Slim Amamou est citoyen tunisien.
Informaticien de profession, il est connu pour ses prises de position contre la censure de l’internet.
Depuis quelques semaines mes compatriotes en Tunisie ont commencé a se plaindre de difficultés d’accés a Gmail et des rumeurs ont commencé a circuler sur une censure prochaine de Gmail. Depuis le mois d’avril une vague de censure a frappé Flickr, Wat.tv, Blip.tv, Metacafe.com, Agoravox.fr et un nombre incalculable de blogs : ils n’en fallait pas plus pour créer un climat de paranoia… qui va s’avérer justifié.
Lundi dernier, deux personnes que je suis sur twitter ont commencé lancer des alertes concernant une vague de phishing, captures d’écran à la clé, montrant qu’un accés a l’adresse mail.google.com affichait des messages d’erreur étonnants… de EasyPHP.
EasyPHP est certes une solution puissante, mais en aucun cas en mesure de faire tourner un service comme Gmail. Il s’agissait donc sans l’ombre d’un doute d’un faux Gmail, réalisé par des pirates incapable de configurer correctement EasyPHP, et agissant à priori sur l’ensemble du réseau internet en Tunisie.
Pour confirmer cette théorie, il fallait d’abord écarter la possibilité d’un malware (un logiciel malveillant) installé sur une machine, et qui aurait détourné le navigateur vers un faux site Gmail destiné à récupérer le mot de passe de ses victimes afin de pirater leur compte mail. Ce n’était en l’occurrence pas le cas.
Reste ensuite à voir si ce problème apparait de la même façon pour tout le monde. Après enquête, les soupçons se confirment et mettent en évidence deux cas de figure : ceux qui depuis des semaines n’arrivent pas à se connecter à Gmail, et ceux à qui Gmail demande sans cesse de s’authentifier.
Que ce soit sur leur lieu de travail ou à leur domicile, la situation est la même, et chose intéressante, ceux qui ont expérimenté cela sur leur lieu de travail indiquent que quand ce problème arrive avec Gmail, tout le monde est touché en même temps.
A ce stade de mon enquête, l’hypothèse que j’avais retenu était une attaque informatique par DNS cache poisoning, une technique consistant à tromper les DNS, les aiguilleurs de l’internet, et acheminer un internaute cherchant à accéder à un site vers un autre site. Jusqu’ici, je n’étais pas victime de tout cela, ce qui pouvait s’expliquer par le fait que j’utilise un DNS qui n’est pas celui de mon fournisseur d’accès. En fait la situation est pire que cela.
Quelques jours plus tard, alors que je tente de me connecter à Gmail – ce que je fais en mode sécurisé (https), voilà que mon navigateur refuse de s’y connecter.
Après une rapide vérification technique, je constate que le port HTTPS est bloqué sur toutes des adresses IP de mail.google.com
En clair, l’accès à la version sécurisée de Gmail est censuré. La version non sécurisée de Gmail, elle, semble fonctionner, mais étonnamment, elle me demande de m’authentifier alors que je m’y étais connecté il y a à peine une demi heure.
Un détail cependant attire mon attention : l’url auquel on accède lors d’une requète vers mail.google.com :
http://mail.google.com/accountsServiceLoginservicemail&passivetrue&rmfalse&continuehttp3A2F2F mail.google.com2Fmail2F3Fhl3Dfr26tab3Dwm26ui3Dhtml26zy3Dl&bsvzpwhtygjntrz &scc1<mpldefault<mplcache2&hlfr.htm
Pour un néophyte, cela n’est pas vraiment parlant, mais les experts ne s’y tromperont pas : le « .htm » situé à la fin de l’adresse trahit bel et bien une tentative de phising.
Ma première expérience avec cette campagne de phising sur Gmail ne durera que quelques minutes avant que les choses ne reviennent à la normale, mais il y a de quoi s’inquiéter : l’adresse IP est la bonne (voir la capture d’écran nmap), pour réaliser une telle opération, il faut un contrôle total du réseau en Tunisie, des câbles jusqu’au protocole HTTP.
Attention, je n’accuse absolument pas une agence gouvernementale tunisienne ou l’armée d’être l’auteur de ce détournement de Gmail… ça pourrait aussi bien être la CIA. Après tout la plupart de nos routeurs sont des Cisco et Cisco est obligé, de par la loi américaine, de fournir des backdoors aux agences américaines. J’aime bien cette idée. Disons que c’est la CIA. [ndlr: avec le Patriot Act la CIA n'aurait pas besoin de procéder ainsi et pourrait obtenir ces informations bien plus discrètement]
La méthode de la CIA serait donc de bloquer l’accès sécurisé a Gmail afin que les Tunisiens soient obligés d’y accéder en mode non sécurisé, de les détourner vers une machine faisant tourner un faux Gmail sous EasyPHP, pour leur voler leur mot de passe et ainsi prendre possession de leur compte mail.
Furieux à l’idée que le KGB puisse ainsi flouer les tunisiens, je me suis mis en tête de surveiller et tracer de façon systématique cette campagne de phising sur Gmail à l’aide d’un crontab qui vérifie si le port 443 est ouvert ou s’il est bloqué – cela peut sembler être du chinois pour beaucoup d’entre vous, mais en gros, s’il est bloqué, c’est qu’un phising est en cours, et s’il est ouvert, c’est que tout va bien.
En une journée de surveillance de cette opération, sans doute menée par la NSA, un shéma récurrent semblait se dessiner : le phising a lieu toutes les deux heures et dure précisément 5 minutes. J’ai entre temps reçu la preuve que cette opération dure depuis des mois, certaines personnes affirmant que cela fait plusieurs années que cela est en place. Un conseil : changez vos mot de passe, le FBI vous espionne (ou la DST, encore une fois, rien ne permet d’incriminer la CIA plus qu’autre chose).
Par exemple, voici les horaires de passage du train de phishing dans mon sous-réseau 41.226.255.* :
08:35 UTC+1
10:35 UTC+1
12:35 UTC+1
14:35 UTC+1
16:35 UTC+1
18:35 UTC+1
20:35 UTC+1
22:35 UTC+1
00:35 UTC+1
02:35 UTC+1
04:35 UTC+1
06:35 UTC+1
Consignes si vous êtes en Tunisie : laisser passer le train. Allez prendre un café et revenez, ça ne dure que 5min. Et surtout activez l’option sécurisé de Gmail et changez vôtre mot de passe.
Entre temps, plusieurs personnes m’ont fait part de problèmes similaires sur Facebook et YahooMail… La suite au prochain épisode…
UPDATE
Contacté par nos soin, Google confirme implicitement tout cela (pas la CIA ou le KGB, bien sûr, ça c’est une touche d’ironie qui semble échapper à beaucoup) et nous a répondu rapidement. Nous vous livrons ici l’email que nous a fait parvenir son porte parole pour la région.
« Nous sommes conscient que beaucoup de gens dépendent de Gmail et nous nous attelons à le rendre le plus sécurisé possible, et cherchons sans cesse de nouvelles façon de le faire. Nous avons par exemple récemment activé par défaut le HTTPS sur Gmail.
Afin de sécuriser l’utilisation de Gmail, nous vous recommandons de ne saisir votre mot de passe que sur les pages dont l’adresse commence par https:// et si un message d’alerte quelconque survient concernant un certificat, de ne surtout pas aller plus loin.
Nous encourageons tous les utilisateurs à utiliser HTTPS, qui offre une protection contre le ‘packet sniffing‘ et d’autres tentatives destinées à surveiller et manipuler le trafic réseau. Si vous ne pouvez accéder momentanément à Gmail en utilisant HTTPS, attendez quelques minutes avant de recommencer à nouveau.
Si vous pensez que votre compte a été compromis, nous vous incitons à changer immédiatement votre mot de passe et à vous assurer que votre email secondaire est toujours valide (ces données sont accessibles à travers les réglages de compte Google). Si vous ne pouvez plus accéder à votre compte, vous pouvez récupérer un accès en répondant aux questions de sécurité ici.
Vous pouvez également consulter ce billet pour obtenir plus de détails concernant notre approche de la sécurité.
29 juin 2010 à 9:08
Autres conseils à l’usage du dissident tunisien (et d’ailleurs) : utilisez des mots de passes différents pour vos différents services internet. Si vous avez des remarques désobligeantes à faire sur votre gouvernement (ou la CIA, ou la DST bien sûr) ne communiquez aucune information personnelle (nom, prénom, région, langage et expression spécifique à une région). Si vous délivrez des informations critiques, utilisez plutôt des relais mondiaux dont la sécurité est le soucis paranoiaques, tel Wikileaks et Freenet. À bon entendeur…
29 juin 2010 à 9:42
LA Tunisie offre un terrain propice aux intox-detox, la censure…
Les exercices de censure en Tunisie seraient-ils un lab experimental, reproductibles à d’autres pays à des périodes entre « chiens et loups » ?
29 juin 2010 à 9:47
La Tunisie offrant un terrain propice aux expériences. Celles-ci sont-elle déjà reproduites dans d’autres pays, y compris occidentaux, à une période entre chiens et loups ?
29 juin 2010 à 10:15
Je serais curieux de voir le tracert mail.gmail.com lors du pishing comparé au tracert normal!
29 juin 2010 à 10:18
Ouh là *FEAR* J’ai peur ! Le KGB, la CIA, la NSA Wahouuuu. Arrête de regarder X-files, la fin de l’article fait vraiment pitié et cela décridibilise l’ensemble de ce dernier.
29 juin 2010 à 10:26
@MortyTheReaper
Nous avons des informations sur des opérations similaires dans plusieurs pays, dont récemment la Colombie.
@H.
Je pense que quelque chose vous a échappé. CIA, NSA… l’utilisation du KGB, disparu depuis longtemps, aurait du vous mettre la puce à l’oreille, tout comme le fait que porter des accusations contre son gouvernement mène, grâce à une récente loi, tout citoyen tunisien en prison. On appelle cela de l’ironie, c’est une tournure dialectique utilise par Voltaire en son temps, ce qui n’a semble-t-il jamais porté atteinte à la crédibilité de ses écrits.
29 juin 2010 à 10:39
GG le gars qui croit que le FBI ou la CIA le surveillent avec un site de phishing (phishing mec, pas phising) qui tourne sur EasyPHP.
29 juin 2010 à 10:41
Ces gens sont pathétiques puisqu’ils ne sont même pas foutus d’écrire du php qui tourne. Avec les moyens mis en œuvre, faire du phishing serait un jeu d’enfants et non seulement sur Gmail. Il faut vraiment être nul et incompétent pour se faire remarquer comme ça. Je demande officiellement aux autorités CIA KGB DST XXL et WTF de congédier ces incompétents. Si on se fait niquer sans qu’on ne le sache, c’est comme si rien ne s’est passé et puisque c’est obligatoire de se faire niquer, autant se le faire par des professionnels qui ne laissent pas de traces … en attendant le jour ou il y aura une loi qui punit les fonctionnaires (pardon, les agents) qui font de l’excès de zèle.
29 juin 2010 à 10:42
bot Phishing in Tunisia http://twitter.com/tnphish
29 juin 2010 à 10:44
je me rappel que j’ai eu le même message d’erreur d’easyphp avec Facebook : http://www.twitpic.com/rte83 peut on conclure que les tunisiens naviguent dans un internet locale hébergé chez l’ATI ??
29 juin 2010 à 10:45
@Samy DINDANE
Cf ma remarque faite à H. Par ailleurs, est-il utile de rappeler que si la CIA voulait ces informations, elle n’aurait qu’a les demander à Google comme le lui autorise le Patriot Act ?
29 juin 2010 à 10:46
@Aymen
Locale et intermitente… oui, je crois qu’on peut voir cela comme ça…
29 juin 2010 à 10:47
Euh !?!? la date sur la capture d’écran est du 16 novembre … ça date un peu non ?
29 juin 2010 à 10:51
@nurd13
Oui, soit la date de sa bécane a été changé pour une raison que j’ignore, soit tout cela est pisté par des hackers tunisiens depuis belle lurette… Des témoignages affirment que tout cela est en place depuis des années…
29 juin 2010 à 11:18
@nurd13 la capture a bien été faite à cette date là. Ce qui prouve que le phishing systématique date au moins depuis novembre 2009. Et il continue jusqu’à en ce moment même dans différentes parties du réseau Tunisien
29 juin 2010 à 12:59
Hmm, j’ai commencé à gober le truc jusqu’à ce que je suis arrivé à la partie FBI, NSA, CIA.
Là, je dis, il faut parfois arrêter de regarder la série 24…
29 juin 2010 à 13:01
@Ali
Même réponse que pour H.
http://fr.readwriteweb.com/2010/06/29/nouveautes/opration-massive-de-phising-sur-gmail-en-tunisie/#comment-14162
Par ailleurs, dois-je rappeler que Google a officiellement commenté sur cette affaire et confirme implicitement tout cela ? (cf italique à la fin de l’article).
29 juin 2010 à 13:02
Y-a-t-il une personne qui ai remarqué que le KGB a disparu depuis plusieurs décennies ? Ca ne vous met pas la puce à l’oreille ?
29 juin 2010 à 13:04
pour les commentaires, qui parle de CIA, KGB et DST, vous etes con oui quoi?
le mec il est en tunisie il ne peux pas dire que le gouvernement d’Ali baba (pardon ben ali) fait du phishing, piratage,…donc …tu dis ça ==> prison garantie.
@Slim bravo!
les mecs qui font ça, apparemment il sont trés trés compétents, (c’est vrai ce n’est pas de l’ironie) MAIS il utilise easyphp, ça colle pas!!!!!!!!!!!!!!
1/ soit c’est un mélange de compétents et de con!
2/ soit Ali baba veut qu’on sache qu’il nous supervise, car comme l’ont dit, ali baba veut qu’on sache qu’on se fait nicker, c’est plus douloureux.
sacré ali baba
CDT
les Trabelsi, we are the power
29 juin 2010 à 14:11
@fuck c’est un mélange de compétents et de cons. comme partout ailleurs.
29 juin 2010 à 14:20
ça ne m’étonne pas.
Dites vous qu’une cellule de l’ATI sévisse dans les locaux du ministère de l’intérieur, cette unité ne porte pas de nom, et ses employés n’ont aucun statues.
Ils ont un contrôle total à distance de tous les routeurs, switchers, serveurs DNS confondus.
Ils filtrent tous les paquets sortants ou entrants en usant de keyword (ben ali, nawaat, trabelsi, materi…)
Ils sondent des noms spécifiques, dailleurs @Slim, tous les paquets contenant ton nom non crypté sont automatiquement stockés pour être décryptés ultérieurement, c’est comme ça d’ailleurs qu’ils dérobent les mots de passe des comptes non https.
Ils ont aussi accès à tout compte bancaire sur le sol tunisien, transaction de payement en ligne et virement de l’étranger, …
D’ailleurs, dernièrement (il y’a 2 mois), une affaire de détournement de fond à l’intérieur même de ce service a bouleversé l’hiérarchie, au plus haut niveau.
Trois informaticiens, dont un hacker, et une personne que je connais en personnes, ont écopé chacun de 7 années de prisons fermes et de 150 000 DT d’amande.
Je ne peux pas vous en dire plus (pour la sécurité de ces personnes), mais dites vous que l’internet tunisien tend vers un intranet géant, avec une zone tampon administrée par une bande d’imbéciles heureux, dont la mission est l’abrutissement des masses.
Une insulte à l’intelligence d’un peuple démuni de sa liberté de penser …
29 juin 2010 à 17:35
Ce qui est « amusant », c’est que ce que je trouve presque le plus choquant c’est l’incompétence de celui (ou ceux) qui font cela… EasyPHP, avec en plus un accès à des pages d’EasyPHP… la honte ! Vraiment la honte !
29 juin 2010 à 19:10
Ce n’est pas une chose récente. J’ai déjà vu cette fausse page depuis 2009.
29 juin 2010 à 19:17
La surveillance de l’Etat Tunisien est effrayante! Bon courage à vous.
D’autre part cela me parrait assez drole que certains n’aient pas compris l’ironie derrière les mentions du KGB/CIA …
29 juin 2010 à 20:25
Il est aussi possible que les serveurs DNS soit piratés .. ce n’est pas la première fois
29 juin 2010 à 20:26
Moi j’utilise un comte Yahoo dont les messages sont redirigés vers un comte Gmail
J’ai reçu ce matin ce message quim’a paru suspect:
Cher utilisateur du compte yahoo.
CONFIRMER VOTRE COMPTE SERVICES YAHOO E-MAIL . Vérification de votre compte Yahoo GRATUITEMENT
Merci pour le retour à l’équipe client soin Yahoo. Ce courrier électronique est de notre service à la clientèle sont unité.
Nous l’envoi de ce mail à tous les utilisateurs Yahoo compte pour la sécurité de mesure. Nous avons des embouteillages en raison de l’anonymat d’enregistrement des comptes Yahoo E-mail, de sorte que nous allons fermer certains comptes Yahoo et que votre compte a été parmis ceux qui seront supprimés. Nous envoyons ce message pour vous afin que vous puissiez vérifier et de nous faire savoir si vous êtes toujours intéressés par l’utilisation de ce compte. Si vous êtes toujours intéressé, S’il vous plaît confirmer votre compte en remplissant l’espace en dessous. Votre nom d’utilisateur, mot de passe, date de naissance et votre pays, l’information seraient nécessaires pour vérifier votre compte. Cela fait partie de nos capacités.
En raison de la congestion dans tous les utilisateurs de Yahoo E-mail et l’enlèvement de tous les comptes inutilisés Yahoo, Yahoo serait d’arrêter tous les comptes non utilisés, vous devrez confirmer votre e-mail en remplissant vos informations de connexion ci-dessous après avoir cliqué sur le bouton de réponse, ou de votre compte sera suspendue dans les 24 heures pour des raisons de sécurité.
* Nom d’utilisateur:………………………………………………………………………..
* Mot de passe:……………………………………………………………………………..
* Date de naissance:………………………………………………………………………..
*Occupation:………………………………………………………………………………….
* Pays ou territoire:………………………………………………………………………….
Après avoir suivi les instructions de la fiche, votre compte ne sera pas interrompu et continuera comme d’habitude. Merci de votre attention à cette demande.
Attention! Compte propriétaire qui refuse de mettre à jour son compte, après deux semaines de la réception de cet avertissement perdra son compte en permanence.
Cordialement,
L’équipe de Yahoo
Le message est envoyé de cette adresse:
de SERVICE ACCOUNT MAIL
à direction_cbc_world@yahoo.com
date 29 juin 2010 09:11
objet COMFIRMER VOTRE COMPTE SERVICES YAHOO E-MAIL GRATUITEMENT. Verification de votre identité !!!!
envoyé par yahoo.com
signé par yahoo.com
29 juin 2010 à 20:36
c’est triste que certains ne comprennent même pas le sarcasme, et prennent les choses au premier degré..
30 juin 2010 à 0:30
@slim ce que tu fais est très courageux, pour être honnête, moi a ta place je reste calme. Bravo.
et bravo pour ton niveau en informatique.
peux tu stp envoyer sur ce site le résultat de nslokup mail.google.com (essaie de changer le serveur dns dans ton fichier /etc/resolv.conf) lors des périodes du passage du train et lors des périodes normal.
je vais de ma part faire la même chose (je ne suis pas en tunisie heureusement/malheureusement)
Quand a Ali baba (dsl ben ali) et sa bande, je me demande pkoi il ferme les sites web, censurer des articles qui parle de leila je comprend lol.mais commencer a censurer comme ça je crois que c’est l’age. mais il est bizarre notre système. ce site: readwriteweb est ouvert en tunisie?
tous cet argent mis pour censurer, il serait mieux de l’investir dans de vrai projets non? il n’ont pas honte, on organise un sommet mondial sur les technologies de l’information, et nous sommes champion en censure, bizarre ce monde!!
je suis faché :) car a cause de cet imbécile d’Ali baba notre chére pays est devenu une « république de banane », bien que que nous sommes compétents, mais on nage dans la non transparence.
la meilleur nouvelle que j’ai entendu: trabelsi responsable crédit dans la prestigieuse banque BT. loooooooool. le loup protège les poules.
@slim i can help technically this is my mail:
mail: alibaba.novembre@gmail.com
Cdt les trabelsi.
all your money is our money (trabelsi talking to people)
30 juin 2010 à 2:17
Bravo pour cette analyse ! I appreciate…
Seulement, j’ai un petit souci…
Pourquoi NMAP n’affiche pas « filtered » au lieu de « closed »? Je rappelle que « filtered » est effectivement affiché lorsque le port est bloqué par un firewall ou tout autre équipement filtrant du réseau…
Cordialement
30 juin 2010 à 2:50
Salem,
Avis au « CIA » :p
au moins faites votre travaille correctement .. vous pouvez utiliser le curl pour votre phishing à la con ..
http://curl.haxx.se/libcurl/php/examples/
Victimes du « CIA »
utilisez toujours le https au lieu de http
http://forum.malekal.com/forcer-utilisation-ssl-sur-certains-sites-t23100.html
Regards,
30 juin 2010 à 6:05
Ce qui me parait bizarre c’est le fait d’utiliser un script mal conçu et le pire c’est qu’il est hébergé sur un serveur windows sans avoir besoin d’utiliser asp par exemple.
Si c’était vrai, une telle grande opération ne pourra jamais être réalisé de la telle façon.
Un script de phishing est aussi simple a réaliser que de regarder une vidéo sur fb: un formulaire qui envoie en _POST sur la même page qui stocke ensuite sur une base de données (un table de 3 champs fera l’affaire) et il est donc impossible même pour un développeur débutant de commettre cette erreur php.
En plus, vu la fréquence de l’utilisation d’un service comme le gmail, et même en Tunisie, il est techniquement impossible qu’un serveur pourri avec easyphp dessus pourra supporter ce trafic énorme.
Pour le nmap que tu as fait, et pour des raisons de sécurité, il est possible de bloquer les réponses à sa requête (nmap), tout comme il est possible de bloquer par exemple les réponses sur des pings.
Et enfin, a priori, et sauf erreur de ma part, je n’ai jamais entendu parler d’un phishing sur un vrai nom de domaine car si c’est le cas, ça serait un vrai piratage du nom de domaine pour le pointer vers un autre serveur, ce qui est pratiquement impossible pour google et encore pour le ndd en .com
30 juin 2010 à 6:07
PS: une réponse à mon commentaire sera apprécié
PS2: l’article a fait le Buzz en Tunisie. A ta place je l’aurais publié sur mon propre blog, j’aurais gagné en PR et en notoriété :))
30 juin 2010 à 10:38
@Ousssama le phishing n’est pas effectué sur toutes les parties du réseau Tunisien en même temps. Le nombre de utilisateurs Gmail affectés n’est pas très grand. Ils font ça principalement pour que Google ne soit pas alertée : si d’un seul coup toute la Tunisie n’accédait plus a Gmail ça se verrait chez Google. Mais ça décharge aussi le serveur de phishing qui par ailleurs bien qu’il soit Windows pourrait largement surpporter la charge : il ne fait rient d’autre que servir une page statique.
Et mon blog est censuré en Tunisie ;)
30 juin 2010 à 11:43
@oussama
A ma connaissance, ce n’est pas aussi évident de bloquer NMAP sur les FW…On peut détecter les scans par les IDSs, et éventuellement les bloquer par les IPSs…Mais là aussi, si on utilise les options avancées de NMAP (decoy scan, Idle…), je vous assure que ça va être la fête pour nos « experts » de censure en Tunisie…
@all
Quelqu’un a une idée par rapport à mon premier commentaire…?
Thanks !
30 juin 2010 à 11:55
@secure parce qu’ils détournent l’adresse IP sur leurs machine easyphp et le port HTTPS est fermé sur cette machine.
30 juin 2010 à 11:58
@Oussama
A ma connaissance, ce n’est pas aussi évident de bloquer les scans NMAP sur un FW…On peut les détecter sur les IDSs et les bloquer éventuellement sur les IPSs…Mais si on utilise les options avancées de NMAP (decoy scan IDLE…etc), là je vous assure que ça va être la fête pour les « experts » de censure en Tunisie…
@all
Quelqu’un a une idée sur mon premier commentaire par rapport à NMAP ??
Thanks.
30 juin 2010 à 12:02
Sorry, apparement j’ai cliqué deux fois sur le bouton !!
@Slim
Dans ce cas, pourquoi c’est l’adresse IP réelle de Gmail qui réponds aux requêtes NMAP?
C’était quoi le TRACERT à ce moment ?
30 juin 2010 à 12:20
Juste une question : j’ai pas bien compris pourquoi la première hypothèse a été écarté après tout, ça pourrait être du pharming au niveau des FSI
30 juin 2010 à 12:46
@Slim:
Tu peux faire le tracert mail.gmail.com normale et pendant le pharming stp?
Pendant le pharming est il possible d’accéder aux autres sous-domaine de google en http et https tels que http://www.google.com adwords.google.com docs.google.com code.google.com ?
@All:
Pouvez-vous poster ici la liste des serveurs dns concernés avec date et heure?
Regards,
30 juin 2010 à 12:57
@secure:
techniquement l’usurpation d’adresse IP est possible même celle de google et de tous ses serveurs (dns..), c’est possible que les deux tracert normale et pendant le pharming soient identique ..
Regards,
30 juin 2010 à 13:44
@SLIM :
est ce que je peux publier ton article sur le site de Securinets Premier club de sécurité informatique en Tunisie ?
merci :)
30 juin 2010 à 13:46
@ Malek Drei M,
Vous avez évoqué deux techniques différentes dans votre dernier post: Pharming et IP Spoofing qui n’ont pas de relation directe; Je m’explique:
1-/ Pharming: les serveurs DNS de nos FSIs font la « mauvaise » résolution DNS Name -> IP…Et donc toutes les requêtes mail.google.com vont être rédirigées vers les « faux serveurs gmail hébergés en Tunisie »…Ceci peut facilement être contourné en utilisant d’autres DNS, ce qui Slim a fait d’ailleurs…Donc, option à écarter…
2-/ IP Spoofing: c’est possible d’attribuer n’importe quelle adresse IP à n’importe quelle serveur…Mais, je ne le vois pas dans notre cas étant donné que tous les tracert sur mail.google.com passent par le palermo5.pal.seabone.net…A moins que on va simuler tout un réseau de « hop » en Tunisie pour faire croire aux gens qu’ils passent par le SEA-ME-WE 4…Ce qui est très difficile…Ceci peut être diectement véfifié par les utilitaires graphiques de tracert tels que « Visual Route »…Donc, option à écarter aussi !
Ainsi, je reviens à la case de départ, et le faire d’avoir un « closed » au lieu de « filtered » sur NMAP…
Merci à vous tous !
30 juin 2010 à 14:21
@secur :
Je ne suis pas un expert, mais… ce n’est pas possible de détourner les requêtes vers les « autres DNS », pour les rediriger vers un DNS menteur ?
30 juin 2010 à 14:38
@secure
Si Slim a eux ce problème en utilisant des dns étrangères .. ça écarte en effet l’hypothèse du pharming au niveau des dns des FAI.
Reste la deuxième hypothèse a vérifier (je ne suis pas en Tunisie c’est pour ça je vous ai demandé les tracert que vous n’avez pas encore posté) c’est « l’usurpation d’adresse IP » en émulant le réseau par exemple avec l’un des produit de Packetstorm .. et ça on ne peut pas le vérifier comme vous dites avec « Visual Route » parce que tel logiciel n’est pas capable de localiser physiquement les machines, il les localise en se basant sur les informations en provenance d’une base de donnée tel que celle de ip2location ..
Ma théorie est la suivante:
1. Pendant 5 minutes bloquer l’accès à *google.com:443 pour une plage IP au niveau du serveur proxy NetCache.
2. émulation de la route jusqu’à un serveur EasyPHP qui contient une page pour fishing en lui attribuant l’adresse IP 209.85.229.18 et en utilisant un produit de Packetstorm.
Bien sur pour rectifier ma théorie j’ai besoin de quelques information tel que les tracert (c’est le minimum)
Regards,
30 juin 2010 à 14:41
@Noob
Ah non, ce n’est pas possible, vous pouvez vite vous en apercevoir parceque le TTL ne sera pas le même !!
30 juin 2010 à 15:05
@ Malek Drei M,
Pensez-vous qu’on va pouvoir simuler tous les serveurs de Google ainsi que toutes les routes de l’Internet Mondial alors qu’on n’est même pas capable de bien configurer EasyPHP ?
Qu’en est-il des TTLs alors ? Et aussi des @MAC (on passe par du MAC Spoofing)?
Ci-après le tracert (vous m’excusez Slim, je le fais à votre place):
Détermination de l’itinéraire vers ww-in-f18.1e100.net [209.85.229.18]
avec un maximum de 30 sauts :
1 495 ms 398 ms 469 ms 10.12.0.9
2 376 ms 529 ms 589 ms 10.12.0.10
3 358 ms 519 ms 509 ms 10.12.2.33
4 378 ms 508 ms 419 ms 10.24.0.18
5 348 ms 379 ms 719 ms 10.24.0.44
6 329 ms 496 ms 489 ms 10.12.7.4
7 328 ms 369 ms 469 ms 10.12.7.9
8 57 ms 59 ms 68 ms 10.14.0.244
9 557 ms 378 ms 449 ms 10.14.1.10
10 318 ms 479 ms 469 ms 193.95.1.25
11 317 ms 419 ms 459 ms 193.95.96.153
12 327 ms 450 ms 387 ms 193.95.1.9
13 416 ms 499 ms 549 ms pos6-2.palermo5.pal.seabone.net [195.22.198.93]
14 418 ms 529 ms 599 ms 72.14.218.58
15 418 ms 599 ms 548 ms 72.14.218.58
16 426 ms 488 ms 689 ms 209.85.249.54
17 116 ms 119 ms 118 ms 209.85.251.113
18 177 ms 178 ms 179 ms 209.85.248.182
19 750 ms 539 ms 569 ms 209.85.240.158
20 507 ms 579 ms 479 ms 209.85.251.231
21 * * * Délai d’attente de la demande dépassé.
22 483 ms 539 ms 549 ms ww-in-f18.1e100.net [209.85.229.18]
30 juin 2010 à 15:27
@Slim : Bravo
@tous :
Un exemple vivant des compétents d’aujourd’hui:
Pardon, c’est l’orthographe qui a changé pour mieux convenir: des Cons-pêtants !
ya3ni Bhéyem ou Bassassa !
à bon entendeur, Salut.
30 juin 2010 à 16:16
@secure
Les deux tracert normale et pendant le pharming sont identiques à 100%?
Oui, on peut tout faire/émuler (y compris TTL et MAC) avec les produits Packetstorm ..
Ce qui nous intéresse le plus ici c’est le filtrage et la modifications des paquets et voici ce qu’on peut faire exactement avec ces produits:
Packet Modifiers:
• Source Address
• Destination Address
• ToS
• DSCP
• TTL (Set)
• TTL (Decrement)
• TTL (Check)
• Protocol
• Transport Checksum
• Network Checksum
• Source Port
• Destination Port
• Fragment (Yes)
• Fragment (No)
• MPLS
• VLAN
• MAC Address
• Universal
• IPv6
• Pseudo Wire Ethernet
• RTP
• MPEG-2
• MPEG-2 PCR
Packet Filters:
• Source Address
• Destination Address
• Source Port
• Destination Port
• Protocol
• ToS
• Diff Serv
• MPLS
• VLAN
• Bit Pattern
• MAC Address
• Universal
• PPPoE
• MPEG-2
Regards,
30 juin 2010 à 16:21
NB: Bien sure Packetstorm n’est que l’un des fabricants de ces solutions (et le plus ancien à ma connaissance).
30 juin 2010 à 17:00
@ Malek Drei M,
Aucune idée de « tracert » avec le « pharming » en cours d’ »exécution »…D’ailleurs, vous avez évoqué dans l’un de vos posts que l’option de pharming est à éliminer…Sinon, Slim pourra éventuellement nous en dire plus…
Par ailleurs, à ma connaissance, ce qui nous intéresse le plus à ce niveau, c’est la redirection du traffic allant à gmail vers d’autres serveurs « fake » hébergés en local…(via la modification des tables de routage au niveau des routeurs par exemple)…Dans ce cas, la meilleure façon de vérifier ça, c’est de se connecter en VPN sur une machine en dehors du TN Network et essayer d’accèder à gmail à partir de cette machine…Si ça marche au moment même du « passage du train », c’est que le traffic est bel et bien rédirigé…
Cordialement
30 juin 2010 à 17:25
@Slim: oui c’est normal que l’ATI aura la possibilité de bloquer un site et d’ailleurs c’est un filtre qui fera l’affaire. Un simple technicien pourra effectuer cette tâche, tout ce qu’il a faire c’est de copier le lien et de le coller dans le blacklist.
@secure: si c’est évident :) personnellement je préfère toujours bloquer les réponses aux scan. Parce que pour un pirate, la première chose à faire c’est de détecter les failles, et ça commence évidemment par scanner les ports ouverts.
Mais laissons à coté l’histoire de blocage des scans, crois tu qu’un plan de scan envisagé par un truc gouvernemental pourra être fait ainsi? sur un windows+easyphp? avec des erreurs php?
Pour moi c’est pratiquement impossible!
Je repète encore une fois: Même un débutant en php ne fera pas ce genre de fautes sur un script en prod :)
30 juin 2010 à 18:02
@secure
pardon je voulais dire lors passage du train au lieu du pharming ..
30 juin 2010 à 18:52
@all:
Bon, je vous informe que cette page vient d’être censurée en Tunisie…Mais, dites-donc, pourquoi ils ont fait ça ??? ;-)
@Oussama:
Vous pouvez utiliser l’option decoy de NMAP pour faire croire aux IPSs que plusieurs attaques proviennent de plusieurs adresses IP sources…Dans ce cas, quelle adresse bloquer et laquelle laisser…Je vous invite à googler « Stealth NMAP Scan » et vous allez voir les résulats…
Ceci dit, même si j’aimerais bien croire votre hypothèse sur le faite que les scans NMAP sont bloqués, pourquoi affiche-t-il « closed » pour le port 443? Normalement on ne doit pas avoir une réponse si c’est ce le cas…! Donc, NMAP n’est pas bloqué…
@all:
A mon sens, si les barreaux d’Internet en Tunisie ont essayé de foutre la merde à gmail, ils ont tout simplement fait une redirection IP au niveau de leurs routeurs à des pages « fake » de google hébergés en local…
@Slim: est-ce que le « train est toujours de passage »? Si oui, vous nous informez de ses prochaines horaires afin qu’on puisse tous ensemble faire le boarding et procéder à une analyse plus poussée…
Bien cordialement
30 juin 2010 à 19:02
@Tunisiano oui, tu peux publier l’article ou tu veux
Traceroute pendant l’attaque :
mail.google.com port 80 :
traceroute to mail.google.com (209.85.229.83), 30 hops max, 40 byte packets
1 192.168.10.2 (192.168.10.2) 0.224 ms 0.187 ms *
2 * * *
3 * * *
4 * * *
5 * * *
6 * ww-in-f83.1e100.net (209.85.229.83) 20.347 ms 20.618 ms
mail.google.com port 443 :
traceroute to mail.google.com (209.85.229.83), 30 hops max, 40 byte packets
1 192.168.10.2 (192.168.10.2) 0.203 ms 0.180 ms *
2 * * *
3 * * *
4 * * *
5 * * *
6 * 193.95.96.1 (193.95.96.1) 21.012 ms 22.843 ms
7 * * *
8 * * *
9 * * *
10 * * *
11 * * ww-in-f83.1e100.net (209.85.229.83) 18.436 ms
01 juillet 2010 à 11:34
@All,
Il est clair que vous ne pouvez plus accéder à cette page puisqu’il n’y a eu aucun post depuis plus que 24h…Shame on these « policy-makers »…!!
Une chose est sure: on ne souhaite pas avoir une deuxième Chine en matière de censure d’Internet…Ça ne sert absolument à rien surtout qu’on sait que même avec le blocage, les Chinois arrivent toujours à attaquer plusieurs sites occidentaux, que dire alors à accéder à des sites d’information ou à leur messagerie gmail…
YOU HAVE TO BARE IN MIND: « INTERNET IS UNSTOPPABLE… »
Best regards
01 juillet 2010 à 12:15
Bonjour,
pour le changement de DNS, je crois que même les requettes DNS sont rediréger, vers un DNS tunisien. et a mon avis pour être sure que c’est le vrai DNS qui nous répond, il faut se mettre de l’autre coté (sur le serveur DNS et intercepter notre requette qui arrive). chose impossible, sauf pirater le DNS lol.
donc a mon avis ==> s’appuyer sur les DNS pour prouver quoique ce soit est a écarter, sauf si notre requette dns ne donne pas une ip qui n’est pas une ip google,ceci étant pas le cas ==> a écarter tous raisonnements en se basant sur dns.
pour tracert aussi, elle est a écarter, sauf si on trouve des différences flagrants, avec un tarcert normal. donc si le tracert il est Ok en période de train, c’est normal c’est il peuvent simuler ça.
il nous reste quoi a verfier donc?
ce qui est bizarre c’est que le truc est trés sophistiqué, sauf ce easyphp, je garde l’hypothése que l’équipe internet du ministère de l’intérieur est un mélange de compétents et de cons.
pour les sites censuré en tunisie, peut etre que trabelsi a demandé 5% du chiffre d’affaires et il ont dis non. donc Tunis ferme leur sites web. lol. sacré trabelsi.
rappeler vous que trabelsi a voler un yacht et il a juste changer la peinture. bien sure le yacht a été retrouvé. trabelsi croit qu’il a voler une bicyclette!!!! changer la peinture et oups personne ne trouvera le yacht. imbécile. pour plus d’infos juste taper « trabelsi yacht » sur google. looooooooooool. quelle famille. et il gouverne Tunis. shame on us. on a comme famille présidentielle des délinquants internationaux.
01 juillet 2010 à 14:41
Il y a une faute dans le titre : écrire « phishing » (avec 2 ‘h’) à la place de « phising »
edit : thanks – corrigé
03 juillet 2010 à 0:10
Je ne sais pas ce que je vais vous dire confirme ce que Slim a conclu ou pas.
En fait cet article vient d’être 404baché.
Sacré Ammar vas!
03 juillet 2010 à 0:17
En fait tout article résultant de la recherche par mots clés « gmail tunisie » sont 404bachifiés.
D’autres n’ont pas raté cette formidable occasion pour faire du lèche-Tut:
http://www.gnet.tn/net-informatique/google-urgee-de-renforcer-la-securite-de-gmail/id-menu-473.html
P.S : Admirez le com moqueur en bas de l’article.
Oy Oy Oy ghueddachou ténégeant Ammar!
04 septembre 2010 à 15:26
hey..quelqu’un peux accéder au serveur smtp de google ? je crois qu’il est bloqué !