e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


Juste un petit billet annonce / pub :)

C'est le nouveau blog de mon ami tixxDZ ...et le premier billet n'est rien d'autre q'une annonce de découverte de vulnérabilité dans Mplayer et VLC !!!

Vous l'avez bien compris, on a un vrai chercheur en sécurité en Algérie.

Comme je l'ai dis à certains, je considère que dans la vie, il y a 2 catégories de personnes : les bâtisseurs et démolisseurs (équivalent en arabe moslihoune et moufssidoune) .... et là, c'est un exemple d'un bâtisseur ... un vrai.

Maintenant, je peux me vanter de te connaitre et d'avoir échangé quelques mails avec toi :)


.

Il y a quelques jours, certains médias en ligne font état de la découverte "accidentelle" d'une opération de préparation des terminaux BlackBerry détenus par les clients de l'opérateur émirati Etisalat pour pouvoir, le temps voulu espionner leur communications ... rien que ça !!

En fait, l'histoire commence quand des clients remarquent que leurs batteries se déchargent rapidement d'une façon inhabituelle, et que ceci arrive juste après réception d'un message de leur opérateur signifiant qu'il y aura installation d'un "patch" (par push WAP) en disant :
"Etisalat network upgrade for BlackBerry service. Please download to ensure continuous service quality."

Et comme il y aura toujours des casse-pieds qui veulent comprendre un peu plus que ce qu'on leur dit ... et ben ils ont posté sur un forum de support BlackBerry pour signaler leurs soucis ... en postant le "patch" ... qui est ... attachez-vous bien ... un simple fichier JAR (archive Java)...qui ne demande qu'à être analyser.

Et là, c'est inévitable, il y aura aussi toujours les "emmerdeurs" qui voient le mal partout ... et se font un plaisir pour décortiquer le tout .... et quand ce n'est ni obfusqué ni chiffré ni quoi que soit .... le plaisir est à 2 doigts :)

L'histoire fait le tour, et des pros se mettent de la partie ...et là encore on a le choix entre pleurer ou rire :

- Le serveur qui devait recevoir les petits "coucous" des terminaux qui ont installé le fameux patch ... n'a pas supporté la charge ... du coup, les terminaux essayent et réessayent pour le contacter ... ce qui tue les batteries :)

- Les chemins de l'archive ne donnent aucune indication (ironie)... parce que figurez-vous, un chemin du genre "com/ss8/interceptor" ne veut rien dire :) ... même si "SS8" est le doux nom d'une boite US qui se présente: "electronic surveillance solutions company that develops products that allow intelligence agencies to recognise, monitor, investigate and prevent criminal activity" .... en plus, elle n'est pas du tout inconnue dans la région ...mais pas du tout !

- Le code en lui même (qui est disponible ici) est très parlant :) ... on trouve même des trucs codés en dur ... du genre serveur où envoyer les trucs interceptés (http://10.116.3.99:7095/bbupgr), des émails ... et même des clés AES :) "aes_key_str = "EtisalatIsAProviderForBlackBerry"

Je vous invite à lire ces analyses ici , et encore par ici

Avant de terminer .... on doit rester objectif et noter que la "fonctionalité" est par défaut désactivée ...c'est déjà ça :) ... mais quand on décide que tel est "intéressant" ...un petit message contenant la commande "start" suffit :)


in9mv7wzxy


Ce matin, j'entends dans les infos que le Ministère de l'enseignement supérieur et de la recherche scientifique a mis à la disposition des nouveaux bacheliers un site web pour les orienter et aussi "pouvoir créer une boite au lettres électronique" .

Très bonne idée je me dis, alors je passe par le site du ministère (pas un modèle de design au passage) pour chercher ce nouveau site.

La seule chose que je trouve est ce message :
"Bacheliers 2009: Activez votre compte E-mail sur http://email.bac09.dz"

Ok, j'y vais pour voir ce service. Paf, une redirection sur un truc Google !!!

"Bienvenue sur votre service de messagerie Baccalauréat 2009, fourni par Google"

Je confirme ça avec une requête DNS :

$ nslookup email.bac09.dz
Nom : ghs.l.google.com

Address: 74.125.77.121

Aliases: email.bac09.dz, ghs.google.com


D'accord, je ne sais pas du tout c'est quoi ça, mais je présume que c'est une offre Google.
Puis, aucune indication comment accéder au compte ... mais là aussi, je présume que les nouveaux bacheliers le savent ... et surtout ne me dites pas non !!

Passé ça, je veux toujours voir le site lui même. J'essaye le www.bac09.dz

Maintenant, on revient sur le territoire national, le site est au Cerist : 193.194.77.195

Mais quand on revient à l'intérieur de nos frontières, on le fait vraiment à fond !!!!!!

Un site que je qualifierais de Web 0.00001 si pas moins !!! Un truc écrit en Word et copy/past sur une page web.

Et ne me parler surtout pas de la sécurité du site, on s'en fou !!!!

Vraiment pefffffffffff.


in9mv7wzxy

Tout le monde (ou presque) apprécie les services Google, en même temps, tout le monde s'offusque de l'hégémonie de Microsoft (qui commence à diminuer) .... mais Google, avec son approche et sa vision, n'est-il pas plus dangereux sur tout les plans : vie privée, sécurité, sécurité des nations même ?!!!

En lisant les news concernant le nouveau OS de Google, j'ai immédiatement pensé à une vielle vidéo sur Youtube : Epic 2014 ...qui reste, dans le fond, toujours d'actualité !





.

Si on fait abstraction des personnes qui font honte à notre pays ...

Si on n'oublie un petit peu (pour quelques minutes) que la "vraie" indépendance n'est pas encore gagnée (citez plus de 10 pays vraiment indépendant dans le monde !!!) .....

Si on contemple combien notre pays est beau et magnifique ...

Si on pense à la joie qu'à pu donner un ballon en cuir pour tout un peuple ....

Si on pense au gens (la plupart martyres) qui ont fortement crus dans ce pays ....

Enfin ... si on se permet un petit moment d'optimisme ....

..... on sentira MALGRÉ TOUT un amour profond pour notre pays.

Merci Karim (KT Algérie) et Freefoxtv pour le lien :)


Il y a quelques jours, mon lecteur RSS me ramène un article amusant sur le blog Zscaler : "les choses les plus importantes sur Internet ... de A à Z" :)

Celui-ci s'intéresse à ce que offre Google comme suggestions (le Google Suggest) quand on commence à taper une requête ... tout le monde connait ça.

Il nous donne la liste des suggestions pour les requêtes commençant par les lettres de l'alphabet ... et cela pour le ".com", parce que voyez-vous, Goggle vous sert en fonction de votre localisation !

Ainsi, une requête commençant par "s" donne, en première position :

"southwest airlines" pour le ".com"
"sncf" pour le ".fr"

... et je m'arrête là, parce que pour les autres ".ca", ".de" .... on ne nous propose rien !!

Bon, on me dira que c'est un truc qui fait parti de Google Labs ... expérimental ! ... OK :)

EDIT :

MARTANI Fakhrou
vient de me corriger concernant le fait que uniquement le "com" et le "fr" sont concernés par le service Google Suggest ... qui est sortie du laboratoire il y a longtemps déjà apparemment :)

En fait les autres localisations marchent aussi. Le problème venait de moi ... et de l'extension Noscript . Le javascript était activé uniquement pour le "com" et le "fr"... ce qui fait que les suggestions ne passent pas :)

Mais, même si les autres marchent ... le ".dz" reste muet :)

Thanks again Fakhro :)

.

Un thread sur forumdz avance que des problèmes ont survenus lors d'une tentative d'interconnexion de certains ISP algériens :

"L'histoire a commencé le mercredi 06 Mai 2009, le MERCREDI NOIR du NET en Algérie. Ce jour la, les principaux fournisseurs d'accès nationaux (Djaweb - AT, EEPAD, SLC, ARN - CERIST) ont tenté d'interconnecter leurs réseaux via ALGIX le premier point d'échange algérien.

Mais tout ne se déroule pas comme il a été prévu, le protocole BGP (mal maitrisé) a provoqué un effet avalanche sur tous les routeurs lors de la propagation des tables de routage. Résultats des courses : tout le réseau national s'écroule comme un château de carte et c'est le Blackout chez tous les FAIs!"

Alors comme ça, on a un GIX Algérien .... bonne nouvelle, bien que presque aucune information n'est disponible sur ce sujet.

Maintenant, y a-t-il eu vraiment un problème BGP ?

Comme le membre qui a affirmé ça (assilabox ... le membre, pas le routeur :) ) n'est pas du genre à balancer du n'importe quoi, alors il se peut qu'il y a eu vraiment problème lors de cette supposée interconnexion.

Et si ce cafouillage a généré du trafic de routage, on devra trouver des traces dans les endroits qui vont bien.

Avant de commencer, ne vous attendez pas à une analyse de spécialiste .... bien qu'ayant fait plusieurs années du réseau et suivi même quelques formations officielles Cisco, je ne me considère pas spécialiste.
Alors, s'il y a parmi les visiteurs un spécialiste ou quelqu'un qui connait un ... ça serait sympa de jeter un coup d'œil critique sur ce que j'avance.

Pour moi, être spécialiste signifie avoir de la maitrise. Et cette maitrise n'est possible qu'avec 2 éléments : les connaissances (assez de formations) et la pratique (années d'expérience réelle dans le domaine).

Commençons d'abord par trouver les "groupes" dans lesquelles "vivent" nos principaux ISP DZ. C'est ce qu'on appel des Autonomous System ou AS (système autonome).

Pour faire cela, des petites commandes whois sur des plages d'adresses connues pour chaque ISP peuvent suffire dans certains cas. Sinon, le net regorge de sites donnant ce type de données, le site robtex est un des bonnes pistes.

Après quelques manips, on a alors les résultats suivants :

Cerist = AS3208
Djaweb = AS33774
FAWRI = AS36947
TDA = AS21391
EEPAD = AS33783
SLC = AS36879

Maintenant, voyons si on trouve des traces de ce qui est arrivé.

Une des ressources les plus conseillées est le Routing Information Service (RIS) du RIPE NCC

Après essai des différents outils online, le service ASInUse me parait le plus utile dans ce cas. En fait, pour un AS donné, on peut voir les voisins (neighbors) avec les dates "first seen" et "last seen" dans les derniers 3 mois passés. Comme ça, on verra s'il y a des connexions qui sont apparues puis disparues.

Mais, il faut tenir compte que "One should note that the 'views' are from the perspective of our Route Collector in Amsterdam and its peers" ... une vue partielle en somme. En plus, je ne rapporte que ce que je considère lié à notre cas ... mais les liens sont dessus pour ceux qui veulent allez plus loin.

1- Cerist (3208)

AS33774 (Djaweb) du 2009-05-04 08:37:32 UTC au 2009-05-13 10:59:53 UTC

2- Djaweb (33774)

AS3208 (Cerist) du 2009-05-04 08:37:32 UTC au 2009-05-13 10:59:53 UTC
AS36947 (Fawri) du 2009-05-13 14:34:27 UTC au 2009-05-13 14:38:43 UTC
AS36989 (AnwarNet) du 2009-03-20 07:59:58 UTC au 2009-05-13 14:38:43 UTC

3- FAWRI (36947)

AS33783 (EEPAD ) du 2009-04-30 09:31:57 UTC au 2009-04-30 09:36:49 UTC
AS33774 (Djaweb) du 2009-05-10 08:06:11 UTC au 2009-05-20 15:59:44 UTC

4- TDA (21391)

AS36879 (SLC) du 2009-05-05 14:09:09 UTC au 2009-05-24 07:33:19 UTC

5- EEPAD (33783)

AS36947 (FAWRI) du 2009-04-30 09:31:57 UTC au 2009-04-30 09:36:49 UTC

6- SLC (36879)

AS21391 (TDA) du 2009-05-05 14:09:09 UTC au 2009-05-24 07:33:19 UTC


Il me parait qu'à partir du fin Avril 2009, et jusqu'au fin Mai, il y a eu une sorte de peering (Cerist - Djaweb, TDA - SLC, Eepad - Fawri) .... mais plus rien après.


.

Inscription à : Articles (Atom)