J'ai conscience que ce blog tourne un peu au ralenti cette année. D'un billet par semaine, nous sommes passés à un tout les deux mois, et encore. Mais je ne suis pas resté sans rien faire ! Je vous propose aujourd'hui d'en apprendre un peu plus sur les injections SQL, et sur le fonctionnement interne de sqlmap. Je viens en effet de terminer la rédaction d'une petite étude sur la question.

Bien que j'ai essayé d'être le plus didactique possible, les 20 pages de ce dossier sont plutôt destinés à des gens qui connaissent déjà un peu le langage SQL, et qui ont déjà entendu parler des injections. J'y explique les principaux types d'attaque : Empilement de requête, union, basées sur les messages d'erreur, en aveugle et en aveugle total (time based). J’aborde aussi les mécanismes mis en œuvre pour l’exécution de code à distance. Enfin je parle des techniques d'évasions utilisables lorsque l'on est en face de filtres applicatifs (WAF). (NB : Certains exemples de ce chapitres sont tirés d'une présentation à laquelle j'avais assisté chez DenyAll. Merci à leur directeur technique qui maîtrise parfaitement son sujet)

EDIT : Vous trouverez par ici une version beaucoup plus complète de ce document. Une version qui contient également deux gros chapitres sur les logiciels burp et metasploit...

myst (my snifing tool) est un petit outil ayant trois fonctions simples:

• Scanner le réseau pour savoir rapidement ce qui s'y trouve
• Empêcher une machine donnée d'aller sur Internet
• Suivre l'activité d'une machine et récupérer ce qu'elle fait transiter en clair

Tout cela en utilisant l'attaque ancestrale du "Man in the middle" par empoisonnement du cache arp de la victime. Mais puisque ce truc ne révolutionne rien du tout...

Pourquoi utiliser ce bidule ?

• myst est, à ma connaissance, le premier outil à implémenter simultanément un scan arp et SSDP (Simple Service Discovery Protocol). j'en avais déjà parlé ici. Cela permet d'avoir une vision rapide et souvent très précise de ce qui se trouve sur un réseau.

• Il a été entièrement conçu pour être "michu compliant". La philosophie est simple : une seule commande à lancer, avec le moins d'option possibles. Typiquement la seule chose à indiquer sera l'ip de la victime, myst se débrouillera tout seul pour le reste.

• Parce que c'est moi qui l'ai fait ! :p

• Sérieusement, myst n'est qu'un script en python/scapy d'environ 300 lignes (dont pas mal de blabla en français). Il peut donc être compris et modifié très facilement.

Petit exemple d’utilisation

Vous arrivez chez des (futurs anciens) amis, et avez envie de voir un peu ce qu'ils ont chez eux. Connecter vous en filaire ou en wifi sur leur réseau et lancez un scan : sudo myst -s

Chez moi, vous obtiendriez quelque chose comme ça :

$ sudo myst -s
Guessing values...
Interface :	eth0
IP/netmask :	192.168.1.12/24
Gateway    :	192.168.1.254
Usually scan will take less than 10 seconds. Please be patient.
6 hosts founds :
192.168.1.2	?
192.168.1.5	?
192.168.1.7	http://192.168.1.7:1107/DeviceDescription.xml
192.168.1.101	http://192.168.1.101:62580/
192.168.1.253	http://192.168.1.253:49152/InternetGatewayDevice.xml
192.168.1.254	http://192.168.1.254:52424/device.xml

Les points d’interrogations sont des machines qui n'ont pas de services UPNP actifs. Ici il s'agit d'un serveur sous linux et d'un PC sous windows (correctement configuré pour désactiver tous ces machins). Pour les autres, c'est que du bonheur. Les urls fournies vous donneront des informations complètes sur l'équipement en question (type, marque, modèle, possibilité, configuration etc.) Dans la majorité des cas vous n'avez plus qu'a aller récupérer le mot de passe admin par défaut sur le net... (ce qui, chez moi, ne fonctionnera pas ;)

Supposons maintenant que vous ayez envie de regarder quels genre de sites va consulter votre "ami". La commande sera : sudo myst -w IP (en ajoutant un -d si vous voulez visualiser tout le contenu du trafic http, ou un -a si vous voulez aussi suivre les réponses du serveur). A ce moment, vous découvrez avec horreur qu'il passe son temps à visionner des vidéos de propagande de la RIAA. Pour son propre bien, et parce qu'il n'a finalement pas su sécuriser correctement son installation (un délit puni par la loi je vous rappel), "déconnecter" le vous même : sudo myst -k IP

Installation

Comme d'habitude, vous avez le choix entre un paquet au format deb (qui devrait fonctionner sous debian et sous ubuntu), et uniquement le script en python. Script qui ne fonctionnera pas si vous n'installez pas les pré-requis suivants :

sudo apt-get install tcpdump python-scapy tcpflow gupnp-tools

Le futur

Écouter ce qui passe en clair c'est bien. Mais 99% du trafic passe maintenant par ssl. Je voudrai donc réussir à associer myst et sslstrip. Mais ce sera pour plus tard...

Conclusion

Have fun !

PS : Si une personne vous rapproche d'avoir "écouté" ses conversations, répondez lui d'un air entendu, et sur ton un poil provocateur : "Non mais tu sais, la vie privée de nos jours, ça ne veut plus dire grand chose. Entre les réseaux sociaux, les services de renseignements qui se refilent nos données personnels, et les mastodontes du web qui nous vendent comme du bétail... Franchement qui s'en souci ? Tant que tu n'a rien à te reprocher..."

Introduction

Voila plusieurs jours que j'attendais le blocage, paré à "faire feu" (voir comment il était possible de le contourner etc). Et rien. En fait, le blocage était déjà en place, sauf que je ne m'en étais même pas rendu compte. Oui parce que, les serveurs dns, chez Free, il y a un moment (est-ce que c'est toujours le cas ?) ou ils passaient leur temps à tomber. Du coup, ça fait des années que j'en utilise d'autres. Soit ceux de Google par ce que l'ip est facile à retenir (8.8.8.8) soit ceux d'opendns etc.

Pour une fois je vais donc pouvoir passer tout de suite à a conclusion :)

Conclusion :

Je m’attendais à un truc "compliqué" genre au moins deux ou trois clics comme la fois précédente. Mais la c'est juste à mourir de rire. Même si le nombre de gens qui utilisent encore piratebay doit être bien faible, ça fait toujours plaisir de pouvoir faire un bon gros doigt à tous ces enfoirés "d'ayants droit à que dalle" et aux "élites" qui acceptent leurs chèques valises pleine de cash. Allez bien tous vous faire foutre. Vous tous. Les mafias corporatistes, les gouvernements et vous aussi, les flics, qui n'avaient visiblement rien de mieux à faire que d'emmerder les petits vieux qui en sont encore à graver leurs films sur DVD.

La technique. (Non mais vous êtes sérieux la ?)

Bon allez, je suis obligé de l'écrire sinon ce billet ne serait pas complet. Depuis le fameux "blocage", les serveurs DNS (ceux de Free en tout cas) renvoi la mauvaise adresse 127.0.0.1 quand on les questionnent sur, par exemple, l'ip de "thepiratebay.se". (Pour le voir, un simple ping suffit). Il suffit donc de modifier le serveur DNS à interroger et le tour est joué. Pour ceux qui ont une interface graphique, allez dans "modifications des connexions". Double cliquer sur votre connexion, allez dans l'onglet "Paramètres IPV4" et à la place de "Automatic DHCP", choisissez "Adresses automatiques uniquement (DHCP)". Ensuite, sur la ligne des serveurs DNS, indiquez l'ip de votre choix (voir plus bas).

Pour ceux qui sont en ligne de commande, je rappel que le fichier à éditer s’appelle : /etc/resolv.conf

Éditer donc simplement ce fichier et laissez uniquement la ligne suivante :

nameserver 80.67.169.12

Enregistrer le fichier, et c'est terminé. Refaite un ping et admirez le résultat. Redémarrez votre ordinateur (firefox à un cache un peu capricieux) et adieu le "blocage".

EDIT : IP modifiées, je met celle du DNS de FDN plutot que ceux de google... EDIT 2 : Pour ceux qui sont encore sous windows, vous trouverez l'explication partout, par exemple ici.

J'ai eu la chance de pouvoir assister, vendredi dernier à l'ISC, à une présentation sur l'état actuel de l'informatique quantique "dans la vraie vie". Renaud Lifchitz, chercheur en sécurité chez Oppidia, avait eu la bonne idée de refaire, mais cette fois ci en français, la présentation qu'il avait déjà faite à la NoSuchCon.

Et a mon avis, pour pouvoir comprendre un peu de quoi on parle, avoir les explications (et pouvoir poser des questions etc) en français, ça change tout :p (Et non je suis pas une quiche en anglais).

Vous trouverez la vidéo faite à la NSC ainsi que les slides ici. (Slides sont aussi disponibles sur slidehsare).

Et donc on en est ou ?

Les ordinateurs quantiques dans le monde existent mais se comptent sur les doigts d'une main. Google en a un, qu'il partage avec la NSA. Et il y a peu être une ou deux universités équipées. Et encore, il faut distinguer deux types d'ordinateurs quantiques. Les "vrais" et les faux. Les vrais permettent vraiment d'implémenter n'importe quel algorythme quantique alors que les "faux" ne sont conçus que pour résoudre un type de problèmes bien particulier (recherche d'une fonction optimale ou des meilleurs solutions ou quelque chose comme ça...)

Les "vrais" ordinateurs travailleraient sur 20 a 30 qbits au maximum. Mais, et la c'est intéressant, ils évoluent à peu près à la même vitesse (loi de Moore) que les ordinateurs traditionnels. En partant de cette hypothèse (qui pour le moment se vérifie donc), le chiffrement symétrique sera "menacé" dans 10 ou 15 ans. Le chiffrement asymétrique dans 25 ou 30. MAIS, il y a un gros MAIS...

Pour le chiffrement symétrique, on a déjà mathématiquement prouvé que le meilleur algorithme quantique de recherche (en racine de N) avait déjà été trouvé. Du coup, il suffira de doubler la taille de la clef (passer de l'AES 128 à de l'AES 256) et plus de problèmes.

En revanche, pour le chiffrement asymétrique, qui repose sur des problèmes mathématiques comme la factorisation de grand nombre ou le logarithme discret, la le système sera complètement cassé. Augmenter la taille de la clef ne devrait pas changer grand chose. Donc, il y a vraiment un gros soucis, et des personnes essayent actuellement de trouver de nouveaux algo de chiffrement qui seront capables de résister à l'informatique quantique.

Rappels sur le chiffrement symétrique/asymétrique

Le chiffrement symétrique et celui qui est utilisé pour chiffrer les communications, les disques durs etc. On "transforme" simplement la donnée pour la rendre incompréhensible, mais cette transformation est réversible si on connaît la bonne clef.

Le chiffrement asymétrique, très consommateur en calcul, n'est utilisé que pour chiffrer de toute petite quantité de données. C'est le principe des signatures électronique. Surtout, il est utilisé pour réaliser les échanges de clef. Quand vous cous connectez sur un site en https, la première étape consiste à "négocier" une clef entre les deux machines. La on utilise du chiffrement asymétrique. Une fois que les deux machines se sont mises d'accord sur une clef, cette dernière est utilisée pour chiffrer symétriquement le reste de la communication.

Autrement dit, et même si il existe des cas ou on fait juste du chiffrement symétrique (quand vous chiffrez votre disque dur avec un mot de passe), la plupart du temps on utilise une combinaison des deux techniques de chiffrement.

Pour le fun, la crypto c'est un peu le sujet de la majorité de mes cours actuellement. Mon dernier TP, à été de réaliser l'une des attaques décrite dans ce document. (Cryptanalyse différentielle d'un blockcipher... Dit comme ça, ça en jette non ? :)

Conclusion

Les jours de RSA sont comptés. Et les chercheurs ont 20 ou 30 ans pour trouver autre chose. Au boulot :p

Alors, je prend les paris, Internet ou les jeux vidéos ? Moi je vote les deux. Internet dans un premier temps (je l'ai déjà entendu évoqué hier), puis quand on les aura retrouvé, il y en aura bien un des deux qui aura au moins joué à pacman une fois dans sa vie. Comment, ne pas y voir la source de cette agressivité, et de ce coup démesuré pour la course poursuite...

Mes pensées vont, bien sur, à toutes les personnes qui vont êtres emmerdées durant les prochains jours, dans les transports ou ailleurs, à cause du "renforcement de la sécurité". (A ce sujet, je suis à 200% avec la dernière citation indiquée par Zythom)

Blague à part, j'ai les boules. Pas en pensant à ces deux abrutis. De tels tarés sont fort heureusement ultra minoritaire dans notre société. Ce qui me fout vraiment les boules, c'est de penser à tout ceux qui sont en train secrètement de se dire "Quand même, ils l'avaient bien cherché". Pour ceux la je dois aujourd'hui faire une petite mise au point. Si jamais j’entends une personne prononcer tout haut ce genre de discours en face de moi, je lui défonce le crâne. Et cela pour deux raisons :

Par respect pour ses croyances et sa vision du monde

Ou il est donc logique et normal que si elle dit un truc qui ne me plaît pas, je lui tombe dessus avec la plus grande violence.

Dans une démarche purement scientifique

Afin de constater, de visu, si cette personne est normalement constitué ou si quelque chose d'autre n'aura pas pris la place de son cerveau.

Conclusion

Je fais parti de la génération Dorothée. Cabu était comme un ami d'enfance. Et il ne faut aucun doute que toutes les personnes qui ont étaient assassinés étaient des gens bons et bienveillants. Nous ne pouvons que pleurer ensemble. Tenter de contenir ce dégout, cette colère qui est en nous. Sans suivre l'exemple de nos merveilleux dirigeants qui, si j'ai bien tout suivi, ont commencé leur démonstration d'unité par l'exclusion d'un parti pour la manif de dimanche...

PS : Tout ceux qui me connaissent savent que je ne ferai jamais de mal à qui que ce soit (mais venez pas me faire chier quand même parce que j'ai bien la rage la). Surtout, j'ai toujours défendu une liberté d'expression totale et absolue. Oui il est insupportable de lire certaines conneries en ce moment sur le net. D'un autre coté, laisser ces cons l'ouvrir restera longtemps la meilleure façon de les repérer.