Académique Documents
Professionnel Documents
Culture Documents
Résumé
Tout hacker s'introduisant dans un système connecté (=attaquant puis intrus !! )
cherche à :
Contre :
Les débutants n'ont besoin que de PGP, d'un logiciel de cryptographie de fichers et de
disque dur
Crypteur de fichier
Triple DES
IDEA
Blowfish
Crypteur d'e-mail
PGP v2.6.x
Nautilus v1.5a
SSH
DES-Login
PK ou WIN ZIP
ARJ
Quoi ? :
Une tentative d'intrusion peut être détectée. Il ne faut pas que l'intrus puisse être
identifié et retrouvé
Contre :
Le serveur d'origine :
serveur initial à partir duquel le hacker se connecte à Internet, généralement
par appel téléphonique (accès dialup à un fournisseur d'accès par exemple)
règles :
le dialup ne rend pas nécessaire de modifier les logs d'activité sur le serveur d'origine
(adresse IP allouée dynamiquement).
NE RIEN modifier sur ce serveur
utiliser plusieurs comptes utilisateurs
changer de fournisseur d'accès tous les deux mois
ne craquer les mots de passe QUE sur le PC ou la machine appelante
Le serveur d'attaque
serveur tampon sur lequel le hacker dispose d'un compte avec un accès ROOT.
En utilisant différents fournisseurs d'accès chaque jour il ne sera pas
nécessaire d'utiliser un serveur d'attaque
règles :
Le serveur cible
serveur cible que le hacker cherche à pénètrer.
règles :
localisé De préférence à l'étranger
ne pas se créer un utilisateur sur un système cible mais plutôt laisser un
programme à réinterroger ("bakdoor") comme ping, quota or login puis utiliser
fix pour corriger le atime et mtime
faire un "w" pour examiner les utilisateurs connectés. Si l'adresse du serveur
d'attaque apparaît dans les références, faire "rlogin serveur cible" pour que
l'adresse se transforme en quelque chose comme "tty00"
Sécuriser l'organisation des modes de connexions
A utiliser
Règles
Ne pas utiliser son numéro de téléphone réel mais passer par un système de
rappel (carding/bluebox/hack d'un PABX) Cette précaution est parfois inutile
car les compagnies de téléphone (privées - ATT -ou publique -Danemark -)
Les nouvelles versions exportent les variables UID, MAIL and HOME
Avant tout telnet, il faut donc changer les variables USER, UID, MAIL et PWD,HOME.
La recommendation
Changer les variables d'environnement de votre Telnet :
sous win : accéder aux paramètres de configuration système et logiciel
sous Unix :
SH : <>=<_value>;export <> ; exemple : USER=nobody;export USER
CSH: setenv <> <_value>; exemple : setenv USER nobodyRègle de Survie 3 : gérer
son compte utilisateur sur le serveur d'origine
Contre :
Règle de Survie 4 : ne rien laisser dans les répertoires HOME ou TMP des
serveurs
Quoi ? :
sh: .sh_history
csh: .history
ksh: .sh_history
bash: .bash_history
zsh: .history
Contre :
Comment :
Utiliser les commandes csh suivantes pour effacer les données d'historique sans laisser
de traces.
mv .logout save.1
echo rm .history>.logout
echo rm .logout>>.logout
'The first command you should enter after logging in with a hacked account is a shell
different from the one you are currently running as login shell. The purpose is to
disable history saving of the commands you'll type in while hacking. A history check
by the real user or sysadmin reveils your presence and what you did!! If you are
running a CSH then execute a SH and vice versa. "
Quoi ? :
l'administrateur du serveur cible peut analyser ces fichiers ou utiliser des commandes
statistiques (lastlogin par exemple) pour savoir :
Comment :
Effacer les traces de son passage des fichiers logs de base WTMP, UTMP,
LASTLOG.
Localisation par défaut des fichiers logs : (variable selon les distributions d'Unix)
UTMP : /etc or /var/adm ou /usr/adm ou /usr/var/adm ou /var/log
WTMP : /etc or /var/adm ou /usr/adm ou /usr/var/adm ou /var/log
LASTLOG : /usr/var/adm ou /usr/adm ou /var/adm ou /var/log ou HOME/
.lastlog
Il est stupide d'effacer ces fichiers sur le serveur cible : l'administrateur saura
immédiatement que l'intrusion a eu lieu
Peu efficace car le CERT distribue des programmes vérifiant les données à
zéro.
Autorisation nécessaire :
Si l'accès ROOT n'a pas été obtenu, il suffit pour certaines versions d'Unix de faire un
rlogin lors de votre connexion sur le serveur pour modifier - le LASTLOG, - les
données UTMP (effacées)
Vérifier les serveurs distants recevant les logs (messages envoyés à @loghost)
Problème : pénétrer le serveur de logs et manipuler la messagerie...très compliqué
Pour éliminer le nom d'intrusion des messages à expédier : "grep -v evil.host.com
messages > /tmp/tmpfile; mv /tmp/tmpfile messages"
La recommendation
"Pour modifier le LASTLOG sans toucher au fichier, une fois connecté, lancer un
rlogin "serveur cible" avec le login et pass du compte utilisateur hacké. Cela a pour
effet d'enregistrer un LASTLOGIN à partir du serveur et non à partir de l'extérieur..."
Quoi ? :
Sur les serveurs sécurisés, les programmes de sécurité sont lancés à intervalles
périodiques par cron.Ces programmes vérifient les tailles de fichiers ou analysent les
logs serveurs. Ils peuvent être également stockés dans les répertoires adm ou ~bin
(pour les sniffers)
Contre :
Comment :
Les programmes d'audit peuvent être : tiger, cops, spi, tripwire, l5,binaudit, hobgoblin,
s3,...
Il s'agit de savoir ce qu'ils enregistrent et si ils enregistrent... Si ils sont actifs pour
enregistrer les fichiers sniffers installés par les intrus, faire ...
l5 compile directory l5
Pour trouver les 1 à 6 administrateurs système, vérifier le fichier .forward, les entrées
d'alias, les sulog pour root, les groupes "administration", le fichier des mots de passe.