ZeNiTHaR’z BLoG

Non je ne vais pas faire un plagiat du livre de K.Mitnick “L’art de la supercherie”, c’est juste encore une fois des observations issues de mon travail de tous les jours, mais je vous conseille sa lecture.

Combien de fois reçoit on un mail d’une personne qui nous est familière ? Est ce bien cette personne a chaque fois ? Ce n’est pas parce que j’écris “JE SUIS LE ROI DU MONDE !” que c’est le cas. Est ce parce que l’on fait confiance au texte représentant l’email de la personne par conséquent identifie, à la manière d’une carte d’identité (falsifiable), la personne avec laquelle on discute ?

Aujourd’hui, les malwares utilisent beaucoup ce facteur, la confiance pour le coté positif, et la crédulité du coté négatif. Pourquoi lorsque l’on voit un lien, on ressent l’irrémédiable envie de cliquer dessus ? C’est comme lorsqu’on était petit avec les boutons que votre père ou mère vous défendais d’appuyer ? Eh bien je ne sais pas ! Mais c’est dans 80% des cas la cause d’entrée de virus, malware, et bien d’autres choses.

Même un expert en sécurité peut être trompé ! Il suffit d’usurper l’identité d’un amis proche ou du chef et voila !

Alors comment faire pour éviter cela ? La signature numérique ? Je pense pas que ce soit une solution complète, mais elle réponds à une partie du problème en effet. Cependant une usurpation complète de l’identité + occupation de la machine aboutisse souvent à l’utilisation du client de messagerie de l’utilisateur courant, et donc de sa signature numérique.

“Zanshin”, traduit en français par “vigilance active”, caractérise un état d’esprit dans les arts martiaux (kendo, iaido) de vigilance envers l’adversaire. C’est un peu comme “l’awareness” si on veut reprendre les termes des hommes de la Sécurité. C’est à dire toujours faire attention à notre environnement. Biensûr, le but n’étant pas de tomber dans la paranoïa ! On m’a déjà dit que j’étais parano et ya pas très longtemps d’ailleurs …

L’idée c’est de faire le même travaille qu’un anti-spam : adopter une méthode de scoring intuitif, c’est à dire qu’il faut entrainer son instinct à réagir à des choses bizarres. Je sais que vous riez en lisant cet article, et vous vous dites : mais qu’est ce qu’il raconte ! Mais il y a des personnes pour qui la vision d’une photo.exe est normal ! Je suis d’accord qu’on ne peut pas le savoir si on ne sais pas qu’une photo n’a pas d’extension “.exe”, mais déjà là sur le processus on peut appliquer Zanshin ! Ce ne sont pas vos amis qui vont vous envoyer une photo “.exe”, non ? Alors pourquoi ouvrez vous la photo ?

Comment éviter cela ? Comme on fait au code de la route, en mettant en situation une personne, et lui montrer les problèmes.

Imaginez une personne que vous connaissez vous envoyant un fichier contenant une bombe (virus), qui va avoir la responsabilité de l’exécution ? et la responsabilité de l’impact ?

Vous avez la responsabilité d’exécution, et vous pensez qu’il a la responsabilité de l’impact ! Mais ce n’est pas le cas, c’est vous qui avait contaminé le réseau avec cette bombe qui fait tomber toutes les machines les une après les autres, du coup vous ne serez plus payé, etc … Aux yeux de vos collègues vous, l’HOMME, serez responsable du problème de paye.

Tout ça pour dire, faite toujours attention à ce que l’on vous envoie, même si c’est certifié, validé, crypté, chiffré, cuisiné, assaisonné. C’est un fichier dangereux !

Zanshin est aussi un logiciel de gestion des tâches développé par ami [Kevin Ottens] pour KDE.

Halte aux paraskevidékatriaphobe ! Savez vous que BackTrack 4 est sortie ? Sinon je vous l’annonce !

En plus du changement de version, il y a aussi un changement de distribution de base, avant BackTrack était une variante gonflée (comme vahiné) de Slax, qui était une version modulaire et portable (dans le sens USB) de Slackware.

Elle est basée aujourd’hui sur une debian un peu modifiée, pour les audits de sécurité (intégration des modules d’injection 802.11x, etc…). Attention, j’ai bien dit les audits !

Disponible à cette addresse : Blog backtrack

Infectious Desease (Community Edition) is now final. We fixed several bugs and added some more development tools. Now included Lazarus IDE for Free Pascal, ArgoUML, BlueJ to teach Java. As well we updated the Firefox plugins and the Metasploit Database. We will inform now the Mirrors and will release finally to public in 1-2 weeks. From now on we will concentrate on training, videos and extension packages.

Je ne l’ai pas encore testé, on verra ce soir ^^

Attention des emails circulent sur le réseau vous demandant vos informations d’accès à vos comptes bancaires CIC (www.cic.fr)

Cette email vous renvoie sur un site (http://cic.fr.sirinerzincan.com/), qui imite les traits du portail d’accès officiel CIC.

En analysant le code, on s’aperçoit que l’usurpateur utilise l’accès au fichier depuis l’extérieur du domaine toutes les adresses sont absolues (http://www.cic.fr/…), au lieu d’effectuer un adressage relatif.

Voici un article paru sur le site « The Ethical Hacker Network« , traitant des possibilités d’interceptions d’appels systèmes.

Cela conciste à construire une bibliothèque portant le même nom, et rediriger les appels vers la bilbiothèque originale. Ce n’est pas la première fois que l’ont voit ça, avec les keyloggers qui interceptent les appels d’ouvertures de sessions via gina.dll.

Certains trainers / hacks utilisent cette technique pour interagir avec l’application sans modifier / patcher une seule opcode ! Via direct3d8.dll ou opengl32.dll par exemple pour les wallhacks ^^

Article source

Avec la sortie du « nouveau » navigateur de Google qui plus est OpenSource, on voit apparaitre les premiers bugs et PoC (Proof of Concept).

En voici un relativement dangereux : EvilFingers. Il cause la fermeture de Google Chrome avec une exception non gérée (Unhandled Exception). Ce bug constitue la première partie d’une tentative d’exécution de code malicieux sur le poste client.

Il existe un autre bug qui permet au navigateur de télécharger un fichier vers le poste client sans l’intervention de l’utilisateur, il semblerait que ce soit plutôt un problème HTML/Javascript (la faute à WebKit?).

Imaginez en combinant les bugs on obtient pleins de PC zombies ^^.

Par conséquent, je vous conseille d’utiliser un autre navigateur en attendant les correctifs.

Cela fait plus de 3 semaines que j’ai effectué le scan pour voir si mon fournisseur était vulnérable, et il l’était. Aujourd’hui rien à changer, sauf mon sentiment de paranoia qui monte un peu quand je vois des alertes SSL.

Solution tout dans VPN pour être sûr !

Je tiens à préciser que mon fournisseur n’est pas un fournisseur public, j’utilise un accès groupé à internet (Internet de la résidence).

Voici un outil plus qu’utile pour nos amis auditeurs, & pentesters. C’est un script d’automatisation d’audit de vulnérabilités et exploitation via metasploit.

Pour ceux qui connaissent c’est une surcouche à autopwn, permettant de mettre à jour la base milw0rm d’exploits, mise à jour des versions des outils utilisés (nikto, w3af, metaspoit, …), le tout présenté sous forme d’une interface Web, simple à utiliser ! (encore).

Biensûr il faut être conscient des risques que l’on prends à l’utilisation de ces logiciels envers une tierce personne non informée.

Personnelement je ne suis pas pour ce genre d’outils qui facilitent les attaques, il est vrai que cela aide beaucoup les professionnels cependant ce genre d’outil est très dangereux aux mains d’un non initié (script kiddy), qui ne peuvent s’empécher de lancer des attaques sur des gros Majors histoire de s’amuser !

Screencast

Fasttrack (tar.gz) : Télécharger

Je ne sais pas si vous êtes au courant mais une vulnérabilité a été découverte par Dan Kaminsky sur les implémentations des serveurs DNS, permettant à un petit malin de faire du DNS-Poisoning (corrompre des entrées d’un serveur DNS, pour faire pointer par ex : www.zenithar.org sur une autre ip …), vous allez me dire normal si je suis admin de mon serveur DNS, cependant pas si normal puisque la vulnérabilité est rendu très facilement exploitable en utilisant l’excellent Metasploit (c’est comme les sushis j’adore ! Écrit en ruby on rails depuis la version 3 )

Voici un scénario d’utilisation montrant à quel point il faut vite patcher son serveur DNS :
http://www.infobyte.com.ar/demo/evilgrade.htm