1- Sniffing
définition:
- "Sniffing" est une technologie d'interception de données.
- "Sniffer" est un programme ou un dispositif qui capte les informations qui circulent dans le réseau.
- L'objectif de sniffing est de voler: les mots de passe, texte de l'email, des fichiers, etc.
Les protocoles vulnérables à Sniffer
telnet, http, smtp, nntp, pop, ftp, imap, etc.
Outils
Network view, Dude Sniffer, look@LAN, Wireshark, Cain and abel, Tcpdump, etc.
Comment détecter un sniffer sur un réseau
* ARP Watch.
* promiscan.
* antisniff.
* Prodetect.
* IDS, etc.
- etc.
Cas pratique
voir cette video: Sniffing
- "Sniffing" est une technologie d'interception de données.
- "Sniffer" est un programme ou un dispositif qui capte les informations qui circulent dans le réseau.
- L'objectif de sniffing est de voler: les mots de passe, texte de l'email, des fichiers, etc.
Les protocoles vulnérables à Sniffer
telnet, http, smtp, nntp, pop, ftp, imap, etc.
Outils
Network view, Dude Sniffer, look@LAN, Wireshark, Cain and abel, Tcpdump, etc.
Comment détecter un sniffer sur un réseau
Exécuter ARPWATCH et voir si l'adresse MAC de certaines machines a changé (MAC du routeur par exemple).
Exécuter des outils de réseau comme HP OpenView et IBM Tivoli Network Health Check pour surveiller le réseau.
De tout Façon il existe divers outils pour détecter un sniffer sur un réseau:* ARP Watch.
* promiscan.
* antisniff.
* Prodetect.
* IDS, etc.
Comment se protéger ?
- La meilleure façon pour être protégés contre le sniffing est d'utiliser le cryptage (HTTPS, SSH, SMPTPS, etc).
- Bloquer les attaques ARP Spoofing dans un réseau local.
- Pour un usage de petit réseau utiliser des adresses IP statiques et tables ARP statiques pour empêcher ARP Spoofing.
-
Utiliser l'Active Directory avec restriction des privilèges sur les
client afin d'empicher les utilisateur d'installer des logiciels de
sniffing.- etc.
Cas pratique
voir cette video: Sniffing
2- Phishing
Qu'est-ce que le phishing ?
Quelques méthodes de phishing
E-mail et spam
- La plupart des attaques de phishing sont faites par e-mail.
- Les pirates peuvent envoyer des millions de mails à adresses e-mail valide en utilisant les techniques et les outils utilisés par les spammeurs.
Prestation sur le Web
- Ce type d'attaque est réalisée en ciblant les clients par le biais d'un site tiers.
- Offrir un contenu de site Web malveillant est une méthode populaire d'attaques de phishing.
- Maintien de bannière de fausse publicité dans certains sites pour rediriger les clients vers le site de phishing.
IRC et de messagerie instantané
Chevaux de Troie
Cheval de Troie est un programme qui donne l'accès complet sur un ordinateur pour les pirate après avoir été installé sur l'ordinateur.
Le pirate essaye de convainquer l'utilisateur à installer le logiciel trojan par courrier électronique par exemple.
Processus de phishing
- Enregistrement d'un faux nom de domaine.
- La construction des site Web qui se ressemblent à des site web légitimes.
- Envoyant un courriel à des nombreux utilisateurs.
etc ..
Type d'attaques de phishing
Attaque par : "URL Obfuscation attack"
Cross-site scripting (XSS)
- voir le chapitre vulnérabilité web.
Hidden attacks
Attaque en exploitant le code html, ou tout autre code scriptable pour modifier l'affichage de l'information sur le navigateur du client en modifiant le contenu provenant du site réel avec un faux contenu .
Vulnérabilité coté-client (client-site attack)
La plupart des clients sont vulnérables face aux attaques de phishing pendant leurs navigation sur le Web.
Anti-phishing
- Netcraft Toolbare (www.netcraft.com):bloquer les sites de phishing qui sont enregistrés dans le serveur central de Netcraft.
- PhishTank: Bloquer les pages de phishing en référence aux données présentes dans le réservoir de phishing.
- NetCraft: alerte l'utilisateur lorsqu'il est connecté au site de phishing.
- GFI MailEssentials: détecte et bloque les menaces posées par les courriels.
- etc.
Cas Pratique
(je ne suis pas responsable des dégâts occasionnés par l’utilisation de cet technique).
Comment le pirate peut obtenir les mots de passe ?
Maintenant, il existe de nombreuses façons, il peut les faire, mais la plus probable est d'utiliser le technique de phishing.
Ce n'est pas forcément que la personne que vous essayez de hacker soit un peu stupide, par ce que vous seriez surpris de voir combien de personnes tombent dans la piège.
dans cette exemple on prend le cas de Gmail par exemple.
1- Télécharger la page d'authentification Gmail.
4- mettre la page dans votre serveur local ou vous pouvez la publier sur internet(hébergement gratuit).
voir cette Video: Phishing
3- social engineering
<< There is No Patch to Human Stupidity >>
C'est quoi l'ingénierie sociale ?
L'ingénierie sociale peut prendre plusieurs formes :
Par téléphone,
Par courrier électronique,
Par courrier écrit,
Par messagerie instantanée,
etc.
Les phases d'attaque par ingénierie sociale
1- La recherche sur la société cible (sites Web, les employés ...)
2- Sélectionnez la victime à attaquer.
3- Développer des relations (développement des relations avec l'employés sélectionnés)
Impact sur l'organisation
- Pertes économiques.
- Perte de la vie privée.
- etc.
Comment se protéger ?
- la sensibilisation sur le SE.
- Politiques de mot de passe:
* Changement de mot de passe périodiquement.
* Longueur et la complexité des mots de passe (dh1L7 #9 $_)
- Blocage de compte après plusieurs tentatives infructueuses.
- Assurer la sécurité des informations sensibles et utilisation autorisée des ressources.
- Les politiques de sécurité physique:
* Accompagnement des visiteurs,
* Restrictions des accès géographiques,
-etc.
Le
phishing est un type de falsification qui a pour but de voler votre
identité. Ainsi, une personne malveillante tente d'obtenir des
informations, telles que vos numéros de carte de crédit, vos mots de
passe, vos numéros de compte ou autres informations confidentielles
sous de faux prétextes. Ce type d'attaque se produit généralement par
l'intermédiaire de messages électroniques non sollicités ou de fenêtres
contextuelles.
Quel est le principe du phishing ?
Un
utilisateur malveillant envoie des millions de messages falsifiés qui
semblent provenir de sites Web connus ou de sites de confiance, tels
que ceux de votre banque ou de votre gestionnaire de carte de crédit.
Ces messages, et les sites Web auxquels ils renvoient, sont souvent si
proches de l'original que de nombreuses personnes s'y trompent et
communiquent leurs numéros de carte de crédit, leurs mots de
passe, leurs numéros de compte et autres informations personnelles.
Pour
rendre ces messages encore plus réalistes, les escrocs ajoutent une
adresse électronique qui semble correspondre au site Web officiel, mais
qui en réalité mène vers un site falsifié, voire une fenêtre
contextuelle qui est une copie conforme du site officiel. Ces copies
sont parfois appelées « sites Web usurpés ». Une fois sur ce type de
site, vous risquez de donner davantage d'informations personnelles
qui peuvent tomber entre les mains du créateur du site, qui pourra
ensuite les utiliser pour acheter quelque chose, demander une nouvelle
carte de crédit ou voler votre identité.
Raisons de phishing
N'accordant pas une attention à l'indicateur de sécurité:
Les utilisateurs ne donnent pas l'attention voulue aux vrais messages d'alerte ou indicateurs de sécurité
Raisons de phishing
N'accordant pas une attention à l'indicateur de sécurité:
Les utilisateurs ne donnent pas l'attention voulue aux vrais messages d'alerte ou indicateurs de sécurité
Quelques méthodes de phishing
E-mail et spam
- La plupart des attaques de phishing sont faites par e-mail.
- Les pirates peuvent envoyer des millions de mails à adresses e-mail valide en utilisant les techniques et les outils utilisés par les spammeurs.
Prestation sur le Web
- Ce type d'attaque est réalisée en ciblant les clients par le biais d'un site tiers.
- Offrir un contenu de site Web malveillant est une méthode populaire d'attaques de phishing.
- Maintien de bannière de fausse publicité dans certains sites pour rediriger les clients vers le site de phishing.
IRC et de messagerie instantané
IRC:
c'est une abréviation de Internet Relay Chat (en français, discussion
relayée par Internet), est un protocole de communication textuelle sur
Internet. Il sert à la communication instantanée principalement sous la
forme de discussions en groupe par l’intermédiaire des canaux de
discussion, mais peut aussi être utilisé pour de la communication de un à
un. Il peut par ailleurs être utilisé pour faire du transfert de
fichier.
Les attaquants peuvent envoyer des fausses
informations et des liens vers les utilisateurs par l'IRC et la
messagerie instantanéeChevaux de Troie
Cheval de Troie est un programme qui donne l'accès complet sur un ordinateur pour les pirate après avoir été installé sur l'ordinateur.
Le pirate essaye de convainquer l'utilisateur à installer le logiciel trojan par courrier électronique par exemple.
Processus de phishing
- Enregistrement d'un faux nom de domaine.
- La construction des site Web qui se ressemblent à des site web légitimes.
- Envoyant un courriel à des nombreux utilisateurs.
etc ..
Type d'attaques de phishing
Attaque
man-in-the-middle: dans cette attaque, l'ordinateur de l'attaquant est
placé entre l'ordinateur du client et le site web, aide à l'attaquant
pour suivre les communications entre l'utilisateur et le site web
visité, cette attaque prend en charge les protocoles http et https. Afin
de rendre cette attaque réussit, le pirate doit diriger le client vers
son serveur plutôt que le serveur réel.
Pour plus d'information sur attaque man-in-the-middle voir le chapitre ARP Spoofing.
Attaque par : "URL Obfuscation attack"
Le pirate envoi un email à sa victime qui porte un URL qui lui dirige vers son serveur (le serveur de pirate).
Cross-site scripting (XSS)
- voir le chapitre vulnérabilité web.
Hidden attacks
Attaque en exploitant le code html, ou tout autre code scriptable pour modifier l'affichage de l'information sur le navigateur du client en modifiant le contenu provenant du site réel avec un faux contenu .
Vulnérabilité coté-client (client-site attack)
La plupart des clients sont vulnérables face aux attaques de phishing pendant leurs navigation sur le Web.
Anti-phishing
Les
attaques de phishing sont empêchés par les logiciels anti-phishing. Ces
logiciel détecte les attaques de phishing dans le site Web ou dans l'
email du client.
Ces
logiciels comme des outils intégrés dans le navigateur du client permet
par exemple l’affichage du vrai domaine de site web visité par le
client. permis ces outils on a:
- Netcraft Toolbare (www.netcraft.com):bloquer les sites de phishing qui sont enregistrés dans le serveur central de Netcraft.
- PhishTank: Bloquer les pages de phishing en référence aux données présentes dans le réservoir de phishing.
- NetCraft: alerte l'utilisateur lorsqu'il est connecté au site de phishing.
- GFI MailEssentials: détecte et bloque les menaces posées par les courriels.
- etc.
Cas Pratique
(je ne suis pas responsable des dégâts occasionnés par l’utilisation de cet technique).
Comment le pirate peut obtenir les mots de passe ?
Maintenant, il existe de nombreuses façons, il peut les faire, mais la plus probable est d'utiliser le technique de phishing.
Ce n'est pas forcément que la personne que vous essayez de hacker soit un peu stupide, par ce que vous seriez surpris de voir combien de personnes tombent dans la piège.
dans cette exemple on prend le cas de Gmail par exemple.
1- Télécharger la page d'authentification Gmail.
2- Modifier
le code source (code HTML) de la page en utilisant par exemple
Notepad++ de tel sort que lorsque vous saisirez votre login et votre mot
de passe ces derniers vont être enregistrés dans un
fichier texte (login.txt par exemple) en gardant la forme de la page
telle qu'elle est. Pour ce faire vous pouvez utiliser par exemple le PHP
car il est trés facile.
3- Enregistrer la page avec l’extension < .php >4- mettre la page dans votre serveur local ou vous pouvez la publier sur internet(hébergement gratuit).
5-
utiliser les téchnique, DNS Spoofing (cet technique est trés facile
dans un réseau local mais déficile sur internet) pour rediréger la
victime lorsque elle veut acceder à son compte Gmail vers la page que
vous avez déjà préparé.
Quand ils se connecte (si elle tombe dans la piège), leurs coordonnées apparaissent dans log.txt.voir cette Video: Phishing
3- social engineering
<< There is No Patch to Human Stupidity >>
C'est quoi l'ingénierie sociale ?
L'ingénierie
sociale est définie comme le processus de tromper les gens à
communiquer des informations confidentielle de l'entreprise (mot de
passe, etc.) en exploitant la stupidité humaine.
Selon
la définition Wikipedia L'ingénierie sociale (ou social engineering en
anglais) est une forme d'acquisition d'information et d'escroquerie
déloyale, utilisée en informatique pour obtenir d'autrui, un bien, un
service ou des informations clefs. Cette pratique exploite les failles
humaines et sociales d'un entreprise cible, à laquelle est lié le
système informatique visé.
Un
employé peut-être involontairement donner des informations essentielles
dans un courrier électronique ou par répondre à la question au
téléphone avec quelqu'un étrangère à l'entreprise ou même en parlant
d'un projet avec des collègues dans un local publique après les heures
de travail.
L'ingénierie sociale peut prendre plusieurs formes :
Par téléphone,
Par courrier électronique,
Par courrier écrit,
Par messagerie instantanée,
etc.
L'attaques d'ingénierie sociale est très dangereuse
- Difficile de détecter les tentatives d'ingénierie sociale.
- Il n'existe aucune méthode pour assurer la sécurité complète contre les attaques d'ingénierie sociale.
- Pas de logiciel spécifique ou de matériel pour la défense contre les attaques d'ingénierie sociale.
Les phases d'attaque par ingénierie sociale
1- La recherche sur la société cible (sites Web, les employés ...)
2- Sélectionnez la victime à attaquer.
3- Développer des relations (développement des relations avec l'employés sélectionnés)
4- Exploiter la relation (exploiter la relation comme Par exemple recueillir des informations financières sensibles.
- Pertes économiques.
- Perte de la vie privée.
- etc.
Comment se protéger ?
- la sensibilisation sur le SE.
- Politiques de mot de passe:
* Changement de mot de passe périodiquement.
* Longueur et la complexité des mots de passe (dh1L7 #9 $_)
- Blocage de compte après plusieurs tentatives infructueuses.
- Assurer la sécurité des informations sensibles et utilisation autorisée des ressources.
- Les politiques de sécurité physique:
* Accompagnement des visiteurs,
* Restrictions des accès géographiques,
-etc.
Aucun commentaire:
Enregistrer un commentaire