Test d'intrusion c'est quoi !

Les tests d'intrusion permettent de vérifier la sécurité d'un réseau, d'une application web en simulant une attaque.
Les hackeurs sont présents 24/7 …  contrairement au test d’intrusions qui eux s'effectuent une à deux fois par an.



Dans cette rubrique, il s'agit de tester les applications de sécurité informatique installés sur notre ordinateur et de tester leurs fiabilité.
Il ne s'aura pas question de tester un réseau complet car pour cela les tests s'effectuent en dehors du réseau d'une société en testant la sécurité "le terme employé sera une Audite de sécurité".
Nous pourrons tester notre réseau interne domestique avec des outils professionels avec des fonctionnalités limitées.





Pourquoi des tests d'intrusion:
De nos jours, l'informatique est devenue notre quotidien et le moyen actuel le plus commode et le plus rapide pour nos communications.
Internet est avant tout un modèle de communication, d'information et d'échange.
Nous pouvons échanger tout ce qui est possible du moment ou il y a le moyen de communication.

La méthode employée par les hackeurs est de faire de la recherche d'information à distance de sites web par des techniques vraiment simples et critique pour les entreprises, pour nous ces informations ne nous concernent pas, mais il est bien de savoir, l'une de leurs méthodologies. (la collecte d'informations)

Le hackeur doit avant d'attaquer sa cible connaitre une société ou son infrastructure Web, Messagerie, Base de données est centralisé dans ses locaux internes généralement les grandes entreprises on le moyen d'héberger ses infrastructures, il aussi intéressant lors d’un audit de sécurité d’intrusion externe ou de l'analyse forensique (IT Forensic) de connaitre ces étapes afin de s'en protéger et appliquer les mesures nécessaires pour palier à ces brèches.
Le premier point est de connaitre l'adresse IP du serveur ou est hébergé le site et la convention de nommages des serveurs, utilisateurs, lieu ...


La convention de nommage est très importante et facilement ciblé par des attaques si ces noms de nommages sont srvmail1, srvmail2, ns1,ns2 ici on peut comprendre qu'il s'agit du serveur de messagerie1 et 2 et des serveurs de noms de domaine 1 et 2, etc..


À retenir: si le site site est sécurisé et que les sites seconds manque de sécurité il est possible de rebondir sur le site primaire.

Normalement une personne extérieure ne connait pas ces noms, mais lors d'une audite d'intrusion ces informatiques sont révélées et bien plus.

L'étape 1 consiste à connaitre l'adresse IP d'un site et ses sous-domaines.
On utilisera un domaine interne NOREPLY.LOC et une IP interne en 172.18.18.18.5
sachant qu'il s'agit normalement d'une IP publique "exemple 85.56.0.0 et d'un domaine public en .Com. Fr .ORG, etc..

Le hackeur travail avec des outils sous Linux comme le fameux Kali Linux en utilisant des commandes UNIX
La première commande utilisée est "DIG" le signe # s'affiche par défaut
En ouvrant un Shell UNIX, on entre la commande
# dig noreply.loc

Ensuite, récupérer le nom du propriétaire du domaine avec la commande « WHOIS » du domaine noreply.loc le WHOIS peut se faire via des sites web comme afnic.fr et pour les domaines en .Com le site whois.com

Il est important que le domaine soit bloqué pour le transfert avec ces informations affiché sur les sites ci-dessus:

Domain Status: clientTransferProhibited,
Domain Status: clientUpdateProhibited,
Domain Status: clientDeleteProhibited

La commande sous Unix est :

# WHOIS noreply.loc

Ici on devrait trouver les informations du propriétaire, avec la ville le numéro de téléphone, ainsi que le service administratif du site voir aussi une adresse email de contact ensuite nous pouvons effectuer des recherches approfondies avec les Pages jaunes pour connaitre le numéro de téléphone du service accueil par exemple se faisant passer pour un commercial, etc.
Ces techniques sont utilisées par les vrais hackeurs.

En effectuant un WHOIS avec l'adresse IP du site, nous obtenons la plage d'adresses IP qui lui sont attribuées.
# WHOIS 172.18.18.18.5

Ici vous aurez un message d'erreur de ce type "Aucun serveur WHOIS n'est connu pour ce type d'objet." Ce qui est normal, car il s'agit d'une adresse non publique.

Normalement il s'affichera sur votre domaine vous appartenant la ligne inetnum: 178.18.18/24 ici il s'agit d'une seule adresse IP
Si vous bénéficiez de plusieurs adresses IP, on aurait au inetnum: 178.18.18.0 - 178.18.18.255

Avec la commande WHOIS ci-dessous les adresses UP sont affichées en:

inetnum-up: 178.18.18/19

Une fois la plage IP trouvée on effectue un « ping sweeping » avec la commande nmap -sP 172.18.18.* à partir du programme NMAP existe sous Linux toujours en Shell nous pouvons apercevoir toutes les machines, avec la présence éventuelle d'un serveur Web, d'un serveur de messagerie inclus dans la liste des adresses IP précédemment obtenue.
Puis le hacker procède à un reverse lookup dns sur les adresses IP pour connaitre le nom de machine sur lequel est connecté cette adresse IP du serveur Web en exemple.

La commande est: nslookup 178.18.18.* ici normalement vous devrez trouver le nom du serveur de domaine exemple NS1.noreply.loc

Ou encore:

Le « ping sweeping » est une commande # nmap -sP 172.18.18.* qui permet de connaitre toutes les machines connectées aux adresses IP du réseau.

Il existe une commande pour spécifier un port particulier à scanner avec NMAP exemple le port 80 de votre serveur Web.
Exemple: nmap -p 80 178.18.18.0/24 la liste du port 80 affichera Open dans le stat " PORT STATE SERVICE"
puis une fois la machine identifier vous pouvez scanner tous les ports TCP par la commande:

# nmap -sS "nom de la machine ou l'IP"

Pour les ports UDP, on utilisera la commande:

# nmap -sU "nom de la machine ou l'IP"

La commande nmap -O --osscan-guess "nom de la machine ou l'IP" même si elle n'apporte pas les résultats attendus permet d'identifier sur quel OS est installé votre serveur.

Ici il sera question d'une machine sous Linux avec des informations sur le modèle du routeur:

Running: Actiontec embedded, Linux

OS CPE: cpe:/h:actiontec:mi424wr-gen3i cpe:/o:linux:linux_kernel

OS details: Actiontec MI424WR-GEN3I WAP il s'agit du routeur utilisé de la marque Actiontec.

Les machines apparaissant ne sont pas connues du public.

Pour vérifier qu'il s'agit bien de nos machines nous effectuons une commande "DIG" avec une entrée MX des serveurs mails.

Soit: dig -t MX noreply.loc nous affichera si c'est le cas qu'il s'agit bien d'un serveur de messagerie.

La commande dig suivie de l'entrée NS nous permettra d'extraire les entrées NS du serveur de domaine.

# dig -t NS noreply.loc fera apparaitre les serveurs de domaine puis on effectuera un "transfert de zone" qui consiste à transférer la configuration du serveur principale de domaine NS à l’autre serveur NS1, NS2 ...

Avec la commande # host -l noreply.loc ns1.noreply.loc s'il y a une erreur c'est que le serveur ns1 est bien configurer il reste à faire avec les autres noms de domaine et vérifier si la configuration s'affiche si c'est le cas c'est que votre serveur secondaire est mal configuré.

# host -l noreply.loc ns2.noreply.loc

Exemple de résultats:
webmail.noreply.loc has address 172.18.18.6
smtp.noreply.loc has address 172.18.16.10
dhcp.noreply.loc has address 172.18.18.5

ici apparait les sous domaine avec des réseaux différents comme 172.18.16.10 smtp.noreply.loc.

Avec la commande DIG on peut voir aussi la liste des sous-domaines.

#dig @ns.noreply.loc ns2.noreply.loc axfr

ou via des sites web comme searchdns.netcraft.com

Généralement les sous domaines sont moins surveillés que le domaine principal et une attaque peu se faire à partir d'eux.
Une fois des sous domaines identifiés il faut les repasser au scanne avec les commandes fournit.

Une fois les informations reçues la partie d'analyse du site Web se fait en commençant par l'analyse du site avec des outils SEO comme SEO PowerSuite ou Screaming FrogSEO Spider qui va permettre l'analyse complète du site avec les liens des fichiers, du fichier robots.tx les erreurs sur les pages internet, l'utilisation d'un crawler pour l'aspiration du site en plusieurs étapes et l'analyse de celui-ci en recherchant des erreurs PHP, des adresses email, prénoms, etc. dans l'étude du Social Engineering.

Le fichier .Htaccess quant a lui permet l'authentification pour accéder à un dossier..

Le Social Engineering est la méthode le plus utiliser, car elle consiste à récupérer des informations sur les employer à partir des informations reçues plus haut et de faire des recherches sur leur habitude comme les réseaux sociaux Facebook, Instagram, Tweeter, Linkedin, les Copains d'avant une fois l'étude faite comme le parcours professionnel, ceux que la personne aime, etc. des attaques de types ransonware sont effectué par les hackeurs avec les paramètres cités précédemment.

En usurpant l'adresse expéditrice par l'adresse d'une personne quelle à connu pendant sont parcours professionnel, ou l'adresse d'un employeur bien sûr le hackeur enverra ce ransomware sur la messagerie professionnelle de la victime.

Le pirate cherchera à établir le lien avec l'administrateur ou le responsable des opérations, avec les informations reçues de l'entreprise il prendra contact avec l'accueil se faisant passer pour un commercial ou pour postuler à un poste, demandant à la secrétaire l'adresse email de la personne (directeur des Operations) ainsi que son nom et prénom pour envoyé sa candidature ou sa proposition commerciale une fois ces infos reçues il cherchera à connaitre ses traces sur Internet et enverra très facilement une attaque par ransomware, en général les directeurs sont moins méfiant qu'un administrateur ou un Technicien car Ils ont tendance à cliquer sur les liens facilement malheureusement.

Comment se protéger:

L'information Internet s'effectue via des supports comme les navigateurs, messageries, réseaux sociaux, stockages en cloud, le FTP est devenu moins utilisé, car le stockage cloud a pris place.

Chaque support utilise des programmes pour y accéder et ces programmes ont besoin d'une ouverture vers l'extérieure, s'agira ici de protocole IP tel que TCP, UDP, ICMP..

Ces protocole IP ont besoin de port distants et locaux pour y accéder tels les ports distants HTTP(80), HTTPS(443), FTP(20,21), TELNET(23), SMTP(25), POP3(110), IMAP(143), SSH(22), NNTP(119), LDAP(389)... voilà les plus connus pour le protocole IP TCP
Pour le protocole IP-UDP nous pouvons trouver les port distants et interne comme les ports: TFTP(69), DAYTIME(13), NICNAME(43), KERBEROS(88), TIME(37), LOC-SRV(135), NETBIOS-NS(137), NETBIOS-DGM(138), SNMP(161), SNMPTRAP(162), MICROSOFT-DS(445)...

Il existe aussi des protocoles IP particulier comme IGMP, GGP, Encapsulation d'IP(4), RGMP, GRE, ESP, AH, IP avec chiffrement (53), IGRP, ICMP...

Nous trouvons aussi des Protocoles Ethernet pour le réseau interne 'chez vous ou d'une l'entreprise', nous citons le protocole NetBEUI, IPX Novell, EAPOL, PPP, Apple TALK, Apple TALK ARP, Reverse ARP, RAW Frame ARP, Frame relay ARP, ARP, X25, IPX, InetNet IP.

Pourquoi avoir cité tout ces protocoles IP et Port pour la simple et bonne raison qu'une attaque se fait par ces ouvertures et quelles doivent être protéger.

Pour protéger ces ports qui ne sont pas utilisés vous devez les fermer, un bon Firewall fera l'affaire nous pouvons après le paramétrage du Firewall tester avec des outils et vérifier si ces ports sont ouvert ou fermé comme GFI LanGuard qui détecte les vulnérabilités du réseau, TCP Port Scan avec Nmap nous pouvons aussi faire des tests distant de notre adresse IP publique via ce site https://pentest-tools.com qui vérifiera les ports ouvert et les vulnerabilitées , WhatsUp Gold, Log Management qui permet d'identifier les failles de sécurité existe en version d'évaluation, AlertFox surveille les applications et services Web,on trouve aussi Baraccuda test les vulnérabilitées en ligne, test en ligne avec:

http://www.ipfingerprints.com/portscan.php

Mon préféré est PRTG Network Monitor gratuit pour 100 capteurs. En version gratuite ils existent Advanced Port Scanner, SuperScan.

Les ports distant et interne utilisent des applications comme les navigateurs Web utilisant les port 80; 443 par défaut, les logiciels de messagerie port 25, 110, le Firewall par défaut laisse ces ports ouvert et donc ils doivent être protégés contre divers types d'attaque le Firewall s'occupera très bien de ça, à conditions que vous ayez mis à jours vos applications auprès des éditeurs contre des failles de sécurité.

Les pirates informatiques ne chômes pas, car l'appat du gain est important grace à vous !!!
Ils ont conçu des stratégies en analysant le comportement de l'être humain en esperant que celui-ci tombera dans le piège comme le Social Engineering (Ingénierie sociale) qui consiste à faire peur à l'internaute de la justice, lui faisant croire qu'il a téléchargé des applications piraté par des faux mails Hadopi ou qu'il a visité des sites à caratères pédophiles bien sûr tout cela est faux et donc lui demande de payer une amande ou alors il verra débarquer la police chez lui.
Ces pirates affichent même son adresse IP (identifiant unique internet lors de la connection).

Mais n'ayez crainte, si tout ceci était vrai vous recevrez la Police chez vous avec un mandat de perquisition.
Il y a aussi l'addiction de personne pour les sites à caractère pornographique ou les hackeurs n'hésite pas à vous attaquer, il y a là vraiment des risques d'attaque en tout genre.

Le pornware est de faire de la publicité sur des sites et des services pornographiques payants, le porn-dialer
est un programme compose des appels téléphoniques «contenu adulte», avec des numéros de téléphone et / ou un code spécial.

Contrairement aux programmes malveillants, les programmes de dialers avertissent l'utilisateur de leurs actions.
Le Porn-Downloader télécharge des fichiers médias pornographiques sur l'ordinateur de l'utilisateur, à partir d'Internet.
Contrairement aux programmes malveillants, Porn-Downloaders informe l'utilisateur de ses actions.
On trouvent aussi le Riskware qui est le nom donné à des programmes légitimes qui peuvent causer des dommages si elles sont exploitées par des utilisateurs malveillants - afin de supprimer, bloquer, modifier ou copier des données, et de perturber les performances des ordinateurs ou des réseaux.

Le Riskware peut inclure les types suivants de programmes qui peuvent être couramment utilisés à des fins légitimes:

- Utilitaires d'administration à distance
- Clients IRC
- Téléchargements de fichiers
- Logiciel de surveillance de l'activité de l'ordinateur
- Utilitaires de gestion de mots de passe
- Services de serveur Internet - tels que FTP, Web, proxy et telnet.

Ces programmes ne sont pas conçus pour être malveillants - mais ils ont des fonctions qui peuvent être utilisées à des fins malveillantes.

Tels que WinVNC installés secrètement afin d'obtenir un accès à distance complet à un ordinateur.
Spyshelter détecte tout nouveau programme tentant de s'installer et donc tout Riskware.

Vous devez parametrer sur votre Firewall frontale comme Sophos (voir rubrique Firewall) le filtrage d'adresse à caractère pornographique et l'interdiction par mot clé pour les personnes utilisant votre réseau comme les invité au Wifi, vos enfants...

Il existera toujours une menace contre les ransomwares si vous n'appliquez pas ces mesures de sécurité.



Maintenant que vous avez compris comment communiquent vos applications.

Vous devez vérifier s'il y a des failles pour cela créé un environnement virtuel avec les applications citées ICI, une fois votre version Windows installée en virtuel commencez par faire un Snapshot (un point de retour à la date vous aurez indiqué) puis installer vos applications sécurisées comme un Firewall logiciel ou un antivirus, anti-malware, anti-exploit, anti-logger ...
Le mieux est de faire ces tests logiciel par logiciel afin de vérifier leur sécurité.

Vous pouvez des tests d'intrusion avec des logiciels faisant référence dans le domaine des audites comme:
Kali Linux, est un environnement sous Linux Debian inclus une suite d'outils de test d’intrusion à l'origine soutenu par Black HAT, les hackeurs utilisent aussi ces outils pour pénétrer les réseaux.

Metasploit "Nexpose Vulnerability Scanner" (version d'évaluation disponible), analyse plus 1 300 programmes et détermine comment les pirates informatiques pourront vous attaquer (pirater).
Portswigger Burp Suite (version d'évaluation disponible), effectue des tests d'intrusion et évalue s'il y a des failles de sécurité dans vos applications web.

Scanner de réseau Nmap (gratuit), Nmap est un scanner de ports qui va permettre de voir les ports ouverts de votre réseau et crée une carte détaillée du réseau ainsi que les ressources utilisées.
SQLmap, effectue des tests intrusion et l'automatisation des failles iSQL, "injection SQL"

Vous devez vérifier s'il y a des failles pour cela créé un environnement virtuel avec les applications citées dans la rubrique Virtualisation-Système , une fois votre version Windows installée en virtuel commencez par faire un Snapshot (un point de retour à la date vous aurez indiqué) puis installer vos applications sécurisées comme un Firewall logiciel ou un antivirus, anti-malware, anti-exploit, anti-logger ...
Le mieux est de faire ces tests logiciel par logiciel afin de vérifier leur sécurité.

Si vous avez des doutes sur certains site ou email, affectuer les vérifications à partir de votre environnement virtuel sous Windows, ou Linux.


Ou cliquer sur ce lien en mode système virtuel:

http://s3.eu-central-1.amazonaws.com/internet-securiter-alerte/fraude-systeme.htm

Vous devez être en mode système virtuel important, vous verrez des noms de fichiers système qui sont autres que des noms de fichiers Windows, vous pouvez essayer avec une version virtuelle sous Linux qui lui utilise d'autres noms de fichiers système et les mêmes noms de fichiers Windows apparaissent sur ce site c'est donc bien une fausse détection d'intrusion.

N'appelez pas avec le numéro apparaissant sur le site vous risquez d'avoir d'énorme facture téléphonique.

N'ayez crainte vous êtes bien sûr dans l'environnement virtuel ou aucune de vos données est présentent.
Une fois vos tests effectués revenez au Snapshot que vous avez créé précédemment avec Vmware Workstation par exemple.

Comment les hackeurs sont informés des failles de sécurité et leur exploitation.

Malheureusement ou heureusement, ils existent quelques sites web qui informent les administrateurs et les ingénieurs en sécurité sur des failles connues.

On trouve le site très connu securityfocus.com

Une fois le hackeur exploitant les informations sur ce site. Il effectue des recherches ciblées de société utilisant ces serveurs, applications ...

Mais ne vous inquiéter pas, car très rarement les postes domestiques sont touchées et une attaque peu mettre plusieurs mois par de vrais hackeurs et est souvent coordonnées de l'intérieur de la société.
Mais ceci n'est pas notre sujet...

Nous pouvons vérifier s'il y a des anomalies sur notre réseau avec des outils tels que Capsa Enterprise un produit de Colasoft une version d'évaluation du produit est téléchargeable sur leur site. Les différents avantages sont:

Surveillance de trafic réseau.
Analyse de protocole avancée.
Décodage de paquet détaillé.
Surveillance de comportement réseau multiple.
Statistique étendue de chaque hôte.
Diagnostic réseau spécialisé automatique.
Connexions visualisées dans la matrice.

Capsa MAC Scanner du même éditeur permet de capturer les adresses MAC ( ce sont les identifiants des composants des cartes réseau qui permettent de ce connecter sur Internet ou dans le réseau local chez vous par exemple, on trouve les cartes Wifi, les routeurs, les cartes réseau RJ45.

Colasoft MAC le Scanner est utilisé pour lire rapidement l'adresse d'IP et l'adresse de MAC. Il peut découvrir automatiquement tous les sous-réseaux selon les adresses d'IP configurées sur Nics multiples d'une machine et lire rapidement les adresses de MAC et les adresses d'IP de sous-réseaux définis.

Colasoft Ping Tool, Ping les adresses d'IP multiples simultanément et énumérez les temps de réponse comparatifs dans un graphique graphique, l'avantage est qu'il analyse les adresses d'IP capturés dans le réseau avec Colasoft Capsa Network Analyzer en incluant la source des adresses d'IP et la destination des adresses IP.

Que faire si vous avez découvert une faille de sécurité ou de vulnérabilité.

Vous pouvez envoyer directement auprès de l'éditeur du programme ou envoyer vos découvertes à L’ANSSI qui est l'Agence Nationnal de la Sécurité des Systèmes d'Information.

 
 
Contact
Facebook