Hacking sécurité :: The Hack

Collectif H2Fr => Sécurité Informatique et Programmation

Cette attaque, appelée aussi ARP Redirect, redirige le trafic réseau d'une ou plusieurs machine vers la machine du pirate.
C'est une technique de spoofing efficace bien que détectable dans les logs d'administration; elle consiste à s'attribuer l'adresse IP de la machine cible, c'est-à-dire à faire correspondre son adresse IP à l'adresse MAC de la machine pirate dans les tables ARP des machines du réseau. Pour cela il suffit en fait d'envoyer régulièrement des paquets ARP_reply en broadcast, contenant l'adresse IP cible et la fausse adresse MAC. Cela a pour effet de modifier les tables dynamiques de toutes les machines du réseau. Celles-ci enverront donc leur trames ethernet à la machine pirate tout en croyant communiquer avec la cible, et ce de façon transparente pour les switches. De son côté, la machine pirate stocke le traffic et le renvoie à la vraie machine en forgeant des trames ethernet comportant la vraie adresse MAC (indépendament de l'adresse IP).
            Cette technique est très puissante puisqu'elle opère             au niveau ethernet, permettant ainsi de spoofer le traffic IP et même             TCP (cela dépend entre autres des délais engendrés             par la machine pirate). D'autre part, elle permet de contourner les             barrières que constituent habituellement les switches (partitionnement             de réseaux).

Conséquences             :

* Compromissions
            * DoS (cache poisoning), etc...

Elle s'effectue sur le réseau physique des victimes.

Petit rappel sur le fonctionnement du protocole ARP. Le protocole ARP (Address Resolution Protocol) implémente le mécanisme de résolution d'une adresse IP en une adresse MAC Ethernet. Les équipements réseaux communiquent en échangeant des trames Ethernet (dans le cas d'un réseau Ethernet bien sûr) au niveau de la couche liaison de données. Pour pouvoir échanger ces informations il est nécessaire que les cartes réseau possèdent une adresse unique au niveau Ethernet, il s'agit de l'adresse MAC (Media Access Control).

Quand un paquet IP doit être envoyé la machine expéditrice a besoin de l'adresse MAC du destinataire. Pour cela une requête ARP en broadcast est envoyée à chacune des machines du réseau physique local. Cette requête pose la question : "Quelle est l'adresse MAC associée à cette adresse IP ?". La machine ayant cette adresse IP répond via un paquet ARP, cette réponse indiquant à la machine émettrice l'adresse MAC recherchée. Dès lors, la machine source possède l'adresse MAC correspondant à l'adresse IP destination des paquets qu'elle doit envoyer. Cette correspondance sera gardée pendant un certain temps au niveau d'un cache (pour éviter de faire une nouvelle requête à chaque paquet IP envoyé).

Cette attaque corrompt le cache de la machine victime. Le pirate envoie des paquets ARP réponse à la machine cible indiquant que la nouvelle adresse MAC correspondant à l'adresse IP d'une passerelle (par exemple) est la sienne. La machine du pirate recevra donc tout le trafic à destination de la passerelle, il lui suffira alors d'écouter passivement le trafic (et/ou le modifier). Il routera ensuite les paquets vers la véritable destination.

L'ARP Spoofing sert dans le cas où le réseau local utilise des switchs. Ceux-ci redirigent les trames Ethernet sur des ports différents selon l'adresse MAC. Il est dès lors impossible à un sniffer de capturer des trames au-delà de son brin physique. L'ARP Spoofing permet ainsi d'écouter le trafic entre des machines situées sur des brins différents au niveau du switch.

Pour mettre en oeuvre une attaque par ARP Spoofing, le pirate va utiliser un générateur de paquet ARP comme ARPSpoof ou nemesis. Soit la machine victime 10.0.0.171, sa passerelle par défaut 10.0.0.1et la machine du pirate 10.0.0.227. Avant l'attaque un traceroute donne comme résultat :

[root@cible]$ traceroute 10.0.0.1
traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 40 byte packets
 1  10.0.0.1  (10.0.0.1)  1.218 ms  1.061 ms  0.849 ms

Et le cache ARP de la machine cible est :

[root@cible]$ arp
Address                HWtype        HWAddress                Flags Mask        Iface
10.0.0.1        ether         00:b0:c2:88:de:65        C                eth0
10.0.0.227        ether        00:00:86:35:c9:3f        C                eth0

Le pirate lance alors ARPSpoof :

[root@pirate]$ arpspoof -t 10.0.0.171 10.0.0.1
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f

Les paquets envoyés sont des paquets ARP empoisonnant le cache ARP de la machine 10.0.0.171 avec des ARP Reply indiquant que l'adresse MAC associée à 10.0.0.1 est maintenant 00:00:86:35:c9:3f.

Désormais, le cache ARP de la machine 10.0.0.171 est  :

[root@cible -> ~]$ arp
Address                HWtype        HWAddress                Flags Mask        Iface
10.0.0.1        ether         00:00:86:35:c9:3f        C                eth0
10.0.0.227        ether        00:00:86:35:c9:3f        C                eth0

Pour vérifier que le trafic passe maintenant par la machine 10.0.0.227 il suffit de faire un nouveau traceroute vers la passerelle 10.0.0.1 :

[root@cible -> ~]$ traceroute 10.0.0.1
traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 40 byte packets
 1  10.0.0.227  (10.0.0.227)  1.712 ms  1.465 ms  1.501 ms
 2  10.0.0.1  (10.0.0.1)  2.238 ms  2.121 ms  2.169 ms

Le pirate est désormais capable de sniffer le trafic de la machine 10.0.0.171  vers  10.0.0.1.
Portail de la sécurité informatique

    Portail de la sécurité informatique
   
NETBIOS n'est pas un protocole en lui-même, c'est une interface logicielle et un système de nommage. L'interface NETBIOS est très utilisée sur les réseaux Microsoft NETBIOS permet par exemple de partager des ressources en réseau. Ces ressources peuvent être des imprimantes, processus ou des espaces disques. Un pirate peut essayer d'accéder à ces ressources en s'y connectant et tester différents couples utilisateur/mot de passe. NETBIOS n'est pas une interface très sécurisée. Elle est surtout utilisée dans les réseaux Microsoft pour le protocole SMB (bien qu'elle tend à être remplacée).  

    La Faille NetBios  

    En quoi consiste-t-elle ?  

    Le faille Netbios consiste à pénétrer dans le pc de quelqu'un sans trojans !!! Pour cela, les données du disque dur dans lequel on veut pénétrer doivent être partagées. Je ne vous cache pas que la faille Netbios devient très rare ( presque impossible à trouver ) et elle ne peut fonctionner qu'avec Windows 9X ( 95,98... )  

    Que faut-il pour pouvoir pénétrer le pc de quelqu'un ?  

    - Son adresse IP  

    - Savoir le Windows qu'il utilise.  

    - Et pour être sûr de pouvoir pénétrer ( donc pas forcément ), il faut savoir si il partage ses données du disque dur.  

    Comment procéder ?  

    Bon, commençons !!! Tout d'abord, ouvrez une fenêtre Ms-Dos ( Démarrer-Programmes-Commandes Ms-Dos).Ensuite, tapez "nbtstat -A adresse_ip_de_la_victime" Si vous voyez "Host not found" c'est foutu vous pouvez chercher une autre Ip. Par contre si vous voyez :  

    NetBIOS Remote Machine Name Table  

    Name           Type               Status  

    -----------------------------------------------------------------------------  

           John               <20>            UNIQUE   Registered  

            Famille               <00>            GROUP   Registered  

           John               <03>            UNIQUE   Registered  

    MAC Adress = 00-00-00-00-00-00  

    Maintenant que vous avez ça, gardez précieusement le nom de l'ordinateur noté à côté de <20> et qui est donc John dans notre exemple. Ensuite tapez "edit lmhosts". Là normalement, vous êtes dans un éditeur. Une fois dedans, tapez : adresse_ip_de_la_victime John #PRE ( John est seulement le nom du pc donc il le faut changer pour vous ! ). Maintenant vous sauvez dans "Fichier" et ensuite cliquez sur "Quitter" qui se trouve aussi dans "Fichier". De retour sous Ms-Dos, tapez "nbtstat -R". Si "Successful purge and preload of the NBT Remote Cache Name Table" apparaît, c'est tout bon, quittez Ms-Dos !!! Alors maintenant, allez dans "Démarrer-Rechercher-Ordinateur" et là, écrivez le nom de l'ordinateur (John dans notre exemple)!  

    Cliquez deux fois sur l'ordinateur et vous serez dans le pc de votre victime !  

Sécurité Informatique et Programmation

Une fois n'est pas coutume, c'est dans les noyaux 2.6.17 à 2.6.24.1 de Linux qu'une faille de sécurité majeure a été découverte.
Cette faille permet à un simple utilisateur d'obtenir les droits root (administrateur).

La quasi-totalité des distributions sont touchées, de Debian à Ubuntu en passant par Fedora.

Les travaux sont en cours pour résoudre le problème.

Notez que cela ne permet toujours pas d'attaquer une machine Linux à distance: Il faut déjà avoir un compte sur la machine pour pouvoir exploiter cette faille.

Source : Le Portail de la sécurité informatique