mercredi 13 mai 2009

Et pourtant ce n'est pas nouveau le Google Hacking !

Connaissez-vous Johnny? Pas le chanteur mais celui de IHS (I HACK STUFF). Eh bien ce Johnny là, depuis maintenant plusieurs années, recense les "googledorks"; vous savez ces personnes qui laissent sur internet des informations qui ne devraient pas s'y trouver.

Grâce à lui vous êtes au centre de l'univers du Google Hacking i.e. comment utiliser la syntaxe avancée de Google pour retrouver des informations confidentielles.



Pour le plaisir nous allons de nos propres yeux voir quel type d'informations on peut récupérer encore aujourd'hui sur internet grâce au Google Hacking.
Plus précisément nous allons rechercher les URLs contenant les paramètres "passwd" et "login" en espèrant y trouver également les valeurs associées.

Vous trouverez ICI la vidéo de notre petite ballade dans le monde du Google Hacking.

Vous trouverez la liste des "googledorks" à l'adresse suivante: http://johnny.ihackstuff.com/ghdb/

Je vous laisse conclure...

Plus d'AutoRun dans Windows 7...!

Devant l'augmentation des menaces liées à la fonctionnalité AutoRun, Microsoft a décidé de réagir par la suppression de la fonctionnalité AutoRun à partir de Windows 7 disponible en fin d'année.

Avant de détailler les changements de Windows 7 il est important de comprendre la différence entre l'AutoRun et l'AutoPlay:

L'AutoRun est une technologie utilisée pour démarrer des programmes automatiquement quand un CD ou un autre média est inséré dans l'ordinateur. L'objectif principal de l'AutoRun est de fournir une réponse logicielle à une action matérielle qu'un utilisateur déclenche sur un ordinateur.

L'AutoPlay est une fonctionnalité Windows qui permet à l'utilisateur de séléctionner quel programme démarrer quand un type spécifique de média est inséré e.g. CD ou DVD. Pendant l'AutoPlay le fichier Autorun.inf est aussi parcouru. Ce fichier (s'il est disponible) spécifie quelles commandes additionnelles seront affichées dans le menu de l'AutoPlay. De nombreux fournisseurs de logiciels utilisent cette fonctionnalité pour démarrer l'installation de leur logiciel.


Ceci étant dit, quels sont les changements apportés dans Windows 7?

Premier changement: l'AutoPlay ne supporte plus la fonctionnalité AutoRun. En d'autres termes, l'AutoPlay continuera à fonctionner pour les CD/DVDs mais il ne fonctionnera plus pour les clefs USB. Les images ci-dessous montre le changement: avec Windows 7, l'AutoPlay est sécurisé.

Avant le changement:

Après le changement:


Deuxième changement: la boîte de dialogue fait apparaître explicitement que le programme que l'on souhaite exécuter se trouve sur la clef USB.

Avant le changement:

Après le changement:




Ce changement devrait aussi être disponible sous Windows Vista et Windows XP.

Source: Microsoft

lundi 4 mai 2009

Bien qu'ancienne la faille de l'AutoRun reste d'actualité...!

On me fait parfois la remarque suivante: "L'utilisation de l'AutoRun sur une clef USB n'est pas nouveau, regardez Conficker!". Cette remarque est juste mais l'utilisation de cette faille fait toujours de nombreux ravages.
Vous trouverez ci-dessous quelques statistiques confirmant l'actualité de la menace.

La WLO (WildList Organization) produit chaque mois la liste des virus confirmés se répandant parmi les utilisateurs. Leur compte des virus identifiés comme étant des Worm:Win32/AutoRun montre une augmentation significative.


Le tableau ci-dessous montre le nombre de virus identifiés comme étant également des Worm:Win32/AutoRun dans les laboratoires de Microsoft. On constate un nombre considérable de virus de ce type à partir de 2008.



Le graphe ci-dessous nous montre l'augmentation de la détection par Microsoft des infections répandues via l'AutoRun.



On constate une augmentation très sensible en 2008 et une présence toujours très importante début 2009.

Source: Microsoft

samedi 2 mai 2009

Cracker un mot de passe avec Cain & Abel

Pour faire suite à l'article sur les clefs USB, imaginons que nous avons récupéré en suivant la méthode décrite dans l'article "La clef USB: le maillon faible?" du 02/04/2009 les fichiers suivants sur la machine de la victime
  • C:\WINDOWS\repair\system
  • C:\WINDOWS\repair\sam


A quoi servent ces fichiers?

Eh bien le fichier "sam" contient les noms d'utilisateurs et les mots de passe utilisés sur la machine (utilisateurs locaux). Mais le fichier "sam" est encrypté en utilisant une clef appelé SYSKEY que l'on retrouve par l'intermédiaire du fichier "system". Avec ces deux fichiers et l'outil approprié nous avons la possibilité de retrouver le nom et le mot de passe de la machine "cible".

Vous trouverez plus d'informations sur le rôle de ces fichiers à l'adresse suivante: http://en.wikipedia.org/wiki/Security_Accounts_Manager.


Cain & Abel: une autre vision de l'ancien testament!

L'objectif de cet article est de décrire l'utilisation de Cain & Abel pour retrouver le nom et le mot de passe de l'utilisateur.
L'outil peut être téléchargé à l'adresse suivante: http://www.oxid.it/cain.html.


L'utilisation de Cain & Abel permet de réaliser une attaque "brute-force" pour trouver le mot de passe. On note immédiatement que plus le mot de passe est complexe et plus le temps nécessaire à Cain & Abel pour retrouver le mot de passe sera important.



Action


Afin de limiter dans le temps la recherche du mot de passe, nous avons réduit l'ensemble des caractères utilisés pour l'attaque "brute force" aux minuscules et non avons fixé la longueur du mot de passe à 7 (ce qui correspond à la longueur du mot de passe que nous recherchons). Bien entendu ces contraintes permettent uniquement de limiter le temps de recherche qui peut être très (voir trop) élévé pour des mots de passe complexes.


Comme toujours vous trouverez la vidéo décrivant l'utilisation de Cain & Abel ICI.


En conclusion

On comprend alors mieux l'intérêt d'avoir des mots de passe qui suivent les règles de base suivantes:

  • supérieur ou égal à 8 caractères
  • incluant des chiffres
  • incluant des lettres minuscules et majuscules
  • incluant des caractères spéciaux


A bon entendeur...

vendredi 1 mai 2009

Challenge Webgoat 5.2: la solution en vidéo

Vous connaissez tous Webgoat, le site web permettant de faire des tests de pénétration fournit par l'OWASP.

Et vous savez également tous que les solutions des exercices de pénétration proposés par Webgoat se trouvent à l'adresse suivante: http://yehg.net/lab/pr0js/training/webgoat.php

Et comme moi, il ne vous a pas échappé que certains exercices n'étaient pas corrigés. C'est en particulier le cas du challenge proposé par Webgoat 5.2.

C'est pourquoi je vous propose de vous donner la solution du challenge avec l'aide d'une vidéo (que vous pouvez visualiser ICI).

La solution est composée de 3 étapes:

- la découverte d'une fonctionnalité de visualisation du code Java n'apparaissant pas dans la barre de menu mais malgré tout disponible
- une injection SQL classique
- et enfin une injection de commande DOS

Bien entendu, nous utilisons Webscarab pour observer et modifier les requêtes HTTP.

Bon film!

Partager avec...