Article tagué Hack
Comment ne pas laisser de traces dans un shell…
28/10/11
Pour une raison ou une autre, il peut être intéressant de ne pas faire figurer certaines commandes dans l’historique d’un shell.
Plutôt que de favoriser la manière forte (en vidant .bash_history par exemple), je vous propose la méthode méticuleuse. Ouvrez une console et voyez plutôt…
Les touches fléchées Haut et Bas de votre clavier vous permettent de remonter dans l’historique des commandes exécutées. Admettons que vous souhaitez laisser sous silence certaines commandes futures, comment s’y prendre ?
Lancez votre éditeur de texte préféré (vim ? Excellent choix), et rajoutez cette ligne à votre .bashrc :
export HISTIGNORE="[ t]*"HISTIGNORE vous permet de ne pas enregistrer certaines commandes. Ici, ne seront pas enregistrées les commandes précédées d'un espace. Après avoir enregistré les modifications apportées à .bashrc, essayez n'importe quelle commande. Elles apparaîtront dans l'historique.
Essayez à nouveau en laissant un espace juste avant votre commande. Elles ne seront pas enregistrées !
Maintenant, ouvrez votre .bash_history en mode "Stealth", puis supprimez la commande d'édition du .bashrc.
Toujours en mode "Stealth", ouvrez .bashrc, puis supprimez le HISTIGNORE.
Aucune trace... c'est pas beau ça ? (enfin, aucune trace dans le shell, entendons-nous bien... 
)
Bloody Monday (ブラッディ・マンデイ) : du hack, du Linux, des terroristes et du fun !
16/09/11
Vous avez déjà regardé « Les Experts » ? Vous vous êtes dit « What the fuck ?! » en voyant leurs PC 3D de-la-mort-qui-tue-mais-pas-crédibles-pour-un-sou ? Vous êtes informaticien (ou pas) et ça vous dérange quand on prend le téléspectateur pour un abruti ? (c’est-à-dire : « On va lui faire croire que des effets 3D de la mort, ça rend le travail plus facile et ça fait plus pro »)
Alors je vous présente Bloody Monday. Ça vient du Japon. Au-delà de son scénario (des terroristes qui veulent exterminer la population tokyoïte avec un virus), la série nous propose des scènes de joutes informatiques assez exceptionnelles.
Certes, on tombe parfois dans le cliché du « Je fracasse mon clavier comme un dingue », ou alors « Je rentre dans un système en moins de 30 secondes en ayant écrit un exploit de 20 lignes », mais globalement, le jeune hacker lycéen surprend.
Salut je tourne sous Linux, je te spoofe, je rigole avec VNC et t’es p0wned.
Pour résumer : le p’tit Falcon (c’est son pseudo) boot sur du Linux (par contre faudra m’expliquer pourquoi lui donner un look Windows) pour contourner en 2/2 un mot de passe Windows, il écrit des exploits, il joue avec nmap, aircrack-ng (tout ça, ça me rappelle des souvenirs, j’avais le même âge que lui. La belle époque…), gVim (en puriste je préfère le vrai vim, m’enfin), etc…
Si vous avez vu The Social Network, ici c’est à peu près la même chose.
Bref, comme je vous l’ai dit, globalement ça tient la route et ça fait plaisir. On est loin du mec qui s’excite sur son clavier en alignant n’importe quoi avec des softs qui n’existent même pas. La réalisation des scènes de hack a été particulièrement soignée, et c’est un effort à saluer.
Quand je m’ennuie, je deface un site entre deux tartines de Nutella au wasabi.
Quant à l’histoire, elle est assez prenante. Il faut dire que le réalisme imposé contribue au plaisir que l’on prend à regarder les 11 épisodes qui constituent la saison 1 de la série. (quand on bosse dans le milieu, on apprécie)
Que vous soyez informaticien ou pas, je vous conseille d’y jeter un œil. La série ne demande pas Bac+5 (il n’y a quasiment pas de termes techniques) et vous promets quelques heures sympathiques. 
20 lignes. Avec 20 lignes tu vas pleurer ta maman ! Si si. Python rules.
Crédits images : FuruAnimePanikku
De la relative complexité du piratage… quand l’utilisateur devient complice.
10/08/11
J’ai pu voir par le passé (et le présent) tellement de laxisme dans le choix d’un mot de passe que je pense qu’un rappel s’impose. En effet, utilisateurs de l’informatique que nous sommes, nous sommes tous passés par la case « Entrer un mot de passe ». Par définition, un mot de passe autorise l’accès (site web, boîte mail, peu importe) qu’à celui qui le détient. En toute logique, nous serions tentés de penser que l’utilisateur en question ne souhaite pas partager son accès avec des inconnus. C’est là que le fameux utilisateur, sans même s’en rendre compte, offre bien gentillement son accès à celui qui le voudra…
Loin des solutions « clés en main » (sans mauvais jeu de mots) utilisées par les vandales (brute force, keylogger, etc), le secret de l’obtention d’un mot de passe réside bien souvent… dans un exercice de psychologie. L’attaquant n’a parfois qu’à se mettre « dans la tête » de sa victime pour obtenir ce qu’il souhaite. Sexe, âge, profession, autant de variables qui, selon moi, permettent de profiler le type de mot de passe utilisé.
Simple exemple : l’ingénieur en informatique ne construit pas son mot de passe de la même manière qu’une jeune fille de 17 ans. Le premier, conscient de la vulnérabilité d’un mot de passe, optera pour une construction solide : Chiffres, majuscules/minuscules, caractères spéciaux. La seconde préférera mettre sa date de naissance ou le nom de son petit ami. (bien entendu, on a déjà vu des spécialistes être totalement inconscient et mettre « azerty »… je globalise)
Retour d’expérience désormais, laissez-moi vous faire un petit « Top » (tout en humour) des plus mauvais de mot de passe que j’ai pu voir. (il n’y a pas d’ordre précis)
- La date de naissance : Souvent au format jj/mm/aa (satisfaisant ainsi les 6 caractères minimum souvent imposés), la date de naissance apparaît comme un incontournable. À l’heure des réseaux sociaux où les dates de naissances sont clairement affichées, c’est totalement inconscient. « Pourquoi irait-on visiter ma boîte mail ? » Parfois il n’a pas de raison qui tienne…
- Le prénom : Ça peut paraître choquant, mais dans le cas où le prénom de la personne contient 6 caractères ou plus, c’est un mot de passe potentiel. Et puis, l’utilisateur n’est pas prêt de l’oublier.
- Le nom du conjoint/conjointe/enfant/copain/copine/animal de compagnie : Celui-ci est spécial car il a tendance à me faire froncer les sourcils. Un mot de passe n’a aucune raison de d’être une preuve d’amour ! Toujours est-il que c’est le genre de mot de passe qui a la côte…
- Combinaison prénom/année de naissance : Un poil plus sûr, mais toujours très insuffisant. Que ce soit pour un petit prénom ou un long, le genre sarah68 ou juliette91 reste d’usage.
- Toi + Moi : Chanson merdique, mot de passe qui l’est tout autant. À l’usage chez les jeunes couples et duo de copines. « sarah&julienne » ou « sarahetjulienne » ou encore « sarah+julienne ». Je vous l’accorde, pour le duo de copines, c’est essentiellement à l’usage sur Skyblog. Je vous avais averti… tout en humour.
- Loisir favori : Vous vous en doutez, Gilbert, 32 ans, fan du RC Lens, ça donne « rclens ». Ça fonctionne aussi avec « allezlom » et consorts. Existe en version Calcio et Liga. (évidemment, ça ne marche pas qu’avec le football. Sports, jeux vidéo, séries, groupes de musique, stars préférées…)
- Clavier magique : Déclinaison moldue du Choixpeau magique, avec pour principaux choix : azerty et 123456.
- Numéro de téléphone : Plus tordu celui-ci, vous l’admettrez. Mais c’est un fait.
Bien sûr, la fameuse question secrète n’est pas en reste. L’utilisateur, convaincu du bien fondé que cela pourrait lui être utile en cas d’oubli de son mot de passe, remplit volontiers le champ en toute honnêteté. Qu’il se rassure, ce sera effectivement utile à quelqu’un : l’attaquant qui n’a jamais connu le mot de passe.
Il n’est souvent pas compliqué de répondre à la question secrète. Le Web lui offrira suffisamment d’informations pour lui permettre d’en arriver à bout.
Répondez à la question secrète par une suite de caractères sans aucun sens et souvenez-vous de votre mot de passe !
Il est donc essentiel d’utiliser un mot de passe de bonne facture, surtout pour sa boîte mail. En effet, elle est l’organe central. À partir d’une boîte mail, on a potentiellement accès au reste (réseaux sociaux etc…).
Majuscules/minuscules, chiffre, caractères spéciaux. Il n’est pas compliqué d’un créer un facile à retenir et relativement robuste : Cm%nM2p4$s3 (peut signifier C’est mon mot de passe)
Autre recommandation : varier les mots de passe. Utiliser toujours le même, c’est également prendre un risque inutile.
Vol de session : a child’s play.
13/07/10
Tout d’abord, bravo à ceux qui ont vu en ce titre un clin d’oeil au titre original de « Jeu d’enfant », c’est-à-dire le premier Chucky.
Toute communication claire entre A et C passant B est non sûr. De ce fait, tout peut être vu, lu, enregistré et au pire : utilisé.
De nos jours, tous les sites (ou presque) disposent de « session », administrateur ou non. Votre webmail, votre compte Meetic (mauvais exemple ? Je sais), Facebook, Twitter etc. peuvent être à la portée de n’importe qui, sans même avoir besoin de connaître votre mot de passe.
Je vais aborder (rapidement) l’utilisation frauduleuse qui peut être faite des cookies. Pour aller voir plus loin, je vous conseille l’excellent article de Denis Bodor dans le GNU/Linux Magazine Hors-série N°42.
1. La cible : Kenshin, utilisateur du forum Fedora-fr. (et Roi des trolls)
Kenshin trolle trop, c’est insupportable. Vous avez décidé d’usurper son identité afin de le faire bannir définitivement. Mais c’est un utilisateur prudent, il utilise des mots de passe complexes. (jusqu’à 27 caractères en hexadécimal + caractères spéciaux, bonne chance ! 
)
Vous allez donc récupérer le cookie qui conserve sa session ouverte sur le forum.
2. Capture des paquets.
L’attaquant doit capturer tout ou partie du trafic entre le serveur HTTP et le client. Dans le cas présent, imaginons que vous êtes connecté à mon réseau local. L’ARP Spoofing redirigerait le trafic vers votre machine, ainsi vous pourrez récupérer ce que vous souhaitez.
Le cookie est initialement envoyé par le serveur (ici, celui de fedora-fr.org), mais le client le présente à chaque requête. Une chance, je me rends très souvent sur le forum.
Arpspoof/Ettercap-ng, peu importe, votre ARP Spoofing fonctionne. Là (j’ai pris WireShark, mais ngrep peut faire l’affaire), vous avez patiemment analysé le trafic, et vous avez découvert ceci :
Ça y est. Le cookie fedorafr_punbb est le bon. Vous allez pouvoir usurper mon identité. (Super, non ? 
3. Utilisation frauduleuse du cookie.
Pour Firefox, il existe l’excellente extension Add ‘n’ edit cookie. L’utilisation est très simple. On ouvre l’extension, on ajoute le cookie (en remplissant correctement les champs) et on enregiste.
Maintenant, vous pouvez me faire bannir du forum. Merci
4. Autre exemple ?
Si j’ai utilisé Meetic en exemple plus haut, c’est pour une bonne raison. (non, je n’ai pas de compte Meetic) Je peux vous dire que c’est très peu sécurisé.
- Lors d’une connexion à la session, le nom d’utilisateur/mot de passe sont en clair dans l’URL. Votre attaquant n’aura pas besoin de cookie…
- Si Meetic vous envoie un email, vous serez connecté juste en cliquant sur un lien. Là encore, le cookie est inutile…
- When you establish a connection to your account, your login/password appears in clear in the URL. Your attacker won’t need a cookie…
- If someone click on a link send by Meetic (in your mailbox) he’ll be automatically connected. Again, cookie is useless….
Autant dire que si quelqu’un à accès à votre adresse mail, il aura de ce fait accès à votre compte. Ça risque d’être tendu avec vos prétendantes…
First, congratulations to people seeing my wink to Child’s play, the first Chucky movie.
Any communication between A and C passing by B is unsecure. Then, everything can be seen, read, saved, and the worst : used.
Today, all websites (or almost) are using cookies. They provide « sessions », admin or not. Your webmail, your Meetic account (not a good example ? I know), Facebook, Twitter etc. can be used by anyone, without your password.
I’m gonna talk (quickly) about the misuse which can be done with cookies.
1. Target : Kenshin, Fedora-fr forum user. (King of trolls)
Kenshin is trolling too much, it’s intolerable. You want to usurp his identity to get him out. But he’s a prudent user, using complex passwords. (27 hex characters + special characters, good luck !)
So you’re gonna stole the cookie keeping his session opened.
2. Packets capture.
Attacker must capture all or part of trafic between HTTP server and client. In our case, let’s imagine you’re connected to my local area network. ARP Spoofing would redirect trafic to your computer, then you could read all you need.
The cookie is initially sent by the server (here : fedora-fr.org), but the client presents it to each query. Luckily, I go very often on the forum.
Arpspoof / Ettercap-ng, whatever, your ARP Spoofing works. There (I took WireShark but ngrep is good too), you patiently analyzed the traffic and you’ve discovered this. (see the image above)
It’s okay. The fedorafr_punbb is the good. You will be able to steal my identity. (Awesome, isn’t it ?
3. Misuse of a cookie.
For Firefox, you can install the Add ‘n’ edit cookie plugin, easy to use. Just open it, add the cookie, and save it. (see the image above)
Now you can have me banned from the forum. Thanks
4. Another example ?
If I’ve used Meetic as a exemple above, it’s for a good reason. Indeed (no I haven’t a Meetic account) it’s very unsecure.
So, if someone has an access to your mailbox, he will be able to have an access to your Meetic account. It could be bad for the girl(s) you are looking for…
Wi-Fi & Sécurité : Le cas allemand, la question française.
15/05/10
Clubic a publié aujourd’hui un article intéressant concernant la responsabilité des internautes quant à leur connexion sans fil. En effet, tout citoyen allemand a désormais le devoir de sécuriser convenablement sa connexion sans fil. (c’est-à-dire : une clé WPA de très bonne facture)
Hadopi, gouvernement : tous indifférents.
Cette mesure devrait s’appliquer également en France puisque Hadopi prévoit de punir toute personne s’ayant fait détourner sa connexion sans fil dans le but de télécharger des oeuvres protégées par droit d’auteur. La grande question qui se pose désormais est : « Comment sensibiliser les gens et leur permettre de mettre en place une sécurité efficace ? »
Cela n’aura échappé à personne, le gouvernement français nous inonde de spots publicitaires nous incitant à nous nourrir seinement, à bouger, à surveiller les mômes sur le Web, à payer ses impôts le plus vite possible etc. Mais nous incite t-il à nous protéger contre les adeptes du Wardriving ? Non, bien sûr.
Alors allez expliquer à Madame Michu qu’elle est redevable d’une amende de X € pour ne pas avoir sécurisé sa connexion sans fil…
Risques tiers au goût amer.
Autre problème, plus important encore : celui du vol de données. (mots de passe de comptes emails, données bancaires, et autres) Les lecteurs de longue date se rappelleront sans doute de mon billet détaillé concernant l’ARP Spoofing et les risques majeurs qu’il représente. (proportionnel à la simplicité de la pratique)
Bien entendu, se faire arrêter parce qu’un petit malin squattait la bande passante pour remplir son disque externe 1 To de films porno et des discographies de Green Day, Simple Plan, et
Fournisseurs d’accès pas très futés.
Les fournisseurs d’accès à Internet ne sont pas pour autant tout blanc dans cette affaire. Orange est en alerte orange (sanguine), Club-internet (maintenant Neuf-SFR) offrait gracieusement les clés WEP (ce n’est déjà pas compliqué à casser alors…) aux aficionados d’aircrack-ng, et Bouygues Télécom aujourd’hui encore part du même principe.
Vous aurez compris, on peut difficilement compter sur les FAI pour sécuriser les Boxs à la source et offrir de la sérennité à la famille Michu. (même si ça évolue dans le bon sens…à faible allure)
Les Wi-Fi ouverts, de vrais gruyères ?
De nos jours, les McDo, B&B Hotel, Flunch (et bien d’autres) surfent sur la vague du Wi-Fi ouvert, gratuit, et illimité pour attirer le chaland. Qu’en est-il question sécurité ? Peut-on télécharger librement ? Les attaques du type Man in the Middle sont-elles réalisables ? Finalement : « Quel(s) risque(s) pour les utilisateurs ? »
N’ayant pas personnellement testé ces accès, je ne pourrais vous répondre. (Je tenterai prochainement de les mettre à l’épreuve et détaillerai le résultat)
Sereins pour demain ?
Les techniques évoluent, les risques aussi. Il n’est pas impossible de mettre à mal une clé WPA si celle-ci est mauvaise (date de naissance, nom du chien, du morpion, mot banal etc.) et la survie de la clé WEP est particulièrement embarrassante, car elle se casse de plus en plus vite. (quelques minutes en général)
Il ne serait pas étonnant d’apprendre un jour que le WPA de bonne facture puisse être cassé assez aisément.
En attendant, surfez couvert !
Orange et la sécurité : momentanément incompatible
26/01/10
Vous êtes abonné Orange ? Vous utilisez quotidiennement l’adresse email fournie prénom.nom@orange.fr ? Vous n’êtes donc pas à l’abri de regards indiscrets. En effet, il faut savoir que chaque poste connecté à votre réseau local dispose d’un accès complet à votre compte Orange. (Ce qui englobe : Mails, Boîte vocale, historique de facturation etc.)
Peu réjouissant, n’est-ce pas ? Cela ne s’arrête pas là. Quelqu’un de votre famille utilise une Nintendo DS, ce qui vous oblige à utiliser une clé WEP (obsolète…) ? Ou alors vous n’avez jamais pensé à utiliser une clé de type WPA ? Alors vous n’êtes pas à l’abri de visiteurs venus d’ailleurs…en effet, les tutoriaux concernant la suite Aircrack-ng ne manquent pas sur la Toile. N’importe qui peut alors casser votre clé WEP et s’introduire dans votre réseau à votre insu. (Je n’aborderai pas la possibilité pour l’intrus de télécharger sur votre compte ou de lancer une attaque de type « Man in the Middle », le sujet ne portant pas sur la sécurité d’un réseau sans fil.) L’intrus pourra alors voir votre correspondance et pourquoi pas tout copier/supprimer.
Concernant les paramètres du webmail, je n’ai rien vu permettant de désactiver cette connexion automatique. (si toutefois une solution existe, dîtes le moi.) La vulnérabilité est donc pour l’instant totale.
Toutefois une solution (assez « spéciale ») existe. Vous devez créer un second compte email rattaché à celui existant pour que cesse la connexion automatique. (Encore fallait-il le savoir.)
Tant qu’à faire, profitez-en pour mettre en place une clé WPA pour votre réseau sans fil et pourquoi pas changer d’adresse email.
Conclusion : La solution proposée fonctionne tout en étant assez inexacte. Il faudrait qu’Orange désactive tout simplement cette connexion automatique qui pose un véritable problème de confidentialité.
Gwibber : Remplacer « via @nick » par « RT @nick » | Replace « via @nick » by « @nick »
23/11/09
Par défaut, Gwibber signale un retweet par ♺, ou à la place, il le signale par « (via @nick) » à la fin du tweet. Personnellement, je préfère la syntaxe « RT @nick » en début de tweet. (syntaxe utilisée par beaucoup d’utilisateurs). Ça tombe bien, Gwibber est codé en Python, un langage interprété. Pas besoin de recompilation : on modifie, on relance l’application, et ça roule ! 
Ouvrez un terminal. (J’utilise vim pour éditer)
vim /usr/lib/python2.6/site-packages/gwibber/actions.pyPour trouver la partie à éditer :
/viaOn change la ligne contenant « via @%s » par :
client.input.set_text("RT @%s %s" % (msg.sender_nick, msg.text))[Échap] :wq pour enregistrer et quitter.
Pour finir :
vim /usr/share/gwibber/ui/preferences.glade Même procédure que précedemment pour trouver la ligne à éditer, et on remplace « via » par « RT ».
[Échap] :wq pour enregistrer et quitter. Enjoy 
By default, Gwibber reports a retweet by ♺, or instead, it reports it by « (via @nick) » at the end of tweet. Personnaly, I prefer the « RT @nick » syntax at first of tweet. (syntax used by a lot of users). Great, Gwibber is programmed in python, a interpreted language. No need to recompilate : we modify, we start again, and it runs !
Open a terminal (I use Vim to edit)
vim /usr/lib/python2.6/site-packages/gwibber/actions.pyTo find the line to edit :
/viaWe change the line containing « via @%s » to :
client.input.set_text("RT @%s %s" % (msg.sender_nick, msg.text))[Échap] :wq to write and quit
.
To finish :
vim /usr/share/gwibber/ui/preferences.glade Same procedure as previously to fine the line to edit, and we replace « via » by « RT ».
[Échap] :wq to write and quit. Enjoy
Installer Add N Edit Cookie sous Firefox 3.5, bricolage. | Install Add N Edit Cookie on Firefox 3.5, a DIY.
25/10/09
Depuis Firefox 3.0, il était impossible d’installer l’excellent add-on Add N Edit Cookie. Cependant, une petite astuce permet de passer outre les erreurs de Firefox.
- Télécharger et enregistrer sur le disque dur l’archive XPI : http://addneditcookies.mozdev.org/installation.html
- Ouvrir l’archive (pas l’extraire !), et ouvrir le fichier install.rdf. Supprimer la ligne :
<em:updateurl>http://addneditcookies.mozdev.org/update_i.rdf</em:updateURL>Et éditer la ligne :
<em:maxVersion>1.6+</em:maxVersion>Remplacer par 3.6+ - Enregistrer le fichier, et accepter la mise de jour de l’archive
- Ouvrir Firefox, Outils -> Modules complémentaires, et déposer l’archive dans la fenêtre pour installer l’add-on.
Ça fonctionne ! 
Since Firefox 3.0 release, it was impossible to install Add N Edit Cookie. However, a tiny tip allows to bypass Firefox’s errors.
- Download and save on your HDD the XPI archive: http://addneditcookies.mozdev.org/installation.html
- Open it (not extract !), and open the file named install.rdf. Erase the line :
<em:updateurl>http://addneditcookies.mozdev.org/update_i.rdf</em:updateURL>And edit this line :
<em:maxVersion>1.6+</em:maxVersion>Replace with 3.6+ - Save the file, and accept the archive update.
- Open Firefox, Tools -> Modules, and put the archive into the window to install the add-on.
It runs !
La sécurité des routeurs Tecom (Club-Internet) mise à mal
6/01/09
Nous savons tous que la clé WEP est devenue une protection obsolète sur les routeurs, et que l’outrepasser est assez simple avec une solution comme Aircrack-ng. Mais le célèbre FAI Club-Internet (devenu Neuf et maintenant SFR) avait mis au point une solution permettant à quiconque de connaître instantanément la clé WEP de son routeur, et bien sûr, de n’importe quel routeur de marque Tecom.
En effet la clé WEP (par défaut) dépend des 6 derniers caractères d’identification du routeur (par exemple : TECOM-AH4222-XXXXXX). Le logiciel WEPTool (que je ne propose pas en téléchargement, il se trouve facilement) de Club-Internet donne les 26 premiers caractères du Hash Sha1 généré par le ESSID du routeur, et ces 26 caractères constituent la clé WEP.
Le logiciel WEPTool fonctionne sous Windows mais peut être plus ou moins fonctionnel sous Wine. Il suffit de sélectionner le type de routeur Tecom, entrer les caractères, et c’est terminé, vous avez une connexion à Internet gratuite.
La solution réside bien évidemment dans la mise en place d’une clé WPA de bonne facture (chiffres et lettres), car un accès grand ouvert peut se révéler assez imprudent (ARP Spoofing, Phishing etc…).
We all know that a WEP key is become an obsolet protection on routers, and crack it is quite easy with a software like Aircrack-ng. But the famous provider Club-Internet (become Neuf and now SFR) had developed a software allowing anyone to know instantly the WEP key of his router, and, of course, of any router with the Tecom brand.
Indeed, a default WEP key depends of last 6 identification characters of the router. (for example : TECOM-AH4222-XXXXXX). The Club-Internet’s WEPTool software gives the first 26 Hash Sha1 characters generate by the ESSID, and these first 26 characters constitute the WEP key.
The WEPTool software runs on Windows but may run with Wine. Simply select the type of Tecom router, enter the characters, and it’s done, you have a free Internet connection.
The solution consists to enter a good WPA key (numbers and characters), because un free access point may be imprudent. (ARP Spoofing, Phishing etc…)
ARP Spoofing : Man in the Middle Attack
12/12/08
Bon, fini de rire, place à de la technique pure. Aujourd’hui je vous propose de réaliser une attaque dite « Man in the Middle », l’homme du milieu, qui est aussi nommée ARP Spoofing.
L’ARP Spoofing, c’est sur le schéma, c’est facile, efficace. Le but est ici de récupérer l’information entre un ordinateur et le serveur/routeur distant. (d’où l’idée de « milieu »). Donc : s’intercaler entre 2 machines.
Pour cela, il faut être connecté au sein du même réseau local que la machine visée. Ainsi, on « placera » notre machine entre le routeur et la machine ciblée, afin de récuperer les données transitantes sur le réseau (dont les mots de passe que l’utilisateur utilise pour se connecter à des sites etc… Mais ça, c’est illégal bien sûr.)
Je vais ici aborder la technique la plus « user-friendly », en utilisant le logiciel Ettercap, en mode GUI. (bien qu’ARPSpoof soit un logiciel tout aussi efface, et rapide).
Pour installer Ettercap sous Fedora :
yum install ettercapUne fois cela fait, on lance le logiciel, avec la GUI (en root) :
# ettercap -GVoilà qui est fait. Maintenant, on lance l’attaque 
(Pour vous sentir tout puissant, je vous conseille de mettre Ride of the Valkyries de Richard Wagner en musique de fond ou encore l’Imperial March de John Williams ) :
Sniff -> Unified sniffingIci, choisissez votre interface réseau. Ensuite :
Hosts -> Scan for hostsHosts -> Hosts listIci, la liste des stations connectées apparaît. On va faire notre marché et choisir nos cibles .
Donc cliquez sur le routeur (généralement 192.168.1.1) pour le mettre en surbrillance, puis « Add to Target 1″. Si toutes les autres stations sont vos cibles, laissez comme cela, sinon choisissez votre cible et cliquez sur « Add to Target 2″.
Là on va rigoler. 
Mitm -> Arp poisoning...
Cocher "Sniff remote connections"
Start -> Start sniffing
Plugins -> Manage the plugins -> Chk_poison (vérifie le bon déroulement de l'ARP Poisoning)Normalement, le cache ARP devrait être empoisonné et tous les paquets devraient faire un tour par votre machine…c’est beau non ? 
Maintenant Ettercap devrait vous transmettre tout seul les noms d’utilisateurs et mot de passe d’un site internet par exemple. Mais ça ne suffit pas, on va démarrer Wireshark pour analyser le traffic comme il se doit. (en root) :
# wiresharkLà :
Capture -> Options -> Choisir l'interface, puis startMaintenant ça devrait être le bazar…rassurez-vous, il suffit d’enter http.cookie dans le filtre. Alors Wireshark vous donnera les connexions http où un cookie est utilisé…cookie qui peut être volé et intégré à votre navigateur pour bénéficier des accès administrateurs d’un site ou d’un forum par exemple. Mais là, on entre un peu plus sur le terrain de l’illégalité, je m’arrête donc ici. Il me semble qu’avec tout cela vous aurez de quoi vous « amuser ».
Stop laughing, up to the pure technical ! Today I propose you to make an attack named « Man in the Middle », or ARP Spoofing.
ARP Spoofing is on the draw, is simple, effective. The aim is to recover informations (packets) between a computer and the distant server/router. (So, « in the Middle »).
It is necessary to be in the same Local Network that both computers. Then, we will place our computer between router and the target computer to retrieve information transmitted over the network (including passwords user uses to connect to websites etc…But this is illegal, of course.)
I will use the most « user-friendly » technical, using the Ettercap software, in GUI mode (although ARPSpoof is as quick and efficient software)
To install Ettercap on Fedora :
yum install ettercapThen, we run the software, with GUI (with root) :
# ettercap -GNow, we launch the attack (For a powerful attitude, you should put Ride of the Valkyries of Richard Wagner or the Imperial March of John Williams in background music ) :
Sniff -> Unified sniffingNow, choose your network interface. Then :
Hosts -> Scan for hostsHosts -> Hosts listHere, the list of stations online appears. We will choose our targets .
So, click on the router to put it in highlight, and click on « Add to Target 1″. If all others computers are targets too, it’s okay. Else, select your others targets and click on « Add to Target 2″.
We’ll laugh.
Mitm -> Arp poisoning...
Tick "Sniff remote connections"
Start -> Start sniffing
Plugins -> Manage the plugins -> Chk_poison (Check ARP Poisoning Process)Normaly, ARP cache must be poisoned and all packages should take a tour through your machine…beautiful, isn’t it ?
Now Ettercap must give you usernames and passwords of websites, for example. But it’s not enough. We will run Wireshark to analyze traffic as it should. (with root) :
# wiresharkAnd :
Capture -> Options -> Choose Network interface, and startNow, enter http.cookie in Filter to clarify. Wireshark will give you http connections where a cookie is used…cookie which can be stolen and pasted in your Web Browser to benefit of access administrators from forum or websites for example.
But we enter a little more on the ground of illegality…So I’ll stop here.
Have fun
