Archive for February, 2009

Je suis toujours à la recherche des bonnes commandes iptables, alors j’en profite pour me faire un petit pense bête :

Lister les règles :

# iptables -nvL –line-numbers

Sauvegarder votre config :

# service iptables save

Sortir votre conf en fichier texte :

# iptables save

Insérer une règle à la position 12 par exemple:

# iptables -I RH-Firewall-l-INPUT 12 -p tcp -m state –state NEW -m tcp –dport 7804 -j ACCEPT

Restaurer une conf :

# iptables-restore your_config_file

Limiter le temps entre deux connections de la même adresse IP :

# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –update –seconds 15 -j DROP
# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –set -j ACCEPT
Adam Laurie fait à nouveau le buzz avec sa présentation “Satellite Hacking for Fun and Profit” à la BlackHat Briefing à Washington. On se souvient  de sa brillante intervention sur les puces RFID au hack.lu où il nous avait montré avec quelle facilité on pouvait lire, clôner et éditer les données de son passeport biométrique. Cette fois, c’est aux satellites qu’il s’attaque. Vous me direz “on a pas attendu sur lui pour avoir Canal SAT ou TPS gratuit”. De plus, avec les réseaux de key sharing qui prolifèrent sur la toile et leurs abonnements parfois plus chers que l’officiel. Passons …
Adam a démontré lors de la conférence, qu’il est possible d’écouter les communications de satellites grâce à l’interface réseau de votre Dreambox. Pour les néophytes, la Dreambox est ni plus ni moins qu’un démodulateur tournant sous linux. Il vous suffit de lancer un sniffer réseau comme WireShark sur votre pc portable, de le connecter à votre dreambox et c’est parti ! Une parabole de 1 mètre motorisé suffit pour scanner les différentes fréquences.

blackhat-2008-04-22

Les chercheurs Jim Geovedi, Raditya Iryandi, et Anthony Zboralski avaient déjà exposé les mêmes failles ici (PDF), mais leur méthode nécessite une parabole de 2 à 4 mètres. Ce qui rend leur étude plus difficile à vérifier contrairement à celle d’Adam.

Adam a developpé un script qui permet de scanner différentes fréquences et d’identifier certains types de contenus, y compris le trafic basé sur TCP, UDP ou SMTP. Ce qui devient intéressant, c’est d’apprendre le type de données qui transite sur ces fréquences…

Pico Bello

Waterproof

Elle a tout d’une grande… Je pense que c ‘est un slogan qui lui colle au chrome … Cette petite clé USB de 31.3 mm de long est tout simplement une merveille. Pour ma part, je l’ai choisi en chrome avec 8 Gb, mais il existe plusieurs variantes disponible sur le site de Super Talent.

Voici les caractéristiques techniques :

Super Talent Pico C

Il n’est plus nécessaire de présenter Twitter. Pour les personnes qui auraient passé un an sur la banquise sans internet, Twitter (qui signifie gazouiller) est un outil de microblogging qui permet à l’utilisateur de signaler à ses contacts “ce qu’il est en train de faire”. Basé sur le principe du SMS, twitter vous permet d’écrire 140 caractères et de suivre les tweets de vos contacts partout dans le monde. En effet, que vous ayez un iPhone (twinkle), un smartphone avec Windows Mobile (PockeTwit) ou que vous soyez au bureau avec firefox (TwitterFox), tous les moyens sont bons pour recevoir les “tweets” (les messages).

Son utilisation est très simple et c’est ce qui plait. L’information n’a jamais été aussi rapide qu’avec twitter. Par exemple, lors du dernier crash d’avion à New York, la première photo du sauvetage a été publiée sur internet via Twitter par Janis Krums :

http://twitpic.com/135xa – There’s a plane in the Hudson. I’m on the ferry going to pick up the people. Crazy.

Que ce soit le geek ou le Président des Etats-Unis, tout le monde l’utilise. Ce qui fait de Twitter une mine d’or en terme d’information. Forcément, cela créé de nouvelle tendance, en autre la veille stratégique anonyme. Journalistes, espions industriels se sont jetés sur cet nouvel outil pour récupérer les informations le plus rapidement possible. Je ne serais pas étonné de voir des offres de conseil sur Twitter dans les années voire mois à venir.

Comme chaque technologie qui fait le buzz, Twitter a été soumis au scanner de vulnérabilités de ses utilisateurs. Il n’aura pas fallu longtemps pour s’apercevoir que Twitter n’intègre aucune des meilleures pratiques en termes de sécurité. Lors de la dernière DefCon 16 à Las Vegas, le “Wall of Sheep” était rempli de login Twitter. Si les trois développeurs de Twitter ont trouvé un super concept en Avril 2006, ils n’ont certainement pas pensé à le sécuriser. Il faut dire que l’application a été pliée en deux semaines grâce au framework RubyOnRails. L’architecture du Logiciel est faite de telle manière que la communication avec l’API est autorisée uniquement sur la base du nom d’utilisateur et du mot de passe (qui bien entendu sont transmis en clair sur la toile).

De plus, Twitter ne nécessite pas d’avoir une adresse email valide lors de l’enregistrement d’un nouveau compte, même si un doesnotexist@email.com est utilisé, l’utilisateur est toujours enregistré et est autorisé à utiliser Twitter. La facilité de créer un compte sur Twitter a donné la naissance a un outil de spam. Commercialisé depuis peu, Tweettornado permet de créer autant de compte utilisateurs que vous souhaitez et permet d’ajouter un nombre illimité d’adeptes(Followers). Combiné à sa capacité à mettre à jour automatiquement tous les comptes par des faux serveurs proxy avec un message identique, cela en fait le parfait outil de spam.

Espérons que pour cette nouvelle année Twitter mise sur la sécurité.