articles
réactions
Jeff - 25.02.2008 | 0 réactions | #link | rss
Ca bouge pour les amateurs de failles Web:

http://www.csnc.ch/misc/files/publications/the_onion_router_v1.0.pdf ce papier montre que l'on peut se placer en noeud de sortie (exit node) pour TOR, voir passer tout le trafic, modifier des requetes (je sais c'est pas nouveau, mais là c'est assez clair), pour rajouter du contenu dans les pages web à la volée (tel que Flash, Real, etc). Ce contenu, interprété par le navigateur, à pour but de forcer ce dernier ou l'add-on correspondant à contourner le tunnel TOR et ainsi révéler l'IP source. La papier montre par exemple comment faire des sockets avec Shockwave.

http://www.goolag.org pour ceux qui se souviennent du Cult of the Dead Cow (Back Orifice & co)... Un outil automatisant le Google hacking (mieux que celui de Foundstone, je suppose) et l'utilisation des dorks.

Enfin webapp_threats_and_countermeasures_v2.1.zip contient une matrice (en Allemand) sur les menaces du web. Utile comme checkliste.
Jeff - 16.02.2008 | 0 réactions | #link | rss
Alors voilà, comme c'est un sujet récurrent et à priori intéressant pour beaucoup de personnes (sans parler de leurs motivations), j'ai continué mes bidouilles après cet article.

On m'a judicieusement rappelé ce lien, que je n'étais pas allé voir depuis longtemps. Il s'agit des projets de Hak5, en l'occurrence les clés USB destinées à récupérer les mots de passe Windows.



Le projet propose plusieurs solutions, notez que plusieurs liens ne sont plus actifs (au moment où j'y suis allé). Ensuite, j'ai écarté les solutions se basant sur les clés U3, je n'avais pas envie de flasher ou débugger les outils proposés. Notez là aussi que ces procédés sont totalement réalisables, même si quelques effets de bord existent (images corrompues ou mal mises à jour) et qu'il est nécessaire de bien tester le processus avant de vouloir l'utiliser en live.

Alors, parmi les solutions restantes, je citerai "Gandalf's technique" et la "DLSS's update (v2)".
  • La première copie des fichiers sur le disque dur, les décompresse et les exécute avant de copier les résultats sur la clé et de tout effacer. Je n'ai pas eu des résultats brillants, juste quelques infos générales quand le script ne plantait pas (le répertoire temporaire sur le disque peut être accédé directement avec %temp%, cela permet de suivre l'état d'avancement du processus).

  • La deuxième semble beaucoup plus prometteuse. D'une part elle est assez discrète et rapide, d'autre part je n'ai pas eu d'effet de bord (du genre "Lsass.exe a rencontré une erreur et votre PC va rebooter dans 60 secondes"). En clair, soit cela marche et l'on récupère les hashes et autres mots de passe enregistrés, soit cela ne marche pas mais aucune erreur n'est générée (à part dans le fichier de résultats). Le tout présenté sobrement et efficacement pour s'y retrouver facilement.


Dans les 2 cas, bien placer les fichiers à la racine de la clé, sinon les scripts s'emmêlent les pinceaux et aucun résultat n'est loggé.

A suivre...
Jeff - 09.01.2008 | 305 réactions | #link | rss

Je vous parlais il y a quelques temps du site Badoo, qui est orienté rencontres et chat (rien de sexuel, non, non...), et qui fait appel à de bien mauvaises pratiques pour attirer de nouveaux internautes.

Cette fois-ci, il ne s'agit plus de moi mais d'une amie qui m'appelle -affolée- pour avoir mon avis. Voulant créer rapidement son compte, elle a utilisé une photo au hasard sur le web (un top-model de préférence, le genre de truc qui saute aux yeux tellement le modèle est connu).

Suite à quoi, elle a eu la surprise de voir son compte bloqué, puis a reçu le mail suivant:


Votre profil Badoo a été signalé et modéré

Vous avez été signalé comme ayant essayé de scammer nos utilisateurs. Vos informations personnelles et le lieu de vos connexions sur notre site ont été transférés aux autorités locales.

L'équipe Badoo


Et alors sa question: vais-je aller en prison? Va-t-on me poursuivre pour avoir utilisé une photo?

-_-'

Voyons. Résumons-nous.

  • tu n'es pas Nigériane (que je sache). Voir ici pour ceux qui voudrait me traiter de raciste.

  • tu n'as pas essayé de vendre quoique ce soit, ni d'escroquer les gens en utilisant cette photo.

  • tu n'as pas renseigné tes informations personnelles dans ton profil (ouf! - de toute façon tu sais très bien que ce genre de site à tendance à vendre ou à divulguer les identités de ces membres un jour ou l'autre).

  • tu te connectais depuis un autre pays (la Suisse).



On peut donc en conclure que:

  • ce mail est une grosse intox, mais alors bien grasse, digne d'une dinde de Noel.

  • ce mail a été envoyé automatiquement parceque quelqu'un qui t'a dénoncé (plutôt rapidement d'ailleurs... sûrement un maghrébin déçu par les multiples refus de mariages blanc qu'il a reçus. Eh non, toujours pas de racisme ici, je ne fais que relayer les tendances que je vois. Pour info, le prix de base se situe aux alentours de 5'000 euros actuellement. Et franchement, je trouve ca un peu mesquin.)

  • ce mail ne veut juste rien dire. Quel rapport avec le scam? Pardon, j'avais oublié que ce genre de site n'a pas pour habitude de communiquer, je n'attends donc pas de réponse. Hehehe.

  • Les autorités locales? Et bien j'espère qu'elles auront mieux à faire, plutôt que d'accepter une plainte non-fondée qui d'ailleurs n'aboutirait jamais.


Enfin bref, tout ca pour dire que la protection de la vie privée est à la charge de chacun; n'attendez pas des sites webs qu'ils vous protègent ou qu'ils soient un brin éthiques... Bienvenue dans le monde fabuleux du Web 2.0 (j'ai bien mis "beurk" dans mes tags, non?)


PS: au fait, courage et merde à DatingWatch qui fait face à son premier procès... sans doute pas le dernier, souhaitons-le (ca veut dire longue vie à vous, hein).
Jeff - 28.12.2007 | 1 réactions | #link | rss
La naissance de ce mouvement était mentionnée dans cet article. Depuis, le temps a passé et les revendications se sont affirmées. La Suisse bénéficie elle aussi, depuis peu, d'une antenne "locale" à cette adresse: http://www.piraten-partei.ch/.


Côté français, les dernières nouvelles sont inquiétantes. Entre conflit d'intérêts et tentative de flicage des médias et des internautes, on ne peut pas dire que Sarkozy y aille par quatre chemins. Entre un "Far Ouest high-tech" et le "vol à l'étalage numérique" (discours), on reste dans les amalgames faciles (populistes?) et habituels de notre cher président. Sauf que ce coup-ci, le karcher a été remplacé par les CDs de la FNAC. Et puisque Carla a dit que l'internet, c'était mal...


Jeff - 14.08.2007 | 3 réactions | #link | rss
Tout le monde sait que lors de l'utilisation de Windows, la moindre action laisse très souvent des traces ou est enregistrée à différents endroits - non que le système nous espionne, mais plutôt dans le but de faciliter les tâches récurrentes: sites visités, navigation offline, enregistrement des logins, documents ouverts, etc...

Du point de vue respect de la vie privée, ce n'est évidemment pas quelquechose de fabuleux, et on peut avoir une multitude de raisons de vouloir effacer ses traces et autres données personnelles. Je ne connais pas *tous* les endroits où se cachent ces infos, mais j'essaye de dresser ma petite liste, au fur et à mesure de mes trouvailles:


  • Dosssiers temporaires: contient très souvent les archives auto-extractibles, zip et rar, word, office, etc. Plusieurs emplacements possibles:

      Corbeille
      Recycler
      %SystemDrive%\Recycler
      C:\WINDOWS\Temp
      %WinDir%\Temp
      C:\Documents and Settings\votre_login\Local Settings\Temp
      C:\Documents and Settings\votre_login\Recent [documents récents]



  • Dossiers "cache" web, cookies, images, liens, etc. Contient des données temporaires utilisées par le navigateur:

      C:\Documents and Settings\votre_login\Cookies
      C:\Documents and Settings\votre_login\Favoris [liens IE]
      C:\Documents and Settings\votre_login\Local Settings\Historique [historique IE]
      C:\Documents and Settings\votre_login\Local Settings\Temporary Internet Files [fichiers tempo. IE]
      C:\Documents and Settings\votre_login\Local Settings\Application Data\Microsoft\Feeds Cache
      C:\Documents and Settings\votre_login\Application Data\Mozilla\Firefox\Profiles\taqxxxxx.default\bookmarkbackups [backups liens Firefox]
      C:\Documents and Settings\votre_login\Local Settings\Application Data\Mozilla\Firefox\Profiles\taqxxxxx.default

    D'une manière générale, il suffit de taper cela dans la barre d'adresses de Firefox:
    about:cache
    Apparaissent les caches (RAM et HD) utilisées par le navigateur. Il est ainsi possible de les lister (les fichiers stockés sur le disque ne sont pas lisibles directement) et donc de les effacer. Cela permet également de trouver un fichier qu'il n'est pas possible d'enregistrer via le navigateur (type video/flash/etc...).


  • Dossiers email:
    C:\Documents and Settings\votre_login\Application Data\Microsoft\Address Book [carnet d'adresses]


  • Il faut savoir que vider la corbeille ou effacer des fichiers (Suppr ou Shift+Suppr) ne permet pas réellement d'effacer les données sur le disque dur. Il reste des moyens pour les restaurer en lisant le disque dur directement, en bas niveau.
    Ceci est quasiment toujours valable, à moins d'avoir une machine avec beaucoup de mouvements et d'enregistrements qui risquent de réécrire par-dessus les données "effacées".
    Pour récupérer des fichiers, il existe différents outils (la plupart du temps payants):

    • Stellar Phoenix
    • Recover My Files
    • etc...



    Pour effacer réellement les fichiers, il faut explicitement réécrire sur les zones du disque dur où étaient stockées les données. Plusieurs outils existent et offrent, à priori, de bons résultats:
    - Eraser est gratuit et proposent différentes méthodes. Il s'interface dans Windows (menu contextuel, corbeille, etc).
    - à venir


  • En ce qui concerne la récupération de fichiers "effacés", je suis tombé récemment sur des produits spécifiques pour médias amovibles, types clés USB, cartes mémoires, appareils photo, etc. Bien sûr, cela doit fonctionner comme un disque dur, me direz-vous. Et bien non, en fait ce n'est pas tout à fait pareil. Un disque dur est un support de stockage par écriture électromagnétique (galettes et têtes) alors que les cartes mémoires contiennent de la mémoire dite flash, eeprom ou autre. L'écriture se fait électriquement afin de changer l'état de chaque cellule de mémoire. En pratique, on appelle ces opérations des "cycles", et les fabricants garantissent un nombre minimal de cycles sans erreur. Au-delà, il se peut que des erreurs apparaissent, c'est-à-dire que des cellules soient défectueuses ou tout simplement mortes.
    Le nombre de cycles garantis n'excède habituellement pas les 100'000 ou 500'000. C'est pourquoi, il n'est pas recommandé d'utiliser une clé USB comme RAM disk par exemple, ni comme un disque dur externe, tout simplement parceque les utilisations faites de ces derniers ne correspondent pas aux types de mémoires flash...
    En contrepartie, les fabricants de flash ont développé des algorithmes d'écriture bas niveau afin de rallonger la durée de vie de leurs produits. Concrètement, l'agorithme va se charger d'éviter qu'une écriture ne se produise toujours au même endroit, en répartissant les données sur différentes zones. Un algorithme connu est appelé "wear levelling".
    Ce qu'il faut retenir, c'est donc le fait que la vision logique des données ne correspond pas à la réalité physique de la mémoire amovible. Très souvent les données restent présentes sur le support.

Jeff - 06.02.2007 | 0 réactions | #link | rss
Les failles dites "client-side" concernent plus particulièrement les utilisateurs et leur poste de travail. En effet, ces failles s'appliquent aux logiciels de bureautique courants et non aux systèmes serveurs et autres mainframes.

Par définition, la principale victime est donc l'utilisateur du poste; par rebond, tout son voisinage réseau peut également être infecté (ce qui présente un intérêt dans le cas d'un employé travaillant sur le réseau de son entreprise, moins dans le cas du consommateur de base). Ainsi, il n'est pas rare de voir les plus grands acteurs (sic) du domaine de la sécurité se heurter à des infrastructures bien protégées puis viser les employés pour ensuite réussir à remonter vers les serveurs. Je ne leur jette pas la pierre, quand il n'y a pas le choix il faut bien s'en contenter...

Pour les internautes privés, les enjeux sont tout autres cependant. D'une part, les risques pris par un pirate sont très faibles, d'autre part les bénéfices sont multiples: une fois le poste de l'internaute contrôlé, il est virtuellement possible d'en faire ce que l'on veut. Envoyer ou relayer du mail et du spam, créer des réseaux de machines pour spammer massivement, héberger de faux sites webs, voler ou espionner des informations privées telles que numéros de cartes bancaires, identités, forcer l'achat de logiciels, etc...

Pour les anglophones, allez vous faire peur avec cette petite vidéo: quand un vers intègre une faille client-side (VML, dans IE). En gros, en prenant l'exemple de MySpace (voir mon post précédent), l'attaquant compromet un utilisateur, lui injecte son code, qui lui-même se répand par email entre les utilisateurs de Myspace, qui à leur tour sont infectés en ouvrant ce mail, etc, etc...
L'histoire originale du vers est disponible ici. Il n'utilisait pas de faille client-side, mais a réussi à compromettre plus d'1 million de comptes en 20h.


L'utilisation de failles client-side permettrait d'attaquer directement les postes des utilisateurs et non leurs comptes web. Les conséquences seraient catastrophiques.

Pour enfoncer un peu le clou, ces failles existent pour une multitude (la totalité?) d'applications courantes:

  • Microsoft Office (Word, Excel, Access, etc.): les fichiers peuvent contenir macros, virus, buffer overflows...

  • Acrobat Reader (fichiers PDF): multiples failles dans les plugins de navigateur, heap overflow dans le reader (critique).

  • Emails: attaques de phishing, XSS et autres manipulations des URLs.

  • VCard: buffer overflows divers et variés.

  • Pages web: tout contenu actif peut intégrer des virus ou autres (ActiveX, etc.)

  • Java: buffer overflow dans la JVM (critique)

  • Winzip: buffer overflows dans l'application (ici).

  • Images (JPG, WMF, VML, GIF, etc) : multiples vulnérabilités critiques.

Jeff - 15.09.2006 | 1 réactions | #link | rss
Pour ceux qui comme moi n'ont ni le temps ni l'argent pour voyager aux 4 coins du monde et participer aux multiples conférences dans le domaine de la sécurité informatique, la plupart proposent leurs proceedings (les actes) gratuitement sur le web. Pour peu que l'on cherche correctement:


PS: cette liste sera mise à jour de temps en temps. Première update grâce à Sid (post ci-dessous). Thanks!
Jeff - 25.08.2006 | 0 réactions | #link | rss

Il existe de multiples outils et moyens de préserver son anonymat sur le net, avec plus ou moins de succès cependant. Ce post a pour but d'en recenser un certain nombre, tous gratuits bien évidemment. Pour commencer, voici les traces que vous laissez sur Internet lorsque vous surfez:

DNSStuff
CNIL



Systèmes

Anonym.OS est un Live CD (comprenez un CDRom contenant l'intégralité du système d'exploitation et n'utilisant -de base- que la mémoire vive de l'ordinateur, ce qui évite de laisser des traces) téléchargeable gratuitement sur sourceforge à l'adresse suivante:
Projet Anonym.OS, supporté par l'équipe Kaos Theory.
Il est basé sur une distribution OpenBSD configurée avec les paramètres-qui-vont-bien pour filtrer / chiffrer / anonymiser les données entrantes et sortantes de l'utilisateur.



Réseaux

Tor est une référence <marseillais> planétaire </marseillais> dans le domaine de l'anonymat; soutenu par l'Electronic Frontier Foundation, il est composé d'une multitude de serveurs dispersés sur le net, interconnectés entre eux de manière à router les communications des utilisateurs selon différents chemins. L'adresse IP finale change régulièrement afin de ne pas permettre de corrélation entre les données échangées et l'adresse assignée par Tor.
Notez qu'en théorie cette méthode atteint une efficacité maximale lorsque le nombre d'utilisateurs est suffisamment important.
En pratique, Tor s'interface simplement en tant que proxy local sur les communications; il est téléchargeable à l'adresse:
tor.eff.org

Les proxies anonymes et libres sont également de bons moyens pour surfer tranquille (à éviter cependant pour des utilisations plus délicates). Un proxy est un serveur utilisé en relais des requêtes de votre client, principalement pour le web. Les requêtes ainsi modifiées sont alors attribuées au serveur proxy et non plus à votre client, d'où un certain degré d'anonymat.
C'est un système habituellement utilisé en entreprise, afin d'éviter que les postes des utilisateurs ne soient directement connectés à Internet (additionnellement, les proxies peuvent alors servir de pare-feu, de NAT, d'anti-virus, etc -que les puristes me foutent la paix!- ).
Il arrive que certains proxies soient accessibles depuis l'extérieur par des internautes quelconques (volontairement ou par inadvertance). Et donc utilisables par tout-à-chacun (après configuration de votre navigateur); le probème étant de trouver une liste à jour. Le meilleur moyen est de faire une recherche Google au moment voulu (et d'utiliser la cache de Google si besoin):
Google search : Free + Proxy + inurl:".ru"
Ou d'essayer les sites suivants:
FreeProxy.ru
ProxZ
Proxy-list
FreeProxyLists
FreshProxy
etc,etc,etc...


Que ce soit avec Tor ou un proxy anonyme sur Internet, il devient vite fastidieux de changer et reconfigurer sont navigateur sans arrêt selon où l'on surfe. C'est pourquoi il existe un plugin pour Firefox appelé SwitchProxy qui permet de gérer tout cela en un clic...



Email

Le mail est également une donnée révélatrice de l'identité d'une personne. Il est donc très souvent utile de créer une adresse bidon sur un site gratuit (Yahoo!Mail, Gmail, Hotmail, Mail, etc...) avec une fausse identité et de ne l'utiliser que pour certaines démarches. Il ne faut pas que cette adresse email puisse être corrélée avec un nom, une IP, une adresse postale ou un comportement sous peine de perdre les bénéfices de l'anonymat.
Il existe des services anonymes dédiés pour une telle utilisation:
Le site DodgeIt ne demande aucune identification ni gestion de compte. Il suffit de choisir une adresse au hasard sur le domaine et les mails qui arrivent seront conservés une semaine.


Navigateurs

Vaste sujet! Le nombre de technologies et applications utilisées par un simple navigateur fait qu'il devient très difficile de savoir où se trouvent vos informations et qui peut y accéder...
Saviez-vous que Flash permet l'utilisation de cookies (jusqu'à 100Ko par site web) qui ne sont pas stockés à l'emplacement habituel et ne sont jamais effacés (même en purgeant la cache)? Que ces cookies peuvent être lus par d'autres sites, s'ils sont "bien" configurés? Que la configuration de ce comportement n'est modifiable que via le site d'Adobe?
Oui mais on vous dit ici que le respect de la vie privée est une priorité et qu'il est garanti par une foultitude de mécanismes (tous avec des clauses particulières cependant). Et oui, on vous donne un marteau, mais c'est à vous de ne pas vous taper sur les mains ou de vous protéger avec des gants.

Quid de la cache des navigateurs alors? Formidable tout ce que l'on peut y (re)trouver... Le mécanisme d'AutoComplete (remplissage automatique sur la base de ce que vous avez déjà renseigné par le passé) est une source intarissable d'informations. Utilisateurs de Firefox, faites le test vous-mêmes... Je viens moi-même d'y retrouver tous mes numéros de carte bleue, toutes mes adresses email, toutes mes adresses postales, etc, etc. Un excellent papier à ce sujet est disponible sur le site de la Black Hat.




Ressources diverses

Il est également possible de se créer une adresse postale totalement bidon mais syntaxiquement correcte (code postal valide, nom valide, téléphone valide, etc...) c'est-à-dire que chaque élément existe mais que l'ensemble ne correspond à personne. Utile pour déjouer les systèmes vérifiant la localisation géographique d'un individu par exemple.
Fake Name Generator
Acheter en se protégeant? Se sont les cartes virtuelles, prépayées et prévues pour les achats en ligne, ou les numeros de carte virtuels, etc.
ePassporte Visa
Citibank numéros virtuels

Et pour aller plus loin, un article récent chez Darknet: Chaining socks.
Jeff - 16.08.2006 | 4 réactions | #link | rss
Le parti pirate est un mouvement sur Internet (et maintenant politique) suédois créé début 2006.
www2.piratpartiet.se

Version anglaise:
www2.piratpartiet.se/international
Objectifs: The reform of copyright laws, the abolishing of patents and working against installing more regulations, and remove the Data Retention Act.

Le mouvement s'est répandu dans plusieurs pays, par exemple la France (idem en UK, aux US, etc....):
www.parti-pirate.info
Objectifs spécifiques: réformer la loi DADVSI


Autre initiative, le mouvement suédois vient de lancer un darknet (5 euros/mois): www.relakks.com/?lang=eng
Pour l'instant, le service croule sous les demandes, victime de son succès...

Un coup d'oeil aux infos contractuelles s'avère intéressant (menu sécurité -> encryption, legal...):

  • "For security reasons RELAKKS do not use any American software"

  • "RELAKKS do not have to keep an ordinary customer database"

  • "demanding subscription information from RELAKKS (...) if convicted the user will be imprisoned – fined not enough)"

  • "to force RELAKKS to hand over “traffic data” including your RELAKKS IP at a specific point in time, they will have to prove a case with the minimum sentence of two years imprisonment."


Que demande le peuple?
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch