Pour mieux contrer l'ingénierie sociale, il faut connaître les méthodes d'approche des agresseurs. Voici quatre grands principes à retenir :
1.1 Le contexte :
En connaissant l'organigramme de l'entreprise, on a déjà un pied dans la cible : connaître les " réseaux d'accointances ", qui connaît qui, les collaborateurs proches, les conflits de personnes, savoir le prénom de la secrétaire... L'objectif est de connaître l'identité de ceux qui pourraient demander l'information de façon légitime. Et se faire passer pour eux.
1.2 L'audace, le Bluff :
Le bagout et l'art de la parlotte sont d'indispensables qualités. " C'est machin, de Transpac. Nous faisons des vérifications de routeurs. Vous avez les adresses IP, que je check sur mon listing ? " Parfois, en baratinant des termes techniques, ça impressionne l'interlocuteur, qui se soulage en divulguant l'information réclamée.
1.3 La chance :
Comme tout acte de vol physique, usurper quelqu'un et soutirer une information a besoin de chance, toujours quelque chose à voir avec un heureux coup de bol.
1.4 La patience calculée
Il faut savoir attendre, mais pas trop pour ne pas alerter les soupçons. Dans les grandes entreprises, certains pirates n'hésitent pas à identifier des dizaines de cibles et les appellent en rafale, en moins d'une heure, pour éviter à l'alerte de se propager.
Cible :
Serveur de l'entreprise, même derrière une passerelle sécurisée (firewall).
But :
Tromper la machine cible pour obtenir un droit d'accès au réseau protégé.
Méthode :
Le spoofing est un stratagème encore difficilement décelable qui fit la une de la presse en février 1995 : Kevin Mitnick, pirate patenté, était friand de cette technique d'intrusion, mais sa victime d'un jour, Tsutomo Shimomura, s'en est servi pour le reconnaître, avant d'organiser avec le FBI sa traque et son arrestation.
Les méandres de l'attaque sont très complexes, mais le principe plus simple : le pirate s'arrange pour un autre, en envoyant un paquet dont l'adresse IP est " autorisée " par le serveur interne de l'entreprise ; la source IP du hacker trompe la cible, qui croit avoir affaire à une machine de confiance.
La finesse revient alors à se connecter (via telnet ou autre) et de laisser traîner cette fausse identité, pour échanger des données avec une machine interne. L'intrus habile saura même " piquer " les commandes d'une machine utilisée à distance par l'administrateur ! Il peut même passer " root " (c'est la personne qui a les pleins pouvoirs sur un serveur), avertit le CERT (Janvier 1995), qui parle de " highjacking " en ajoutant que les passerelles de sécurité mal configurées peuvent se laisser leurrer.
La deuxième note du CERT (septembre 1996) fait le lien entre cette technique et SYN flooding, attaque par dénis de service (voir cas N°3).
Riposte:
Chiffrer les sessions avec ssh (voir cas N°5) Pour affiner les outils d'audit, reconfigurer le firewall en filtrant tous les paquets IP issus de l'internet mais arborant une adresse d'émetteur locale ; dans le routeur filtrant analyser les logs d'entrée externe. Lire les avis du CERT 95-01 et CERT 96-21.
Cible :
Serveurs et routeurs.
But :
Paniquer la machine cible et la bloquer en déclenchant une série de refus de connexion (denial of service)
Méthode :
C'est une nouvelle variante des raz-de-marée (flooding) provoqués par une batterie d'agresseurs, qui inondent de requêtes un routeur ou un serveur. Panix, un prestataire de New York, en a fait les frais l'an dernier. Aucune donnée n'est détournée, mais le système bloqué crée de nouvelles failles dans la panoplie de sécurité de l'entreprise. Affaiblir l'adversaire, l'empêcher d'agir.
Ping est une commande unix (dotée du standart RFC-791), qui permet de calculer le temps mis par les paquets entre deux machines distantes. Le ping ne peut accepter un paquet (un datagramme) plus long que 65535 octets. Mais des petits malins savent comment envoyer un paquet juste plus lourd - un octet en plus suffit. Au-delà, ça plante : certains systèmes délirent lorsqu'ils reçoivent ces trops longs paquets. En " bitouillant " (les hackers tiennent au " t ") la fragmentation que le ping subit pendant le transport, à l'arrivée le serveur se bloque en tentant le recoller les fragments. L'écho répond dans le vide.
" C'est un problème sérieux, parce qu'on peut reproduire la manoeuvre très facilement ", explique Malachi Kenney, un informaticien anglais qui a monté un site très complet sur " Ping 'O Death ", qui s'est répandu comme un virus à l'automne 96. " Vous pouvez flipper. Depuis le 18 Octobre pas moins de 18 systèmes d'exploitation se sont avérés vulnérables ", expliquait-il le 22 janvier. MacOS, Windows NT et 95, Sun Solaris, Linux (Il n'a fallut pas plus de 4 heures entre l'annonce de la faille et la mise à disposition du patche de mise à jour de Linux) et Novell Netware...
Riposte et adresse :
Liste des ripostes par type de système, sur http://www.prospect.epresence.com/ping L'avis du CERT 96-26 " Phrack Magazine " N°48, http://www.fc.net/phrack. C'est un magazine de piratage.
Cible :
Toute machine connectée à l'internet protégée par un identifiant (login) et un mot de passe.
But :
Obtenir les droits sur cette machine, pour remonter vers le serveur central.
Méthode :
C'est un peu l'âge de pierre de l'intrusion informatique. Le petit monde des pirates ont leurs outils de " crackage ", des moulinettes qui travaillent toute une nuit pour tester des mots communs, des prénoms ou d'autres dates de naissance. La tentative se passe par telnet ou ftp, deux protocoles de base de l'échange de données via l'internet. Des versions sécurisées de telnet existent, mais des petits malins ont réussi à les contourner, a prévenu le CERT en 1995.
Ripostes :
Remplacer le mot de passe statique par une série dynamique (exemple : le login ne teste que les mots de passe suivis de " heure+1 " ; si c'est " TuDuii " et qu'il est 18 heures, il faut taper " TuDuii19 ".) Calculettes genre SecurID ou Active Card : L'échange de clefs numériques identifie l'usager. Questions bloquantes posées durant la session d'identification, style " prénom de ta grand-mère paternelle ?" Avis du CERT sur les failles de telnet-Kerberos 4 (95-03a)
Cible :
Un recoin du système d'exploitation de la machine déjà attaquée..
But :
Récupérer les données qui transitent en local à l'insu de l'administrateur ; rapatrier les données lors d'une autre session.
Méthode :
L'ancêtre des fichiers espions à la mode Java ou ActiveX.
Dans le dernier livre de Jean Guisnel, les militaires l'avaient surnommé " la femme de ménage ". Mais c'était sur une disquette, il fallait lancer une application, sortir la disquette et revenir le lendemain relever le " mouchard ". A distance, après avoir déjà un pied dans la cible, le cheval de Troie peut être un bon moyen de gagner plus de droit : on " écoute " le trafic du serveur cible, et on capte ce qu'il y a d'intéressant. Comme le fichier " /etc/passwd " du serveur central, un fichier que l'on ira " craquer " au chaud, à la maison (voir cas N°4).
Les langages Java et ActiveX présentent ces temps-ci des failles sérieuses avec ce principe : un site web envoie un applet à un navigateur client ; l'applet va jouer aussi aux espions. Le Chaos Computer Club, en Allemagne, vient de montrer comment, grâce à ActiveX, on peut violer Quicken, populaire logiciel de gestion en ligne : l'applet lance un ordre de virement à l'insu de l'usager.
Ripostes :
Ajuster les outils d'alerte à l'intrusion. Chiffrer les sessions avec Ssh (Secure Shell), une cuirasse genre PGP : les commandes cryptées rendent l'ursupateur muet ; " très efficace, gratuit, en sources... mais d'utilisation prohibée en France sans autorisations (jamais accordée) ", tranche un sysop français. Avis du CERT 96-05 : intrusions via les applets Java. Affaire ActiveX/Quicken en cours.
Cible :
Un PC connecté au réseau local de la société cible ; le PC se connecte à l'Internet par modem (RTC), non protégé par le firewall.
But :
Avec l'adresse IP du PC, c'est la source d'une attaque par spoofing (voir cas N°4)
Méthode :
D'abord il faut choisir sa cible. Le salarié d'un groupe industriel prend l'habitude de prendre au bureau son modem personnel. Il surfe de temps en temps, se connectant sur une prise analogique. Dans les news, il laisse sa signature professionnelle. Il y a de grande chance pour que son PC ne passe pas par la passerelle de sécurité. L'adresse IP du PC serait une bonne entrée pour contourner le firewall (cas N°2). Il lance une commande d'écho (ping, voir cas N°3), mais en continu. La réponse arrive quand le salarié est connecté. L'agresseur lui envoie alors un E-Mail, mais " bitouillé "pour que le serveur de courrier renvoie au pirate aussitôt un message d'erreur. Dans lequel figure le fameux numéro IP. La porte ouverte, très souvent, au réseau local.
Riposte :
Isoler du réseau des postes de consultation de bases de données où le modem est indispensable. Tout basculer en numérique, supprimer les prises téléphoniques classiques. Lire d'autres détails sur le contournement de firewall, par Hervé Schauer Consultants : http://www.hsc.fr/presentations/novamedia/securite.htm
Cible :
Toute machine ayant une adresse sur Internet et étant sur un même brin réseau. Il ne faut pas de pont filtrant, sinon les trames restent en dehors du sous réseau où nous nous trouvons. On ne peut espionner, dans ce cas là, que les trames à destination de notre sous réseau.
But :
Ecouter le réseau et sauvegarder les trames à destination de la machine cible, ou en partance de la machine cible.
Méthode :
Sous Unix il existe un programme qui se nomme TCPDUMP, qui permet de suivre, écouter les trames qui circulent sur le réseau. Cet utilitaire a un nombre d'arguments, de commandes de filtrage, d'analyses très variées. Il permet de ne surveiller que certaines machines, certaines trames, certains protocoles...
Nous avons personnellement utilisé cette méthode et en moins d'une semaine nous avons obtenu plus de 10 noms de login et mots de passe. Une fois cette méthode utilisée, nous sommes entré dans certains systèmes et nous avons récupéré les fichiers systèmes sensibles. A partir de ce moment nous pouvions faire des attaques plus sensibles, plus ciblées. Nous n'avons jamais fait de destruction, de blocages lors de nos essais. Les serveurs visés étaient au courant de nos futures attaques, pour rester dans un minimum de légalité.
Cette méthode est très efficace pour les communications non cryptées : Telnet, Le Mail, le FTP. Par contre TCPDUMP ne donne pas les informations de façons évidentes, il faut faire un programme en C qui remet en forme les informations. Voici le programme que nous avons utilisé :
#include <sys/types.h> #include <stdio.h> #define FIN 84 // La taille des trames renvoyées est de 84 octets
void main(void) { int i = 0, pt, ch, tmp ;
pt = open("trame.tcp",O_RDONLY); while (read(pt, &tmp, 1) == 1) { i++; if (tmp < 32 ) {tmp = 0x2E;} if (tmp > 127) {tmp = 0x2E;} printf("%c",(char)tmp); if (i % FIN == 0) { printf("\n"); i = 0; } if ((i + FIN - 10) % FIN == 0) printf(" >>> "); if ((i + FIN - 11) % FIN == 0) printf(" <<< "); } close(pt); }
Ce programme remplace les caractères non imprimables par un " . " et met des marques autour du premier caractère. Il rajoute aussi un retour chariot en fin de ligne pour que le résultat soit plus lisible.
Riposte :
Il suffit de crypter les communications. Mais le cryptage est strictement interdit en France, à condition de demander l'autorisation au gouvernement Français. Le problème est que il faut avoir vraiment une bonne raison de crypter, car le gouvernement Français fait passer en avant la sécurité du territoire, plutôt que la sécurité des sociétés.
Cible :
N'importe qu'elle machine recevant des E-Mail.
But :
Planter la machine pour pouvoir utiliser les faiblesses des protections du système, car un système planté est un système très fragile, vulnérable.
Méthode :
Cribler de mail une machine pour la planter. Il existe des remailer anonyme, de telle sorte que personne ne puisse savoir d'où vient le courrier. De plus il existe des programme tel que UpYours qui vous permettent de lancer, depuis n'importe quelle machine ayant étant sur l'Internet, une multitude de mail vers une personne, sans qu'elle sache qui est l'expéditeur. Ces programmes sont très puissant, et on la possibilité de vous envoyer plus de 1000 E-Mails à la minute ! ! !
Riposte :
La riposte est simple : mettre en place une partition spéciale pour le répertoire /var/spool/mail. De plus en mettant les Quotas disque, par personne, sur cette partition, les mails ne pourrons pas dépasser une certaine place disque.
Une autre méthode consiste a refaire le fichier sendmail.cf et le rendre plus protégé, mais cette technique impose une connaissance du sendmail très poussée. Il existe des HOW-TO, et d'autre documentation pour s'aider, mais seul les administrateur confirmé s'y risque. Car une erreur dans le fichier sendmail.cf peut très bien rendre le système encore plus fragile et vulnérable.
