Cours de sécurité informatique - Premier niveau 1

7/11/2019 Cours de scurit informatique - Premier niveau 1

1/42

U n e p u b l i c a t i o n D e H a c k a d o l O r S c h o o lUne publication The Hackademy School 2001-2002-2003 DMP


2/42

B i e n v e n u e d a s c e p r e m i e r v o l e t d e s c o r sp a r c o r r e s p o n d a n c e d e 1 1 I e H a c k a d e m y S c h o o l. . . . _ _ _ _ - _ _ _ , I N O D S Y E T D O I E R O N S : I ] Introduction aux reseaux TCP/IP S'informer sur un systeme cible Evaluation des caracteristiques d'un systeme Les differents types d'attaques P ro te ge z votre systeme La recherche de donnees sur Internet Espionnage de systemes informatiques.. Cryptographie et encodage Steganographie Initiation a la base de registre Windows11 Qu'est-ce que Ie cracking? Les scripts hostiles Anonymat

Page 5Page 16Page 21Page 30Page 31Page 33Page 34Page 46Page 50Page 53Page 56Page 72Page 78

2 Une publication The Hackademy School 2001-2002-2003 DMP


3/42

L E S C O U R S M R C O R R S P _ D A N B I : T H E R A C H A D E M Y S C H O O LIMPORTANT:Ce polycopie de COUTS de The Hackademy School a pour objectif unique de contribuer it une meilleure com-prehension des risques de securite lies a l'usage de l'outil informatique, et par 1 3 . de pennettre de s'en pro-teger plus efficacement. IIsera utile aux administrateurs systeme et reseau, aux developpeurs, et plus gene-ralement a toute personne utilisant Internet chez elle ou au travail. Si vous etes soucieux de comprendrecomment un pirate pourrait tenter de vous attaquer afin d'etre it meme de dejouer ses tentatives, ce coursest fait pour vous. Cependant, aucune garantie n'est donnee que ce contenu va vous permettre de vous pro-teger efficacement au de maniere "ultime", car ce n'est pas le cas et ~a ne le sera jamais. De plus, le conte-nu de ce cours de niveau "debutant" est loin de couvrir le sujet de maniere exhaustive: nous vous detaillonsdes methodes d'attaque courantes, et nous vous foumissons des pistes pour vous en proteger. Nous vousdonnons le s bases necessaires, it VOllS d' approfondir le s points qui VOllS concement directement, soit gracea The Hackademy School, soit en faisant des recherches sur Internet.Ce cours peut presenter des erreurs au omissions susceptibles de vous porter predudice. The Hackademy etDMP ne sauraient etre tenus pour responsables des dommag es e ve ntu e ls causes par une application desmethodes presentees ic i sur un systeme. Merci de nou s p r even ir si vous constatez de telles erreurs.nest formellement interdit par la loi d'appliquer les techniques d'attaque presentees dans ce COUfS sur unsysteme que vous ne possedez pas. Vans pouvez cependant les a p pli qu er s ur vos systemes informatiques ades fins de tests de vulnerabilite, en gardant a l'esprit que cela presente toujours des risques que vous assu-merez seul.

Loi N 88-19 du 5 Janvier 1988 relative it la fraude informatique. Extraits donnes pour illustra-tion.Acces ou maintien frauduleux dans un systeme informatique :2 mois a 1 an de prison,2000 a 50 000 francs d'amende,Acces ou maintien frauduleux dans un systeme informatique avec dommages involontaires : modi-fication au suppression de donnees, alteration du fonctionnement du systeme2 mois a 2 ans de prison,10 000 a 100 000 francs d' amende.Entrave volontaire au fonctionnement d'un systeme informatique :3 mois a 3 ans de prison,10 000 a 100 000 francs d'amende.Introduction, suppression, modification intentionnelles de donnees:3 mois a 3 ans de prison,2 000 it 500 000 francs d' amende.Suppression, modification intentionnelles du mode de traitement, des transmissions de donnees:3 mois a 3 ans de prison,2 000 it 500 000 francs d'amende.Falsification de document informatique, usage de document falsifie :1 an a 5 ans de prison,20 000 a 2 000 000 francs d' amende.

3 Une publ ication The Hackademy School 2001-2002-2003 DMP


4/42

L E I C O U R S P A R C O R R E S P O N D A C C E I E lH E I A C K A D E M Y S C H O O L

AvertissementCertaines techniques presentees dans ce cours sont usuellement utilisees par un pirate qui chercheraita s'introduire dans un reseau sur lequel it ne possede pas d'acces. II est bien sur interdit de mettre enapplication ces techniques sur un reseau que vous ne possedez pas, ou sans l'accord ecrit et certifie deson proprietaire.Il est essentiel de comprendre que si ces methodes sont ici presentees, c'est avant tout dans une optiquede comprehension generale de la securite et des moyens mis en ceuvre par les pirates, et ce dans le seulet unique but, de pouvoir Lutter centre ce danger.De plus, ces methodes de protection s'appliquent autant aux entreprises qu'aux particuliers. En effet, endehors du nombre de documents prives que vous possedez sur votre ordinateur et que vous ne voudrie:probablement pas voir etre voles, un everuuel pirate pourrait vouloir se servir de votre systems commed'une passerelle dans le but de ne pas etre retrouve. Dans ce cas, ce serait a vous, en tant que personnephysique au morale (c'est-a-dire vous ou votre entreprise) de prouver votre innocence. De plus, unepolitique convenable de securite est de reins taller eniierement votre systeme en cas de piratage, avec laperte et de temps et de finances que cela implique. Vous sere: done sans doute d'accord pour dire qu'ilest essentiel d'assurer une securite optimale de votre systeme des sa mise en place.La structure generale de ce document se presentera sous fa forme :- description de l'attaque.- moyens a mettre en ceuvre pour eviter d'en erre victime.De plus, dans le cas malheureux ou vous seriez victime d'un piratage, il est primordial de le detecter; ettout aussi important de localiser son origine, d'etablir Laliste des actions qui ant e r e executees sur votrereseau, estimer les dommages causes ... Ces methodologies seront egalement etudiees plus tard dans cecours.

4 Une pub li ca ti on The Hac ka demy Schoo l 2001-2002-2003 DMP


5/42

Introduction aux Reseaux TCPIIP

L E S C O U R S P I I C I I R R E S A i N D J I I G E O f 1 1 1 H A C K A D E M Y S C H O O LIn troduction aux Reseaux TCPIIPUn peu d'histoireLorsque les systemes multi-utilisateurs ont connu une stabilite satisfai sante, les recherches se sont orientees versLI D protocole de communication de ces systemes, entrainant diverses experimentations dans Ie monde. C'est I'ar-rnee americaine qui accelerera ce processus, avee Je financement de programmes de recherches universitaires pourIe developpement de voies de telecommunications redondantes (ARPANet). En cas de conflit militaire, la bonnecirculation de l'information et sa confidentialite sont majeures, et les liaisons de communication etaient les pre-mieres cibles militaires.Notions reseauxLe materielToute communication demande un support. L'infonnatique n'echappe pas a cette regie, et it a done e t e necessai-re de mettre au point des interlaces capabJes de traduire le langage binaire d'un systerne digital en signal adaptea un support (paire de cuivre, cable coaxial, fibre optique, etc.). Ces interlaces comportent des circuits electro-niques permettant d'ecouter ou d'emettre sur un support. Chaque adaptateur dispose d'une petite quantite dememoire, qui peut etre accedee par le systeme bOte (pC, etc.),Une premiere phase de developpement a done consiste a mettre au point ces adaptateurs, ainsi que de fournir envue de developpements IIvenir une documentation precise sur les registres et adresses IIutiliser pour exploiter lesfonctions de communication.

Ces operations forment la premiere couche du modele de reference OS!. C' est la couche physique. Eile permetune communication entre un systerne (digital) et un support (analogique) de transmission (ondes, laser, cuivre,fibre optique, etc.).Les cartes les plus repandues sont des cartes Ethernet 802.3 (RJ45, BNC, AU!) et peuvent supporter des debits de10Mb/s ou 100Mb/s. El1es permettent de transcrire une donnee digitale (ex. 0011 0100) en une tension adaptee ausupport (amplitude, codage, etc.),Mais les adaptateurs reseaux gerent egalement les etats du support, et savent detecter un certain nombre d'erreurssur ce support. Cette partie est transparente aux developpeurs, mais elle est toutefois assuree par chaque NlC(Network Interface Card).Toutes les cartes Ethernet disposent d'une adresse physique unique. Cette adresse, egalernent appelee adresseMAC (Media Access Control), est utilisee pour les dialogues entre deux cartes. Elle est codee sur 6 octets, dontles 3 premiers decrivent Ie constructeur (ex. OO:Oa:24designe le constructeur 3COM). Les adresses MAC (formatdes adresses MAC) sont generalement representees sous forme hexadecimale, chaque octet etant separe par Iesymbole ':' (ex. 00:40:05:61:71 :EC).

24 12 Figure 1Securite des transmissions (fiabilite)La couche reseau permet done de joindre un destinataire relie au reseau (directement ou indirectement, d'ou lesfonctions de routage), mais prend en charge egalement des operations de bases sur la gestion du service. Des trameslCMP peuvent etre echangees entre les routeurs ou les stations pour signaliser un evenement sur Ie reseau (perte de

5 Une publ ication The Hackademy School' 2001-2002-2003 OMP


6/42

Introduction aux Reseau TCPflP

L E S C O U R S P A R C O R R E S P O N _ _ If I R E H A C K A D E M Y S C H O O L

paquets, filtrage, taille de trame trop grande et fragmentation lP necessaire, etc.).Mais il est necessaire de disposer d'une partie logicielle capable d'assurer la bonne emission/reception des don-nees. Lorsqu'un paquet (ou datagramme) ne parvient pas au destinataire, sans intervention logicielle, le paquetn'est pas arrive, mais n'estjamais re-emis automatiquement.Deux protocoles viennent combler ce manque: UDP (User Datagramme Protocol) et TCP (Transmission ControlProtocol).L'UDP ne controle pas la perte des paquets, chaque paquet est emis sans numerotation vers le destinataire, et sansacquiescement. Le protocole TCP, quant a lui, assure un transfert plus fiable des donnees, en ouvrant une sessionde communication avant tout dialogue, puis en nurnerotant les paquets pour la reconstruction, en re-emettant lespaquets perdus ou errones ...Les protocoles TCP et UDP se placent done eomme couche de transport dans la pile IP, car ce sont eux qui assu-rent la transmission des donnees d'un point a l'autre d'un reseau, en gerant les necessaires re-emissions (ou non)des paquets perdus ou alteres, etc.Communications reseaux: les modeles OSI et TCP/IPLes communications entre systemes ne sont possibles que si cbaque systerne comprend son destinataire (un fran-9ais ne parle pas espagnol, et vice-versa). ITa done e t e necessaire de definir une norme pour permettre a chacunde communiquer avec un reseau existant.C'est en cela que TCPIIP est appele reseau ouvert. Les protocoles utilises sont normalises et disponibles pour Iemonde entier. Chacun peut done adapter son systeme proprietaire pour communiquer en TCPIIP, en ecrivant lesdifferents composants logiciels repondant aux normalisations TCP/IP (la majorite des OS disposent aujourd'huid'une implementation TCP/IP).L'Open Systems Interconnection Reference Model a done normalise un modele de reference OSI-RM, utilisant 7couches distinctes, TCPfIP sinscrit dans ce modele, mais n'utilise pas systematiquement l'ensemble des 7couches.

ApplicationPresentat ionSessionTransportReseauLiaison de donneesPhys ique

7654321

App lic atio n (FT P~ HTTP, D ~~SMTP, etc.)Transport (TCP)

Internet OP)! I i . . .:LIO LlCouche physiqueModele TCP/JP

Le role de chaque couche est de permettre ala couche superieure de lui passer des donnees qui seront emises, ainsique de transmettre les donnees de la couche inferieure a la couche superieure (donnees recues),On voit done que pour une seule communication entre deux systemes, il est necessaire d'utiliser plusieurs protocoles.

B U na pu blication T he H acka de my S choo l 2001-2002-2003 DMP


7/42


L E I C O U R S P A R C D R R E S P O N D A N C E l i t T IE H A C K A D E M Y S C H O O LEncapsulationSeule Ia couche superieure (Application) contient les donnees et uniquement les donnees a emettre au recues,Chaque couche ajoute ses propres entetes, encapsulant les paquets de donnees dans de plus grands paquets, ouenlevant les entetes dans le cas d'une reception.Lorsqu'un paquet de donnees dernande a etre emis par une application, ces donnees vont done recevoir plusieursentetes fonction des protocoles utilises.

datasEncapsulation rep ou UDP (ex. Tep)

I CP I datasEncapsulabon IP

I I p I I C P I datasEncapsulation support physique (ex. Ethernet)IE th ern et! IP Ir e p I datas

Paquet em is s ur te medium

Dans le cas d'une reception, chaque couche prendra Ies informations necessaires et retirera ensuite ses entetespour donner le bloc de donnees restant a la couche de niveau immediatement superieur.Liaisonsn existe certains cas d'utilisation qui demandent une couche supplementaire. Dans Ie cas d'un acces par modem(done par liaison serie). nn'y a pas d'adresse materielle (adresse MAC) sur le modem. Cette adresse etant utili-see par les couches physiques et de reseau, ilne peut en theorie y avoir de communication. Le modem n'etant pasune interface reseau mais serie (la communication se fait par un port COM), elle ne dispose pas en standardd'adresse materielle, ni de ROM fournissant une interface de communication IP.n faut done une couche Iogieielle supplementaire, afin de simuler et foumir une alternative a l'utilisation desadresses MAC. Dans le cas d'une liaison TCPfIP avec un modem, on utili sera generalernent le protocole PPP(point to Point Protocol), qui se placera entre la couche reseau et la couche physique. Ce protocole fournira unesolution Iogicielle aux communications IP necessitant une adresse MAC.Couches et protoco1es utilisesCbaque couche de Lapile IP fait appeJ a un ou plusieurs protocoles pour remplir certaines fonctions (la couchetransport utilise TCP ou UDP). Par cette methode, Jes couches permettent de normaliser les flux de donneesentrants et sortants. Chaque couche (et done chaque implementation) est done independante des couches supe-rieures etlou inferieures,

On appelle protocoLe un dialogue connu par les deux parties, entre deux couches de meme niveau. Unecouche de niveau (n) ne sera capable de dialoguer qu'avec une autre couche de merne niveau qu'elle. On appelle service l'ensemble des fonetions que doit absolument remplir une couche, fournissant l'inter-face pour transmettre des donnees de la couche (n) a la couche (n+]) ou (n-l)

Address Resolution Protocol ou ARPLors de dialogue entre deux stations, ilest necessaire que les adaptateurs reseaux soient en mesure de prendre les

7 Une publ ication The Hackademy School 2001-2002-2003 DMP


8/42

Introduction aux Reseaux TCPIIP."L E S C O U IS P A R C O R R E S P O N D A N C f D E T H E IACDD~Y B C H O O L

donnees qui leur sont adressees, sans traiter celles qui ne les concernent pas (d'ou un gain de temps CPU etreseau). Certains reseaux fonctionnant SOllS forme de bus (Ethernet non switche, raccordement coaxiaux, etc.),to ute s le s donnees transi tent sur le support, et done tous les a d ap ta te u rs r es ea u x doivent analyser les trames pourne prendre en compte que celles qui leurs sont destinees.Les seules adresses disponibles et utilisables au niveau de l'interface physique (Couche 1 du modele TCPJIP) sontles adresses MAC. Sans ces adresses, chaque adaptateur devrait decoder chaque trame jusqu' au niveau 3 (IP) poursavoir si cette donnee lui est adressee ou non,Dans Ie cas d'un dialogue entre deux stations 10.23.23.2 et 10.23.23.254, la premiere etape consiste done it trou-ver I'adresse materielle de 13 station destinatrice, de rnaniere a envoyer les donnees it cette station (en precisantson adresse materielle plutot qu'IP). C'est la qu'intervient le protocole ARP (niveau 3, couche reseau). Ce proto-cole va pennettre it nne station de decouvrir l'adresse materielle d'une autre station.

Pour cela, si 10 .23 .23 .2 che rche a contacter 10.23.23.254, 1astation va , avant tout dialogue, diffuser (broadcaster)a l' ensemble des stations du reseau une requete ARP. Chaque station va alors recevoir cette requete ARP, com-posee du message suivant :Station 1 0.2 3.2 3. 2 d 'a dre ss e m a te rie lle x x. xx .x x.x x.x x.x x c he rc he l'adresse materielle de la station 10.23.23.254.Toutes les stations reliees a ce segment analysent alors cette demande, mais seule la station 10.23.23.254 varepondrea cette demande, en renvoyant le message suivant :Station 10.21.23.254 a pour ad re s se ma te ri el le yy:yy:yy:yy:yy:yy.Les deux stations 10 .2 3 .2 3 .2 e t 10 .2 3 .2 3 .2 54 stockeront a lo rs le couple ( ad re ss e IP , adresse MAC) obtenu dans uncache (dit cache ARP, cf. Figure - exemple de table ARP) pour ne plus reposer cette question dans Ie cas d'unenouvelle communication dans un f aib le d ela i (quelques minutes avant que Ie cache ARP n'efface ce couple siln' est plus utilise).

:\~>JINDOW'S\But'eau>arp -aInterface : - l 1 l i . _ ' " on Interface Ox2Adresse Internet' Adresse physi qUE!129.33.182.200 20-53-52-43-00-0012.9.33.183.72 20-53 - 52-4 3-00-00206.108.111.106 20-53-52-43-00-00213.36.80.1 20-53-52-43-00-00213.36.82.165 20-53-52-43-00-00216.40.32.30 20-53-52-43-00-00

Typedynamiquedynamiqued y n a m i q u edynamiquedynamiqued y n a m i q u e

On voit dans cette capture (emission et reponse d'une requete ARP sur un segment local) que la station 10.23.23.2a demand l'adresse materielle associee a I'adresse IP 10.23.23.254. L'adresse MAC de destination est une adres-se de broadcast (routes les stations du resean) : taus les bits de l'adresse MAC sont a 1, a savoir OxFFFFFFFFFFFF.L'ensemble des stations connectees au reseau devront done traiter cette trame. La trame suivante montre la repon-se de la station 10.23.23.254 a cette demande. Cette fois, la reponse n'est envoyee qu'a la station emettrice (ce quiest indique comme adresse materielle de reponse),

. 8 Une publication The Hackademy School 2001-2002-2003 DMP


9/42

Introduction aux Reseaux TCPI/P. .L E I C O U R & P j lR I O H I l f S P I N _ C E B E T H E H A C K A D E M Y ' S C H O O LInternet Protocol (IP)Sur un segment Ethernet, iln'est pas necessaire d'utiliser une couche materielle ou logicielle pour remplir lesfonctions de liaison. Les protocoles de niveau 2 sont utilises uniquement sur des liens series au paralleles, au toutautre interface ou equipement ne disposant pas d'adresse MAC (ex. le PPP ou SLIP pour les acces IF via modem).Chaque trame circulant sur le reseau possede, par Ie jeu des encapsulations successives, plusieurs entetes, Unet r ame de donnees a donc au min imum une en tete liee au media utilise (generalement Ethernet). C'est Ie cas del' ARP. Les trames utilisant les adresses IP auront en plus des informations d'entete IP.Les informations contenues dans cette entete fixe de 20 octets (au minimum, voire plus si des options J iP sont uti-lisees) renseignent sur la station emettrice (adresse IP), l'adresse du destinataire, le checksum (somme de centro-le), Ie protocole , la version, etc.Il existe 3 sortes d'adresses IP :

Unicast qui Des'adressent qu'a une station particuliere, Broadcast qui s'adressent it toutes Ies stations, Multicast qui s'adressent a un groupe Multicast (predefini).

Entete IPVerslon J l.ongueur [Typo d. """"" '" Tai1 le tota leIdentification [ RailS I O i f s C t pour donmieslime To Live [ Protocol [ es c d'entte

A c t r e s s e IP s o u r c eAd resse IP des tinat ionOptions IF ' , B o ur ra oe ( oa dd ln q) I

Version : 4 bits Le champ Version renseigne sur le format de l'entete Internet. Ce document deceit Ie format de laversion 4 du protocole.Longueur d'En-Tete : 4 bits Le champ Longueur d'En-Tete (LET) code la longueur de l'en-tete Internet, l'uni-te etant Ie mot de 32 bits, et, de ce fait, marque le debut des donnees. Notez que ce champ ne peut prendre unevaleur en dessous de 5 pour etre valide.Type de Service : 8 bits Le Type de Service donne une indication sur la qualite de service souhaitee, qui restecependant un parametre "abstrait", Ce parametre est utilise pour "guider" le choix des parametres des servicesactuels lorsqu'un datagramme transite dans un reseau particulier. Certains reseaux offrent un mecanisme de prio-rite, traitant preferentiellement un tel trafic par rapport a un trafic moins prioritaire (en general en acceptant seu-lement de vehiculer des paquets d'un niveau de priorite au dessus d'un certain seuillors d'une surcharge momen-tanee), Principalement, Ie choix offert est une negociation entre les trois contraintes suivantes : faible retard, faibletaux d'erreur, et haut debit.Longueur Totale : 16 bits Le champ "Longueur Totale" est la longueur du datagramme entier, y compris en-teteet donnees, mesuree en octets. Ce champ ne permet de coder qu'une longueur de datagramme d'au plus 65,535octets. Une telle longueur rendrait de toute facon les datagrammes impossiblesa gerer pour la plus grande partiedes reseaux, Les h6tes devront au moins pouvoir accepter des datagrammes d'une longueur jusqu'a 576 octets(qu'il s'agisse d'un datagramme unique au d'un fragment). 11est de meme recomrnand que des hotes ne deci-dent d'envoyer des datagrammes de plus de 576 octets que dans la mesure a u ils sont surs que la destination estcapable de lesaccepter.Identification: 16 bits. Une valeur d'identification assignee par I'emetteur pour identifier les fragments d'unmeme datagramme.flags: 3 bits Divers commutateurs decontr6le. Bit 0 : reserve, doit etre laissc a zero Bit 1: (AF) 0 =Fragmentation possible, 1 = = Non fractionnable. Bit 2: (DF) 0 = = Dermer fragment, 1 = = Fragment intermediaire.

Une publication The Hackademy School 20 .0 .1-20 .0 .2 -20 .0 .3 DMP


10/42

Introduction aux Reseaux TCPIlP

L E I C O U R S P A R C O R R U P O N D A N C f D E lH I I lA lH lA D I M Y S C H O O L

Fragment Offset: 13 bits Ce champ indique Ie decalage du premier octet du fragment par rapport au datagram-me complet. Cette position relative est mesuree en blocs de 8 octets (64 bits). Le decalage du premier fragmentvaut z e r o .Duree de vie : 8 bits Ce champ permet de limiter le temps pendant lequel un datagramme reste dans lereseau, Si ce champ prend la valeur zero, le datagramme doit etre detruit, Ce champ est modifie pendant letraitement de l'entete Internet. Chaque module Internet (routeur) doit retirer au mains une unite de temps ace champ lOISdu passage du paquet, meme si Ie traitement complet du datagramme par le module est effec-tue en moins d'une seconde, De ce fait, cette duree de vie doit etre interpretee comrne la limite absoluemaximale de temps pendant lequel un datagramme peut exister. Ce mecanisme est motive par la necessitede detruire Ies datagrammes qui n'ont pu etre achemines correctement sur le reseau,Protocole : 8 bits Ce champ indique quel protocole de niveau superieur est utilise dans la section donnees du data-gramme Internet. Les differentes valeurs admises pour divers protocoles sont listee dans la RFC "AssignedNumbers" [rfc1060J.Checksum d'entete ; 16 bits Un Checksum calcule sur I'entete uniquement. Comme certains champs de l'entetesont modifies (ex. duree de vie) pendant leur transit a travers le reseau, ce Checksum doit etre recalcule et verifieen chaque point du reseau au l' entete est reinterpretee.Adresse source: 32 bits L'adresse Internet de la source.Adresse destination : 32 bits L'adresse Internet du destinataire,Transmision Control Protocol : TCPLa couche de transport (couche 004 dans la pile IP) assure le bon transfert des donnees. C'est cette couehe qui,par exemple, va nurneroter les trames TCP avant de Ies emettre sur le reseau, pour que Ie destinataire puissereconstruire I'ensemble des donnees dans Ie bon ordre (ce n'est pas Ie cas d'UDP). Deux protocoles sont cou-ramment utilises dans un environnement TCPIIP. TCPet UDP.TCP assure la numerotation des paquets, et le destinataire acquiesce chaque paquet. n est done necessaire pourIes deux parties d'etablir une negociation du dialogue. C'est pour cela qu'une communication TCP debute tou-jours par une synchronisation des deux protagonistes. L'emetteur demande au recepteur sice demier est pret arecevoir les donnees, ce dernier acquiesce done la demande, que valide I'emetteur, Les transferts de donnees peu-

vent alors commencer. L'etablissement d'uneconnection TCP se fait sur un "Three WayHandshake Connection".o A : e ! k - c n :elM:t~mil'E;t;t')l;taOleell,~s~mj!et1l S i t . f iNj ll tJ lJ~~e{';rtetf.rar.

1 ~l!i 'Vl>'.JJI~ l l l ' o I 2 ' C W i:1 b '2 ' !' !! !I IM 1 l iI " '~= at:1l ;ttJ( :~1l ~ it:tt0 ' 1 t J < l

crn~t\tts[l)Mrls~t~.

OlilJirt

: - : 3 ' - ---lent letK!i1.'t ~6.1N(;{. ICnl:llll11!l:a:ool.t G il &U: i lCL . r 1e'.i'll{Jl!\lill't.SeNer

~-_ ' _1 0 Une publication The Hackademy School 2001-2002-2003 DMP


11/42


L E S C O O R S P A R C O R IB R lIN D A N C E IIH E H A C K A D E M Y S C H O O L

Emet t e t J rEn'A' li (! ' SYI' tsequence !SQ~:100

AC K : 1 1 ; 1 1 , commurl lcat ion&tabUc

Prenons par exemple one machine A et une machine B. La machine A est cliente, la machine Best serveur.

1 . A --- SYN ---> B ; La machine cliente envoie un paquet TCP au serveur avec Ie flag SYN active, ce quiveut dire: "puis-je etablir une connection? (SYN)".2. A B ; La machine cliente repond par un paquet TCP avec le flag ACK active, ce qui veutdire "Qui, tu peux etablir la connection (ACK)".

Si une machine refuse une connection, elle va repondre par un RST au SYN envoye par Ie client.

Entite TCP_.-- - Po rt s ou rc e I Port destinationN urn ero d e s eq ue nc e T CPNUl' l l ro d'acoutescernent

offset I rhrve I ~ I ~ I ~ n ' I FenetreIN IiS omm e d e c on tr O l.e f lo in te u r d ' u rg e nc eOptions Bourrage

Donnees TepPort source : 16 bits Le numero de port de la source.Port Destinataire : 16 bits Le numero de port du destinataire.Numero de sequence: 32 bits Le nurnero du premier octet de donnees par rapport au debut de la transmission(sanf si SYN est marque), Si SYN est marque, le numero de sequence est Ie numero de sequence initial (ISN) etle premier octet a pour numero ISN+ 1.Accuse de reception : 32 bits Si ACK est marque, ce champ contient Ie numero de sequence du prochain octetque le recepteur s'attend a recevoir. Une fois 1aconnexion etablie, ce champ est toujours renseigne,Data Offset: 4 bits La taille de l'entete TCP eo nombre de mots de 32 bits. II indique H i ou commencent les don-nees. L'entete TCP, dans tous les cas, possede une taille correspondant a un nombre entier de mots de 32 bits.Reserve: 6 bits Reserves pour usage futuroDoivent necessairement etre a o .Bits de controle : 6 bits (de gauche a droite): URG: Pointeur de donnees urgentes significatif ACK: Accuse dereception significatif PSH: Fonction Push RST: Reinitialisation de la connexion SYN : Synchronisation des nume-ros de sequence FIN: Fin de transmission

1 1 Une pub li ca t ion The Hackademy School 2001-2002-2003 DMP


12/42


Fenetre : 16 bits Le nombre d'octets a partir de la position marquee dans I'accuse de reception que le recepteurest capable de reoevoir.

Checksum: 16 bits LeChecksum est constitue en calculant le complement a 1 sur 16 bits de la somme des com,plements a 1 des octets de l'entete et des donnees prises deux par deux (mots de 16 bits). Si le message entiercontient un nombre impair d'octets, un 0 est ajoute a la fill du message pour terminer le calcul du Checksum. Cetoctet supplernentaire n'est pas transmis, Lors du calcul du Checksum, les positions des bits attribues a celui-cisont marques a o . Le Checksum couvre de plus une pseudo entete de 96 bits prefixee a I'entete TCP. Cette pseu-do entete comporte les adresses Internet source et destinataires, Ie type de protocoIe et la longueur du messageTCP . C e ci protege TCP c en tr e le s e rr eu rs de routage. Cette information sera vehiculee par JP, et est donnee commeargument par l'interface TCPlReseau lars des appels d'IP par TCP.Pointeur de donnees urgentes : 16 bits Communique la position d'une donnee urgente en donnant son decalagepar rapport au numero de sequence. Le pointeur doh pointer sur I'octet suivant la donnee urgente. Ce champ n'estinterprete que Iorsque URG est marque.Options; variable L es c ham ps d'option peuvent o cc up er u n espace de taille variable a la fi n de l'e nte te TC P. T Isformeront toujours un multiple de 8 bits, Toutes les options sont prises en compte par Ie Checksum. Un parametred'option commence toujours sur un nouvel octet. nest defin i deux formats types pour les options; Cas 1: Optionmono-octet. Cas 2: Octet de type d'option, octet de longueur d'option, octets de valeurs d'option, La longueurd' option prend en compte I'octet de type, l'octet de longueur lui -meme et tous l.es octets de valeur et est exprirneeen octets. Notez que la liste d'option peut etre plus courte que ce que l'offset de donnees pourrait Ie faire suppo-ser. Un octet de remplissage (padding) devra etre, dans ce cas, rajoute apres Ie code de fin d'options, Ce octet estnecessairement a O . TCP doit implementer toutes les options. Actuellement, les options definies sont (type indi-que en octal) :Donnee d'option : Taille maximale de segment: 16 bits Si cette option est presente, elIe communique a l'emet-leur la taille maximale des segments qu'il pourra envoyer. Ce champ doitetre envoye dans la requete de connexioninitiale (avec SYN marque). Si cette option est absente, le segment pourra etre pris de n'importe quelletaille.Bourrage (padding) : variable Les octets de bourrage terminent reo-tete TCP: de sorte que Ie nombre d'octetsde celle-ci soit toujours multiple de 4 (32 bits) de sorte que l'offset de donnees marque dans fen-tete correspon-de bien au debut des donnees appl icatives.User Datagramme Protocol: UDPUDP est plus tolerant, plus rapide, mais egalement moins fiable dans sa technique de transmission. Les donneessontemises sans aucune assurance que I'emetteur puisse les recevoir. Chaque paquet est emis sur le reseau (sansnumerotation), au maximum de la vitesse possible (fonction de 1a station et de l'etat du media). Si des paquetssont perdus, i1n'est pas possible pour l'cmetteur de le detecter (ill pour Ie destinataire), de meme que les donneespeuvent parvenu au destinataire dans un desordre complet suivant la complexite de la topoIogie du reseau,

En-teteUDPoLongueur

32 bitsPort source Port destinataire

ChecksumDonnees

Le Port Source est un champ optionnel, Lorsqu'il est significatif, iI indique le numero de port du processus emet-teur, et I'on snpposera, en l'absence d'informations complementaires, que toute reponse devra y e t r e dirigee. S'11n'est pas utilise, ce champ conservera une valeur O .

Une publication The Hackademy School .200120022003 DMP


13/42

Introduction aux Reseaux TCPflP

L E I C O U l l P A R C O R R E I P O N D A N C E D E T I f H lC Q D E M Y S C H O O LLe Port Destinataire a one signification dans le cadre d' adresses Internet particulieres,La Longueur compte le nombre d' octets dans le datagramme entier, y compris le present en-tete (et par conse-quent, la longueur minimale mentionnee dans ce champ vaut buit, si le datagramme ne transporte aucune donnee),Le Checksum se calcule en prenant Ie complement a un de la somme sur 16 bits des complements it un calculesur un pseudo entete constitne de I'information typique d'une entete IP, l'entete UDP elle-meme, et les donnees,le tout additionne d'un octet nul eventuel afin que le nombre total d'octets soit pair .La pre-entete ajoutee avant l'entete UDP contient I'adresse IF source, l'adresse IP destinataire, Je code de proto-cole, et Ia longueur du segment UDP. Cette information permet d'augmenter I'nnmunite du reseau aux erreurs deroutage de datagrammes. La procedure de calcul du Checksum est la meme que pour TCP.Notions Ports TCP/UDP : Moltiplexage/DemultiplexageUne station peut emettre et recevoir simultanement plusieurs flux de donnees TCP et UDP. Pour cela, il est donenecessaire que chaque e xtrem ite (q ui p eu ve nt etre differentes pour chaque communication e ta bli e) s ac h en t a quelprocessus (systeme) rattacber une trame arrivant sur une interface. Pour cela, les protocoles TCP et UDP utilisentdes numeros de ports. Ces numeros sont PRIMORDIAUX dans toute communication TCP ou UDP, et permettentd'associer une communication a un processus. Cbaque donnee transitant sur Ie reseau s'est done vu associer deuxnumerus de ports : Ie premier cate emetteur, Ie second cote recepteur, Cbaque communication est done caracteri-see par deux couples (adresse IP, port utilise) relatif a cbaque extremite,Les ports TCP et UDP sont totalement independants. n est done possible d'avoir simultanement une communi-cation sur Ie port 25!TCP et Ie port 25flJDP.Cette technique se rapporte au multiplexage/demultiplexage, par decodage du numero de port dans la trame, ladonnee est envoyee a I'un ou l'autre des processus du systeme, Par convention, les systemes implementent lalogique suivante :

Les numeros de ports inferieurs a 1024 ne peuvent etre utilises que par le super-utilisateur, Une application cliente utilisant TCP ou UDP utilisera un numero de port superieur a 1024 (meme si l'uti-lisateur est Ie super utilisateur). nexiste toutefois certaines exceptions volontaires comme les r-services ...

Une communication implique qu'un port soit ouvert sur Ja machine cliente et qu'un autre port soit ouvert sur lamachine serveur. 1 1 ne s'agit pas forcement des memes ports.

1. U ne application serveur ouvre un port en permanence pour permettre I'attente de demandes de connec-tion.2. Une application cliente ouvre des ports au besoin. EIle n'attend pas de demande de connection, elle nejoue pas Ie role d'une application serveur et ne preseute done pas un point d'entree sur un systerne.

3. Il existe 65535 ports, ni plus nimoins. La plupart d'entre eux sont reserves par des services precis (FTP :21, telnet : 23, SMTP : 25, etc.)

4. Un port ferme est comme un mur en beton arrne. Rien n'y entre, rien n'en sort.Exemples:

1.Lorsque A envoie a B un paquet TCP avec Ie flag SYN active, et que le port vise est ferme, la machine Brenvoie un paquet TCP avec Ie flag RST active. Certains firewalls ne renvoient pas de paquet TCP avecIe flag RST actif (cornrne ZoneAlarm).

2. Lorsque A va vouloir se connecter sur Ie serveur HTTP de B, son application c1iente (Internet Explorer)va ouvrir un port (1106, par exernple). L'application cliente va envoyer un paquet compose des entetes IP,TCP, HTIP vers Ie port 80 de la machine B.

1 3 Une publication The Hackademy School 2001-2002~2003 DMP


14/42

Introduction aux Reseaux TCP/lP

S C H O O L

Quelques ports TCP couramment utilises suivant leurs services~013~o 21~o 22~o 23~o 250042~~)530079~o 80Do 98Do 109~ 0< 110~ 0111Do 113Do 118D0135~o 139

Daytime =) Time of do}!F tp = > F i le T ramfer Protoco lSs h =) Remote Log in P ro toco lTelnet =) Remote login P ro to co lSmtp = > Simple Mail Trenster Protoco l~JameSelvef = > W IN S Host N am e Serv erDomain =) Domain Name ServerFingelHttp =) 'W o T l d W ide W eb. HTTPlinuxconfPop2 =} Pos t O ffic e P ro to co l 2Pop3 =) Pos t 0 ffie e P ro to co l 3SunRPC =} SUN Remote Procedure Callidentd =)Authent ica tion Serv iceSqlServ = > SQl Servicesepmap =) D C E endpoint resolut ionNetbiosssn =} NET BIOS Session Service

Si Ies paquets de donnees etaient transmis de facon anarcbique, sans aucnne regle concernant leurs constructionset leurs transmissions, les systemes De pourraient se comprendre de facon globale. Un systeme d'une entrepriseA comprendraient les donnees des systemes d'une autre entreprise A, mais pas ceux de l'entreprise Q. Pour queles systemes puissent comprendre les donnees quils s'mter-envoient, ilfaut standardiser la facon dont ces don-nees sont construites et la facon dont elles sont envoyees, Cette standarclisation s'effectue grace it la mise en placedes "protocoles". Chaque paquet vaetre constitue par des entetes specifiques a un protocole,Sur Internet, le protocole Ie plus courant est TCP (Transmission Control Protocol). Lorsque vous allez sur un siteWeb, par exemple http://www.dmpfrance.com. les protocoles IP (Internet Protocol), TCP et HTTP (HyperTextTransfer Protocol) seront utilises pour envoyer et construire les p aq ue ts de do nn ee s,

'"IP va servir it definir tout ce qui concerne I'adressage des donnees; TCP va definir le type de paquet envoye .; HITP va envoyer les donnees qui lui sont specifiques, soit Ies pages Web.

IF va etre utilise dans l'adressage des paquets, permettant ainsi aux machines relais emettrices et receptrices d' eta-blir un chemin correct de transmission de donnees. Tep va definir le type de paquet, it savoir un paquet servant aetablir la connection, a la fermer, etc. Ce sont reellement ces deux protocoles qui sont les plus importants surInternet a u n n iv ea u global.Utilisation de la commande NetstatLa commande "netstat" est bien instructive, rneme si elle n'est pas toujours tres lisible. EUe affiche les statis-t iques de protocole et tes c onn ex io n s r es ea u TCPIIP en c ou rs d'u tilisa tio n su r Ia m ac hin e locale.Lancer I'interface de commandes MS-DOS

1 4 Une publication The Hackademy School 200120022003 DMP
http://www.dmpfrance.com./http://www.dmpfrance.com./


15/42

L E S C O U R S P A R C O

: \ .11 i'loows\sureamnet stat -aonl1!wlons activesprotoTeprepTeprepUD PUDPUD PUD P

AdreSSi1 localebrcll:ha :44334brotha :1234 Sbrat ha: pop3br atha; noses sionbrotha:44334br 0;:ba :4 515br ctha rnbnamebr ct ha :nbdatagram

A dr es se d is ta nt eBPCTHA:O6ROTI-IA:QSRQTHA;OBROTHA:D*~iIw~-u1< ~ ~I-J~. (: iot

Introduction aux Riseaux TCPIIP

8:atU5TI:::NINGLISTENINGLISTENHIGLISTENING

La premiere colonne indique le protocole utilise lors de la communication. Ladeuxieme colonne indique I'adres-se de v ot re m a c hi ne , 011 son n om . A pres les deux p oin ts se situ en t le n um ero de votre port utilise dans la com-munication. La troisieme colonne indique I'adresse de la machine distante. Apres les deux points se situent Ienumero du port utilise dans la communication. La d e rn ie re c o lo n ne indique l' e t a t de l a connec t ion , a savoir si elleest etablie, en train de s'etablir, en train de se terminer, etc.Note: Si une application serveur comme un trojan monopolise un port, et qu'un intrus est connecte au trojan,vous le verrez grace Ii netstat !L'adressage IPChaque systerne souhaitant discuter sur Ie reseau mondial IP (Internet) doit disposer d'une adresse IP. Cesadresses, affectees par des organismes de regulation, sont classifiees et norrnalisees. Une station de I'lnternet nepeut Stre localisee (joignable) que par son couple unique (Adresse IP, Masque de sous-reseau).Les adresses IPVne adresse IP est composee de deux: champs: l'adresse reseau et l'adresse machine ..L'adresse reseau est placeesur les bits de poids forts, alors que l'adresse de machine est calculee sur les bits de poids faible.Il ex:isteplusieurs classes d'adresses ..On parle des classes A, B, C, D et E. Elles sont differenciees par les bits dep o id s f or ts qui les compo sent.

1 5 Une publication The Hackademy School 2001-2002-2003 DMP


16/42

S'informer sus un systeme cible

L E S C O U R S P A R C O _ S 'O N D A N C E D E T H E H A C K A D E M Y S C H O O L< . . , . , '

ABCDF .

O o of ) " " Identifiant du reseau Idenriflan t de In mach j neW O O , . Idenufiant a u reseau ldentifiant de la machine1 10 \) , .. , ld en tif la nt d u r es ea u ldennfiant de la machineIIl O . ... I de n ti fi an t d u r es ea u Ident;fiam de la machinefill .... Non utilise Nan utilise

Une adresse IP est toujours de la forme a.b.c.d. Dans Ie eas d'une classe A, on peut librement fixer les valeurs b,e et d. On pourra done adresser theoriquement un maximum de 16777216 (2 3x8 =224)machines.One classe B laisse libre les valeurs de c et d. On pourra alors adresser 65 536 (2 2x8 = 21 6 ) machines.Une c1asse C laisse uniquement libre la valeur de d. On pourra donc adresser 256 (28) machines.La c1asse D est une c1asse queIque peu differente, puisqu' eIle est reservee a une utilisation particuliere : Ie multi-casting (diffusion temps reel vers plusieurs destinations).La classe E est, quant a eUe, une classe non usitee a ce jour, et reservee a des utilisations a des fins experimen-tales.On dispose donc en theorie des plages d'adresses suivantes :

Classe PIOfleA 0.0.0.0 127.255.255.255B 128.0.0.0 191.25~.255.255C 192.0.0.0 223255.255.255D 224.0.0.0 239255.255.255E 240.0.0.0 247.255.255.255

Il existe quelques adresses dites non routables, Ces adresses sont reservees a un usage interne, ou dans Ie cas dereseaux prives. EIles ne sont en theorie jamais routees sur I'Internet. n existe 3 classes d' adresses IP : Classe A : 10.0.0.0 Classe B : 172.16.0.011 172.31.0.0 Classe C : 192.168.0.0 a 192.168.255.0

127.0.0.0 est aussi une c1asse A particuliere, puisqu'elle ne serajamais routee sur un reseau. Elle est reservee pourun usage interne. Bile correspond a I'mterface loopback (interface de bouclage). Ainsi, l'adresse IP 127.0.0.1designe votre ordinateur.

S'informer sur un systeme cibleSe renseigner sur Ie systemeOn peut considerer generalement qu'une tentative d'intrusion de Ia part d'un pirate commence toujours par uneprise d'information sur Ie systeme qu'il cherche a attaquer. n existe dans ce but toute une methodologie a appli-quer, mais it y a heureusement un ensemble de techniques pour s'en proteger ,Dans les explications qui vont suivre, nous verrons quelles sont ces techniques de renseignement sur un systeme,comment elles peuvent etre utilisees, et bien sur comment se proteger ,WHOISLorsqu'un nom de domaine, "caramail.com", par exemple, est enregistre sur Internet, des informations commeI'identite du "registrant", c'est-a-dire celui qui enregistre Ie nom de dornaine, ou encore I'identite du responsabletechnique, sont stockees dans les bases de donnees de prestataires de services appropries. Les bases de ces pres-



17/42


D E BE8cB., S C H O O Ltataires CARIN, Internic, NetworksSolutions, Gandi, RIPE ...) sont consultables gratuiternent par l'intermediaire derequetes appelees "whois" (comprendre "Who is 7").De nombreux prestataires de ce service sont en ligne sur Internet, mais leur fiabilite a fouiller les bases de don-nees peut varier, Ainsi, it n'est pas impossible d'avoir a mener des requetes "whois" en passant par plusieurs pres-tataires,Parmi ceux qui peuplent I'internet, on en retiendra au moins trois:http://www.allwhois.com:Whoissurlesnomsdedomainesdetouslespaysdumoude(.eh . uk.nl, etc.).http://www.whois.nethttp://www.betterwhois.com

Ilaouf.orgSeei"Gh 1

la.ouf.orgOrgan i:oat ion Underground francophoneSu rf er fI :Ci eu dl y1357S yste m eFranceBPS56-GANDIARq 1-G;o.NDIBP5S 6-G.AND InsO.qancti.net 212.73.209.250ns'!. gancti. net BO.67 ..173.194

Une foule de renseignements peuvent etre obtenus par l'intermediaire des ces requetes :- si I'entreprise est proprietaire d'une plage d'ip specifique, Ie pirate Ia connaitra, et pourra alors elargir son champd'action,- Les adresses et noms des serveurs DNS, dont l'exploitation est expliquee par Ia suite.- Le nom, adresse, telephone et email du proprietaire du nom de domaine. Ces informations peuvent etre exploi-tees dans le cadre d'une attaque par social engeneering, comme cela est egalement explique par la suite, au pourla decouverte de mots de passe que VOllS auriez pu choisir et ayant un rapport avec les informations foumies.II est vital de donner Ie minimum de renseignements possibles vous concernant lors de votre enregistrement. Nepreciser que ce qui est obligatoire. Donner une adresse email specialement concue pour eet enregistrement et queVOliS n'utiliserez qu'a cette fin,La commande pingLa toute premiere etape consistera toujours pour un pirate a obtenir l'adresse ip de votre systerne, afin naturelle-ment de pouvoir communiquer avec lui. La fonction Ping peut alors etre utilisee pour verifier que Ie systeme estaetif sur Ie reseau.La machine qui envoie U1 1 "ping" versune autre machine, attend un echo de son appel pour s' assurer que celle-ciest bien disponible, Le message de PING doit suivre Ie routage normal de IP a travers les passerelles et routeurs ...II utilise pour cela Ie protocole ICMP encapsule dans la trame IP. Le retour d'un PING (echo reply = pong) donnegeneralernent Ie temps mis par Ie message pour faire l'aller-retour (RTI = round trip time) jusqu'au destinataire.II existe plusieurs versions de PING plus ou moins evoluees, Le champ "CODE" du message ICMP peut donner

http://www.whois.net/http://www.betterwhois.com/http://www.betterwhois.com/http://www.whois.net/


18/42

S'in form er sus un sysrem e cible

" , l I M Y S C H , D O Ldes informations sur Ie resultat du test: Reseau inaccessible ... Machine inaccessible., Echec de routage .., Etc,P in g i nt eg re diverses fonctionnal i tes, Afin de r ou te s le s visualiser, tapez " ping" sous DO S. P arm i les differentesfonctions de ping, on retiendra :

1. L'option "~t",qui envoie des paquets ICMP_:echo_request en boucle, jusqu'a interruption de la part deI'utilisateur par un "break" (CTRL+C). Exemple : ping -t [Adresse IP]2. L'option "


19/42


L E S

Celui-ci va envoyer un message d'erreur ICMP (time exceeded) avec son adresse eomme "source" et l'adresse"source" de l'emetteur, comme destination. Le logiciel "traceroute" va enregistrer cette information, et creer unnouveau paquet comme Ie premier, rnais avec un TIL de "2". La traversee du premier routeur va mettre Ie TTLa "1". Le paquet va done mourir sur Ie deuxieme routeur. Comme precedemment, le routeur N2 va envoyer unemessage d'erreur IeMP avec son adresse, qui sera mernorisee par "traceroute" .., et ainsi de suite jusqu'au desti-nataire.Pour effec tu er ce processus, utilisez l'outil Tracer t de votre sys teme.

1. Allez sous MS-DOS.2. Tapez tracert,3. S'affichent al.ors les options de parametrage, tout comme pour Ping.4. On ne les utilisera pas dans I'absolu, done tapez simplement tracert [Adresse IP]

T ra ce rt in teg re d iv erse s fo nc tio nn alite s. A fin d e to utes les v is ua lise r, ta pez " tracert " sous DO S . Il Y en a peu,certes, mais trois d'entre elles peuvent s'averer essentielles.

L L'option "-d" empeche la conversion des adresses IF des machines qui effectuent Ie relais en noms d'h6tes.Exemple :.tracert -d [Adresse IP]

2. L'option "-b" permet de specifier un nombre de "sauts" maximum. c'est-a-dire le nombre maximum depoints de relais resolu, Par defaut, ce nombre est 30 ("avec un maximum de 30 sauts"). Exemple : tracert-b 45 [Adresse IF]

3 . L 'op ti o n "-w" qui pe rme t de specifier un timeout, un temps d'attente, apres quai, Ie processus est avorte,precis pour la resolution de chaque hote. Exemple : tracert -w 999 [Adresse IF]

Savoir lire un compte- rendu de l'outil t racert est t res simple. Dans Ie tableau des resu lta ts, vo us avez u n c lassem en tdes systemes relais de donnees. Les delais en rnillisecondes indiquent des resultats sur le temps qu'il a fallu pourcontacter c ha q ue s ys te rn e de relais, sachant que cette tentative se fait par trois fois, D an s Ia d em ie re colonne se trou-vent Ies noms d'h6tes des systemes de r ela is , a ve c leurs translations en adresses IP : Entrainez-vous a re pere r le s infor-m atio ns q ue c on tie nn en t les n om s d 'h ote s, et celles que foumissent un traceroute,

1 9 Une publication The Hackademy School 2001-20022003 DMP


20/42

S'informer sus un sys teme cible

L E I C O U R S P A R C o R lE IP O ft iO iN C E D E T H E H A C K A D E M Y S C H O O L

Recherche d'informations sur la per.onne OU la societeUne personnePeut etre etes-vous un habitue des forums, au des newsgroups, ou possedez-vous une page web. Un pirate qui vousaurait pris pour cible pourrait se lancer dans la recherche de votre presence sur Ie web afin d'acquerir des infor-mations supplementaires.- Concernant les newsgroups, il soffit pour Ie pirate d'utiliser des moteurs de recherche specifiques aux news, telque http://groups.google.com- Pour les forums et sites web, une simple recherche par l'intermediaire d'un moteur de recherche tel que Google(http://www.google.com) est suffisante,Le principal danger de ce type de referencement est que vous pouvez y divulguer des renseignements non desti-nes au public. Imaginez que vous ayez un probleme d'installation d'un serveur particulier sur un systeme d'ex-pioitation donne, le pirate connaitra alors sans peine Ie nom et Laversion de votre serveur et de votre systeme d'ex-ploitation. Evitez done a tout prix de divulguer les informations qui ne sont pas essentielles sur un endroit aussipeu securise que le web.- L'assaillant peut egalernent glaner des informations aupres de vos proches, en essayant de s'imiscer dans votrevie privee ou professionelle. N'oubliez pas egalernent qu'il peut s'agir dune personne que vous connaissez, etqu'elle peut avoir des informations privees vous concernant. Afin d'eviter toute mauvaise surprise, n'utilisezjamais de mots de passe se raportant a votre date de naissance, aux noms de votre femme, enfant au chien, ou enrapport avec quelques renseignements vous concernant et qui pourraient etre connus.- Une autre methode que nous avons deja evoquee est celle dite du social engeneering, qui a tendance a ne pasetre jugee a sajuste valeur. n s'agit de se faire passer par un que lquonque moyen de communication (te lephonique,mail, ...) au meme physiquernent, pour quelqu'un que 1'0n n'est pas afin d'obtenir des informations confidentielles.Une technique courante sur le s webmail consiste , par exemple, a en vo yer u n m ail semblant provenir de son admi-nistrateur et pretextant one panne du serveur pour vous demander de vous reenregistrer en demandant login et motde passe, qui seront alors renvoyes au pirate. Partez donc du principe qu'en aucun cas, un organisme ou une socie-te chez qui vous avez un compte ne vous demandera votre mot de passe, tout au mieux votre login.U ne societeVotre entreprise est, peut-etre pour des raisons promotionelles ev iden te s , p r esen te s sur le web. Cela peut etre, sivous ne filtrez pas l'information qui y est diffusee, one source de renseignements supplernentaires pour l'attaquant.Le statut de votre entreprise, le nom des employes et leurs adresses ernails, le nom et adresse du webmaster dansles codes sources de vos pages web, des liens non securises vers des parties non destinees au public ... Voila autantd'elements supplementaires que votre pirate se fera nne joie de recuperer,De plus, on voit souvent des cas au le s paires logins/mots de passe des utilisateurs du reseau de l'entreprise cor-respondent 1 1 . des couples nom-prenom, Si ces informations sont presentes sur Ie site, notre pirate pourrait essayerl 'ensemble des combinaisons possibles en con s tr u is an t une liste de login/password probables obtenus sur Ie site.Nous ne Ie repeterons done jamais assez, mais il est imperatif de filtrer totalement l'information fournie.Apres avoir recupere un certain nombre de renseignements sur le systeme cibIe, Ie pirate va passer a . des opera-tions plus techniques, qui doivent etre effectuees sur le systeme, afin de pouvoir proceder par la suite a l'elabora-tion d'une strategic d'attaque.

http://groups.google.com/http://groups.google.com/


21/42

Evaluation des caracteristiques d'un systeme

Evaluation des caracteristiques d'un systemeLe scan de ports ou "a la recherche d"applications serveurs actives"Il faut avant tout preciser ce qu' on entend par "systeme", Au niveau de ce cours ne seront expliques que les pro-cedes utilisees lors de la realisation d'attaques sur un ordinateur, et non pas un reseau, C'est-a-dire que l'on vavoir quelles strategies et methodes adoptent les pirates Iorsqu'ils souhaitent s'attaquer a un systeme precis. NousVOllS conseilIons d'appliquer l'ensemble des techniques presentees ici de facon individuelle 11chacune de vosmachines, afin de savoir savoir ce qu'un pirate pourrait detecter, A la fill de cette session seront presentes desoutils permettant d 'empecher un eventuel pirate d'exploiter ces faiblesses,Ce petit eclaircissement pose, abordons Ie plus essen tiel des processus : le "scan de ports".Rappelez-vous Ie debut de ce cours, Une application serveur, c'est nne application delivrant un service precis surla re qu ete d 'u n client, dans le cadre d'une configuration a da pte e, D on e, un serveur est constamrnent en attente deconnections, et pour ce faire, it monopolise un port precis, entre ] et 65535, qui lui ouvre un canal de communi-cation. C ' est un peu schem atiqu e p ar rapport aux donnees techniques complexes qui reg issen t le processus, maisl'essentiel est la.Scanner Ie s ports va done permet t re a un pirate de reperer les appl ica t ions serveurs actives. Chaque port o uv ert p en ta ins i e t r e considere cornme un point d' entree au systeme, une eventuelle source de vulnerabilites,Note.' Scanner les ports, c'est simplement envoyer. griice a un logiciel, des paquets TCP avec le f lag SYN acti-v e , aux ports du systeme distant.Effectuer un scan de ports sur une de vas machines est t res simple. Moult Iogiciels hantent I ' intemet a cet effet ,Dans nos pratiques, nous utiliserons Nautilus NetRanger, qui est tres efficace et tres rapide. Vous Ie trouverez surhttp://www.download.com, au encore sur Ie site des developpeurs (http://www.nautidigital.com).

1. Ouvrez l e lo g ic ie l,2 . Cliquez sur I' onglet PortScanner.3. Dans la zone "HostnamelAddress" indiquez one adresse IF ou un nom d'h6te.4. Dans la zone "Port range", indiquez une plage de port au un port specifique a verifier. Une plage de portsc'est un ensemble de ports compris dans une intervalLe. Dans le cas de Nautilus, specifier une intervallede port de type [3000 ; 6000] se fait selon Lasyntaxe suivante : "3000-6000". Vous pouvez aussi nindi-quer qu'un seul numero, cela reviendrait a ne verifier qu'un seul port. Notez toutefois quelques petiteschases. Un bon scan se fait sur une intervalle de 1 it 65535, c'est-a-dire sur l'integralite des ports. En effet,il se peut que des applications serveurs se terrent dans des ports elo ignes, C 'est au ssi pourquo i nous vousdeconseillons I'utilisation de l'option "Port list", qui ne permet de verifier que certains ports specifiques.

5. L'option Threads deficit le nombre de requetes de scans de ports a envoyer en meme temps. Au lieu descannerles ports un par un , vous pouvez multiplier a in si v otre a ctivite par plus de 30 fois ! Indiquez unevaleur de 30 a 60 dans "Threads", qui est fonction de votre vitesse de connection. Evitez de mettre nnevaleur trop grande, cela risquerait de faire bugguer I'application. De meme, n'ouvrez pas deux foisNautilus NetRanger, utilisez une, et une seule, session d'application. Sinon, Ia aussi, le logiciel risqueraitde patauger ,

6. Lancez le scan, en cliquant sur "Go".

2 1 Une publicationThe Hackademy School 2001-2002-2003 DMP
http://www.download.com%2C/http://www.download.com%2C/


22/42

Evaluation descaracteristiques d'un systeme

L E S C O U R tP A R S C H O O L

7. Au niveau des resultats, De VOUS preoc-cupez pas de la couleur des pastilles.Seul les ports indiques comme actifs("ACTIVE") nous interessent,

A C T I V EN e l b i " , A C T I V E La liste des ports indiques comme actifs reve-

eproop' D e E E n dl lO i n l A C T IV E' WWW A C T I V E le generalement la presence d'applications ser-ACTIVE veurs actives delivrant des services bien speci-

fiques. Afin de resoudre l'jdentite de ces ser-veUIS, et des services qu'ils delivrent, lespirates peuvent emettre des hypotheses. maisse doivent, dans la mesure du possible, deconfirrner ou d'Infirmer, II va done e t r e neces-saire de supposer a quai correspond un portouvert. Pour cela, I'utilisation de fiches tex-tuelles, comme une liste de ports, peut etre tresutile. Ce genre de liste se trouve partout sur

Internet (recherchez "Ports numbers" sur http://www.google.com. par exemple). Apres avoir evalue par quel ser-vice est, probablement, monopolise un port, Ie pirate doit parvenir a Ja certitude qu'il se trouve bien en face de cequ'il suppose etre.Partir a la recherche d'informations sur Ie sysUme d'ex_ploitationLa chose la plus simple et la plus directe qu'un pirate puisse faire pour obtenir des informations sur un systeme,c'est de s'y connecter.Utilisation de TelnetTelnet (Telecommunications Network) permet a une machine client de se connecter sur un serveur, et ce, quellesque scient leurs localisations dans le monde, pour peu que ces deux machines sont raccordees a l'Internet. Lesclients telnet existent sur Ia quasi-totalite des plates-formes (Windows, Unix, MacOS, BeOS .. .), II pennet laconnexion TCP sur n'importe quel port d'un machine distante.n y a deux facons d'utiliser correctement Telnet :

En utilisant l'interface graphique E n indiquant des options au programme au moment de Ie lancer

Pour la premiere solution, ouvrez telnet :1. Cliquez sur "Dernarrer",2. Puis sur "Executer" ..3. Tapez "telnet" et validez.4. Cliquez sur "Connexion", puis sur "Systeme distant".5. Dans la fenetre, indiquez 110 nom d'hote au one adresse IP pour permettre la connection au systeme distant.Entrez ensuite un numero de port. Attention! Pour les services les plus courants (SMTP, FTP, lfITP, etc.)vous pouvez entrer comme indication non pas le numero de port mais Ie service qu'il designe. Parexemple, au lieu d'indiquer "80", vans pouvez indiqner "HTTP". Cette pratique vous est deconseilleepour au moins les motifs qui suivants : Cela ne marche pas pour tons les services ; Vons pourrezetre arnene 1 1 . travaiUer sur un autre systeme ou cette fonctionnalite ne sera pas presente ; Irnplicitement, vous n' apprendrez pas la designation numerique des differents ports;

Une publicationThe Hackademy School 2001-2002-2003 DMP
http://www.google.com./http://www.google.com./


23/42

Evaluation des caracteristiquee d'un systeme

E" '~xecut~r :.:'I e rrol"/ ld'l iIn programme, , o tl s; sl e l, d O C J . :l m e l 1 t au d 'une tie l n t : e J n e t . e t \ ' ~ c l o : w $ I " o u m i r a p b w v ~

J S C H O O LPour seceder plus rapidement a des connec-tions distantes, preferez la deuxieme solution.

1. Cliquez sur Dernarrer,2. Puis cliquez sur Executer,3. Tapez "telnet [IP] [PORT]", ce quidonne pour Ie site dmpfrance.com, parexemple, "telnet dmpfrance.com 80". cequi vous connectera sur Ie serviceHTTP du site dmpfrance.com,

En vous connectant sur les differentes applica-tions serveurs q u'execn te u n sy stem e VOllSpouvez etre a meme de trouver bon nombred'infonnations sur le systeme. L'annexe sui-vante decrit succintement par quel biais vouspouvez recuperer des informations sur les ser-vices sus-nommes :-Ffp-SMfP-HTTP-SNMPiii Telnet

Reperer des informations sur un systems est une tache tres facile, les systemes ayant une grande facilite a s'auto-presenter, a travers ce qu'on appelle des "bannieres", L'immense majorite des systemes ne disposent pas d'uneconfiguration adequate. Mais malgre les differentes tentatives (desesperees ?) que peuvent emettre les adminis-trateurs systemes concernant leurs configurations, certaines infonnations ne manqueront pas d'alerter un pirateaverti. Avec un peu de pratique, ils'averera que ce processus de recuperation d'Informations sera de plus en plussimple. Apres un rapide coup d'ceil sur le type et la version du serveur HTIP, par exemple, lID pirate pourra deter-miner sons quel systerne d'exploitation tourne une machine-serveur (Windows NT 4,2000, Unix ...).Une petite note au sujet de ce chapitre et des informations obtenues par rapport aux scans de ports. La mise enlumiere de I'activite de certains ports peut reveler des informations sur Ie type de systeme distant comrne les ports13 5 a 14 0 (service NetBIOS de Windows), 111 (SunRPC sur des stations S UN ) ... Pour identifier Ie service quitoume derriere un port, le pirate se refere a sa liste de ports, puis il se connecte, et enfin il recherche des infor-mations sur le service concerne via Internet. n est tout a fait possible que vas systemes fassent tourner des appli-cations serveurs developpees uniquement SOilS Windows ou sous Unix. Le fait de connaitre Ie systeme d'exploi-tation d'une machine distante permettra alors au pirate de cibler la facon dont ilpourra l'approcher.Note :Lorsque A envoie une requite a Lamachine B, celle-ci est a I'coute permanente des requites presenteessu r te port TC P (23 par de/aut). B repond alors par un e demande d'authentification, a laquelle A doit repondre(login + password). Lorsque cette phase est reussie, l'entree standard est redirigee sur le clavier de A, et la sor-tie standard est redirigee sur l'ecran de A. Tout se passe comme si 1'utilisateur de A etait devant la machine B,alors que des milliers de kilometres peuvent les separen

2 3 Une publicationThe Hackademy School 2001-2002-2003 DMP


24/42

Evaluation des caraaerist ique d'un systeme

L E I C O O R S P A R C O R R E S P o N D A N C E D E D IE H A C K A D E M Y S C H O O L ,

Recuperer des informations sur des services donnesFTP : Files Transfert ProtocolFTP est utile des qu'il s' agit de transferer des donnees entre deux machines A et B. Comme pour taus Ies services,Ia machine A doit etre equipee d'nn client ftp, alors que Ia machine Best, elle, equipee d'un serveur FTP. Le pro-tocole TCP utilise par convention Ie port TCP/21 pour les cornmandes, et le port TCP120 pour les donnees. Leport TCP121 est appele I'jnterpreteur de protocole (Protocol Interpreter ou Pl), alors que le port TCP/20 est appe-le processus de transfert de donnees (data transfert process ou DTP).Connectez-vous au service FTP vise, via Ie port 21. Regardez deja quelles informations vous delivre la banniere,s'il y en a.

Recherchez eventuellement des informations sur Ie ser-veur mentionne. Puis tentez de vous connecter en anony-me. Preferez votre navigateur pour cette tache. InternetExplorer vous perrnet de vous connecter directement a unservice FrP, par defaut en Anonyme.N ote: U ne session "Anonym e" est une session gerie parl' administrateur qui permet an ' importe qui d e p ro fiter d uservice FTP du serveur (pour le telechargement defichiers sur le serveur; par exemple).Mais la c on fi gu ra ti on d e ce rt ai ns s er vi ce s FTp, qui lais-sen t L a possibilite d'acces a d es s es si on s anonymes, es tparfo is desastreuse au poin t que certa ins sites la issent

trainer l'acces au f ichier "passwd" (d' arborescence "Zetc/passwd", sous un systeme linux, cef ichier contient tousles lo gin s a ctifs sur fa m achin e), a u en co re l'a rbo rescen ce co mp lete d u site , vo ire m em e d es rep erto ires a vec d esacces ecriture (ou tout le monde peut envoyer des fichiers generalement}.

lost-found other

Depuis Internet Ecplorer le "browsing" (unaffichage) des repertoires revele des reper-toires typiques de systemes de type UNIX. ns'agit de verifier si c'est veritablement le cas.Ouvrez une session FfP via telnet et connec-tez-vous en Anonyme.[]

S e rv eu r :ftp_Nom d'ut"i5a~onym"u. ze,;:uranl support

Note." N'hesitez pas a consulter les differentsre pe rto ir es a cces sib le s a fin d e vo us faire uneid ee s ur le s ys te me.

Hel lo , y ou e re l og ge d i nt oFl:p.~security.com. Ailing;"~cti\lity i$ mon~ored, If )'tlU hil,veany p r ob lem< ; lI


25/42

Evaluation des caraeteristiques d'un systeme

L E I C O I R I P A R

Ensuite , vous vous retrouverez a l'aveugle, surtout si vo us ne connaissez pas le system e, L es com mandes qu 'ilvous est possible d'emegistrer sont generalement listables par la commande "help" ou "I".Sur l'exemple ci-dessous, les commandes du service FTP ont ete utilisees (sur un autre systeme) pour mettre enlum ie re Ie type de systeme d'exploitation utilise. lei, les informations delivrees sont d'une importance mineure. Cec idit, certains systemes vont jusqu ' a reveler la version du systeme d' exploitation, ce qu i est man if es temen t p lu s grave.llU.!l. . . ! . ! l Q . l ! J U ' I ! ' U _ A;331 CUIIi!!,t lvg:i.,n ok , ,!;'~nd yOIJt" eom:plete ~-~~:il adfl'!"Q1i*S.:;: ~$~O.t"d ~PASS oj joJ j jqcFhb@uhqfdhfunopo_cQn2311-Yo" are user 111of J;g sirnuita.,,""s user-s au.owe".2Sg-2.3G Lngged in, anon9 I l 1 0 , , . 1 , .h e l p:2.1Il-lhe following tOl\lllands a~e recllgni2ed (... > uni"'Plemented, + .> e:


26/42

E va lua ti on d es ca ra cte ristiq ue s d 'u n s ys te me

Dans l'exemple ci-dessus, le pirate a reussi a avoir des informations sur I'identite d'une personne, et sur les aliastournant pour "root" (certainement des adresses correspondant a d'antres administrateurs systemes),HTTPPour VOllS connecter a un systeme via HTIP, utilisez le port 80. Apres quoi, i1 vous est possible d'envoyer diffe-rentes commandesau systeme, celles-ci pouvant avoir des consequences differentes, Le precede consiste a envoyerd'abord une commande valide, puis a rappuyer sur ENTER afin de renvoyer one validation.Prenons un exem ple concret :

1. Connectez-vous sur www.microsoft.eom (telnet www.mierosoft.com 80)2. Entrez comme commande : OPTIONS I HTIP/1.03. Validez en appuyant sur ENTER, et revalidez a nouveau.4. Les informations contenues dans P3P (''Platform for Privacy Preferences") designent les informations collec-t ee s su r I es u t il is a te u rs . Re fer ez -vou s a http://www.w3.orgfTRlP3P/ pour en savoir plus SUT Ie systeme P3P.

x

Port:I 9 J ! i . e tie t~lnal ~

O PT ION S / H TT P/ l.OIITTP/1.1 qOqS1'!rv.r, Micro..tt-IIS/S.OVa~e' T n~,Zl ffla< 200~ ~J,06:S1 GMTP3P, CP~'A"L IMD DSP COR ADM COMo COR COSo IVAo IVDa PSA PSD TAl TELo OOR 5AlIo em em! INT I J 1 i . V ONL PH'( PRE PUR UNI'cach~-cQnt~ol~no-storeConnectiOn: Keep-AliveCo nc e n o - L e ng t h: l 0 0 49C o n t on e - T y p e : ~ xe ! ht ~ l


27/42

Evaluation des caracteristiques d'un systeme

L E S C O U R S P A R C O R P O N D IN _ D E l i E H A C K A D E M Y S C H O O LOPTIONS / HTTP/ l. aHTTP/l.1 200 OKSe~ve~;H1~rQsoft-IIS!5.0Date: Tbu, Zl Ilar 2002 23:10:32 GMTI~S-Autbor-Via: IIS-FP!4_0,D.'.VCon ee nc-Le ngt h: 0A cce pt -Ra nge s: n on eDASL: DAV: 1, 2Public: OPTIONS, TRACJ;:, GET, HEAD, DELETI, PUT, POST, COPY, !IOVE, I!J(COL, PI>OPfIND, PROPPATCH, LOCK, UNLOCK, SEARCHAllO" , OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, r.ocx, UNLOCKC ac he -C on tr ol : p r iv at .eGET! Ill 'T!' !L 0HTTP!1. 1 200 OKS~rve~: Microsoft-IIS/S.OD"t~: Thu, 21 Ma r 2002 23: 4 1: 47 Gi lTC on ne ct io n: K ee p -A li veContent-Leng~h: 1275Coneent-Type: tex~/htmlSec-Cookie, A3!'S~SSIONIDGGQGQ5DC~KONDJIlDBAKrGGDCIOE!'BHJLJ; patb~!Cache-control: p~ivate

Mis a part la version du serveur et les modules qui tournent dessus, les informations recol tees ne sont pas toutescruciales mais peuvent vous amener a mieux situer la configuration du systeme cible. Notez que vous serez nor-malement deconnecte du systeme, il s'agit de lire les informations sans quitter la session telnet (sans confirmer ladeconnection). Par ailleurs, il se peut tout a fait qu'un service HTfP ne delivre qu'un nombre minimal d'mfor-mations, et ceci en raison de la configuration adaptee du serveur. Que ce soit sur les serveurs lIS ou Apache, vouspouvez controler et modifier les informations foumies par votre serveur, et donner de fausses pistes au pirate !Note concernant HTTP : autant un serveur H7TP tel que lIS est soumis a de nombreuses failles, autant surApache, le nombre de failles est quasi-inexistant. Apache est une application serveur pour differents systemesd' exploitations, y compris Windows. 1 1 est entierement gratuit et aforte tendance a concurrencer le serveur lIS enraison de sa qualite et de sa fiabilite. II s'octroie d'ailleurs une plus grande part de marche que ce demier. Maisne vous fiez pas a ce modele de securite : des erreurs de configuration inherentes it la distraction de l'adminis-trateur peuvent avoir de lourdes consequences. Apache.org en a jait les frais en 99.SNMP : Simple Network Management ProtocolSNMP est un protocole de gestion d'equipement reseau qui pennet a l'administrateur d'interroger ses equipe-ments afin d' en recuperer des informations. Dans notre exemple, nous avons trouve quatre equipements sur notrereseau qui figuraient dans le community string "public", c'est-a-dire que n'importe qui peut avoir acces aux infor-mations que les equipements renvoient.rtI .:8- 1 00 .1 90 [ , ,1 9J )_ Iw . er .. s s A c c" .' P ' " ' " " - l~ -..&_o0.235 [AilpQiI57IW relesaAcress Poml]EHE_OO.243 INPI422E20 I (HP Je t. jJ ; re c i P r in t Server]e - . (Sj S N M P [,y>t!lmi1 " ' - ' [ 1 . s y. Oe ro r: H P ETHERNET MUl T I, EN V IRONMENT ,ROM G _ 0 70 2 ,J ET 01 RECT , JD 3 0, EEPROM. .. .. . 1 3 " Sl '$U p T ;r oe -: 2 d ay 1 2 h oe rs , 1 4 m ; nu te ~, 'l3 second.

j . . .. - [J 'l '$ N .m e: N Pl 42 2E 2 0. B' O b ie d I D : 1 _ 1 8_ 1 4 1 .1 1 . 2 _ 1 9 _1 [ H P J e t -D ~ ec l P r ; , , \ S O lV e r ), ... V endor: Hew lcil P ackard

EI . 1 ! l : I l O pen Por ts ( 41&}- 0 2 3! T ol ne t =} Remote login P,oIocol J-- 0 s o ( Http ~>"!wld W i de W e b. H TT P J

; ._ 0 5 15 ! plin ter ~ ) P,;"I., S poo le, I. t.,0 9100 [JeIOi ,ec l -> HPJe td ir ec t P ,i nt S elV er Ja - c & . . 1 00 .2 45 [ e2 45 . J [ Fa ra ll on - Netopia Fl9100)e ~ SNMP [ S J 'u e m J

! & M'P;;;U!.WUI[I IJ1i - IJ 'l'dJ pTille: 6 l iQuw, 15 mi .- . .. ( es , 2D sec" " ," ,j-0' O b i e c l lO - 1 . 3 . & 1 .4 _ 1 .3 0 -4 . 2. 2. 1 8 ( F a ra l l oo I~ e to p ia A S 1 0 0 ): _. -. .. .. V em lm : F a r. ~o n CompIJting. Ine.e -- A j l I 0 pe n P'"t. (2 )Itl...0 2 3 [ T slnel .> Remote Log in Protoco l jl i ' - - a 8 0 [ Ii Up .> Wodd Wid e Web, HTTP J Alegro-Soflwa.re-ftomPall"r/2.10

Vous pouvez trouver SUI internet des outils qui permettent d'automatiser les requetes. http://www.solarwinds.netJUna publication The Hackademy School 2001-2002-2003 DMP
http://www.solarwinds.netj/http://www.solarwinds.netj/


28/42

E va lua tio n d es ca ra ct eri stiq ue s d 'u n s ys te me

Note,' le community string "public" est, geniralement, la valeur par defaut attribuee a une machine faisant tour-ner un agent SNMP. C'est ii l'odministrateur d'en modifier fa configuration. Le contraire d'un string public estI e s tr ing "private", qui, lui, n'autorise a ne deiivrer aucune information au grand public.TELNETPas de miracle pour Telnet. Ce service est generalement restreint par une identification obligatoire par login et motde passe ...La banniere qu'afficbe Ie systerne peut en revancbe etre utile. Utilisez telnet pour vous connecter. Pardefant, vous vous connectez sur Ie port 23, done, it n'est pas necessaire de specifier de port.

R@d Hat Linux release 6.2 (loot)K~rnel2e2~17 on an i~86login: IDans notre exemple.Ia version complete du systeme d'exploitation est devoilee, Mais, et c'est tout aussi grave,Laversion du noyau (Kernel 2.2.17) I'est aussi. Avee de telles informations, ce type de systeme risque de ne pastenir deux secondes face a UJ] pirate de niveau moyen,Pour l'imprimante reseau HP IP=XXX.XXX.IOO,243:23 (trouvee avec Ie scan SNMP ci-dessus), it semble quecela ne soit pas Ie cas.

I ~ " . t t O ! JH P J e t D ir e c tp l ea se t yp e "?" for H E L P , Of' "/" f o . . c u r r e n t s e t t i n g s> ?

To C h a n g e / C o n f i g u r e Pa ra me te rs En te r:P a r a me t e r -n a m, , ' v a l " . . - < C a r r i a ge R e t ur n >

)

Pamrter-nQjlli'i p :s ubnat -mas k ;d e f a u l t - I I " ' :sys loq-svr-:idle-timoout:set -cmrrty-n"," e :nost-nsme:d h c p - c o n f i g :ipx/spl(,dlc/llc!e t h e r t a l k :b a n n e r :

Typ~ o f v a l ueI P - ad dr e, s i n dotted n o t a t i o na dd r es s i n d o tt ed n o ta ti o na dd r es s i n d o tt ed n o ta ti o na d d r e s s in d o t t e d notations ec on d~ i n i ~t eg .r sa l p h a - n u m e ri c ' t r i n g (32 c ha rs m ax)alpha-numeric string (upper case only,a to di sable, 1 'to anabl eo to disable, 1 to enableo t~ d i s ab l e, 1 t o e n a b l e(I to d i s a b l e , 1to enableo to d i s a b l e , . 1o enable

3 2 chars max

T y p e p ~s sw d Do c h a n g e th e ~ a s s w o r d ,Type "7" f or HELP, "r fo r current $ettln~s or " q u i t " to s a v e - a n d - e x i t ,Or type "exit" to eX1t witnollt savinq corrfiguration par1lllleter entries"Le transfert de zone DNSSi vous possedez un reseau ouvert sur le mande, ainsi que plusieurs ip sur le net, il est fort probable que vous pOS-sediez un serveur DNS , ou serveur de noms de domaines, Son role est de foumir aux visiteurs l'adresse ip cor-respondant au nom du systeme demande par l'utilisateur. Expliquons brievement son fonctionnernent sur lequelnous reviendrons dans Ie cours suivant,Vous souhaitez VOllS connecter au site de www.dmpfrance.corn

2 8 Une pub li ca ti on The Hackademy School 2001-2002-2003 DMP
http://www.dmpfrance.corn/http://www.dmpfrance.corn/


29/42

Evaluation des caracteristique d'un systeme

L E I S C H O O L

VOllS allez alors envoyer une requete DNS au serveur DNS de votre fournisseur d'acces afin qu'il transformewww.dmpfrance.com en adresse ip a joindre, Cependant, cette adresse ip peut Hre, dans le cas d'un reseau impor-tant que VOllS possederiez, l'adresse ip d'un serveur DNS propre a I'entreprise et appartenant a son dornaine, quevous interrogerez a son tour, afin d'obtenir l'adresse ip de www.dmpfrance.com. Les adresses ip de ees serveursDNS peuvent etre obtenues comme vous avez pu Ie voir par l'intermediaire des banques de donnees whois,Le serveur DNS, pour etre en mesure de savoir quel ip correspond a que] nom d'hOte, maintient it jour une tablede correspondance, A quoi sert done ce transfert de zone? Simplement a mettre it jour cette table de correspon-dance aupres d'autres serveurs DNS, generalement un serveur DNS de sauvegarde.Malheureusement pour nous, si votre serveur est mal. configure, 11peut autoriser la consultation de cette table an'importe qui. Le pirate aura alors acces aux adresses i1' et aux noms de toutes les machines compos ant Ie reseau,noms qui sont souvent tres revelateurs de leur role dans Ie reseau,Une fois l'ensemble de ces informations obtenues, le pirate cherchera laquelle semble la plus vulnerable, profitantde cette faiblesse pour s'introduire dans votre reseau.Ces informations peuvent etre obtenues grace it l'utilitaire MegaPing(http://www.softpile.comiinternetJUtilitiesJDownload_08678_1.html).

'l:I 00 15 l lN5 36259m 86259

II est toutefois possible de limiter ce transfert de zone, qui sous windows est autorise par default vers n'importequel serveur. Pour ce faire, lancer l'utilitaire MMC sous \Services et Ap1'lications\DNS\[serveur]\Forward LookupZone\[Nom de Zone] I Propr ie te , cochez l'option On ly to the following servers, et donner l'adresse ip de votreserveur de sauvegarde. nest egalement possible de desactiver totalement ce transfert de zone si vous estimez nepas en avoir besoin, en decochant l'option "Allow transfert zone".

Une pub li ca t ion The Hac ka demy S ch oo .1 2001-2002-2003 DMP
http://www.dmpfrance.com/http://www.dmpfrance.com./http://www.dmpfrance.com./http://www.dmpfrance.com/


30/42

us d iff er en ts t yp e s d 'a t taque s

H A C K A l fM Y 8 C H O D L

Les differents types d' attaquesLa configuration du systemeSi un systeme s'avere mal configure, le pirate peut tenter d'exploiter des erreurs de configuration, compromettantla securite du systeme. Ces erreurs de configuration necessitent de bien connaitre le fonctionnement du systemecible car le principe de leur exploitation n' est pas Iememe que pour les failles. Biles sont variables, specifiques acertains environnements, ce qui rend la facilite de leur exploitation, ainsi que les processus qui permettent de Iesexploiter, quasi-aleatoires.Configuration par defaut : la faiblesse premiere d'un systeme.En guise d' exemple de problerne de configuration, on pourrait parler des systemes dont la configuration d' origi-ne n' a pas ete retouchee. Les routeurs sont potentiellement les premieres victimes de ces problemes.

1.Le pirate va s'attaquer a un systeme specifique;2. nva regarder de quel type de systeme it s'agit (revelation d'informations par SNMP ou par les bannieres);3. n va rechercher des documents relatifsa 1a configuration d'origine du systeme (comme des listes conte-nant les mots de passes par defaut pour l'acces a l'administration du systeme) ;

4. II va tester ces logins et/ou mots de passes.Failles logicielles et exploitsAu niveau des serveurs, Ies failles logicielles recherchees se portent, quasiment tout le temps, sur les applicationsserveurs. Trouver des failles n'est pas une chose facile, et il n'est pas rare que les pirates, merne les plus experi-mentes, exploitent des failles deja connues et publiques, Cette exploitation de failles se fait courarnment par ceqU 'OD appeile des "exploits". Un exploit est Ie processus (un logiciel, une suite de manipulations, etc.) qui perrnetd'utiliser one faille pour porter atteinte au systems cible,Failles et exploits sont recenses sur des sites specialises comme SecurityFocus (http://www.securityfocus.com).Securiteam (http://www.secnriteam.com) ...D devient done facile de tester d' eventuelles vulnerabilites sur un sys-teme it l'aide des informations que diffusent ces sites.Certains logiciels perrnettent de reperer et d'exploiter une faille sans qu'aucune competence technique ne soitrequise ..Les utilisateurs de ce type de logiciels sont aussi connus sous le nom de "Script Kiddies" au "Lamers".Le "bruteforce"Le Bruteforce est une technique qui consiste a tester, pour un nom d'utilisateur donne, des series de mots depasses. Cett.e technique est efficace sur les systemes ne mettant pas de limite aux nombres d'essais de saisies demots de passes. Referez-vous a l'article de HackerZ Voice n? 6, en ligne sur www.dmpfrance.com, pour en savoirplus sur les methodes et processus d'identification.Comme il est possible de le constater, l'attaque est ce qu'il y a de plus court a faire, car c'est blanc au noir,L'attaque marche au ne marche pas. Certes, certaines attaques peuvent etre longues, d'autres tres breves, d'autrescompliquees ... Des faiblesses peuvent apparaitre lors de la recherche d'informations sur Ie systeme, permettant derealiser une attaque sur I'instant.

Una publi ca t ion The Hack ademy School 2001-2002-2003 OMP
http://www.dmpfrance.com%2C/http://www.dmpfrance.com%2C/


31/42

Proteger votre systeme

L E S C O U R S P A R C O R R E S P O N D A N C E D E 1 1 I E IA G K A D E M Y S C H O O L

Pro te ge r vo tre sy ste meAvoir une bonne politique de mot de passeVous l'aurez constate au cours de ces differents chapitres, des mots de passe faibles, c'est-a-dire faciles a deviner,ou ayant un quelconque rapport avec un element de votre vie personnelle sont une faille beante que n'hesiterontpas a employer certains pirates qui n'ont pas peur du manque de discretion. n faut cependant savoir que ce sontces mots de passe dits faibles qui sont Iil'origine de la majorite des intrusions. En effet, les pirates disposent dedictionnaires de mots de passe qui peuvent faire plusieurs dizaines de megabits, et dans lesquels sont listes lesmots les plus farfelus que vous pourriez utiliser. N'ayez done pas uniquement confiance dans la longueur de vosmots de passes.Qu'est-ce qu'un bon mot de passe alors ? Considerez qu'il doit faire au moins huit caracteres de long, et altemezcaracteres de type numerique et alphanumerique, par exemple :r2HmSjKIOnEvidemment, un intrus potentiel pourrait essayer toutes les combinaisons possibles, mais Ie temps que cela pren-drait pour trouver un tel mot de passe rend cette option inenvisagable.Faire disparaitre ses bannieresComme vous l'avez constate, une personne rechercbant des informations sur vas serveurs et sur votre systemed'exploitation serait ravie de voir que vous laissez Iisa disposition cette mine d'informations que sont les ban-nieres. nsuffit done d'en changer le contenu, et pourquoi pas merne d'y inserer de fausses informations, qui indui-rant le pirate en erreur. Sous Iinux, pour changer la banniere du serveur telnet, it suffit de se rendre dans le fiehier/ete/issue.net.. Pour les autres serveurs, 1es bannieres se chan gent directement dans les fichiers de configurationqui leur sont propres,La mise en place d1un firewallUn firewall a pour tache d'empecher toutes connections non desirees, et surtout non autorisees a l'un de vos ser-veurs. n interdit done toutes connections sur l'ensernble des ports 1-65535, si celles-ci n'ont pas e t e specifieescomme etant autorisees, Il existe deux poliques differentes de regles Iiappliquer, rune bonne, I'autre mauvaise :- on interdit tout, puis on explicite specifiquement ce qui est autorise, il s'agit naturellement de la bonne politique- on autorise tout, puis on explicite specifiquement ce qui est interdit, ils'agit de la mauvaise politi quePourquoi done un administrateur utiliserait cette deuxieme politique alors qu'il est evident qu'elle n'est pas sou-haitable : parce que certaines applications et certains serveurs necessitent de creer plusieurs canaux de communi-cation, et cela demande une configuration plus delicate des regles de ftltrage au niveau du firewall pour permettrea celles-ci de fonctionner correctement. Cependant, cette negligence peut avoir des consequences desastreuses ence qui concerne l'integrite de votre systerne.nest une autre notion a expliquer concernant les firewalls qui n'est pas forcemeat evidente au premier abord.Quand on parle de firewall, on pense toujours au fait de bloquer les connexions entrantes, c'est-a-dire celles quisont destinees avos serveurs, Ceci est vrai mais pas complet. Un firewall peut egalement ernpecher les connexionssortantes. Pourquoi done utiliser une telle option ? n y a d'abord les cas ou vous voudriez empecher les utilisa-teurs de votre systeme de perpetrer des actes de piratage, au d'acceder a certains services, mais ce point ne seraaborde que plus tard, II existe un autre cas ou Ie pirate, can scient du fait que votre firewall lui interdise toutesconnexions it votre serveur, vous fasse executer un programme a votre insu qui se chargerait de se connecter a sonordinateur, etablissant une connexion sortante, et a l'aide d'une autre technique qui ne sera pas expliquee ici, luipermettra de prendre possession de votre systeme , malgre son impossibilite a se connecter a celui-ci,n existe pour cela un excellent freeware du nom de Zone Alarm (www.zonealarm.com), tres simple d'utilisation,mais qui a Ie desavantage de n'etre reellement efficace que sur un poste mono-utilisateur. 11a cependant l'avanta-ge d'avoir un systeme de mise en place de regles extremement simple. Par default, et des 1afin de son installation,it interdit toutes connexions, qu'elles soient entrantes ou sortantes. Puis, a chaque fois qu'une connexion exterieu-re cherchera a acceder it l'un de vos serveurs, it vous dernandera l'autorisation. De plus, pour chaque applicationsortante, c'est-a-dire qui cherche a se connecter au web, it vous demandera egalement l'autorisation de laisser cette



32/42

P ro te ge r v otre sy st em e

S C H O O L

connexion s'etablir, VOUS aurez la possibilite bien sfir de rendre cette autorisation permanente en cochant la caseadequate lors de l'affichage du menu d'avertissement, Enfin, ce firewall bloquera et enregistrera (vous dormant l'ipde l'assaillant) les attaques lancees centre votre systeme, ainsi que les requetes icmp echo jequest (ping) et lesscans de portset, bien entendn, chaque tentative de connexion.Voici Ie panneau de commande general de zonealarm:

Overv Iew St.nusOverview voute proIecIed by

loneAIarm!

Ul,,"~e~ b~r" sin....4710 I, u ,; om ho ve Innblocked , i n c . jrotol1 ol those have been l>gIwaled

Firewall 1'0 f u r 1 i > e r sol"" Isreeeeeerv-. loneAJ~flTIIPro-gfa m wi ll al ert y ou it you needtoCQ ntr 0 I meke MY ~"i.r~ nfhT'~c- < : : < : > ~ . r !::t((::,Ttte r eosrame i lndW i t jd0 \ J \l 3Com~CI~ents ILs te~D~~Ofnee" ! ! ' l Ii : '! : [ lIela t[ ;. es s ~ r v a u to : tie a~ra ID dc th lr JgsI ih e s u rf !h e ~ ai ) a I H I' (o ll -e c t e -ma il .Z Q i l e A J . a 1 l " n c a r- s e tt tJ em u p l io w fO rs .a rnmrema t a cce ss, : s: d ln gyou t imE !art!:leff{]rt~~f.

r t : " NO.AJsr lmE' la!8r rMlBn m:JIbrowBElrarujthese comacnerse need t n teme t a c ces s.r" A d Y a I l : G e d . L e t m e . c u s t o m i~ a sc es e a ndServer penrass i cna 1 b r a b ro a de r r i: n! ;l e I J : f

P 'o ! iF ;! {J 1S a n ( j c om ' P 'O : he f1 .t e n O W .

r Ye~.

rI Rdumng U!i~ I y


33/42

La recherche de donnees sur Internet

Do y ou want to a llo w Commande TCP /IP Ping 10eccess the Inlerno:t?TechnicallnformationDestinat ion IP: 211193.1 110AppkatiOl'l: ping.e~eVersion:5 . 0 1 1 2 1 3 4 . 1More Informalion AvailableT h i s p r e g r a m h a s previouslY a c c e s s e d th e I n t e r n e t .

(~AlertAdvisor [ . More Info .1 lrR em em be r th is a n s w e r the next t i m e I we t h i sprogram.

Dans ce cas, zonalarm demande s'il a l'autorisation de laisser Ieprogramme ping.exe aller sur internet. Si vous n'avez lance aucunprogramme qui devrait aller sur le net, vous devriez refuser sa sor-tie. Il peut s'agir d'une application installee par un pirate dansvotre systeme pour le controler a . distance, ou pour vous voler desinformations,

La recherche de donnees sur InternetQu' elle soit infonnaticienne, pirate ou novice, une personne doit e : t r e a meme de rnettre a sa contribution touteslcs ressources a portee de sa main. La premiere zone d'information qu'ait one personne dans ce dornaine n'estplus la litterature. C' est Internet.

Savoir mener des recherches efficaces sur Internet est la clef de la reussite. Personne n'a la science infuse, maisle rassemblement des masses de donnees sur un seul et meme reseau pennet an' importe qui d' avoir acces Iin' im-porte quel savoir,Les sources d'infonnatians sur le piratage ne sont pas aussi rares qu'on pourrait le croire. Certes.Ies sites illegauxdiffusant moult "cracks" ou tutoriaux illegaux sont difficilement repera

Documents

Cours de sécurité informatique - Premier niveau 1