dimanche 29 octobre 2006

Linux l'abus

En fait Linux, c'est comme MacOS : c'est pas que j'aime pas le système, mais plutôt les gens qui l'utilisent.

Faut quand même avouer qu'ils sont d'une mauvaise foi totale, allant jusqu'à affirmer que leur anatomie est 1cm plus large que la moyenne (je me tiens à disposition pour contre-expertise, en tant qu'utilisateur Windows patenté).

Ce qui doit expliquer pourquoi une jeune fille ne peut pas utiliser Linux, même si c'est une Ubuntu.

Le plus simple, ça reste d'adopter la posture de McAfee : faire comme si Linux n'existait pas :)

PS. Pensez-vous que la distrib' Unbreakable Linux sera ... unbreakable ? En tout cas l'action Red Hat a déjà baissé de $5.

Message totalement personnel : Phil, si tu lis ce blog, sache que j'ai vu ça (pas la peine de me le signaler).

mercredi 25 octobre 2006

Microsoft pête les plombs

Non je ne parle pas de Vista cette fois-ci ... mais plutôt de quelques sites assez inattendus.

  • Le jargonaute : le g33k sp34ch expliqué aux n00bz (par Microsoft).
L'ergonomie est très approximative, je vous suggère néanmoins de cliquer sur 'B', puis 4 fois sur la flèche de droite. On arrive sur la définition suivante :

Buffer overflow [nm] : Un buffer overflow consiste à faire crasher un programme en écrivant dans un buffer (zone de mémoire temporaire) plus de données qu'il ne peut en contenir. But du jeu : rendre instable la machine où tourne l'application vulnérable.

Hmmm ... un buffer overflow c'est un simple déni de service alors ? ;)
  • Frimr : le portail de la frime.
Les vidéos du fondateur donnent le ton. Pourtant il s'agit uniquement d'un site de démontration des technologies ASP.NET ...
  • Cexcellent : ou comment faire une série sur l'administration de système Windows.
Ca ne vaut quand même pas The IT Crowd, mais c'est en français.
Si vous arrivez à trouver l'objectif de ce site en naviguant dessus, laissez moi un commentaire ! Sinon la réponse est sur Google, mais n'abandonnez pas trop vite :)

vendredi 20 octobre 2006

Groupe des Utilisateurs Windows Vista

Le GUWIV : j'y étais.

Le contexte : malgré un status d'association Loi 1901, la chose est 0wn3d à 100% par Microsoft (qui n'avait pas son T-Shirt MVP ou MVS ?). D'ailleurs ça se passait dans les locaux de Microsoft, rue de l'Université.

Pour cette première réunion, le public était quant à lui assez éclectique : consultant, développeur, vendeur chez Darty, dépanneur chez SosPC ...

Malgré une orientation assez "happening" de l'évènement, j'ai quand même glané quelques informations intéressantes sur Vista (de mon point de vue, bien sûr :).

La technique de vente Microsoft

Visiblement c'est toujours la même : "notre précédent produit n'était pas vraiment abouti, pour celui-là on est reparti de la feuille blanche, tout est mieux".

L'interface graphique (dites "aéro" si vous ne voulez pas passer pour un plouc)

Visiblement c'est The Big Thing chez Microsoft. Ne dites pas "ah les fenêtres en 3D quant on a une carte graphique plus puissante que son CPU", dites "la plateforme de développement du futur en terme d'expérience utilisateur" :)

Ils ont même créé un site (en Flash) pour vous en convaincre.

Et le pire, c'est que des grands comptes français ont accroché ! Il semblerait que pour le lancement de Vista au grand public (janvier 2007 selon les prévisions), plusieurs sites majeurs du Web français adoptent un look "aéro". Je ne sais pas pourquoi, mais je sens qu'Orange s'est encore laissé embarqué dans cette affaire :)

Bien sûr, ce que l'histoire ne dit pas, c'est que pour utiliser l'API WinFX, le site Web doit télécharger et exécuter des assemblies .NET 3.0 sur le poste de l'utilisateur (si j'ai bien lu entre les lignes :).

En parlant de look-n-feel (pardon, d'expérience utilisateur), faut quand même avouer que ca ressemble bigrement à Mac OS X. Sherlock (= Windows Desktop Search), widgets (= gadgets) de bureau, navigation dans les répertoires par colonne, même les papiers peints sont identiques !

La compatibilité

Alors là j'ai découvert que pour éviter les embrouilles avec les applications "legacy" (= Windows XP) qui demandent trop de droits, il y a carrément une instance Virtual PC à l'intérieur de Vista ! A priori c'est pas du Virtual PC comme à la maison mais plutôt une version "Express".

Sinon la version 64 bits de Vista ne sera pas capable de faire tourner les applications 16 bits, contrairement à la version 32 bits.

DRM

Là encore c'est The Big Thing chez Microsoft. Pas mal de composants dans le système ont été pensés pour le DRM, à commencer par le moniteur d'intégrité (CI.DLL) qui évite les cafouillages dans Windows Media Player.

Mais le plus énorme, c'est que Windows Vista 32 bits ne sera pas capable de lire les HD-DVD (BluRay), contrairement à la version 64 bits. Pourquoi ? Parce que le consortium qui gère les HD-DVD engage plus ou moins contractuellement les éditeurs de logiciel à empêcher que les clés de déchiffrement ne "leakent" trop rapidement. Et Microsoft ne voulait pas assumer le risque financier avec une version de Windows jugée trop facile à "cracker" par rapport à la version 64 bits et ses drivers signés.

En résumé, si vous n'avez pas d'antivirus sur Vista 64 bits, c'est à cause de la MPAA (entre autres).

La protection logicielle

Tout simplement excellent. Ayant par le passé souffert des vols de clés en volume (Volume Licence Keys), Microsoft introduit le système VLK 2.0. En résumé :

  • Soit vous êtes une PME, dans ce cas vous utilisez des clés MAK donc votre Windows doit contacter Microsoft tous les 180 jours.
  • Soit vous êtes un grand compte et dans ce cas vous avez un service KMS en interne, chargé de vérifier les licences à partir d'un certificat délivré par Microsoft (qui remplace la VLK). Comme dit Microsoft, "c'est une demande de nos clients car ils veulent des outils pour suivre leur parc logiciel au mieux" :)
Conclusion : il faut maintenant piquer le certificat plutôt que la clé :)

Mais la vraie nouveauté, c'est qu'un Windows n'ayant pas pu vérifier sa licence pendant 180 jours va passer en mode "dégradé", incluant par exemple l'impossibilité d'utiliser les fenêtres en 3D (!). Et la seule application que vous pourrez exécuter, c'est Internet Explorer pendant 1h (!!!).

Bien entendu, on imagine pas que Windows Vista soit utilisé dans des panneaux de contrôle d'avions ou de centrales nucléaires ... mais ça pourrait être fun si c'était le cas et que le système venait à se bloquer :)

La soirée de lancement

Pour finir, il semblerait que Microsoft prépare un évènement de lancement exceptionnel, incluant au moins un appart' truffé de Webcams et de PCs. Et les invités seront les blogueurs les plus en vus, donc je tente ma chance :

Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista

Revue de presse "spécialisée"

Comme ceux qui me connaissent bien le savent, j'achète à peu près tous les magazines dont le titre contient les chaines de caractères "hack" ou "pirate" ... (J'ai quand même fini par arrêter d'acheter les compilations de logiciels téléchargés sur Internet, vendues 10 euros).

Un jour peut-être (si j'ai le courage) je vous ferai une critique circonstanciée des nombreux magazines existants, leurs origines, leurs auteurs et leur contenu.

Mais pour rester dans les choses simples, voici quelques news :

  • Pirate Mag', c'est fini ! On savait que le magazine avait des problèmes, essentiellement financiers, mais là c'est vraiment la fin de la presse "d'avant" (le Virus Informatique nous ayant déjà quitté depuis longtemps).
  • NetHackers, édité par AC'ISSI (une spin-off de The Hackademy), est devenu NetSecret's. Bizarre comme changement de nom, car si "NetHackers" était difficile à référencer correctement sur Google, "NetSecrets" l'est encore plus ! Mais le plus drôle, c'est qu'ils s'apprêtent à sortir un NetSeniors ! C'est pour ceux qui n'ont plus la carte 12/25 ?
  • The Hackademy vend principalement en PDF maintenant (je n'ai jamais réussi à mettre la main sur l'édition papier dans un kiosque parisien).
  • Hakin9 devient mensuel à partir de l'année prochaine.
  • Et enfin, pour ceux qui se demandent ce que devient le MISC Allemand, sachez que la traduction était tellement pauvre qu'ils n'ont jamais dépassé le 1er numéro.
A bientôt pour de nouvelles aventures !

mercredi 18 octobre 2006

20 ans de sécurité informatique ...

... pour en arriver là.

Opera 9
Publiée le 15 septembre 2006

A flaw exists within Opera when parsing a tag that contains a URL. A heap buffer with a constant size of 256 bytes is allocated to store the URL, and the tag's URL is copied into this buffer without sufficient bounds checking of its length. The vulnerable code would look something like this in C/C++:

char *local_url = malloc(256);
strcpy(local_url, tag_url);


Note : ce bug a été introduit dans la version 9, il n'affecte pas la version 8 ...

Apache, mod_tcl
Publiée le 16 août 2006

Due to programmer error, user supplied data is passed as the format string specifier to several calls to an internally defined variable argument function. The function 'set_var' is declared as follows:

mod_tcl.h:117:void set_var(Tcl_Interp *interp, char *var1, char *var2, const char *fmt, ...);

Several insecure calls to this function are made through out the code, as seen below:

tcl_cmds.c:437: set_var(interp, nm_var, (char*) key, (char*) val);
tcl_cmds.c:2231: set_var(interp, nm_env, env[i], sptr + 1);
tcl_core.c:650: set_var(interp, namespc, vl[i].var2, vl[i].var3);


Cisco
Publiée le 12 octobre 2006

The Cisco Wireless Location Appliance software contains a default password for the 'root' administrative account. A user who logs in using this username has complete control of the device.

[...]

If the password has not previously been changed, the default username for the administrator login is "root" (without the quotes), and the default password is "password" (without the quotes).

Mambo
Publiée le 5 octobre 2006

Mambo is vulnerable to an Authentication Bypass issue that is due to an SQL Injection in the login function. The SQL Injection is possible because the $passwd variable is only sanitized when it is not passed as an argument to the function.

En résumé ...

Un strcpy() dans un buffer de 256 octets, une format string, un mot de passe root en dur, une injection SQL dans le champ password, ...

C'est bon, j'ai encore du boulot pour les 20 prochaines années :)

lundi 16 octobre 2006

Inattendu ...

Dimanche 15 octobre 2006 ...

Journal de France 2, 20h20'38" heure locale ...

Sujet sur le 300,000,000-ème américain ...

Le journaliste avait besoin d'un clipart "informatique" pour figurer le bureau du recensement américain ...

Et là, c'est le drame.

dimanche 15 octobre 2006

A propos d'inforensique* mémoire ...

L'inforensique est une activité rarement pratiquée par les consultants, car rarement demandée par les clients. Il faut dire que dans la plupart des cas, les pirates entrent par brute-force SSH ... Les travaux du Honeynet Project sont particulièrement édifiants sur le niveau moyen des pirates.

Dans ce contexte, l'inforensique mémoire, destiné à contrer les intrusions "tout en mémoire", tient de la science-fiction. A ma connaissance, il n'y a eu que 2 expérimentations publiques sur de l'inforensique mémoire :

  • Le challenge DRFWS 2005
  • Le challenge Securitech 2005, niveau 16 (qui n'est malheureusement plus disponible en ligne)
Pourtant les intrusions "tout en mémoire" sont accessibles au plus grand nombre à travers le Meterpreter de l'outil Metasploit. Alors, que faire ?

La solution du challenge Securitech n'est pas en ligne. A contrario, le challenge DRFWS 2005 a produit 2 outils intéressants : MemParser et KntList. Jusqu'à récemment, ces outils n'étaient pas disponibles publiquement, mais les présentations qui en ont été faits sont très alléchantes [MemParser-PDF, KntList-PDF]. Je vous laisse méditer sur cette reconstruction graphique des structures ETHREAD et EPROCESS.



Vous comprendrez donc mon excitation lorsqu'on m'a dit que MemParser était passé sur SourceForge cet été, dans l'anonymat le plus total !

* Inforensique = traduction officielle de forensics

jeudi 5 octobre 2006

Les abus dans la sécurité informatique

Quelques idées qui me sont venues en vrac, en lisant quotidiennement les dizaines de mailing lists et de blogs consacrés à la "sécurité informatique" (vaste sujet s'il en est, du virus VBScript au distributeur de billets backdooré).

J'en viens quand même à la conclusion qu'il y a de nombreux abus dans ce milieu, en voici quelques uns :

  • La sécurité WiFi
Tout le monde se plaint des nombreuses attaques sur le WEP. Mais finalement cette technologie n'est pas si mauvaise quand on la compare à d'autres : SDMI, IPv6, la VoIP ou encore Vista. En effet ces dernières ont toutes été attaquées avant même d'être distribuées dans le commerce, contrairement au WiFi !
  • Les end-users [1]
Plutôt que de rabâcher que les clés WEP peuvent être cassées, voici une solution beaucoup plus astucieuse pour inciter les utilisateurs à ne plus utiliser le WiFi : il suffit de leur dire que ça consomme de la batterie ou que ça ralentit leur système d'une manière ou d'une autre !
  • Les services juridiques
Dans les traces de la société FREE en France, Apple lance des poursuites contre toute personne qui utilise les lettres POD dans son nom ...

Google n'est pas en reste puisqu'il poursuit toutes les publications qui utilisent le verbe "to google", malgré son apparition dans le Oxford English Dictionnary ...
  • Les "chercheurs" en sécurité
... surtout lorsqu'ils pratiquent le racket, comme la société Matousec qui a identifié des failles dans une série de firewalls personnels. La liste des bogues pour chaque produit est vendue entre $500 et $1,500 ... avec une option d'achat préférentielle pour l'éditeur !

De même H. D. Moore avec "The Hacker Foundation" nous prépare sans doute quelquechose aux petits oignons !
  • Les businessmen
La société Tankafritt (ça ne s'invente pas !) propose une assurance contre les poursuites judiciaires en cas de téléchargement illégal. A priori au civil ça pourrait marcher, mais au pénal j'en doute ...
  • Les consultants
Pour finir je ne résiste pas à cette brève lue dans la dernière newsletter HSC :

16 novembre 2006 : Conférence CLUSIF - Paris
Sécurité physique : crochetage de serrures - Jérôme Poggi
http://www.clusif.asso.fr/

N'hésitez pas à me signaler si vous avez d'autres histoires à raconter !

[1] En particulier les propriétaires de Mac, habituellement assez bornés :)