acces aux donnees depuis un cybercafe (par e xemple)

Une autre solution pour ton VNC peut être d'utiliser un tunnel SSH avec
authentification par clé publique. Mais il faut que tu puisses lire ta
clé depuis un support.
Ça reste moins bien qu'un système OTP je pense, ou alors tu fais tourner
tes clés dans ton authorized_keys en fonction des jours ou des heures :)
Mais il ne faut pas se connecter toujours du même endroit et à la même
heure du coup.

Eric Razny a écrit sur fr.comp.securite le 02/06/2005 dans
<pan.2005.06.02.09.50.28.103373@razny.net> :

[admin VNC d'un cyber café]

J'explique un peu plus:
Je "prépare" un voyage d'environ un mois (minimum) en Colombie, et j'ai
pas trop envie d'y emmener mon portable. De plus, même si j'ai le
portable, il me faudra aussi un accès haut-débit (faire du VNC en RTC,
je n'envisage pas). Et là c'est pas gagné. Ou alors il faudrait que je
trouve un/des hotel(s) avec accès Wifi.
Je cherche...

Pour ce qui est des tests VNC, je fais ça régulièrement depuis chez
moi, ça roule.

Honnètement oublie l'administration d'un cyber-café sur une machine de
ce cyber-café, ce n'est *vraiment pas* une bonne idée. Négocie plutôt de
brancher ta machine sur leur réseau en payant même plus cher que le
tarif de base et là tu fais du tunelling ssh ou tu mets en place un vpn
(*et* tu protège convenablement ta machine auparavant -sauf si tu aimes
les rebonds-).

Ca, ça pourrait se faire.

Ensuite je vais être un peu rude mais un admin se démerde quand il le
faut à la ligne de commande[1], justement à cause des problèmes de
débits. Il arrive que j'ai le portable dans la bagnole et que j'ai à
intervenir sur un serveur via le GPRS, je n'imagine même pas le faire
autrement que via un shell.

Comme tu l'as certainement remarqué, je ne suis pas un *vrai* admin.
Ca va certainement en faire hurler certains, mais j'en suis plutôt à me
démerder pour faire tourner toute la baraque avec les crédits (minces)
qu'on veut bien m'accorder.

Alors je crois que je vais laisser tomber tout ça (je préfère, plutôt
que de trouer mon système), et *ils* se démerderont pendant mon absence
;-)

De toute façon si tu fais du VNC en gprs en colombie tu peux déjà
t'acheter le portable ; vu ce que va te coûter les communications avec le
mobile tu ne vas même pas le voir dans la facture globale :)

Oui ben là c'est sur que ça passera pas :-)

Merci en tout cas pour toutes ces précisions.
Du coup j'ai pas mal de réponses aux questions que je me posais.

--
Jean Declercq
message rédigé sur un spam 100% recyclé

Le Thu, 02 Jun 2005 14:34:48 +0000, Manu a écrit :

Une autre solution pour ton VNC peut être d'utiliser un tunnel SSH avec
authentification par clé publique. Mais il faut que tu puisses lire ta
clé depuis un support.

amha c'est surtout le meilleur moyen de te faire piquer tes clefs, ta
passphrase et de laisser entrer le loup dans la bergerie!

Je vire peut être parano mais tu ne connais pas l'application qui se
présente à toi comme un navigateur. Maintenant si tu veux lui laisser
accèder à tes données libre à toi, mais perso ce n'est certainement
pas ce que je conseille.

Je rappelle que l'OP ne veux pas "simplement" lire ses emails[1] mais
faire de l'administration (à propos si on utilise VNC même à partir
d'une machine sure il faut passer par un tunnel : dans VNC
l'authentification est chiffrée mais le reste passe en clair). Dans ce
cas il me parait raisonnable de considérer que toute machine de
cyber-café est hostile, même s'il y a peu de risque que tu sois ciblé ;
et ça fait autant mal au c.. de se faire trouer que ce soit parce qu'on
est ciblé ou par hazard :)

Eric.

[1] ce qui peut déjà en soit représenter un risque

On 02 Jun 2005 17:01:00 GMT, "jean declercq" <jde@wanadoo.fr>:

Alors je crois que je vais laisser tomber tout ça (je préfère, plutôt
que de trouer mon système), et *ils* se démerderont pendant mon absence

D'un autre côté, si "ils" ne sont pas compétents, "ils" risquent de
trouer le système encore plus...

Le Thu, 02 Jun 2005 17:01:00 +0000, jean declercq a écrit :

Comme tu l'as certainement remarqué, je ne suis pas un *vrai* admin. Ca
va certainement en faire hurler certains, mais j'en suis plutôt à me
démerder pour faire tourner toute la baraque avec les crédits (minces)
qu'on veut bien m'accorder.

Ca ne fera hurler personne je pense. On voit ça tous les jours et ce
n'est pas à l' "admin" qu'il faut s'en prendre mais à la boite qui ne
comprends pas la nécessité d'avoir quelqu'un de former ou d'externaliser
une partie du système. En fin de course l' "admin" se retrouve surtout
avec du boulot en plus sans la considération ni le salaire qui va avec.

Tu prends l'initiative de venir te renseigner ici et je trouve ça plutôt
rassurant finalement. Je me souviens encore d'un "admin" qui reprend pour
confirmer une adresse IP : 257... si si! (là c'était plus grave car il
n'avait absolument pas conscience de ses lacunes).

Amha tout le monde à ses points faible et le but du jeu n'est pas d'être
parfait mais aussi de savoir chercher de l'aide quand il le faut ;)
(que ce soit via un moteur de recherche, via usenet, via un consultant etc)

Alors je crois que je vais laisser tomber tout ça (je préfère, plutôt
que de trouer mon système), et *ils* se démerderont pendant mon absence
;-)

Sérieusement ce n'est probablement pas plus mal. S'il y a un pépin quand
tu interviens ça va être de ta faute. Au moins s'il y a un problème (ce
que je ne vous souhaite quand même pas ;) ) ils comprendront que le
budget consacré au sujet est vite largement rentable au moindre incident.

De toute façon si tu fais du VNC en gprs en colombie tu peux déjà
t'acheter le portable ; vu ce que va te coûter les communications avec
le mobile tu ne vas même pas le voir dans la facture globale :)

Oui ben là c'est sur que ça passera pas :-)

Si tu veux te faire payer un portable et une connection "libre" c'est le
moment!
MCI et CIS continuent, il me semble, de proposer des numéros
nationnaux d'accès.
Accessoirement il y a peut être un FAI local qui propose un accès
"libre" comme nos FAI français. Ca vaut surement le coup de se renseigner.
(il faut juste faire gaffe aux surtaxes des hôtels sur les numéro
gratuits (sic))

Eric.

[...]

Le "méchant" continue joyeusement à communiquer avec ton serveur à
partir d'une session établie et envoie à ta machine une réponse du
genre "mot de passe incorrect" ou fin de communication (RST pour reset).
Mouais enfin ce n'est pas aussi simple et il y confusion entre 2 notions

de session.

D'une part l'utilisateur légitime se paye une fermeture de session TCP
naturelle (FIN) à chaque affichage de page (en HTTP/1.0) dont le RST ...
pas très utile.

Un vol de session au niveau TCP est extrêmement compliqué de nos jours à
réaliser : il faut deviner le prochain numéro de séquence ce qui, avec
les piles actuelles, est devenu quasiment impossible.
Et de toute manière ce ne serait pas rentable, la session (toujours en
HTTP/1.0) étant très courte. En HTTP/1.1 la probabilité de réalisation
est plus élevée mais cela reste tout aussi compliqué.

C'est en revanche plus simple au niveau HTTP (non SSL) car il est
effectivement assez facile de récupérer le cookie de la session HTTP
légitime et de l'utiliser pour prolonger cette session depuis une autre
machine (à condition que le cookie ne soit pas lié à une adresse, etc)
tout en balançant des RST en permanence à la mchine légitime pour
qu'elle ne vienne pas gêner le dialogue illégitime.
C'est encore plus simple s'il n'y a pas de cookie mais un URL de session.

Mais en utilisant HTTPS tout devient plus compliqué pour le pirate en
herbe. Mais il peut toujours gêner le dialogue légitime.

db


--

Courriel : usenet blas net

Le Thu, 02 Jun 2005 20:58:15 +0000, Dominique Blas a écrit :

Mouais enfin ce n'est pas aussi simple et il y confusion entre 2 notions
de session.

D'une part l'utilisateur légitime se paye une fermeture de session TCP
naturelle (FIN) à chaque affichage de page (en HTTP/1.0) dont le RST ...
pas très utile.

D'une part le monsieur a dit qu'il voulait faire du VNC (ou autre, bref de
l'admin avec un temps de connexion sugnificatif). Donc le RST normal peut
très bien arriver après des heures, donc le RST à la récupération de la
session me parait très utile au contraire.

Un vol de session au niveau TCP est extrêmement compliqué de nos jours
à réaliser : il faut deviner le prochain numéro de séquence ce qui,
avec les piles actuelles, est devenu quasiment impossible.

Ahem, tu es sur d'avoir bien lu le contexte : le vilain n'a pas a se
tapper une séance de divination, il voit clairement passer les trames. Je
te rappelle qu'on n'est pas dans un contexte de machine perso+tunnel mais
machine qui appartient au méchant, qui peut etre sur le LAN et dont les
clients peuvent être compromis (pour par exemple avoir accès au traffic
en clair).

A partir de la c'est simple de gentiment continuer la session de
l'utilisateur sur une autre machine en stoppant la connexion de
l'utilisateur légitime (que ce soit via le soft vérolé ou, par exemple,
en prenant la place de la machine sur le LAN -on envoit un RST
à la machine puis on en profite par un changement de paramètre sur le
fw/routeur , NAT/PAT avec netfilter par exemple).

Et de toute
manière ce ne serait pas rentable, la session (toujours en HTTP/1.0)
étant très courte. En HTTP/1.1 la probabilité de réalisation est plus
élevée mais cela reste tout aussi compliqué.

Sauf que comme j'ai (je me mets à la place du méchant, c'est plus
pratique pour moi :) ) pu voir tout le traffic http passer (y compris
http/TLS) je peux joyeusement placer tous les cookies et autres
joyeusetés sur ma machine, l'empêcher de réinitialiser une session pendant
un temps (et le pauvre gars en face va pester contre le FAI local ou son
fournisseur de service sans penser à ce qu'il se passe réellement) et
continuer tranquillement avec sa "session" (au sens ouverture d'une
session sur un webmail par exemple) http. Miam.

C'est en revanche plus simple au niveau HTTP (non SSL) car il est
effectivement assez facile de récupérer le cookie de la session HTTP
légitime et de l'utiliser pour prolonger cette session depuis une autre
machine (à condition que le cookie ne soit pas lié à une adresse, etc)

Même lié à une adresse. Dans le contexte cyber café le méchant
possède le LAN et les machines. Quelques réglages sur la table nat et
c'est fait, j'ai la même adresse :)

tout en balançant des RST en permanence à la mchine légitime pour
qu'elle ne vienne pas gêner le dialogue illégitime. C'est encore plus
simple s'il n'y a pas de cookie mais un URL de session.

Il ne s'agit plus d'une attaque distante (sens wan), le méchant est sur
le LAN. Il a probablement déjà fait du arp cache poisoning pour être
tanquille, s'il n'a pas accès au routage. (je pars de l'idée qu'au mieux
les machines du cyber-café sont compromise -paramètrage identique, il y
a des chance que si une saute les autres aussi- et qu'au pire tout le
système appartient au méchant cyber-cafetier).

Mais en utilisant HTTPS tout devient plus compliqué pour le pirate en
herbe. Mais il peut toujours gêner le dialogue légitime.

Si je recompile un firefox avec une backdoor qui me permet de récupérer
le taffic en clair je doute que le client du cyber-café se rende compte
de quoi que ce soit.

Eric.

[...]

[1] ce qui peut déjà en soit représenter un risque

Ouais, enfin. Vivement 2 ou 3 ans qu'on puisse disposer de portables
utilisables avec nos gros doigts qui tiennent dans la poche. Finis les
cybercafés !

db

--

Courriel : usenet blas net

Eric Razny a écrit sur fr.comp.securite le 02/06/2005 dans
<pan.2005.06.02.21.29.34.434749@razny.net> :

(et le pauvre gars en face va pester contre le FAI local ou son
fournisseur de service sans penser à ce qu'il se passe réellement

J'aime bien le "pauvre gars" ;-)
Mais ça représente à peu près la réalité :-))

--
Jean Declercq
message rédigé sur un spam 100% recyclé

arf, et moi qui me sentait tranquille, a chaque fois que je vidais mon
cache, historiques, et ne passait que par des webmessengers lorsque
j'allais dans des cyber... ca fait froid dans le dos tout ca...

Une question me vient à l'esprit, lorsque vous parlez tous de webmail,
s'agit il bien sûr de webmail d'entreprise, ou alors d'autre tel que
gmail/yahoo/etc?

Pour ce qui est de se connecter a une entreprise, il me semble que pour
le personnel externe dispose d'un ordinateur portable muni d'un
paramétrage de connexion distante sécurisé. Enfin c'était le cas
lorsque je bossais en banque.

Ed

Dominique Blas wrote:

[...]

[1] ce qui peut déjà en soit représenter un risque

Ouais, enfin. Vivement 2 ou 3 ans qu'on puisse disposer de portables
utilisables avec nos gros doigts qui tiennent dans la poche. Finis les
cybercafés !

db

--

Courriel : usenet blas net