☠ Bluetouff's blog

Syrie / Liban : dis moi avec qui tu t’interconnectes, je te dirai qui tu écoutes

mardi 14 août 2012 à 11:34

Internet est un réseau public, basé sur des interconnexions entre opérateurs. Ces interconnexions sont libres, elles dépendent des infrastructures disponibles, donc des bonnes volontés ou des appétits commerciaux de sociétés ou d’institutions, souvent un savant mix ~~des deux~~, des quatre. Il y a cependant un autre paramètre moins avouable : la doctrine militaire d’une nation en matière de SIGINT (Signal Intelligence, ou renseignement d’origine électromagnétique). Comme Internet est un réseau public, il est aisé de trouver des données concernant les interconnexions optiques assurant la connectivité internationale d’opérateurs ou de pays entiers. Ainsi, il est très simple, pour une personne un peu curieuse, de détecter les particularités de chacun.

On trouvera par exemple assez aisément les fibres optiques transatlantiques indispensables pour que Google et Youtube puissent assurer leurs services en Europe, on découvrira aussi la steppe numérique de Corée du Nord qui assure l’intégralité de son trafic Internet par le biais d’un satellite chinois, ou encore… la connectivité internationale de la Syrie. Mais qui surveille qui au juste ?

La toile

Les câbles sous-marin assurent une énorme partie du transit IP d’un continent à l’autre, d’un pays à l’autre. Il existe des cartes de ces câbles sous-marins, elles sont parfaitement publiques et nous allons voir que concernant la Syrie, elles nous donnent beaucoup d’informations.

La connectivité internationale de la Syrie est principalement assurée par 3 câbles sous-marins, pour une capacité de 11,2 Gbps.

Première information capitale, ces 3 câbles ont un landing point situé au même endroit, dans la ville de Tartous. Étrange coincidence, c’est dans cette ville que la Russie dispose d’une base navale. Des rumeurs insistantes voudraient que la famille al Assad y ait un temps trouvé refuge quand des affrontements se tenaient à Damas. Tartous est une ville côtière stratégique, probablement l’un des meilleurs endroits par lesquels Bachar al Assad pourraient envisager une sortie précipitée s’il trouvait à tout hasard une porte de sortie vers… la Russie.

Mais revenons à ce qui nous intéresse, c’est à dire ces 3 câbles sous-marin :

Le premier, UGARIT, d’une capacité de 1,2 Gbps, relie Tartous à Pentaskhinos (Chypres).
Le second, ALETAR, d’une capacité de 5Gbps, relie Tartous à Alexandrie (Égypte).
Le dernier, BERYTAR, luis aussi d’une capacité de 5Gbps, relie Tartous à Beyrouth (Liban).

BERYTAR a une particularité intéressante, il est une liaison directe et exclusive entre les deux pays. Pour Beyrouth, ce câble est « vital » en terme de connectivité puisque le seul autre câble sous-marin partant de la capitale libanaise et reliant Beyrouth à Pentaskhinos, dispose d’une capacité relativement anecdotique (0,622 Gbps) en comparaison de BERYTAR et de ses 5 Gbps. BERYTAR déssert également les villes libanaises de Saida et Trablous (source).

Les grandes oreilles waterproof… ou pas.

Pour qui veut écouter le trafic entier d’un pays, il faut commencer par créer des points de centralisation. Vous aurez compris que les landing points de transit IP des câbles sous-marin sont une pièce de choix pour qui veut jouer les Amesys en herbe. Où qu’ils se trouvent, particulièrement ceux qui désservent de grandes démocraties, comme, au pif les USA, ces câbles sous marins sont wiretapés, c’est à dire écoutés. Comme il est complexes, sur des très grosses liaisons, de traiter des interceptions en temps réel, les surveillants se retournent vers de l’interception basée sur des listes de mots clés, un peu sur le même principe qu’Echelon, mais en quand même un peu plus élaboré.

Aussi, on sait aujourd’hui surveiller sur ce type de liaisons un protocole particulier, comme Skype, ou des sites précis… comme Youtube. Nous avons publié sur reflets des éléments matériels attestant de cette surveillance. S’il peut s’averer complexe, voir impossible de décrypter toutes les communications Skype, il est en revanche d’une déconcertante simplicité d’identifier une connexion de l’un des deux FAI gouvernementaux syriens entre un opposant et une adresse IP appartenant à des plages IP de l’AFP. Vous comprendrez donc, à la lumière de ces éléments, la colère de certains d’entre nous (les barbus des Intertubes, pas du terrain) quand nous observons l’AFP, écrire en toutes lettres dans ses dépêches qu’elle contacte ses sources via Skype.

Ces dispositifs reposent sur une technologie bien de chez nous dont je vous rabat les oreilles depuis un bon moment, le Deep Packet Inspection, à l’origine destinés à assurer de la qualité de service, à « comprendre ce qu’il se passe sur un réseau » pour reprendre les termes d’Eric Horlait, co-fondateur de Qosmos. Le DPI, est, par extension, devenu l’arme numérique de prédilection de maintes dictatures pour traquer des opposants… ce grâce à l’éthique en toc de quelques entreprises comme Amesys, Cisco, et beaucoup d’autres. D’abord pour de l’écoute légale, en ciblant un certain nombre de connexions, puis, comme le préconise Amesys dans ses brillants exposés, en écoutant l’ensemble des communications d’un pays, en les enregistrant dans une base de données, puis en procédant par extraction.

Quand on est une puissance étrangère et que l’on a pas un accès direct aux landing points assurant la connectivité internationale du pays que l’on veut écouter, on peut par exemple, disposer de navires d’interception dotés de capacités d’écoute des câbles sous-marin. La France dispose de ce type de navire.

Dupuy-de-Lôme, navire collecteur de renseignements d’origine électromagnétique de la Marine nationale française (Source Wikipedia)

La France dispose également d’un autre atout, elle déploie et exploite certains de ces câbles, et certains d’entre eux ont une desserte stratégique, comme par exemple, le récent EIG (Europe India Gateway), en blanc sur la carte ci-dessous, et ses 14 landing points. EIG a été déployé par Alcatel Lucent, et en ce qui me concerne j’ai un peu de mal à croire que l’entreprise franco-américaine ne s’est pas assurée quelques sales blanches dans des landing points bien situés pour être en mesure d’intercepter de manière ciblée une partie du trafic.

L’interception des communications sur les liaisons sous-marines n’est que l’une de la demi douzaine de disciplines que compte le SIGINT. Elle s’avère souvent délicate pour une seule raison : les importants débits de certaines de ces liaisons offrent trop d’informations qu’il devient alors complexe de traiter en temps réel. Aujourd’hui des sondes qui opèrent de l’interception en profondeur de paquets savent écouter des liaisons d’un débit de 100 Gbps. Ensuite, ce n’est qu’une question de capacité de traitement, mais pour cette problématique du traitement, les architectures sont scalables, ce n’est donc pas un frein technologique, il suffit d’y mettre les moyens.

Qui écoute qui ?

BERYTAR est un câble appartenant à 3 entités :

Le Ministère des Télécom libanais à hauteur de 46.875 %
Le Syrian Telecom Establishment (STE) à hauteur de 46.875 %
Arento (Espagne) à hauteur de 6.25 %

Les gens de la STE sont des gens assez sympas, nous allons le voir, qui sous-traitent leurs basses besognes à des entreprises locales qui prétendent faire de la sécurité informatique. Quand on jette un oeil à leur timeline Twitter, on comprend vite ce à quoi ils passent leur temps, la sécurité en question, c’est plutôt de la surveillance qu’autre chose.

Nous savons que le régime syrien a, à maintes reprises, marqué sa volonté de contrôler Internet à des fins de surveillance et de contrôle de l’information : empêcher les activistes d’envoyer des vidéos ou même d’empêcher l’utilisation de solutions d’anonymisation des flux Internet afin de mieux localiser les opposants. OpenVPN est par exemple totalement inopérant en Syrie (notamment grâce à Fortinet), les activistes doivent se tourner vers le réseau TOR, bien plus compliqué à bloquer.

Les réfugiés syriens en Jordanie, en Turquie ou au Liban sont ils en sécurité ? Peuvent-ils communiquer librement ? La réponse courte est :

non, et tout particulièrement au Liban

BERYTAR, le seul tuyau qui relie le Liban à la Syrie est d’une capacité idéale pour réaliser des interceptions globales en temps réel en utilisant de l’inspection en profondeur de paquets (DPI). Si Qosmos dit vrai et qu’il s’est finalement retiré du consortium européen pour le projet ASFADOR, le régime syrien a probablement trouvé, ou trouvera une autre entreprise pour le mettre en place.

Attention, cette information vaut pour TOUS les journalistes qui travaillent depuis les « bases arrières » et se pensent, eux et leurs sources en sécurité. Communiquer avec la Syrie implique donc 2 choses :

le chiffrement des données afin que les autorités syriennes ne puissent pas lire le contenu des communications
l’anonymisation des flux afin que les autorités syriennes ne puissent pas identifier émetteurs et récepteurs.

Tout journaliste qui ne procède pas à ces deux précautions met sa vie et celle de sa source en danger.

Billets aléatoirement en relation... ou pas:

L’Europe souhaite encadrer l’exportation de ventes d’armes numériques

mercredi 18 avril 2012 à 19:37

Si l’on devait compter sur la nature humaine pour faire preuve de la plus élémentaire des morales dans le business, on trouverait bien une entreprise française ou allemande pour aller déployer une centrale nucléaire en Corée du Nord ou en Iran. Si les armes numériques sont moins médiatiquement « dignes d’intérêt » que les centrales nucléaires, jusque là, il faut bien avouer que dans certains pays elles ont fait surement bien plus de victimes.

Il fallait bien une loi pour moraliser ce business d’armes qui ne sont pas même reconnues comme telles. C’est finalement le parlement européen qui envisage de légiférer sur les exportations de ces « jouets » à des gens comme Kadhafi ou Bachar El Assad. Ce n’est pour l’instant qu’une résolution visant à encadrer légalement les exportations d’outils de censure et de cyber surveillance aux régimes autocratiques… un premier pas.

Je suis en revanche profondément choqué par la méprisable indifférence de la classe politiques française sur ce sujet, en dehors d’une infime poignée, à l’image de Christian Paul, personne ne s’est soucié des morts et des torturés grâce à nos belles technologies françaises, financées à coups de millions par le fond stratégique d’investissement pour ne citer que lui. Plus cynique encore, la dizaine de questions de parlementaires n’aura trouvé comme réponse qu’un Gérard Longuet, qui après avoir fait chevalier de la légion d’honneur l’un de ces vendeurs de mort (le PDG d’Amesys/Bull), se paye le luxe de lire dans l’hemicycle un communiqué de presse rédigé par sa propre fille, directrice de la communication chez Bull.

Je me sens assez partagé sur cette résolution du parlement européen. Je suis dans un premier temps déçu qu’il faille une loi pour ça et que les commerciaux capables de telles ventes arrivent à se regarder dans un miroir. D’un autre côté, j’ai l’impression que le travail fourni avec les copains de Reflets, Telecomix, FHIMT, ou d’Owni pour démonter ces business nauséabonds n’aura peut être pas été du temps perdu. Et on se prend à rêver qu’une loi épargnera quelques vies… Merci au Parlement européen pour cette initiative.

Billets aléatoirement en relation... ou pas:

BBox Fibre by Numéricable… smells like p0wn4ge

mardi 10 avril 2012 à 10:34

Il y a quelques temps de cela, je vous avais raconté la belle histoire de Sam Synack et de la compromission totale de plusieurs millions de Neufbox. Certes, celle que je vais vous raconter aujourd’hui est moins spectaculaire, mais gageons que ce n’est que par manque de temps. Quand j’ai aménagé dans mon dernier appartement que j’ai voulu et choisi dans un périmètre de moins de 100m du NRA le plus proche, j’ai eu la mauvaise surprise de découvrir que ma ligne était raccordée sur un autre NRA, beaucoup plus loin et que ma dite ligne accusait une atténuation théorique de 82db. La bête, pas folle, avait choisi un immeuble câblé… enfin câblé. Avec des prises pas aux normes, problème que Numericable n’a jamais su détecter et que le technicien Bouygues a finalement refait de A à Z, surpris qu’il était que j’arrive à pinguer le premier routeur avec ce modem Castlenet backdooré et dont le wifi se couche dés qu’il prend 20 flux nntp dans la tête. Vous ferez une expérience sympa si vous êtes chez Numericable, quand le net tombe, scannez votre réseau, vous aurez la petite surprise de découvrir une interface de votre modem non documentée… et faillible.

Ce qui m’amène aujourd’hui ce n’est pas vraiment Numéricable… enfin si en fait, vu que les Bouygues Box vendues pour des « BBox fibres » sans port optique et qui n’ont strictement rien à voir avec de la fibre (oui c’est clairement de la pub mensongère, un peu comme si je disais que ma connexion RTC est une connexion fibre puisqu’elle passe par une fibre transatlantique quand je tweete), sont en fait connectées au réseau de Numéricable. Bouygues n’opère donc pas son propre réseau.

L’histoire commence comme d’habitude assez banalement, je cherche sur l’interface de la BBox le moyen de rentrer mes propres DNS pour que tous mes équipements puissent en profiter sans avoir à me taper tous les hosts files de mes machines.Et bien sachez qu’une telle interface n’existe pas sur les BBox, ce qui est tout bonnement inadmissible.

Une interface a cependant attiré mon attention, c’est celle des caractéristiques techniques de la ligne câble. On y découvre une IP LAN en 10.x.x.x. Il s’agit en fait de l’IP de votre BBox sur le LAN de Numéricable.. Elle vient donc en sus de votre IP publique et de l’IP sur votre LAN à vous (celle en 192.168.x.x).

Cette ip est accessible dans les caractéristiques de ligne, sans aucune authentification… ce qui est bien mais franchement pas top monsieur BouyguesBox Fibre Canada Dry. Vous voulez que je vous montre pourquoi ?

Avec mon ordinateur j’essaye de pinguer le voisin

$ ping 10.109.88.18
PING 10.109.88.18 (10.109.88.18): 56 data bytes
Request timeout for icmp_seq 0
36 bytes from border1.ge1-4.giglinx-17.sje003.pnap.net (66.151.157.225):
Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
 4 5 00 5400 3a8d 0 0000 3c 01 d4ff 10.8.2.150 10.109.88.18
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
--- 10.109.88.18 ping statistics ---
7 packets transmitted, 0 packets received, 100.0% packet loss

… Ça ne passe pas, rien de plus normal, on voit ce que ça donne avec nmap pour dire bonjour au voisin :

$ sudo nmap -sS 10.109.88.17 10.109.88.18
Password:

Starting Nmap 5.51 ( http://nmap.org ) at 2012-03-21 00:55 CET
Nmap scan report for 10.109.88.17
Host is up (0.033s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
25/tcp filtered smtp
554/tcp open rtsp
7070/tcp open realserver

Nmap scan report for 10.109.88.18
Host is up (0.32s latency).
Not shown: 991 closed ports
PORT STATE SERVICE
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open rtsp
7070/tcp open realserver

La box du voisin vient de me répondre… et ça, ça commence à être déjà plus surprenant. On va lui demander de se présenter un peu plus en détail.

$ sudo nmap -sS 10.109.88.17 -A 10.109.88.18

Nmap scan report for 10.109.88.18
Host is up (0.13s latency).
Not shown: 991 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open tcpwrapped
7070/tcp open tcpwrapped

Network Distance: 3 hops

TRACEROUTE (using port 3306/tcp)
HOP RTT ADDRESS
- Hop 1 is the same as for 10.109.88.17
2 624.42 ms 10.109.64.1
3 503.04 ms 10.109.88.18

Tiens, le Traceroute nous en apprend une bien bonne, nous avons un invité mystère sur 10.109.64.1… on va donc voir ce qu’il nous raconte

$ sudo nmap -sS 10.109.88.17 -A 10.109.64.1

Nmap scan report for 10.109.64.1
Host is up (0.18s latency).
Not shown: 994 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
554/tcp open tcpwrapped
2126/tcp open cops Common Open Policy Service (COPS)
7070/tcp open tcpwrapped
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).

Network Distance: 2 hops
Service Info: Host: ORL1CC

TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
- Hop 1 is the same as for 10.109.88.17
2 525.31 ms 10.109.64.1

Notre invité mystère est donc monsieur QoS. C’est donc la machine à DDoSSer si vous êtes en LowID sur Emule. Le /24 révèle des choses pas toujours très jolies jolies, il semble que quelques box soient carrément en mode open bar…

Nmap scan report for 10.109.64.243
Host is up (0.037s latency).
Not shown: 990 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open tcpwrapped
5000/tcp open upnp?
7070/tcp open tcpwrapped

Mais il y a plus inquiétant… A votre avis, il se passe quoi si on dump les paquets pendant une mise à jour de la BBox ? Je n’ai pas tenté le coup pour tout vous avouer. Mais tout ceci ne m’inspire pas franchement confiance, j’ai l’impression d’avoir vu des trucs un peu plus solides que ça niveau réseau d’un FAI.

Billets aléatoirement en relation... ou pas:

Vers une HADOPI du Jihad ou le jour où Nicolas Sarkozy a baissé son pantalon face au terrorisme

jeudi 22 mars 2012 à 19:43

Voilà le billet que je n’avais aucune envie d’écrire. Que ce soit ici sur Reflets ou ailleurs, je n’avais aucune envie de m’exprimer sur l’acte débile d’un con, psychopathe, et assez lâche pour se cacher derrière un dieu pour assassiner ses semblables, des militaires, des enfants. Difficile de ne pas penser aux proches des victimes, de ne pas leur témoigner notre soutien. Des morts gratuites, oui, tout le monde ne peut que condamner de tels actes.

Que dire de certains médias qui nous ont offert un bien pitoyable spectacle ces deux derniers jours, à tenir l’antenne 24 heures sur 24 avec des « on dirait », des « on m’a dit que », des « je crois que », des « je pense que », alors qu’ils ne savaient strictement rien et n’avaient aucune information pertinente à communiquer ? La palme de la nullité pourrait être attribuée à BFM. Saviez vous par exemple que pendant ces heures médiatiques de vide absolu le gouvernement malien essuyait un coup d’état ?… Non, les chaines de télévision préféraient nous abreuver de vide à l’affut de la moindre goutte de sang, gênant probablement les opérations des forces de l’ordre.

Le pétage de plomb de cet abruti ne pouvait pas tomber à un pire moment… en pleine campagne électorale. A partir du moment où le mot terrorisme a été lâché par les journalistes, je m’attendais, je ne sais pas pourquoi, à ce qu’un pseudo politique, une Nadine Morano, une Muriel Marland Militello, désigne Internet comme le coupable du produit de ses propres échecs. Mais campagne présidentielle oblige, cet honneur est revenu à Nicolas Sarkozy. Comme si le bilan de l’UMP n’était déjà pas assez risible.

Par delà ce que m’évoque le ridicule des propos de Nicolas Sarkozy qui s’est empressé de déclarer que toute personne qui visiterait des sites Internet faisant l’apologie du terrorisme serait pénalement punie, soit disant pour lutter contre l’endoctrinement…

C’est vrai que niveau endoctrinement, l’UMP en connait un rayon. Prenons au hasard le cas clinique bien connu dans nos pages de la député Muriel Marland Militello et voyons ce que ça donne en image…

Et oui… l’endoctrinement c’est moche hein? Et alors ? On va interdire tous les sites de l’UMP parce qu’une député confond Staline avec Nicolas Sarkozy ?

Mais il y a bien pire. Nicolas Sarkozy par cette déclaration, une fois de plus, baisse son pantalon devant le terrorisme. Il baisse son pantalon devant un fou en appliquant des lois de terreur à l’ensemble de sa population, par pure démagogie. La réaction du Président est la pire que l’on puisse imaginer.

Techniquement quand des illuminés se donnent rendez-vous sur un forum, l’avantage, c’est qu’on sait où il sont. Ils sont faciles à surveiller, à infiltrer. Bloquer des sites web, en plus d’être aussi crétin que de faire fermer les bibliothèques dans lesquelles on trouve Mein Kampf, on sait en outre que ça ne fonctionne pas. J’en avais déjà parlé à l’époque de la LOPPSI. Ces milieux, c’est pas sur leurs propres forums qu’ils recrutent ! C’est sur des espaces bien publics, comme les réseaux sociaux, et dans le cas précis du Jihad, c’est sur FACEBOOK, YOUTUBE, DAILYMOTION… que ça se passe! Concernant l’inéficacité du blocage de sites, voici un tableau récapitulatifs des techniques que pcinpact avait publié un moment et qui est toujours d’actualité.

Donc au lieu de les bloquer, ce que vient de proposer Nicolas Sarkozy, c’est une sorte d’Hadopi du Jihad, avec un TMG qui va devenir la police de la pensée du Net et qui sera chargée de coller des PV à toute personne qui voudra chercher à comprendre ces milieux… ou par exemple aux journalistes qui cherchent à les infiltrer pour les étudier. Ridicule et consternante, la déclaration électoraliste de Nicolas Sarkozy sera au mieux ce que je viens de vous décrire, au pire l’argument idéal pour placer de puissants moyens de surveillance en coeur de réseau qui seront autant de dispositifs qui violeront H24 les correspondances privées de tout le monde, en se passant parfaitement de l’avis d’un juge.

Ces outils existent, la France est même pas loin d’être championne du monde en la matière. Ces outils on les a bien testé en Libye grâce à Kadhafi, maintenant que ça fonctionne, pourquoi pas faire de la France une vitrine internationale de la surveillance de masse.

Ma conviction c’est donc qu’au lieu du blocage, si Nicolas Sarkozy est élu, nous aurons droit à ce qu’Orwell lui même n’imaginait pas. Dans la droite continuité de son oeuvre numérique sur ces 5 dernières années, comme le fichier des gens honnêtes s’il ne fallait citer que lui. Bref, la déclaration de Nicolas Sarkozy n’est qu’une manière de vous expliquer que non seulement ces outils sont déjà en place, mais qu’on va maintenant s’en servir pour écouter TOUTE la population…

Je ne sais pas ce qui m’écoeure le plus entre cette démagogie et l’honteuse récupération électoraliste. C’est brillant monsieur le président, vous venez de renoncer, vous venez de faire gagner la terreur en cherchant une fois de plus à restreindre de manière idiote les libertés de l’ensemble des citoyens, vous venez de céder face à un illuminé… il faut partir maintenant.

Billets aléatoirement en relation... ou pas:

Social DDoS : merde on a perdu Bachar #OpSyria

vendredi 9 mars 2012 à 20:05

Previously dans OpSyria : Il a quelques jours, nous dévoilions sur Reflets quelques photos de vacances de notre dernier séjour en Syrie. Nous sommes tombés sur une bonne dizaine de machines que nous suspections d’avoir été mises en place l’été dernier par l’italien Area Spa, ce peu avant qu’il se fasse prendre la main dans le pot confiture par Bloomberg. Il a depuis, semble t-il dénoncé le contrat, ce qui n’empêche pas les appliances qui opèrent la censure en Syrie de ronronner. Le souci des admins de Bachar, c’est qu’ils sont pas supers doués. En fait c’est même de belles quiches.

En jouant un peu avec un proxy BlueCoat de la Syrian Computer Society, je me suis rendu compte d’un phénomène paranormal. Je me mets à causer à cette machine. Elle m’explique que que comme tous les vendredi soirs chez Bachar, c’est happy hour sur certains ports :

Interesting ports on 77.44.210.6:
 Not shown: 979 closed ports
 PORT STATE SERVICE
 22/tcp filtered ssh
 23/tcp filtered telnet
 80/tcp open http
 81/tcp open hosts2-ns
 135/tcp filtered msrpc
 139/tcp filtered netbios-ssn
 443/tcp open https
 514/tcp open shell
 1720/tcp filtered H.323/Q.931
 1723/tcp filtered pptp
 2000/tcp filtered callbook
 3128/tcp open squid-http
 4444/tcp filtered krb524
 5060/tcp filtered sip
 8000/tcp open http-alt
 8008/tcp open http
 8080/tcp open http-proxy
 8081/tcp open blackice-icecap
 8088/tcp open unknown
 8090/tcp open unknown
 9090/tcp open zeus-admin

Alors pour rigoler je suis allé faire un tour là dessus : http://77.44.210.6:8090/. Et comme avec certains autres ports, me voilà téléporté sur cette URL : http://scs-net.org/files/index.html IP 213.178.225.50). Sans avoir l’oeil super exercé, on se dit que dans ce petit répertoire « files », il est possible qu’on trouve des trucs amusants… ce ne serait pas la première fois. On serait curieux pour moins non ? Notez que le site SCS-NET est celui d’un fournisseur d’accès un peu spécial en Syrie. Créé par Bachar El Assad lui même, il concentre les l33tz de la t34m D4m45… ouais ça fout la trouille. Mais attendez y’a encore plus flippant.


 ---------------------------------------------------------------------------
 + Target IP: 213.178.225.50
 + Target Hostname: scs-net.org
 + Target Port: 80
 + Start Time: 2012-03-10 17:38:20
 ---------------------------------------------------------------------------
 + Server: Microsoft-IIS/6.0
 - Root page / redirects to: /portal/
 + No CGI Directories found (use '-C all' to force check all possible dirs)
 + Microsoft-IIS/6.0 appears to be outdated (4.0 for NT 4, 5.0 for Win2k, current is at least 7.0)
 + Retrieved X-Powered-By header: ASP.NET
 + Retrieved microsoftofficewebserver header: 5.0_Pub
 + Retrieved x-aspnet-version header: 2.0.50727
 + Uncommon header 'microsoftofficewebserver' found, with contents: 5.0_Pub
 + Allowed HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
 + Public HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
 + OSVDB-396: /_vti_bin/shtml.exe: Attackers may be able to crash FrontPage by requesting a DOS device, like shtml.exe/aux.htm -- a DoS was not attempted.
 + OSVDB-3233: /postinfo.html: Microsoft FrontPage default file found.
 + OSVDB-3092: /guest/: This might be interesting...
 + OSVDB-3233: /_vti_inf.html: FrontPage is installed and reveals its version number (check HTML source for more information).
 + OSVDB-3500: /_vti_bin/fpcount.exe: Frontpage counter CGI has been found. FP Server version 97 allows remote users to execute arbitrary system commands, though a vulnerability in this version could not be confirmed. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-1999-1376. http://www.securityfocus.com/bid/2252.
 + OSVDB-67: /_vti_bin/shtml.dll/_vti_rpc: The anonymous FrontPage user is revealed through a crafted POST.
 + 3818 items checked: 13 item(s) reported on remote host

Vous ne rêvez pas ! Un FAI sous FrontPage ! Et un FAI qui hoste le dispositif de censure nationale ! Elle est pas belle la vie ? Du coup, juste pour rigoler j’ai tweeté cette URL : http://scs-net.org/_vti_bin/shtml.exe/aux.htm … et il semble que depuis, le site expérimente quelques petits désagréments, il est injoignable depuis presqu’une heure.

Chers admins Frontpage de la SCS, soyez forts dans votre tête, rallumez nous vite ce serveur j’en ai encore 3 ou 4 à tweeter… bisous !

Billets aléatoirement en relation... ou pas: