le guide de survie
COMMENT EVITER / SURVIVRE A UN BUST 
PARTIE I : EVITER DE SE FAIRE PRENDRE
-------------------------------------------------------------
Pourquoi ce document ?
Comme beaucoup dans le milieu du piratage vous ne vous contentez pas de lire des articles,
sécuriser des machines ou sortir du code bien propre... Vous avez décidé de mettre en
pratique vos connaissances sur les attaques, failles et compagnie et vous vous introduisez
régulièrement dans des systèmes informatiques privés, vous codez des 'exploits', des
backdoors... bref vous êtes ce que certains appellent un 'Blackhat'.
Si vous pensez que vos activités illégales n'intéressent pas la police qui doit
certainement avoir des choses bien plus importantes à faire, vous vous trompez !
A notre époque il existe dans différents pays des polices spécialisées dans la lutte
contre la cyber-criminalité, ce qui veut dire qu'ils n'ont "rien d'autre de mieux à
faire" que de traquer et d'arrêter des pirates informatiques comme vous.
Nombreux sont ceux qui ont pensé être invincibles derrière leur PC et qui s'en sont
finalement mordu les doigts.
Une vague d'arrestations a eu lieu récemment en France et ce n'est qu'un début.
Ce texte est là pour éviter que d'autres se fassent prendre ou s'ils se font prendre
pour qu'ils ne s'en tirent pas trop mal.
Ce document a aussi pour objectif d'ouvrir les yeux de certains sur des à priori
qui peuvent les mettre en danger... il se peut que vous utilisiez une méthode pour
effacer vos traces qui en rajoute au lieu de les supprimer. L'erreur est humaine.
Enfin même si vous êtes sûr de prendre les précautions nécessaires et certain que jamais
vous n'aurez affaire aux services de police, sachez que la délation, qu'elle soit voulue
ou non est une des principales ressources utilisées par la police pour retrouver une
personne... par conséquent même si vous êtes le meilleur pirate au monde, vous pouvez
toujours être balancé comme une grosse merde.
L'objectif de ce document est clairement de vous rendre parano... mais juste le
nécessaire pour éviter ou survivre à un bust.
-------
Bases
-------
Il y a des règles très simples à mettre en oeuvre pour protéger son anonymat sur le
réseau des réseau. Si vous débutez dans le milieu il est bon de s'y mettre dès
maintenant ! Sinon prenez le temps de faire le point 5 minutes sur les informations
qu'une personne réellement motivée peut regrouper sur vous... si ces informations
permettent de faire le lien, ne serait-ce que faiblement, avec votre vraie identité
alors vous devrez impérativement prendre une nouvelle cyber-identité.
La première règle est donc de bien séparer son identité réelle de sa cyber identité.
N'hésitez pas à dressez une liste des informations que vous avez déjà dévoilé, ou
des informations que vous voulez bien dévoiler. Ensuite tenez-vous en à cette liste.
Ne franchissez jamais la limite !!
Une autre règle primordiale est de ne jamais signer ses méfaits. Une intrusion réussie
est une intrusion invisible. Signer un déface ou laisser un message, même si c'est
uniquement avec votre pseudonyme, c'est faire un cadeau d'une valeur inestimable à
la police.
Si vraiment vous désirez signer vos méfaits, changez de pseudonyme à chaque attaque.
Ne vous vantez jamais. Ne donnez pas d'infos sur vos cibles, que ce soit avant,
pendant ou après l'intrusion. Si vous demandez de l'aide sur un forum du type
"Comment je peux exploiter la faille truc sur le serveur X", on remontra très
facilement à vous. Dans le pire des cas quelqu'un de plus expérimenté profitera de
la faille et les dégats vous retomberont dessus.
C'est entre autre pour cela qu'une nouvelle règle d'or s'applique : Ne faites confiance
qu'à vous même ! Même une personne qui est avec vous peut se retourner sans le faire
exprès contre vous. Dans une équipe il y a toujours un "maillon faible" qui peut tout
foutre en l'air. Il se peut aussi que le maillon faible ce soit vous et vous n'en ayez
pas conscience. Pensez aux autres : si vous tomber ils risquent de tomber avec vous.
Bref, agissez seul. Une autre possibilité est de former des équipes totalement anonymes
où les différents membres n'échangeraient pas de discussions amicales entre eux pour
éviter qu'un maillon faible ait trop de répercussions. Mais à ma connaissance ce type
d'équipe n'existe pas.
Si vous utilisez un pseudonyme il est conseillé de prendre un mot utilisé couramment.
Sachez que la police aura entre autres recours aux même moyens que vous. Si une
recherche de votre pseudo sur Google permet de savoir tout ce que vous avez piraté et
tout ce que vous avez codé en moins de temps qu'il faut pour le dire, vous êtes très
mal barré. Pensez aussi à changer de pseudonyme de façon régulière.
N'hésitez pas à donner des fausses pistes... Vous n'avez pas de chien ? Maintenant si !
Vous habitez dans le nord de la France ? Vous êtes maintenant au sud etc etc.
Si vous appliquez comme il faut ces règles, la police ne pourra pas vous retrouvez par
une enquête basique (comprendre par regroupement d'informations).
-------
Pas de traces
-------
Si vous avez réussi à ne pas laisser d'informations vous concernant sur le web, ce sera
peut-être une machine qui vous dénoncera. Soit parce que vous avez laissé des traces
sur votre cible, soit parce que vous avez des preuves de l'intrusion sur votre machine,
ou encore parce qu'une machine tiers s'est chargée de vous tracer.
* sur le réseau :
Pour ce qui concerne le web c'est simple : utilisez des proxys. Tout le monde sait
configurer un navigateur web pour dissimuler son IP.
Le site www.freeproxy.ch semble proposer une liste de proxys (qui fonctionnent) et
qui est mise régulièrement à jour.
Il existe deux plugins pour Firefox permettant de changer très facilement de proxy :
SwitchProxy Tool
https://addons.mozilla.org/extensions/moreinfo.php?application=firefox&id=125&vid=1144
XYZproxy
https://addons.mozilla.org/extensions/moreinfo.php?id=1273&application=firefox
ProxyWeb (https://www.proxyweb.net/) est un web-proxy (à l'instar d'anonymizer.com,
sauf que ProxyWeb offre le support du SSL) qui est très simple d'utilisation.
Evidemment il est déconseillé de ne passer que par lui (il garde sans aucun doute une
bonne quantité de logs).
SnoopBlocker (http://www.snoopblocker.com/) propose le même service et fait partie du
même réseau (65.110.6.*)
MegaProxy a un service sur la même idée : https://www.megaproxy.com/
Et vous en trouverez probablement d'autres sur le net.
N'accordez aucune confiance à votre fournisseur d'accès Internet. Si la police a des
soupçons sur vous ils peuvent très facilement récupérer des logs vous conçernant, lire
vos mails, visiter le contenu de votre espace web ou savoir les sites que vous visitez.
Soyez d'autant plus parano que les lois récentes facilitent la tâche des policiers
pour récupérer ces logs.
N'allez pas sur IRC. Méfiez-vous en comme de la peste. Les serveurs IRC sont largement
surveillés (y compris les canaux protégés par mots de passes et les discussions "privées").
De plus le protocole IRC n'est pas sûr.
Il existe une alternative sécurisée qui s'appelle SILC dont les caractéristiques sont
les suivantes :
- conversations cryptées par un système de clé publique/privée
- authentification forte des utilisateurs (personne ne peut se faire passer pour
quelqu'un d'autre)
- des modes de sécurisation variés sur les channels (notemment les takeovers sont
impossibles)
Dans l'ensemble évitez tout de qui est du même pays que vous : hébergeurs, webmails,
serveurs IRC... la police n'aura aucun mal à exercer ses pouvoirs sur les propiétaires.
Même des forums que vous pensez de confiance peuvent être réquisitionnés par la police
afin de récupérer les logs ou les messages privés. Changez régulièrement de proxys pour
brouiller les pistes.
Des efforts de collaboration internationale sont fait pour lutter contre le piratage
informatique. Il est conseillé d'éviter les pays frontaliers pour les mêmes raisons.
Utilisez des relais hors de l'Union Européenne.
N'hésitez pas à utiliser des ordinateurs de particuliers comme relais pour vos
attaques. Ils sont bien moins surveillés (très peu de logs) et régulièrement
rebootés/déconnectés.
Veillez bien à ne pas vous attaquer à n'importe qui. Evitez tout ce qui touche de près
ou de loin à l'Etat : Gouvernement, administration, justice, education, recherche, armée
ainsi que la bourse, les grosses entreprises etc.
N'allez pas laisser un message du style "coucou les gayzzzz!! rofl!!" sur le site de
Dassault.
Si vous laissez une backdoor sur un système faites attention à ce qu'elle passe
inaperçue. Mieux vaut quelques lignes perdues dans des logs apache qu'une connexion
sortante vers un serveur IRC visible avec un simple netstat.
N'hésitez pas à utiliser le tunneling ou un système de canaux cachés (covert channel).
Cryptez tout ce que vous pouvez !
Pour savoir vite fait ce qui passe en clair et ce qui est chiffré, la commande suivante
est très pratique (en root) :
tcpdump -n -X
PGP/GPG est très simple d'utilisation. Beaucoup de clients mail proposent un support
du cryptage très intuitif. Au final on se sert de GPG sans même s'en rendre compte.
Pour les Windowsiens :
http://openpgp.vie-privee.org/
Pour les Linuxiens :
http://www.lea-linux.org/cached/index/Reseau-secu-gpg-intro.html
Quand vous en avez la possibilité, utilisez SSL. Là encore, rien de plus simple à
mettre en oeuvre.
Bon nombre de webmails proposent de se connecter en SSL. Hushmail prétend être le
service de webmail le plus sur.
http://www.hushmail.com/
Pour ce qui est des mails, plusieurs générations de remailers se sont succédées :
Les Cypherpunk (type I), Mixmaster (type II) et les Mixminion (type III)
Jusqu'à présent l'utilisation des remailers était un vrai casse-tête, mais depuis
l'implémentation officielle de Mixminion c'est extrêmement simple.
Il suffit de télécharger le logiciel sur http://mixminion.net/, de faire quelques tests
et c'est parti !
En théorie comment ça marche :
Votre client choisi un chemin parmi une liste de serveurs Mixminion existants.
Votre message est ensuite encodé à l'aide de clé publique de chacun des serveurs.
Chaque serveur retire une couche de cryptage du message chiffré et passe au suivant.
Pour éviter que l'on retrouve trop facilement votre IP, le message va passer plusieurs
fois par les même serveurs (faire des sortes de boucles...)
Au final votre destinataire reçoit bien le message.
L'implémentation de Mixminion permet aussi d'envoyer le message par morceaux, chaque
morceau prend alors un chemin différent puis les morceaux sont réassemblés sur le
dernier relais.
A noter que cette génération de remailers permet aussi d'avoir des réponses à ses
messages. Toutefois le système de réponse reste expérimental et il n'est pas forcément
conseillé de l'utiliser.
Jetez un coup d'oeil à l'adresse suivante pour avoir plus d'infos :
http://en.wikipedia.org/wiki/Anonymous_remailer
Certains hacktivistes travaillent à rendre ces techniques à la portée de tous. On peut
par exemple citer le projet Anonym.OS, un live CD qui permet de se connecter de façon
anonyme sur le réseau :
http://theory.kaos.to/projects.html
Il y a bien sûr le projet Tor lancé par l'EFF (Electronic Frontier Foundation) qui
consiste à faire passer sa connexion Internet à travers un certains nombre de serveurs
relais appelés Onion Routers :
http://tor.eff.org/
Il existe une solution "prête à utiliser" sur clé USB nommée TorPark :
http://www.freehaven.net/~arrakis/torpark.html
Toutefois gardez à l'esprit que si vous utilisez Tor pour pirater alors vous n'êtes
certainement pas le seul. Ainsi un étudiant s'était fait arrêté pour avoir piraté une
cible et avoir laissé des messages... désobligeants. Il s'est avéré qu'en fait il
faisait gentiment tourner un Onion Router (ou alors il a bien réussi à baratiner).
Vous pouvez d'ailleurs, si vous le souhaitez, faire croire que votre machine a servi
de relais... mais à vos risques et périls.
Toujours sur le concept des relais, on trouve JAP qui permet de se connecter de façon
cryptée à travers des 'mixes' pour surfer sur le web.
http://anon.inf.tu-dresden.de/index_en.html
En revanche suite à une affaire, JAP indique clairement qu'en cas d'utilisation pour
piratage il remettra comme il se doit les informations qu'il possède pour retrouver
l'auteur du crime.
Ajoutons à ça le fait que les mixes se situent tous en Allemagne et que la dernière
génération de mixes contient une backdoor permettant de détecter une éventuelle
attaque :
http://sourceforge.net/forum/forum.php?thread_id=909637&forum_id=42120
Bref a utiliser seulement pour crypter son traffic web 'innocent' mais pas pour faire
une intrusion. Le logiciel est extrêmement simple à utiliser et programmé en Java.
Pour ce qui est du P2P il existe aussi une alternative sécurisée mais elle ne semble
pas attirer beaucoup de monde jusqu'à présent :
http://gnunet.org/
* sur son disque :
La première règle est "On ne garde pas de traces sur son disque"
La seconde règle est "Quoi qu'il arrive, ne gardez aucune trace sur votre disque
pouvant prouver que vous êtes l'auteur d'une intrusion"
La troisième règle est "Ne conservez jamais de preuves sur votre disque"
C'est clair ? Votre PC doit être propre comme une jeune communiante.
Pour cela, effacez vos données de manière sûre. Et beaucoup vont tomber des nues :
Il n'existe pas de techniques sûre pour effacer un fichier (je dis bien un fichier)
sur des systèmes de fichiers journalisés.
En gros shred, srm, wipe et compagnie ne fonctionneront que sur ext2 et fat32.
Pour NTFS, ReiserFS, ext3 ou Reiser4, trouvez autre chose.
Pour vérifier c'est simple :
Créer un fichier avec la chaine "itsakindofmagic"
Effacer ce ficier avec shred ou autre.
Faites un strings /dev/hdaX suivi d'un grep sur "itsakindofmagic" (avec X le numéro
correspondant à la partoche)
Vous retrouvez la chaîne ? Dommage !
Renseignez-vous sur les spécificitées de chaque système de fichier. Lisez aussi le
document suivant :
http://www.infoanarchy.org/wiki/wiki.pl?File_Wipe
En fait il n'y a pas 36 façons pour ces systèmes de fichiers :
- soit vous wipez toute la partoche d'un coup
- soit vous utilisez un système de fichier crypté par dessus
Pour wiper une partition entière on peut utiliser tout simplement la commande dd
plusieurs fois de suite avec comme source /dev/urandom ou /dev/zero.
Pour wiper la swap (important aussi), utilisez la commande suivante :
swapoff /dev/hdaX
dd if=/dev/zero of=/dev/hdaX
Enfin si vous avez du temps devant vous, vous pouvez utiliser Darik's Boot and Nuke
(DBAN : http://dban.sourceforge.net/), une disquette ou CD de boot qui se chargera
de wiper le disque proprement.
Projet similaire, le h9.DiskShredder développé par les créateurs du magazine hakin9
disponible ici
Une vidéo parlant de DBAN (pas très sérieuse) :
http://media.g4tv.com/video/ttv/thescreensavers/2003/ss030130b_165_0.asf
Dernières notes sur l'effacement sécurisé :
BCWipe (http://www.jetico.com/) a une excellente réputation et tourne sous Linux et
Windows.
Eraser a lui aussi une très bonne réputation. Il se charge apparemment d'effacer
l'espace libre sous Windows (à utiliser régulièrement avec une dégramentation).
http://www.tolvanen.com/eraser/
http://www.bugbrother.com/eraser/ (doc française)
La défragmentation peut être utilisée comme méthode innocente (mais peu efficace)
pour effacer certaines données du disque.
Parlons maintenant FS cryptés...
Pour Linux et Windows il existe BestCrypt qui est très simple d'utilisation et très
agréable à utiliser.
On peut également citer TrueCrypt qui permet d'utiliser une partition cryptée cachée.
Viennent ensuite CryptoLoop (dm-crypt), Loop-AES...
Sous Windows vous n'aurez aucun mal à crypter vous données, notemment avec EFS sous
Windows XP. Petite démonstration en vidéo :
http://www.laboratoire-microsoft.org/videos/1900/
Toutefois retenez une bonne chose : si les policiers remarquent un fichier crypté sur
votre disque, ils vont vous demander le mot de passe ou avec quel logiciel ils peuvent
le lire. Tout refus à divulguer le password sera perçu comme un refus de collaborer et
ça c'est très mauvais pour vous. Quand vous vous retrouverez face à un juge
d'instruction qui dressera de vous un portrait de dangereux cyber-terroriste vous
donnerez alors votre phrase de passe sans broncher, peut-être même avec soulagement.
Conclusion : si vous avez des informations compromettantes (par exemple IP, login
et pass de vos cibles) dissimulez les à l'aide de la stéganographie.
De plus si vous tenez à ces informations, ne les gardez pas sur votre dur puisque votre
matériel sera réquisitionné. Uploadez le fichier stéganographié sur le web à un
endroit dont vous vous rapellerez.
Il n'est pas difficile de retrouver une aiguille dans une botte de foin en informatique.
Mais il est beaucoup plus difficile de retrouver une paille de foin dans une botte de foin.
Quand vous cachez un document prenez soin de le mettre au milieu d'un bon nombre de
documents anodins et de même type. Vous pouvez aussi encoder tout et n'importe quoi
(photos de votre chien, mp3, support de cours...) afin de décourager les enquêteurs.
Désactivez la génération des logs sur votre propre machine. Le plus important est sans
doute votre .bash_history qui peut être très dangereux pour vous.
Le faire pointer vers /dev/null donne une bonne alternative entre sécurité et confort
(les commandes sont gardées en mémoire uniquement pour la session bash courante).
Bien entendu assurez vous que vos logiciels de chats (IRC, IM, clients mails) ne génèrent
pas de logs. Une bonne façon de découvrir des fichiers de logs consiste à utiliser la
commande lsof pour voir quels fichiers sont ouverts par quels programmes.
Ne gardez pas non plus d'adresses de contacts (adresses réelles ou adresses mails etc)
sur votre disque. De cette façon vous éviterez la propagation des emmerdes sur vos
amis et vous ne serez pas "ratachés" à d'autres personnes peut-être déjà connus des
services de police.
Pensez aussi à configurer votre navigateur Internet pour qu'il vide son cache à chaque
fermeture.
Pour résumer, utilisez le moins possible votre disque.
L'Internet est assez gros pour contenir certaines de vos données.
Par exemple il existe des sites Internet vous permettant d'avoir un "bureau" en ligne
où stocker vos bookmarks, laisser des notes... On peut citer par exemple Netvibes.
http://www.netvibes.com/
Writely (https://www.writely.com/) vous permet d'écrire des documents en ligne et de
les sauvegarder sur leur site. N'oubliez pas d'utiliser le support SSL !
Et il existe des services d'espace disque virtuel qui proposent de stocker jusqu'à
50Mo de fichiers (la plupart du temps).
http://www.50megs.com/
http://www.drivehq.com/
Streamload (http://www.streamload.com/) quand à lui, prétends donner 10Go gratuitement !
Si vous pensez être capable de vous débrouiller sans disque dûr, débranchez-le et
utilisez un Live CD.
Pour finir sur la cryptographie, voici un Wiki très intéressant sur le sujet :
http://www.infoanarchy.org/wiki/index.php/Main_Page
ainsi que des live CDs qui font apparemment tourner un FS crypté :
https://systemausfall.org/trac/cryptobox/wiki/CryptoBox/en
http://www.brum2600.net/projects/LSL/brumix.html
http://www.nongnu.org/k-mib/ (français)
Il existe une distribution Linux qui semble installer par défaut un système de
fichier cryptée. Elle a été crée afin de satisfaire les besoins en sécurité du
gouvernement allemand :
http://distrowatch.com/table.php?distribution=erposs
http://www.bsi.de/produkte/erposs3/
* sur papier :
On peut être né avec un clavier dans les mains, on a toujours tendance à utiliser des
feuilles de papier pour gribouiller quelques infos, dessiner une carte d'un réseau,
faire l'ébauche d'un projet...
Les même dangers s'appliquent donc sur papier et les précautions à prendre sont les
même que pour les supports informatiques.
Cela peut sembler excessif mais pourquoi ne pas avoir recours à une forme de cryptographie
sur papier ? Avoir par exemple recours à des moyens mnémotechniques.
Pour effacer vos traces il peut être utile d'investir dans un broyeur...
Une chose est sûre : plus vous utiliserez votre propre mémoire et moins vous aurez de
problèmes.
* sur cds, clés, disquettes :
Quand vous sauvegardez vos données sur support amovible, prenez soin de dissimuler les
documents (stéganographie).
Pour tromper la police vous pouvez aussi donner un faux libellé à vos CDs, par exemple
en écrivant dessus le nom d'une distribution Linux au marqueur... voire pourquoi pas,
créer une arborescence qui fera croire qu'il s'agit effectivement d'un CD d'install ou
d'un Live CD.
source: http://www.zone-h.fr/forum/viewtopic.php?t=53
PARTIE I : EVITER DE SE FAIRE PRENDRE
-------------------------------------------------------------
Pourquoi ce document ?
Comme beaucoup dans le milieu du piratage vous ne vous contentez pas de lire des articles,
sécuriser des machines ou sortir du code bien propre... Vous avez décidé de mettre en
pratique vos connaissances sur les attaques, failles et compagnie et vous vous introduisez
régulièrement dans des systèmes informatiques privés, vous codez des 'exploits', des
backdoors... bref vous êtes ce que certains appellent un 'Blackhat'.
Si vous pensez que vos activités illégales n'intéressent pas la police qui doit
certainement avoir des choses bien plus importantes à faire, vous vous trompez !
A notre époque il existe dans différents pays des polices spécialisées dans la lutte
contre la cyber-criminalité, ce qui veut dire qu'ils n'ont "rien d'autre de mieux à
faire" que de traquer et d'arrêter des pirates informatiques comme vous.
Nombreux sont ceux qui ont pensé être invincibles derrière leur PC et qui s'en sont
finalement mordu les doigts.
Une vague d'arrestations a eu lieu récemment en France et ce n'est qu'un début.
Ce texte est là pour éviter que d'autres se fassent prendre ou s'ils se font prendre
pour qu'ils ne s'en tirent pas trop mal.
Ce document a aussi pour objectif d'ouvrir les yeux de certains sur des à priori
qui peuvent les mettre en danger... il se peut que vous utilisiez une méthode pour
effacer vos traces qui en rajoute au lieu de les supprimer. L'erreur est humaine.
Enfin même si vous êtes sûr de prendre les précautions nécessaires et certain que jamais
vous n'aurez affaire aux services de police, sachez que la délation, qu'elle soit voulue
ou non est une des principales ressources utilisées par la police pour retrouver une
personne... par conséquent même si vous êtes le meilleur pirate au monde, vous pouvez
toujours être balancé comme une grosse merde.
L'objectif de ce document est clairement de vous rendre parano... mais juste le
nécessaire pour éviter ou survivre à un bust.
-------
Bases
-------
Il y a des règles très simples à mettre en oeuvre pour protéger son anonymat sur le
réseau des réseau. Si vous débutez dans le milieu il est bon de s'y mettre dès
maintenant ! Sinon prenez le temps de faire le point 5 minutes sur les informations
qu'une personne réellement motivée peut regrouper sur vous... si ces informations
permettent de faire le lien, ne serait-ce que faiblement, avec votre vraie identité
alors vous devrez impérativement prendre une nouvelle cyber-identité.
La première règle est donc de bien séparer son identité réelle de sa cyber identité.
N'hésitez pas à dressez une liste des informations que vous avez déjà dévoilé, ou
des informations que vous voulez bien dévoiler. Ensuite tenez-vous en à cette liste.
Ne franchissez jamais la limite !!
Une autre règle primordiale est de ne jamais signer ses méfaits. Une intrusion réussie
est une intrusion invisible. Signer un déface ou laisser un message, même si c'est
uniquement avec votre pseudonyme, c'est faire un cadeau d'une valeur inestimable à
la police.
Si vraiment vous désirez signer vos méfaits, changez de pseudonyme à chaque attaque.
Ne vous vantez jamais. Ne donnez pas d'infos sur vos cibles, que ce soit avant,
pendant ou après l'intrusion. Si vous demandez de l'aide sur un forum du type
"Comment je peux exploiter la faille truc sur le serveur X", on remontra très
facilement à vous. Dans le pire des cas quelqu'un de plus expérimenté profitera de
la faille et les dégats vous retomberont dessus.
C'est entre autre pour cela qu'une nouvelle règle d'or s'applique : Ne faites confiance
qu'à vous même ! Même une personne qui est avec vous peut se retourner sans le faire
exprès contre vous. Dans une équipe il y a toujours un "maillon faible" qui peut tout
foutre en l'air. Il se peut aussi que le maillon faible ce soit vous et vous n'en ayez
pas conscience. Pensez aux autres : si vous tomber ils risquent de tomber avec vous.
Bref, agissez seul. Une autre possibilité est de former des équipes totalement anonymes
où les différents membres n'échangeraient pas de discussions amicales entre eux pour
éviter qu'un maillon faible ait trop de répercussions. Mais à ma connaissance ce type
d'équipe n'existe pas.
Si vous utilisez un pseudonyme il est conseillé de prendre un mot utilisé couramment.
Sachez que la police aura entre autres recours aux même moyens que vous. Si une
recherche de votre pseudo sur Google permet de savoir tout ce que vous avez piraté et
tout ce que vous avez codé en moins de temps qu'il faut pour le dire, vous êtes très
mal barré. Pensez aussi à changer de pseudonyme de façon régulière.
N'hésitez pas à donner des fausses pistes... Vous n'avez pas de chien ? Maintenant si !
Vous habitez dans le nord de la France ? Vous êtes maintenant au sud etc etc.
Si vous appliquez comme il faut ces règles, la police ne pourra pas vous retrouvez par
une enquête basique (comprendre par regroupement d'informations).
-------
Pas de traces
-------
Si vous avez réussi à ne pas laisser d'informations vous concernant sur le web, ce sera
peut-être une machine qui vous dénoncera. Soit parce que vous avez laissé des traces
sur votre cible, soit parce que vous avez des preuves de l'intrusion sur votre machine,
ou encore parce qu'une machine tiers s'est chargée de vous tracer.
* sur le réseau :
Pour ce qui concerne le web c'est simple : utilisez des proxys. Tout le monde sait
configurer un navigateur web pour dissimuler son IP.
Le site www.freeproxy.ch semble proposer une liste de proxys (qui fonctionnent) et
qui est mise régulièrement à jour.
Il existe deux plugins pour Firefox permettant de changer très facilement de proxy :
SwitchProxy Tool
https://addons.mozilla.org/extensions/moreinfo.php?application=firefox&id=125&vid=1144
XYZproxy
https://addons.mozilla.org/extensions/moreinfo.php?id=1273&application=firefox
ProxyWeb (https://www.proxyweb.net/) est un web-proxy (à l'instar d'anonymizer.com,
sauf que ProxyWeb offre le support du SSL) qui est très simple d'utilisation.
Evidemment il est déconseillé de ne passer que par lui (il garde sans aucun doute une
bonne quantité de logs).
SnoopBlocker (http://www.snoopblocker.com/) propose le même service et fait partie du
même réseau (65.110.6.*)
MegaProxy a un service sur la même idée : https://www.megaproxy.com/
Et vous en trouverez probablement d'autres sur le net.
N'accordez aucune confiance à votre fournisseur d'accès Internet. Si la police a des
soupçons sur vous ils peuvent très facilement récupérer des logs vous conçernant, lire
vos mails, visiter le contenu de votre espace web ou savoir les sites que vous visitez.
Soyez d'autant plus parano que les lois récentes facilitent la tâche des policiers
pour récupérer ces logs.
N'allez pas sur IRC. Méfiez-vous en comme de la peste. Les serveurs IRC sont largement
surveillés (y compris les canaux protégés par mots de passes et les discussions "privées").
De plus le protocole IRC n'est pas sûr.
Il existe une alternative sécurisée qui s'appelle SILC dont les caractéristiques sont
les suivantes :
- conversations cryptées par un système de clé publique/privée
- authentification forte des utilisateurs (personne ne peut se faire passer pour
quelqu'un d'autre)
- des modes de sécurisation variés sur les channels (notemment les takeovers sont
impossibles)
Dans l'ensemble évitez tout de qui est du même pays que vous : hébergeurs, webmails,
serveurs IRC... la police n'aura aucun mal à exercer ses pouvoirs sur les propiétaires.
Même des forums que vous pensez de confiance peuvent être réquisitionnés par la police
afin de récupérer les logs ou les messages privés. Changez régulièrement de proxys pour
brouiller les pistes.
Des efforts de collaboration internationale sont fait pour lutter contre le piratage
informatique. Il est conseillé d'éviter les pays frontaliers pour les mêmes raisons.
Utilisez des relais hors de l'Union Européenne.
N'hésitez pas à utiliser des ordinateurs de particuliers comme relais pour vos
attaques. Ils sont bien moins surveillés (très peu de logs) et régulièrement
rebootés/déconnectés.
Veillez bien à ne pas vous attaquer à n'importe qui. Evitez tout ce qui touche de près
ou de loin à l'Etat : Gouvernement, administration, justice, education, recherche, armée
ainsi que la bourse, les grosses entreprises etc.
N'allez pas laisser un message du style "coucou les gayzzzz!! rofl!!" sur le site de
Dassault.
Si vous laissez une backdoor sur un système faites attention à ce qu'elle passe
inaperçue. Mieux vaut quelques lignes perdues dans des logs apache qu'une connexion
sortante vers un serveur IRC visible avec un simple netstat.
N'hésitez pas à utiliser le tunneling ou un système de canaux cachés (covert channel).
Cryptez tout ce que vous pouvez !
Pour savoir vite fait ce qui passe en clair et ce qui est chiffré, la commande suivante
est très pratique (en root) :
tcpdump -n -X
PGP/GPG est très simple d'utilisation. Beaucoup de clients mail proposent un support
du cryptage très intuitif. Au final on se sert de GPG sans même s'en rendre compte.
Pour les Windowsiens :
http://openpgp.vie-privee.org/
Pour les Linuxiens :
http://www.lea-linux.org/cached/index/Reseau-secu-gpg-intro.html
Quand vous en avez la possibilité, utilisez SSL. Là encore, rien de plus simple à
mettre en oeuvre.
Bon nombre de webmails proposent de se connecter en SSL. Hushmail prétend être le
service de webmail le plus sur.
http://www.hushmail.com/
Pour ce qui est des mails, plusieurs générations de remailers se sont succédées :
Les Cypherpunk (type I), Mixmaster (type II) et les Mixminion (type III)
Jusqu'à présent l'utilisation des remailers était un vrai casse-tête, mais depuis
l'implémentation officielle de Mixminion c'est extrêmement simple.
Il suffit de télécharger le logiciel sur http://mixminion.net/, de faire quelques tests
et c'est parti !
En théorie comment ça marche :
Votre client choisi un chemin parmi une liste de serveurs Mixminion existants.
Votre message est ensuite encodé à l'aide de clé publique de chacun des serveurs.
Chaque serveur retire une couche de cryptage du message chiffré et passe au suivant.
Pour éviter que l'on retrouve trop facilement votre IP, le message va passer plusieurs
fois par les même serveurs (faire des sortes de boucles...)
Au final votre destinataire reçoit bien le message.
L'implémentation de Mixminion permet aussi d'envoyer le message par morceaux, chaque
morceau prend alors un chemin différent puis les morceaux sont réassemblés sur le
dernier relais.
A noter que cette génération de remailers permet aussi d'avoir des réponses à ses
messages. Toutefois le système de réponse reste expérimental et il n'est pas forcément
conseillé de l'utiliser.
Jetez un coup d'oeil à l'adresse suivante pour avoir plus d'infos :
http://en.wikipedia.org/wiki/Anonymous_remailer
Certains hacktivistes travaillent à rendre ces techniques à la portée de tous. On peut
par exemple citer le projet Anonym.OS, un live CD qui permet de se connecter de façon
anonyme sur le réseau :
http://theory.kaos.to/projects.html
Il y a bien sûr le projet Tor lancé par l'EFF (Electronic Frontier Foundation) qui
consiste à faire passer sa connexion Internet à travers un certains nombre de serveurs
relais appelés Onion Routers :
http://tor.eff.org/
Il existe une solution "prête à utiliser" sur clé USB nommée TorPark :
http://www.freehaven.net/~arrakis/torpark.html
Toutefois gardez à l'esprit que si vous utilisez Tor pour pirater alors vous n'êtes
certainement pas le seul. Ainsi un étudiant s'était fait arrêté pour avoir piraté une
cible et avoir laissé des messages... désobligeants. Il s'est avéré qu'en fait il
faisait gentiment tourner un Onion Router (ou alors il a bien réussi à baratiner).
Vous pouvez d'ailleurs, si vous le souhaitez, faire croire que votre machine a servi
de relais... mais à vos risques et périls.
Toujours sur le concept des relais, on trouve JAP qui permet de se connecter de façon
cryptée à travers des 'mixes' pour surfer sur le web.
http://anon.inf.tu-dresden.de/index_en.html
En revanche suite à une affaire, JAP indique clairement qu'en cas d'utilisation pour
piratage il remettra comme il se doit les informations qu'il possède pour retrouver
l'auteur du crime.
Ajoutons à ça le fait que les mixes se situent tous en Allemagne et que la dernière
génération de mixes contient une backdoor permettant de détecter une éventuelle
attaque :
http://sourceforge.net/forum/forum.php?thread_id=909637&forum_id=42120
Bref a utiliser seulement pour crypter son traffic web 'innocent' mais pas pour faire
une intrusion. Le logiciel est extrêmement simple à utiliser et programmé en Java.
Pour ce qui est du P2P il existe aussi une alternative sécurisée mais elle ne semble
pas attirer beaucoup de monde jusqu'à présent :
http://gnunet.org/
* sur son disque :
La première règle est "On ne garde pas de traces sur son disque"
La seconde règle est "Quoi qu'il arrive, ne gardez aucune trace sur votre disque
pouvant prouver que vous êtes l'auteur d'une intrusion"
La troisième règle est "Ne conservez jamais de preuves sur votre disque"
C'est clair ? Votre PC doit être propre comme une jeune communiante.
Pour cela, effacez vos données de manière sûre. Et beaucoup vont tomber des nues :
Il n'existe pas de techniques sûre pour effacer un fichier (je dis bien un fichier)
sur des systèmes de fichiers journalisés.
En gros shred, srm, wipe et compagnie ne fonctionneront que sur ext2 et fat32.
Pour NTFS, ReiserFS, ext3 ou Reiser4, trouvez autre chose.
Pour vérifier c'est simple :
Créer un fichier avec la chaine "itsakindofmagic"
Effacer ce ficier avec shred ou autre.
Faites un strings /dev/hdaX suivi d'un grep sur "itsakindofmagic" (avec X le numéro
correspondant à la partoche)
Vous retrouvez la chaîne ? Dommage !
Renseignez-vous sur les spécificitées de chaque système de fichier. Lisez aussi le
document suivant :
http://www.infoanarchy.org/wiki/wiki.pl?File_Wipe
En fait il n'y a pas 36 façons pour ces systèmes de fichiers :
- soit vous wipez toute la partoche d'un coup
- soit vous utilisez un système de fichier crypté par dessus
Pour wiper une partition entière on peut utiliser tout simplement la commande dd
plusieurs fois de suite avec comme source /dev/urandom ou /dev/zero.
Pour wiper la swap (important aussi), utilisez la commande suivante :
swapoff /dev/hdaX
dd if=/dev/zero of=/dev/hdaX
Enfin si vous avez du temps devant vous, vous pouvez utiliser Darik's Boot and Nuke
(DBAN : http://dban.sourceforge.net/), une disquette ou CD de boot qui se chargera
de wiper le disque proprement.
Projet similaire, le h9.DiskShredder développé par les créateurs du magazine hakin9
disponible ici
Une vidéo parlant de DBAN (pas très sérieuse) :
http://media.g4tv.com/video/ttv/thescreensavers/2003/ss030130b_165_0.asf
Dernières notes sur l'effacement sécurisé :
BCWipe (http://www.jetico.com/) a une excellente réputation et tourne sous Linux et
Windows.
Eraser a lui aussi une très bonne réputation. Il se charge apparemment d'effacer
l'espace libre sous Windows (à utiliser régulièrement avec une dégramentation).
http://www.tolvanen.com/eraser/
http://www.bugbrother.com/eraser/ (doc française)
La défragmentation peut être utilisée comme méthode innocente (mais peu efficace)
pour effacer certaines données du disque.
Parlons maintenant FS cryptés...
Pour Linux et Windows il existe BestCrypt qui est très simple d'utilisation et très
agréable à utiliser.
On peut également citer TrueCrypt qui permet d'utiliser une partition cryptée cachée.
Viennent ensuite CryptoLoop (dm-crypt), Loop-AES...
Sous Windows vous n'aurez aucun mal à crypter vous données, notemment avec EFS sous
Windows XP. Petite démonstration en vidéo :
http://www.laboratoire-microsoft.org/videos/1900/
Toutefois retenez une bonne chose : si les policiers remarquent un fichier crypté sur
votre disque, ils vont vous demander le mot de passe ou avec quel logiciel ils peuvent
le lire. Tout refus à divulguer le password sera perçu comme un refus de collaborer et
ça c'est très mauvais pour vous. Quand vous vous retrouverez face à un juge
d'instruction qui dressera de vous un portrait de dangereux cyber-terroriste vous
donnerez alors votre phrase de passe sans broncher, peut-être même avec soulagement.
Conclusion : si vous avez des informations compromettantes (par exemple IP, login
et pass de vos cibles) dissimulez les à l'aide de la stéganographie.
De plus si vous tenez à ces informations, ne les gardez pas sur votre dur puisque votre
matériel sera réquisitionné. Uploadez le fichier stéganographié sur le web à un
endroit dont vous vous rapellerez.
Il n'est pas difficile de retrouver une aiguille dans une botte de foin en informatique.
Mais il est beaucoup plus difficile de retrouver une paille de foin dans une botte de foin.
Quand vous cachez un document prenez soin de le mettre au milieu d'un bon nombre de
documents anodins et de même type. Vous pouvez aussi encoder tout et n'importe quoi
(photos de votre chien, mp3, support de cours...) afin de décourager les enquêteurs.
Désactivez la génération des logs sur votre propre machine. Le plus important est sans
doute votre .bash_history qui peut être très dangereux pour vous.
Le faire pointer vers /dev/null donne une bonne alternative entre sécurité et confort
(les commandes sont gardées en mémoire uniquement pour la session bash courante).
Bien entendu assurez vous que vos logiciels de chats (IRC, IM, clients mails) ne génèrent
pas de logs. Une bonne façon de découvrir des fichiers de logs consiste à utiliser la
commande lsof pour voir quels fichiers sont ouverts par quels programmes.
Ne gardez pas non plus d'adresses de contacts (adresses réelles ou adresses mails etc)
sur votre disque. De cette façon vous éviterez la propagation des emmerdes sur vos
amis et vous ne serez pas "ratachés" à d'autres personnes peut-être déjà connus des
services de police.
Pensez aussi à configurer votre navigateur Internet pour qu'il vide son cache à chaque
fermeture.
Pour résumer, utilisez le moins possible votre disque.
L'Internet est assez gros pour contenir certaines de vos données.
Par exemple il existe des sites Internet vous permettant d'avoir un "bureau" en ligne
où stocker vos bookmarks, laisser des notes... On peut citer par exemple Netvibes.
http://www.netvibes.com/
Writely (https://www.writely.com/) vous permet d'écrire des documents en ligne et de
les sauvegarder sur leur site. N'oubliez pas d'utiliser le support SSL !
Et il existe des services d'espace disque virtuel qui proposent de stocker jusqu'à
50Mo de fichiers (la plupart du temps).
http://www.50megs.com/
http://www.drivehq.com/
Streamload (http://www.streamload.com/) quand à lui, prétends donner 10Go gratuitement !
Si vous pensez être capable de vous débrouiller sans disque dûr, débranchez-le et
utilisez un Live CD.
Pour finir sur la cryptographie, voici un Wiki très intéressant sur le sujet :
http://www.infoanarchy.org/wiki/index.php/Main_Page
ainsi que des live CDs qui font apparemment tourner un FS crypté :
https://systemausfall.org/trac/cryptobox/wiki/CryptoBox/en
http://www.brum2600.net/projects/LSL/brumix.html
http://www.nongnu.org/k-mib/ (français)
Il existe une distribution Linux qui semble installer par défaut un système de
fichier cryptée. Elle a été crée afin de satisfaire les besoins en sécurité du
gouvernement allemand :
http://distrowatch.com/table.php?distribution=erposs
http://www.bsi.de/produkte/erposs3/
* sur papier :
On peut être né avec un clavier dans les mains, on a toujours tendance à utiliser des
feuilles de papier pour gribouiller quelques infos, dessiner une carte d'un réseau,
faire l'ébauche d'un projet...
Les même dangers s'appliquent donc sur papier et les précautions à prendre sont les
même que pour les supports informatiques.
Cela peut sembler excessif mais pourquoi ne pas avoir recours à une forme de cryptographie
sur papier ? Avoir par exemple recours à des moyens mnémotechniques.
Pour effacer vos traces il peut être utile d'investir dans un broyeur...
Une chose est sûre : plus vous utiliserez votre propre mémoire et moins vous aurez de
problèmes.
* sur cds, clés, disquettes :
Quand vous sauvegardez vos données sur support amovible, prenez soin de dissimuler les
documents (stéganographie).
Pour tromper la police vous pouvez aussi donner un faux libellé à vos CDs, par exemple
en écrivant dessus le nom d'une distribution Linux au marqueur... voire pourquoi pas,
créer une arborescence qui fera croire qu'il s'agit effectivement d'un CD d'install ou
d'un Live CD.
source: http://www.zone-h.fr/forum/viewtopic.php?t=53