Formation "Ethical Hacker" le bilan humain et technique

Après une semaine de formation pour la certification "Ethical Hacker", je livre ici mes impressions à froid sur ce que j'y ai appris, les forces et les faiblesses de cette formation. N'étant pas un adepte de la langue de bois, certains propos déplairont peut être...

Il me semble important d'énnoncer quelques faits avant d'entrer dans le vif du sujet :
La formation que j'ai suivi la semaine dernière en compagnie de 5 autres personnes a pour but de nous préparer à un examen délivrant une certification. La société qui nous a accueilli n'ayant pas, pour l'instant, de formateur certifié, a fait appel à un formateur d'une société tierce. J'appellerai la société organisatrice de la formation : SA et le formateur venant d'une société tierce : F.

Je me permets de faire cette distinction car si sur un plan humain les personnels de SA et F étaient quasiment a égalité, à mon avis les compétences des gens de SA sont bien supèrieures à celles de F.

Lundi matin en arrivant, F se présente et nous fait signer une décharge comme quoi nous n'utiliserons pas les techniques apprises dans la formation à mauvais escient. Une fois que les 5 participants ont signés, le cours commence par une présentation des aspects légaux de la chose ... La certification étant Américaine, beaucoup d'aspect légaux Américain et peu de Français ... tant pis, de toute façon on est pas des juristes et nul n'est censé ignorer la loi.
Une fois ces formalités passées, nous entrons dans le vif du sujet, la recherche d'informations sur la cible, l'exploitation de failles, la prise en main du système, l'escalation de privilèges et enfin on efface nos traces, tel est le programme de la semaine.
Sur les aspects légaux, recherche d'informations, enumération, je dois avouer sans fausse modestie que je n'ai rien appris, je mettais donc beaucoup d'espoir dans la suite du programme ...
Vient enfin le jour tant attendu celui où nous voyons le "system hacking" en clair les méthodes pour entrer dans un ordinateur à distance avec un maximum de droits. Pour ce faire, nous avions à disposition un laboratoire contenant une machine trés justement nommée "Victime". F nous montre comment entrer sur le système à distance, récupérer quelques mots de passe et s'y installer confortablement. 2 choses me dérangent fortement à ce moment là :

• F (et l'ensemble des auditeurs) connait le mot de passe administrateur de la victime ... Il n'y a donc aucun exploit à se connecter dessus et faire ce qu'on veut.
  

• La technique utilisée est celle que j'utilisais depuis 1997 (les NULL Sessions pour les connaisseurs). Rien de bien neuf là dedans ...
  

Ensuite, pour je ne sais quelle raison, finalement on refait la manipulation avec un autre compte qui n'est pas administrateur de la machine, afin d'obtenir les droits d'administrateur, AUCUN des outils proposés dans le cadre de la formation ne nous a permis d'escalader nos privilèges ! D'après F, l'interêt de ces outils est de nous introduire au buffer overflows (débordement de tampon) que nous devrons aborder plus en détails plus tard, pour au final les avoir survoler.
A propos des BOF (Buffers Overflows), nous avons tenter d'exploiter un buffer overflow connu pour fonctionner sous Windows 2000 mais pas sous Windows 2003, je propose à F que nous modifions à titre d'excercice ce buffer overflow afin de remplacer le shell code windows 2000 par un shell code Windows 2003, comme nous n'avions que le binaire du buffer overflow, F essaye de l'ouvir avec ... NotePad (Pour ce qui ne sont pas connaisseurs de ce genre de chose, c'est comme si vous essayez de modifier une chanson au format MP3 avec Word (c) ) Sans commentaire, j'ai laissé tomber mon idée et je le ferrai tout seul tranquillement chez moi.

Première grosse déception, je reporte donc mes espoirs dans la suite du programme : le hacking de serveur Web, puisque sur la première partie, nous n'avons rien hacké puisque nous avions le mot de passe administrateur et que les outils d'escalation de privilèges ne fonctionnaient pas.
Vient enfin le jour du hacking de serveur Web, F nous apprend qu'un serveur au US est spécialement mis à notre disposition afin que nous entrions dedans, chouette, on va voir deux ou trois choses qu'on exploitera sur ce serveur victime au US ... Et là ô surprise, F ne nous montre qu'une seule technique vieille de 10 ans, et qui ne fonctionne plus aujourd'hui sur la trés grande majorité des serveurs (je vous le certifie, le directory traversal sur IIS ne marche plus depuis déjà bien longtemps). Et c'est tout !!! Bon sachant que ça ne marche nulle part, je me dis que la faille est peut être présente sur ce serveur victime aux US ... alors de bonne foi, je teste et sans surprise, ça ne passe pas.

Bon il reste une journée de formation et nous sommes censés voir le SQL injection, méthode qui elle fonctionne trés bien de nos jours ... Et bien cette méthode a été abordé vendredi en fin d'après midi, ayant un train à prendre pour revenir sur Grenoble, je n'ai vu que le début de l'exploitation de cette méthode (et la méthode que F a commencé a présenté, est bien entendu la moins évoluée et donc ne fonctionne pas (plus) ).

Je suis donc parti avant la fin de la formation afin de ne pas rater mon train. J'ai quand même pris quelques minutes pour discuter avec l'un des commerciaux de SA pour lui dire ce que je pensais de la formation et de F.

Car si j'ai précisé ci-dessus que les méthodes présentées ne fonctionnent plus aujourd'hui, j'ai oublié de souligner les erreurs parfois ENORMES dites par notre formateur, et je ne citerai que les plus grosses :

• D'après F l'infrarouge des ordinateurs portable peut traverser les murs (On aurait aimer une démonstrations) !
  
• Une démonstration d'attaque de DNS cache poisoning qui était plus du pseudo phising réalisé directement sur un serveur DNS alors qu'il avait le mot de passe admin du dit serveur.
  

Pour contruire une attaque de type DNS cache poisoning, il me faut environ 2h, 2h30, en discutant avec les consultants sécurité de SA, il leur faut environ 1h30, et F nous jette de la poudre aux yeux en configurant vite fait une zone DNS sur son serveur (environ 5 minutes) et nous fait croire qu'il vient de réaliser une attaque en DNS cache poisoning.

• F tente d'ouvrir un binaire pour le modifier avec Notepad
  

Bref un bilan trés trés mitigé : Les gens de SA et F sur un plan humain étaient trés sympas et je suis ravi de les avoir rencontrés, sur un aspect technique la formation est trop vieille dans les techniques proposées (la formation en elle même, dans sa version 5 date du mois de janvier 2007, et surtout se concentre sur l'utilisation d'outils dont beaucoup sont payant avec un prix exorbitant (plus de 9000 euros la licence), nous donnant ainsi l'impression que le hacking est à la portée de n'importe qui sachant utiliser un clavier et une souris, il reste plus qu'à installer des outils et cliquer jusqu'à ce qu'il y en ai un qui marche.
Sur le plan technique, F a été mis mal à l'aise plusieurs fois par les questions des auditeurs et particulièrement par celle de votre humble rédacteur qui n'a pas sû rester de marbre devant les erreurs commises et qui a toujours posé les questions qu'il lui semblaient pertinentes afin de connaitre plus le fonctionnement de l'attaque en elle même que l'utilisation de l'outil. Toujours sur le plan technique, les gens de SA sont eux trés compétents, et ont remarqués les erreurs de F qu'ils ont corrigés en comité restreints lors de réunions non-officielle (pause cigarettes)

Je sais que certains des participants à la formation ont trouvés ce blog, si vous lisez cet article n'hésitez pas à y laisser vos impressions

A bientôt pour vous raconter comment c'est passé le passage de l'examen afin d'obtenir cette certification.

Edité le 09 juillet pour dire que il est fort probable que je n'obtienne pas cette certification du premier coup, j'ai un peu peur que les questions tournent autour du "par coeur", dans le style de : "Citez 4 outils pour faire xxxxxxx", ou bien "Dans la liste d'outils suivants lequels n'est pas un DDOS ?"