Mais en fait, non !

[ssl] Graine de star

membre@rmff.team (Sylvain) — Fri, 16 May 2008 22:10:35 +0000

'Et pour quelques warnings de moins...' Avant de dire que Debian c'est des nains, ne pas oublier ce dialogue sur la mailing list d'OpenSSL : question de Debian : "What do you people think about removing those 2 lines of code?" r�ponse d'OpenSSL : "Not much. If it helps with debugging, I'm in favor of removing them." Aussit�t dit, aussit�t fait.

[python] Juste pour rire

membre@rmff.team (Sylvain) — Fri, 16 May 2008 21:49:35 +0000

2008-02-29: Vendor asks for a copy of the proof of concept code used to demonstrate the vulnerability. 2008-03-03: Core sends proof-of-concept code written in Python. 2008-03-05: Vendor asks for compiler tools required to use the PoC code. 2008-03-05: Core sends a link to http://www.python.org where a Python interpreter can be downloaded. Rien � redire.

[malware] 'Race to Zero : l'embarras des �diteurs d'antivirus'

membre@rmff.team (Sylvain) — Fri, 09 May 2008 21:38:34 +0000

A lire sur le blog du CERT-Lexsi. J'ai lu certaines r�actions � ce challenge et il me semble qu'un �l�ment n'a pas �t� mentionn�. Fait : les gens croient r�ellement que la pr�sence d'un antivirus emp�che l'arriv�e de virus. Quand je dis "les gens", �a englobe bien s�r Mme Michu et M. Toulemonde, mais aussi certains administrateurs syst�me. Ce qui est �vident pour nous autres travaillant dans la s�curit� ne l'est pas n�cessairement pour tous. Qui n'a jamais entendu "J'comprends pas, pourtant j'avais un antivirus", "Cet antivirus il est bien, j'ai jamais eu de probl�me avec" ou encore "Vous inqui�tez pas M. le consultant s�curit�, on a Trend install� sur nos serveurs" ? Si ce challenge peut, une bonne fois pour toute et gr�ce au buzz qu'il g�n�re, faire comprendre � tout le monde que le fait d'avoir un antivirus, m�me r�cent, m�me payant, m�me � jour, m�me heuristique, m�me en mode pouet-pouet-2.0, n'emp�che PAS d'�tre infect�, alors ce sera d�j� �a de gagn�. Apr�s, que les participants s'exposent ou pas � des poursuites judiciaires est un tout autre probl�me qu'il ne nous revient pas de trancher.

[fun] Week-end in London

membre@rmff.team (Sylvain) — Thu, 08 May 2008 23:28:55 +0000

Une connexion de pont Ah, je crois que j'ai re�u un mail Les Chinois et les injections SQL Funland (salle de jeux vid�os au London Trocadero, Picadilly Circus) Je vais peut-�tre prochainement acqu�rir un nouvel ordi ; le Science Museum m'a donn� quelques pistes : Un Apple I Un CRAY-1 Un Apple II Cherchez l'intrus (notez au passage la Game Boy et un bout d'une manette de Super NES) Une Pascaline Ou bien une machine analytique de Babbage...

[linux] Ubuntu, c'est l'avenir

membre@rmff.team (Sylvain) — Sat, 26 Apr 2008 16:28:58 +0000

Sans commentaire, je vous laisse d�guster cette citation du projet GrSecurity : It may be necessary that grsecurity instead track the Ubuntu LTS kernel so that users can have a stable kernel with up-to-date security fixes. Sp�ciale d�dicace :) Pour m�moire, ce n'est pas la premi�re fois que GrSecurity pousse (� juste titre) un coup de gueule quant au scandaleux suivi de la s�curit� du noyau Linux, voir par exemple la faille sys_tee.

[windows] The Lord of the Token

membre@rmff.team (Sylvain) — Fri, 25 Apr 2008 00:47:42 +0000

Doubl� remarqu� ces derniers jours : deux papiers ont en effet �t� publi�s � propos des jetons d'acc�s ("access tokens"), pi�ces ma�tresses du mod�le de s�curit� de Windows. Je vais commencer par celui publi� en deuxi�me (raison : il s'agit d'un article et non de slides, donc plus facile � suivre off-line :), intitul� Security Implications of Windows Access Tokens Whitepaper, �crit par Luke Jennings de MWR InfoSecurity. Les r�sultats du "paper" ne sont pas � proprement parler nouveaux puisqu'ils ont d�j� �t� pr�sent�s � la Defcon 15 et au CCC en 2007, mais c'est l'occasion d'un petit rafra�chissement. Rappelons qu'un jeton d'acc�s contient le contexte de s�curit� d'un processus ou d'un thread (SIDs, privil�ges, niveau d'usurpation, etc). Le noyau s'en sert pour v�rifier les droits d'acc�s lorsque ce processus ou thread interagit avec un objet s�curisable ou demande � effectuer une action privil�gi�e. Un processus poss�de un jeton primaire, qui sera par d�faut celui de ses fils et de ses threads ; un thread a cependant la possibilit�, � condition de poss�der le privil�ge SeImpersonate, d'obter pour un niveau de s�curit� diff�rent du processus qui l'a cr�� : il re�oit alors un jeton d'"impersonation" (usurpation). Ce jeton poss�de un niveau d'usurpation parmi 4 : Anonymous Identity Impersonate Delegate Les niveaux les plus int�ressants sont les deux derniers car ils permettent de r�ellement changer le contexte de s�curit� du thread : en local pour Impersonate et local+distant pour Delegate (typiquement lors d'une connexion interactive � un syst�me en console ou TSE). Ces jetons sont pr�sents en m�moire sous la forme de structures noyau accessibles en userland via des handles. Apr�s l'exploitation r�ussie d'un composant du serveur vis�, l'id�e est donc de parcourir la m�moire � leur recherche, puis de les r�utiliser afin d'augmenter ses privil�ges soit localement (pour passer de NETWORK SERVICE � SYSTEM par exemple), soit sur le domaine (pour passer d'admin local � ma�tre du monde). La premi�re �tape consiste donc � �num�rer les jetons d'acc�s. Jenning propose pour cela d'utiliser l'API NtQuerySystemInformation. En passant une InformationClass � SystemHandleInformation, on peut lister tous les handles du syst�me. Il suffit alors d'appeler NtQueryObject sur chaque objet pour d�terminer s'il s'agit d'un jeton d'acc�s. Pour r�cup�rer les informations qu'il contient, il ne reste plus qu'� utiliser GetTokenInformation. La cr�ation d'un nouveau processus avec les droits de ce jeton peut alors �tre r�alis�e avec CreateProcessAsUser. Le "paper" pr�sente Incognito qui n'est autre qu'une impl�mentation de ces concepts dans une optique pentest (disponible en standalone ou en tant qu'extension de Meterpreter). Je n'ai pas encore eu le temps de le tester mais il a l'air plut�t sympa. Il permet de lister les jetons d'un syst�me, puis de lancer des processus dans le contexte de l'un d'entre eux. Pour r�sumer : vous vous connectez en tant qu'admin local d'une machine, vous recherchez le jeton de d�l�gation de l'admin du domaine en m�moire puis vous lancez cmd.exe avec ce jeton. Donc �a c'est fait. Cerise sur le g�teau, Jennings indique que les jetons ne sont pas effac�s de la m�moire lorsque l'utilisateur cibl�, en l'occurrence l'administrateur (pour combien de temps ?) du domaine, se d�connecte. Ils ne le seront qu'au prochain reboot (ce n'est plus le cas � partir de 2003 SP1). La question est donc : quelles machines dois-je exploiter pour trouver le jeton magique ? Deux m�thodes sont propos�es : via le Messenger Service, mais il est d�sactiv� par d�faut sur 2003 et XP SP2 via l'API NetWkstaUserEnum, ce qui n�cessite un compte utilisateur du domaine (shouldn't be a problem) Le deuxi�me (enfin, le premier...) papier a �t� �crit par Cesar Cerrudo d'Argeniss (vous savez, les gens qui ont vendu leurs 0-days � Gleg) et s'intitule Token Kidnapping. Il pr�sente cette fois-ci une vuln�rabilit� d'�l�vation de privil�ges qui a �t� reconnue par Microsoft dans son bulletin 951306. Elle permet par exemple � un attaquant pouvant cr�er ses propres pages pour IIS (typiquement un client d'un syst�me mutualis�) ou un administrateur MSSQL d'ex�cuter du code avec les droits SYSTEM. Sous Windows XP/2003, la vuln�rabilit� repose sur la combinaison de deux failles : en appelant une API communiquant avec un service, il est possible d'obtenir le jeton d'usurpation de ce service (tous les services ont le privil�ge SeImpersonate). Par exemple, en appelant DtcGetTransactionManagerEx, on obtient un jeton NETWORK SERVICE. une fois obtenu un tel jeton, on peut interagir via un APC avec les threads du service RpcSS qui lui poss�de un jeton d'usurpation SYSTEM (c'est donc une cible de choix) Pour Vista et 2008 : en interagissant avec des pools de threads, il est possible de contourner la protection induite par le fait d'avoir un SID distinct par service (nouvelle fonctionnalit� de Vista et 2008) la protection des services par SID distincts ne s'applique pas aux processus non services s'ex�cutant en tant que NETWORK SERVICE ou LOCAL SERVICE, par exemple WmiPrvSE qui usurpe un jeton SYSTEM. Il devient donc lui aussi une cible de choix avec laquelle on peut interagir via les fonctionnalit�s WMI. seuls quelques services utilisent les jetons de protection en �criture (c'est aussi une nouveaut�) Happy tokening :)

[vista] Le monde � l'envers

membre@rmff.team (Sylvain) — Wed, 23 Apr 2008 00:06:29 +0000

Vous aimez les logiciels libres. Mais vous n'�tes pas sectaire, alors vous utilisez aussi Internet Explorer de temps en temps, ne serait-ce que pour v�rifier que le tap de votre QEMU fonctionne toujours. Alors vous serez s�rement surpris comme moi de voir le message suivant sur le site d'AWStats : Je passe �videmment sur l'envol�e lyrique concernant l'emprise de Microsoft sur le monde sur l'Internet (� peu pr�s au niveau des trolls du vendredi soir � 18h) pour m'int�resser � : It's more secure against viruses and spyware Forc�ment, je highlight imm�diatement sur "secure" et "virus". Donc Firefox serait plus s�curis� qu'IE ? Pas si s�r... Depuis Vista, un m�canisme de s�curit� a �t� apport� � Windows : les niveaux d'int�grit� (IL) (cf. article de N. Ruff dans MISC 34). Ils d�finissent le degr� d'interaction possible entre un processus et le syst�me (typiquement le registre et le syst�me de fichiers), selon quatre principaux niveaux : Low integrity level (0x1000) Medium integrity level (0x2000) High integrity level (0x3000) System integrity level (0x4000) NDS : il existe aussi un niveau Untrusted (SID S-1-16-0000) sur lequel je n'ai pas trouv� �norm�ment d'information, et tous les niveaux interm�diaires qui n'ont pas de nom particulier (ex : 0x1020). Le but de ce m�canisme est de pouvoir g�rer des droits d'acc�s diff�rents au syst�me selon la criticit� de l'application (genre Paint vs IE) et ce pour un m�me utilisateur. Un binaire non "Vista aware", comme par exemple Firefox, va s'ex�cuter au niveau moyen. Il pourra donc interagir avec le syst�me avec les pleins privil�ges de l'utilisateur. IE/Vista est un peu plus malin puisqu'il s'ex�cute en mode dit "Prot�g�", c'est-�-dire avec un niveau d'int�grit� bas. Son interaction avec le syst�me est beaucoup plus faible. En cas d'exploitation de faille, il pourra faire �norm�ment moins de chose que si c'est Firefox qui se fait exploiter. Cela va de soit, un processus fils h�rite de l'IL du processus p�re et un processus ne peut qu'abaisser son propre IL. Pour �tre plus pr�cis, sans l'accord de l'utilisateur, IE ne pourra �crire que dans les r�pertoires suivants : %userprofile%AppDataLocalMicrosoftWindowsTemporary Internet FilesLow %userprofile%AppDataLocalTempLow %userprofile%AppDataRoamingMicrosoftWindowsCookiesLow %userprofile%AppDataLocalMicrosoftWindowsHistoryLow Pour le registre : HKCUSoftwareLowRegistry Ce m�canisme n'est carr�menent pas superflu puisque, pour m�moire, c'est le seul qui ait � peu pr�s tenu le coup lors de la faille ANI (bien qu'il n'emp�che pas l'ex�cution de code arbitraire). Mais il n'est cependant pas parfait, en particulier parce qu'un processus de niveau bas peut toujours lire, mais pas �crire, dans des fichiers de niveau moyen. Il est pr�vu que Firefox supporte le mode prot�g� de Vista dans une prochaine version. En attendant, il reste toujours possible de le configurer � la main pour qu'il se lance en IL bas : C:Program FilesMozilla Firefox>icacls firefox.exe /setintegritylevel low D:Donnees>icacls profil_firefox /setintegritylevel (OI)(CI)low Mais une question vient imm�diatement � l'esprit : avec IE en mode prot�g�, il reste possible d'enregistrer un t�l�chargement par exemple sur le bureau, alors que l'IL bas devrait l'interdire. IE est en fait en communication RPC avec un processus de niveau moyen (un "broker") nomm� ieuser.exe. La question est donc maintenant de savoir s'il est possible de s'�vader du niveau d'int�grit� bas. La r�ponse est oui... Mais c'est normalement patch� dans Vista SP1, ouf :D

[malware] Rattrapage

membre@rmff.team (Sylvain) — Wed, 23 Apr 2008 00:05:04 +0000

Je sais, je suis � la bourre : Poisson d'avril... ou pas Poisson d'avril... ou pas - suite Correctifs Microsoft d'avril... mais pas seulement !

[ieee1394] Owned by an iPod, le retour

membre@rmff.team (Sylvain) — Wed, 05 Mar 2008 21:55:09 +0000

Pour ceux qui seraient pass�s � c�t� de l'info, le root via FireWire est d�sormais open bar. La technique n'est pas nouvelle puisqu'elle remonte � 2003, mais cette fois-ci, Windows est aussi vuln�rable (contrairement � ce qu'indiquait un article dans Misc 23, au passage), Vista compris, et les scripts sont d�j� tout cuits. Le cours des c�bles FireWire � Montgallet risque de grimper d'ici peu... Easy to plug, easy to p0wn.

[virtualisation] 'Prison Break'

membre@rmff.team (Sylvain) — Wed, 27 Feb 2008 21:26:15 +0000

Mon billet sur le blog du CERT-Lexsi. A retenir : QEMU ne v�rifie pas suffisamment les limites lors d'une lecture ou d'une �criture depuis le syst�me invit�, ce qui permet d'acc�der � sa m�moire VMWare ne parse pas bien les chemins dans le contexte des r�pertoires partag�s, ce qui permet d'acc�der en lecture/�criture au syst�me de fichier h�te r�ponse d'un d�veloppeur QEMU : "Qemu never claimed to be secure". Ca, c'est dit.

[failles] 25 ans de s�curit� plus tard...

membre@rmff.team (Sylvain) — Thu, 21 Feb 2008 20:43:07 +0000

Si vous avez un petit peu de temps libre et que vous voulez rigoler un bon coup, je vous conseille la lecture du PDF de ProCkeckUp sur la s�curit� des �quipements ZyXEL, publi� sur Full-Disclosure. Il donne un bon r�sum� de toutes les failles possibles et imaginables que l'on peut trouver dans ce type de produit... OK, il manque une vieille injection SQL avec un bon gros message d'erreur ou une RFI fa�on composant Joomla, mais sinon tout y passe : mots de passe par d�faut triviaux, acc�s SNMP en lecture/�criture sur la communaut� "public", cross-site scripting, authentification bas�e sur l'IP, hash MD5 sans graine, identifiants en clair dans des champs HTML hidden, wardriving par Internet, etc. Quand m�me.

[microsoft] Les TechDays 2008 comme si vous y �tiez

membre@rmff.team (Sylvain) — Sun, 17 Feb 2008 19:31:44 +0000

Rien que pour vous, une petite s�lection des TechDays Microsoft (cliquez sur les photos pour une version agrandie, d�sol� au passage pour la m�diocre qualit� due � l'absence volontaire de flash). Des descriptions de certaines conf�rences sont disponibles sur le blog du CERT-Lexsi (ici et l�). Je crois que c'est par l� :) Conf�rence sur la virtualisation Architecture d'une virtualisation h�berg�e Architecture d'Hyper-V Conf�rence sur CardSpace Sch�ma du "m�ta-syst�me d'identit�" (wow !) Conf�rence sur Identity Lifecycle Manager Grand amphi Un DJ � l'oeuvre Pendant la s�ance pl�ni�re du mercredi La nouveaut� de Windows Server 2008 : une version "Core" qui s'utilise... en ligne de commandes Editeur VI sur Windows Server 2008 Core pour configurer IIS (noter le ":q!" en bas � droite :) Atelier pratique sur NAP avec Cyril Voisin Qu'est-ce qui diff�rencie le bureau de Nicolas Ruff de celui des autres speakers ? "Ceci est un �cran 3D, placez-vous � au moins 3m pour le meilleur effet" Le stand d'Intel Hands-on : des stations Windows Server 2008 en libre acc�s Demo de Guitar Hero Op�ration "expose tes goodies"

[failles] D�ni de s�curit�

membre@rmff.team (Sylvain) — Tue, 12 Feb 2008 22:04:05 +0000

Nous venons d'avoir deux beaux exemples de ce que l'on pourrait appeler un "d�ni de s�curit�" de la part d'un projet libre et d'un projet proprio, qui m�ritent bien que je passe 2 minutes � r�diger ce billet. Premier cas : la faille dans le serveur DNS d'OpenBSD. Je n'ai pas eu le temps de lire le papier en entier, mais d'apr�s ce que je comprends, l'algorithme (du moins son impl�mentation) g�n�rant les nombres al�atoires utilis�s dans le champ Transaction ID est biais�, ce qui permet, si l'on en croit l'auteur, de deviner le prochain ID avec une grande probabilit� si on arrive � sniffer les 10 ou 15 pr�c�dents. D'o� corruption de cache, toussa. R�actions des int�ress�s : FreeBSD : on patche NetBSD : on patche DragonFlyBSD : on patche MacOS X : on patchera bient�t OpenBSD : on s'en fout ("OpenBSD is completely uninterested in the problem", "the problem is completely irrelevant in the real world") Deuxi�me cas : la publication de la version 8.1.2 d'Adobe Acrobat/Reader. Absolument aucun d�tail n'est donn� dans le bulletin original. Dans le doute, que vont faire les admin ? Patienter en attendant d'�tre s�rs, afin ne pas perdre de temps � qualifier un produit qui ne le m�rite peut-�tre pas. Bon d'accord, le bulletin indique : "the update includes several important security fixes, among them a few of critical severity that could be remotely exploitable". Ce qui me frappe le plus dans cette phrase, c'est le "a few". Oh, vous savez, il n'y pas tant de remote code executions que �a dans notre produit... On ne sent pas du tout qu'ils essaient de minimiser alors qu'ils ont une bombe entre les mains. D'ailleurs, ces failles sont d�j� exploit�es dans la nature. Trop tard.

[scruby] Int�gration de Scruby � Metasploit

membre@rmff.team (Sylvain) — Tue, 29 Jan 2008 22:18:31 +0000

La breaking news du jour : Scruby a �t� int�gr� au projet Metasploit. Je l'ai appris presque par hasard en fouillant mes messages Gmail ce matin... Par ici pour lire l'annonce de la sortie de Metasploit 3.1.

[palm] Toujours avoir un pingouin dans la poche

membre@rmff.team (Sylvain) — Thu, 24 Jan 2008 22:30:54 +0000

Ca y est, je me suis enfin d�cid� � essayer Linux sur mon Palm. Verdict : �a marche vraiment bien et c'est tr�s facile � faire. On a droit � une interface Otie (KDE mini, quoi) assez jolie, m�me si pas tr�s v�loce. Pour le geek curieux que vous �tes, j'ai pris quelques photos (bouh le directory listing pas beau). Franchement, rien que pour le Tux en framebuffer et les logs noyau qui d�filent � l'�cran, �a vaut le d�tour :) PS : oui, je sais, on dit "manchot" !

[malware] 'Rootkits MBR : retour � la case d�part'

membre@rmff.team (Sylvain) — Tue, 15 Jan 2008 21:50:00 +0000

Mon billet sur le blog du CERT-Lexsi. A retenir : 20 ans apr�s Brain, les virus de boot refont leur apparition ITW comme d'habitude, c'est l'interruption BIOS 13h qui est utilis�e le but de ce hook est de contr�ler les secteurs lus par NTLDR et ainsi patcher le noyau � la vol�e en RAM en raison des modifications sur la table des Major Functions du pilote de disque, Gmer d�tecte l'exemplaire retrouv� dans la nature d�sol� pour le double jeu de mots dans le titre...

[wifi] Vous �tes en train de vous faire rooter

membre@rmff.team (Sylvain) — Wed, 09 Jan 2008 22:52:14 +0000

Comme vous le savez, la SNCF propose depuis le 7 d�cembre une exp�rimentation gratuite d'un acc�s Internet depuis le train, via une liaison satellite. France 2 y a consacr� un reportage au 20h, dans lequel un interlocuteur indique qu'il est bien content car il pourra s'en servir pour "lire [ses] mails" et "consulter [ses] comptes en banque". Apr�s le wifi en gare et les points d'acc�s gratuits en ville, voil� donc un nouveau terrain prometteur... Dans la m�me veine, j'ai remarqu� que les scans Bluetooth dans le TGV donnent toujours de nombreux r�sultats, et les p�riph�riques vuln�rables sont encore l�gion... Et pourquoi les gens appellent-t-ils toujours leur t�l�phone {Nokia,Sambsung,Sony,BlackBerry,etc}-MONPRENOM ? Ils ont peur qu'on n'en sache pas assez sur eux ?

[2008] Bonne ann�e :)

membre@rmff.team (Sylvain) — Wed, 02 Jan 2008 20:32:16 +0000

Bonne ann�e, bonne sant� et tout plein de 0-days. Pour ceux � qui le P�re No�l aurait apport� une Xbox 360 ou une Wii, voici de quoi occuper vos week-ends : Nintendo Wii hack opens door to homebrew games Why Silicon-Based Security is still that hard: Deconstructing Xbox 360 Security

[r�seau] L'internet 6.0

membre@rmff.team (Sylvain) — Sun, 16 Dec 2007 20:53:09 +0000

Depuis le 12 d�cembre, Free propose l'IPv6 � ses abonn�s. En effet, la nouvelle option "Support IPv6" est apparue dans l'interface de configuration : Tests sous GNU/Linux Il faut bien s�r v�rifer que le noyau supporte l'IPv6. L'autoconfiguration �tant par d�faut activ�e, l'interface reli�e � la Freebox re�oit automatiquement une adresse IPv6 : sylvain# ifconfig eth0 | grep inet6 adr inet6: 2a01:XXX:XXXX:XXXX:XXX:XXXX:XXXX:XXXX/64 Scope:Global adr inet6: fe80::XXX:XXXX:XXXX:XXXX/64 Scope:Lien La commande "route -A inet6" liste les routes associ�es. "ip -6" est aussi utile, en particulier pour afficher les interfaces, les routes et les voisins (au sens IPv6 du terme) : sylvain# ip -6 neigh fe80::XXX:XXXX:XXXX:XXXX dev eth0 lladdr 00:07:cb:XX:XX:XX router STALE Petit conseil en passant : ne pas oublier de lancer "ip -6 moo", sorte d'incantation magique augmentant les chances de r�ussite. Premier test grandeur nature, testons un ping sur Kame (impl�mentation IPv6 des BSD) : sylvain$ ping6 -c1 www.kame.net PING www.kame.net(2001:200:0:8002:203:47ff:fea5:3085) 56 data bytes 64 bytes from 2001:200:0:8002:203:47ff:fea5:3085: icmp_seq=1 ttl=46 time=312 ms --- www.kame.net ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 312.240/312.240/312.240/0.000 ms OK, �a marche. Je suis curieux, je tente un traceroute : sylvain$ traceroute6 www.kame.net traceroute to www.kame.net (2a01:XXX:X::XXX:XXXX:XXXX:XXXX), 30 hops max, 40 byte packets 1 2a01:XX:XXXX:XXXX::X (XXXX:XXX:XXXX:XXXX::X) 0.539 ms 0.749 ms 0.894 ms 2 2a01:XX:XXXX:XXXX::X (XXXX:XXX:XXXX:XXXX::X) 36.924 ms 39.839 ms 42.044 ms 3 2a01:XX:XXXX:XXXX::X (XXXX:XXX:XXXX:XXXX::X) 44.699 ms * * 4 * * * 5 * * * 6 2001:5a0:0:100::9 (2001:5a0:0:100::9) 62.068 ms 37.060 ms 37.473 ms 7 2001:5a0:1a00::5 (2001:5a0:1a00::5) 38.725 ms * * 8 if-2-0-0.core2.fr1-frankfurt.ipv6.teleglobe.net (2001:5a0:700:300::1) 48.149 ms * * 9 * * * 10 2001:5a0:200::5 (2001:5a0:200::5) 127.528 ms 51.400 ms 52.438 ms 11 ge-0.ams-ix.amstnl02.nl.bb.gin.ntt.net (2001:7f8:1::a500:2914:1) 53.080 ms 53.165 ms 52.816 ms 12 as-0.r20.asbnva01.us.bb.gin.ntt.net (2001:728:0:2000::121) 138.692 ms 138.870 ms 137.371 ms 13 as-0.r20.snjsca04.us.bb.gin.ntt.net (2001:418:0:2000::1de) 198.739 ms 203.891 ms 203.654 ms 14 as-2.r20.tokyjp01.jp.bb.gin.ntt.net (2001:218:0:2000::ce) 301.470 ms as-1.r20.osakjp01.jp.bb.gin.ntt.net (2001:218:0:2000::7e) 328.706 ms as-2.r20.tokyjp01.jp.bb.gin.ntt.net (2001:218:0:2000::ce) 303.331 ms 15 xe-3-2.a15.tokyjp01.jp.ra.gin.ntt.net (2001:218:0:6000::10e) 304.148 ms ae-4.r20.tokyjp01.jp.bb.gin.ntt.net (2001:218:0:2000::d9) 340.164 ms xe-3-2.a15.tokyjp01.jp.ra.gin.ntt.net (2001:218:0:6000::10e) 304.057 ms 16 xe-3-2.a15.tokyjp01.jp.ra.gin.ntt.net (2001:218:0:6000::10e) 343.974 ms 317.846 ms ge-8-2.a15.tokyjp01.jp.ra.gin.ntt.net (2001:218:2000:5000::82) 318.373 ms 17 ge-8-2.a15.tokyjp01.jp.ra.gin.ntt.net (2001:218:2000:5000::82) 333.224 ms ve-4.nec2.yagami.wide.ad.jp (2001:200:0:1c04:230:13ff:feae:5b) 318.742 ms 318.553 ms 18 lo0.alaxala1.k2.wide.ad.jp (2001:200:0:4800::7800:1) 320.699 ms ve-4.nec2.yagami.wide.ad.jp (2001:200:0:1c04:230:13ff:feae:5b) 334.724 ms 342.116 ms 19 lo0.alaxala1.k2.wide.ad.jp (2001:200:0:4800::7800:1) 338.316 ms (2001:200:0:8002:203:47ff:fea5:3085) 326.308 ms lo0.alaxala1.k2.wide.ad.jp (2001:200:0:4800::7800:1) 347.670 ms Testons maintenant un surf sur http://www.kame.net : l'image de la tortue s'anime comme pr�vu ! Un bon vieux tcpdump montre bien les paquets IPv6 et ICMPv6. Je pr�cise que les paquets ne sont pas chiffr�s ; IPSec est obligatoire dans l'impl�mentation d'IPv6, mais pas dans son usage.... Petite remarque sur les requ�tes DNS : le syst�me pose maintenant des questions de type "AAAA" pour l'IPv6, en plus du classique "A". La commande "host" retourne donc : sylvain$ host www.kame.net www.kame.net has address 203.178.141.194 www.kame.net has IPv6 address 2001:200:0:8002:203:47ff:fea5:3085 Tests sous Windows XP Windows XP SP2 supporte nativement l'IPv6, il suffit de l'activer ("ipv6 install" en ligne de commande ou graphiquement : propri�t�s de la connexion r�seau, installer, protocole, Microsoft TCP/IP version 6). Un petit "ipconfig /all" affiche bien l'adresse IPv6. Windows cr�e plusieurs nouvelles interfaces, que l'on peut visualiser avec "netsh interface ipv6 show interface" : Teredo Tunneling Pseudo-Interface : m�canisme de transition Teredo 6to4 Pseudo-Interface : m�canisme de transition 6to4 Automatic Tunneling Pseudo-Interface : m�canisme de transition ISATAP Loopback Pseudo-Interface : pour la boucle locale La commande "netsh interface ipv6 show {?,address,neighbors,routes}" est votre amie pour afficher les adresses, les voisins et les routes. Bienvenue dans un autre monde et n'oubliez pas votre kit de survie.

[microsoft] Correctifs de d�cembre

membre@rmff.team (Sylvain) — Wed, 12 Dec 2007 21:04:06 +0000

A lire sur le blog du CERT-LEXSI. Points cl�s de mon billet : c'est bient�t No�l le full disclosure est mort un faille "locale" n'est pas forc�ment si locale que �a presque toutes les failles affectent Vista

[site] Migration du blog : ok !

membre@rmff.team (Sylvain) — Sun, 09 Dec 2007 14:07:41 +0000

Mon blog change d'h�bergeur et est d�sormais disponible sur http://sylv1.tuxfamily.org/blog.xml. Le blog sur Free ne sera plus mis � jour.

[id�e] Le Grenelle de la s�curit�

membre@rmff.team (Sylvain) — Fri, 07 Dec 2007 19:13:50 +0000

Pourrait-on appliquer au domaine de la s�curit� informatique le principe du bonus/malus des voitures, afin d'inciter les entreprises et les particuliers � utiliser des syst�mes et des applications plus s�rs, ou du moins les inciter � ne plus utiliser ceux qui sont bourr�s de failles ? Voici ce que �a pourrait donner : Bonus Firefox derni�re version : 100 euros Opera derni�re version : 200 euros Windows XP SP2 full patch : 500 euros Distrib GNU/Linux full patch : 500 euros Distrib GNU/Linux full patch avec GrSecurity : 1000 euros Windows Vista full patch : 1000 euros Malus MacOS X non patch� : 100 euros Firefox 2 pas derni�re version : 100 euros Firefox 1.5 : 200 euros Flash non patch� : 400 euros Internet Explorer 6 non patch� : 650 euros QuickTime : 700 euros Adobe Reader non patch� : 700 euros Windows XP SP2 non patch� : 800 euros Windows < XP SP2 : 1000 euros PhpMyAdmin en live sur le web : 1000 euros Mots de passe par d�faut sur les interfaces des firewalls : 2000 euros Tellement de ports ouverts qu'on dirait un honeypot : 3500 euros Mot de passe "coincoin02" pour l'admin du domaine : 5000 euros

[internet] La box de Pandore

membre@rmff.team (Sylvain) — Sun, 02 Dec 2007 22:47:24 +0000

Quelle confiance avez-vous en la bo�te qui vous relie en ce moment � Internet ? Bof, hein ? Les �tudes sur la s�curit� des {Alice,AOL,Darty,Free,Live,Neuf,SFR}box (c'est bon, je crois que je n'ai oubli� personne :) ne sont pas l�gion. Est-ce un sujet tabou en France ? A ma connaissance, la seule vraie �tude publi�e � ce jour sur ce sujet est celle de Nicolas Ruff intitul�e S�curit� de l'ADSL en France, pr�sent�e au SSTIC 2006. D�s la premi�re page de l'acte, le ton est donn� : "compte tenu de la sensibilit� (commerciale et l�gale) du sujet, ces travaux n'ont pas pu �tre pr�sent�s au SSTIC 2005". Traduction : les op�rateurs ne sont pas du tout joueurs sur ce sujet et le risque de poursuites judiciaires est bien r�el. Cela n'emp�che pourtant pas de trouver sur la toile des sites donnant des d�tails sur les faiblesses de telle ou telle box. Des failles de type XSS et CSRF dans l'interface web d'administration qui ne n�cessite aucun mot de passe ou l'ex�cution de Busybox avec un trombone sont parmi les pages les plus connues. Pour ma part, j'ai eu l'occasion de passer 5 minutes sur l'une de ces boxes et c'est vrai que le r�sultat n'est pas brillant. Entre des ports ouverts sans raison apparente, des ports ferm�s et non filtr�s en interne, un serveur web vuln�rable, l'identifiant admin/admin (il parait que c'est normal sur les boxes et que je ne dois pas m'inqui�ter) et l'absence de filtrage (ou alors un simple filtrage JavaScript) et donc des XSS permanents sur les entr�es de l'interface d'administration, j'ai du mal � comprendre qu'on en soit encore l� en 2007 : Au moins, les boxes fran�aises ne sont pas les seules � �tre vuln�rables.... On se r�conforte comme on peut.

[humeur] Votre syst�me est enti�rement s�curis�... ou pas

membre@rmff.team (Sylvain) — Mon, 26 Nov 2007 22:00:49 +0000

Merci � Outlook pour ce message on ne peut plus explicite quant � la s�curit� du message �chang� : C'est comme l'algo probabiliste, avec une probabilit� �gale � 1/2... J'adore.

[malware] Failles locales : sans les mains !

membre@rmff.team (Sylvain) — Tue, 13 Nov 2007 21:10:28 +0000

Je suis toujours un peu surpris de voir comment sont consid�r�es les vuln�rabilit�s dites "locales" lorsqu'elles touchent des produits grand public (genre Windows). Dernier exemple en date : la faille sur le pilote SECDRV.SYS (une 0-day au passage). D'apr�s le bulletin Microsoft : An attacker must have logon permissions to the operating system to exploit this vulnerability. De m�me sur le blog de Symantec, on note la phrase suivante : The attacker has to be logged on to the computer with an account. So what ? Ai-je vraiment besoin de poss�der un identifiant et un mot de passe valides sur le syst�me vis� pour exploiter cette vuln�rabilit� ? R�ponse : bah non. Ce n'est pas une condition n�cessaire. Pour les failles "locales", la criticit� n'est pas la m�me selon que le syst�me cible soit un serveur, auquel cas, oui, j'en aurai besoin (sauf ing�nierie sociale sur l'admin :) ou une station de travail, une interaction avec un utilisateur peu regardant sur la s�curit� �tant possible. Dans ce dernier cas, il suffit au choix de : faire une combinaison avec une autre faille me permettant d'ex�cuter du code avec des droits standard, afin d'�lever mes privil�ges pour pouvoir en ex�cuter avec les droits SYSTEM (par exemple la faille r�cente sur les produits Adobe), comme le propose d'ailleurs le blog de Symantec inciter l'utilisateur � t�l�charger puis ex�cuter lui-m�me le code d'exploitation Ce dernier point peut pr�ter � sourire, mais quand on voit qu'un ver comme Storm s'est propag� par du spam contenant un fichier MA_SUPER_VIDEO.MPG.exe, le tout � la vitesse de l'�clair, �a fait quand m�me r�fl�chir...

[humeur] Grand Fr�re vous observe

membre@rmff.team (Sylvain) — Mon, 05 Nov 2007 22:49:04 +0000

Un message sur la liste de diffusion Bugtraq remet d'actualit� la grande th�se conspirationniste consistant � dire que la NSA a impl�ment� (implant� ?) des portes d�rob�es dans Windows afin d'avoir la mainmise sur 90 % des ordinateurs personnels de la plan�te. Le site Cryptome donne en effet une longue liste de plages IP pr�tendument d�tenues ou affili�es � l'organisme de renseignement am�ricain. Impossible bien s�r de v�rifier l'information, concernant ici les PDA sous Windows Mobile. Cette histoire ne date pas d'aujourd'hui. D�j� en 1999, une analyse des symboles de d�boguage (si, si...) de Windows NT4 met au jour l'existence d'une variable "_NSAKEY" dans la biblioth�que ADVAPI.DLL et les r�ponses approximatives de Microsoft � l'�poque n'avaient pas �t� franchement rassurantes. De m�me, en janvier 2007, le Washington Post r�v�le que la NSA et Microsoft ont travaill� la main dans la main sur la s�curit� de Vista, information confirm�e par la suite par Microsoft. C'est probablement la premi�re fois qu'un organisme de renseignement gouvernemental travaille d�s la phase de d�veloppement sur un syst�me d'exploitation propri�taire. Pas de quoi �tre tr�s rassur�s non plus. "Les logiciels libres ! L�, au moins, on est rassur�s !" Ah bon ? C'est s�r que c'est un avantage ind�niable d'avoir acc�s au code source pour s'assurer de son int�grit�. Mais effectuons-nous les v�rifications n�cessaires ? Combien d'entre nous ont lu le code source de Firefox, d'OpenOffice ou du noyau Linux ? A-t-on oubli� que le module SELinux a �t� d�velopp� par la NSA en personne ? N'a-t-on pas confiance dans les logiciels libres parce tout le monde en fait de m�me ? Qui s'est assur� que GCC lui-m�me ne contient pas de telles backdoors ? En mati�re de s�curit�, point de certitude... Juste un risque � mesurer et des ressources � adapter aux besoins.

[malware] A vos Mac, pr�ts ? Rootez !

membre@rmff.team (Sylvain) — Sun, 04 Nov 2007 18:58:57 +0000

Le hasard fait parfois bien les choses. J'ai lu avec grande attention le hors-s�rie de GNU/Linux Magazine France n�32 consacr� � la virologie sur les syst�mes UNIX ; par manque de temps, je n'avais pas pu en faire un billet sur ce blog. Heureusement, l'actualit� m'offre une session de rattrapage : on vient en effet de voir appara�tre un nouveau virus pour MacOS X (joli coup de pub pour Intego, soit dit en passant). Comme dirait F-Secure, on ne voit pas �a tous les jours... En d�pit d'un buzz assez �tonnant, ce virus n'a vraiment rien de particulier et encore moins de r�volutionnaire. L'infection se fait en incitant l'utilisateur � t�l�charger puis installer un faux codec cens� �tre n�cessaire au bon fonctionnement de la page. Pendant l'installation qui tente tant bien que mal de copier celle d'une application l�gitime (par exemple avec une licence � valider, etc), le mot de passe root est demand�. Evidemment, histoire de mettre l'utilisateur en confiance, la vid�o est effectivement jou�e une fois l'installation termin�e. Le malware modifie les param�tres DNS du syst�me (et va m�me jusqu'� ajouter une crontab pour v�rifier que les param�tres initiaux n'ont pas �t� restaur�s) et renvoie un message HTTP pour indiquer qu'un nouveau syst�me vient d'�tre infect�. En r�sum�, le malware n�cessite que l'utilisateur le t�l�charge et l'installe lui-m�me, et demande le mot de passe root lors de l'installation. Rien de tr�s furtif, donc. Et pourtant, ce genre de techniques simplissimes (peut-on vraiment appeler �a de l'ing�nierie sociale ?) marche pour les utilisateurs Windows ; il n'y a donc pas de raison que cela ne fonctionne pas pour les aficionados de la pomme. Veuillez cliquer ici pour t�l�charger notre tout nouveau rootkit. Maintenant sur le hors-s�rie de Linux Mag. Une lecture tr�s int�ressante, en particulier pour ses d�finitions rigoureuses qui m'ont rappel� mes cours de l'Enseirb sur les machines de Turing et les automates finis :) On pourra regretter quelques longueurs dans les articles qui incorporent du code C : peut-�tre n'�tait-t-il pas n�cessaire de donner le code complet des exemples, mais seulement citer les quelques lignes pertinentes. Dans l'article sur les virus b�n�fiques, j'ai aussi �t� surpris de ne voir aucune citation du travail de Laurent Oudot sur l'utilisation de Honeyd pour combattre le ver MSBLAST (pour m�moire, Laurent donnait des cours � l'Enseirb � l'�poque). Si je puis me permettre une toute petite remarque, il me semble cependant que ce hors-s�rie a pass� sous silence un �l�ment assez important de la virologie telle qu'on la connait aujourd'hui. Dans l'intro : "Penser que Linux ou autres unices puissent �tre �pargn�s par le risque viral a presque quelque chose de vexant : cela sugg�re qu'ils seraient moins riches fonctionnellement parlant". De fait, hormis l'article juridique, les 80 pages du magazine ne se focalisent que sur les aspects techniques du risque viral. On nous montre que tous les �l�ments sont r�unis pour que des malwares se propagent sur les UNIX aussi efficacement que sur Windows. Certes, mais il me semble que c'est mettre de c�t� un autre aspect de la virologie : la cybercriminalit�. Aujourd'hui, c'est en effet l'app�t du gain qui fait s'orienter un cybercriminel d�veloppeur de virus vers un OS ou un autre. But : infecter le plus de machines possibles afin de r�cup�rer des identifiants bancaires, divers mots de passe GMail, Skype, mettre en place des r�seaux zombies afin de faire du chantage au d�ni de service contre des grands sites Web, etc. Comme on peut s'en douter, l'efficacit� est ici de mise : l'OS le plus utilis� par les utilisateurs particuliers sera choisi comme cible, ind�pendamment des aspects techniques de celui-ci. Pourquoi passer du temps et de l'argent � d�velopper un virus qui ne pourra s'ex�cuter que sur 0.5 % des machines vis�es ? D'ailleurs, le premier article du hors-s�rie le rappelle : "Durant les ann�es 80, d'autres virus pour Apple feront �pisodiquement leur apparition pour Apple II et IIGS. La raison tient au fait que, durant ces ann�es, le nombre des ordinateurs Apple �tait plus important que celui des premiers PC". Les cr�ateurs de virus ne basent pas leur choix d'OS sur ses qualit�s ou ses d�fauts. Ils choisiront le plus utilis� par la population vis�e. Le nouveau virus Mac montre simplement que cet OS a gagn� suffisamment de part de march� pour justifier financi�rement des d�veloppements de malwares sp�cifiques de la part du "milieu".

[wifi] L'attaque du bobo intercepteur

membre@rmff.team (Sylvain) — Mon, 01 Oct 2007 20:58:08 +0000

La Ville de Paris vous propose gratuitement un acc�s Wifi en bas de chez vous. Vous pensez : a) trop bien, je vais pouvoir faire de la mule et envoyer des whizz � ma petite soeur pour gratax b) pas tr�s secure, mais bon je m'en fous, je fais du HTTPS c) �a va pas, non, je travaille dans la s�curit�, moi ! d) cool, je vais pouvoir recycler ma vieille conf d'hostapd Ce sera sans commentaire...

[scruby] Utilisation de dissecteurs Scapy dans Metasploit

membre@rmff.team (Sylvain) — Fri, 28 Sep 2007 19:14:28 +0000

NDS : ceci est la traduction partielle du message que j'ai post� hier soir sur la liste de diffusion de Metasploit. En tant que tel, Scruby n'est pas (et ne sera jamais) aussi exhaustif que Scapy, mais l'un de ses avantages est qu'il peut �tre vu comme un "pont" permettant d'utiliser des dissecteurs Scapy afin d'�crire des exploits pour Metasploit. Avec Scruby, les protocoles r�seaux peuvent �tre facilement impl�ment�s, de m�me que les formats de fichier (par exemple, RIFF()/ANI(:headersize=>36)/ANI("putyourpayloadhere")/ANI("overflow") est une fa�on quand m�me assez rapide d'�crire une premi�re preuve de concept pour la faille ANI MS07-017). Comme indiqu� dans la documentation de Scruby, les grandes similitudes entre les syntaxes Python et Ruby permettent dans la plupart des cas de simplement copier/coller les dissecteurs Scapy afin de les utiliser dans des modules Metasploit (� condition que les diff�rents champs soient impl�ment�s dans Scruby, bien s�r...). Pour utiliser Scruby dans un module Metasploit, il suffit d'ajouter les lignes suivantes en d�but de script : $LOAD_PATH << '/path/to/scruby/' require 'scruby.rb' A vous de jouer :)

[malware] Vous reprendrez bien un p'tit ver

membre@rmff.team (Sylvain) — Sun, 23 Sep 2007 18:53:12 +0000

Alors que pas une semaine ne se passe sans qu'une nouvelle variante du ver Storm fasse son apparition ; alors que certains pensent que la puissance de calcul cumul�e des machines infect�es fait de ce botnet l'ordinateur le plus puissant du monde (et oui, certains vont m�me jusqu'� ajouter que pour la premi�re fois de l'histoire, la puissance de calcul la plus grande est aux mains de (cyber-)criminels et non aux mains d'un gouvernement), que trouv�-je arrivant sur mon interface r�seau ? Le ver Slammer de 2003 :D (ci-dessous visualis� avec la version 0.2 de Scruby) Avec tous ces vers, la communaut� de la s�curit� est vraiment sous pression.

[humeur] Le paradoxe des grilles

membre@rmff.team (Sylvain) — Sun, 19 Aug 2007 14:09:05 +0000

Je reviens tout juste de 2,5 semaines de cong�s que j'ai eu la chance de pouvoir passer en Guadeloupe, avec un d�tour par le V�n�zuela. Cocotiers, plage, chaleur, soleil, tout �a d'accord, mais quid de la s�curit� (!) dans ces territoires lointains ? On se trouve en fait face � deux visions et fonctionnements radicalement oppos�s. En Guadeloupe, nous avons d�cid� de louer une voiture pour pouvoir nous d�placer en toute tranquillit�. Le premier jour, une fois arriv�s chez nos h�tes, je commence � fermer la voiture � cl�, en v�rifiant bien que toutes les portes sont ferm�es, ainsi que le coffre. Me voyant v�rifier plusieurs fois que tout est OK, mon h�te me dit : "Si tu veux, tu peux m�me laisser la voiture ouverte, il n'y a rien � voler dedans. Moi, c'est ce que je fais. De toute fa�on, sans la cl� il ne pourra pas d�marrer.". D�formation professionnelle oblige, je me suis quand m�me fait deux remarques : en retrant en m�tropole, il faudra que je me renseigne sur le syst�me anti-d�marrage par cl�... "laisser la voiture ouverte ?". Pourquoi pas mettre mon /etc/shadow derri�re le pare-brise aussi ??? En fait, en y repensant, la remarque n'est pas aussi surprenante que �a. La s�curit� n'est jamais absolue. Il n'y a pas de "secure" et de "pas secure". Il y a juste un niveau de s�curit� conforme ou pas � une politique de s�curit�, modul�e par les moyens financiers disponibles. Pas de sous, pas de s�curit�. De m�me : pas de risque, pas de besoin de s�curit� (et oui). C'est bien ce qui se passe ici. Au V�n�zuela, du moins dans la capitale Caracas o� j'ai pass� 5 jours, c'est bien diff�rent. L'ins�curit� semble omnipr�sente. Ce qui frappe le plus en rentrant chez les gens, c'est le nombre de grilles � traverser : une barri�re avec un vigile pour rentrer dans le quartier (si, si) une autre pour rentrer dans la cour de l'immeuble une autre pour rentrer dans le parking une autre pour acc�der � l'ascenseur une derni�re juste devant la porte d'entr�e bien s�r la porte d'entr�e elle-m�me et sur les fen�tres de l'appartement... des grilles (oui, pour le Fran�ais qui d�barque, �a fait une dr�le d'impression) Cet �tat de fait est assez int�ressant � observer. D�j�, pour rentrer dans le quartier, il faut apposer au pare-brise un (simple) autocollant v�rifi� par le vigile lors du passage. Bon, je n'en dis pas plus, je pense que vous avez compris... Ensuite, cette multiplication du nombre de grilles apporte un faux sentiment de s�curit�. Les grilles �tant toutes � peu pr�s semblables, si quelqu'un peut ouvrir/casser/contourner l'une d'entre elles en un temps raisonnable, il pourra en faire de m�me avec les autres en un temps tout aussi raisonnable (on consid�re bien s�r que les cl�s ouvrant les grilles sont toutes distinctes, sinon c'est m�me pas dr�le...). Autrement dit, si la complexit� pour ouvrir une grille est de O(T), la complexit� pour ouvrir n grilles sera de O(n*T) = O(T). D'un point de vue de la complexit� du probl�me � r�soudre, placer plusieurs grilles semblables n'est donc pas plus s�curis� que d'en placer une seule. D'autant plus que d'apr�s ce que je me suis laiss� dire, les vols de voitures ayant eu lieu dans le parking ont �t� r�alis�s � l'aide de la complicit� de personnes de l'immeuble... qui avaient donc toutes les cl�s n�cessaires pour ouvrir les grilles. Plus de grilles dedans signifiant plus d'agressions dehors, l'endroit apparemment le plus s�curis� est en fait l'endroit o� l'on risque le plus. Heureusement, on se r�conforte avec l'excellente cuisine v�n�zuelienne :)

[scruby] Sortie de Scruby alias Scapy en Ruby

membre@rmff.team (Sylvain) — Sun, 27 May 2007 17:43:11 +0000

Je travaille depuis quelques temps sur un clone de Scapy en Ruby (apr�s Scaperl, la version Perl :). La documentation et le code source peuvent �tre trouv�s sur la page Scruby: Scapy in Ruby. J'en avais fait une annonce sur le groupe de discussion fr.comp.lang.ruby. L'avantage de la version Ruby est le fait de pouvoir copier/coller les dissecteurs Scapy directement dans Scruby sans modification.

[crypto] 'RSA 1024 a �t� cass�'... ou pas !

membre@rmff.team (Sylvain) — Fri, 25 May 2007 21:36:22 +0000

O� l'on reparle des probl�mes relationnels entre les journalistes et la s�curit� informatique. Apr�s le vrai-faux choc d�clench� au mois de novembre par l'article du Monde sur la s�curit� des �changes en ligne, voici que le site LesNouvelles.net nous apprend que la deuxi�me fin du monde num�rique est pour bient�t. On peut en effet y lire qu'"Une �quipe de chercheurs suisses affirme avoir cass� une cl� RSA � 1024 bits". Alors l�, je dois avouer que �a m'int�resse. En 2003, quand j'avais fait mon TIPE de Maths Sup/Sp� sur la cryptographie RSA, beaucoup de sites (par exemple des sites bancaires fran�ais) utilisaient encore des cl�s de cette longueur, qui �taient consid�r�es comme "s�res" (avec les guillemets qui vont bien). Regardons donc l'article de plus pr�s afin d'en savoir plus sur cette prouesse. Je cite : "Une �quipe de chercheurs suisses affirme avoir retrouv� les facteurs d'un nombre de 350 chiffres". L� j'ai quand m�me deux probl�mes : 1024 bits ne font pas 350 chiffres, mais plut�t de l'ordre de 308 (en effet, (1023 ln 2)/(ln 10) ~= 308). il ne s'agit pas de factoriser "un" nombre de 300 chiffres quelconque (scoop : je sais factoriser un nombre de 500 chiffres, 10^499 ; je ne sais pas si je vais faire la une des journaux avec �a), mais un nombre RSA produit de deux grands nombres premiers judicieusement s�lectionn�s. Plus bas : "Une v�ritable cl� RSA 1024 bits bien choisie n'est donc pas encore cassable de la sorte". Ah, bah il faut savoir, ils l'ont factoris�e leur cl� RSA 1024 bits ou pas ? Pass� de r�solument curieux � bizarrement sceptique, je d�cide d'aller directement lire le communiqu� de l'EPFL. Et l�, tout s'�croule. On apprend en fait que le nombre factoris� est le nombre de Mersenne 2^1039 - 1. Cela constitue effectivement un record pour un nombre de cette forme, mais il ne s'agit pas d'un produit RSA. L'avanc�e r�side dans le fait que ce nombre totalise 307 chiffres, tout proche des 308 chiffres d'une cl� RSA 1024 bits. Le communiqu� rappelle d'ailleurs que le plus grand nombre RSA factoris� � ce jour ne fait "que" 200 chiffres. D�ception...

[hakin9] Wine : c'est dans la box !

membre@rmff.team (Sylvain) — Mon, 14 May 2007 23:39:48 +0000

Le num�ro de mai d'hakin9 �tant (enfin...) paru, vous pourrez y d�couvrir l'article que j'ai pu �crire. Il concerne l'utilisation de Wine pour r�aliser une plate-forme d'analyse automatis�e de malwares Windows. Voir le sommaire de hakin9 05/2007. C'est open commentaires :)

[windows] Faites votre march� !

membre@rmff.team (Sylvain) — Sat, 21 Apr 2007 19:35:35 +0000

Je n'avais jamais remarqu�, mais en bas de la page de t�l�chargement d'un correctif Microsoft, on trouve le m�me genre de message que sur les sites commer�ants, indiquant quels produits pourraient vous int�resser �tant donn� vos habitudes de surf : A quand un message de ce genre : Voir ce par quoi les ordinateurs des autres personnes sont infect�s Les ordinateurs qui sont infect�s par Troj/Animoo-D ont �galement �t� infect�s par : 1. W32/Sasser-F 2. W32/Rinbot.A 3. W32/Blaster-A 4. W32/Sdbot.A Il vaut mieux en rire...

[lexsi] Lexsi au JT de TF1

membre@rmff.team (Sylvain) — Mon, 02 Apr 2007 23:12:40 +0000

Lexsi est pass� vendredi soir au JT de TF1 � propos d'une fraude � la carte bancaire.

[windows] 0-day curseurs ANI : l'�chec de la s�curit� de Vista

membre@rmff.team (Sylvain) — Mon, 02 Apr 2007 22:54:22 +0000

Root�s par des curseurs anim�s. Ils doivent avoir un peu la gueule de bois les responsables "s�curit� Windows" (entre guillemets) de Microsoft apr�s ce week-end charg� en �motion. La nouvelle est tomb�e jeudi soir : une 0-day Windows est activement exploit�e dans la nature concernant la gestion des curseurs anim�s ANI. Des pages web malicieuses infectent tout visiteur sous Windows et Internet Explorer passant par l�. Les premi�res preuves de concept de curseurs ont commenc� � tomber, d'abord sur des listes de diffusion privatives, puis sur des listes publiques. On apprend ensuite qu'un ver utilisant cette faille se propage et que du spam est envoy� avec des liens vers des sites exploitant la faille par Internet Explorer. Des exploits complets (page HTML et curseur) sont post�s sur les sites habituels. Enfin bref, c'est la f�te. Il y a eu un flottement sur l'exploitabilit� ou non de la faille selon les syst�mes, en particulier sur Windows XP SP2 et Vista, cens�s embarquer des protections contre ce genre d'attaques. Tout le monde a �t� mis d'accord le 1er avril (je pense que Microsoft a appr�ci� l'ironie de la date :) lorsqu'un exploit permettant l'ex�cution arbitraire de code sous XP SP2 et Vista par l'interm�diaire d'une page HTML ouvrant un fichier ANI malicieux a �t� rendu public. Mais c'est bien parce que c'est vous, Microsoft va sortir un correctif hors-cycle pour cette vuln�rabilit�, ce qui est tr�s rare (et justifi� �tant donn� son ampleur). C'est marrant parce que lors de la sortie de Vista, on nous avait pourtant abreuv�s de "Vista, c'est plus s�r !" (sic). Ca, plus le fait que l'antivirus de Microsoft, int�gr� � Vista, arrive en derni�re position du AV comparative n�13, n'en jetez plus. Quels �taient donc ces mots magiques r�p�t�s par Microsoft � propos de la s�curit� de Vista, d�j� ? Allons-y : /GS : depuis XP SP2, et donc dans Vista, toutes les biblioth�ques de Microsoft sont compil�es avec l'option "/GS" de Visual Studio. Cependant, toutes les fonctions ne re�oivent pas cette protection (c'est laiss� � la sagacit� du compilateur) ; manque de chance, c'est pr�cis�ment le cas de LoadAniIcon() ASLR (Address Space Layout Randomization) : dans le cas de la faille ANI, le code en question en encadr� par un gestionnaire d'exceptions qui permet d'essayer plusieurs fois le code d'exploitation jusqu'� ce qu'il fonctionne, sans faire planter le processus, rendant cette protection inop�rante DEP (Data Execution Prevention) mat�rielle : super, mais �a ne marche qu'avec les processeurs Intel avec le bit NX ou AMD avec le bit XD Bien essay�, mais non !

[libre] Lib�rez les failles de s�curit� !

membre@rmff.team (Sylvain) — Sun, 18 Mar 2007 23:21:40 +0000

�videmment, d�couvrir une faille de s�curit� critique dans un logiciel ne fait jamais plaisir aux membres du projet fautif, forc�s de publier une mise � jour � la h�te. Est-ce pour cela que l'on devrait passer l'�v�nement sous silence ou minimiser ses cons�quences ? Surtout quand cela concerne un logiciel libre vant� pour sa s�curit�, en comparaison avec les solutions propri�taires ? C'est pourtant ce qui vient d'arriver r�cemment � Linux et OpenBSD. Dans un message sur DailyDave, Brad Spengler (projet grsecurity) explique qu'une faille dans le noyau Linux a �t� silencieusement corrig�e dans la version 2.6.17.7. Le Changelog ne mentionne que des "probl�mes avec sys_tee()" ("fix problems with sys_tee()"), alors que Spengler indique qu'il a cod� un exploit permettant l'ex�cution de code arbitraire en mode noyau gr�ce � cette faille le 10 ao�t 2006 ! L'exploit en question permet d'avoir acc�s � un shell root local et d�sactive tous les modules de s�curit� du noyau (genre SELinux), excusez du peu... Dans le m�me genre, mais qui a certainement fait un peu plus de bruit, la faille IPv6 exploitable � distance dans OpenBSD. Le rapport qu'en donne la soci�t� CoreLabs, son d�couvreur, est tr�s int�ressant. On y apprend qu'au d�but, les responsables d'OpenBSD n'ont pas r�ellement pris au s�rieux leur demande. OpenBSD consid�rait en fait qu'"il serait surprenant" ("it would be surprising") qu'une ex�cution de code arbitraire soit possible � cause de �a, en particulier parce que le code est situ� "au fin fond" ("deep") du code et qu'aucun buffer utilisateur n'est concern� ("there is no user data in the mbuf header fields that become corrupted"). Sauf que pas de bol, une semaine plus tard, CoreLabs recontacte OpenBSD, en mettant en pi�ce jointe un exploit d'ex�cution arbitraire de code � distance. Mis devant le fait accompli, OpenBSD est bien oblig� de reconnaitre qu'ils se sont faits own�s comme des bleus, et Theo de Raadt ne trouvera que "This means everyone should have our latest patches installed." � dire... Pour la petite histoire, la page d'accueil d'OpenBSD affiche maintenant "Only two remote holes in the default install, in more than 10 years!" ;)

[lexsi] Lexsi au JT de France 2

membre@rmff.team (Sylvain) — Sat, 10 Feb 2007 20:44:14 +0000

Lexsi est pass� au JT de 20h de France 2 lundi dernier en la personne de Nicolas Woirhaye (directeur du CERT-LEXSI), au sujet d'une faille concernant l'usurpation d'identit� sur les t�l�phones portables. Vous pouvez retrouver l'extrait sur le site de France 2.

[lexsi] Blog CERT-LEXSI

membre@rmff.team (Sylvain) — Thu, 11 Jan 2007 21:52:40 +0000

Je poste pas mal en ce moment sur le blog du CERT-LEXSI... A vos feeds RSS :)

[linux] Tutoriel 'Point d'acc�s WPA2 sous Linux' en Anglais

membre@rmff.team (Sylvain) — Wed, 29 Nov 2006 22:33:29 +0000

J'ai traduit en Anglais mon tutoriel sur la cr�ation d'un point d'acc�s Wifi WPA2 sous Linux. Pour plus d'infos, voir ce tutoriel WPA2 Access Point under Linux en section Projets.

[lexsi] LEXSI au Salon de la S�curit� Informatique

membre@rmff.team (Sylvain) — Thu, 23 Nov 2006 21:48:53 +0000

LEXSI, Laboratoire d'EXpertise en S�curit� Informatique, entreprise pour laquelle je travaille en tant qu'ing�nieur de recherche et veille technologique en s�curit�, �tait pr�sente au Salon de la S�curit� Informatique 2006 qui s'est tenu les 22 et 23 novembre au CNIT de Paris la D�fense. Pour plus d'information : le site web de LEXSI le site web du Salon de la S�curit� Informatique J'en profite aussi pour vous signaler l'existence du blog CERT-LEXSI.

[scaperl] Sortie de Scaperl 0.1

membre@rmff.team (Sylvain) — Mon, 06 Nov 2006 13:28:11 +0000

J'ai annonc� sur la mailing list de Scapy la sortie de la version 0.1 de Scaperl qui n'est autre qu'une r��criture de Scapy en Perl (d'o� le nom...). Je travaillais dessus depuis quelques temps. Le but est d'avoir une impl�mentation minimale, portable et efficace des concepts de Scapy avec un code comment� et document�. Il est bas� sur PCAP et la libdnet et a �t� test� sur NetBSD, GNU/Linux et Windows XP. A ce stade, on peut cr�er � la main des paquets (quelques protocoles sont impl�ment�s), les envoyer au niveau 2 ou 3, ou bien sniffer sur une interface. Pour plus d'information, la documentation et m�me quelques screenshots, voir sur la page du projet Scaperl. Tout retour d'exp�rience sera �videmment le bienvenu :)

[enseirb] PFE : fait !

membre@rmff.team (Sylvain) — Wed, 06 Sep 2006 17:23:51 +0000

Apr�s 7 mois de dur labeur (ou pas), j'ai fini mon PFE vendredi ! J'ai travaill� sur la s�curit� de l'architecture SWIFT du Cr�dit Agricole. J'ai envoy� mon rapport � l'Enseirb hier, et l� j'ai un peu de temps libre jusqu'� la soutenance � la fin du mois...

[linux] Point d'acc�s WPA2 sous GNU/Linux

membre@rmff.team (Sylvain) — Sat, 22 Jul 2006 23:05:28 +0000

Voici un petit tutoriel pour cr�er un point d'acc�s Wifi sous GNU/Linux en utilisant ce qui se fait de mieux en mati�re de s�curit� sans-fil, � savoir WPA2 (norme IEEE 802.11i). Je n'ai volontairement pas utilis� Radius pour des raisons de simplicit� (et aussi parce qu'il n'y aura qu'un seul client � connecter...). Mat�riel : carte Wifi PCI D-Link DWL-G520 (chipset Atheros) portable d'Alice pour le client... (chipset Broadcom bouh pas b�) Logiciel : une distribution GNU/Linux (Debian Etch/testing pour moi) hostapd, le d�mon pour cr�er le point d'acc�s dhcpd Etape 1 : cr�ation de l'interface sans-fil Des pilotes pseudo-libres existent pour les chipsets Atheros : MadWifi. Leur site est plein de docs int�ressantes. Voir d'abord le FirstTimeHowTo pour la compilation/installation du pilote (module ath_pci). Le point d'acc�s sera cr�� gr�ce � la configuration de /etc/network/interfaces, j'ai donc fait un echo options ath_pci autocreate=none > /etc/modprobe.d/madwifi. Voici la configuration de mon interface sans-fil (fichier /etc/network/interfaces du point d'acc�s). Etape 2 : configuration du d�mon hostapd Voir sur la page de hostapd pour le t�l�chargement. J'utilise la version de d�veloppement sans probl�me jusqu'� maintenant (0.5.x). Voir ici pour mon fichier de configuration d'hostapd. Penser � modifier : le nom de l'interface si n�cessaire (ath0 pour moi) le nom du pilote si n�cessaire (madwifi pour moi) le SSID le fichier des MAC autoris�es (accept_mac_file) et le remplir la phrase de passe (ou pas !) Etape 3 : configuration du d�mon dhcpd Voici la configuration de mon serveur DHCP. Remplacer �videmment par vos adresses MAC. Etape 4 : automatisation Afin de lancer le d�mon � chaque d�marrage, j'ai cr�� un script /etc/init.d/wifi. On a d�sormais un point d'acc�s WPA2-Personal/RSN/CCMP/AES pr�t � chaque lancement. Je me mets sur le channel 6 pour m'�loigner le plus possible des fr�quences utilis�es par mes voisins (channels 1, 2, 10 et 11). Oui, je sais, il est un peu quick&dirty ce script... (mais il a le m�rite d'�tre POSIXLY correct :). Etape 5 : configuration du NAT C'est la config classique dispo sur tous les tutos � travers le monde. Etape 6 : test � partir de Windows XP V�rifier que les pilotes Windows sont bien les derniers pour le chipset. Windows XP a besoin de la mise � jour KB893357 afin de supporter WPA2. En demandant � l'utilitaire Windows de scanner les r�seaux alentours, on trouve bien notre point d'acc�s indiqu� en WPA2. Il nous demande la phrase de passe puis trouve sa config par DHCP et youpi. Etape 7 : test � partir de GNU/Linux Alice poss�dant Ubuntu sur son portable, je n'ai test� que cette distribution mais ce qui suit s'applique � toutes les distribs. Le chipset �tant un Broadcom, je suis pass� par ndiswrapper (il existe maintenant une impl�mentation libre d'un pilote pour ce chipset mais elle est encore en d�veloppement). Sous Dapper, attention d'ailleurs � blacklister le module correspondant (echo blacklist bcm43xx >> /etc/modprobe.d/blacklist). Voici le fichier /etc/network/interfaces pour le client sous GNU/Linux. L'argument suivant wpa-psk est g�n�r� gr�ce � wpa_passphrase ssid passphrase_en_clair. Au d�marrage du syst�me, il se connecte automatiquement au point d'acc�s et demande le DHCP qui va bien. Re-youpi :) Hope that helps...

[musique] Interop�rabilit� 1 - Apple/Microsoft 0

membre@rmff.team (Sylvain) — Wed, 21 Jun 2006 20:20:53 +0000

Invit� du Grand Journal de Canal+ en ce jour de f�te de la musique (et en charmante compagnie des Pussycat Dolls :), Renaud Donnedieu de Vabres (ministre de la Culture) a indiqu� son attachement � l'interop�rabilit� en mati�re de musique t�l�charg�e par Internet. C'est une bonne nouvelle ; esp�rons que la commission mixte (Assembl�e/S�nat) en charge de r�diger le texte final sur la loi DADVSI aura le m�me avis... A noter que cela n'emp�che pas le fait d'avoir des fichiers DRMis�s ; simplement, la loi fran�aise obligera alors leurs fournisseurs (principalement Apple et Microsoft) � ouvrir les sp�cifications pour que des clients DRM libres puissent �tre �crits. Ce serait une premi�re mondiale (d'autant que d'autres �tats europ�ens sont sur la m�me longeur d'onde, comme le Royaume-Uni, la Norv�ge, la Finlande et la Su�de). PS : "clients DRM libres" : �a fait bizarre, hein... Edit : la licence GPLv3 en cours de r�daction n'autorisera pas des syst�mes de protection comme les DRM car cela est consid�r� comme contraire aux principes que la licence est justement cens�e prot�ger.

[musique] The Dadvsi code

membre@rmff.team (Sylvain) — Wed, 14 Jun 2006 21:20:51 +0000

Allez hop, �a faisait longtemps, alors DEUX messages d'un coup sur mon blog :)) A l'heure o� j'�cris, on ne sait toujours pas si le texte de la loi DADVSI sur les droits d'auteurs va repasser en 2�me lecture � l'Assembl�e. Rappelons que l'Assembl�e avait en premi�re lecture oblig� l'interop�rabilit� en mati�re de protection DRM (avec Renaud Donnedieu de Vabres dans le r�le de Robert Langdon...), alors que le S�nat l'avait seulement mise "en option" et cr�� une autorit� de r�gulation (genre CNIL ou CSA). Les DRM correspondent au logo triangulaire "copy controlled" que l'on trouve depuis quelques ann�es sur les CD. Lors d'un achat de musique en ligne sur des sites tels que Itunes, la Fnac ou VirginMega, les titres ne peuvent s'�couter que gr�ce au logiciel pr�conis� (Itunes ou Windows Media Player typiquement) et toutes les gravures ou copies sur balladeur sont rendues impossibles au bout d'un certain quota (genre "vous avez le droit � copier 3 fois ce titre sur votre balladeur". On fait donc l'effort d'acheter l�galement un CD en boutique ou sur le Web et on se retrouve avec : un CD qu'on a du mal � lire sur sa cha�ne ou son autoradio (genre le dernier Coldplay...) des fichiers dont l'utilisation est tr�s limit�e et pour lesquels ont doit racheter les droits au bout de quelques copies sur CD ou balladeur Il existe des sites Web sur lesquels ont peut librement t�l�charger de la musique, tout en �tant libre de copier � usage priv� les fichiers ainsi acquis, par exemple : Independent Music Shop : t�l�chargement payant au format OGG (Yann Tiersen, Aes Dana, Goulamask, etc) Jamendo : musique libre au sens de la licence Creative Commons, donc t�l�chargemnt GRATUIT d'albums, r�mun�ration au bon vouloir du consommateur Une manifestation pacifique a eu lieu vendredi dernier � la Fnac Montparnasse pour protester contre les DRM, avec Richard Stallman en invit� de choc. Et enfin, pour ceux qui ont un iPod, installez Linux dessus :)

[scapy] Preum's !!!!

membre@rmff.team (Sylvain) — Wed, 14 Jun 2006 20:56:09 +0000

Bonjour � tous :) un mot pour vous dire que j'ai post� le premier ticket sur le trac de scapy !! Il s'agit des dissectors Uberlogger que j'avais �crits pour le projet s�curit� avec Romain et Bruno. A voir sur la liste des tickets en cours... Rats Musqu�s, toujours premiers sur l'info !!

[snort] Notre r�gle Snort accept�e

membre@rmff.team (Sylvain) — Thu, 15 Dec 2005 19:49:57 +0000

La r�gle Snort que Romain et moi avions �crite pour le cours de s�curit� du lundi 5 (et � laquelle Pierre Lalet a contribu�) a �t� accept�e et ajout�e � la liste des r�gles "communautaires" par Alex Kirk. Voir la page des mises � jour des r�gles Snort (une copie de cette page se trouve ici).

[bsd] De la cryptographie dans NetBSD

membre@rmff.team (Sylvain) — Fri, 19 Aug 2005 18:53:59 +0000

A tous ceux qui auraient des envies/besoins de crypter des donn�es sensibles, je leur conseille de se pencher sur le pilote CGD de NetBSD. Il permet de crypter des slices ou des fichiers avec de nombreux algorithmes et longeurs de cl�s, par exemple aes-256. Plus d'informations sur la documentation du pilote CGD de NetBSD.

[scapy] Apparition dans le CHANGELOG

membre@rmff.team (Sylvain) — Tue, 09 Aug 2005 20:16:27 +0000

Philippe BIONDI nous a ajout�s au CHANGELOG de scapy :) (Seb et moi) A voir sur la derni�re version de scapy. Rappelons que nous avions �crit des dissectors scapy pour NetBIOS et SMB lors de notre PFA.

[gnu] Le Hurd fonctionne, je l'ai test� !

membre@rmff.team (Sylvain) — Thu, 09 Jun 2005 21:32:45 +0000

Avant-hier soir, j'ai install� le Hurd sur ma machine. Verdict : IMPRESSIONNANT !! C'est tout � fait utilisable, contrairement � ce que je pensais... Apr�s quelques essais : clavier fran�ais, consoles virtuelles et... serveur X sous fluxbox ! Bon, d'accord, le seul navigateur web est Dillo... Mais �a vaut le coup d'essayer juste pour taper uname -a !

[pfa] Cahier des charges

membre@rmff.team (Sylvain) — Tue, 22 Mar 2005 13:39:09 +0000

Le cahier des charges a �t� rendu dimanche soir. Nous en discuterons avec Pierre lors de notre r�union de mercredi. La deuxi�me �tape du PFA va consister � �tudier les protocoles SMB et NetBIOS, en grande partie en sniffant les paquets �mis par les diff�rentes versions de Windows.

[pfa] Sujets de PFA attribu�s ; notre sujet valid�

membre@rmff.team (Sylvain) — Sat, 05 Feb 2005 19:16:04 +0000

La liste des sujets de PFA et des groupes associ�s vient d'�tre arr�t�e. Notre �quipe des Rats Musqu�s Fous Furieux avait propos� un sujet qui a �t� valid� par F. Pellegrini. Il s'agit d'�tudier des protocoles r�seaux Windows dans une optique de d�tection d'intrusions et de simulation (honeypots). Consultez la page d�crivant notre sujet de PFA.

[�v�nement] Les 5�mes Rencontres Mondiales du Logiciel Libre

membre@rmff.team (Admin) — Sat, 10 Jul 2004 21:57:31 +0000

C'est d�j� fini... Les 5�mes Rencontres Mondiales du Logiciel Libre se sont tenues � l'Enseirb du 6 au 10 juillet 2004. L'invit� de prestige n'�tait autre que Richard Stallman, fondateur du mouvement GNU et de la Free Software Foundation. Il a donn� une conf�rence sur le danger des brevets logiciels. Plus d'info sur le site officiel.