Archives for the year of: 2008
Newer Entries »

Proxy

février 20, 08 //
6

Suite du poste précédent où je parlais SSH ici on va parler plus proxy et ce qui tombe à point nommé quand on lit quelques posts de ci, de , de là bas et d’ailleurs encore. Le soucis c’est que je vais tenter d’informer un peu ces GU (gentils utilisateurs ou usagers). Je vais tenter de ranger un temps les termes techniques même si ça ne va peut être pas durer. D’ailleurs pour les infos plus techniques elles viendront… bientôt.

Bon d’abord qu’est-ce que c’est que ce proxy à la con dont ils parlent. Un proxy dans le contexte des flux web dans une entreprise c’est une boiboite qui filtre ce qui passe. Elle a plusieurs fonctions et entre même dans le classique des mesures de sécurité pour protéger ce cher GU de lui même.

Que ce soit clair j’emploie GU ici avec tout le mépris possible. C’est celui dont on parle tout le temps et qui ne se sent jamais visé. C’est lui le crétin qui va sur astalavista.box.sk pour en revenir avec trent-six trojans ou bien sur le premier lien reçu dans sa boîte perso pour downloader cet utilitaire… ludique certe mais bon counter c’est pas la mort à la pause déjeuner et puis il l’a trouvé en téléchargement gratuit sur un site russe ! Que le premier qui dise que ce crétin n’existe pas se prenne un toucher rectal à la bate de base ball car ils sont légion et en plus ils se relaient.

Bon je m’enflamme un peu sans doute mais vous comprendrez maintenant qu’il faut protéger les GUs de l’entreprise. C’est la vertue première du proxy : ca n’est pas l’utilisateur qui va sur internet avec son navigateur mais le proxy qui surfe à sa place et prend tout les risques. Chaque téléchargement soigneusement réalisé et passer à la moulinette antivirus (si les k€ ont été débloqués).

L’autre grande fonctionnalité du proxy est de rentabiliser le lien Internet. Quand 300 personnes vont sur google toutes les demie-heure, on ne va pas télécharger l’image à chaque fois. Le proxy fait alors un rôle de cache (en anglais, de tampon en français). Quand 5 personnes aiment écouter Europe1 (j’ai vu) dans la société et bien non, on ne va pas télécharger Europe1 cinq fois mais une seule et le flux sera splité par le proxy. Qu’on ne me dise pas qu’il suffit d’augmenter la taille de la liaison Internet pour y arriver.

Car ce tuyau coûte cher ! On factorise donc au maximum les téléchargements mais ça ne fait pas tout et le payeur veut savoir ce qu’on y fait. Allez dire à un cheffaillon qu’il est plus sage pour lui d’apprendre le management plutôt que d’interdire la catégorie ‘jeux’ dans le proxy… Allez justifier le fait que facebook réalise 20% (je ne plaisante pas) des downloads mensuelles d’une entreprise de recherche pétrolière… Au lieu d’interdire site par site le traffic on paie pour ça une catégorisation d’URLs. Et ça se finit par : « Fillez-moi cette liste qu’on ne laisse que ce qui est utile ». Voilà comment on se retrouve avec les meetic, fessebook, myspaces à la trape.

Un soucis est que les fournisseurs de catégories d’URLs sont rarement français, parfois européens et souvent américains. La liste des catégories disponibles est étoffées en général et malgré la granularité, on se retrouve avec des classements parfois surprenant comme des blogs qui passent dans la catégorie ‘X’ et des sites fréquentables dans la catégorie ‘douteuse’. La différence de culture n’aide pas.

Mais voilà. On a commencé à scruter se qui passe sur cette connexion et les moyens de contrôle sont nombreux. Ainsi il faut savoir que si on s’identifie sous windows, chaque log du proxy peut contenir l’identifiant su surfeur. Réaliser un top ten des employers qui téléchargent le plus est un jeu d’enfant. Et de là à pointer les plus gladeurs il n’y a qu’un pas. En plus il n’ a pas que le HTTP qui soit scrutable, par exemple les proxy IM ou mail existent aussi et peuvent logger. Heureusement la CNIL veille et chaque utilisateur doit être au courant de la présence d’un proxy filtrant.

Au final on se retrouve avec un contrôle presque total sur le surfs des employés. Il ne reste qu’à bien réfléchir sur qu’autoriser et à qui. Bien sûr il est facile d’être trop répressif. Mais pour tout soucis de catégorisation veuillez vous rapprocher du chefaillons et du crétin précédemment cités.

NB : Je ne parle pas du cas de Matou qui est tombé sur un bug préhistorique. La corruption du cache d’un proxy est une attaque digne des 90′s. Oui j’ai bien dit attaque car consulter les mails des commerciaux ou du patron c’est pas cool.

NB : Dans certains cas les catégories sont mises à jour toutes les heures pour suivre les sites de malwares ou des contournement de proxy, justement.

What a hacker is

février 11, 08 //
0

When I say hackers, I don’t mean criminals. There has been a lot of confusion surrounding this terminology, ever since the mass media started reporting computer break-ins. Originally, it was a compliment applied to technically adept computer programmers and system administrators. If you had a problem with your system and you needed it fixed quickly, you got your best hacker on the job.They might “hack up” the source code to fix things, because they knew the big picture.While other people may know how different parts of the system work, hackers have the big picture in mind while working on the smallest details.This perspective gives them great flexibility when approaching a problem, because they don’t expect the first thing that they try to work.

Stealing the network: How to Own the box ; page xix

Les 36 stratagèmes

février 9, 08 //
0

Les 36 Statagèmes

L’art de la guerre est à la mode ces dernières années. Mais je n’ai pas trouvé d’avis critique vraiment à son propos. On parle de ses applications, de son esprit. On souligne qu’il a écrit ça il y a quelques temps mais personne ne dit ce qu’il est vraiment, à savoir un manuel stratégique appliqué à la guerre, la vraie. Même s’il concidère qu’arriver à l’affrontement des armées est un échec, il ne parle que de l’affrontement entre factions.

Bien sûr il est possible d’élargir cette vision à tout conflit, physique, moral ou social. D’ailleurs Pierre Fayard le fait très bien dans Comprendre et appliquer Sun Tzu : Il élargit cette pensée en la replaçant dans son contexte hitorique des royaumes combattants et phylosophique détaillant la vision Yin/Yang des stratagèmes.

Voilà le mot est laché. Stratagème. Je ne suis pas qualifier plus que ça mais il me semble étrange que tout le monde fasse référence à Sun Tzu sans parler des 6 cahiers qui forment les 36 stratagèmes. En fait les 36 stratagèmes sont un véritable panel de design patterns stratégiques. Et je parle bien de stratégie, non pas de tactique ni d’applications particulières, comme la guerre. Dans cet ouvrage le mot guerre désigne un conflit au sens large.
L’ouvrage est donc découpé en 6 cahiers :

  • Stratagèmes de la guerre victorieuse
  • Stratagèmes de la guerre de résistance
  • Stratagèmes de la guerre offensive
  • Stratagèmes de la guerre confuse
  • Stratagèmes de la guerre de conquête
  • Stratagèmes de la guerre perdue

On peut s’amuser devant le pragmatisme chinois toujours à l’oeuvre avec des stratagèmes qui entrent dans la catégorie des coups de couteaux dans le dos comme « Cacher un couteau derrière un sourire » ou bien « Retirer l’échelle après avoir fait grimper l’autre au toit ». Mais au moins chaque stratagème est réfléchi, même le 36ème, le stratagème des stratagèmes : la fuite. Partant du principe qu’une guerre ne vaut le coup d’être menée que si elle est totale, il est normal de réfléchir même aux traîtrises ou les sacrifices nécessaires pour se rendre maitre d’une situation.

Ce livre des 36 stratagèmes est bien écrit. Il a bien sûr quelques défaut comme les hexagrames qui n’ont pas le temps d’être expliqués (d’autres s’en chargent comme Le discours de la tortue sur lequel je reviendrai) et font, du coup, un peu tâche parfois. Je le recommande à qui veut approfondire le sujet mais après avoir lu Comprendre et appliquer Sun Tzu qui est plus abordable.

Nota : Je ne sais pas où le dire donc je le mets à la fin. Je dois souligner que le livre L’art de la guerre ciblé par ce lien est vraiment déplorable. Il s’agit d’une thèse mal écrite dont le but n’est pas d’expliquer Sun Tzu mais d’avoir une analyse littéraire particulièrement innapropriée de cette oeuvre.

Leeching the web [20080204]

février 4, 08 //
0

Le grand méchant hacker

janvier 30, 08 //
0

Lundi matin, Le Monde écrit pour DirectMatin en page 10 un article dont le titre est « le hacker de la Générale ». Je cite donc un joli morceau :

Le suspect, s’il était un trader encore débutant, semble en revanche un informaticien hors pair, soulignent les enquêteurs, un profil proche de ces hackers capables de s’introduire frauduleusement dans les systèmes informatiques ses mieux protégés.

voilà un joli condensé de n’importe quoi ! Heureusement que ces journalistes savent de quoi ils parlent. En les écoutant on a l’impression que certains individus choisis au hasard n’auront besoin que de peu de temps pour passer du stade jeune trader trentenaire débutant au stade du technomancien ou d’un X-men !

Voici donc en exclusivité comment repérer qu’un journaliste, qui parle de la chose informatique, ne maitrise rien :

  • Le mot hacker : en effet un journaliste généraliste est incapable de faire la différence entre hacker, pirate et amateur. Un hacker est donc forcément méchant. Tout comme un savant au temps de l’inquisition.
  • L’informatique est une science occulte qui n’est maitrisée que par des autistes, des génies ou des boutonneux (voir les trois). Ces X-men ont un pouvoir assimilable au passe-muraille pour reprendre l’image qu’ils adorent (ou Shadowcat pour ceux qui arrivent à suivre mon histoire de X-men)

Ce qui me rassure c’est que je ne suis pas le seul à me poser des questions, cf Embruns.

Escape : SSH fu

janvier 25, 08 //
0

Juste un post rapide pour parler de ce qu’on peut faire avec une connexion SSH.

  • Le client :
    • Pour ceux qui ont accès à un linux/unix la commande ssh est Le client parfait. Je rappelle que MacOS est un unix.
    • Pour ceux qui ne possèdent qu’un windows putty est impeccable. Pour ceux qui ne possèdent pas les droit pour accéder à la base de registre (et oui putty y stocke sa conf), la version de putty par portable apps leur conviendra.
  • Le serveur :
    • Avoir un compte sur une machine à soi : Un linux ou un unix, c’est parfait. Le serveur s’appelle opensshd. Pour win, il existe un démon sshd sous cygwin. Pour les plus bourrins, une vmware avec un *nux n’est pas mal non plus.
    • Avoir un compte sur une machine que l’on connait. Ca va du compte sur le serveur d’un ami, de sa dedibox, son serveur OVH ou un accès oublié dans son ancienne boite.
    • Avoir un compte sur une machine inconnue. Il semblerait qu’il soit possible d’en avoir et la liste des serveurs qui en proposent sont là bas.
  • Une fois une connexion obtenue, il reste à l’exploiter :
    • Toujours marrant bien qu’inutilisable w3m qui même s’il reste un navigateur par la console est quand même mieux que l’ancêtre lynx.
    • Plus pratique, le forward de port TCP. Ce sont des tunnels. Sous linux, cherchez du côté de l’option -L. Sous win, putty, dans l’arbre de la configuration Configuration > SSH, Tunnels. Par sécurité le tunnel ne forwarde que les connexions émanant du poste qui a initié la connexion. L’option -g lève cette restriction sous nux et une checkbox dans putty. Simple et pratique. Mais ça ne fonctionne que si la destination est statique et connue au moment de l’ouverture du tunnel et qu’il s’agit de TCP. De plus le tunnel a un sens (de la source vers la cible ou le contraire (option -R ou Remote dans putty)).
    • Plus pratique encore le proxy socks ou port dynamique. C’est un proxy TCP. La connexion SSH prendra les flux en entrée et fera une résolution DNS une fois arrivé sur le serveur. Sous firefox, déclarez simplement un proxy SOCKS 5 avec le port qu’on a choisi comme ‘port dynamique’. Sous réserve d’avoir bien mis l’option qu’il fallait (sous firefox 2, il faut activer l’option network.proxy.socks_remote_dns dans about:config), on peut maintenant surfer via le tunnel et en chiffré. En fait du moment que l’application implémente la gestion des proxys Socks ça passera (Pidgin, ThunderBird,…). Mais encore une fois, la connexion a un sens (j’ai lu que SOCKS5 supportait le TCP et l’UDP mais je n’ai pas testé).
    • Plus violent, le tunnel ethernet over SSH. Ca ne fonctionne pour l’instant que sous linux, l’option est -W. Il faut des droits particuliers et un peu de préparation l’interface tun sur le serveur et, ce qui n’est pas dit dans l’article, penser à mettre les routes ou le NATage qui vont bien pour que les paquets qui sortent du tunnel reviennent bien par le même chemin. On a ici affaire à un VPN LAN2LAN.
  • Les problèmes restant sont peut être comment faire passer un SSH vers l’extérieur :
    • Dans le cas d’un simple FW, il est peut être judicieux de faire écouter son serveur SSH sur les port 443 ou même 80.
    • S’il y a un proxy sur la ligne ou bien si on héberge des sites web sur la machine, il faudra faire un peu de conf reverse proxy sur apache (ou squid mais bon je n’en ai pas sous le coude). En suite un httptunnel devrait passer.
    • Si le proxy est plus costaud encore et bien, il y a sans doute un utilitaire à développer (un jour si j’ai le temps, la motivation, besoin de reconnaissance de ce monde hostile) ou alors la solution serait peut être de passer par autre chose comme l’ICMP ou (et c’est plus crédible) le DNS.

En petite note de fin, notez qu’il ne faut pas être irresponsable car vu les systèmes de traçage, on pourra presque toujours vous retrouver. Parfois, c’est même l’antivirus du poste qui cafte. Et pour le point final, je souligne que ce post est juste fait afin de recenser les possibilités. A vous d’approfondir.

La condition humaine

janvier 24, 08 //
0

Tasha Maltby and Dani Graves

La norme, la moral, la tolérance, le respect de chacun,… c’est beau comme concept. Bon, un peu de pratique : Un couple qui se balade l’air de rien, l’homme tenant sa femme en laisse. C’est mal ou pas ?

Bon sans trop réfléchir je dirais qu’il a été établi pendant des périodes obscures de nos sociétés qu’il fallait empêcher la dégradation humaine même consentie. A cela s’ajoute le fait que l’homme ne doit pas être l’égal d’un animal. Je dis ça en hommage à ce cher Darwin mais aussi à toutes ces règles de survie de notre espèce. Avec, en autre, l’abatage de tout animal ayant gouté la chair humaine, c’est un principe d’espèce dominante.

Je pense que le vrai fond du problème est que peut-on montrer aux enfants. Car pour ma part je m’en contrefiche mais si mon gosse me demandait pourquoi la madame elle est en laisse, je serais bien en mal de ne pas lui inculquer quelques préjugés de bas étage juste pour qu’il comprenne qu’il va avoir déjà assez à faire avec sa puberté, ses boutons et sa connerie de crise identitaire pour en rajouter d’ici sa majorité.

Par contre ces deux tourtereaux sont passés à côté de certaines choses :

  • Faire porter un collier étrangleur n’est pas la meilleure chose un semi-étrangleur les ferait toujours autant triper mais les risques de mort passeraient risques de perte de conscience, avec moins de bris de cervicales à la clé.
  • De plus, quand un chauffeur de bus leur dit « We don’t let freaks and dogs like you on », ils devraient bien voir qu’aucune loi n’interdit un chien de cette race à monter dans un bus en Angleterre.
  • Enfin, je pense qu’ils ont mal compris le « human pet ». Car depuis quand un « pet » a des revendications ?! Qu’ils parlent de « petty Human » et là je suis d’accord.

Au final je suis tout de même surpris que cette histoire se passe en angleterre. D’une part parce que je pensais le flegme britannique étendu aux chauffeurs de bus mais aussi parce que je verrais plus ça du côté des américains vu comment il font dans la demie mesure. Mes clichés ont la vie dure…

(via Patrick Lagacé)

Geek song

janvier 22, 08 //
0

Bon et bien quoi qu’en disent les paroles, Botten Anna* a eu son take over. Basshunter a délaissé le geek, la référence que-tout-le-monde-il-ne-comprend-pas ainsi que les suédoises, bref l’essense de la chanson, pour mettre ça à la sauce américaine. C’est un carnage : de la pouf californienne en boite. Entre les deux clips le passage de IRC à MSN résume assez bien le sacrilège.
J’espère qu’il ne touchera pas à DotA ou alors il ne restera plus que la copine du geek ; dans un autre style certe mais la seule à ma connaissance à parler d’un geek.

(via Digitalyn)

* : En anglais (et en suédois) bot sonne comme boat et channel comme… channel d’où le jeu de mots avec le pédalo sur le canal dans le clip.

I hate mondays

janvier 21, 08 //
0

1/8 M+(D-p) 3/8xTA NxBa

Où :

M : météo
D : dettes
p : paie perçue en janvier
T : période écoulée depuis Noël
A : période écoulée depuis l’abandon des bonnes résolutions
N : niveau de motivation
BA : besoin d’agir

On en déduirait d’après Cliff Arnall que le lundi le plus proche du 24 janvier est le jour le plus déprimant de l’année et que le jour le plus heureux est vers le 23 juin.

Rapporteur

janvier 17, 08 //
0

Je me pose des questions sur ce qu’on voit du journalisme à la télévision. Ce matin, la matinale :

Leclerc enlève des produits sous prétexte qu’ils ont trop augmentés []. Il le fait en l’affichant en 3 par 4 un peu partout. Mais est-ce vraiment pour aider le consommateur ou bien un coup de pub ?

Gardant tout sens logique, on va interroger des députés, grands spécialistes cela va sans dire. On ne peut qu’admirer la qualité des conclusions qui vont du préjugé contre les grandes marques à l’interrogation. Hé oui en bref ils ne savent rien.

Pas d’analyse. Même pas d’expert en pouvoir d’achat interrogé et pourtant, depuis le temps qu’on nous en parle, il doit bien y en avoir qui s’en revendique. Mais alors aurait-on affaire à un travail de journaliste ou à un simple relais, à un rapporteur ?

Edit : Ô joie ! Il semblerait qu’après avoir relayé l’information, l’émission de la matinale a corrigé le tir. Le dénommé Léon a analysé ce qui était analysable (les prix négociés par les grandes surfaces étant quelque peu… non communiqués en fait).

Newer Entries »