• BSD (Berkeley Software Distribution)
• CDSA (Common Data Security Architecture)

Historiquement, BSD était considéré comme une branche d’UNIX (BSD UNIX puisqu’il partageait une base commune au niveau du code et du design avec le système d’exploitation original AT&T UNIX). Dès les années 1980, le BSD a été adopté par plusieurs vendeurs sous des formes propriétaires (DEC ULTRIX ou Sun Microsystems SunOS). Comme vous le savez Mac OS X est issu du noyau Mach et dérivé du BSD implémenté par Nextstep.
CDSA est composé de plusieurs services sécurités (organisés par couche) et de frameworks relatifs à la cryptographie. Pour être plus précis il s’agit d’un middleware qui offre la possibilité aux développeurs d’implémenter des éléments de sécurité au sein des applications. A noter que dans le cadre de Mac OS X, il est impossible d’appeler l’API CDSA directement. Apple considérant que l’API CDSA était trop compliqué et ne suivait pas les conventions de programmation, a préféré placer ces propres API sécurités qui se chargeront d’appeler ceux de CDSA.

L’architecture sécurité de Mac OS X est  donc basée sur plusieurs couches (layered architecture). BSD au plus bas niveau, CDSA au milieu (middleware), les API sécurités de Mac OS X puis les applications.

BSD et Mach
Le noyau de Mac OS X (le coeur du système) est basé sur BSD et sur Mac. Entre autres choses, BSD fournit un système de fichier basic, service de réseau et implémente un schéma d’identification pour les utilisateurs et les groupes. Ce dernier point consiste en la mise en application des restrictions d’accès aux fichiers et aux ressources système, le tout en se basant sur l’utilisateur et le groupe. C’est la fameuse nouvelle gestion des accès basés sur UNIX. Il est possible de restreindre l’accès selon trois points: l’utilisateur, le groupe et les autres (sous entendu tout le monde). Chacun de ces trois points définit un accès en lecture, écriture et exécution.
De son côté Mach apporte la gestion de la mémoire, des threads, l’abstraction matérielle et la communication interprocessus.  Mach permet donc de contrôler, quelle tâche envoie un message à quel port Mach (ou autres ressources Mach).

Ces deux éléments sont primordiaux à la sécurité de Mac OS X, mais ils sont également intimement liés. Si on arrive à casser la sécurité de l’un ou obtient accès à l’autre automatiquement. Attention tout de fois, BSD et Mach ne suffisent pas à implémenter un système sécurisé. Si BSD peut restreindre l’accès à un fichier ou une ressources mais par contre BSD ne permet pas de vérifier les mots de passe (et donc de s’assurer que la personne qui demande l’accès est bien celle qu’elle prétend). De manière similaire, Mach donne les droits à une tâche pour en contrôler une autre mais ne contrôle pas les données auxquelles la tâche accède.

CDSA
CDSA est une architecture sécurité Open Source adoptée comme un standard par l’Open Group. Apple c’est permis de développer sa propre implémentation de CDSA, le tout étant disponible dans le cadre de Darwin. Au coeur de CDSA, se trouve le CSSM (Common Security Services Manager) qui définit plusieurs modules ainsi qu’un API appeler CSSM API. Cet API permet d’accéder aux services de cryptographie, certificats, stockage sécurisé de données, ainsi que d’autre service de sécurités appelé “Apple CDSA Plug-ins”.

Mac OS X implémente une grande majorité des fonctionnalités de CSSM, ainsi qu’un ensemble de services sécurité qui permettent aux développeurs d’avoir une interface de programmation standardisée. A noter également que dans le but d’augmenter la sécurité des opérations sensibles, Mac OS X utilise un démon (daemon) appelé “Security Server”. Ce démon lance un processus distinct appelé, Security Agent, qui représente l’interface utilisateur du “Security Server.”

Le schéma ci-dessus illustre l’implémentation de CDSA dans Mac OS X. A noter que CDSA définit quatre couches dans son architecture et que cette illustration ne montre que le trois premières: les plug-ins CDSA, CSSM ainsi que les API sécurités de Mac OS X.

Conclusion

Ce bref article introduit l’architecture de base de la sécurité de Mac OS X. Comme vous pouvez le constater cette architecture est basée sur des bases solides. Plusieurs articles suivront pour introduire plus en détail certains concepts cités dans cet article.

Voici, une liste non exhaustive des fonctionnalités de base de ce logiciel:

• support de plusieurs protocoles (une centaine au total)
• capture du trafic en mode on/off line
• fenêtre de visualisation à trois volets
• fonctionne sur plusieurs systèmes d’exploitation: Windows, Linux, OS X, Solaris, Free BSD, netBSD, etc.
• utilisation de filtres pour faciliter l’analyse des données
• analyse du trafic VoIP
• lecture/écriture dans plusieurs formats: tcpdump, Pcap NG, Catapult DCT200, Cisco, Microsoft, etc…
• possibilité de compresser/décompresser les fichiers de capture à la volée
• les données peuvent être analysées sur plusieurs interfaces différentes: Ethernet, 802.11 (wifi), PPP/HDLC, ATM; Bluetooth, USB, Token Ring, Frame Relay, etc.
• support de la décompression de plusieurs protocoles comme IPsec, Kerberos, SNMP v3, SSL/TLS, WEP et WPA/WPA2

Certains peuvent également se demander pourquoi utiliser un tel logiciel? D’autres diront immédiatement que ce genre de logiciel est utilisé afin de faire de “l’écoute” sur le réseau et de pouvoir ainsi obtenir l’accès à des données confidentielles.
Premièrement, l’utilisation de Wireshark peut être particulièrement utile afin de trouver et réparer une panne ou un problème dans un réseau. Cet outil permet d’obtenir une meilleure compréhension de l’environnement et de l’infrastructure du réseau. Deuxièment, et je ne souhaite pas lancer un débat ici, effectivement ces outils peuvent être utilisé à des fins de Ethical Hacking.

Installation de Wireshark

A l’heure de l’écriture de cet article, la version la plus récente de Wireshark est la version 1.2.5. Vous pouvez la télécharger ici: http://www.wireshark.org/download.html. La version pour Mac OS X est téléchargeable au format binairies (déjà compiler), il suffit de glisser l’application dans votre dossier Applications et de double cliquer dessus. La seule chose importante est la suivante: vous devez installer X11. Normalement X11 est installé par défaut, si vous avez modifié l’installation du système vous devrez réinstaller ce logiciel afin de pouvoir utiliser Wireshark.

Dès que vous avez monté l’image disque, vous trouverez plusieurs dossiers (“Command Line”, “ChmodBPF” ainsi qu’un alias vers “Startup Items”). Entre autres un dossier appelé “Utilities”. Ce dossier contient plusieurs fichiers/scripts qui doivent être installés dans des répertoires spécifiques. En particulier le contenu sous répertoire “Command Line” doit être copié dans “/usr/local/bin”. Vous pouvez y parvenir via le Finder, mais voici les commandes  taper dans le Terminal en partant du principe que vous avez copié le répertoire “Utilities” sur votre Bureau.

1
2
3
4

sudo mv /Users/sganiere/Desktop/Utilities/Command\ Line/ /usr/local/bin/
sudo cd /usr/local/bin/Command\ Line/
sudo mv * ../
sudo rm -r /usr/local/bin/Command\ Line/

Attaquons-nous maintenant au répertoire “ChmodBPF”. Pour que Wireshark fonctionne correctement, il doit pouvoir accéder librement aux répertoires /dev/bpfX. Plus particulièrement ces répertoires sont utilisés par le “Berkeley Packet Filter” (BPF) afin de fournir un interface direct sur la couche “data” du protocole (couche numéro 2 dans le modèle ISO). L’accès à ces répertoires donne l’accès à tous les paquets du réseau y compris ceux destinés à d’autres machines.
Donc après cette petite explication, il faut glisser le répertoire “ChmodBPF” sur l’alias “Startup Item”. Pour ceux qui préfèremt utiliser le Terminal:

1

sudo mv /Users/sganiere/Desktop/ChmodBPF/ /Library/StartupItems

Si vous êtes sous Snow Leopard (Mac OS X 10.6), il vous faut encore modifier les autorisations sur ce répertoire:

1
2

cd /Library/StartupItems
sudo chown -R root:wheel ChmodBPF

Une fois arriver ici, il est donc conseiller de redémarrer afin de valider ces modifications et également de changer les autorisations sur ces répertoires /dev/bpfX.

Lancement de l’application

Une fois redémarré, vous pouvez lancer l’application. Le premier démarrage risque de prendre un peu de temps puisque X11 doit préparer un certain nombre d’éléments comme les polices de caractères, des dossiers de cache, etc. Si lors de ce premier démarrage vous observez un message d’erreur relatif au MIBS. Il faut modifier les préférences de Wireshark comme suit:

• Fermez le message d’erreur
• Ouvrez les préférences via le menu “Edit”
• Puis “SMI (MIB and PIB)” paths dans “Name Resolution”
• Cliquez sur “Edit”, puis “New” et ajouter “/usr/share/snmp/mibs/” dans la fenêtre popup “Directory Path”.
• Cliquez sur “Apply” et fermer la fenêtre des préférences
• Relancez l’application

Et voilà normalement vous pouvez utiliser Wireshark sans problème!

Sources:

• http://www.nightangel.fr/installer-wireshark-ethereal-sur-mac-os-x-leopard-snow-leopard
• http://michaelgracie.com/2009/10/13/getting-wireshark-running-on-os-x-snow-leopard-10.6/
• http://www.gsp.com/cgi-bin/man.cgi?section=4&topic=bpf
• http://en.wikipedia.org/wiki/Management_information_base
• http://www.wireshark.org/docs/wsug_html_chunked/
• http://en.wikipedia.org/wiki/Wireshark

Si vous avez la chance de posséder une version de Mac OS X 10.5 Leopard, vous n’avez pas besoin d’installer Ruby, Ruby Gems et Ruby on Rails. A noter qu’il faut également avoir les outils du développeur installés (Developer Tools, téléchargeable gratuitement après enregistrement sur le site d’Apple).

Ces différents éléments sont déjà installés par défaut. Par contre les versions de ces logiciels ne sont pas récentes, il s’agit donc de les mettre à jour, pour y parvenir ouvrez l’application Terminal et tapez les commandes suivantes:

1

sudo gem install rubygems-update

1

sudo update_rubygems

Ces deux premières commandes vont mettre à jour les Ruby Gems qui sont actuellement installés sur votre machine. Par la suite une réinstallation de Ruby on Rails avec les commandes suivantes:

1

sudo gem update

1

sudo gem update --system

1

sudo gem install rails

Et voilà le tour est joué

Introduction

Le compte utilisateur “root” possède tous les privilèges sur un système de type UNIX, sous entendus il peut accéder en lecture et en écriture l’entier du système et des données. C’est pourquoi il est important de limiter l’utilisation de compte au maximum, afin d’éviter tout problème de sécurité, de modifications de paramètres ou encore de perte de données. Il est vivement conseiller de désactiver ce compte après son utilisation, ou si vous n’utiliser pas ce compte de le laisser désactiver (configuration par défaut).

A noter qu’il est recommandé d’utiliser la commande “sudo” afin d’effectuer des tâches qui requièrent des accès avancés.

Remarques importantes

• Uniquement le propriétaire de l’ordinateur ou la personne désignée comme étant l’administrateur devrait être en possession du mot de passe du compte root
• N’importe quel utilisateur possédant les privilèges administrateurs peut “devenir” root ou encore modifier le mot de passe du compte root
• Il est recommandé d’utiliser un mot de passe complexe (8 caractères minimum, majuscule + minuscule, chiffre et autres caractères)
• Le compte “root” peut accéder à tous les fichiers du système, y compris les fichiers d’autres utilisateurs
• Le compte “root” peut modifier tous les fichiers du système, y compris les fichiers d’autres utilisateurs.

Activer le compte root sous Mac OS X 10.5 (Leopard)

1. Ouvrir l’application “Utilitaire d’Annuaire” (“Directory Utility” en anglais) qui se trouve dans le répertoire /Applications/Utilitaires.
2. Cliquez sur le cadenas en bas à gauche de la fenêtre.
3. Entrez votre les informations de votre compte administrateur (username + mot de passe).
4. Dans le menu “Edition”, choisissez “Activer l’utilisateur root”.
5. Entrez le mot de passe que vous souhaitez utiliser.

1

sudo visudo

A la fin de la section “# Defaults specification”, ajoutez la ligne suivante:

1

Defaults timestamp_timeout=0

Sauvez le fichier (:wq puisque vous utilisez l’éditeur vi) et maintenant à chaque fois que la commande sudo est utilisée il est nécessaire d’entrer le mot de passe.

Il s’agit d’un module Apache 2 qui permet de déployer de manière simple des applications RoR. Ce module reprend le fondement de Ruby On Rails: simplicité et efficacité. A noter que ce module est développé par une entreprise hollandaise: Phusion. Cette entreprise possède actuellement deux produits:

• Phusion Passenger
• Ruby Entreprise Edition: qui permet d’optimiser l’exécution d’application RoR (voir ici pour plus de détails)

Installation

L’installation ce fait très simplement, en quelques commandes dans le Terminal:

1

sudo gem install passenger

ce qui va installer le gem de passager sur votre machine, après il faut encore installer le module Apache 2. Pour ce faire rien de plus facile, laissons Passenger faire le travail:

1

sudo passenger-install-apache2-module

Les informations suivantes vont s’afficher dans le Terminal:

Une fois que vous avez validé avec la touche “Enter”, l’installeur va compiler le module et le déposer au bon endroit. Dans le cas ou un message d’erreur survenait, les informations nécessaires afin de résoudre cette erreur seraient affichées. Si vous n’arrivez pas à résoudre cette erreur, n’hésitez pas à vous rendre sur la documentation de Passenger.

Modification de la configuration d’Apache 2

Comme expliquez, il faut maintenant modifier la configuration d’Apache 2. Copiez les trois lignes que vous devez rajouter et collez-les directement dans le fichier de configuration d’Apache (fichier httpd.conf se trouvant dans /etc/apache2/, vous devez avoir les autorisations root pour modifier ce fichier). Par la suite redémarrer le serveur Apache (commande: sudo apachectl graceful).

Revenez dans la fenêtre d’installation du module, validez avec la touche “Enter”. Voici les dernières informations concernant la config Apache 2:

Retour dans la configuration d’Apache et ajouter simplement le code suivant à la fin du fichier:

1
2

   ServerNane www.votreserver.com
   DocumentRoot /chemin/vers/le/repertoire/public/devotre/application/RoR

Modifiez bien sûr ces deux paramètres pour que cela corresponde à vos besoins et voilà le tour et joué !!

Note: par défaut l’environnement Rails est “production” ! Si vous souhaitez changer ceci vous pouvez ajouter la ligne suivante dans votre VirtualHost:

1
2
3

   ServerNane www.votreserver.com
   DocumentRoot /chemin/vers/le/repertoire/public/devotre/application/RoR
   <strong>RailsEnv development</strong>

Apache est un serveur web produit par l‘Apache Software Foundation. A l’heure de la rédaction de cet article, Apache est en version 2.2.8, à noter qu’il y a plusieurs versions encore supportées par la fondation: 2.0.63 et 1.3.41.

Apache est conçu pour prendre en charge de nombreux modules, ce qui permet d’ajouter des fonctionnalités supplémentaires comme par exemple:

• Interprétation des langages comme Perl, PHP, Python, Ruby, etc.
• Serveur proxy
• Common Gateway Interface
• Server Side Includes
• Réécriture d’URL
• Négociation de contenu
• etc.

Comment utiliser Apache dans Mac OS X

Votre première question va être la suivante: “Apache ? Non franchement cela ne me dit absolument rien et je ne vois aucune préférence système, applications ou utilitaires s’y rattachant!” Et c’est vrai ! La réponse est somme toute assez simple, Apple n’utilise pas le terme “Apache” mais “Partage Web”! et là cela doit devenir plus clair dans votre esprit. Si ce n’est pas le cas ouvrez les Préférences Système, puis sous Partage et finalement sous Partage Web, vous devriez voir quelque chose qui correspond à ça:

Il vous est donc possible de démarrer et de arrêter le Partage Web (en fait cela permet de démarrer/arrêter Apache) en cochant/décochant la check box (point 1 sur l’image 1). Cette fenêtre vous informe également de l’adresse à laquelle vous pouvez atteindre votre site web. Il s’agit simplement de votre adresse IP (10.0.1.3 dans le cas présent, voir point 2 sur l’image 1). A noter que vous avez plusieurs adresses à disposition:

• l’adresse IP: 10.0.1.3 (ATTENTION: il s’agit de l’IP de l’ordinateur utilisé lors de la rédaction de cet article, utilisez bien votre IP!)
• l’adresse de la boucle locale: http://localhost/
• l’adresse de la boucle locale mais à la sauce Apple: imac.local. A noter que cette adresse dépend du nom de votre machine, vous pouvez modifier le nom de votre ordinateur grâce à la zone prévue à cette effet (point 3 sur l’image 1).

Vous également remarquer qu’il y a deux adresses précises dans cette fenêtre, une pour le site web de l’ordinateur (point 2) et une pour le site web personnel (point 4). Voici quelques explications supplémentaires concernant ces “deux sites web”.

Le site web de l’ordinateur

Ce que Apple entend par site web de l’ordinateur, correspond en fait au répertoire principal de votre site web (en terme Apache, cela correspond au DocumentRoot). Faites un petit essai, et ouvrez une page Safari à l’adresse indiquée au point 2 de l’image 1 (enfin à l’IP qui s’affiche chez vous), vous devriez avoir quelque chose qui ressemble à la fenêtre Safari de l’image 2:

Par défaut le répertoire principal de votre site web, se situe dans: “/Library/WebServer/Documents” (enfin /Bibliothèque/WebServer/Documents pour la version française de Mac OS X). Comme le montre le point 2 de l’image 2 ce répertoire contient un certain nombre de fichiers. Toute modification d’un fichier dans ce répertoire, aura donc un conséquence sur ce qui s’affiche à la base de votre site web.

Le site web personnel