keul.fr - du web et du code

Aller au contenu | Aller au menu | Aller à la recherche

Optimisé pour être lu.

jeudi, 6 septembre 2012

It's Time for Some Piracy!


En France, nous avons droit à la Hadopi, la "Haute Autorité pour la Création, la DistributionDiffusion des Œuvres, du Savoir et la Protection des ayants-droits sur Internet."
Je sais pas si les artistes arrivent à mieux remplir leurs frigo et si la culture est accessible à tous ou si ce sont juste de riches qui parviennent à s'enrichir encore plus.

 

 

namethese.png
source: Quantum Diaries
Parce que le savoir est relatif et à toute son importance


Ce que je sais en tout cas, c'est que pour mener leur mission à bien et s'assurer qu'internet ne soit plus utilisé pour télécharger illégalement, la Hadopi a décidé de responsabiliser le titulaire de l'abonnement internet face à un défaut de sécurisation.
Sauf que là, la Hadopi veut punir le titulaire au bout de trois avertissement par une coupure de la ligne pendant au minimum un mois, parce qu'il n'a pas réussi à sécuriser sa connexion.
Bon ben entendu, on ne va pas punir Sony, Sarkozy, les banquiers, les techniciens des centrales nucléaires iraniennes... Et ne pensez pas qu'ils veulent juste vous mettre à poil.

Enfin, si vous lisez cet article, je pense que vous êtes plus intéressés par la sécurité que la Hadopi et ses histoires de piratage. Entrons donc dans le vif du sujet.

 

 

 

 

Internet et la sécurité

Les ordinateurs, prévus à l'origine pour faire fonctionner de gros systèmes dans des entreprises, se sont forgés une place dans les foyers grâce aux progrès technologiques et à leurs polyvalence: jeux, traitement de texte, tableurs, retouche d'images, lecteur multimédia, connexions en réseau local.

 

 

 

 

ancien-imac.jpg
(Ancien modèle d'iMac - source)

 


Mais c'est surtout l'arrivée du réseau mondial Internet qui les ont rendu plus populaires.

Celui-ci a en effet de gros arguments: le savoir et les idées d'une personne pouvaient alors êtres transmises vers une audience mondiale, limités par la seule barrière physique de la langue.  Le courrier électronique, les groupes de discussionla messagerie instantanée, les sites web, les forums... n'ont alors cessé de se développer.

Hors, si les ordinateurs n'avaient à l'origine pas besoin d'une grande sécurité, étant isolé dans leurs entreprise et foyer, celle-ci s'est révélé indispensable avec Internet et l’arrivée des hacker et crackers, débutants ou vrais experts.

Le hacker, souvent confondu avec le cracker, se caractérise par l'informaticien qui cherche à agir pour le bien d'autrui.
Son but sera donc

 

 

 

  • D'informer l'utilisateur des risques de sécurité
  • D'améliorer la sécurité des systèmes existants
  • D'aider le peuple et les journalistes en proposant des systèmes anonymes, cryptés et décentralisés...

Le cracker lui se caractérise par l'informaticien qui cherche à agir uniquement pour lui.
Son but sera:

 

 

  • D'utiliser des systèmes anonymes pour agir sans se faire repérer et identifier.
  • De causer des dommages en détruisant des données ou du matériel
  • De dérober des données, souvent dans un but lucratif
  • D'usurper une identité...

Avec l'arrivée des tablettes, plus simple d'utilisation pour Mme Michu, qui n'a plus à savoir comment insérer un CD d'installation, la sécurité s'est faussement accrue en en empêchant certes les logiciels tiers d’accéder trop facilement à tout le système, mais en autorisant le vendeur à faire ce qu'il veut, ce qui est gênant en cas de piratage et même dangereux quand c'est volontaire.Les serveurs avec leurs bases de données deviennent aussi la proie des crackers.

 

 

 

Le piratage

ATTENTION: le faite de s'introduire dans un système informatique est illégal et est puni par la loi.
Si vous voulez acquérir des connaissances en piratage, vous ne pourrais le faire que sur le matériel vous appartenant, ou uniquement dans le cadre d'un audit de sécurité (renseignez-vous sur le sujet).

On va parler de trois cas que j'ai pu rencontrer.

 

 

 

Premier cas: défaçage de blog.

C'est arrivé à un ami, qui utilisait un blog basé sur Nucleus et qui n'avais pas été mis à jour suite à la découverte d'une faille de sécurité.
Le hacker ayant simplement recherché l’exploit permettant d'utiliser la faille de sécurité, puis recherché sur google les blogs qui utilisent une version qui n'est pas à jour.
Il a ensuite utilisé l'exploit pour défaçer le site web
Lire l'article

 

 

 

Second cas: faille Cross Site Scripting

J'avais découvert par hasard qu'un site contenait une faille de type Cross Site Scripting.
Des entrées de formulaires ne filtraient pas le caractère <, et permettaient donc d'afficher du code javascript sur le site.
Je les ai contacté par e-mail et ils ont pu corriger rapidement la faille de sécurité.

Attention par contre: si vous trouvez une faille de sécurité par hasard, et même si vous ne l'exploitez pas, faites attention en contactant la société gérant le site web.
Car même si vous n'avez rien fait de moralement répréhensible, elle pourrait tenter de vous attaquer.
Il peut être intéressant dans ce cas de passer par un intermédiaire comme zataz qui vous protégera et qui saura traiter le cas correctement (il vaut mieux être équipé en huissier et avocat)

 

 

 

 

Troisième cas: défaçage de site.

 

 

Attention, c'est du lourd. Un jour, je reçois le mail suivant avec un fichier en attache:

auth.png

Oui, il a bien mis dans l'URL la variable "auth" que le visiteur peut modifier à loisir.

Après un gros facepalm, je lui demande si je peux récupérer le reste du site pour vérifier si c'est bien ça la faille.
auth2.png
Fausse alerte, la variable "auth" était juste là pour indiquer au visiteur que le mot de passe est incorrect dans l'interface de connexion.

Je regarde les autres fichier pour voir s'il n'y aurais pas un problème et ...
auth3.png
$_GET['id'] est le contenu de la variable transmise dans l'URL. Donc si j'ai: monsite.com/repertoire/page.php?id=42 ma variable $_GET['id'] aura la valeur 42.
Sauf qu'il n'a absolument pas protégé sa requête contre les injections SQL.


Après avoir récupéré le fichier access.log, j'ai vu de belles requêtes. Vous pouvez regarder un extrait (j'ai retiré le nom de domaine)
Problème trouvé, faille comblée, je pensais que s'en était fini là.
On y voies donc les injections sql, et même l'utilisation d'un logiciel qui cherche toutes les pages d'administration qui pourraient exister.

Et pourtant, le délir continue.
Si on regarde bien dans le fichier access.log, on voie clairement dans le champ user-agent qu'il utilise ...
... Internet Explorer 8!
disgusted-mother-of-god.png


J'ai aussi récupéré l'URL d'une image envoyée par le hacker sur la page de défacage et pointant vers cette image : /public/up312971987391.jpg
Donc le cracker à comme pseudo "Morrocan-alien", et si on faisait une recherche sur google?
http://www.experienzia.com/Newsletter/
"always able te break the security"
http://www.semia-autun.com/
"hacking is my game"
Bon
Point commun entre toutes les pages hackées?
la MÊME faille, la même injection SQL.
Donc son "always", j'en doute très fortement.

http://www.atcoroglio.it/interni/aziend.php?id_azi=1
"hello admin"
"this is just a minor warning"
"just to let you know how weak your"
"security is"
Bon, vous remarquez les problèmes de formatage de page?
Regardez la source de la page, et vous devriez voir rapidement un :
"urn:schemas-microsoft-com:office:word"
OhCrap.png
Il utilise des documents MICROSOFT WORD pour insérer son texte dans des pages web!!!

Un script kiddie qui utilise Word et IE8? Manquerait plus qu'il installe OpenOffice comme pare-feu.

 

Conclusion :

Si vous créez un programme local, il n'y a généralement pas trop de risque, l'utilisateur cherchant rarement à causer des dommages à sa propre machine. Par contre, si votre programme doit traiter des fichiers téléchargés ou se connecter à internet, faites attention à les traiter avec prudence.
Si vous créez un programme/site pour un serveur, le risque sera plus grand et il vous faudra à tout prix respecter cette règle:
NE FAITES CONFIANCE A PERSONNE.
Le visiteur vous envoie une requête? un fichier? dites-vous qu'il peut contenir n'importe-quoi, c'est le visiteur qui choisit ce qu'il vous envoie.
Il convient donc de traiter avec la plus grande prudence les variables $_GET, $_POST, $_FILES, $_COOKIE, $argc, $agrv... et de ne pas oublier que si vous comptez afficher du texte dans une page web, Un javascript contenu dans celui-ci pourrait aussi être exécuté.

J'expliquerai dans un prochain article comment sécuriser son code PHP.

Bonux:

http://hmm-la-bd.eu
Cliquez sur le bouton admin en haut à droite
Regardez l'URL
testez
...

samedi, 31 mars 2012

Conseil aux blogeurs

L'article de ce mois est publié ur le blog Meido-Rando pour son quartier libre.

Consulter l'article

mercredi, 29 février 2012

LibreScale [fr]

On utilise souvent des échelles de notation pour pouvoir donner rapidement un avis sur quelque-chose.

Certains sont automatiques, comme l'Acid test et d'autres dépendent plus d'un jugement personnel (notation de jeux vidéos).

Or si on commence à avoir une évolution sur le point de vue écologique (capacité de recyclage, consommation énergétique, ...), on ne dispose pas vraiment de système de notation pour juger si un système électronique/informatique est ouvert ou fermé/propriétaire.

J'ai décidé d'inventer donc une échelle, qui bien entendu sera amenée à évoluer :

librescale.php [en+fr] V1.0

LibreScale [en]

We frequently use notation scales to give an opinion on something.

Some are automatic, like the Acid test, and some depends more on personal opinion (like video games).

Or if we get a better evolution on the ecological side (recyclable, power consumption, ...), we don't have a scaling system to define if an electronic/informatics  is open or closed/proprietary.

So I've decided to create a scale, and it will evolve :

librescale.php [en+fr] V1.0

vendredi, 27 janvier 2012

Internet mobile

Internet

Internet est un réseau mondial comparable aux réseau routier, crée par des scientifiques pour faciliter la communication de l'information entres différents ordinateurs. Reliant au début les laboratoires militaires, scientifiques, ainsi que les universités et les écoles, il se rependit ensuite au grand public avec les cybercafés et l'arrivée chez les particuliers en utilisant les réseaux téléphoniques existants. Il permet de transférer de la voix, des images, du texte, des vidéos ou tout autre donnée à travers le monde en utilisant un protocole (langage) commun appelé IP, (Internet Protocol).

Or, les différents gouvernements, à la ramasse et obéissant plus aux commerciaux et entreprises qu'aux scientifiques causèrent quelques problèmes: un manque de législation efficace contre les problèmes de peering, de spam, d'arnaques et une absence d'éducation contre les dangers (on n'accepte pas de "bonbons" d'un inconnu, donc on fait aussi attention aux réseaux sociaux).

Les mobiles

Des version mobile de sites web furent disponibles, dans un format WAP, version ultra allégée d'HTML prévu pour des téléphones de l'époque, qui coutaient une centaine d'euros. La performance exceptionnelle (une minute pour charger une page WAP de 10Ko) allié à des prix comparables au minitel (1€ la dizaine de pages) attira peu le grand public en dehors des geeks curieux.

Un climat sans concurrence stabilisa les prix et laissa les responsable marketing faire joujou avec leurs délires. Pendant que l'ADSL passais de 512k à 30Méga, en incluant le téléphone, la télé, puis la fibre optique, les offres mobile évoluaient peux, proposant difficilement les appels illimités* (dans la limite de 3 correspondants) et de l'internet illimité* et des SMS illimités*

Avec l'arrivée du wifi, de forfaits 2G/3G et des écrans tactiles (bien mieux qu'un clavier) et d'un gros budget, l'HTML amputé de flash pouvais se pointer sur smartphone. Pour mieux faire passer le budget, les opérateurs planquèrent du crédit sur subventionnèrent le smartphone dans des offres avec engagement.

Internet n'est pas que l'affichage de pages web avec une option mail. Internet, c'est: le web, le mail, les discussion en direct, les visioconférences, les jeux, les newsgroups, le P2P, le partage de connexion (ou thethering), le cryptage, le respect des protocoles.

On pourra donc féliciter Free d'être le premier opérateur téléphonique à fournir une véritable connexion Internet en dehors des offres professionnelles précises (les offres grand-public étant pour moi une pauvre rustine), en plus de l'illimité à bas pris. Ils auront été plus efficace que l'état pour aller dans al bonne voie et éviter les problèmes que j'avais déjà souligné dans mon article sur IPV6.

Les limitations

On pourrait se demander pourquoi ces limitations? Les réponses sont simples:

  • Le blocage du partage de connexion leurs a permis de vendre des forfaits clefs 3G pour plusieurs dizaines d'euros par mois
  • Le blocage des e-mails a évité la mort du MMS et des sms payés à l'unité
  • Le blocage de la VOIP leurs a permis d'éviter la baisse de prix de la communication audio. Une heure d'audio, c'est environ une trentaine de méga en qualité téléphonique (64kb/s = 8Ko/s = 28Mo/h).
  • Le blocage de la VOIP leurs a aussi permis de faire payer des suppléments pour l’international à prix démentiel (a croire que les entreprises profitent bien du mondialisme pour faire travailler des petits chinois avec des salaires ridicules, et ne se privent absolument pas pour imposer un zonage)

J'en profiterai aussi pour féliciter Orange qui m'a bien fait rigoler en ventant ses boutiques qui ne m'ont pas vraiment servi, avec les conseillers ne vous aident pas à trouver le meilleur forfait et vous renvoient systématiquement vers le service client surtaxé pour les problèmes techniques.

- page 3 de 8 -