Archives for the month of: février, 2008

Escape 2 : Proxy fu

février 22, 08 //
0

Un post rapide et brute de fonderie pour parler des proxys.

Un proxy bien mis est le seul point de sortie vers Internet. On ne traitera que le proxy http(s) ici. La question est de savoir comment passer au travers.

  • La chaine proxy qu’on a en face de soi, que fait-elle ?
    • Antivirus : Bon la plupart du temps c’est en place. Ca ne nous gêne pas plus que ça mais bon il y a tout de même un minimum d’analyse sur la ligne et la méthode de gestion de cette analyse sera importante. Pour savoir si elle est en place, il faut tenter de télécharger un fichier eicar là-bas. Ce sont des fichiers de test d’antivirus qui ne sont pas nocifs.
    • Relais HTTP : Juste de l’inspection protocolaire. Mais les méthodes http sont peut-être filtrées et certaines interdites (connect surtout, hélàs pour nous). Pour savoir si la méthode connect est utilisable (l’AV peut aussi la bloquer), il faut aller vers les sites de streaming (dailymotion, last.fm , …). On teste ici si on peut lire le flux. Si le site entier est interdit c’est qu’il y a du :
    • Filtrage d’URL : Seulement certains sites sont autorisés. Facile à tester et si tu continues à lire ce post c’est peut être parce que tu en as en place.
    • Relais HTTPS : S’agit-il juste d’un relais tcp 443 ou bien vraiment d’une interception SSL ? Il faut aller sur un site classique en https, par exemple bnpparibas.net ou bien fastmail.fm . On cherche un site https qui fonctionne et qui ne soit pas intercepté. Pour le savoir, il faut trouver qui a signé le certificat du site visité, si c’est verisign ou une CA connue. si le signataire du certificat est l’entreprise dans laquelle on est ou le proxy lui-même, les flux https sont interceptés… mauvaise nouvelle.
  • Une fois les fonctionnalités recensées, que tenter pour passer ?
    • Sans filtrage d’URLs : A partir du moment où il n’y a pas de filtrage d’URLs, il faut trouver un proxy sous forme web (puisqu’en fait, on en utilise déjà un). Il en existe de plusieurs types plus ou moins pratiques :
      • Il y a celui de google qui traduit les pages en plus (et si on souhaite ne pas avoir de traduction il suffit de ne garder que la variable u dans l’URL) ou bien phpproxy .
      • Franchement débarqué picidae. Même s’il a des défauts, il est peut être le plus propre pour passer à travers un proxy puisque les pages web transférées ne sont pas compréhensible par l’analyse du proxy car elles sont sous forme d’image (démonstration là-bas).
    • Avec un filtrage d’URLs ça devient plus sportif. Les proxys énoncés au dessus sont souvent référencés et entrent dans une catégorie qui leur est dédiée. Il faut avouer que si celle-ci n’est pas bloquée c’est une erreur de configuration (et la fête du slip accessoirement). Si la catégorie des sites perso est autorisées il y a de fortes chances en installant l’un des proxys précédemment cités sur son serveur à soi qu’on puisse s’évader vers de verts pâturages.
    • Si les proxy sont bloqués non pas parce que le site est interdit mais parce que le proxy qu’on a déployé est détecté. Dans ce cas, s’il n’y a pas d’interception https, mettre le proxy qu’on héberge en https. Par contre si on ne peut toujours passer, on va mettre les mains dans le camboui.
  • A ce stade les solutions user-friendly ne sont pas efficaces. Et bien passons aux tunnels. Le principe d’un tunnel est de transmettre une session TCP mais une seule. Le plus pratique est de transmettre une connexion SSH donc. En suite, pour tunneliser son surf mon post précédent y a déjà répondu.
    • si le proxy ne surveille que le http et que pour le https on a le droit de sortir directement sur Internet, autant mettre son serveur ssh en écoute sur le port 443 et s’y connecter le plus simplement du monde.
    • Si le proxy autorise notre serveur et qu’il autorise la méthode connect, on est bon pour l’utilitaire httptunnel (un linux ou la combo windows-cygwin à chaque bout sont nécessaires).
    • S’il ne l’autorise pas en http mais en https et bien on utilise un stunnel et un SSH dedans. A noter que ça correspond aux VPN SSL dont certains sont gratuits (mais que je n’ai pas testé, ils sont peut être facile à installer qui sait ?). Par exemple OpenVPN ou SSLExplorer.

Si le proxy résiste encore, et il y a des chances pour que ça soit le cas, il faut passer par autre chose. Mais ça c’est une autre histoire…

Proxy 2nd round

février 21, 08 //
4

Mince une réponse aussi enflammée que la mienne. Ce post n’est pas compréhensible par qui n’aura pas lu la réponse en question et voici une tentative d’argumentation :

Je vais tenter d’être clair : un proxy, c’est utile. Il est idiot de cracher sur le rôle d’un proxy parce qu’on est pas d’accord avec la politique qu’il permet de mettre en place. Je ne mélange pas les rôles, je décris cette réponse à la con qui est de dire que puisque je n’aime pas, je jete.

Le problème du cache est quand le site est mis à jour et que le proxy ne suit pas. J’ai eu très peu d’occasion de le constater d’autant plus que certains proxy détectent la demande de mise à jour par l’utilisateur et mettent leur cache à jour en concéquence. Après tout, c’est tout de même le comportement que cherche à éviter tout proxy car c’est vraiment là qu’on les attend. Tu as le droit de râler si le cache est mal gérer. Par contre, tu m’as mal compris : Je fais une différence entre explications et approbation. J’expliquais et à aucun moment je n’approuvais. D’ailleurs c’est vraiment déplorable que certains se fassent encore avoir mais bon… y a quand même des sites web bien pourris qui ne facilitent pas la tâche.

En ce qui concerne le stade germinal d’une entreprise et bien… j’ai du mal comprendre car d’expérience si un budget n’est pas argumenté je ne me souviens pas avoir eu droit à des débauches de dépenses… j’ai du mal te comprendre.

Attaquons nous maintenant au gros morceau de la dérive totalitaro- fasho- stalino- préhistorico- bigbrotherienne de la configuration.

Pour ce qui est des entreprises qui font de mauvais choix et bien … que dire… ah je n’ai pas été clair ? C’est rageant d’être d’accord et ne pas avoir été compris. J’explicite donc : par cheffaillon je désignais les instances qui ne comprennent pas les tenants et aboutissants de leur choix et par crétin, le luser (terme que je ne connaissais pas et bien trouvé). Quand je parle de GU je parle de luser en effet car étonnamment c’est toujours le crétin qui râle le plus, celui par qui tout arrive et surtout celui qui par son comportement justifie les décisions du cheffaillon. Je souligne qu’à aucun moment je n’ai dit que le crétin et le cheffaillon devaient être des personnes différentes.

De plus, à aucun moment je n’ai approuvé la solution de bloquer les catégories non-critiques (trojans and co.). Qu’on ne me fasse pas porter le chapeau de la dérive totalitaire du bignou et puis dire que c’est la faute du service informatique… bravo. Vraiment bravo. C’est donc aussi la faute au stylo pour les PV, de la roue pour les excès de vitesse, des maths pour la bombe H. Toi qui parlais de troll…

NB : A propos de la pub pour websense, mais je ne vois pas en quoi je leur fais de la pub. Et puis puisque que ne donner qu’un exemple c’est prendre parti citons BlueCoat, SmartFilter, SurfControl, Optenet et j’en passe.

PS : Si ces échanges devaient continuer, vu que tu es de Paris, je te propose d’en débattre de vive voix dans un bar.

Proxy

février 20, 08 //
6

Suite du poste précédent où je parlais SSH ici on va parler plus proxy et ce qui tombe à point nommé quand on lit quelques posts de ci, de , de là bas et d’ailleurs encore. Le soucis c’est que je vais tenter d’informer un peu ces GU (gentils utilisateurs ou usagers). Je vais tenter de ranger un temps les termes techniques même si ça ne va peut être pas durer. D’ailleurs pour les infos plus techniques elles viendront… bientôt.

Bon d’abord qu’est-ce que c’est que ce proxy à la con dont ils parlent. Un proxy dans le contexte des flux web dans une entreprise c’est une boiboite qui filtre ce qui passe. Elle a plusieurs fonctions et entre même dans le classique des mesures de sécurité pour protéger ce cher GU de lui même.

Que ce soit clair j’emploie GU ici avec tout le mépris possible. C’est celui dont on parle tout le temps et qui ne se sent jamais visé. C’est lui le crétin qui va sur astalavista.box.sk pour en revenir avec trent-six trojans ou bien sur le premier lien reçu dans sa boîte perso pour downloader cet utilitaire… ludique certe mais bon counter c’est pas la mort à la pause déjeuner et puis il l’a trouvé en téléchargement gratuit sur un site russe ! Que le premier qui dise que ce crétin n’existe pas se prenne un toucher rectal à la bate de base ball car ils sont légion et en plus ils se relaient.

Bon je m’enflamme un peu sans doute mais vous comprendrez maintenant qu’il faut protéger les GUs de l’entreprise. C’est la vertue première du proxy : ca n’est pas l’utilisateur qui va sur internet avec son navigateur mais le proxy qui surfe à sa place et prend tout les risques. Chaque téléchargement soigneusement réalisé et passer à la moulinette antivirus (si les k€ ont été débloqués).

L’autre grande fonctionnalité du proxy est de rentabiliser le lien Internet. Quand 300 personnes vont sur google toutes les demie-heure, on ne va pas télécharger l’image à chaque fois. Le proxy fait alors un rôle de cache (en anglais, de tampon en français). Quand 5 personnes aiment écouter Europe1 (j’ai vu) dans la société et bien non, on ne va pas télécharger Europe1 cinq fois mais une seule et le flux sera splité par le proxy. Qu’on ne me dise pas qu’il suffit d’augmenter la taille de la liaison Internet pour y arriver.

Car ce tuyau coûte cher ! On factorise donc au maximum les téléchargements mais ça ne fait pas tout et le payeur veut savoir ce qu’on y fait. Allez dire à un cheffaillon qu’il est plus sage pour lui d’apprendre le management plutôt que d’interdire la catégorie ‘jeux’ dans le proxy… Allez justifier le fait que facebook réalise 20% (je ne plaisante pas) des downloads mensuelles d’une entreprise de recherche pétrolière… Au lieu d’interdire site par site le traffic on paie pour ça une catégorisation d’URLs. Et ça se finit par : « Fillez-moi cette liste qu’on ne laisse que ce qui est utile ». Voilà comment on se retrouve avec les meetic, fessebook, myspaces à la trape.

Un soucis est que les fournisseurs de catégories d’URLs sont rarement français, parfois européens et souvent américains. La liste des catégories disponibles est étoffées en général et malgré la granularité, on se retrouve avec des classements parfois surprenant comme des blogs qui passent dans la catégorie ‘X’ et des sites fréquentables dans la catégorie ‘douteuse’. La différence de culture n’aide pas.

Mais voilà. On a commencé à scruter se qui passe sur cette connexion et les moyens de contrôle sont nombreux. Ainsi il faut savoir que si on s’identifie sous windows, chaque log du proxy peut contenir l’identifiant su surfeur. Réaliser un top ten des employers qui téléchargent le plus est un jeu d’enfant. Et de là à pointer les plus gladeurs il n’y a qu’un pas. En plus il n’ a pas que le HTTP qui soit scrutable, par exemple les proxy IM ou mail existent aussi et peuvent logger. Heureusement la CNIL veille et chaque utilisateur doit être au courant de la présence d’un proxy filtrant.

Au final on se retrouve avec un contrôle presque total sur le surfs des employés. Il ne reste qu’à bien réfléchir sur qu’autoriser et à qui. Bien sûr il est facile d’être trop répressif. Mais pour tout soucis de catégorisation veuillez vous rapprocher du chefaillons et du crétin précédemment cités.

NB : Je ne parle pas du cas de Matou qui est tombé sur un bug préhistorique. La corruption du cache d’un proxy est une attaque digne des 90′s. Oui j’ai bien dit attaque car consulter les mails des commerciaux ou du patron c’est pas cool.

NB : Dans certains cas les catégories sont mises à jour toutes les heures pour suivre les sites de malwares ou des contournement de proxy, justement.

What a hacker is

février 11, 08 //
0

When I say hackers, I don’t mean criminals. There has been a lot of confusion surrounding this terminology, ever since the mass media started reporting computer break-ins. Originally, it was a compliment applied to technically adept computer programmers and system administrators. If you had a problem with your system and you needed it fixed quickly, you got your best hacker on the job.They might “hack up” the source code to fix things, because they knew the big picture.While other people may know how different parts of the system work, hackers have the big picture in mind while working on the smallest details.This perspective gives them great flexibility when approaching a problem, because they don’t expect the first thing that they try to work.

Stealing the network: How to Own the box ; page xix

Les 36 stratagèmes

février 9, 08 //
0

Les 36 Statagèmes

L’art de la guerre est à la mode ces dernières années. Mais je n’ai pas trouvé d’avis critique vraiment à son propos. On parle de ses applications, de son esprit. On souligne qu’il a écrit ça il y a quelques temps mais personne ne dit ce qu’il est vraiment, à savoir un manuel stratégique appliqué à la guerre, la vraie. Même s’il concidère qu’arriver à l’affrontement des armées est un échec, il ne parle que de l’affrontement entre factions.

Bien sûr il est possible d’élargir cette vision à tout conflit, physique, moral ou social. D’ailleurs Pierre Fayard le fait très bien dans Comprendre et appliquer Sun Tzu : Il élargit cette pensée en la replaçant dans son contexte hitorique des royaumes combattants et phylosophique détaillant la vision Yin/Yang des stratagèmes.

Voilà le mot est laché. Stratagème. Je ne suis pas qualifier plus que ça mais il me semble étrange que tout le monde fasse référence à Sun Tzu sans parler des 6 cahiers qui forment les 36 stratagèmes. En fait les 36 stratagèmes sont un véritable panel de design patterns stratégiques. Et je parle bien de stratégie, non pas de tactique ni d’applications particulières, comme la guerre. Dans cet ouvrage le mot guerre désigne un conflit au sens large.
L’ouvrage est donc découpé en 6 cahiers :

  • Stratagèmes de la guerre victorieuse
  • Stratagèmes de la guerre de résistance
  • Stratagèmes de la guerre offensive
  • Stratagèmes de la guerre confuse
  • Stratagèmes de la guerre de conquête
  • Stratagèmes de la guerre perdue

On peut s’amuser devant le pragmatisme chinois toujours à l’oeuvre avec des stratagèmes qui entrent dans la catégorie des coups de couteaux dans le dos comme « Cacher un couteau derrière un sourire » ou bien « Retirer l’échelle après avoir fait grimper l’autre au toit ». Mais au moins chaque stratagème est réfléchi, même le 36ème, le stratagème des stratagèmes : la fuite. Partant du principe qu’une guerre ne vaut le coup d’être menée que si elle est totale, il est normal de réfléchir même aux traîtrises ou les sacrifices nécessaires pour se rendre maitre d’une situation.

Ce livre des 36 stratagèmes est bien écrit. Il a bien sûr quelques défaut comme les hexagrames qui n’ont pas le temps d’être expliqués (d’autres s’en chargent comme Le discours de la tortue sur lequel je reviendrai) et font, du coup, un peu tâche parfois. Je le recommande à qui veut approfondire le sujet mais après avoir lu Comprendre et appliquer Sun Tzu qui est plus abordable.

Nota : Je ne sais pas où le dire donc je le mets à la fin. Je dois souligner que le livre L’art de la guerre ciblé par ce lien est vraiment déplorable. Il s’agit d’une thèse mal écrite dont le but n’est pas d’expliquer Sun Tzu mais d’avoir une analyse littéraire particulièrement innapropriée de cette oeuvre.

Leeching the web [20080204]

février 4, 08 //
0