OS fingerprinting : du nouveau.

• # Cool, mais ...

  Posté par cozon (site web personnel) le 26 mai 2002 à 23:10. Évalué à 10.

  

  Le principe est interessant, mais chez moi y'a pas grand chose qui marche...
  
  
  ./iQ al
  OS Guessed : Windows 2k. SP1, SP2
  
  Là c'est bon
  J'ai testé plusieurs machines sur internet, il me dit qu'elles sont down.
  Encore plus fort :
  
  ./iQ -v localhost
  Test 1:Sending UDP Packet
  The host: [127.0.0.1] is probably down
  
  et pas moyen de spécifier l'interface :
  
  ./iQ -s lo localhost
  ./iQ: invalid option -- s
  
  Elie, y-a-t'il des limitations ou des options particulières ?

  • [^] # Re: Cool, mais ...

    Posté par pllevy le 26 mai 2002 à 23:24. Évalué à 10.

    

    Pour moi, ça a donné une compilation sans problème, mais des erreurs de segmentation systématiques quelle que soit la cible visée.
    Le projet à l'air interressant, mais je crois qu'il n'a pas encore atteint sa maturité : à suivre ... ou à aider :-)

    • [^] # Re: Cool, mais ...

      Posté par bmc le 26 mai 2002 à 23:55. Évalué à 10.

      

      Même chose. Après avoir tracé le programme avec strace, je me suis aperçu que cela arrivait juste après un appel à socket(), qui retournait -EPERM. Sans regarder le code, j'en ai déduit que l'auteur ne testait pas le retour de l'appel système... pas très sérieux tout ça (si c'est bien le cas) :-)
      
      Il aurait été plus sage AMHA de peaufiner un peu le code. Sinon, ça a l'air prometteur.

      • [^] # Re: Cool, mais ...

        Posté par Aza le 27 mai 2002 à 09:40. Évalué à 7.

        

        Chez moi ca ne compile même pas. Comme y'a pas de fichier README j'ai tenté un make, un make all, mais rien n'y fait.
        
        Mais bon comme ce sont des étudiants qui font du libre et que c'est un moyen pour eux d'apprendre, je vais pas les blamer, faut les encourager au contraire.

        • [^] # Re: Cool, mais ...

          Posté par anonyme512 le 27 mai 2002 à 15:36. Évalué à 2.

          

          normal. à compiler c'est la galère. il faut libpcap et libnet, et il faut aller modifier les fichiers à la main, car parfois les includes ne sont pas pointés correctement.
          
          certaines erreurs ne sont en plus pas traitées, c'est exact. un truc qui est écrit nulle part: le programme ne peut marché qu'exécuté en root ! (beurk)
          
          enfin, pour lui, la machine sur laquelle il s'execute est toujours down, et il confond tous les linux, ainsi que windows 98 et NT
          
          c'est pas fini ce truc, c'est clair.
          bon courage les gars.

    • [^] # Re: Cool, mais ...

      Posté par the_freeman le 27 mai 2002 à 10:21. Évalué à 2.

      

      idem sous la patate et la woody, ca compile nickel et après ça segfault ...
      
      D'ailleur, le makefile est un peu crado (cf les variables des libs: les liens relatifs (-I../libpcap-0.6.2)), et aucun ./configure pour vérifier si les bonnes libs sont là!

      • [^] # Re: Cool, mais ...

        Posté par the_freeman le 27 mai 2002 à 14:16. Évalué à 3.

        

        Je viens de re-tester sous root, ça passe ( une patate ):
        
        root$ ./iQ 192.168.22.1
        OS Guessed : Linux 2.4.5+
        
        (ça passe, la machine toune sous un 2.4.18)
        
        
        root$ ./iQ 127.0.0.1
        The host: [127.0.0.1] is probably down
        </tt>
        La meilleur !
        
        root$ ./iQ 192.168.22.12
        OS Guessed : Windows 98/98SE
        
        (La aussi ça passe, la machine tourne sous Win98SE)
        
        A part les pbs dans le makefile, le test sur 127.0.0.1, et l'abscence de test de l'utilsateur (5 lignes de code à tout casser)le projet semble intéressant et complémentaire d'autre port-scanneur.

  • [^] # Re: Cool, mais ... y'en a d'autres !

    Posté par let antibarbie = xp <- xp - 1 le 27 mai 2002 à 10:01. Évalué à 8.

    

    Je citerai bien un autre soft, qui fait entre-autres l'OS fingerprinting (et qui peut s'utiliser pour bidouiller sur son LAN). Il s'appelle EtterCap, et est disponible sur sourceforge :
    http://ettercap.sourceforge.net/(...)
    
    Celui-la reconnait clairement les OS (un certain nombre en tout cas) a partir des parametres reseaux obscurs dont l'utilisateur moyen ne soupçonne meme pas l'existance (façon de fragmenter les paquets, mss, divers flags, etc..).

    • [^] # Re: Cool, mais ... y'en a d'autres !

      Posté par Victor Vuillard le 27 mai 2002 à 12:46. Évalué à 7.

      

      Si je ne me trompe pas, ettercap fait du passive fingerprinting, et c'est pas tout a fait la meme chose.... Donc si t'es pas sur ton LAN, ou si la machine n'envoie rien sur le réseau, c'est déja plus difficile avec ettercap de déterminer l'OS !

      • [^] # Re: Cool, mais ... y'en a d'autres !

        Posté par let antibarbie = xp <- xp - 1 le 27 mai 2002 à 15:24. Évalué à 3.

        

        Tu as raison Ettercap est un exemple de fingerprinting (pas seulement passif!), mais pas un exemple de pur ICMP fingerprint, vu kil se sert aussi du tcp/ip.
        
        Bon, voila une chtit doc plus technique et 3l33t, vraiment sur l'ICMP os fingerprint, ce coup-ci :
        http://www.phrack.org/phrack/57/p57-0x07(...)
        Il est expliqué le pourquoi, le comment, quelles sont les informations piochées et où elles le sont. Un chtit peu d'infos, ca n'a jamais tué personne.

  • [^] # Re: Cool, mais ...

    Posté par Lucas le 27 mai 2002 à 12:55. Évalué à 2.

    

    J'ai essayé, et ca n'a pas marché top (bizarre d'apres les autres posts hein ? ;)
    
    Pour que ca compile, il faut avoir la lib "libnet" (/usr/ports/net/libnet sous openbsd, paquet debian libnet-dev)
    Ensuite, après avoir fait sa prière quotidienne, on peut taper make et espérer que ca compile.
    Pour ceux qui suivent encore, il faut etre root pour faire tourner iQ (et non, y a pas de message quand on le lance pas en root).
    
    Ensuite, ca semble ne marcher que sur l'interface ou est situee votre passerelle par defaut, et on ne peut pas specifier l'interface avec -s puisque ca marche pas.
    
    Et quand aux resultats, deja, il faut noter que iQ se viande forcement si la cible ne repond pas aux UDP. Et iQ semble avoir tendance a voir du linux ou du windows 98 partout.
    
    Mais de toute facon, quelle confiance accorder a qqun qui fait tourner son serveur web sous Windows 98 ? :)
    ***lucas@ox:~$ sudo ./iQ -v www.bursztein.net
    Test 1:Sending UDP Packet
    OS Guessed : Windows 98/98SE
    
    Enfin iQ est une bonne idée, meme si ca n'a pas l'air d'etre le soft le mieux fini de l'annee ! Bravo Elie :)

• # Les maitres de l'univers sont de retours...

  Posté par Harry Cover le 27 mai 2002 à 00:11. Évalué à 10.

  

  ... et mon système d'exploitation en tremble déjà !
  
  Encore une fois, les L33t de l'épita, la meilleure école du monde, qui forment les plus grands hackers de l'univers, chaque nouvelle année nous offrant une promotion encore meilleure que la précendente, les l33t, disais-je, nous en remontre encore. Et c'est le prestigieuse labo LSE de l'Epita qui s'y colle. Merci à lui !
  
  Cette fois, ils attaquent avec un outil surpuissant, dont ils osent à peine nous parler de la puissance, puisqu'aucun test de validité, aucun chiffre sur le taux de réussite, n'apparaît sur le site. Est-ce pour ne pas nous effrayer ?
  
  Admirez au passage la précision toute scientifique des affirmations : "Généralement la prise d'empreinte est effectuée en 2 tests seulement". Voilà, tout dit. Faire des mesures ? Valider les résultats par l'expérimentation ? Illustrer une affirmation avec des résultats quantifiables et vérifiables ? Trop vulgaire, trop fatigant, tout cela est bon pour le laborantin désoeuvré, le vrai hacker, lui, garanti l'excellence de ses résultats par la seule foi de son talent.
  
  Et encore, je serai charitable, je ne parlerai même pas de l'exploit incroyable d'avoir réussi à rendre un programme aussi simple complètement instable.
  
  Ha si, une dernière question qui reste sans réponse tout de même: pourquoi est-ce que ce genre d'ânerie provient toujours de l'épita ? Ils ont une malédiction dans cette école, ou quoi ?

  • [^] # Re: Les maitres de l'univers sont de retours...

    Posté par Eric Renard le 27 mai 2002 à 01:14. Évalué à -10.

    

    Tiens, le troll Epita. Ca faisait longtemps, nous voilà reparti pour un thread de 80 commentaires facilement :)

    • [^] # Re: Les maitres de l'univers sont de retours...

      Posté par bmc le 27 mai 2002 à 01:56. Évalué à 10.

      

      Faut dire que là c'est un peu mérité quand même... publier un programme comme ça et en avertir la terre entière alors qu'il n'est pas du tout stable, on a vu mieux comme façon de prouver qu'on est pas aussi mauvais que ce que croit le peuple :)

      • [^] # Re: Les maitres de l'univers sont de retours...

        Posté par Tab Tab le 27 mai 2002 à 02:03. Évalué à 7.

        

        effectivement. je donnes pas les félicitations à l'auteur (que je connais).

        • [^] # Re: Les maitres de l'univers sont de retours...

          Posté par Dugland Bob le 27 mai 2002 à 02:34. Évalué à -10.

          

          La honte fait gaffe à pas te faire contaminer :-)

  • [^] # Re: Les maitres de l'univers sont de retours...

    Posté par Olivier Cahagne le 27 mai 2002 à 09:55. Évalué à 10.

    

    http://linuxfr.org/comments/thread.php3?news_id=8330&com_id=113(...)
    
    "je développe tous mes sites en HTML plutôt qu'en PHP, HTML étant beaucoup plus "secure" que PHP".

    • [^] # Re: Les maitres de l'univers sont de retours...

      Posté par Harry Cover le 27 mai 2002 à 18:05. Évalué à -1.

      

      Tes attaques ad hominem ne te grandissent pas, et d'ailleurs tu ne réponds même pas sur le fond de mes propos ! Quelque chose te rend nerveux ?

      • [^] # Re: Les maitres de l'univers sont de retours...

        Posté par Olivier Cahagne le 27 mai 2002 à 20:19. Évalué à 1.

        

        Mea Culpa, en voyant ton propos d'une autre manière, tu n'as pas tord sur le HTML vs PHP.
        Sur le fond, je ne partage pas ton point de vue sur Epita, c'est tout.
        
        Quant à la nervosité, oui, je suis crevé aujourd'hui, ce qui explique mon post non argumenté (trollesque quoi). Je suis lassé des critiques en règle sur Epita.

  • [^] # Re: Les maitres de l'univers sont de retour...

    Posté par Pierre Jarillon (site web personnel) le 27 mai 2002 à 12:21. Évalué à -2.

    

    Effectivement, c'est pas très glorieux pour cette école pour laquelle j'ai entendu plus de critiques acerbes que de louanges.
    Par rapport à "Cross Site Scripting ?" http://linuxfr.org/comments/thread.php3?news_id=8330&com_id=113(...) il n'y pas vraiment de nouveautés.
    Ce serait bien que l'Epita donne ici une liste de leurs vraies contributions au logiciel libre afin de faire taire les rumeurs.

    • [^] # Re: Les maitres de l'univers sont de retour...

      Posté par the_freeman le 27 mai 2002 à 12:45. Évalué à 2.

      

      Je dis peut-être une erreur, mais c'est pas eux qui organisent le concours PROLOGIN ?

    • [^] # Re: Les maitres de l'univers sont de retour...

      Posté par ggl le 27 mai 2002 à 14:24. Évalué à 1.

      

      En ce qui concerne iQ, c'est vrai qu'il y a un réel probleme de maturité, ca n'aurait pas du est distibué en l'état.
      
      Concernant les contributions, j'en citerais quelques unes: le LSE communique avec l'équipe de snort a propos de buffers overflows potentiels et de failles de securité. De même, certains membres corrigent des bugs dans tcpdump et snort. Des drivers ont été developpés pour NetBSD.
      
      Le LRDE, autre labo de l'école, distribue une lib de traitement d'images appellée Olena sous License GPL.
      
      Ceux ne sont que des exemples, et les contributions sont plus nombreuses.
      
      Des projets scolaires d'élèves sont distribués sous GPL.
      
      Une association de promotion des logiciels libres existe: EpX.

    • [^] # Re: Les maitres de l'univers sont de retour...

      Posté par JiP le 27 mai 2002 à 22:09. Évalué à 3.

      

      Les personnes qui contribuent aux logiciels libres dans cette ecole ont probablement autre chose a faire que de repondre a des gens mal renseignes, ou qui n'ont pas pris la peine de le faire.
      
      Cependant, simplement pour eviter de laisser perdurer ce mensonge, je vais citer quelques projets auxquels des developpeurs faisant partie de cette ecole (quels qu'ils soient, eleves ou professeurs) prennent part :
      - a2ps
      - autoconf
      - GNU M4
      - cvs-utils
      - bison
      - drivers sblive pour netbsd
      - le support de la souris en "mode console" sous OpenBSd (integre dans OpenBSd 2.8)
      
      J'en oublie certainement. Il faut egalement noter que les etudiants de cette ecole souhaitent parfois mettre en place des structures de contributions au logiciel libre, mais qu'ils n'ont tout simplement pas le temps de le faire, car ils sont surcharges de travail.
      
      Il faut noter egalement que Epx, une association de l'ecole assez active, contribue de diverses facons (conferences, fourniture de miroirs, developpement aussi il me semble) a diffuser la culture des logiciels libres dans cette derniere.
      
      Si vous voulez plus de renseignements a ce sujet, je vous invite a prendre la peine de vous renseigner.

      • [^] # Re: Les maitres de l'univers sont de retour...

        Posté par Olivier Cahagne le 27 mai 2002 à 23:18. Évalué à 1.

        

        Tu peux rajouter:
        - Heroes,
        - Nocc,
        - Epiwm,
        - LVS,
        - Emacs,
        - et d'autres
        
        Effectivement, les étudiants manquent de temps pour finaliser leurs projets et les releaser avec une doc, un site Web, etc.
        Espérons que l'école pourra à l'avenir permettre à davantage d'étudiants de contribuer au libre.
        NB: C'est vrai qu'Epita n'a pas une tradition de diffusion d'informations sur les productions locales.

  • [^] # Re: Les maitres de l'univers sont de retours...

    Posté par Anonyme le 28 mai 2002 à 15:07. Évalué à 1.

    

    La news parle d'un article. Pas d'un logiciel stable et bien teste...
    
    C'est interdit de parler d'une nouvelle idee ?

• # RING

  Posté par DaFrog le 27 mai 2002 à 12:33. Évalué à 10.

  

  Je me permets de signaler ici l'existence de RING, un outil d'OS fingerprinting open-source développé par Intranode (http://www.intranode.com/site/techno/techno_articles.htm(...)).
  
  Contrairement à iQ, RING reste basé sur des paquets TCP, mais seulement un SYN (et c'est tout!!!); il est donc très discret et a moins de chances d'être bloqué qu'iQ (qui chez moi ne donnerait pas grand chose...).
  
  RING est très jeune aussi, mais il est accompagné d'un whitepaper intéressant et compile sans problèmes. Ca vaut la peine d'y jeter un oeil, tout en gardant à l'esprint que tous les outils d'OS-fingerprinting (nmap, x-probe, iQ, ring, etc.) doivent être considérés comme complémentaires plutôt que concurrents.
  
  DaFrog

  • [^] # Re: RING

    Posté par Mathieu Dessus (site web personnel) le 27 mai 2002 à 17:01. Évalué à 2.

    

    Ring est, à mon avis, comme iQ, à l'état de prototype. Mais le principal défaut de ring est de se baser sur les temps de réponse. Il risque d'être donc inéfficace, voir de donner des réponses érronées en cas de réseau congestionné (perte de paquets), de serveur srurchargé...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.