compte-rendu d'un pot de miel avec OpenBSD 3.0

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
15
juil.
2002
OpenBSD
Un compte-rendu et l'analyse d'une mise en place d'un pot de miel (honeypot) avec OpenBSD 3.0 vient d'etre publié. L'auteur l'a rédigé en une trentaine d'heure et a laissé ouverte la porte qui permet d'exploiter "la seule faille distante découverte en 6 ans" d'OpenBSD.
Un jeune pirate s'est retrouvé "collé" dedans comme l'indique le rapport. Mais là où cela se complique, c'est que l'anonymat du pirate a été très mal conservé dans le rapport (notamment à cause de captures d'écran maladroites).
La nouvelle a été commentée sur /. et les contributeurs se sont fait une joie de divulguer nom, prénom, photos, addresse (avec plan et photos de la maison), numéro de téléphone, contacts ICQ/AIM, addresses emails, posts sur alt.hacking du dénommé omegakidd. Quelqu'un lui a même téléphoné pour lui demander s'il était bien au courant d'être le "crétin le plus connu de slashdot".
En effet, on se demande qui cela peut bien être...

Aller plus loin

  • # Lien cassé ?

    Posté par  . Évalué à 10.

    Juste pour info, il me semble que le premier lien ne fonctionne pas (en tout cas à cette heure tardive), j'obtiens "the page cannot be found". Même chose en passant par /.
    Voilà, par contre je n'ai pas réussi à trouver l'url qui marche...

  • # arf

    Posté par  (site web personnel) . Évalué à 10.

    Le rapport commence par un bon vieux troll de compétition :

    Most honeypots out there tend to be Redhat Linux as it's has the worst record for security out of pretty much every OS out there, and so it makes for a good honeypot since the goal is to get hacked.

    • [^] # Re: arf

      Posté par  . Évalué à 10.

      Si apache a un trou de sécurité, openBSD a un trou de sécurite, si sendmail, si named, si squid, si ssh, si proftpd, si ...

      Si cet abruti d'admistrateur ne met pas à jour régulièrement, si apache est mal configuré (surtout php !) etc, etc, etc, ...

      OpenBSD, même si c'est un noyau très sûre et même plus sûre que linux, une fois qu'il est fonctionnel (avec apache, etc...) et maintenu par un admin qui est obligé de dire oui à un mec qui veut une connection telnet est un système guère plus secure que n'importe quelle machine Unix.

      • [^] # Re: arf

        Posté par  (site web personnel) . Évalué à 10.

        Je vais rentrer dans le troll je sais mais j'avais oui dire que lors de la découverte de la faille apache l'exploit posté sur bugtraq permettait g'obtenir le root en exploitant une faille locale sur le noyeau qui trainait depuis un bout de temps (mais pas corrigée avec beaucoup d'entrain car pas distante) donc "noyeau tres sur, plus sur que", tout est relatif.

        • [^] # Re: arf

          Posté par  . Évalué à 10.

          L'exploit permettait d'obtenir shell avec l'user nobody mais pas directement en root.

        • [^] # Re: arf

          Posté par  . Évalué à 10.

          Ce que je voulais dire c'est que l'on parle beaucoup de problèmes de sécurité des noyaux alors qu'il y a plein, plein de trou de sécurité hors noyau.

          Exemple très con et très courrant :
          Sur linuxfr, on peut se logger. C'est à dire que l'on rentre un compte et un mot de passe et on donne des commantaires à notre propre nom.

          Sur linuxfr quand tu te loggue, ben le user et le mot de passe circule en claire alors qu'il y a des systèmes simple (cf phplib) pour crypté le mot de passe.

          Horreur, un trou de sécurité sur linuxfr.

          Perso, je m'en branle.

          • [^] # Re: arf

            Posté par  . Évalué à 10.

            Encore un exemple à la con sur linuxfr.
            Le compte ET le mot de passe en envoyer par mail en claire. Un utilisateur mal intentionné peut facilement récupérer tout les user/password du réseau local (suffit de "greper" sur "Da Linux French Page: Mot de Passe").

          • [^] # Re: arf

            Posté par  (site web personnel) . Évalué à 7.

            C'est quoi le système de PHPLib pour les mots de passe ? Parce que moi je connais le cryptage du passe côté serveur (pour pas le stocker en clair dans la base de données), mais côté client je vois pas. Tu cryptes en Javascript ?

            • [^] # Re: arf

              Posté par  . Évalué à 10.

              > Parce que moi je connais le cryptage du passe

              Pas moi.

              > C'est quoi le système de PHPLib pour les mots de passe ?

              Selon mes souvenir :
              1 - le serveur à les mots de passe stockés en crypté (md5 je crois).
              2 - le serveur fixe un identifiant (un numéros de session).
              3 - il crée un code aléatoire et l'envoi au client avec l'identifiant.
              4 - le client (avec du javascript) crypte le mot de passe tapé comme le fait le serveur avant de stocker les mots de passes. Puis le client créé un code basé sur le mot de passe, qu'il vient de crypter, et sur le code que lui a envoyé le serveur.
              5 - le client retourne le user, le code nouvellement calculé et son identifiant.
              6 - le serveur, en se basant sur l'identifiant, récupère le code qu'il a envoyé au client.
              7 - le serveur récupère le vrai mot de passe (crypté md5) et fait le meme "calcul" que le client (mais avec le vrai mot de passe).
              8 - le serveur compare son calcul avec celui du client. Si çà correspond, le "gus" est authentifié.

              • [^] # Re: arf

                Posté par  . Évalué à 10.

                Petite précision. A chaque nouvelle connection, le serveur génère un nouveau code.

                Le système n'est pas parfait mais il permet de complique la vie des crackers et sourtout le cracker aura du mal a "remonter" au mot de passe tapé (surtout pour ceux qui utilise le même mot de passe partout).

              • [^] # Re: arf

                Posté par  (site web personnel) . Évalué à 7.

                Ok, compris. C pas bête, c'est clair que c'est plus compliqué pour celui qui écoute bêtement le réseau.

              • [^] # Re: arf

                Posté par  (site web personnel) . Évalué à 2.

                Ne me revendiquant franchement pas un pro de la sécurisation d'applis web... je me demande si ce système, qui semble pas super super simple à mettre en place, surtout côté gnagnascript sur le client, simplement pas être substitué par une connexion sécurisée en HTTPS ?!? C'est vrai que c'est un poil plus lourd, mais bon, en faisant un mécanisme à la con de redirection des pages de HTTPS (presque vides) en HTTP (rendu graphique), juste au moment du log ne peut pas être une solution plus simple ?!? Surtout si on ne souhaite pas se compliquer la tête avec du script client pas toujours supporté de la même manière selon les navigateurs, leur version, etc...

  • # que ca serve d'exemple

    Posté par  . Évalué à 10.

    y'en a qui le plaignent, moi pas: il a voulus jouer a warlordz avec des scripts kiddies et il a perdu... dommage pour lui mais la selection naturel fonctionne aussi sur internet :)

    • [^] # Re: que ca serve d'exemple

      Posté par  . Évalué à 10.

      Ah oui ça doit être ça la tolérance zéro...
      On pourrait proposer que dès que quelqu'un fait une connerie, on met ses coordonées avec des photos partout sur le net, comme ça les gens pourraient se défouler en l'appelant/en inondant sa bal (ses messageries) ...

      Ou alors on décide qu'il a fait une connerie, certes, mais que ça mérite peut-être pas les 2 ou 3 coups de fil par heure qu'il a reçu pendant 2 jours...
      Parce qu'à un moment, ça doit être saoûlant toutes ces preuves d'amour par téléphone/mail.

      Je trouve ce post un peu honteux en fait.

      • [^] # Re: que ca serve d'exemple

        Posté par  . Évalué à 3.

        je vois pas pourquoi c'est honteux, ok il en a peut etre bavé et il a payé pour les autres mais ce genre de cretin est une vrai plaie pour internet.
        domage pour lui mais si il peut servir d'exemple pour en faire reflechir, et un peut resonsabiliser, certain boulets qui se font fremir les gonades en pensant faire du piratage avec ca ben ca sera pas mal

        • [^] # Re: que ca serve d'exemple

          Posté par  . Évalué à 10.

          L'éducation par l'exemple répréssif... Mouais, ça peut peut être marcher.
          On n'a qu'a tenter le coup. Pour chaque délit "classique" (vol de bonbons, méchante utilisation de scripts, ...) on choppe un coupable et hop ! Une bonne gross peine bien exemplaire.
          Quand on pense qu'ils sont en train de se faire chier à pondre une loi "justice" monstrueuse, injuste et inégalitaire pour rien ... Ici, sur DLFP, on a des méthodes bien plus efficaces que vos lois toutes pourries !!

          "domage pour lui mais si il peut servir d'exemple pour en faire reflechir"
          Encore une fois ... MONSTRUEUX. C'est un peu choquant non comme phrase ? tu l'as relue avant de poster ?
          Et puis diffuser les coordonées de quelqu'un sur le net, et se foutre complètement de sa vie privée, c'est quoi comme méthodes ??
          C'est un sujet qui est revenu un peu souvent ici ces derniers temps je crois, et en général, tout le monde est d'accord pour dire que ce sont des méthodes honteuses ... et fascistes. (godwin, pas godwin, rab)

          Pour finir, j'ajouterai que la plupart des "intellectuels slashdotiens" qui se sont jetés sur l'aubaine ont du être bien heureux de pas se faire chopper à sa place...

      • [^] # pas besoin de faire la morale

        Posté par  . Évalué à -1.

        Il ajoué avec le feu et il s'est gentiment brulé les doigts.
        tant pis pour lui.
        c'est quoi votre proverbe : "tel est pris qui croyait prendre" ?

        La question c'est pas de savoir si on a le droit de l'embêter ou pas :il a lui-même donné les moyens de le faire et c'est ce que lui-même voulait faire !

        Quand j'étais gosse et que je faisais une connerie ou que je répondai des conneries en classe, il se passait deux choses :
        1/ mes parents me faisaitent la morale (me privaient de sortie, me laissant seul dans la chambre avec mon cher Apple II!!!),
        2/ mes 'copains' de classe se moquaient de moi (et moi des autres quand c'est eux qui se plantaient, bien entendu).

        Je peux t'assurer que ce dont je me souviens aujourd'hui c'est pas des leçons de morale de mes parents, mais bien des rires et des moqueries des 'copains' de classe. Et que c'est ça qui m'a le plus "poussé" à "apprendre" ou à m'améliorer...

        David.

    • [^] # Re: que ca serve d'exemple

      Posté par  . Évalué à 3.

      Ah le darwinisme détourné à toutes les sauces et de la façon la plus idiote... On peut malheureusement gagner des tas de points Godwin rigoureusement historiques avec (il faut un dessin ?).

    • [^] # Re: que ca serve d'exemple

      Posté par  . Évalué à 2.

      Personne ne t'oblige à le plaindre, mais ils se prennent pour qui ces mecs de slashdot à vouloir faire la justice ? Le pauvre gars, qui a franchement pas l'air d'être un criminel, et qui s'est déjà fait niquer par un pot de miel, on veut lui en faire baver pour je ne sais quelles obscures raisons.

      Si le but de tous ces crétins c'est de se venger de leur incompétence, je ne trouve pas qu'ils soient plus malin.


      Etienne

  • # Attention à la législation française

    Posté par  . Évalué à 10.

    Je le signale simplement pour votre culture personnelle et parce que ça a un rapport avec le sujet actuel:

    En France (désolé pour les francophones non français qui nous lisent), l'usage du pot de miel est strictement interdit. Ils sont assimilés à une incitation à enfeindre la loi, et dans le cas présent, le pirate pourrait porter plainte contre les personnes qui l'ont installé.

    Oui, je sais, la loi française est un peu 'déroutante'...

    • [^] # Re: Attention à la législation française

      Posté par  . Évalué à 10.

      Et les pot de miels involontaires ?
      genre les sites dénoncés sur kitetoa ?

      • [^] # Re: Attention à la législation française

        Posté par  . Évalué à 10.

        Si on en juge d'après le procès Kitetoa//Tati il est parfaitement admis de découvrir une faille sur un site de voir jusqu'ou elle va (dans la limite d'utilisation d'outils conventionels comme un navigateur quand on est sur un site web) et de prevenir les admins.
        Par contre il est vachement moins bien toléré d'exploiter ces failles, de prévenir qui que ce soit d'autre que l'admin, ou de revenir voir sur le site de temps en temps si la faille est toujours présente.

        Par contre si vous vous faites pincer par l'admin (il y en a encore certains qui lisent leur logs) en train de visionner des données privées, là vous risquez gros. Vous prenez dans la gueule un procès pour intrusion à coup sur, et vous en risquez un autre pour "tentative de destruction de données privées" (pas sur des termes) ce qui est passible des mêmes peines que la destruction effectives des données. Et là je vous souhaite clairement bonne chance pour prouver vos bonnes intentions au départ.

        kha

      • [^] # Et les pots de nutella ;-)

        Posté par  . Évalué à -7.

        Que dit la loi sur ne nutella ? ;-)

        ... et -1 pour ma poire (car tout nul).

    • [^] # Re: Attention à la législation française

      Posté par  . Évalué à 10.

      T'aurais pas une URL ou une source à nous citer?

    • [^] # Re: Attention à la législation française

      Posté par  . Évalué à 9.

      En France, l'usage des Ferrari et Porsche est strictement interdit. Ces voitures sont des incitations à enfreindre le code de la route, et le contrevenant peut porter plainte contre le constructeur....

      (Désolé, j'ai pas pu me retenir.)

    • [^] # Re: Attention à la législation française

      Posté par  . Évalué à 10.

      C'est un peu bizarre ton affirmation. Cela voudrait dire que je n'ai pas le droit de laisser un trou de sécurité volontairement pour détecter un éventuel badaud malveillant et ensuite surveiller son activité. Hors à ma connaissance, c'est une pratique courant parmis les bons admins (même en france).

      Je crois que la loi française empêche de lancer des poursuites judiciaires suite à l'usage d'un pot de miel. Elle n'interdit pas le pot de miel en lui-même, seulement l'utilisation en tant que preuve d'une intention malhonnete.
      Ce qui est tout différent.

      Un avocat dans le coin ?

      • [^] # Re: Attention à la législation française

        Posté par  . Évalué à 2.

        Je n'ai peut-être pas été très clair dans mon premier message en fait, ce que tu dis est exacte : "la loi française empêche de lancer des poursuites judiciaires suite à l'usage d'un pot de miel";

        donc si vous installez un pot de miel pour porter plainte contre un nabot qui vient titiller vos serveurs en permanence, alors il peut porter plainte contre vous.

        On peut bien sur installer un pot de miel dans un but purement éducatif, mais attention si le pirate rebondi sur votre pot de miel pour attaquer une autre machine.

        Cette législation, initialement, n'a aucun rapport avec l'informatique. On n'a pas le droit d'installer des liasses de billets dans sa voiture dans le but de pincer un voleur. Par extension, on n'a pas le droit d'installer un trou de sécurité dans le but de coincer un pirate.

        • [^] # Re: Attention à la législation française

          Posté par  . Évalué à 5.

          > donc si vous installez un pot de miel pour porter plainte contre un nabot qui vient titiller vos serveurs en permanence, alors il peut porter plainte contre vous.

          exactement. Il y a longtemps j'ai entendu une histoire : des gens en avaient marre de voir le residence secondaire cambriolee tout le temps. Alors ils l'ont baricadee. En particulier ils ont mis une grille a mis chemin dans la cheminee. Et ce qui devait arriver arriva : un cambrioleur passa par la cheminee et tomba sur la grille. Comme il avait prevu de ressortir par une porte ou une fenetre, il n'avait rien pour remonter et se retrouva coincé. On a retrouve son cadavre des mois plus tard. Les proprios urent beaucoup d'ennuis avec la justice pour avoir mis ce "piege"... ils auraient du metre la grille tout en haut mais c'etait evidement bcp plus difficile et plus cher que de la mettre tout en bas...

          Sans etre aussi sinistre , un piege par pot de miel peut "punir" l'agresseur de facon disproportionnee par raport a ce qu'il a fait comme le montre cette news. De tte facon "Etat de Droit" ca veut dire on se protege mais on ne fait pas justice sois meme.

  • # detect early, update often.

    Posté par  (site web personnel) . Évalué à 10.

    Tout programme suffisamment compliqué => bug (conception, ou implémentation).
    Tout les bugs ne sont pas des trous de sécurité, mais tout les trous de sécurité s'appuient sur des bugs.

    Toutes corrections de bugs => code pour les comprendre/corriger.
    Donc, arrive en même temps les correction et les scripts pour kiddies.

    Donc, il n'exsite qu'une seule solution tant que les hommes feront des erreurs : se tenir au courant des bugs souvent, et remettre à jour aussi souvent.

    Par contre le probème est que les distributions à la RH/mandrake/suse ont plusieurs versions incompatibles entre elles (RH 5 vs RH 6 vs RH 7), et que les mecs ont déjà du mal à mettre à jour les paquets pour une distro, alors pour 3 versions de distros c'est pas toujours possible. En conséquence, il faut réinstaller sa RH pour raison de sécurité dès qu'une version majeure sort. De plus ils ont tellement de différences entre distros que les efforts de corrections de bugs sont dupliqués inutilement.

    Après tu m'étonnes qu'aucune RH-like soit capable d'avoir un uptime de 1 an, au rhytme ou ils sortent de nouvelles versions... C'est un peu comme du windows.

    • [^] # Re: detect early, update often.

      Posté par  . Évalué à 3.

      > tout les trous de sécurité s'appuient sur des bugs.

      Bien sûr... la plupart des trous de sécus s'appuient sur une utilisation détournée d'une ressource d'une manière que l'auteur n'avait pas prévue ou le logiciel est trop näif et il n'y a pas suffisament de check. C'est n'est pas pour autant des bugs, les buffer overflow et autres ne sont pas la majorités.

      • [^] # Re: detect early, update often.

        Posté par  (site web personnel) . Évalué à 6.

        >> tout les trous de sécurité s'appuient sur des bugs (conception ou implémentation)

        C'est pour ça que j'ai précisé conception :P : l'utilisation de cas de figure mal ou non prévus par les concepteurs correspond à un bug de conception.

        Citer c'est bien, bien citer, c'est mieux :)

        • [^] # Re: detect early, update often.

          Posté par  . Évalué à 0.

          Non, j'ai cité un passage clairement faux. Ne pas faire tous les checks suffisant pour assurer qu'un programme soit invulnérable n'est pas toujours une erreur de conception et ne s'appelle donc pas un bug.

          exemple je fais un petit soft de merde à exécuter en root, que pour moi, pas sûr pour un rond. Ce soft est pas blindé mais c'est mon choix et ce n'est pas une erreur de conception. L'erreur c'est quand quelqu'un sur le net va le prendre et va le mettre suid root sur son poste.

          Voila :P

          • [^] # Re: detect early, update often.

            Posté par  . Évalué à 1.

            Non, l'erreur c'est de l'avoir mis sur le Net alors que tu ne l'avais écrit que pour un usage entièrement spécifique et sans souci de sécurité ni de lisibilié.

            • [^] # Re: detect early, update often.

              Posté par  . Évalué à -1.

              Use at your own risk.

              Que l'on trouve dans toutes les licences ça te dit qqc ?

              Chacun fait ce qu'il veut et chacun est libre d'utiliser les programmes de quelqu'un qu'il connait pas, mais quelqu'un qui recherche la sécurité doit être capable de différencier certaines choses.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.