mardi 28 février 2012

Mode monitor vs mode promiscuous

Evident pour beaucoup mais également souvent cause de confusion dans les forums qui parlent de wifi. Je me permet donc de rappeler ici les grandes différences:

Le mode monitor permet de capter tout ce qui passe dans les airs, sans besoin de s'associer avec un point d'accès. On va donc capter le traffic chiffré et non chiffré des différents points d'accès alentours. On peut choisir de se limiter à un seul canal de fréquence à monitorer. On aura alors 100% du traffic sur ce cancal. Si l'on choisit de scanner les différents canaux possibles on aura une vue d'ensemble du traffic wifi mais pas de détail du traffic de chacun car on perdra des paquets en passant d'un canal à l'autre.

Le mode monitor n'a de sens que pour le wifi.

Le mode promiscuous n'a de sens que lorsque l'on est associé à un point d'accès. On devra donc l'utiliser sur un réseau open ou sur un réseau dont on possède la clé d'accès. Ce mode demande à la carte réseau de capter tous les packets transitants sur le point d'accès, c'est à dire pas seulement ceux destinés à notre machine. On scanne ainsi tout le traffic réseau à la manière de ce qu'il est possible avec un hub ethernet.

Le mode promiscuous fonctionne en wifi et en ethernet.

lundi 27 février 2012

Désactivation de l'auto connect WIFI sur iPhone

D'après ce que j'ai pu lire la fonction est disponible depuis le firmware 3.0 mais je n'en avais jamais entendu parlé avant. Je l'ai découverte par hasard récemment car il se trouve qu'elle ne m'est proposée que pour les hotspots open. Option très pratique niveau sécurité puisqu'elle limite les chances de se connecter à une rogue AP. Elle n'élimine pas la menace mais au moins son iPhone ne va pas se connecter automatiquement à n'importe quel FeeWifi, Orange ou SFR WiFi qu'il croise dans la rue.


Dommage que le même type d'option ne soit pas disponible sur Mac OS. Voir mon poste sur le sujet ici.

jeudi 23 février 2012

Le paradoxe du SSID masqué

Masquer son SSID n'est pas forcément une mauvaise idée en ce sens que, même s'il ne vous protège pas directement, il reporte les tentatives d'intrusions sur les réseaux visibles. On se protège donc d'un hacker qui ciblerait ses victimes un peu au hasard mais on ne renforce en rien la sécurité contre un attaquant intéressé spécialement par le réseau masqué. Paradoxalement le masquage du SSID peut même être une faille de sécurité et celle ci est à chercher du côté des clients du réseaux. En effet en temps normal avec un SSID visible les clients font une requête générale pour trouver le routeur correspondant. Le routeur répond "je suis le réseau que tu cherches" et la connexion se fait. En revanche dans le cas d'un SSID masqué le client ne peut pas demander son nom au routeur. Il va donc passer son temps à envoyer des requêtes du type "Est ce que quelqu'un ici est le réseau XXX ?". En écoutant les clients, et non le routeur, on va donc pouvoir en déduire qu'un réseau XXX est disponible quelque part. On n'a fait que reporter le problème du routeur au client. Pire, votre client (PC ou smartphone par exemple) va passer son temps à rechercher le réseau XXX même quand vous n'êtes pas proche du routeur. Ou que vous soyez quelqu'un qui sniffe le réseau saura donc que vous avez un réseau XXX quelque part. Si ce réseau s'appelle IBM par exemple, tout le monde sait que vous travaillez chez IBM.

mercredi 22 février 2012

Wardriving sur iPhone

Enormément de logiciels de war driving WIFI disponibles sur PC dont le plus connu Kismet (ou Kismac sur mac) et sa capacité à utiliser des adaptateurs GPS. Sur iPhone il y en avait quelqu'un jusqu'au jour ou Apple a décidé unilatérallement d'interdire tous les logiciels donnant plus d'information que nécessaire sur les réseaux WIFI. Bien dommage car l'application par défaut dans les paramètres n'affiche aucune information de sécurité sur les réseaux et, qui plus est, filtre tous les réseaux dont la qualité de réception n'est pas excellente. Ainsi il n'est pas rare de capter une 30 aine de réseaux avec son PC et de n'en voir que 2 ou 3 avec son iPhone. Même si l'iPhone capte probablement moins bien qu'un PC il ne faut pas croire qu'il ne voit pas les mêmes réseaux. C'est juste une décision d'Apple pour assurer une bonne qualité de connexion. Pour s'en convaincre donc je conseille d'utiliser Wifi-Where.


Originellement disponible sur l'App Store il est maintenant disponible uniquement sur Cydia.

A noter que Wifi-Where permet d'uploader les données relevées sur la base de données mondiale de hotspots Wigle.net.

mardi 21 février 2012

IP publique sur le réseau invité des box wifi

La plupart des fournisseurs d'accès proposent le partage de la connexion internet avec les autres abonnés. Ce sont les réseaux FreeWIFI, Neuf WIFI, SFR Wifi etc. Lorsque l'on se connecte sur un de ces réseaux on est séparé du réseau du propriétaire de la box. Le réseau du propriétaire est NATé car il peut connecter plusieurs appareils sur sa box. Le réseau invité est en accès direct à Internet avec une IP publique. L'IP publique du réseau invité est différente de l'IP publique du proriétaire pour des raisons de confidentialité et de sécurité (cf Hadopi).

Lorsque l'on est connecté à ces réseaux invités on est donc en prise direct sur Internet, sans routeur ou firewall autre que celui de son PC. On est donc plus vulnérable aux attaques. Ainsi un ordinateur non protégé mais qui est habituellement bien à l'abris derrière un routeur ou une box devient une cible facile dès qu'il se connecte par le biais d'un de ces réseaux invités.

Noté que niveau sécurité SFR n'a pas fait son travail puisque l'IP de l'invité et du propriétaire sont les même. Voir ici.

mercredi 15 février 2012

The Mac Hacker's Handbook

Le livre de référence sur la sécurité sous OSX The Mac Hacker's Handbook.

Garder l'anonymat sur un réseau

Lorsque vous vous connectez à un réseau ethernet ou wifi votre ordinateur laisse des traces sous la forme d'identifiants numériques ou alphabétiques. Ces identifiants restent dans les logs du routeur ou des autres clients connectés au même réseau. Parmi les principales données qui peuvent permettrent de vous identifier on trouve:

  • L'addresse MAC de votre carte réseau
  • Le nom d'hôte de votre PC
  • Les banières offertes par les ports ouverts sur votre machine
  • Les services publiquement exposés par le protocole Bonjour

Toutes ces informations peuvent être contrôlées et permettre de masquer ses traces sur un réseau. Ainsi sous OSX vous pouvez modifier votre hostname avec la commande suivante:
sudo scutil --set ComputerName
sudo scutil --set LocalHostName
Normalement seul le HostName est diffusé sur le réseau.
On pourra changer son addresse MAC avec la commande suivante:
ifconfig en1 ether 00:11:22:33:44:55 On prendra également soin de fermer tous les ports et les services de partage ou d'accès à distance en les désactivants dans les préférences réseau.

mardi 14 février 2012

Le protocole Bonjour sous OSX, ou comment éviter d'utiliser nmap

Le protocole Bonjour est le protocole utilisé par Apple qui permet aux différents Mac d'un même réseau de diffuser les services qu'ils offrent. Ce protocole très pratique pour l'utilisateur permet de détecter automatiquement des appareils sur un réseau local et de savoir de quoi ils sont capables. En utilisant un utilitaire adéquat on peut donc rassembler énormément d'informations sur les machines présentes sur un réseau; et ceci de manière totalement passive. D'une certaine façon le protocole Bonjour va vous renvoyer automatiquement les informations que vous obtiendriez normalement avec un scan de port nmap.

Comme utiliaire Bonjour on peut citer BonjourBrowser disponible ici. Cet utilitaire graphique vous affiche une arborescence des services disponibles sur le réseau ainsi que des machines qui le proposent.

Parmi les services courament rencontrés on peut citer IPP (Internet Printing Protocol), Samba, AFP (Apple File Sharing Protocol) ou encore HTTP pour par exemple des imprimantes. On peut également tomber sur du SSH ou du SFTP.

Si l'on veut interroger le réseau Bonjour en ligne de commande sous OSX on utilisera la commande dns-sd.

dns-sd -B

samedi 11 février 2012

Auto connexion aux hotspots. Pas de solution satisfaisante sous OSX

Sur OSX comme sur Windows la gestion des réseaux wifi présente une faiblesse de sécurité du fait que ces OS se connectent automatiquement aux hotspots ouverts ou déjà connus. Comme il est logique, ces OS privilégient la simplicité d'utilisation ce qui prouve une fois de plus que simplicité et sécurité sont anti nomiques. En effet on court le risque de se connecter à une Rogue AP, technique que je détaillerai dans un bulletin futur mais qui pour résumer consiste à cloner le point d'accès (AP) légitime par un point d'accès pirate qui a pour objectif de voler des informations à l'utilisateur. La connexion se faisant de manière automatique l'utilisateur n'a aucune chance de se rendre compte du subterfuge.

Dans les paramètres réseau sans fils on a différentes options pour adapter le comportement d'auto connexion mais aucune réellement satisfaisant.

La fonction "Oublier réseau" permet de supprimer un réseau de l'historique de connexion et donc de prévenir l'auto connexion mais on sera alors olbigé de ressaisir le mot de passe ce qui est pénible.

La fonction "Demander confirmation avant de se connecter" mais qui ne concerne que les nouveaux réseaux.

Le compromis idéal simplicité/sécurité serait qu'OSX sauvegarde les paramètres de connexion mais ne se connecte jamais automatiquement. Hors je n'ai pas trouvé de solution à ce problème pour le moment. Je cherche encore et je posterai la solution si je trouve.

PS: un nouveau problème lié à la connexion automatique est apparu avec Lion et sa capacité à simplifier la connexion sur les points d'accès captifs. Je détaillerai le problème plus mais en attendant vous pouvez allez voir ici:

http://www.infosecisland.com/blogview/17138-OS-X-Lion-Captive-Portal-Hijacking-Attack.html

mardi 7 février 2012

Verrouillage par code sur iPhone

L'iPhone propose comme sur tout les téléphones de se vérouiller avec un code à quatre chiffre. Indispensable vu la quantité de données précieuses que l'on stocke dans nos téléphones de nos jours. Malheureusement par défaut lorsque vous activez le verouillage par code il s'ajoute au verouillage par glissé du doigt. Pour utiliser votre téléphone vous donc deux étapes à effectuer ce qui est vraiment pénible et décourage d'utiliser le code (déjà pénible en soit).

C'est là qu'intervient l'utilitaire NoLockScreen disponible sur Cydia. Ca n'a l'air de rien mais ça rend vraiment le verouillage plus ergonomique et donc utilisable.

On en revient toujours au problème sécurité contre confort d'utilisation. Toute supplémentaire sécurité impose des entraves à l'utilisation d'un produit et c'est bien pour cela que la plupart du temps les gens préfèrent s'en passer.

Ne pas oublier d'activer également dans les paramètres de l'iPhone la fonction qui permet d'effacer entièrement son contenu à partir de 10 saisis éronnées du code. Comme ça si jamais vous le perdez vous aurez au moins la conscience tranquille quand à la sécurité de vos données perdues (ci vous n'avez pas laissé le mot de passe SSH par défaut ;-)