Blog de Geeek, le blog geek par excellence par Ludovic Toinel ... - Sécurité

Le SPAM a 30 ans !

Ludovic Toinel — Sun, 27 Apr 2008 20:24:00 +0200

Et bien oui, cela fait 30 ans que le spam existe sous forme d'email.

Le premier mail de spam a été envoyé en 1978 à 393 utilisateurs du réseau Arpanet par un vendeur de la firme Digital Equipement Corporation.

Ce mail de spam était une invitation à venir découvrir le 2020, un ordinateur d'avenir à l'époque

Les premières réactions des personnes ayant reçu le spam sont très sympathiques

(Merci Ben pour la news)

Spam : Je fais le beau pour moins que Sarko

Ludovic Toinel — Mon, 07 Apr 2008 23:29:00 +0200

Voici un mail de spam reçu par un ami :

Sujet: je fais le beau pour moins que Sarko

De: <alabert.tulipmkfym@explosive.ro>

Date: Tue, 08 Apr 2008 02:46:50 +0600

Bonjour,

Moi j'ai trouve un site ou l'on peut acheter les mêmes montres que les riches mais 40 fois moins chers.

Personne ne voit la différence et c'est dingue mais les femmes y font vachement gaffe .. je me fais plus mater qu'avant !!

Un choix énorme des plus grandes marques sont la et livraison en 10 jours maximum.

http://xxxxx.com/

Au revoir,

Alain

Au lieu de vous inscrire sur Meetic, achetez-vous plutôt une montre

Ce spammeur n'est pas à son premier coup :

http://www.google.fr/search?q=+dalian+Beijing+456123

Virus MSN : Ta tof fait quoi sur ce site ?

Ludovic Toinel — Sun, 30 Mar 2008 20:16:00 +0200

Nombreuses sont les personnes qui sont infectées par ce Virus MSN qui envoi régulièrement le message suivant à l'ensemble des contacts de la victime :

Ta tof fait quoi sur ce site ?

Le message est accompagné d'un fichier. La personne qui reçoit le fichier pense qu'il s'agit de photos d'elles et donc clique pour accepter le fichier, lance le fichier et se fait infecter par le Virus. C'est un virus très simple qui utilise le social engineering pour se propager chez ses victimes. Il utilise la naïveté de ses victimes pour se reproduire à l'infinie sur l'Internet.

La solution pour se débarrasser du Virus se trouve ici

Un gamin de 14 ans a piraté le tramway de sa ville.

Ludovic Toinel — Sun, 17 Feb 2008 00:34:00 +0100

C'est étonnant, mais c'est ce que l'on peut y apprendre sur :

http://www.theregister.co.uk/2008/01/11/tram_hack/

Le gamin a utilisé une télécommande de TV paramétrée pour contrôler les tramways de sa ville.

Il a certainement dû utiliser un sniffer infrarouge pour connaître les fréquences des signaux utilisés pour piloter les tramways. A son âge, c'est tout simplement énorme. Il a eu de la chance de ne pas avoir tué des passagers.

Sécurité : Le nouveau Boing 787 peut être piraté par un passager ?

Ludovic Toinel — Sat, 02 Feb 2008 14:03:00 +0100

Boeing's new 787 Dreamliner passenger jet may have a serious security vulnerability in its onboard computer networks that could allow passengers to access the plane's control systems, according to the U.S. Federal Aviation Administration.

http://www.wired.com/politics/security/news/2008/01/dreamliner_security

Hakin9 : Devenez auteur d'articles

Ludovic Toinel — Wed, 30 Jan 2008 15:50:00 +0100

Vous connaissez bien le domaine de la sécurité informatique ? Le sujet vous intéresse, vous êtes un passionné ?

Hakin9 recherche des auteurs pour rédiger des articles sur différents sujets autour de la sécurité informatique.

Tous les sujets d'articles sont sur le site d'Hakin9 :

http://www.hakin9.org/prt/view/devenir-auteur.html

Si un sujet vous intéresse, il suffit de contacter la rédaction pour vous faire connaître.

Obtenez la carte de visite de Kevin Mitnick

Ludovic Toinel — Tue, 01 Jan 2008 23:28:00 +0100

Voici la carte de visite du célèbre Kevin Mitnick :

L'idée est très originale

Si l'on en croit le site "mitnicksecurity", vous pouvez obtenir cette carte en envoyant votre IP et un mot de passe accompagnée d'une enveloppe timbrée et de deux dollars à l'adresse suivante :

2245 N. Green Valley Parkway
Suite 411
Henderson, NV 89014
USA

S'agit t'il d'une blague ? Pour info Henderson (NV) est une ville voisine de Las Vegas.

http://www.mitnicksecurity.com/

Google Adsense cracké ?

Ludovic Toinel — Sun, 18 Nov 2007 15:29:00 +0100

C'est ce que l'on peut lire sur le blog de Manish Arora :

http://mgoos.com/blogs/adsense-cracked.htm

Alors fake ou pas fake ?

Orange propose l'OpenID à ses abonnés

Ludovic Toinel — Mon, 01 Oct 2007 00:07:00 +0200

Voici une bonne nouvelle pour la démocratisation de l'OpenID ! Orange est premier major dans les Telco à proposer ce type de service à ses clients.

Pour rappel, OpenID est un "protocole" qui permet de vous authentifier sur différentes plateformes sur le net, comme Wikitravel, Ziki, Jyte .. Ceci via un seul compte centralisé et modélisé par une page Web dans laquelle un tag OpenID a été inséré.

Le gros avantage de ce système est de ne plus avoir à créer des comptes sur toutes les plateformes sur lesquels vous voulez accéder, vous ne possédez plus qu'un seul login et password. C'est plus simple à maintenir et plus sécurisé car vous pouvez changer de mot de passe très régulièrement en un seul clique ...

Les pages OpenID Orange sont sous la forme suivante : http://openid.orange.fr/pseudo

Pour en savoir plus je vous conseille de lire l'article de Logineo (un collègue )

Sex Bruteforcing Toolz Warez Password Recovery Script Kiddies

Ludovic Toinel — Mon, 24 Sep 2007 23:27:00 +0200

L'adresse IP mystérieuse ...

Ludovic Toinel — Tue, 11 Sep 2007 23:01:00 +0200

En consultant les statistiques de mon blog avec Awstats, un analyseur de log Apache, je me suis rendu compte qu'une machine a fait 8000 requêtes HTTP vers mon serveur depuis le début du mois et n'a consommé que 1.68 Mo de bande passante. Étrange non ?

Cette machine est : 89.84.38.47

Après un scan rapide de la machine avec Nmap, il s'agit d'une machine avec de faux services : un faux serveur HTTP, un faux serveur FTP, un faux serveur SSH ....

PORT   STATE    SERVICE
21/tcp open     ftp
22/tcp open     ssh
23/tcp open     telnet
25/tcp filtered smtp
80/tcp open     http

Après une analyse rapide de mes logs Apache, cette machine lit le flux RSS de mon blog toute les minutes

89.84.38.47 - - 07/Sep/2007:11:39:54 +0200 "GET /feed/rss.xml HTTP/1.1" 200 44506 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; MSOffice 12)"

Au moins elle est sûr d'avoir les dernières news à jour de mon blog ....

Le User-Agent me fait penser à un IE, s'agit t'il un bug d'IE ? Ou bien peut être d'un Virus qui s'amuse à flooder les feed RSS des blogs ? Ou s'agit t'il d'un agrégateur avec un faut User-Agent ?

J'imagine le désastre sur Internet si un virus s'amusait à appeler toute les minutes les Feed RSS enregistrés sur IE 7 ....

Je bloque l'IP ?

Les spammeurs Russes bannis de Geeek.org

Ludovic Toinel — Fri, 31 Aug 2007 22:45:00 +0200

J'ai enfin réussi à lister les plages d'IP des machines qui floodent mon serveur Web de requêtes HTTP depuis plusieurs semaines.

Elles m'envoient en moyenne une requête par seconde et cela peut monter jusqu'à 100 requêtes simultanées certains soirs.

Il s'agit de serveurs Russes, plusieurs centaines de machines qui utilisent leurs bandes passantes à flooder le script de trackback "tb.php" de ma plateforme de blog.

Pour tracer la liste des IP floodeuses, j'ai développé rapidement un petit script PHP qui porte le même nom que le script de trackback "tb.php" et qui a comme seul objectif d'écrire les IP appelantes dans un fichier de log :

<?php



if (isset($_GET["id"])){

        $ip = $_SERVER['REMOTE_ADDR'];



        $data = "$ip\n";  



        // Open the file and erase the contents if any

        $fp = fopen("spam.log", "a");



        // Write the data to the file

        fwrite($fp, $data);

        

        // Close the file

        fclose($fp);

}



?>

A partir du fichier produit, j'ai pu modifier les règles de mon firewall pour bloquer tous les paquets provenant de ces machines :

$IPTABLES -I INPUT -s 62.213.66.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.68.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.71.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.83.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.86.0/24 -j DROP

$IPTABLES -I INPUT -s 212.24.32.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.37.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.48.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.61.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.62.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.63.0/24 -j DROP

$IPTABLES -I INPUT -s 212.158.165.0/24 -j DROP
$IPTABLES -I INPUT -s 212.158.166.0/24 -j DROP
$IPTABLES -I INPUT -s 212.158.167.0/24 -j DROP
$IPTABLES -I INPUT -s 212.158.169.0/24 -j DROP

$IPTABLES -I INPUT -s 217.23.131.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.132.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.133.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.136.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.140.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.143.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.144.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.147.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.151.0/24 -j DROP

Et voilà le travail !

En attendant les requêtes qui arrivent sur le serveur consomment inutilement le débit sur ma bande passante ...

Hack des hotspots payants : Encapsulation ICMP/DNS

Ludovic Toinel — Fri, 24 Aug 2007 23:35:00 +0200

Voici un hack pour utiliser des hotspots Wifi payants gratuitement.

http://thomer.com/howtos/nstx.html

Le TCP over DNS .. Voir même le TCP over ICMP

C'est de l'encapsulation de données, mais ça marche sur certains de Hotspots qui laissent ce type de flux passer sans aucune authentification.

Il faut cependant avoir un serveur connecté à Internet qui puisse désencapsuler les paquets et les forwarder sur Internet.

Merci à Valentin pour la news.

Le serveur du site officiel du ministère de l'Intérieur hébergé aux USA

maley — Fri, 10 Aug 2007 22:21:00 +0100

Le serveur du ministère de l'intérieur est passé sous contrôle américain.

La moindre informations tapées par un internaute français sur le site du ministère passera obligatoirement par les serveurs américains. Ce changement à eu lieu il y a 5 jours au mépris de la sécurité nationale.

Comme souvent le gouvernement profite que les gens soient en vacances pour faire "passer" des mesures en douceur. On vit une époque formidable.

Vous pouvez le constater vous-même en faisant un "ping" sur

http://www.interieur.gouv.fr/

Source : pizzalea sur Tvperso (Free)

Virus MSN photos.zip : Le virus très vicieux !

Ludovic Toinel — Tue, 19 Jun 2007 23:07:00 +0200

Attention à ce type de Virus, il envoie à l'insu de l'utilisateur un fichier portant le nom de "photos.zip" par MSN en prétextant qu'il s'agit de photos chaudes :

La solution :

Le programme MSN Fix disponible ICI
et voici une page d'aide pour se débarrasser du virus via l'utilisation de MSN Fix

Serveur de mail de Laposte.net

Ludovic Toinel — Fri, 20 Apr 2007 23:19:00 +0100

Ma copine vient de recevoir un email qui ne lui était pas destiné.

Son email est xxx.yyy@laposte.net et elle vient de recevoir un email en destination de xxx@laposte.net ... Ce n'est pas sérieux de la part de La Poste, surtout que ce mail contient des informations confidentielles.

Je pense que le bug doit provenir soit d'un mauvais formatage de l'entête du mail qui a enduit en erreur le serveur de mail .. Soit d'un accès concurrent au niveau du serveur de mail.

Bref ... Tout cela pour dire que potentiellement d'autres personnes peuvent lire vos mails ... Enfin sauf si vous hébergez vous-même votre serveur de mail.

BlueJacking : Le spam pour dent bleue

Ludovic Toinel — Mon, 19 Feb 2007 21:38:00 +0000

Après plusieurs recherches j'ai enfin trouvé un logiciel qui permet de réaliser du spam à partir d'un PC vers des terminaux Bluetooth , il s'agit de BlueBacteria :

Une version de démo est présente sur le site, celle-ci est bridée mais permet rapidement de voir qu'il est possible de spammer pleins de personnes avec son PC.

Ce logiciel a été créé par son auteur pour envoyer des messages publicitaires de manière brutale .... Vous imaginez ce type de Spam aux Halles à Paris ? Le carton que cela pourrait faire.

Pour les personnes qui préferent utiliser leur téléphone pour blueJacker, il y a EasyJack qui est intéressant (mais payant ..).

Hack me ....

Ludovic Toinel — Sun, 20 Aug 2006 23:37:00 +0100

Qui trouvera le mot de passe de ce billet ?

Ze piratage is not good !

Ludovic Toinel — Mon, 10 Apr 2006 21:46:45 +0000

Zieutez un oeil sur cette vidéo :

http://www.canalw.free.fr/Films/Piratage_hr.wmv

Formulaires et protection contre les robots spammeurs

Ludovic Toinel — Tue, 28 Mar 2006 06:51:00 +0000

Je viens de finir de modifier le plugin Tribune Libre pour éviter le spam et voici ce que j'en ai retenu des robots spammeurs :

Il remplissent tous les champs avec des données, pour des champs petits ils insèrent le nom du champs : par exemple si un champs s'appelle 'trucmuch' et qu'il est de petite taille il vont insèrer la valeur 'trucmuch' à l'intérieur.

Ils savent interpréter ne nom des champs, si un champs s'appelle "trucnick", il vont savoir qu'il s'agit d'un champs pour un pseudo. Et si le champs s'appelle "trucmsg" il vont savoir qu'il s'agit d'un message.

Les règles sont donc :

D'utiliser des formulaires avec des noms bidons, voir même avec des caractères aléatoires
De vérifier que la valeur envoyée ne contient pas le nom du champs lui même.