Profiling d'un système d'information
Comment profiler un système d'information
|
||||
| |
Le "Profiling" des individus est universel et antérieur à l'Internet. Le réseau des réseaux à simplement multiplié à l'infini les méthodes de "tracking" et les cibles (vous).
La vie privée a disparue même si le droit laisse entendre qu'elle existe et prétend la défendre.
Plusieurs pages sur Assiste.com, si ce n'est le site entier, sont consacrées à la protection de la vie privée en mettant à mal les outils de tracking
Quand est-il du profiling des systèmes d'informations, c'est-a-dire de la collecte de données sur un système et son architecture en vue de préparer une attaque ?
Laissons de côté le cas de l'espion qui pénètre les locaux - c'est un problème de contrôle d'accès (accès physique dans les locaux et accès par identification dans le système : du simple login / mot de passe aux systèmes sophistiqués d'empreintes digitales, vocales, morphologique etc. ...).
Laissons de côté le cas du mot de passe et du "login" donné, tout simplement, car l'utilisateur est, là encore, la faille du système. Il peut être facilement manipulé par de l'ingénierie sociale et donner son mot de passe à 2 heures du matin, du fond de son lit, au téléphone, à un criminel convaincant qui se fait passer pour son directeur de l'informatique en pleine "manip" de sécurisation du système !
Que peut-on apprendre d'un système à distance. Les outils seront tout simplement les mêmes que dans le profiling des personnes physiques. Il s'agit de savoir quels outils sont installés de manière à savoir quelles failles exploiter.
En envoyant un e-mail doté d'un Web Bug installé sur un site contrôlé par l'attaquant, à une adresse e-mail réelle du système cible, on obtient des informations sur le système de messagerie.
Inopérant si le message est classé à spam et n'est pas ouvert (anti-spam)
Inopérant si un proxy demande l'authentification du site distant
Inopérant si on bloque le téléchargement automatique des images distantes dans le client de messagerie
Inopérant si la messagerie n'est acceptée qu'en mode texte (rejet du code html)
Inopérant si le "user-agent" du client de messagerie est forgé
En envoyant un e-mail doté d'un lien cliquable vers une page d'un site probablement "utile" à l'attaqué (donc favorisant les chances de "clic"), mais en passant par un site contrôlé par l'attaquant (qui fera la redirection), on récupère les informations sur le navigateur Internet, le système d'exploitation, les plug-ins installés et toutes ces "choses" détaillées dans "Qui êtes-vous ?".
Inopérant si le message est classé à spam et n'est pas ouvert (anti-spam)
Inopérant si un proxy demande l'authentification du site distant
Inopérant si la messagerie n'est acceptée qu'en mode texte (rejet du code html)
Moins opérant si le "user-agent" du navigateur Internet est forgé (mais le serveur donne beaucoup d'informations à l'attaquant)
Inopérant si les liens avec passage d'arguements sont nettoyés sauf pour une liste blanche de domaines
En envoyant un e-mail à un destinataire inexistant du domaine attaqué, le serveur de messagerie du domaine va répondre par un message d'erreur dont l'entête dira quel est le serveur de messagerie installé et d'autres informations sur les outils installés. On saura alors quelles failles exploiter pour prendre le contrôle du serveur de messagerie. D'autre part, si le serveur de messagerie, dans son message d'erreur, retoure le message complet envoyé, on pourra s'en servir, en forgeant les adresses "répondre-à" et "expédié-par", pour envoyer du spam anonymement.
Inopérant si le serveur de messagerie ne retourne pas le message (cette simple disposition mettrait fin à l'une des pires techniques exploitées par les spammeurs : les "bounce").
Le cheval de Troie
Tous les moyens sont bons pour y arriver. C'est l'utilisateur qui sera le meilleur complice de l'attaquant, grâce à un système mal protégé (c'est-à-dire dont le responsable de la sécurité n'a pas mis en place les moyens pour qu'un utilisateur, même avec un compte "limité", ne puisse jamais installer une application. Le cheval de Troie implantera les outils nécessaires (spywares, backdoor etc. ...) pour que l'attaquant puisse faire le profil du système d'information de l'attaqué dont :
Softwares installés et niveaux de patch
Comptes utilisateurs
Couches de protection
Architecture du système (protections des accès Web, protections des accès messagerie, protections des postes de travail...)
Adresses e-mail
Moteurs de recherches utilisés
Newsgroup consultés
Mailing-list auxquelles sont abonnés les employés et l'entreprise
Historiques des navigations, Favoris et signets, portails personnels (accès aux pages de "social networking" des emplyés par le vol des comptes utilisateurs) permettent de trouver les sites institutionnels visités, les cliens, fournisseurs et autres partenaires, les requêtes faites aux Greffes des Registres du Commerce et à l'INPI (brevets, marques, noms de domaine...), paramétrage de ses systèmes d'alertes et de serveillance de l'information (sur ses concurents, technologies...).
La vie privée a disparue même si le droit laisse entendre qu'elle existe et prétend la défendre.
Plusieurs pages sur Assiste.com, si ce n'est le site entier, sont consacrées à la protection de la vie privée en mettant à mal les outils de tracking
- en les détruisant (antivirus, anti-spywares, anti-script...)
-
en les bloquant (pare-feux, filtrage par proxy, listes noires type Hosts, destruction des cookies...)
-
en les crétinisant, (modification aléatoire continue des GUID, des code MAC, des "referer", des contenus des cookies...)
-
en développant la furtivité (tunels cryptés, cascades de proxy de redirrection, cryptographie, navigation depuis des cyber-cafés...)
-
en effaçant les traces internes contre le principal espion : la personne physique qui se présente devant le poste sur lequel vous avez travaillé.
-
en rendant plus difficle la pénétration d'un cheval de Troie et sa charge active (durcissement des réglages en supprimant la technologie ActiveX, en surveillant Java, JavaScript, VBScript..., en appliquant tous les correctifs aux failles de sécurité, en supprimant Windows Scripting Host, en contrôlant tous les contenus actifs, en interdisant les technologies bi-directionnelles comme les DRM, la compression vidéo Wmv etc...).
Quand est-il du profiling des systèmes d'informations, c'est-a-dire de la collecte de données sur un système et son architecture en vue de préparer une attaque ?
Laissons de côté le cas de l'espion qui pénètre les locaux - c'est un problème de contrôle d'accès (accès physique dans les locaux et accès par identification dans le système : du simple login / mot de passe aux systèmes sophistiqués d'empreintes digitales, vocales, morphologique etc. ...).
Laissons de côté le cas du mot de passe et du "login" donné, tout simplement, car l'utilisateur est, là encore, la faille du système. Il peut être facilement manipulé par de l'ingénierie sociale et donner son mot de passe à 2 heures du matin, du fond de son lit, au téléphone, à un criminel convaincant qui se fait passer pour son directeur de l'informatique en pleine "manip" de sécurisation du système !
Que peut-on apprendre d'un système à distance. Les outils seront tout simplement les mêmes que dans le profiling des personnes physiques. Il s'agit de savoir quels outils sont installés de manière à savoir quelles failles exploiter.
En envoyant un e-mail doté d'un Web Bug installé sur un site contrôlé par l'attaquant, à une adresse e-mail réelle du système cible, on obtient des informations sur le système de messagerie.
Inopérant si le message est classé à spam et n'est pas ouvert (anti-spam)
Inopérant si un proxy demande l'authentification du site distant
Inopérant si on bloque le téléchargement automatique des images distantes dans le client de messagerie
Inopérant si la messagerie n'est acceptée qu'en mode texte (rejet du code html)
Inopérant si le "user-agent" du client de messagerie est forgé
En envoyant un e-mail doté d'un lien cliquable vers une page d'un site probablement "utile" à l'attaqué (donc favorisant les chances de "clic"), mais en passant par un site contrôlé par l'attaquant (qui fera la redirection), on récupère les informations sur le navigateur Internet, le système d'exploitation, les plug-ins installés et toutes ces "choses" détaillées dans "Qui êtes-vous ?".
Inopérant si le message est classé à spam et n'est pas ouvert (anti-spam)
Inopérant si un proxy demande l'authentification du site distant
Inopérant si la messagerie n'est acceptée qu'en mode texte (rejet du code html)
Moins opérant si le "user-agent" du navigateur Internet est forgé (mais le serveur donne beaucoup d'informations à l'attaquant)
Inopérant si les liens avec passage d'arguements sont nettoyés sauf pour une liste blanche de domaines
En envoyant un e-mail à un destinataire inexistant du domaine attaqué, le serveur de messagerie du domaine va répondre par un message d'erreur dont l'entête dira quel est le serveur de messagerie installé et d'autres informations sur les outils installés. On saura alors quelles failles exploiter pour prendre le contrôle du serveur de messagerie. D'autre part, si le serveur de messagerie, dans son message d'erreur, retoure le message complet envoyé, on pourra s'en servir, en forgeant les adresses "répondre-à" et "expédié-par", pour envoyer du spam anonymement.
Inopérant si le serveur de messagerie ne retourne pas le message (cette simple disposition mettrait fin à l'une des pires techniques exploitées par les spammeurs : les "bounce").
Le cheval de Troie
Tous les moyens sont bons pour y arriver. C'est l'utilisateur qui sera le meilleur complice de l'attaquant, grâce à un système mal protégé (c'est-à-dire dont le responsable de la sécurité n'a pas mis en place les moyens pour qu'un utilisateur, même avec un compte "limité", ne puisse jamais installer une application. Le cheval de Troie implantera les outils nécessaires (spywares, backdoor etc. ...) pour que l'attaquant puisse faire le profil du système d'information de l'attaqué dont :
Softwares installés et niveaux de patch
Comptes utilisateurs
Couches de protection
Architecture du système (protections des accès Web, protections des accès messagerie, protections des postes de travail...)
Adresses e-mail
Moteurs de recherches utilisés
Newsgroup consultés
Mailing-list auxquelles sont abonnés les employés et l'entreprise
Historiques des navigations, Favoris et signets, portails personnels (accès aux pages de "social networking" des emplyés par le vol des comptes utilisateurs) permettent de trouver les sites institutionnels visités, les cliens, fournisseurs et autres partenaires, les requêtes faites aux Greffes des Registres du Commerce et à l'INPI (brevets, marques, noms de domaine...), paramétrage de ses systèmes d'alertes et de serveillance de l'information (sur ses concurents, technologies...).
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music