Read it in english
Un lisant un billet sur la difficulté de marier entre sécurité et facilité d'utilisation ou convenance, je me suis souvenu d'un constat que j'ai fait en vérifiant la validité des couplets user/password de la messagerie Wissal du Cerist qu'un "super hacker" a posté sur forumdz.com.
Ce qui a attiré mon attention, c'est la gestion des erreurs lors des accés. Les administrateurs ont soit priviligié la "convenance" sur la sécurité...et ils sont libres, c'est leur choix, ou (et là c'est plus problématique) ils ne sont pas conscients de la "vulnérabilité" qu'ils ont laissé.
Alors de quoi s'agit-il ?
Simplement , le site en question nous renseigne sur l'existance ou non d'un compte indépendament de la validité du mot de passe.
Vous me diriez que ce n'est pas vraiment grave....peut-être, mais pour moi ça divise en deux l'effort à fourir en brute-force; On ne test que le password. Et quand on sait que les mêmes compte sont généralement utilisés pour d'autres choses, on voit bien l'importance de la chose.
Vérifiant ensemble :
j'aime bien le "toto" des français :)
Ok, là une très bonne gestion du message d'erreur, pas d'indiquation sur la cause du rejet...mais...mais
ils vous disent "Veuillez vérifier".... vérifier quoi ?!
Ha bon, vous n'avez pas de compte "toto" .....
Hummm, essayons un autre compte et vérifiant du coups :
On nous donne même les dates de création et d'expiration !!! Merci c'est très gentil :)Essayons le fameux root :
interessant...Maintenant, est-ce qu'on va les essayer un à un ? évidement non :)
L'url qui fait la vérificatioon est donnée en cadeaux et en clair :)
http://wissal.dz/register/checkAccountLdap.php?compte=CompteToTest
Il ne reste qu'à faire un petit script pour automatiser le tout, du genre :
For CompteToTest in Dictionnaire
url de validation
Recuperer comptes valides
Alors avant de finir, trois petites remarques :
1- Ces vulnérabilités, qu'on peut appeler "conceptuelles" ou de design ne sont pas le propres de nos sites, c'est presque la règle
2- Je suis toujours fidèle à ce que j'ai dit dans mon premier billet de ce blog (pas de hack). Ce que je viens de montrer ne compromet pas directement le serveur, en plus je vais signaler mon billet aux admin du site en question
3- Je n'ai aucune animosité envers le Cerist, d'ailleur j'en ne connais personne. Mais être gestionnaire du domaine DZ, implique des responsabilités et un niveau de sécurité "acceptable".
16 août 2008 à 21:38
Excellent billet merci beaucoup ch'riki :) j'aime bien ce que tu fais. Continue comme ça :)
Salutations amicales
17 août 2008 à 09:08
Merci ButterflyOfFire, j'y compte bien...
Un prochain billet, dès que j'ai le temps, sera consacré à l'état des DNS algériens....
17 août 2008 à 15:54
Bonjour amigo,
Merci beaucoup pour l'info,
bon bah sans rien te cacher mon frere, ca changera rien de signaler la vulz parce qu'ils ne regardent pas leurs mails, d'ailleur j'avais essayé de les contacter des milliers de fois mais sans réponse, et puis tu peux aussi ajouter qu'il existe une faille de type Xss dans la vérification des users ce qui permet le vol des cookies d'un modo ou un admin bref .. c'est ce que j'appelle un site multi trous, il suffit de regarder le site pour qu'il soit hors ligne .. sincerement je n'ai marre de nos RSSI !
Cordialement
17 août 2008 à 16:19
@intranet :
Tu as raison de désespérer...d'ailleur, le contact "officiel" drsi@wissal.dz à qui j'ai envoyé le mail n'existe pas !!!
Main bon, à mon avis, on doit signaler tout problème. Ils sont quand même LE Registar algérien, et si j'ai bonne mémoire, j'ai lu quelque part sur le net qu'ils ont été présentis pour être notre CERT national...tous ça implique des responsabilités, et leur défaillance nuira directement ou indirectement à tout le monde.
17 août 2008 à 16:34
Si seulement il n y avait que cette vulnérabilité ...!!
Mais malheureusement, reporter les vulnérabilités ne sert à rien dans la plupart des cas :(
17 août 2008 à 22:53
Salama Salah c'est le siiper-hacker dont tu parles lol
Bah pour tout dire les mots de passe étaient accessibles (via une liste) a quiconque cherchait bien ;-) et je sais que tu les ai trouvé vu que tu es dans le mail4 ;-) ....
Maintenant que le compte "drsi" n'est plus, je peux donner son passe ;-) [virus20ikarus02] lol
Je crois que les gens du Cerist sont atteint de la fameuse maladie du jemenfoutisme chronique, la preuve je suis sur un autre serveur a eux :-)
------------------------------------
badrh0 = higgs_b0s0n ;-)
18 août 2008 à 15:27
@OstenX
"Si seulement il n y avait que cette vulnérabilité ...!!"
Tu as raison, celle là n'est rien par rapport à d'autres....mais les "autres" vont me conduire à montrer en quelques sorte comment pirater le site. Je sais que c'est facile de le faire..mais ce n'est pas moi qui aidera à le faire.
"Mais malheureusement, reporter les vulnérabilités ne sert à rien dans la plupart des cas :("
Je comprend bien ton "désespoir" :-) mais je ne suis pas pour autant d'accord. Rapporter les vulns n'est pas suffisant, mais nécessaire à mon sens, tôt ou tard ça aura un résultat...c'est ma conviction.
@Anonyme (badrh0 = higgs_b0s0n = super hacker) si j'ai bien compris :)
"et je sais que tu les ai trouvé vu que tu es dans le mail4 ;-)"
Non je n'ai rien trouvé, et c'est quoi le mail4 ?!
"la preuve je suis sur un autre serveur a eux :-)"
Et en quoi ça fera avancer les choses, à part te sentir "super hacker de la mort" ??!!!
18 août 2008 à 21:32
@Salah:
Il est clair que reporter la vulnérabilité reste une étape nécessaire. Je disais juste que dans la plupart des cas il n y a aucun résultat qui suit. Et quand un beau jour le site est sécurisé c'est toujours le fruit d'un contrat avec une société "spécialisée" (qui vire tout ce qui y avait avant, au lieu de corriger l'existant. Faut dire que le contrat est d'autant plus juteux), mais rarement le fruit du travail de l'admin. Le laisser-aller reste roi.
19 août 2008 à 22:43
@OstenX
"le fruit d'un contrat avec une société "spécialisée""
Peut-être que rapporter les vulns les oblige à aller vers les pros :)
La finalité est la même : sécurité (même avec un petit grain de regret : attendre l'autre)
HS: apparement tu ne postes plus sur ton blog ?
22 août 2008 à 15:57
Oui, disons que je suis assez débordé ;)