INSAT
Club de la sécurité informatique Troisième Numéro, Avril 2007
EDITORIAL:
DANS CE NUMÉRO :
Dossier sur Le réseau sans fil, un confort d’échange mais...
2
Le saviez vous?
4
• Où positionner son IDS? • Les évolution du système de détection des intrusions
• Quelques recommandations élémentaires sécurité Incroyables Incroyablesmais maisvrai…! vrai…! Attention Attaques!
6
• HijackingAttaques! Attention
6
Man in the Middle •• Hijacking
•Social ManEngenierring in the Middle
8
Astuces Social Engenierring
9 8
• La sécurité des communicaAstuces
12 9
•
12
Le protocole de sécurisa• tions: Les outils de Sécurité: NetCat tion des échanges: SSL
•Tutorial Les outils de Sécurité: Net•
Cat
14
Les ACL POSIX sous Linux
• Mots Croisées
Cependant, en se connectant sur Internet , nous sommes tous vulnérables. En effet, une personne connectée à des milliers de kilomètres peu facilement sniffer une conversation confidentielle qui s’effectue entre notre PC et celui de notre collègue du bureau. Ces intervenants munis d’intentions malveillantes peuvent être des amateurs ou des experts qui tentent de porter atteinte à notre système et à notre image de marque. Les procédures d’attaque deviennent de plus en plus banalisées et disponibles avec l’ouverture de l’internet. Avec des outils simples à télécharger, le nombre de hackers a énormément augmenté.
• Le rôle du mangement dans le
tions: Le protocole de sécurisation des La échanges: sécurité SSL des communica-
A
vec l’opportunité de se connecter à un réseau interne ou externe depuis notre maison ou depuis notre poste de travail, nous devenons membres d’une grande communauté où on ne compte plus les distances.
14
Auparavant, la culture informatique se limitait à maîtriser les moyens et les techniques permettant de faire fonctionner un système informatique. Aujourd'hui, il est demandé de maîtriser et de savoir se protéger. Nous avons la profonde conviction que toute personne doit être informée et préparée à cette cyber-guerre.
Bonne lecture
2
1- Brève présentation:
W
i-fi : Wireless Fidelity ou encore la norme internationale des réseaux sans fil 802.11 maintenue par IEEE, se présente sous plusieurs normes dont actuellement: – 802.11b (WiFi) 2,4 Ghz, 11 Mb/ s – 802.11a (WiFi 5) 5 Ghz, 54 Mb/s – 802.11g 2,4 Ghz, 54 Mb/s Les normes 802.11x utilisent des bandes radio RF (Radio Frequency) pour réaliser la transmission. Ces bandes, comme précisé au début, sont variables de fréquence (2,4 GHz ou 5 GHz). Les réseaux WLAN remplacent le plus souvent le câblage structurel traditionnel, ces solutions apparaissent vite à certains endroits où le câblage est difficile à réaliser et onéreux, et qu’on compte sur la mobilité, la souplesse, l’extensibilité et la simplicité de l’installation. Malgré leurs facilité d’installation tant du point vu coût que configuration, les réseaux sans fil souffrent d’une sécurité insuffisante et facilement contournable. Pour faciliter la compréhension des mots techniques utilisés ultérieurement, il convient de vous procurer une
brève présentation des modes de communication WLAN existants :
Architecture des réseaux WLAN On distingue deux modes : • Le mode Ad-Hoc. Le fonctionnement de ce mode est totalement distribué, il n'y a pas d'élément structurant hiérarchiquement la cellule ou permettant de transmettre les trames d'une station à une autre. Ce mode permet la communication entre deux machines sans l'aide d'une infrastructure. Du fait que ce mode ne prend pas en compte l’identificateur SSID (Service Set Identifier), il permet aux stations avec différents SSID de communiquer entre elles. Son utilisation n’est pas recommandée étant donné qu’il n’est pas conforme au standard IEEE 802.11
Point d'Accès (PA). Ce mode permet à des stations wifi de se connecter à un réseau filaire via un point d'accès. Une station wifi associée à un autre PA peut aussi s'interconnecter. L'ensemble des stations à portée radio du PA forme un BSS (Basic Service Set). Chaque BBS est identifié par un BSSID (BSS Identifier) qui correspond à l'adresse MAC du PA. Il s’agit d’un mode conforme au standard IEEE 802.11. Il est conseillé de l’utiliser pour la construction des réseaux à topologie peer-to-peer.
la cible d’une attaque de type déni de service à l’aide de dispositifs électroniques de brouillage.
• Interconnexion des deux modes :
Le 802.11x offre, de base, un cryptage via une clé WEP (Wired Equivalent Privacy), qui, en théorie, protège le réseau. Cette clé WEP sert à crypter les transactions entre l’AP et les PC ou PDA reliés à celui-ci.
Enfin, il est possible de relier plusieurs BBS par une liaison appelée système de distribution afin de constituer un ensemble de services étendu, ESS en abrégé (en anglais Extended Service Set).
Les risques des réseaux sans fil :
• Le mode Infrastructure:
Les risques qui pèsent sur les réseaux sans fil peuvent être dus à plusieurs failles commençant par l’architecture même mise en place, mais ces risques restent principalement de deux types.
Le mode infrastructure se base sur une station spéciale appelée
Tout d’abord, cette technologie utilisant les bandes radio, peut être
La valeur SSID est la valeur que doit avoir le cadre d'un BSS pour identifier le réseau.
On peut retenir qu’un simple micro-onde en fonctionnement peut être suffisant pour perturber un tel réseau. A fortiori, des dispositifs spécifiques devraient être d’une efficacité drastique. C’est plutôt le deuxième risque concernant l’interception de données, leur modification ou l’intrusion dans le réseau qui représente la crainte la plus redoutable.
Le WEP utilise une clé de chiffrement qui peut être générée à partir d'un mot ou d'une phrase, de 64 ou 128 bits. La véritable faille est que cette clé ne change pas et au bout d'un certain temps, à force d'être utilisée, elle finit par être extractible de l'ensemble des données échangées. Ceci serait beaucoup plus difficile si cette clé était modifiée au cours des échanges.
2- Les pratiques de détection des réseaux Wifi : Wardriving, warwalking...
F
ace à la faible sécurité de ce protocole, de nouvelles techniques de détection illégales des réseaux ont vu le jour. WarXing consiste à scanner les réseaux WLAN non sécurisés en circulant dans les zones urbaines avec un matériel préparé pour la détection. Il existe différents types de warXing qui dépendent des méthodes de déplacement. Si nous nous déplaçons à pied, on l’appelle warwalking (warstrolling), Si nous sommes en deltaplanche ou en avion - warflying. Le plus populaire est wardriving qui utilise la voiture en tant que moyen de transport. Si, en plus, nous marquons les bâtiments où se trouvent les réseaux WLAN, on donne le nom de warchalking. Le résultat
principal de warXing est l’acquisition d’accès au réseau de la société, et par conséquent, à Internet.
• Outils : Déployant ces outils, et adoptant une stratégie d’attaque en se référant à une des méthodes de scan cités dessus, un pirate pourra bien, à défaut d’un réseau non sécurisé, détecter les vulnérabilités du réseau et en profiter pour construire une menace. Mais ces mêmes outils sont encore utiles pour un administrateur du réseau sans fil afin de vérifier la solidité du réseau.
- L'analyse des réseaux sans fil 802.11x. Le choix d'outils est très grand mais on distingue 2 outils
qui offrent les plus grandes fonctionnalités. • kismet (http:// www.kismetwireless.net) • Wellenreiter (http:// www.wellenreiter.net)
- L’obtention de la clé WEP des réseaux sécurisés par le chiffrement : Nous citons les outils les plus pertinant de point de vue fonctionnalités : • WEPCrack (http:// wepcrack.sourceforge.net/ ) • Air-Snort (http:// airsnort.shmoo.com/). • aircrack, airodump, aireplay : http:// www.cr0.net:8040/code/network/ aircrack/
- Les outils de scan : Ils sont les mêmes utilisés dans les réseaux classiques : • nmap (http://www.nmap.org/) • thcrut (http://www.thc.org/ thcrut/) • hping (http://www.hping.org/) • dsniff (http:// www.monkey.org/~dugsong/ dsniff/) • ggsniff (http:// ggsniff.sourceforge.net/)
3
3- Conseils pour la sécurisation des réseaux WLAN Comment s'en protéger ?
• Ne pas lier les AP aux réseaux de câbles • Authentification des utilisateurs des réseaux WLAN (exemple via VPN, SSH, 802.1X etc.) • Désactiver la diffusion du SSID dans les AP, et activer le masquage du SSID
• Désactiver la communication client-client dans le AP
• Changer les paramètres par défaut des AP (le SSID, les mots de passe, l’adresse IP etc.)
• Vérifier si les employés n’installent pas des AP sans autorisation.
• Activer le contrôle d’accès au niveau MAC et IP
• Installer un faux point d’accès, par exemple, FakeAP+HostAP afin de tromper l’adversaire
• Eviter l’utilisation des clés secrètes WEP faciles à deviner (Le WEP utilise l’algorithme RC4:un algorithme symétrique de chiffrement) • Utiliser plutôt les AP gérant le WPA (TKIP (en anglais Temporal Key Integrity Protocol) ou wep2, et 802.1X (• 802.1x est un jeu de protocoles ajoutant une authentification de plus sur les réseaux sans fi l. 802.1x définit)
• Sécuriser les AP contre un accès physique (pour que le pirate ne puisse pas redémarrer un appareil jusqu’aux paramètres par défaut) • Sécuriser toutes les stations clientes et tous les serveurs (la fermeture des ports inutiles, un coupe-feu, le système ID etc…
• Désactiver le protocole DHCP sur les réseaux WLAN, surtout pour les étendues des adresses
• Installer le système ID pour les réseaux sans fi l – l’analyse des numéros de séquence, de types bizarres des trames, des adresses de diffusion générale (en anglais broadcast addresses), des adresses MAC bizarres sur le réseau, par exemple des préfixes OUI (en anglais Organizationally Unique Identifi er) non accordés par IEEE
• Observer la création de nouveaux AP car le pirate peut installer un AP.
• Vérifier une mise en route des mécanismes de sécurité les mêmes que pour les réseaux de câbles.
• Mettre en oeuvre la politique de changement fréquent des clés secrètes ( pour dérouter les tentatives d’attaques)
TOUNSI Wiem tounsiwiem@yahoo.fr
La vulnérabilité des autocommutateurs
L
es systèmes d’information ne sont pas uniquement constitués des systèmes informatiques et des réseaux d’ordinateurs ; il faut se rappeler que les téléphonies (téléphones, télécopies, portatifs…) en font aussi partie et sont également très fragiles, en particulier parce que les autocommutateurs ne sont pas toujours bien gérés : il faut connaître ces vulnérabilités, comme utilisateurs afin de ne pas se « laisser piéger », ou comme responsable de site afin de prendre les mesures qui s’imposent. GHODHBENE Esslem isleaim@gmail.com
4
Où positionner son IDS ?
L
e schéma suivant illustre un réseau local ainsi que les trois positions que peut y prendre un IDS :
Où positionner son IDS ?
•
I
l existe
plusieurs endroits stratégiques où il convient de placer un IDS.
IDS , IPS ,Honeypots, honeynets? Que voulez-vous dire?
L
es systè-
mes de détection d’intrusions sont indispensables pour la sécurité du réseau.
Position ( 1 ): Sur cette
position, l'IDS va pouvoir détecter l'ensemble des attaques frontales, provenant de l'extérieur, en amont du firewall. Ainsi, beaucoup (trop?) d'alertes seront remontées ce qui rendra les logs difficilement consultables.
• Position ( 2 ): Si l'IDS est placé sur la DMZ, il détectera les attaques qui n'ont pas été filtrées par le firewall et qui relèvent d'un certain niveau de compétence. Les logs seront ici
plus clairs à consulter puisque les attaques bénignes ne seront pas recensées.
• Position ( 3 ): L'IDS peut ici rendre compte des attaques internes, provenant du réseau local de l'entreprise. Il peut être judicieux d'en placer un à cet endroit étant donné le fait que 80% des attaques proviennent de l'intérieur. De plus, si des trojans ont contaminé le parc informatique (navigation peu méfiante sur internet) il pourront êtres ici facilement
identifiés pour être ensuite éradiqués. Idéalement, on placerait des IDS sur les trois positions puis on délèguerait la consultation des logs à l'application "acid" (cf http://acidlab.sourceforge.net/) qui permet d'analyser les alertes et d'en présenter clairement les résultats via une interface web complète. Si une seule machine peut être déployée, autant la mettre sur la position 2, cruciale pour le bon fonctionnement des services. Hmida Issam hmidaissam@yahoo.fr
Les évolutions des systèmes de détection d’intrusions.
I
ls permettent (comme leur nom l’indique) à détecter les tentatives d’intrusions réussies et échouées et ceci en se basant sur une base de signatures des différentes attaques connues, donc leur fonctionnement est semblable à celui des antiverus. L’évolution vers un système de prévention d’intrusion provient de la nécessité d’avoir un système actif qui réagit suite à une détection d’une intrusion. En effet l’IDS (Intrusion De-
tection System) se contente de remonter une alerte à l’administrateur lors d’une détection d’une éventuelle attaque, donc il n’empêche pas les dégâts engendrés par cette attaque ; Alors qu’un IPS (Intrusion Prevention System) est actif et peut fermer des ports ou rejeter des paquets et ceci en embarquant un coupe-feu de niveau 3-4. On peut dire donc qu’avec l’apparition des IPS il y a une grande convergence entre un IPS et un coupe-feu puisque globalement ils ont la même
fonctionnalité : analyser l’intégralité du trafic à tous les niveaux des couches OSI pour distinguer le trafic malveillant. Les systèmes d’IDS et IPS sont performants lorsque leur base de signatures est mise à jour périodiquement comme le cas des anti-verus et permettent ainsi d’arrêter presque la totalité des attaques « connues », C’est ce terme qui fait peur car la question qui se pose :
5
Les évolutions des systèmes de détection d’intrusions (suite). car la question qui se pose :
et surveillés par des administrateurs et des experts de sécurité.
Que faire avec les attaques inconnues ?
Pour répondre à cette question, on utilise aujourd’hui les systèmes honeypots ou encore « les pots de miel », et qui sont des systèmes vulnérables déployés dans l’Internet
Ces systèmes consistent à encourager les hackers à attaquer le système qui est en faite virtuel et ceci dans le but d’apprendre de nouvelles méthodes et techniques et par la suite savoir comment se défendre dans le futur. Il s’agit donc d’un leurre présenté par l’administrateur ou le responsable de sécurité pour mieux sécuriser son système d’information.
Enfin la dernière alternative des systèmes honeypots est les honeynets « réseaux leurres », qui se basent sur le même principe que les honeypots sauf que ces derniers sont des systèmes qui se limitent à une seule machine et que les honeynets se composent de plusieurs honeypots et essayent de créer un environnement complet de production.
Hmida Issam hmidaissam@yahoo.fr
Quelques recommandations élémentaires
A
ucune mesure qui permette d’améliorer la sécurité du système d’information ne doit être négligée, même si parfois elle paraît dérisoire par rapport à l’importance des besoins. Tout ne peut être fait en un jour. Une approche méthodologique nous aidera à déterminer le niveau de vulnérabilité accepté en même temps qu’elle nous permettra d’étaler dans la durée les investissements qu’exige la politique .
de sécurité. Bien souvent, quelques mesures élémentaires – qui ne coûtent que le mal qu’on se donne pour y réfléchir un peu – suffisent pour améliorer considérablement une situation qui paraissait désespérée : gérer le parc de matériel, gérer les comptes utilisateurs, mettre en place une architecture réseau adaptée…
Le rôle du management dans la sécurité
L
a détermination et la supervision de la politique de sécurité sont des fonctions de direction. Rien de valable ne peut se faire sans le directeur : encore faut-il qu’il en connaisse tous les enjeux. L’argument « la sécurité, c’est le problème d’un administrateur système » n’est-il pas une forme de démission ? N’est-ce pas avouer qu’on cherche des solutions techniques à des problèmes qui sont d’abord organisationnels ? Certes, avec davantage de moyens, nous ferions plus et mieux. Certains laboratoires en savent quelque chose ! Cependant, à un moment ou à un autre, il faut bien faire avec ce qu’on a… le mieux possible. Cet autre argument, « la sécurité, ça coûte trop cher », n’est-il pas l’excuse facile au laxisme ?
Incroyables mais vraies …! Toutes les anecdotes suivantes sont des histoires (malheureusement) vraies extraites d'un article écrit par Jim Carlton du Wall Street Journal.
- Austin, Texas, un usager exaspéré appellant le support technique de Dell se plaint de ne pas réussir à allumer son PC. Après s'être assuré que l'ordinateur était correctement branché, le technicien lui demanda ce qui se produisait lorsqu'il appuyait sur le bouton d'alimentation. Sa réponse: "j'ai appuyé et appuyé sur cette pédale mais rien ne s'est produit...".Il s'avéra que cette pédale était en fait la souris de l'ordinateur...
- Un technicien de Dell demanda à un usager de mettre sa disquette endommagée dans le lecteur et de refermer la porte. L'usager demanda au technicien d'attendre un instant, on l'entendit poser le téléphone, se lever et traverser la pièce pour fermer la porte de la pièce...
GHODHBENE Esslem isleaim@gmail.com
6
Hijacking
U
principe du détournement de session (en anglais hijacking).
Ainsi, le pirate contourne le processus d'authentification. Et justement, il le fait, c'est le
Ensuite, s'il veut pouvoir dialoguer avec le serveur, il doit mettre hors-jeu la victime. Pour cela, il peut lui lancer une attaque par déni de service (cible). Mais, il peut aussi se mettre en écoute et enregistrer tout le trafic en espérant recueillir des informations sensibles comme des mots de passe.
n pirate peut craquer (cible) le mot de passe de la session. Mais si vous choisissez un mot de passe robuste, cela lui prendra beaucoup de temps. Alors pourquoi ne pas attendre que la victime se connecte sur la session et prendre sa place ?
Quels sont les risques ? Si le pirate possède des informations sensibles comme un nom d'utilisateur et son mot de passe, il pourra alors revenir sur le système lorsqu'il le souhaitera à l'aide d'une backdoor
Comment s'en protéger ?
Pire encore, si la machine possède des liens d'approbation, l'attaquant en bénéficiera. Et il sera dur d'identifier que le système est compromis puisqu'il utilise le compte d'une personne autorisée. D'où l'importance de détecter cette attaque.
—> S'assurer que la communication est sécurisée.
Man in the Middle Maintenant, si un pirate décide de se faire passer pour l'ordinateur A auprès de B et de B auprès de A, ainsi, toute communication vers A ou B passera par le pirate, l'homme du milieu.
M
an in the Middle signifie l'homme du milieu. Cette attaque a pour but de s'insérer entre deux ordinateurs qui communiquent. Soient deux ordinateurs A et B voulant dialoguer.
Quels sont les risques ? Le pirate peut donc intercepter tout le trafic, à savoir les informations sensibles comme les mots de passe. Mais, pire encore, le pirate peut modifier le trafic avant de le renvoyer vers l'autre ordinateur.
Comment s'en protéger ? Ainsi, si vous voulez commander un livre sur Internet à 10 euros, et que le pirate change votre commande, vous pouvez très vite vous retrouver à dépenser des milliers d'euros.
- Sur Internet, n'achetez que sur des sites sécurisés. - Les sites sécurisés commencent par « https »au lieu de "http". Il y a également un cadenas en bas de votre navigateur. - Sur un réseau, utilisez des « protocoles sécurisés »
BOUKHARI Abdessabour sabourinsat@yahoo.fr
7
Attaque par injection SQL L’injection SQL est l’une des attaques les plus répandues et les plus connues, elle vise les serveurs web et tire profit des erreurs de programmations au niveau des scripts PHP,ASP… qui manipulent les bases de données relationnelles,et où les données entrées par l’utilisateur sont transmises à l’aide des requêtes SQL. Elle consiste à « injecter » du code afin d’exploiter le résultat d’une requête et modifier son comportement.
Genres d’attaques par injection SQL : Les résultats d’une telle attaque vont du simple affichage d’information jusqu’à la suppression de tables, et voici les principales attaques : 1. Suppression de Tables 2. Forcer la validation d’un droit d’accès 3. S’approprier les droits d’un utilisateur… Pour réaliser son attaque le Hacker doit connaître la structure de la base de données dont il va s’attaquer, il va procéder par ce qu’on appelle des attaques par tâtonnement, c'est-à-dire il va insérer du code dans le formulaire présent sur le site, et en fonction des messages d’erreurs qui vont être affichés il va connaître si oui ou non un enregistrement existe, ou connaître même le nom des tables. Maintenant supposons que notre page Web contient le formulaire suivant: La requête associée à ce formulaire et qui permet de vérifier la validité du "Login" et du "password" est la suivante:
mysql_query("SELECT * FROM users WHERE login='$login' AND password='$password'"); Cette requête aurait pour effet : de sélectionner l'utilisateur en question si le nom d'utilisateur ET le mot de passe entrés sont dans notre base de données. Si l'un des deux est erroné, la requête ne renverra aucun résultat . Imaginons maintenant que notre Hacker entre ce code dans le champ « Login » :
La requête SQL exécutée par l’application devient la suivante :
’ OR 1=1 ; DROP TABLE users #
mysql_query("SELECT * FROM users WHERE login='' OR 1=1 ;DROP TABLE rs ") Le résultat de l’exécution de cette requête sera la suppression de la table « users » Il faut noter ici le rôle très important du # , il permet en PHP, de considérer tous ce qui suit comme étant un commentaire et comme ça dans notre exemple ignorer le champ « Password ». Le « ’ » permet de fermer le simple quotte ouvert dans la requête Le OR 1=1 permet de fournir quelque chose de vrai pour palier au « Login » erroné entré avant.
Comment s'en protéger ? Il existe différentes méthodes simples et efficaces pour se protéger de ce type d’attaques : -Limiter le nombre de caractères des champs - L’utilisation de la fonction « AddSlashes( ) qui permet d’échapper les caractères spéciaux par des antislashs et par conséquent les considérer comme des caractères normaux . - Pour les serveurs web régler de la variable « magic_quotes_gpc » sur ON , cette variable figure dans le fichier PHP.ini et est par défaut sur ON, elle a la même fonction que AddSlashes( ).
BOUKHARI Abdessabour sabourinsat@yahoo.fr
8
L
a plus grande menace pour la sécurité informatique d'une entreprise n'est pas le Virus, la faille de sécurité non corrigée ou un Firewall mal installé, en fait, la plus grande menace pourrait être vous » Ce sont les mots du célèbre ex-pirate informatique américain et présent consultant en sécurité Kevin Mitnick, affirmant que l’homme est le maillon faible dans la chaîne de la sécurité informatique. Le social engineering ou l’ingénierie sociale est une pratique exploitant la faille humaine pour récupérer des informations confidentielles facilitant ainsi l’accès au système d’information cible. La dangerosité de cette technique vient de sa simplicité dans le sens ou elle ne nécessite pas forcément de connaissances ou matériels pour être effectué mais plutôt un environnement amplifiant les chances de succès de cette technique, par exemple une entreprise peut dépenser des sommes énormes pour installer des outils de sécurité dans son système d’informations (anti-virus, firewalls, IDS, …) sans toutefois donner de l’importance pour la sensibilisation de ses employés, ce système sera vulnérable et ce sans recours à des programmes sophistiqués ou des méthodes complexes, mais par un simple appel téléphonique ou courrier électronique !!! Le social engineering peut prendre plusieurs formes (par téléphone, par mail, par contact direct), mais toujours pour un seul but : extirper des informations à des personnes ; dans cette pratique et surtout lorsqu’il s’agit d’un contact direct, l’image du pirate est loin d’être celle d’un type vêtu en Streetwear et ayant les cheveux longs mais d’un gentleman (costard, cravate, carte de visite, badge..) tout confiant, et décontracté. Un cas typique peut être envisagé lors d’un appel téléphonique entre un pirate se passant pour un administrateur système et une simple employée, le pirate commence à mettre l’employée dans un état psychique convenable (ton rapide, informer la victime qu’un virus dangereux vient d’infecter sa machine, …) lui permettant de demander le mot de passe de l’employée afin de neutraliser le virus.
Comme la simplicité d’exercer cette pratique, la possibilité de la contrer peut être simple aussi et repose principalement sur la sensibilisation des employés aux pratiques de social engineering et la mise en place de quelques stratégies : ne jamais laisser un étranger seul dans les locaux internes, prendre l’identité de chaque visiteur, ne jamais révéler ses informations confidentielles même si un supérieur hiérarchique l’exige.
Exemple :
Dans ce qui suit, on étudiera de plus près une forme très intéressante de l’ingénierie social qui est:
200 clients d'une banque de NouvelleZélande piégés par un mail pirate. Les victimes sont tous les clients de la Westpac Bank. Les escrocs ont envoyé, en masse, un courrier électronique se faisant passer pour une missive de leur banque. L'idée, inciter les clients à valider leurs adresses électroniques en fournissant leurs codes secrets bancaires. Les clients étaient redirigés vers un faux site de la Westpac bank, site hébergé en Russie. Au moins 200 clients ont ainsi été piégés
L'ingénierie sociale par Internet:
- Les virus sociaux:
La messagerie électronique : La méthode du social engineering la plus courante sur Internet est bien évidemment la messagerie électronique. Il faut distinguer deux buts bien distincts dans l'ingénierie sociale par mail : Faire exécuter un virus à la victime et/ou récupérer ses mots de passe. Il faut tout d'abord savoir une chose : le protocole SMTP permettant d'envoyer le courrier électronique n'est pas du tout sécurisé. C'està-dire que n'importe qui peut en quelques clics changer d'identité pour se faire passer pour quelqu'un à qui vous faites confiance tel que Microsoft, Hotmail, Caramail, … Voici un exemple de mail circulant sur Internet :
De:Administrateur@microsoft.co m Objet:URGENT ALERTE !!! Une faille de sécurité majeure a été découverte dans Microsoft Windows 98/ Me/2000/NT/XP. Merci de télécharger immédiatement le patch de sécurité en cliquant ici
Afin de se répandre aussi rapidement et aussi largement que possible, les virus ont exploité les dernières techniques d'ingénierie sociale, allant dans certains cas jusqu'à se faire passer pour des patchs de sécurité de Microsoft. Par exemple, le virus Gibe (W32/Gibe) exploite des techniques toujours plus ingénieuses pour inciter les utilisateurs à exécuter des codes malveillants sur leurs ordinateurs. Gibe se propageait dans un mail ayant pour objet 'Internet Security Update' et incluant le fichier 'Q216309.exe'. Le message expliquait aux utilisateurs que le fichier attaché était un patch de sécurité de Microsoft. Totalement faux. Les patchs sont sur Microsoft.com.
Le social engineering est à prendre au sérieux. Les contre-mesures basiques pour se protéger du social engineering sont de mettre en place les procédures adéquates, d'en informer le personnel et de le sensibiliser aux pratiques de social engineering. La sensibilisation peut être faite par le biais de formation, de messages informatifs (mails, plaquettes) ou même sous forme de CD-ROM.
Lorsque la victime va cliquer sur le lien fourni dans le mail, il y a 100 % de chance qu'elle se retrouve à télécharger un virus ou un cheval de Troie.
- Les faux sites : Il s'agit des sites leurres mis en place pour des raisons malveillantes à savoir la récupération d'informations confidentielles. Cette forme du social engineering ne peut pas marcher si elle n'est pas combinée à une autre forme (par mail par exemple)
qui va inciter l'utilisateur à aller se connecter sur le site en question.
ELOUDI Amira Eloudi_Amira@yahoo.fr
9
Quel programme a ouvert quel port sous XP et 2003 ? Vous avez envie de contrôler vos programmes et savoir quel processus ouvre quel programme : la solution est la commande netstat. Netstat offre un paramètre supplémentaire qui est "-o". Celui-ci permet d'afficher le PID du processus qui est propriétaire de chaque connexion. Et voila ce que vous avez à tapez dans l’invite de commande : C:>netstat –o et vous obtenez le bon résultat ! Et pour avoir un résultat plus simple : C:>netstat –ano
Attention netstat n’est pas unique comme commande pour donner l’équivalence entre un programme et son processus responsable. La commande tasklist permet aussi d’avoir ce même résultat. Tapez alors dans l’invite de commande : C:>tasklist Et pour voir le service associé à chaque programme voila comment faire : C:>tasklist /svc
Comment optimiser la bande passante de votre connexion ? Windows XP Pro se réserve 20% de la bande passante nécessaire à votre connexion Internet.
Comment utiliser la bande passante à 100% ? Par défaut dans Windows XP Pro, le service QoS (Qualité de service) permet à un programme de s'allouer 20% de la bande passante de la connexion pour l'utilisation de flux propriétaires (Exemple: lecture d'une vidéo avec Windows Media Player). Si cette bande passante n'est pas utilisée, il est donc utile de supprimer cette réservation. Mais attention, ne limiter pas cette "réserve" si vous utilisez des systèmes d e v i d é o c o n f é r e n c e p a r e x e m p l e . Si vous êtes administrateur de votre pc allez dans : Démarrer —> Exécuter —> et taper cette commande :
gpedit.msc
10
Comment optimiser la bande passante de votre connexion ? Dans la nouvelle fenêtre ouverte, allez dans: Configuration ordinateur —> Modèles d'administration —-> Réseau —> Planificateur de paquets QoS Faites un clic droit sur Limiter la bande passante réservable et allez sur Propriétés. Assurez vous que l'option est activée et remplacez la valeur par 0. Fermez tout et redémarrez votre PC.
Comment optimiser la résolution des adresses DNS ?
Quand vous naviguez sur Internet, les adresses sont traduites en une série de chiffres appelées "adresse I.P". Le système met en cache un certain nombre de ces informations afin de ne pas avoir à les rechercher à chaque fois. Le but de la manœuvre consiste à optimiser la taille de la mémoire cache réservée à cette fonctionalité. Pour cela ouvrez : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters Les entrées à créer sont des valeurs Dword dont les données sont en hexadécimal
"CacheHashTableSize"=dword:00000180 "CacheHashTableBucketSize"=dword:00000001 Ce paramètre permet de contrôler le nombre maximal de colonnes de la table de hachage utilisée par le service de résolution de cache DNS.
Ce paramètre permet de contrôler le nombre maximal de lignes de la table de hachage utilisée par le service de résolution de cache DNS.
"MaxSOACacheEntryTtlLimit"=dword:0000012d "MaxCacheEntryTtlLimit"=dword:0000fa00 Ce paramètre permet de contrôler la valeur maximale de la durée de vie (TTL) d'une entrée de cache. valeur TTL supérieure à elle-même pour un enregistrement SOA spécifique renvoyé par une requête DNS. Les enregistrements SOA sont essentiels pour
Nombre maximum de secondes pendant lesquelles le cache de résolution conserve en mémoire cache tous les enregistrements SOA. Cette valeur remplace toute Les mises à jour dynamiques. Ils ne sont donc pas conservés en mémoire cache afin d'assurer la disponibilité pour la source de noms DNS des enregistrements plus récents. KHALDI Abir Khaldi.abir@yahoo.fr
11
Si vous oubliez souvent votre mot de passe de connexion à Windows XP Professionnel alors une flash Disk ou une disquette (si vous aimez les traditions) vous sauvera peut être d'une situation embarassante. En effet, Microsoft a prévu pour cette raison une fonctionnalité dite « Disque de Réinitialisation de Mot de Passe » (ou Password Reset Disk). Tout utlisateur du sysème Windows XP Pro (Utilisateurs membres du groupe « Administrateurs » ou du groupe « compte limité ») peut créer un disque de réinitialisation de mot de passe qui lui servira de « roue de secours » au cas où il oublierait son mot de passe. Après être connecté au système allez dans « Démarrer-> Panneau de Configuration ->Comptes d'utilisateurs>Empêcher un mot de passe oublié( à gauche sous « Tâches apparentées »):
Ayant la Flash Disk connectée, suivez les instructions affichées par l'Assistant.
Maintenant déconnectez-vous puis reconnectez-vous avec le même nom d'utilisateur. Mais cette fois-ci on suppose que vous ayez oublié votre mot de passe. Cliquez sur la flèche verte à côté du champ de mot de passe, puis cliquez sur « utilisez votre disque de réinitialisation de mot de passe »:
En suivant l'Assistant, vous serez en mesure de définir un nouveau mot de passe pour votre nom d'utilisateur avec lequel vous pourrez vous connecter de nouveau.
AOUDI Wassim shadowman724@gamail.com
12
Comment activer le IP Forwarding sous linux ? Quand vous configurez plusieurs interfaces réseau sous linux et que vous désirez faire transiter du trafic d'une interface à l'autre (partage de connexion internet par exemple), il faut que linux sache qu'il doit le faire. Cette fonctionnalité, connue sous le nom d' "IP Forwarding" doit généralement être activée manuellement. Pour se faire, vérifiez d'abord que l'IP Forwarding est bien désactivé en tapant la commande suivante :
cat /proc/sys/net/ipv4/ip_forward Si la commande retourne la valeur 0, c'est que l'IP Forwarding n'est pas activé. Pour l'activer, il suffit de taper la commande :
echo 1 > /proc/sys/net/ipv4/ip_forward Vérifiez ensuite avec la commande précédente que le changement a bien été pris en compte.
Il est parfois utile de connaitre une commande qui permet de consulter le log système. LE
LOG SYSTEME ! ! !
tail -50 /var/log/syslog
Cette commande va afficher les 50 dernières lignes du log système syslog.
Comment configurer un serveur de noms « DNS » ?
Pour configurer un serveur DNS, c'est très simple, il suffit d'ajouter dans le fichier /etc/resolv.conf (il faut le créer s'il n'existe pas) la ligne suivante :
nameserver adresse_ip_du_serveur_DNS Il faut ajouter autant de lignes qu'il y a de serveurs DNS à configurer.
Vous voulez tester votre connexion Internet sur le Net ? Voici un site performant pour le faire n’hésitez pas à le tester http://mire.ipadsl.net/
KHALDI Abir Khaldi.abir@yahoo.fr
13
S
ecure Socket Layer : protocole de sécurisation des échanges,
développé par Netscape. Le but été d’assurer la sécurité des transactions sur Internet (notamment entre un client et un serveur), Il est intégré depuis 1994 dans les navigateurs. SSL est indépendant des applications qui l'utilisent; il est obligatoirement au dessus de la couche TCP et certains le considèrent comme un protocole de niveau 5 (couche session). Plusieurs versions existent, citons la version 2.0 développée par Netscape. ; la version 3.0 qui est actuellement la plus répandue et standardisée par l'IETF eering Task Force).
1- Pourquoi SSL ? SSL assure les services de sécurité suivants: • Confidentialité: elle est obtenue par l'utilisation d'algorithmes à chiffrement symétrique de blocs comme DES, FORTEZZA, IDEA, 3DES ou RC2, ou par des algorithmes à chiffrement symétrique de flots comme RC4. • Intégrité: l'intégrité des données est assurée par l'utilisation de MAC (Message Authentication Code) basés sur les fonctions de hachage MD5 (16 octets) ou SHA-1 (20 octets). • Authentification: SSL permet l'authentification des 2 entités (authentification client facultative) basé sur des certificats X.509, et l'authentification des données grâce aux MACs. Les sous-protocoles de SSL : Il s’agit 1. Handshake : permet l'authentification mutuelle du client et serveur, la négociation des algorithmes de chiffrement, de hachage, et l'échange des clés symétriques qui assurent le chiffrement..
Si le niveau de criticité du message est fatal, la connexion SSL est abandonnée. Le deuxième octet est utilisé pour le code d'erreur.
4- Évolutions du standard
4. le protocole SSL Record :
La prochaine version du standard aura quelques changements, parmi lesquels on retrouve :
Intervient après l'émission du message ChangeCipherSpec. et garantit :
• Support obligatoire de DSA et D-H; RSA devrait également être supporté en facultatif.
• La confidentialité à l'aide de chiffrement des données
• Remplacement de la fonction propriétaire de génération de MACs par le standard HMAC (RFC 2104)
• L'intégrité à l'aide de génération d'un condensât.
2- Les échanges SSL : Les échanges définis par le protocole SSL se déroulent en deux phases: • Première phase : authentification du serveur Suite à la requête d'un client, le serveur envoie son certificat au client et lui liste les algorithmes cryptographiques, qu'il souhaite négocier. Le client vérifie la validité du certificat à l'aide de la clé publique du CA (Certificate Authority) contenue dans le navigateur. Si le certificat est valide, le client génère un pré-master secret (PMS) de 48 octets qui servira à dériver le master secret (MS) de même taille, 48 octets, ce qui représente l'entropie maximale de la clé. Ce PMS est chiffré avec la clé publique du serveur puis transmis à ce dernier. Les données échangées par la suite entre le client et le serveur sont chiffrées et authentifiées à l'aide de clés dérivées de la clé maître. • Deuxième phase : C’est l’authentification (optionnelle) du client Le serveur (et seulement lui) peut demander au client de s'authentifier en lui demandant tout d'abord son certificat. Le client réplique en envoyant ce certificat puis en signant un message avec sa clé privée (ce message contient des informations sur la session et le contenu de tous les échanges précédents).
Remarques : • L'authentification du réseau intervient dans tous les cas avant celle du client, ce qui est un gage de sécurité accrue. • L'authentification reprend les échanges précédents et valide ainsi tout le handshake.
3– Quelques ports utilisées par SSL HTTPS (HTTP en SSL) 443
2. le protocole SSL Change Cipher Spec :
SMTPS (SMTP en SSL) 465
Ce protocole comprend un seul et unique message de huit bits, qui porte le même nom que le protocole, il permet d'indiquer au protocole Record la mise en place des algorithmes de chiffrement qui viennent d'être négociés.
LDAPS (LDAP en SSL) 636
3. le protocole SSL Alert : Génère des messages d'alerte suite aux erreurs que peuvent s'envoyer le client et le serveur. Un message d’alerte compte 20 octets, le premier étant soit fatal soit warning.
TELNETS 992
POP3S 995 IMAPS 995 En pratique, pour accéder à un serveur qui utilise les services SSL, on ajoute un "s" lors de la spécification du protocole.
• Protection du numéro de version de SSL par les opérations de hachage (pour éviter les attaques par rollback par exemple) • Nouveau générateur de nombres aléatoires (basé MD5 et SHA-1 à la fois), nouveaux messages d'alerte ("Decryption failed")
5- Les attaques et faiblesses de SSL SSL est vulnérable:
• Aux attaques par force brute en cas d'utilisation de clés 40 bits, il est donc conseillé d'utiliser des clés de 128 bits. •Aux attaques du man in the middle: l'attaquant intercepte (physiquement) la requête du client et se fait passer pour le serveur auprès de lui, tout en se faisant passer pour un client auprès du serveur légitime. Il reçoit donc la totalité du flux supposé protégé. • Car il n'impose pas l'authentification client • Car il présente des souplesses dans son implémentation, notamment en ce qui concerne la vérification des certificats des serveurs. En effet, le client devrait vérifier la signature, la validité ainsi que le statut de révocation du certificat et devrait s'assurer que le CA concerné appartient bien aux CAs auxquels il fait confiance. Or cela n'est pas obligatoire, et peut permettre à un attaquant de rediriger le trafic vers son faux site tout en faisant croire au client qu'il communique bien avec son serveur légitime. Il est donc important de bien vérifier les URLs par exemple.
Conclusion Le protocole SSL est actuellement le seul protocole de sécurisation déployé et utilisé à grande échelle, son grand avantage étant sa transparence par rapport au protocole TCP. Il garantit l'authentification, la confidentialité et l'intégrité des données. Avec son architecture modulaire, il ne se limite pas à des applications traditionnelles, puisque il intègre les réseaux sans fil comme le WAP.
MANSOURI Chahira
Mansouri.chahira@yahoo.fr
14
C
C
ette partie traite les outils que peut utiliser un administrateur de système pour évaluer le niveau de sécurité. Parmi ces innombrables outils, on propose de présenter l’utilitaire NetCat.
NetCat offre des options qui permettent de scanner les ports. ette utilitaire est surnommé "le couteau suisse du protocole TCP/
IP" (d'après le man). En effet, c'est un simple outil en ligne de commande qui permet de lire et d'écrire au travers de connexions réseaux en utilisant TCP ou UDP. Son implémentation permet de l'utiliser seul ou par l'intermédiaire d'autres scripts (perl, shell...); mais, en même temps, il est tellement puissant qu'il peut être utilisé comme un débuggeur réseau ou comme
•
L'option -vv: sert à avoir des informations sur les connexions
n'importe quel type de connexion dont vous
•
L'option -z: pour effectuer un scan rapide, qui ne s'arrête pas si le port est ouvert.
pouvez avoir besoin. Cet outil contient encore
•
un outil d'exploration. En effet, il supporte
beaucoup d'autres fonctions qui pourront être
L'option -r: fait un "random" sur les ports de 1 jusqu'à 90 ici. Il fera tous les ports, mais pas dans un ordre précis.
utiles.
•
Utilisation NetCat est un outil à tout faire. Il permet sim-
L'option -i tps_en_sec: Permet d'attendre un certain temps entre essai sur chaque port.
Netcat permet de sniffer le traffic TCP. L’imprime écran suivant montre comment peut on se mettre à l’écoute sur le port (175*256+47=44847) et intercepter les données transmises.
plement de gérer un socket : d'envoyer ou de recevoir... Ceci signifie qu'il ne connaît aucun protocole comme IRC, FTP...Toutefois, il affiche exactement ce qui se passe dans la connexion, il n'effectue aucun traitement, et il envoie aussi parfaitement ce que l'on veut qu'il envoie. Netcat coté client : - Ouverture d'un socket : netcat @ip 21. Tout ce qu’on tape ensuite sera envoyé à l'adresse indiquée.
Comment s'en protéger ? On peut connaître la version des serveurs FTP. Ceci permettra de connaître ses failles et donc d’attaquer le serveur.
- Retirer les bannières donnant les versions de logiciel et les messages d'aide ou de bienvenue d'un service réseau en écoute qui peuvent donner des informations sur le système. - Utiliser Netcat contre les serveurs du réseau pour repérer les services trop «bavards».
BEN SASSI Manel bensassimanel@yahoo.fr
15
1
2
3
4
5
6
7
8
9
11
10
1 2 3 4 5 6 7 8 9
Verticalement 1-Attaque de type Denial of Service, qui oblige toutes les machines du réseau à répondre en masse à la victime en encombrant de cette façon le réseau. 2- ../ Indice calculé à partir du nombre de liens hypertextes pointant vers une page ou un site Web. 3-../utilisateur malveillant. 6- Nom donné au réseau informatique mondial. 8- Type de processeur 9- ../Système d’exploitation/Distribution librement recopiable de Linux 10– Synonyme de Worm. 11- Programme malveillant
Horizontalement 1- Nom du magasine securinets. 2-../ Réseaux métropolitains. 3- Protocole de connexion en mode non connecté. 4-../IP sécurisé 5- Commande de création d’un processus fils sous linux / Super-user. 6-../Système de détection d’intrusion. 7-../Réseau à anneau ou à jeton. 8-../Programme se reproduisant de machine en machine à travers les connexions réseaux. 9-../../Fichier contenant des informations décrivant les activités d'un programme ou d'un utilisateur BEN YOUSSEF Manel & DENGUIR Afef
16
Solution de la Grille P
9
I
G
8
N
7
I
6
F
5
R
4
U
3
M
2
E
S
1
2
1
S
O
E
K
O
N
S
E T
T
A O
R I
D
R
K
E
S
P
A
M
R
U
5
4
P C 3
L O O
T
R
T
O
L
D
P
M
G
A
9
8
C
N 6
O
W
R
M
N
T I
G
O
M 7
S U R
R
I
E
V
V 10
11
INSAT NACCACHE Mohamed Ikbel : General Manager sirikbel@gmail.fr ABDELAALI Dorra: Vice Président Dorra.ab@gmail.com BEN SASSI Manel: Chargée de Presse bensassimanel@yahoo.fr TOUNSI Wiem: Responsable des ressources humaines Tounsi_wiem@yahoo.fr BOUKARI Abdessabour: Chargé de relations externes sabourinsat@yahoo.fr
O
n souhaite que notre magazine vous a plu.
On a essayé de joindre l’utile à l’agréable à travers des informations du domaine de la sécurité informatique mixées par des rubriques d’humour et de divertissements assez instructives. Si vous voulez rejoindre les activités de notre club, vous seriez les bienvenus. Nos réunions sont hebdomadaires et comptent la présence de plusieurs étudiants de différentes filières et niveaux . Ce qui constitue pour nous un encouragement qui nous permet de suivre les objectifs qu’on s’est fixé dès la création du club .
Fondateurs du club Retrouvez nous sur :
Ben Souayeh Ahmed Amine
Www.securinets.com
Ben Youssef Nihel Ghanmi Elyes