blog ntic de revolunet

VLC 0.8.6e est sorti

Une nouvelle version de VLC est disponible sur le site de videolan.org.

Cette mise a jour corrige plusieurs failles de sécurité importantes, et corrige également des bugs dans l’encodage h264. Vous allez donc enfin pouvoir encoder en mpeg-4 sous windows pour, entre autre, votre iPhone

Le changelog complet ici : http://trac.videolan.org/vlc/browser/tags/0.8.6e/NEWS

Mettez vite a jour pour éviter tout probleme de sécurité. Merci à la team VLC !

upgrade sécurité dedibox

Comme beaucoup d’admins qui se pensent contienteux, j’ai du, suite à la publication d’un exploit local assez impressionnant la semaine derniere, mettre à jour mes debian pour éviter toute prise de contrôle. Cette faille afffecte tous les kernels linux 2.6.17 à 2.6.24.1 soit un très très grand nombre de systemes. Il suffit à l’attaquant d’une petite faille PHP pour prendre le controle TOTAL de la machine.

Voici une procédure simplifiée que j’ai suivie sur une debian avec un kernel dedibox r5 :

* apt-get update && apt-get upgrade : mettre a jour les packages pour le nouveau noyau. Attention, cette étape peut vous forcer à passer à MySQL5 et PHP5

* installation du nouveau kernel : apt-get install linux-image-2.6.18-6-686

* reboot puis uname -r pour voir si tout va bien : Linux xx_xx 2.6.18-6-686

Si votre machine ne redemarre pas, essayez un reboot materiel via la console et au pire, bootez sur le system de secours pour modifier /boot/grub/menu.lst et remettre votre ancien noyau (parametre ‘default’).

Ce patch est indispensable sinon tot ou tard votre systeme sera compromis.

Pour ceux qui souhaiterait installer leur propre kernel et le patcher, suivez le tuto de drax sur son (excellent) blog : vmsplice-exploit-fix-and-patching-on-debian et pour les plus curieux, plus de détails techniques sur cette faille : http://www.isec.pl/vulnerabilities/isec-0026-vmsplice_to_kernel.txt

FireFox sous les bombes

Petit post trollesque… Depuis la découverte il y a quelques jours d’une faille plutot critique dans FireFox par hiredhacker.com, la fondation a tenté de corriger ce vilain bug qui permettait d’exposer tous les fichiers d’une machine à nimporte quel attaquant (/etc/passwd ?). Certes, le PC cible doit avoir certaines extensions installées pour que l’exploit fonctionne, mais quand meme, ce bug pourrait faire des dizaines de milliers de victimes potentielles. Et bien la fondation Mozilla a depuis sorti un patch, mais il se trouve qu’il n’empeche rien du tout LOL http://www.hiredhacker.com/2008/01/31/more-chrome-directory-traversing/

Seule solution pour se protégér : utiliser NoScript, ou, mieux, passer sous Lynx

La (longue) liste des plugins permettant cette exploitation : https://bugzilla.mozilla.org/attachment.cgi?id=300181

Ca me rappelle le bug affectant FireBug ;)  http://www.frsirt.com/bulletins/9835

Protected: Google Earth depuis le Maroc aussi !

Faille WMF : Découverte pour les malwares

Vous avez sans doute entendu parler de la faille WMF sous Windows, qui mis en panique les equipes de Microsoft un peu avant Noà«l ?

Et bien cette vulnérabilité aurait été découverte par une équipe de hackers Russes dont le métier est de découvrir des failles dans les logiciels pour ensuite les revendre à des entreprises mal intentionnées pour, par exemple, installer des adwares et spywares à l’insu des utilisateurs. Le danger de cette faille est qu’elle affecte tous les systèmes sous windows.

Cette découverte aurait donc été vendue plus de 4000$ alors qu’elle etait encore inconnue (0-day) à une entreprise de emarketing et aurait été exploitée pendant plus de 15 jours avant d’être détectée ! et le patch de Microsoft n’est sorti que bien plus tard… le 5 Janvier. (Patch MS06-001). Plus de 100 malwares utilisant cette vulnérabilité ont été découverts à ce jour !

Encore une fois, le business des adwares et spywares, qui est très juteux est pris en flagrant délit de collaboration avec le crime organisé.

Plus d’infos, en anglais : http://www.eweek.com/article2/0,1895,1918198,00.asp

Il est à noter qu’un windows est vulnérable même avec FireFox comme navigateur…

Fiddler HTTP Debugger

Voici un outil bien pratique pour nous les webdeveloppeurs : un Proxy HTTP. Cet outil permet basiquement d’intercepter et de modifier à la volée les données echangées entre un programme et un serveur; par exemple entre votre navigateur web et le un serveur HTTP.

Il en existe bien d’autres, comme Achilles par exemple, qui est aussi excellent, mais Fiddler permet en plus de recueillir des statistiques, de voir les données en Hexa, de construire et envoyer des requetes personnalisées au serveur, et de créer des règles de filtrage. De plus, il est aussi possible de créer des scripts pour modifier automatiquement les données qui passent, avec, par exemple, des expressions régulières.

Bien sûr, Fiddler dispose de toutes les fonctions d’Achilles : Filtrage, modification des données à la volée, Breakpoints…

C’est un outil redoutable pour débugguer vos applications web et même pour les ‘hacker’…

–> Fiddler : http://www.fiddlertool.com/fiddler/

Effacer un mot de passe Windows

On peut cracker un mot de passe pour windows (avec Ophcrack, cf mon article à ce sujet), mais il y a encore plus simple et plus rapide : l’effacer !

Dans ce cas, on est grillé car l’ancien mot de passe n’est pas récupéré, et il est de plus effacé.

C’est pratique dans le seul cas ou vous avez oublié votre mot de passe : il y un CD Bootable qui permet de le réinitialiser en moins de deux minutes, et le fichier ISO à télécharger fait moins de 2Mo…

La procédure pour réinitialiser votre mot de passe Windows en cas d’oubli est expliquée pas à pas sur le fabuleux site de notre ami JC Bellamy : http://www.bellamyjc.org/fr/pwdnt.html

EDIT : le domaine est en .org car le .net lui a été piqué ;(

cracker un mot de passe windows en 5 minutes

Voici un nouveau programme basé sur la technique des ‘rainbow-tables’ pour cracker les mots de passe windows.
Pour cracker le mot de passe de votre windows, il utilise une technique comparaison des Hashs de mots de passes avec des tables de hashs connus.

Le programme est livré en deux versions : un executable, si la session est lancée et que vous voulez récuperer le pwd, ou un iso si la machine est eteinte ou ue vous pouvez la rebooter.

La taille du telechargement est assez lourde à cause des ‘rainbow tables’ (la plus petite fait + de 500Mo). A noter que d’autres rainbow tables sont telechargeables sur le site, ce qui permet de diminuer le temps nécéssaire au crackage du mot de passe.

Voici la homepage de ce joli projet : http://ophcrack.sourceforge.net/

et si vous voulez plus d’infos sur les Rainbow Tables : http://en.wikipedia.org/wiki/Rainbow_table

Mémo XSS et outils d’encodage

Voivi regroupés dans une seule page les techniques les plus courantes et les plus efficaces de XSS (Cross Site Scripting) .

Chaque technique est expliquée et agrementée d’un exemple.

En fin de page, vous pouvez trouver un encodeur/decodeur de caractères ASCII en HEX, Decimal ou Base64. Bien utile pour substituer des caractères normaux par leurs remplacants qui ne sont eux que très rarement filtrés. C’est egalement utile pour tout ce qui est SQL injection…

–> XSS cheatsheet

eviter les SQL Injections sur SQL Server

Voici un petit guide pour les malheureux qui utilisaeraient encore SQL Server au lieu de PostregSQL et qui sont très vulnerables aux attaques de type SQL Injection.

Le petit guide vous expose la marche à suivre pour sécuriser votre Serveur, votre DBA, ainsi que votre application pour ne pas se faire hacker via cette methode.

Il faut savoir qu’en prennant le contrôle d’un SQL Server via SQL injection, il est très facile de prendre aussi le vontrôle du serveur. Cela est dpu à la puissance et au nombre des fonctions présentes sur SQL Server, qui permettent d’executer directement des commandes SHELL, de lire/ecrire des fichiers…

c’est ici : http://www.itpro.fr/index1.asp?IdArticle=2315&rub=3

trop rigolo : à l’heure ou je parle, le site d’ou émmane cet article est lui-même vulnerable face à une attaque SQL injection et aussi sous SQL Server….

Kill Skype

Skype c’est bien, mais, en entreprise, c’est dangereux pour plusieurs raisons :

• utilisation anarchique de la bande passante
• problemes potentiels de sécurité et de confidentialité des échanges
• perte de productivité…

La solution : SkypeKiller pour en finir, puis passer à Google Talk (qui ne fonctionne pas pas en mode p2p) ou à Gizmo Project (gratuit, très prometteur, et basé sur le protocole standard SIP)

surfer anonymement

on a parfois besoin d’être invisible sur internet.

une des protection efficace est d’utiliser conjointement les outils suivants :

Tor (Onion router) + Privoxy (Proxy web)

ensuite, configurer chaque logiciel pour passer par Privoxy et Tor, ou utiliser un plugin pour switcher facilement su mode ‘normal’ au mode ‘anonyme’. Car le probleme est que le mode anonyme est beaucoup plus lent.

Avec ca bien configuré, il faudra du temps pour vous retrouver…. encore faut il ne pas faire d’erreur….

un HowTo sur l’installation de Tor+Privoxy sous windows
le plugin SwitchProxy pour Firefox, qui est très pratique

Hacks via SSH

On tente de me hacker via SSH en Brute Force…

voici les ips concernées :

• 82.187.83.114
• 82.165.40.31
• 193.131.116.200
• 69.46.25.34
• 61.97.32.29

C’est peut etre du virus ou du newbie mais sait-on jamais….

j’ai trouvé ces infos dans mon /var/log/auth.log et c’est seulement sur 4 jours….

Argh !! dommage qu’internet soit pollué par tant de malfaiteurs….