Articles et actualités

Retrouvez ci-dessous le contenu de notre newsletter de Novembre 2007.

Pour s'inscrire, voir ici .

====================================================
              Newsletter RANDCO  Novembre 2007
====================================================

--[ Sommaire ]-------------------------

      1. Actualités Société
      2. Nouvel article "Un audit de sécurité WiFi"
      3. Actualités Supervision
      4. Vu sur le Net
      5. L'outil du mois
      6. Contact

--[ 1. Actualités Société ]----

Depuis la rentrée, de nombreuses actualités autour de RANDCO :

- Deux nouveaux consultants nous ont rejoint depuis Octobre : un ingénieur réseau avec une spécialisation sécurité (notamment technologies anti-spam) et un consultant réseaux et systèmes pour l'administration de l'infrastructure d'un de nos clients, en mode contrat de service global.

- A l'occasion d'une mission sur de l'expertise JBOSS, nous avions fait connaissance et sympathisé avec Jérôme MOLIERE, expert J2EE et auteur de livres sur ce sujet. Nous avons décidé d'un partenariat qui renforce nos compétences sur les domaines des infrastructures IT en y incluant les serveurs J2EE. Nous avons initié ce partenariat en organisant une formation JBOSS sur mesure pour l'un de nos clients.

- Même si elles sont parfois décriées, nous croyons dans les certifications des éditeurs et des constructeurs afin de valider et de faire valoir nos compétences. Ainsi ce mois-ci, trois de nos consultants ont obtenu les certifications HP SAN , Cisco CCNA et Microsoft Windows 2003 Server.Nous reviendrons sur les cerifications SAN (stockage) dans notre prochain numéro.

- RANDCO, en tant que spécialiste de l'intégration de plateformes de supervision OpenSource est cité par 01net : http://www.01net.com/editorial/357204/

- Nous interviendrons, comme chaque année, à l'Ecole Nationale Supérieure d'Informatique pour l'Industrie et l'Entreprise (ENSIIE, http://www.ensiie.fr/ ) lors d'une conférence auprès des élèves ingénieurs sur le métier de consultant en Infrastructures IT, le vendredi 7 décembre 2007.

--[ 2. Nouvel article "Un audit de sécurité WiFi" ]----

Nous avons réalisé dernièrement, lors d'un test d'intrusion, un audit de sécurité WiFi dont les résultats se sont révélés assez typiques !

Grâce à nos cartes munies du chipset Atheros et de la distribution en LiveCD Linux BackTrack, nous avons sniffé les communications Wifi et découvert que la sécurisation utilisée reposait sur le protocole propriétaire Cisco LEAP (LightWeight EAP)....

La suite sur : http://www.randco.fr/?p=actualites&ID=32

--[ 3. Actualités Supervision ]----

L'actualité des outils de supervision Open Source est chargée en cette fin d'année :

- Sortie de la beta Nagios v3.0b6 (http://www.nagios.org/) . Dès qu'une version stable 3.0 sortira, nous écrirons un article détaillant les nouveautés dont principalement un nouveau front-end de configuration, de meilleures performances et l'utilisation d'une base de données. La version stable connait également une nouvelle release mineure avec la version 2.10

- Sortie de la v0.8.7 de Cacti (http://cacti.net/) qui apporte notamment une plus grande granularité des options (par équipement), une amélioration graphique (utilisation de fontes TruType par RRDtool), et la possibilité d'export des points de collecte en format CSV. La liste des plugins utilisables dans Cacti s'aggrandit régulièrement,et nous apportons (modestement) notre contribution à cette édifice en patchant le collecteur d'adresses MAC utilisé dans MACTRACK pour les équipements réseaux Foundry ( http://forums.cacti.net/viewtopic.php?p=116100#116100 ).

--[ 4. Vu sur le Net ]----

Comme beaucoup de professionnels de la sécurité nous lisons attentivement la newsletter de Bruce Schneier (http://www.schneier.com/crypto-gram.html ) qui regorge (trop ?) d'informations. Ce mois-ci nous avons décidé de nous attarder sur cette information : les CPU embarquées sur les cartes graphiques permettent de cracker les mots de passe 25 fois plus vite que la CPU "classique" d'un ordinateur récent !! (http://blogs.techrepublic.com.com/tech-news/?p=1433&tag=nl.e019)

Cela est dû principalement aux capacités massivement parallèles des processeurs de carte graphique (GPU) et la taille de leur mémoire embarquée sans cesse grandissante.

C'est une information intéressante car nous utilisons assez régulièrement ces technologies lors de nos audits de sécurité ou tests d'intrusion. Nous faisons appel à des Rainbow Table (listes de hashes de mot de passe déjà pré-calculés, cf http://en.wikipedia.org/wiki/Rainbow_table ) via des outils spécialisés tels que ophcrack (http://ophcrack.sourceforge.net/ ) ou Cain&Abel (http://www.oxid.it/cain.html ) . Les tables NTLM (mécanisme d'authentification moderne de Windows) pour les mots de passe jusqu'à 8 caractères sont ainsi publiées sous la forme de plusieurs fichiers de 650Mo. On peut ainsi casser tout mot de passe de cette longueur en moins de 10 minutes (temps de parcours des tables).

Cependant l'utilisation appropriée, native sur certains systèmes d'exploitation (principalement les UNIX-like et GNU Linux), d'un SALT  (c-a-d un nombre aléatoire ajouté au mot de passe avant le hachage) les rend inéfficiente. Dans ces cas, l'utilisation de réseau type P2P ou Grid computing, tel que http://www.freerainbowtables.com/ , permet de bénéficier d'une puissance de calcul communautaire, sur le principe de gain/consommation de crédits.

Quoiqu'il en soit, justifier l'achat d'une PlayStation3 à des fins de sécurité ne manque pas de sel  :)

--[ 5. L'outil du mois ]----

C'est un outil assez récent puisque publié le 18 Octobre 2007. Ecrit en python, "wfuzz" ( http://www.edge-security.com/wfuzz.php ) est un "Fuzzer".

"Fuzzer" est une technique de test qualité qui consiste à injecter massivement et de manière automatisée des données aléatoires sans a priori (du "fuzz") en entrée d'un programme. Ainsi, si un crash intervient, le défaut peut être noté puis corrigé.

En quoi cela peut-il nous être utile ? Dans nos activités de sécurité, ce type d'outil nous sert à "Brute-Forcer" un serveur Web, c'est à dire tester toutes les combinaisons possibles à partir soit d'un fichier dictionnaire ou bien d'un ensemble de caractères alphanumériques, ponctuation, etc.. .
Ci dessous quelques usages :

- identifiant / mot de passe  ; exemple typique :
python wfuzz.py -c --ntlm "mon_domainemon_user:FUZZ" -z file -f wordlists/megabeast.txt --hc 401  http://mon_site.com

- URL ; exemple typique d'attaque sur IIS :
python wfuzz.py -c -z file -f wordlists/vulns/iis.txt --hc 401,404 http://www.mon_site.com/FUZZ

- variables dans une URL ; exemple typique :
wfuzz.py -c -z range -r 1-100 --hc 404 http://www.mon_site.com/list.asp?id=FUZZ

Nous l'avons utilisé cette semaine lors d'un test d'intrusion (pentest) pour "brute-forcer" une authentification HTTP NTLM sur un serveur IIS.

Attention , car notre distribution basée sur Debian ne possédait pas le package python "pycurl" supportant NTLM : nous avons donc dû recompiler libcurl puis pycurl à partir des sources :

wget http://curl.haxx.se/download/curl-7.17.1.tar.gz
tar zxvf curl-7.17.1.tar.gz
cd curl-7.17.1/
./configure
make
sudo make install
ldconfig

wget http://pycurl.sourceforge.net/download/pycurl-7.16.4.tar.gz
tar zxvf pycurl-7.16.4.tar.gz
cd pycurl-7.16.4/
sudo python setup.py install

On vérifie ensuite le support de NTLM dans pycurl ainsi :

$ python
Python 2.4.4c1 (#2, Oct 11 2006, 21:51:02)
[GCC 4.1.2 20060928 (prerelease)] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> >>> import pycurl
>>> >>> pycurl.version_info()
(3, '7.17.1', 463105, 'i686-pc-linux-gnu', 540, 'OpenSSL/0.9.8b', 0, '1.2.3', ('tftp', 'ftp', 'telnet', 'dict', 'http', 'file', 'https', 'ftps'), None, 0, None)
>>> >>>

Une fois l'attaque achevée, on obtient le résultat suivant :

Target: http://www.mon_site.com/exchange
Payload type: file
Total requests: 45463
===========================================================
ID Response Lines Word Request
===========================================================
00053: C=401 10 L 18 W "mon_domaineadministrateur:admin"

On constate un code retour HTTP 401 (Accès non autorisé) : on ne gagne pas à chaque coup ... surtout quand les inconnues sont multiples : dans le cas présent non seulement mot de passe mais également identifiant et nom de domaine.

--[ 6. Contact ]----

RANDCO, SARL au capital de 30.000 Euros.
45 Avenue Hoche
75008 Paris
Contact Commercial : contact _chez_ randco.fr
Contact pour la Newsletter : newsletter _chez_ randco.fr