Social DDoS : merde on a perdu Bachar #OpSyria

Previously dans OpSyria : Il a quelques jours, nous dévoilions sur Reflets quelques photos de vacances de notre dernier séjour en Syrie. Nous sommes tombés sur une bonne dizaine de machines que nous suspections d’avoir été mises en place l’été dernier par l’italien Area Spa, ce peu avant qu’il se fasse prendre la main dans le pot confiture par Bloomberg. Il a depuis, semble t-il dénoncé le contrat, ce qui n’empêche pas les appliances qui opèrent la censure en Syrie de ronronner. Le souci des admins de Bachar, c’est qu’ils sont pas supers doués. En fait c’est même de belles quiches.

 

En jouant un peu avec un proxy BlueCoat de la Syrian Computer Society, je me suis rendu compte d’un phénomène paranormal. Je me mets à causer à cette machine. Elle m’explique que que comme tous les vendredi soirs chez Bachar, c’est happy hour sur certains ports :
Interesting ports on 77.44.210.6:
 Not shown: 979 closed ports
 PORT STATE SERVICE
 22/tcp filtered ssh
 23/tcp filtered telnet
 80/tcp open http
 81/tcp open hosts2-ns
 135/tcp filtered msrpc
 139/tcp filtered netbios-ssn
 443/tcp open https
 514/tcp open shell
 1720/tcp filtered H.323/Q.931
 1723/tcp filtered pptp
 2000/tcp filtered callbook
 3128/tcp open squid-http
 4444/tcp filtered krb524
 5060/tcp filtered sip
 8000/tcp open http-alt
 8008/tcp open http
 8080/tcp open http-proxy
 8081/tcp open blackice-icecap
 8088/tcp open unknown
 8090/tcp open unknown
 9090/tcp open zeus-admin
Alors pour rigoler je suis allé faire un tour là dessus : http://77.44.210.6:8090/. Et comme avec certains autres ports, me voilà téléporté sur cette URL : http://scs-net.org/files/index.html IP 213.178.225.50). Sans avoir l’oeil super exercé, on se dit que dans ce petit répertoire “files”, il est possible qu’on trouve des trucs amusants… ce ne serait pas la première fois. On serait curieux pour moins non ? Notez que le site SCS-NET est celui d’un fournisseur d’accès un peu spécial en Syrie. Créé par Bachar El Assad lui même, il concentre les l33tz de la t34m D4m45… ouais ça fout la trouille. Mais attendez y’a encore plus flippant.

 ---------------------------------------------------------------------------
 + Target IP: 213.178.225.50
 + Target Hostname: scs-net.org
 + Target Port: 80
 + Start Time: 2012-03-10 17:38:20
 ---------------------------------------------------------------------------
 + Server: Microsoft-IIS/6.0
 - Root page / redirects to: /portal/
 + No CGI Directories found (use '-C all' to force check all possible dirs)
 + Microsoft-IIS/6.0 appears to be outdated (4.0 for NT 4, 5.0 for Win2k, current is at least 7.0)
 + Retrieved X-Powered-By header: ASP.NET
 + Retrieved microsoftofficewebserver header: 5.0_Pub
 + Retrieved x-aspnet-version header: 2.0.50727
 + Uncommon header 'microsoftofficewebserver' found, with contents: 5.0_Pub
 + Allowed HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
 + Public HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
 + OSVDB-396: /_vti_bin/shtml.exe: Attackers may be able to crash FrontPage by requesting a DOS device, like shtml.exe/aux.htm -- a DoS was not attempted.
 + OSVDB-3233: /postinfo.html: Microsoft FrontPage default file found.
 + OSVDB-3092: /guest/: This might be interesting...
 + OSVDB-3233: /_vti_inf.html: FrontPage is installed and reveals its version number (check HTML source for more information).
 + OSVDB-3500: /_vti_bin/fpcount.exe: Frontpage counter CGI has been found. FP Server version 97 allows remote users to execute arbitrary system commands, though a vulnerability in this version could not be confirmed. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-1999-1376. http://www.securityfocus.com/bid/2252.
 + OSVDB-67: /_vti_bin/shtml.dll/_vti_rpc: The anonymous FrontPage user is revealed through a crafted POST.
 + 3818 items checked: 13 item(s) reported on remote host
Vous ne rêvez pas ! Un FAI sous FrontPage ! Et un FAI qui hoste le dispositif de censure nationale ! Elle est pas belle la vie ? Du coup, juste pour rigoler j’ai tweeté cette URL : http://scs-net.org/_vti_bin/shtml.exe/aux.htm … et il semble que depuis, le site expérimente quelques petits désagréments, il est injoignable depuis presqu’une heure.

 

Chers admins Frontpage de la SCS, soyez forts dans votre tête, rallumez nous vite ce serveur j’en ai encore 3 ou 4 à tweeter… bisous !

#Cablegate : suspicions d’intrusions chez Mastercard

visaLe gros problème, quand on reunit sur le Net une grosse puissance de feu, et que cette puissance de feu crée assez de bruit, certains en profitent pour mener des actions encore plus radicales que l’attaque par déni de service visant à saturer de connexions un site cible pour le rendre indisponible

Dans le collimateur en ce moment depuis qu’ils ont coupé les vivres à Wikileaks : Visa et Mastercard. Un bruit commence à courir, des cartes bleues, beaucoup, seraient actuellement dans la nature… combien ? Entre plusieurs milliers et plusieurs millions. Si l’information est confirmée, et la rumeur commence à se faire persistance, c’est un gros coup dur. En attendant d’en savoir plus, du côté des dénis de service, c’est le site visa.com qui est toujours sous les balles, les administrateurs ont tenté changé d’adresse IP à plusieurs reprises mais semble t-il sans effet, le site n’est revenu que quelques secondes avant de plier encore sous la charge.

Le compte Twitter d’AnnonOps qui relatait en live les DDoS a été fermé par Twitter, un autre a vité été remonté. SI Twitter rame ou est inaccessible dans les prochaines heures, vous aurez une vague idée du pourquoi.

Pour le moment je vous recommande d’être attentifs à votre compte bancaire et à la communication de Mastercard dans les prochaines heures, si beaucoup de comptes ont été compromis, l’affaire risque d’être compliquée à dissimuler bien longtemps. L’ampleur et la tournure que prennnent cette opération sont relativement inquiétantes.

#Cablegate : Pourquoi un tel malaise ?

info paybackWikileaks c’est énormément de bruit, beaucoup d’incertitudes, beaucoup de choses contradictoires…difficile de voir clair dans le jeux du Département d’État américain et de la justice suédoise, et bien malin celui qui peut se prononcer sur les intentions réelles (s’il y en a) de Wikileaks. La psychose est totale, elle a vite gagné les politiques américains et au fil des câbles publiés, on sent bien que même si on “apprend” rien, tout les États semblent d’accord pour couper le sifflet à Wikileaks… par tous les moyens.

  • Le calendrier de publication ainsi que le contenus de câbles n’est pas connu. On sait en revanche que la période couverte est récente et qu’elle regorge de documents très contemporains dont les acteurs sont les gouvernements toujours en place.Dans une perspective électorale proche, comme ça commence à être le cas en France, il y a de quoi en crisper plus d’un. Mais l’action est inconfortable, Eric Besson en a fait les frais. En France toujours, je ne vois pas comment nous allons échapper à quelques rafistolages de la LCEN, car là, on vient de se rendre compte qu’on ne pouvait pas simplement faire supprimer des informations publiées sur le Net. Se passer d’un juge, c’est séduisant devant un Wikileaks, c’est plus rapide, c’est plus pratique… mais pour l’instant c’est illégal. Qui peut parier que ce sera encore le cas d’ici un mois ou deux ?
  • Je me prends à rêver que nos dirigeants comprendront qu’Internet a déjà changé le monde et que les artifices législatifs de la censure ne pèseront que bien peu de chose face à la révolution culturelle qu’il permet. Chercher à faire taire Wikileaks aujourd’hui est à mon sens hors de propos. Puis ça fait tâche, ça met peu à l’aise devant son électorat de s’acharner sur un site dont on dénigrer la pertinence des contenus.
  • La traque de Julian Assange a réveillé des milliers de hackers, ou de simples internautes. Sur le “terrain” comme prévu c’est l’escalade les anonymous appellent au DDoS sur le site visa.com. L’attaque du frontal web risque plus d’indisposer les clients qu’autre chose, le site est actuellement rendu indisponible. Ce genre d’attaques peuvent relativement sérieusement perturber l’activité économique d’entreprises ou de particuliers, ça veut dire que le conflit genre radicalement et escalade en violence. Je ne suis évidemment pas pour, et une fois de plus, j’ai peur que ceci amène certaines personnes à tout mélanger. Cette confusion ne peut que nuire à Wikileaks et plus globalement au Net.
  • Les cibles des attaques de représailles peuvent se multiplier, ces attaques ont un coût financier mais elles ont aussi un coût en terme d’image. Le typhon médiatique Wikileaks, couplé à une riposte massive paralysant un service peut avoir un impact calamiteux sur l’image d’un site proposant des services financiers.
  • Comment ça se gère une infowar quand on est un dirigeant ? Est-ce qu’on y comprend quelque choses ? Est-ce qu’il est aisé de percevoir l’ampleur d’une contestation au niveau mondial ? Comment on sort d’une telle crise de communication… à l’heure ou la censure ne fonctionne plus ?

Si sur la forme je ne cautionne pas la méthode (les dénis de service), je m’explique en revanche parfaitement le fond et le Cablegate va porter sur la place publique des débats cruciaux qui auront un impact durable et significatif sur nos démocraties. Ce que j’observe depuis le débuts de ce qu’il convient bien à mon sens d’appeler une infowar, et la première de cette ampleur, c’est une mobilisation sans précédent, de toutes les communautés pour s’élever contre la censure de Wikileaks. Je ne sais pas si ça suffira pour changer le monde, en tout cas, ça ne peut qu’y concourir. Nous avons tous un choix de société à faire, mais le Net est jeune, beaucoup trop jeune, et ces débats, je ne suis pas assuré que nous soyons, nous les geeks, comme nos représentants, prêts à les avoir.

Il faut rester très vigilants, l’offensive est mondiale, le Canada devrait prochainement expérimenter une architecture DPIReady, la tentation de filtrer le Net n’a jamais été aussi forte que maintenant. En FRance, au Parlement Européen, comme dans toutes les capitales mondiales, le regard que beaucoup posent sur Internet est en train de changer, essayons juste de ne pas leur montrer les aspects les plus sombres du Net.

Wikileaks Infowar : mastercard.com victime de DDoS

yes we leak
Yes we Leak

Le site Mastercard.com est actuellement la cible de l’opération Payback “Avenge Assange” lancée par les anonymous en représailles à la traque menée contre Julian Assange et les multiples tentatives de censure du site de l’agence de presse Wikileaks. C’est d’abord son hébergeur Amazon qui avait donné le ton en refusant d’héberger Wikileaks, suivit par le service de DNS Everydns.

Comme cette censure ne pouvait techniquement fonctionner, ce sont aux sources de financement que les pressions se sont exercées : les comptes de Julian Assange ont été bloqué, ainsi que le compte Paypal de Wikileaks ont été bloqués (sur quel fondement juridique ?). En réponse à cette traque, des attaques par déni de service ont paralysé quelques sites, l’attaque sur le site Mastercard peut donc être considérée comme une suite logique.

Julian Assange est actuellement détenu par la justice Britannique en attente d’une extradition probable vers la Suède où on ne sait pas trop de quoi il est accusé. Son avocat a d’ailleurs déclaré qu’aucun élément de preuve n’avait été porté à sa connaissance, une situation qu’il juge rocambolesque. Nul doute qu’une forte pression politique s’exerce sur les autorités suédoises et britanniques. Les USA sont en train de faire d’Assange et de la cause de Wikileaks quelque chose qui les dépasse : si on soupçonne les anonymous comme étant à l’origine des opérations de représailles, ils ne semblent être que la partie visible de l’iceberg, la cause Wikileaks soulève tous les internautes.

Wikileaks infowar : des attaques DDoS ciblent actuellement Paypalobjects.com et Postfinance.ch

Paypal
Paypal under DDoS

Une attaque par déni de service semble cibler actuellement l’un des sites de Paypal : paypalobjects.com, ainsi que le site de la banque suisse qui a décidé de clore un compte bancaire de Julian Assange : Postfinance.ch. Les deux sites semblent actuellement sous le coup d’une grosse charge et sont très péniblement accessibles.

Ce que le Net a pris pour cible aujourd’hui, c’est la censure, et il utilise les mêmes armes que ses adversaires, ceci peut durer, s’enliser… il va falloir une prise de conscience des dirigeants sur la nature d’Internet pour que l’escalade se désamorce, mais j’ai un peu peur que les positions des uns et des autres ne se cristallisent encore un peu plus.

#Cablegate : Wikileaks Mass Mirroring party

mass mirroring
Wikileaks Mass Mirroring Party

Wikileaks est toujours à l’heure actuelle victime d’attaques par déni de service. Après le désistement de son hébergeur Amazon, Wikileaks a trouvé refuge chez OVH. Hier Eric Besson lançait une procédure pour que Wikileaks ne soit plus hébergé en France. Les faits sont assez rares pour attester d’une certaine gêne de la France vis à vis de Washington. Cependant, se débarrasser de Wikileaks n’est pas évident, tant légalement (OVH a décidé de saisir un juge en référé, il faut donc qu’un juge se prononce, en aucun cas, Eric Besson ne peut décréter le contenu du site comme manifestement illicite), que techniquement, où comme nous l’avons vu, Wikileaks est devenu en quelques heures le site le plus répliqué du monde..

Wikileaks vient de mettre en place une mass mirroring party, créez et déclarez votre miroir, avec synchronisation des données (les mises à jour se font via SSH ou FTP). Si vous avez un petit bout de serveur, n’hésitez pas un instant et contribuez à rendre Wikileaks accessible.

#Cablegate : Non Wikileaks ne s’est pas fait “hacker” !

Wikileaks
Wikileaks

Je viens de tomber sur ce billet d’Undernews qui annonce que “Wikileaks s’est fait hacker »… rien que ça. Je me frotte les mains en me disant “tien, ça va être croustillant, c’est peut être pour ça qu’ils publiaient les cables au compte goutte”. Je commence la lecture, que je termine très vite.Undernews évoque le déni de service, mais je ne trouve aucune trace de “hack”, pas d’intrusion, rien ! Undernews nous explique pour conforter ses propos que le fil Twitter de Wikileaks annonçait une attaque DDoS massive comme nous l’avions ici évoqué.

Visiblement Undernews a confondu, volontairement ou pas, un déni de service avec une “hack”, terme foutoir comme on peut ici s’en rendre compte. Je suis assez surpris qu’Undernews assimile un déni de service, à un “hack”, c’est un amalgame plus que douteux. Wikileaks n’a pas du tout été compromis, il n’a subit aucune intrusion, il a juste été rendu indisponible comme il est possible de rendre indisponible n’importe quel site par cette méthode. Il ne s’agit en aucun cas d’un “hack”, il est assez malheureux d’ébruiter ce genre d’âneries (même si elles viennent de RTL). Si Wikileaks a effectivement subi une véritable intrusion, des détails un peu plus poussés sur la compromission seraient bienvenus, là c’est du flanc, y’a rien du tout.

Edit : je réagis visiblement un peu tard, c’est par exemple sur Wareziens, et vu que j’y compte plein de “copains” je n’irai pas troller sur ce forum.

Wikileaks Statelogs : des risques de cybers affrontements

Annon ops
Anonymous

Les communautés de hackers et d’activistes commencent à gronder, les attaques par déni de service sur Wikileaks agacent. Il y a un risque non négligeable de dérapage. Si pour l’instant rien ne prouve que des états soient à l’origine des attaques, les soupçons sont bien là et on peut craindre que quelques sites gouvernementaux (principalement américains) n’en fassent les frais. Actuellement le channel irc de Wikileaks est également sous le coup d’une attaque.

Les prochaines heures vont donc être assez passionnantes, la pression continue à monter, espèrons que tout le monde saura garder son calme et que des débordements malheureux n’auront pas lieu pour laisser sa place à l’information : les statelogs eux-mêmes.

Stay tuned on Owni.

Statelogs Wikileaks : La Turquie aurait aidé al-Qaida

wikileaks
Jerusalem Post

Un nouvel article vient d’être publié sur le Jerusalem Post et c’est une première bombe : selon l’organe de presse israélien la Turquie aurait aidé AlQaida

Wikileaks sur son blog précise que les attaques par déni de service distribué n’y feront rien, c’est bien ce soir que seront diffusées les premières fuites, même si le site est inaccessible, El Pais, Le Monde, Speigel, le Guardian et le New York Times diffuseront les premiers documents. Du côté de Wikileaks, sur le channel irc (qui subit aussi des attaques), l’attaque par déni de service du site est largement commentée, les administrateurs ne semblent pas penser qu’elle vienne des autorités américaines.

Autre information pour les personnes qui voudraient répliquer les données des Statelogs de Wikileaks, leur poids total serait de 3,64 Go. Une documentation est disponible ici.

Le live continue sur Owni.

Tumblr Vs 4Chan

tumblr raid
Raid sur Tumblr

Depuis plusieurs heures maintenant, les sites 4chan et Tumblr se livrent une guerre à coup de dénis de service. Selon le site Urlesque, il semble que la querelle aurait pour origine une pratique des utilisateurs de Tumblr (un réseau social de blogging) qui posteraient des contenus tiers sans en citer la source, en l’occurrence 4chan : “These hipsters constantly steal our memes and claim them as their own,” écrit un utilisateur sur la board.

4chan est une immense board sur laquelle des millions de contenus sont postés, ses utilisateurs sont aussi connus pour être assez chauds quand il s’agit de balancer un raid. Bilan, les deux sites sont indisponibles et se livrent une guéguerre assez musclée. Les 4channers auraient prévu de se créer des comptes sur Tumblr, d’ajouter un maximum de contacts, afin de les inonder d’images de mauvais goût. Des comptes d’utilisateurs assez populaires de Tumblr auraient également été piratés.

Visiblement, tout ceci a très vite tourné au déni de service et à l’heure actuelle les deux sites sont indisponibles. Dans un cas comme dans l’autre tout le monde y perd, et les aficionados de la /b/ et les utilisateurs de Tumblr.