Page 1

N°1 Décembre 2004

Magazine du Club de la Sécurité Informatique à l INSAT

SOMMAIRE Présentation du club

Savoir plus Et Si on parlait Virus! Paiements en ligne Détection d intrusion

Thématique La Sécurité Informatique La Cryptographie La Sécurité des réseaux GSM Le Hacking Le Virus et ses variantes

Historique Histo des cybercrimes Chronologie des virus

Consignes et Astuces Les torjans Microfoft vous surveille! Désactivez votre connexion

Activités du club Sécurité GSM Sécurité des mots de passe LINUX Sécurité des mots de passe WINDOWS Crackage de logiciels. Pour toute information ou suggestion N hésitez pas à nous contacter :

Nihel@SécuriNets.com

EDITO J ai l e pl ai si r et l honneur de présenter l édi tori al du premi er numéro du magazine SécuriNets du club de la sécurité Informatique à l INSAT. J ai feuilleté le projet et je suis agréablement surpris de la maturité de nos chers étudiants et surtout de leur savoir faire . Je les félicite et je les encourage à poursuivre dans ce sens . Le rôle des clubs et des associations dans la formation de la personne et dans son épanouissement est évident et indéniable. Il constitue à mon avis un passage obligatoire pour toute personne ambitieuse cherchant à se dépasser. Le thème d activité de votre club est très important , je dirais même stratégique . Chacun de nous doit être bien formé pour manipuler le NET tout en évitant d être virussé ,espionné ou délesté. Bonne Continuation. Le Professeur Directeur : Mr KSOURI Mekki

Message de Bienvenue Que l on admet ou non,lorsqu on se connecte sur Internet depuis notre maison ou depuis notre poste de travail ,on est tous vulnérables.En réalité,la vulnérabilité est aussi importante lorsqu on sait que le danger et l attaque peut arriver de l Intranet. L opportunité de se connecter au réseau interne et à l Internet ,fait de vous un membre d une grande communauté là ou chaque élément devient une partie d un énorme système.L interconnexion via Internet réduit les distances et rend les gens en proximité l un de l autre. Une personne connectée à des milliers de kilomètres peu écouter la conversation qui s effectue entre votre PC et celui de votre collègue du bureau voisin. Il peut même intervenir à distance pour faire en sorte qu il est le voisin à coté. Les intervenants externes,ou internes qui visent à vous apporter des ennuis peuvent être des simples jeunes qui veulent exprimer leurs talents ou bien des experts qui visent à mettre en disfonctionnement votre système informatique ou à porter atteinte à votre image de marque. Les procédures d attaque demandaient,il y a quelques années,une certaine expertise pour pouvoir jongler avec les paquets corrompus,les pings et les SYN floods Aujourd hui,de nombreux outils très dangereux mais simples à utiliser(load and run,point and click etc ) sont disponibles sur Internet. Avec ces outils,le nombre de hackers a énormément augmenté qui ne sont pas nécessairement des crackers (ceux qui ont l intention de détruire). Avant,la culture informatique se limitait à maîtriser les moyens et les techniques permettant de faire fonctionner un système informatique. Aujourd hui ,il est demandé de maîtriser et de savoir se protéger. Mr le professeur A.JEMAI.


1

SecuriNets N°1 Décembre2004

Www.SecuriNets.com

Présentation du club Avec le poids économique de plus en plus important de l informatique dans l industrie ,et plus encore du fait de la dépendance grandissante envers les réseaux de communication ,la sécurité est devenue un élément important de l administration dun système informatique quelqu il soit . Des milliers dinstitutions sont chaque jour en ligne sur INTERNET. Cela en fait autant de cibles potentielles pour des usagers malveillants . Cest par notre profonde conviction qu un futur ingénieur doit être informé et préparé particulièrement à cette cyber-guerre ,qu on a décidé de créer SecuriNets (Security Networks) oeuvrant au sein de l INSAT et avec une collaboration entre différentes branches (RT,GL,IA ) de différents niveaux . En premier lieu ,SécuriNets vise la sensibilisation . De ce fait, Une matière consistante est mise à la disposition de toute personne intéréssé (Etudiants ,futurs ingénieurs !) Et dans notre Magazine : qui est actuellement entre vos mains (une myriade dinformations diverses et utiles adoptées au sujet de la sécurité informatique). Et dans notre Site : www.SecuriNets.com. En devenant membre de ce site ,des cours,codes et programmes sont notament mis à vore disposition en téléchargement . Vous bénéficierez également de votre propre adresse mail (nom@securinets.com). Un forum de discussion y est entre autre intégré vous permettant de vous instruire et de partager vos connaissances .Il vous offre ainsi la possibilité douvrir le débat en terme de sécurité informatique: En deuxième lieu ,ce club est fondé sur la motivation de participer à L invitation est des Activités pratiques en terme de sécurité informatique bien entendu : une ouverte! réunion des membres se tient chaque semaine (le mercredi généralement) pour débattre un sujet précis (Cassage de mot de passe ,cryptographie,chargement des cartes à puces ..) . L image de ce travail sera présenté dans la rubrique :Activités du club

Bonne lecture ! Fondateurs du club Ben Souayeh Ahmed Amine : Responsable des activités du club Ahmed@securinets.com

Ghanmi Elyes : Ben Youssef Nihel :

Responsable du site SecuriNets.com Webmaster@securinets.com Responsable du Magazine. Nihel@securinets.com


2

SecuriNets N°1 Décembre2004

Www.SecuriNets.com

Savoir plus

Et Si On parlait Virus!

Quoi ? Vous ne pouvez plus contrôler votre système HA ! ha !ha ! .

Le virus et ses variantes -page 13

Inutile de vérifier vos périphériques car ils fonctionnent bien, cependant c est moi qui tiens toutes les cordes maintenant. Vous vous demandez qui suis-je et comment avais-je fait une chose pareille? Et ben sachez que je suis le virus W32.Bagle, je suis une nouvelle variante du Bagle.AS. Je me propage rapidement par email et par p2p .En fait, vous avez certainement reçu de ma part un email intitulé "Re:", "Re: Hello", "Re: Hi", "Re: Thank you!" ou "Re: Thanks", dont le contenu du message se limite à un smiley Vous avez téléchargé la piece jointe nommée "joke" ou "price", et vous êtes par conséquent tombés dans le piège car, j ai désactivé certains de vos antivirus et pare-feux, je me suis propagé dans votre carnet d'adresse, et j ai installé un programme me permettant de contrôler votre ordinateur à distance Vous voyez, c est assez simple pourtant

Sonia SLIMI sousou2582@yahoo.fr

Le fameux Sasser!

Cabir est un virus

plus précisement un ver "proof of concept" développé par des créateurs de virus Tchèques et Slovaques qui cible les téléphones portables évolués utilisant le système d'exploitation Symbian OS. Il se présente sous la forme d'un fichier CARIBE.SIS ayant une taille de (15 Ko) transmis par la technologie sans fil Bluetooth en se passant pour un fichier de sécurité. Si ce fichier est exécuté, le mot "Caribe" s'affiche à l'écran, le virus modifie le système pour être exécuté à chaque démarrage du téléphone puis tente d'envoyer une copie de lui-même aux périphériques présents dans le périmètre Bluetooth, La portée des téléphones est limitée a environs 30 mètres, le virus ne peut donc se propager qu'aux téléphones qui se trouvent à proximité et pour lesquels le mode BlueTooth est activé. Le téléphone est ainsi infecté, sans action nocive.

Sasser est un ver informatique qui se propage de manière

Prévention :

différente des classiques MyDoom.A et dérivés. Les premières infections ont eu lieu le 30 avril 2004 sur les machines sur lesquelles le correctif de sécurité fourni par Microsoft depuis le 13 avril 2004 n'avait pas été appliqué.

Il faut être attentif et ne pas exécuter le fichier « caribe.sis » qui doit être accepté et installé par l'utilisateur du téléphone ciblé.

Ce ver se propage automatiquement par le port 445 sur toute machine connectée en réseau, si elle est équipée du système d'exploitation Microsoft Windows 2000, Windows XP ou Windows Server 2003 et sans le correctif nécessaire (ou si elle n'est pas protégée par un pare-feu correctement configuré).

30 avril 2004 : Sasser.A souche principale de l'infection crée par un jeune adolescent de 18 ans, Sven Jaschan.

1er mai 2004 :Sasser.B. Cette variante se distingue de Sasser.A par le nom du fichier exécutable viral (AVSERVE2.EXE au lieu de AVSERVE.EXE) et le nom du fichier log (WIN2.LOG au lieu de WIN.LOG).

2 mai 2004 : Sasser.C. Cette variante se distingue de Sasser.B par le fait qu'elle lance 1024 processus simultanés au lieu de 128 pour exécuter la routine d'infection et favoriser la propagation du ver.

2004: Sasser.D. L'exécutable lancé se nomme SKYNETAVE.EXE et sa taille est de 16 384 octets

Même si son nom attire, il ne faut pas exécuter un fichier sans avoir fait confirmer son envoi par l'expéditeur du message.

Désinfection : Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfections par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection CabirFix pour rechercher et éliminer le virus.

Systèmes Concernés : Nokia 7650 Nokia 7610 Nokia 6620 Nokia 6600 Nokia 3650/3600 Nokia 3660/3620 Nokia N-Gage Panasonic X700 Siemens SX1 Sendo X

3 mai 9 mai

2004 :Sasser.E. L'exécutable lancé se nomme

LSASSS.EXE, il tente de modifier la base de registres pour désactiver le ver Bagle puis affiche une fenêtre d'alerte préconisant l'installation du correctif MS04-011 de Microsoft

Ben Gharbia Aymen Ayinsat2003@yahoo.fr Hajer HARBEGUE HarbegueHajer@yahoo.fr


3

SecuriNets N°1 Décembre2004

Savoir plus

Www.SecuriNets.com

Sécurité des paiements en ligne Sur le marché tunisien, le paiement électronique fait ses premiers pas. Les sociétés commencent peu à peu à s intéresser à l énorme potentiel qu offre cette fonctionnalité. Mais malgré les différentes facilités, ce secteur tarde à décoller. La faute à un niveau de sécurisation trop bas ? Pas si sur.

En fait, la quasi-totalité des sites utilisent un même protocole, nommé SSL (Secure Sockets Layer) afin de "sécuriser" les paiements. Ce protocole a été inventé par Netscape et est devenu un standard Internet par la suite. On reconnaît aisément son utilisation par la présence dun petit symbole dans la barre de statut des navigateurs web (cadenas ou clé) et par le préfix "https://" en tête des URL affichées dans la barre dadresses de ces navigateurs. SSL a deux fonctions essentielles : La première est dauthentifier le serveur auquel l utilisateur est connecté, c est-à-dire lui prouver que www.fnac.com est bien le serveur web de la Fnac. Cette opération est réalisée à l aide de ce qu on appelle un certificat numérique, sans lequel le protocole SSL ne peut fonctionner. La seconde fonction permet dassurer la confidentialité des informations transmises par son intermédiaire, grâce à l utilisation dalgorithmes de chiffrement. La "force" de ces algorithmes est déterminée par la longueur de clé utilisée pour effectuer ce chiffrement, exprimée en bits. Coté client, les navigateurs ont été bridés pendant longtemps de telle façon que seules des clés de 40 voire 56 bits puissent être employées. Cette limitation, dordre purement juridique, était simultanément due aux contraintes dexportation des logiciels de ce type en dehors des Etats-Unis (doù proviennent la majorité des logiciels que nous utilisons). L utilisation du chiffrement avec des clés ayant une longueur égale à 128 bits a été dernièrement libéralisée par le gouvernement tunisien à l instar des pays européens et nord-américains. Pourtant, la longueur de la clé est primordiale. En effet, s il est actuellement possible de "casser" une clé de 40 voire 56 bits, parfois en quelques heures, on est loin de pouvoir en faire de même, dans des délais raisonnables, lorsque la longueur de la clé excède 80 bits. En fait les hackers préfèrent attaquer des serveurs dentreprises commerçantes plutôt que dintercepter un flux de données SSL et essayer den extraire votre numéro de carte bancaire. D autre part, il faut s assurer que le marchand est sérieux et honnête, essentiellement celui qui ne dispose pas dun intermédiaire financier ( qui garde votre numéro de carte sur son serveur ). Mais par dessus tout cela, un pirate a potentiellement à sa disposition plusieurs façons de récupérer le précieux numéro de carte bancaire dun cyber-acheteur. Les bugs et vulnérabilités des systèmes dexploitation ainsi que des logiciels qu ils exécutent peuvent en effet être exploités par des utilisateurs malveillants. Presque toutes les versions des principaux navigateurs web utilisés de par le monde (principalement IE et Netscape) ont révélé avec le temps dimportantes failles affectant le système de chiffrement SSL. Une autre façon de récupérer le précieux numéro est de recourir aux "services" dun virus qui, ayant infesté votre système, intercepte tous les numéros de carte que vous pouvez saisir au clavier, avant même leur transmission via SSL au site marchand auquel vous êtes connecté !. En plus, les systèmes de prise de contrôle à distance (les chevaux de Troie du type Back Orifice par exemple), peuvent être employés afin de voler des informations confidentielles saisies sur votre ordinateur puisqu ils autorisent parfois la visualisation, en temps réel et à distance, de ce que la victime voit sur son écran Pour conclure, on pourra dire que si les risques existent, il n est pas très difficile de les réduire à un niveau acceptable en ne communiquant son numéro de carte qu à des organismes qui inspirent confiance et en mettant périodiquement son système à jour pour éviter les failles de sécurités ( Pour plus dinformations sur les dernières failles et leurs mises à jour, vous pouvez consulter notre site www.securinets.com ).

Ghanmi Elyes Webmaster@SecuriNets.com


4

SecuriNets N°1 Décembre2004

Savoir plus

Www.SecuriNets.com

Système de Détection dintrusion

Les entreprises se tournent de plus de plus vers des technologies de sécurité supplémentaires, pour se protéger des risques et vulnérabilités auxquels les firewalls seuls ne peuvent faire face. Les solutions IDS (Intrusion Detection System) pour réseaux garantissent une surveillance du réseau permanente. Ces systèmes analysent le flux de paquets de données du réseau, à la recherche de toute activité non autorisée, telle que les attaques menées par les pirates informatiques (hackers), permettant de ce fait d'y remédier rapidement. Lorsqu'une activité non autorisée est détectée, un système IDS peut envoyer à une console de gestion des alertes accompagnées d'informations détaillées concernant l'activité suspecte. Un IDS peut également ordonner à d'autres équipements, tels que des routeurs, d'arrêter les sessions non autorisées. Contrairement aux firewalls permettant d'autoriser ou de refuser le trafic de données en fonction des politiques définies, IDS inspecte le contenu du trafic "autorisé". Ceci permet d'identifier toute activité malveillante non détectée par le firewall, dont les débordements de pile (buffer overflow), les interruptions de service et d'autres types d'attaques similaires. Les solutions IDS permettent également à l'entreprise de faire face aux menaces internes pouvant compromettre la sécurité du réseau. Exemple : Système de détection d'intrusion sécurisé Cisco Cisco Systems propose deux systèmes de détection dintrusion complémentaires : - les HIDS (Host Intrusion Detection Systems). Ces sondes s insèrent entre les applications et le coeur du système dexploitation pour protéger des applications ou des serveurs critiques. - les NIDS (Network Intrusion Detection Systems). Ces sondes réseau en temps réel peuvent être déployées dans de nombreux environnements réseau sensibles, des institutions financières majeures aux environnements militaires secret défense. Les sondes sont généralement des logiciels installées au niveau des connexions Internet, extranet, serveur d'accès distant et dans les centres vitaux de traitement de l'information des entreprises. Il est conseillé d'installer les sondes au niveau de tous les équipements réseau nécessitant une protection. La majorité des produits de détection sont des dispositifs ou des logiciels fonctionnant sur des équipements réseau dédiés. Cisco a intégré cette technologie aux équipements fonctionnant sous Cisco IOS via le firewall Cisco IOS et le PIX et dans le matériel directement intégré aux commutateurs (carte de détection d'intrusion pour Catalyst 6000 IDS). Cette intégration permet à la technologie IDS d'être placée quasiment n'importe où sur le réseau, offrant une sécurité et une granularité accrues. Les systèmes de détection d'intrusion représentent des composants de sécurité indispensables pour tous les environnements réseau sur lesquels transitent des informations sensibles ou vitales.

Hammami Med Anis

La plus belle :

Anisgammarth82@yahoo.fr

Trois ingénieurs sont dans une voiture, un ingénieur électrique, un ingénieur chimique, un ingénieur informatique. Soudain la voiture s'arrête brutalement au bord de la route. Les ingénieurs sont un peu désemparés car aucun des trois ne s'y connaît en mécanique automobile. L'ingénieur électrique propose de démonter le circuit électronique de la voiture pour voir où est le problème. L'ingénieur chimique suggère d'analyser la composition chimique de l'essence dans le réservoir. L'ingénieur informatique propose : "pourquoi on ne fermerait pas toutes les fenêtres de la voiture, on sortirait de la voiture puis on reviendrait dans la voiture, on ouvrirait les fenêtre et peut être Ben Hmida Issam que là ça redémarrerait. Les blagues sont proposées par :

Issam2004@yahoo.fr


5

SecuriNets N°1 Décembre2004

Www.SecuriNets.com

Thématique La Sécurité en quelques mots Tout ordinateur est susceptible dêtre victime dune intrusion pouvant compromettre l intégrité du système ou bien y altérer les données. Faire de la sécurité sur un réseau consiste à s'assurer que celui qui modifie ou consulte des données du système en a l'autorisation et qu'il peut le faire correctement car le service est disponible. La sécurité est bien plus complexe qu un simple choix de produits. En fait, c est tout une politique (stratégie, méthodologie). Il faut étudier l existant au sein de l entreprise (l organisation) afin détablir un cahier des charges, ensuite faire un choix adéquat des produits. Une fois la solution est en place, pourquoi pas un audit : question de s assurer du degré de protection souhaité.

Systèmes vulnérables Pourquoi ? La sécurité ne peut pas être sûre à 100% , elle est même souvent inefficace. En effet, Les organisations préfèrent courir le risque car, généralement, l implémentation dune solution dinterconnexion sécurisée est très coûteuse. De plus, cette solution se base sur des jugements humains et donc possibilité de défaillance. Sans oublier que l utilisation de nouvelles technologies fait émerger de nouvelles vulnérabilités. Coté cryptographie, Il n existe pas dinfrastructure pour les clefs et autres éléments de cryptographie. En fait, l état interdit la cryptographie dans certains cas (exportation, par exemple) dans certains pays, ce qui empêche le cryptage systématique au niveau du système dexploitation.

Méthodes dattaques - La négligence interne des utilisateurs vis à vis des droits et autorisations daccès. - Se faire passer pour un ingénieur pour obtenir des infos comme le mot de passe. - Beaucoup de mot de passe sont vulnérables à une attaque systématique. - Les clefs de cryptographie trop courtes peuvent être cassées. - L attaquant se met à l écoute sur le réseau et obtient des informations. - IP spoofing : changer son adresse IP et se faire passer pour quelqu un de confiance. - Injecter du code dans la cible comme des virus ou un cheval de Troie. - Exploitation des faiblesses des systèmes dexploitation, des protocoles ou des applications.

Méthodes de défense Authentification : vérifier la véracité des utilisateurs, du réseau et des documents. - Cryptographie : pour la confidentialité des informations et la signature électronique. - Contrôles daccès aux ressources (physiquement aussi). - Firewalls : filtrage des trames entre le réseau externe et le réseau interne. - Audit : études des fichiers de log pour repérer des anomalies. - Logiciels anti-virus (2/3 des attaques sont des virus). - Programmes de tests de vulnérabilité et derreurs de configuration (satan). - Détection dintrusion : détection des comportements anormaux dun utilisateur ou des attaques connues.

Je sais que c est un peu lourd à digérer pour certain dentre vous, mais c est inévitable comme une première mise à niveau. Dans les prochains articles, je vais essayer dexpliquer plusieurs termes parus ci-dessus tels que Firewall, IP spoofing et bien dautres termes : VPN, Proxy, Nat, IPSec etc. Et pourquoi pas l étude de quelques cas dimplémentation de solution sécurisée. Si vous avez des suggestions, n hésitez pas à me contacter. Khamassi Moez

Khamassi_moez@yahoo.fr


6

SecuriNets N°1 Décembre2004

Www.SecuriNets.com

Thématique

La Cryptographie

La cryptographie est l art de rendre les données secrètes. Cest très simple, afin de protéger un message, on lui applique une transformation qui le rend incompréhensible . c est ce qu on appelle chiffrement, qui, à partir dun texte en clair donne un texte chiffré ou cryptogramme. Clef de chiffrement Texte en clair

Texte chiffré ou cryptogramme

UGEWTKPGVU

Chiffrement

Clef de déchiffrement Déchiffrement

Texte en clair

Chiffrement de César Cest l un de plus anciens codes de chiffrement. Il s agit simplement de décaler l ensemble des caractères du message dun certain nombre de posit ions(très stupide je sais). Cest à dire en quelque sorte de substituer chaque lettre par une autre. Par exemple en décalant le message SECURINETS de 2 positions vous pouvez trouver le message crypté dans la figure ci-dessus==> UGEWTKPGVU On appelle clef le caractère correspondant à la valeur que l on ajoute à chaque caractère du message. Dans notre cas, on a ajouté 2 positions à chaque caractère donc la clef est B (2èmme lettre de l alphabet). On peut clairement remarquer ici que la clef de déchiffrement et la même que celle de chiffrement (on retranche 2 positions). Ce type de chiffrement est dit symétrique.

SECURINETS UGEWTKPGVU

chiffrement symétrique

chiffrement Asymétrique Imaginez maintenant qu il existe une porte qui s ouvre avec une clef et se ferme avec une autre et que la clef qui ferme la porte ne peut pas l ouvrir et vice versa !! Cest le chiffrement asymétrique.

Remarquons maintenant que dans les deux cas précédents (chiffrement symétrique et asymétrique) un transfert de données cryptées nécessite une phase déchange de clefs Mais est il possible de concevoir un tout petit protocole déchange de données cryptées sans qu il y ai cette phase déchange . C'est-à-dire que chaque entité ne connaisse rien sur la clef utilisée par l autre entité : voici la solution


7

SecuriNets N°1 Décembre2004

Www.SecuriNets.com

Ajouter 2 positions à chaque caractère (clef utilisée par Mongia et propre a elle) Ajouter 5 positions à chaque caractère (clef utilisée par Mongi et propre à lui) Mongia crypte le message SECURINETS avec son clef et l envoie à Mongi

Mongi crypte le message qu il reçoit avec sa clef et l envoi à Mongia

Mongia décrypte le message avec sa clef et le renvoie à Mongi

Mongi ne lui reste maintenant que décrypter le mot code XJHZWNSJYX par sa propre clé pour trouver le mot initial envoyé par Mongia.

El Hadj Hichem Hichemtn2003@YAHOO.FR

Thématique

Sécurité des réseaux GSM

A cause de l utilisation du canal radioélectrique pour transporter les informations, les abonnés sont particulièrement vulnérables : - à la possibilité dutilisation frauduleuse de leur compte par des personnes disposant de mobiles "pirates", qui se présentent avec l identité dabonnés autorisés, - à la possibilité de voir leurs communications écoutées lors du transit des informations sur le canal radio. Le système GSM intègre donc des fonctions de sécurité visant à protéger à la fois les abonnés et les opérateurs : - confidentialité de l IMSI, - authentification dun abonné pour protéger l accès aux services, - confidentialité des données usager, - confidentialité des informations de signalisation


8

SecuriNets N°1 Décembre2004

Www.SecuriNets.com

Principes dauthentification et de chiffrement Confidentialité de l identité de l abonné Il s agit déviter l interception de l IMSI lors de son transfert sur la voie radio par des entités non autorisées. Ainsi, il devient difficile de suivre un abonné mobile en interceptant les messages de signalisations échangés. Le meilleur moyen déviter l interception de l IMSI est de la transmettre le plus rarement possible. Cest pourquoi le système GSM a recours au TMSI et c est le réseau qui gère des bases de données et établit la correspondance entre IMSI et TMSI. En général, l IMSI est transmise lors de la mise sous tension du mobile et ensuite les TMSIs successives du mobile seront transmises. Ce n est qu en cas de perte du TMSI ou lorsque le VLR courant ne la reconnaît pas (par exemple après une panne) que l IMSI peut être transmise.

Pour mettre en uvre les fonctions dauthentification et de chiffrement des informations transmises sur la voie radio, GSM utilise les éléments suivants : - des nombres aléatoires RAND, - une clé Ki pour l authentification et la détermination de la clé Kc, - un algorithme A3 fournissant un nombre SRES à partir des arguments dentrée RAND et de la clé Ki, - un algorithme A8 pour la détermination de la clé Kc à partir des arguments dentrée RAND et Ki, - un algorithme A5 pour le chiffrement / déchiffrement des données à partir de la clé Kc. A chaque abonné est attribué une clé Ki propre. Les algorithmes A3, A5 et A8 sont quant à eux les mêmes pour tous les abonnés dun même réseau. L utilisation de ces différents éléments pour la mise en uvre des fonctions de sécurité peut être schématisée par la figure suivante:

L allocation dune nouvelle TMSI est faite au minimum à chaque changement de VLR, et suivant le choix de l opérateur, à chaque intervention du mobile. Son envoi à la station mobile a lieu en mode chiffré.

Authentification de l identité de l abonné L authentification de l identité de l abonné peut être exigée du mobile par le réseau à chaque mise à jour de localisation, à chaque établissement dappel et avant dactiver ou de désactiver certains services supplémentaires. Dans le cas où la procédure dauthentification de l abonné échouerait, l accès au réseau est refusé au mobile. Le déroulement global de la procédure est le suivant : - le réseau transmet un nombre aléatoire RAND au mobile ; - la carte SIM du mobile calcule la signature de RAND grâce à l algorithme A3 et la clé Ki. Le résultat calculé, noté SRES, est envoyé par le mobile au réseau ; - le réseau compare SRES au résultat calculé de son coté. Si les deux résultats sont identiques, l abonné est identifié. Ce déroulement peut être schématisé par la figure suivante :

Blague : - Papa ! Qu'est-ce que ça veut dire : "Format C : complete" ? - Ca veut dire que je vais te tuer!!!

Ben Hmida Issam Issam2004@yahoo.fr


9

SecuriNets N°1 Décembre2004

Confidentialité des données transmises sur la voie radio: La confidentialité des données permet dinterdire l interception et le décodage des informations par des entités non autorisées ; elle sert plus particulièrement à protéger les éléments suivants : IMEI (identité du terminal), IMSI (identité de l abonné) et numéro appelant ou appelé. Cette confidentialité est obtenue grâce au chiffrement des données. Elle ne concerne que les informations circulant sur l interface Station Mobile / BTS. La procédure de chiffrement fait intervenir les éléments suivants : l algorithme de chiffrement, le mode détablissement de la clé de chiffrement et le déclenchement des processus de chiffrement / déchiffrement à chaque bout de la liaison. 1.Établissement de la clé Les informations transmises sur les canaux dédiés sont chiffrées grâce à la clé Kc calculée à partir du nombre aléatoire RAND et de l algorithme A8 selon la figure suivante :

Www.SecuriNets.com

Gestion des données de sécurité au sein du réseau : 1.Gestion de la clé dauthentification Ki La clé Ki est attribuée à l usager, lors de l abonnement, avec l IMSI. Elle est stockée dans la carte SIM de l abonné et dans l AUC au niveau du réseau. Afin de limiter les possibilités de lecture de la clé Ki, celle-ci n est jamais transmise à travers le réseau, ni sur l interface radio, ni entre les équipements fixes. 2.Entités du réseau où sont enregistrées les données de sécurité Le centre dauthentification AUC stocke l algorithme dauthentification A3, l algorithme de génération de la clé de chiffrement A8 et les clés Ki des différents abonnés du réseau GSM. Le HLR peut stocker plusieurs triplets (Kc, RAND, SRES) pour chaque IMSI. Dans le VLR plusieurs triplets (Kc, RAND, SRES) sont enregistrés pour chaque IMSI. Les couples TMSI (ou IMSI) et la clé de chiffrement Kc le sont aussi. La BTS peut stocker l algorithme de chiffrement A5 pour les données usager et pour les données de signalisation. La station mobile contient dans la carte SIM de l abonné : l algorithme dauthentification A3, l algorithme de chiffrement A5, l algorithme de génération des clés de chiffrements A8, la clé dauthentification individuelle de l utilisateur Ki, la clé de chiffrement Kc, le numéro de séquence de la clé de chiffrement et le TMSI.

Autres mécanismes

2.Activation du chiffrement L algorithme A5 est implanté dans la BTS. L activation se fait sur demande du MSC mais le dialogue est géré par la BTS. On peut noter que ce chiffrement ne peut être activé dès les premiers messages mais se fait après une procédure dauthentification puisqu il nécessite la connaissance de la clé Kc par le mobile.

Ben Souayeh Ahmed Amine Ahmed@Securinets.com

Les mécanismes de sécurité mis en uvre dans GSM permettent dobtenir des niveaux de protection très élevés pour le système et pour les abonnés. En effet il faudrait par exemple plusieurs milliards de couples (RAND, SRES) afin de déterminer l algorithme A3. Mais aucun système de sécurité n'est fiable à 100%. On a donc recours à des systèmes de sécurité internes propres aux terminaux mobiles. L opérateur du réseau GSM peut vérifier l identité IMEI dun terminal. Si celle-ci n est pas reconnue par le réseau ou si elle fait partie dune liste de terminaux dérobés ou pirates, l accès du mobile au réseau est alors refusé. Le réseau peut aussi mémoriser l identité IMSI de l abonné utilisant le terminal douteux. Il est intéressant de noter que la carte SIM contient également des codes personnalisables par l usager et utilisés pour identifier l abonné, tel le code PIN, Personnal Identity Number, demandé à l utilisateur à chaque mise sous tension du terminal. La carte peut aussi contenir dautres codes selon la volonté de l utilisateur, afin dinterdire l accès à certains services.


SecuriNets N°1 Décembre2004

10

Www.SecuriNets.com

Thématique Le Hacking , Piratage Informatique Vous vous rendez compte,surement,que dès l instant ou vous vous connectez sur INTERNET,les données confidentielles stockées sur votre PC sont exposées à un certain nombre de risques. Le Hacking est une intrusion dans les systèmes informatiques dans le but de dérober des informations protégées et confidentielles. Un pirate ou un Hacker peut non seulement avoir conaissance de vos informations personnelles mais aussi manipuler et détruire vos données. Sa motivation vient de sa curiosié,son besoin de prouver qu il est le meilleur dans le détournement des mesures de sécurité les plus strictes. Et maheureusement,les informations acquises illégalement peuvent être aisement exploitées pour commettre des délits!

Comment y faire face? Il faut être conscient qu on est jamais à l abri des attaques de toutes sortes, pour cela ,il faut toujours être vigilant . La question est comment...Comment on pourrait prévoir telles intrusions?.Que doiton faire pour lutter contre les accès non autorisés?Comment protéger de la façon la plus optimale notre système ?. Il existe une multitude de réponses,et toutes sortes de mesures préventives et sécurisantes . Voici quelques recommandations qui doivent surêment être utiles pour la lutte contre le piratage:

1

L a manière la plus simple et la plus efficace est de doter votre sytème dexploitation,votre navigateur et votre logiciel de messagerie ,des Services Packs les plus récents (SP2) et des dernières mises à jour de sécurité: Je voulais citer WINDOWS UPDATE qui permet de corriger certains bugs de votre système . Pour cela ,il suffit de suivre ce chemin et dactiver la mise à jour automatique: Panneau de configuration > système > MAJ Automatique

2 Protégez-vous contre le risque de pertes de données : Effectuez régulièrement des copies de sauvegarde(Backup) sur des supports tels que le CD-ROM. On n est jamais sures de rien! Equipez vous dun FIREWALL (coupe-feu) qui permet de filtrer le trafic des données ,de bloquer et même didentifier l @IP du Hacker. Une fois identifiée,vous pouvez localiser son propriétaire sur la Planète par des outils de traceroute tels que par exemple NEOTRACE Voici des sites ou vous pouvez telecharger un firewall : Www.ZoneAlarm.de Www.Firewall-net.com Www.Symantec.com

3

La Sécurité Informatique -page 7

4 Pour ne être cette victime ,veillez à ce que les mots de passe que vous choisissez ne soient pas trop faciles à décrypter (une combinaison de chiffres et de lettres fera l affaire). Et en parlant de mots de passe ,une arnaque est souvent utilisée par les pirates consiste à simuler les codes que votre machine génère ou encore à vous envoyer un écran piège pour vous faire retaper votre mot de passe: Attention,si par exemple vous avez déjà ouvert votre compte de messagerie,votre nom figurera surement en haut de la page avec une Bienvenue mais on vous demande parfois de retaper votre mot de passe! Vous devinez maintenant la raison!


11

SecuriNets N°1 Décembre2004

5

Www.SecuriNets.com

On ne cesse de nous rappeler les précautions à prendre avec les fichiers dorigine inconnue. Des programmes espions (spyware) peuvent facilement s infiltrer dans votre système transmettant vos données (en trotre vos mots de passe) à leur expéditeur. Sauf si vous faites bien attention à ne pas ouvrir des mails suspects ou de ne pas télecharger des fichiers dorigine inconnue. Dans le cas contraire,il est recommandé dinstaller un antispyware. Personellement je me suis procurée Ad-Aware Se Personnal disponible en télechargement et qui est conçu sur le même principe qu un antivirus, il scanne votre machine afin de vous débarasser dune présence qui n est pas vraiment la bienvenue:)

Aperçu dun antispyware : Outil contre-Espionnage

Ben Youssef Nihel Nihel@Securinets.com

Thématique

Le virus et ses Variantes

La définition d'un virus pourrait être la suivante: "tout programme d'ordinateur capable d'infecter un autre programme d'ordinateur en le modifiant de façon à ce qu'il puisse à son tour se reproduire". Ils se multiplient pour la plupart, c'est-à-dire qu'il s'insèrent dans les fichiers que vous exécutez après qu'il soit résident en mémoire. Certains virus sont capables de : ·flasher le BIOS (possible sur certains BIOS) ·

détériorer le disque-dur (en faisant repasser physiquement la tête du disque des millions de fois sur le même secteur (secteur 1))

·

abimer l'écran (en appliquant matériellement des changements de fréquence pouvant causer la mort du moniteur...)

D'après les éditeurs d'antivirus il existerait environ 15000 à 20000 antivirus, dont à peine une centaine seraient réellement actifs.

le virus peut représenter une faille dans la sécurité d'un réseau en créant des vulnérabilités dissimulées qu'un utilisateur extérieur pourra utiliser pour s'introduire dans le système, ou pour lui fournir des informations. Le but de ces virus est de se propager, vulnérabiliser des systèmes, et "marquer" les systèmes de telle façon à ce qu'ils puissent être repérés par leurs créateurs. De tels virus dévoilent l'ensemble des systèmes d'informations d'une machine et brisent ainsi la confidentialité des documents qu'elle renferme, on appelle ce type de virus un cheval de Troie.


12

SecuriNets N°1 Décembre2004

Www.SecuriNets.com

Les Chevaux de Troie Ce programme informatique est basé sur une anecdote historique qui s'est déroulé il y a bien longtemps, c'est l'histoire ancestrale du "cheval de Troie". Ne sachant pas comment envahir la ville de Troie, les assaillants eurent l'idée de donner en cadeau un énorme cheval de bois. Jusque là rien d'anormal, cependant le cheval était rempli de soldats cachés qui s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville entière était endormie ... Un cheval de Troie (informatique) est donc un programme caché dans un autre qui exécute des commandes sournoises. Un peu comme le virus, le cheval de Troie est un code (programme) nuisible placé dans un programme sain (imaginez une fausse commande dir, qui normalement liste les fichiers, qui vous détruit les fichiers au-lieu d'en afficher la liste). Il exécute des instructions nuisibles lorsque vous exécutez le programme sain. Il peut par exemple voler des mots de passe, copier des données, ou exécuter tout autre action nuisible ... Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brêche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de l'extérieur. Détecter un tel programme est difficile car il faut arriver à détecter si l'action du programme (le cheval de Troie) est voulue ou non par l'utilisateur.

Les Virus trans-applicatifs (Virus macros) Avec la multiplication des programmes utilisant des macros, Microsoft a mis au point un langage de script commun pouvant être inséré dans la plupart des documents pouvant contenir des macros, il s'agit de VBScript, un sous-ensemble de Visual Basic. Ces virus arrivent actuellement à infecter les macros des documents Microsoft Office, c'est-à-dire qu'un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accèder au système d'exploitation (généralement Windows) tout entier à sa guise... Or de plus en plus d'applications supportent Visual Basic, ces virus peuvent donc être imaginables sur de nombreuses autres applications supportant le VBScript. Le début du troisième millénaire a été marqué par l'apparition à grande fréquences de scripts Visual Basic diffusés par mail en fichier attaché avec un titre de mail poussant à ouvrir le cadeau empoisonné. Celui-ci a la possibilité, lorsqu'il est ouvert sur un client de messagerie Microsoft, d'accèder à l'ensemble du carnet d'adresse et de s'autodiffuser par le réseau Ce type de virus est appelé ver (ou worm en anglais).

Les Derniers Virus Virus Titanic : Fait couler tout votre ordinateur et passe en boucle la chanson de Céline Dion. Virus Britney Spears : Ne sert pas à grand chose mais fait un joli fond d'écran. Virus Ben Laden : Même en utilisant les moteurs de recherche les plus puissants du monde, il est impossible de trouver où il se cache.

Les vers Un ver est un programme qui peut s'auto-reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, ils n'ont pas réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier ...) pour se propager; un ver est donc un virus réseau. La plus célèbre anecdote à propos des vers date de 1988. Un étudiant avait fabriqué un programme capable de se propager sur un réseau, il le lança et 8 heures après l'avoir lâché, celui-ci avait déjà infecté plus de 2000 ordinateurs, et c'est ainsi que de nombreux ordinateurs sont tombés en pannes en quelques heures car le "ver" (car c'est bien d'un ver dont il s'agissait) se reproduisait trop vite pour qu'il puisse être effacé par le réseau. De plus, tous ces vers ont créés une saturation au niveau de la bande passante, ce qui a obligé la NSA a arrêter les connexions pendant une journée.

Les virus mutants En réalité, la plupart des virus sont des clones, ou plus exactement des mutants, c'est-à-dire des virus ayant été modifiés par d'autres utilisateurs afin d'en modifier le comportement (ou tout simplement changer des messages émanant du virus).

Sliti MAHA


13

SecuriNets N°1 Décembre2004

Historique

Www.SecuriNets.com

Cybercrime

1970 ·

John Draper alias « Capn Crunch » découvre que le sifflet gadget présent dans les boites de céréales de la marque Capn Crunch émet un son, lorsque l on s en sert exactement à la même Fréquence que le réseau téléphonique de l opérateur AT&T. Grâce à Draper et au sifflet, des milliers de personnes peuvent utiliser AT&T pour passer des appels nationaux ou internationaux gratuitement

1981 ·

·

Ian Murphy alias « Captain Zero » est officiellement la première personne inculpée pour un crime informatique, suite à son intrusion dans le système informatique de AT&T, et à la modification du programme de facturation, étendant les heures creuses à toute la journée. Les « exploits » de Murphy inspire le film SNEAKERS avec Robert Redford, Dan Aykroyd, River Phenix, où une bande de hackers repentis ayant créé une société testant la sécurité des systèmes informatiques se trouve confrontés à des agents corrompus du FBI.

1989 ·

Le Cyber Criminel Dark Avenger créé le programme informatique Avenger.1808, qui se propage dun ordinateur à un autre détruisant toutes les données à son passage.

·

WDEF, un des premiers virus Macintosh qui détruit les données fait son apparition.

·

Le numéro 24 de Phrack publie un document confidentiel ayant été volé sur le réseau informatique de la société de télécoms Bell South.

1990 .

Début de la guerre entre deux groupes de hackers rivaux, Legion of Doom et Masters of Deception. Ces deux groupes vont brouiller des lignes téléphoniques et faire des écoutes téléphoniques avec comme seul but de réussir à s'introduire dans les ordinateurs du groupe rival.

·

Kevin Poulsen est arrêté après avoir détourné tous les appels entrants dans une station de radio de Los Angeles, et fait croire au nom de la radio que l auditeur avait gagné des gros lots comme une Porsche par exemple.

1983 ·

Le film War Games popularise les hackers et le phénomène du Cybercrime

1991 ·

Dark Avenger créé MtE un logiciel permettant de rendre des virus polymorphes, c est à dire pouvant se transformer en plus de 4 000 milliards de formes différentes, et donc extrêmement difficiles détecter.

·

Dark Angel et Nowhere Man lancent le premier générateur de virus, fonctionnant de manière simple, il permet à n importe qui de créer un virus.

1985 ·

Le premier numéro du journal Phrack voit le jour. Cest le premier magazine « underground » concernant le piratage et les hackers.

1986 ·

La première loi contre la fraude informatique est votée par le congrès américain. Elle rend punissable par la loi, l accès non autorisé aux ordinateurs du gouvernement

1988 ·

Robert Morris, le fils dun des principaux scientifiques du National Computer Security Center, lâche dans la nature le premier ver Internet, qui va se répandre sur 6000 machines connectées. Morris tentera dexpliquer après coup, que ceci était une erreur de programmation, il sera néanmoins condamné à 3 mois de prison avec sursis et à 10 000 dollars damende.

Kevin Mitnick est condamné à un an de prison suite à son Kevin Mitnik intrusion dans les ordinateurs dune grande société. ·

1992 ·

Un adolescent est arrêté à Washington pour avoir créé le virus SatanBug, qui détruit des données.

.

Création de Monkey, un virus qui efface le disque, lorsque l on tente de le supprimer

1994 ·

Vladimir Levin, un étudiant russe, membre dun groupe de Hackers russes, s introduit dans le réseau informatique de la CityBank et effectue un virement de 10 millions de dollars sur son compte en banque. Il sera arrêté un peu plus tard à Londres.

·

Mark Abene, alias Phiber Optik, un des leaders du groupe de pirates Masters of Deception est emprisonné pour avoir détourné des lignes téléphoniques. A sa libération, il sera nommé par le magazine New York Magazine, dans le top 100 des plus intelligentes personnalités de la ville.


14 SecuriNets N°1 Décembre2004

Www.SecuriNets.com

1995 ·

Kevin Mitnick est arrêté une nouvelle fois par le FBI, pour le vol de 20000 numéros de cartes de Crédit.

1996 ·

Concept, le premier virus macro infectant les documents Word, devient le virus le plus répandu dans le monde

1998 ·

Cult of the Dead Cow, un groupe de Hackers développe Back Orifice, un cheval de Troie permettant un accès complet aux PC infectés.

·

De nombreux piratages de sites militaires U.S ont lieu.

·

Le site du New York Times est piraté.

·

Le NIPC (National Infrastructure Protection Center) est créé pour lutter contre le cybercrime et les sabotages des infrastructures informatiques U.S

·

Un journaliste du Cincinnati Enquirer s introduit dans le système de messagerie vocale de Chiquita Fruits et se sert des informations confidentielles récupérées pour écrire un article sur les activités illégales de la société.

1999 .

Une version plus puissante de Back Orifice fait son apparition : Back Orifice 2000

.

Les hackers Serbes et Kosovar, se livrent une guerre électronique, piratant les sites de l adversaire.

·

Deux cyber criminels Chinois sont condamnés à mort en Chine pour avoir hacké une banque et détourné 87 000 dollars vers leurs propres comptes.

·

Le virus Melissa créé par David Smith sème la panique dans le monde et cause plus de 80 millions de dollars de dégâts.

·

Deux groupes de Hackers Serbes menacent l OTAN, affirmant qu ils vont détruire leur système informatique en réponse à la guerre contre la Serbie.

·

Le site Web de la Maison Blanche est « tagué » de graffitis rouges.

·

Un groupe de hackers appelé phreak.nl pirate plusieurs sites dont ceux de la NASA et le ministère de la Défense en posant des graffitis sur les pages d accueil mentionnant « Hack the Planet ».

Historique 1949 : John Von Neumann présente les fondements théoriques des logiciels autocopiés. 1960 : Un groupe de jeunes ingénieurs des laboratoires Bell met au point un jeu informatique du nom de Core war un jeu qui consistait à lâcher deux programmes de combat dans la mémoire vive de l ordinateur. Le but était très simple : le gagnant était celui qui détruisait le premier son adversaire ou celui dont le nombre de copies restantes, après un temps déterminé, était le plus grand. 1984 : Le magazine Scientific American présente un guide pour fabriquer ses propres virus. 1986 : Les frères Alvi, deux Pakistanais, fournissent à des touristes des copies de logiciels pirates infectés du virus Brain. Ce serait le premier virus clairement identifié et connu. Il a causé de sérieux dégâts sur les campus américains. 1988 : Peace/Mac affiche son message de paix universelle sur les écrans de possesseurs de Macintosh II.

Virus 1989 : Datacrime : trois virus font trembler les Pays-Bas et la France. La police néerlandaise propose alors un ensemble de programmes informatiques à bas prix pour lutter contre ces virus. C'est à cette époque que la France prend réellement conscience de l'existence des virus. 1991 : Diffusé par une disquette vendue dans la revue Soft et Micro, le virus Frodo/4096 arrive en France. Le Clusif (Club de la sécurité des systèmes dinformation français) propose sur son serveur une procédure de détection et de décontamination pour lutter contre Frodo. Le serveur enregistre 8 000 connexions. 1998 : D'après les chiffres publiés par Dr Salomon's, éditeur d'antivirus, on recensait 17 745 virus différents en 1998, contre 18 en 1989. 2000 : le virus "I Love You" provoque l'effroi sur Internet par sa contagion très rapide. 2003 : Le virus MyDoom a beaucoup fait parlé de lui, et la tête de l'auteur de ce dernier reste mise à prix.

Romdhani Bilel RomdhaniBilel@yahoo.fr


15 SecuriNets N°1 Décembre2004

Www.SecuriNets.com

Consignes et Astuces

Les torjans

C'est quoi ? Comment ça marche ? Le Hacking par trojan est une des pratiques les plus répandues ! Le Trojan est un logiciel qui permet de prendre le contrôle à distance d'une autre machine. Pour cela le pirate tente d'infecter sa cible avec la partie serveur (Virus) du Trojan qui permettra de copier, lire, voir ce qui se passe sur la machine infectée, et d'en avoir le contrôle! Un Trojan ne peut fonctionner que si la machine à pirater possède le serveur du Trojan et que cette machine est connectée sur le web. Le Hacker a sur son PC la partie Client du Trojan pour le contrôler. Si l hôte ouvre le trojan généralement un fichier "EXÉCUTABLE" c'est a dire de la forme suivante "nom_du_fichier.exe" Rien ne se passe à son écran ; c est comme si l'application ne marchait pas ! Alors qu'en réalité elle a modifié votre ordinateur ! Elle ouvre les ports de l'ordinateur, et permettent au Hacker de contrôler le PC hôte infecté !

Un Trojan / C'est quoi les symptômes ? - Tes fichiers sont Regardés, modifiés, déplacés, - Tes Emails (regardés, supprimés, etc.), - Des blagues plus ou moins drôles : on a modifié ton système, - Ton lecteur de Cd-rom s'ouvre tout seul, - Ton PC redémarre tout seul, - Tes mots de passe de connexion Internet, email, ou autres te sont volés, pour un futur à ton insu...

Astuces : Les extensions des fichiers en point .EXE sont dans 90 % des cas non affichés par l'ordinateur !! C'est à dire que Windows cache automatiquement l es extensions de tous les fichiers connus et répertoriés ! Nommez à la place de "nom_du_fichier" ce que vous voulez mais ajoutez "nom_du_fichier.jpg.exe" Donc la personne va croire que c'est une image car il y a un point .JPG ! Même si l'icône est celle d'une application ! NB : ça porte toujours à confusion et ça marche ! Pour avoir les extensions des fichiers même de ceux qui sont connus: Comme j'ai fait moi sur mon PC, je suis prévoyante ! Dans le panneau de configuration > "Option de dossier" et dans l'onglet "affichage" décochez la case "masquer les fichiers dont l'extension est connue".

Conseils 1/ N allez pas sur des sites où le Webmaster promet tous et n'importe quoi !! C'est très mauvais ! Il y a des sites qui font télécharger des trojans mais il y a un risque pour que vous téléchargez le "serveur" !! 2/ Evitez de télécharger des accès pour des sites quand les sites sont louches ou quand le site ne donne aucun renseignement ! 3/ N'ouvrez jamais un programme qu'une personne vous ait gentiment envoyé, si vous ne connaissez pas celle ci, ou que vous n avez rien demandé ! En gros voilà un peu ce a quoi faut faire attention !! Ne devenez pas non plus paranoïaque c'est pas bon pour la santé !

Sonia Chouaieb Sonia_Chouaieb@web.de


16 SecuriNets N°1 Décembre2004

Www.SecuriNets.com

Consignes et Astuces Microsoft vous surveille ! Peut être le savez-vous déjà, mais depuis Windows 98 et ce dès que vous êtes connectés sur un site de Microsoft, sachez que vous êtes suivis ! Voici comment virer ce mouchard. Microsoft a équipé ses différentes versions de Windows (depuis la version 98 ) d'un contrôle ActiveX qui lui permet (et d'autres sites s'en servent !) de lire votre HWID (Hardware ID) ainsi que le MSID (Microsoft ID) qui peuvent (ou sont utilisés ?!) par Microsoft pour connaître vos mouvements sur son site.pour effacer ce mouchard (contrôle d'enregistrement) voici comment on doit procéder:

Pour Windows 98, 98SE et ME 1. Menu Démarrer puis Exécuter 2. Tapez la commande suivante : regsvr32.exe -u c:\windows\system\regwizc.dll Si vous désirez le réactiver, procédez de la manière suivante : 1. Menu Démarrer puis Exécuter 2.Tapez la commande suivante : regsvr32.exe -c c:\windows\system\regwizc.dll

Pour Windows 2000 1. Menu Démarrer puis Exécuter 2. Tapez la commande suivante : regsvr32.exe -u c:\winnt\system32\regwizc.dll 3.Recommencer avec la commande : regsvr32.exe -u c:\winnt\system32 \msident.dll

Pour Windows XP 1. Menu Démarrer puis Exécuter 2.Tapez la commande suivante : regsvr32.exe -u regwizc.dll

Boukari Abdessabour

Désactivez votre connexion à distance

Abdou2005@yahoo.fr

Les connexions à distance sont bien pratiques, mais elles constituent un des principaux vecteurs de piratage. Pour définir un délai dinactivité de la connexion au-delà duquel celle-ci sera terminée doffice par le système, ouvrez le registre par regedit

à la clé HKLM\SYSTEM\CurrentControlSet\Services\RemoteAcess\Parameters et créez une valeur DWORD nommée AutoDisconnect spécifiant ce délai en

Aouadi Wassim Zhoom@hotmail.com


16 SecuriNets N°1 Décembre2004

Www.SecuriNets.com

Activités du club Chaque mercredi,un membre du club présente un sujet sur lequel se porte le débat.Parmi les thèmes proposés: Sécurité GSM (proposé par Ahmed) Sécurité des mots de passe Linux (proposé par Samy) Sécurité des mots de passe Windows (proposé par Ahmed) Crackage de logiciels (proposé par Mourad)

Sécurité GSM

La Sécurité des réseaux GSM -page9

Connaissant ma fascination pour l univers des Hackers, un ami ma donné un film qui s intitulait « Cyber Track » est qui trace la vie de Kevin Metnic l un des plus grand hackers connus. Ce qui ma intrigué dans ce film c est que Kevin utilisait un mobile avec lequel il téléphonait gratuitement aux dépend de personnes qu il ne connaît même pas. Est là, une question ma traversé l esprit « est ce qu il est possible de faire cela malgré toutes les protections imposés par la norme GSM ? »,et ben c est possible « malheureusement » et cela à cause de deux failles bien connus dans les algorithmes utilisés dans la norme GSM.

Sécurité des mots de passe Windows « j ai oublié mon mot de passe windows.Est ce qu il est possible de le retrouver ? Est ce qu il est possible de le modifier ? » Une multitude de questions que malheureusement un bon nombre dingénieurs ne peuvent pas y réponde, mais pas de panique Securinets est là. Les empreintes des mots de passe Windows sont enregistrées dans un fichier nommé SAM situé au niveau de « $windir$ /system32 /config /sam » mais une copie de sauvegarde plus ou moins à jour se trouve dans le fichier « $windir /$repair /sam._ » et éventuellement sur la disquette de réparation. Pour retrouver le mot de passe ,il suffit de tester différentes combinaisons et de comparer les empreintes, c est le principe utilisé par les programmes de récupération de mot de passe windows, dont on peut citer « L0phtCrack » et « Cain & Abel »

Ce logiciel intègre la fonction Recherche de Ki la première :est liée à l algorithme A38 (A3 et A8) .se sont Ian Goldberg et David Wagner de l université de California a Berkeley qui ont démontrée qu on peut retrouver le KI en moins de 2^19 itération (moins de 8 heures) ,ce qui rend le clonage de la carte a puce un jeux denfant. la deuxième faille se situait au niveaux de l algorithme A5 ce sont Alex Biryukov, Adi Shamir et David Wagner qui ont démontré qu avec une RAM de 128MO et un Disque Dur de73GO on peux casser cet algorithme aux moins dune seconde ,ce qui rend l écoute téléphonique possible .

Ben Souayeh Ahmed Amine Ahmed@Securinets.com

Moins qu une seconde pour retrouver le mot de passe 1234 par L0phtCrack (c est trop facile)

Une empreinte est le résultat du hachage dun mot de passe, donc une transformation par un algorithme non réversible. Cette opération enregistre dans le système une "image" du mot de passe et empêche quiconque daccéder au mot de passe en clair.


18

SecuriNets N°1 Décembre2004

Www.SecuriNets.com

Crackage de logiciels 1. Introduction L'objectif de l activité était de nous armer au mieux pour commencer dans l'art du crack car contrairement à ce qu'on pourrait croire il ne suffit pas d'avoir de la volonté (ce sera certes très util :) mais il faut surtout se préparer. Le cracking est l'art de transformer une version d'un soft non enregistré en soft enregistré, pour cela, le cracker va utiliser différentes techniques en vu de patcher le programme.

2. Un petit mot de philosophie (?) Un point important est de vous demander pourquoi vous voulez cracker. Plusieurs réponses possibles : 1) pour le fun -> Ça se défend, mais il vaut mieux avoir du temps devant vous...jouez plutôt à ot' choz ! 2) j'adore l'informatique mais je n'ai pas de blé -> tiens, toi non plus ;) 3) la variante est aussi "a mort le shareware et vive le freeware" -> Tout a fait d'accord avec toi, on est des passionnés oui ou merde... et la beauté du geste ? 4) j'ai envie d'apprendre -> Voilà un garçon (une fille ... mais c plus rare :( ) qu'il (elle) est bien !

3. Styles de protections Bien, on entre dans le vif du sujet. Pour le moment, puisqu'il s'agit d'une approche pour débutants, nous traiterons uniquement des sharewares. 1. limitation à X jours et son pendant, à Y utilisations 2. version bridée (incomplète à l'utilisation mais il s'agit quand même du soft complet) 3. les versions "démo" (tout n'est pas dedans) C'est tout ...

4. Les outils Comme je vous le disais tout à l'heure, il est nécessaire de posséder le matériel ad hoc pour se lancer. De quoi avons-nous besoin ? 1. une tête -> Ça en principe vous avez 2. une connaissance en assembleur -> Ça c'est déjà moins évident. 3. un désassembleur -> Ah, ça se complique; il s'agit de convertir un programme binaire en instructions un peu moins obscures que des 0 et des 1 -> Pour ce faire, 2 outils : WinDasm et IDA 4. un debugger -> C'est un programme qui permet d'interrompre le cours d'un autre programme, de voir ce qui s'y passe, de modifier la mémoire et plein d'autres petits trucs sympas -> Nous avons pour ça le célébrissime SoftIce pour Windows (version 3.20 et un patch 3.22) 5. un éditeur hexadécimal -> Hexworkshop, HexEdit, UltraEdit, ... y en a plein -> Vous pourrez de cette manière modifier votre cible 6. de la patience 7. du temps

5. Conclusion Voilà, je ne prétendais pas écrire un texte exhaustif, mais vraiment un tout premier survol pour les débutants de crackers. Maintenant consultez des exemples pratiques et essayez par vous-même. Un dernier conseil, n'essayez pas directement de comprendre comment un serial est calculé, ce serait très frustrant et rarement concluant au début.

El Maalaoui Mourad

Astuce : Ouvrez un document Word vierge et tapez, sans espaces : =rand(200,99) Et ensuite faite "entrer". (véridique, ce n'est pas une blague) Alors vous en voulez ou pas de la bière et des kiwis ? Microsoft ne peut apparemment pas expliquer ceci !

ElmaalaouiMourad@yahoo.fr

Ben Hmida Issam Issam2004@yahoo.fr


19 SecuriNets N°1 Décembre2004

Www.SecuriNets.com

Sécurité des mots de passe Linux Avant de parler de la rencontre que nous avons organisé sur la sécurité sous linux, je veux féliciter mes amis et tous les membres de SECURINETS pour ce premier journal que je me sens fier d en avoir un article dedans

Concernant la rencontre, nous avons parlé un peu du "premier niveau de sécurité" sous les systèmes d exploitation de la famille UNIX. UNIX

Tout d'abord la sécurité commence au niveau des mots de passe utilisateur qui, malgré toutes les mesures préventives, peuvent être cassés, parce qu il suffit qu un hacker reçoit des informations sur la stratégie de sécurité employée (avec quel algorithme sont cryptés les mots de passe, quelle est la version du système d exploitation,quels sont les ports ouverts, ) pour qu il commence à travailler

Nous avons parlé également du principe de masquage des mots de passe (SHADOWING SHADOWING), des algorithmes de chiffrement et de hachage, et de certains outils de cassage de mots de passe LINUX telle que CRACK et JOHN THE RIPPER que nous l avons lancé sur la machine Mandrake de Nihel (lors de l exposé) et nous avons piqué deux mots de passes (de l utilisateur root !! et de l utilisateur Nihel) après presque un dixième de seconde de lancement de Jhon.

Jhon appartient à la catégorie des casseurs de mot de passe par dictionnaire alors que Crack utilise la force brute.

Voici quelques algorithmes de chiffrement et de hachage utilisés actuellement dans les systèmes d exploitation et les logiciels sécurisés :

Année de Nom création

Type

Taille

Année de cassage

Par qui ?

1974

RSA-576 (Rivest, Chiff Shamir and Adleman)

560 bits 2003

Une équipe internationale de chercheurs

1976

DES (Data Encryption Chiff Standard)

56 bits

Utilisateurs d'Internet sous la bannière de Distributed.net et Electronic Frontier Foundation

1991

MD5 (Message Digest Hach 128 bits 2004 Algorithm)

Xiaoyun Wang

1993

SHA-0 (Secure Hash Algorithm)

Hach 160 bits 2004

Antoine Joux, la DCSSI et de l'Université de Versailles-Saint-Quentin

1974

RSA-2048

Chiff

2048 bits -

Pas encore cassé. RSA Labs offre 200000 $ à celui qui le cassera. (c une occasion !!)

1977

Triple-DES

Chiff

192 bits -

Pas encore cassé

1994

RC5-72 Rivest cipher5 Chiff

72 bits

Pas encore cassé. Durée estimée de cassage au 01/10/2004 : 800 ans.

1997

-

Pour conclure Depuis les années 70, la puissance des ordinateurs double tous les 2 ans, il faut s'attendre à une boucle sans fin : d'anciens algorithmes seront cassés, de nouveaux devront apparaître. Si tous les algorithmes de chiffrement et de hachage sont cassés sans qu'il n'y ait de nouveaux, alors, fini le VPN, fini HTTPS, fini les mails cryptés, il n'y aura plus de sécurité possible dans l'informatique... Heureusement, dans l'état actuel des choses, il y a encore quelques dizaines (centaines ?) d'années devant nous avant que cela

Question/Réponse :

Mabrouk Samy

MabroukSamy@yahoo.fr (Q) Quelle est la différence entre Windows 98 et un virus ? (R) Le virus fonctionne sans aide . (Q)Comment faire connaissance avec une jolie fille ? (R)Si elle a un ordinateur, installez-lui Windows 98, et vous allez vous voir très souvent !

Profile for SecuriNets

SecuriMag_01  

Magazine du club de securité Informatique Securinets.

SecuriMag_01  

Magazine du club de securité Informatique Securinets.

Advertisement