Korben

PunkSpider – Le moteur de recherche qui va vous aider à sécuriser votre site

jeudi 14 mai 2015 à 13:36

Vous savez ce que font les cyber-criminels lorsqu'ils découvrent une faille sur un site web ?

C'est simple... Soit ils l'exploitent pour leur propre profit, soit ils vendent l'exploit ou la vulnérabilité au plus offrant sur d'obscurs forums.

Voyant cela, Alejandro Caceres et Amanda Towler ont créé le site PunkSPIDER qui n'a qu'un objectif : Casser ce marché noir.

Une fois par an, fin mai, ils scannent des millions de sites à la recherche de failles potentielles et proposent ça gratuitement sur leur site, qui est si vous préférez, un genre de "Google de la vuln". Si je vous en parle, c'est parce que le prochain scan aura lieu fin mai de cette année et qu'il va falloir surveiller ça pour être certain que vous n'êtes pas indexé comme site vulnérable sur leur site.

PunkSPIDER homepage

Si c'est malheureusement le cas, ce sera à vous de corriger votre serveur / site web rapidement.

Pour le moment, vous n'y trouverez que des scans datant de 2014. En effet, durant 4 jours l'année dernière, ces entrepreneurs rebelles ont fait tourner plein pot leur crawler durant 4 jours et ont récolté les données de 98 millions de sites web, soit 3,4 millions de vulnérabilités recensées.

Le prochain scan couvrira beaucoup plus de sites et de vulnérabilités, y compris sur les sites non référencés par Google ou accessibles uniquement via des systèmes anonymisant comme Tor. Ils espèrent pouvoir à terme scanner le net en temps réel.

Comme une majorité de personnes qui sont sensibilisées à la sécurité, ils savent que c'est en informant les gens de l'existence de ces failles, que celles-ci auront le plus de chance d'être rapidement corrigées. En effet, les cyber-criminels n'ont pas attendu PunkSpider pour mettre la main sur ces failles, alors autant rendre tout ça public pour que chacun puisse agir pour se protéger.

Leur projet est noble, mais ils risquent gros, car le simple fait de scanner des sites web à la recherche de failles, les exposent à des actions en justice. Ils sont donc en discussion avec l'Electronic Frontier Foundation pour anticiper tout ça. Bref, ils ont des couilles et la conviction que c'est ce qu'il faut faire pour casser le marché noir et élever le niveau de sécurité du net.

Toutes les semaines, à la télévision, on peut voir dans des émissions type Capital ou je ne sais quoi, comment font les criminels pour escroquer les honnêtes citoyens. Leurs techniques sont très souvent largement décrites et heureusement, car c'est comme ça qu'ensuite, les bons citoyens que nous sommes pouvons nous protéger. Grâce à cette connaissance.

Si on ne nous dit rien, si on ne nous explique rien, on reste dans l'ignorance et on se fait laminer en 2 secondes par plus affuté que nous. Dans le cas de l'affaire Krach.in par exemple, il explique par une démonstration claire comme mettre à mal une connexion WEP. Ce n'est pas dans un but de piratage ou d'incitation à commettre un crime, mais plutôt pour montrer à ses lecteurs que le WEP c'est de la merde et qu'il ne faut surtout pas l'utiliser. Si Krach.in ou d'autres n'avaient pas fait de tutos à l'époque sur comment choper le mot de passe d'une connexion WEP, je pense qu'on serait encore tous protégés par ce truc et pas par du WPA2.

Bref, tout ce que font ces experts en sécurité est d'utilité publique et ils devraient être récompensés pour leurs efforts d'éducation, de vulgarisation et d'explication, plutôt que d'être trainés devant les tribunaux par quelques incultes qui pensent que c'est en gardant secrète l'existence du loup, qu'on protège les moutons.

Source

Cet article merveilleux et sans aucun égal intitulé : PunkSpider – Le moteur de recherche qui va vous aider à sécuriser votre site ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

L’intégration de Pocket dans Firefox ? Beurk…

jeudi 14 mai 2015 à 12:39

Hier, en mettant à jour mon Firefox, j'ai découvert une nouvelle icône qui permet d'ajouter des liens dans Pocket. Pour ceux qui ne connaissent pas, Pocket est un service qui permet de stocker et consulter plus tard, les pages sur lesquelles vous surfez.

Je n'utilise pas Pocket ni les services équivalents parce que je n'en ai pas besoin. De plus, Pocket est un outil fermé et proprio, et je trouve ça très bizarre que Mozilla leur envoie plein de nouveaux clients / utilisateurs gratuitement (enfin, je suppose que c'est gratos vu que personne n'a encore parlé de deal financier).

En plus, Pocket était déjà dispo sous la forme d'une extension téléchargeable librement, donc l'intégrer d'office dans Firefox, je ne vois pas l'intérêt... Si les dev de Mozilla commencent à intégrer les extensions qu'ils aiment bien dans Firefox, plutôt que de développer leurs propres fonctionnalités, on n'a pas fini d'avoir un navigateur qui rame parce qu'il est surchargé.

Enfin pour respecter l'esprit de Mozilla et du logiciel libre, j'aurai plutôt vu un partenariat avec un équivalent comme Wallabag qui est sous licence MIT.

Bref, pour moi cette intégration c'est merdique et surtout je n'en comprends pas la logique. Pocket est certe un excellent service (pour ceux qui lui trouvent une utilité), mais ce n'est pas un service qui devrait être intégré d'office dans Firefox, sauf si effectivement c'est justifié. Dans le cas par exemple où Mozilla rachète Pocket ou que Pocket rince la gueule à Mozilla à grand coup de dollars dans le string.

Alors si comme moi, vous trouvez ça totalement inutile, voici comment désactiver Pocket pour gagner un espace supplémentaire pour vos icônes d'extensions.

Tapez tout simplement about:config dans la barre d'URL et recherchez la chaine suivante : browser.pocket.enabled

Et passez-la à FALSE. Relancez le navigateur et voilà !

Cet article merveilleux et sans aucun égal intitulé : L’intégration de Pocket dans Firefox ? Beurk… ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Virtualisation – Attention à la faille de sécurité VENOM

jeudi 14 mai 2015 à 12:02

Si vous utilisez des outils de virtualisation basés sur QEMU, au risque pour moi de me faire attaquer en justice, je tiens à vous informer que la société Crowdstrike a découvert une vulnérabilité dans le code utilisé par le lecteur de disquette virtuel, qui permet à un attaquant de sortir de la machine virtuelle et d'impacter le système hôte (et les machines présentes sur le même réseau local ou les autres machines virtuelles du système).

Pour faire plaisir aux marketeux, cette faille a été baptisée VENOM pour "Virtualized Environment Neglected Operations Manipulation".

Pas besoin d'utiliser ou d'activer le lecteur de disquette virtuel pour être en danger. Tout le monde est concerné (Linux, OSX, Windows, Solaris...etc.), et cela, même si vous avez désactivé cette fonctionnalité de lecteur de disquette virtuel qui est tout de même présente depuis 2004.

Concrètement, que ce soit Virtualbox, Xen, KVM...etc. tous ces outils basés sur QEMU sont impactés et il faut les patcher au plus vite. VMWare et Microsoft Hyper-V ne sont pas concernés et Amazon qui utilise pourtant Xen pour AWS a averti ses clients en expliquant qu'ils n'y sont pas sensibles (Ils ont dû patcher aussi).

Évidemment, l'attaque n'est pas si simple à mener car il faut que le vilain ait un accès admin ou root à la machine virtuelle et pour le moment, aucun exploit pour kikoolol n'a encore été découvert. Mais malheureusement ça ne devrait pas tarder, car ce buffer overflow n'est pas si complexe à exploiter (en terme de code, je veux dire).

Alors que faire pour s'en prémunir ? Et bien, il faut patcher ou mettre à jour votre logiciel !! Et vite !

Vous trouverez plus d'infos ici :

Si vous êtes sous Debian / Ubuntu, pensez à faire un apt-get update + upgrade pour mettre à jour vos outils. Concernant Virtualbox, la version corrigeant le problème n'est pas encore dispo mais ça ne devrait pas tarder. (Ou alors ce n’est pas indiqué clairement dans le dernier Changelog)

Voilà, vous êtes prévenus, et vous savez ce qu'il vous reste à faire.

Cet article merveilleux et sans aucun égal intitulé : Virtualisation – Attention à la faille de sécurité VENOM ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Condamné en justice pour un tuto Aircrack

jeudi 14 mai 2015 à 03:16

Il s'est passé un truc vraiment étrange cette semaine. Un blogueur en sécurité (Krach.in) a été condamné à 750 € d'amende pour, je cite : "(...)Mise à disposition sans motif légitime (...) de données conçu ou adapté pour une atteinte au fonctionnement d'un système de traitement automatisé de données".

Je suis resté silencieux sur le sujet attendant d'en savoir plus pour me faire un avis. Et voici maintenant ce que je peux en dire...

Concrètement, ce blogueur a été condamné parce qu'il a écrit un article où il explique comment casser du WEP. Sont remontés ensuite lors de son procès, 2 autres articles qui ont fait pencher la balance de la justice en sa défaveur. Un article sur Teensy, une petite clé qui permet de lancer des scripts sur des machines via le port USB et un article sur un script Python pour reverser du MD5.

Bref, rien de folichon, rien d'illégal, et rien qui n'ait déjà été vu partout sur la toile y compris sur mon site. Étrange, moi et d'autres, on n'a jamais reçu de plainte de ce style. Mais justement, de qui provient la plainte ? Et bien de personne... Toujours d'après ce blogueur, il s'agirait d'une initiative des gendarmes qui scannent le net avec un robot à la recherche de ce genre de choses "sensibles".

J'ai lu les articles en question, et même si Krach.in est maladroit dans ses exemples (du genre JE CITE : "Imaginons qu’on veuille infecter le réseau intranet d’une banque", dans son article sur Teensy, ce qui doit bien exciter le gendarme), même s'il ne met pas de disclaimer du genre : "Ne le faites pas sur la machine de votre voisin", il propose quand même dans chacun de ses articles des solutions pour se protéger de toutes ces techniques et n'incite personne à commettre de crime.

Il expose juste un fait technique et donne des solutions pour y remédier. Ce délit d'information et sa passion pour la sécurité informatique lui ont quand même coûté une perquisition, la fermeture de son blog et 750 € d'amende. Ça fait cher le tuto aircrack...

Là où il a merdé surtout, c'est d'avoir accepté de reconnaitre son supposé crime. Mais je comprends ses motivations... Pas assez d'argent pour se défendre convenablement, il a préféré passer à la caisse directement sans protester.

Si l'histoire du robot crawler en question est avéré, il doit être tout nouveau, car c'est la première fois que j'entends parler d'un tel délire. Si vous avez publié des tutos sur du crack de WiFi ou sur des machins pour cracker des trucs, attendez-vous à vous faire perquisitionner au petit matin, analyser votre vie privée et au final, vous faire extorquer une petite (ou grosse ?) somme d'argent. Mais n'ayez pas peur, car vous n'avez rien fait de mal et tout le monde vous soutiendra.

Ça pue un max pour tous les experts en sécurité de France et de Navarre qui osent s'exprimer publiquement. La justice est aveugle, et il semblerait que ce petit bot et les gens qui le pilotent le soient aussi, malheureusement. Je ne comprends plus la logique de ce pays ni la justice française.

En tout cas, j'aimerai bien en savoir plus sur cette histoire. Si les copains gendarmes peuvent m'éclairer en off sur ce bot magique, je ne suis pas contre.

Je vous mets le récit complet de Krach.in ici pour que vous vous fassiez une idée de ce qu'il a vécu ces derniers mois.

L'histoire d'un blog : KRACH.IN
Consterné par le manque de sécurité informatique que j'ai pu croiser j'ai eu envie de faire partager quelques connaissances dans le domaine du hacking.
Je me suis mis à la place d'un chef d'entreprise, d'un salarié, d'un particulier, d'un utilisateur lambda ayant pour seules connaissances informatiques l'utilisation quotidienne au travail ou à la maison (souvent cantonné à bureautique + internet).
Et là je me suis rendu compte que souvent dans les médias on pouvait lire / entendre des actualités concernant telle ou telle faille permettant de porter atteinte à un système informatique, mais que ce genre d'information ne faisait que de rentrer par une oreille pour en sortir par l'autre.
J'ai donc décidé de montrer par la pratique que ce genre de dangers étaient bien réels par des démonstrations (réalisées dans le cadre d'un laboratoire monté de toutes pièces évidemment).
Il est bien plus pertinent de prendre conscience de ces dangers si on peut les matérialiser et se convaincre de leur existence dans le but de mieux se prémunir face à ces attaques.
Parmi mes articles il y avait un peu de tous, des démonstrations techniques, des actus de mise en garde, des coups de gueule, des bouts de code de programmation.
J'ai toujours fait mes articles dans un sens de mise en garde, pour porter la réflexion aux concernés, jamais je n'ai fait de tutoriel ayant pour but de porter atteinte aux systèmes automatisés de données comme on me l'a reproché.
Si un pirate malveillant avait voulu trouver des infos pour pénétrer un système, il est sûr que ce n'est pas mon blog qu'il aurait visité. Par exemple pour casser du WiFi, si je tape 'crack WiFi' dans Google, j'ai 'Environ 15 500 000 résultats', bref... Sachant qu'en plus dans mon article en question il manque des étapes menant à bien l'attaque.
Toujours au sujet du WiFi, le WEP est mort depuis plus de 10 ans, il y a pas si longtemps de ça des FAI livraient des box avec du WEP par défaut, pourquoi ne pas les avoir blâmé ? À cause de leurs gros sous ?
La perquisition.
En septembre 2014, c'était le matin, j'étais en congés ce jour-là (heureusement, ça m'aurait fait mal que ma femme et notre bébé se retrouvent face à ça), vers 9h ça toque à la porte.
Je vais ouvrir et là quatre gendarmes en civil me montrent leur carte et m'annoncent qu'ils viennent perquisitionner mon domicile. Je leur demande pourquoi, et ils me répondent que c'est au sujet de mon blog qui parle de cracking.
Il sont en 'flagrant délit' étant donné que mon blog est toujours en ligne à ce moment-là. Pas le choix je les laisse entrer, ils embarquent alors mes unités centrales, PC portable, disques durs externes et clés USB.
Je précise quand même qu'ils ont été courtois et n'ont pas tout retourné comme des sauvages. Par contre aucun scellé n'a été fait sur place, ils sont partis avec le matos sous le bras et dans les poches... je ne sais pas si c'est réglo mais j'ai trouvé ça très limite d'un point de vue corruption des données entre temps...
Une fois la perquisition faite ils m'ont invité à les rejoindre à la gendarmerie pour m'auditionner, je m'y suis rendu dans la foulée.
Arrivé là bas le gendarme m'interrogeant m'a directement demandé (en off) pourquoi je n'avais pas mis de faux noms pour enregistrer mon domaine et mon serveur comme ça ils ne seraient pas venus me cueillir... \le moment WTF
!\ j’ai tout simplement répondu que je ne m'étais rien d'illégal et que je n'avais aucune raison de vouloir me cacher. Ça commence fort.
La suite de l'interrogatoire se passe de la manière la plus simple, le gendarme n'est pas agressif, il est même plutôt impressionné par les compétences et m'explique qu'ils sont obligés de traiter cette plainte, car elle vient d'une sorte de bot qui scanne le WEB FR et selon les contenus lève des infractions... le blabla classique pour te mettre en confiance.

Ah si et c'est à ce moment-là qu'il m'est demandé de couper mon blog.
Rien d'exceptionnel à dire en ce qui concerne l'audition, ça n'a pas duré trop longtemps (1h30~2h), sauf l'impression d'être un criminel lorsqu'on te prend toutes les empreintes possibles et qu'on te tire le portrait de face et de profil.
L'après-perquisition.
Me voilà rentré chez moi, et là ça fait bizarre, plus de media center, plus de PC, encore heureux que j'ai pu garder le smartphone.
N'ayant plus la télévision chez moi (j'en avais marre des publicités et de la redevance audiovisuelle) je me suis demandé comment j'allais bien pouvoir suivre les actualités:)
Ça faisait vraiment vide, il ne restait que des écrans avec les câbles qui n'étaient plus branchés au milieu de ces espaces vides où se trouvaient les tours.
Étant donné que je bosse en tant que développeur logiciel, il m'est nécessaire d'avoir un PC, j'ai donc du lâcher 600 euros pour me prendre un PC portable en attendant; première dépense que cela m'a engendrée.
Les jours passent, les semaines aussi. Au bout d'un mois, je rappelle le gendarme et lui demande où en est l'analyse de mon matériel informatique. On me répond que d'autres affaires sont prioritaires sur l'analyse (comprenez les histoires de pédophilie principalement).
Un peu plus de deux mois sont passés et finalement je peux enfin aller récupérer mon matériel \0/
En définitive rien de mal sur mes ordinateurs alors je peux tout récupérer. Au passage le gendarme essaye de m'intimider en me disant que s'ils l'avaient voulu ils auraient pu garder mon matos pour ré-attribution (comprenaient pour qu'ils les gardent pour eux).
Matériel récupéré, la première chose que j'ai faite c'est d'analyser tout le hardware et le software au cas où une backdoor aurait pris place (parano quand tu nous tiens). Bon je vous rassure je n'ai rien trouvé.
La convocation.
Et voilà qu'en mars 2015 je reçois une convocation pour une CRPC pour avril 2015. J'ai donc un mois pour voir ça arriver. C'est court, et je ne suis pas du tout préparé à ce genre de merdier.
Je prends donc un avocat, c'est obligatoire pour une CRPC, et ça me coûte 400 euros pour qu'il se présente à mes côtés le jour de la CRPC.
Mon avocat m'a conseillé de refuser la CRPC et d'aller au pénal, il m'a bien expliqué que c'est un 'plaidé coupable' à la française et que c'est comme si je reconnaissais ce qui m'était reproché, mais quand j'ai vu le montant du devis, j'ai préféré aller à la CRPC et voir ce que j'allais prendre.
Honnêtement je me voyais repartir avec une sorte de rappel à la loi.
Le jour de la CRPC j'apprends que le procureur veut me coller une amende et du sursis. Ouch...
Alors le passage devant le procureur à juste était le moment le plus frustrant, j'avais en face de moi un homme ayant le pouvoir de me plomber et qui avançait des arguments et comparaisons complètement farfelus, et je ne pouvais pas me risquer à le remettre dans le droit chemin sans risquer ma peine.
Il comparait le fait que je montre des techniques de hacking au fait de conduire une voiture à 250km/h alors que c'est interdit, juste pour montrer que cette vitesse peut être atteinte... si on compare vraiment à mon cas, si c'est faisable en allant sur un circuit comme moi j'ai fait mes démonstrations sur un laboratoire privé.
Ensuite il a comparé ça avec des histoires de pédophilie complètement déplacées... sérieusement c'est là que j'ai compris qu'il était 100 % à côté de la plaque sur mon cas.
Mais encore une fois, je n'ai pas voulu risqué de lui dire ses quatre vérités de crainte de me prendre une condamnation bien salé.

Mon avocat a tout de même pu m'éviter le sursis ainsi que l'inscription au casier judiciaire. Mais j'ai quand même pris 750 euros d'amende !
Forcément j'ai accepté étant donné que c'était moins onéreux que de payer l'avocat pour aller au pénal, derrière j'ai ma femme et mon bébé auxquels je dois subvenir, et je n'ai pas un salaire de ministre, donc le choix était fait, quitte à endosser ces accusations mal-fondées.
Finalement.
J’espère en tout cas que cette histoire pourra servir à d'autres, si j'avais su que la communauté allait rebondir avec autant de vigueur sur cette histoire, j'aurais certainement essayé de m'y prendre autrement en sachant que j'aurais eu un soutien de poids.
Bonus :)
Encore une belle anecdote concernant l'administration française : lorsque je suis passé devant la juge qui a validé la peine proposée par le procureur, elle (la juge) m'a bien signifié que je pouvais aller régler l'amende dés le lendemain au Trésor public, que si je payé dans le mois je pourrais bénéficier de 20% de rabais, et que c'était valable même si je payé en plusieurs fois.
Et devinez quoi, je me suis présenter pour régler l'amende une semaine après en me disant que j'allais pouvoir en finir avec tout ça et échelonner les paiements (adieu vacances d'été 2015 au passage), eh bien non, j'ai appris qu'il fallait que j'attende de recevoir un papier (la décision du juge ou un truc dans le genre) et que les 20% n'étaient pas applicables si je payais en plusieurs fois.
Car, ah oui j'ai oublié de le mentionner, il faut ajouter 127 euros pour les frais de dossier.
Donc un total de 877 euros, moins 20 % ça réduit à 701,60 euros, ce n'est pas rien.
Du coup voilà encore un exemple fabuleux, la juge affirme des choses qui s'avèrent fausses à l'autre bout, et le pire dans tout ça c'est que j'ai bouffé une RTT pour m'y rendre, y a de quoi avoir la rage !
Si quelqu'un connaît le fin mot de ce système, ça m’intéresse de le savoir.

Cet article merveilleux et sans aucun égal intitulé : Condamné en justice pour un tuto Aircrack ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Etats-Unis – Un premier pas vers la fin de la collecte massive de données ?

jeudi 14 mai 2015 à 01:26

Alors qu'en France, une majorité de députés souillent et trahissent notre beau pays et nos libertés individuelles, aux Etats-Unis, grâce à Edward Snowden qui est toujours sur la liste noire des traitres de la nation, la Chambre des Représentants Américaine vient d'interdire à la NSA de collecter massivement les données sur le territoire américain.

338 voix contre la collecte massive et 88 pour.

En France, c'était 86 voix contre la collecte massive et 438 voix pour.

Messieurs les députés Français, vous êtes du mauvais côté de l'Histoire. Désolé pour vous.

Enfin, comme les types qu'on nous met au gouvernement copient souvent les américains pour pondre leurs lois grotesques, peut-être que dans moins de 10 ans, un nouveau vote supprimera ces fameuses boites noires, allez savoir.

Cette loi, si elle est confirmée par le Sénat Américain, modifiera légèrement le fameux Patriot Act. Comme l'a précisé Glenn Greenwald dans un tweet, c'est la première fois depuis le 11 Septembre 2001 que "les pouvoirs accordés au nom du terrorisme seront réduits plutôt qu'augmentés".

Espérons que cette bonne nouvelle soit le début d'une longue série pour nos amis américains.

Quand à nous, pauvres cons de Français, préparons nous car l'hiver arrive et il risque d'être long.

Oui, je sais, CTB.

Source

Cet article merveilleux et sans aucun égal intitulé : Etats-Unis – Un premier pas vers la fin de la collecte massive de données ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.