oSpy РEspionnez les trames (m̻me chiffr̩es) qui sortent de vos logiciels Windows
| Nb visites : 6 364 |
Lorsqu’on sniffe une connection https avec un sniffer comme Wireshark (anciennement Ethereal), tout ce qu’on observe dans les logs, c’est une bouillie chiffrée. Logique me direz vous.
Mais alors comment faire pour capter les paquets chiffrés en SSL qui transitent par votre carte réseau ? Il existe un petit soft portable baptisé oSpy qui récupère les trames à la source et en clair, c’est à dire directement au coeur des navigateurs ou applications qui communiquent en protocole chiffré. Ce genre d’outil permet d’analyser certains logiciels (compilés) afin de vérifier la nature des informations qu’ils transmettent (pour de l’analyse de malware par exemple), de debugger le comportement de certaines applications lorsqu’elles sont lancées dans un environnement protégé par un firewall ou encore de faire un peu de reverse engineering afin de mieux comprendre le fonctionnement de certaines API.
Le fonctionnement est très simple. Vous lancez le logiciel, vous attachez oSpy à un process (là je l’ai branché sur iexplore.exe , c’est à dire Internet Explorer) et en avant pour le snif…
Test sur le site d’une banque qui affiche bien le n° de compte et le password
Comprenez bien que vous ne pourrez rien pirater avec cet outil. Il est uniquement destiné à analyser ce qui se passe sur votre propre ordinateur, suite aux actions que vous faites. Donc rien d’illégal là dedans, je vous rassure.
Une connexion sur Yahoo! Mail
Vous pouvez télécharger oSpy ici et pour info, sur la droite, il y a plein de liens vers des petites vidéos « tuto » qui expliquent comment se servir du soft. Dans le même style, il existe aussi Fiddler qui si ma mémoire est bonne se greffe uniquement sur les browsers (donc un peu moins universel que oSpy). Bon debugging les amis !
Je vous recommande aussi la lecture des sujets suivants
- Générateurs…partie 14/24
- Cracker le mot de passe principal de Firefox
- Chiffrer un disque système Windows avec TrueCrypt
- Xplico Рcomment mieux visualiser le r̩sultat de vos sniffs
- Trouver le mot de passe BIOS d’un IBM ThinkPad
- Jarlsberg – Formez vous à la sécurité des applications web
- Accèder facilement à des sites internet interdits aux non américains comme Hulu…
- Changer un mot de passe Mysql root perdu
- La clé USB anti-porno
- Calculez en combien de temps peut être cracké votre mot de passe
Anto-rex
Rien d’illégal…sauf quand ce programme est propriétaire^^
Article L 122-6-1 du code de la propriété intellectuelle
Posté le 11 mars 2010 à 15:39:39
Manu
@Anto-rex:
Je ne suis pas certain qu’il soit interdit par la loi d’accéder à ses propres données transitant sur sa propre carte réseau. Bon en même temps je sais bien qu’on est victime de lois de dingues.
Posté le 11 mars 2010 à 15:49:06
mart
Donc pas de risque à avoir pour nos connexion SSL ?
Posté le 11 mars 2010 à 15:50:26
sebsauvage
@Anto-rex:
si si elle a le droit:
» III. La personne ayant le droit d’utiliser le logiciel peut sans l’autorisation de l’auteur observer, étudier ou tester le fonctionnement de ce logiciel afin de déterminer les idées et principes qui sont à la base de n’importe quel élément du logiciel lorsqu’elle effectue toute opération de chargement, d’affichage, d’exécution, de transmission ou de stockage du logiciel qu’elle est en droit d’effectuer. »
observer et étudier pendant l’éxécution sans l’autorisation de l’auteur.
Sinon toute la sécurité informatique française est à mettre à la poubelle.
Posté le 11 mars 2010 à 15:52:19
thnos
excellent cette trouvaille
merci
Posté le 11 mars 2010 à 15:59:53
Anto-rex
@Manu: le droit d’auteur devait servir à ce que les auteurs pauvres aient l’assurance d’être rémunérés…
aujourd’hui on l’utilise pour détruire les concurrents…
ou encore pour ça http://www.kewego.fr/video/iLyROoaftYKU.html
Posté le 11 mars 2010 à 16:02:10
neo-cortex
J’aime beaucoup
Wireshark(wpe pro aussi pour des truc plus « simple ») est génial et celui la complémente bien
Posté le 11 mars 2010 à 16:03:53
Jack
OK mais du coup il ne s’agit pas de trames, mais juste de messages entre processus (queues, RPC, paramètres via DLL…)
Il n’y a même aucun rapport avec le réseau là -dedans (puisque c’est indépendant du fait que les données sortent ensuite de votre machine ou pas).
Posté le 11 mars 2010 à 16:25:42
Korben
@Jack: effectivement. Il s’agit des messages (formés en post et get) qui sont interceptés juste avant de devenir des trames IP
Posté le 11 mars 2010 à 16:27:07
Jack
[relou activated]
@Korben : ou même en send
[relou deactivated]
Posté le 11 mars 2010 à 16:33:17
billy boy
et si ce programme (moddé) tourne en arrière plan, on risque pas de se faire piquer nos info ?
Posté le 11 mars 2010 à 16:50:15
Galork
Ah ouais c’est clairement sympa comme prog :p
Je me rappelle de wireshark que j’utilisais pdt mes études, mais avec celui là on peut encore plus faire mumuse ^^
Posté le 11 mars 2010 à 16:52:03
Korben
@billy boy: Si mais pas pire qu’un keylogger qui enregistre le mot de passe que tu tapes sur ton clavier
Posté le 11 mars 2010 à 16:53:56
Vivelestouristes
Ben moi ce qui ma choqué dans cette news c’est :
« (là je l’ai branché sur iexplore.exe , c’est à dire Internet Explorer) »
Posté le 11 mars 2010 à 16:59:43
GNU
si vous avez la clé du (de votre) serveur :
http://wiki.wireshark.org/SSL?highlight=%28ssl%29
Posté le 11 mars 2010 à 17:18:50
cedni
Et pour assassin creed 2 , lol ?
C est pas une incitation au piratage mais juste voir quel serveur ( regulierement en rade ) est contacté et blablabla
çà peut etre interessant aussi pour voir ce que font les extensions firefox
J aime bien ce genre de petit soft , en plus il te file le composant utilisé
Tu couples çà à winspy++ et c est du tout bon pour faire un peu de reverse
Posté le 11 mars 2010 à 17:24:19
ILP
En gros, pour faire un programme sécurisé, vaux mieux pas communiquer avec les API de cryptage du système et sécuriser les données à transmettre en interne.
Et en obfuscant bien la partie de cryptage pour compliquer la tâche si le cracker utilise un debuguer pour voir ce que le programme fait.
Posté le 11 mars 2010 à 18:05:30
Amaury
Ya pas besoin de le télécharger, Hadopi nous l’imposera bientôt ce truc, sauf qu’on en aura pas le controle et que les données seront envoyé au gouvernement :p
Posté le 11 mars 2010 à 20:52:44
Emralegna
Ce serait intéressant de l’utiliser sur les processus utilisé par Windows Update et certains jeux solo qui font quand même des requêtes IP à un serveur distant (et pas que Assassin’s Creed 2) alors qu’ils n’ont pas lieu d’être.
Posté le 11 mars 2010 à 20:53:41
3psyl0n
Je ne connaissais pas, Super News !
@korben :
- « Comprenez bien que vous ne pourrez rien pirater avec cet outil. »
- « @billy boy: Si mais pas pire qu’un keylogger qui enregistre le mot de passe que tu tapes sur ton clavier »
Sauf qu’a priori oSpy, n’est pas censé être recenser par un antiMalware.
Posté le 11 mars 2010 à 21:30:29
MikeZ
Ca va aider l’étude de malware ca !
Notamment contre les kevin qui chiffrent leur exécutables .NET (à debugger c’est la loose le dotnet,) pour pas que leur infos de compte Gmail (et donc PAR SSL ) où sont renvoyées les informations volées..
Euh, ca marche avec des exécutables .net ce truc?? Si comme je le suspecte ca hooke des api windows, on ne va pas tarder à le voir détecter par les antivirus tous débiles souvent dans ce cas !
Posté le 12 mars 2010 à 08:54:22
MikeZ
*pour pas que l’on sniffe leur login* pardon
Posté le 12 mars 2010 à 08:55:25
sebsauvage
@billy boy:
En fait (pour avoir bossé sur le système de paiement en ligne d’une banque), on a déjà vu des troyen s’insérer entre IE et la couche OpenSSL.
Résultat: Le troyen peut voir, intercepter et modifier à la volée toutes les pages (y compris les pages de logins), HTTPS ou pas, et le navigateur n’affiche pas la moindre alerte de certificats puisque c’est bien le certificat original de la banque qui est utilisé.
Et cette saloperie:
- connaît les pages de login de 200 banques.
- se met à jour quotidiennement par internet (vers des sites russes) pour s’adapter aux changement des sites des banques.
- envoie les infos de login en temps réel (donc même si vous utilisez un token RSA, leur système peut se loguer sur votre compte dans la même minute que le token reste valide).
- en prime, le cheval de troie est capable de masquer des lignes d’opération dans votre relevé de compte en ligne.
Tout ceci sert à utiliser les comptes d’internautes comme « mules » pour le blanchiment d’argent.
Je ne suis pas en train de vous pipoter, c’est exactement ce qu’on a constaté.
Donc oui, HTTPS/SSL n’est pas une arme absolue, il y a divers moyens de l’abuser. L’interception des appels aux API est un danger majeur, et pas évident à contrer.
D’ailleurs ça m’étonnerait que les antivirus vérifie que les API ne sont pas détournées. Il y a juste quelques anti-rootkit qui vérifie le détournement des API base de registre et fichiers, mais guère plus.
Posté le 12 mars 2010 à 09:35:52
Ano Nymous
EchoMirage fait la même chose, mais offre en plus la possibilité d’intercepter et de modifier les données, en interactif ou automatique :
http://www.bindshell.net/entry/31
(en version 2.0, conseillée mais la stabilité dépend des programmes audités)
(version 1.2 a été rendue publique le 22 octobre 2006)
Posté le 12 mars 2010 à 10:31:33
krg
@sebsauvage: huuu ca fait peur et dire que avec hadopi ont est responsable de notre sécurité c’est de notre faute si on ce fait pirater…
Pour éviter ce genre de truk, imaginons que l’on installe un sorte de plugin sous firefox et envoi un sorte de clef a la PGP et le site l’interprète etc
Enfin c’est vite dit, j’ai pas vraiment réfléchit
Sinon lorsque tu parle de antiroot-kit que pense tu de gmer ?
Et pour Ospy c’est dommage qu’il l’ont lier qu’a IDA et pas ollydbg aussi:(
Posté le 12 mars 2010 à 10:47:18
sebsauvage
@krg:
« Pour éviter ce genre de truk, imaginons que l’on installe un sorte de plugin sous firefox et envoi un sorte de clef a la PGP et le site l’interprète etc »
On revient au même problème: le troyen pourrait intercepter le fonctionnement du plugin.
On pourrait même imaginer un troyen qui se substitue à la couche OpenSSL (en imitant son API) et qui substitue silencieusement les certificats et masque les alertes.
Ou même plus simple: un virus qui installe un certificat racine pirate supplémentaire dans votre navigateur (c’est pas sorcier), et fait une redirection DNS: votre navigateur recevra un certificats bidon imitant celui de la banque, mais signé avec le certificats racine pirate: Votre navigateur ne geulera pas.
Les possibilités sont illimitées: A partir du moment où le troyen est sur votre machine, c’est game over. Aucun logiciel de sécurité au monde ne pourra garantir qu’il la contré.
« Sinon lorsque tu parle de antiroot-kit que pense tu de gmer ? »
oui gmer et autres.
Ils vérifie la cohérence entre l’état réel disque/registry et ce qui est retourné par les API. Toute différence est suspecte.
Mais pour le reste des API, c’est le néant.
Posté le 12 mars 2010 à 11:06:33
krg
et tu en connais des plus performants ?
Posté le 12 mars 2010 à 11:10:18
Feelou
Interessant, il est donc si simple de voir ce que fait un logiciel !
Avant je sniffais avec ethereal mais c’etait difficile de savoir de quel processus le paquet etrange venais.
Avec ça je vais pouvoir eliminer tous mes logiciels suspects uns par uns
Domage que c’est que sous Windows, en plus il y a pas mal de processus qui font des choses bizares et qu’on ne peut pas killer parce qu’en fait… ils sont Windows… Windows est un precessus bizare lol
Mais comme je possède certains logiciels proprio sur Linux, j’avoue que ce genre de logiciel m’interesserai, quelqu’un connais-t-il une commande magique faisant grossomodo la meme chose ?
C’est très bon aussi pour les plugin Firefox en effet
Je vais déjà aller observer ceux-ci sur une machine virtuelle MS.
Posté le 12 mars 2010 à 11:19:21
MikeZ
Moi oui. Linux ! nan je déconne (Quoi que ..)
Pardon seb je repond hein, tu me corrige si je dit une connerie.
ya aussi SEEM, Unhackme, Rootkit revealer…
L’artillerie lourde pour enlever ces vilains spy (si on est pas arrivé à se prémunir) c’est un OS « live » (boot sur un media externe) pour accéder au disque de la machine et faire le ménage
Posté le 12 mars 2010 à 11:22:47
krg
meme si c un peu HS, SEEM ne fonctionne pas sous 2k8 r2, et a bcp de mal voir ce lance pas sur le seven 64bit, rootkit revealer moin performant que gmer je trouve :p
Sinon oui a la mano livecd huhu
Posté le 12 mars 2010 à 11:26:27
sebsauvage
@Feelou:
Sous Linux il y a l’excellent strace, qui a déjà permis de voir des trucs louches dans certains logiciels à sources fermés comme Skype:
http://philpep.free.fr/blog/index.php?post/2008/12/20/Skype-%3A-un-logiciel-qui-vous-veut-du-bien
Et voir aussi:
http://systembash.com/content/command-line-packet-sniffing-existing-running-process-in-linux/
Posté le 12 mars 2010 à 11:48:17
Gourmet
1. Je plussois sebsauvage.
Dans la mesure où le source de ce logiciel et où aucun reverse-engineering n’a été fait dessus, je penche, par défaut, pour un troyen (qui troyanne le temps de son exécution).
2. S’il s’agit de surveiller ce qu’expédie et reçoit son navigateur il suffit d’installer une extension Tamper Data sous Firefox qui permet de suivre (et de modifer) les requêtes GET/POST/etc et de voir les réponses à ces mêmes requêtes.
C’est plus sain tout de même et c’est multiplateforme.
3. Pour les logiciels navigateur, je n’utiliserai ce genre d’outil clos qu’avec parcimonie.
4. Ca n’existe pas sous Unix ce genre de truc à ma connaissance. On pourrait pourtant détourner les appels aux fonctions de la lib openSSL.
db
Posté le 12 mars 2010 à 13:08:55
Feelou
Merci sebs
Posté le 12 mars 2010 à 13:30:08
LanFeusT
ce n’est pas ce que faisait tcp viewer ?
Posté le 12 mars 2010 à 13:40:25
sebsauvage
@Gourmet:
Ah oui, Tamper Data, excellent.
Il permet même de voir les requêtes HTTP lancées par les plugins (par exemple Flash) et les requêtes envoyées par tout composant Ajax.
Très instructif.
Posté le 12 mars 2010 à 14:42:53
dert
Je ne suis pas Anglais encore moins Américain c’est dommage que ce genre de soft n’ait pas de tuto frenchy , snirf , merci pour l’article quand même .
Posté le 12 mars 2010 à 15:05:15
Vouze
Y a-t-il la même chose sous linux ? Pour ssh, ssl/tls, firefox, etc ?
Posté le 15 mars 2010 à 13:45:36
Vouze
@Anto-rex: le reverse-engenering est autorisé en France, surtout dans le cas de l’interopérabilité (on est en plein dedans). Par contre les ricains n’ont pas le droit.
Et les closes de non-reverse-engenering sont tout simplement abusives, et donc peuvent être ignorées quand ont veut rendre interopérable un programme.
Et n’oubliez pas que l’outil ne fait pas le crime. Notion juridique de base : un couteau n’est pas illégale, c’est l’usage qui en fait une arme.
Posté le 15 mars 2010 à 13:51:41
corrector
« Sous Linux il y a l’excellent strace »
Ah, et tu en fais quoi???
« Y a-t-il la même chose sous linux ? Pour ssh, ssl/tls, firefox, etc ? »
ltrace? Un bon LD_PRELOAD des familles?
J’imagine que oSpy EST ltrace tout simplement.
Sinon, il faut fouiller dans l’exécutable (beurk).
Posté le 24 juin 2010 à 07:10:37