Focus sur le nouvel Nmap
Posted by Gutek in Réseaux, Sécurité, tags: Nmap, passwords, Scanning, vulnérabilité
Nmap vient de sortir sous sa dernière version, 5.30 (Beta1).
Outre les habituelles corrections de bugs mineurs, c’est l’occasion de quelques ajouts notables.
Pour commencer Nmap est à présent fournis avec un nouvel outil tièrce-partie, Nping. Celui-ci se veut une reprise modernisée du célèbre Hping, le forgeur de paquets qui accompagne forcément tout scanneur éclairé qui se respecte.
Nping devrait bénéficier de quelques dernières avancées durant le GSoC cet été et sa version finalisée (stable) sera diffusée à la rentrée prochaine. D’ici là c’est une version Alpha qui est proposée aux utilisateurs afin de se faire une idée du produit.
Mais c’est surtout au niveau des scripts NSE que ca bouge cette fois, avec pas moins de 37 scripts de détection et d’attaque ajoutés.
On pourra en voir la liste dans le Changelog, toutefois notons ici quelques faits majeurs.
Dans le LAN
Le dev’ de Nmap s’attaque à un vieux mythe, la détection d’hôtes au sein d’un LAN à travers le dispositif de routage qui l’administre. C’est là encore un de ses projets pour le GSoC dont on espère qu’il sera transformé en slot mais déjà le script Qscan permet aux utilisateurs de se faire une idée de la technologie employée.
Il s’agit pour résumer d’analyser de façon temporelle et statistique les évolutions des RTT de paquets de test à travers le réseau ciblé. Qscan est un prototype de cette méthode, dont le but est de détecter les hôtes bénéficiant de ports NATés derrière le routeur.
En étudiant les temps de propagation des paquets on a une approche très similaire à celle d’un sonar et cette image est assez plaisante. La métaphore peut être poussée plus loin encore puisque les étapes suivantes dans la recherche sur cette problématique vont tourner autour de techniques d’analyse d’empreintes (de signatures) semblables à celles que Nmap met déjà en oeuvre dans son moteur de détection de système d’exploitation.
Le script facile
C’est grace à une nouvelle librairie que le moteur NSE de Nmap offre maintenant la possibilité aux codeurs de scripts d’accéder aux Raw IP. C’est ce qui permet à Qscan de travailler sur les RTT et ce qu’utilise aussi un autre nouveau script : ipîdseq.
Ce dernier n’apporte pas vraiment une nouvelle fonctionnalité à Nmap puisqu’il répète (mais au niveau du moteur de scripts cette fois) l’option d’analyse de séquencage IP ID qui existe déjà en dur, utile notamment pour détecter les cibles qui font de bons candidats zombies. C’est donc clairement un PoC qui ouvre de nouvelles perspectives aux codeurs qui pourront s’inspirer de sa source dans leurs futurs scripts.
Les vulnérabilités critiques
Autre grosse nouvelle dans la jungle des 117 scripts de Nmap, une suite de différents scripts tournés vers la détection et l’attaque de la vulnérabilité critique AFP directory traversal (CVE-2010-0533) touchant tout récemment les ordinateurs à la pomme.
Si cette vulnérabilité est toute récente c’est tout simplement parce que c’est justeemnt l’auteur de ces scripts (Patrik Karlsson, un des dev’ de Nmap) qui l’a découverte alors qu’il travaillait à l’origine sur un simple script d’énumération de partages sous Mac.
Tant qu’on est dans le lourd, citons aussi le script http-vmware-path-vuln qui travaille pour sa part sur la vulnérabilité critique de type path-traversal qui touche un autre poids-lourd : VMWare (CVE-2009-3733)
Après Conficker et SMB, l’équipe de Nmap est encore en pointe dans la fourniture aux usagers d’outils de détection contre des vulnérabilités majeures ces derniers temps. Bon, ok, cette fois c’était facile en étant aux premières loges…
Une question de dictionnaires
Il y a eu aussi ces dernières semaines un autre gros chantier sur un sujet qui pourtant passe souvent de façon inaperçue : les dictionnaires.
Un certain nombre de scripts de Nmap sont des scripts d’attaque vis-à-vis de services d’authentification et utilisent pour ceci deux dictionnaires (users et pass) discrètement fournis avec Nmap depuis quelques temps. Ils sont cachés dans un sous dossier de l’installation de Nmap : /nselib/data.
Si je parle de ces deux dictionnaires c’est parce que la plupart du temps (pour ne pas dire tout le temps, à l’exception de John-the-ripper et Cain & Abel) les logiciels de brute force par dictionnaire se bornent à nous coller le Petit Larousse (dans le meilleur des cas dans la bonne langue…) sans aucune forme de réflexion comme si quelqu’un pouvait avoir statistiquement la bonne idée d’utiliser le verbe “appeller” au subjonctif comme mot de passe.
Perte de temps,
Perte d’espace.
Petite parenthèse à ce sujet, je rappelle aux férus de sémantique que la force brute consiste juste à appliquer bêtement des mots de passe jusqu’à trouver le bon. Elle se décline en dictionnaires ou en génération aléatoire. Beaucoup de gens pensent que le “brute force” ne désigne que la génération aléatoire. Fin de parenthèse.
Un bon dictionnaire doit être cohérent. Si on cible un service ou un device on se tournera naturellemnt vers les listes de mots de passe par défaut à l’installation qui sont diffusées sur Internet. Nmap a fait le choix de se tourner vers les utilisateurs humains et leurs mauvaises habitudes.
Pour ceci le dev’ est parti de plusieurs listes de grands réseaux publics ou sociaux réellement hackés depuis quelques temps (Myspace, RockYou, Hotmail, divers phpBB-based, autres…).
Partant de celà et après beaucoup de comparaisons statistiques et en prenant en compte les profils des visiteurs de tel ou tel réseau social cette recherche à accouché d’une liste de mots-de-passe les plus couramment utilisés. Il semble que cette liste soit efficace dans 60 à 80% des comptes attaqués (selon le réseau social).
La liste utilisée par Nmap est une version raccourcie de la véritable liste : le but de Nmap n’est pas de craquer tous les comptes, mais d’être un outils d’audit de sécurité qui va réveller les problèmes les plus graves rapidement. La liste doit donc être courte et ne révèle que quelques centaines des passwords les plus courants. Cependant le fruit de tout ce travail de recherche sera inclus dans sa totalité dans un autre outil du monde de Nmap, Ncrack.
Celui-ci est pour le coup vraiment destiné à essayer de tout trouver, peu importe le temps.
Il y a beaucoup d’autres améliorations mineures dans cette release, et encore plus à venir en cette période de GSoC.
L’été sera chaud !
Entries (RSS)