Nous allons ensemble voire une introduction à ce que les pirates utilisent le plus : le social engineering. Un terme qui définie un genre plus acrobate et souvent moins conventionnel de l’informatique et du coding mais qui veut tabler sur la faiblesse humaine.
Nous sommes tous un jour un peu plus fatigué, on a des souci, des problèmes au travail, des besoins qui doivent être combler, des envies, on est tous humains. Cette humanité utilisent des services qui communique avec des pirates comme le réseau, l’intranet, les services télécom, les réseaux sociaux, le mailing,…
A partir du moment où on peut être contacté, voire approcher, on peut devenir une victime du SE.
L'ingénierie sociale est l'un des moyens les plus prolifiques et efficaces d'avoir accès à des systèmes sécurisés et d’obtenir des informations sensibles, nécessite encore des connaissances techniques minimales. L’ingénierie sociale se réfère à la manipulation des individus afin de les inciter à mener des actions spécifiques ou de divulguer des informations qui peut être utile à un attaquant.
Bref, cela ne demande pas de grosses connaissances techniques mais surtout d’être futé et malin et savoir manipuler les personnes, on appelle cette science le mentalisme. Des personnes férues de cet art comme moi-même on souvent mis en relation leurs connaissances afin de comprendre ou cerner une possibilité de solution par la manipulation (demande d’augmentation, problème avec un collègue de travail,…).
Des pirates sont devenus célèbres suite à l’utilisation de cette technique qui bien maitrisé peut faire des ravages au sein de grandes entreprises et ceux même s’il y a des professionnelles de la sécurité. Pour ce faite je vous renvoie sur mon article en deux temps où je donne déjà de belle prouesse d’un professionnelles de cette technique.
On pourrait apparenter le pirate social a un arnaqueur du web de haut vol. Un genre d’Arsène lupin du net.
Pirates social célèbres
Kevin Mitnick
Très célèbre pirate américain des années 80 et 90, depuis reconverti en auteur et consultant en sécurité informatique, il doit sa renommée à ses intrusions dans les systèmes de Pacific Bell, Fujitsu, Motorola, Nokia et Sun Microsystems. Kevin Mitnick est plus particulièrement reconnu pour ses opérations de phreaking, c'est-à-dire d'exploitation des infrastructures téléphoniques.
Précoce, il écope dès 17 ans d'une première condamnation à trois mois de détention en centre de redressement pour avoir pénétré le central téléphonique de Pacific Bell à Los Angeles et détourné des lignes téléphoniques à titre personnel. En 1983, il pénètre un ordinateur du Pentagone depuis l'université de Southern California et sa connexion à l'ARPAnet, l'aïeul d'Internet. Il passera cette fois six mois dans un centre de détention. Suivront d'autres affaires et nouvelles condamnations.
Quelques années plus tard, en 1989, fraichement sorti de prison, Kevin Mitnick semble un temps tirer un trait sur son passé de hacker, avant d'être finalement inculpé pour s'être introduit dans le réseau d'une société de télécommunications. Il sera cette fois-ci plus rapide que le FBI, qui mettra deux ans pour le retrouver. La police le soupçonne d'ailleurs d'avoir pris le contrôle du réseau téléphonique de Californie afin de mettre sur écoute les agents fédéraux chargés de le capturer.
Le 15 février 1995, il est finalement arrêté, grâce notamment à un expert en sécurité informatique et hacker : Tsutomu Shimomura. Mitnick aurait le 25 décembre 1994 utilisé la technique de l'IP Spoofing pour pénétrer l'ordinateur du japonais. Libéré en 2002 après 5 ans de prison, il devra encore attendre 2 ans pour obtenir l'autorisation d'utiliser un téléphone mobile, puis un ordinateur non connecté à Internet pour rédiger son premier ouvrage consacré au social engineering.
John Draper
Le crime informatique n'est certes pas une nouveauté. En 1970, John Draper s'était rendu célèbre aux Etats-Unis pour ses fraudes téléphoniques. A cette époque, le téléphone ignorait encore le numérique, et, avant de joindre son correspondant, on pouvait entendre les tonalités émises par les divers commutateurs acheminant les appels longue distance. Quelques pirates avaient bricolé de petits appareils reproduisant ces tonalités pour s'approprier des lignes et téléphoner gratuitement et à volonté.
John Draper faisait encore plus simple. Il s'était donné le sobriquet de Captain Crunc, nom de la marque d'une boîte de céréales offrant un sifflet en plastique dont il avait découvert que le son correspondait exactement au bruit d'un commutateur longue distance.
Nicolas Sadirac
Nicolas Sadirac, un ancien pirate aujourd'hui consultant en sécurité informatique, résume ainsi l'évolution récente: «Pirater un réseau ou un site Web est plutôt facile. Le plus compliqué est d'industrialiser l'intrusion, de mettre en place des méthodes pour réussir à tous les coups.» Et ils sont de plus en plus nombreux à se lancer dans ce type de business très fructueux. Les jeunes prodiges sont toujours très actifs, mais leurs exploits sont désormais occultés par ceux de deux nouveaux types de hackers: les escrocs et gangsters de tout poil, d'abord, qui se servent des réseaux informatiques et téléphoniques pour détourner des fonds; les mercenaires, ensuite, qui agissent pour le compte d'entreprises ou d'Etats à des fins d'espionnage ou de destruction.
Chris Hadnagy et Dan Tentler
Kevin Roose, journaliste pour le site Fusion, a demandé à deux experts en sécurité informatique de tenter de pirater sa vie :
1. Le premier hacker «Chris Hadnagy», a exploité des techniques d'ingénierie sociale pour parvenir à ses fins. En interrogeant le fournisseur d'accès de Roose, son opérateur mobile, et tout simplement en fouillant un peu sur internet et les réseaux sociaux, il a trouvé tout ce dont il avait besoin pour hacker la vie du journaliste. Pire encore, une collègue de Hadnagy, qui s'était fait passer pour la femme de Roose, a pu changer le numéro de téléphone du cobaye... simplement en demandant à son opérateur ! Tout cela sans utiliser aucun malware.
2. Le second hacker «Dan Tentler» a quant à lui bel et bien exploité toute la palette logicielle à sa disposition pour pourrir la vie en ligne du journaliste (Spear phishing, RAT, Keylogger, ..)
Il y est parvenu sans trop de difficulté, réussissant même à prendre des photos de sa victime à son insu. Voilà une expérience qu'on ne souhaite à personne, et qui amène à se poser bien des questions sur la sécurité de sa vie numérique.
L’expérience détaillée sur http://fusion.net/story/281543/real-...8-hack-attack/
Description des différents outils
SET est un Multiple Tools pentest, en gros un ensemble d'outils personnalisés permettant d'augmenter et de simuler des attaques de type social-engineering afin de pouvoir tester comment une attaque peut réussir sur votre serveur. Pour l'instant celui-ci supporte deux méthodes d'attaque principales, une utilisant des Metasploits et l'autre passant par un site virtuel malicieux envoyant des attaques Java.
J’en ai largement parlé sur ce poste :
http://hackademics.fr/showthread.php...al-Engineering
Les Tools de collecte d’information tel que j’en ai parlé sur :
- http://hackademics.fr/showthread.php...highlight=kali ,
- http://hackademics.fr/showthread.php...tion-avec-SNMP et http://hackademics.fr/showthread.php...ter-d%E9butant .
Je ne reviendrais donc pas sur ce large éventail d’outils proposés par la plateforme Kali et les émules de Framework sécuritaire.
Cependant, ne négliger pas non plus les recherches sur google tel que je les conseille qui peuvent être beaucoup plus fructueuse si l’on s’attarde aux moindres détails :
- GoogleDorks
- GHBD (https://www.exploit-db.com/google-hacking-database/)
- Metagoofil
- The Foca
- TheHarvester
- Recon-ng
- Maltego
- https://archive.org/
- SpiderFoot
La finalité est de parvenir à mettre en place une structuration de l’infrastructure afin par la suite d’isolé les points pivots permettant de poser la base de son attaque SE.
On pourra ainsi trouver des informations sur tous les petites erreurs laissés au hasard des choses ou au fil du temps, les négligences des uns, des collaborateurs ainsi par fois de simple fournisseur.
La première approche sera d’ordre psychologique comme je le démontre dans mon article :
http://hackademics.fr/showthread.php...e-comportement
Le levier psychologique est le nerf de la guerre du SE, dernièrement ce qui fonctionne le mieux reste avant tout le chantage. Imaginez la fille d’un collaborateur proche de la direction et qui a une fille. Cette même fille a une liaison avec un proche, un ami de son père en cachette. Des photos volés pourraient être une preuve suffisante pour la pousser à passer dans le camp du pirate.
De même, un stagiaire 1ere année en sysadmin décide de faire un clone du ftp mal sécurisé, le pirate y a accès, il pourra alors faire chanter ce bleu afin de le pousser à donner des informations sur le ftp originel sous peine de le dénoncer à son université ainsi qu’à son patron.
L’hameçonnage – première base du SE
On va utiliser divers moyen de communication :
- Téléphone (Vishing) :
- Obtention d’accès ou d’informations non autorisé
- Arnaque au président
- Mail ciblé / personnalisé (Spear phishing) :
- Infection de malware, compromissions d’accès, etc..
- Manipulation d’un salarié :
- Chantage, corruption, piège basé sur la psychologie, ses tendance ou centres d’intérêts
https://www.aldeid.com/wiki/Attaques/Reconnaissance
Vous l’avez compris le pirate SE va utiliser tous les moyens qui lui sont permis afin d’approcher sa victime et de la compromettre, un classique étant l’usurpation d’identité (qui fonctionne depuis toujours).
Mais aussi les cinq principales que sont :
1. Le phishing - http://hackademics.fr/showthread.php...shing-avanc%E9
2. pretexting
Contrairement à des e-mails de phishing, qui utilisent la peur et de l'urgence à leur avantage, les attaques reposent sur l'extorsion construction d'un faux sentiment de confiance avec la victime. Cela nécessite l'attaquant de construire une histoire crédible qui laisse peu de place pour le doute sur la partie de leur cible.
3. Baiting
Une telle attaque a été documentée par Steve Stasiukonis, vice - président et fondateur de Secure Network Technologies, Inc., en 2006. Pour évaluer la sécurité d'un client financier, Steve et son équipe infectées des dizaines de USBs avec un virus cheval de Troie et les dispersés autour de la le parking de l'organisation. Curieux, bon nombre des employés du client ramassé les clés USB et les branchés sur leurs ordinateurs, qui activent un keylogger et a donné Steve accès à un certain nombre d'informations de connexion de salariés.
http://web.archive.org/web/200607131....svl=column1_1
4. Quid Pro Quo
De même, pro attaques quid quo promettent un avantage en échange d'informations. Cet avantage prend généralement la forme d'un service.
L’un des types les plus communs de pro attaques quid quo impliquent des fraudeurs qui usurpent l’identité des agents de service et qui spam autant de numéros directs qui appartiennent à une entreprise. Ces attaquants offrent l'assistance informatique à chacun et à chacune de leurs victimes. Les fraudeurs promettent une solution rapide et en échange les employés désactivent leur programme AV pour y installer des logiciels malveillants sur leurs ordinateurs qui prend l'apparence de mises à jour logicielles.
A titre d’exemples du monde réel ont montré, les employés de bureau sont plus que disposés à donner leurs mots de passe pour un stylo pas cher ou même une barre de chocolat .
5. Tailgating
Un autre type d'attaque d'ingénierie sociale est traduit comme le talonnage. Ces types d'attaques impliquent quelqu'un qui n'a pas l'authentification correcte suive un employé dans une zone restreinte.
Dans un type le Tailgating attaque, une personne se fait passer pour un chauffeur-livreur et attend à l'extérieur d'un bâtiment. Lorsqu'un employé gagne l'approbation de sécurité et ouvre leur porte, l'attaquant demande à l'employé tenir la porte, obtenant ainsi l'accès à l'entreprise.
Cela ne fonctionne pas avec tous les paramètres de l'entreprise, tels que dans les grandes entreprises où toutes les personnes entrant dans un bâtiment sont tenus de glisser une carte. Cependant, dans les entreprises de taille moyenne, les attaquants peuvent entamer des conversations avec les employés et utiliser ce spectacle de familiarité pour obtenir avec succès de passer la réception.
En fait, Colin Greenless, un consultant en sécurité chez Siemens Enterprise Communications, a utilisé ces mêmes tactiques pour avoir accès à plusieurs étages différents, ainsi que la salle de données à une entreprise financière FTSE-cotée. Il a même été en mesure de se fonder dans un troisième étage salle de réunion, sur laquelle il a travaillé pendant plusieurs jours.
Sans oublier les dérivées comme le Spear phishing...
La preuve par l’exemple
Cette vidéo très bien faite montre en image l’ensemble du SE. Nous allons ensemble essayer d’entrevoir un exemple concret sur la base d’une entreprise fictive et de personnes également fictives.
L’exemple
L’entreprise GameFor vient de développer un nouveau système de jeu révolutionnaire qui permet à plusieurs joueurs sur internet de mettre en place une veille console Gameboy et d’y jouer en simultanée.
L’ensemble sous forme de packaging pour PC gamer fait office d’une bombe sous la houlette de la firme qui y va grande trombe publicitaire.
La société Forza Gaming est sous pression car cela rend obsolète ses derniers système d’émulateurs ainsi que ces plateformes en lignes permettant de rejouer à d’anciennes versions de jeux.
Ils contactent un pirate MacEying pour l’employé à entré et récupéré ce fameux secrets en développement afin de parvenir à lancer un projet annexe qui fera concurrence lors du prochain rassemblement sur Paris.
Le pirate va tout d’abord chercher toutes les informations sur cette entreprise, son but étant d’avoir la structure et les noms du personnel surtout celui afféré à l’élaboration de la technique.
Après une recherche minutieuse, il trouve un homme la 30aine qui est à coup sur un des 5 qui travaille sur le projet final. Il va récupérer toutes les informations sur sa vie via les réseaux sociaux, il va appeler les téléphones soumis afin de dénicher par usurpation des informations IRL.
Quelques temps plus tard, il a dénicher une perle, ce professionnel aime le bowling et il y joue régulièrement. Il va tenter une approche de type virale, pour ce faire il va contacter des amis codeurs et leur demander un kit keylogger FUD afin de le soumettre via un bon à la victime.
Payer une centaine d’euros, il possède un bon keylogger non repéré et va aller dans ce même bowling pour acheter un bon pour plusieurs parties gratuites. Ensuite, il va créer un site qui pour quelques questions sur le bowling en question permettrait de gagner un bon pour 8 paries offertes.
Le dit fichier en question sera bien sur vérolé avec le keylogger, pas de chance, il ne mord pas, il a peut être senti la supercherie ou son AV a détecter le code, peu importe, un pote que le pirate a engager pour des recherches poussées me contacte, il a des infos croustillantes.
Il a une liaison avec une autre femme, et il l’a su par le biais d’un réseau de rencontre de chat libre où il se rend. Il l’a suivit et a pris des photos compromettantes, il ne reste plus qu’à payer le second pirate puis à lancer l’hameçonnage.
Il est acculé au mur et décide de nous donner un accès ftp personnalisé, le pirate s’introduit via un système anonyme (http://samy.pl/proxygambit/) construit par ses soins et récupère l’ensemble du projet.
Bien entendu, le gourmand renégocie un peu à la hausse ses honoraires, puis donne rendez vous à une heure tardive dans un parc où il laisse la clé USB contenant le projet.
Il a utilisé la plupart des outils cités et bien d’autres, la liste est exhaustive et l’inventivité ne tient qu’à la ruse et la finesse du pirate.
Bien s’entourer, de personnes aux compétences multiples est un plus pour le pirate de SE. En effet, il ne pourra pas forcément faire que du SE, et devra prendre l’initiative de passer par des moyens plus conventionnelles afin de mettre en place ses stratégies. C’est comme aux échecs, on avance nos pions toujours en souhaitant coincer le roi.
Toujours plus fort
Le SE ne cesse d’évoluer surtout avec la technologie mais aussi avec les hommes. Les entreprises ont compris le problème et forme les maillons centraux de leurs entreprise à se prémunir contre ces techniques. Cela force les pirates à chercher ailleurs les possibilités comme cet article où ils utilisent wifiphisher afin de créer un clone d’un point wifi ce qui permet par phishing et DOS d’amener ses victimes à passer par ce point d’accès et donc de récupéré la clé de sécurité réseau.
Voici l’article qui détaille ce petit tool http://thehackernews.com/2015/01/wif...attacks_5.html
Voilà pour les recommandations, je pense que l’on sait tous que l’information est la meilleure conseillère et permettra d’écarter les majeures techniques ou arnaques utilisées par les pirates, mais craignons que l’inventivité de l’homme n’a aucune limite.