Le fourre-tout à Geo

Aller au contenu | Aller au menu | Aller à la recherche

Tag - Windows

Fil des billets - Fil des commentaires

dimanche, novembre 8 2009

HowTo: audits et logs

Par Geoffroy Couprie le dimanche, novembre 8 2009, 18:15 - Sécurité

Les logs, c'est une liste de messages datés vous indiquant ce qui se passe sur votre système (pour ceux qui ne le savaient pas).

On va me dire: "les logs c'est pas de la sécu, ça protège rien". Et je vais répondre: "est-ce que vous savez si quelqu'un a essayé de se logguer sur votre machine aujourd'hui? Est-ce que cette personne a essayé de se connecter devant la machine, ou depuis le réseau?"

Gérer ses logs, c'est savoir ce qui se passe sur sa machine et être alerté en cas de problèmes. Et puis ça alimente ma paranoïa, donc je suis content :)

J'écris ce billet maintenant car dans les billets suivants, j'ajouterai des éléments aux logs. Si on sait comment ça marche dès le début, la pilule passera mieux.

Allez, on va voir de quoi ça parle: tout d'abord, on va se rajouter les droits pour regarder les logs, parce que depuis l'article précédent, on n'a plus les droits d'admin :). Lancer la console "Local users and groups" (lusrmgr.msc), allez dans Groupes, puis Event log readers, clic droit et Add to group. Rajoutez votre utilisateur. Maintenant, vous pouvez lancer la console de gestion des logs.

L'event viewer

"Démarrer->exécuter" puis eventvwr.msc. Vous pouvez voir plusieurs types de logs.

  • Custom views: les autres logs passés au travers de filtres pour indiquer les infos qui vous intéressent
  • Windows logs: les logs qui nous intéresseront ici. Tous les messages que Windows vous dépose gentiment, en espérant que vous les lirez...
  • Applications and services logs: le reste des applications qui utilisent les logs de Windows.
  • Subscriptions: pour récupérer des logs d'une autre machine.

Parmi les logs de la section Windows, on trouve:

  • Applications: reçoit les événements concernant les applications, comme les crashes (Windows Error Reporting)
  • Security: on ne peut le voir qu'avec les droits d'admin (va falloir Run as Administrator la console de logs, parce que c'est celui qu'on va regarder).
  • Setup: reçoit les événements de mise à jour, installation de .msi, etc.
  • System récupère les événements relatifs aux services, au kernel, etc.
  • Forwarded events est lié à l'envoi de logs sur d'autres machines

events categories

Prenez le temps de fouiner un peu, regarder quelles informations votre machine vous renvoie. Comme vous pouvez le voir, il se passe beaucoup de choses!

Rajoutons des événements

Supposons que je veuille vérifier si quelqu'un a tenté de se connecter à ma machine en mon absence. Je vais vérifier si quelqu'un a tapé un mauvais mot de passe, et je vais vérifier quel utilisateur a réussi à se logguer au cours de la journée.

Lancez secpol.msc. Allez dans Local Policies puis Audit Policy. Choisissez par exemple Audit account logon events et indiquez Failure et Success dans les propriétés.

secpol.msc

Essayez maintenant de vous connecter à un autre compte, en ratant délibérément le mot de passe. Vous verrez apparaître dans les logs Security des lignes contenant le mot clef "Audit failure" pour la tâche "Credential validation". Cliquez sur l'une d'elles: vous verrez que le log indique la date, l'heure, la machine concernée et le compte qui a essayé de se logguer.

login failed

Marrant, non? Et on va peut rajouter des logs pour pas mal de choses. Suppsons que j'aie des documents compromettants (par exemple, la photo d'un prez de BDE complètement bourré). J'aimerais savoir si quelqu'un a essayé de la copier. Je vais donc ajouter un audit sur les accès à ce fichier, et donc afficher une ligne dans les logs si quelqu'un essaie d'ouvrir le fichier.

Il suffit d'aller dans le dossier contenant ce fichier, clic droit puis Propriétés -> Advanced -> Auditing et utiliser ses droits d'admin pour voir les propriétés d'audit.

auditing

Maintenant, on va ajouter des propriétés d'audit pour ce fichier. Je choisis de les mettre sur le groupe Users. Je veux auditer les accès en lecture, et les suppressions de fichier (au cas où quelqu'un voudrait faire disparaître les preuves de ses frasques). Vous pouvez voir de nombreuses options, le système d'audit est très flexible (peut-être trop pour être utilisé par une personne normale).

auditing entries

Maintenant, on va essayer d'ouvrir le fichier, et aller voir le contenu du log. L'event viewer nous indique que "an attempt was made to access an object", par Geal (moi), sur le fichier en question.

log file access

Et voilà! Maintenant, vous allez pouvoir en ajouter beaucoup plus! Il est possible d'auditer des clefs registre, l'usage de privilèges admin, le lancement de programmes, etc. Je proposerai quelques-uns de ces ajouts dans les prochains tutoriels.

Notez bien que la génération des logs peut prendre pas mal de ressources et d'espace disque, donc évitez par exemple de mettre un audit sur toutes les lectures de fichiers sur c:\ et ses sous dossiers (j'ose même pas imaginer ce que ça donne pendant une compilation de vlc).

aucun commentaire aucun rétrolien

lundi, novembre 2 2009

HOWTO: la sécurité au quotidien

Par Geoffroy Couprie le lundi, novembre 2 2009, 08:30 - Sécurité

Je vois partout les mêmes recommandations: utilisez un antivirus, activez votre firewall, changez vos mots de passe régulièrement, ne cliquez pas sur n'importe quel lien, etc. J'en ai MARRE! On vous sort ces solutions à deux sous, qui ne font qu'adresser une partie du problème, qui est:

comment éviter à un boulet de perdre ses données, de se faire voler son n° de carte bleue ou son compte Facebook ou de servir de noeud dans un botnet? Et comment rendre ça user friendly (aka "éviter d'écrire le mot de passe sur un PostIt").

Je me lance dans une entreprise ambitieuse, qui consiste à trouver une série de solutions qui vont bien ensemble pour protéger une machine perso. Je ne parlerai pas de machines sur un réseau d'entreprise, mais j'aborderai éventuellement les problèmes du réseau @home et du WiFi, et de mobilité. Ah, et il s'agira uniquement de Windows: les utilisateurs Linux sont encore pas mal protégés, et les utilisateurs Mac n'écoutent pas quand on leur dit qu'ils ne sont pas à l'abri. Mes tests seront faits sous Windows 7 et Vista (XP si je combats la flemme de m'installer une autre machine) avec toutes les mises à jour effectuées (bien évidemment, si vous ne mettez pas à jour votre OS pour cause de paranoïa et/ou de piratage, je ne peux rien faire pour vous).

J'écrirai une série de billets, sous la forme de tutoriels et/ou tests, sur les sujets suivants:

  • Utilisateurs et groupes d'utilisateurs
  • Logs
  • Mots de passe
  • Droits (UAC, LUA, Integrity Levels, SRP)
  • Firewall
  • Navigateurs
  • virus, chevaux de troie, etc.
  • Applications dangereuses et leurs alternatives
  • Protection des applications
  • Applications web
  • Sauvegarde de données
  • Mises à jour

J'essaierai (dans la mesure du possible) de rendre ces solutions faciles à mettre en place, (ça va être dur) pas trop restrictives à l'utilisation et bien intégrées dans L'OS (aka "pas de hook foireux qui traînent").

aucun commentaire aucun rétrolien

Utilisateurs et groupes

Par Geoffroy Couprie le lundi, novembre 2 2009, 08:30 - Sécurité

Pour ce premier tutoriel sur la protection de votre machine, on va parler des notions d'utilisateurs et de groupes d'utilisateurs dans Windows. Oui, ça existe, on n'est pas obligé de prendre le compte "Administrateur" pour pouvoir utiliser sa machine.

Pourquoi est-ce que tout le monde tourne sous le compte admin de sa machine? Parce que c'est plus simple pour le constructeur de vous donner le compte admin et vous laisser pourrir votre machine, que de vous donner plusieurs compte et ainsi s'exposer aux nombreux appels de clients en colère parce qu'ils n'arrivent pas à installer une application. Et c'est aussi plus simple, vu que pas mal d'applications supposent encore qu'elles peuvent écrire dans C:\Program Files.

Que va-t-on faire aujourd'hui? Pas compliqué: on va créer deux comptes utilisateurs: un "normal", que vous pourrez utiliser tous les jours, et un compte "Administrateur" qui vous permettra d'effectuer certaines tâches nécessitant plus de droits comme l'installation d'applications.

Tout d'abord, lancez la console de gestion des "Local users and groups" en allant dans Démarrer->exécuter et en tapant lusrmgr.msc.

Local Users and Groups

Cliquez sur le dossier Users (ou Utilisateurs si vous aimez votre version française). Vous devriez maintenant voir une liste de comptes, dont Administrator (qui est pour l'instant désactivé), Guest, le (les) vôtre(s), ainsi que AlphaUser$ et HomeGroup$ si vous avez créé un Homegroup (c'est pas particulièrement important pour le moment).

Users

Ce que l'on va faire maintenant:

  • Désactiver le compte Guest (si c'est pas déjà fait)
  • Activer le compte Administrateur
  • Ajouter un mot de passe au compte Administrateur
  • Retirer votre compte du groupe Administrateurs

Très simple: clic droit sur les comptes, puis propriétés. Pour Administrateur, clic droit, puis changer le mot de passe, et indiquez un mot de passe de votre choix (non, on ne choisit pas "123456" ou "admin", c'est MAL), puis à nouveau clic droit, propriétés et activez le compte. Pour Guest, faites l'inverse (désactivez-le). Pour votre compte, clic droit, propriétés, puis allez dans l'onglet "Membre de". Cet onglet liste les groupes dont le compte fait partie. Cliquez sur Administrateurs puis cliquez sur Retirer.

Member of

Voilà, c'est fait! Bon, euh, qu'est-ce qu'on a fait en fait? Avant, vous pouviez, avec votre compte normal, installer des applications, supprimer des fichiers de C:\Windows,tripoter votre base de registres, etc. XP ne vous indiquait même pas que vous alliez bousiller votre système. Vista et 7 vous montraient la fameuse fenêtre UAC vous demandant si vous vouliez vraiment faire une connerie. Maintenant, cette fameuse fenêtre va vous demander de vous identifier avec le compte Administrateur pour aller trifouiller dans votre système.

Oui, je sais, ça paraît relou. Mais vous verrez que 90% du temps, on n'a pas besoin des droits d'Administrateur (surtout depuis Windows 7). Avec cette modification, si une application ressent tout à coup le besoin d'aller vous installer des cochonneries, vous serez averti!

Quid de l'UAC? C'est pas une protection! Lorsque vous utilisez avec votre compte de base, vous avez deux casquettes: celle de l'utilisateur normal, et celle de l'administrateur. Lorsque vous voulez effectuer une action nécessitant plus de droits, Windows vous demande de changer de casquette. Certains programmes changeront même votre casquette sans vous demander... Avec la manip' que vous venez de faire, Windows vous demande systématiquement l'autorisation de l'administrateur :)

Ah, et un effet de bord sympa: c'est pas n'importe qui qui peut installer une application derrière mon dos quand je le laisse utiliser mon ordi cinq minutes (valable aussi et surtout si vous avez des gosses).

Bon, manifestement, c'est pas fini, on peut encore faire pas mal de conneries sur ma machine, avec suffisamment de motivation. On en rajutera dans le prochain article :)

2 commentaires aucun rétrolien

mercredi, octobre 28 2009

test d'EMET, un nouvel outil pour protéger vos programmes

Par Geoffroy Couprie le mercredi, octobre 28 2009, 15:50 - Sécurité

L'annonce est parue hier sur le blog de Microsoft Security Research & Defense: la release d'EMET(Enhanced Mitigation Evaluation Toolkit), un outil gratuit permettant d'appliquer des protections comme DEP sur vos programmes.

Jusqu'ici, l'ajout de ces protections était soumis au bon vouloir du développeur. Soit on activait les options dans Visual Studio, soit on utilisait ma bidouille avec peflags. EMET permet d'activer les protections chez vous, sur les processus que vous voulez de façon très simple: EMET_conf --add <executable>. Quel que soit le dossier contenant votre programme, EMET se chargera de le lancer avec les protections choisies.

EMET gère ainsi une liste de processus et leur apporte les protections suivantes:

  • SEHOP (Structured Exception Handler Overwrite Protection): validation de la chaines des gestionnaires d'exception
  • DEP (Data Execution Prevention): marque certaines parties de la mémoire, par exemple la stack, comme non exécutables
  • NULL page allocation: protection contre les "NULL dereferences" en résevant la première page mémoire
  • Heap spray allocation: "heap spray" est une attaque qui consiste à balancer du shellcode un peu partout dans la mémoire, et à sauter plus ou moins au hasard dans les zones mémoires affectées en espérant pouvoir exécuter le shellcode. EMET réserve les adresses mémoire généralement utilisées dans les exploits pour les empêcher d'y écrire.

Bon, maintenant, les critiques (j'ai bien appris la présentation classique thèse/antithèse/synthèse à l'école, maintenant, j'applique!):

  • J'aurais bien aimé voir ASLR(Address Source Layout Randomization) là-dedans, parce que ça va bien avec DEP et SEHOP.
  • On ne peut pas choisir quelle protection on applique à quel binaire: les options sont dans des clefs registres dans HKLM/Software/Microsoft/EMET, et quand on en désactive une, on la désactive pour tous les programmes. Par contre, il y a une clef registre assez fun nommée "heap_pages", qui permet d'indiquer à EMET quelles adresses réserver pour la partie heap spray allocation.
  • Ce serait sympa d'avoir une interface "oh, look, shiny!", même si ça sert à rien :)

Comparé à peflags, EMET apporte la protection contre les null pointer dereferences et les heap sprays, et permet de protéger un exécutable en se basant sur son nom. Par contre, peflags permet d'appliquer les protections beaucoup plus finement (par exemple, SEHOP pour un programme et pas pour l'autre), et peut ajouter le flag ASLR (qui doit être appliqué sur toutes les DLLs chargées par un programme pour fonctionner correctement).

En résumé, un outil sympa, mais qui devrait être travaillé encore un peu. Ca reste un programme utile pour les développeurs qui veulent tester le comportement de leur application lorsque les protections sont activées. Dommage, c'est déjà fait avec VLC media player!

aucun commentaire aucun rétrolien

mardi, juin 23 2009

UAC fail... ou pas?

Par Geoffroy Couprie le mardi, juin 23 2009, 11:27 - Microsoft

Ca y est, le code source pour l'UAC injection est distribué, tout le monde se plaint, on a peur des virus autoélevés sous win, ouiiiin, ouiiin. Sauf moi! Parce que moi, contrairement à une majorité de gens qui se promènent sur internet, je vérifie un minimum avant de dire des sottises :P

L'UAC, pourquoi?

L'UAC (User Account Control) est un mécanisme introduit dans Windows Vista, qui sert à demander l'autorisation à l'utilisateur avant d'effectuer une action requérant des privilèges d'administrateur. Pourquoi créer un tel système, alors qu'on pouvait déjà utiliser Windows en standard user, sans droit admin, et se connecter en admin uniquement lorsqu'on en a besoin? PARCE QUE LES DEVELOPPEURS D'APPLICATIONS POUR WINDOWS SONT DES BOULETS.

A l'époque de Windows XP, de nombreuses applications avaient besoin de droits administrateur pour fonctionner, pour diverses raisons: écriture des fichiers de configuration dans Program Files, lecture/écriture de clés registre spéciales, modification de paramètres windows discrète... Du coup, pour que la plupart des applications fonctionnent, il fallait tourner constamment en administrateur. Là, je vois les manchots qui se gaussent, en disant que sous linux, y a pas ce problème... <troll>A l'époque où ce problème a été rencontré pour la première fois, personne n'utilisait Linux en desktop de toute façon</troll>. Enfin bref, pour Vista, Microsoft a décidé que ça commençait à bien faire, et que les développeurs devraient apprendre à se débrouiller sans les droits admin. Et la méthode choisie pour les forcer à changer leurs applications, c'est l'UAC. Ils ont supposé qu'en mettant plein de warnings ennuyeux, ils allaient pousser les développeurs à se prendre en main. Bien sûr, ça a provoqué un tollé, les développeurs se sont mis à blâmer Vista au lieu de se remettre en question, et même les entreprises "sérieuses" (avec de très gros guillemets) comme les créateurs d'antivirus se sont mises à conseiller aux gens de désactiver l'UAC... Bilan quelques années plus tard: les utilisateurs ne sont pas contents, mais la plupart des développeurs ont fini par se dire que demander à joe six pack de désactiver l'UAC, c'était déjà trop compliqué, donc ils ont du modifier leurs applications. C'est pas trop tôt!

L'UAC et la sécurité

Bon, alors, pourquoi, dans ce cas, a-t-on entendu pas mal de gens, dont des bloggers de chez Microsoft, dire que l'UAC était un mécanisme de sécurité? Parce que, eux aussi, ce sont des boulets! Mais là, c'est preque excusable, car les systèmes de sécu présents dans Windows sont assez complexes à comprendre, peut-être trop pour des gens qui font de la comm' et du marketing (10 contre 1 que ce sont eux qui ont choisi le bouclier pour l'icône). L'UAC n'apporte rien niveau sécu: l'autoélévation par injection ne sert à rien, quand il suffit de demander l'autorisation à joe six pack avec un prompt... Il y a bien l'UIPI, qui permet d'empêcher un programme qui tourne en low integrity d'envoyer des messages à un programme en medium ou high integrity, pour éviter les shatter attacks, mais c'est pas le moyen le plus propre et efficace de le faire. En gros, ne croyez pas que l'UAC va vous protéger. Même si vous la réglez sur le niveau maximum, ça reste un système mis en place pour empêcher les développeurs de se planter, pas pour éviter qu'un virus s'amuse sur votre machine (même sans être élevé, le virus pourra toujours se connecter à un botnet, lire vos fichiers, etc.).

La véritable amélioration apportée niveau sécurité par l'UAC, c'est que maintenant, beaucoup d'applications peuvent tourner sans droits admin, et peuvent donc être restreintes plus facilement, réduisant ainsi la surface d'attaque.

Comment se protéger, alors?

Il y a des systèmes très sympas, qui marchent bien, comme les Group Policies et les Software Restriction Policies, pour restreindre les applications non autorisées. Avoir un compte utilisateur ne faisant pas partie du groupe Administrateurs peut aider aussi. Vous pouvez utilisre des logiciels comme Sandboxie.

Encore une fois, ne croyez pas tout ce qu'on vous dit sur Internet. De nombreux bloggers se disent professionnels, mais bien souvent, leur professionnalisme consiste à être le premier à sortir un article, pas à vérifier ses sources. Si en plus, ils peuvent déclencher un bon gros troll, ça fera du traffic sur leur site, donc ils seront contents.

aucun commentaire aucun rétrolien