e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


en flag Read it in english with google

Ceci est vraiment un billet personnel .... pourquoi le mettre ici alors ?

En fait, je croix fortement au partage des connaissances et de l'expérience, mais aussi au partage et à la diffusion de l'optimisme ou ce que certains appellent "énergie positive".


Plusieurs changements de cap, remises en cause et améliorations dans ma vie ont été amorcés suite à une discussion, à la lecture d'un article ou d'un livre ou après avoir regardé une émission (TV ou CD/DVD).

Je veux à mon tour partager .... peut-être que ça aidera au moins un !

Il s'agit de la mise en place d'objectifs, de mettre en place un système de contrôle ou d'audit et enfin de faire périodiquement son bilan personnel pour engager les améliorations et les ajustements nécessaires.
Pour les professionnel de la sécurité, çà ne vous rappel rien ? :)
C'est la méthode d'amélioration continue ou "Roue de Deming" : PDCA (Plan-Do-Check-Act)....et c'est la même démarche pour la construction d'un SMSI (Système de Management de La Sécurité de l'Information).

J'ai toujours cru que le "bon sens" est partout identique, même universel .... exception faite des "déformations" passagères !

J'arrête de philosopher :) ... en fait ce billet sera la transcription "presque" complète de ce que je fait chaque année pour me relancer à la poursuite de mes objectifs. Je dis "presque", parce que il y a des trucs perso que j'aimerais garder leurs détails pour moi et ma petite famille restreinte :)

La Vision ou Mission

Tout d'abord, mes objectifs sont inspirés, ou suivent, une vision de ce que je veux accomplir dans ma vie. C'est le niveau le plus haut d'abstraction. C'est une sorte de définition de notre "Mission" sur terre. Pour moi, ne pas savoir ce qu'on fait dans ce bas monde est une forme d' "errance" ! On est plutôt plus en mode "survie" ... j'en doute qu'on savoure pleinement notre existence sans savoir où on va, et surtout pourquoi. J'ai toujours aimé cette définition du leadership : "c'est savoir exactement pourquoi on monte les marches...pas comment"

Quels sont mes Objectifs ?

Pour mes objectifs, j'en avais tout au début (il y a presque 5 ans) 15, entre court et long terme. Maintenant, avec l'expérience de la vie, une connaissance plus précise de mes capacités et de mes faiblesses, ajouté à tous ça un peu de "réalisme"...j'en suis maintenant à 9

Avant de citer ces objectifs, je voudrais attirer l'attention sur l'importance du choix de ses objectifs. S'ils sont mal choisis, ça va mener directement à l'échec et par delà à perdre confiance en soi-même. On parlent alors de 6 caractéristiques d'un objectif "efficace" (effective en Anglais). En gros, les objectifs doivent être surtout précis et écrits de préférence, réalisables mais ambitieux et aussi mesurables.


La "carte heuristique" ou "MindMap" suivante (produite sous freemind et convertie en image) résume avec un peu de détail mes objectifs. Ceux en Vert, sont à long terme (5 ans et +). Les objectifs à moyen terme (3-5 ans) sont en bleu (clicker sur l'image pour agrandir)











Pour chaque objectif, je développe un plan pour sa réalisation : les moyens, nécessaires, le calendrier...etc, ce qui donnera des petits objectifs d'étape pour chaque année ... c'est le court terme.

Si je prend comme exemple l'objectif " Perfectionnement continue en Sécurité des SI" , je développe sa "branche" comme dans l'image qui suit : (clicker sur l'image pour agrandir)





Après, l'étape en court terme va être piloter par un ensemble d'outils de planification (quotidienne, hebdomadaire ou mensuelle en fonction de chaque cas) et de contrôle. C'est plus du gestion de temps maintenant. Dans ce domaine, une seule devise, c'est la discipline et le rigueur ... je sais, plus facile à dire qu'à faire, c'est un combat continue contre soi-même.

Autre remarque, un petit pas chaque jour est bien meilleur qu'un grand saut chaque mois.

Enfin, évitez les fausses méthodes (multi-tâches)

Quelques petits trucs que j'utilise personnellement me permettent de garder le cap, de me rectifier chaque jour (j'essaye du moins de le faire) et surtout pour entretenir ma volonté et ma motivation :

- revoir et "vivre" ses objectifs chaque matin,
- fermer les yeux et se "projeter" dans le temps et se voir dans un état où les objectifs ont été atteints,
- se "projeter" une autre fois, mais pour se voir avec zéro ou peu de réalisations...quelle déception !!!

- maintenir une liste quotidienne "j'ai appris ce jour" pour se corriger et apprendre continuellement,
- mettre une liste de mauvaises habitudes à combattre. Une pour chaque mois, avec du contrôle et un système de sanctions (positives ou négatives).

Je finirais par dire qu'une seule chose peut vous arrêter et entraver votre progression vers la réussite....c'est vous même !!


Bonne chance et meilleurs vœux à tout le monde :)


.

en flag Read it in english with google

Je viens de lire dans mon flux RSS un très bon article sur le passage, en termes d'approche de sécurisation et d'outils, de l'implémentation de solutions assurant la "visibilité" (Audits, Détection d'intrusion, Gestion des logs ...) à l'implémentation et l'utilisation des solutions techniques de "contrôle" (réponse et correction des problèmes identifiés précédemment)

Ce qui m'intéresse dans ce sujet, c'est le fait que sans "visibilité" rien ne peut se faire. Déployer des Firewalls, Renforcer les configurations, implémenter des solutions de contrôle d'accès...tous ça ne pourra jamais vous protéger contre ce que vous ne connaissez pas. La "visibilité" permet de savoir ce qui se passe "réellement" dans votre réseau et vos systèmes.

Comme souligné par de nombreux experts : "Monitor first" !!
Alors la poste.dz, avez-vous de la visibilité ?

.
.

en flag Read it in english with google

Franchement, Google n'a pas bien choisi son partenaire en Algérie...si choix il y a !!
Depuis hier (15/12/2008),et jusqu'au moment où j'écris ces lignes, www.google.dz est inaccessible !!
Le problème est que www.google.com est redirigé automatiquement vers le google.dz, du coup google est off-line...on doit passer à d'autres localisations (ou sans localisation)...le fr par exemple.

Alors, c'est déjà arrivé avant et j'en ai parlé comme beaucoup d'autres. Est-ce le même problème ?
Voyons ça de plus près :

Comme toujours, trouvons qui gère le domaine DZ :

$ dig @A.ROOT-SERVERS.NETe
..........................................
;; AUTHORITY SECTION:
dz. 172800 IN NS CASBAH.ELDJAZAIR.NET.dz.
dz. 172800 IN NS NS-DZ.RIPE.NET.
dz. 172800 IN NS DECST.CERIST.dz.
dz. 172800 IN NS NS3.NIC.FR.

Interrogeons les un à un sur "google.dz":

dig @CASBAH.ELDJAZAIR.NET.dz google.dz

===> rien, c'est le serveur qui est inaccessible apparemment ! Dèjà là c'est pas bon

$ dig @DECST.CERIST.dz google.dz
.........................
google.dz. 86400 IN NS gdns.google.dz

Là c'est OK

$ dig @NS-DZ.RIPE.NET google.dz
.........................
google.dz. 86400 IN NS gdns.google.dz
Là aussi c'est OK

$ dig @NS3.NIC.FR google.dz
.........................
google.dz. 86400 IN NS gdns.google.dz
Et c'est encore OK

Passons au serveur DNS qui gère le domaine "google.dz", le "gdns.google.dz" (@IP 193.194.64.84 ... c'est bien au Cerist)

$ dig @193.194.64.84 www.google.dz
...............................
;; connection timed out; no servers could be reached

Il est apparemment off-line (le ping ne donne rien, ni le traceroute ni le tcptraceroute)

Quoi dire ? ..... ha oui j'ai oublié, c'est encore les vacances !!!


.

en flag Read it in english with google




Saha Aidkoum... bonne fête ... عيدكم مبارك





Mais le coeur n'y est pas vraiment....comment peut-il en être autrement et les misères des autres s'accentuent de jour en jour.
La plus ignoble des injustices pour moi a pour nom : GAZA






























.

en flag Read it in english with google

Un projet de loi sur la Cybercriminalité vient d'être adoptée il y a quelques jours. Certains le demandaient depuis longtemps, d'autres le redoutaient ... pour diverses raisons d'ailleurs.
Ce billet fait suite à une discussion sur forumdz sur une des éventuelles applications de cette loi, à savoir l'installation de caméras de surveillance dans les cybercafé.

Au delà de la probabilité d'une telle mesure (caméras de surveillance dans les cybers), qui ne me choque pas particulièrement...je me suis accommodé à ça dans les cybers de Paris et beaucoup d'autres sûrement sous des cieux plus "éclairés" que le notre.....je disais au delà de ça c'est le principe même d'avoir une telle loi qui est contesté ou, à la limite, vu d'un mauvais œil.

Alors, une loi sur la cybercriminalité est une bonne ou mauvaise chose ?
Je sais, poser la question de cette manière est un peu léger :)
Soyons plus "méthodique" comme aime à le répéter un certain tewfik de forumdz :)

Quel est le contexte ?

1- Sur le plan local / national, nul ne pourra nier qu'on vit une période assez particulière :

- un terrorisme, certes en "déclin", mais toujours présent
- une criminalité grandissante et horriblement non maîtrisée
- une entrée "forcée" et sans réelle préparation de nos administrations et nos entreprises dans le monde des NTIC
- des interactions de plus en plus fortes avec le monde extérieur qui a ses méthodes de travail et qu'on doit les apprendre
- une nette augmentation du nombre de personnes utilisant les PC, Internet et la Téléphonie mobile couplée à un "néophétisme" certain et surtout une inconscience totale en termes de sécurité informatique

2- sur le plan internationale, je croix que tout le monde est conscient que la cybercriminalité est de plus en plus au premier plan des préoccupations des nations, les plus développées en tête, et des organisations internationales.

3- Dans le camp des "méchants" ou les cybercriminels (ou criminels tout court), cette activité est devenue extrêmement plus organisée est plus "professionnelle"... c'est un vrai business derrière.


Quelle sont les menaces pour notre Nation ?

J'ai toujours pensé que notre "sous-développement" est à la fois un problème (tout le monde est content là :)) et une CHANCE ! Oui, j'ai bien dit "chance".

Quand on voit le degré de dépendance des sociétés développées aux NTIC et la fragilité déconcertante des infrastructures vitales qui les entourent (voir ici ou pour avoir une idée... "Die Hard 4" n'est pas uniquement de la science fiction!!) ... quand on voit ça on réalise qu'on a vraiment de la chance !! d'être sous-dev ? Non voyons :), mais de pouvoir "construire notre dépendance au NTIC" sur de bonnes et saines bases. L'idée est en fait ce que j'ai mis comme "slogan" de mon blog : "L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres".

Parce que essayer de réparer quelque chose qui est déjà là et surtout doit rester comme il est pour des raisons diverses n'est pas chose facile ni même vraiment souhaitable.
Un exemple ? allez prenez deux :)

- un "macroscopique", est la crise financière actuelle
- l'autre "microscopique", la correction de Microsoft d'une vulnérabilité vieille d'au moins 7 ans pour ces raisons

Revenons à notre sujet : quelles menace guettent notre Nation ? Et je dit "Nation" et non les termes réducteurs genre "système" , "pouvoir" ou même "société".

Notre dépendance au NTIC étant toute réduite, les menaces ne sont naturellement pas vraiment pesantes. Ça n'empêche quelles sont là. Si on adopte la classification des crimes informatiques, selon laquelle l'outil informatique (typiquement un PC) est le moyen ou la cible de l'acte malveillant, on trouve qu'on est dedans : attaques de sites Web, attaques de réseaux, téléchargement illégal, communications et échanges d'informations entre criminels, falsification de documents, contrefaçon d'"oeuvres protégés" ... etc, on est bien parti pour dire que le "potentiel" est réellement présent.

Comment lutter contre ces "crimes utilisant ou ciblant les NTIC" ?
Par des moyens techniques, mais avant tout avec des lois.

Quelles sont les dérives éventuelles ?

Comme on est dans un monde non-utopique, des dérives ont existé, existent et existeront toujours. L'utilisation d'une telle loi pour un dessein obscur et machiavélique est probable.

Alors ont fait quoi ? pas de lois ?
Même le code de la route peut-être utilisé comme moyen de répression, sans parler du raisonnement selon lequel, pour éviter la répression du peuple il faut désarmer les forces de sécurité !

La solution à mon humble avis est de maintenir l'équilibre et faire le contrepoids à toute tentative de dérives par :

- la sensibilisation des citoyens, non sur les éventuelles dérives du système parce que tout le monde est sur-sensibilisé :) , mais sur les moyens de protéger leur vies privées et leur libertés individuelles. C'est le rôle des intellectuelles et des spécialistes.
- la pression sur les différents "acteurs" qui mettront en oeuvre cette loi pour mettre les gardes fous nécessaires. C'est le rôle des politiciens et de la société civile.



.

en flag Read it in english with google

La monotonie est un truc difficile à vivre...même quand-il s'agit de fond d'écran :)
Alors depuis quelques mois j'utilise un script en python (que vous trouverez par ici) qui change l'arrière plan du bureau en allant chercher les images sur le site ftp de gnome.org . On peut programmer les changements par crontab bien entendu...malgré que moi je préfère "décider" quand je veux le faire :)

Le chemin exact (actuellement) est "ftp.gnome.org/pub/GNOME/teams/art.gnome.org/backgrounds/"....s'il change il vous suffit de modifier le chemin dans le script ou trouver un miroir (sur ftp.linux.org.uk par exemple)

Je sais, il y a sûrement des applications qui font ça ... mais je préfère voir ce qui tourne sur ma machine :)

UPDATE 21/12/2008 :

Apparemment, il y en a beaucoup qui préfèrent des applis plus riches...guidées à la souris :).....si vous vous reconnaissez allez voir par ici :)


.

en flag Read it in english with google

Depuis l'attaque du site de la poste.dz, largement commenté ici et , le service ccp (ccp.poste.dz ou eccp.poste.dz) est "aléatoirement" accessible, au grand dam des gens voulant voir ce qu'il y a dans leurs comptes. Bien que l'attaque menée contre le site a eu comme effet le defacement de la page d'accueil, ce genre de "prouesse" est communément le propre des apprentis pirates (alias Script Kiddies). Le vrai "hacking" est une sorte d' "exploration intellectuelle", or ce qu'a été fait (defacement) ne nécessite que quelques cellules du cerveau pour réussir ! Mais les conséquences sont bien plus graves que l'acte initial...ça s'applique l'effet papillon ici ?

Revenons à nos affaires...de part ce billet j'essayerais humblement d'apporter une contribution pour une approche professionnelle de sécurisation d'infrastructures telles que celle de la poste (portail web et les services associés). Cette même approche, étant basée sur le bon sens et les best practicies peut être appliquée (après adaptation) même à de petits réseau.

Alors, avant d'entamer la discussion des actions de sécurisation, quelques remarques ou mises au point pour cadrer la suite :

1- Tout d'abord je n'invente rien ! Tout professionnel de la sécurité des SI devrait, sinon adhérer, au moins connaître ce type d'approche. C'est largement traité et discuter dans la documentation ou sur les sites spécialisés.

2- Ne connaissant pas en détail les systèmes, applications et outils composant l'infrastructure de la poste.dz, ces recommandations resterons générales et sûrement incomplètes... la solution "universelle" n'existe pas.

3- Toute solution de sécurité a pour finalité d'assurer les trois exigences de sécurité suivantes :

- Confidentialité
- Intégrité
- Disponibilité

4- La sécurité à 100%, autant que le risque 0....ça n'existe pas. Tout ce qu'on fait, c'est de minimiser ce risque, c'est élever la barre le plus haut possible pour rendre une attaque réussie "coûteuse" pour l'attaquant en termes de ressources (compétences, outils) et de temps.


Maintenant, commençons l'analyse :


A- Le plus important : on veut protéger quoi ? quels sont les "actifs" (assets) ?

Seuls les gens de la poste peuvent répondre avec précision à cette question !
Si on se limite à un portail Web, on peut citer ce qui suit comme des éléments à protéger (entre autres) :

- le serveur Web
- le(s) serveur DNS
- les autres serveurs (base de données ? serveur d'application ? serveur de messagerie ?...)
- les équipements réseau
- les solutions de sécurité (Firewall, IDS,....)
- les stations d'administrations
- .........

B- D'accord, après cet "inventaire", le moment est venu pour définir notre approche de sécurisation. Elle se présente en trois volets :

1- Prévention et protection
2- Détection
3- Réponse et recouvrement

Dans le volet Prévention et protection on devra mettre en place toutes les solutions permettant de prévenir le plus possible d'attaques, en éliminant le plus de vulnérabilités possibles et en installant les éléments de protections nécessaires. Quelques exemples parmi les plus importants :

- Le design ou l'architecture. Une mauvaise architecture est la première vulnérabilité à traiter. Une isolation rigoureuse par la création de différentes zones (DMZ) est à implémenter.
- Les firewalls pour le filtrage strict des flux réseau entres les zones crées. Le contrôle d'accès doit obéir au principe du "default deny" : tout est interdit sauf ce qui est explicitement autorisé. Un autre principe à considérer est l'interdiction des flux d'une zone "moins sécurisée" vers une autre de niveau de sécurité plus élevé (zone Web vers les serveurs de bases de données internes par exemple)
- L'utilisation de firewalls "applicatifs" pour parer aux éventuelles vulnérabilités liées aux applications (le reverse proxy pour le serveur Web par exemple)
- La mise en place d'une procédure de mise à jour des systèmes d'exploitation et des différents services ou applications exploitées.
- La revue et le renforcement de l'ensemble des configurations (systèmes d'exploitation, services, applications, équipements....) et l'application du principe de "minimisation des privilèges" : une application donnée ne devra tourner qu'avec un utilisateur normal et non avec les privilèges du compte Root ou Administrateur

Est-ce que ces mesures vont nous assurer une protection totale ? Malheureusement non ! Une solution de Détection des "comportements suspects" doit être mise en place. Plusieurs options complémentaires s'offrent à nous :

- Les Sondes de Détection d'intrusion réseau ou NIDS
- Les IDS surveillant un host (serveur généralement) ou HIDS
- et surtout, mettre en place une solution de gestion centralisée des logs. Sans logs vous n'avez aucune chance de voir ce qui se passe sur votre réseau et dans vos systèmes.

D'accord on a mis en place tous ça....et après ? eh ben il faut se préparer au jour où il y aura une attaque réussie (une vraie svp...pas un defacement :))
La seule chose qui vous sauvera c'est un "plan de reprise après incident", bien sûr dimensionné selon votre cas. Une chose simple que je conseil à beaucoup de clients est de mettre en place des machines virtuelles avec des systèmes d'exploitation différents et des "versions" d'applications différentes. Ça permettra une reprise rapide en cas d'attaque sur un élément particulier (faille inconnue sur un système d'exploitation, vulnérabilité applicatifs...)

C- Une fois ce "minimum" mis en place, pourquoi ne pas aller vers une "normalisation" de la gestion de la sécurité ? ISO27000 ça vous intéresse ?


A la fin, je voudrais ajouter que plusieurs aspects ou points n'ont pas été traités...j'ai voulu être plus "concret" par rapport au cas poste.dz. De plus, j'ai évité de parler des "problèmes" de configuration actuelles pour rester constructif. Toute amélioration du niveau de sécurité du portail poste.dz est le souhait de tout le monde, et s'ils réussissent à le faire et à maintenir ce niveau tout en offrant les différents services aux citoyens ça sera tout à leur honneur.


.

en flag Read it in english with google

Dans un billet précédent, je réagissait au propos de Mr le Président de la République, qui souhaite donner la priorité à la formation dans les sciences technologiques, qui, selon lui, vont répondre aux besoins de la société et du développement. Je résumerais mon avis par le fait que le changement ainsi que le développement ne seront possibles que grâce à une "élite" venant des disciplines de "sciences humaines" (au sens large).

Ce billet a suscité quelques commentaires forts intéressants, que se soit sur le blog ou sur forumdz. Ceci m'amène à ce billet traitant de la manière, amha, d'amorcer le changement et espérer du coup entrer dans une dynamique de développement durable.

D'emblée, je dirais que je n'invente rien. C'est un constat qui fait vraiment une sorte de "consensus".
Lequel ? comment s'engager dans la voie de la délivrance ?
Simplement ... oui simplement, en investissant dans le vrai capital, la ressource humaine, plus qu'autre chose ! Facile à dire et évident me diriez-vous !
Oui, mais la réalisation d'une telle entreprise va nécessiter une "stratégie" à long terme. Pourquoi le "long terme", on ne peux pas commencer maintenant ?
Désolé de vous dire NON !! On n'est pas encore "à la hauteur" !!!
Et le "on" pour moi, c'est l'écrasante majorité, gouverneurs et gouvernés à la fois. Ah oui, le peuple n'est pas une victime pour moi. Quand on voit les ordures devant les immeubles ou dans la rue...quand on entend des grossièretés chaque 10 secondes...quand on voit les cabines téléphoniques ou les arrêts de bus saccagés...quand on voit le comportement du simple agent de l'APC ou du gardien de telle administration...quand on voit le cirque des chauffards sur l'autoroute (moi en premier) ... quand on voit les "fidèles" dans les mosquées ...je m'arrête ou vous n'avez pas encore saisi ?! On n'est pas encore à la hauteur, un point c'est tout, et on est aussi responsable que le système. Ne croyez-vous pas que, quelque part et d'une certaine manière, tout le monde fait partie du système ?!

La solution est d'investir dans l'éducation et l'enseignement. Préparer, former et produire des générations d'où sortiront l'élite tant attendue. Rien que ça ? Oui...rien que ça, et les résultats viendront "d'eux même" ! Pour appuyer mon idée, je citerais deux exemples :

- La Malaisie, qui est devenue une "puissance" économique et technologique. Son ancien premier ministre citait l'éducation comme la principale cause du succès de son pays.
- La présidente de la Finlande, répondant à une question dans un interview sur Al-Jazeera il y a quelques années, préconisait "tout simplement" de s'occuper de l'éducation et de la situation de la femme (que l'éducation a un grand rôle dedans) pour espérer sortir de notre sous développement.

Avant de conclure, je noterais que, malheureusement, dans notre cas ça ne sera pas chose facile. L'école (parmi d'autres champs) est l'arène de combats idéologiques et politiques...et peut-être même d'"ingérences externes"... tout le monde est apparemment conscient que c'est le "berceau" de tout projet !


.

en flag Read it in english with google
J'ai appris depuis longtemps qu'il ne faut pas faire confiance à ce que rapporte les médias "généralistes"...surtout quand il s'agit des NTIC ou plus flagrant encore de sécurité IT. Quand on ne comprend pas (ou un petit peu) quelque chose, inutile de se lancer dans des conclusions qui vont nous ridiculiser en premier lieu, en plus d'induire en erreur les lecteurs !

Il y a quelques jours, j'apprends dans un message sur forumdz, reprenant un article de Presence PC que :
"CUDA + 20 PC = WPA 2 cassé"

Accordez-moi que comme titre c'est vraiment accrocheur, mais aussi ça sent le n'importe quoi ! Ce qui m'a laissé répondre, après visite rapide du site d'Elcomsoft, que "Mon petit doit me dit que dans quelques jours seulement on apprendra que ce n'est pas aussi évident que ça !!!!"

Hé ben, c'est comme d'habitude...que du FUD
Je ne vais m'attarder à expliquer le "truc" (ça ne vaut pas plus que ça), plus intéressant pour vous est les avis bien plus avisés des experts : George Ou et surtout Cédric Blancher... une des références en la matière. Ce dernier est catégorique "C'est du pipo, et ça me gave" et de conclure, après son analyse que "cette annonce, c'est du vent". Un autre avis d'un spécialiste de la crypto va dans le même sens....

Mot de la fin : méfiez - vous ... et dans tous les domaines !!!


.

en flag Read it in english with google

La pauvreté, un des maux qui accompagne l’humanité depuis la nuit des temps, c’est dans la « nature » de la vie. Mais pour autant, est-ce une fatalité ? est-ce qu’on peut faire quelque chose, pour soi et pour les autres ? Les « gouverneurs » sont les premiers responsables, d’ailleurs ils s’appellent ainsi : « responsables » !!

J’ai dit premier parce que pour moi la responsabilité est vraiment partagée et doit être assumée par tout le monde…jusqu’aux pauvres eux même. Ça ne servira pas, du moins pas beaucoup, de crier sur les toits l’injustice et de dénoncer les « vols » généralisés et légalisés à grande échelle…tout ça ne servira pas si on ne prend pas notre part de responsabilité. Sommes-nous responsables ?! Je le croix intimement !

Le voisin qui ne mange pas à sa faim, l’enfant du cousin qui ne va pas à l’école par manque de moyens, la veuve qui tend la main dans la rue pour nourrir ses enfants, même la prostitué qui est « poussée » dans les marécages de la rue par son désespoir couplé à sa faiblesse….. tous ceux là, peuvent nous demandé un compte un Jour. Prenez-le avec n’importe quel système de valeurs auquel vous croyez : religion, humanisme, moral….vous trouverez que tout le monde a comme devoir de combattre la pauvreté, en fonction de ses moyens et de ses aptitudes bien sûr.

Concrètement, qu’est ce qu’on peut faire, me diriez-vous ? eh ben là chacun doit réfléchir à la meilleur manière avec laquelle il peut aider les autres. Et surtout, on ne doit pas le voir comme une corvée … bien au contraire, on sera les grand bénéficiaires en participant, même un tout petit peu, à réduire la souffrance des autres.

Pour moi par exemple, je compte inchallah, pour être pratique, prendre les résolutions suivantes :

- Chaque jour, je donne à un pauvre, même un mendiant, au moins 10 DA
- Je cherche dans mon entourage une famille nécessiteuse pour l’aider mensuellement
- J’arrête le gaspillage !

Et vous :) ?

.

en flag Read it in english with google

Je me suis (re)posé cette question en lisant les propos de notre Président, Mr Bouteflika, lors de sa visite à Tlemcen, concernant l'orientation des étudiants universitaires.
Mr le Président souhaite "une orientation davantage portée sur les sciences technologiques en phase avec les besoins de la société et du developpement", et d'ajouter "il n'est point question de tabler sur les sciences humaines puisque l'étudiant qui fournit d'intenses efforts tout au long de sa formation universitaire ne trouve pas de débouchés susceptibles de lui garantir le minimum" !!!
Alors, comme c'est des extraits seulement, en plus rapportés par des journalistes (formation sciences humaines ? :)), je ne vais pas m'attarder sur la cohérence de l'argumentaire concernant les débouchés après l'université, parceque le problème des débouchés est commun à toutes les filières (certes quelqu'unes ont plus de chance d'essayer une aventure à l'étrangé).

Ce qui m'interpelle vraiment c'est cette idée que le developpement passe nécessairement et PRIORITAIREMENT par la formations d'ingénieurs et de techniciens, comme si que notre problème est "technique". Je citerais ici Bruce Schneier "If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology.", ce qu'on peut traduire par : "Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n'avez rien compris à vos problème et vous n'avez rien compris à la technologie"

Moi, je suis de formation ingénieur (et fier de l'être), mais j'ai l'intime conviction que ceux qui devront et vont apporter le changement et le developpement ne sont pas du tout de "simples" ingénieurs. Un de nos plus gros problèmes est le manque de volonté politique réelle couplé à un déficit chronique de vrais leaders et managers. La "foule" ne pourra jamais amorcer le changement (si vous n'êtes pas d'accord, trouvez moi un seul exemple dans l'histoire de l'humanité !!). Le changement est toujours le resultat des actions d'une élite...suivie après par cette "foule"...même ceux qui n'étaient pas d'accord au début :). Maintenant, cette élite là, est elle un groupement d'ingénieurs ... même de haut rang ? Non, je ne croix pas !!! Cette élite doit être plus imprégnée de la politique, de l'histoire, de la sociologie, du management, de l'administration....etc, peut-être un peu de l'economie...mais pas nécessairement des maths, de la physique ou même des nouvelles technologies. Ca n'emêpche, qu'avoir des ingénieur de formation, reconvertis dans ces domaines est un avantage précieux. Ils y apporteront leur raisonnement cartésien et leur rigueur scientifique.

Maintenant, est-ce que nos écoles et nos universités "produisent" ce genre d'élite ? Malheureusement non...du moins pas assez !! Il suffit de voir comment se fait l'orientation entre le CEM et le Lycée pour voir à quoi s'attendre des promotions de sciences humaines ! Bien sûr, comme partout ailleur, il y a des exceptions. La solution alors, amha, est de reformer l'enseignement pour avoir cette élite...capable de mener le changement et d'amorcer un vrai developpement.

Je donnerais comme exemple la dernière nomination de Rod Beckstrom à la tête du National Cyber Security Center qui fait partie du US Department of Homeland Security

.

en flag Read it in english with google

C'est une histoire "drôle" celle que je viens de lire sur mes flux rss venant du SANS: When the Hackers Hack Back.
Un "curieux" comme moi, soupçonnant un réseau d'être à l'origine de certaine activité malicieuse, décide de le scanner pour voir de quoi il s'agit vraiment. Eh ben, à sa surprise, le "réseau" en question lance une contre-attaque sur lui...en fait plutôt sa connexion réseau :) et provoque un joli déni de service (DoS)...et du coup impossible de communiquer !! il fallait compter sur "l'intelligence" du script de l'attaquant pour essayer quelque chose : débrancher sa connexion réseau, du coup le script, avec probablement des fonctions d'optimisation, détecte que la "cible" n'est plus en ligne et arrête du coup l'attaque pour ne pas "gaspiller ses ressources" :).

Ce qui m'a intéressé dans cette histoire, est un des conseils donnés : dans le cas d'un adressage IP dynamique (comme Fawri en Algérie), il suffit de redemandé une autre adresse (déconnexion / connexion) et du coup l'attaque ira au prochain malheureux qui prendra cette adresse :)


.


Pour ceux qui veulent tester, ou avoir du plaisir, un challenge d'analyse de malware est en ligne depuis le 01 Octobre 2008 et sera clôturé le 26 Octobre à 23:59 EST. Il l'ont qualifié de "Easy - Medium" en terme de difficulté. En plus, il y a des prix à gagner, mais ça risque de ne pas être évident pour les non nord-américains. En tous cas, ça sera un bon exercice :)

Pour ceux qui n'ont pas remarqué les liens, c'est ici :)
http://www.malwarechallenge.info/index.html



.


J'ai toujours cherché à utiliser le mieux mon temps, surtout les moments où on est obligé de faire une chose qui ne demande aucune (ou pas énormément) de concentration, et surtout les temps d'attente. Pour ces derniers (faire la queue par exemple) c'est facile, il suffit de prendre un livre ou son magazine préféré et lire tout simplement....faite attention, ici dans le bled, a part certaines grande villes, ça attire la curiosité...et quelques fois des commentaires moqueurs :).
Pour le reste du temps, surtout durant la conduite, ce n'est pas évident de lire :)

Alors, à part écouter la radio ou autres choses (musique, fichiers mp3 divers, Coran ....) j'aimerais pouvoir écouter des "livres", de préférences "gratuits" :). Une petite recherche me donne quelques liens, mais globalement c'est des livres généralistes (pour moi). Ce que je voudrais c'est avoir des trucs techniques, même en anglais (je n'irais pas jusqu'à écouter les RFC ou les descriptions de vulns :))

Des idées ?




Pour ma famille, petite et grande :) et pour tous mes amis :)







... et pour tous les musulmans du monde ... et de l'univers :)






...



C'est une très bonne initiative, je me suis déjà inscrit et je vous invite à faire de même. Le but cette année est d'attirer l'attention sur le problème de la PAUVRETE en publiant le 15 octobre un billet dans ce sens....allez-y, faite de bonnes choses, même minimale :)

C'est par là : blogactionday.org/fr

en flag Read it in english with google

En revoyant quelques archives, je suis tombé sur un article qui me fait toujours rire :)

C'est ancien, mais ça ne s'use pas....je vous laisse lire et rigoler :)

Lors d’une conférence donnée au ComDex en 1998, Bill Gates, pour conclure, osa une comparaison entre les industries informatique et automobile : "Si General Motors avait eu la même progression technologique que l’industrie informatique, nous conduirions aujourd’hui des autos coûtant 25 dollars et qui parcourraient 1000 miles avec un seul gallon d’essence."

Si cela impressionna l’assistance, la réaction de General Motors ne se fit pas attendre : Son PDG M.Welch en personne donna une conférence de presse où il énonça : "Si General Motors avait développé sa technologie comme Microsoft, les voitures que nous conduirions aujourd’hui auraient les propriétés suivantes :

  • Votre voiture aurait un accident sans raison compréhensible 2 fois par jour.
  • Chaque fois que les lignes blanches seraient repeintes, il faudrait racheter une nouvelle voiture.
  • Occasionnellement, une auto quitterait l’autoroute sans raison connue. Il faudrait simplement l’accepter, redémarrer l’auto et reprendre la route.
  • Parfois, lors de manœuvres particulières, comme par exemple prendre une courbe a gauche, l’auto ferait un simple tout droit puis refuserait de repartir. Pour cela, il faudrait procéder à un échange standard du moteur.
  • Les autos ne seraient livrées qu’avec un seul siège, car il faudrait choisir entre "Car95" et "CarNT". Chaque siège supplémentaire devrait être commandé à l’unité.
  • Macintosh développerait des voitures fonctionnant à l’énergie solaire, fiable, cinq fois plus rapides et deux fois plus légères. Mais elles ne pourraient emprunter que 5% des routes.
  • Les témoins d’huile, de température et de batterie seraient remplacés par un unique témoin "Défaillance Générale". Les sièges exigeraient que chaque passager ait la même taille et le même poids.
  • L’airbag demanderait "Êtes-vous sûr ?" avant de s’ouvrir. Occasionnellement la condamnation centralisée de la voiture se bloquerait. Vous ne pourriez alors la rouvrir qu’au moyen d’une astuce, comme par exemple simultanément tirer la poignée de porte, tourner la clé dans la serrure et d’une autre main attraper l’antenne radio.
  • General Motors vous forcerait à acheter avec chaque voiture un jeu de cartes routières Deluxe de la société Rand McNally (depuis peu filiale de GM), même lorsque vous ne souhaitez pas ou n’avez pas besoin de ces cartes. Au cas ou vous ne prendriez pas cette option, la voiture roulerait 50% moins vite (au mieux). A cause de cela, GM deviendrait une cible fréquente de procès.
  • A chaque fois que GM sortirait un nouveau modèle, chaque conducteur devrait réapprendre à conduire, car aucune des commandes ne fonctionnerait exactement comme dans les modèles précédents.
  • Enfin, il faudrait appuyer sur le bouton "Démarrer" pour stopper le moteur."


J'ai trouvé à travers ce post un article sur les 13 messages d'erreurs les plus drôles...et c'est vraiment drôle :).... et d'expérience, il ne faut pas trop se fier aux messages d'erreurs (s'il y en a déjà ! ) qu'on debug un problème....surtout les applications maison !

PS: j'ai appelé ce genre de post "Billet Flash" pour désigner des articles très courts sur des liens ou des astuces que je trouve durant ma veille techno...ça peut aider...et ça fait vivre le blog :)

Il y a quelques semaines, suite à l'agitation qui a entouré la découverte de la vulnérabilité de cache poisoning des serveur DNS, un ami m'a envoyé une capture réseau (fichier pcap) de la sortie Internet où il bosse afin que je jette un coup d'œil pour voir s'il y a d'éventuels trucs louches (tentatives d'attaques ou signes de compromission). La taille de la capture est de presque 120 Mo sur moins d'une heure...ça travail fort chez eux :)

Alors, je lance la capture avec wireshark, et après quelques secondes il s'arrête en me disant qu'il y a un paquet avec une taille anormale.
Laissons tomber les interfaces graphiques et voyons en noir et blanc :)

Voyons tout d'abord les informations sommaires de la trace en question :

$ capinfos trace.pcap capinfos: An error occurred after reading 77202 packets from "trace.pcap": File contains a record that's not valid. (pcap: File has 2870302190-byte packet, bigger than maximum of 65535)

Humm...un paquet de 2870302190 octets, plus de 2.5 Go !!! ça sent le fichier corrompu.

Alors, peut être que dans le monde magnifique d'Internet, il y a des petits outils qui nous réparent ce type de problème...allo... Google ? j'ai besoin d'aide :)
Malheureusement, pas grand chose pour les premières pages, uniquement des gens qui se plaignent (si parmi vous, quelqu'un a un petit lien, je suis preneur :)). Mais je trouve un lien sur un blog de mon top 3 de meilleurs blogs.
Même pas ici...Richard ne fait que constaté et apparemment ne cherche pas à aller plus loin...dommage.

Je fait quoi maintenant ? je laisse tomber ?
Ce n'est pas vraiment important...mais je ne peux pas m'empêcher d'essayer de voir de plus près si je ne peux pas tirer quelque chose de cette trace (la partie corrompue).

Tout d'abord, il faut isoler le bon du mauvais :)... se taper chaque fois, avec tshark ou tcpdump, presque 30s pour arriver aux paquets qui nous intéressent est une perte de temps. (si quelqu'un connait une option pour allez directement à un paquet donné ça m'évitera la gymnastique qui suit)

On prend la partie valide :

$ tshark -c 77201 -r trace.pcap -w trace_ok.pcap
On obtient une trace de 60289623 octets....il suffit maintenant de copier à partir du 60289624 ème octet en utilisant "dd" :

$ dd bs=60289623 skip=1 if=trace.pcap of=trace_fail.pcap
On a notre fichier trace à traiter, avec une taille de 62896232 octets
On remarquera en passant que les deux parties sont presque de la même taille.
Mais à ce niveau, on a un petit problème, voyons ce que donne tshark :

$ tshark -r trace_fail.pcap
tshark: The file "trace_fail.pcap" isn't a capture file in a format TShark understands.
Si c'était le premier message d'erreur ça serais normal...mais là c'est le format du fichier obtenu qui est en cause. D'accord, voyons la structure d'une trace pcap. le fichier pcap.h nous dit ça entre autres :

struct pcap_file_header {
bpf_u_int32 magic;
u_short version_major;
u_short version_minor;
bpf_int32 thiszone; /* gmt to local correction */
bpf_u_int32 sigfigs; /* accuracy of timestamps */
bpf_u_int32 snaplen; /* max length saved portion of each pkt */
bpf_u_int32 linktype; /* data link type (LINKTYPE_*) */
};
Il faudra alors ajouter le pcap_file_header, 24 octets au début du fichier (pas le temps de me casser la tête ... on utilisera ceux du fichier valide) :
Pour ça "xxd" est là :

$ xxd trace_fail.pcap | xxd -r -s 24 > trace_bad.pcap (ajouter le header, des 0)
$ echo '00: d4c3 b2a1 0200' | xxd -r - trace_bad.pcap (modifier le header)
Maintenant c'est reconnu comme trace pcap, mais on doit commencer à travailler les paquets pour qu'ils soient valides.
La structure de l'entête de chaque paquet est du genre :

/*
* Each packet in the dump file is prepended with this generic header.
* This gets around the problem of different headers for different
* packet interfaces.
*/
struct pcap_pkthdr {
struct timeval ts; /* time stamp */
bpf_u_int32 caplen; /* length of portion present */
bpf_u_int32 len; /* length this packet (off wire) */
};
On va utiliser la même valeur du "ts" que dans la trace valide et mettre une valeur commune pour "caplen" et "len".
on met pour tous les packets ts = "0400 0000 0000 0000 0000 ffff 0000 0100 0000 e203 8748 cf24 0800"

Patchons le premier paquet (le paquet 77202 de la trace initiale) :

$ echo '06: 0400 0000 0000 0000 0000 ffff 0000 0100 0000 e203 8748 cf24 0800' | xxd -r - trace_bad.pcap
C'est reconnu comme paquet, mais apparemment les champs sont bousillés aussi...modifiant ce qui parait sûr ou fort probable :

$ echo '38: 0800' | xxd -r - trace_bad.pcap (type de protocole : IP)
$ echo '3a: 4500' | xxd -r - trace_bad.pcap (version, longueur du header et service diff)
Et maintenant ?.... toujours des champs avec du n'importe quoi...je crois que c'est mort pour la récupération...c'est du vrai corrompu :)
j'ai renommé le fichier en trace_corrupt_to_resolv_one_day.pcap :)...un jour, avec de la corrélation, de la IA,...etc on trouvera une réponse peut-être :)


Et alors, pourquoi ce billet me diriez-vous ?!!
En fait c'était amusant et intéressant pour moi, et j'espère que quelques uns le trouveront aussi...sinon, je compte aussi utiliser mon blog comme aide-mémoire accessible de partout, d'ailleurs je vais commencer de poster des billets sur des outils que je test chaque fois pour mes besoins professionnels et personnels.

en flag Read it in english



C'est un billet qui consiste en une simple réorganisation du billet Etat des DNS Algériens....part II
Il me parait que j'ai "noyer" de nouvelles données, intéressantes je pense (surtout la contribution de tixxDZ dans la réécriture du script en perl). Alors, je leurs consacre un billet dédié tout en les laissant dans l'ancien billet....alors à vous les mises à jour (pour suivre il vaut avoir lu le billet cité au début)

J'ai failli déroger à une règle bien établie chez nous Algériens .... se comparer toujours à nos voisins :)

Alors, j'ai adapté les scripts pour les domaines marocains (ma) et tunisiens (tn)
Les résultats sont dans les archives maroc_dns.tgz et tunisie_dns.tgz

Un petit comparatif : (respectivement dz - ma - tn)

- Nombre de domaines / sous-domaines : 558 - 815 - 907
- Nombre de serveurs DNS autoritaires : 155 - 524 - 4
- Nombre de domaines gérés par le Registrar : 274 / 558 - 140 / 815 - 804 / 907
- Nombre de serveurs en version 9 : 69 / 155 - 243 / 524 - 2 / 4
- Nombre de serveurs en version 8 : 17 / 155 - 6 / 524 - 0 (les deux autres sous PowerDNS)
- Nombre de serveurs récursifs : 72 / 155 - 161 / 524 - 0
- Nombre de serveurs récursifs et vulnérables : 35 / 155 - 61 / 524 - 0

Vous remarquez qu'on est globalement les "moins bons" :)
Une chose intéressante ou étonnante est le quasi monopole du service DNS en Tunisie par l'Agence Tunisienne d'Internet !!!!!


je voudrais ajouter aussi la contribution excellente de tixxDZ, qui a porté et optimiser mon script shell en script perl appelé dnschk . Il y a plein d'améliorations ...mais on reste ouverts à toute nouvelle suggestion :)
Merci encore tixxDZ (il contribue avec pertinence dans forumdz)

en flag Read it in english



En suivant et observant des débats sur forumdz, j'ai vérifié encore une fois l'exactitude d'un constat fait par certains amis :
"il y a deux domaines ou sujets où la majorité (tous ?) des algériens se considèrent, ou du moins agissent comme, experts : la religion et la politique".

Qui n'a pas assisté, sans le vouloir vraiment mais tout simplement en buvant un thé dans un café populaire, à une critique (pas analyse) de la politique nationale tous domaines confondus (santé, éducation, sport, affaires étrangères...) ? et quelques fois, même les questions internationales sont traitées :)
Cerise sur le gâteau, dans la plupart des cas, on donne même "les recettes magiques" qui nous sortiront de la crise multidimensionnelle qu'on vit actuellement....les "politilogues" ne manquent pas apparemment :)

Sur la même table du même café, on aura certainement droit à un débat sur des questions religieuses, de préférence en FIQH (jurisprudence islamique : فقه), où de grands savants (OULAMA) hésiteraient à donner une réponse aussi promptement !

Bien sûr, dans toutes ces discussions, TOUT LE MONDE A RAISON .... avez-vous déjà croisé un algérien qui admet s'être trompé ?! :)

Et pour les autres domaines, qu'en pensent les algériens ? pensez à une nouvelle théorie mathématique ou à une découverte en physique par exemple :)
Là, TOUS LE MONDE SE TAIT.... on respecte la spécialisation ben quoi... à chacun son domaine :)

Si je revient à forumdz (que j'apprécie toujours et j'y resterais inchallah), les modérateurs ont limité les contributions dans la section "religion" après quelques dérapages apparemment. Personnellement, je ne suit pas cette rubrique, non que je ne m'intéresse pas à la religion (au contraire), mais tout simplement que, primo, je sais qu'il n'y a pas de spécialistes, alors je ne vais rien apprendre, et secondo, tellement notre société est politisée à fond, les débats vont certainement déraper vers des chamailleries entre "courants politiques"
Moi je propose qu'on supprime carrément cette rubrique "religion", en attendant une maturité, malheureusement, encore absente !

en flag Read it in english



Alors, enfin j'ai eu un peu de temps pour mener la deuxième partie concernant l'état de DNS gérant les domaines en "dz".
Dès à present, je dirais que les résultats ne sont pas très précis. Je n'ai pas traité les cas où il y a des "erreurs" : non résolution du nom DNS, time out et autres. D'après ce que j'ai pu constater, c'est des erreurs dans les fichiers de configuration des serveurs DNS en question (le named.conf)...ces erreurs sont intéressantes dans le sens où elles renseignent sur l'état de certains domaines :)
En plus, mon script est très élémentaire et fait un peu à la va vite, et il risque d'avoir des erreurs...alors n'hésitez pas svp à me signaler ce que j'ai raté :) (sur le blog ou par mail : salahnadir à gmail).
Quand à l'optimisation de ce script, je n'ai pas vraiment fait de grands éfforts, l'important pour moi était d'avoir des résultats exploitables. Si quelqu'un aussi veut bien apporter des améliorations, c'est avec grand plaisir. Le script est libre d'utilisation et de modification :)


Commençons le travail :
(vous pouvez ne pas lire ce qui suit et lire le script directement téléchargeable en bas, c'est assez compréhensible )

1- D'abord on fait une recherche sur Google sur tous les sites en "dz"
(google apparement n'aime pas ce type de recherche automatique !!)


Url_Base="http://www.google.com/search?num=100&hl=fr&lr=&q=site:dz&sa=N&start="
Url_Add=0
Stop=false

while ! $Stop
do
Url=$Url_Base$Url_Add
wget -E -O result_dz_$Url_Add -U "Mozilla/5.0" -q $Url
if grep "Suivant" result_dz_$Url_Add >/dev/null
then
Url_Add=$((Url_Add + 100))
echo "on continue à "$Url_Add
else
Stop=true
fi
done
On récupère les résultats dans les fichiers result_dz_0, 100, 200.....

2- On appel le script "parse_result" (que j'ai adapté d'un script trouvé sur Internet) pour la récupération des addresses des sites contenues entre le "http://" et le ".dz"
On supprime les résultats contenant google, youtube et les liens cache.
On supprime aussi ce qui est avant le premier point (www ou autre)
Enfin, on met les résultats triés dans le fichier "list_Domaines" après suppression des doublons. (ça contient les domaines et sous domaines)


./parse_result result_dz* egrep -v "(googleyoutube"q=cache")" cut -d . -f 2- sort -u > list_Domaines
NbDomaines=`cat list_Domaines wc -l`
3- On récupére les serveurs DNS autoritaires pour chaque domaine trouvé, en supprimant les lignes non valides : "no NS record", NXDOMAIN, alias.....c'est là qu'on voit quelques problèmes de config.

i=1
while read line
do
host -t ns $line.dz >> list_DNS_Srv_brut
echo -n "$i / $NbDomaines...\r"
i=$((i+1))
done <> list_DNS_Srv
NbSrvDNS=`cat list_DNS_Srv wc -l`

De ces serveurs, il y a certains situés hors Algérie :

echo "---> on a $NbSrvDNS serveurs DNS......dont `cat list_DNS_Srv grep -v dz wc -l` apparement hors Algérie (pas d'extension dz)"

Quel est le nombre de domaines gerés par le Cerist :-) ?

echo "---> presque `grep "decst.cerist.dz" list_DNS_Srv_brut wc -l` / $NbDomaines sous la responsabilité des serveurs DNS du Cerist"
4- Maintenant, c'est la récupération des versions des serveurs DNS trouvés, et là on voit aussi quelques messages d'erreurs intéressants :)


i=1
while read line
do
echo `dig +short @$line txt chaos version.bind cut -d \" -f 2` >> list_Version
fpdns $line grep -i windows >> list_Ver_Win
echo -n "$i / $NbSrvDNS...\r"
i=$((i+1))
done <> list_DNS_Srv


Les numéros de versions sont dans le fichiers list_Version, et les serveur sous Windows (d'apès fpdns) sont dans list_Ver_Win

et les petits malins :)

echo "---> il y a `cat list_Version egrep -v "(out98)" wc -l` malins qui cachent le numéro de version...fpdns peut les faire parler :-)"
Apès, ça donne la répartition des versions entre la 8 et la 9 :

echo "---> `cat list_Version grep 9 wc -l`/$NbSrvDNS serveurs sont en version 9 ... et `cat list_Version grep 8 wc -l`/$NbSrvDNS en version 8"
5- Vérification de la récursivité des serveurs DNS trouvés, on faisant des requêtes sur un site de test...deux fois parceque j'ai vu que quelques fois la première réponse diffère de la première !!

SiteDeTest="www.cnn.com"
i=1
while read line
do
dig @$line +nocmd +nostats +noquestion +noanswer +noadditional +noauthoritY $SiteDeTest grep ra >/dev/null
if dig @$line +nocmd +nostats +noquestion +noanswer +noadditional +noauthoritY $SiteDeTest grep ra >> list_recursion
then dig +short @$line porttest.dns-oarc.net TXT grep is >> list_vuln
fi
echo -n "$i / $NbSrvDNS...\r"
i=$((i+1))
done <> list_DNS_Srv
Les serveurs récursifs sont dans list_recursion, et ceux d'entre eux vulnérable au cache poisoning (Kaminsky) sont dans list_vuln.

PS : dans le code qui précède, à chaque <> c'est en fait un <....dans le script c'est ok, mais blogger me fait chier avec un message d'erreur..et je m'en fout :) C'est tout...voici le resumé des résultats (nettoyé des messages d'erreurs) : ====================================================
DNS_DZ v1.0 : audit des serveurs DNS des domaines DZ
====================================================
récupération des résultats de recherche sur Google...

on continue à 100
on continue à 200
on continue à 300
on continue à 400
on continue à 500
on continue à 600
on continue à 700

récupération des domaines dz avec élimination des doublons ....

---> 558 domaines trouvés !

récupération des serveurs DNS autoritaires pour chaque domaine trouvé....

558 / 558...

on ne retient que les données (supprimer NXDOMAIN, connection timed out, no NS record, alias...

---> on a 155 serveurs DNS......dont 19 apparement hors Algérie (pas d'extension dz)

quel est le nombre de domaines gerés par le Cerist :-) ?

---> presque 274 / 558 sous la responsabilité des serveurs DNS du Cerist

récupération des Versions des serveurs DNS trouvés...regarder les erreurs, ça en dit beaucouq sur certains domaines :-)

---> il y a 46 malins qui cachent le numéro de version...fpdns peut les faire parler :-)

---> il y a aussi - si on croit fpdns - 0 serveur DNS Windows

---> 69/155 serveurs sont en version 9 ... et 17/155 en version 8

Test de récursivité des serveurs DNS trouvés et le cache poisoning...en utilisant le site de test www.cnn.com

---> on a 72 serveur récursifs et 35 d'entre eux vulnerables au cache poisoning !!!

Ces résultats sont biensûr en fonction du moment de l'execution du script (nombre de réponses google, serveurs up ou down, connexion réseau...)

Le script ainsi que les différents fichiers obtenus sont par ici


UPDATE 1 --- 13 sep 2008

J'ai failli déroger à une règle bien établie chez nous Algériens...se comparer toujours à nos voisins :)

Alors, j'ai adapté les scripts pour les domaines marocains (ma) et tunisiens (tn)
Les résultats sont dans les archives maroc_dns.tgz et tunisie_dns.tgz

Un petit comparatif : (respectivement dz - ma - tn)

- Nombre de domaines / sous-domaines : 558 - 815 - 907
- Nombre de serveurs DNS autoritaires : 155 - 524 - 4
- Nombre de domaines gérés par le Registrar : 274 / 558 - 140 / 815 - 804 / 907
- Nombre de serveurs en version 9 : 69 / 155 - 243 / 524 - 2 / 4
- Nombre de serveurs en version 8 : 17 / 155 - 6 / 524 - 0 (les deux autres sous PowerDNS)
- Nombre de serveurs récursifs : 72 / 155 - 161 / 524 - 0
- Nombre de serveurs récursifs et vulnérables : 35 / 155 - 61 / 524 - 0

Vous remarquez qu'on est globalement les "moins bons" :)
Une chose interessante ou étonnante est le quasi monopole du service DNS en tunisie par l'Agence Tunisienne d'Internet !!!!!

UPDATE 2 -- 17 sep 2008

je voudrais ajouter ici la contribution excellente de tixxDZ, qui a porté et optimiser mon script shell en script perl appelé dnschk . Il y a plein d'améliorations ...mais on reste ouverts à toute nouvelle suggestion :)
Merci encore tixxDZ (il contribue avec pertinence dans forumdz)

en flag Read it in english



Après que ButterflyOfFire m'a cité dans son billet, dans la tradition blogday, consacré aux 5 blog Algériens qu'il recommande, j'ai décidé (à 01h du matin !! ) de faire un billet où je donne mes préférences en terme de blogs.

Ma liste de flux RSS est vraiment très longue...presque 150 blogs à suivre, ce qui se traduit généralement par 2 heures de lecture / jour. C'est là qu'intervient la première partie du titre de ce billet : « apprendre chaque jour ». Pour moi, c'est ça la magie d'Internet ... s'enrichir intellectuellement à chaque instant sans se déplacer ! Tout le monde, j'en suis sûr, a connu cette expérience : on bute sur un projet, on se casse la tête pour trouver la solution à un problème technique, même les moteurs de recherche restent muets .... et paf, un message dans une Mailing-list ou un billet dans un blog nous donne la réponse tant recherchée !!
Je ne vais pas lister tes mes blogs favoris, mais en revanche je vous donne les 3 premiers que je consulte quoiqu'il arrive, les commentaires inclus (une des première actions à faire le matin) :

1- le blog du SANS ISC : (Anglais)
Si on fait ou on veut faire de la sécurité, on ne peut pas l'éviter.
Il y a les alertes de sécurité, les analyses, les conseils, les astuces...presque tout :-)

2- le blog de Richard Bejtlich (alias taosecurity) : (Anglais)
Il vient de rejoindre depuis quelques mois la firme General Electric comme responsable de l'équipe de réponse aux incidents, sa spécialité justement.
De plus, et je l'estime pour ça, il maintien un équilibre parfait (difficile généralement) entre la vie professionnelle et les responsabilités familiales.

3- le blog de Cédric Blancher : (Français)
C'est « Monsieur sécurité Wifi » :-) ... et le responsable du département de recherche en sécurité informatique d'EADS France.
Ses analyses sont toujours excellentes et pertinentes, et n'ont d'égale que son franc-parler.

Maintenant, la deuxième partie du titre : « être utile ».
Je suis Algérien et tout ce qui touche à mon pays me concerne. Dans mon domaine (IT et sécurité), j'essaye modestement, autant que possible, d'apporter un plus, aussi insignifiant soit-il.
J'ai découvert la blogosphère Algérienne, par hasard il faut le dire, il y a presque 2 années en cherchant à faire marcher mon modem MT810 sous OpenBSD. En effectuant des recherches, je suis tombé sur le blog de Ostenx. C'était très intéressant ... malgré que mon « problème » (en fait un test) n'a pas trouvé de solution :-)
Après, c'est l'incontournable forumdz, un forum Algérien avec un rapport signal / bruit élevé !! ce n'était pas évident :-)
De ce forum, j'ai découvert quelques blogs que j'apprécie particulièrement :

1- le blog freefoxtv de ButterflyOfFire :
C'est très intéressant à lire. En plus, ses réponses sur forumdz sont toujours pertinentes avec un goût de « bienveillance » :-) .... je dis ça, parce que ce n'est pas le cas de tout le monde !
Si on ajoute, que, d'après lui, il n'est pas informaticien de formation, ça ne fait qu'augmenter son mérite.

2- le blog de ktalgerie :
C'est un fil continu de bonnes informations et de nouveautés .... être aussi dynamique que Karim n'est pas vraiment donné à tout le monde :-)

Il y a bien sûr d'autres blogs que je n'ai pas eu le temps de suivre suffisamment pour avoir une idée précise, mais la majorité regorgent d'excellent billets...même s'ils ne cadrent pas avec mes centres d'intérêt.
Je noterais au passage le blog bledmiki :-), j'y ai lu une excellente analyse du feuilleton google dz

Alors, à la fin, et en anticipant l'inévitable remarque « qui t'es toi pour juger les autres ? ».....je répondrais tout simplement « je suis personne...mai ici, c'est mon blog...je dis ce que je veux, quand je veux :-) »

en flag Read it in english



La faille découverte par Dan Kaminsky a fait, fait encore et fera sûrement l'actualité pour quelque temps. Plusieurs chercheurs se penchent sur l'état des serveurs DNS en terme de déploiement des patchs. Le constat n'est globalement pas très rassurant.

Alors qu'en est-il des serveurs DNS des domaines « dz » ?
Certains diront déjà, avec assurance et sans aucune vérification, que le parc de ces DNS est « pourri » :-) .... en se basant sur l'état de sécurité général des sites algériens.

Difficile de les contredire :-)

Dans ce billet, j'ai essayé de recueillir des « faits » qui peuvent « relativement » donner un état de nos serveurs DNS. Je dis « relativement », parce que dans cette première partie, je m'intéresse à certains serveurs uniquement (essentiellement universitaires). Cependant, tout les tests ont été validés manuellement (pas de script exécutant automatiquement les tests) ce qui donne un certain crédit aux résultats....au moins pour moi :-)

Concrètement, j'ai fait une recherche sur les sites web des universités ou centres universitaires Algériens. Parmi les sites existant, 29 utilisent leurs propres serveurs DNS, les autres utilisent ceux du Cerist.
En plus, j'ai testé les serveurs appartenant à quelques fournisseurs de services.

Pour chaque serveur DNS trouvé, j'ai récupéré la version du service directement quand c'est possible en la corellant avec le résultat d'un outil de finger-printing DNS (fpdns) :

dig @ServDNS txt chaos version.bind
fpdns ServDNS

Un autre test consistait à vérifier si le serveur acceptait la récursivité. Enfin, le dernier test concerne la célèbre faille Kaminsky en utilisant le service du site « dns-oarc.net » :

dig +short @ServDNS porttest.dns-oarc.net TXT

Les résultats, que vous trouverez ici, sont classés selon l'ordre croissant des versions du service DNS.

Alors quelques remarques :

1- La médaille d'or revient à l'université de Annaba (ns.univ-annaba.dz). C'est LE SEUL serveur récursif DNS patché (porttest donne Great) au moment où j'ai effectué les tests. En plus, c'est le deuxième plus récent (version 9.3.4-P1.1) de la liste, après ns.eepad.dz. Mais pourquoi en fait récursif ? Ils sont généreux les benois :-)

2- 73,17 % (30/41) des serveurs sont récursif...et 96,66 % (29/30) de ceux récursifs sont vulnérables à la dernière faille de Kaminsky.

3- Tout les serveurs sont sous BIND, sauf UN, celui de l'université de Guelma (serveur.univ-guelma.dz), il est en « Microsoft Windows DNS 2000 » ....ce n'est pas très sérieux !

4- Quatre (04) serveurs ont modifié le fichier de configuration BIND pour « cacher » la version

- Les plus « intelligents » sont les deux serveurs de nedjma avec « ATTEMPT LOGGED! » (tentative enregistrée) :-)
Mais bon, il faudrait peut-être commencer par mettre à jour les serveurs, actuellement entre 8.3.0-RC1 et 8.4.4 d'après l'outil fpdns. Ont-ils modifié le comportement de BIND pour induire en erreur l'outil ?!! Un bon point tout de même, ils ne sont pas récursifs.
- Le serveur de l'APS (hogar.aps.dz) répond par « unknown », mais fpdns dit qu'il est dans l'intervalle 9.2.0rc7–9.2.2-P3. En plus, il semble qu'il forwarde les requêtes à ns1.tda.dz !
- Le serveur de TDA (ns2.tda.dz) n'a pas du tout le sens de la communication :-), sa réponse est « ». fpdns croit qu'il est dans 9.2.3rc1--9.4.0a0

Dans un prochain billet, je vais essayer d'avoir un échantillon plus important en incluant les résultats de recherche sur Google de tous les sites « dz ». L'analyse sera totalement automatisée...mais ça risque d'avoir quelques erreurs.

Inscription à : Articles (Atom)