aeris22
est avec nous depuis le 25 mars 2016 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
89 commentaires
WannaCrypt : des nœuds Tor saisis par les autorités françaises
Le 17/05/2017Le 17/05/2017 à 17h 05
Il n’y a pas de nœuds de sortie sur les services cachés.
Le service caché et le client se rencontrent sur un nœud pris au pif (l’introduction point), il y a donc 6 couches de chiffrement, et l’introduction point ne connaît ni l’identité du client (1 circuit de 3 nœuds entre lui et le client) ni le service caché (pareil).
Tu n’as donc aucun moyen de remonter à la source. Même en saisissant toutes les machines.
Le 17/05/2017 à 16h 27
Si tu n’es pas trop bête (les erreurs de SilkRoad & autres étaient humaines, pas techniques), Tor est un excellent moyen de te mettre à l’abri. Certainement le meilleur (sinon le seul d’ailleurs) qui existe aujourd’hui.
Le 17/05/2017 à 16h 19
Le C&C est dans un .onion. Il n’y a pas de guard ni d’exit node dans ce cas. Le trafic reste 100% à l’intérieur de Tor, tu n’auras donc strictement rien à comparer entre avant et après.
Le 17/05/2017 à 16h 18
Les circuits Tor changent toutes les 10min. Et j’ai bien indiqué aussi derrière que j’avais des milliers de connexion ouvertes en permanence sur ma machine.
Donc même en saisissant ma machine, même si j’avais des logs (ce qui n’est pas le cas), tu aurais 1000 machines à aller saisir pour aussi espérer des logs, dans a minima une 10aine de pays, te menant à 1000 machines pour chaque machine saisie. Et donc un bon petit million de machines (soit tout le parc des nœuds Tor en fait) si tu veux espérer remonter à la source des données (3 nœuds par circuit).
Bref, c’est juste peine perdue.
Le 17/05/2017 à 16h 07
Ou pas justement. Ça va être du trafic qui va être reporté aléatoirement dans le réseau Tor. Ça va foutre un bordel pas possible pour recouper tout ça. Et en prime ça suppose que tu aies accès aux méta-données (dont je doute déjà de l’existence…) de l’ensemble des nœuds utilisés (donc de 3 pays différents, obligatoirement), pour chaque connexion. Sur 2 millions de connexion (soit 6 millions de sauts Tor, sans parler qu’ils sont renouvelé toutes les 10min…), c’est l’intégralité des logs du trafic planétaire qu’il te faut…
Et si tu as accès à ces méta-données, tu n’as certainement pas besoin de saisir les machines. Qui ne contiennent aucune info de toute façon.
Le 17/05/2017 à 15h 50
Sauf que les nœuds Tor sont conçus pour que même une correllation de traffic soit assez difficile à réaliser, sauf à avoir VRAIMENT de très gros moyens à disposition.
Mon nœud générait 1To de données par semaine, et avaient des milliers de connexion Tor ouvertes en permanance. Bon courage pour la corrélation.
Bon courage aussi pour la coordination internationale, la sélection des nœuds utilisés pour un circuit Tor impose le passage par 3 pays différents !
Et sachant qu’il n’y a aucun log sur ces machines, leur saisie était de toute façon totalement inutile !
Le 17/05/2017 à 15h 15
Je préfère ne pas compter dessus :P
Il y a certainement une chance non nulle, mais dans trop longtemps et sans garantie. Donc autant considérer les données perdues (et ça sert à ça les backups, se protéger de Wannacry et se protéger de ceux qui ne se sont pas protégés de Wannacry :P)
Le 17/05/2017 à 15h 01
Je ne suis pas hébergeur de contenu. Je n’ai même aucun contenu.
Je suis équivalent ou en tout cas plus proche d’Online (je fournis un réseau dans le réseau, je ne fais que véhiculer des petits paquets dont je n’ai même aucune sorte d’idée de ce que ça peut bien être) que d’un hébergeur (hébergement du contenu). Et aucune loi n’impose de loger quoi que ce soit dans ce cas.
Les seules obligations actuelles que je connaisse sont
1- obligation de log des IP distribuées à leurs clients par les FAI (date, IP et identité du client)
2- obligation de log côté serveur web d’un hébergeur (date, IP du visiteur, contenu visité)
Le 17/05/2017 à 14h 15
Vu que la LCEN date de 2004, et que l’article 1 de la LCEN est la définition de ce qu’est un réseau, je vois mal en quoi un hypothétique article 1 de 2001 imposerait quoi que ce soit à une entité comme Online (qui n’est pas hébergeur de contenu, mais opérateur de réseau).
Le 17/05/2017 à 14h 00
Non. Online n’a aucune obligation de stocker ce genre d’information. Ce niveau de détail serait de toute façon instockable tellement les informations seraient collosales (mon nœud Tor générait 300Mbps de trafic en continu, soit 1To de données par semaine).
Le 17/05/2017 à 13h 58
Ils n’ont pas ce genre de log. Et même s’ils l’avaient, ça ne servirait strictement à rien dans le cadre de l’enquête. Aucune des IP dedans n’est responsable dans l’infection Wanacry (une des machines est la machine infectée, l’autre est juste l’équivalent d’une porte d’entrée publique permettant de communiquer avec le réseau Tor).
Le 17/05/2017 à 13h 42
Je suis un des nœuds saisis. Je te garanti qu’il y a 0 log. Rien n’est tracé, rien n’est stocké. Aucune information utile, aucune IP, aucun journal.
Et même si log il y avait, je n’étais de toute façon que le 1er maillon de la chaîne Tor qui en comporte 3, donc sans aucune information sur la vraie machine liée à l’infection Wannacry. La seule machine que je voyais était la machine infectée en entrée, et un autre nœud Tor (le middle cette fois) en sortie. Rien d’autre.
Le 17/05/2017 à 13h 31
Les logs ? Quels logs ? Il n’y en a juste pas sur les relais Tor.
Mot de passe en clair dans un email, SSLv3 : EBP s’explique
Le 09/02/2017Le 10/02/2017 à 17h 38
Le 10/02/2017 à 17h 23
Le 10/02/2017 à 16h 21
Le 10/02/2017 à 15h 29
Faut peut-être arrêter de raconter n’importe quoi à un moment donné hein :)
Le sel est un paramètres qui doit nécessairement être en clair et stocké dans la db. Généralement il est même concaténé en tête du hash avant d’être stocké dans la base.
Il n’y a aucune limite haute à casser un hash, il suffit de trouver un mot de passe (pas forcément le véritable d’ailleurs) qui collisionne sur le même hash que celui indiqué dans la base. Il n’y aura même pas de candidat potentiel, vu que tu as la certitude de pouvoir t’authentifier avec à partir du moment où son hash correspond à celui en base de données.
S’il n’y a pas de sel, je ne me galère du coup même pas à faire une attaque par dictionnaire, mais je génère juste des tonnes de hash sur des tonnes de valeurs totalement aléatoires. En effet, comme ci-dessus, je m’en fous de trouver ton mot de passe, j’ai juste besoin d’en trouver un qui collisionne le hash de la base (il y a de très fortes probabilités que ça soit réellement le bon mot de passe, mais ce n’est pas garanti puisqu’un hash n’est pas bijectif mais uniquement surjectif). S’il y a un sel, je dois juste procéder utilisateur par utilisateur au lieu d’attaquer tous les hash en même temps.
Et si tu as choisis un mot de passe trop faible (et qu’il n’y a pas de sel), il y a même une chance non négligeable que le hash de ton mot de passe soit déjà connu (rainbow table) et donc que le casser prenne quelque chose comme 50ms.
En plus, ces calculs sont fait offline, donc toute parade anti-bruteforce mise en place par le site en question seront totalement inefficaces. Je bruteforcerais sur ma machine jusqu’à trouver une collision, et je m’authentifierais une seule et unique fois sur le site en question avec le mot de passe trouvé, qui validera obligatoirement l’accès au compte.
Bref, une base de données dans la nature mal hashée ou salée, c’est juste une véritable bombe à retardement et rien ni personne ne peut plus rien y faire. Le seul conseil qui vaille est d’alors changer immédiatement son mot de passe (ou de cesser d’utiliser le service jusqu’à ce qu’ils aient un hash suffisamment sécurisé), et de le changer aussi partout ailleurs où on l’avait utilisé.
On ne devrait jamais utiliser 2× le même mot de passe sur 2 services différents justement parce qu’en cas de fuite d’une base de données, les probabilités sont élevées que le service n’ait pas pris au sérieux la sécurité et ait stocké vos mots de passe au pire en clair au mieux hashé sans sel. Une fois le pass collisionné, soyez sûr qu’un attaquant ira tester le couple login/mot de passe obtenu sur tous les autres services qui lui passeront sous la main !
Le 10/02/2017 à 15h 05
C’est compliqué. Parce que justement, tu n’arrives pas à te connecter au serveur en face. Et que tu n’as strictement aucune idée de pourquoi ça merde…
Tout ce que ton navigateur sait, c’est qu’il n’a pas pu négocier avec le serveur en face. La raison réelle restera éternellement inconnue…
Le 10/02/2017 à 10h 23
Ça existe. Ça s’appelle NO_CYPHER_OVERLAP, mais faudrait juste améliorer la page d’erreur :P
https://null.badssl.com/
Pour le pourcentage, on parle de quelques pourcents maximum. À vu de pif je dirais même moins de 1%…Ça ne concerne globalement que IE8 sous XP…
Le 09/02/2017 à 21h 08
Ça sent une énorme faiblesse.
Déjà ça veut dire qu’ils stockent le mot de passe en clair.
Et qu’en plus de ça, ils font un test à la con en ajoutant lettre par lettre jusqu’à arriver à la fin ou à ce que ça passe…
À pleurer…
Le 09/02/2017 à 19h 11
Le 09/02/2017 à 17h 57
Le 09/02/2017 à 17h 28
Le 09/02/2017 à 16h 09
Le 09/02/2017 à 16h 05
Le 09/02/2017 à 15h 49
Arrêtez de vous prendre la tête, tout est expliqué ici…
https://blog.imirhil.fr/2015/10/27/stockage-mot-passe.html
PGP : des clés de signature mimées, GnuPG comble une faille vieille de 18 ans
Le 22/08/2016Le 23/08/2016 à 18h 33
Le 22/08/2016 à 21h 19
Le 22/08/2016 à 18h 55
Le 22/08/2016 à 18h 32
Le 22/08/2016 à 17h 00
Le 22/08/2016 à 15h 14
J’ai ajouté des couleurs histoire de pouvoir distinguer les clefs collisionnées (même short-ID = même couleur (mais la réciproque est fausse :P))
Le 22/08/2016 à 14h 28
Oui, sinon tu passes à côté du vrai problème :P Le short-id tout seul est connu depuis des lustres.
Le 22/08/2016 à 13h 40
Cozy Cloud lève quatre millions d’euros, pour s’ouvrir aux grands comptes
Le 10/06/2016Le 10/06/2016 à 20h 21
D’un autre côté, rien ne t’empêche de monter plusieurs machines virtuelles (ou prochainement raspi/olimex/pine64), avec un Cozy pour chaque utilisateur. Techniquement, ça ne pose aucun soucis.
LXC me semble tout indiqué pour gérer ça, mais effectivement, ce n’est pas forcément à la portée du 1er venu et il faut maîtriser un peu la ligne de commande :P
C’est même presque l’idéal, le jour où tes mioches quittent le cocon familial (ou ton·a conjoint·e :P), tu leurs rends leurs données !
Le 10/06/2016 à 10h 51
> Que ca sorte ou non ,ca reviendrait presque à lier ton compte avec tel ou tel entreprise
Toute la stack étant libre, tu peux monter ton instance chez toi dans tous les cas.
Ou sortir de chez ton hébergeur quand tu le souhaites.
Le 10/06/2016 à 08h 45
C’est pour ça que Cozy te permet l’auto-hébergement, et bientôt de tourner sur Raspi et autres cartes équivalentes. Au pied de ton lit !
Le 10/06/2016 à 07h 59
Ça va même encore plus loin.
Rien ne sort du Cozy. Tout est calculé en local et EDF n’aura jamais accès aux données NEST par exemple.
Ça permet à EDF de fournir au propriétaire du Cozy des services qu’il n’aura pas pu avoir autrement.
Let’s Encrypt utilisé par WordPress pour les sites hébergés avec un domaine personnalisé
Le 12/04/2016Le 12/04/2016 à 18h 52