Chiffrer une base MariaDB pour Gophish

Chiffrer une base MariaDB

Salut à tous, aujourd’hui on va regarder comment on peut protéger des tables de base de données et chiffrer une base MariaDB. En effet, dans ce précédent article sur Gophish, je vous ai montré quelques outils open source pour faire des campagnes de phishing. Ce que je n’ai pas pris le temps de vous dire, c’est que lorsqu’on fait du Phishing en entreprise (ou en presta), on récupère de la donnée personnelle, au sens RGPD, mais genre en masse.

Déjà, en amont de la campagne, votre « client » va devoir vous donner la liste des utilisateurs cibles et leur adresses e-mail. Et puis pendant la campagne, les « victimes » vont s’authentifier sur un portail laisser un nom d’utilisateur, potentiellement un mot de passe, un horaire, etc. Bref, autant je ne fais pas partie des ayatollahs qui considèrent qu’une adresse IP toute seule est une donnée personnelle, autant dans ce type de cas, il n’y a pas trop de débat.

Du coup, on a des obligations vis à vis de ces données : protection, information en cas de pépins, destruction, enregistrement dans un registre du traitement, etc. je ne vais pas vous refaire le RGPD ici. Mais dans ce … Lire la suite

Outils de sensibilisation au phishing

Outils de sensibilisation au phishing

Bonjour à tous, aujourd’hui je voulais vous parler de quelques outils de sensibilisation au phishing pour gérer vos campagnes en interne (ou en prestation chez des clients).

Le Phishing ?

Pour les nuls, le phishing ou spear-phishing (quand on ajoute un peu de social-engineering ou d’OSINT pour faire des campagnes bien ciblées) est une technique d’attaque « populaire » (euphémisme). Notamment pour franchir les barrières périmétriques des systèmes d’information.

En effet, un des rares éléments encore entrant aujourd’hui dans les SI (i.e. qui passe d’Internet jusqu’aux postes de travail) reste le mail. Il s’agit donc d’une entrée de choix pour les attaquants qui veulent prendre pied dans un SI. De plus, il y a un aspect statistiques à avoir en tête : même avec un très faible taux de succès (disons 0,01%) si vous envoyez une campagnes de 200 000 mails, vous aurez quand même compromis 20 machines (et le taux peut être beaucoup, beaucoup plus élevé si vous réfléchissez un peu à vos mails).

Pourquoi sensibiliser vos utilisateurs sur le sujet Phishing ?

Contrairement au failles « purement technique » qui doivent être gérées par des admins (normalement un peu compétent et conscient des risques à ne … Lire la suite

Extraire un champs en JSON dans Splunk pour Gophish

Bonjour à tous, aujourd’hui j’ai du réaliser un rapport d’une campagne de phishing réalisée avec Gophish. Vous me connaissez, je suis pas du genre à aimer bosser dans Excel, du coup j’ai mis les résultats directement dans Splunk. Gophish est un super outil mais il a un format de log chelou a base de CSV avec du Json dedans. Du coup, on regarder rapidement comment extraire un champs en JSON dans Splunk. Alors je ne parle pas de log en format entièrement en JSON, hein, je parle bien d’évènements de « normaux » (syslog, CSV, texte, etc) avec un champs en JSON au milieu. Par exemple, un log raw de Gophish ressemble à ça :

7,jean.dupont@geekeries.org,2020-11-03T14:36:52Z,Clicked Link,"{""payload"":{""rid"":[""fKteVMb""]},""browser"":{""address"":""12.34.56.78"",""user-agent"":""Mozilla/5.0 (Linux; U; Android 11; fr-fr; Mi MIX 2S Build/QKQ1.191828.002) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/71.0.3579.141 Mobile Safari/537.36 XiaoMi/MiuiBrowser/12.42.1-g""}}"

On voit bien ici que le dernier élément du CSV (colonne « details » d’un export raw de Gophish) est un bon gros JSON des familles. Du coup c’est pas idéal à extraire en field extraction classique avec le source type et transform dans Splunk puisque le Json change fortement en fonction du type d’évènement. Bref, c’est un peu relou. Par contre, en search … Lire la suite