Piratage pour le plaisir et (non) profit

Grâce à une poignée de commandes que j'avais saisies dans la fenêtre du terminal de mon portable Linux prêté, j'avais réussi à prendre en charge une machine Windows distante. Tout en rigolant diaboliquement tout le temps, j'avais également ajouté un compte utilisateur pour moi-même et redémarré cet ordinateur à distance.

Je piratais, ou plutôt, proto-piratage, et ce fut une ruée énorme.

Je me suis toujours considéré comme un mordu de la technologie au-dessus d'un journaliste de l'info-sécurité. J'administre mon propre réseau et j'aime écrire mes propres scripts et petites applications. J'aime démonter le matériel et installer un micrologiciel personnalisé sur les appareils. Mais je n'ai jamais vraiment su comment utiliser ces compétences et les associer pour prendre à distance un ordinateur. Je savais utiliser certains outils, mais je les utilisais comme défenseur pour protéger mon réseau. Je ne savais pas comment réunir les compétences nécessaires pour percer. Jusqu'à présent.

"Le testeur d'intrusion d'une personne est le pirate informatique d'une autre", a déclaré Mike Belton, chef d'équipe du groupe de services d'évaluation de l'entreprise de Rapid7, à notre petite classe de hackers 101 à New York. Les mêmes outils que les administrateurs de réseau utilisent pour analyser leurs réseaux afin d'identifier les problèmes et les activités malveillantes sont les mêmes que ceux utilisés par les pirates pour obtenir un accès illégal aux données et aux ordinateurs.

"Vous n'êtes pas obligé de causer des dommages pour devenir un pirate informatique", nous a rappelé Belton.

Hacker 101: Linux

Chacun de nous dans la classe de Belton avait un ordinateur portable sous Kali Linux, une distribution Linux conçue spécifiquement pour les tests d'intrusion, et était connecté à un réseau contenant un mélange de machines Windows et Linux vulnérables. Belton nous a montré comment utiliser Wireshark, nmap, quelques autres outils de ligne de commande et Metasploit, la suite de tests d'intrusion gérée par Rapid7.

Nous avons "trouvé" une machine Linux avec un service de partage de fichiers NFS mal configuré. Nous avons exploité cette faille pour copier notre propre clé SSH sur la machine Linux distante afin de pouvoir vous connecter en tant que root. Même si nous n'avions pas le mot de passe root, nous avons pu accéder au répertoire de base d'un utilisateur car NFS était mal configuré, et c'est tout ce dont nous avions besoin.

Il y a une leçon à apprendre ici. Les pirates n'ont pas besoin de forcer brutalement le mot de passe root si les administrateurs et les utilisateurs laissent des trous comme celui-ci complètement ouverts.

J'ai fouillé et lu des messages dans la boîte de réception, appris que TikiWiki était installé et trouvé un fichier de mot de passe se cachant dans le répertoire des sauvegardes. Je sais que c’était une machine virtuelle soigneusement créée avec des vulnérabilités et des erreurs, mais c’était quand même assez révélateur (et amusant!) De regarder des répertoires aléatoires et de réaliser combien d’informations une personne peut rassembler simplement en étant curieuse.

Dans un scénario réel, j'aurais pu utiliser ce fichier de mot de passe enfoui dans le répertoire des sauvegardes pour accéder au serveur Web ou à d'autres machines sensibles. J'aurais pu consulter le fichier de configuration de TikiWiki pour connaître le mot de passe de la base de données.

Pirate 101: Windows XP

Belton nous a également montré comment utiliser Metasploit pour exploiter à distance un ordinateur Windows XP. De nos activités de reconnaissance précédentes, nous connaissions l'adresse IP des machines Windows que nous pouvions cibler. Metasploit a été configuré pour rechercher une vulnérabilité d'exécution de code à distance existant dans Windows 2000, XP et 2003 Server, ainsi que dans Windows Vista et Windows Server 2008 (CVE-2008-4250). Même si Microsoft avait corrigé la faille en 2008 (MS08-067), Belton a déclaré qu'il voyait toujours des machines avec cette vulnérabilité lors du test des réseaux client.

Metasploit donne à toute l'expérience le sentiment d'être un jeu d'enfant. Une fois l’ordinateur cible et les données utiles sélectionnés, nous avons simplement saisi le mot "exploit" pour lancer l’attaque. J'ai eu cette image mentale d'une catapulte volant à travers une boule de feu enflammée et claquant dans les murs du château.

"Vous avez exploité une ancienne machine virtuelle XP et avez un shell meterpreter actif", a déclaré Belton. J'aurais aimé que nous ayons des effets sonores pour cet exercice. Nous avions soit besoin d'un "Pow" de style Batman, soit d'applaudissements conservés, je ne sais pas trop lequel.

Nous avons pris des captures d'écran de la machine Windows et j'ai redémarré la machine (ce qu'un vrai pirate informatique ne ferait pas, étant donné que l'objectif est d'être furtif). Nous avons également créé des comptes d'utilisateur sur le contrôleur de domaine Windows avec des privilèges d'administrateur. À ce stade, il était très simple d'ouvrir une session de bureau à distance, de vous connecter avec nos nouveaux comptes et de faire tout ce que nous voulions.

Outils utilisés pour le bien ou pour le mal

Les outils eux-mêmes ne sont pas mauvais. Je les utilise comme administrateur de réseau et testeur assez régulièrement. Ce sont les motivations de la personne qui les utilise qui peuvent être suspectes. Et après cet exercice, je comprends un peu la mentalité du "piratage pour Lulz" qui consiste à pirater les farceurs que Lulz Security a adoptés il y a quelques années, alors qu'ils poursuivaient leur aventure destructrice. J'ai été déçu quand on nous a dit que le temps était écoulé. Je venais juste de commencer!

"Vous n'avez pas besoin de savoir autant pour faire autant de dégâts", a déclaré Belton. Les outils facilitent les choses, mais vous devez toujours en savoir assez (ou être capable de chercher en ligne) pour comprendre ce que vous voyez à l'écran.

La mentalité des hackers n’est pas la connaissance technique, mais plutôt la volonté de fouiller. Il ne suffit pas de dire que mon ordinateur ne contient pas de données sensibles. Par conséquent, quiconque s'introduit dans le système ne peut causer de dommages. La personne qui arrive est suffisamment curieuse pour voir ce que j'ai fait d'autre, avec quels autres ordinateurs je suis mappé ou quels fichiers j'ai supprimé. Ce sont les informations qui nécessitent des fouilles qui vont être ma perte, et c'est exactement ce que ces gens sont assez curieux pour rechercher.

C'est pourquoi nous devons améliorer nos défenses.

Leçon apprise

Je suis rentré chez moi et j'ai constaté que bien que ma machine Windows XP soit entièrement corrigée, j'avais apparemment un serveur Windows 2003 avec la même vulnérabilité RCE que celle avec laquelle nous avions joué en classe. Oops. Je n'avais jamais mis à jour cette machine parce que cela faisait des années que je n'avais rien fait avec elle, même si elle était opérationnelle sur mon réseau. Je ne referai plus cette erreur.

Les mêmes règles s'appliquent: nous devons suivre le rythme des correctifs logiciels et des mises à jour. Utilisez des VPN chaque fois que nous sommes sur des réseaux sans fil publics. Assurez-vous de configurer correctement les applications et les services, par exemple en modifiant les mots de passe par défaut et en désactivant les services que nous n'utilisons pas.

Bonne défense!