Know Your Enemy I

Cet article a t traduit de l'anglais par OUAH (OUAH_@hotmail.com),
La version originale est de Lance Spitzner (lspitz@ksni.net) et peut-tre obtenue http:/www.enteract.net/~lsiptz.

Know Your Enemy I: Les outils et les mthodes du script Kiddie

Mon commandant avait l'habitude de me dire que pour se protger soi-mme contre l'ennemi,
vous devez d'abord savoir qui est votre ennemi. Cette doctrine militaire s'applique aisment au monde de la scurit des rseaux. Comme dans le domaine militaire, vous avez des ressources que vous essayez de protger. Pour vous aider protger ces ressources, vous devez savoir qui vous menacent et comment ils vont attaquer. Cet article, le premier d'une srie de trois, s'intresse cela, il parle des outils et des mthodes utilises par une des plus commune et universelle des menaces, celle des Script Kiddies. Le deuxime article se concentre sur la faon dont vous pouvez dtecter ces tentatives d'attaques, identifier quels outils ils utilisent et quelles vulnrabilits ils recherchent. Le troisime article parle de ce qui se produit une fois qu'ils obtiennent le statut root. Plus particulirement, comment ils dissimulent leurs traces et ce qu'ils font aprs.

Qui est le Script Kiddie?

Le script kiddie est quelqu'un la recherche d'une intrusion facile. Ils ne font pas cela pour
une information ou une compagnie spcifique. Leur but est d'obtenir le statut root le plus
facilement possible. Ils font cela en se concentrant sur un nombre restreint d'exploits, et puis en recherchant une victime pour utiliser cet exploit sur tout le net. Tt ou tard ils trouveront quelqu'un de vulnrable.

Certains d'entre eux sont des utilisateurs avancs qui dveloppent leurs propres outils et laissent derrire eux des backdoors complexes. D'autres n'ont aucune ide de ce qu'ils font et savent seulement taper "go" l'invite de commande. Indpendamment du leur niveau de comptence, ils partagent tous une stratgie commune, rechercher alatoirement une faiblesse spcifique sur un ordinateur puis exploiter cette faiblesse.

La Menace

C'est la slection alatoire des cibles qui rend la menace du script kiddie si dangereuse. Tt ou tard vos ordinateurs et vos rseaux seront scanns car vous ne pouvez pas leur cacher votre prsence sur le net. Je connais des administrateurs qui taient stupfaits que leurs systmes aient t scanns alors qu'ils s'taient absents pendant seulement deux jours, et que personne ne connaissait rien sur eux. Il n'y a rien d'tonnant ici. Trs probablement, leurs systmes ont t approchs par un script kiddie qui scannait cette partie du rseau.

Si cela tait limit quelques scans individuels, les statistiques seraient en votre faveur. Avec les millions d'ordinateurs qu'il y a sur Internet, la chance ferait que personne ne vous trouverait. Mais ce n'est pas le cas. La plupart de ces outils sont simples utiliser et sont largement distribu, n'importe qui peut les utiliser. Un nombre grandissant de personnes obtiennent ces outils dans des taux alarmants. Vu que Internet ne connat pas les frontires,
cette menace a rapidement atteint l'chelle mondiale. Soudainement, la loi des nombres se retourne contre nous. Avec tant d'utilisateurs sur Internet qui utilisent ces outils, ce n'est plus une question de si, mais de quand de vous serez analyss.

Voil un excellent exemple de pourquoi la scurit par l'obscurit peut vous perdre: vous pouvez penser que si personne ne connat l'existence de votre systme, vous tes scuriss. D'autres croient que leurs systmes n'ont aucun intrt, donc pourquoi quelqu'un voudrait dit-il les sonder? Ce sont ces nombreux systmes dont les script kiddies sont la recherche, le systme pas protg qu'il est facile de pntrer.

La mthode

La mthode du script kiddie est une mthode simple. Scanner Internet pour une faiblesse spcifique et quand vous la trouvez, exploitez-l. La plupart des outils qu'ils utilisent sont automatiss mais requirent une petite intraction. Vous lancez le programme puis revenez plusieurs jours plus tard pour obtenir vos rsultats. Aucun de deux outils ne sont semblables, exactement comme deux exploits sont semblables. Toutefois, la plupart des outils utilisent la mme stratgie. D'abord, dvelopper une base de donnes d'IPs qui pourront tre scannes. Puis
scanner ces IPs pour une vulnrabilit particulire.

Par exemple, disons qu'un utilisateur a un outil qui pourrait exploiter imap sur des systmes de Linux, comme imapd_exploit.c. D'abord, ils dvelopperaient une base de donnes d'adresses d'IP qu'ils pourraient scanner (cd les systmes qui sont allums et accessibles). Une fois que cette base de donnes d'adresses d'IP est faite, l'utilisateur voudra dterminer quels systmes utilisent Linux. Beaucoup de scaanners aujourd'hui peuvent facilement dterminer ceci en envoyant des mauvais paquets un systme et en regardant comment ils rpondent, comme le nmap de Fyodoror. Ensuite, ces outils vont dterminer lesquels de ces systmes Linux utilisent imap
Tout ce qui reste faire maintenant est d'exploiter ces systmes vulnrables.

Vous pourriez penser que faire tous ces scans serait trs peu discret, que cela attire beaucoup l'attention. Cependant, beaucoup de gens ne surveillent pas leurs systmes, et ne ralisent pas qu'ils sont en train d'tre scanns. De plus, beaucoup de script kiddies recherchent tranquillement un systme isol qu'ils peuvent pntrer. Une fois qu'ils ont pntr un systme, ils utilisent maintenant ce systme comme plate-forme de lancement. Ils peuvent sans problme scanner tout le net sans crainte de se faire prendre. Si leurs scans sont dtects, c'est surtout l'administrateur systme et pas le hacker qui sera concern.

De plus, ces scans sont souvent archivs ou mis en commun avec les autres utilisateurs, puis regards une date ultrieure. Par exemple, un utilisateur dveloppe une base de donnes des ports qui sont ouverts sur des systmes Linux accessibles. L'utilisateur a prpar cette base de donnes pour exploiter le bug en question d'imap. Cependant, disons qu'un mois plus tard un nouveau bug Linux est identif sur un port diffrent. Au lieu de devoir faire une nouvelle base de donnes (ce qui reprsente la partie la plus longue), l'utilisateur peut rapidement passer en revue sa base de donnes archive et compromettre les systmes vulnrables. Comme alternative, les script kiddies partagent ou mme achtent des bases de donnes de systmes vulnrables entre eux. Le script kiddie peut alors pntrer votre systme sans mme avoir le scanner: que vos systmes n'aient pas t scanns rcemment ne veut pas dire que vous tes en scurit.

Les plus minutieux hackers implmentent des trojans et des backdoor une fois que le systme a t compromis. Les backdoors permettent un accs facile et inaperu au systme toutes les fois que l'utilisateur le veut. Les trojans rendent le hackeur indtectable. Il n'apparatra dans aucun des logs, des processus du systme, ou dans la structure des fichiers. Il tablit une
maison confortable et sre o il peut sans discrtion scanner le net. Plus d'information sur cela, allez regarder "Know Your Enemy III".

Ces attaques ne se limitent pas une certaine partie de la journe. Beaucoup d'administrateurs recherchent dans leurs logs des entres pour des intrusions qui se sont passes tard dans la nuit, pensant que c'est ce moment que les hackers attaquent. Les script attaquent tout moment. Vu qu'ils peuvent scanner n'importe quand des 24 heures que compte un jour, vous n'avez aucune ide de quand l'intrusion se produira. De plus ces attaques sont lances depuis le monde entier. Et comme Internet ne connat pas de frontires, il ne connat aucun fuseau horaire. Cela peut tre minuit o le hacker se trouve, mais a sera peut-tre 13 heures chez vous.

Les outils

Les outils utiliss sont trs simples d'utilisation. La plupart serve une seule chose et ont peu d'options. D'abord il y a les outils utiliss pour tablir une base de donnes d'IPs. Ces outils sont vraiment alatoires, car scannent sans distinction le net. Par exemple, un outil a une seule option, A, B, ou C. La lettre que vous choisissez dtermine la taille du rseau scanner. Un autre outil utilise un nom de domaine (z0ne est un excellent exemple). Les outils construisent une base de donnes d'IP en faisant des transferts de zone du nom de et de tous les sous-domaines. Certains utilisateurs ont construit des bases de donnes avec plus de 2 millions d'IPs en balayant le domaine entier de .com ou de .edu.

Une fois trouves les IPs sont scannes par des outils qui trouvent les vulnrabilits, telles que la version du systme d'exploitation appel ou les services fonctionnant sur le systme. Une fois que les systmes vulnrables ont t identifis, les hackers frappent. Plusieurs outils existent qui combinent tous ces dispositifs ensemble, simplifiant grandement le processus, comme sscan par jsbach ou cracker.pl. Pour une meilleure comprhension de la faon dont ces outils sont utiliss, rfrez vous Know Your Enemy II.

Comment se protger de cette menace

Il y a des mesures que vous pouvez prendre pour vous protger de cette menace. D'abord, le script kiddie a pour politique celle de l'intrusion la plus facile, ils recherchent les exploits les plus communs. Assurez-vous que vos systmes et vos rseaux ne sont pas vulnrables ces exploits. Les sites www.cert.org et www.ciac.org sont d'excellentes sources sur ce que sont les exploits les plus communs. En outre la liste bugtraq (archive securityfocum.com) est une des meilleures sources d'information.

Une autre manire de se protger est d'excuter seulement les services ncessaires. Si vous n'avez pas besoin d'un service, dsactiver le. Si vous avez besoin d'un service, assurez-vous que c'est la dernire version. Pour des exemples de la dmarche suivre consultez mes articles:

Armoring Solaris, Armoring Linux ou Armoring NT.

Comme vous venez l d'tudier la section sur les outils sachez que les serveurs DNS sont souvent utiliss pour dvelopper une base de donnes des systmes qui peuvent tre sonds. Limitez les systmes qui peuvent faire des transferts de zone partir de vos serveurs de nom. Loggez tous les transferts non autoriss de zone et suivez les. Je vous recommande fortement d'upgrader BIND (logiciel utilis pour le Domain Name Service) la sa dernire version, que vous pouvez trouver www.isc.org/bind.html.

Enfin, analyser vos systmes qui se font pntrer. Une fois les intrusions identifies vous pouvez faire des investigations et avoir une meilleure comprhension des menaces qui psent sur votre rseau et ragir ces menaces.

Conclusion

Les script kiddies constituent une menace pour tous les systmes. Ils agissent sans aucune polarisation et scannent tous les systmes, indiffremment de l'endroit et du contenu de l'ordinateur. Tt ou tard, votre systme sera analys. En comprenant leurs motivations et leurs mthodes, vous pourrez mieux protger vos systmes de cette menace.