Category Archives: Technology

Tips and test on technological product and components. Operating system, networks, hardware, security…
Astuces et tests autour de produits et composants technologiques, systèmes, réseaux, hardware, sécurité …

Création d’espace crypté sous Linux

Posted on by
Reply

Lorsque l’on souhaite crypter des données avec Linux, il est assez simple de créer une partition cryptée, celle-ci est montée au démarrage ou à la demande ; le disque seul, sans mot-de-passe, devient inutilisable.
Toutefois, cette solution ne permet pas bien, ni la sauvegarde des données cryptées, ni le déplacement physique de ces données, ni leur copie lors d’une réinstallation qui devient alors une étape critique.

La solution à ces problèmes est l’utilisation d’un fichier crypté plutot que d’une partition cryptée. Le fichier en question sera une parition logique cryptée ou cryptofile. La partition logique ainsi crée est en réalité un fichier qui pourra donc être manipulé comme tel.
La création passe par plusieurs étapes :

  • Créer une partition logique initialisée aléatoirement de sorte à faire du bruit.
    dd if=/dev/urandom of=systFile1 bs=1k count=300000
    Cette commande initialise un fichier systFile1 de 300000 blocs de 1ko. Le nombre et la taille des blocs est à votre discretion.
  • Il faut ensuite associer ce fichier à un périphérique loop qui va permettre, non seulement de considérer le fichier comme un périphérique et de le traiter, donc, comme une partition physique, mais aussi de gérer le cryptage / décryptage des informations.
    losetup -e twofish256 -T /dev/loop0 systFile1
    twofish256 est le cryptage retenu, l’option -T va demander 2 fois la saisie du mot de passe, /dev/loop0 correspond au périphérique loop, il est possible de choisir loop1, loop2… enfin on trouve le fichier précédemment créé.
  • Il reste à formater la partition :
    mkfs -t ext2 /dev/loop0
  • Enfin, la partition peut être montée comme n’importe quelle autre à l’aide de mount :
    mount -t ext2 /dev/loop0 mnt/

Cette solution fonctionne parfaitement, toutefois, en cas de saisie d’un mot de passe erroné, le système à tendence à bloquer n’arrivant pas à monter la partition. Des options permettent sans doute d’eviter cela… si vous le connaissez, donnez-les mois ;o).
Petite remarque enfin, n’oubliez pas de monter le module loop_fish2

Mots de passe, attaque brute force, sécurité

Posted on by
Reply

A la question votre mot de passe est-il sûr, la réponse est … vérifiez-donc !

Je me posais cette question depuis quelque temps ce qui est l’occasion de faire un petit article sur la chose. La recherche de mots de passe ne se déroule pas comme dans les films, en testant sur le site tous les mots de passe possible ; on ne trouve pas non plus les digit un à un ; effet cinématographique mais mathématiquement idiot …
La recherche de mots-de-passe est généralement possible à partir du moment où celui qui veut le cracker va le posséder. Pas évident me direz-vous mais combien t’entre nous utilisent le même password pour la maison, le travail, l’internet… autant d’opportunités pour un pirate éventuel de se le procurer. D’où la première règle : à son environnement son propre mot-de-passe ; ou en posséder plusieurs par classe de sécurité.

Bref obtenir des passwords n’est pas très compliqué, toutefois, ceux-ci sont cryptés selon des méthodes non réversibles, c’est à dire qu’il ne sera pas possible de décrypter le mot de passe lu. Par ailleurs, la version cryptée ne permet pas de présager du nombre de lettres ni du type de lettres. Le décryptage se fait donc par comparaison, il suffit donc d’essayer toutes les combinaisons possibles, de les crypter et de comparer le résultat obtenu avec celui recherché. Si les deux chaines cryptées sont identique le mot-de-passe courant sera le bon. Simple donc !

C’est là que les math entre en jeu. Combien de temps faut-il pour trouver la chaîne initiale ? Tout celà dépend du nombre de combinaisons possibles, lors d’une attaque brutale c’est le nombre de [caractères différents] à la puissance [nombre de caractères de la chaîne]. Le temps est donc fonction de la taille de la chaine et des caractères utilisés. Voici quelques exemples :

Sur un Athlon XP 2400@1.5GHz :
Chaine numérique pure :

  • 7 digits : 5 secondes
  • 8 digits : 1 minute

Chaine alphabétique en minuscules:

  • 6 digits : 6 secondes
  • 7 digits : 2 minutes
  • 8 digits : 14 minutes

Chaine alpha_num minuscules/majuscules:

  • 4 digits : 7 secondes
  • 5 digits : 8 minutes
  • 6 digits : 84 minutes

Chaine tous caractères:

  • 4 digits : 38 secondes
  • 5 digits : 1 heure
  • 6 digits : 100 heures

Suivant ses résultats, je tire deux conclusion, l’usage de chaines composée d’une maj, d’un symbol spécial suffit pour obliger l’usage d’une recherche tous caractères et c’est dans ce cas que les performances sont vraiment amoindries. Car la logique veut que l’attaquant essayes les combinaisons les plus simples en premier avant le mode tout caractère vu l’ecart significatif dans les temps de traitement.
La seconde conclusion concerne la taille, il est evident qu’une chaîne avec une longueur inférieur à 5 est une pure folie !

Suis-je alors sauvé si mon mot de passe fait plus de 8 digits ?
Et bien non, tout simplement car l’usage veut que l’on utilise des mots de passe simplement mémorisable, souvent nom, prenoms, date de naissance, nom commun… Cet usage est facilement compréhensible, la mémoire humaine ayant ses liminites. Les outils de recherche ont donc pris en compte cet aspect de la nature humaine et utilisent des dictionnaires. C’est une simple liste de mots communs qui servira de référence : plutot que de chercher parmi toutes les chaînes, cherchons parmi celles que notre mémoire nous conduira à favoriser. Le programme sera capable de composer des variantes classiques à partir de cette liste : ajout de majuscules, chiffres, caractères spéciaux. Alors, combien de temps faut-il pour trouver un mot de passe commun ?

Sur un Athlon XP 2400@1.5GHz, avec un dictionnaire de 237000 mots français et des règles de transformation standard, comptez moins de 5 minutes pour tester toutes les possibilités.

Et ce, bien sure, quelque soit la taille de la chaîne choisie. Cette méthode étant la plus efficasse, c’est la principale utilisée.

Donc, que va faire (logiquement) un pirate qui souhaitera connaitre votre mdp ?

  • 1. Lancer une attaque par dictionnaire
  • 2. Lancer une attaque par date (8 digits)
  • 3. Lancer une attaque alpha lower (7 digits)<.LI>
  • 4. Lancer une attaque alpha upper (7 digits).
  • 5. Lancer une attaque alpha (5 digits)

Un pirate qui ne vous en veut pas particulièrement à vous devrait grosso-modo s’en arrêter là car il trouvera sans doute 30 à 40% de mots de passe en suivant ces règles. Et ce dans un temps d’environ 10 minutes. Pour éviter ce genre d’attaque, les règles pour choisir un bon mot de passe sont donc les suivantes :

  • Utiliser au moins 1 digit + 1 symbol spécial + 1 majuscule.
  • Utliser une logueur d’au moins 8 caractères
  • Banir les mots usuels

Alors comment avec celà tourver un mot qui soit mémorisable facilement … Je vous propose une solution simple : utiliser la phonétique choisissons par exemple le prénom paulcomme base :

  • Ne pas le trouver dans le dico : pol
  • Augmenter la taille et complexifier : pPoOlL
  • Ajouter des carcatères spéciaux : [pPoOlL]

Voila 8 digit plutot simple à mémoriser surtout si le mot de base est familier. Pour augmenter la taille il suffit de choisir un mot plus long. Votre cerveau doit alors mémoriser la méthode et non le mot-de-passe en lui même.

Si maintenant vous devez vous protéger de quelqu’un qui cherche à vous ataquer personnellement, le choix du mot de passe est plus compliqué, mais basé sur le même principe, toutefois, il y a des règles supplémentaires à prendre en compte tout d’abord imaginez : le temps qu’il pourra y consacrer et ses ressources : s’il me faut 100h pour trouver un mot quelconque de 6 caractères, ce calcul peut etre très simplement distribué permettant de transfomer ces 100h en 100 fois 1 heure en utilisant 100 machines… Par rapport à celà, vous devez donc prévoir de modifier votre mot de passe au moins 1 fois dans ce temps de calcul qui dépend donc des ressources du pirate. Si vous ne le changez que tous les mois, il aura un mois pour calculer. A partir de là, 8 digits quelconque est à peine fiable ; 10 ou 12 semblent être une meilleure solution. Reprenons un exemple simple à mémoriser : vacances devient : [vVaAcCaAnNcCeEsS] avec 18 caractères ; plutot simple à retenir non ?!?

Face à celà, vous n’etes cependant pas à l’abrit, la dernière methode employable et l’analyse sociale : si vous utilisez la méthode ci-dessus, votre mot-de-passe ne vaudra rien : étant publié, il peut être employé comme motif dans une attaque par dictionnaire. Plus généralement, si vous passez ou avez reçu des consignes dans votre entreprise pour la création de mot-de-passe, il suffira au pirate de se renseigner sur ces consignes, les exemples donnés pour appuyer sa recherche. Bref, la methode de construction étant la clef, elle doit vous être propre. L’avantage ensuite et que vous pouvez changer le mot chaque mois sans changer la methode… par éxemple : janvier2006 devient *janvieR!2006, simple et correct ; adaptable chaque mois.

Les erreurs à ne pas commettre :

  • Les mots-de-passe aléatoires qui finissent sur un post-it sous le clavier
  • Le donner à qui que ce soit : la méthode (clef du mot-de-passe) devient publique
  • Ne pas diffuser un mot de passe critique sur un autre média que celui pour lequel il est prévu : ne pas utiliser le mdp du travail pour s’inscrire sur un site Internet : c’est rendre public le mot de passe ET la methode

Bref, il faut des methodes différentes selon les contextes. Ensuite, il existe des tas d’autre façon de générer/utiliser de très long mots de passe : biometrie ou classeur de mdp sur carte à puce …

Pour finir, vous pouvez tester vous même la fiabilité du mot-de-passe choisi avec des outils comme John-The-Ripper (JTR) avec ou sans KMD5, unhash … facilement téléchargeables sur internet, dictionnaires y compris.

Kézako l’Ajax ?

Posted on by
Reply

Non ! Ajax n’est ni un nouveau produit révolutionnaires permettant de nétoyer votre navigateur Ouaib en un clin d’oeil, ni la nouvelle cyber-équipe de foot d’Amsterdam …

C’est en fait beaucoup mieux que tout cela réuni ! Ajax est une méthode permettant de développer des interface Ouaib interactive sans qu’il soit nécessaire de recharger entièrement la page. Cette méthode est basée sur l’usage de la commande Javascript XMLHttpRequest qui permet aux navigateurs de soumettre et recevoir des données depuis le serveur. Les échanges sont généralement effectués en XML. Les données sont traitées par des Javascripts qui s’exécutent sur le client, en tâche de fond. Les échanges sont asynchrones : il est possible de rafraichir plusieurs partie distinctes d’une page Web sans se soucier de l’ensemble.

Ajax cache sous son doux nom l’acronyme Asynchronous Javascript And Xml. Bien que cette technologie soit très nouvelle, elle emploie des techniques anciennes déjà éprouvées : la méthode XMLHttpRequest date de plusieurs années et les JavaScripts remontent aux premières heures de l’Internet. L’usage très fort des CSS (feuilles de style) s’est lui aussi démocratisé.

L’usage conjoint de ses 3 technologies permet la réalisation de site Web permettant la manipulation dynamique d’objets comme des fenêtres, les listes, des tableaux, des arbres… rafraichis dynamiquement,  l’ergonomie d’un client lourd peut être ainsi recrée sur une application en ligne.

KDM et dual screen

Posted on by
Reply

Petit problème que j’ai pu rencontrer lors d’une utilisation de dual-screen : KDM demarre sur le premier écran qui n’est pas toujours celui que l’on souhaite utilisé par défaut.
Pour modifier celà il existe une option qui peut être ajoutée dans le fichier kdmrc (/etc/opt/kde3/share/config/kdm/kdmrc sur suse) :
Dans la section [X-*-Greeter], ajouter la ligne GreeterScreen=1 par exemple pour que celui-ci soit affiché sur l’ecran n°1 …

Test de Opensuse GNU/Linux 10.0

Posted on by
Reply

En avant propos, je tiens à dire que je suis un utilisateur convaincu et ravi de Suse depuis 4 ans environ et de puis la Suse 8. Je ne suis pas un fan de la dernière option de la dernière version du dernier soft qui vient de sortir, mais je demande plutot à mes systèmes d’être stable, de tourner 24/24 et de me fournir les outils nécessaire à mon utilisation : development web/java/vhdl/c/c++, bureautique de base et internet. Voila pour le cadre de façon général. Coté existant en place j’ai actuellement 2 serveurs en suse 9.0 + 1 serveur et 1 poste de travail en suse 9.2. A l’occasion d’un crash, dont vert de honte, je vous tairai la cause, je suis passé en Suse 10 ; j’en profite pour livrer mes premières impressions :

Comme a l’habitude, je n’aime pas bien utiliser les distributions sur CD :

  • Parce que changer les cd c’est chiant
  • Parce que ca coute
  • Parce que donner 1.5 euro aux auteurs compositeurs pour graver une distribution Linux me désole
  • Parce que de toute façon les cd ne servent qu’une dizaine de fois grand max, avant d’etre obsoletes

Bref, je décide d’installer une version en réseau et fais donc comme d’habitude un mirroir de l’instal live en local pour une installation future. Là, je dois dire que j’ai rencontré ma première déception, lorsque je me suis rendu compte que je venais de télépcharger 30Go incluant les version 32bits, 64 bits, ppc … + les sources. Suse m’a habitué à mieux organiser ses répertoire pour eviter celà ! La synchronisation, une fois ménage fait avec le mirroir n’est donc pas vraiment évidente avec une ligne d’exclusion dans le wget plutot gigantesque. Mais finalement s’est fait. Je grave le cd de boot et démarre l’install.

Installation réseau de le suse 10.0

Tout commence bien, jusqu’à ce que … l’installation propose un partitionnement par défaut assez interressant puisqu’il a m’a directement proposé de formater l’espace disque contenant la source de donnée … original ! Ceci étant dit, la proposition par défaut n’etant que rarement interressant, c’est juste une bonne blague qui m’aura fait sourir. Là ou j’ai moins rigolé c’est lorsque l’install a planté à cause de paramètres incohérents dans mon partitionnement, relatif à l’usage de Raid1. Car, bien sure, je venait de passer 30 minutes à faire ma sélection de packages. J’ai ensuite beaucoup moins rigolé lorsque ce même temps passé a de nouveau été perdu alors qu’en plein milieu de l’installation le disque contenant les données s’est auto-démonté … opération mystérieuse et désastreuse.

Installation CD de la Suse 10.0

Après avoir passé pas mal de temps sur de nouveau essais, j’ai dû me résoudre a passer sur une install CD. J’ai donc téléchargé et gravé les 3 premiers espérant que cela suffise. j’ai ensuite choisi une installation par défaut et j’ai une nouvelle fois été trés déçu de constater qu’il me fallait graver le cd4 pour 50 Mo et le CD 5 pour 2Mo … n’aurait-il pas été possible de mettre ces 52 Mo sur le CD 2 ou 3 alors que ceux-ci ne sont pas par défaut utilisés à 100% pour une install standard ?!?
Bref, l’installation se passe bien, mon système boote, je suis heureux .. mais jusqu’à ce que …

Les moins de la suse 10.0

Outre l’installation désastreuse, je ne suis pas satisfait par certains points :
Le dual head d’abord : avec les Suse 9.0 et 9.2, l’installation s’est passée sans problème, mes deux écrans etaient configurés de façon indépendante et leur résolution différait sans problème. Lors de l’installation, la configuration proposée par défaut n’a tout d’abord pas permie de démarrer X-Windows. Une fois reconfigurée, je suis maintenant contraint d’avoir un écran dans sa résolution normale : 1280×1024 et un second écran en virtual screen 1024×1024 car ne supportant pas de fréquence plus élevée. La configuration de Xorg ne me permettant pas de modifier cela. Outre ce problème, l’ecran primaire n’est pas mon écran principal … du coup il a été nécessaire de modifié les paramètres de kdm (GreeterScreen) pour ne pas être obligé d’alumer les deux écrans pour se logguer. Je vous ennuie avec mes cas particuliers perso mais ce que je trouve domage c’est qu’il s’agisse d’une forte régression par rapport à ce qu’apportait la version 9.2.

Second point négatif : les outils Java ne sont pas distribués dans la version de base, il est necessaire de les télépcharger à part, l’opération n’est pas très compliquée mais elle n’est pas non plus facile pour tout le monde et de fait, il n’y a pas de JRE de base ; domage pour la consultation sur Internet.

Ensuite, la Suse 10 n’est pas non plus livrée avec les outils nécessaire à la lecture de MP3 (ni de divx mais là je suis habitué). La raison est totalement louable, distribuer un player de MP3 sous GPL revient à violer un breuvet logiciel (ce qui met bien en évidence le risque pour l’open source à la généralisation des breuvet logiciel) toutefois, en Europe ces breuvet ne sont heureusement pas applicable et une version Europe avec MP3 aurait évité une fastidieuse étape de recompilation des outils livrés. La version 9.2 (et 9.0) intégrait sans aucun scrupule les librairies adéquates.

Pour l’instant j’en suis là, et j’espere que ce sera tout

Les plus de la suse 10.0

Bien sure il n’y a pas que du moins et pour preuve la distrib est toujours installé sur mon poste. Le mieux se résume tout simplement à des nouvelles versions des logiciels habituels, OpenOffice 2, noyau 2.6.13, Kde 3.4… Ca a l’air stable et les performances sont correctes mais ceci est subjectif.

En Bref

Suse m’a habitué a des version xx.0 toujours un peu moins bonnes que les xx.1, xx.2 ou xx.3. mon conseil est donc plutot d’attendre la version suivante pour une migration plannifiée mais si c’est forcé, la 10.0 fera l’affaire ; plutot à partir de cd a moins que vous ayez plus de chance que moi. Attention aux utilisateurs de dual-screen et mp3. Mais en tout cas, je reste fidèle (pour cette fois).

Pour mettre a jour votre suse avec les package (non officiel) répondant à vos besoins multimédia, voir le lien “Custom” ci-contre …

Sécurité des répertoires cache de navigateurs

Posted on by
Reply

Recemment, en me baladant sur un système utilisé par de nombreux utilisateurs, j’ai pu me rendre compte que certains softs créent leur répertoires avec par défaut des droits plutot dangereux … autorisant n’importe qui a en lire leur contenu. Ceci est d’autant plus idiot que nul n’a besoin de consulter ce répertoire purement applicatif !

Dans le présent cas, je me suis surtout penché sur mozilla, qui peut contenir des informations personnelles très pertinentes retraçant tous vos faits et gestes sur Internet ! Toutes les versions ne semblent pas se comporter de la même manière quant aux droits donnés au réprtoire .mozilla mais sur certaines, les droits RX sont bien donnés à tous. Dans ce cas, et pour peut que l’on puisse au moins traverser le répertoire home de l’utilisateur, il est simple de consulter son historique et la liste de ses cookies, informations qui peuvent être trés parlantes…

Il est donc à mon avis important de bien veilleer aux droits par défaut de certaines applications !!

Je vous livre un petit script d’analyse permettant de mettre en evidence ce problème éventuel : #!/bin/sh
liste=`ls -l /home/ | tr -s ” ” | cut -b 10- | grep ^x | cut -d ” ” -f 8 |column`
for user in $liste
do
file=”/home/$user/.mozilla/default”
if [ -d $file ] && [ -r $file ]; then
histo=`find $file -name “history.dat” 2> /dev/null`
cookie=`find $file -name “cookies.txt” 2> /dev/null`
echo $user :
if [ $histo != “” ] && [ -n $histo ] ; then
cat $histo | grep “=http://” | sed -e “s/=http://([^)]*)).*/1/”
fi
if [ $cookie != “” ] && [ -f $cookie ] ; then
cat $cookie | cut -f 1 | grep -v “^#”
fi
fi
done

Configuration MRTG, création de mesures

Posted on by
Reply

MRTG, le célèbre outil de monitoring réseau peut être utilisé pour suivre n’importe quel indicateur système pour peu qu’on lui fournisse les bonnes données… voici un exemple avec un monitoring de la mémoire utilisée :

Tout d’abord pour trouver la mémoire totale et la mémoire utilisée, il nous faut écrire un petit script basé sur la commande free -m. Ce script extrait la mémoire totale et la mémoire utilisée, soit la mémoire totale – mémoire libre – mémoire cache :

#!/bin/bash
MemTotal=`free -m | head -2 | tail -1 | tr -s ” ” | cut -d ” ” -f 2`
MemUse=`free -m | head -3 | tail -1 | tr -s ” ” | cut -d “:” -f 2 | cut -d ” ” -f 2`
echo $MemUse
echo $MemTotal
echo “0 day(s)”

Il se termine par l’affichage des deux valeurs sur la sortie standard suivi d’un temps d’uptime de 0 jour par défaut. Ce format de sortie est celui attendu par MRTG.
La première ligne indique la valeur à utiliser pour la ligne de graphique bleue ; la seconde est utilisée pour tracée l’air de graphique verte.

Pour terminer, il faut paramétrer MRTG et donc modifier mrtg.conf en ajoutant une entrée comme suit :

Target[linux_mem]: `../bin/memory`
Title[linux_mem]: MEMORY LOAD
PageTop[linux_mem]: Memory LOAD Mo
WithPeak[linux_mem]: dwmy
Unscaled[linux_mem]: ymwd
ShortLegend[linux_mem]: Mo
MaxBytes[linux_mem]: 1024
YLegend[linux_mem]: Stat Memoire
LegendI[linux_mem]: Memoire utilisee:
LegendO[linux_mem]: Memoire totale:
Legend1[linux_mem]: Memoire utilises en Ko
Legend2[linux_mem]: Memoire total en Ko
Legend3[linux_mem]: Pic de mémoire utilisée
Legend4[linux_mem]: Pic de mémoire totale
Options[linux_mem]: growright, integer, nopercent, gauge

La première ligne contient le chemin absolue vers la commande à lancer pour obtenir les données du graphique.