TMG Test Notes for HADOPI

5/6/2018 TMG Test Notes for HADOPI - slidepdf.com

http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 1/18

TMGAnalyse de la fuite de données et évaluation des risques

mercredi 18 mai 2011



Genèse

• 16 juin 2010 : premier avertissement. Négligence de ma part, jpas traité le mail d’un internaute me signalant l’existence de cserveur et de la fuite de données liée (en pleine affaire Wawa-

• Le mail tombe aux oubliettes sans même que j’ai pu prendre lmesure de la brèche

• Décembre 2010 : un développeur me signal que TMG est comcette personne est crédible mais ne me donne pas le détail




Découverte de(s) faille(s)

• Un internaute me contacte le 13 mai 2011

• Il me fait parvenir une archive et me donne le lien du serveur

•En le recherchant dans mes mails, je tombe sur le mails de juin

• Je constate de visu et rédige un billet sur le site reflets.info

• C’est tellement gros que j’ai du mal à y croire, et pourtant...




Le contenu du (premier) serve

• 3 dossiers dont uncontenant un exécutable

• Des documents HTML

• Un shell script

• Une premiere intuitionévident : tout ceci n’estpas bien normal




La chasse au trésor

• L’analyse des documents permet rapidement de déduire lefonctionnement des scripts Python qui étaient visibles sur le s

• Les pages HTML visibles à la racine de la machine compromistout soupçon sur la nature des fichiers

• Le premier choc : elles contiennent des adresses IP locales demachines (on en déduit que ces machines se trouvent sur le rlocal de TMG)... l’architecture nous présente donc ses petits d

• Le dossier outgoing est énorme.. et tout de suite très inquiéta




Analyse des documents

• Getter, poster et pinter.htmlconstituent l’interface web, elle sertà générer des peers pour piéger lesutilisateurs

•On y trouve des IP locales et desports logiquement ouverts :192.168.69.4:4444;192.168.69.5:4445

• On sait maintenant commentprocède TMG... et plus encore




#!/bin/sh

• A la racine du serveur, le script shell présente, lui aussi une adlocale

• Un point de montage NFS atteste de la présence d’un stockagpartagé sur le réseau local

• ... vous êtes le maillon faible !




Le mystérieux executable

• Un exécutable Serveur_interface.exe (v1.0.2)dont je ne comprends pas tout de suite lefonctionnement est présent, je décide decommencer par l’examen des fichiers .bat etde configuration

• Un fichier de configuration contient un nomd’utilisateur, un mot de passe... tout devientun peu plus clair : le logiciel écrit sur unemachine dans le LAN de TMG

• Il est temps de faire parler cet exécutable, àl’aide d’une simple ligne de commandepermettant d’extraire des chaînes decaractères




Les faux utilisateurs

• Voici la liste des faux utilisateurs, codés en «dur» dans le logicsuffit d’ignorer pour ne plus être inquiété par TMG :

• Greta14 JoeJack Kazaa Lgthmon Mooohh is__ melon_foli XVador KarinaO Miss212 esay_temple atreides darker 463777 uMMMMM lalayeee steevi _he_man buffonmellow easylover M57_ erik john printer poier ben_j Astorovia ISIS basemen ana3HERMO zozo56 yehman bergo90@hotmail _TRISTAN_ freeloader wearethek zartocv CocoNoo crem DAVID defaultuserDOM46diff doubledee festina Kristin Gr0und flipped ogma ralium sharky skyemarie survivor themist icman Tugor v.macis va

a_Lite zjfhefjd yben kaza karynSpace KAROL karl judith herman123 hollyday HOUND houston jaurnus mexico masterdonuLord_Of_The_Ring llrrbbhht Frodo liza_149 ben_ben austin _gunter_ masterlord Gungun zebra2000 Kanisz estao Onisis ArockyB atalane Tonline james-bond collegebot carrie Matrix karats Nassiber forwarded microsmMM MAMEuser LiveSessionboris_dun reddunker macfly mump ink_fire Fibonacci junction hum330 iseay ophra5 Tina KingElvis [email protected] garibal Ka

_uploader lola88

• Pour changer cette liste, il faut recompiler le logiciel


mailto:[email protected]





Récapitulons

• ... non ça ne sent pas bon pour TMG... mais ce n’est un début




Outgoing

• Dans ce dossier, on trouve 3types de fichiers

• hash_publish

• hash_conected_peer

• hash_pex




Des données personnelles

• Le dossier outgoing contient des fichiers html nommés par dequi correspondent à des oeuvres

• Des adresses IP sont attachées à ces oeuvres

• On trouve 1851 fichiers dont les dernières mises à jour sont trécentes (moins de 24h)

• Il y a des milliers d’adresses IP, de tous les pays




Formatage des fichiershash_publish

• d8:intervali1900e5:peersld2:ip14:91.189.106.1944:porti4043eed2:ip13:91.189.109.914:porti6039eed2:ip14:91.189.106.1604p14:91.189.106.1534:porti3043eed2:ip14:91.189.106.1224:porti12043eed2:ip13:91.189.110.164:porti6043eed2:ip13:91.189

43eed2:ip14:91.189.106.2384:porti8043eed2:ip13:91.189.110.134:porti3043eed2:ip14:91.189.106.1934:porti3043eed2:ip13

orti12043eed2:ip14:91.189.106.1204:porti10043eed2:ip13:91.189.110.174:porti7043eed2:ip14:91.189.106.2014:porti11043

106.1234:porti13043eed2:ip13:91.189.109.924:porti7043eed2:ip14:91.189.106.1964:porti6043eed2:ip13:91.189.109.984:po

4:91.189.106.2004:porti10043eed2:ip13:91.189.109.964:porti11043eed2:ip14:91.189.106.2354:porti5043eed2:ip13:91.189.

eed2:ip13:91.189.110.194:porti9043eed2:ip14:91.189.106.1644:porti14043eed2:ip14:91.189.106.1624:porti12043eed2:ip14

porti14043eed2:ip14:91.189.106.2044:porti14043eed2:ip14:91.189.106.2394:porti9043eed2:ip13:91.189.110.234:porti1304

9.106.1584:porti8043eed2:ip14:91.189.106.1134:porti3043eed2:ip14:91.189.106.1634:porti13043eed2:ip14:91.189.106.234

p13:91.189.109.894:porti4043eed2:ip13:91.189.109.934:porti8043eed2:ip14:91.189.106.1154:porti5043eed2:ip14:91.189.1

eed2:ip13:91.189.110.154:porti5043eed2:ip14:91.189.106.1544:porti4043eed2:ip13:91.189.109.904:porti5043eed2:ip14:91ti14043eed2:ip14:91.189.106.2434:porti13043eed2:ip14:91.189.106.1214:porti11043eed2:ip14:91.189.106.1974:porti7043e

06.2334:porti3043eed2:ip14:91.189.106.1574:porti7043eed2:ip13:91.189.110.204:porti10039eed2:ip14:91.189.106.1994:po

91.189.106.2034:porti13043eed2:ip14:91.189.106.2374:porti7043eed2:ip14:91.189.106.1144:porti4043eed2:ip14:91.189.10

3eed2:ip14:91.189.106.2404:porti10043eed2:ip14:91.189.106.1194:porti9043eed2:ip13:91.189.109.884:porti3043eed2:ip13

orti12043eed2:ip13:91.189.110.144:porti4043eed2:ip14:91.189.106.1564:porti6043eed2:ip14:91.189.106.1184:porti8043ee

9.954:porti10039eed2:ip13:91.189.109.994:porti14043eed2:ip13:91.189.109.944:porti9043eed2:ip14:91.189.106.1954:porti

.189.106.1614:porti11043eed2:ip14:91.189.106.2364:porti6043eed2:ip13:91.189.110.244:porti14043eed2:ip14:91.189.106.2

d2:ip14:91.189.106.1554:porti5039eed2:ip14:91.189.106.1174:porti7043eed2:ip14:91.189.106.1164:porti6043eed2:ip14:91




Des données personnelles... de t

• un protocole

• une adresse IP

• un numéro de port

• on devine que les IP sont ensuite extraites, parsées et corréléaux logs Apache par un script Python

• les données rendues publiques n’ont rien de données de test, ping, sont attribuées par des FAI, il y a de vrais internautes der




Evaluation des risques

• Des machines compromises sur le LAN de TMG sont des pord’entrée sur tout le LAN

• Tout le LAN de TMG doit être considéré comme compromis

• L’opacité du fonctionnement de TMG ne permet pas d’évaluerrisques pour les réseaux interconnectés (HADOPI et ALPA)

• Un certificat pour un VPN, une fois sur le LAN, ça se vole




D’autres fuites possible

• Les plages IP de TMG sont connues, ce qui est normal, un AS e

• En raison de sa popularité chez les internautes, TMG est fréquscanné, on en trouve beaucoup de traces sur Pastebin.com

• Toujours sur Pastebin, il semble que plus de 5000 hash d’oeuvbaladent

• On peut raisonnablement considérer que d’autres machines dsont exposées (pas forcément compromises, mais exposées...)




Réponse

• Couper l’interconnexion est la décision la plus sage

• Comprendre le fonctionnement et le réseau de TMG est indispour évaluer les risques de manière plus fine

•La sécurité ce n’est pas un logiciel, ni un produit mais une som

processus visant à protéger des contenus et leur contexte afinmaîtriser l’architecture

• On subodore, sans être juriste, que la loi est peut-être, elle au«patchable»




Sécuriser TMG ?

• La sécurisation d’une telle infrastructure est un travail de tous jours, organisationnel et technique

• Un oeil extérieur est toujours bénéfique (ANSSI, CNIL...)

• La sécurité par l’obscurantisme échoue toujours à terme

• La transparence est donc la règle d’une bonne politique de sé


TMG Test Notes for HADOPI

Documents

Transcript of TMG Test Notes for HADOPI