GuiGui's Show

« The paper, titled got HW crypto? On the (in)security of a Self-Encrypting Drive series, recited a litany of weaknesses in the multiple versions of the My Passport and My Book brands of external hard drives. The flaws make it possible for people who steal a vulnerable drive to decrypt its contents, even when they're locked down with a long, randomly generated password.

[...]

In one case, the underlying key was predictable because the random numbers used to generate it was derived from the current time on the computer clock. That flaw was fixed last year, but it's likely many people with vulnerable drives have no idea they're at risk.

[...]

In other cases, it was possible to extract the hash off the drive and load it onto a computer so it could be subjected to off-line cracking.

[...]

Yet another flaw constitutes the equivalent of a backdoor that could allow an attacker to decrypt data without knowing or cracking the user password at all. The drives ship with a default password, but in cases where it has been changed to a user-defined password only once, the key corresponding to the default password remains stored on the device, making it trivial for adversaries to decrypt it. The flaw can overcome by resetting the password a second time, but without that knowledge, it's likely many users will not take the time to do so. »

J-O-I-E. LUKS (sous GNU/Linux) > * .

Hahaha :D

« This security patchwork — paired with opportunistic encryption that favors failing open and transmitting messages in cleartext, so as to allow incremental adoption — enables network attackers to intercept and surveil mail. In one such attack, network appliances corrupt STARTTLS connection attempts and downgrade messages to non-encrypted channels. We identify 41,405 SMTP servers in 4,714 ASes and 193 countries that cannot protect mail from passive eavesdroppers due to STARTTLS corruption on the network. We analyze the mail sent to Gmail from these hosts and find that in seven countries, more than 20% of all messages are actively prevented from being encrypted. In the most severe case, 96% of messages sent from Tunisia to Gmail are downgraded to cleartext.

In the second attack, DNS servers provide fraudulent MX records for the SMTP servers of common mail providers. We searched for DNS servers that provide fraudulent addresses for Gmail’s SMTP servers, and we find 14,600 publicly accessible DNS servers in 521 ASes and 69 countries. We investigate the messages that Gmail received from these hosts and find that in 193 countries more than 0.01% of messages from each country are transited through these impostor hosts. In the largest case, 0.08% of messages from Slovakia are relayed from a falsified IP, which can intercept or alter their contents.

[...]


To find servers where STARTTLS is blocked, we build on the fact that SMTP servers frequently report back invalid commands they receive — which would include any corrupted STARTTLS command. We performed a TCP SYN scan of the public IPv4 address space on port 25 and attempted to perform an SMTP and STARTTLS handshake with responsive hosts. We performed this scan on April 20, 2015, from the University of Michigan campus using ZMap [19]. We found 14.1M hosts with port 25 open, 8.9M SMTP servers, and 4.6M SMTP servers that supported STARTTLS (see Table 10). Of the 4.2M hosts that failed to complete a TLS handshake, 623,635 (14%) echoed back the command they received. We classify these responses in Table 11. 617,093 (98.95%) of the responding hosts returned STARTTLS (and indeed do not to support it), 5,750 (0.92%) returned XXXXXXXX, 786 (0.14%) responded with STAR or TTLS, and 6 responded with BLUF. The STAR and TTLS commands are four-character command trun- cations and are likely not due to an attack. Prior to ESMTP, SMTP commands were all four characters, and we were able to confirm that all commands were truncated to four characters on these servers. However, the XXXXXXXX and BLUF commands appear due to the STARTTLS command being altered to prevent the establishment of a TLS session.

Excluding four-character truncations, our scan found 5,756 servers that display evidence of a corrupted STARTTLS command. However, given that only 14% of servers reported back the received command, this is likely an underestimate. We extended our search for servers where the STARTTLS command was corrupted in the server’s list of advertised features, which is returned in response to the EHLO command. This identified an additional 35,649 servers. When combined with the initial set, this yields a total of 41,405 servers that apparently have STARTTLS messages corrupted. These 41K servers are located in 4,714 ASes (15% of all ASes with an SMTP server) and 191 countries (86% of countries with SMTP servers). They transit mail for 2,563 domains in the Top Million. In 423 ASes (736 hosts), 100% of SMTP servers are affected by STARTTLS stripping. The AS performing stripping on 100% of the inbound and outbound mail with the most SMTP servers (21) belongs to Starwood Hotels and Resorts (AS 13401). We show the classification of ASes with 100% stripping in Table 12. Overall, no single demographic stands out; the distribution is spread over networks owned by governments, Internet service providers, corporations, and financial, academic, and health care institutions. We note that several airports and airlines appear on the list, including an AS belonging to a subsidiary of Boingo (AS 10245), a common provider of in-flight and airport WiFi. Our scanning methodology does not comprehensively find all servers where STARTTLS is blocked. Local SMTP servers may not be accessible from the University of Michigan, STARTTLS might only be stripped for outgoing messages, or the command might be removed altogether instead of being corrupted in place. However, it appears that the practice is widespread.

The XXXXXXXX replacements are likely caused by security products that intercept and strip the command. In one prominent example, Cisco Adaptive Security Appliances (ASA) [7] and Cisco IOS Firewalls [8] both advertise replacing the STARTTLS command with Xs to facilitate mail inspection as part of their inspect smtp and inspect esmtp configurations.

[...]

Internet-wide scans and logs of SMTP connections to and from one of the world’s largest mail providers over a sixteen month period. Our measurements show that the use of these secure mail technologies has surged over the past year. However, much of this growth can be attributed to a handful of large providers, and many smaller organizations continue to lag in both deployment and proper configuration. The fail-open nature of STARTTLS and the lack of strict certificate validation reflect the need for interoperability amidst the gradual rollout of secure mail transport, and they embody the old adage that “the mail must go through.” Unfortuately, they also expose users to the potential for man-in-the-middle attacks, which we find to be so widespread that they affect more than 20% of messages delivered to Gmail from several countries. We hope that by drawing attention to these attacks and shedding light on the real-world challenges facing secure mail, our findings will motivate and inform future research. »

Via https://twitter.com/aeris22/status/659290965023334400

Mon mail adressé aux sénateurs/trices français-e-s qui ont déposé des amendements visant à réduire l'impact négatif de la proposition de loi sur la surveillance des communications électroniques internationales et/ou qui ont tenu des positions et propos allant dans le sens des citoyens lors de l'examen en session plénière le 27/10. Parce que c'est important de corriger le tir quand ça ne va pas mais c'est encore plus important de remercier et encourager ceux et celles qui font du bon taff.

Mesdames et messieurs les sénatrices/eurs

J'ai suivi le flux vidéo de la séance publique d'hier soir portant sur
l'examen de la proposition de loi sur la surveillance des communications
électroniques internationales.

Je vous remercie pour les amendements que vous avez déposés qui allaient
dans le bon sens (restreindre la surveillance de masse, plus de
compétences pour la CNCTR,...) ainsi que pour les propos que vous avez
tenus en séance qui ont contribué à élever le débat.

Je regrette néanmoins que l'attention de l'assemblée sénatoriale se soit
focalisée longuement sur l'exclusion de certaines personnes et
profession du régime de la surveillance. C'est pour moi un non-sens :

Ma vie privée a donc moins d'importance que celle d'un avocat, d'un
journaliste, d'un médecin ou que d'un parlementaire ? Je ne le pense
pas. Quid des administrateurs/trices systèmes/réseaux et des secrétaires
qui, dans les entreprises, concentrent/manipulent eux/elles aussi
beaucoup de données confidentielles relevant de la vie privée de
personnes ? Les documents de M. Snowden ont montré que les
administrateurs/trices systèmes étaient des cibles de choix de
la NSA. Dans cette PPL, on consacre arbitrairement des professions au
détriment d'autres.

De plus, sur une route, il faut regarder la couleur de toutes les
voitures qui passent à notre hauteur pour identifier les voitures de
couleur verte : il ne peut y avoir d'exclusion a priori dans un
mécanisme de surveillance non individualisée sauf déclaration préalable
faillible comme vous l'avez relevé dans l'hémicycle. L'exclusion est
donc une dangereuse illusion.

C'est tout le principe de surveillance (et d'exploitation des données de
connexion) non individualisée ainsi que le principe de surveillance
ciblée, le tout sans juge judiciaire qu'il faut rejeter. Le reste n'est
que rustine de circonstance.

Merci encore pour votre travail et vos prises de position salvatrices.

Cordialement.

« Le Sénat français a voté ce soir la proposition de loi sur la surveillance internationale, légalisant la surveillance de masse au-delà des frontières de la France, qui porte également sur de très nombreux Français. La Quadrature du Net salue la constance française en matière d'atteintes graves aux droits de l'Homme.

[...]

Après des mois de dénonciation argumentée et renouvelée des ONG de défense des droits, des organisations internationales, des rapporteurs de l'ONU ou du Conseil de l'Europe, des « amateurs » du Parlement européen ou des syndicats de professionnels de la Justice, la représentation nationale française continue à faire la sourde oreille.

[...]

Quoiqu'il reste encore un obstacle à cette dérive d'avenir pour notre pays : le texte voté ce soir par le Sénat, après passage en commission mixte paritaire, devra encore être adopté formellement par l'Assemblée nationale et le Sénat.

Un ultime sursaut pour enfin lire les reproches réitérés qui lui sont faits, et le refuser ? Il serait temps que les votes sur la surveillance de masse cessent d'être faits dans des hémicycles vides, nocturnes et désabusés.

Et ensuite il ne restera visiblement qu'à porter le combat pour les libertés fondamentales là où il pourra enfin être pris au sérieux : auprès des instances judiciaires européennes. »


Parmi les amendements déposés, seul celui du gouvernement sur l'indemnisation des opérateurs télécoms si leur collaboration leur entraîne des coûts, a été adopté.


Parmi les interventions, je retiens :
    * Philippe Bas qui nous dit qu'il a été dans les locaux de la DGSE et qu'il a pu constater que tout tourne comme le texte (celui soumis au vote hein donc pas encore effectif) le prévoit. Jean-Pierre Sueur nous rappellera aussi que la DGSE fonctionnait sans la législation que nous créons aujourd'hui et qu'il ne sait pas si c'est liberticide ou non. Je ne sais pas si je dois mentionner sa sortie "Je n'ai pas rencontré de système plus favorable aux droits de la personne dans d'autres pays", tellement ça semble être du troll.

    * Michel Boutant qui nous a rappelé que les métasdonnées permettent de détecter les suspects et surtout cartographier les réseaux. À ressortir lors des cafés vie privée et autres crypto-party.

    * Esther Benbassa qui nous a rappelé que nos communications électroniques sont majoritairement internationales avec les usages de Google, Skype, Hotmail, WhatsApp).

    * J'aime beaucoup Yves Détraigne qui nous a déclaré, en gros "vu nos engagements militaires actuels, on a bien chercher la merde sur d'autres territoires, ça va nous péter à la gueule donc il faut, par tous moyens qu'on voit la riposte arrivée dans notre gueule d'où ce texte est important". :D

    * Cécile Cukierman qui a déploré, comme d'autres, la procédure accélérée et le fait d'utiliser le biais d'une proposition de loi (émanant d'un député) plutôt qu'un projet de loi pour éviter d'avoir à fournir une étude d'impact. Surtout, elle a déclarée que, compte-tenus des câbles sous-marin posés/entretenus par la France, on s'inscrit direct, avec ce texte, dans un système mondial d'échanges de renseignement. Furieusement ce que développe Reflets depuis plusieurs année (voir, entre autres : https://reflets.info/la-vaste-blague-de-la-proposition-de-loi-sur-la-surveillance-internationale-des-communications/). Dernier rappel salvateur : c'est pas la collecte qui rend le système efficace mais la capacité d'analyse. Or, cette loi n'étend pas notre capacité d'analyse mais uniquement notre capacité de collecte.

    * André Reichardt qui n'a pas compris la teneur du texte qu'il va voter et prétend qu'il porte exclusivement sur les communications échangés entre deux personnes hors du territoire nationale ! Il a rencontré le directeur de la CIA à Washington dans le cadre d'un travail législatif portant sur la lutte contre le terrorisme. La CIA avait exprimé de grandes attentes sur le fait que nous échangions des données de renseignement avec eux (convention qui a été signée depuis) donc il faut voter cette loi pour leur faire plaisir, on n'a pas de données à échanger à la récréation !

    * Alain Richard reconnaîtra qu'il n'existe aucun moyen de détecter une communication d'un avocat FR à l'étranger dans la surveillance de masse.

    * Jean-Pierre Sueur qui nous a livré un discours de la peur : Il faut d'abord rappeler l'horreur du terrorisme sinon on ne sait pas pourquoi on vote. Le terrorisme est terrible, il peut frapper n'importe qui, n'importe quand. Mais il ne faut pas renoncer à nos libertés car sinon, ça serait la victoire des terroristes.

    * Jacques Mézard nous a donné une leçon de courage : il émet de sérieux doutes sur le texte, notamment la protection des professions réglementée (avocat pendant 35 ans) mais il votera quand même ce texte.

    * Toujours cette distinction insoutenable entre les professions réglementées qui ont droit à une vie privée et le reste du monde qui n'ont pas ce droit :(

    * Jean-Yves Le Drian estime que la surveillance de masse est moins attentatoire aux libertés que la surveillance ciblée. Je ne vois pas pourquoi notre loi protégerait les avocats et journalistes n'exerçant pas en France [ mais dans l'intérêt de la France NDLR genre un avocat FR qui bosse pour une ONG, genre un journaliste en mission à l'étranger,... ça a bien été défini par les auteur-e-s de l'amendement].

« The European Parliament today voted in favor of net neutrality rules that, in theory, will prevent ISPs from blocking and throttling traffic or implementing paid fast lanes. But MEPs did not adopt amendments designed to strengthen the rules by closing potential loopholes.

[...]

The vote was reportedly 500 to 163 in favor of the plan.

[...]

While the EU is banning paid prioritization—schemes in which an online service would pay for priority over other online services—the exemption for so-called "specialized services" is broader in Europe than it is in the US. The EU wants to let ISPs give priority to things like IPTV, high-definition videoconferencing, and health care services such as telesurgery, but net neutrality advocates believe the exception can be abused and potentially slow down the content of online service providers that don't pay ISPs.

The EU is not outlawing zero-rating, in which companies can pay ISPs to exempt their content from users' data caps. The US doesn't outlaw this, either, but the Federal Communications Commission set out a more clearly defined complaint process that could prevent ISPs from implementing zero-rating in ways that harm competition or consumers.

The EU will also let ISPs manage different types of Internet applications differently from others, but it says that the decisions have to be made based on technical analysis and not commercial considerations. There's also an exception that lets ISPs impose traffic management when there's "impending network congestion," not just congestion that's already happening.

The EU plan was criticized by tech companies such as Reddit and BitTorrent, as well as World Wide Web inventor Sir Tim Berners-Lee.
On the plus side for net neutrality advocates, the EU did not previously have any continent-wide net neutrality rules. The legislation adopted today will be developed into regulations that would go into place in April 2016. »

« Le Parlement européen a voté aujourd'hui par 500 voix pour et 163 voix contre le règlement sur les télécommunications, clôturant ainsi des années de négociations sur ce sujet. Malgré les appels des citoyens, malgré les appels répétés à l'international pour le soutien des amendements positifs, y compris de Tim Berners-Lee, ce texte ambigu contient des failles importantes qui ne permettent pas d'assurer la neutralité du réseau1. C'est une profonde déception pour tous ceux qui ont bataillé depuis des années pour enfin assurer la protection de ce principe en Europe.

[...]

À l'approche des élections européennes de 2014, les députés européens avaient su être fermes et voter un texte très avancé pour protéger la neutralité du Net, et donc les droits et libertés des citoyens et l'innovation pour tous. La pression du Conseil de l'Union européenne – c'est-à-dire des représentants des États membres – et de la Commission européenne, l'envie d'en terminer avec des années de négociations, le manque de conviction et de sens de l'intérêt général les ont amenés aujourd'hui à choisir un consensus mou : obtenir un accord coûte que coûte et régler la question des frais d'itinérance (mesure symbolique mais ne touchant qu'un très faible nombre de citoyens de l'UE), au prix d'une vraie protection de la neutralité du Net.

[...]

Le texte voté ne comporte pas de définition claire de la neutralité du Net, ce qui laisse une marge de manœuvre non négligeable au régulateur européen pour établir les lignes directrices applicables dans les États membres. C'est donc un texte plein d'incertitudes qui sera appliqué, et dont les modalités pratiques risquent d'être établies dans l'ombre des négociations de techniciens, sans transparence et avec peu de moyens d'action des citoyens.

Les négociations au sein du BEREC2 doivent être transparentes. Les régulateurs doivent élaborer sans tarder des règles claires fixant solidement les principes de la neutralité du Net, et se donner les moyens de les appliquer sans faiblesse, afin de pallier aux carences du texte voté aujourd'hui. Le risque est grand qu'ils laissent un boulevard aux entreprises de télécommunications pour abuser de leurs positions dominantes.

[...]

« Les eurodéputés avaient aujourd'hui l'occasion de montrer leur fermeté face au Conseil et à la Commission européenne pour la protection des droits et libertés des citoyens : ils n'ont montré qu'un visage timoré face aux menaces d'abandon du texte ou de prolongation des négociations. En votant ce texte incomplet et peu protecteur, ils mettent aussi des bâtons dans les roues des petites entreprises innovantes, au profit des grandes entreprises de télécommunications. Ils donnent également un signal négatif sur leur faiblesse, mettant ainsi en danger les futures négociations. C'est à une administration dénuée de transparence que reviendra donc le soin de colmater les failles que les eurodéputés n'ont pas su combler, au risque de les aggraver un peu plus, en attendant que la justice intervienne et que de longs processus judiciaires établissent une jurisprudence dont l'issue est incertaine  » déclare Agnès de Cornulier, coordinatrice de l'analyse juridique et politique à La Quadrature du Net. »

« Demain, les eurodéputés s'exprimeront en session plénière sur le règlement sur les télécommunications, qui comprend un volet sur la neutralité du Net, plus d'un an après leur vote très positif sur ce texte en première lecture. Au prétexte que le texte sur lequel ils s'exprimeront demain est moins mauvais que celui qui avait été proposé par le Conseil de l'Union européenne, une grande majorité de parlementaires sont prêts à revenir sur les avancées qu'ils avaient pourtant votées et à accepter de nombreux et importants reculs mettant en danger nos libertés et droits fondamentaux.

[...]

Si, comme lors du précédent vote, la plupart des élus conservateurs (PPE) défendront les lobbies des opérateurs et leurs intérêts, tout indique que le groupe socialiste (S&D) et une partie des libéraux (ALDE) s'apprêtent à trahir leur vote de 2014. À nouveau, leur position sera déterminante pour l'élaboration du texte final : en votant massivement pour la neutralité du Net – c'est-à-dire en soutenant les amendements comblant les failles du texte – les groupes S&D et ALDE ont la possibilité de sauver Internet et de montrer qu'ils ne comptent pas instaurer un Internet pour riches et un autre pour les pauvres.

Liberté d'expression, droit à l'information, libre concurrence et innovation, les socialistes européens et les libéraux qui voteront le texte sans amendements seront les fossoyeurs de nos droits et libertés ! Ils montreront leur soumissions aux entreprises de télécommunication, leur manque de courage, et alimenteront l'idée qu'ils ne relaient les revendications des citoyens européens qu'ils représentent qu'à l'approche des élections. »

« After several months of negotiations, between the Council of the European Union, the European Commission and the European Parliament, the European Parliament will vote on the compromise text in plenary session on 27 and 28 October!

Here is the list of amendments to be supported by MEPs to save Net Neutrality and fight against discrimination on the Internet.  »

https://twitter.com/UnGarage :
« TSM's draft does not ensure clearly #NetNeutrality. MEPs need to support Amds 2,8,9,19,20 [...] TSM's draft does not ensure clearly #NetNeutrality. MEPs need to support Amds 2,8,9,19,20

[...]

#ZeroRating definition should be clarified in the TSM regulation draft. Ams 3 and 10; 14 and 21 must be supported.

[...]

On specialised services, AMs 6, 7 and 13; 17, 18 and 24 must be supported

[...]

Traffic management current provisions negatively impact #privacy and #innovation. AMs 4&11 or 15&22 must be voted

[...]

On congestion: AMs 5 and 12; 16 and 23

Check all the amendments that MEPs must support on Tuesday here: https://wiki.laquadrature.net/FinalAmendments »


Pour les personnes qui veulent agir :
Go https://savetheinternet.eu/fr/#act (tél, tweet, mail)
«  Against Net Neutrality
  * S&D Group (exceptions below)
  * EPP
  * Part of ALDE
  * EFDD (UK)
  * ECR

In favour of Net Neutrality
    Greens
    GUE
    EFDD (It)
    Part of ALDE »

L'ennui qui amène cette réflexion, c'est que le WiFi du WRT54GL crashe à intervalle régulier selon la version d'OpenWRT que l'on installe dessus. Pas les bornes en elles-mêmes, juste le WiFi. La borne continue d'émettre des beacons mais plus aucune association possible... Ça se produit tout seul au bout d'un certain temps, même si aucun client ne s'est associé à la borne...

J'ai donc joué sur les différentes versions d'OpenWRT, sur les différentes déclinaisons (brcm2.4 et brcm47) et avec un autre firmware libre, DD-WRT. On ne peut pas trop jouer avec les différents drivers car le support de la puce WiFi du WRT54GL, c'est vite assez mort en dehors de b43 et wl (voir : http://wiki.openwrt.org/doc/hardware/soc/soc.broadcom.bcm47xx#wifi_drivers).


OpenWRT ?
    * Kamikaze brcm47 ne supporte pas out-of-box la puce WiFi de nos WRT54GL ;

    * Avec Backfire 10.03.01 brcm47, le WiFi est instable (la borne continue d'émettre des beacons mais aucune association ne se fait) ;

    * Les versions >= 12.04 (Attitude Adjustment) brcm47 sont trop lourdes pour ce matériel donc crashs, interface lente, lenteurs de partout comme en atteste d'ailleurs la page sur le wiki OpenWRT consacrée à notre matériel (http://wiki.openwrt.org/toh/linksys/wrt54g) ;

    * brcm2.4 s'arrête à Backfire. Autant prendre cette version, qui est la plus récente. Et là, surprise : ça juste fonctionne et ça tient dans le temps. \o/

Quelles différences entre brcm2.4 et brcm47 ? Linux 2.4 (brcm2.4) versus 2.6 mais surtout, un driver totalement différent (wl, privateur Broadcom dans brcm2.4 versus b43, libre).


DD-WRT ?
Il utilise aussi le driver wl et ça fonctionne tout aussi bien dans la durée. Différence avec OpenWRT : DD-WRT permet (par défaut) une puissance d'émission supérieure mais néanmoins compatible avec la réglementation en vigueur.


Conclusion, il faut utiliser OpenWRT backfire brcm2.4 ou DD-WRT v24 preSP2 build 13064.