Sécurité, Design, Réseaux et développement - Weblog de Félix Aimé

Keynote : Twitter : La révolution de l’information a-t-elle un prix ?

novembre 11th, 2009

J’ai réalisé avec d’autres étudiants d’SRC Bordeaux une présentation sur l’éventuelle révolution de l’information induite par Twitter. Ainsi, cette présentation possède comme problématique : « Twitter : La révolution de l’information a-t-elle un prix ? » (je sais, j’en suis fier =).

Nous abordons ainsi les différentes utilisations de Twitter et ses problèmes actuels, tant au point de vue financier (comment rendre ce service économiquement viable) jusqu’à la sécurité du service et de ses utilisateurs (vulnérabilités des API).

Un petit slide est d’ailleurs dédié à KreiosC2, le PoC permettant de transformer Twitter en cannal de communication pour BotNet par le 80 et ainsi bypasser quelques firewalls au passage (reste le problème de certains proxys internes aux entreprises, mais bon, on peut l’éliminer facilement ;) et puis, ce n’est qu’un PoC, onne va pas tout mettre sur un plateau.

Voici les slides (hébergées sur slideshare) :

Tags: API, csrf, entreprise, information gathering, sécurité, twitter
Posted in Développement web, SRC Bordeaux, Sécurité des systèmes d'information | No Comments »

Backdoorer un compte Twitter…

novembre 5th, 2009

Une news récente a permise de mettre la main sur une technique loin d’être bête permettant, par le biais d’un protocole développé à l’origine pour croiser des services de manière sécurisée (sans stocker les mots de passes des utilisateurs de l’API) de backdoorer un service utilisant ce dernier. Et évidemment, ce service, est Twitter.

Twitter et la sécurité ce n’est pas une histoire d’amour tant pour ses utilisateurs, que la société elle-même. Bref, il s’agit d’un certain Terence Eden, qui, après avoir changé son mot de passe qui était compromis s’est aperçu que le protocole OAuth permettait, même après le changement d’un mot de passe, d’avoir la main sur le compte Twitter de la victime. Et oui, la révocation du token d’authentification de OAuth n’est pas automatique suite au changement de son mot de passe sur le service.

Bref, une seule chose à faire, supprimer dans la configuration du profil d’éventuelles applications mises en place par l’attaquant ou tout simplement, pour les plus paranos d’entre nous, ne pas utiliser Twitter même si cela est « l’outil idéal » de veille en sécurité.

Tiens, cela me rappelle que l’on peut aussi facilement backdoorer des comptes Gmail, mais ceci est une autre histoire ;) Keep Update ! =)

[Source]

Tags: API, backdoor, twitter
Posted in Sécurité des systèmes d'information, Tips&tricks | No Comments »

Petit « hack » Twitter en 10 minutes

octobre 20th, 2009

Je voulais vous partager un petit « hack » de Twitter que j’ai réalisé l’autre jour afin de savoir en live qui regardait mon curriculum vitae en PDF ou tout autre fichier (selon mes besoins.). Ce petit hack est assez simple à comprendre, il suffit simplement de créer un fichier dynamique chargeant le fichier source du document (pdf, doc, rar, avi etc.) et envoyant grâce à l’API de Twitter différentes informations sur le visiteur visionnant ce fichier.

Ce petit tip, je l’avais réalisé il y a quelques années sur un projet d’Honeypot basé web afin de voir quelles méthodes de récolte d’information utilisaient le plus souvent les attaquants, quelles étaient leur fréquence d’attaque, leur origine, les keywords utilisés etc. sur des fichiers autres que dynamiques.

Pour ce qui est de ce hack, quelques points divers à respecter :

Il faut créer un compte Twitter pour véhiculer les notifications, il doit être protégé pour une meilleure sécurité des informations (adresses IP etc.)
Ne pas charger les fichiers à partir d’une variable (sait-on jamais, les imbéciles, cela existe)
Créez un .htaccess permettant d’interpréter le code présent dans les fichiers disposés dans le dossier (avec AddType application/x-httpd-php .pdf .doc etc.)

Bref, la petite « classe » que j’ai créée comme tout bon dev à partir de quelques autres sources est disponible dans ce fichier. Et voici un petit aperçu de ce que cela donne dès que quelqu’un regarde mon CV en PDF :

Notifications sur le service Twitter

Je sais, pour un billet c’est assez lamentable… Mais avec SRC, j’ai plus trop de temps à faire des recherches et tests en lab. dans le domaine de la sécurité informatique ou dans d’autres domaines… dur

Posted in Non classé | 1 Comment »

Recherche de stage dans le domaine de la Sécurité des Systèmes d’Information

octobre 2nd, 2009

recherche_de_stage_en_securite_des_systemes_dinformation
Un nouvel article pour envoyer une petite bouteille dans cet océan virtuel. Je cherche actuellement un stage de trois mois à partir d’avril 2010 afin de clore mes deux années de DUT SRC à Bordeaux et rentrer dans la vie active.

Ce stage, je souhaite le réaliser dans le domaine de la Sécurité des Systèmes d’Information et plus spécifiquement dans le domaine des audits & tests d’intrusion (réseaux, bastions & web) ainsi que dans la veille liée à la sécurité informatique.

Je cherche – grâce à ce stage – à approfondir mes connaissances dans les méthodes d’audit et normes (ISO 27001, OSSTMM, PCI DSS, OWASP), ainsi que dans la sécurité de certains protocoles. Aujourd’hui, je possède de bonnes connaissances en audit d’applications web & bastions, en Information Gathering ainsi que dans différents domaines liés à la sécurité des systèmes d’information.

Attaques sur réseaux & bastions
Malware analysis
Sécurité des clients
Sécurité Linux
Veille

J’espère découvrir, de par ce stage, la sphère professionnelle de cette passion que je possède depuis cinq ans maintenant et partager ainsi mes connaissances tout en apprenant de nouvelles techniques dans ce domaine.

De plus, je suis ouvert à toute proposition de stage dans d’autres domaines liées par exemple au développement web/administration de serveurs, au webdesign ou à la veille informationnelle. Vous pouvez dès aujourd’hui prendre contact avec moi par l’intermédiaire de mon site Internet et voir mon CV en cliquant sur l’icône ci-dessous :

Tags: curriculum vitae, cv, dut, france, informatique, pentests, recherche, sécurité, src, stage
Posted in Projets perso & Pro, SRC Bordeaux, Sécurité des systèmes d'information | No Comments »

Petit site bien sympa sur le SE ! :)

septembre 19th, 2009

Il est déjà rare que je fasse un article sur mon blog, mais lorsque c’est pour parler d’un site internet, c’est une révolution ! Aujourd’hui je voulais simplement vous présenter un tout jeune site qui traite d’un sujet très connu, mais assez mal documenté dans le domaine de la sécurité des systèmes d’informations. Ce sujet ; à la fois compliqué et simple à mettre en place mais compliqué à sécuriser (vous me suivez encore ?) étant l’ingénierie sociale (ou SE pour les intimes.)

L’ingénierie sociale un procédé d’attaques très utilisée contre les systèmes d’information permettant de récolter des informations en vue d’une attaque ou même de saboter certaines parties des SI avec – ce que j’appelle personnellement – des bombes informationnelles (j’ferai p’être un article dessus…).

Afin d’arriver à son objectif, l’attaquant pourra utiliser toutes sortes de méthodes plus ou moins axées sur les émotions, la naïveté de la personne, la falsification d’identité ou l’envoi de fausses informations en liaison le plus souvent avec des variables d’environnement propres à l’entité visée. (présentation minimaliste)

Ce domaine n’a pas tellement évolué au point de vue des procédés de récolte, de tri de l’information et des stratégies d’attaques (Qui a dit stratégie militaire ?). Cependant, avec l’ébullition actuelle des réseaux sociaux tant au plan personnel que professionnel véritables fers de lances de cette société d’information où l’on veut « tout montrer » ce domaine est en pleine révolution et n’est pas prêt de disparaitre… tout comme la connerie humaine.

Bref, c’était juste trois paragraphes pour vous mettre dans l’ambiance et vous présenter les nouvelles solutions (et non problématiques) liées à l’ingénierie sociale. En ce qui concerne le site, il s’appelle social-engineer.org.

Ce dernier est aujourd’hui bien documenté et possède différents articles de wiki, vidéos et présentations de programmes tels que le (très connu, et très cher) Maltego ou le tookit « Social Engineer Toolkit » pour le fameux Metasploit ! Je vous invite vivement à lire le wiki car il est intéressant (même si certains sujets sont très basiques.)

Seul petit point, en ce qui concerne les vidéos, il auraient pu mieux faire… mais bon, ce n’est qu’un détail =)

Tags: ingénierie sociale, mail, metasploit, SE, sécurité, social engineering, SSI, système d'information, téléphone
Posted in Sécurité des systèmes d'information | 1 Comment »