articles
réactions
Jeff - 01.11.2006 | 0 réactions | #link | rss
Un petit billet sur ce thème qui me tient à coeur, tout du moins pour l'heure qui vient...

Tout d'abord qu'est-ce donc? Le social engineering, c'est du piratage informatique avec une pointe (euphémisme) de "social", c'est-à-dire une connotation humaine qui vise à mettre la victime en confiance pour l'amener à la faute.

Pour les connaisseurs, Kevin Mitnick fut un maître incontesté de cette pratique, à l'époque où elle n'était pas encore très répandue. Son histoire fut relatée dans un film, je crois, et dans un bouquin (the art of deception, de tête). Le monsieur a aujourd'hui réussi à se recycler en capitalisant sur ses succès passés... bref.

Les techniques utilisées sont infiniment variées. Exemples:
- par téléphone: "Oui bonjour. C'est le service informatique. Nous faisons des tests; pourriez-vous nous donner votre mot de passe?"
- par téléphone: "Bonjour, je vends des aspirateurs. Mais quel type d'antivirus utilisez-vous?"
- par mail: "Bonjour, je suis étudiant dans votre ancienne université. Pourriez-vous regarder mon CV en pièce jointe et cliquer OUI partout?"
- par mail: "Bonjour c'est votre banque. Nous faisons des tests de sécurité. Merci de rentrer votre PIN de carte bancaire ci-dessous."
- par mail: "Nous avons des billets de cinéma à vous offrir, de la part de votre société. Remplissez donc le formulaire en pièce-jointe."

Etc, etc, etc. Evidemment, plus le pirate mentionnera des repères connus de la victime, plus celle-ce sera mise en confiance et commettra la faute.

Rien de bien neuf jusque-là; cependant beaucoup ignorent l'efficacité de ces techniques. En considérant un minimum de critères tel que la taille de l'entreprise (plus c'est grand, moins les gens se connaissent) et la sensibilité des personnes en charge de l'informatique ("rien à foutre de ce mail..."), je pense que les 3/4 (si ce n'est la totalité) des sociétés peuvent être pénétrées par ce biais.

Et oui, fini le temps des systèmes complexes, des applications opaques et des réseaux-labyrinthes... Il est bien plus simple d'envoyer un économiseur d'écran moisi ou un CV vérolé. Gain de temps, gain d'argent, gain d'efficacité...

Quid de l'éthique? Ouais, ok, le pirate ne cherche pas à être éthique. Mais les professionnels de la sécurité, eux, devraient pourtant en garder un minimum. D'éthique. Tout le monde sait que le maillon faible reste et restera l'humain. De là à exploiter sa crédulité pour démontrer la viabilité d'un business-model, je trouve que c'est gonflé...

Tout comme l'on joue avec la crédulité d'un employé, la démonstration de l'efficacité du social engineering repose elle-aussi sur la méconnaissance de principes de base.

Cette tendance, d'ailleurs, est plus générale et concerne toutes les nouvelles technologies. A mon avis. Peu de personnes savent encore comment fonctionnent réellement les choses: plusieurs couches d'abstraction se sont surperposées entre elles et la réalité des choses. Et ces couches sont plus ou moins déformées, subjectives et orientées, afin de d'appuyer telle ou telle théorie voir même pour créer un besoin qui n'existait pas jusqu'alors. L'adjectif virtuel prend alors tout son sens.

En conclusion, 2 choses:
- l'histoire ne s'arrete surement pas là.
- le monde appartiendra à ceux qui voient à travers la matrice, c'est-à-dire à ceux qui savent encore comment elle marche...
Jeff - 13.09.2006 | 0 réactions | #link | rss
Récemment converti -pour de bon- aux torrents, mais utilisateur de longue date de la mule, j'ai galéré quelques temps avant de trouver chaussure à mon pied, c'est-à-dire le client qui m'offrait la simplicité et le contrôle auxquels j'étais habitué. Voici donc mes différentes tentatives, subjectives et incomplètes:

- BitTorrent est de loin le plus laid et le moins intuitif à mon goût, mais il reste le réflexe en matière de client torrent. J'avoue qu'il n'est pas resté longtemps chez moi, même s'il a fallu ruser pour le désinstaller (le programme de désinstallation se trouve dans le répertoire d'installation, il faut l'y chercher).

- TurboTorrent est un client dont le nom m'a tout de suite plu, forcément... Côté fonctionnalités, il est convenable et permet de maîtriser pas mal de paramètres. L'interface web est pourrie, mais j'ai décidé de m'en passer. Par contre, j'ai trouvé qu'il utilisait beaucoup de ressources et rendait mon PC un poil bruyant... genre tondeuse à gazon au milieu du salon...

- Azureus, la petite grenouille, semblait très prometteur mais s'est révélé le pire des 4. J'ai voulu le tester à force de voir d'autres clients de ce type se connecter au mien... par curiosité donc. L'interface change encore une fois des autres clients, il faut un certain temps pour s'y retrouver. Il permet de contrôler beaucoup de paramètres, mais là j'avoue que certains d'entre eux me sont restés obscurs; rien de plus lourd que de devoir tester plusieurs valeurs d'un paramètre pour pouvoir comprendre à quoi cela sert. J'en ai donc conclu que seuls les développeurs devaient vraiment savoir leur signification.
Là où les choses se sont gâtées, c'est quand mon PC s'est mis à planter régulièrement (un beau freeze, bien brutal, CPU à 100%, reset hard requis). J'ai testé différentes choses pour comprendre d'où cela provenait. La première raison que j'ai identifiée concerne l'espace disque disponible; en effet, ce petit malin s'amusait à allouer l'intégralité des téléchargements même si ceux-ci n'avaient pas encore démarré ou étaient totalement arrêtés. Et avec ma fâcheuse habitude d'avoir des listes d'attente de 10 pages... plusieurs centaines de Go étaient donc requis. Bien entendu, aucun message d'avertissement n'est affiché, même les logs restent obscurs.
J'ai donc activé l'option d'allocation incrémentale, qui a résolu le problème. Mais pas les plantages. J'ai donc jeté l'éponge.

- MicroTorrent était mon joker, le remplaçant d'Azureus, ce dernier commençant à me taper sur le système. Et là, j'avoue que pour l'instant je n'ai pas été déçu: pas d'installation requise, faible consommation de ressources (13 Mo en mémoire pour 15 torrents en téléchargement, à env. 350-400Ko/s), paramètres compréhensibles et efficaces jusqu'au clic sur l'icone. Il ne fait pas la cuisine, ni le ménage, juste ce qu'on lui demande. Exactement ce que je cherchais.


Pour la suite, encore quelques trucs à chercher, raffiner, etc... Au programme, utilisation conjointe avec la mule (cela tournait bien avec TurboTorrent), interface en ligne de commande (si cela existe), planification de la bande-passante réservée en fonction de l'heure et du jour...
Jeff - 25.08.2006 | 0 réactions | #link | rss

Il existe de multiples outils et moyens de préserver son anonymat sur le net, avec plus ou moins de succès cependant. Ce post a pour but d'en recenser un certain nombre, tous gratuits bien évidemment. Pour commencer, voici les traces que vous laissez sur Internet lorsque vous surfez:

DNSStuff
CNIL



Systèmes

Anonym.OS est un Live CD (comprenez un CDRom contenant l'intégralité du système d'exploitation et n'utilisant -de base- que la mémoire vive de l'ordinateur, ce qui évite de laisser des traces) téléchargeable gratuitement sur sourceforge à l'adresse suivante:
Projet Anonym.OS, supporté par l'équipe Kaos Theory.
Il est basé sur une distribution OpenBSD configurée avec les paramètres-qui-vont-bien pour filtrer / chiffrer / anonymiser les données entrantes et sortantes de l'utilisateur.



Réseaux

Tor est une référence <marseillais> planétaire </marseillais> dans le domaine de l'anonymat; soutenu par l'Electronic Frontier Foundation, il est composé d'une multitude de serveurs dispersés sur le net, interconnectés entre eux de manière à router les communications des utilisateurs selon différents chemins. L'adresse IP finale change régulièrement afin de ne pas permettre de corrélation entre les données échangées et l'adresse assignée par Tor.
Notez qu'en théorie cette méthode atteint une efficacité maximale lorsque le nombre d'utilisateurs est suffisamment important.
En pratique, Tor s'interface simplement en tant que proxy local sur les communications; il est téléchargeable à l'adresse:
tor.eff.org

Les proxies anonymes et libres sont également de bons moyens pour surfer tranquille (à éviter cependant pour des utilisations plus délicates). Un proxy est un serveur utilisé en relais des requêtes de votre client, principalement pour le web. Les requêtes ainsi modifiées sont alors attribuées au serveur proxy et non plus à votre client, d'où un certain degré d'anonymat.
C'est un système habituellement utilisé en entreprise, afin d'éviter que les postes des utilisateurs ne soient directement connectés à Internet (additionnellement, les proxies peuvent alors servir de pare-feu, de NAT, d'anti-virus, etc -que les puristes me foutent la paix!- ).
Il arrive que certains proxies soient accessibles depuis l'extérieur par des internautes quelconques (volontairement ou par inadvertance). Et donc utilisables par tout-à-chacun (après configuration de votre navigateur); le probème étant de trouver une liste à jour. Le meilleur moyen est de faire une recherche Google au moment voulu (et d'utiliser la cache de Google si besoin):
Google search : Free + Proxy + inurl:".ru"
Ou d'essayer les sites suivants:
FreeProxy.ru
ProxZ
Proxy-list
FreeProxyLists
FreshProxy
etc,etc,etc...


Que ce soit avec Tor ou un proxy anonyme sur Internet, il devient vite fastidieux de changer et reconfigurer sont navigateur sans arrêt selon où l'on surfe. C'est pourquoi il existe un plugin pour Firefox appelé SwitchProxy qui permet de gérer tout cela en un clic...



Email

Le mail est également une donnée révélatrice de l'identité d'une personne. Il est donc très souvent utile de créer une adresse bidon sur un site gratuit (Yahoo!Mail, Gmail, Hotmail, Mail, etc...) avec une fausse identité et de ne l'utiliser que pour certaines démarches. Il ne faut pas que cette adresse email puisse être corrélée avec un nom, une IP, une adresse postale ou un comportement sous peine de perdre les bénéfices de l'anonymat.
Il existe des services anonymes dédiés pour une telle utilisation:
Le site DodgeIt ne demande aucune identification ni gestion de compte. Il suffit de choisir une adresse au hasard sur le domaine et les mails qui arrivent seront conservés une semaine.


Navigateurs

Vaste sujet! Le nombre de technologies et applications utilisées par un simple navigateur fait qu'il devient très difficile de savoir où se trouvent vos informations et qui peut y accéder...
Saviez-vous que Flash permet l'utilisation de cookies (jusqu'à 100Ko par site web) qui ne sont pas stockés à l'emplacement habituel et ne sont jamais effacés (même en purgeant la cache)? Que ces cookies peuvent être lus par d'autres sites, s'ils sont "bien" configurés? Que la configuration de ce comportement n'est modifiable que via le site d'Adobe?
Oui mais on vous dit ici que le respect de la vie privée est une priorité et qu'il est garanti par une foultitude de mécanismes (tous avec des clauses particulières cependant). Et oui, on vous donne un marteau, mais c'est à vous de ne pas vous taper sur les mains ou de vous protéger avec des gants.

Quid de la cache des navigateurs alors? Formidable tout ce que l'on peut y (re)trouver... Le mécanisme d'AutoComplete (remplissage automatique sur la base de ce que vous avez déjà renseigné par le passé) est une source intarissable d'informations. Utilisateurs de Firefox, faites le test vous-mêmes... Je viens moi-même d'y retrouver tous mes numéros de carte bleue, toutes mes adresses email, toutes mes adresses postales, etc, etc. Un excellent papier à ce sujet est disponible sur le site de la Black Hat.




Ressources diverses

Il est également possible de se créer une adresse postale totalement bidon mais syntaxiquement correcte (code postal valide, nom valide, téléphone valide, etc...) c'est-à-dire que chaque élément existe mais que l'ensemble ne correspond à personne. Utile pour déjouer les systèmes vérifiant la localisation géographique d'un individu par exemple.
Fake Name Generator
Acheter en se protégeant? Se sont les cartes virtuelles, prépayées et prévues pour les achats en ligne, ou les numeros de carte virtuels, etc.
ePassporte Visa
Citibank numéros virtuels

Et pour aller plus loin, un article récent chez Darknet: Chaining socks.
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch