Désolé pour le jeu de mot dans le titre. Enfin, concernant la licence, je reste un peu sur ma faim. Depuis l’épisode précédent, on a vu quelques trucs, mais pas tellement de choses « wahou ». A vrai dire, je me souviens plus trop de ce que l’on a fait pendant ce labs de temps, donc je vais faire cet article comme une sorte de conclusion à l’année passée.

OK. Tout d’abord, si je devrai noter de 1 à 10 l’année qui vient de se passer, je la noterai 7. Cette année a été pour moi l’occasion de revoir plusieurs choses en sécurité et d’en découvrir de nouvelles, notamment grâce aux intervenants externes, véritable clé de voute de cette formation. Ce que j’en retiens, c’est tout d’abord l’ambiance qui était agréable, notamment en fin d’année, quand les beaux jours sont revenus. Ensuite, une équipe enseignante humaine dévouée à cette licence et qui n’a pas peur d’être critiquée en vue de l’amélioration constante de cette dernière. Se remettre constamment en question est une véritable qualité qui n’est pas présente dans toutes les formations.

Concernant les cours, ils ont été exhaustifs même si certains thèmes auraient dû être plus largement abordés tels que les failles applicatives, les investigations forensics (au sens protocolaire et technique du terme), les Linux/Windows Internals (+dev), la suppression de traces, mais aussi l’aspect tactique/pivot dont peut avoir recours un attaquant lors d’exploitation de certains SI. Pour répondre à plusieurs courriels qui m’arrive de recevoir ces derniers temps concernant la licence, je pense qu’elle est adéquate pour des personnes intéressées par la sécurité informatique, notamment par l’aspect « offensif » de la chose. Si vous avez déjà plusieurs années d’expérience personnelle dans ce domaine, vous allez apprendre des choses même si une large partie des cours vous semblera basique, surtout si vous possédez une ou plusieurs spécialités.

Pour ma part, je m’en tire plutôt bien, voire même très bien diront certains. Je ne sais pas encore si je suis major ou deuxième (Hein Alexis ;), car les soutenances de stage ne sont pas encore passées. En outre, j’ai découvert des gens vraiment sympa et – sans penser à Maubeuge – je me suis quand même bien éclaté dans cette licence. Je ferai surement un article de comparaison entre les différentes formations (ou spécialités) en sécurité informatique offensive en France… (d’ailleurs, si des élèves sont intéressés pour y participer…) reste à savoir quand, car j’ai quelques projets sous la main avec des amis en ce moment. Sur ce, see ya.

Je recherche en ce moment un travail (un vrai, de type CDI ou CDD à long terme) dans le domaine de la Sécurité des Systèmes d’Information afin de me pencher sur des problématiques tant opérationnelles – liant de la recherche, des tests d’intrusion et des formations – que tactiques/stratégiques liées à ce domaine – définition de scénarios (LID/LIO etc.), études en Cyberdéfense, études prospectives sur les menaces émergentes etc.

Aujourd’hui, je possède une large expérience dans les différentes branches de la sécurité informatique allant de la recherche bas niveau (recherches de vulnérabilités, sécurité réseaux etc.) jusqu’aux méthodologies de test d’intrusion et renseignement en source ouverte. Je possède en outre une vision globale des Systèmes d’Information et de leur sécurité : ne m’arrêtant pas aux limites du traitement logiciel et des réseaux informatiques mais prenant en compte les acteurs et la sécurité physique des installations.

Intéressé par les problématiques actuelles telles que la cybercriminalité et la cyberdéfense, j’ai su au fil des années capitaliser une réelle connaissance des différents enjeux internationaux liés à la Sécurité des Systèmes d’Information.

Ce blog ne présente pas beaucoup de mes réalisations (rapports, projets etc.) dans le domaine de la sécurité. Cependant, je peux fournir à qui le souhaite, dans le cadre d’une offre d’emploi, un résumé détaillé de ce que j’ai pu réaliser depuis plusieurs années en sécurité afin de vous faire un idée de mon profil polyvalent.

Si mon profil vous intéresse, je vous invite à vous renseigner sur mon parcours grâce à mon Curriculum Vitae et à me contacter.

Voir S02E02, S02E01, S01E03, S01E02, S01E01.

Ça y est, les cours deviennent vraiment intéressants ! On fait quasiment que de la sécurité dans un peu tous les domaines, à raison d’un domaine par semaine. Il y a quelques semaines, nous avons fait un petit tour des failles applicatives sous Linux, alliant tant de la technique sous forme de Wargame que de la théorie allant jusqu’à ce qui se fait en ce moment en termes d’exploitation (Bypass ASLR/Canaries/W^X/NX Bit, ROP, Heap Spraying etc.). J’ai vraiment aimé ce cours, notamment sur son aspect « actuel » lié à l’exploitation des dernières technologies… même si une semaine c’est trop peu pour faire de la pratique dans ce domaine. Enfin, c’était une très bonne introduction qui nous permettra de continuer seul dans ce domaine.

Cette semaine, autre intervenant, autres vulnérabilités. Nous avons vu une grande partie (sinon l’ensemble) des vulnérabilités liées aux réseaux Wireless incluant le WIFI, le Bluetooth et le RFID : de la couche la plus basse à la plus haute. Pour moi, c’était l’occasion de revoir certaines choses approchées dans le cadre de recherches personnelles (sécurité RFID & WIFI) et de découvrir un nouveau playground qu’est la sécurité Bluetooh. Ces cours m’ont permis de remettre certaines briques de connaissances en ordre (par exemple, m’étant juste attardé au lycée sur la sécurité RFID à la duplication de tags mais non à leur émulation etc.). Bref, comme d’habitude, j’ai adoré. Malheureusement, je pense que l’on aura aucun cours sur la sécurité GSM, et vu la pertinence de l’intervenant, c’est bien dommage.

La formation est en ce moment vraiment intéressante et j’ai l’impression que cela se fait ressentir sur le moral de l’ensemble de la promo. En ce qui concerne les certifications, nous avons les accès, donc c’est parti pour le CEH et l’ECSA. (Woot !). Je pense faire un cours « off » quand j’aurai le temps sur les enjeux actuels du domaine, notamment au niveau étatique, intitulé : « La cyberguerre, un cyberFAKE ? » dont les premières slides peuvent être visibles là, là ou même là.

Nous avons évoqué dans une discussion entre étudiants la possibilité de faire un site officiel de la formation afin de mettre objectivement en avant ce qu’il s’y fait, les intervenants, les profs, les projets et les recherches personnelles faites par des élèves. Ceci reste une « idée dans le vent » car nous n’avons pas encore proposé à l’équipe éducative ce projet mais il me semble intéressant de s’y pencher car la visibilité de cette formation sur internet est quasi-nulle.

Enfin, une partie des étudiants – y compris moi – sera à l’event Hackito Ergo Sum 2011 qui aura lieu à Paris début Avril. Les places sont en vente et il n’en reste plus que 10 pour les étudiants intéressés ! Bon, je pense que tout est dit, à bientôt pour un prochain article.

Une campagne de spear-phishing

Une campagne de spear-phishing – semble-t-il très ciblée – a été perpétrée à l’encontre de certains fonctionnaires du Ministère de l’économie, des finances et de l’industrie. Le spear-phishing est un phishing ciblé, où, contrairement à une campagne de phishing traditionnel, un travail de renseignement est fait en amont afin de connaitre sa victime, mais aussi ses liens avec d’autres acteurs de l’entité ciblée. Elle se traduit au final par l’envoi de mail(s) possédant(s) une pièce jointe ou un lien vers une page web exploitant une vulnérabilité dans le navigateur ou un des plugins du navigateur de la victime. Les campagnes de spear-phishing se décomposent en deux phases distinctes :

1. Le Renseignement : La partie la plus complexe. Il faut connaitre sa victime, dont ses liens avec d’autres acteurs du système d’information mais également son équipement logiciel. A ce jour, les liens peuvent facilement être découverts en cherchant un peu sur internet, surtout grâce aux réseaux sociaux et aux sites institutionnels (d’où l’utilité de Maltego). L’adresse email de la victime à laquelle on enverra une charge finale peut facilement être déduite grâce au nom et prénom de l’acteur. C’est toujours le même pattern du type nom.prenom ou nprenom ou prenom.nom etc. Une liste d’adresses email valides peut ainsi être facilement constituée automatiquement à l’aide d’un seul échantillon récupéré sur un site institutionnel ou dans un document administratif.

L’équipement logiciel de la victime pourra être soustrait grâce à la visite au préalable d’un des acteurs du Système d’Information sur un site internet piégé. Un petit bout de code Javascript permettra de récupérer les versions des différents plugins installés, du navigateur et du système d’exploitation. Pour les logiciels de bureautique (tels qu’MS Office), une simple visite sur le site institutionnel permettra au(x) pirates(s) de connaitre, à l’aide des méta données des documents publiés, le type et la version des logiciels utilisés (Foca, Metagoofil).

2. L’attaque : L’attaque prendra donc la forme d’un email piégé usurpant l’identité de l’un ou de plusieurs collaborateurs de la victime. Du fait des faiblesses du protocole d’envoi de mail SMTP, il est très facile d’envoyer un mail usurpant l’identité d’une personne quelconque. Cet email conduira la victime – à l’aide d’un prétexte quelconque – à ouvrir une pièce jointe piégée (un fichier PDF semble-t-il dans le cadre de l’attaque de Bercy) ou à parcourir un lien contenu dans l’email.

Une fois ce lien ou cette pièce jointe ouverte, une faille logicielle sera utilisée afin de faire exécuter du code arbitraire à distance sur l’ordinateur de la victime. Aujourd’hui, les shellcodes de papa ne sont plus utilisés. Dans le cadre de telles attaques, les shellcodes permettent de télécharger et d’exécuter un binaire (le malware). Une fois installé sur le client (l’ordinateur de la victime), le malware essayera d’être furtif afin de ne pas se faire voir par l’analyse heuristique des antivirus, mais également persistant, afin d’être exécuté à chaque redémarrage de l’ordinateur de la victime. Enfin, il enverra un petit message à un serveur sur internet (contournant le NAT en passant) pour dire « Hep, j’suis installé, j’attends tes commandes bro :D ! »

Afin d’éviter un piège, la première règle est d’en connaitre l’existence.

Les attaques de spear-phishing sont aujourd’hui celles qui ont le plus de chances de réussir en remote (à distance). De plus, même s’il existe des parades afin de contrer ce type d’attaque (comparaison entre le domaine auquel est rattachée l’adresse email usurpée et le serveur SMTP ayant envoyé l’email, créations de profils « honey-pots » ayant des adresses mail institutionnelles « honey pot », utilisation de signatures numériques) ces mesures sont loin d’être démocratisées, tant dans le public que dans le privé.

Nous n’avons aucune information sur le malware employé, si c’est du « home made » ou quelque chose que l’on trouve un peu partout sur internet (comme GhostRAT dans le cadre de GhostNet). Toujours est-il que là encore, la sécurité antivirale est un échec. La seule chose qui a fuité est la communication du malware par HTTP vers l’extérieur [NOTE 1]. Ce type de communication est aujourd’hui très démocratisé par les malwares car cela permet facilement de s’évader du réseau, tout en contournant les règles des firewalls laissant sortir les flux HTTP. Les NIDS dans ce cas ne jouent plus aucun rôle – ils fonctionnent principalement sur la base de signatures ou sur des données heuristiques (pour les scans de ports, le DNS tunneling, malwares « connus » etc.). Sachant que le flux employé était un flux « légitime » et n’ayant pas de signatures préalables, le malware pouvait communiquer avec l’extérieur tranquillement sans se faire voir.

Quelle portée de l’attaque contre Bercy ?

Jusqu’à présent, aucune information n’a fuité sur la portée réelle de l’attaque, notamment sur sa complexité. Une attaque de spear-phishing, bien que semblant complexe, est simple à mettre en oeuvre. Pour connaitre la réelle complexité de l’attaque, il nous faut savoir si les pirates informatiques ont pivoté sur d’autres postes/serveurs composant le Système d’Information de Bercy à partir « de bases avancées » composées des postes clients piratés lors de l’attaque de spear-phishing. Là, on pourra dire « woot, woot, woot » car pivoter sur un réseau est une tâche relativement complexe de l’extérieur, surtout sans se faire catcher par les NIDS.

De plus, certains indices peuvent nous amener à penser qu’un 0day sur Adobe Acrobat reader a été utilisé, même si le sujet, repris par certains médias [NOTE 2], reste très nébuleux : ne sachant pas s’ils parlaient du malware non reconnu par l’antivirus du Ministère de l’économie, des finances et de l’industrie ou de la faille utilisée permettant l’exécution de code arbitraire à distance.

Qui est derrière cette campagne ?

Les médias ne nous apportent rien sur l’origine de l’attaque, seul un indice est sorti : le(s) malware(s) communiquai(en)t avec des serveurs présents en chine. OK. Wahou, ça c’est de l’information. Enfin, il est aujourd’hui facile de mettre en oeuvre un système de proxying-international-de-la-mort-qui-tue afin de cacher la provenance d’une attaque. (Shodan, my friend, si tu m’entends ? <3)

Ma petite idée s’oriente tout de même vers la superbe PLA chinoise (désolé pour l’humour, voir : 人民解放军) et ses supers-hackers-qui-font-peur. Ceci pour la simple et bonne raison que des attaques d’espionnage de grande envergure utilisant cette technique (GhostNet & Aurora) ont été imputées aux chinois et à certaines de leurs universités. Cependant, seule une analyse par reverse engineering du malware et de(s) l’exploit(s) utilisé(s), mais aussi une coopération internationale avec la Chine (LOL) et le Canada (qui a été victime d’une campagne de spear-phishing similaire) pourra permettre d’y voir plus clair.

D’autres voix s’orientent vers les Anonymous ou un cyber-altermodialisme, là, je dis « AH AH » et vous orriente vers mon article sur la « cyberguerre » pour mieux comprendre ma réaction.

Quelques leçons à retenir

Bref, je ne vais pas faire dans la « conclusion kévin » simplifiant la vie à beaucoup de personnes du genre « aucun système n’est inviolable *FEAR* ». Non non, nous allons aller plus loin. Le premier enseignement à tirer de cette attaque c’est que les systèmes d’information sont encore trop parlants sur leurs équipements. Une simple désactivation du Javascript et une réécriture de l’user-agent à la volée par un proxy intermédiaire peut permettre d’éviter bien des soucis. Cependant, on ne vit pas au pays des bisousnours : ce type de protection est difficilement portable sur un SI composé de milliers d’hôtes[NOTE 3] ayant des besoins de compatibilité logicielle (qui a parlé des intranets développés pour IE6 ?).

Deuxième leçon : Encore beaucoup trop de SI ne sont pas équipés de solutions logicielles contre le spear-phishing telles que la mise en place d’un système de PKI (difficile à garder à jour) ou une vérification de l’appartenance d’une adresse email au domaine auquel est rattaché le serveur d’envoi. Toutefois, des solutions existent, tant open-source que propriétaires rattachées aux serveurs mail.

Troisième leçon (pour les rageux) : On ne peut pas jeter la pierre sur les équipes de l’ANSSI ou de la DCRI. Les mesures qui ont été prises suite à la découverte de l’attaque ont été appropriées à l’envergure de cette dernière. Ces dernières ont d’ailleurs – semble-t-il – envoyé de fausses informations aux serveurs de contrôles, permettant de noyer les vraies informations dans de fausses informations et ça, c’est loin d’être con. Enfin, la discrétion de cette opération est à applaudir, sachant que la découverte de l’attaque remonte à quelques mois. Cela prouve une réelle intégrité de nos services de renseignement.

Cette attaque, une opportunité pour la France ?

Cette attaque, tout en ayant démontré encore une fois la vulnérabilité des Systèmes d’Information français, peut être une véritable opportunité pour la France. La prise de conscience dans les hautes sphères du gouvernement de la vulnérabilité du système va permettre de remuer un peu le secteur, avec la mise en place de VRAIES mesures rapidement face à ce type d’attaques. Enfin, je parlerai de ce point là dans mon deuxième article consacré à la « cyber-guerre » (un mot qui n’est pas approprié pour ce genre d’attaque, on parlera plus de cyber-espionnage ou de campagne espionnage), portant pour la prochaine fois sur les doctrines et stratégiques à mettre en oeuvre par les Etats face aux attaques émanant du cyberespace.

Mise à jour au 08/03/2011 : Un article de l’ANSSI confirme que les assaillants ont bien utilisé un 0 day dans Adobe Acrobat Reader, d’ailleurs, un avis du CERTA a été émis début février concernant plusieurs vulnérabilités sur ce même logiciel. Ce même article confirme également un pivot sur le réseau, cependant aucune mention sur la technique utilisée est présente.

Un article du site SecurityVibes nous en apprend un peu plus. Afin d’élever leurs privilèges sur les machines – permettant de pivoter sur le(s) réseau(x), les pirates auraient utilisé des vulnérabilités dans des programmes ayant des privilèges administrateurs pendant leur exécution ou réécrit des scripts exécutés en tant que SYSTEM. Ces astuces sont vielles comme le monde mais toujours d’actualité dans beaucoup de réseaux. Elles permettent même, dans certains cas, d’élever ses privilèges verticalement sur l’Active Directory d’une l’entité. Méfiez-vous des scripts bat/vbs traînant sur les partages réseaux qui sont exécutés en tâche planifiée avec un niveau de privilèges administrateur alors que tout le monde peut les rééditer…

Enfin, il est fait allusion à la problématique des SIEM et de la remontée de certains évènements réseaux. En effet, l’attaque aurait pu être décelée peut être plus rapidement avec un système de SIEM relié à des (H/K)IDS. Restera la problématique des fameux faux positifs.

Mise à jour au 09/03/2011 : Un article d’un célèbre site internet français sur la sécurité informatique revient sur une tentative d’attaque par injection d’iframes sur le site internet de Reporters Sans Frontières, faisant beaucoup trop vite une possible liaison avec l’affaire de Bercy. Cette attaque est, contrairement à ce qui a été annoncé dans l’article, d’une toute autre mesure et ne visant pas le réseau interne de RSF. De plus, l’injection d’iframes sur le site de RSF cible les visiteurs du site et non pas l’organisation en elle-même. Le RAT diffusé par le site internet est PoisonIvy, un RAT très connu et plus maintenu par son auteur (dont son C&C est d’ailleurs faillible à un RCE).

Bien que cette attaque aie comme origine, semble-t-il, la Chine, sa très faible complexité et son amateurisme (l’utilisation de PoisonIvy) peut laisser penser à un piratage occasionnel contre les visiteurs du site internet d’RSF. Pour finir, ce n’est pas la première fois que le site internet d’RSF sert de pont à un exploit kit suite à un piratage. Il ne faut pas faire des liens entre des affaires là où il n’y en a aucun.

Mise à jour au 10/03/2011 : Selon le magazine Paris Match, la campagne de Spear Phishing serait très aboutie dans la pertinence des messages envoyés aux acteurs ciblés. Ils auraient envoyé des emails en lien à différentes réunions préparatoires au G20, ce qui peut laisser présager une taupe en interne ou une fuite d’information liée à une première attaque aboutie sur un des acteurs.

Cependant, le message indiqué dans l’article – « Vous trouverez en pièce jointe un document pour préparer la ­prochaine réunion » – est souvent utilisé dans les campagnes de Spear Phishing ou de Social Engineering à l’encontre d’entités car les réunions sont fréquentes en entreprise ou dans l’administration. Donc sans posséder plus d’informations sur ce message, nous ne pouvons pas savoir si la campagne de Spear Phishing était réellement aboutie (date/heure de la réunion, objectifs de la réunion indiqués dans le message etc.).

Mise à jour au 20/03/2011 : Quelques informations supplémentaires tirées de conférences et contacts : 1. Le malware utilisé n’a semble-t-il pas été drafté pour une attaque « one-shoot », mais était déjà existant, il a subi néanmoins quelques modifications propres à l’attaque. 2. L’ANSSI n’avait semble-t-il pas objectif de communiquer sur l’affaire. Cette affaire aurait fuité à partir de Bercy, dont les employés avaient été amenés à laisser leurs ordinateurs portables au bureau le temps d’un weekend.

Une émission de France O revient sur les attaques informationnelles avec quelques spécialistes en Intelligence Economique et cyber-criminalité. L’émission est assez bien, cependant beaucoup d’éléments techniques mis en avant sont faux et pas métrisés. (Le tout est à découvrir ici)

NOTE 1 : « On a constaté qu’un certain nombre d’informations étaient redirigées vers des sites chinois. Mais cela ne veut pas dire grand-chose » (Paris Match)

NOTE 2,3 : Dominique Lamiot : « le Cheval de Troie est arrivé via une pièce jointe PDF dans un e-mail. Il s’agit d’une faille encore non détectée par les éditeurs » [...] « Au total, 150 ordinateurs sur 170.000 postes ont été infectés » (Le nouvel Obs)

Les vacances de Noël sont passées et j’ai un scoop à vous proposer : nous sommes en 2011. Wahou. L’année 2011 rime pour moi avec l’abandon des études pour vivre de mes propres ailes et je n’ai qu’un mot à la bouche : ENFIN ! Cependant, il faut déjà finir cette licence, finir mon stage et trouver quelque chose de stable sur Paris pour l’année.

Vous l’aurez donc deviné : je fais un stage sur Paname me permettant de décompresser un peu. Bon c’est assez ric-rac point de vue argent, car je dois payer deux loyers et le train à cause de cette connerie d’alternance. De toute façon, chercher un stage en Full-sécurité aux alentours de Maubeuge revient à partir en quête du St Graal : cette ville est loin de tout. Je ne comprends pas comment on peut faire une telle formation dans une ville aussi reculée et morte économiquement. *ça, c’est dit.*

La progression des cours

En ce qui concerne les cours, ils commencent à être bon voir même très bon. Au programme, un très bon training sur Scapy de quelques jours, du reversing basique de binaires ELF sous forme de crackme sous gdb, des cours de synergologie/manipulation sous un angle théâtral et encore quelques cours de vulnérabilités « web » et physiques. Les prochaines semaines devraient être principalement consacrées aux vulnérabilités systèmes, ça risque d’être bien sympa également.

Et TinyRAT alors ?

Concernant le projet TinyRAT, ce dernier est terminé. Malheureusement nous ne sommes pas allés jusqu’où on voulait, car une partie du groupe s’est complètement désolidarisée du projet à tel point qu’on a dû le finir à deux.

Du côté client, une grande partie du code reste à faire contre la lutte heuristique mais également sur la persistance du binaire dans un environnement bien configuré (Accès au registre désactivé etc.). Le serveur de commandes quant à lui est fini et prêt à être sujet à quelques modifications futures suivant ce que voudra faire le client (Screenshots, envoi/réception de fichiers etc). Les notes finales sur le projet sont bonnes, mais le résultat aurait pu être encore mieux avec l’investissement de l’autre partie du groupe dans le projet. (Je ne vous cache pas que j’ai vraiment la haine sur ce point-là).

Les certifications

La grande question en suspens pendant les derniers épisodes était celle des certifications. Eh bien j’ai quelques nouvelles ! C’est donc de 170 à 220 euros la certification. A ce prix-là, je me suis dit qu’il était mieux d’en passer deux, CEH et ECSA. La première va surement être facile à passer, après, pour la deuxième Ich Allah, car en passer deux à la suite…

Et puis, vu que ce ce n’était pas assez de travail, j’ai décidé de me mettre en parallèle à apprendre le Chinois traditionnel sur Paris, dans le but de compliquer la chose… Sur ce, Keep update !

Voir S02E02, S02E01, S01E03, S01E02, S01E01.

Ça y est, il fait froid : une vague de froid dans la France entière et le nord n’est pas épargné. La neige arrive, véritable plaie pour ceux qui, comme moi, ont décidé de ne pas posséder de voiture. Mains froides, joues crispées, l’heure de marche à pieds pour aller à la formation (aller-retour) se fait ressentir sur le moral chaque jour.

Première chose, j’ai décidé d’entreprendre un changement d’appartement qui s’est soldé par une démotivation totale/échec à la vue des appartements proposés dans cette ville. Pour vous faire un schéma, j’habite en ce moment un studio avec de multiples problèmes (bruits incessants, crispants, stressants, une peinture intérieure qui n’a rien à envier aux nouvelles prisons ou hôpitaux psychiatriques (si, si vous connaissez cette couleur, le bleu/vert -très- laid porté également par les chirurgiens), humidité, coupures de courant à répétition (environ 5 par jours.) suite à un compteur mal paramétré : le cauchemar total. Enfin, j’essaye de garder le moral, même s’il faut se l’avouer, il n’y est pas du tout.

La formation, elle, continue. Il y a de plus en plus de cours en sécurité même si j’ai l’impression que seule la base est vue dans certaines matières (notamment sur le volet pratique). De nouveaux cours ont fait leur entrée tels que l’anglais ou le Droit. Moi qui pensais être enfin dispensé de cours d’anglais ad-vitam aeternam eh bien je me suis trompé. Au programme, on revoit tout et cette fois : à vitesse accélérée. Au moins, ces cours d’anglais m’auront permis de comprendre pourquoi je n’ai jamais aimé l’anglais scolaire jusqu’en DUT.

Exercices incessants, aucune perspective de l’utilisation de ce que l’on apprend dans la vie réelle, le tout avec des règles de grammaire qu’il faut avoir digéré en quelques secondes pour laisser place aux exercices qui n’ont rien à envier – point de vue maturité – aux fameux manuels « Apple Pie ». (c’est vous dire si ces derniers m’ont terrorisé pendant ma scolarité). J’aime l’anglais, je mange de l’anglais tous les jours (papiers de recherches, livres, posts, actualités, films etc.) mais les cours d’anglais, (à part en DUT SRC) je m’y suis jamais fait.

Concernant le Droit, je dois dire que je suis impressionné de la qualité des cours. Il est très rare d’avoir des cours aussi clairs sur un sujet si vaste – même si nous voyons « uniquement » le droit relatif au Système d’Information et à Internet. J’ai vraiment découvert un nouveau domaine qui m’était – il faut bien le dire – assez inconnu (m’étant jusque-là concentré que sur les textes de loi et non sur leurs interprétations possibles et aux jurisprudences relatives à ce domaine).

Concernant les cours en sécurité, ils sont de plus en plus présents. Nous sommes en train de terminer la « mise à niveau » de la promotion en réseaux, développement et systèmes d’exploitation pour s’attaquer, il faut le dire, à des choses plus intéressantes. Nous avons fini les cours de fingerprinting qui se concluent actuellement par le fingerprinting distant des éléments « stratégiques » d’une université : sympa, même si j’ai la vague impression qu’une partie de la promo n’est pas très enthousiaste. D’autres cours – plus spécifiques – sont donnés, notamment sur la sécurité web. Malheureusement, je n’ai encore rien appris dans ces cours, seules les bases sont présentées et encore, je trouve que les cours relèvent plus d’un simple tutoriel que l’on peut voir un peu partout que de vrais cours (peut être dû à cette notion de « challenge »). C’est un avis strictement personnel.

Les autres cours donnés en sécurité sont plutôt sympas : certains profs abordent en partie la « culture » liée à la sécurité (confs, hackerspaces, zines, actualités etc.) ce qui est intéressant sur beaucoup de points, notamment pour les élèves découvrant cet univers. Cela change de la simple théorique/pratique que l’on peut voir par-ci par-là dans d’autres matières. Mais bon, j’ai l’impression qu’il existe encore un manque d’informations dans cette formation, principalement en ce qui concerne les débouchés liés à ce que l’on nous apprend. Aucun cours n’est fait sur sur la Guerre de l’Information, sur l’aspect social/stratégique/géopolitique de ce domaine et sur les débouchés professionnels autres qu’administrateur réseau ou pentester. Ceci est vraiment dérangeant, surtout que ce domaine est aujourd’hui en pleine explosion…

TinyRAT : Quelques nouvelles de notre projet

TinyRAT avance. Pour rappel, notre groupe, composé de Mathieu Bonnet, Guillaume Duchene, Anais Verdier et moi-même réalise un malware « simple » fonctionnant sur le modèle des SpyEye et autres Zeus : communication par HTTP, C&C présent sur un serveur web distant etc.

Bon, passons à la technique. Un premier draft fonctionne déjà relativement bien au niveau protocolaire (gestion des commandes etc.) et je suis assez impressionné de voir la vitesse de développement de ce projet (notamment pour le client développé en C). Le serveur de commandes, réalisé en PHP5/JS/HTML5/MySQL est pratiquement fini. Seules quelques optimisations d’ergonomie liées au front sont encore à prévoir. Le client est encore à un stade basique mais avance bien au niveau de l’injection dans les processus, persistance, furtivité etc. Pour ne rien vous cacher, je suis très content du travail que nous avons accompli à mi-projet. Peu importe la note finale, cela aura été une expérience enrichissante pour tout le groupe. Après avoir consulté le groupe, je vous montre quelques screenshots du C&C avec des explications complémentaires. Et c’est sur ces images que s’arrête ce troisième épisode ;)

Demande d’authentification

Liste des différents RATs enregistrés auprès du C&C

Gestionnaire de fichier réalisé en jQuery/HTML5/PHP
avec envoi de fichiers en drag’n'drop.

Shell « augmenté » en jQuery/PHP. Ce dernier permet une interaction avec l’invite
de commande de Windows tout en ayant de nouvelles commandes
liées aux fonctionnalités du RAT.

Carte présentant sur une planisphère la géolocalisation des RATs actifs et inactifs. (l’activité est symbolisée par des arcs de cercles reliants les RATs au C&C)

Voir S02E02, S02E01, S01E03, S01E02, S01E01.

Comme promis, je fais un nouvel article sur la formation CDAISI où je suis depuis maintenant pas mal de semaines dans le nord de la France. Bref, si vous n’avez pas lu le premier article, c’est mieux de commencer par le début.

Donc voilà quelques semaines que j’y suis, les cours « commencent » à être intéressants (même si comme je l’ai dit dans le premier article, tout est bon à prendre). Nous voyons de plus en plus de sécurité mais encore peu selon moi, enfin, il faut un début à tout. Au programme de ces dernières semaines : on a fait un peu de sécurité web, d’OSINT et vu les principales techniques de fingerprinting passif sans trop aborder de tricks. D’ailleurs, je vais faire un petit cours sur Maltego pour la formation. Bien que n’ayant aucune « action » dans Parterva, je pense que ce tool, lié à des transforms « perso » est le meilleur dans le domaine de l’OSINT « civil ». Les informations présentes lors de ce cours seront, évidement, présentes sur ce blog. (Je tiens par ailleurs à remercier Andrew pour m’avoir donné gracieusement une licence commerciale pour quelques temps.)

D’autres cours sont plus axés administration réseau et développement même si selon moi, les TP prennent trop de temps dans la formation. C’est un peu 2/3 du temps à installer des choses pour le tiers restant à faire de la vraie pratique dessus (pour l’administration). Je n’ai jamais aimé l’administration réseau au sens premier du terme et je pense que ce ne sont pas des TP pratiques sans aucune théorie qui vont me faire changer d’avis. Il est sûr qu’avoir des compétences en administration réseau est indéniable si l’on veut faire de la sécurité. Mais selon moi, il est inutile de perdre son temps à faire des TP alors que lorsque l’on travaille, on RTFM-man-help-googlelise beaucoup.

Quelques voies s’élèvent face aux stages (voir mon premier billet) et face à certains cours qui ne passionnent pas les masses, cependant, les formations parfaites n’existent pas. Il est donc normal qu’il y ait différents défauts même si je reste sur mes positions concernant les stages « une semaine sur deux ». Selon moi, pénaliser une vingtaine d’élèves pour des formations en alternance se comptant sur les doigts de la main dans une classe, je trouve que c’est dommage.

Notre projet, TinyRAT

Notre projet (nous sommes 4) s’appelle (en ce moment) TinyRAT. Le but est de faire un RAT/Trojan (pour une attaque de type One Shot dans un réseau d’entreprise) reprenant les grandes lignes de furtivité et de persistance de certains malwares de type SpyEye, N0peBot ou Zeus (tout en essayant difficilement d’innover…). Personnellement, je m’occupe de toute la partie documentation (recherches de rapports, malware analysis etc.) et C&C qui sera, comme pour les malwares évoqués, basée sur un serveur PHP/MySQL lambda. Je pense aussi faire un peu de code côté client.

Le projet avance tant bien que mal, même si l’on se trouve face à plusieurs choses assez complexes, notamment pour la synchronisation entre le C&C et le client ou, concernant le client, la partie furtivité et persistance du Schmilblick tout en passant au travers des AV. Mais bon, à tous problèmes existent des solutions !

Les autres projets vont de choses « standards » en sécurité (standard de veut pas dire « facile » à développer pour des non-barbus) telles que de la modification de paquet on the fly grâce à une attaque MiM suivant des patterns définis ou de la recherche d’information sur les réseaux sociaux à des choses plus « inédites » telles que de la géo-localisation de GSM.

Les certifications ?

Comme prévu, j’ai quelques nouvelles concernant les certifications. Une chance pour nous, nous allons pouvoir en passer même si j’attends de réellement commencer à étudier ces dernières pour être sûr. Apparemment, la première est gratuite pour nous (CEH) et il advient de choisir si l’on veut en passer d’autres à prix réduit. Le CEH est plutôt de l’ordre de la culture générale concernant la Sécurité des Systèmes d’Information, où l’on voit tous les domaines sans trop s’attarder violement sur la technique. Donc j’ai décidé de passer également LPT (Licensed Penetration Tester) car pour le prix, c’est toujours cela de pris.

Bref, voilà où j’en suis. Concernant Maubeuge même, je ne m’y fais pas. Il y a quelque chose qui ne va pas mais je ne sais pas quoi, et cela me pourrie littéralement la vie depuis que j’y suis, mais ça, on y peut rien. Je vais tester de changer de studio pour un truc plus calme, c’est p’être cela. (et aller sur Paris plus souvent !)

Voir S02E02, S02E01, S01E03, S01E02, S01E01.

Je me suis demandé s’il valait le coup de réaliser un article sur la licence que je suis en train de suivre dans le nord de la France, qui selon la publicité, est la première licence traitant de sécurité informatique offensive. Et puis, je me suis rappelé que je n’avais pas eu les informations que je me posais sur cette licence lorsque j’ai voulu m’inscrire. Informations triviales, certes, mais des informations permettant une représentation assez globale de ce qu’il s’y fait.

Bref, cela fait maintenant quelques semaines que j’y suis donc, après l’appréhension des premiers jours, je peux fournir un premier aperçu de cette licence, sur plusieurs plans, tant techniques que pédagogiques.

CDAISI, cet acronyme barbare – ayant un affreux look serious business et devant être prononcé [sedezi] – est le petit nom de cette licence. Cette dernière est spécialisée dans ce qu’ils appellent le « Ethical Hacking » (sic.). Au programme, des choses intéressantes liées à la Sécurité des Systèmes d’Information (Développement, SE, vulnérabilités physiques, applicatives, web, réseaux etc.) le tout, appris sous un angle offensif. Je me demande encore comment l’on peut faire le tour de tout cela en un an… l’avenir me donnera la réponse.

Les cours à CDAISI

En quelques semaines, nous avons eu principalement des cours de « base » dans différents domaines principalement liés au développement, aux systèmes d’exploitation et aux réseaux. Des fois, il est important de revoir les bases, notamment pour quelqu’un -qui, comme moi – a appris une très grande partie de ses connaissances actuelles en autodidacte. Cela fait beaucoup de bien, comme je le dis souvent « c’est un peu moins Tetris après ».

La première partie de l’année (de septembre – à janvier, si j’ai bien compris) est donc dévouée à la révision des bases dans chaque domaine afin de mettre les élèves à un niveau minimum pour continuer. La deuxième partie, plus complexe – et plus « fun », est dédiée entièrement à l’étude des différents vecteurs d’exploitation et de sécurisation. Je me pose encore la question du niveau que l’on aura en sortant de cette formation. Par exemple sur les vulnérabilités applicatives, étudierons-nous les « nouvelles » techniques d’attaques et nouveaux tricks du style ROP ou même le très connu JIT-Spray afin de contourner certaines nouvelles protections (ALSR, DEP & autres trucs protégeant le stack). Pour ma part, je pense que non. Tout simplement car le périmètre technique de cette licence est extrêmement large, ainsi, les bases nous seront présentées et nous devront ensuite nous spécialiser en autodidacte.

Comme dans chaque licence, nous allons avoir une sorte de projet tuteuré pendant l’année (100h). Perso, j’ai eu plusieurs idées de projets mais toutes s’heurtent à une réelle complexité dans le développement. Mes « idées » allaient d’une extension Firefox malveillante ayant plusieurs « modules » (à la meterpreter) jusqu’à un patch noyau +et IPtables+ (reprenant le principe d’IP personnality) pour déjouer certaines prises d’empreintes. Enfin, nous verrons ceci le temps venu et je ne pense pas que certains ont les compétences en dev. pour tâter du noyau cette année – y compris moi.

Pour finir, il semble que l’on ait la possibilité à la fin de l’année de passer à prix réduit – ou gratuitement ? – la certification CEH qui est assez reconnue dans le domaine. Bref, on verra ce qu’il en est, car je n’ai pas plus d’informations sur cela aujourd’hui.

Les stages à CDAISI

Les stages dans cette licence sont pour moi, un point épineux, le revers de la médaille. Dès les premiers jours je me suis même demandé si je n’allais pas quitter la licence suite à ces derniers. Les stages à CDAISI sont donc réalisés à partir de janvier et ce, en alternance. C’est-à-dire, que nous sommes une semaine en cours et une autre semaine en entreprise. De plus, ces stages doivent être composés au minium de 30% de sécurité (je me demande comment ils font le pourcentage…). Pour ma part, j’ai choisi de la sécurité en « full », car si je suis dans une telle formation, ce n’est pas pour devenir administrateur réseaux ou développeur d’applications.

Premier problème : l’alternance. Cette dernière est au rythme une semaine sur deux de janvier à fin mai – puis l’ensemble du mois de juin en entreprise. Cela devient handicapant lorsqu’on veut réaliser un stage spécialisé en sécurité, car les entreprises spécialisées dans ce domaine aux alentours sont trop peu nombreuses. J’ai donc décidé de le réaliser à Paris pour un déficit calculé (pouvant varier suivant mon salaire) à 2070€. Ceci, lié à une double (col)location Paris/Maubeuge, au train, transports etc. (après, évidemment, c’est dans le pire de cas…)

Un autre problème lié à l’alternance est la continuation de certains projets dans l’entreprise. Je donne un peu le bâton pour me faire battre en publiant cela, mais je préfère être clair. Réaliser une semaine sur deux en entreprise est très difficile pour la continuation de projets, notamment dans le domaine de la veille ou chaque information doit être traitée en continuité. (et je ne parle pas des « gros » projets tels que l’installation d’infrastructures sécurisées etc.) *Note : ceci est un problème également pour être pris en stage, ce régime ne convenant pas à certaines entreprises et je les comprends.*

Un troisième problème se présente sous la forme des connaissances apprises avant le stage pour en faire un dans le domaine de la sécurité. Plusieurs camarades veulent faire un stage en sécurité mais n’ont, à ce jour, pratiquement aucune connaissance car les cours de sécurité débutent réellement en même temps que le stage. C’est pour cela que je me suis mis à faire des cours bénévolement, dans le but de procurer à certains des premières connaissances suivant le stage qu’ils cherchent (pentest, veille etc.).

Le cadre

La licence est située à Maubeuge. Une ville, qui, aux premiers regards peut-être représentée à l’aide de la chanson « Demain c’est trop tard » (petite référence à IAM) mais que l’on apprend à aimer. Son architecture, l’accent de ses habitants, son ciel gris et ses clubs de tuning reflètent le nord, évidemment, mais certains endroits sont vraiment bien (notamment pour les amateurs d’histoire).

En fait, la licence ne se situe pas sur un campus universitaire mais dans une antenne technique de l’Université de Valenciennes comptant 130 étudiants à vue d’oeil. Cette antenne est située à l’extérieur de Maubeuge (compter 40 minutes à pied pour y aller du centre ville) dans une zone industrielle. Le principal problème, ce n’est pas pour y aller (quoi que… des fois, on risque notre vie à pied) mais bien la gestion du self. Eh oui, il faut prévoir le jour où l’on va manger, une semaine à l’avance et se décider puis payer le self chaque lundi matin avant 10h (#WTF). Cette certaine incitation, pour les élèves, à aller manger ailleurs induit beaucoup de choses que je ne détaillerai pas ici.

Conclusion

Même si cette licence (comme toutes les autres formations) comporte des plus et des moins, je pense – et j’espère – qu’elle va me permettre de remettre à plat beaucoup de mes connaissances en SSI afin de continuer sur les bases saines dans ce domaine. J’espère avoir fait le tour de ces premières semaines avec mes impressions qui, je le rappelle, sont personnelles. J’espère également avoir répondu à certaines questions que certains futurs étudiants pourraient se poser, car il n’y a aucun véritable retour écrit sur le web concernant cette formation.

J’essayerai donc de continuer les retours tous les deux/trois mois, afin de suivre ma progression dans cette licence et les différents enseignements attachés.

Note : Je me marre de l’utilisation du mot « hacker » ou « hacking » à toutes les sauces, notamment commerciales. Après certains sont pas content, car les médias font une relation entre « hacking » et « pirates », et bien pour arrêter cela on n’a plus à utiliser le terme « hacking » à n’importe quelle sauce pour se faire mouiller.

Outre le fait que ce dernier est un 0day, cet exploit risque de faire très mal tant pour l’image de la firme MySQL que pour les millions de serveurs faisant tourner ce service ouvertement sur l’internet sans aucune protection particulière dans les restrictions d’accès ou le cloisonnement du processus.

Bref, qu’en est-il vraiment ? A mon avis, je pense de plus en plus à une vraie vidéo, mais je doute de plus en plus d’un vrai exploit. Quelques les éléments ci-dessous me sifflent dans l’oreille :

- Le site internet est très -trop – basique, le blog aussi pour tout vous avouer. Cependant, un whois sur ce dernier montre que le nom de domaine n’est pas récent comme on pourrait le penser. Mais un internet archive ne trouve rien.

- La société qui possède 5000 résultats de recherches sur Google prétend sur le forum d’Immunity vendre un de ses packs d’exploits 250$, cela fait très – trop – peu pour des possibles 0 Days, surtout de cette envergue. Elle a semble-il découverte la vulnérabilité en Aout, pourquoi pendant tout ce temps, elle n’a (semble-t-il – là encore) prévenu MySQL de cette brèche ?

- Nous connaissions déjà certaines possibilités de mise en place de portes dérobées sur des serveurs MySQL telles que le tool Raptor qui permettait d’ouvrir un shell sur un MySQL disposé sur Windows – ou par l’intermédiaire d’SQL injections sur un serveur web, encore fallait-il que le serveur MySQL tourne sur ce précédent serveur et que les droits UNIX soient bafoués pour que cela marche. Cependant, avec cette vidéo, on peut penser que l’exploit ne requiert pas d’authentification sur le serveur visé ou même un support/module de MySQL installé. D’ailleurs, j’aime le « Note – the exploit has been edited to be less verbose. » #WTF.

- Vous avez entendu parler un week of data base bugs prochainement ? Perso NaN. Dans les commentaires du blog ils prétendent démontrer la vulnérabilité durant cette semaine… j’aimerai bien savoir si quelqu’un à des infos, bizarrement, Google n’en a pas non plus. Normal, ce sont « eux » qui « les » organisent (sachant qu’il y a qu’un russe dernière cette société)…

Bref, je reste très septique sur cette vulnérabilité et je pense que – si elle existe – elle n’est pas effective sur une installation par défaut de MySQL. Entre 0 et 10 sur le point de la crédibilité, je mettrai 3, pas plus. Cependant, si elle existe bien et qu’elle est possible sur une installation par défaut – il y en a qui voient la vierge partout depuis que des vulnz en remote ont été découvertes sur OBSD ; il faudra faire quelques mises à jour ou appliquer quelques sécurités supplémentaires telles que :

- La définition des droits d’accès à MySQL afin que seuls certains hosts puissent s’y connecter (ce qui d’ailleurs devrait être toujours fait). Non seulement au point de vue de l’authentification de certains l’ensemble des utilisateurs dans la configuration des users de MySQL que de l’accès au serveur devant être régit par un FW.

- Chrooter de processus afin qu’une possible ouverture de shell ne puisse pas aboutir à de plus amples dégâts tels que de rooting de la Box ou la découverte de la topologie du réseau (de la DMZ) distant(e).

- Et enfin, le changement du port par défaut de MySQL (3306) afin d’éviter les bots et diverses attaques automatisées sur des comptes si ce serveur est accessible à partir de l’Internet. Cependant, cette protection ne sert à rien si le pirate a déjà sous son emprise le client se connectant sur le serveur. #FAIL

Bref, l’attente est la conclusion de cet article. Dans quelques jours nous serons fixés sur cette affaire même si à mon avis, nous aurons déjà oublié cet épisode dont la véritable finalité était de vendre quelques packs d’exploits exploitant des vulnérabilités se revendiquant critiques alors qu’il n’en est rien.

NB : Après la re-visualisation de la vidéo, je me suis aperçu d’un « req #1, req #2″ pendant l’exécution de l’exploit. Cela laisserait donc suggérer qu’il faut être authentifié auprès du serveur MySQL afin d’ouvrir un shell sur la BOX.