Vous êtes sur la page 1sur 58

Audit et test d’intrusion

Collecte d’informations

Intervenant : Guillaume Lopes / lopes.guillaume@free.fr


1er Février 2013
Sommaire

 Objectifs
 Introduction
 Information Gathering
 Google Hacking
 Ingénierie Sociale
Objectifs
• Appréhender les notions de collecte d’informations

• Obtenir le maximum d’informations sur la cible et savoir les


analyser

• Connaitre les techniques d’ingénierie sociale


Sommaire

 Objectifs
 Introduction
 Information Gathering
 Google Hacking
 Ingénierie Sociale
Introduction
• La collecte d’informations est la première étape d’un test
d’intrusion et permet de
– Identifier le périmètre de la cible (nombre de serveurs, fonctions, etc.)
– Obtenir des informations sur les collaborateurs ( adresses emails,
téléphone, etc.)
– Connaitre la cible (secteur d’activité, hiérarchie, direction, etc.)

 Dans certains cas, on peut retrouver des informations


confidentielles sur la cible
• Il est à noter que cette étape est furtive du point de vue de la
cible
Sommaire

 Objectifs
 Introduction
 Information Gathering
 Google Hacking
 Ingénierie Sociale
Information Gathering

• Cette étape suit la démarche suivante :


– Identification du périmètre technique
• Whois, interrogation des DNS, moteurs de recherche, etc.

– Information sur les employés


• Nom, prénom, email, téléphone, etc.

– Collecte de documents sur la cible


• Fichiers de mots de passe, compte rendu, etc.
Information Gathering
• Les bases WHOIS répertorient tous les réseaux publiques et
leurs propriétaires respectifs
– Permet d’identifier à qui appartient une adresse IP
– Permet de déterminer à qui appartient le nom de domaine

• Outils
– En ligne
• http://www.db.ripe.net/whois
• http://www.robtex.com/

– En ligne de commande
• whois (sous Linux / Unix)
Information Gathering
• Whois sur un nom de domaine
• Date de création du nom de
domaine
– 12-Nov-2001 15:41:24 UTC

• Nom du déposant
– Jean-Michel Giorgi

• Numéro de téléphone
– +336 25901004

• Email du contact
– Masqué dans notre cas
Information Gathering
• Whois sur une adresse IP
• Obtention du range réseau
– 91.121.64.0 – 91.121.127.255

• Infos sur l’entité possédant ce range


– OVH

• Identifiant du contact administratif


– OK217-RIPE

• Identifiant du contact technique


– OTC2-RIPE
Information Gathering
• Recherche Whois inversé
– Identifier tous les éléments où un objet est référencé

• Exemple : Identifier toutes les informations sur OK217-RIPE


– whois –i pn OK217-RIPE
Information Gathering
• L’interrogation des serveurs DNS permet de
– Associer les adresses IP à des fonctions
• smtp.target.com : serveur de messagerie

• vpn.target.com : serveur vpn

– Identifier de nouveaux équipements du périmètre de la cible

• Plusieurs techniques
– Interrogation standard

– Attaque par force brute

– Tentative de transfert de zone


Information Gathering
• Interrogation standard
– Obtention des serveurs DNS du domaine (NS)

– Obtention des serveurs de messagerie du domaine (MX)

• Exemple • Outils
– Linux / Unix : dig, host

– Windows : nslookup
Information Gathering
• Attaque par forcebrute
– Enumérer tous les noms de domaine potentiels

• Exemple • Outil
– Fierce
(http://ha.ckers.org/fierce/)
Information Gathering
• Transfert de zone
– Obtenir la liste de tous les enregistrements DNS d’une zone
– Nécessite que le serveur cible accepte le transfert à n’importe quel
équipement (ne fonctionne pratiquement plus)

• Exemples • Outils
– Unix : dig et host

– Windows : nslookup
Information Gathering
• Les emails provenant de la cible contiennent des informations
techniques sur son périmètre
– Les entêtes SMTP d’un email indiquent toutes les passerelles de messagerie
par lesquelles l’email a transité

– C’est l’équivalent d’un traceroute

• Exemple
Information Gathering
• Comment obtenir un email de la cible ?
– Email du RSSI annonçant le lancement du test d’intrusion !

– Envoyer un email à la cible sur une adresse email inexistante


• La notification d’échec de remise de l’email nous fournira le chemin qu’il a suivi
Information Gathering
• Dès lors que, nous avons une vision large du périmètre technique
de la cible
– Serveurs de messagerie (webmail, pop3, imap, etc.)

– Serveur d’accès distant (VPN, SSH, Citrix, Applications Web spécifiques, etc.)

• Une recherche sur les employés de la cible est primordiale


– Obtenir des identifiants d’authentification (martin.bernard, etc.)

– Obtenir des emails (spam / phishing / Ingénierie sociale / etc.)

– Obtenir des numéros de téléphone (ingénierie sociale)


Information Gathering
• Obtention d’information sur les collaborateurs
– Via les moteurs de recherche (Google hacking et 123people)

– Via les réseaux sociaux professionnels (Linkedin et Viadeo)

– Via les réseaux sociaux personnels (Facebook, Twitter, etc.)

 Processus itératif
– Graphe de personnes (analyser les liens, etc.)
Information Gathering
• De nombreux documents sont disponibles publiquement
– Recherche via les moteurs de recherche (Google Hacking)

• Ces documents peuvent contenir des informations intéressantes


sur la cible
– Prénom et nom de l’auteur du document
– Historique des modifications
– Chemin du fichier sur le poste de l’auteur

• L’outil metagoofil.py permet de récupérer les métadonnées de


différents types de fichiers
Information Gathering
• Metagoofil.py (www.edge-security.com/metagoofil.php)
– Récupère les fichiers présents sur le domaine de la cible via du Google
Hacking
– Extrait les métadonnées de l’ensemble des documents
– Fournit un rapport sur l’ensemble des données extraites

• Les types de fichiers suivants sont supportés


– pdf, xls, doc, ppt, odp et ods

• Le framework Origami (code.google.com/p/origami-pdf/) permet


d’extraire aussi les métadonnées des fichiers pdf
Information Gathering
• En conclusion, un attaquant est en mesure d’identifier le
périmètre externe d’une cible
– Ces informations sont publiques

• Les informations obtenues pourront être utiles lors d’un test


d’intrusion
Sommaire

 Objectifs
 Introduction
 Information Gathering
 Google Hacking
 Ingénierie Sociale
Google Hacking
• Qu’est ce que le Google Hacking ?
– C’est une technique permettant de retrouver des informations sur une
cible en utilisant la puissance du moteur de recherche Google

• Avantages
– Google est le moteur de recherche le plus usité

– Google possède une base de données importante

– Google permet de forger des requêtes précises


Google Hacking
• Informations récupérables
– Les noms de domaine d’un site

– Les messages d’erreur présents

– Les fichiers sensibles (pdf, doc, xls, etc.)

– Les interfaces d’administration

– …
Google Hacking
• Avant de commencer
– Les recherches sont insensibles à la casse

– Certains mots sont ignorés

– Pas plus de 10 mots maximum

• Opérateurs
– AND (+) : sert de jointure entre différents termes d’une requête (obsolète)

– NOT (-) : permet d’exclure un terme de la recherche

– OR (|) : permet de considérer deux ou plusieurs motifs


Google Hacking
• Principaux filtres
– inurl : Retourne les pages contenant le terme spécifié dans l’URL

– filetype : Retourne les pages contenant un fichier dont le type est spécifié
en paramètre

– intext : Retourne les pages contenant le motif spécifié

– site : Retreint les recherches au site spécifié

– link : Retourne les pages pointant vers le motif spécifié

– cache : Permet d’obtenir la version mise en cache par Google

– intitle : Recherche le terme spécifié dans le titre de la page


Google Hacking
• Récupérer les différents noms de domaine d’un site avec le filtre
site
Google Hacking
 En réitérant le processus, il est possible d’affiner la recherche en
supprimant les noms de domaine déjà identifiés
Google Hacking
• Identifier les fichiers et répertoires présents sur un serveur Web
Google Hacking
• Permet de retrouver des fichiers sur le site
Google Hacking
• Comme par exemple des fichiers musicaux
– intitle: ”index of” inurl:mp3

• Ou des fichiers vidéos


– intitle:”index of” inurl:avi
Google Hacking
• En combinant les deux techniques précédentes, on peut
rechercher des fichiers précis sur un domaine particulier
– site:microsoft.com filetype:doc or pdf or xls
Google Hacking
• Dans un fichier Word, Excel ou PDF
– intext:"login:" or "password:" filetype:xls
Google Hacking
• Les mots de passe sont partout, il suffit de chercher
– Fichiers dat : filetype:dat "password.dat«

– Fichiers de log : filetype:log inurl:"password.log"


Google Hacking
• En bonus
Google Hacking
• Google permet de collecter de nombreuses adresses emails
– intext: "@gmail.com"

– site:target.com intext: "@target.com"


Google Hacking
• Lorsqu’une application Web est mal configurée / codée, le crawler
Google peut générer des erreurs
– L’erreur obtenue peut indiquée une vulnérabilité sur l’application

• De manière générale, des erreurs Web classiques vont être


recherchées
– Erreur d’accès aux bases de données

– Erreurs applicatives (PHP / ASP / Python / Ruby / …)


Google Hacking
• Erreurs PHP
– inurl:*.php intext:"Warning: * failed to open stream: *“

– inurl:*.php intext:"Warning: * Unable to load *" -intitle:PHP


Google Hacking
• Les interfaces d’administration peuvent représenter des éléments
intéressants

• Il sera possible par la suite de tenter d’accéder à ces interfaces via


une attaque par bruteforce

• Les interfaces des CMS est une cible privilégiée par les attaquants
Google Hacking
• Interface d’administration générique
– inurl:"/admin/" intitle:"administration" intext:"login"
Google Hacking
• Interface d’administration phpmyadmin
– inurl:phpmyadmin/index.php

• Interfaces d’administration Typo3


– inurl:"typo3/index.php"

• Interfaces d’administration ezPusblish


– inurl:admin intitle:"eZ publish administration"
Google Hacking
• Interface Outlook Web Access
– inurl:"exchange/logon.asp" OR intitle:"Microsoft Outlook Web Access -
Logon"

• Interfaces d’administration Tomcat


– intitle:"Tomcat Server Administration" "

• Interfaces d’administration VMware


– intitle:"VMware Management Interface:" inurl:"vmware/en/"
Google Hacking
• Le Google Hacking permet d’obtenir de nombreuses informations
sur la cible sans attaque directe
– Fichiers sensibles (pouvant contenir des mots de passe)
– Messages d’erreur sur le site (détection de vulnérabilités)
– Récolte d’adresses email

• Il est nécessaire de limiter les informations indexées par Google


– Demande auprès de Google pour effacer de leur cache
– Veille sur les éléments indexés
– Valider les informations déposées sur un site Web ou un serveur FTP !
Sommaire

 Objectifs
 Introduction
 Information Gathering
 Google Hacking
 Ingénierie Sociale
Ingénierie Sociale
• Définition
– Manipulation psychologique visant à obtenir de manière « invisible » des
informations d’une personne

• Concept
– Exploiter les faiblesses humaines de la personne
• Peur
• Confiance
• Autorité
• Naiveté

 L’humain est le maillon faible de l’entreprise


Ingénierie Sociale
• Avantages
– Aucune limite (téléphone, email, courrier, fax, Internet, etc.)

– Faible détection

– Attaque discrète

– Efficace

• Inconvénients
– Longue phase de préparation

– Forte connaissance de la cible


Ingénierie Sociale
• /!\ ATTENTION /!\

• D’un point de vue légal, l’ingénierie sociale est très limite ! Il faut
donc cadrer cette attaque lors d’une prestation
– Définir la population testée avec le client

– Définir les scénarios d’ingénierie sociale qui vont être réalisés

– Préparer les scénarios de sortie en cas de détection

• En France, il est interdit de « tester » ses employés sans leur


consentement écrit
Ingénierie Sociale
• L’ingénierie sociale comprend 4 phases
1. Collecte d’informations sur la cible

2. Mise en place d’une relation de confiance

3. Maintien de la relation de confiance

4. Obtention de l’information souhaitée


Ingénierie Sociale
• Human Based

• Ce type d’ingénierie sociale se fait principalement par téléphone


– Ne nécessite pas de déplacement (rapide)

– Possibilité de fuir facilement en cas de détection

• De manière générale, trois cas vont se distinguer


– Usurper l’identité d’un collaborateur de l’entreprise

– Usurper l’identité d’une personne de la direction de l’entreprise

– Usurper l’identité du support informatique


Ingénierie Sociale
• Exemple d’attaques

• Usurpation d’un collaborateur appelant le support informatique


– « Bonjour ! Je suis Marc du Département RH. J’ai perdu mon mot de passe.
Pouvez-vous me le modifier ? »

• Usurpation du support informatique auprès d’un collaborateur


– « Bonjour ! Je suis Marc du Service Informatique. Un virus a été détecté sur
votre poste. Afin d’éradiquer la menace, j’aurais besoin de votre mot de
passe. »
Ingénierie Sociale
• Autres scénarios d’attaques

• Eavesdropping (Ecoute clandestine)


– Le fait d’écouter des conversations ou de lire des messages discrètement

• Shoulder surfing
– Regarder le mot de passe tapé par l’utilisateur

• Dumpster Diving
– Rechercher des informations dans les poubelles
Ingénierie Sociale
• Computer Based

• Ce type d’ingénierie sociale se fait principalement par


– Email

– Utilisation d’un site Web malveillant

• Objectif
– Prendre le contrôle de l’équipement de l’utilisateur

– Récupérer les informations sur le poste de la victime


Ingénierie Sociale
• Envoi d’emails piégés
– Soit contenant une pièce jointe piégée
• Exploitation d’une vulnérabilité (0day ou autre) : Adobe PDF, Microsoft Office,
etc.

– Soit contenant un lien vers un site contrôlé par l’attaquant


• Tentative d’exploitation d’une vulnérabilité du navigateur

• Tentative de phishing (récupération d’informations bancaires, etc.)


Ingénierie Sociale
• Utilisation d’un site Web malveillant
– Proposition de software piégés (faux antivirus)

– Tentative d’exploitation d’une vulnérabilité sur le navigateur

– Envoi de code malveillant


Ingénierie Sociale
• Il est très difficile de protéger une entreprise de ce type
d’attaques
– Sensibiliser les collaborateurs de l’entreprise

– Protection des postes clients (antivirus, mises à jour, etc.)

– Contrôle de l’information de l’entreprise


Ingénierie Sociale
• A l’heure actuelle, l’ingénierie sociale reste l’attaque la plus
efficace
– Ne nécessite pas de moyens informatiques ou financiers important

– Faible détection

– Très efficace
Questions ?

Vous aimerez peut-être aussi