Lors de ses projets de création de l'application (applications web ou applications mobile smartphones Android iphone IOS) Consultingit intègre maintenant une phase de pentesting (bug bounty comme certains l'appellent). Consultingit fait appel à la célèbre équipe CTF Red Team LGHM, (aussi connue sous le nom de l'association loi 1901 à but non lucratif Le Gang des Hackers de Montreuil), cette "RED TEAM" de hackers éthiques (chapeaux blancs) consultants en cybersécurité: pour sécuriser les applications, trouver les failles et les vulnérabilités du programme, avant que le programme passe en production. Cela évite qu'ensuite des hackers mal intentionnés (les black hats, ou chapeaux noirs) trouvent des failles et les exploitent. Il est possible de compromettre le "backend", dans une architecture client-serveur, le serveur qui contient les données. Ce "bachkend" est souvent à l'intérieur de la société, dans la salle serveur. Un des membres de notre Red Team est spécialiste de l'intrusion physique dans les locaux...
Autre scénario, nous avons une société avec des acteurs, CEO, CTO… Et les testeurs doivent prouver qu'ils peuvent voler des documents, voire des secrets industriels, en s'introduisant physiquement dans la société.
Au début, pour contrer les hackers on a mis des firewalls. Ensuite on a fait de VLANS…
Depuis le réseau internet, il est difficile de s’introduire à l’interieur sur le LAN.
On va s’introduire physiquement dans l’entreprise pour tenter de voler des clés USB… Si on a le controle sur le PC de quelqu’un. S’il est admin, il a peut etre un VPN pour faire un rebond et il a un token. C’est utile de voler ce token et c’est surtout plus rapide.
Social engineering: Ce sont des techniques et méthodes servant à influencer et à manupuler les mécanismes de l’humain pour lui faire effectuer une action. Référence au livre "traité de manipulation à l'usage des honêtes gens".
Epreuves en Red Team: un membre est chargé de tester la sécurité d’une organisation d’une société.
Une question? Posez-la ici
Besoin d'un tests d'intrusion, contactez la Red Team LGHM
Tests d'intrusions physique : la reconnaissance des locaux, exemple, la DGSE
Voici quelques outils que nous utilisons en OSINT: Open source information
Societe.com pour avoir des informations sur les sociétés (nom des dirigeants...)
Le moteur de recherche Google. Ainsi, on apprend beaucoup de choses sur le client, par exemple en consultant les sources administratives , on peut se faire recruter comme jardiners pour infiltrer le client ou achètent des chèvres...
Google street view (phase de repérage, moins risquée sur internet. C’est plus facile de rentrer par une aire de livraison par exemple. Petite histoire de la récupération du plan des locaux de la DGSE: ils ont mis en ligne leurs plans sur un sites d’appels d’offre d'emplois. A l'époque ils cherchaient un prestataire pour placer des cameras de surveillances. Depuis, les plans de leurs locaux sont toujours accessibles sur internet...
Geoportal est très intéréssant, exemple, la base du GIGN n’est pas floutée. Idem pour les prisons, on voit la vue aérienne.
Maltego
Google dorks
Linkedin, parce qu’on peut faire des recherches détaillées sur des compétences. On peut faire des recherches très détaillées. Je cherche tous les postes financiers et comptables ET qui a fait telle ou telle ecole.
Sites d'offres d’emplois: on voit sur quelle infra ils sont, quels outils ils utilisent...
Tests d'intrusions physique : stalk des employés de la DGSE
OSINT: stalker les employés
On peut par exemple géolocaliser les employés de la DGSE qui utilisent une application mobile pour tracer leur parcours de footing...
Voir à la conférence Black hat 2010 getting in bed with robin sage.
|
Linkedin: on peut ainsi créer un faux profil pour entrer en contact avec des personnes qui travaillent dans l’armement...
Les agents chinois sont entrés en contact avec plus de 4000 cadres du gouvernement: venez en chine, on vous rince. Un jour de boulot, 5 jours de vacances; C’était juste pour récuperer des informations sensibles.
Twitter: on peut voir tous les twits geolocalisés dans un rayon de 100 metre par exemple.
Cree.py sur github permet de coupler twitter pour geolocaliser les tweets. Si on a 394 tweets a une rue precise connectée sur un réseau wifi. On peut imaginer qu’ils habitent là. Donc quand ils ne sont pas là on peut les cambrioler…
Repérage des locaux en heures ouvrées, non ouvrées.
Comment sont habillées le personnels de nettoyage? Pour les remplacer par exemple.
Detecter la présence des sytèmes de video surveillance
RTLSDR avec scan ISM
Enter à l'accueil pour demander l’accès aux toilettes pretextant que l’on est pas bien
Fumer une cigarette parce que c’est super social. Si on fume tous les jours à 10h, au bout d'un moment, les personnes vont penser que l’on fait partie de la boite. Si on leur dit que l’on a oublié notre badge, elles nous ouvrent la porte avec un grand sourire.
Une question? Posez-la ici
Besoin d'un tests d'intrusion, contactez la Red Team LGHM
Tests d'intrusion physique: L’équipement nécéssaire
Pré-requis: super bien connaitre l’organsation cible . Très bien connaitre le personnel, nom/prenom/ organigramme: “oui je travaille avec un tel”
Utiliser le vocabulaire de l’organisation
Avoir une idée du scénario, un but, des étapes. Pour récupérer des documents dans les poubelles?
“Petit traité de manipulation à l’usage des honnêtes gens” = techniques marketing. Etre confiant.
Etre un tailgateur: suivre la personne derrière quand elle ouvre la porte.
Un equipement pour filmer et prouver au client que l’on est rentré.
Un bouton caméra pour filmer, un stylo camera, 20 à 30 Euros, ca filme à 1080p
Lunettes camera, ca permet d’avoir un micro plus près quand on parle
Pour s’introduire, il faut un faux badge d’accès. Le 1er jour de travail, les gens sont en général contents, ils prennent en photo leur badge et le postent sur Snapshat, on peut le reproduire
Copier le badge visiteur
Déguisement: on peut se faire passer pour les réparateurs. Avec un gilet jaune, on passe partout pretextant qu’on travaille.
Regarder comment les gens sont habillés. Si on va en banque, il faut la cravate et être pile à l'heure.
Kit de lockpicking . Des radios pour ouvrir les portes, ou une bouteille d’eau en plastique coupée
Un proxmark (200Eur): ca nous permet de copier les badges low frequency. Dans mister Robot, il copie le badge. On peut copier les badges en passant à proximité
Pandwa RF pour intercepter les télécommandes des garages et ouvrir les portes.
Tests d'intrusion physique: prendre le controle du Système d'information
Avec un raspbery PI pour faire un pwn plug: a distance on peut faire un pentest internet
Recolter de l’information: souris espion micro: on peut adapter une SIM dans une souris et on appelle le numéro ca permet d’activer le micro dans la souris.
Un téléphone bien sûr pour prendre des photos
Trombonnes, kits de lockpickings pour ouvrir les caissons, c’est très simple, très interessant pour voler les tokens RSA…
Voir une video très intéréssante sur youtube: action discrete les ecoutes
Le site espionnage-securite.com propose plein d'outils intéréssants, HaK5, vetementpro.com, Budk…
Une question? Posez-la ici
Besoin d'un tests d'intrusion, contactez la Red Team LGHM
Ce transcript reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit
Besoin de tests d'intrusion physique?