mercredi 28 avril 2010

Swordfish

A une époque, je m'étais mis en tête de rassembler toutes les quotes de films vaguement liées à la "sécurité informatique". Ce soir, je viens de tomber sur ce joyau, tiré de Swordfish ("Opération Espadon"):

- So, what we need from you is a worm.A hydra, actually.A multiheaded worm to sniff out digital footprints across an encrypted network.
- What kind of cipher?
- A Vernam encryption.
- The key code is destroyed upon implementation. And it's a true 128-bit encryption.
Et voici à quoi ressemble la réalisation de cette fameuse "hydre" (hahaha):

Un assemblage de cubes en 3D ...

mardi 20 avril 2010

Playing in a Satellite Environment 1.2

En parcourant les conferences de BlackHat DC 2010, je suis tombé sur celle-ci, qui parle de quelques attaques possibles dans un environnement IP par Satellite (généralement DVB-S). Bien que ne travaillant plus dans ce domaine depuis quelques semaines, je me tiens quand même au courant de ce qui se fait.
Je savais que le spoofing TCP sur satellite était possible, dans la mesure où nous n'avons même pas besoin de prédire les numéros de séquence TCP dans le cadre de l'établissement d'une connexion (nous sommes en mesure d'intercepter le trafic à destination de l'IP que nous souhaitons usurper, à condition d'être dans la zone de couverture satellite de cette même IP, et bien évidemment, qu'elle reçoive son flux IP par satellite ;)), donc en ce sens, ce document n'apporte rien de nouveau.
Mais parfois ça ne sera pas aussi simple. Certaines porteuses ne transmettront pas un flux TCP/IP utilisable tel quel. Un exemple que j'ai pu voir à l'époque où j'ai utilisé des équipements de réception DVB/IP c'est le cas où l'opérateur utilise des mécanismes dits "d'accélération TCP". Une explication pas mauvaise sur ce qu'est l'accélération TCP est donnée dans un PDF trouvable sur le site de SkyVision, mais en deux mots, dans ces cas là, on se retrouve avec un flux TCP encapsulé dans de l'UDP, et parfois même, chiffré avant d'être encapsulé, ce qui implique quand même un peu de recherche, avant d'aboutir à quelque chose d'utilisable (comprendre: à moins de disposer de moyens conséquents pour casser le chiffrement, ça ne sera pas forcément envisageable), et donc la mise en pratique de certaines de ces techniques ne sera pas possible.
Je n'ai pas de chiffres à donner sur la proportion de porteuses utilisant ce type, mais cela ne dépend pas du satellite utilisé:
Sur le satellite W3, nous voyons un certain nombre de porteuses fournissant de l'IP (Horizon Satellite Services, et SkyDSL par exemple). Au cours de mes tests, j'ai pu constater que SkyDSL utilisait de l'accélération TCP avec du TCP encapsulé dans de l'UDP, mais pas Horizon.

Plus d'infos sur l'IP over satellite un jour prochain, peut-être ! (faudrait qu'un jour je release mon code de conditionnal access IP/DVB développé à mes heures perdues, utilisant IPsec, mais le code étant vraiment moche, j'hésite :))

La fin d'une époque

J'ai découvert ce week-end que securite.org était maintenant "down" (du moins, la partie "annuaire" de liens vers des ressources intéressantes touchant à la sécurité).
L'info date déjà d'il y a presque 3 semaines, mais il m'arrive de ne pas lire twitter pendant longtemps, et je passe à côté de certaines infos, comme celle de Nico qui en faisait l'annonce le 4 Avril.
Ce site a été un des premiers sur lesquels je suis tombé lorsque j'ai commencé à un petit peu m'intéresser à la sécurité informatique (et il m'a permis de coller des visages sur des auteurs d'articles que je lisais sur le site de OUAH également ! :)), et bien que non mis à jour depuis quelques années maintenant, une grande partie des liens présents étaient encore d'actualité.
Je ne crois pas qu'il existe de site reprenant plus ou moins le flambeau; il faut dire que la manière de diffuser de l'information de nos jours a quelque peu changé, une grande partie de l'information intéressante en sécurité informatique va se chercher sur les blogs des différents acteurs du microcosme de la sécurité informatique maintenant, qui en sachant qu'ils sont lus, y publient leurs trouvailles; d'autres citant abondamment ces mêmes articles de blogs, permettant ainsi d'élargir le nombre de gens lisant ces blogs (c'est un peu le peer to peer de l'information :))

lundi 12 avril 2010

J'ai sûrement zappé un truc

Un article du New York Times qui parle du quotidien des journalistes étrangers en Chine, et de la surveillance dont ils font l'objet.
Mais lorsque l'auteur explique comment il a compris qu'il était mis sous surveillance, un truc me chiffonne:

"For weeks, friends and colleagues complained I had not answered their e-mail messages. I swore I had not received them.

My e-mail program began crashing almost daily. But only when all my contacts disappeared for the second time did suspicion push me to act.

I dug deep inside my Yahoo settings, and I shuddered. Incoming messages had been forwarding to an unfamiliar e-mail address, one presumably typed in by intruders who had gained access to my account."

Je ne vois pas très bien, avec juste ces explications, comment un client mail (outlook/thunderbird ?) peut crasher à cause d'un forwarding e-mail mis en place chez un prestataire de services e-mail. J'ai forwardé une de mes adresses e-mail vers mon adresse GMail pendant une période (pour profiter de l'antispam relativement efficace) sans que cela fasse crasher Thunderbird. On va mettre ça sur le compte du fait que l'auteur de l'article ne soit pas spécialement un informaticien (en regardant ses derniers articles, on constate qu'il rédige plutôt des articles de faits divers en Chine) et que ses explications techniques ne sont peut-être pas très claires. Il y avait peut-être une backdoor en plus sur son PC, qui faisait crasher son programme mail, mais dans ce cas, quel intérêt de forwarder en plus les e-mails ? (une réponse peut-être que la backdoor surveille autre chose que ses mails)

Mais je ne comprends pas l'intérêt pour ces Chinois du FBI de supprimer les mails/contacts du journaliste, s'ils veulent rester undercover. Comment dire, c'est tout sauf discret :-)

dimanche 11 avril 2010

Un NAS que je déconseille: Freecom Network Media Center

Je me suis enfin décidé à acheter un NAS, pour diverses raisons pratiques. Dès le début je m'étais donné le ton: je ne conserverai pas ce NAS très longtemps (maximum 1 an, pour un peu évaluer mon activité dessus), donc je n'envisageais pas d'y mettre un prix trop élevé.
Direction Grosbill, pour prendre le moins cher: un Freecom.
Les specs ont l'air raisonnables, pour un appareil de ce prix là (150 euros). Mais je pense que la majorité de mes lecteurs savent tout à fait que des specs restent des specs...
L'interface de configuration, via des CGI en Perl, est relativement lente pour une raison encore inexpliquée (ça sent le truc codé par un goret derrière).
On nous vante un système de refroidissement ultra silencieux, mais qui en réalité fait plus de bruit que mon (vieux) PC de bureau: il devrait pouvoir finir aux côtés de mon Cobalt Qube en terme de nuisance sonore (donc dans le couloir ! :))
Au niveau "media center", je n'ai pas encore eu le temps de trop expérimenter: j'ai juste pu constater que ma console de salon (PS3) parvient à jouer les fichiers, mais je n'ai pas poussé le test plus loin.
Devenons un peu vulgaires: le client bit-torrent est complètement fini à la pisse. Lorsqu'un fichier est téléchargé par le client bittorrent du NAS, il est déposé dans /public/torrents/. Jusque là tout va bien. Le problème, c'est qu'il est alors tout simplement impossible de supprimer le fichier. Aussi bien via FTP (en tant qu'utilisateur "normal", ou "admin"), que via le partage samba (de toutes façons, je n'ai même pas réussi à me connecter en tant qu'admin sur le partage samba, ça n'a pas du être activé). Ca sent bien le client bittorrent qui s'exécute avec des permissions un peu spéciales (root ?) et qui n'a pas été testé.
Un tour sur les forums de Freecom a répondu à ma question (en néerlandais, merci Google Translation), en gros c'est juste impossible de supprimer ces fichiers. On ne peut y accéder qu'en lecture seule. Le seul moyen de s'en débarasser, c'est soit de renvoyer le disque au SAV de Freecom (ben voyons), ou alors de formater (trop pratique).
En espérant que d'autres ne feront pas la même erreur que moi :-)