Les articles de MISC Hors-Série N°11

Article mis en avant

Préface

« Why do you need Japanese steel ?— I have vermin to kill.— You must have big rats if you need Hattori Hanzo's steel.— Huge » [1]

Pour ce premier mook [2] de MISC, nous avons décidé d’aborder les outils de sécurité sous un angle un peu original. Nous avons présenté dans les différents numéros la plupart des logiciels indispensables aux « red team » comme aux « blue team ». Si vous êtes lecteur de longue date vous connaissez déjà tout un outillage pour auditer un réseau, des applications, réaliser des recherches sur un disque, détecter des activités malveillantes...

Beaucoup d’outils de sécurité ont déjà été présentés dans MISC, mais nous souhaitions réaliser un numéro « hors-série » dédié aux différents logiciels pouvant se révéler indispensables à l’expert en sécurité que ce soit pour un pentest, une vérification du bon fonctionnement de ses mesures de protection ou pour un challenge de sécurité.
L'outil « Scapy » [SCAPY], développé en python par Philippe Biondi, est un logiciel libre permettant la manipulation de paquets réseau. Il peut être vu comme un couteau suisse réseau, intégrant déjà de nombreuses fonctionnalités, et constituant une base solide pour construire de nouveaux outils.
Développé par Philippe Biondi, Scapy est un outil écrit en Python facilitant la création de paquets, ainsi que leurs envois et leurs réceptions sur le réseau. En dépit d'une documentation exemplaire, la rumeur veut que Scapy soit lent. S'il est vrai que les performances ne sont pas tout le temps au rendez-vous, il faut rappeler que Scapy a été développé pour permettre un prototypage rapide et une interaction complète avec les paquets émis et reçus. Par conséquent, un nombre important de « détails » sont silencieusement gérés par Scapy, comme le choix de l'adresse IP source ou le calcul des checksums. Cet article présente différents trucs et astuces [1] permettant d'améliorer sensiblement ses performances sous Linux. Il s'adresse aux utilisateurs avancés de Scapy.
Le fuzzing est une technique datant de plusieurs années qui consiste à modifier de manière aléatoire des données fournies à un programme. Le but est de rendre instable le programme lisant ces données. Cette méthode est très utilisée en sécurité informatique pour trouver des failles de sécurité, soit par déni de service, soit par corruption de mémoire. Elle a l'avantage d'être facile à mettre en œuvre et de produire des bons résultats, car les programmeurs font souvent un peu trop confiance dans les données provenant de l'extérieur, sans avoir prévu les cas aux limites, ou qui s'écartent de la norme attendue.
Créé par Dafydd Stuttard (@PortSwigger), Burp Suite fait partie de cette gamme d'outils que l'on pourrait qualifier de « couteau suisse » du domaine du pentest web. À la fois extrêmement polyvalent et doué dans chacune des tâches de cette discipline, il représente un outil « must have » pour toute personne désirant découvrir les tests d'applicatifs web ou perfectionner ses compétences dans ce domaine. L'auteur a par ailleurs coécrit « Web Application Hacker Handbook » [1], qui est un autre incontournable du domaine dont nous recommandons chaudement la lecture.
Avant, l'inforensique réseau consistait à chercher une aiguille dans une meule de foin sans y mettre le feu. Mais ça, c'était avant. De nos jours, ce ne sont plus des aiguilles, mais des pandas, des ours ou des tigres que l'on cherche dans une jungle de paquets de plus en plus dense. Wireshark peut nous aider.
Avec suffisamment de serveurs à surveiller, l'investigateur expérimenté se retrouve souvent à chercher l'aiguille dans la botte de foin. Pour peu que l'infrastructure soit hétérogène, la recherche peut prendre plusieurs heures et souvent ne pas couvrir l’intégralité du domaine. Si vous êtes familier de ce problème et que PSSH ne fait plus l'affaire, la suite devrait vous intéresser. Une note toutefois : les personnages et situations qui suivent sont purement fictifs et ne représentent pas forcément la routine des investigations réalisées par l'auteur dans le cadre de son activité.
Qui n'a jamais écrit un programme capable d'extraire une information particulière d'un fichier ? La question est, une fois ce programme écrit, comment le partager, le rendre utile à des utilisateurs sans leur demander un effort trop conséquent. C'est ce problème qu'IRMA, Incident Response & Malware Analysis, tente de résoudre en offrant un framework capable d'intégrer ce programme en tant que plugin d'analyse. Le bénéfice est d'y gagner une API web, une interface, le stockage en base de données et la parallélisation des analyses. Dans cet article, après un bref rappel sur l'histoire et les motivations du projet, nous allons voir comment installer IRMA et comment ajouter nos propres sources d'analyses à travers un exemple concret.
On utilise quotidiennement des cryptosystèmes asymétriques, que ce soit pour envoyer nos mails, consulter nos sites HTTPS ou nous connecter à des VPN. Ces clés sont-elles sûres ? Quels sont les méthodes d'attaque possibles et les outils utiles à leur audit ?