Corée du Nord : ça va être touuuut noiiiiir

north

AVERTISSEMENT : Si après la lecture de ce billet, il vous passait par la tête de plonger dans le noir la Corée du Nord, pensez plutôt à l’impact ridicule de ce type d’action et mettez la en perspective avec le fait de trouver un moyen de faire en sorte que les nords coréens puissent accèder à Internet. Méditez ceci : « les gens qui se parlent ne se font pas la guerre ».

Il y a déjà bien deux ans de ça, je m’intéressais avec l’ami @fo0_ au tout petit bout d’Internet Nord Coréen. Les internautes n’y sont pas légion. Le pays a d’ailleurs son propre réseau IP renfermé sur lui même (non relié à Internet, il est plutôt une sorte de gros intranet national ultra surveillé), le Kwangmyong. Aujourd’hui, avec les frasques de Kim Jong Un, les regards du monde entier se braquent sur la Corée du Nord. Avec la perspective d’un conflit armé, et les menaces d’un conflit thermonucléaire, on imagine mal une intervention qui ne soit pas accompagnée d’une attaque informatique dans les règles.

La Corée du Nord est soupçonnée d’avoir mené une attaque informatique d’envergure sur la Corée du Sud le 20 mars dernier. Cette attaque aurait paralysé de nombreux sites dont ceux de grands médias nationaux (KBS, MBC et YTN) ainsi que des sites bancaires. Ce sont au total plus de 30 000 machines qui ont été victimes de cette attaque que Séoul soupçonne orchestrée par le Bureau général de reconnaissance de la Corée du Nord. S’il semble à en croire Séoul que la Corée du Nord a bien une cyber doctrine offensive, le pays semble cependant très vulnérable à des attaques qui pourrait paralyser le peu d’infrastructures dépendant du réseau Internet.

Relativisons tout de suite. La Corée du Nord ne semble pas avoir d’infrastructures « vitales » qui dépendent du réseau Internet (du moins de ce qu’on peut en voir, de ce qui est public). Il est aussi probable que les infrastructures offensives nord coréennes ne soient même pas situées sur son territoire.

Allons donc visiter ce réseau pour voir ce que ça peut donner en terme défensif… et vous allez vite comprendre que ce n’est pas brillant.

L’IANA a donné à la Corée du Nord quelques IPv4. Elles se situent sur les plages :

  • 175.45.176.0/24
  • 175.45.177.0/24
  • 175.45.178.0/24
  • 175.45.179.0/24

Tous les sites sur ces plages IP sont des sites gouvernementaux ou apparentés. Les noms de domaines en .kp (l’extension de la Corée du Nord) sont eux aussi tous plus ou moins directement liés au gouvernement nord coréen.

Lors de mes tests, 14 machines répondaient sur le range 175.45.176.1/24. Il s’agit des IP :

  • 175.45.176.3
  • 175.45.176.6
  • 175.45.176.8
  • 175.45.176.9
  • 175.45.176.10
  • 175.45.176.12
  • 175.45.176.15
  • 175.45.176.16
  • 175.45.176.65
  • 175.45.176.67
  • 175.45.176.70
  • 175.45.176.71
  • 175.45.176.129
  • 175.45.176.131

C’est d’ailleurs le range le plus intéressant. Outre le fait que les nord coréens semblent être des grands fans de CentOs, sur ces 14 machines, au moins 10 d’entre elles comportent des vulnérabilités critiques. C’est cette plage qui accueille l’une des deux IP de KCNA, le site de la Korean Central News Agency (KCNA.kp) et qui distile la propagande de Pyongyang. Le host nous indique ces 2 adresses IP :

  • kcna.kp has address 175.45.177.74
  • kcna.kp has address 175.45.176.71

La machine 175.45.176.71 présente une version du serveur web Apache qui n’est pas à jour et semblant vulnérable aux CVE suivants :

… et pas mal d’autres…

On trouve ensuite des serveurs DNS sur les IP

  • 175.45.176.8
  • 175.45.176.9
  • 175.45.176.15
  • 175.45.176.16

Ces 4 machines présentent une version de Bind outdatée (une 9.8.1), vulnérable à une tripotée de dénis de service :

La machine 175.45.176.8 est le NS1 des sites suivants :

Capture d’écran 2013-04-13 à 22.37.05

La machine 175.45.176.9 est le NS2 des sites suivants :

Capture d’écran 2013-04-13 à 22.30.00

La machine 175.45.176.15 est le NS1 des sites suivants (ici c’est surtout sur les sous-domaines que l’on trouve des sites) :

Capture d’écran 2013-04-13 à 22.39.49

La machine 175.45.176.16 est le NS2 des sites suivants (toujours sur des sous-domaines):

Capture d’écran 2013-04-13 à 22.39.49

A en croire ce que nous avons sous les yeux, et à en croire cette requête Google, frapper ces 4 machines mettrait dans le noir tout ce qui porte une extension en .kp… et comme ces 4 machines présentent toutes les vulnérabilités mentionnées un peu plus haut, nous pouvons décemment conclure qu’il est redoutablement simple de plonger tous les sites nord coréens dans le noir le plus total.

Conclusion : les DNS sont le talon d’Achille de la Corée du Nord. L’internet Nord Coréen ne survivrait pas 5 minutes à l’attaque d’un script kiddie. L’infrastructure DNS de tout le pays repose sur 4 serveurs dont la version de Bind est trouée. La moindre attaque informatique sur cette pseudo infrastructure virerai à la déculottée et à l’humiliation pour Pyongyang.

Je reviendrai probablement plus tard sur la Corée du Nord et sur les firewalls « nationaux » (sous FreeBSD) qui eux aussi présentent toutes les qualités d’un bon emmental Suisse mais aucune de ce que l’on attend d’un firewall décent…

Les pathétiques justifications de Jacques Myard sur la nationalisation d’Internet

frchinaComme je vous l’expliquais dans le billet précédent, Jacques Myard est du genre à creuser quand il a touché le fond … et il le prouve dans un momumental billet sur son blog où il revient sur ses déclarations, les justifiant par des raisonnements d’une autre planète.

Monsieur le député, vous ne l’aurez pas volé, voici la réponse que mérite vos positions.

« Nationaliser Internet ! Et vive la polémique !

Fallait pas commencer ! En tout cas, vous aurez réussi à faire parler de vous.

Sur Radio Courtoisie, Jacques MYARD a évoqué la nécessité de «nationaliser Internet ». Ces quelques propos suscitent un buzz médiatique et font le tour de la Toile. De quoi s’agit-il ?

D’une énormité … et on va vous expliquer pourquoi.

Tout d’abord, il faut se féliciter de la sensibilité des uns et des autres à propos d’un Internet mythique qui appartiendrait à tout le monde.

Mythique … voyez vous ça. Visiblement, la notion même d’Internet vous échappe totalement, pour vous la faire courte, il s’agit d’un réseau acentré reposant sur des protocoles ouverts et neutres, chaque noeud du réseau apporte de l’intelligence, en celà, l’Internet appartient bien à tout le monde, c’est un fait, mais pour savoir celà, il faut le pratiquer et non le consommer comme cette petite phrase anodine mais très révélatrice, nous donne une indication sur la pratique que vous en avez…

Il est certes un moyen d’information désormais incontournable, mais bien souvent aussi un moyen de désinformation, que des Etats et leurs services spéciaux n’hésitent pas à utiliser.

Vu sous cet angle, vous avez raison monsieur le député, d’ailleurs la pratique française est d’une bêtise rare et précieuse, ou alors il s’agit de trésors d’hypocrisie déployés pour faire passer la France pour un pays de Hippies, mais permettez moi de sourire. Faites croire à qui vous voudrez que la France ne s’adonne pas aux techniques d’info guerre, mais pas à moi.

« Nationaliser Internet » ne signifie en aucun cas créer une police des échanges entre particuliers, sous réserve de la diffamation ou la violation des droits d’auteurs. Nous sommes un Etat de droit.

Nous y voilà, les deux pieds dedans : la diffamation, le droit d’auteur … puis l’opposition politique, la divergence d’opinion, l’incompatibilité d’humeur (j’entends sonner les sirènes du CSA et de la labellisation des sites web, pas vous ?)… et que faites vous de la pédophilie et de la cybercriminalité ? La protection de l’enfance c’est pas grave ça, bloquer les circuits financiers bien connus des cyber mafias c’est pas à votre portée ça … en revanche, protéger les intérêts des moines copistes de DVD et vous assurer que vos opposants ne fassent pas trop de bruit, ça c’est important ! Votre justification est effrayante monsieur le député : une police des échanges … commencez par donner les moyens à la police et à la gendarmerie de lutter contre la pédophilie et la cybercriminalité si vous voulez être pris un tant soit peu sérieux.

En revanche, il faut savoir qu’Internet fonctionne par l’attribution des DNS (Domain Name System) aux différents opérateurs, sorte de routeur central du système, lequel est totalement aux mains d’une société américaine, l’ICANN, laquelle est elle-même le faux nez du gouvernement américain.

Là encore, vos informations sont incomplètes, vous assimilez une institution tout à fait respectable, l’ICANN (une organisation de droit privé à but non lucratif), au gouvernement américain, en omettant de préciser que l’ICANN et ses satellites régionaux sont un modèle de neutralité, valeur sur laquelle le Net s’est construit. La résolution des DNS et leur acheminement vers des adresse IP est nécessaire au niveau mondial, il va falloir que vous nous expliquiez par quel raccourcis technique vous parvenez à penser qu’en nationalisant l’Internet français vous allez pouvoir vous passer de la résolution des noms de domaines étrangers et surtout en quoi cela va nous mettre à l’abris du risque d’écoutes inhérent à TCPIP par des tiers étrangers… laissez moi deviner, vous allez whitelister les domaines étranger et autoriser ou non les serveurs DNS root français de résoudre tel ou tel domaine étranger… euh … non mais sérieusement …comment vous dire ça poliment… ça ressemble à s’y méprendre à une Albânerie vu d’ici. Vous parlez de la Chine, mais connaissez vous le nombre de fonctionnaires que l’armée emploie pour un résultat assez ridicule vu que tous les chinois contournent le firewall en un simple clic sur une extension Firefox ?

Cela signifie que les États-Unis sont totalement maîtres du système et peuvent ainsi espionner le monde entier, pour leur propre sécurité, mais aussi pour leurs intérêts industriels ou commerciaux.

Je vous rassure, nous aussi on sait le faire et on ne s’en prive d’ailleurs pas. Je vous invite à vous rapprocher des services compétents, même si notre frenchlon à nous est un peu flouté sur Google Maps, il existe bel et bien… Vous n’étiez pas au courant peut-être ?

frenchlon
Agrandir le plan

Ils savent, eux, ce qu’est l’intelligence économique.

Et oui, nous c’est avec l’intelligence qu’on a du mal, pas vraiment avec l’économie.

De surcroît, le logiciel du principal système d’exploitation est truffé d’erreurs permettant de multiples attaques de hackers qui peuvent paralyser des systèmes entiers, allant des hôpitaux aux centrales nucléaires, en passant par les médias.

Dieu ce que je suis d’accord avec vous sur ce point ! Et bien changez de système d’exploitation, interdisez Windows ! Nationalisez Mandriva !

Le cas de l’attaque russe sur l’Estonie en avril 2007 ou encore la tentative chinoise de blocage des bases de données du gouvernement allemand en mai 2007, alors même qu’Angela MERKEL se trouvait en visite officielle à Pékin, en sont des exemples développés dans le rapport d’information n°2085 (page 203) des députés Jacques MYARD et Jean-Michel BOUCHERON « Les enjeux géostratégiques de la prolifération ».

Avec des administrations qui tourent encore sur Windows 2000, ou les serveurs percés d’une institution de normalisation française bien connue qui offrent au Net les documents confidentiels envoyés par des entreprises ou le mot de passe en clair de leur  base de données accessible via un simple navigateur … moi, je serais vous, je commencerais à faire le ménage avant de crier au piratage et j’instaurerais un délit de négligence caractérisée pour nos administrations françaises. Les « pirates » ont bons dos monsieur le député.

Il est donc indispensable de maîtriser ce réseau qui échappe aujourd’hui totalement à la France et aux Etats européens.

C’est surtout à vous qu’il échappe.

L’une des solutions, avancée par Louis POUZIN, inventeur du principal protocole de l’Internet, le TCP/IP, serait que la France maîtrise ses DNS et crée des espaces de confiance au sein d’Internet qui échapperaient à toute tentative d’intrusion ».

Faire confiance à qui ? A des agents assermentés ? A une haute autorité ? Qui m’assure que la résolution des domaines se fera en toute transparence alors que vous projetez ouvertement de mettre en place des DNS menteurs ? Qui me garantit que mon blog existera encore si vous mettez vos projets à execution, que deviendra ma liberté d’entreprendre ? Non merci, je ne veux pas vous faire confiance, pas après la lecture de votre argumentaire surréaliste.

Cette « nationalisation » d’Internet, loin de porter atteinte à la liberté de communication, va au contraire la renforcer.

Monsieur le député, j’ai entendu vos arguments, je les trouve affligeants tant techniquement que politiquement et vous entendre parler de liberté de la communication après une telle démonstration relève plus d’une blague de comptoir que d’une proposition politique sérieuse.

Jacques MYARD entend déposer une proposition de loi en ce sens. »

Ca aura au moins le mérite de nous faire passer pour des abrutis finis dans le monde entier (ça rigole jusqu’en Suède d’ailleurs), merci monsieur le député de couvrir de honte le pays des Droits de l’Homme.

A passage, puisque les DNS vous fascinent tant, je vous suggère de commencer par configurer correctement votre nom de domaine. J’aurais beaucoup aimé poser un lien sur votre billet, mais ceci est impossible … permalink / redirect à la racine… les bonnes pratiques du Net on se doutait bien que ce n’était pas trop votre truc mais là vous enchaînez les FAIL.

** Edit : on me souffle dans l’oreillette que ce sont de vilaines frames toutes sales **

Contourner HADOPI pour les un peu moins nuls (partie 1) : iodine encapsulation IP over DNS

Avant de commencer, j’ai une bonne et une mauvaise nouvelle
La bonne : Création et Internet ne prévoit pas d’amendement pour interdire les requêtes DNS
La mauvaise : si vous ne comprenez pas ce qu’est une requêtes DNS, je n’expliquerais pas dans le détail ce que c’est … mais commencez par ça;
Ce billet risque de paraître un peu étrange à certains, j’espère que les autres apprécieront. Vu les possibilités offertes par cette bidouille, je ne vous dirais même pas à quoi ça peut servir, utilisez votre imagination 😉
… bon ok je vous donne un indice : « point d’accès wifi public » …

On commence par lire attentivement ceci :

http://code.kryo.se/iodine/

Nous avons deux machines une première à la maison connectée au net (pensez à ouvrir les ports qui vont bien sur votre routeur … oui le 53) sur laquelle je lance après l’avoir installé iodined, le serveur qui va récupérer nos paquets magiques

On s’occupe d’abord du serveur, on commence par installer iodine. Dans notre exemple il s’agit d’une Debian Lenny mais iodine à même l’air de tourner sur un grille pain … (si vous avez de vielles foneras dont vous ne savez que faire … ).


$ sudo apt-get install iodine

On le configure comme il se doit :

$ sudo dpkg reconfigure iodine

Donnez lui une ip et attention, il vous faut un domaine, pour notre notre exemple notre machine est hysteria.mondomaine.com
… on vous demandera aussi un password pour le tunnel (et en plus c’est secure !).

On peut maintenant lancer notre serveur :

bluetouff@hysteria:~$ sudo dpkg-reconfigure iodine
[sudo] password for bluetouff:
Opened dns0
Setting IP of dns0 to 10.0.0.1
Setting MTU of dns0 to 1024
Opened UDP socket
Listening to dns for domain monserveur.mondomaine.com
Detaching from terminal...

On s’occupe de notre Bind maintenant :

montunnel IN A xxx.xxx.xxx.xxx
tunnel1 IN NS montunnel.mondomaine.com.

Voilà, maintenant occupons nous maintenant de notre poste client (à priori un ordinateur portable puisque c’est avec cette machine que vous allez désespérément rechercher un réseau wifi). Dans notre exemple, il s’agit d’un macbook pro, pas de soucis non plus on passe par les sources :


$ wget http://code.kryo.se/iodine/iodine-0.5.1.tar.gz
$ tar -xvzf iodine-0.5.1.tar.gz
$ cd iodine-0.5.1
$ ls
CHANGELOG README-win32.txt man
Makefile TODO src
README doc tests
$ sudo make
Password:
OS is DARWIN, arch is i386
CC tun.c
CC dns.c
CC read.c
CC encoding.c
CC login.c
CC base32.c
CC base64.c
CC md5.c
CC common.c
common.c: In function ‘do_detach’:
common.c:172: warning: ‘daemon’ is deprecated (declared at /usr/include/stdlib.h:283)
CC iodine.c
LD ../bin/iodine
CC iodined.c
CC user.c
CC fw_query.c
LD ../bin/iodined

et nous voilà prêts à voir si notre tunnel fonctionne (remplacez les xxx par l’ip de votre serveur iodined)

$ cd bin
$ sudo ./iodine -v -f -u votrelogin -P votrepass xxx.xxx.xxx.xxx monserveur.mondomaine.com

Tentez maintenant un petit ping sur 10.0.0.1 si tout est ok ça devrait passer via notre petit tunnel

Comme je vous le disais plus haut, il faut cependant disposer d’un nom de domaine (ne faites donc pas n’importe quoi avec cette astuce car ça laisse quand même des traces).

Et la lumière fût ! Lancez une requête finissant par montunnel.mondomaine.com … enjoy !

En jouant sur le MTU, vous pouvez optimiser le débit de la connexion, un nom de domaine et de sous domaine le plus court possible est aussi une bonne chose à cause de l’encapsulation.

Windows Vista et le mystère de la connexion locale en wifi … suspens !

Vista c\'eest caca !Nous vivons une époque formidable, tout s’accélère avec la fibre optique par laquelle on arrive maintenant à envoyer 1 To/s, les satellites, nous explorons le génome humain… et nous comme des cons … on achète Windows Vista. Et oui, j’avoue j’ai touché un Windows Vista, depuis une petite semaine, il me sert a vérifier les rendus graphiques sur Internet Explorer. Aujourd’hui, en déplacement, je me suis connecté à un réseau wifi, tout fonctionnait bien puis en rentrant chez moi le Vista se connecte sur mon réseau domestique, signal à 100% et bien évidemment pas de surf possible et un super message « local seulement ». Apres quelques recherches pour comprendre l’effroyable complexité des 3 panneaux qui peuvent gérer votre connexion je finis par trouver les paramètres de connexion TCPIP dans lesquelles renseigner les DNS de mon FAI… et hop la connexion revient miraculeusement. Windows est quand même le seul système d’exploitation qui, en 2008, n’est pas fichu de faire ça automatiquement sans planter lamentablement.

Super et maintenant quand je me connecte à l’extérieur et que j’ai encore ce message débile, je fais comment pour deviner les DNS ? … sans le net ? Et bien je commence par enregistrer ça dans un fichier texte sur mon ordi… et comme je suis pas madame Irma, je tente de déduire d’après le modèle du point d’accès sur lequel je veux me connecter (wireshark ou aircrack-ng vous aideront à récupérer cette adresse mac) en regardant ceci et en l’apprenant par coeur pour être en mesure de reconnaître le 00:07:CB d’une Freebox par exemple ou les adresses mac des box des principaux FAI … et oui ! s’il y a un routeur devant vous êtes cuits, donc pensez a télécharger un live cd linux si vous voulez pouvoir utiliser le wifi 😀

Allez une petite devinette :

En 2008, je suis seul système d’exploitation sur lequel il faut rentrer manuellement les DNS de son fournisseur d’accès Internet à la main si on veut se connecter en wifi.

Indices :

Indice 1 : ***OS mystère*** a affirmé que « Serveur DNS Principal » est en ligne mais ne répond pas aux tentatives de connexions.

NB : je précise que 3 autres systèmes d’exploitation différents également connectés en wifi sur le même réseau arrivent à lui causer au serveur DNS qui veut pas répondre, il doit être raciste ce serveur DNS 🙂

Indice 2 : Comme tous mes problèmes que je me traîne depuis plus de 10 ans, c’est complètement aléatoire mais rien que dans google.fr, on trouve 622 000 réponses rien que pour ce problème

Indice 3 : Je suis vendu à un prix que vous ne connaissez même pas quand vous achetez un PC, si vous ne voulez pas de moi, il faut aller devant les tribunaux pour qu’on me rembourse.

Xname et ZoneEdit : gérez vos DNS en mode Zen

Depuis plusieurs années, je gère mes DNS moi même avec des services gratuits ou payants de type Xname ou ZoneEdit. J’ai toujours été très satisfait de leurs services respectifs, ce malgré quelques petites galères. Je suis particulièrement attaché au service de Xname qui propose une interface en français et en anglais permettant de gérer ses zones, ses sous domaines, ses mx (mail) etc … Simple efficace et clair, c’est une recette qui a fait la gloire de Google et que Xname pratique, c’est très appréciable.

Cette nuit, comme pas mal de monde j’ai eu des petits soucis avec mes DNS, une base de données de Xname semble avoir pété, et plus aucune zone n’étaient visibles dans la console de gestion, elles sont de nouveau visibles mais beaucoup de mes domaines se retrouvent en propagation et donc inaccessibles.

L’année dernière, Xname avait également essuyé une attaque par déni de service distribué qui avait paralysé le service plus de 48h. Les indisponibilités de Xname son rares, mais voilà, elles sont toujours gênantes. On ne peut pas blâmer le service de Xname qui apporte déjà ce service gratuitement, mais bon, personnellement, j’aimerai beaucoup avoir un service de type ZoneEdit (payant), avec une infrastructure peut être un peu plus évoluée (protection contre les DDOS). Toujours est il que pour l’instant, vous pouvez contribuer à faire en sorte que Xname perdure et s’améliore en apportant une petite contribution. Cette association permet a des professionnels de faire leur business ou a des particuliers de gérer leurs domaines et ceux des copains.

Quand on sait a quel point les DNS sont le maillon le plus faible de la chaîne, on se dit que XName avec l’aide de quelques SS2L pourrait devenir un service incontournable sur le net francophone et plus encore.