Journal un nmap d'un fort beau gabarit.

Posté par . Licence CC by-sa
60
21
mar.
2013

Yo Nal, bien ou bien ?

Juste pour te dire qu'un cinglé s'est amusé à déployer un bot sur le /tmp de toutes les machines sur lesquelles il a pu se logger avec admin:admin, root:root, ou l'un des deux avec mot de passe vide.
Ben devine quoi : ça fait beaucoup de machines, mais alors beaucoup.

http://internetcensus2012.bitbucket.org/paper.html

  • # LiveBOX

    Posté par (page perso) . Évalué à 1.

    de ce que j'en sais, c'est le cas des LiveBOX : admin:admin .

    ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: LiveBOX

      Posté par (page perso) . Évalué à 8.

      Oui, enfin l'interface d'admin n'est pas accessible depuis l'extérieur…

      C'est un peu le cas sur tous les routeurs du marché:
      admin:123456
      admin:password
      admin:admin

      Mais bon, normalement, ils sont pas accessible depuis l'extérieur.

      • [^] # Re: LiveBOX

        Posté par . Évalué à 2.

        il est vrai que les Livebox ont cette sécurité où, quand bien même on disposerait du code cryptographique, elles n'attribuent pas d'ip tant que la MAC de l'impétrant n'est pas dans leur base de donnée - ce que madame Michu peut faire seule grâce à une sorte de bouton magique de 'pairage', d'après ce qu'on m'a dit.

        Toutefois, il serait peut-être possible, muni du dit code crypto, de s'attribuer statiquement une ip qu'on pourrait deviner comme étant déjà attribuée par cette machine, et ainsi se connecter au dit routeur avec les dits codes par défaut, et ajouter innocemment sa MAC à la liste des machines autorisées.

        Auquel cas, le mot de passe par défaut du routeur aurait quand même très nettement affaibli la sécurité de l'ensemble.. '

        • [^] # Re: LiveBOX

          Posté par (page perso) . Évalué à 10.

          C'est vrai qu'une adresse MAC c'est tellement difficile à usurper… :o

        • [^] # Re: LiveBOX

          Posté par (page perso) . Évalué à 4.

          On parle d'une livebox…

          Effectivement, si tu rentres chez les gens pour te connecter en filaire, tu peux les pirater…

          • [^] # Re: LiveBOX

            Posté par . Évalué à 2.

            c'est bien à moi que tu réponds ? en fait je parlais d'une connexion Wifi

            Le scénario complet est le suivant:
            1) acquérir le code par une attaque classique style aircrack
            2) configurer statiquement la carte avec une ip probablement déjà attribuée (192.168.0.x, etc..) et tâcher de se connecter à l'interface du routeur (le filtrage des adresses MAC ne s'applique qu'à l'attribution d'ip par DHCP) - ce n'est pas très fiable mais devrait marcher.
            3) utiliser les mots de passe par défaut et ajouter les MAC de son choix à la liste des connexions autorisées pour obtenir une ip en bonne et dû forme.

            et si j'emploie des tournures hypothétiques, c'est pour me garantir du texte de loi recopié plus bas..

            • [^] # Commentaire supprimé

              Posté par . Évalué à 2.

              Ce commentaire a été supprimé par l'équipe de modération.

            • [^] # Re: LiveBOX

              Posté par (page perso) . Évalué à 2.

              c'est bien à moi que tu réponds ? en fait je parlais d'une connexion Wifi

              En grattant un peu, il doit y avoir d'autres vecteurs. L'IP étant toujours la même, tu dois pouvoir manipuler l'interface en javascript à partir d'une page web quelconque.

        • [^] # Re: LiveBOX

          Posté par . Évalué à 1.

          Toutefois, il serait peut-être possible

          L'avantage du conditionnel, c'est qu'on peut l'utiliser pour dire que tout est possible.
          L'inconvénient du conditionnel, c'est qu'il dépend de conditions.

          Tu veux pirater une livebox dont la configuration n'a pas été modifiée? Rien de plus simple: tu te branches sur l'un des ports éthernet (accès physique à la machine, donc, qui est la situation ou les attaques sont toujours les plus simples) et tu utilises les noms et mots de passe par défaut.

          D'un autre côté, cette technique est valable sur tous les appareils, il y a toujours (en tout cas, mon expérience personnelle est que ça a toujours été le cas) le couple login/pass destiné aux ingénieurs, qui n'est pas modifié par ceux qui installent le bouzin.

          A part ça, se connecter en wifi nécessite aussi un accès physique à la box elle-même, avec le bouton ou à une machine qui est déjà connectée au réseau éthernet ou wifi, avec le couple login/password par défaut.

          Je ne parle ici que de la config par défaut, parce qu'on peut la blinder, cette machine, très facilement: en 3 clics, tu désactives le bouton de pairage, en 3 clic et 16 frappes clavier (il me semble que c'est 16 caractères une @ mac?)tu n'autorises que les @MAC spécifiées explicitement, en 3 clics et n frappes de clavier, tu changes le mot de passe admin.
          La seule chose pour la sécurité que je voie qu'on aurait pu ajouter, c'est changer le login "admin". Mais qui d'entre nous change le login "root" sur sa machine? Pour une sécurité extrême, on devrait le faire, car sinon un attaquant connaît toujours le login sur lequel il doit se connecter… et après tout, la seule chose qui importe pour administrer une machine, c'est d'avoir accès au compte qui à l'UID 0, si je ne me trompe pas?

          • [^] # Re: LiveBOX

            Posté par . Évalué à 4.

            A part ça, se connecter en wifi nécessite aussi un accès physique à la box elle-même, avec le bouton ou à une machine qui est déjà connectée au réseau éthernet ou wifi, avec le couple login/password par défaut.

            Non. En tous cas « chez moi » j'ai une Freebox et un Numéricable en WEP, j'ai pu obtenir la clé avec aircrack-ng et me connecter à Internet via ces boxes.

            Par contre j'ai essayé de me connecter à la FreeBox (à l'interface de gestion en fait) et j'ai eu le message suivant : « Un code s'affiche sur votre FreeBox, merci d'entrer ce code pour accéder à l'interface d'administration » Oups :)

            Désactiver le WEP et le hotspot sur sa box est une bonne idée.

            • [^] # Re: LiveBOX

              Posté par . Évalué à 2.

              La livebox par défaut utilise WPA, et les clés sont aléatoirement configurées en usine.

              Le commentaire d'origine parlait spécifiquement de la livebox, je n'ai aucune idée des autres box, et je ne généralisais pas, je parlais bel et bien de la livebox.

              • [^] # Re: LiveBOX

                Posté par . Évalué à 0.

                non, pour ma part je parlais bien de la livebox et il n'y a pas besoin d'accès physique, voir scénario complet plus haut.
                Mais peut-être que la sécurité a été changée depuis que ce scénario a été testé (pas par moi, bien sûr) - en 2011.

                • [^] # Re: LiveBOX

                  Posté par . Évalué à 1.

                  D'accord. Ce fameux code crypto dont tu parles à plusieurs reprises, de quoi s'agit-il?
                  Si c'est la clé WPA, il me semble que l'intérêt de WPA c'est justement d'être difficile à percer (pas impossible, cependant, j'en suis conscient)

                  Je serai curieux de tester ce scénario… chez moi, bien entendu.
                  Après, on viens de changer la vieille box (2 mois, même pas) donc si ça ne marche pas ça voudra dire qu'ils ont fixé le problème. J'aurai aimé pouvoir tester sur l'ancien modèle.

                  • [^] # Re: LiveBOX

                    Posté par . Évalué à 2.

                    l'intérêt de WPA c'est justement d'être difficile à percer (pas impossible, cependant, j'en suis conscient)

                    À l'heure actuelle la seule méthode avérée pour récupérer une clé WPA2 c'est la force brute. Donc pas efficace si la clé est assez costaude et c'est la cas en général avec la clé par défaut.

                    Par contre une fois, sur les Darty Box je crois, il y avait moyen de voir comment la clé par défaut était générée par un script de l'interface de la box. En étudiant le script certains on pu voir que l'ensemble des clés possibles était réduit. Mais ça a été corrigé depuis.

                    En lisant Wikipédia là je vois que WPA-TKIP a été pété aussi.

                    Donc quand j'aurai du Wifi ça sera WPA2-CCMP ou rien ! Bon après, la chance d'avoir un geek utilisateur de aircrack-ng dans le même bâtiment que moi me parait assez faible :)

                  • [^] # Re: LiveBOX

                    Posté par . Évalué à 0.

                    je crois bien que c'était une WPA-TKIP, dans le test auquel j'ai assisté. Ca avait quand même pris plusieurs heures en tout cas.

  • # Relativisons.

    Posté par . Évalué à 4.

    Si j'ai bien compris, leur bot est monté à 420 mille machines, et avec ils ont scanné avec succès, 450 millions d'ip. ça fait un peu moins de 0,1% des habitants d'internet qui laisserais leur porte grande ouverte, si je ne m'abuse. Enfin, une ip, c'est pas une machine, mais ça donne quand même un ordre de grandeur.

    Leur résultats cartographiques sont assez fantastique, je trouve cette animation de l'internet sur une journée vraiment fascinante.

    Faut pas gonfler Gérard Lambert quand il répare sa mobylette.

  • # rêveur

    Posté par . Évalué à 8.

    Merci pour l'article, ça laisse rêveur toutes ces portes ouvertes sur le monde :)

    Internet contient décidément beaucoup de Michu Admin !

  • # Houston, we have a problem !

    Posté par . Évalué à 4.

    However, there are many small groups of machines that are only available a few to a few hundred times. We took a closer look at some of those devices to see what their purpose might be and quickly found IPSec routers, BGP routers, x86 equipment with crypto accelerator cards, industrial control systems, physical door security systems, big Cisco/Juniper equipment and so on.

    "La première sécurité est la liberté"

    • [^] # Re: Houston, we have a problem !

      Posté par . Évalué à 3.

      m'enfin, ce sont des pots à miel pour tester les sécurités de ces merveilleuses machines bien sûr…

      • [^] # Re: Houston, we have a problem !

        Posté par . Évalué à 1.

        A lot of devices and services we have seen during our research should never be connected to the public Internet at all. As a rule of thumb, if you believe that "nobody would connect that to the Internet, really nobody", there are at least 1000 people who did. Whenever you think "that shouldn't be on the Internet but will probably be found a few times" it's there a few hundred thousand times. Like half a million printers, or a Million Webcams, or devices that have root as a root password.

        "La première sécurité est la liberté"

        • [^] # Re: Houston, we have a problem !

          Posté par . Évalué à 9.

          or a Million Webcams,

          elles sont non seulement connectées par erreur sur le net, souvent avec toute leur interface de commande à distance, mais aussi référencées dans les moteurs.

          Il suffit de chercher par exemple 'inurl:CgiStart?page=Single' chez google pour avoir une vue saisissante du monde du travail tel que vu par les Panasonics.
          Tiens là j'ai une fille en train de bosser sur un microscope électronique..

          • [^] # Re: Houston, we have a problem !

            Posté par (page perso) . Évalué à 1.

            http://scorpius.jp:8484/CgiStart?page=Single

            Comme un oiseau sans ailes…

          • [^] # Re: Houston, we have a problem !

            Posté par (page perso) . Évalué à 2.

            J'y crois pas… Je viens de tester, et je suis soufflé. Comment se fait t'il que tout cela soit accessible? Serait ce le cas si j'installais une vidéo surveillance chez moi? Les voisins verrait chez moi à toute heure? J'ose espérer que non…

            J'imagine que quelqu'un s'est fait son interface vers le WEB, mais pourquoi la référencer?

            Bon après il faut relativiser: si on tombe sur des caméra au hasard, c'est un peu le Chat roulette du web…

            • [^] # Re: Houston, we have a problem !

              Posté par . Évalué à 1.

              Comment se fait-il que tout cela soit accessible?

              PEBKAC ? Un mélange à proportion diverse d'ignorance, de je m'en-foutisme et d'incompétence ? Voire illetrisme rampant qui pousse à éviter de lire les notices ?

              Le référençage est le fait de scans automatiques par des robots. Ils détectent simplement un serveur web fonctionnel à cette adresse.
              Certaines sont quand même mises à disposition de manière délibérées, d'autres sont protégées par mot de passe.

            • [^] # Re: Houston, we have a problem !

              Posté par (page perso) . Évalué à 2.

              Des fois il s'agit simplement de failles découvertes, dévoilées au grand jour…mais dont personne ne ce soucis!

              Pour les intéressés TRENDnet exposed

  • # Il est pas en France?

    Posté par . Évalué à 8.

    L'étude est intéressante mais il ne faudrait pas qu'il réside ou qu'il aie à faire à des boites Française qui découvriraient ces accès et voudraient en savoir plus…
    Parce que même à des fins de recherche ou d'amélioration de la sécurité, la loi française est plutôt stricte sur ce genre de pratique.

    Un rappel:

    Principaux textes relatifs à aux infractions informatiques :
    Article 323-1 du code pénal

    Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de >30000 euros d'amende.
    Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est >de trois ans d'emprisonnement et de 45000 euros d'amende.
    Article 323-2 du code pénal
    Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.
    Article 323-3 du code pénal
    Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est >puni de cinq ans d'emprisonnement et de 75000 euros d'amende.
    Article 323-3-1 du code pénal
    Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute >donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement >pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

    Source: http://www.cybercriminalite-penal.fr/textes-pena-cybercrimilate.html

    • [^] # Re: Il est pas en France?

      Posté par (page perso) . Évalué à 3.

      En même temps, laisser uns machine avec une IP publique accessible en telnet via root:root ou admin:admin, ça ne s’appelle pas de la négligence caractérisée en France ?

      • [^] # Re: Il est pas en France?

        Posté par . Évalué à 4.

        Si on se réfère à vos 2 messages, tu n'amènes aucune preuve que la négligence caractérisée est illégale, lui amène une preuve que ce que les auteurs du test on fait est illégal.

        A noter que si je me souviens bien, le scan est une pratique illégale, et pas qu'en France: http://en.wikipedia.org/wiki/Nmap#cite_note-29

        Bon, ce lien pointe vers un jugement par rapport à l'usage de nmap, si j'interprète correctement le contexte de l'article, donc à voir si cela s'applique aussi aux robots qui cherchent des accès http, mais, logiquement, cela devrait s'appliquer aussi, puisque c'est la recherche d'un service sur une plage de machines, qui n'ont même pas de nom de domaine, donc on peut arguer que les gens n'ont pas pour intention de diffuser le service à tout le monde (auquel cas ils auraient sûrement utilisé un nom de domaine).

        Bon, c'est de la législation, alors en fonction des interprétations on va dire blanc ou noir… voire gris.

    • [^] # Re: Il est pas en France?

      Posté par (page perso) . Évalué à 3.

      Tu notera que l'auteur est anonyme.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.