Au sommaire :

Mummies still walk among us !

Firestarter : Starter to your Firewall

HTTP Parameter Pollution Vulnerabilities in Web Applications

Does your Blackberry Smartphone have ears

Web testing using Active and Passive Scanner

Web Application : Acess Control and Authorisation Issues

More on http://www.hakin9.org/

• Latest News From the IT Security World
  By Armando Romeo, eLearnSecurity and ID Theft Protect
• Mummies still walk among us!
  By Ali Al-Shemery
  Imagine all the great sources of information on the Internet today such as: news groups, blogs, websites and forums, and you still see networks, and websites being hacked and torn down using old hacking techniques. For God sake, isn’t that a walking mummy? The author in amusing way describes why it is so important to keep the knowledge updated and why attacking new system with old techniques still works. Read the true, didactic and full of sense of humor story.
• Firestarter: Starter toyour Firewall
  By Mervyn Heng
  The firewall is the first line of defense on the network perimeter and end points. Firewalls are the gatekeepers to facilitate the flow of necessary traffic to and from assets. The author in his article focuses on the best practices when setting up a host-based firewall on a Ubuntu 10.4 LTS laptop. He describes how the host-based firewalls allow all traffic by default to offer users with immediate access to networks and the Internet and how network-based firewalls interestingly employ the opposite tactic as their default rule is to deny all.
• HTTP Parameter Pollution Vulnerabilities in Web Applications
  By Marco Balduzzi, Luca Carettoni, Stefano Di Paola
  Is your web application protected against HTTP Parameter Pollution? A new class of injection vulnerabilities allows attackers to compromise the logic of the application to perform client and server-side attacks. HPP can be detected and avoided. But how? This article discusses why and how applications may be vulnerable to HTTP Parameter Pollution. By analyzing different attacking scenarios, The authors of this article introduce the HPP problem. They describe PAPAS, the system for the detection of HPP flaws, and conclude by giving the different countermeasures that conscious web designers may adopt to deal with this novel class of injection vulnerabilities.
• Does your BlackBerry smartphone have ears?
  By Yury Chemerkin
  The smartphone becomes the most popular gadget all over the world. Undoubtedly, compactness, convenience and PCs’ functional capabilities have been winning modern users’ hearts. People may think that Internet surfing is safer with their favorite smartphone than by PCs and that the privacy loss risk is minimized, however analytical statistics show the opposite. From this article we will find out why every BlackBerry is vulnerable to multiple network attacks and how it is that address book provides a spam-attack vector. The author explains also how deceptions may mislead Blackberry users to compromise security and what makes the DMTF signalling a possible covert channel.
• Web Testing Using Active and Passive Scanners
  By Ric Messier
  Website creation has become so simple that just anyone can do it. This doesn’t mean that everyone can do it well. There are so many frameworks and tools available to make dynamic sites easy to put up quickly. The author of this article shows how to scan systems using both an active and a passive Web proxy. He also explains the differences between active and passive scanning and points out the reasons why doing regular site scanning can’t be overvalued.
• Web Applications: Access Control and Authorization Issues
  By Nilesh Kumar
  This article is about different kinds of Access Control mechanisms and issues with them in Web Applications. Where sufficient authorization checks are lacking, access controls may be abused by the logged-in user. The impact can be catastrophic. Improper access control handling may result in information leakage or worse unauthorized access to system components. The article helps to imagine what will happen if a normal user is able to access the contents meant only for a system administrator. The author describes a few scenarios of where authorization checks are not performed correctly and shows what their impact could be.
• Web Applications: Testing and Securing Your Code
  By Joe Pezzino, Phil Rusek
  With the high demand for applications and information, companies have made data readily and easily available. Web applications, to keep in touch with friends, download music, or order a new espresso machine, are used so commonly you seldom think about how the information is presented to you. From this article you will find out how to test and secure your web applications. The authors will share with also you their knowledge why the best practice against SQL Injection is to write a code that stores procedures and prepared statements.
• An overview of Web Application Security Issues
  By Julian Evans
  Web application security is very much in its infancy – some security experts believe this is going to be a major emerging area of technology. Nowadays web apps are more complex and are based on a client-server architecture. This architecture is evolving and we see web apps such as Google Apps acting as a word processor, storing the files and allowing you to download the file onto your PC. Facebook and the social web have also moved into Web apps hence the recent coined phrase Web 3.0. This is the overview article in which author points out the most current issues in area of Web App security, such as: programming development, JavaScript API, AJAX programming, mobile security or Facebook app security and authentification.
• Why are there So Many Command and Control Channels Part Two
  By Matt Jonkman
  In his last article Matt Jonkman wrote about Command and Control Channels, or CnCs. In this one he continues the topic of CnC channels and take up the discussion of the individual categories. He also describes some up to date examples of many of these cathegories out of the Emerging Threats Sandnet.

puis ajouter dans le crontab
 */5 * * * *  /usr/bin/mtrg /etc/mrtg.cfg --logging /var/log/mrtg.log

Source : http://oss.oetiker.ch/mrtg/

Installons les outils nécéssaires :

aptitude install linux-source-2.6.26 libncurses5-dev kernel-package fakeroot

linux-source-X.Y.ZZZ : les sources du kernel Debian désiré
libncurses5-dev : outil de configuration du kernel (menuconfig)
kernel-package : contient make-kpkg qui permet la compilation
fakeroot : permet de compiler le noyau en tant qu’utilisateur

Extraction des sources :

mkdir $HOME/kernel
cd $HOME/kernel
tar -xjvf /usr/src/linux-sources-2.6.26.tar.bz2

Configuration du futur kernel:

L’outil de configuration enregistre et se sert du fichier .config pour y stocker les options.
Avant de configurer notre futur kernel, nous pouvons alors récupérer les options déja utilisées dans le kernel actuel, afin de ne pas repartir de zéro

cd linux-sources-2.6.26
cp /boot/config-2.6.26-2-686 .config

Cependant, nous pouvons aussi récupérer des configurations clés en main qui serviront de nouveau point de départ:

wget ‘http://merkel.debian.org/~jurij/2.6.26-21lenny4/i386/config-2.6.26-2-686.gz’
gunzip config-2.6.26-2-686.gz
cp config-2.6.26-2-686 .config

http://merkel.debian.org/~jurij/ contient les configurations des kernels standards de Debian

Nous pouvons aussi utiliser les configurations par défaut fournies avec le kernel:

cd /arch/x86/configs/
ls
cp <MACONFIG>_debconfig .config

Entrons dans les choix des options du futur kernel:

make menuconfig

Apparrait alors un outil graphique de selection des options du kernel. Choisissez ce qui vous convient.

Dans le cas de CPU multi-core, il faut définir la variable d’environnement suivante au nombre de core (CPU) +1 à disposition:

export CONCURRENCY_LEVEL=5 (pour 4 core)

On nettoie les traces laissées par des builds précédents :

make-kpkg clean

On compile:

Installation du paquet:

cd ..
ls *.deb
sudo dpkg -i linux-image-2.6.26-debian-nom.machine.ext

Voila ! Au prochain reboot, grub vous proposera de booter sur ce nouveau kernel

Cette méthode n’est valable que jusqu’au kernel 2.6.32 ou l’outil make deb-pkg semble recommandée.

Il s’agit d’un concept proche de celui du NAT (NAT44) bien connu en IPv4, mais d’une translation de la partie Network Prefix d’un paquet IPv6. Cette translation à le mérite d’etre transport-agnostic.

Le nom de la fonctionnalité est : IPv6-to-IPv6 Network Prefix Translation (NPTv6)

Cette fonction permet de rendre son espace d’addressage IPv6 interne indépendant de celui de son ou ses FAIs, considéré comme externe.
Cette fonction fournis une relation 1:1 entre les addresses IPv6 des préfixes interne et externe.
La communication et le routage et donc la reachability end to end sont donc préservés, bien que l’ espace d’adressage interne (inside) soit différent de celle du réseau d’acces (outside) (FAI).

Il permet de s’affranchir du renumbering d’un réseau lors d’un changement d’opérateur ou de l’utilisation de plusieurs opérateurs simultanés (multihoming).

Cette translation est implémentée dans un router IPv6 et map un préfix d’addresse IPv6 vers un autre préfix IPv6 pour chaque paquet qui transitent sur ce router. Le routeur qui implémente cette translation NPTv6 est appelé un NPTv6 Translator.

Sources :

http://tools.ietf.org/html/draft-mrw-nat66-09

http://iucg.org/wiki/WIKI_NPTv6_Draft_-_Baker

Liens : http://wiki.amiot.biz

Il va alors flooder le réseau d’ARP-Reply disant que l’IP de la défault gateway a l’adresse MAC de sa propre machine. Les PCs en tiendront compte et le traffic sera alors rediriger vers le PC du hacker.

IP Forwarding : OS X :

Pour activer l’ip forwarding, il vous faudra utiliser la commande sysctl du terminal. Pour plus d’information sur cette commande, tappez man sysctl dans le terminal. Pour activer l’ipforwarding, tappez dans le terminal(avec sudo, car cette modification nécessite les droits de root):

sudo sysctl -w net.inet.ip.forwarding=1
sudo sysctl -w net.inet.ip.fastforwarding=1

Pour désactiver l’ip forwarding, tappez dans le terminal:
sudo sysctl -w net.inet.ip.forwarding=0
sudo sysctl -w net.inet.ip.fastforwarding=0

Pour checker l’état de vos paramétres “ip forwarding”:
sysctl -a | grep -e ip.forwarding -e ip.fastforwarding

(Pour rappel, le caractère | se tappe en faisant alt+maj+l sur les claviers de macbook)

Linux : Activer l’IP Forwarding on the fly par la commande :
echo 1 > /proc/sys/net/ipv4/ip_forward.
ou sysctl -w net.ipv4.ip_forward=1
Checker l’état :
cat /proc/sys/net/ipv4/ip_forward

Windows :

1. Start Registry Editor (Regedit.exe).
2. In Registry Editor, locate the following registry key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3. Set the following registry value: Value Name: IPEnableRouter Value type: REG_DWORD Value Data: 1 A value of 1 enables TCP/IP forwarding for all network connections that are installed and used by this computer.
4. Quit Registry Editor.

ARP Spoofing : Flood ARP-REPLY rediriger le traffic
arpspoof -i eth0 -t

Countermeasures on Cisco Switches :
Dynamic ARP Inspection (DAI) :
# activate ARP inspection in global configuration
ip arp inspection vlan 1
#configure fa0/0 as trusted interface
fa 0/0 ip arp inspection trust
show ip arp inspection vlan 1
show ip arp inspection interfaces
show ip arp inspection statistics vlan 1

Port Security : Restric allowed MAC addresses on Cisco interfaces
#int fa0/0
#switchport host
#switchport port-security
#switchport port-security mac-address sticky
#switchport port-security maximum 1
#switchport port-security violation shutdown

Lien Cisco : VLAN Security White Paper

RFC 3704 : Ingress Filtering for Multihomed Networks

RFC 2827 : Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing

Ce jour là, les grands nom du Web (Google, Facebook, Yahoo, Akamai) fourniront une résolution IPv6 à leur préfixe “www”, afin de valider et mettre en lumière les éventuelles problèmes de connectivité IPv6 rencontrés par leur clients/visiteurs si ce cas devenait, dans un avenir très proche, une réalité. Ces problèmes de connectivité, qui d’après eux, viendrait alors de clients mal configurés ou d’ISP ayant des problèmes de connectivité avec l’Internet v6.

Pour Google, le pourcentage d’Internaute connecté en IPv6 représente aujourd’hui 0,22% de leur traffic (voir les statistiques).

L’ISOC à d’hors et déja de testez votre connectivité IPv6 :  http://test-ipv6.com/

sources :

http://googleblog.blogspot.com/2011/01/world-ipv6-day-firing-up-engines-on-new.html

http://isoc.org/wp/worldipv6day/

Ce protocole est il pour autant fiable et sécurisé pour les réseaux d’entreprises, nottamment en environnement sensible (soit par nature, ie machine outils, soit par fonction, ie réseau du centre opérationnel de surveillance des satellites ou des autoroutes, ou de tour de contrôle) ?

Et bien pas vraiment … j’en veux pour preuve la liste des vulnérabilités IPv6 suivantes, principalement ciblées pour l’attaque d’un réseau local (liste non exhaustive) :

1. ND (neighbor discovery) spoofing : spoofer un réseaux avec énormément Neigbor Advertisements permet de faire croire à l’ensemble du réseau que la machine attaquante est le router par défaut. Cela ressemble un peu a une attaque par ARP Spoofing.
2. DAD DoS : Réponse à tout les messages Duplicate Address Detection provenant d’un client qui cherche à se connecter sur un réseau local afin d’empêcher ce client de trouver une IPv6 libre et donc de se connecter au réseau.
3. MIM redirect : Sur un réseau local, on redirige via forwarding les paquets interceptés, on est ainsi sur que les réponses passeront par la machine attaquante. Simple attaque Man in the Middle.
4. Rogue DHCP server : Faux DHCP serveur qui répond au requêtes DHCPv6 avec une priorité élevée afin d’être sûr d’être sélectionné par les clients comme étant la référence, et ainsi obtenir tout le trafic.
5. RA Spoofing (Router Advertisements) : L’attaquant émet des RA falsifiés afin de faire croire aux clients que le routeur par défaut est HS. Il peut alors prendre la place.
6. RA flooding : Envois en nombre de RAs sur un réseau local va engorger les processeurs des systèmes (OS et routers) paralysant ainsi le réseau (Ni Apple et Microsoft n’a sortit aucun patch pour cela et Cisco n’a pas encore patché les ASA …)

Bien sur, la combinaison de ces attaques permet à un attaquant de prendre le contrôle assez facilement !!

Cependant, il semblerait qua une des réponses à toutes menaces pourrait être SEND : RFC 3971 (SEcure Neighbor Discovery).

Outils :

The Hacker Choice IPv6 Attack Toolkit (tch-ipv6) propose un set d’outils qui permettent de démontrer les attaques possibles et les faiblesses d’IPv6.

Voici la liste des outils et leurs buts :

• paradise6 : spoofer d’ICMP solicitation et neighborhood , Man In the Middle style
• alive6 : scanner qui detecte les systèmes qui écoute l’adresse envoyée.
• dnsdict6 : Bruteforceur DNS parallélisé basé sur un dictionnaire
• detect-new-ipv6 : detecteur de nouveaux clients IPv6
• dos_new-ipv6 : detecteur de nouveau clients IPv6, et leur prétent que leur addresse entre en colision avec une autre (DAD spoofing)
• toobig6 : Baisse le MTU en spoofant un ICMPv6 message Paquet Too Big
• thcping6 : forger des pings IPv6
• trace6 : traceroute IPv6 qui support ICMPv6 echo request (ping) et TCP-SYN
• redir6 : redirecteur de traffic en spoofant un ICMPv6 redirect (Man In the Middle)
• fake_router6 : se faire passer pour un router avec un priorité haute (sur un réseau local)
• flood_router6 : flooder une victime avec des RA (router advertisements).
• flood_advertiser6 : flooder une victime avec des NA (neighbour advertisement).
• exploit6 : teste les vulnérabilités IPv6 connues sur une cible
• denial6 : une collection de DOS (denial of service) afin de tester une cible.
• fuzz_ipv6 : fuzzer IPv6 (sorte de test du singe)
• implementation6 : effectue divers check d’implementation IPv6
• implementation6d : daemon pour implementation6 écoutant derrière un firewall
• fake_mld6 : s’annoncer auprès d’un groupe multicast sur Internet (et non plus sur le réseau local)
• fake_mld26 : le même qu’au dessus mais pour PLDv2
• fake_mdlrouter6 : annoncer des MLD router messages
• fake_mipv6 : démontre qu’il est possible de se faire passer pour un mobileIP node ( si IPsec n’est pas requis pour l’authentification)
• fake_advertiser6 : forger des paquets d’annonce sur un réseau
• smurf6 : smurfer local (attaque par rebond : flooder une victime grace aux réponses à des messages broadcast (ex ping) spoofés initiés par l’attaquant)
• rsmurf6 : smufer à distance – ne fonctionne qu’avec Linux pour l’instant
• sendpees6 : générateur de NS (neighbor solicitation) avec beaucoup de CGA (Cryptographicaly Generated Address) afin d’engorger le CPU du router.

Liens : http://freeworld.thc.org/thc-ipv6/

Sans Peering : €€€€

Avec Peering : €€