PRODUITPwn plug :arme fatalePAR MICHEL CUSIN, architecte de sécurité – Bell                                  Imaginez qu’u...
Suite de la page 15■   SET (Social Engineer Toolkit) est un outil pouvant être              monde et qui offre de « faux »...
Suite de la page 16        Le pwn plug offre donc une multitude de possibilités.Voici un des nombreux scénarios possibles....
Prochain SlideShare
Chargement dans…5
×

Article secus 05_11_pwnplug

863 vues

Publié le

Publié dans : Technologie, Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
863
Sur SlideShare
0
Issues des intégrations
0
Intégrations
68
Actions
Partages
0
Téléchargements
13
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Article secus 05_11_pwnplug

  1. 1. PRODUITPwn plug :arme fatalePAR MICHEL CUSIN, architecte de sécurité – Bell Imaginez qu’un seul petit dispositif permet à un attaquant de prendre le contrôle de votre parc informatique à distance par un réseau cellu- laire. Cet exemple semble sortir d’un film de science-fiction. Pourtant, il est bel et bien réel. Bienvenue dans le monde du pwn plug ! PWN PLUG Le fait que son système d’exploitation soit Dans le monde des pirates infor- Ubuntu, une distribution de Linux très populaire, matiques et des professionnels en offre une grande souplesse quant aux « outils » pou- sécurité, le terme pwn ou pown est un vant y être installés. En effet, le pwn plug arrive avec dérivé du mot anglais own qui signifie une multitude d’outils déjà installés. Ces derniers « posséder ». Un pwn plug est un dis- sont fréquemment utilisés par les pirates, ce qui positif qui se branche dans une prise offre une valeur ajoutée par rapport au réalisme des Michel Cusin œuvre dans d’alimentation (plug) et qui sert à atta- attaques pouvant être perpétrées lors de l’utilisation le domaine de la sécurité quer, à infiltrer et à posséder des sys- d’un pwn plug pendant un test d’intrusion effectué depuis plus d’une décennie. Il tèmes et des réseaux informatiques. Il par un professionnel de la sécurité. Voici de brèves est actuellement architecte en permet en quelque sorte d’attaquer en descriptions de ces outils : sécurité de l’information chez étant derrière les lignes ennemies à ■ Metasploit et Fasttrack sont des plateformes Bell. Dans le passé, il a été instructeur et consultant en l’aide d’une tactique qui rappelle celle d’attaque permettant notamment de prendre le sécurité (secteurs privés et du cheval de Troie. contrôle d’un système en exploitant des failles publics). Il détient des certifi- Concrètement, cette boîte blan- sur ce dernier. cations telles que CISSP GCIH, , CEH, OPST, ITIL et plusieurs che de très petite taille est constituée autres relatives à divers des composantes d’un ordinateur nor- manufacturiers de solutions mal, c’est-à-dire d’un CPU (1,2 GHz), de sécurité. Il collabore avec d’une mémoire vive (DDR2 400 MHz, le SANS depuis plusieurs années, notamment à titre 16 bit-bus), d’un disque dur flash de mentor et d’instructeur. Il (512 Mb NAND flash), d’une prise participe également à divers réseau Ethernet et d’un port USB 2.0. L’ap- événements de sécurité pareil se branche dans une prise élec- comme conférencier et trique normale (100-240 VAC/50-60 Hz). organisateur. Le pwn plug est basé sur le kit de développement SheevaPlug de la com- pagnie GlobalScale Technologies1. Dave Porcello de Rapid Focus Security s’en est inspiré pour créer le pwn plug2. Le modèle sans fil vient avec une carte externe ALFA awus036h (500 mW) tandis que le modèle 3G vient avec un modem fonctionnant sur les réseaux HSDPA, GSM, UMTS, EDGE et GPRS pouvant fonctionner dans plus de 160 pays. La carte sans fil et le modem se branchent dans le port USB du pwn plug. Suite en page 16 Mai l Juin 2011 SÉCUS | 15 |
  2. 2. Suite de la page 15■ SET (Social Engineer Toolkit) est un outil pouvant être monde et qui offre de « faux » services de DHCP, POP, utilisé lors d’attaques qui tireront avantage de la fai- DNS, FTP. Le but est que la victime s’y branche afin de blesse que les humains représentent en matière de sécu- lui voler de l’information. rité. Ce type d’attaques est mieux connu sous le nom ■ Karmetasploit est une version de Karma adapté et inté- d’ingénierie sociale. Il peut par exemple créer un courriel gré à Metasploit et qui permet notamment de prendre qui semble légitime avec un fichier joint contenant une le contrôle total d’un poste en lui injectant du code porte dérobée (backdoor) et l’envoyer à une victime malicieux lorsqu’il se branche par le réseau sans fil, et « à l’interne ». Il s’intègre également à Metasploit. ce, à l’insu de la victime.■ SSLstrip est un outil permettant de faire des attaques ■ Kismet est un outil qui agit comme détecteur de de type Man in the Middle sur des connexions sécu- réseau sans fil, analyseur (sniffer) et système de risées en HTTPS (protocole SSL). L’outil permet à l’at- détection d’intrusion sans fil. taquant d’intercepter un trafic qui devrait normalement ■ La suite Aircrack-NG comprend une multitude d’outils être chiffré bout en bout et de le lire ou de le manipuler. sans fil. Elle permet notamment de craquer des clés■ Nmap, qui n’a plus besoin de présentation, est un WEP, WPA et WPA2. (pour ne pas dire le) balayeur (scanneur) de ports par ■ WEPbuster est un outil servant à craquer des clés WEP. excellence. Cet outil, qui offre maintenant le Nmap Il n’est pas nécessaire d’être un super pirate ou quel- Scripting Engine3, a évolué et est également devenu qu’un de très « technique » pour comprendre la puissance un scanneur de vulnérabilité. d’un pwn plug. Cet arsenal peut visiblement causer des dom-■ Dsniff est une suite d’outils permettant notamment mages importants. Pour être en mesure d’utiliser cet attirail d’intercepter du trafic réseau. Il opère au niveau 2 du de guerre, il faut d’abord s’y connecter. Cependant, comme le modèle OSI. pwn plug ne répond pas aux requêtes Ping et qu’il n’écoute■ Netcat est considéré comme le « couteau suisse » des sur aucun port (TCP et UDP) lorsqu’il est « indétectable » outils. Il sert à une multitude de choses comme se bran- (stealth), il est alors impossible de s’y brancher. C’est donc le cher à un système (par exemple une session Telnet), pwn plug qui se connecte par une connexion renversée créer des portes dérobées, faire des relais pour passer (reverse shell). Cela veut dire qu’il est donc possible de le d’un système à l’autre, transférer des fichiers par le déployer physiquement dans les locaux de la victime et de le réseau, etc. laisser se connecter en utilisant Internet ou un réseau cellu-■ Nikto est un scanneur de vulnérabilité d’application Web laire. Même si l’option de la connexion cellulaire est plus coû- qui tente de découvrir certains types de failles connues. teuse que l’accès Internet, elle offre l’avantage de contourn-■ Nbtscan est un scanneur tentant de détecter des sys- er tous les mécanismes de défense en place sur le réseau. tèmes avec la fonctionnalité de serveur NetBIOS dans De plus, le pwn plug tente de se brancher automatique- le but trouver des partages réseau. ment par le réseau cellulaire toutes les soixante secondes. Il■ Inguma est une plateforme d’attaque et de recherche envoie un message SMS à l’attaquant une fois qu’un tunnel de vulnérabilité principalement orientée vers les bases SSH (secure shell) est établi à partir du pwn plug vers l’infra- de données Oracle, mais pouvant également être uti- structure d’où seront lancées les attaques. lisée pour d’autres types de systèmes. Par contre, dans l’éventualité où une connexion cellu-■ Scapy est un programme de manipulation permettant laire n’est pas possible, comment le pwn plug peut-il se con- de forger des paquets IP. Il pourrait par exemple, être necter en sortie s’il est déployé derrière un coupe-feu qui filtre utilisé pour usurper (spoofing) l’adresse IP source d’un de façon très restrictive le trafic en sortie ? La solution à ce paquet afin de cacher sa provenance. problème est de camoufler le trafic en sortie à l’intérieur d’un■ Ettercap est un programme multiusage permettant autre type de trafic qui est normalement permis en sortie. d’analyser (sniffing), d’intercepter et d’enregistrer Typiquement, la plupart des environnements permet- (logging) du trafic sur un réseau commuté. tent le trafic comme HTTP (TCP 80), HTTPS (TCP 443), DNS■ JTR (John The Ripper) est un programme presque (UDP 53 ou TCP 53) ou ICMP (PING) en sortie. Le pwn plug tire légendaire servant à craquer des mots de passe à par- donc avantage de cette situation pour se connecter en sortie tir des hash (empreinte numérique). en établissant des sessions chiffrées en SSH, ce qui offre■ Medusa sert à faire des attaques qui tentent de deviner donc les possibilités suivantes : les mots de passe (password guessing) en essayant ■ Connexion SSH en sortie par les ports 443 et 53; toutes les combinaisons possibles une après l’autre, ■ Connexion SSH en sortie par des requêtes HTTP (capa- contrairement à JTR. cité de passer par un serveur mandataire « Proxy ») ;■ Karma est un programme simulant un point d’accès ■ Connexion SSH par ICMP (toutes les soixante secondes). sans fil qui prétend être tous les points d’accès du EXEMPLE Suite en page 17 Mai l Juin 2011 SÉCUS | 16 |
  3. 3. Suite de la page 16 Le pwn plug offre donc une multitude de possibilités.Voici un des nombreux scénarios possibles. L’entreprise fic-tive ACME doit faire un test d’intrusion et engage un spécia-liste, Michel, pour l’effectuer. Ce dernier se rend donc dans leslocaux d’ACME. Afin de mieux se fondre dans le décor, ilapporte un petit coffre à outils et porte une chemise à l’effigiede la compagnie qui s’occupe de la maintenance des impri-mantes et photocopieurs. Il débranche discrètement une s’offrent à lui : utiliser un outil comme JTR pour craquer lesimprimante du réseau, branche le fil réseau dans un petit mots de passe à partir du hash ou faire une attaque appeléeconcentrateur ou commutateur (répéteur multiport [hub] ou « Pass The Hash » (PTH). Michel décide donc de faire lescommutateur [switch]) et branche le pwn plug ainsi que l’im- deux. Comme le craquage de mots de passe requiert beau-primante dans le répéteur multiport. Le pwn plug fait une coup d’utilisation processeur (CPU), il télécharge les hashesrequête au serveur DHCP qui lui octroie une adresse IP. sur un autre poste afin d’économiser les ressources de sonEnviron une minute plus tard, Michel reçoit un message SMS pwn plug. Il entreprend ensuite l’attaque PTH qui consiste àsur son téléphone cellulaire lui indiquant que le pwn plug a utiliser le hash ayant été récupéré afin de s’en servir pourréussi à établir une session SSH avec son serveur d’attaque s’authentifier sur un système en usurpant l’identité d’unpar le réseau cellulaire 3G. Michel a maintenant un accès à autre utilisateur.distance au réseau corporatif d’ACME et l’imprimante est Michel utilise Metasploit, qui lui permet de faire sontrevenue en ligne. Il esquisse un sourire en coin et part. attaque PTH afin de se connecter par le port TCP 445 (SMB) De retour à son bureau, Michel utilise son serveur sur sa cible. Une fois qu’il est entré dans le système avecd’attaque pour se brancher au pwn plug qui a déjà une ses- l’attaque, il utilise le module Meterpreter de Metasploit.sion SSH d’ouverte par la connexion renversée (reverse Meterpreter est, en quelque sorte, une porte dérobée rési-shell) établi antérieurement. Michel est donc en mesure de dente en mémoire injectée dans bibliothèque de lienscommencer son test d’intrusion. Il débute en utilisant dynamiques (DLL) du poste de la victime. Il effectue uneNmap pour effectuer un balayage (scan) du réseau. Cela lui attaque d’escalade de privilège, ce qui lui donne les privilègespermet de découvrir les systèmes présents sur le réseau du compte « System », donc tous les privilèges et le plein pou-et de déterminer quels ports sont ouverts sur chacun des voir sur le poste. Il peut ensuite utiliser le système qu’il vientsystèmes. de compromettre comme relais pour attaquer d’autres sys- De plus, comme le système d’exploitation principale- tèmes jusqu’à ce qu’il ait le plein contrôle du réseau entier, cement utilisé dans l’environnement est Windows, le balayage qui ne sera qu’une question de temps. Il esquisse encore unNmap révèle que le port TCP 445 est ouvert sur la majorité sourire en coin et marmonne : « Pwned! »des postes. Ce port est normalement utilisé par les proto- Cet exemple en est un parmi tant d’autres. L’idée icicoles SMB (server message block) et CIFS (common Internet n’est pas de tous les couvrir en détail, mais de démontrer lesfile system) et il sera utilisé plus tard, lors de l’attaque, afin possibilités offertes par un pwn plug. Méfiez-vous de tout ced’obtenir l’accès aux systèmes. Michel utilise ensuite qui vous semble louche ou inhabituel, que ce soit un petit dis-Ettercap pour intercepter du trafic réseau et réussit à positif non identifié ou un courriel qui semble trop beau pourrécupérer des hash de Windows. Le hachage (hashing) est être vrai. Chaque entreprise devrait effectuer des tests deune fonction mathématique qui permet de générer une vulnérabilité et d’intrusion sur une base régulière afin devaleur unique à partir d’une donnée en entrée. Par exem- trouver les failles avant que les « méchants » ne le fassent...ple, le hash du mot de passe « password1 » est Une démonstration d’attaque similaire à celle pré-« E52CAC67419A9A2238F10713B629B565 » sentée lors du Sécuris@nté 2011 sera(LANMAN)4. Il peut se calculer dans un seulsens, ce qui signifie que la valeur initiale ne « disponible à http ://cusin.ca. Vous pourrez Les hash des admi- également y consulter d’autres articles etpeut être récupérée en faisant le calcul nistrateurs sont très vidéos similaires. Je vous invite également àinverse. Cela dit, lorsque, par exemple, un prisés. Il n’est donc pas partager vos commentaires sur mon blogueutilisateur veut se connecter à un serveur à recommandé d’utiliser ou par courriel à michel@cusin.ca !partir de son poste de travail, Windows un compte avec lestransmet une authentification sur le réseauqui est le hash et non le nom d’utilisateur et privilèges de l’admi- 1. www.globalscaletechnologies.com/.le mot de passe. Une fois que Michel a réussi nistrateur si ce n’est 2. http://nmap.org/book/nse.html. http://pwnieexpress.com/.à mettre la main sur des hash, deux options pas requis. » 3. 4. http://en.wikipedia.org/wiki/Lanman. Mai l Juin 2011 SÉCUS | 17 |

×