et d’analyser de façon automatisée, plusieurs types de documents tels que .doc, .ppt. .pdf, etc… et ce, à partir d’un site Web donné. Certains jugeront peut-être cette pratique douteuse, mais  je tiens toutefois à préciser qu’il n’y a rien d’illégal dans cette façon de faire. L’information qui est présente sur un site Web est, en principe, disponible pour le téléchargement. La seule différence avec FOCA, c’est que le processus est automatisé plutôt que d’être fait manuellement par un humain. Donc, s’il faut se poser une question ce serait plus le fait de récupérer de l’information que sur la mécanique utilisée.

Bref, beaucoup de gens ne réalisent pas que des documents ayant été publiés sur un site Web, volontairement ou non, fournissent des informations à propos d’eux à leur insu. En effet, les métadonnées qui s’y trouvent pourraient éventuellement s’avérer très intéressantes et utiles pour quiconque sachant s’en servir.

Parmi ces informations, ou devrais-je dire, ces métadonnées, FOCA est notamment en mesure de récupérer :

– Le nom d’utilisateur de l’auteur du document;

– Le nom de l’imprimante sur laquelle le document a été imprimé;

– Le nom et la version du logiciel avec lequel le document a été créé;

– L’adresse courriel de son auteur.

De plus, la nouvelle version de FOCA (ver. 2.5) offre une multitude de nouvelles possibilités. L’outil est maintenant en mesure de récupérer encore plus d’informations au niveau du nom de domaine (xyz.com.) Par exemple :

– D’autres sous-domaines basés sur le nom de domaine principal (ex. : sous-domaine.xyz.com);

– D’effectuer des transferts de zones (lorsque permis par le(s) serveur(s) DNS);

– De balayer les listes d’enregistrements DNS (PTR Records).

Mais attendez! Il y a plus!

FOCA est également en mesure de faire du fingerprinting (déterminer une version de serveur) au niveau HTTP et SMTP en plus de pouvoir faire des recherches via SHODAN, qui est un engin de recherche pour trouver des systèmes spécifiques sur Internet. Autrement dit, Google trouve des pages Web, SHODAN trouve des systèmes.

Le bût de cet article n’est pas de faire une description exhaustive de FOCA alors prenez le temps d’y jetez-y un œil par vous-même, afin d’apprécier  tout son potentiel.  Mon intention est plutôt de vous sensibiliser sur  le fait que les documents publiés sur Internet regorgent d’information intéressante et de vous faire prendre conscience que cette information peut-être et sera utilisée contre vous. La question n’est pas « si » mais bien « quand ».

Toutes ces informations peuvent parfois sembler anodines, mais, elles peuvent être une source précieuse d’information pour un professionnel de la sécurité effectuant un test d’intrusion ou, pour un pirate. Habituellement, lors d’une attaque, la première étape consiste à ramasser le plus d’information possible sur la cible. Cette étape est communément nommée la phase de reconnaissance. Or, un outil comme FOCA peut s’avérer très utile pour accomplir cette tâche.

Voici un scénario d’attaque possible : Un pirate mettant la main sur des métadonnées contenues dans un document téléchargé sur un site Web, pourrait par exemple réussir à obtenir le nom et l’adresse courriel de l’employé de l’organisation ayant crée le document. Il pourrait par la suite perpétrer une attaque en exploitant une faille connue dans logiciel utilisé pour créer le document et renvoyer courriel avec un contenu malicieux à l’adresse courriel ayant été découverte dans les métadonnées. La victime recevra donc un courriel avec un document attaché qui contient du code malicieux. Lorsque celle-ci ouvrira l’attachement,  son poste de travail sera alors automatiquement compromis et donnera accès au pirate via une porte dérobée « backdoor ». Une fois que le pirate aura accès au poste de la victime, il lui sera possible de « pivoter » et d’attaquer d’autre poste sur le réseau, et ce, à partir du poste de la victime et à son l’insu. Le tout pourrait même se produire sans que l’antivirus qui en passant est à jour, ne puisse faire quoi que ce soit! Mais ça c’est une autre histoire, qui peut-être, sera traitée lors d’un autre article…

Pistes de solutions

Il existe des pistes de solutions. Faites des vérifications de façon régulière afin de savoir ce que votre organisation laisse transpirer comme information à travers les documents publiés, volontairement ou non. L’utilisation régulière d’outil comme FOCA ou tout autre outil du même genre peut aider. Cet exercice pourrait par exemple faire parti des analyses de vulnérabilités et des tests d’intrusions qui doivent normalement être effectués de façon régulière au sein d’une entreprise.

De plus, les solutions de type « Data Leak Prevention » où « Data Lost Prevention » sont d’autres moyens permettant de contrôler l’information qui sort d’une organisation.

La sensibilisation et la formation du personnel concernant la sécurité de l’information sont souvent sous-estimées et négligées. Toutefois, elle s’avère un outil efficace. Que ce soit pour prévenir les pirates qui tentent d’utiliser des attaques d’ingénierie sociale ou pour s’assurer que les documents soient « aseptisés » avant d’être rendues publiques.

– Michel

Powered by Netfirms