Formation SANS SEC504 en français à Québec et en ligne en Octobre

August 10th, 2012 No comments

SEC504: Hacker Techniques, Exploit & Incident Handling


La formation aura lieue en français à Québec les 3-5 & 9-11 octobre 2012

 

Nouveau !!! Maintenant disponible en ligne via la classe virtuelle de AFI Expertise! Vous pouvez maintenant suivre le cours peu importe où vous êtes sans avoir à vous déplacer!

Cliquez ici pour en savoir plus sur la classe virtuelle.

--

Description du cours

Afin qu’une organisation soit en mesure de lutter, adéquatement, contre les cyberattaques, le personnel en charge de la gestion des systèmes et de la sécurité informatique doit, indéniablement, connaître le fonctionnement des attaques perpétrées, pour établir des mécanismes de défense appropriés.C’est la raison pour laquelle la formation offerte par le SANS intitulée : Sécurité 504, Techniques de piratage, exploit et gestion d’incident « Security 504, Hacker Techniques, Exploits and Incident Handling » se retrouve au deuxième rang, des cours les plus populaires du SANS. Cette formation se distingue, principalement, par son caractère unique, surpassant le niveau de cours des autres organisations. En effet, le SANS enseigne l’utilisation des outils d’attaque (comme d’autres le font), mais également la manière d’arrêter ces offensives (ce que d’autres ne font pas). Le cours SEC 504, vous permettra d’apprendre à contrer efficacement les attaques, en vous aidant à comprendre en détail les tactiques et stratégies utilisées par les pirates informatiques. Il vous permettra, également, d’acquérir l’expérience pratique, à travers les exercices de recherche de vulnérabilité et de découvertes d’intrusions, vous dotant, également, d’un plan de gestion d’incident adéquat.

Ce cours traite des plus récents vecteurs d’attaques jusqu’aux attaques les plus classiques, toujours d’actualités. Plutôt que de limiter l’enseignement à quelques exemples ou trucs d’attaque, ce cours inclut un processus de gestion des incidents, ayant fait ses preuves au fil du temps. Afin d’apprendre à vous préparer contre les attaques et à y répondre efficacement, ce cours fourni une description détaillée des multiples façons avec lesquelles, les attaquants s’y prennent pour compromettre les systèmes informatiques. Les différents ateliers pratiques, vous aideront à comprendre les méthodes utilisées pour détecter les failles de sécurité, avant que les pirates ne s’en chargent à votre place. De plus, ce cours explore certaines questions juridiques liées à la gestion des incidents, y compris la surveillance des employés, la collaboration avec les forces de l’ordre et la manutention des éléments de preuve.

Le cours est constitué des sections suivantes:

• Introduction au SANS et orientation vers la certification du GIAC

• Gestion d’incident étape par étape et investigation de crime informatique

• Exploits informatiques et réseaux, partie 1

• Exploits informatiques et réseaux, partie 2

• Exploits informatiques et réseaux, partie 3

• Exploits informatiques et réseaux, partie 4

• Atelier d’outils de piratage “Capture the Flag” (CtF)

Ce cours s’adresse particulièrement aux personnes faisant parti d’une équipe de gestion d’incident. Il s’adresse également, de façon générale, aux praticiens en sécurité, aux administrateurs de systèmes et aux architectes de sécurité. Il permet de comprendre la conception, la construction et l’exploitation de leurs systèmes, de manière à prévenir, à détecter, et à répondre aux attaques. Le cours SEC 504, vous aidera dans la préparation de la certification du GIAC Certified Incident Handler.

La description complète du cours est disponible en anglais sur le site Web du SANS.

Ce court vidéo (en anglais) donne un bref aperçue de la formation SEC504.

Le cours « SANS SEC504: Hacker Techniques, Exploit & Incident Handling » prépare les candiats visant l’obtention de la certification GIAC Certified Incident Handler (GCIH).

 

                                              

 

Instructeur:
Michel Cusin
[email protected]
418-955-2355

Dates Ce cours de six jours aura lieu les 3-5 & 9-11 octobre 2012
Emplacement AFI Expertise – Bureau de Québec

Agrandir le plan
Cliquez ici pour vous inscrire directement sur le site Web d’AFI Expertise

 

Bookmark and Share

Ne vous demandez pas ce que la sécurité peut faire pour vous, mais plutôt ce que vous pouvez faire pour la sécurité.

July 4th, 2012 No comments

 

Secus et BSidesQuebec s’unissent afin de donner l’opportunité à ceux qui aimeraient publier des textes sur divers sujets liés à la sécurité. Que vous soyez un auteur chevronné ou à vos premières armes, qu’importe! Nous vous invitons à soumettre vos idées d’articles pour une publication éventuelle dans Secus!  Au risque de me répéter, pour ceux qui ne le savaient pas, le nom Secus vient du latin {Securus Simplifius} qui signifie en français « Sécurité simplifiée ».  Ben non, je niaise, ça ne vient pas du latin. Mais ça signifie quand-même « Sécurité simplifiée ». Anyway…! Le concept de la revue Secus est simple : simplifier la sécurité afin de la rendre accessible à tous! Le but est donc d’expliquer des sujets liés à la sécurité qui, à la base, ne sont pas toujours à accessibles à monsieur et madame tout le monde, en les vulgarisant afin que le plus de gens possible puissent comprendre. C’est là, une des forces de Secus. Alors ne soyez pas intimidé, votre article n’as pas à être “1337” ou hyper technique. Il doit seulement être Securus Simplifius… ;-)

Alors si devenir auteur et joindre la communauté BSidesQuebec vous intéresse, vous n’avez qu’à me contacter par courriel à « michel [at] cusin [dot] ca »

Cheers!

– Michel

Bookmark and Share

Or, je vous dis merci!

June 29th, 2012 8 comments

C’est avec un immense plaisir que je me suis vu remettre hier lors du [email protected] de BSidesQuebec au Boudoir Lounge, le prix Secus d’Or dans la catégorie « Implication en sécurité de l’information de l’année »! Les prix Sécus d’Or récompensent les initiatives et les réussites dans le domaine de la sécurité de l’information au Québec. –w00t!-

Je vous dirai d’emblée que cette marque d’appréciation me va droit au cœur! Pour ceux qui me connaissent, vous n’êtes pas sans savoir que je suis un passionné de sécurité et que j’adore communiquer. Alors, laissez-moi vous dire que ça fait du bien de savoir que ce qu’on fait à une valeur et veut dire quelque chose pour les gens!

Le fait de recevoir un tel « feedback » de la part de mes paires me donne envie, non seulement de continuer (quoi que je l’aurais fait de toute façon ;-), mais d’encourager tout le monde à s’impliquer dans la communauté et à contribuer également.  Jeunes et moins jeunes, débutants ou pros, aucune importance! Faites-le!

L’important est de le faire, mais pour les bonnes raisons. Tout est dans l’attitude…

Pour ceux qui ne le savaient pas, le nom Secus vient du latin {Securus Simplifius} qui signifie en français « Sécurité simplifiée ».  Ben non, je niaise, ça ne vient pas du latin. Mais ça signifie quand-même « Sécurité simplifiée ». Anyway…! Le concept de la revue Secus est simple : simplifier la sécurité afin de la rendre accessible à tous! Le but est donc d’expliquer des sujets liés à la sécurité qui, à la base, ne sont pas toujours à accessibles à monsieur et madame tout le monde, en les vulgarisant afin que le plus de gens possible puissent comprendre. C’est là, une des forces de Secus.

Oncle Sam needs you!

 

Alors je profite donc de l’occasion pour lancer un appel à tous : Secus et BSidesQuebec s’unissent afin de donner l’opportunité à ceux qui aimeraient publier des textes sur divers sujets reliés à la sécurité. Que vous soyez un auteur chevronné ou à vos premières armes, qu’importe! Nous vous invitons à soumettre vos idées d’articles pour une publication éventuelle dans Secus! Cool! Vous n’avez qu’à me contacter par courriel à « michel [at] cusin [dot] ca » si devenir auteur et joindre la communauté BSidesQuebec vous intéresse!

En terminant, je tiens à vous remercier tous de votre appui (pour le Secus d’Or et pour vos articles à venir ;-)! J’aimerais également remercier Mario Audet et Samuel Bonneau (les SecusMan) pour cette initiative, qui je l’espère continuera dans les années à venir!

– Michel

Bookmark and Share

Security BSides débarque à Québec: Bienvenue à BSidesQuebec!

April 30th, 2012 No comments

Après quelques temps d’absence sur la scène des organisations d’évènements de sécurité dans la région de Québec, je suis de retour et fier de vous annoncer la tenue d’un BSidesQuebec. Les dates, l’endroit exact et tous les détails seront annoncés au fur et à mesure qu’ils seront disponibles.

Security BSides

 

Mais qu’est-ce que BSidesQuebec?

 

BSidesQuebec est un évènement de sécurité créé par et pour les membres de la communauté de la sécurité de l’information. L’objectif est de rassembler les gens et d’élargir le spectre de la conversation au-delà des limites traditionnelles d’espace et de temps. Il crée des opportunités pour les individus voulant à la fois présenter et participer dans une atmosphère relaxe qui encourage la collaboration.

Bienvenue à BSides. Participez. Partagez.

Ai-je mentionné que BSidesQuebec était gratuit pour les participants? ;-)

Suivez-nous sur Twitter @BSidesQuebec et LinkedIn

Pour ceux d’entre vous qui veulent en apprendre plus sur ce qu’est BSides, voici un petit vidéo tourné au BSides San Francisco qui décrit l’évènement:

Stay Tuned! More to come… ;-)

 

Bookmark and Share

Social Engineer Toolkit: quand la machine attaque l’humain

April 9th, 2012 1 comment

C’est un fait bien connu, la sécurité d’un réseau est aussi forte que son maillon le plus faible. Ce que beaucoup de gens ne réalisent pas, c’est que, trop souvent, ce maillon faible, c’est eux. Les cybercriminels l’ont compris depuis bien longtemps et sont passés maîtres dans l’art d’exploiter ce maillon faible qu’est l’être humain.

L’ingénierie sociale (social engineering) est l’art d’exploiter les failles humaines afin d’obtenir l’accès à un système ou à de l’information. Il existe plusieurs volets à cette discipline et tous les coups sont permis pour quelqu’un de vraiment déterminé.

L’ingénieur social peut tenter de se faire passer pour quelqu’un d’autre, feindre une situation d’urgence afin de mettre une pression sur sa « victime », l’intimider verbalement, tenter de la corrompre financièrement, et j’en passe. Toutes ces méthodes impliquent des interactions entre des individus, ce qui peut entraîner des situations stressantes et inconfortables. Dans certains cas, par exemple lors d’un test d’intrusion, il se peut que ce type d’approche ne soit pas envisageable pour diverses raisons. Alors, comme une approche impliquant l’ingénierie sociale traditionnelle n’est pas toujours possible, pourquoi ne pas tenter une nouvelle approche en utilisant un logiciel ou une machine pour exploiter les gens à notre place ?

C’est là qu’entre en scène un outil comme le Social Engineer Toolkit (SET). Rassurez-vous, SET n’est pas un robot ni un super ordinateur doté d’une forme d’intelligence artificielle complotant pour dominer le monde des humains comme dans le scénario du film L’oeil du mal (Eagle Eye1) ou encore comme Skynet dans Terminator2. En fait, SET est un logiciel opéré par un humain. Le modus operandi est relativement simple : il s’agit de manipuler les humains en les hameçonnant à l’aide de diverses supercheries, pour ensuite leur faire faire une action qui permettra à l’attaquan d’exploiter une vulnérabilité présente dans un système donné dans le but d’en obtenir l’accès.

 

READY ? SET, GO !

SET est un outil de type « ligne de commande » qui s’installe sur Linux et qui a été créé par David Kennedy (ReL1k). Il peut être téléchargé gratuitement au www.secmaniac.com/download/. Contrairement à plusieurs outils de type « ligne de commande », il est très simple à utiliser pour un néophyte dans le domaine. Le concept du SET est sensiblement le même que ce lui d’un restaurant chinois. Vous commandez un « numéro quatre pour deux », et c’est réglé ! Vous n’avez pas besoin de savoir cuisiner pour manger. Dans le cas de SET, on retrouve le même concept de menu. Vous n’avez qu’à démarrer SET, à sélectionner le type d’attaque suivi de quelques paramètres, et c’est réglé ! Vous n’avez pas vraiment besoin de savoir pirater pour attaquer. De plus, SET est inclus dans la distribution de base de BackTrack3. Mais quel est le lien entre l’outil SET et l’ingénierie sociale? Voyons tout d’abord à quoi l’outil ressemble et quelles sont ses caractéristiques.

Premièrement, pour démarrer SET, vous devez vous rendre dans le répertoire dans lequel il est installé. La commande pour le démarrer est « ./set » (sans les guillemets). Voici un exemple de démarrage de SET dans BackTrack : « [email protected] :/ pentest/exploits/set# ./set ». Il ne faut pas confondre cette commande avec celle de « set » (sans le « ./ » devant), qui elle sert au paramétrage des variables de l’environnement du shell, qui est l’interpréteur de lignes de commande. Une fois SET démarré, choisissez l’option « 1) Social-Engineering Attacks » du menu principal. Vous obtiendrez quelque chose qui devrait ressembler à ceci :

SET_figure1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Figure 1

Comme vous pouvez le constater dans la Figure 1, le menu est divisé en plusieurs catégories qui sont toutes en lien avec des attaques relatives à l’ingénierie sociale. Une fois à l’intérieur de l’une de ces catégories, différentes options d’attaques sont disponibles. Comme SET est en constante évolution, voici les catégories et quelques sous categories actuellement disponibles :

1) Spear-Phishing Attack Vectors

2) Website Attack Vectors

3) Infectious Media Generator

4) Create a Payload and Listener

5) Mass Mailer Attack

6) Arduino-Based Attack Vector

7) SMS Spoofing Attack Vector

8) Wireless Access Point Attack Vector

9) Third Party Modules

 

Regardons trois options plus en détail avec quelques exemples de scénarios :

1) SPEAR-PHISHING ATTACK VECTORS

1. Perform a Mass Email Attack

2. Create a FileFormat Payload

3. Create a Social-Engineering Template

Le module « Spear-Phishing Attack Vectors » permet de créer et de personnaliser des attaques d’hameçonnage ciblé sur mesure. Par exemple, l’option « 2. Create a FileFormat Payload» permet de cacher du code malicieux, par exemple une porte dérobée (backdoor), qui est sous la forme d’un exécutable (.exe), à l’intérieur d’un autre fichier qui pourrait être un document PDF. SET utilise ensuite le module msfencode qui fait partie de Metasploit (vous trouverez plus de détails sur Metasploit un peu plus loin) afin de modifier l’exécutable malicieux en l’encodant différemment de façon à rendre son « apparence » unique. Il faut comprendre que la plupart des antivirus fonctionnent sur une base de signatures. Donc, si un logiciel malveillant n’a jamais été vu nulle part, il n’existe aucune signature pour ce dernier. Cela a pour effet de le rendre invisible pour les antivirus. Une fois que le logiciel malveillant est invisible pour les antivirus, SET l’imbrique dans un fichier PDF légitime au choix de l’attaquant. Par la suite, il ne reste qu’à l’envoyer à la victime par courriel. Lorsque cette dernière cliquera sur le fichier joint pour ouvrir le document PDF, son ordinateur se fera infecté par la porte dérobée à son insu. Ici, l’as pect d’ingénierie sociale reside dans le fait que l’attaquant devra trouver le bon contexte et le bon prétexte pour faire en sorte que sa victime ouvre le fichier joint plutôt que d’envoyer le courriel à la corbeille.

 «SET sert donc d’outil servant à dissimuler un logiciel malveillant à l’intérieur d’un contenu légitime.»

Poursuivons avec un deuxième exemple de scenario basé sur le module « Website Attack Vectors ».

2) WEBSITE ATTACK VECTORS

1) Java Applet Attack Method

2) Metasploit Browser Exploit Method

3) Credential Harvester Attack Method

4) Tabnabbing Attack Method

5) Man Left in the Middle Attack Method

6) Web Jacking Attack Method

7) Multi-Attack Web Method

8) Victim Web Profiler

9) Create or import a CodeSigning Certificate

1. Web Templates

2. Site Cloner

3. Custom Import

Ce dernier possède deux niveaux d’options. Le premier niveau permet de sélectionner le type de charge active (payload) qui servira lors de l’attaque du système d’exploitation de la victime. Une fois le premier niveau sélectionné, trois autres options, qui constituent l’appât, sont disponibles. Dans ce module, l’attaquant pourrait par exemple décider de sélectionner « 1) Java Applet Attack Method » et ensuite « 2. Site Cloner ». Cela lui permettrait de cloner une page Web d’un site de son choix. Une fois la page Web clonée, SET interagit avec Metasploit et démarre un serveur Web local sur son poste d’attaque afin de publier la page Web clonée.

Encore une fois, l’attaquant trouve une supercherie pour que sa victime visite la page Web clonée. Une fois que la victim se branche à la page Web clonée résidant sur le poste de l’attaquant, une porte dérobée comme Meterpreter (vous trouverez plus de détails sur Meterpreter plus loin) s’installe à son insu sur son poste par un applet Java. Une connexion cryptée s’établit alors à partir du poste infecté vers le poste de l’attaquant, ce qui lui donne ainsi le plein contrôle de ce dernier. Tout cela se passe, bien sûr, à l’insu de la victime. Une vidéo faisant une démonstration de cette attaque peut être visionnée à http://cusin.ca/?p=1346.

Enchaînons avec un troisième scénario.

3) INFECTIOUS MEDIA GENERATOR

1. File-Format Exploits

2. Standard Metasploit Executable

Avec l’option « Infectious Media Generator », l’attaquant peut transformer un média amovible tel qu’un USB, un CD ou un DVD en un outil d’attaque simple, efficace et d’apparence inoffensive. Cette option crée un fichier « autorun.inf » ainsi qu’une charge active de type porte dérobée qui est programmée pour venir se brancher au poste de l’attaquant qui attend les connexions cryptées entrantes par Metasploit qui est en mode écoute (Metasploit Listener). Par la suite, il ne reste tout simplement qu’à laisser traîner une clé USB infectée près des locaux de la victime et attendre que quelqu’un la ramasse et la mette dans son ordinateur pour savoir ce qu’elle contient. Honnêtement, que feriez-vous si vous trouviez une clé USB dans un hall d’entrée ou dans un stationnement ? Tout comme vous, notre victime branchera la clé USB dans son ordinateur « juste pour voir ce qu’elle contient ». Une fois la clé insérée dans l’ordinateur de la victime, une connexion cryptée s’établit à partir du poste infecté vers le poste de l’attaquant, lui donnant, encore une fois, le plein contrôle du poste de sa victime. Rappelez-vous quand vous étiez petit. Votre mère vous disait de ne pas mettre ce que vous trouviez par terre dans votre bouche, n’est-ce pas ? Alors, aujourd’hui, c’est moi qui vous dis de ne pas mettre ce que vous trouvez par terre dans votre ordinateur !

Évidemment, ces trois scénarios ne sont que quelques exemples des multiples possibilités offertes par SET. Plusieurs autres options aussi intéressantes les unes que les autres sont également possibles.

 

SOCIAL ENGINEER TOOLKIT (SET) ET METASPLOIT : UN DUO INFERNAL

Comme mentionné plus tôt, Social Engineer Toolkit et Metasploit fonctionnent de pair. Mais qu’est-ce que Metasploit ? Il s’agit en fait d’une plateforme d’un logiciel intégré (framework) pour le développement et l’exécution d’exploits4 contre des machines distantes. Metasploit comprend différentes interfaces d’utilisation, mais la plus populaire reste la bonne vieille ligne de commande «msfconsole » (Figure 2). Metasploit, qui est en constant évolution, comprend notamment 762 exploits et 228 payloads différents au moment d’écrire ces lignes. Tout cela sans compter les 27 encodeurs différents pouvant être utilisés par le module msfencode comme mentionné dans l’exemple « 1) Spear-Phishing Attack Vectors ». Voici à quoi ressemble l’interface msfconsole (Metasploit Framework Console) :

SET_figure2

 

 

 

 

 

 

 

 

 

Figure 2

Parmi les options offertes par Metasploit, il y a notamment le mode écoute (Metasploit Listener). Ce dernier permet de recevoir des connexions entrants (reverse shell). Lorsque des postes ayant été compromis, comme décrit dans les trois scénarios précédents, se connectent à l’attaquant, il devient alors possible de les contrôler à distance. Metasploit peut également être utilisé pour attaquer un système cible directement. Le fonctionnement de Metasploit est relativement simple. Premièrement, l’attaquant se connecte à Metasploit. Il choisit ensuite un exploit parmi tous ceux disponibles. Cet exploit sert à exploiter une faille pré sente sur le système cible afin de permettre à l’attaquant de pénétrer dans le système. Il choisit ensuite une charge active (payload) comme une porte dérobée (Meterpreter), un reverse shell, un serveur VNC (VNCInject), etc. Metasploit combine alors tous les éléments, lance l’attaque, com promet le système cible et donne accès à l’attaquant (Figure 3).

SET_figure3

 

 

 

 

 

 

 

Figure 3

 

METERPRETER

Merterpreter est un diminutif de « Meta-Interpreter » et fait partie de Metasploit. Il s’agit en fait d’un payload qui utilise l’injection DLL afin de s’injecter dans une application ayant été compromise par un exploit. Le même principe d’injection DLL s’applique pour le payload VNCInject mentionné plus tôt. Une fois injecté, meterpreter agit comme une porte dérobée et permet à l’attaquant de faire à peu près tout ce qu’il veut avec le poste de sa victime. Il peut, par exemple, vider le contenu des logs pour cacher ses traces, récupérer les hashes5 des mots de passe à partir du Security Accounts Manager (SAM) pour ensuite les cracker. L’obtention des hashes rend également possible les attaques « Pass-the-Hash6 ». Cette attaque consiste à injecter les hashes dans le processus Local Security Authority Subsystem Service (LSASS.exe) sur le poste Windows de l’attaquant. Comme le processus LSASS.exe sert notamment lors de l’authentification des utilisateurs Windows, il devient possible pour l’atta quant de se connecter à un autre poste en se faisant passer pour la victime. Meterpreter permet également de visionner et de manipuler le contenu du disque dur et même de se servir du poste compromis comme relais pour attaquer le reste du réseau. Meterpreter n’est résident qu’en mémoire et il ne s’installe pas sur le disque dur par défaut. Cela signifie qu’il disparaît une fois que l’application qui a été injectée est fermée ou que le poste est redémarré. Cela a pour effet de le rendre très difficile et presque impossible à repérer lors d’une investigation. Comme meterpreter utilise l’injection DLL, il ne fonctionne que sur Windows pour le moment. Certaines rumeurs courent voulant que certaines initiatives, comme « Meterpretux » pour Linux et « Macterpreter » pour Mac OS X, soient apparemment en développement, mais rien de concret n’est encore publiquement disponible à ce jour. De plus, la beauté avec Meterpreter est qu’il utilise du Secure Sockets Layer (SSL) pour crypter les communications entre la victim et l’attaquant. Alors, même si le trafic est repéré, il est pratiquement impossible à interpréter. De plus, il se fond très bien dans le trafic HTTPS normal du réseau.

Prenons, par exemple, le scénario « 2) Website Attack Vectors ». Lorsque l’attaquant réussit à compromettre le fureteur Internet de la victime à l’aide de l’applet Java, la magie de l’injection DLL s’opère et Meterpreter est injecté dans le fureteur Internet. Meterpreter reste vivant tant que le fureteur reste ouvert. Si le fureteur est fermé, la session Meterpreter se termine. Alors, afin de ne pas être à la merci du processus lié au fureteur, Meterpreter crée un nouveau processus « notepad.exe » et y migre automatiquement. Aucune fenêtre n’apparaît à l’écran de la victime, mais le processus est bien présent si l’on vérifie à l’aide d’une commande telle que « netstat –nao » par exemple. Il est également possible pour l’attaquant de faire migrer manuellement Meterpreter vers un autre ProcessID (ou une autre application) de son choix. Il pourrait, par exemple, choisir un des multiples « svchost.exe » présents sur les machines Windows. Il lui suffit d’utiliser la commande « migrate [PID] ». Le [PID] est bien évidemment remplacé par le «Process ID» de l’application vers laquelle Meterpreter a migré.

 

ET ALORS ?

Social Engineer Toolkit est un outil technologique qui permet à un attaquant de perpétrer des attaques sur des systèmes en tirant avantage de l’ingénierie sociale. Le success d’un outil comme SET réside dans le fait que l’humain demeure une faille de sécurité importante. Il est donc primordial de sensibiliser nos gens et de garder nos systèmes à jour. Pour de plus amples informations en anglais à propos de SET, je vous invite à visiter le http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29.

En terminant, j’aimerais vous rappeler que la prudence et les bonnes pratiques sont toujours de mise, alors ouvrez l’oeil et ne cliquez pas sur n’importe quoi !

________________________________________________

1. http://www.eagleeyemovie.com/intl/fr/.

2. http://fr.wikipedia.org/wiki/Personnages_de_Terminator#S.

3. www.backtrack-linux.org/.

4. http://fr.wikipedia.org/wiki/Exploit_%28informatique%29.

5. http://fr.wikipedia.org/wiki/Fonction_de_hachage.

6. http://en.wikipedia.org/wiki/Pass_the_hash.

________________________________________________________

Cet article est également disponible dans le Vol. 4 No. 1 Printemps 2012 la revue Secus et également dans la section “Présentations / Publications” de mon blogue.

________________________________________________________

Bookmark and Share

Formation SANS SEC560 en français disponible à Québec en Mai!

January 10th, 2012 6 comments

-

SEC560 Network Penetration Testing and Ethical Hacking

-

La formation SANS SEC560 en français est de retour à Québec et aura lieue

les 23-25 & 28-30 mai 2012

-

Description sommaire du cours

Les cybers attaques augmentent au même titre que la demande pour les professionnels de la sécurité de l’information possédants de vraies compétences au niveau des tests d’intrusions réseau et de piratage éthique. Plusieurs cours de piratage éthique prétendent enseigner ces compétences mais peu le font réellement. Le cours « SANS SEC560: Network Penetration Testing and Ethical Hacking » vous prépare vraiment à effectuer avec succès vos projets de tests d’intrusion et de piratage éthique. Ce cours d’une durée de six jours, est réparti comme suis :

560.1 : La planification, la définition de la portée et la reconnaissance ;

560.2 : Les balayages de ports et de vulnérabilités ;

560.3 : L’exploitation des failles sur les systèmes ;

560.4 : Les attaques de mots de passe ;

560.5 : Les applications sans fil et les applications Web ;

560.6 : La capture du drapeau « Capture the Flag » est un exercice pratique et intensif dans lequel vous procéderez à un test d’intrusion contre une organisation fictive, afin de mettre en pratique ce que vous aurez appris durant le cours.

La description complète du cours est disponible en anglais sur le site Web du SANS.

Qui devrait y assister?

* Les professionnels de la sécurité effectuant des tests d’intrusion (Pentesters)
* Les pirates éthiques (Ethical Hackers)
* Les auditeurs ayant besoin d’améliorer leur compétences techniques
* Le personnel de sécurité dont le travail consiste à évaluer les réseaux et les systèmes afin de trouver des failles de sécurité

Le cours « SANS SEC560: Network Penetration Testing and Ethical Hacking » prépare les candiats visant l’obtention de la certification GIAC Certified Penetration Tester (GPEN).

 

                     

 

Instructeur:
Michel Cusin
[email protected]
418-955-2355

Dates Ce cours de six jours aura lieu les 23-25 & 28-30 Mai 2012
Emplacement AFI Expertise – Bureau de Québec

Agrandir le plan
Cliquez ici pour vous inscrire directement sur le site Web d’AFI Expertise
Bookmark and Share

Social Engineer Toolkit (SET) – Site Cloner

December 5th, 2011 No comments

Cette vidéo fait la démonstration de l’option « Site Cloner » du Social-Engineer Toolkit (SET). Cette option lui permet de cloner une page Web d’un site de son choix. Une fois la page Web clonée, SET interagi avec Metasploit et démarre un serveur Web local sur le poste d’attaque afin de publier la page Web clonée. Encore une fois, l’attaquant trouve une supercherie pour que sa victime visite la page Web clonée. Une fois que la victime se connecte à la page Web clonée résidant sur le poste de l’attaquant, un backdoor tel que meterpreter s’installe à son insu sur son poste. Une connexion cryptée s’établit alors à partir du poste infecté vers le poste de l’attaquant, lui donnant ainsi le plein contrôle de ce dernier. Tout ceci se passe bien sûr, à l’insu de la victime.


(Visionnez directement sur YouTube pour le mode plein écran)

-

Je donnerai la formation SANS SEC560 “Network Penetration Testing and Ethical Hacking” en français à Québec les 23-25 & 28-30 mai 2012.

-

Bookmark and Share

Présentation – Séminaire sur les intrusions et gestion d’incidents informatique (ActionTI – 23 Nov 2011)

November 24th, 2011 No comments


Avec le nombre croissant d’attaques informatique faisant rage à l’échelle mondiale, les gouvernements ainsi que les petites comme les grandes entreprises n’y échappent pas. Les groupes de pirates informatiques tels que Anonymous et LulzSec, pour ne nommer que ceux-ci, font la loi dans le cyber espace. Ils sont très bien organisés et revendiquent des attaques très dévastatrices qui figurent parmi les plus médiatisées. Ils défient publiquement les autorités, les gouvernements et tous ceux qui semblent se mettre en travers de leur chemin. Rien ne semble les arrêter. Une fois introduits dans les systèmes de leurs victimes, ils s’adonnent notamment au pillage d’information confidentielle et la publient ensuite sur Internet.

Les gouvernements étrangers sont, eux aussi, très actifs. Que ce soit à des fins stratégiques, politiques ou économiques, ces derniers ne ménagent aucun efforts pour parvenir à leurs fins. Contrairement à certains groupes de pirates informatiques, ils travaillent dans l’ombre. Ils ne cherchent pas à faire de coup d’éclat, mais plutôt à obtenir des résultats.

Mais peu importe qui ils sont et ce qu’ils cherchent à faire, les mêmes questions se posent: comment font-ils pour s’introduire dans nos systèmes? Comment pouvons-nous protéger nos infrastructures contre ces attaques qui sont souvent invisibles et qui surviennent la plupart du temps à notre insu?

Certaines pistes de solutions à ce fleau s’offrent à nous. Nous devons réagir, mais surtout, agir de façon proactive si nous ne voulons pas perdre la guerre. Il est crucial de découvrir nos failles avant que les pirates ne le fassent. Mais malgré tous nos efforts, il est clair que tôt ou tard, nous aurons à faire face à de multiples scenarios d’attaques et d’intrusions. La question n’est pas “si” mais plutôt “quand” cela arrivera. Nous devons donc nous préparer à y faire face.

Voici donc la présentation que j’ai fait lors du séminaire sur les intrusions et gestion d’incidents informatique à ActionTI le 23 novembre 2011. Elle explore diverses techniques employées par les pirates ainsi que certains outils qu’ils utilisent. Elle explique comment les pirates s’y prennent pour trouver les failles de sécurité et comment ils les exploitent afin de prendre le contrôle de nos infrastructures. Nous verrons également comment ils réussissent à garder l’accès aux systèmes qu’ils ont compromis et comment ils tentent de cacher leurs traces.

Les attaques de type injection SQL ne sont pas nouvelles. Toutefois, elles sont très répandues et utilisées par les pirates. Ils s’en servent notamment pour voler toutes sortes d’information sensibles et confidentielles telles que des numéros de cartes de crédit, des renseignements personnels, etc… Pour ceux qui n’ont pu assister à la démonstration d’attaque par injection SQL, voici une vidéo qui fait une démonstration d’attaque par injection SQL à l’aide de l’outil sqlmap. La cible de l’attaque est un serveur qui roule Damn Vulnerable Web Application (DVWA).

Surveillez mon calendrier de formation de 2012 qui sera disponible sous peu si vous êtes intéressés à suivre les cours SANS SEC504: Hacker Techniques, Exploit & Incident Handling et SEC560: Network Penetration Testing and Ethical Hacking

Bookmark and Share

Vos enfants, Internet et vous.

November 22nd, 2011 No comments

Atelier : Vos enfants, Internet et vous.

Plusieurs parents se sentent parfois dépassés, impuissants ou tout simplement démunis face à l’utilisation que leurs enfants font des ordinateurs et d’Internet. Cet atelier à donc pour bût d’aider les parents soucieux d’éduqué et de protéger leurs enfants face aux multiples dangers qui les guettent sur Internet. Il n’est pas nécessaire d’être un craque en informatique ou un expert en sécurité pour suivre cet atelier. Des principes simples et de base seront abordés afin de permettre aux parents de mettre immédiatement en pratique les notions apprises. La mémoire étant une faculté qui oublie, de la documentation est également rendus disponible aux participants. Les sujets abordés sont :

* Les fureteurs Internet
– Les différents fureteurs Internet (Internet Explorer, Firefox, Safari, Chrome, etc…)
– La mise à jour logicielle du fureteur (pour plus de sécurité)
– Historique des sites visités et des téléchargements
– La mémoire cache des images ayant été affichées
– Le furetage anonyme
– Répetoire par défaut des téléchargements
– Barres d’outils de sécurité

* Les moteurs de recherche (Google)
– Paramétrisation de filtrage de recherche (stricte, modéré, aucun)
– Google : Images, Maps, Street view, Vidéos (You Tube), Google+

* Les réseaux sociaux (Facebook, Twitter)
– Introduction à Facebook et Twitter
– Certains dangers (souvent méconnus) reliés aux réseaux sociaux
– Paramétrisation plus sécuritaire des comptes de réseaux sociaux
– Les applications mobiles pour réseaux sociaux (ex. : iPhone, etc…)

* Le clavardage (chat)
– Les différents réseaux et logiciels
– Historique des conversations
– L’usurpation d’identité
– Les Webcams

* Les prédateurs sexuels

* Logiciels de sécurité
– Coupe-feu (Firewall)
– Antivirus

* Logiciels de contrôle parental

* Éducation et responsabilisation
– Les jeunes
– Les parents

* Liens et ressources

Vous pouvez également consulter ou télécharger le contenu de la présentation ici.

Pour toute demande concernant la tenue d’un atelier “Vos enfants, Internet et vous” dans votre école ou votre communauté, contactez-moi à [email protected]

Bookmark and Share

Présentation “Pwn Plug: Arme Fatale” du 2 novembre à l’ASIMM

November 18th, 2011 No comments

Voici une copie de ma présentation du 2 novembre lors du [email protected] technique de l’ASIMM.

Pour ceux et celles n’ayant pu assister à ma présentation et qui aurait aimer le faire, la voici en sons et images. Merci à Éric Parent de s’être porté volontaire pour filmer et faire le montage!

PS: Cliquez de nouveau sur “Play” après le petit 30 secondes de pub pour débûter la présentation si elle ne démarre pas automatiquement.

Bookmark and Share
Powered by Netfirms