ÊTRE SAFE
La base de cette partie est écrite par JB34 .
Niveau des communications téléphoniques:
Pour que le provider auquel nous allons nous loguer pour avoir accès à internet ne puisse avoir notre numéro de téléphone et bien nous n'allons pas lui donner ou même lui en donner un faux et pourquoi pas en utiliser un faux qu'en plus nous n'allons pas donner. Pour cacher un numéro de téléphone il existe un numéro à faire avant le numéro à composer c'est le 3651 mais il n'est pas nécessaire de vous dire que des sociétés de télécoms (elles même qui fournissent ce service) rient devant quelqu'un qui veut leur cacher son numéro de téléphone grâce à ceci (par contre, il est intéressant de noter que seul le ministre possède le droit de lever le numéro 3651, aussi il s’agit d’une protection efficace car rare seront les cas ou le ministre sera contacté). Par contre nous pouvons le cacher à d'autre sociétés, des sociétés qui ont par exemple des PBX. Il est possible de faire un outdial a partir d’un PBX. Pour en savoir plus sur les PBX et sur les VMB, lisez ça. Un outdial sur un PBX couplé au 3651 fait une protection au niveau téléphonique très acceptable. Il existe aussi d'autres méthodes qui permettent d'être safe comme le beige boxing, le blue boxing... en fait toute technique qui permet de ne pas téléphoner de chez vous ou de passer par un autre endroit avant de manière à ce que le provider internet n'ait pas votre vrai numéro de téléphone.
Niveau du provider:
Là vous ne prenez pas votre compte personnel avec vos infos personnelles (si vous les avez données au provider bien sûr) mais plutôt un compte fake (faux) que vous venez de créer avec une carte bancaire qui ne vous appartient pas ou souscrivez un abonnement chez un provider gratuit (ça pullule en ce moment). Encore mieux (en tout cas moi je trouve), utilisez le compte d'une autre personne. Il se peut que cela attire des ennuis a cette personne mais cela sera moins grillé et aura l'intérêt d'égarer un peu plus les pistes. De plus dans le cas d'un hack vraiment chaud cela pourra vous donner la température et l'avance des recherches lancées contre vous (enfin faut s'attaquer à un gros morceau pour ça).
Niveau d'Internet:
Là les méthodes sont des plus variées et des plus sophistiquées. Vous pouvez passer par des proxy, des wingates, des anonymisers, des socks, faire des triangulations avec des paquets fake, utiliser des serveurs non surveillés et récemment hackés sur lequel vous avez gardé un shell (ça c'est bien parce qu'en plus vous serez maître des traces qui restent et pourrez même en créer de fausses renvoyant autre part) ...
Niveau de la Cible:
Là il faut effacer un maximum de traces (toutes ci possibles) et en créer des fausses pourquoi pas. N'en créez pas de fausses si vous voulez passer incognito mais si vous avez changé la page du serveur web par "3lit3 W4rRi0r Att4ck", pour l'incognito c'est loupé alors faites les partir sur une fausse piste (fausse ip, date, heure et login ...). Par contre ne crashez pas le serveur pour être sûr de ne pas être retrouvé car ce ne serait même pas sûr et vous risqueriez beaucoup plus en cas de procès. Traquez aussi l'utilité des programmes lancés sur le serveur en faisant un "ps -aux" pour voir s'il n'y aurait pas un programme qui vous parraîtrait susceptible d'enregistrer des logs ou de les envoyer vers d'autres serveurs. Pour ca faut s'y connaitre en programmation ou alors sniffer le réseau si vous avez du temps. Bref pour éviter la trace vaut mieux en connaître un bout dans pas mal de domaines.
Voici comment effacer ses traces sous unix :
1. Ne rien laisser dans les répertoires HOME et TEMP des serveurs
2. Lister tous les éléments modifiés avant de se déconnecter : ls -altr
3. Utiliser les commandes csh suivantes pour effacer les données d'historique sans laisser de trace :
mv
.logout save.1
echo
rm .history>.logout
echo
rm .logout>>.logout
echo
mv save.1 logout>>.logout
4. Nettoyer les fichiers "logs" des serveurs : Sous Unix il faut connaître au moins 3 fichiers
importants:
WTMP
- chaque connexion/déconnexion avec l'heure, le serveur et le terminal
concerné
UTMP
- tous les utilisateurs connectés à un moment donné
LASTLOG
- origine des connexions
L'admin peut utiliser ces fichiers pour les commandes statistiques (lastlogin), pour par exemple savoir quand a eu lieu l'intrusion et puis le temps estimé de l'attaque (tout pour vous retrouver). Il faut savoir aussi que toutes les connexions par ftp, rlogin, telnet sont enregistrées dans ces fichiers. Mais ne pas effacer ces fichiers car l'admin saura immédiatement que l'intrusion a eu lieu. Pour vous simplifier la tâche utiliser un prog de modification de ces fichiers: ZAP ou ZAP2 (remplace la dernière donnée de connexion par des 00000000).
Recommandation: pour modifier le LASTLOG sans toucher au fichier, une fois connecté, lancer un rlogin "serveur cible" avec le login et pass du compte utilisateur hacké. Cela a pour effet d'enregistrer un LASTLOGIN à partir du serveur et non à partir de l'extérieur.
Normalement ces modifs sont possibles que par le ROOT. Mais si le ROOT n'a pas été obtenu, il suffit pour certaines version d'Unix de faire un login lors de votre connexion sur le serveur pour modifier le LASTLOG.
5.Trouver touus les fichiers modifiés après la connexion: juste après être connecté faire: "touch /tmp/check" avant de continuer à travailler. Par la suite faire: "find / -newer /tmpcheck -print" ou "find / -ctime 0 -print" ou encore "find / -cmin 0 -print", vérifier les fichiers d'audit et les modifier.
6. Vérifier les répertoires s par défaut: /usr/adm , /var/adm , /var/log
7. Manipuler les prg de sécurité installés: Sur les serveurs sécurisés, les prg de sécurité sont lancés à intervalles périodiques par cron. Ces programmes vérifient les tailles de fichiers ou analysent les logs serveurs. Ils peuvent également être stockés dans les répertoires /adm ou ~bin (pour les sniffers).
Accéder aux paramètres de cron. Le rep par défaut est /var/spool/cron/crontabs. Vérifiez toutes les entrées surtout les fichiers "root" et analysez les prgs lancés. Faire par exemple: "crontab -l root". Les prgs de sécurité sont en général: tiger, spi, tripwire, 15, binaudit, hobgoblin, s3, ... voilà bon là normalement vous pouvez être tranquil mais bon on est jamais trop prudent et faut se dire qu'il y a toujours plus malin que nous. Je ne cesse pas de le dire mais ne négligez pas la victime qui elle aussi peut s'y connaître en hack alors n'effacez rien et n'abîmez aucune donnée. Car un HACKER n'est pas un CRACKER...
Donc, en conclusion, soyez parano, et surtout même si la cible paraît peu importante, n’hésitez pas à prendre toutes les précautions possibles. De plus, ne soyez pas con et n’utilisez pas bêtement des programmes parfois efficaces mais qui ne sont pas safe du tout.