Hacking & Sécurité
En cette période mouvementée, de plus en plus de personnes tiennent à protéger leur identité sur le Net. En effet la navigation laisse des traces parfois très compromettantes qui peuvent être exploitées par des pirates ou encore l’État (notamment avec Hadopi et la lutte anti-piratage)…
Bien entendu, beaucoup ont opté pour les proxy anonymes mais tout le monde ne peut se permettre cela. Aussi, voici une technique méconnue qui permet de se cacher un peu plus et donc d’être plus furtif !
Le but : changer l’empreinte du système d’exploitation (OS) afin d’éviter qu’il ne soit identifié sur le Web.
Avec un simple scan d’une machine, un attaquant potentiel peut facilement amasser une quantité non négligeable d’informations pouvant permettre un piratage (notamment si la personne mal intentionnée tente d’utiliser un exploit bien particulier).
Ce phénomène est directement lié aux caractéristiques de TCP/IP.
Pour les scans, le programme le plus couramment utilisé reste Nmap, possédant des options redoutables…
Maintenant, imaginez que vous êtes connecté à un réseau P2P et que votre machine soit détecté comme une XBOX ! Cela permet de brouiller fortement les pistes (jusqu’à un certain point bien entendu).
L’article est basé sur un PC tournant sous WinXP. Il faut modifier la configuration interne de celui-ci pour changer la façon dont le stack TCP/IP est lu depuis l’extérieur.
Pour cela, direction la Base de Registres !
ATTENTION tout de même : rappelons ici que toute modification sur la base de registres peut provoquer de graves dysfonctionnements (donc faites une sauvegarde avant).
Procédure : Allez dans Démarrer / Exécuter / regedit
Les clés à modifier se trouvent dans :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersTcp1323Opts
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersEnablePMTUDiscovery
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersTcpUseRFC1122UrgentPointer
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersTcpWindowSize
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSackOpts
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces*MTU
Il ne faut pas mettre n’importe quelle valeur sinon le système plantera.
Pour vous aider, un programme est capable de le faire automatiquement : OSfuscate.
Cette opération de brouillage protège des scans occasionnels et non approfondis. Un scan plus agressif et répétitif parviendra tout de même à vous identifier à partir de l’empreinte DHCP émise sur le réseau…
Cette chaine est codée en Hexadécimal sur 8 bytes dans une DLL système (dhcpcsvc.dll) et nécéssite un éditeur Héxa et un utilitaire bootable pour être modifiée. Le but étant d’identifier les bytes de l’OS (exemple : « MSFT 5.0″ ==> 4d53465420352e30) et de les remplacer par l’empreinte d’un autre système.
Un patcheur est livré avec OSfuscate pour réaliser en partie cette tâche : dhcpcsvc patcher.exe.
Note : la restauration système doit avoir été désactivée pour réaliser cette opération.
Voila c’est fini !
!
