L'histoire d'une intrusion dans un réseau d'entreprise avec un Raspberry Pi et les techniques qui ont permis de remonter jusqu'au pirate.

Tout est dans le titre.

Procédons par étape :

1. Formatter vos carte SD en FAT32 (1 seule partition prenant tout l'espace disponible).
2. Télécharger l'image de la dernière Rapbian disponible ici.
3. Identifier sur quel lecture votre carte SD se trouve en utilisant la commande fdisk :

   sudo fdisk -l

   N.B : chez moi il s'agit de /dev/sdb1

4. Aller dans le répertoire où vos avez téléchargé votre Raspbian (à l'heure où j'écris il s'agit de la 2017-09-07) :
5. Saisissez la commande (en remplaçant mes valeurs par les votres, ne soyez pas stupide hein) :

   # Explications :
   # 'dd' permet de faire une copie bit à bite de l'image vers votre carte SD.
   # 'if' signifie "Input File", c'est la source des données à transférer
   # 'of' signifie "Ouput File", c'est la destination des données lors du transfert
   # conf=fsync est une option de contrôle utilisée par 'dd' lors de la copie
   # status=progress permet d'afficher la progression de la copie
   sudo dd bs=4M if=2017-09-07-raspbian-stretch-lite.img of=/dev/sbd status=progress conv=fsync

6. Une fois l'opération terminée, démontez correctement votre clef USB et branchez-là sur votre Raspberry Pi

Remarques :

• Sur certaines cartes SD, l'option bs=4M doit être descendue à bs=1M autrement l'écriture ne se fera pas.
• Sur certaines version de la commande 'dd', l'option status=process soit n'affiche rien, soit empêche l'écriture ; auquel cas il faut la retirer.

Ce qui donne :

sudo dd bs=1M if=2017-09-07-raspbian-stretch-lite.img of=/dev/sbd conv=fsync

Utilisateur

** Changer le mot de passe par défaut

• Remplacer/Renommer l'utilisateur pi par un autre

Serveur SSH

• Changer le port par défaut (22) en autre chose
• Interdire les connexions SSH à root
• Mettre une clef RSA d'au moins 4096 (à partir de janvier 2017)
• Si possible white-lister les IP autorisées
• Mettre en place un fail2ban
• Désactiver toutes les formes d'authentification non supportées

Pare-feu

• Refermer tous les ports (REJECT)

OS

• Interdire l'écriture dans /tmp aux utilisateurs (à l'exception de deux exécutant des services)
• Tenir sa Raspbian à jour (apt upgrade)

• Exécuter un contrôle d'intégrité périodique (calcul de hash régulier pour s'assurer que les fichiers n'ont pas été modifiés)

  ## Le script qui fait le taf (chopé sur internet) :
  
   #!/bin/bash
   /bin/mount /dev/fd0 /mnt/floppy
   trap "/bin/umount /dev/fd0" 0 1 2 3 9 13 15
   if [ ! -f /usr/bin/md5sum ] ; then
      echo "Cannot find md5sum. Aborting."
      exit 1
   fi
   /bin/cp /usr/bin/md5sum /mnt/floppy
   echo "Calculating md5 database"
   >/mnt/floppy/md5checksums.txt
   for dir in /bin/ /sbin/ /usr/bin/ /usr/sbin/ /lib/ /usr/lib/
   do
      find $dir -type f | xargs /usr/bin/md5sum >>/mnt/floppy/md5checksums-lib.txt
   done
   echo "post installation md5 database calculated"
   if [ ! -f /usr/bin/sha1sum ] ; then
      echo "Cannot find sha1sum"
           echo "WARNING: Only md5 database will be stored"
   else
      /bin/cp /usr/bin/sha1sum /mnt/floppy
      echo "Calculating SHA-1 database"
      >/mnt/floppy/sha1checksums.txt
      for dir in /bin/ /sbin/ /usr/bin/ /usr/sbin/ /lib/ /usr/lib/
      do
         find $dir -type f | xargs /usr/bin/sha1sum >>/mnt/floppy/sha1checksums-lib.txt
      done
      echo "post installation sha1 database calculated"
   fi
   exit 0

• Rendre les fichiers critiques immutables avec chattr +i
• Désactiver / Supprimer les services inutiles

Installer une Debian (Jessie) sur une Raspberry Pi 2 (une Debian, pas une Raspbian).

Monter un serveur HTTPS avec SPDY et NGinx. Je coudifie.