Script Kiddies Forever ( ou comment passer en Exclu sur Zataz.com )

Première Partie .

Kitetoa a reçu ce texte qui lui semble très intéressant. Nous vous le livrons. Il tombe parfaitement à point au moment où nous avons trouvé ces bugs dans l'installation du serveur de la CPR et d'E*Trade. Les Script Kiddies décrits ci-dessous ne se seraient pas gênés pour faire un peu de dégâts s'ils avaient été à notre place. Il serait temps que les entreprises dites ".com" comprennent que le profit immédiat n'est pas une fin en soi. La sécurité, si elle coûte cher, n''est pas un luxe...

Vu les temps qui changent et la nouvelle mode, poussée et véhiculée par les media, de se prétendre "hacker", 'cracker' et autre pirate , je me suis décidé a prendre ce clavier pour écrire un petit article sur ce que sont ces personnes qui aspirent a "pirater" les ordinateurs _soi-disant_ les plus protégés de la terre afin de combler leur ego surdémesuré de petits adolescents perdus (c'est plutôt comme ça que je les imagine) :Les Scripts Kiddies .

Cet article vise a étudier les méthodes utilisées par ces script kiddies , les moyens qu'ils utilisent etc....

Qui sont ils ?

D'après mes contacts avec le milieu du hack, que ce soit en France ou aux Etats-unis , les scripts kiddies ont toujours et garderont toujours le même profil ... Ce sont de jeunes personne (la majorité du moins), tous possèdent des ordinateurs et s'adonnent a d'interminables heures  de connection à Internet .

On ne peut pas dire que ces personnes soient réellement intéressées par la sécurité réseau en elle-même... Ce qui les intéresse c'est la proie facile , comment "rooter" le plus de serveurs en une soirée. Ils veulent un maximum de résultats en très peu de temps .

Ils utilisent des tas d'outils sophistiqués afin de lancer de larges scan sur le maximum de domaines possible et c'est là que le problème des scripts kiddies prend de l'ampleur .

Ils ont pour la plupart réussi a installer Linux sur une de leurs machines , ils arrivent à la connecter au Net etc... il ne leur est pas demandé de s'y connaître en architecture de systèmes Unix, programmation etc... Il leur suffit juste de savoir compiler sur leurs bécanes les "exploits" qu'ils téléchargeront de serveurs dédiés à ce genre de programmes. (J'exclus donc les attardés mentaux qui s'amusent encore a "nuker" et essayer de vous "trojaner" avec Netbus et autres conneries sous Windows.)

Le Problème...

Imaginons que vous êtes administrateur d'un réseau de plusieurs machines connectées pour la plupart a Internet , vous avez plusieurs buts a atteindre dans votre job:  simplifier la tache de vos utilisateurs , les aider a développer leurs besoins informatiques et télématiques. Voilà vos principales taches. La sécurité est malheureusement souvent délaissée, et c'est la que le rôle du SK (marre d'écrire Script Kiddie) prend toute son ampleur .

Dans leurs larges scan de domaines, tôt ou tard, un jour viendra, ils tomberont sur vous!

Vos Logs deviendront fou (si vous avez encore la chance d'utiliser votre système sans le réinstaller) et la liste des dommages que vous subirez sera sans fin :

* Sabotage de votre système informatique.
* Perte de données confidentielles.
* Espionnage Industriel (fichiers clients, salaires, etc.  Vous avez vu la pub IBM ?).
* Utilisation de votre propre réseaux afin de lancer d'autres attaques sur d'autres domaines et machines.
* Infection de vos systèmes par des chevaux de Troie, etc.
* Perte de temps et de matériels (réinstallation) qui pourra se chiffrer à plusieurs milliers de francs ou même de millions!

Mais comment font-ils ?

Rien de plus simple. Les outils qu'ils utilisent sont *TOUS* présents sur le net .

www.rootshell.com   était a un moment le plus recherché et le plus sollicités des serveurs d'"exploits" et de "scanners" utilisés.

Voici quelques uns des programmes de scan auxquels vous pourrez être confrontés :

* nmap de fyodor (www.insecure.org)
* mscan et sscan de Jsbach
* Queso de Savage (savage@apostols.org)
* ADMhack

Ces scanners sont pour la plupart codés (programmés) pour marcher de la même façon :

ils recherchent les bugs , qui à mon avis sont trouvés par les vrais hackers, des "exploits" qui permettront d'avoir un aces sur votre machine. La liste des "exploits" est sans fin... il suffit pour cela de lire les archives de bugtraq .  Voici une liste détaillé de ce qu'utilisent les SK :

IMAP ( Linux / BSD )
NAMED ( Linusc )

wu-ftpd ( linux et autre OS )

RPC :

pc.nfsd ( IRIX, Solaris 2.x , Linux , HPUX etc.. )
mountd ( Solaris 2.x , Linux )
ttdbserver (Solaris 2.x, mais peu utilisé .. il demande certaines connaissances :> )
rpc.statd & Automountd (Solaris 2.x )
bootpd ( BSD / linux "Debian Distro" )
rpc.statd ( Solaris 2.x )

NFS

showmount technique ( tout UNIX )

login par defaut ( lp sous IRIX )

Ces "exploits" permettent en quelques heures de posseder ("0wn") une grande liste de serveurs et machines. La plupart du temps ces intrusions sont devoilées grace à une petite modification de la page Ouèb de votre Société. Du style :"yaw , moi et la Te4m du 93 on t'4 h4ck33 Ph34r " .

Exemple :

Le hacker a un accès sur une bécane Linux ... il va sur ftp.technotronic.com et télécharge wu-ftpdex.c

bod-login.# cc wu-ftpdex.c -o wu-ftpdex
bod-login.# ./wu-ftpdex 192.168.0.111 ftp mht@ incoming/

500 - COMMAND LINE TOO LONG

bash# whoami
root
bash#

rien de plus simple ....

Nul.

Résultats (pour vous) :

* Vous vous retrouvez a l'ANPE
* Votre femme vous quitte (vos enfants se droguent) :>
* 1000 personnes verront l'archive du hack d'un site dont ils n'ont jamais entendu parler et n'aurait jamais du en entendre parler, du style:"la T34m du 93 se paie le site de bugerz.com" (faites un coucou chez taz http://209.224.89.77/taz/hacked.html)

Résultats (pour le super-Nakeur SK) :

* Il jubile en voyant son nick écrit en gros sur votre serveur .
* Un grand moment de joie indescriptible, sensation de bonheur, de surpuissance (je suis Dieu etc...)
* Canal+ s'intéresse à lui, le "TAZ" le prie d'accepter un interview sur son site (Lire le prochain article intitulé "Les vautours" au sujet de ces soi-disant journalistes).

La solution (ou Dieu nous a donné un cerveau)...

LIRE & REAGIR.

Ca se résume donc en dix lettres .

Les hackers ,les vrais, découvrent chaque jour des failles de sécurité, elles sont parfois diffusées via des mailings lists, et rendues publiques. Ces même "hackers" coopèrent avec les grandes entreprises telles que Sun ou Cisco afin de créer des patches que vous installerez en moins d'une minute (cron peut le faire chaque nuit sans trop vous défouler).

Mettre en place une véritable stratégie de sécurisation informatique impliquant tout le personnel concerné (IDS : intrusion Détection System) .

Ce simple entretien stoppera net toute tentative d'intrusion du plus grand des SK, car, ne l'oubliez jamais, le SK cherche toujours une proie facile .

Liste des URLs intéressantes :

www.geek-girl.com/bugtraq  (l'éternel bugtraq !)
www.cert.org  (Computer Emergency team )
www.ciac.org 

Conclusion :

Les SK sont un problème a part entière pour ce qui est de la sécurité réseau, ce sont les plus destructeurs. Ils scannent de larges domaines sans savoir ce qu'ils cherchent ou ce qu'ils vont trouver, une simple bande de hooligans du nouveau genre. Un jour ou l'autre ils tomberont sur vous .

Agissez .

PAr ailleurs, il est tout simplement navrant de voir les media mettre les SK et les hackers dans le même panier.

Bodhidarma .MHT Security team .
                                Bodhidarma@hotmail.com

un grand merci a Kitetoa , Shivan , nitro , Thanatos et toute la ADM crew ;)

Palme d'or du site le plus inintéressant : www.zataz.com  (pfffffff....laisse tomber ... fais autre chose de ta vie)

Quote of the Day : "Le DNS de Microsoft Hacké" (www.zataz.com, qui voulez-vous d'autre ? )

Looser of the Day : Taz.

Best Script Kiddy of the year ( FRANCE ) : ToNy