Académique Documents
Professionnel Documents
Culture Documents
Gense
mercredi 18 mai 2011
16 juin 2010 : premier avertissement. Ngligence de ma part, je nai pas trait le mail dun internaute me signalant lexistence de ce serveur et de la fuite de donnes lie (en pleine affaire Wawa-Mania) Le mail tombe aux oubliettes sans mme que jai pu prendre la mesure de la brche Dcembre 2010 : un dveloppeur me signal que TMG est compromis, cette personne est crdible mais ne me donne pas le dtail
Un internaute me contacte le 13 mai 2011 Il me fait parvenir une archive et me donne le lien du serveur En le recherchant dans mes mails, je tombe sur le mails de juin 2010 Je constate de visu et rdige un billet sur le site reets.info Cest tellement gros que jai du mal y croire, et pourtant...
La chasse au trsor
mercredi 18 mai 2011
Lanalyse des documents permet rapidement de dduire le fonctionnement des scripts Python qui taient visibles sur le serveur Les pages HTML visibles la racine de la machine compromise lvent tout soupon sur la nature des chiers Le premier choc : elles contiennent des adresses IP locales de machines (on en dduit que ces machines se trouvent sur le rseau local de TMG)... larchitecture nous prsente donc ses petits dessous Le dossier outgoing est norme.. et tout de suite trs inquitant
Getter, poster et pinter.html constituent linterface web, elle sert gnrer des peers pour piger les utilisateurs On y trouve des IP locales et des ports logiquement ouverts : 192.168.69.4:4444;192.168.69.5:4445 On sait maintenant comment procde TMG... et plus encore
#!/bin/sh
mercredi 18 mai 2011
A la racine du serveur, le script shell prsente, lui aussi une adresse IP locale
Un point de montage NFS atteste de la prsence dun stockage partag sur le rseau local ... vous tes le maillon faible !
Le mystrieux executable
Un excutable Serveur_interface.exe (v1.0.2) dont je ne comprends pas tout de suite le fonctionnement est prsent, je dcide de commencer par lexamen des chiers .bat et de conguration Un chier de conguration contient un nom dutilisateur, un mot de passe... tout devient un peu plus clair : le logiciel crit sur une machine dans le LAN de TMG Il est temps de faire parler cet excutable, laide dune simple ligne de commande permettant dextraire des chanes de caractres
Voici la liste des faux utilisateurs, cods en dur dans le logiciel quil suft dignorer pour ne plus tre inquit par TMG :
Greta14 JoeJack Kazaa Lgthmon Mooohh is__ melon_foli XVador KarinaO Miss212 esay_temple atreides darker 463777 username default MMMMM lalayeee steevi _he_man buffonmellow easylover M57_ erik john printer poier ben_j Astorovia ISIS basemen ana3 joly88 buffon HERMO zozo56 yehman bergo90@hotmail _TRISTAN_ freeloader wearethek zartocv CocoNoo crem DAVID defaultuser dimitri DOM46diff doubledee festina Kristin Gr0und ipped ogma ralium sharky skyemarie survivor themisticman Tugor v.macis vanessa3 Kaza a_Lite zjfhefjd yben kaza karynSpace KAROL karl judith herman123 hollyday HOUND houston jaurnus mexico masterdonut Lord_Of_The_Ring llrrbbhht Frodo liza_149 ben_ben austin _gunter_ masterlord Gungun zebra2000 Kanisz estao Onisis AMDathlon rockyB atalane Tonline james-bond collegebot carrie Matrix karats Nassiber forwarded microsmMM MAMEuser LiveSession KazaaGold boris_dun reddunker macy mump ink_re Fibonacci junction hum330 iseay ophra5 Tina KingElvis jay@yahoo.se garibal KazaaUser _uploader lola88
Rcapitulons
... non a ne sent pas bon pour TMG... mais ce nest un dbut
Outgoing
mercredi 18 mai 2011
Le dossier outgoing contient des chiers html nomms par des hash qui correspondent des oeuvres Des adresses IP sont attaches ces oeuvres On trouve 1851 chiers dont les dernires mises jour sont trs rcentes (moins de 24h) Il y a des milliers dadresses IP, de tous les pays
d8:intervali1900e5:peersld2:ip14:91.189.106.1944:porti4043eed2:ip13:91.189.109.914:porti6039eed2:ip14:91.189.106.1604:porti10043eed2:i p14:91.189.106.1534:porti3043eed2:ip14:91.189.106.1224:porti12043eed2:ip13:91.189.110.164:porti6043eed2:ip13:91.189.110.214:porti110 43eed2:ip14:91.189.106.2384:porti8043eed2:ip13:91.189.110.134:porti3043eed2:ip14:91.189.106.1934:porti3043eed2:ip13:91.189.109.974:p orti12043eed2:ip14:91.189.106.1204:porti10043eed2:ip13:91.189.110.174:porti7043eed2:ip14:91.189.106.2014:porti11043eed2:ip14:91.189. 106.1234:porti13043eed2:ip13:91.189.109.924:porti7043eed2:ip14:91.189.106.1964:porti6043eed2:ip13:91.189.109.984:porti13043eed2:ip1 4:91.189.106.2004:porti10043eed2:ip13:91.189.109.964:porti11043eed2:ip14:91.189.106.2354:porti5043eed2:ip13:91.189.110.184:porti8043 eed2:ip13:91.189.110.194:porti9043eed2:ip14:91.189.106.1644:porti14043eed2:ip14:91.189.106.1624:porti12043eed2:ip14:91.189.106.1244: porti14043eed2:ip14:91.189.106.2044:porti14043eed2:ip14:91.189.106.2394:porti9043eed2:ip13:91.189.110.234:porti13043eed2:ip14:91.18 9.106.1584:porti8043eed2:ip14:91.189.106.1134:porti3043eed2:ip14:91.189.106.1634:porti13043eed2:ip14:91.189.106.2344:porti4043eed2:i p13:91.189.109.894:porti4043eed2:ip13:91.189.109.934:porti8043eed2:ip14:91.189.106.1154:porti5043eed2:ip14:91.189.106.1594:porti9043 eed2:ip13:91.189.110.154:porti5043eed2:ip14:91.189.106.1544:porti4043eed2:ip13:91.189.109.904:porti5043eed2:ip14:91.189.106.2444:por ti14043eed2:ip14:91.189.106.2434:porti13043eed2:ip14:91.189.106.1214:porti11043eed2:ip14:91.189.106.1974:porti7043eed2:ip14:91.189.1 06.2334:porti3043eed2:ip14:91.189.106.1574:porti7043eed2:ip13:91.189.110.204:porti10039eed2:ip14:91.189.106.1994:porti9043eed2:ip14: 91.189.106.2034:porti13043eed2:ip14:91.189.106.2374:porti7043eed2:ip14:91.189.106.1144:porti4043eed2:ip14:91.189.106.2424:porti1204 3eed2:ip14:91.189.106.2404:porti10043eed2:ip14:91.189.106.1194:porti9043eed2:ip13:91.189.109.884:porti3043eed2:ip13:91.189.110.224:p orti12043eed2:ip13:91.189.110.144:porti4043eed2:ip14:91.189.106.1564:porti6043eed2:ip14:91.189.106.1184:porti8043eed2:ip13:91.189.10 9.954:porti10039eed2:ip13:91.189.109.994:porti14043eed2:ip13:91.189.109.944:porti9043eed2:ip14:91.189.106.1954:porti5043eed2:ip14:91 .189.106.1614:porti11043eed2:ip14:91.189.106.2364:porti6043eed2:ip13:91.189.110.244:porti14043eed2:ip14:91.189.106.2414:porti11043ee d2:ip14:91.189.106.1554:porti5039eed2:ip14:91.189.106.1174:porti7043eed2:ip14:91.189.106.1164:porti6043eed2:ip14:91.189.106.1984:por
un protocole une adresse IP un numro de port on devine que les IP sont ensuite extraites, parses et corrles grce aux logs Apache par un script Python les donnes rendues publiques nont rien de donnes de test, elles ping, sont attribues par des FAI, il y a de vrais internautes derrire
Des machines compromises sur le LAN de TMG sont des portes dentre sur tout le LAN Tout le LAN de TMG doit tre considr comme compromis Lopacit du fonctionnement de TMG ne permet pas dvaluer les risques pour les rseaux interconnects (HADOPI et ALPA) Un certicat pour un VPN, une fois sur le LAN, a se vole
Les plages IP de TMG sont connues, ce qui est normal, un AS est public En raison de sa popularit chez les internautes, TMG est frquemment scann, on en trouve beaucoup de traces sur Pastebin.com Toujours sur Pastebin, il semble que plus de 5000 hash doeuvres se baladent On peut raisonnablement considrer que dautres machines de TMG sont exposes (pas forcment compromises, mais exposes...)
Rponse
mercredi 18 mai 2011
Couper linterconnexion est la dcision la plus sage Comprendre le fonctionnement et le rseau de TMG est indispensable pour valuer les risques de manire plus ne La scurit ce nest pas un logiciel, ni un produit mais une sommes de processus visant protger des contenus et leur contexte an de matriser larchitecture On subodore, sans tre juriste, que la loi est peut-tre, elle aussi patchable
Scuriser TMG ?
mercredi 18 mai 2011
La scurisation dune telle infrastructure est un travail de tous les jours, organisationnel et technique Un oeil extrieur est toujours bnque (ANSSI, CNIL...) La scurit par lobscurantisme choue toujours terme La transparence est donc la rgle dune bonne politique de scurit