Tous les articles par Florian Cristina

SystĂšme

Active directory : Groupes restreints

Laisser un commentaire

Je veux qu’un groupe d’utilisateurs soit administrateurs sur un groupe de machine.

1 / Dans l’OU oĂč se trouve les machines, je crĂ©e un groupe et j’associe toutes les machines Ă  ce groupe : gp_toto_computers.

2 / Dans l’OU oĂč se trouve mes users, je crĂ©e un groupe et j’associe tous les users concernĂ© Ă  ce groupe : gp_toto_usersadmin.

3 / Je crĂ©e une nouvelle GPO : gpo_toto_localadmin. Je rattache cette GPO Ă  mon OU de computer. Je spĂ©cifie comme filtre uniquement le groupe d’ordinateur : gp_toto_computers.

4 / J’Ă©dite la GPO. Computer Configuration > Windows Settings > Security settings > Restricted group. Je creer un nouveau groupe Administrators. Les membres de ce groupe sont les admins du domaines et mon groupe de user gp_toto_usersadmin, et ce groupe et membre du groupe administrators, le groupe des administrateurs locaux.

5 / Je force la GPO : gpupdate /force. Si cela ne suffit pas je redémarre la machine.

Et a présent, en faisant un gpresult on peut voir le résultat sur un ordinateurs du groupe ciblé.

Chiffrement, Sécurité, Truecrypt

PBKDF2 et génération des clés de chiffrement de disque

7 commentaires

Dans mon billet sur les flops et le temps pour casser un password par brute force. Je prenais uniquement en compte la puissance en FLOPS sans prendre en compte le type de hash et les itĂ©rations. J’ai rĂ©cemment parlĂ© dans un billet du temps nĂ©cessaire Ă  un supercalculateur pour casser un mot de passe issus d’une fonction de hash. En partant du postulat : 1 FLOPS = 1 hash. A prĂ©sent je vais essayer de calculer le temps nĂ©cessaire Ă  ce mĂȘme supercalculateur pour casser une clĂ© rĂ©alisĂ© non pas seulement un hash mais avec une fonction de type PBKDF2.

Le PBKDF2 (Password-Based Key Derivation Function) est une fonction de dĂ©rivation de clĂ© qui est implĂ©mentĂ© dans la majoritĂ© des logiciel de chiffrement de disque. C’est aujourd’hui la meilleure rĂ©fĂ©rence en matiĂšre de sĂ©curitĂ© pour la crĂ©ation de clĂ© de chiffrement. Il est basĂ© sur ces Ă©lĂ©ments :

  • Un algorithme de HMAC (SHA512, RIPEMD, WHIRLPOOL,etc)
  • Un mot de passe
  • De la Salt pour luter contre une attaque rainbow table
  • Des itĂ©rations pour ralentir la gĂ©nĂ©ration de clĂ©

Ces itĂ©rations sont trĂšs importantes car elles permettent d’accroitre considĂ©rablement le temps nĂ©cessaire au test de toutes les combinaisons d’un mot de passe. Et c’est sur cela que ce billet va se concentrer.

Je vais reprendre l’excellent travail d’explication du fonctionnement de Truecrypt de Bjorn Edstrom et ses fonctions en python. Dans un premier temps je vais chercher Ă  gĂ©nĂ©rer une clĂ© PBKDF2-PKCS#5, puis dans un second temps je vais chercher Ă  calculer le temps qu’il faut pour la gĂ©nĂ©rer la clĂ©s en fonctions des diffĂ©rents Ă©lĂ©ments la composant.

Continuer la lecture de PBKDF2 et génération des clés de chiffrement de disque

linux

Migration de smokeping

Laisser un commentaire

La migration de smokeping est trĂšs simple. Voici un petit rappel.

1 / Transferer les fichiers rrd se trouvant dans le datadir

/var/lib/smokeping/

2 / Leurs mettre les bon droit.

chown -R smokeping.smokeping /var/lib/smokeping/

3 / Copier le cache des images

cp -R /var/www/smokeping /home/artiflo/www/

chown -R www-data.www-data /home/artiflo/www/smokeping

Continuer la lecture de Migration de smokeping

Virtualisation

Easyvmx.com : Générer un vmx

Laisser un commentaire

Rien n’est plus rageant d’avoir perdu le fichier vmx d’une machine virtuelle VMware.

Voici un site bien sympathique qui le génÚre pour vous en suivant les option de configuration que vous voulez.

http://www.easyvmx.com/

Chiffrement, Truecrypt

Stoned Bootkit : Premier Bootkit pour Truecrypt

Un commentaire

Stoned BootkitVoici Stoned Bootkit, le premier bootkit visant les OS Windows entiÚrement chiffré avec Truecrypt.

Stoned remplace le bootloader de Truecrypt par le sien ce qui lui permet de se lancer avant l’OS chiffrĂ© puis de lancĂ© l’OS avec le mot de passe que l’utilisateur rentre. Un attaquant peut donc lancer des programmes avant le dĂ©marrage de Windows et ainsi rendre vulnĂ©rable l’OS chiffrĂ©. Ce bootkit fonctionne avec TC 6.x et presque tous les Windows 32bits de 2000 Ă  la RC de 7. Stoned ne peut fonctionner qu’avec les BIOS traditionnels. Les nouveaux BIOS EFI ne sont pas vulnĂ©rable.

Toutefois Stoned Vienna n’a que 2 de façon de s’installer :

  • Soit un attaquant Ă  les droits administrateurs pour rĂ©Ă©crire la MBR afin de s’y installer. Ce qui veut dire que l’OS chiffrĂ© est dĂ©jĂ  compromise.
  • Soit un attaque a un accĂ©s phyique Ă  la machine et peut installer stoned bootkit directement dans la MBR.

Et c’est justement ces 2 contraintes qui ont crĂ©er la polĂ©mique entre Peter Kleissner et l’Ă©quipe de Truecrypt.  Voici toute l’histoire :

Continuer la lecture de Stoned Bootkit : Premier Bootkit pour Truecrypt

Chiffrement

L’AES optimisĂ© dans les Intel Westmere

Un commentaire

Je viens de tomber sur une news concernant les premiers test rĂ©alisĂ© sur la future gĂ©nĂ©ration de processeur Intel les i3 et i5. Du fait d’un moteur de chiffrement AES embarquĂ© au processeur, les performance en chiffrement/dĂ©chiffrement sont considĂ©rablement amĂ©liorĂ©. Le FDE se rapproche doucement mais surement 🙂

corei3aes

L’article ici.Je viens de tomber sur une news concernant les premiers test rĂ©alisĂ© sur la future gĂ©nĂ©ration de processeur Intel Westmere les futur i3 et i5 en 32nm. Du fait d’un moteur de chiffrement AES embarquĂ© au processeur, les performance en chiffrement/dĂ©chiffrement sont considĂ©rablement amĂ©liorĂ©. Le FDE se rapproche doucement mais surement 🙂

corei3aes

L’article ici.

Chiffrement, Truecrypt

Hidden Operating System

7 commentaires

truecrypt-iconJe présentais le concept de Hidden Operating System dans ce billet. Je vais à présent faire un tuto pour expliquer comment le mettre en place.

Introduction

Dans le cas d’une utilisation d’un systĂšme d’exploitation chiffrĂ© mĂȘme si l’affichage de l’Ă©cran Truecrypt de prĂ©-boot est masquĂ© par un autre message, par exemple « Missing operating system », il suffit de dumper la MBR pour voir que le boot est gĂ©rĂ© par Truecrypt.
Il devient donc possible pour un attaquant de forcer l’utilisateur Ă  rĂ©vĂ©ler le mot de passe du systĂšme d’exploitation chiffrĂ© Ă  grand coup de rubber hose cryptanalyse.

Le principe de l’Hidden Operating System, est de cacher le SystĂšme contenant des fichiers confidentiel dans un volume cachĂ©. L’ordinateur aura donc 2 OS, dans 2 partitions diffĂ©rentes. Une OS leurre, et une OS confidentiel.

Continuer la lecture de Hidden Operating System

Pages : 1 2 3 4
RĂ©seau, Windows 7, Windows Server, Windows Vista

Netsh : Changer la configuration réseau en ligne de commande

Laisser un commentaire

Netsh est un utilitaire bien pratique inclus dans tous les Windows, depuis Windows 2000.
Il permet de changer la configuration de l’interface rĂ©seau en ligne de commande.

netsh interface ip set address « Description » static %adresse% %netmask% %gateway% %metric%

  • Description : texte dĂ©crivant le nom de la connexion
  • %adresse% : l’adresse IP
  • %netmask% : le masque de sous-rĂ©seau
  • %gateway% : l’adresse IP de la passerelle
  • %metric% : la metric de la carte rĂ©seau (en gĂ©nĂ©rale = 1)
  • %DNS% : l’adresse IP du serveur DNS

Réinitialisé la pile TCP/IP

netsh interface ip reset C:\resetlog.txt

Exemple configuration IP Fixe

netsh interface ip set address « Réseau local » static 192.168.10.20 255.255.255.0 192.168.0.10 1

Exemple configuration IP dynamique (DHCP)

netsh interface ip set address « Description » dhcp

Exemple configuration des serveurs de noms (DNS)

netsh interface ip set dns « Description » static %DNS%

Netsh est un utilitaire bien pratique inclus dans tous les Windows, depuis Windows 2000.
Il permet de changer la configuration de l’interface rĂ©seau en ligne de commande.

netsh interface ip set address « Description » static %adresse% %netmask% %gateway% %metric%

  • Description : texte dĂ©crivant le nom de la connexion
  • %adresse% : l’adresse IP
  • %netmask% : le masque de sous-rĂ©seau
  • %gateway% : l’adresse IP de la passerelle
  • %metric% : la metric de la carte rĂ©seau (en gĂ©nĂ©rale = 1)
  • %DNS% : l’adresse IP du serveur DNS

Réinitialisé la pile TCP/IP

netsh interface ip reset C:\resetlog.txt

Exemple configuration IP Fixe

netsh interface ip set address « Réseau local » static 192.168.10.20 255.255.255.0 192.168.0.10 1

Exemple configuration IP dynamique (DHCP)

netsh interface ip set address « Description » dhcp

Exemple configuration des serveurs de noms (DNS)

netsh interface ip set dns « Description » static %DNS%

Chiffrement, Tchunt

TCHunt sort en version 1.3

Laisser un commentaire

TCHunt 1.3 est la derniĂšre version du bĂ©bĂ© des petits malin de 16systems. Pour l’anecdote elle est sortie le 4 juillet, jours de la fĂȘte nationale aux USA. Si vous ne savez pas ce que c’est lisez ça.

Toujours pas de changelog, mais on peut noter que l’interface graphique continue de se simplifier avec l’ajout d’une fonction d’export et de sauvegarde des rĂ©sultant en HTML respectant l’ISO 8601.Quelques screenshot de la version US marquĂ© 1.2, mais c’est bien la 1.3.

Continuer la lecture de TCHunt sort en version 1.3

Chiffrement, Sécurité, Truecrypt

Les FLOPS, les clés et la taille des mots de passe

5 commentaires

En matiĂšre d’attaque par force brute il faut bien diffĂ©rencier l’attaque sur le mot de passe que tapent l’utilisateur et l’attaque sur la clĂ© qui est issus du mot de passe. L’attaque par force brute consiste Ă  utiliser une trĂšs grande puissance de calcul pour essayer toutes les combinaisons possible d’une chaine donnĂ©e. Les supercalculateurs quantique n’étant encore que des objets de recherche ils ne feront pas l’objet de cette dĂ©monstration.

Comme il a Ă©tĂ© dĂ©jĂ  dĂ©montrĂ©, une clĂ© s’obtient par le calcul de 3 Ă©lĂ©ments : Le mot de passe, la salt et des itĂ©rations. La prĂ©sence de SALT empĂȘche l’utilisation de rainbow table, et les itĂ©rations permettent de ralentir la gĂ©nĂ©ration de la clĂ©. Ce billet ne prendra pas en compte les ItĂ©rations et le type de Hash dans le calcul du mot de passe. Cela sera fait dans un prochain billet.

Continuer la lecture de Les FLOPS, les clés et la taille des mots de passe