mercredi 31 octobre 2007

Le GuWiSe, j'y étais

Pour ceux qui ne le savent pas, GuWiSe = Groupe Utilisateur Windows Server, dont le kick-off meeting avait lieu hier.

Pour résumer, on a eu le droit à une présentation des features de Windows 2008 (aucun scoop par rapport à ce qui est disponible sur Internet ou dans la RC0).

Surtout beaucoup de features marketing telles que le site Windows Server/Compare ou le slide suivant (classique, mais pas forcément faux à en croire NetCraft) :

En gros, j'ai été assez déçu, sachant que les premiers screenshots de Windows 7.0 circulent déjà sur Internet, et qu'on y devine que la version minimale de Windows aura ... une interface texte en ASCII Art !

Maintenant la liste des trucs funs vus ou entendus :

  • Microsoft abandonne les interfaces Web pour ses futures interfaces d'administration.
  • Les présentateurs utilisent des versions d'éval de Windows Vista (la photo est floue, mais faites-moi confiance).
  • Pas de goodies, mais du bon champagne.
  • Et surtout, en contemplant la sidebar du présentateur pendant 1 heure, j'ai pu me rendre compte que le gadget "horloge Windows" a un mouvement saccadé assez réaliste. Il arrive même parfois que l'aiguille des secondes se "bloque" !

Du coup il me fallait aller regarder le code source pour confirmer cette impression (les gadgets sont écrits en HTML + JavaScript). Effectivement dans C:\Program Files\Windows Sidebar\Gadgets\Clock.Gadget\en-US\js\clock.js se trouve la fonction responsable de ce comportement, appelée bounceBack() :

if (mySetting.secondsEnabled)
{
s.Rotation = (seconds * 6) + bounceDistance;

setTimeout("bounceBack()", 50);

var secondOffset = secondTimeOffset();

if (secondOffset > 0)
{
newTimeOut = setTimeout("timePerInterval()", secondOffset);
}
else
{
timePerInterval();
}
}

J'aurai au moins appris une chose intéressante hier soir !


dimanche 21 octobre 2007

Comment avoir un shell SYSTEM ... sous Vista

Il y a des moments avec Windows où le compte Administrateur ne suffit pas : il est nécessaire de "passer SYSTEM".

Heureusement il a toujours existé une méthode simple pour cela :

C:\> AT 12:00 /INTERACTIVE cmd.exe

Le service de planification de tâches étant un service interactif exécuté sous le compte SYSTEM, le shell qui apparait à 12h00 sur la machine est lui-même SYSTEM. Un comportement pas forcément envisagé par Microsoft à l'origine, mais simple à utiliser sur le terrain.

Avec Vista, les choses se compliquent un peu ...

C:\> at 12:00 /interactive cmd.exe Warning: Due to security enhancements, this task will run at the time expected but not interactively. Use schtasks.exe utility if interactive task is required ('schtasks /?' for details). Added a new job with job ID = 1

Effectivement le CMD est lancé ... dans la session 0. Et même si le service UI0Detect est démarré, rien ne se passe sur la console de l'utilisateur (session 1).


Essayons donc la méthode officielle. Je vous épargne la lecture de SCHTASKS /?, pour résumer il faut lancer :

C:\> schtasks /create /ru "VISTA64\Admin" /tn "cmd" /tr "cmd.exe" /sc once /st 12:00 /it
Opération réussie : la tâche planifiée "cmd" a été créée.


Effectivement, un shell interactif exécuté sous le compte "VISTA64\Admin" apparait bien à l'heure dite. Il est en fait lancé par TASKENG, prenant en paramètre le GUID de tâche, d'où le titre de la fenêtre.


Essayons maintenant le shell SYSTEM :

C:\> schtasks /create /ru "NT AUTHORITY\SYSTEM" /tn "cmd" /tr "cmd.exe" /sc once /st 12:00 /it Opération réussie : la tâche planifiée "cmd" a été créée.

Perdu ! Le shell apparait dans la session 0, et rien ne se passe sur le bureau de l'utilisateur.

En conclusion, il ne reste que 2 solutions :

1/ Lire cet excellent article sur la création de processus dans Vista, et tout coder soi-même (sans utiliser Visual Studio 6, n'en déplaise à Maître Devine ;) :
http://www.codeproject.com/useritems/UAC__The_Definitive_Guide.asp?msg=2281657

- ou -

2/ Utiliser l'outil PsExec de SysInternals :
C:\> psexec -s -i cmd.exe

Sur ce (et sans transition), je vous donne rendez-vous sur :

Tokyo Cocktail

[ Message pour les plus de 20 ans : ceci est une tentative de jeu de mots sur Tokyo Hotel ]

Cette fois, c'est officiel : je vais au Japon fin novembre avec Matthieu. Donc si vous avez des conseils à donner, des courses à faire, etc. n'hésitez pas à vous lâcher dans les commentaires.

Deuxième message : si toi aussi tu veux avoir une crédibilité internationale l'année prochaine, que tu es quadrilingue assembleur (x86/x64/ARM/MIPS), que tu sais faire un appel RPC en utilisant la librairie REX, que PEB ne signifie pas Programme on Educational Building pour toi, ou mieux encore que tu es capable de poster des commentaires intelligents sur mon blog pendant 6 mois ...

... alors j'ai probablement un stage pour toi.

dimanche 14 octobre 2007

Revue de presse

Aujourd'hui, c'est Blog Action Day. Mais comme je n'ai rien à dire sur l'environnement, je vais plutôt parler du MISC Hors Série n°1 "spécial pentest".

Je n'ai qu'un seul conseil à vous donner : courez l'acheter (d'autant qu'il n'est pas compris dans l'abonnement, si je ne m'abuse).

En détail :

  • Un édito de Fred R., déjanté comme à son habitude, mais qui laisse sa grand-mère tranquille (pour une fois).
  • Un article cosigné par Fred R. sur "l'intelligence économique" plus que le pentest "académique". Fred, I know what you did this year :)
  • Un article de Phil B. et Cédric B. sur la cartographie réseau. A lire pour découvrir la puissance de Scapy ; à conserver comme preuve qu'ils utilisent NMAP et qu'ils savent faire du Visio ;) PS. Bien joué le bit "evil".
  • Un article de Nicolas R. sur le pentest de réseau Windows, que je vous laisse découvrir. Il y a quelques erreurs laissées en exercice pour le lecteur.
  • Un article de Samuel D., qui nous rappelle sa méthode préférée (pour écrire des articles).
  • Un article d'Arnaud P. sur l'attaque offline des mots de passe Windows. Un article de fond, l'un des rares du dossier à compter une partie "contre-mesures" aussi détaillée (une mission de service public ? ;) Petite coquille : le fichier d'hibernation ne s'appelle pas "hibernate.sys" mais "hiberfil.sys". Vous en saurez bientôt plus là-dessus ... (oui, ceci est un teasing d'enfer).
  • Un article de Yann F. sur Lotus Notes. Sujet pas évident dont il se sort plutôt bien, j'aurais peut-être ajouté quelques mots sur la signature de code, l'énumération de comptes par recherche phonétique et les groupes de contrôle d'accès, mais difficile de tout dire dans un article. Bravo à Nicolas D. qui se retrouve dans les greetz (vive la old school).
  • Un article cosigné par Christope G. sur l'injection SQL. Ca commence petit avec l'ineffable ' or '1=1 mais ça monte bien en puissance, jusqu'à une superbe expression régulière pour mod_security et un lien vers le Challenge Securitech (qui est malheureusement down pour une raison et une durée inconnue ...).
  • Un article de Renaud B. sur les outils de scan, toujours aussi caustique. Mais combien y a-t-il de J.-P. Coffe dans le milieu de la sécurité ... ? Un style incisif, des conclusions tranchées ... Dommage que le test d'applications Web consiste à comparer Wikto, Nikto et Nessus, alors que des outils dédiés (comme WatchFire AppScan ou Cenzic HailStorm) sont infiniment plus adaptés ! Aujourd'hui une base de données d'attaques à jour se paie (cher), c'est fini l'open source collaboratif des années 1990 ...
  • Un article de Jeanne sur John the Ripper (ou plus exactement Bob the Butcher, puisqu'il faut appeler les choses par leur nom). On peut soupçonner cette inconnue de la sécurité d'appartenir à feu la mouvance TehWin, de par l'importance accordée au choix des couleurs dans un tableau Excel, et l'affinité avec les chaines de Markov (oui, elles aimaient les chaines). L'article en lui-même se tient, malgré un sujet qui pouvait sembler bateau. Et il restait assez difficile de placer le mot BrainFuck, fût-ce dans MISC.
  • Un article de Victor V. sur l'utilisation de Metasploit v3, qui aborde des sujets de fond (rarement traités ailleurs) tels que l'utilisation du shell IRB. Là encore à la fin de l'article on pourrait presque croire que Metasploit est un superbe outil d'administration et de télémaintenance destiné à améliorer la sécurité de son parc ;)
En conclusion, cours-y vite l'acheter !

vendredi 12 octobre 2007

Eloge du BlackBerry

Le BlackBerry, c'est l'Objet Transitionnel par excellence. Et contrairement au doudou, on peut continuer à l'utiliser au-delà de l'âge de 12 mois !






PS. Est-ce que c'est secure aussi ? Je n'en sais rien, mais ça aide les enfants à dormir en tout cas.

samedi 6 octobre 2007

De la sécurité du système bancaire

Note à destination des GIE qui viendront lire ce blog : ce titre est une simple référence historique :)

Je sais que c'est un sujet de plaisanterie récurrent parmi mes fréquentations, mais hélas j'ai acquis une réputation d'expert Web 2.0.

Et connaissant les dangers du Web 2.0, je ne surfe qu'avec FireFox et son extension de filtrage NoScript (qui est quand même beaucoup plus conviviale que la désactivation complète du JavaScript dans le navigateur !).

Et là, c'est le drame. Non seulement le site de ma banque en ligne (je préfère ne pas vous dire laquelle, mais c'est la verte ;) ne fonctionne pas sans JavaScript, utilise massivement des applets Flash, mais en plus fait appel à ... Google Analytics.

Je ne leur jete pas la pierre (non non, je ne suis pas en train de dire du mal des banques :), car à l'usage on se rend compte qu'un nombre incroyable de sites utilisent cette technologie.

Malgré un sursaut d'honneur, nous avions déjà abandonné une bonne partie de notre souveraineté numérique à Google, Inc. Désormais c'est la sécurité du monde libre qui est entre les mains de leur RSSI ...