vendredi 28 mars 2008

Cherchez l'erreur

Pour se détendre avant le week-end :)

jeudi 20 mars 2008

Rendez moi mon écran bleu

(Suite du précédent message, toujours à propos de l'Asus EEE).

Voici une aventure à double sens.

J'essaie de me connecter à mon réseau WiFi en WPA-PSK via l'utilitaire de configuration graphique. Mon réseau est protégé par une passphrase suffisament longue, comme il se doit. Et là, c'est le drame.

Non seulement ça ne marche pas, mais le message d'erreur présente tous les symptômes d'une injection de commandes shell, bien connue dans le milieu du modem adéhaisselle[*].

Après une bonne heure de débogage, le problème est identifié. Le script /etc/network/if-pre-up.d/0001xandros-wireless-tools fait appel au script /usr/sbin/xandros-wpa-config pour générer dynamiquement la configuration wpa_supplicant.

Ces deux scripts ne protègent pas correctement la passphrase par des guillemets, ce qui provoque des erreurs inattendues lorsque la passphrase contient des espaces ... (comme toute phrase normalement constituée).

On peut tirer deux conclusions relativement différentes de cette histoire :

  • C'est beau l'Open Source, je vais avoir mon nom dans un CHANGELOG. Ah non en fait je ne sais pas comment remonter le bogue à Asus, Taiwan.
  • J'ai perdu une heure de ma vie à fixer un problème trivial. Et personne n'utilise de passphrase correcte.
Quel est le lien avec le titre de ce billet ? C'est qu'il ne faut pas changer de résolution trop souvent sur cette même machine :)


La bonne nouvelle, c'est que la version de CUPS installée n'écoute que sur l'interface de boucle locale. Cette fois-ci, ça n'est pas Sun/Solaris qui prend mais Apple/MacOS :)

[*] On dit bien cédérom, non ?

mardi 18 mars 2008

Ceci n'est pas une bâche gratuite

Pour mon anniversaire, je me suis offert le pur jouet geek : l'Asus EEE PC.

En France, il semble qu'un opérateur de téléphonie mobile ait obtenu l'exclusivité de sa distribution. Il reste toutefois possible de l'acheter sans abonnement 3G pour la modique somme de 299 euros. Avec 500,000 exemplaires vendus en France (source orale), l'objet est en rupture de stock chez pratiquement toutes les grosses enseignes.

L'objet est graphiquement séduisant, même si les marges d'écran (et son format tout en longueur) sont assez décevants. La connectique est bonne : plusieurs ports USB, port Ethernet, sortie VGA (indispensable pour les professionnels de la présentation), chipset WiFi Atheros, lecteur SD/MMC. Pas de port PCCard/PCMCIA toutefois.

Sous le capot on trouve une distribution Linux basée sur Debian : Xandros. Attention, le support est entièrement assuré par Asus. Et là, c'est le drame.

Tout le monde a lu que la version de Samba livrée et démarrée par défaut sur ce système est vulnérable à une faille exploitable à distance.

Mais ce qui est beaucoup plus intéressant, c'est que la personnalisation opérée pour le support de la clé USB 3G+ de Huawei (revendue par l'opérateur sus-mentionné) "casse" le système de packages. Aucune mise à jour n'est possible via l'interface graphique, un message d'erreur cryptique de type "try apt-get -f install" étant affiché.

Hmm, 500,000 systèmes non patchables dans la nature, ça fait réfléchir :)

Accessoirement, je n'ai jamais réussi à configurer mon accès WPA-PSK via l'interface graphique. "wpa_supplicant.conf" est ton ami.

En conclusion voici la bâche : Linux pour tous, ça n'est toujours pas pour demain, même avec des grosses icônes :)

Quelques infos pour les purs geeks : le système est livré avec Python et Ruby en standard, mais pas GCC. Le processeur est un Intel Centrino classique. L'utilisateur de base (compte "user") est également sudoer sans mot de passe. Et le support IPv6 n'est pas compilé dans le noyau :)

jeudi 13 mars 2008

6 choses sur moi

Nonop, dans son blog consacré à la sécurité, tente une action de Lutte Informatique Offensive grossière afin de me profiler plus finement.

On notera que son blog est hébergé chez Wordpress, mais cet homme n'est pas à une contradiction près, puisqu'il est à la fois consultant et expert \LaTex :)

Voici donc 6 éléments aléatoires sur moi :

  1. Comme la plupart des consultants en sécurité, j'ai (eu) pour loisirs différentes activités telles que le jeu de rôle, le paintball et les concerts de hard rock.
  2. A contrario, je considère la majorité des productions "rap" comme une musique complètement immature et infatuitée - malgré un avis contraire de tous mes collègues directs. J'ai presque plus de sympathie pour la Tectonik (bien que je ne sache toujours pas épeler ce mot correctement).
  3. Je suis au régime. Et c'est mon anniversaire bientôt (corollaire de la remarque précédente), mais je ne peux pas vous dire quand car c'est une question secrète sur de nombreux sites.
  4. J'ai déjà fait une estive dans le Vercors avec un troupeau de 3000 têtes et 13 chiens de protection, dans une zone à loups.
  5. J'ai habité 2 ans en Martinique - j'ai donc un degré de plongée sous-marine, le permis bateau hauturier (je peux conduire un super-tanker pour des trajets non-commerciaux :) et un degré en parapente.
  6. Et surtout, je déteste les chaines et les hoaxes en tout genre, qui contribuent à niveler Internet par le bas (comment faire de la sensibilisation sérieuse après ça ?). Je ne ferai donc pas suivre l'invitation à 6 malheureuses victimes :)

lundi 3 mars 2008

Echantillon gratuit

Pour ceux qui n'ont pas la chance d'être abonnés, voici un échantillon du dernier numéro de Hakin9. Enjoy!