Dis maman, comment les keywords aident les pirates ?

Contrairement à de nombreuses idées reçues, la majorité des intrusions informatiques ne relèvent ni de magie noire, ni de prouesses techniques exceptionnelles. Non, c'est beaucoup plus simple : la faille est dans l'humain qui est derrière l'écran. Un peut d'astuce, d'espièglerie ... et beaucoup d'imagination suffisent amplement. Et avec un bon moteur de recherche en plus, ça ne fait pas de mal.

La principale faiblesse vient des mots de passe, bien trop faciles à deviner. On peut alors utiliser les moteurs de recherche pour différentes choses. Tout d'abord, les pages de login contiennent souvent des phrases types, jamais modifiées, permettant de les repérer facilement en fonction de l'application :

pour le webmail squirrelmail : inurl:login.php "SquirrelMail version"
pour des serveur Microsoft Exchange : allinurl:"exchange/logon.asp"
pour le call manager de Cisco : intitle:"Cisco CallManager User Options Log On" "Please enter your User ID and Password in the spaces provided below and click the Log On button to continue." -edu (essayer sans le -edu final pour voir la différence)

Bon, c'est bien d'avoir des pages pour se connecter, mais c'est encore mieux d'avoir des listes d'utilisateurs ou de mots de passe si on n'en trouve pas de valides. Aucun problème, Google et les autres sont là pour nous aider :

pour le serveur ProFTPD : filetype:conf inurl:proftpd.conf -sample -inurl:manuals
pour le client ssh PuTTY : filetype:log username putty
pour les sites web, en utilisant les formualaires de statistiques de visites de webalizer : Google for: +intext:"webalizer" +intext:"Total Usernames" +intext:"Usage Statistics for"

On sait maintenant où se connecter, avec quels comptes, il reste à trouver des mots de passe :

à peine croyable, et pourtant : inurl:passwd.txt
trouver des listes de login / mot de passe sauvegardés dans un ficher excel (et sur Internet) : "login: *" "password= *" filetype:xls
les fichiers backups pour les fichiers usuels : filetype:bak inurl:"htaccess|passwd|shadow|htusers"

Il est maintenant possible d'auditer les sites web en imitant toutes ces recherches grâce au mot clé "site". En le plaçant dans une requête, le moteur de recherche se limite au site mentionné, et tous ses sous-domaines. Par exemple, une recherche avec "site:gouv.fr" ira chercher dans tous les sites gouvernementaux français, aussi bien le ministère de la défense que les impôts.

Mais parfois, le site visé est hébergé sur un serveur mutualisé, c'est-à-dire un serveur qui contient plus sites web. Pour découvrir tous les sites web présents sur une même adresse, MSN propose le mot clé "ip". Ainsi, pour connaître les autres serveurs hébergés sur delation-gouv.fr, on entre la requête "ip:213.186.33.2", où 213.186.33.2 est l'adresse IP associée à delation-gouv.fr. Si un attaquant ne parvient pas à rentrer par le site qu'il vise, il pourra alors passer par un voisin.

Dernier recours d'un attaquant, quand tout le reste échoue, il cherche à exploiter une faille. Là, ça demande parfois de bonnes compétences, la première difficulté étant de trouver la vulnérabilité. Mais les moteurs de recherche sont également utiles pour cela afin de signaler les failles connues dans les logiciels installés sur les serveurs web. Par exemple, s'il y a une faille dans le logiciel XYZ, la chaîne "powered by XYZ" est souvent caractéristique. Il est possible de renforcer cela en utilisant aussi "inurl" ou "intitle" si on connaît des fichiers ou expressions caractéristiques (cf. les pages de login).

Bien évidemment, il ne faut pas attendre longtemps pour les concepteurs de vers informatiques voient tout l'intérêt d'utiliser ce type de requêtes dans leurs créations. Par exemple, le ver Santy, a utilisé Google pour trouver où se propager. Comment ? En fait, un ver informatique profite d'une vulnérabilité dans un logiciel pour se reproduire sur le site distant. Là, il s'agissait du forum phpBB et la requête allinurl:"viewtopic.php" "topic=31337" indique de nouvelles cibles : viewtopic.php est la page contenant la vulnérabilité

Nous venons de voir qu'il est possible d'utiliser les moteurs de recherche à des fins malicieuses, voire carrément offensives. Mais on peut aussi l'utiliser pour trouver des sites compromis, ou servant de bases à des pirates informatiques et autres chevaux de Troie. Souvent, ces malotrus placent sur des serveurs web déjà compromis les outils qui leur serviront à poursuivre leurs intrusions. Les auteurs de ces outils laissent, volontairement ou non, leur signature. Ainsi, dans un cheval de Troie très actif il y a quelques temps, on trouvait quelques spécificités permettant de le repérer partout sur Internet :

la page html l'installant avait un titre spécial : intitle:tt2.swi
et le programmeur avait gentiment signé son logiciel :"Programmed by Kadir BASOL"

Mais d'une manière plus générale, on peut en trouver un certain nombre avec la requête intitle:"hacked by" ...

Encore une fois, un moteur de recherche n'est qu'un outil dont tout le monde peut se servir, mais ce sont les mains et le cerveau derrière le clavier qui font la différence.

Mum, how to use keywords for intrusion?

We have previously seen how to use keywords to retrieve hidden information, or at least information which was not supposed to be publicly accessible on the Internet. This time, we will focus on information found by search engines which can be very helpful to intrude into computer systems. This is possible thanks to the investigation capacity of search engines. This threat is rarely considered by webmasters as they think a well-hidden page is enough to protect them.

Conversely to what is usually though, most of network intrusion are neither black magic nor technical exploits. In fact, it is much simpler: the weakness is in the human behind the screen. Some monkey tricks, a bit of naughtiness, ... and lots of imagination are enough. But a search engines (SE) can also be very helpful!

The main weakness comes from the passwords used by humans, as they are really (too) easy to guess. We can there rely on SE to help us. First of all, we need to find where to login. These login pages are accessible through Internet, and contains some sentences which are almost never changed by the admins. They are thus very easy to spot, depending on the application used:

for the webmail squirrelmail : inurl:login.php "SquirrelMail version"
servers Microsoft Exchange : allinurl:"exchange/logon.asp"
for the call manager made by Cisco : intitle:"Cisco CallManager User Options Log On" "Please enter your User ID and Password in the spaces provided below and click the Log On button to continue." -edu (try without the last -edu and check the difference).

It is good to know where to log in, but in order to succeed, we need both user accounts and passwords. No problem, Google and others will help us. Let us start with the accounts:

for the server ProFTPD : filetype:conf inurl:proftpd.conf -sample -inurl:manuals
for the ssh client PuTTY : filetype:log username putty
for web sites, based on statistics tools, like webalizer: Google for: +intext:"webalizer" +intext:"Total Usernames" +intext:"Usage Statistics for"

We know where to login, with what account. We now need to find the passwords:

unbelievable but tryinurl:passwd.txt
find list of accounts/passwords saved in excel files (and available on Internet) "login: *" "password= *" filetype:xls
backups for usual files: filetype:bak inurl:"htaccess|passwd|shadow|htusers"

It is also possible to restrict the research to some website using keyword "site". Thanks to it, the research is limited to the site and its subdomain. For instance, using "site:gouv.fr" will focus the research to the French government related sites, from defense to education or taxes.

Sometimes, the targeted site is hosted on a server, but the host is shared by several firms. To discover what other sites are on the same host, MSN has the keyword "ip:" So, for instance, to know who shares delation-gouv.fr, we use the query "ip:213.186.33.2", where 213.186.33.2 is the IP address of delation-gouv.fr. If an attacker can not get into the targeted site, he can then try to intrude by a side door, a neighboring site.

Lastly, when everything else fails, an attacker needs to exploit a flaw. Sometimes, one needs to have special knowledge to that, but the first difficulty is to find the flaw. The SE are also helpful in order to find sites where a given (and known) flaw is present. For instance, if a software called XYZ has a weakness, the string "powered by XYZ" is like a signature to check where this software is installed. Combining such kind of signature with keywords like "inurl" or "intitle" can be really efficient (see for instance the previous examples about login pages).

Of course, we did not had to wait long to see network worms using the SE in order to propagate. For instance, worm Santy was relying on Google to find sites where it could exploit a flaw to replicate itself. It was targeting phpBB forums with the query allinurl:"viewtopic.php" "topic=31337" gives new vulnerable sites (viewtopic.php was the page containing the flaw).

We have seen how a SE can be used maliciously, or even in offensive ways. But it can also be used to find already compromised systems, or those serving of lair to pirates of the Internet or trojan horses. Pirates often used compromised web sites to save their tools and download them later when they need it. Sometimes, the writers of the tools have left signature, willingly or not. A few months ago, a very active trojan horse was easy to spot:

the page html embedding it had a specific title: intitle:tt2.swi
the creator had left his name in his software: "Programmed by Kadir BASOL"

More generally, the query intitle:"hacked by" gives many answers...

Once again, a search engine is a tool everybody can use. But these are the hands and brain manipulating the tools which make the difference.

Commentaires / Comments

1. Le lundi 4 juin 2007 à 14:46, par azerty

Une page HTML ne peut pas installer du code sur un serveur. L'article est très très mauvaise qualité et surtout dépassé, dommage...

2. Le lundi 4 juin 2007 à 15:15, par Fred R.

@azerty: ca veut dire quoi "une page HTML ne peut pas installer du code sur un serveur." ??? Quant au reste, je te garantie qu'on obtient encore bcp de résultats avec ce type de recherche. Ceci étant dit, la vocation de ces billets n'est pas de montrer comment pirater tout Internet (et ça ne le sera jamais). Enfin, tu verras que les articles de la série vont en progressant pour couvrir différents aspects. Là, on a parlé des moteurs de recherche, des keywords (2 fois), à suivre maintenant ;-)

@everybody: sorry for the technical issue which is now fixed (******* html not closed).

3. Le lundi 4 juin 2007 à 15:38, par Opticien lunetier

Merci, j'aime beaucoup vos articles sur l'utilisation des keywords google.

4. Le lundi 4 juin 2007 à 18:40, par Youri

Comme vous avez pu le constater, Googlinside s'est doté d'experts techniques nous permettant d'en savoir plus sur le fonctionnement de la "matrice".

Un grand merci à Fred et François pour leurs articles de qualité!

5. Le lundi 4 juin 2007 à 20:24, par cr0vax

@azerty : va apprendre la définition du terme PHP, et reviens voir quand tu auras compris comment tout cela fonctionne ...

6. Le mardi 5 juin 2007 à 04:06, par Francois G

Je confirme que la phrase "Une page HTML ne peut pas installer du code sur un serveur." ne veut strictement rien dire du tout.

Je veux bien admettre que le javascript s'execute du cote client ou encore que le php s'execute du cote serveur. Mais de la a INSTALLER du code sur un serveur a partir d'une page HTML...

Le pire c'est qu'on ne parle pas du tout de tout ca dans l'article.

Et surtout, je ne vois pas en quoi l'article est de mauvaise qualite, tout ce qui est explique ici marchait, marche et marchera encore des annees.

En conclusion, je pense que ce commentaire etait destine a un autre blog et a ete "copy-paste" ici par erreur :-)

Francois, qui s'excuse des accents absents sur clavier qwerty...

7. Le mardi 5 juin 2007 à 11:24, par azerty

Bon alors, je m'explique.
1° Pour commencer PHP n'est pas un terme, c'est une technologie... Je ne vois pas dans quel context, cr0vax, fait tu apparaitre ceci. Nous parlons de moyens pour rechercher de l'information et non de technologie coté serveur.
2° En reprenant la phrase de l'auteur "...servant de bases à des pirates informatiques et autres chevaux de Troie", je pense que l'auteur confond pirate et cheval de troie...
3° "Les auteurs de ces outils laissent, volontairement ou non, leur signature. Ainsi, dans un cheval de Troie très actif il y a quelques temps, on trouvait quelques spécificités permettant de le repérer partout sur Internet...", l'auteur ne confont-il pas les traces laissées par les outils pour forcer le système et les traces laissées par le pirate par orgueil ?
4° "la page html l'installant avait un titre spécial : intitle:tt2.swi", on parle bien du cheval de troie ? un page HTML n'install pas code sur un serveur voyons...
Je vous laisse le soin de réagir.

8. Le mardi 5 juin 2007 à 11:37, par cr0vax

Une page HTML est généré de plusieurs façon, notamment au moyen de PHP, si tu en savais un peu plus long sur le cheval de troyedont on parle, tu verrais ...

9. Le mardi 5 juin 2007 à 11:46, par azerty

Prouve moi le rapport entre PHP et Cheval de troie.
Au vue de la force que tu mets à parler de ceci tu dois la maitriser parfaitement, tu nous le montre ?

10. Le mardi 5 juin 2007 à 12:42, par Fred R.

Alors je reprends, précise et réponds point par point ...

1. On va plus loin que juste chercher de l'information puisqu'on cherche (et trouve) aussi bien de vulnérabilités que des sites déjà compromis. Ceci dit, puisque tu aimes pinailler, je reconnais que tu n'as pas tort : une vulnérabilité présente sur un serveur ou un site compromis, ça consitue une information. Mais bon, tout constitue une information ...

2. Je ne confonds absolument rien. Certains sites (web, ftp ou autres) servent de base (cad de lieu où "ils" déposent/récupérent des outils et fichiers) aussi bien à des pirates (humains) qu'à des chevaux de Troie (programmes). Quand tu sais quoi chercher, tu en trouves des tonnes de part le net grâce aux moteurs de recherche.

3. Que de subtilités ! Alors soyons subtil. Les traces dont je parle dans ce cas sont celles laissées par le cheval de Troie (les pages web, cf. point suivant) et non par l'intrusion elle-même. On est bien dans une phase post-intrusion ! Quant à différencier les traces liées à l'orgueil et les "empreintes techniques", pourquoi pas si tu m'en montres l'intérêt ? Ok si on veut faire du profiling de pirate ... mais avec le peu d'information que j'ai mis dans cet article, tu as déjà fini : l'orgueil. Bravo, tu es champion de profilers ;-)

4. Je n'ai pas voulu rentrer dans trop de détails, le billet étant déjà assez long mais puisque ce n'est pas clair (et que tu ne comprends pas ce dont je parle), je vais reprendre.
Il y a sur le net des tonnes de serveurs. Un sous-ensemble non négligeable de ces serveurs est vulnérable à tout un tas de failles qui font que des pirates entrent dessus en toute illégalité. Une fois qu'ils sont dessus, plein d'options s'offrent à eux : tout casser, inclure le serveur dans un botnet ... ou comme c'est le cas ici, s'en servir pour compromettre d'autres machines. Dans l'exemple que je prends, le serveur sert une page (tt2.swi) qui accompagne une autre page contenant une applet malicieuse. Ainsi, quand un visiteur vient sur le serveur, l'applet est exécutée sur le client, plus ou moins à son insu, et compromet le client.
Donc effectivement, tu es pertinent : "une page web n'installe pas code sur un serveur voyons ..." puisque c'est sur le client (le serveur est compromis auparavant / autrement).

Merci azerty pour ta lecture attentive, ton exigence de rigueur et ton sens de la subtilité ...

@cr0vax: je n'ai effectivement pas détaillé plus que ça le cheval de Troie en question car, outre la longueur du billet, je pense que c'est hors-sujet par rapport au blog. Ceci dit, j'en ai une analyse complète pour ceux qui sont intéressés. Contactez moi et je vous la transmets.