Le PC dans mon téléphone

Précédemment, j'ai évoqué l'ordinateur de demain. J'ai fait un test grandeur nature façon corporate. Comprendre : vous aurez du mal à faire pareil chez vous. J'utilise en effet quelques artifices comme un accès VPN au réseau de mon employeur, et au travers de cet accès une machine virtuelle VMware View.
Au final, j'ai le bureau d'une machine Windows 7 affiché sur la TV du salon, j'ai un clavier et une souris bluetooth, le tout servi par mon téléphone malin, via un tunnel VPN dans une connexion WIFI. La connexion avec la machine virtuelle se fait via le client officiel View, de VMware (donc en PCoIP).

Windows dans ma TV sur mon téléphone

Ci dessus une photo de la TV affichant le bureau de la VM dans laquelle est lancé le client VSphere (outil d'administration de datacenter VMware).

À 2m50, le texte dans l'interface n'est pas hyper lisible sur l"écran 80cm, donc pour le PC dans le canapé, on repassera, ou alors on fera des réglages spéciaux sur la machine virtuelle.

Le client View se comporte relativement bien, néanmoins, il y a comme un petit souci avec le clavier. Ce dernier fonctionne parfaitement en azerty partout, sauf à l'intérieur du Windows, où il fonctionne en qwerty. Le client View dispose d'un champs de saisie qui permet de taper du texte à l'extérieur de la VM et de l'envoyer ensuite vers cette dernière. À cet endroit, c'est bien de l'azerty. Mais le même texte tapé directement dans la VM passe en qwerty. C'est peut être du à mon téléphone, qui est paramétré tout en anglais.

Aussi, suite à un blocage logiciel sur ma VM, j'ai tenté un ctrl-alt-suppr via mon clavier bluetooth. Le programme n'a pas rendu la main, la VM n'a pas rebooté. Non. C'est le téléphone qui a rebooté. Ça m'a fait rire.

Collecte en aveugle

Elle est belle celle-là :

213.61.149.100 […20:00:26 +0100] "GET / HTTP/1.0" 301 235 
213.61.149.100 […20:00:27 +0100] "GET /blog/ HTTP/1.0" 200 63772 
213.61.149.100 […20:00:28 +0100] "GET /www.patpro.net.tar.gz HTTP/1.0" 404 493 
213.61.149.100 […20:00:28 +0100] "GET /www.patpro.net.tgz HTTP/1.0" 404 493 
213.61.149.100 […20:00:29 +0100] "GET /www.patpro.net.zip HTTP/1.0" 404 493 
213.61.149.100 […20:00:29 +0100] "GET /www.patpro.net.sql HTTP/1.0" 404 493 
213.61.149.100 […20:00:30 +0100] "GET /patpro.tar.gz HTTP/1.0" 404 493 
213.61.149.100 […20:00:30 +0100] "GET /patpro.tgz HTTP/1.0" 404 493 
213.61.149.100 […20:00:31 +0100] "GET /patpro.zip HTTP/1.0" 404 493 
213.61.149.100 […20:00:31 +0100] "GET /patpro.sql HTTP/1.0" 404 493 

Et particulièrement astucieuse, je suis persuadé qu'elle permet de ramasser des tonnes de trucs très intéressants.

On s’amuse avec IPMI

AOC-IPMI20-E-copyright-supermicroJ'ai passé un week end plutôt divertissant en compagnie d'IPMI. Tout a commencé avec la lecture d'un article édifiant sur arstechnica.com présentant IPMI comme un parasite, une sangsue.
J'ai toujours su instinctivement que l'IPMI pouvait, quelque part, poser un souci en terme de sécurité. Mais jamais je n'aurai imaginé que la situation fût aussi dramatique.
Les failles sont à tous les niveaux, tant dans le protocole IPMI, que dans les implémentations semi-propriétaires des fabricants. Elles sont dans les logiciels utilisés, elles sont dans le verrouillage que les fabricants imposent aux BMC, les rendant impossible à auditer, etc. Sysadmin de tout poil, je vous invite fortement à lire l'article d'Ars, et les proses de Dan Farmer et HD Moore.

Bref, j'ai tout lu, et disposant d'exemplaires HP et SuperMicro, j'ai tenté moi-même d'exploiter les failles décrites. Je ne rentre pas dans les détails, tout est déjà très bien expliqué dans la littérature sus-mentionnée. Par contre je vais donner quelques pistes pour l'installation des outils sous FreeBSD.

ipmitool, l'outil de base doit être installé avec FreeIPMI, sinon les manipulations permettant d'exploiter les BMC vulnérables ne fonctionneront pas. Sous FreebSD on peut simplement utiliser les ports :

# cd /usr/ports/sysutils/ipmitool
# make install clean
On active l'option "FREEIPMI" dans la configuration, et c'est parti.

On active l'option "FREEIPMI" dans la configuration, et c'est parti.

Ensuite il est possible d'installer metasploit, outils puissant et complexe. Pour gagner du temps, et si vous ne souhaitez pas approfondir l'usage de ce logiciel, vous pouvez décocher l'option "DB" au moment de l'installation du port :

# cd /usr/ports/security/metasploit
# make install clean

Si vous souhaitez jouer un peu avec les outils et scripts développés par Dan Farmer, vous devrez installer en plus le module perl CaptureOutput.pm, nécessaire au fonctionnement de rak-the-ripper.pl :

# cd /usr/ports/devel/p5-IO-CaptureOutput
# make install clean

Si vous avez en plus une machine disposant d'une BMC qui tourne sur FreeBSD, voici ce qu'il faut faire pour accéder à ce contrôleur parasite via ipmitool :

# kldload ipmi

Cela charge le module ipmi, si ce n'est déjà fait. Vous aurez quelque chose de ce style dans la sortie de dmesg -a :

ipmi0: <IPMI System Interface> port 0xca2,0xca3 on acpi0
ipmi0: KCS mode found at io 0xca2 on acpi
ipmi0: IPMI device rev. 1, firmware rev. 2.35, version 2.0
ipmi0: Number of channels 2
ipmi0: Attached watchdog
ipmi1: <IPMI System Interface> on isa0
device_attach: ipmi1 attach returned 16

Et vous pourrez ensuite vous livrer à toutes sortes d'expériences en local (donc une fois de plus sans authentification…).
La prudence veut que vous désactiviez immédiatement ce module ensuite :

# kldunload ipmi

même si, ne nous voilons pas la face, ça retarderait juste de quelques dizaines de secondes un éventuel attaquant.

Mettez bien à jour le firmware de vos BMC. Et quand je dis bien à jour, c'est très sérieux, puisque des firmwares récents chez HP (juin) ne corrigent pas l'énorme faille du Cipher-0. Il faut utiliser le firmware 1.60 publié fin juillet pour avoir une chance de corriger cette faille de sécurité.

Message personnel à Mme Filippetti

Bonjour Madame Filippetti,

Votre entrevue récente avec Libération m'interpelle. Vous y déclarez ceci :

Vous avez aujourd’hui des outils qui permettent d’accéder à de la musique, du cinéma, des contenus audiovisuels, mais qui ne participent pas du tout au financement de la création. Ce n’est pas normal.

Allez-vous taxer les lunettes, lentilles correctrices, et appareils auditifs ? En toute logique, nous sommes nombreux à ne "consommer" de la culture qu'au travers de ce type d'appareil, il serait donc judicieux de les taxer rapidement.

On n'est pas loin du monde idéal rêvé par les gros portefeuilles de l'entertainment : un monde où la simple possibilité d'accéder à du contenu devient payante, qu'on y accède ou pas. Ça évite d'avoir à courtiser les clients avec des contenus de qualité, bien trop compliqués et coûteux à produire. Il vaut mieux comme toujours prendre un peu à tout le monde que beaucoup à une minorité.

Bref, raz le bol quoi.

Pas tous égaux devant le spam

Là où je travaille, une partie de la population ne reçoit pas de spam, ou presque. L'autre partie reçoit une grosse quantité de spam. La raison est simple : les utilisateurs du second groupe ont leur adresse email publiée sur le portail web de l'université.
Alors bien sûr, c'est une évidence. On le sait tous depuis longtemps : une adresse email publiée sur un site web devient immanquablement, et en l'espace de quelques jours, une cible privilégiée pour le spam. Oui, on le sait. Mais est-ce qu'on le mesure ?
Comme mes serveurs MX brassent des millions de messages par mois, je peux faire des statistiques assez simplement (moyennant de longues heures de traitement sur des giga octets de logs). J'ai donc compté le spam visant les deux groupes, ainsi que les volumes de phishing relevés lors de 4 "attaques" facilement traçables. Le constat est sans équivoque :

Une adresse email publiée sur le portail web de l'université reçoit 31,2 fois plus de spam qu'une adresse non publiée.

Une adresse email publiée sur le portail web de l'université a 59 fois plus de risque d'être la cible d'un phishing qu'une adresse non publiée.

À bon entendeur...

To data, or not to data

On me glisse à l'oreille qu'un téléphone malin sans forfait "data" c'est un peu comme un pantalon sans poche : un truc de fille. Ce à quoi je réponds sans ambages et avec les mots d'un autre : j'aime les filles.
Je n'adhère pas au principe de consommation des smartphones qui lave les cervelles à coup de faux illimité vraiment limité, de forfaits à 50 euros qui servent juste à regarder des chats sur youtube, et qui encourage la débauche d'appli au dépend immédiat de la sécurité de l'utilisateur. Globalement, je suis devant ou à proximité d'un ordinateur connecté à internet environ 16 heures par jour, pendant environ 6 heures je dors, il me reste donc 2 heures "loin" d'internet. 2 heures pendant les quelles je me déplace, je mange, je me douche, etc.
Alors à quoi me servirait un forfait data ? Relever mes mails dans le tramway, au lieu de savourer un bon bouquin ? Non merci. A fortiori puisque je m'en passe depuis que ça existe et que je ne suis pas pressé d'ajouter une dépendance à ma liste. J'ai pris le minimum avec mon forfait à zéro euros : l'option data à 1 euro pour 20 Mo de données. Autant dire que ça se consume comme un feu de paille. En désactivant la fonction de consommation data de mon téléphone, je me garde une petite réserve sous le coude pour les urgences, et c'est tout ce dont j'ai besoin.

Pas malin

Voilà, je viens de donner un accès illimité à mes données personnelles, mes contacts, mes photos, mes sms, mon historique de navigation, et j'en passe, à une entreprise américaine qui n'a pas grand respect pour la vie privée et dont les pratiques me répugnent presque autant que celles de Facebook. Je suis géolocalisable une bonne partie du temps, j'ai autorisé des logiciels à accéder et modifier mes données de manière non documentée. J'ai mis pas mal d'argent dans un appareil moderne qui consomme tellement qu'il a autant d'autonomie qu'un modèle de 10 ans d'âge avec sa batterie d'origine, en prime je tue des ours polaires parce qu'il n'est pas démontable (sans doute pas réparable) et que la batterie n'est pas remplaçable par l'utilisateur. Il n'est pas extensible et sera sans doute périmé dans moins de 3 ans. Son client mail par défaut ne sait pas faire de l'authentification CRAM-MD5, et bien sûr je ne peux rien synchroniser directement à partir de mon ordinateur, tout doit être stocké sur et transféré via des serveurs américains.
Bref, j'ai un Google Nexus 4.