samedi 27 avril 2013

Menace sur nos libertés (spoiler)

Ca y est j'ai fini de lire le bouquin de Julian Assange. J'en ferai un moins grand éloge que Korben (il file un lien torrent pour le télécharger).

Le gros point négatif de ce livre est le fait qu'il s'agisse d'une retranscription d'une conversation. Ce n'est malgré tout pas si décousu que ça, mais en fait les auteurs ont eu le droit d'ajouter des précisions disséminées un peu partout dans le livre, mais rassemblées à la fin. Il faut quasiment lire le livre avec 2 marques pages pour aller de la référence au commentaire. Personnellement j'ai vite abandonné...


Bref je n'arrive pas à savoir si le but était déjà d'avance de faire un livre comme un groupe de rock sortirait un live-album, mais si vous voulez un avant-goût vous pouvez lire le même genre de dialogue entre Assange et Schmidt (Google).

Passons au contenu. Il y a un côté assez élitiste dans le discours (moi, je ne parle pas de ce genre de chose avec mes amis). Je ne suis pas du tout littéraire, mais ça me fait penser au siècle des Lumières lors d'une rencontre entre Voltaire et Rousseau. Or donc les 4 amis échangent leurs expériences personnelles en matière de privation de liberté et font le point sur 3 libertés fondamentales : liberté de mouvement, liberté de pensée (et de communiquer) et liberté d'interagir économiquement.

Par exemple Wikileaks avait été coupé par Amazon suite à une demande de l'Etat. Puis le financement Paypal avait lui aussi été bloqué pour empêcher Assange de monter une nouvelle infrastructure. Jacob Appelbaum indique pour son cas avoir subit des contrôles trop poussés au passage des frontières, parfois dans le but de l'empêcher de donner des conférences sur Tor et parfois juste pour le harcèlement.

Jérémie Zimmermann (de la Quadrature du Net) parle de son combat contre Hollywood qui essaie d'imposer des lois au parlement européen alors que personne n'a rien à y gagner !

Ce livre est un fourre-tout dans lequel on explique que pour la modique somme de 10 millions d'euros on peut enregistrer toutes les communications des citoyens d'un Etat pour une année et que beaucoup d'Etat y songe et feront le tri plus tard dans ce qui est utile et ce qui ne l'est pas. On parle de Bitcoin comme moyen économique libre de toute institution.


Ce que j'en retiens, c'est d'abord que les Etats font de plus en plus de surveillance et que pour les Etats-Unis en particulier ils ont le poids pour faire céder des acteurs "indépendants" comme Facebook, Google, Twitter, Paypal, Mastercard, ... Et ensuite que des lobbies comme Hollywood ou Mastercard/Visa (ou encore Google?) arrivent à dicter certaines règles aux Etats...

Bref aucune découverte dans ce livre, mais plutôt un retour d'expérience de personnes qui vivent des pressions des Etats ou des lobbies.

dimanche 21 avril 2013

Petit état de l'art du cassage de mots de passe (matériel)

M'intéressant un peu au cassage de mots de passe, j'ai fait quelques tests et j'avoue être assez content du résultat car des mots assez longs sont tombés :

Mais pas à n'importe quel prix... Force est de constater qu'avec un quad core on prend vite 2 semaines dans la vue pour seulement décliner genre 100 000 fois un dictionnaire de 15 Go :D

Il m'est alors passé par la tête de lorgner du côté des professionnels. Encore une fois pour tomber sur un concours de b*** il suffit de chercher "benchmark" sur le forum de hashcat. On tombe alors sur ce genre de bête :



Là on est dans une toute autre catégorie. Outre le fait que ces 8 cartes AMD 7970 coûtent encore 300€ chacune, celles-ci consomment 300W, ce qui nécessite donc plus de 2400W (sans oublier de quoi faire fonctionner la carte mère). Ce boitier serveur a donc 3 alimentations. Je doute trouver ça à Montgallet ou sur leboncoin...
Moins visible cette fois-ci, c'est l'aération. Là encore ce boitier dispose de 3 ventilateurs 12cm en frontal et des cartes graphiques dont le modèle évacue l'air chaud sur le dessus (dans la configuration ci-dessus). Les GPU tournent à fond et sont en général overclockés.

Si maintenant vous chercher une configuration plus accessible il est recommandé de commencer avec 3/4 cartes graphiques espacées d'un slot pour les laisser respirer et limite laisser le boitier ouvert.


Pensez simplement à faire le ménage de temps en temps.

Pour continuer dans les astuces (ou dans l'état de l'art), il faut savoir qu'on peut utiliser des GPU de constructeurs différents (au final c'est toujours AMD) et surtout qu'on peut mettre des GPU différentsdans une même machine. Cela semble poser encore quelques problèmes sous Windows 7, mais passe très bien sous Linux. C'est un bon point pour la récup ou pour évoluer progressivement.

Dernier point, un projet appelé VirtualCL permet d'échanger les instructions openCL par le réseau. Cela permet d'utiliser plusieurs machines en cluster. Autant la charge est faible pour du cassage en bruteforce, autant elle explose quand on travaille avec un dictionnaire. Pour ce dernier point vous pouvez consulter cette présentation. Il s'agit d'un membre actif de hashcat qui a ainsi réalisé un cluster de 25 GPU composé de 4 types différents de cartes graphiques.

Evidemment pour rentabiliser ce genre de matériel, le propriétaire en a fait son activité : http://stricture-group.com/ (audit de password, cassage de hash, ...)

Si vous avez été attentif, seul AMD est cité et non Nvidia. Etrangement Nvidia ne fournit pas de fonction pour faire le décalage de bit. A cause de cette fonction, à matériel équivalent, AMD est 4 fois plus rapide que Nvidia.

lundi 8 avril 2013

Concours de la plus grosse... wordlist !

Pour tout vous dire je fais actuellement des expérimentations en matière de cassage de mots de passe. Alors après la théorie, la pratique !

Comme je l'indiquais en conclusion de mon article sur les rainbow tables, ce qui compte maintenant c'est un dictionnaire de vrais mots de passe représentatifs qui permet avec une liste limitée de mots de tester un échantillon de mots de passe possibles bien plus pertinant que d'enchaîner a, b, c, aa, ab, ac...

Historiquement j'avais récupéré le dico de John The Ripper, le dictionnaire de la langue française et d'autres langues. Puis j'ai commencé à récupérer des listes d'acteurs célèbres... Enfin un gros tas de listes assez limitées. Puis est arrivée la mode des leaks (par exemple ) et un jour la liste RockYou est tombée et a changé le monde.

Finalement on a découvert que sans politique de mot de passe 30% des gens choisissent un mot de passe de 1 à 6 caractères (voir pipal)... Pas la peine de tester "JenniferAniston"...

Les gens ont alors commencé à rassembler des bases de mots de passe leakés et à jouer à qui aura la plus grande !

Voici quelques listes et leur taille compressée (et décompressée) :
La dernière est sortie le 2 avril dernier (vue sur LinkedIn). J'ai cru à une blague en retard, mais il semble que non... Je n'ai pas encore eu le temps de la tester, mais j'ai peur qu'elle ne fasse pas beaucoup mieux que Crackstation avec des règles de dérivation hashcat qui généreraient une liste 1 000 ou 10 000 fois plus grosse.

samedi 6 avril 2013

Tiny Tiny RSS sur synology

Bon... J'ai testé Kriss_Feed et j'en suis revenu. L'initiative est louable mais ne correspond pas à mon besoin d'avoir un lecteur RSS synchronisé sur mon ordi et convivial sur android. L'affichage est pas glop sur un smartphone, mais en plus il me manque une fonction essentielle à laquelle je n'avais pas pensé : le mode hors connexion. On a beau dire ce qu'on veut, mais la 3g dans le train c'est pas la joie. On ne capte correctement que dans les gares :D

Bref j'ai poursuivi mes recherches et je suis tombé sur Tiny Tiny RSS.
L'interface dans un navigateur est top moumoute :

Et il a un client pour Android lui aussi top moumoute avec un mode hors connexion :


Pour l'installer sur Synology j'ai trouvé 2 tuto :
J'ai fait un mixte des deux pour bien tout comprendre :D

Tout serait parfait si le client android n'était pas une démo valable 7 jours et que la vraie appli coûte 1,52€ !!!

Bref j'ai encore cherché un peu et je suis tombé sur un article indiquant que l'appli est en licence GPLv2 et donc que la code source est libre et donc que des gars l'ont compilé de leur côté et donc que c'est à télécharger ici gratuitement :)

Pour ceux qui ont un raspberry il y a un modop ici pour TTRSS (et accessoirement pour Kriss_Feed).