1770

Brunni (./1767) :
Je pensais que toutes les requêtes de l'extérieur à destination de l'IP de ma maison, venaient au routeur, et lui ne laissait passer que ce qui est configuré. Mais il faudrait un pare-feu pour que ce soit le cas ? D'une certaine manière il semble que les paquets parviennent quand même au NAS qui y répond 🤔
Tu es sûr que ton routeur est bien configuré en mode routeur, et pas en mode bridge ?

Une autre possibilité serait que ton NAS ouvre automatiquement les ports sur ton routeur via UPnP (ou un autre protocole qui fait la même chose). Ça peut être un comportement par défaut, ou une composante du hack que tu as subi.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1771

Tu es en IPv4 ou IPv6?

Je doute que sinology soit con au point de par default faire sortit l'interface de configuration via UPnP.

Sinon ce n'est pas un "part feu" qui fait la translation, mais un NAT, si tu es en IPv4 sur internet. Le routeur peux par contre être piraté et prit a contrôle a distance et donc avoir accès a ton réseau, mais en dehors du cas ou c'est une faille commune, tu es un nobody. personne ne va te cibler toi personnellement.

Si tu es en IPv6 c'est une autre histoire, tout tes appareils ont une IP publique et routable. Je ne sais pas quelle est la configuration par défaut des routeurs de FAI pour l'IPv6 mais la oui il faut un part feu pour ne pas laisser passer n'importe quoi.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1772

ça sent l'UPnP a plein nez ça
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

1773

le seul port que j'ai ouvert perso c'est le 22 et c'est une instance d'endlessh, si je veux mon vrai port j'ai une séquence de port knocking à faire et c'est dans un script que je garde bien au chaud. je sais pas si tu peux faire un truc similaire sur un nas, après tu peux changer les ports, mais rien n'empêche quelqu'un d'utiliser nmap et de trouver les bons ports ...

Brunni (./1768) :
Tain pis ça me rend toujours fou la notion de sécurité à la Japonaise.

Mon abo de téléphone je me rappelle plus de mon MDP (j'ai probablement dû le noter à la main à la conclusion sur le contrat, sisi c'est comme ça que ça marche ici) ils me le renvoient en clair par SMS. Je le change, ils me renvoient un SMS avec mon nouveau mdp en clair pour confirmer. Mais gggnnnnggg………… couic gol


peut-être que le SMS part avant qu'il soit stocké hashé en base grin

1774

Vu la sécurité autour des SMS…
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1775

Au boulot on envoie des SMS via orange, y a pas d'endpoint pour récupérer les contenus (ou alors on n'y a pas accès sur le frontend) mais je suis persuadé que c'est archivé quelque part et c'est honteux

1776

Heu. Les sms sont en clair sur le réseau, et sniffer est relativement simple. C’est pour ça que certains n’aiment pas les 2FA par code SMS.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1777

Le token par SMS sera à usage unique, s'il ne fonctionne pas immédiatement quand tu l'utilises c'est qu'il y a anguille sous roche.

1778

Pas vraiment la meilleur façon de voir les choses, et si ca t'arrive c'est trop tard, ton compte n'est plus sous ton contrôle.

Oh bien sur, dans l'état actuel des choses, toi pékin moyen tu ne risque pas ce genre d'attaques, car ca demande quand meme un peu d'effort, mais si ca se généraliste, ca risque de devenir bien plus problématique.

A vrai dire il est probablement moins facile de sniffer un email qu'un SMS..
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1779

Godzil (./1778) :A vrai dire il est probablement moins facile de sniffer un email qu'un SMS..
Je me demande quand même à quel point c'est facile d'intercepter un SMS sans des moyens étatiques (alors qu'un courriel est facilement sujet à des mots de passe perdus…)
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1780

Clone de SIM est le premier moyen, le second simplement pouvoir écouter la cellule entre le portable cible et le(s) relais

Un email par contre, sans un MITM, ce qui est peut être pas mal compliqué, c'est dur a intercepter, ou alors il faut s'introduire dans le serveur de reception.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1781

Godzil (./1780) :
Clone de SIM est le premier moyen, le second simplement pouvoir écouter la cellule entre le portable cible et le(s) relais

Un email par contre, sans un MITM, ce qui est peut être pas mal compliqué, c'est dur a intercepter, ou alors il faut s'introduire dans le serveur de reception.
C’est ce que je dis : ça se fait beaucoup moins qu’aller récupérer des courriels quand tu as le mot de passe…

Et tu n’écoutes pas les communications entre l’antenne et le relais facilement, loin de là.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1782

C'est plus simple qu'il n'y parait... Et apriori cloner une SIM n'est pas si compliqué non plus.

Tout dépends de ta cible bien sur, comme dit Mr Grand public que ca soit SMS ou email, le risque est de zero ou presque. Si tu est une cible qui a de la valeur, t'inquiète il y arriveront sans trop de soucis.

Et pour les email, le mot de passe faut-il encore l'avoir. Tout le monde n'utilise pas "password123"..

La liste splash data fait peur quand meme:




...
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1783

Godzil (./1782) :
C'est plus simple qu'il n'y parait...
En 2G, ce n'est pas trop compliqué, ok. À partir de la 3G, ça devient beaucoup moins simple et abordable.
Et dans tous les cas, ça demande d'être à proximité de la victime (ce qui complique énormément le défi).

Et apriori cloner une simple n'est pas si compliqué non plus.
Je n'en suis pas sûr (mais je connais moins).

Tout dépends de ta cible bien sur, comme dit Mr Grand public que ca soit SMS ou email, le risque est de zero ou presque. Si tu est une cible qui a de la valeur, t'inquiète il y arriveront sans trop de soucis.
Bah oui, c'est sûr.

Et pour les email, le mot de passe faut-il encore l'avoir. Tout le monde n'utilise pas "password123"..
Je maintiens ce que je dis : le courriel est souvent le point de plus faible ; entre ceux qui utilisent un mot de passe simple et ceux dont le mot de passe a fuité via un autre site, ça représente beaucoup de monde.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1784

Je pense que ça s’applique juste a des cas différents.
Pour de l'attaque aveugle en masse a moindre frais, l’e-mail est certainement plus accessible. Le téléphone sera probablement un meilleur vecteur pour de l'espionnage où l'on a plus de moyens et où l'on vise généralement une cible précise, physiquement localisée.
avatar

1785

Warpten (./1773) :
si je veux mon vrai port j'ai une séquence de port knocking à faire et c'est dans un script que je garde bien au chaud.

Juste par curiosité ça tourne sous quoi ton script ? Je suis en train de revoir mon infra et notamment la partie routeur et FW et c’est le genre de fonctionnalités qui pourrait m'intéresser.
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

1786

Personnellement, j'aime beaucoup fail2ban qui bannit automatiquement les IP qui sont trop insistantes.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1787

Jonas (./1785) :
Warpten (./1773) :
si je veux mon vrai port j'ai une séquence de port knocking à faire et c'est dans un script que je garde bien au chaud.

Juste par curiosité ça tourne sous quoi ton script ? Je suis en train de revoir mon infra et notamment la partie routeur et FW et c’est le genre de fonctionnalités qui pourrait m'intéresser.
Surement le classique portknockd ou une alternative.
bincker/portknockdGitHubHidden port knocking service that spawns a reverse UDP shell. - bincker/portknockd

https://wiki.archlinux.org/title/Port_knocking

1788

f2b depend fortemetn des logs et peut etre trop aggressif ou pas assez.

Perso il est super agressif pour SSH et le ban time est tres long
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1789

zikzak (./1787) :
Jonas (./1785) :
Warpten (./1773) :
si je veux mon vrai port j'ai une séquence de port knocking à faire et c'est dans un script que je garde bien au chaud.

Juste par curiosité ça tourne sous quoi ton script ? Je suis en train de revoir mon infra et notamment la partie routeur et FW et c’est le genre de fonctionnalités qui pourrait m'intéresser.
Surement le classique portknockd ou une alternative.
bincker/portknockdGitHubHidden port knocking service that spawns a reverse UDP shell. - bincker/portknockd

https://wiki.archlinux.org/title/Port_knocking

la mise en place est faite via iptables, pour knocker c'est un bête script qui tape dans l'ordre

1790

./1787 Oui c'est ce que je pensais mais je voulais bien une confirmation : )

./1789 Donc tu as un script qui écoute les drop sur les ports concernés et qui fait un ALLOW quand la condition est remplie ?
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

1791

nonon c'est fait via iptables, sans knockd (même si c'est plus simple)

How To Configure Port Knocking Using Only Iptables on an Ubuntu VPS | DigitalOceanDigitalOceanPort knocking is a method of hiding services behind a firewall until a specific sequence of network activity occurs. After detecting this, the firewall is dynamically reconfigured to expose the requested service for the client who completed the specif


tu as un bon tuto ici qui t'explique bien comment le mettre en place. ça te donne même le script qui invoque nmap pour taper dans l'ordre.

tu peux même mettre une limite de temps entre les knock sur les différents ports, je crois qu'ils ne font que laisser le port ssh accessible x secondes

1792

Merci !
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

1793

bien stylé tout en iptables top

je suis passé de fail2ban à sshguard depuis qq temps, rien à y reprocher jusqu'ici et il est écrit en C
et la le mec il le pécho par le bras et il lui dit '

1794

Forensic Methodology Report: How to catch NSO Group’s Pegasuswww.amnesty.orgNSO Group claims that its Pegasus spyware is only used to “investigate terrorism and crime” and “leaves no traces whatsoever”. This Forensic Methodology Report shows that neither of these statements are true. This report accompanies the release of the Pegasus Project, a collaborative investigation that involves more than 80 journalists from 17 media organizations in 10 countries coordinated by Forbidden Stories with technical support of Amnesty International’s Security Lab. Amnesty International’s Security Lab has performed in-depth forensic analysis of numerous mobile devices from human rights defenders (HRDs) and journalists around the world. This research has uncovered widespread, persistent and ongoing unlawful surveillance and human rights abuses perpetrated using NSO Group’s Pegasus spyware.


Lecture très intéressante dans le cadre de l'affaire Pegasus
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

1795

Most recently, a successful “zero-click” attack has been observed exploiting multiple zero-days to attack a fully patched iPhone 12 running iOS 14.6 in July 2021.
Ça tempère le côté classique de l’atraque dont on a parlé plus haut.

1796

Ce genre de problème est généralement par he très vite
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1797

*patché*, je suppose ?
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

1798

En effet, il faut patcher le post de Godzil pour corriger l'erreur.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1799

Godzil (./1796) :
Ce genre de problème est généralement par he très vite
Quand c’est connu.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1800

Oué patcher. Satané téléphone.


Sinon quand ce genre d’info est divulgé ça ne devrait pas trop leur prendre de temps à trouver ce qui casse.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.