Recherche

Votre recherche de internet a donné 387 résultats.

Shellshock http header

Vous êtes plusieurs à m'avoir demandé plus d'informations sur la faille Shellshock et l'impact qu'elle peut avoir sur des machines connectées à Internet.

Voici un bref test réalisé sur une plage d'IP /24 d'un DSLAM Free démontant que de nombreuses personnes connectées à Internet semblent être vulnérables à la faille Shellshock découverte récemment sur Bash par un français.

Le test démontré consiste à envoyer à un ensemble de machines/box connectées à Internet un paquet HTTP forgé avec des entêtes HTTP contenant une injection de commande. Toutes les machines vulnérables qui passeront les valeurs des entêtes HTTP sous forme de variables Bash exécuteront la commande indiquée dans la requête sans le vouloir.

Dans le cas présent, l'instruction transmise aux machines est de m'envoyer un Ping réseau. Toutes les machines vulnérables à Shellshock au travers de leur serveur Web obéiront à ma demande et m'enverront un Ping.

Cette attaque est totalement bénin pour les machines distantes, mais elle démontre qu'un grand nombre de machines/box connectées à Internet sont vulnérables à ce type d'attaque.


Soyez très vigilant, il est probable que d'ici les prochains jours des vers / trojans se déploient largement sur le réseau via l'utilisation de cette faille de sécurité importante.

php shellshock

Voici un petit script PHP permettant d'identifier rapidement des tentatives d'attaque Shellshok sur son serveur PHP.

Les attaques se trahissent par la présence des caractères '()' en début de chaîne d'entête HTTP.

<?php

// index.php  à la racine du serveur

function startsWith($haystack, $needle)
{
    return $needle === "" || strpos($haystack, $needle) === 0;
}

if ((startsWith($_SERVER['HTTP_COOKIE'],('()')))
||(startsWith($_SERVER['HTTP_REFERER'],('()')))
|| (startsWith($_SERVER['HTTP_HOST'],('()')))){
   
        // Tentative d'attaque logguée
        file_put_contents('attaques.log', $_SERVER['REMOTE_ADDR'].PHP_EOL,FILE_APPEND);
};

.....

Vous devriez voir le fichier "attaques.log" énormément grossir d'ici les prochains jours. La récente faille détectée dans Bash devrait avoir un impact non négligeable sur le trafic Internet. Des vers utilisant la vulnérabilité Shellshok devraient probablement circuler sur la toile d'ici les prochains jours .

Freebox Shellshock

Après être tombé sur un article intéressant sur l'exploitation à distance de la faille de sécurité "shellshock" trouvée récemment sur Bash par un Français. Je me suis amusé à tester les Freebox et autres boîtiers ADSL connectés à mon DSLAM, le résultat de mon test est assez intéressant inquiétant.

J'ai suivi l'astuce de Robert Graham sur l'utilisation de l'utilitaire masscan pour détecter les machines connectées à Internet vulnérables à la faille de sécurité "Shellshock.

J'ai donc compilé l'application masscan sur mon serveur avec le patch de Robert Graham permettant de modifier des entêtes HTTP.

$ sudo apt-get install git gcc make libpcap-dev
$ git clone https://github.com/robertdavidgraham/masscan
$ cd masscan/src/
$ rm proto-http.c
$ wget https://raw.githubusercontent.com/robertdavidgraham/masscan/master/src/proto-http.c
$ cd ..
$ make

J'ai repris le fichier de configuration de Robert Graham et je l'ai adapté la plage d'IP aux clients de Free connectés à mon DSLAM, l'histoire d'avoir une idée de la sensibilité des box de Free à cette nouvelle faille de sécurité qui secoue actuellement Internet.

target-ip = x.x.x.x/24
port = 80
banners = true
http-user-agent = shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)
http-header[Cookie] = () { :; }; ping -c 3 62.210.208.20
http-header[Host] = () { :; }; ping -c 3 62.210.208.20
http-header[Referer] = () { :; }; ping -c 3 62.210.208.20

Cette configuration de masscan injecte une commande shell dans les entêtes HTTP Cookie, Host et Referer. Si le serveur distant est vulnérable à la faille de sécurité "Shellshock" et que l'une des variables Cookie, Host et Referer est utilisée comme variable d'environnement lors de l'appel à un module CGI, un ping devrait automatiquement arriver sur mon serveur.

Je lance donc deux terminaux sur ma machine. Sur le premier terminal je lance un tcpdump pour afficher toutes les requêtes Ping entrantes et me permettre d'identifier toutes les machines vulnérables.

sudo tcpdump -v icmp

Sur le second terminal, je lance le masscan :

sudo ./masscan -c masscan.conf

Le résultat est assez surprenant, sur la plage d'IP de ma freebox chez Free, je découvre 15 Freebox Révolution allumées acceptant des requêtes sur le port 80. Mais heureusement, aucune d'entre elles ne me ping ... (c'est rassurant).

Cependant, ma machine reçoit 4 pings provenant de 4 box qui semblent être vulnérables à la faille "Shellshock" via l'injection de commandes shell par entêtes HTTP.

Les 4 box détectées ne répondent pas au ping et leurs ports semblent être filtrés (incorrectement si mes requêtes m'ont permis d'exécuter une commande shell sur ces box).

Je n'ai malheureusement pour le moment, aucune idée de quelle box il s'agit. Nmap ne m'a fourni aucune information exploitable ... D'après mes tests, les commandes shell transmises semblent être correctement interprétées par les box distantes, ce qui signifie qu'un cracker pourrait s'introduire sur votre réseau local ou avoir accès à l'ensemble des pages Web sur lesquels vous allez.

S'agit-il de la Freebox V5 ou de la Freebox Crystal ? Ou bien d'un NAS Synology connecté sur le port 80 de la Freebox ?


Update 01/10/2014 : Erratum, la transmission des ping par les machines cibles semble être un comportement naturel et n'est pas lié à une faille de sécurité. Les machines transmettent une requête ping dès qu'elle reçoivent une requête HTTP .... Étrange !

woorank-geek.png

Vous avez un site Internet et vous souhaitez connaitre les impondérables à respecter pour le bon référencement de votre site ?

Woorank fournit un service d'analyse de site en ligne, vous permettant d'identifier en quelques secondes un ensemble d'optimisations techniques possibles.

Le service est gratuit le premier appel, au second rapport Woorank vous demandera d'acheter une licence d'utilisation du service. Un filtrage IP sur la plateforme vous interdit de réaliser deux analyses gratuites successives. Pour obtenir un rapport détaillé, il vous faudra débourser tout de même la somme de 39€ / mois pour un site Internet.

C'est l'outil idéal pour commencer une stratégie SEO et identifier les points techniques faibles de votre site. Le rapport gratuit offre un premier ensemble d'éléments à corriger et vous donnera une note sur 100 pour qualifier la capacité de votre site à être correctement référencé sur les moteurs de recherche.

Pour essayer l'outil, cela se passe ici : http://www.woorank.com

hacker-banner.jpg

L'utilisation du terme anglophone "Hacker" est de plus en plus mal employé par nos journalistes francophones. Cela me révolte !

On retrouve ce terme à toutes les sauces et souvent quand il s'agit de piratage informatique. Je pense qu'une très grande majorité de journalistes non spécialisés pense qu'un Hacker est un méchant pirate informatique alors que loin de là ...

Un hacker ou hackeur est une personne qui montre une passion pour la compréhension du fonctionnement intime des systèmes, ordinateurs et réseaux informatiques en particulier. (Wikipédia)

La bonne terminologie pour définir pirate informatique est Cracker. C'est un terme proposé sur Usenet (l'ancien Internet) vers 1985 pour riposter à l'usage jugé impropre du terme Hacker. Ce terme a été défini par Gary Scott Malkin dans la RFC 1983 en 1996 en riposte du mauvais usage du terme Hacker qui était réalisé à l'époque :

A cracker is an individual who attempts to access computer systems without authorization.  These individuals are often malicious, as opposed to hackers, and have many means at their disposal for breaking into a system.  See also: hacker, Computer Emergency Response Team, Trojan Horse, virus, worm.

Le problème est que le terme "Cracker" est inconnu de la majorité des Français et il ne fait pas partie de notre dictionnaire Français.

L'autre problème est que ce terme "Hacker" a été intégré dans notre dictionnaire français avec une définition erronée. Selon le dictionnaire Larousse :

Personne qui, par jeu, goût du défi ou souci de notoriété, cherche à contourner les protections d'un logiciel, à s'introduire frauduleusement dans un système ou un réseau informatique.

Heureusement, Wikipédia définit le terme "hacker" de manière correcte :

Aujourd'hui encore, un hacker désigne un virtuose pouvant intervenir dans différents domaines comme la programmation, l'architecture matérielle d'un ordinateur, l'administration système, l'administration réseau, la sécurité informatique ou tout autre domaine de l'informatique ; les médias grand public utilisent à tort le terme « hacker » dans le sens de cracker, black hat (« chapeau noir »), c'est-à-dire un « hacker » opérant de façon illégale ou non éthique. Les hackers sont parfois confondus avec les script kiddies, cyber-délinquants à la recherche de cibles faciles ne demandant pas de connaissance particulière en informatique.

Les journalistes continueront donc à utiliser le terme hacker à toutes les sauces encore longtemps. Hackers, révoltez-vous ! Journalistes, n'utilisez plus le terme hacker pour définir un pirate informatique !

Mise à jour (13/09/2014) : Mise en ligne d'une pétition


Crédits photo : The Preiser Project

C

A la lecture du forum Zendesk de Doorbot, beaucoup d'utilisateurs de ce visiophone se plaignent des défauts du produit et du manque de réactivité de la société. Aucun nouveau firmware n'a vu le jour depuis plusieurs mois, l'application pour iPhone n'évolue plus à l'exception de correctifs de petits bug, c'est étrange ...

Les choses devraient peut-être changer depuis que la société Doorbot vient de recevoir un financement de 4,3 Millions de dollars début juillet. En attendant que les choses bougent, quelques perspectives s'ouvrent pour utiliser le Doorbot autrement, sans passer par le cloud Doorbot localisé aux US.

MadBeggar a fait une analyse de l'ensemble des flux réseau échangés entre le visiophone et les serveurs Doorbot et le téléphone et les serveurs Doorbot. Le résultat de cette analyse est très intéressant, les flux réseau échangés sont simples (REST/JSON) et le streaming vidéo est ni plus ni moins que du RTSP 1.0 desservi par le serveur de streaming Flussonic.

screenshot-doorbot.jpg

On y découvre que l'API utilisée lors du déclenchement de la sonnette est en HTTP et pas en HTTPS. L'URL de streaming négociée passe en clair entre le visiophone et les serveurs de Doorbot, ce qui pose quelques soucis de confidentialité comme vous pouvez l'imaginer ...

Les premières tentatives de hacking des API ont été réalisés avec succès par MadBeggar, la seconde étape est de pouvoir déployer son propre serveur de flux vidéo idéalement sur son réseau local pour bénéficier d'un flux avec le minimum de latence réseau. Il faut pour cela trouver un serveur de streaming vidéo qui supporte le RTSP 1.0 et qui est compatible avec les flux de données envoyés par le Doorbot.

Il faudrait à l'avenir que Doorbot autorise les utilisateurs avancés à utiliser leur propre serveur de streaming pour bénéficier d'une qualité vidéo sans latence, la liaison Internet avec les US n'est pas ce qu'il se fait de mieux en terme de latence réseau. Cela permettrait à la société Doorbot d'économiser de l'argent en terme d'hébergement, car tout les flux vidéos échangés sont actuellement centralisés sur leurs serveurs US. La bande passante réseau consommée par les flux vidéos de l'ensemble des Doorbot déployés doit être impressionnante.

Comment vont-ils pouvoir financer cette infrastructure sachant qu'ils ne vendent aucun service, ils vendent un produit ... Ont-ils des services de eGardiennage en prévision ?


Crédits visuel serveur : chromatix

openkarotz-300x240.png

Et si vous libériez définitivement votre Karotz du Cloud ?

C'est désormais possible avec le firmware d'OpenKarotz qui permet de faire fonctionner votre lapin en autonomie totale sans adhérence le cloud.

La dernière version du firmware a été déployée sur plus de 400 lapins maintenant. Une petite communauté d'utilisateurs s'est formée autour de ce firmware ouvert permettant d’interagir avec son lapin directement sans passer par Internet via des serveurs sur le cloud.

plan-openkarotz.jpg

De nombreuses box de domotique comme Eedomus proposent même d'interagir directement avec les Karotz équipés d'OpenKarotz.

OpenKarotz fournit une interface Web et mobile permettant d’interagir avec le lapin directement sans connaissance technique. Pour les plus geeks d'entre vous, le firmware expose de nombreuses API REST utilisables directement ou via des librairies vous simplifiant la tâche.

screenshot-openkarotz.jpg

L'installation du firmware se fait en quelques clics, il faut ensuite se rendre sur l'interface Web pour appliquer les dernières mises à jour.

Attention, une fois ce firmware installé, notre lapin sera n'aura plus accès aux applications proposées sur le site de Karotz.

http://www.openkarotz.org

karotz_back.jpg

Le Karotz n'est pas encore mort. Même si le portail pour les développeurs a été retiré d'Internet, les API du Karotz sont toujours fonctionnelles sur le cloud.

Il vous est même possible de manipuler très facilement votre lapin à distance au travers d'un module NodeJS disponible sur GitHub :

https://github.com/guillaumewuip/Karotz-NodeJS-Plugin

var karotz  = require('./karotz');

var installid = '12345', // Récupéré sur la page de paramétrage d'une app Karotz
    apikey    = '12345', // Récupéré sur la page de déclaration d'une Karotz
    secret    = '12345'; // Récupéré sur la page de déclaration d'une Karotz

karotz.authentication(apikey, installid, secret, true, function(app){

karotz.tts('speak', 'EN', "I want a carrot !", function(msg) {
    console.log(msg); //Output 'Speaking' or 'Error'
});

});

L'utilisation de ce plugin nécessite auparavant de créer une application sur la zone lab portail du Karotz. Pour vous simplifier la tâche voici un exemple d'App Karotz que vous pouvez utiliser et que je viens de partager sur GitHub :

https://github.com/ltoinel/domogeeek/tree/master/misc/karotz-app

Si jamais vous êtes passé au firmware OpenKarotz, une librairie équivalente est aussi disponible sur GitHub, elle est développée par le même auteur :

https://github.com/guillaumewuip/openkarotz-nodejs

Elle a l'énorme avantage de ne nécessiter aucune authentification quelconque pour pouvoir fonctionner, il suffit juste de connaitre l'adresse IP de son lapin sur son réseau local.

var openkarotz = require('openkarotz');

var karotz = new openkarotz('192.168.0.1');

karotz.tts( "I want a carrot !", 'EN',  true, function(msg) {
    console.log(msg);
});

Ces modules NodeJS permettent de jouer avec les LED, les oreilles, le lecteur RFID, la voix du lapin, la prise de photo et la lecture de fichiers multimédia ...

Ils fournissent tous les éléments vous amuser rapidement si vous avez des projets de domotique en tête.

AspireSwitch10.png

Et si la prochaine révolution était tout simplement la disparition des laptop au profit de tablettes tactiles équipées d'un clavier amovible ?

C'est cette révolution qu'Acer est en train de suivre avec sa nouvelle gamme de tablette hybride : Le Aspire Switch 10

Les caractéristiques techniques de cette tablette s'approchent pour le moment plus d'une tablette que d'un laptop, mais le delta se resserre de plus en plus avec l'évolution des technologies mobiles autour de la maîtrise des consommations énergétiques et l'augmentation des capacités des batteries embarquées. La tablettes ont fait récemment disparaître les ultra-PC, il est possible que les laptop tels que nous les connaissons subissent le même sort d'ici les 2 prochaines années.

Il est bien-sur hors de question d'utiliser aujourd'hui cette tablette comme station de montage de vidéo, mais elle permettra de satisfaire la majorité des usages que l'on attend d'un PC de bureau (Web, Mail, Internet).

Ses caractéristiques techniques :

  • Processeur Quad-Core Intel Atom Bay Trail (1,33 Ghz / 1,86 Ghz Turbo)
  • Stockage eMMC 32Go à l'intérieur de la tablette
  • 2 Go de mémoire vive (LPDDR3)
  • WiFi 802.11abgn et le Bluetooth 4.0 + EDR
  • Ecran 10' LumiFlex™
  • Autonomie jusqu'à 8h00 (en lecture vidéo 720p)

Si vous avez besoin d'un PC portable et d'une tablette, le choix d'une tablette hybride peut répondre certainement à vos besoins. Attention tout de même à la quantité de RAM mise à disposition, les 2Go peuvent très vite être consommées sur Windows.


Sponsorisé par Be On

natural_plunge_pool.jpg

L'été est arrivé à grand pas avec la chaleur aussi, vous n'avez qu'une envie : aller vous baigner !

Voici quelques ressources intéressantes trouvées par hasard sur Internet ce Week-end qui vous permettront de construire une piscine 100% naturelle avec quelques centaines d'euros seulement.

Il existe de nombreuses sociétés spécialisées dans les piscines naturelles en Europe, mais l'expert du DIY (do it yourself - fabriquez-le vous-même) est David Pagan Butler un anglais. David partage ses connaissances et retours d'expérience au travers de livres / DVD qu'il commercialise sur son site Internet organicpools.co.uk.

Pour découvrir à quoi ressemble une piscine naturelle, voici une présentation en vidéo:

Le principe de la piscine naturelle est très simple, ne pas utiliser de produits chimiques et polluants pour fabriquer sa piscine et la maintenir opérationnelle. Dans les faits, l'idée est de reproduire un écosystème digne d'un aquarium où tous les éléments s'équilibres pour permettre d'avoir un eau propre de qualité.

D'une manière générale, ces piscines sont constituées de 40 à 50% de zone de regénération et de 50 à 60% de zone de nage. La zone de regénération permet de purifier l'eau grâce aux plantes aquatiques et aux micro-organismes présents naturellement dans l'eau. Au bout d'un certain temps, un écosystème se créé et la piscine s'équilibre toute seule permettant à moindre coût de se baigner dans une pure et propre.

Voici un modèle de piscine naturelle plus petite :

Pour partager ses connaissances sur le sujet et vous permettre d'être autonome dans la construction d'une piscine organique, David Pagan Butler fournit un PDF gratuit sur les principes de la piscine organique. Pour fabriquer votre propre piscine, il vous faudra principalement de l'huile de coude, de l'EPDM (film étanche), du gravier et un mécanisme pompe pour permettre à l'eau d'être filtré par la zone de regénération.

Le concept de la piscine organique est très simple et semble être assez accessible pour des petits bricoleurs.