TMG

Analyse de la fuite de donnes et valuation des risques

mercredi 18 mai 2011

Gense

mercredi 18 mai 2011

16 juin 2010 : premier avertissement. Ngligence de ma part, je nai pas trait le mail dun internaute me signalant lexistence de ce serveur et de la fuite de donnes lie (en pleine affaire Wawa-Mania) Le mail tombe aux oubliettes sans mme que jai pu prendre la mesure de la brche Dcembre 2010 : un dveloppeur me signal que TMG est compromis, cette personne est crdible mais ne me donne pas le dtail

Dcouverte de(s) faille(s)

mercredi 18 mai 2011

Un internaute me contacte le 13 mai 2011 Il me fait parvenir une archive et me donne le lien du serveur En le recherchant dans mes mails, je tombe sur le mails de juin 2010 Je constate de visu et rdige un billet sur le site reets.info Cest tellement gros que jai du mal y croire, et pourtant...

Le contenu du (premier) serveur

3 dossiers dont un contenant un excutable Des documents HTML Un shell script Une premiere intuition vident : tout ceci nest pas bien normal

mercredi 18 mai 2011

La chasse au trsor

mercredi 18 mai 2011

Lanalyse des documents permet rapidement de dduire le fonctionnement des scripts Python qui taient visibles sur le serveur Les pages HTML visibles la racine de la machine compromise lvent tout soupon sur la nature des chiers Le premier choc : elles contiennent des adresses IP locales de machines (on en dduit que ces machines se trouvent sur le rseau local de TMG)... larchitecture nous prsente donc ses petits dessous Le dossier outgoing est norme.. et tout de suite trs inquitant

Analyse des documents

mercredi 18 mai 2011

Getter, poster et pinter.html constituent linterface web, elle sert gnrer des peers pour piger les utilisateurs On y trouve des IP locales et des ports logiquement ouverts : 192.168.69.4:4444;192.168.69.5:4445 On sait maintenant comment procde TMG... et plus encore

#!/bin/sh

mercredi 18 mai 2011

A la racine du serveur, le script shell prsente, lui aussi une adresse IP locale

Un point de montage NFS atteste de la prsence dun stockage partag sur le rseau local ... vous tes le maillon faible !

Le mystrieux executable

Un excutable Serveur_interface.exe (v1.0.2) dont je ne comprends pas tout de suite le fonctionnement est prsent, je dcide de commencer par lexamen des chiers .bat et de conguration Un chier de conguration contient un nom dutilisateur, un mot de passe... tout devient un peu plus clair : le logiciel crit sur une machine dans le LAN de TMG Il est temps de faire parler cet excutable, laide dune simple ligne de commande permettant dextraire des chanes de caractres

mercredi 18 mai 2011

Les faux utilisateurs

Voici la liste des faux utilisateurs, cods en dur dans le logiciel quil suft dignorer pour ne plus tre inquit par TMG :
Greta14 JoeJack Kazaa Lgthmon Mooohh is__ melon_foli XVador KarinaO Miss212 esay_temple atreides darker 463777 username default MMMMM lalayeee steevi _he_man buffonmellow easylover M57_ erik john printer poier ben_j Astorovia ISIS basemen ana3 joly88 buffon HERMO zozo56 yehman bergo90@hotmail _TRISTAN_ freeloader wearethek zartocv CocoNoo crem DAVID defaultuser dimitri DOM46diff doubledee festina Kristin Gr0und ipped ogma ralium sharky skyemarie survivor themisticman Tugor v.macis vanessa3 Kaza a_Lite zjfhefjd yben kaza karynSpace KAROL karl judith herman123 hollyday HOUND houston jaurnus mexico masterdonut Lord_Of_The_Ring llrrbbhht Frodo liza_149 ben_ben austin _gunter_ masterlord Gungun zebra2000 Kanisz estao Onisis AMDathlon rockyB atalane Tonline james-bond collegebot carrie Matrix karats Nassiber forwarded microsmMM MAMEuser LiveSession KazaaGold boris_dun reddunker macy mump ink_re Fibonacci junction hum330 iseay ophra5 Tina KingElvis jay@yahoo.se garibal KazaaUser _uploader lola88

mercredi 18 mai 2011

Pour changer cette liste, il faut recompiler le logiciel

Rcapitulons

... non a ne sent pas bon pour TMG... mais ce nest un dbut

mercredi 18 mai 2011

Outgoing

Dans ce dossier, on trouve 3 types de chiers

mercredi 18 mai 2011

hash_publish hash_conected_peer hash_pex

Des donnes personnelles

mercredi 18 mai 2011

Le dossier outgoing contient des chiers html nomms par des hash qui correspondent des oeuvres Des adresses IP sont attaches ces oeuvres On trouve 1851 chiers dont les dernires mises jour sont trs rcentes (moins de 24h) Il y a des milliers dadresses IP, de tous les pays

Formatage des chiers hash_publish

d8:intervali1900e5:peersld2:ip14:91.189.106.1944:porti4043eed2:ip13:91.189.109.914:porti6039eed2:ip14:91.189.106.1604:porti10043eed2:i p14:91.189.106.1534:porti3043eed2:ip14:91.189.106.1224:porti12043eed2:ip13:91.189.110.164:porti6043eed2:ip13:91.189.110.214:porti110 43eed2:ip14:91.189.106.2384:porti8043eed2:ip13:91.189.110.134:porti3043eed2:ip14:91.189.106.1934:porti3043eed2:ip13:91.189.109.974:p orti12043eed2:ip14:91.189.106.1204:porti10043eed2:ip13:91.189.110.174:porti7043eed2:ip14:91.189.106.2014:porti11043eed2:ip14:91.189. 106.1234:porti13043eed2:ip13:91.189.109.924:porti7043eed2:ip14:91.189.106.1964:porti6043eed2:ip13:91.189.109.984:porti13043eed2:ip1 4:91.189.106.2004:porti10043eed2:ip13:91.189.109.964:porti11043eed2:ip14:91.189.106.2354:porti5043eed2:ip13:91.189.110.184:porti8043 eed2:ip13:91.189.110.194:porti9043eed2:ip14:91.189.106.1644:porti14043eed2:ip14:91.189.106.1624:porti12043eed2:ip14:91.189.106.1244: porti14043eed2:ip14:91.189.106.2044:porti14043eed2:ip14:91.189.106.2394:porti9043eed2:ip13:91.189.110.234:porti13043eed2:ip14:91.18 9.106.1584:porti8043eed2:ip14:91.189.106.1134:porti3043eed2:ip14:91.189.106.1634:porti13043eed2:ip14:91.189.106.2344:porti4043eed2:i p13:91.189.109.894:porti4043eed2:ip13:91.189.109.934:porti8043eed2:ip14:91.189.106.1154:porti5043eed2:ip14:91.189.106.1594:porti9043 eed2:ip13:91.189.110.154:porti5043eed2:ip14:91.189.106.1544:porti4043eed2:ip13:91.189.109.904:porti5043eed2:ip14:91.189.106.2444:por ti14043eed2:ip14:91.189.106.2434:porti13043eed2:ip14:91.189.106.1214:porti11043eed2:ip14:91.189.106.1974:porti7043eed2:ip14:91.189.1 06.2334:porti3043eed2:ip14:91.189.106.1574:porti7043eed2:ip13:91.189.110.204:porti10039eed2:ip14:91.189.106.1994:porti9043eed2:ip14: 91.189.106.2034:porti13043eed2:ip14:91.189.106.2374:porti7043eed2:ip14:91.189.106.1144:porti4043eed2:ip14:91.189.106.2424:porti1204 3eed2:ip14:91.189.106.2404:porti10043eed2:ip14:91.189.106.1194:porti9043eed2:ip13:91.189.109.884:porti3043eed2:ip13:91.189.110.224:p orti12043eed2:ip13:91.189.110.144:porti4043eed2:ip14:91.189.106.1564:porti6043eed2:ip14:91.189.106.1184:porti8043eed2:ip13:91.189.10 9.954:porti10039eed2:ip13:91.189.109.994:porti14043eed2:ip13:91.189.109.944:porti9043eed2:ip14:91.189.106.1954:porti5043eed2:ip14:91 .189.106.1614:porti11043eed2:ip14:91.189.106.2364:porti6043eed2:ip13:91.189.110.244:porti14043eed2:ip14:91.189.106.2414:porti11043ee d2:ip14:91.189.106.1554:porti5039eed2:ip14:91.189.106.1174:porti7043eed2:ip14:91.189.106.1164:porti6043eed2:ip14:91.189.106.1984:por

mercredi 18 mai 2011

Des donnes personnelles... de test ?

mercredi 18 mai 2011

un protocole une adresse IP un numro de port on devine que les IP sont ensuite extraites, parses et corrles grce aux logs Apache par un script Python les donnes rendues publiques nont rien de donnes de test, elles ping, sont attribues par des FAI, il y a de vrais internautes derrire

Evaluation des risques

mercredi 18 mai 2011

Des machines compromises sur le LAN de TMG sont des portes dentre sur tout le LAN Tout le LAN de TMG doit tre considr comme compromis Lopacit du fonctionnement de TMG ne permet pas dvaluer les risques pour les rseaux interconnects (HADOPI et ALPA) Un certicat pour un VPN, une fois sur le LAN, a se vole

Dautres fuites possible

mercredi 18 mai 2011

Les plages IP de TMG sont connues, ce qui est normal, un AS est public En raison de sa popularit chez les internautes, TMG est frquemment scann, on en trouve beaucoup de traces sur Pastebin.com Toujours sur Pastebin, il semble que plus de 5000 hash doeuvres se baladent On peut raisonnablement considrer que dautres machines de TMG sont exposes (pas forcment compromises, mais exposes...)

Rponse

mercredi 18 mai 2011

Couper linterconnexion est la dcision la plus sage Comprendre le fonctionnement et le rseau de TMG est indispensable pour valuer les risques de manire plus ne La scurit ce nest pas un logiciel, ni un produit mais une sommes de processus visant protger des contenus et leur contexte an de matriser larchitecture On subodore, sans tre juriste, que la loi est peut-tre, elle aussi patchable

Scuriser TMG ?

mercredi 18 mai 2011

La scurisation dune telle infrastructure est un travail de tous les jours, organisationnel et technique Un oeil extrieur est toujours bnque (ANSSI, CNIL...) La scurit par lobscurantisme choue toujours terme La transparence est donc la rgle dune bonne politique de scurit