This semester we (with Vivien) tried to be followed by the UTC (our school), and to get credits for an experimental study called "Studying brute-force attacks over SSH by setting up a honeypot".
And finally it was accepted!

SSH is now the best way to access a machine remotely. Every server administrator knows how to use that. Besides, some Network-Attached-Storage, routers, or phone also have an SSH access. Moreover, some common services create a user with a default password, which is then usable by an attacker to access with user privileges to a remote machine. That's the goal of our project, monitoring attacks on SSH (login attempts), on several public IP addresses, to get stats and methods used by attackers.

Especially on professional server IP ranges (such as OVH or Dedibox), attacks are very massive, and can easily create log file of several GB in a few weeks. But stats is only the first part of this study, the second part being letting an attacker break into our machine, and then analyze his (or her) moves. We currently have more than 500,000 attempts, for about 600 different attackers, and more than 1200 attack sessions (two sessions are at least separated by 1 hour without any attempt). The installation includes firewall configuration (and limitations), IP source based routing, VPN,... more technical details will be available in our report (coming by the end of the month, at least in French).

We had to patch sshd, bash, zsh, to create a pam module (to get the new password if the attacker decides to change the current one), so that all these programs are logging what we want through rsyslog (with debug level). These logs are not written on the disk due to their low level, instead we added a rule in syslog.conf so that their are sent to a server, which logs them in a file, and also send the lines in a pipe. A python script is constantly reading in this pipe, and putting information in a MySQL database.
This database contains information on attackers (IP, activity, etc...), on the attempts (login, password, ssh client used, IP, date), and then we cross this information with a geolocation database, to see where the attack come from (~80% precision on towns!).

There is currently a web-based monitor available here in alpha version: http://monitor.xdec.net. This website runs well on recent (and decent) web browsers, it uses jQuery, (X)HTML5, CSS3 properties. It provides a small view of the work we have been done, and we need to work more on this (adding stats, attempts, a bigger map, and some admin tools, ...).

This project is going to evolve quickly in the next few weeks, and of course all code, procedures and reports will be freely available (under a Free license).

It's been quite a long time since I have this book, and I have just finished it (yes I mean, entirely). It was strongly recommended by some people at school, and also by Amazon, and comments on the Internet. Indeed it's very well written, in about 500 pages. The title might suggest something very classical, or more like a collection of exploits without interest, but it's really far from that. This book is very very good if you plan to start in Computer Security, I mean it contains the basics of system and network security in a Unix world. Sure if you know nothing about GNU/Linux the step would be high, but it takes you back to the basics of C language, analyze the assembly code behind, and show you why it is vulnerable, how to create an exploit (yes I mean from scratch, not just copy/paste some script kiddie), and then what happen, etc...

This book would have teach me a lot of things a few years ago, unfortunately I have already learned 70% of the things presented elsewhere. What you will learn:

• Some (quick!) recalls in C programming language.
• How your code is compiled into assembly code (x86 32 bits here).
• How to analyze it with GDB.
• How to exploit buffer overflow, format strings, with different techniques (.dtors, return to libc, etc...).
• How the TCP/IP networks work, and how to use it for fun with very classical attacks (+ create your own packet sniffer, ...).
• How to write you own shellcodes (with different types of shellcodes).
• Counter-measures and various tricks (bypass IDS, prevent from having evidences in logs).
• Cryptology, with description of RSA algorithm, password cracking, WEP cracking (and not just using tools, more like coding tools).
• Ethical, Philosophical and Artistic sides of Hacking.

What I liked in this book is that it is never (or very few) boring, except sometimes when a C program is pasted over 4 or 5 pages for example. I discovered some nice tools such as Nemesis, I learned how to exploit format strings, some nice tricks such as .dtors section. A live CD containing the different pieces of code used in this book is also included, but just probably useful only in case you don't already own a real GNU/Linux.

My conclusion is that it is a very good entry point to Unix systems, and brings you to think on how to create exploits rather than just to use them, while providing subsequent knowledge on the Unix world itself. This is a must read, especially for the parts on assembly analysis, and philosophical views which I found just perfect.

Vous ne connaissez peut être pas Ohloh, il s'agit d'un site regroupant les utilisateurs et développeurs de projets open source. Le principe est le suivant : vous avez un projet Open Source non répertorié, vous pouvez l'importer via SVN, Mercurial, Git et autres VCS (et peut être même en tarball), puis vous pouvez associer votre compte Ohloh à une personne dans ce VCS. Ainsi vous pouvez déclarer participer aux projets X, Y, Z, rencontrer d'autres personnes sur des projets proches, ou des utilisateurs, etc...

Dans le cadre de sa thèse, Michaël Vicente a étudié la communauté de développeurs d'Apache, vous pouvez télécharger un papier résumant son travail à l'adresse suivante :
http://gdrtics.u-paris10.fr/pdf/doctoriales/2008/VICENTE.pdf.
L'idée étant maintenant de récupérer un certains nombre de données depuis Ohloh, sur des gros projets Libres, pour ensuite être en mesure de les restituer sous forme de graphe de relations entre les projets et les développeurs (via le logiciel gephi par exemple).
Pour faciliter le travail, Ohloh dispose d'une API (malheureusement peu pratique) au format XML à laquelle on peut accéder dans une limite de 1000 requêtes par jour.

Ce projet est réalisé par Vivien et moi même, sous la tutelle de l'USEC, les sources seront publiées sous licence libre (non copyleft), avec des beaux graphes en prime.

La première partie de la beta touche à sa fin, et j'ai eu l'occasion d'y jouer (sans doute plus que de raison), et d'inviter plein de gens à perdre leur temps avec moi. Jouant principalement Terran, et Random depuis peu, j'ai encore de très nombreuses faiblesse dans ma maîtrise des Zergs et des Protoss, mais pour quelqu'un qui n'a quasiment pas joué au Starcraft original, je pense que c'est pas mal.

Au niveau graphique, rien de bien exceptionnel, c'est beau, il y a la possibilité de le faire tourner sur un large panel de configurations, comme tous les jeux blizzard en somme. Les unités sont suffisamment variées pour élaborer des stratégies assez fines, chaque unité est assez bien représentée, à part peut être l'Ultralisk, encore peu répandu.
Question équilibre c'est plutôt réussi, certaines unités ont des avantages certains (le tas de marines 3/3 + medivacs reste efficace dans beaucoup (trop) de situation à mon goût), mais jamais rien contre lequel l'ennemi ne peut rien faire.

Au niveau des bugs InGame, quasiment rien à signaler, quelques crashs au début de la beta, mais redevenu bon. Par contre sur BattleNet2 il reste une bonne dose de bugs graphiques, et dans les scores de fin de partie, parfois des déconnexions subites et aléatoires ...
On regrettera l'absence de canaux de discussion, comme s'était le cas sur BattleNet premier du nom, et la communication vocale qui est du niveau de celle de WoW (inutilisée et aléatoire, donc inutilisable). Les Zergs manquent à mon goût de diversité dans leurs unités aériennes offensives, mais ce n'est peut être qu'une impression ...
Le mode LAN très controversé semble "exister" à partir du moment où chacun est connecté à BattleNet au moins au lancement du jeu. Le jeu détecte que les joueurs sont derrière la même IP publique et essaye de faire de la reconnaissance en local, d'après mes constatations (ne fonctionne pas si vous êtes derrière un même réseau local mais avec deux IP différentes vis à vis d'Internet, testé aussi ...).

Je prédis une ouverture très très large de la beta début juillet (par exemple aux quelques 12 ou 13 millions de comptes BattleNet), ce qui sera non seulement une bonne opération pour les tests des serveurs, mais en plus un coup marketing réussi car entraînant l'achat des gens qui souhaitent continuer à jouer.
La campagne n'étant pas disponible sur la beta, je n'en ai entrevu que des parties très limitées, mais le principe d'améliorations et d'orientation de la campagne selon les choix du joueur va probablement donner une dimension supplémentaire au mode solo, lui permettant de ne pas être insignifiant à côté du mode multi.

En somme un jeu retardé de presque 2 ans sur le planning initial, mais au final pas si surprenant de la part de blizzard, qui s'en tient à sa politique de sortir un jeu terminé. J'ai tout de même des doutes sur l'impact de ce deuxième volet par rapport au premier, il fera très certainement un carton, mais l'espacement des extensions, l'absence de mode LAN offline, et d'autres fonctionnalités comme le chat public rogneront sûrement sur sa popularité.

Je suis actuellement en stage de milieu d'études depuis maintenant 4 mois chez Gostai, une entreprise parisienne qui développe un Middleware pour la robotique, baptisé Urbi. Gostai compte une 20e de personnes travaillant autour d'Urbi, dont le cœur est lui même développé par une équipe de 5 personnes que j'ai eu la chance d'intégrer. Le noyau Urbi est passé sous licence AGPL V3 (donc Libre) récemment.

Urbi est également un interpréteur pour un langage développé en interne, l'urbiscript. Sa syntaxe est très proche de celle du javascript, d'ailleurs urbiscript est également un langage fonctionnel. Une de ses différence se situe sur la gestion des événements et du temps, que l'on va jusqu'à retrouver au sein de sa syntaxe. Mais là n'est pas le but de ce post, je vous laisse cliquer sur le lien ci-dessus.
En somme Urbi permet de manipuler facilement et en peu de lignes de code des comportements robotiques complexes.

ROS est un Middleware "concurrent" (sous licence BSD) développé par Willow Garage, une entreprise américaine qui dispose de beaucoup de moyens, qui fait parler d'elle de temps en temps sur les sites traitant de l'Informatique et de la Robotique. ROS ne dispose pas de couche haut niveau, mais possède de très nombreux modules (codés en C ou en Python) qui couvrent un large panel de drivers et de programmes spécifiques à la robotique. L'architecture de ROS peut être vue comme un graphe, dans laquelle un noeud principal sert à synchroniser les autres nœuds, le tout communiquant au travers de "topics" (canaux de discussion). Ainsi on lance le nœud principal, on lance le nœud de driver de Joystick, puis on peut créer un nœud qui écoute ce que dit le nœud de joystick, et qui se sert de ces informations pour faire avancer le robot, etc...

La première partie de mon stage consiste à faire communiquer les deux univers, afin de pouvoir depuis le monde Urbi tirer avantage des différents modules de ROS. Mon travail fera en partie l'objet de la prochaine release d'Urbi (2.1), actuellement en cours de préparation.
En théorie la deuxième partie de mon stage porte sur la création d'un système de paquets pour Urbi, permettant d'installer facilement des modules Urbi externes (driver, algorithmes, etc...), un peu de la même façon que CPAN pour perl.

Pour l'instant à part les longs trajets quotidiens, mon stage se passe très bien, et quand je vois d'autres personnes en stage, je suis vraiment content d'avoir échappé au développement web (qui pourtant est inscrit sur mon front depuis des années), et d'avoir intégré une équipe à la fois techniquement très performante, et surtout très sympathique (du geekisme, de l'humour parfois vaseux, des canards, du fun). Je ne suis pas spécialement attiré par la robotique à la base, lui préférant l'administration système, la sécurité, les réseaux (domaines dans lesquels il est difficile de trouver un stage de milieu d'étude). Cependant j'admire le travail réalisé sur d'Urbi, qui rend urbiscript aussi intéressant (même vu de l'intérieur !).

Romain, young girl talking about herself

[28-03-2010 16h28] [Début Session Tchat] [Service choisi: Technique]

[16h35] Assistance: Mme/M. BEZUT, bienvenue sur le Tchat de Free, vous êtes actuellement connecté(e) sur le salon Technique.
Votre adresse email de contact: romain@bezut.info
Votre numéro de téléphone mobile de contact: 06********
Notez que vous pouvez à tout moment modifier vos éléments de contact (mail + mobile) depuis votre interface de gestion, à la rubrique "Mon Abonnement".

[16h35] Moi: Bonjour

[16h36] Moi: J'ai déménagé il y a un mois sur une ligne non acivée, donc Free a fait activer la ligne par FT

[16h36] Assistance: Rachid à votre écoute ,en quoi puis -je vous aider ?

[16h37] Moi: Un technicien FT est venu il y a 4 jours pour raccorder la ligne, mais il a fait de la merde, et je suis en chenillard lent.

[16h37] Moi: Pouvez vous m'envoyer un technicien itinérant SVP?

[16h40] Assistance: veuillez me communiquer votre adresse postal complète sur laquelle vous êtes inscrit actuellement et vous avez le souci ?

[16h41] Moi: Porte Y, XXX rue du DDDDDDDD, AAAAA BBBBBBBBBBBBBBBB

[16h42] Assistance: suite à quoi vous avez eu ce souci ?,(Avez vous subit une coupure de courant, l'orage ou la foudre..)

[16h43] Moi: ça n'a jamais marché, c'est une ouverture de ligne.

[16h48] Assistance: alors pour résoudre votre souci plus rapidement il faut savoir tout d'abord qu'il est dépendant soit de votre installation téléphonique , soit de votre installation chez free ou bien de FT

[16h48] Assistance: Je vous invite tout d'abord à me communiquer votre numero de téléphone portable ainsi que votre adresse email de contact pour que nos services puissent vous joindre en cas de besoin

[16h49] Moi: 06********, romain@bezut.info

[16h49] Moi: le problème vient de toute façon de France Telecom, qui a mal câblé la ligne. Si vous pouviez m'envoyer un technicien itinérant, ça serait parfait.

[16h49] Assistance: afin qu'on puisse identifier la source de votre souci , est ce que vous avez essayé de suivre successivement les tests cités sur le lien suivant :
http://www.free.fr/assistance/228-freebox-freebox-affiche-un-chenillard-lent-chenillard-lent-votre-installation.html

[16h50] Moi: oui, j'ai déjà effectué ces tests

[16h52] Assistance: alors si le souci persiste d'après les tests indiqué au dessus , free vous propose un RDV itinérant et de ma part je vais ouvrir une remontée sur votre dossier en même temps afin que notre service concerné puisse vérifier votre ligne
est ce que vous voudriez le fixer avec moi , ou de vérifier votre installation tout d'abord ?

[16h52] Moi: ok, fixons un rendez-vous.

[16h57] Assistance: A titre informatif si vous souhaitez annuler le RDV ça ce fait via votre interface de gestion comme il est indiqué sur ce lien :
http://www.free.fr/assistance/692-freebox-annulation-de-l-intervention-a-domicile-annuler-la-visite-d-un-technicien-itinerant.html

[16h58] Assistance: je vous remercie pour votre patience! veuillez me communiquer 3 jours déférents de votre disponibilité ainsi que ses tranches d'horaires ?

[16h59] Assistance: êtes-vous en ligne ?
veuillez toujours activer notre fenêtre de conversation par l'envoi des réponses afin que vous ne perdiez pas notre communication ,car ça ce fait après chaque 5 minutes ,s'il y a pas d'activité entre nous.

[17h00] Assistance: la vérification de votre ligne chez free se fait en même temps avec le RDV ,afin de résoudre votre souci plus rapidement car peut être que le souci provient de chez vous ,
mais s'il n'y a pas de souci ,je peux noter dans votre dossier que vous allez vérifier votre installation tout d'abord

[17h00] Assistance: désolé, on a pas encore terminé les procédures nécessaires , je vais annuler le RDV dans ce cas à cause des informations manquantes de la part du freenaute

[17h00] Moi: Lundi 29 mars 2010: 8h-12h, et à partir de 20h
Mercredi 31 mars 2010: 8h-10h, et à partir de 20h
Jeudi 1er avril 2010: à partie de 20h

[17h00] Assistance: veuillez me Communiquer votre adresse Mac de la frbx ADSL; c'est le Numero de série au dos de la frbx ADSL commençant par 0007Cb ou 0024

[17h01] Moi: 0007CBXXXXXX

[17h01] Assistance: Y?a t?il pas des élément intérieur pouvant perturber le signal adsl, qu'il soit à proximité ou sur la même prise électrique: rallonge ,Micro-onde, lampe halogène, caisson de basse, amplificateur, haut-parleur, écran, téléphone sans fil... ?
**Ni d?élément extérieur : installations médicales, commissariat, relais/antennes, maison d'arrêt, cinéma?

[17h02] Moi: non

[17h04] Assistance: Avez vous essayé avec un autre filtre Adsl et avec un autre câble rj11 (qui relie la frbx sur la prise téléphonique) ,sans multiprise ni rallonge?
Et aussi avec un autre bloc d'alimentation ou une autre freebox d'un autre abonné free ?

[17h05] Moi: oui (la freebox marche très bien chez mon voisin).

[17h06] Assistance: si j'ai bien compris vous avez fait un test croisé de votre freebox, veuillez me communiquer le Numéro de téléphone de la ligne free sur laquelle vous avez testé votre freebox ainsi que la date et l'heure exacte.

[17h09] Assistance: êtes-vous en ligne ?
veuillez toujours activer notre fenêtre de conversation par l'envoi des réponses afin que vous ne perdiez pas notre communication ,car ça ce fait après chaque 5 minutes ,s'il y a pas d'activité entre nous.

[17h09] Moi: J'ai essayé la synchronisation sur une ligne neufbox.

[17h10] Assistance: comment vous avez eu le Numéro de téléphone de votre ancien locataire ?
et veuillez me communiquer son nom et prénom et son numéro FT ainsi que la date de sa résiliation chez free et FT ?

[17h11] Moi: Il n'avait pas de téléphone, la ligne était inactive.

[17h15] Assistance: je vous remercie pour votre patience! le jour le plus proche pour le RDV itinérant est pour le Mardi 30/03
11H00 - 13H00
13H00 - 15H00 alors vous choisissez quelle tranche d'horaire ?est ce que ça vous convient ?

[17h16] Moi: 11h00 - 13h00, mardi 30 ok

[17h19] Assistance: Donnez moi SVP le Téléphone de la personne qui sera présente? Et Code d'accès : Interphone ? Bâtiment ? Etage ?porte? Metro le plus proche ?

[17h20] Moi: Vivien YYYYYYYYY sera là, son numéro est le 06********, pas de code d'accès, pas d'interphone, YYY rue XXXXXXXXXX, il faut juste sonner.

[17h20] Assistance: Donnez moi SVP le Téléphone de la personne qui sera présente? Et Code d'accès : Interphone ? Bâtiment ? Etage ?porte? Metro le plus proche ?

[17h23] Moi: Vivien YYYYYYYYY sera là, son numéro est le 06********, pas de code d'accès, pas d'interphone, YYY rue XXXXXXXXXX, il faut juste sonner.

[17h28] Assistance: merci de votre collaboration ,le RDV est bien fixé , veuillez vérifier votre boîte mail de contact pour en savoir plus :
et pour bien préparer l'intervention de notre technicien à votre domicile, veuillez consulter ce lien :
http://www.free.fr/assistance/2319--3-procedures-l-intervention-d-un-technicien-itinerant.html

[17h28] Assistance: Est ce que les indications avancées sont assez claires ?

[17h29] Moi: oui merci.

[17h30] Assistance: Je me joins à toute l'équipe de Free pour vous souhaiter une excellente fin de journée. Vous pouvez à tout moment consulter votre site d'assistance dédié via l'adresse web suivante : www.free.fr/assistance

[28-03-2010 17h30] [Déconnexion Session Tchat par Assistance]

1 heure avec un autiste pour avoir un rendez-vous...

EDIT : Je tiens à préciser que tout s'est très bien passé lors de mon tchat suivant, une personne technique, qualifiée, qui a réussi à bien cibler le problème. Et pour les mauvaises langues, le problème (technique) venait d'un prestataire de France Telecom.