Premier test de PRINCE avec oclhashcat sous Windows

Atom (le dev de hashcat) vient de sortir un algorithme appelé PRINCE qui génère des mots de passe dérivés d'un dictionnaire. Ça semble assez puissant et comme je viens de me faire plaisir avec une nouvelle carte graphique (j'en reparlerai un autre jour), j'ai envie de m'amuser en cassant un peu de mots de passe :)

Sur la base du tutoriel d'Atom, j'ai testé la ligne de commande suivante sous Windows :

C:\Users\xxx\oclHashcat-1.31>pp64.exe < rockyou.txt |
oclHashcat64.exe -m 1000 -o NTLM_prince.txt "c:\Users\xxx\hash_ntlm.txt"

En fait dans son tutoriel, Atom utilise mkfifo, mais sous Windows, il n'y a pas d'équivalent potable (en 2 minutes de recherche Google). Heureusement qu'il est possible de piper avec oclhashcat.

Ce que j'aime bien avec ces algorithmes, c'est que des mots de passe de 13 caractères ou plus peuvent tomber facilement s'ils sont bêtement dérivés d'un mot d'un dictionnaire.

En 24h j'ai cassé presque autant de mots de passe qu'en bruteforce pur durant 4 jours, mais ce ne sont pas les mêmes mots de passe qui tombent. J'ai constaté que les CPU et GPU sont largement sous-utilisés.

Session.Name...: oclHashcat
Status.........: Running
Input.Mode.....: Pipe
Hash.Target....: File (c:\Users\xxx\hash_ntlm.txt)
Hash.Type......: NTLM
Time.Started...: Mon Dec 29 23:59:01 2014 (1 day, 0 hours)
Speed.GPU.#1...:  2386.7 kH/s
Recovered......: 396/1513 (26.17%) Digests, 0/1 (0.00%) Salts
Progress.......: 233595600896
Skipped........: 0
Rejected.......: 0
HWMon.GPU.#1...: 57% Util, 51c Temp, 34% Fan

Je pense qu'il est possible de faire un PRINCE avec hashcat en même temps qu'un bruteforce en GPU avec oclhashcat. Les deux méthodes sont complémentaires. Peut-être qu'il peut être intéressant de lancer plusieurs PRINCE/hashcat avec des dictionnaires différents pour mieux utiliser le CPU. Ce n'est que le début, mais c'est déjà prometteur.

Récents entretiens et retour d'expérience

N'étant pas pas satisfait à 200% de mon job actuel, je réponds parfois à des offres ou à des chasseurs de tête quand l'opportunité me semble tentante.

J'ai eu la plus désagréable expérience de ma vie, mais comme d'habitude j'apprends des échecs et ce n'est pas plus mal.

Petite remise dans le contexte, une chasseuse de tête (90% sont des femmes ou c'est une impression ?) me contacte pour un poste d'expert sécurité chez un acteur de l'énergie. J'arrive à comprendre entre les lignes qu'il s'agit d'un de mes anciens clients. Je contacte directement le client pour montrer mon intérêt et il me renvoie au chasseur de tête, et me prévient que je serai trop cher. Bref, je réponds au chasseur de tête en disant que ça m'intéresse, mais que ça ne va pas le faire niveau salaire. Elle me dit qu'il y a plein d'avantages genre plus de 30 jours de RTT dont une partie qui peut être payée. Je vais quand même tenter ma chance :)

Arrive la journée d'entretien. Un premier technique avec 3 chefs (N+1, N+2, N+3) qui tentent de m'expliquer qu'il s'agit de gestion de budget et de contrat, mais qu'on est pas là pour "faire". J'ai beau expliquer que j'ai une expertise qu'ils n'ont pas, ça ne semble pas les intéresser, ni même le fait que j'ai travaillé 2 ans dans l'équipe qu'il faudra encadrer et que je connais leur quotidien. Je note que le N+1 malgré une montée hiérarchique ne sait toujours pas mettre une cravate. :p

Entre les 2 entretiens je croise un autre candidat qui lui aussi postule au même poste. Il a l'air sympa, il vient de se faire défoncer par l'autre comité. De ce que je comprends il n'a fait que de la MOA, il n'a jamais touché aux aspects techniques. Je pense qu'il n'a pas plus de chances que moi :)

2ième comité, la N+4 et la responsable RH. Le but est de raconter sa vie et d'expliquer pourquoi on veut les rejoindre et pourquoi ils devraient me prendre. C'est le moment du grand pipeau, j'ai beaucoup travaillé pour la boite, je connais beaucoup de monde (je lance des noms par-ci par-là), j'ai de très bons souvenirs et de très bons contacts internes. Là dessus première question qui tue "Ca serait quoi votre journée idéale ?". Ça fait 15 ans que je n'ai pas réfléchi à des questions de philosophie. Je tente un truc à la GTD du genre je dépile ma TODO, je vérifie le travail fait par l'équipe... mais je me prends un vieux râteau. "Ah oui donc il est déjà 11h30 HAHAHA". Je réplique "Ah oui donc  chez vous c'est déjà l'heure de la cantine...". En fait j'avais envie de dire que ma journée idéale c'est quand je rentre à la maison et que mon fils n'est pas encore au lit. Le contenu de la journée m'importe peu. Ensuite ça a commencé à tourner autour de l'argent. "A combien seriez-vous prêt à baisser votre salaire ?" alors que je n'ai pas le moindre repère... puis "pourquoi vous seriez prêt à baisser votre salaire ?", pour un meilleur rapport pro/perso "ah vous pensez vous reposer ?" Comment dire que oui. Comment dire que si on me paie 10k€ de moins, c'est pas pour bosser le soir et les weekend ? Bref, c'est mort et maintenant j'ai du mépris pour ces gens-là.

Ce que j'en ai retenu. A aucun moment ils n'ont cherché à m'attirer en me présentant la boite et les avantages, et surtout quand on sait que de mon côté je dois baisser mon salaire, ça serait plutôt à eux de faire le jeu de la séduction qu'à moi.
Je pense aussi que la chasseuse de tête est payée à chaque personne présentée et qu'elle savait que je n'avais aucune chance.
De mon côté j'avais de gros doute d'avance et je savais que je n'avais aucune envie d'avoir ce poste. J'avais envie d'avoir une piste supplémentaire et de les envoyer paitre.
Côté présentation de mon CV, j'ai du mal à le mettre en valeur. A chaque fois je pars d'une boite parce que j'en ai marre et non parce que je cherche autre chose de particulier. Il faut que j'arrive à présenter ma progression d'une autre façon :)

Note pour moi-même :
Je préfère 100 fois dire à la personne ce qui a cloché durant l'entretien et lui donner ma vision sur le moment. Il n'y a rien de plus désagréable que d'avoir un refus sans la moindre explication.

Cyanogenmod sur Galaxy Note 8 (depuis debian)

Petite note juste pour me rappeler des liens qui m'ont été nécessaires pour flasher ma Galaxy Note 8 en Cyanogenmod depuis une debian.

Le wiki de CM explique assez bien la démarche : Installer un outil de recovery, télécharger le pack cyanogen et l'appliquer. Sauf que le lien vers le recovery est mort. Je conseille de prendre le recovery "philz touch" qui semble plus actuel et permet de trouver plus facilement le firmware pour la Galaxy Note qu'en cherchant celui de ClockWorkMod. Pour l'installer il faut suivre le blog de CM et utiliser heimdall (pas besoin de l'interface graphique).

Bref, si je n'avais pas installé un zip de CM corrompu, j'aurai fini rapidement, mais il en a été autrement... Bref l'outil de recovery laisse flasher avec des zip corrompus. Je n'avais plus accès à la mémoire pour y mettre un nouveau zip.

J'ai donc fait le transfert de CM via ADB. Il m'a fallu télécharger les 3 fichiers suivants :

•  android-tools-adb
•  android-tools-fastboot
•  android-tools-fsutils

Je n'ai pas de problèmes de batterie, ni aucun bug depuis que j'ai fait cette installation.

Que choisir ? (manque d'information et obsolescence programmée)

En ce moment je cherche à acheter <insérer un nom de bidule ici>. Déjà je ne sais pas si ça va vraiment m'être utile, mais je finis par me décider... Bon je vais éviter de prendre de la merde, mais parfois ça peut s'avérer être un bon choix. J'ai entendu des maçons polonais qui achetaient des perceuses à 15€ et qui en étaient contents. Elles restaient rentables même en lâchant au bout de 6 mois 1 an. En fait plus tu prends de la qualité bien chère, plus tu ... Ah en fait non, la durée de garantie est identique...

Bref, moi c'est un <bidule> de l'ordre de 400€ qui m'intéresse, pour un usage de l'ordre de 3 ou 4 fois par an en espérant que l'engin tienne 10 à 15 ans, mais sans garantie... J'hésite quasiment à en prendre un en location. J'en ai vu à 15€ la journée, mais il faut aller le chercher et il sera assez vieux et pas dans un état très terrible.

Ok ! Continuons dans notre choix, existe 5 marques connues de <bidule>. 2 sont vraiment pour les pro et hors de prix. Une marque est reconnue sur le marché, mais profite un peu trop de sa réputation pour utiliser des matériaux trop fragiles... Et les 2 autres n'apportent pas d'innovation et ne sont pas non plus réputés pour la qualité.

Allons, voir les commentaires. Pas mal de commentaires de gens satisfaits et d'autres déçus en général par le rapport qualité prix. Sauf que le prix baisse régulièrement et le commentaire n'indique pas le prix d'achat... Les commentaires sont quasi-tous rédigés après la première utilisation... et quand on trouve des commentaires sur une utilisation plus régulière sur des forums, le produit n'est plus au catalogue.

Pour l'anecdote, j'avais acheté une plaque de cuisson sur Internet. Après réception j'ai reçu un mail pour laisser mon avis. Quelques mois après j'ai eu un problème de feu qui s'éteignait tout seul. Un réparateur est venu et a tordu la sonde thermique. 1 mois après ça recommence et le nouveau réparateur a retiré un bouton de réglage pour accéder à des valves et a réglé avec la vraie méthode la sonde... J'ai alors voulu poster mon avis et je me suis rendu compte que le lien n'était valable qu'un mois et qu'il n'y a pas d'autre moyen pour poster son avis.

Les fabricants ne publient aucune statistique sur les retours et sur les types de panne. Il n'est pas souvent possible d'acheter des pièces de rechange. En fait on peut tomber très facilement sur des cas d'obsolescence programmée. J'ai presque parfois tendance à croire qu'avant on ne cherchait pas à diminuer le coût de fabrication et limitant la quantité de matière à l'épaisseur nécessaire pour que le matériel fonctionne durant le temps de garantie.

Bref, il est très difficile de choisir quoique de soit de nos jours (même si ce n'était pas mieux avant). Très peu de fabricants ne diffusent des statistiques de retour matériel et la transparence est loin d'être au rendez-vous...

PASSI simple !

Sans doute dans l'attente de passer l'examen du PASSI, aussi bien pour ma société qu'à titre personnel, je m'interroge sur la façon de faire des audits "complets" et reproductibles sans qu'il ne puisse nous être reprochés d'avoir commis une négligence.

La première idée est simplement d'être certifié, mais rien n'empêche les baisses de régime ou le départ d'un membre de l'équipe...

La deuxième idée est de faire un contre-audit par d'autres membres de l'équipe lorsqu'aucune vulnérabilité n'est découverte. C'est du temps consommé en plus donc un manque à gagner, sauf s'il est vendu comme tel au client lors de l'avant-vente, mais de toute façon il faut être cohérent avec le tarif des concurrents et aucun n'a une telle pratique.

La troisième solution est de tout procédurer, de tout documenter et d'avoir des listes de contrôle pour chaque technologie et quasiment pour chaque type de fonctionnalité (authentification, réinitialisation de mot de passe, gestion des sessions, moteur de recherche, etc...). Tout le monde va vers cette solution consommatrice en temps de cerveau de stagiaire, mais sur la durée il est dure de maintenir à jour les procédures et les listes de contrôle avec l'évolution constante des technologies. On reste finalement un métier d'artisans où le savoir faire individuel des auditeurs est primordial.

Une quatrième solution pourrait se dégager, et est finalement toute simple à mettre en œuvre... s'appuyer sur des outils commerciaux du marché. Comment reprocher à un consultant qui a lancé Nessus sur une infrastructure d'être passé à côté d'une vulnérabilité ? Idem avec Acunetix sur un site web... Mais alors comment distinguer un bon auditeur d'un mauvais auditeur ? Ce n'est pas si simple :)

Finalement ce qui me tient à cœur, ce n'est pas tant de découvrir des vulnérabilités, c'est de savoir creuser une SQL injection pour trouver des hashs faibles ou récupérer le numéro de version d'un MySQL obsolète, et c'est aussi de savoir transmettre un message au client afin qu'il prenne conscience du risque et qu'il puisse juger lui-même de la nécessité de corriger une vulnérabilité ou de l'accepter.

Offre d'emploi mensongère :-/

Juste un petit coup de gueule parce que je vois des offres d'emploi attrayantes qui sont tagguées Areva et qui ne sont en fait que pour leur ex-filiale informatique Euriware.

Pour avoir côtoyé cette société, les missions étaient rarement pour la maison mère et un pentester faisait vaguement du pentest à 30% de son temps et même penser à approcher un système SCADA relevait du fantasme. Leur seul intérêt était les passerelles avec le groupe, mais encore fallait-il faire des missions pour les bonnes personnes pouvant créer un poste pour vous internaliser. Je ne parle pas non plus de la convention Syntec et de l'intéressement qui était celui de la filiale et non du groupe. De quoi déprimer quand on fait une régie longue durée dans une équipe Areva sans avoir les avantages de ses collègues de bureau.

Force est de constater qu'Euriware joue encore à ce petit jeu (source APEC) :

Alors qu'Euriware n'a plus de rapport avec Areva.

Bref, c'est moche de tagguer l'annonce sous la société Areva... Déjà que ce n'était pas terrible avant :D

A propos d'orange

Disclaimer : Je ne cherche pas à faire de la diffamation, ce qui va suivre reflète ce que je pense vraiment.

Update : J'avais raté ce discours de Stéphane Richard : "A chaque attaque, nous progressons". Au moins il y a du positif :-)

A l'annonce d'un deuxième piratage de données à caractère personnel depuis le début de l'année chez orange, je ne peux m'empêcher de réfléchir à cette situation (allez savoir pourquoi). Ma piste principale est qu'il n'y a pas vraiment plus de piratage qu'avant, mais qu'on en parle plus (Why Has There Been So Much Hacking Lately? Or Is It Just Reported More? A Freakonomics Quorum). En effet orange étant opérateur Internet, il est soumis à l'obligation de notifier les personnes victimes d'un vol de données (legifrance).

Il est évident qu'orange a une surface d'attaque immense entre les jeux éphémères, les sites promotionnels, les différents portails, les applications pour les utilisateurs et les applications internes. De plus les jeux et sites promotionnels sont généralement créés par des startups qui n'ont aucune idée des bonnes pratiques de codage. Côté portail, on peut repérer des grosses pointures comme Laurent BUTTI qui maitrise son sujet (vous trouverez de nombreux articles dans MISC (où il publie à titre personnel ?) ou dans les archives de l'ossir). Mais force est de constater qu'il travaille aussi bien en boite blanche qu'en boite noire... Si vous voulez lire plein de discussion d'expert sécurité d'orange, leur blog est pas mal.

D'un autre côté orange veut devenir un leader en sécurité informatique et pour cela a racheté Atheos, mais j'ai peur que ça tourne comme pour AQL (racheté en 2007) dont le CESTI a depuis été fermé (pas vraiment de message officiel, mais AQL ou orange ne figure plus sur le site de l'ANSSI).

Mais il ne faut pas confondre centre de cout et centre de profit. Ces sociétés ont été rachetées pour vendre du service directement aux clients d'orange business service et non pour servir l'interne. A noter qu'on trouve un entretien de Nicolas Furgé (responsable des offres sécurité chez OBS) qui noie le poisson en mélangeant les experts qui sont sur des projets internes et ceux qui travaillent pour les clients. Et hop ! OBS devient ainsi la "plus importante société de services européenne dans le marché de la cyberdéfense, renforçant son positionnement d’acteur majeur dans ce domaine sur le plan mondial".

Pour l'anecdote, après le piratage d'un jeu à 2 balles d'orange en 2009 (ou 2010, je ne trouve pas d'archive), quelques pentesters d'AQL ont voulu faire du proactif et ont failli se faire licencier pour tentative d'intrusion... De quoi mettre la bonne ambiance et donner envie de contribuer à sa société.

Pour faire un peu dans l'analyse, je dirai qu'orange a une surface d'attaque colossale et qu'on n'entend pas parler de tous les piratages et surtout que  les piratages ne sont pas tous détectés... La sécurité au sein d'orange n'est pas en avance sur les autres sociétés et les process internes sont vieux jeu. orange va conserver Athéos telle quelle et vendre du service, pourtant 130 experts supplémentaires ne seraient pas inutiles pour améliorer la sécurité interne d'orange. Je m'attends à davantage de piratages massifs tels que peuvent en subir des Google, Microsoft et Facebook et j'espère qu'orange mette en place une "vraie" dynamique sécurité en interne (à différencier d'un service minimum pour réparer la casse).
Petite idée pour la fin : Ca serait beau qu'orange soit une des premières société française à mettre en place un bug bounty (viadeo en a déjà un).



Quelques archives de piratages d'orange :
http://www.ehackingnews.com/2012/10/news-nullcrew-hacked-orange-uk.html
http://www.dslreports.com/forum/r22439596-Orange-French-Portal-Hacked-250-000-accounts-compromised

Ou encore le fail du logiel HADOPI et de la plateforme web qui allait avec :
http://sid.rstack.org/blog/index.php/413-hadopi-et-orange-unis-pour-le-pire
J'avais souvenir que Sid disait (à l'instar d'EADS) qu'il y avait des experts reconnus chez orange, mais que bien souvenant dans les grands groupes, ils ne sont pas consultés sur des projets sur lesquels ils auraient pu apporter leur précieuse expertise.