Le fourre-tout à Geo

Utterly useless uses of VLC

2009-12-08T08:22:00+00:00

Last time, I told you how to take a video from some website and see it in VLC media player. Pretty cool, huh?

Yesterday, I was trying to think of funny and useless thing to do with VLC, and it occured to me that Lua gives a lot of opportunities to do that.

So, it is my pleasure to present you with the "Flickr diaporama Lua script for VLC"!

--[[

 Copyright © 2009 the VideoLAN team

 This program is free software; you can redistribute it and/or modify
 it under the terms of the GNU General Public License as published by
 the Free Software Foundation; either version 2 of the License, or
 (at your option) any later version.

 This program is distributed in the hope that it will be useful,
 but WITHOUT ANY WARRANTY; without even the implied warranty of
 MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 GNU General Public License for more details.

 You should have received a copy of the GNU General Public License
 along with this program; if not, write to the Free Software
 Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston MA 02110-1301, USA.
--]]

-- Probe function.
function probe()
    if vlc.access ~= "http" then
        return false
    end
    vlc.msg.info( vlc.path )
	koreus_site = string.match( vlc.path, "www.flickr.com" )
    if not koreus_site then
        return false
    end
    return (  string.match( vlc.path, "sets" )  )
end

-- Parse function.
function parse()
    _,_,artist = string.find( vlc.path, "photos/(.-)/sets/" )
    vlc.msg.info( artist )
    while true do
        line = vlc.readline()
        if not line then break end
        if string.match( line,"<div id=\"setThumbs\"") then
            start = 0
            pl = {}
            line = vlc.readline()
            while true do
                _,start,url = string.find(line, "<img src=\"(.-)_s.jpg\"", start)
                if start == nil then
                    return pl
                end
                _,_,description = string.find(line, "alt=\"(.-)\"", start)
                opt = { ":fake-duration=5000"; ":fullscreen" }
                pth = "fake://" .. url .. ".jpg"
                table.insert(pl, {path = pth; name = start; title=description; 
                description = description; artist = artist;options=opt})
            end
        end
    end
end

So, how does it work? Give some Flickr album url to VLC, like this one with the funny cats. VLC will parse the page, find all the thumbnails urls (the ones finishing with _s.jpg), deduce the urls of the the full pictures (replacing "_s.jpg" by ".jpg"), and show them. As simple as that.

The fake access module is used to tell VLC that "hey, this is not one picture, it's a video with a lot of frames like this picture". I added the "fake-duration" option, to choose how much time (in ms) the picture will be displayed, and the "fullscreen" option. You can of course tweak it, and, let's say, use the directx wallpaper mode to have a flickr diaporama as your wallpaper!

To use this script, you can either place it in C:\Program Files\VideoLAN\VLC\lua\playlist, or in C:\Users\YOURUSERNAME\AppData\Roaming\vlc\lua\playlist.

I strongly encourage you to try and write your own Lua scripts, it's really easy! Come to the Videolan forum to share your scripts or ask for help.

VLC: now with DxVA support

2009-11-25T22:55:00+00:00

So, this is it. My summer of code has been merged into the main tree, thanks to Laurent's hard work!

You may test and enjoy the GPU acceleration for your H.264 videos using future nightly builds!

So you want to contribute...

2009-11-23T20:30:00+00:00

...But you don't want to go through the (sometimes painful) process of building the whole VLC. Well, you can build your own plugin separately. Here is how to do it (this tutorial is Windows centric because 1: I'm too lazy to launch my VM right now; 2:it's easy to do on Ubuntu for the linux trolls):

Ingredients

The plugin headers. You can find them in C:\Program Files\VideoLAN\VLC\sdk\include\vlc\plugins on Windows.
The libraries. Copy libvlc.dll and libvlccore.dll (you will find them in C:\Program Files\VideoLAN\VLC)
A building environment (on Windows, use Mingw+MSYS)
Some coffee

Recipe

At the time of writing, the wiki page wasn't really explicit, so I'll detail all the steps, for an example audio filter that switch the left and right audio streams (adapted from the trivial channel mixer plugin).

Let's begin by taking a look at what code you can find in a VLC plugin, like the trivial channel mixer plugin.

Preamble

First, the copyright and license:

/*****************************************************************************
 * trivial.c : trivial channel mixer plug-in (drops unwanted channels)
 *****************************************************************************
 * Copyright (C) 2009 the VideoLAN team
 * $Id: 3ecc0dd8363a50c40f7f123a9e2724a943c0c83c $
 *
 * Authors: Name <email address>
 *
 * This program is free software; you can redistribute it and/or modify
 * it under the terms of the GNU General Public License as published by
 * the Free Software Foundation; either version 2 of the License, or
 * (at your option) any later version.
 *
 * This program is distributed in the hope that it will be useful,
 * but WITHOUT ANY WARRANTY; without even the implied warranty of
 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 * GNU General Public License for more details.
 *
 * You should have received a copy of the GNU General Public License
 * along with this program; if not, write to the Free Software
 * Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston MA 02110-1301, USA.
 *****************************************************************************/

That's not useful to run the plugin, but you'll have to add it when you send a patch to VideoLAN.

Next, the headers:

#ifdef HAVE_CONFIG_H
# include "config.h"
#endif

#include <vlc_common.h>
#include <vlc_plugin.h>
#include <vlc_aout.h>
#include <vlc_filter.h>

the config.h file is generated from the configure step when you build the whole VLC. Each module must include at least vlc_common.h and vlc_plugin.h. The other headers included depend on the type of plugin you want to build (find it in the code of plugins from the category you want).

Note: you will probably need something more like the following for your audio plugin.

#define _(str)  (str)
#define N_(str) (str)

#include <vlc_common.h>
#include <vlc_plugin.h>
#include <vlc_messages.h>
#include <vlc_aout.h>
#include <vlc_filter.h>
#include <vlc_fourcc.h>
#include <vlc_block.h>

Don't hesitate to grep the include directory if you have some missing functions or unknown structures.

Module descriptor

static int  Create    ( vlc_object_t * );

static block_t *DoWork( filter_t *, block_t * );

vlc_module_begin ()
    set_description( N_("Audio channel inverser") )
    set_capability( "channel inverser", 1 )
    set_category( CAT_AUDIO )
    set_subcategory( SUBCAT_AUDIO_MISC )
    set_callbacks( Create, NULL )
    add_shortcut( "channel_inverser" )
vlc_module_end ()

First, you see the prototypes of functions used in this plugin. Create is used, well, to create the plugin, and DoWork will handle all the audio data.

Then, the part between vlc_module_begin and vlc_module_end is a set of macros used to declare the plugin structure. This part is used to define which type of module it will be. These macros create a function exported by the plugin and called when VLC looks for a suitable plugin.

If the module can be used, the core of VLC stores the callback (here, the Create function) and calls it later to initialize the plugin.

Create function

static int Create( vlc_object_t *p_this )
{
    filter_t * p_filter = (filter_t *)p_this;

    if ( (p_filter->fmt_in.audio.i_physical_channels
           == p_filter->fmt_out.audio.i_physical_channels
           && p_filter->fmt_in.audio.i_original_channels
               == p_filter->fmt_out.audio.i_original_channels)
          || p_filter->fmt_in.audio.i_format != p_filter->fmt_out.audio.i_format
          || p_filter->fmt_in.audio.i_rate != p_filter->fmt_out.audio.i_rate
          || (p_filter->fmt_in.audio.i_format != VLC_CODEC_FL32
               && p_filter->fmt_in.audio.i_format != VLC_CODEC_FI32) )
    {
        return VLC_EGENERIC;
    }

    p_filter->pf_audio_filter = DoWork;
    return VLC_SUCCESS;
}

The initialization function is used to set some configuration options, initialize memory structures, etc. Look at other modules to see how you can store variables, and how to create preferences variables.

Here, we verify that the number of channels, the format and the bitrate in the input and output are the same, and that the audio isn't stored in float numbers. If it's ok, we give to libvlc a pointer to the DoWork function, which will be called when audio data is available.

DoWork function

static block_t *DoWork( filter_t * p_filter, block_t * p_in_buf )
{
    int i_input_nb = aout_FormatNbChannels( &p_filter->fmt_in.audio );
    int i_output_nb = aout_FormatNbChannels( &p_filter->fmt_out.audio );

    block_t *p_out_buf;
    if( i_input_nb >= i_output_nb )
    {
        p_out_buf = p_in_buf; /* mix in place */
        p_out_buf->i_buffer = p_in_buf->i_buffer / i_input_nb * i_output_nb;
    }
    else
    {
        p_out_buf = filter_NewAudioBuffer( p_filter,
                              p_in_buf->i_buffer / i_input_nb * i_output_nb );
        if( !p_out_buf )
            goto out;
        p_out_buf->i_nb_samples = p_in_buf->i_nb_samples;
    }

    int32_t * p_dest = (int32_t *)p_out_buf->p_buffer;
    const int32_t * p_src = (int32_t *)p_in_buf->p_buffer;


    /* Reverse-stereo mode */
    int i;
    for ( i = p_in_buf->i_nb_samples; i--; )
    {
        *p_dest = p_src[1];
        p_dest++;
        *p_dest = p_src[0];
        p_dest++;
        p_src += 2;
    }

out:
    if( p_in_buf != p_out_buf )
        block_Release( p_in_buf );
    return p_out_buf;
}

The DoWork function manages the buffers and copy them from the input to the output.

Now in the oven

(No preheat please)

Here is the content of my Makefile:

all:
	gcc -I/home/Geal/module/include -L/home/Geal/module/ -lvlccore -shared -std=gnu99 \
	-DWIN32 -D__PLUGIN__ -DMODULE_STRING=\"channel_inverser\" module.c -o libchannel_inverser_plugin.dll
/// 

Adapt it to the name of your plugin, and to the path you use, or copy the one from the wiki. My Makefile only contains what is strictly necessary to build your plugin. Now:

Geal@chezmoi ~/module $ make ///

Eat it while it's still hot

Now, you just need to copy your dll in the plugins directory of VLC media player, and try your plugin! I don't guarantee that it will work (more like I know that it doesn't work and I'm too lazy to fix it because I won't commit it), I just gave you the structure and the Makefile you need to be up and running. Note that you can use the following command line options to help in your development:

-vvv: displays a LOT of debug messages
--verbose-objects: helps you filter the messages (example: ./vlc -vvv --verbose-objects=-all,+direct3d to display only the messages related to the direct3d module)

Don't forget to send a patch to VideoLAN (subscribe to the vlc-devel mailing-list and attach it to a message). To integrate your module, please read the HACKING file at the root of the VLC source tree.

Now, show me your code!

HowTo: audits et logs

2009-11-08T18:15:00+00:00

Les logs, c'est une liste de messages datés vous indiquant ce qui se passe sur votre système (pour ceux qui ne le savaient pas).

On va me dire: "les logs c'est pas de la sécu, ça protège rien". Et je vais répondre: "est-ce que vous savez si quelqu'un a essayé de se logguer sur votre machine aujourd'hui? Est-ce que cette personne a essayé de se connecter devant la machine, ou depuis le réseau?"

Gérer ses logs, c'est savoir ce qui se passe sur sa machine et être alerté en cas de problèmes. Et puis ça alimente ma paranoïa, donc je suis content :)

J'écris ce billet maintenant car dans les billets suivants, j'ajouterai des éléments aux logs. Si on sait comment ça marche dès le début, la pilule passera mieux.

Allez, on va voir de quoi ça parle: tout d'abord, on va se rajouter les droits pour regarder les logs, parce que depuis l'article précédent, on n'a plus les droits d'admin :). Lancer la console "Local users and groups" (lusrmgr.msc), allez dans Groupes, puis Event log readers, clic droit et Add to group. Rajoutez votre utilisateur. Maintenant, vous pouvez lancer la console de gestion des logs.

L'event viewer

"Démarrer->exécuter" puis eventvwr.msc. Vous pouvez voir plusieurs types de logs.

Custom views: les autres logs passés au travers de filtres pour indiquer les infos qui vous intéressent
Windows logs: les logs qui nous intéresseront ici. Tous les messages que Windows vous dépose gentiment, en espérant que vous les lirez...
Applications and services logs: le reste des applications qui utilisent les logs de Windows.
Subscriptions: pour récupérer des logs d'une autre machine.

Parmi les logs de la section Windows, on trouve:

Applications: reçoit les événements concernant les applications, comme les crashes (Windows Error Reporting)
Security: on ne peut le voir qu'avec les droits d'admin (va falloir Run as Administrator la console de logs, parce que c'est celui qu'on va regarder).
Setup: reçoit les événements de mise à jour, installation de .msi, etc.
System récupère les événements relatifs aux services, au kernel, etc.
Forwarded events est lié à l'envoi de logs sur d'autres machines

Prenez le temps de fouiner un peu, regarder quelles informations votre machine vous renvoie. Comme vous pouvez le voir, il se passe beaucoup de choses!

Rajoutons des événements

Supposons que je veuille vérifier si quelqu'un a tenté de se connecter à ma machine en mon absence. Je vais vérifier si quelqu'un a tapé un mauvais mot de passe, et je vais vérifier quel utilisateur a réussi à se logguer au cours de la journée.

Lancez secpol.msc. Allez dans Local Policies puis Audit Policy. Choisissez par exemple Audit account logon events et indiquez Failure et Success dans les propriétés.

Essayez maintenant de vous connecter à un autre compte, en ratant délibérément le mot de passe. Vous verrez apparaître dans les logs Security des lignes contenant le mot clef "Audit failure" pour la tâche "Credential validation". Cliquez sur l'une d'elles: vous verrez que le log indique la date, l'heure, la machine concernée et le compte qui a essayé de se logguer.

Marrant, non? Et on va peut rajouter des logs pour pas mal de choses. Suppsons que j'aie des documents compromettants (par exemple, la photo d'un prez de BDE complètement bourré). J'aimerais savoir si quelqu'un a essayé de la copier. Je vais donc ajouter un audit sur les accès à ce fichier, et donc afficher une ligne dans les logs si quelqu'un essaie d'ouvrir le fichier.

Il suffit d'aller dans le dossier contenant ce fichier, clic droit puis Propriétés -> Advanced -> Auditing et utiliser ses droits d'admin pour voir les propriétés d'audit.

Maintenant, on va ajouter des propriétés d'audit pour ce fichier. Je choisis de les mettre sur le groupe Users. Je veux auditer les accès en lecture, et les suppressions de fichier (au cas où quelqu'un voudrait faire disparaître les preuves de ses frasques). Vous pouvez voir de nombreuses options, le système d'audit est très flexible (peut-être trop pour être utilisé par une personne normale).

Maintenant, on va essayer d'ouvrir le fichier, et aller voir le contenu du log. L'event viewer nous indique que "an attempt was made to access an object", par Geal (moi), sur le fichier en question.

Et voilà! Maintenant, vous allez pouvoir en ajouter beaucoup plus! Il est possible d'auditer des clefs registre, l'usage de privilèges admin, le lancement de programmes, etc. Je proposerai quelques-uns de ces ajouts dans les prochains tutoriels.

Notez bien que la génération des logs peut prendre pas mal de ressources et d'espace disque, donc évitez par exemple de mettre un audit sur toutes les lectures de fichiers sur c:\ et ses sous dossiers (j'ose même pas imaginer ce que ça donne pendant une compilation de vlc).

HOWTO: la sécurité au quotidien

2009-11-02T08:30:00+00:00

Je vois partout les mêmes recommandations: utilisez un antivirus, activez votre firewall, changez vos mots de passe régulièrement, ne cliquez pas sur n'importe quel lien, etc. J'en ai MARRE! On vous sort ces solutions à deux sous, qui ne font qu'adresser une partie du problème, qui est:

comment éviter à un boulet de perdre ses données, de se faire voler son n° de carte bleue ou son compte Facebook ou de servir de noeud dans un botnet? Et comment rendre ça user friendly (aka "éviter d'écrire le mot de passe sur un PostIt").

Je me lance dans une entreprise ambitieuse, qui consiste à trouver une série de solutions qui vont bien ensemble pour protéger une machine perso. Je ne parlerai pas de machines sur un réseau d'entreprise, mais j'aborderai éventuellement les problèmes du réseau @home et du WiFi, et de mobilité. Ah, et il s'agira uniquement de Windows: les utilisateurs Linux sont encore pas mal protégés, et les utilisateurs Mac n'écoutent pas quand on leur dit qu'ils ne sont pas à l'abri. Mes tests seront faits sous Windows 7 et Vista (XP si je combats la flemme de m'installer une autre machine) avec toutes les mises à jour effectuées (bien évidemment, si vous ne mettez pas à jour votre OS pour cause de paranoïa et/ou de piratage, je ne peux rien faire pour vous).

J'écrirai une série de billets, sous la forme de tutoriels et/ou tests, sur les sujets suivants:

Utilisateurs et groupes d'utilisateurs
Logs
Mots de passe
Droits (UAC, LUA, Integrity Levels, SRP)
Firewall
Navigateurs
virus, chevaux de troie, etc.
Applications dangereuses et leurs alternatives
Protection des applications
Applications web
Sauvegarde de données
Mises à jour

J'essaierai (dans la mesure du possible) de rendre ces solutions faciles à mettre en place, (ça va être dur) pas trop restrictives à l'utilisation et bien intégrées dans L'OS (aka "pas de hook foireux qui traînent").

Utilisateurs et groupes

2009-11-02T08:30:00+00:00

Pour ce premier tutoriel sur la protection de votre machine, on va parler des notions d'utilisateurs et de groupes d'utilisateurs dans Windows. Oui, ça existe, on n'est pas obligé de prendre le compte "Administrateur" pour pouvoir utiliser sa machine.

Pourquoi est-ce que tout le monde tourne sous le compte admin de sa machine? Parce que c'est plus simple pour le constructeur de vous donner le compte admin et vous laisser pourrir votre machine, que de vous donner plusieurs compte et ainsi s'exposer aux nombreux appels de clients en colère parce qu'ils n'arrivent pas à installer une application. Et c'est aussi plus simple, vu que pas mal d'applications supposent encore qu'elles peuvent écrire dans C:\Program Files.

Que va-t-on faire aujourd'hui? Pas compliqué: on va créer deux comptes utilisateurs: un "normal", que vous pourrez utiliser tous les jours, et un compte "Administrateur" qui vous permettra d'effectuer certaines tâches nécessitant plus de droits comme l'installation d'applications.

Tout d'abord, lancez la console de gestion des "Local users and groups" en allant dans Démarrer->exécuter et en tapant lusrmgr.msc.

Cliquez sur le dossier Users (ou Utilisateurs si vous aimez votre version française). Vous devriez maintenant voir une liste de comptes, dont Administrator (qui est pour l'instant désactivé), Guest, le (les) vôtre(s), ainsi que AlphaUser$ et HomeGroup$ si vous avez créé un Homegroup (c'est pas particulièrement important pour le moment).

Ce que l'on va faire maintenant:

Désactiver le compte Guest (si c'est pas déjà fait)
Activer le compte Administrateur
Ajouter un mot de passe au compte Administrateur
Retirer votre compte du groupe Administrateurs

Très simple: clic droit sur les comptes, puis propriétés. Pour Administrateur, clic droit, puis changer le mot de passe, et indiquez un mot de passe de votre choix (non, on ne choisit pas "123456" ou "admin", c'est MAL), puis à nouveau clic droit, propriétés et activez le compte. Pour Guest, faites l'inverse (désactivez-le). Pour votre compte, clic droit, propriétés, puis allez dans l'onglet "Membre de". Cet onglet liste les groupes dont le compte fait partie. Cliquez sur Administrateurs puis cliquez sur Retirer.

Voilà, c'est fait! Bon, euh, qu'est-ce qu'on a fait en fait? Avant, vous pouviez, avec votre compte normal, installer des applications, supprimer des fichiers de C:\Windows,tripoter votre base de registres, etc. XP ne vous indiquait même pas que vous alliez bousiller votre système. Vista et 7 vous montraient la fameuse fenêtre UAC vous demandant si vous vouliez vraiment faire une connerie. Maintenant, cette fameuse fenêtre va vous demander de vous identifier avec le compte Administrateur pour aller trifouiller dans votre système.

Oui, je sais, ça paraît relou. Mais vous verrez que 90% du temps, on n'a pas besoin des droits d'Administrateur (surtout depuis Windows 7). Avec cette modification, si une application ressent tout à coup le besoin d'aller vous installer des cochonneries, vous serez averti!

Quid de l'UAC? C'est pas une protection! Lorsque vous utilisez avec votre compte de base, vous avez deux casquettes: celle de l'utilisateur normal, et celle de l'administrateur. Lorsque vous voulez effectuer une action nécessitant plus de droits, Windows vous demande de changer de casquette. Certains programmes changeront même votre casquette sans vous demander... Avec la manip' que vous venez de faire, Windows vous demande systématiquement l'autorisation de l'administrateur :)

Ah, et un effet de bord sympa: c'est pas n'importe qui qui peut installer une application derrière mon dos quand je le laisse utiliser mon ordi cinq minutes (valable aussi et surtout si vous avez des gosses).

Bon, manifestement, c'est pas fini, on peut encore faire pas mal de conneries sur ma machine, avec suffisamment de motivation. On en rajutera dans le prochain article :)

test d'EMET, un nouvel outil pour protéger vos programmes

2009-10-28T15:50:00+00:00

L'annonce est parue hier sur le blog de Microsoft Security Research & Defense: la release d'EMET(Enhanced Mitigation Evaluation Toolkit), un outil gratuit permettant d'appliquer des protections comme DEP sur vos programmes.

Jusqu'ici, l'ajout de ces protections était soumis au bon vouloir du développeur. Soit on activait les options dans Visual Studio, soit on utilisait ma bidouille avec peflags. EMET permet d'activer les protections chez vous, sur les processus que vous voulez de façon très simple: EMET_conf --add <executable>. Quel que soit le dossier contenant votre programme, EMET se chargera de le lancer avec les protections choisies.

EMET gère ainsi une liste de processus et leur apporte les protections suivantes:

SEHOP (Structured Exception Handler Overwrite Protection): validation de la chaines des gestionnaires d'exception
DEP (Data Execution Prevention): marque certaines parties de la mémoire, par exemple la stack, comme non exécutables
NULL page allocation: protection contre les "NULL dereferences" en résevant la première page mémoire
Heap spray allocation: "heap spray" est une attaque qui consiste à balancer du shellcode un peu partout dans la mémoire, et à sauter plus ou moins au hasard dans les zones mémoires affectées en espérant pouvoir exécuter le shellcode. EMET réserve les adresses mémoire généralement utilisées dans les exploits pour les empêcher d'y écrire.

Bon, maintenant, les critiques (j'ai bien appris la présentation classique thèse/antithèse/synthèse à l'école, maintenant, j'applique!):

J'aurais bien aimé voir ASLR(Address Source Layout Randomization) là-dedans, parce que ça va bien avec DEP et SEHOP.
On ne peut pas choisir quelle protection on applique à quel binaire: les options sont dans des clefs registres dans HKLM/Software/Microsoft/EMET, et quand on en désactive une, on la désactive pour tous les programmes. Par contre, il y a une clef registre assez fun nommée "heap_pages", qui permet d'indiquer à EMET quelles adresses réserver pour la partie heap spray allocation.
Ce serait sympa d'avoir une interface "oh, look, shiny!", même si ça sert à rien :)

Comparé à peflags, EMET apporte la protection contre les null pointer dereferences et les heap sprays, et permet de protéger un exécutable en se basant sur son nom. Par contre, peflags permet d'appliquer les protections beaucoup plus finement (par exemple, SEHOP pour un programme et pas pour l'autre), et peut ajouter le flag ASLR (qui doit être appliqué sur toutes les DLLs chargées par un programme pour fonctionner correctement).

En résumé, un outil sympa, mais qui devrait être travaillé encore un peu. Ca reste un programme utile pour les développeurs qui veulent tester le comportement de leur application lorsque les protections sont activées. Dommage, c'est déjà fait avec VLC media player!

Enable DEP and ASLR with MinGW

2009-09-21T14:42:00+01:00

Every now and then, we see reports about vulnerabilities in numerous applications: buffer overflows and heap overflows are unfortunately very common. Until we find a way to teach all the developers how to think about security while coding (and then, there will still be a lot of programs to fix), we can try some tricks to prevent exploitation of vulnerabilities.These tricks have been Visual Studio only for a long time (and even with VS, not everybody uses them), but now, we have tools to protect as well programs built with GCC.

DEP and ASLR?

DEP provides support for NX bit since Windows XP SP2 and Windows 2003 SP1. This feature flags some part of the memory, like the heap and the stack, as not executable. Then, the shellcodes stored in buffers will have a hard time trying to run.

ASLR randomizes the address of function entry points. This way, exploits with hardcoded functions address like ret2libc attacks won't work.

These two mechanisms are not silver bullets: they can be bypassed. But it makes the process of writing an exploit much harder.

Using it

If you build your program with Visual Studio, it's easy and documented. If you're using MinGW to build for Windows, it's not really documented, but it's easy too.

To mark an executable as DEP and/or ASLR compatible, you have to change the DllCharacteristics field in the Portable Executable header. You can write your own PE modification software, or use one of these two solutions:

Peflags

Peflags is a program you can find in the rebase package from Cygwin. Peflags builds fine with MinGW in MSYS, but you have to tweak a bit the source if you want to run it from Linux, or directly take my modified source.

It is really easy to use:

peflags --dynamicbase=true --nxcompat=true myexecutable

You can add this command to your Makefile. It has to run on the executable and all the dlls it loads, to be effective. If you want to verify that your program has enabled the flags, do:

objdump -p myexecutable

And look for the DllCharacteristics flag. If its value is 140, congratulations! Your executable is now compatible. You can also verify with Process Explorer, from SysInternals. Here is the line for VLC media player:

LD

In March 2009, the support for this DllCharacteristics flag was added to ld, but the new binutils package containing the updated ld hasn't been released (yet). The command line is more or less the same.

Remarks

You have to add the flags to every executable used by your program. If you load a vulnerable dll without DEP, it won't protect you.
I'll say it again: it's no silver bullet. You still have to fix your bugs. It's a lot harder to exploit, but some may be able to do it.
VLC media player now has peflags in its building toolchain! I'm waiting for the release of the next binutils, and then I'll use the new ld.

Je bidouille Firefox et j'aime ça

2009-09-17T09:10:00+01:00

Ceux qui ont déjà jeté un oeil à ma machine savent que j'ai un gros problème avec les navigateurs web: le nombre d'onglets. Pour donner une idée, j'ai souvent plusieurs projets en cours, avec à chaque fois les onglets pour la documentation que je garde ouverts, j'ai un aggrégateur RSS avec beaucoup de flux pour lesquels j'ouvre un nouvel onglet (c'est lourd, ces sites qui ne mettent qu'un extrait dans le RSS) que j'oublie de lire, et j'ai comme tout le monde des séances sur Wikipedia où je clique compulsivement sur tous les liens de la page. Je me suis déjà retrouvé avec trois fenêtres contenant chacune plus de 50 onglets.

Résultat: je les perds régulièrement, j'oublie de les lire et ça s'accumule. Et en plus, Firefox aime bien la RAM, et en prend de plus en plus. Au bout de 600 Mo, il est très lent... Et si en plus, on ajoute des sites avec du Flash et du Javascript dans tous les sens, et une tendance à chercher le gros uptime, on court vers la catastrophe!

Bien sûr, on me proposera quelques solutions évidentes du genre:

lire les pages dès qu'on les ouvre
mettre en bookmark celles qu'on veut garder (j'ai jamais réussi à organiser les bookmarks)
ne pas passer autant de temps à glander sur Internet...

Mais ce serait trop facile! Quelque chose en moi me pousse à trouver une solution technique à ma flemme, me permettant de ne pas changer mes très mauvaises habitudes. Oui, c'est mal. Mais le résultat est plutôt efficace.

Affichage

Premier essai: Colorful Tabs

La première extension que j'ai essayée pour m'aider à m'y retrouver dans tous mes onglets est Colorful Tabs. Elle colore chaque onglet, ce qui se révèle très pratique pour la reconnaissance des pages que l'on veut consulter.

Malheureusement, ça limite toujours le nombre de tabs visibles.

La suite: TabKit

TabKit est une extension très puissante pour gérer les onglets dans Firefox. Le réglage par défaut (onglets colorés à gauche organisés en arbre) contentera pas mal de gens (dont moi). Notons que ColorfulTabs n'est pas nécessaire car TabKit colore les boutons tout seul. Par contre, les boutons sont plus jolis quand on rajoute ColorfulTabs :)

Gagner encore un peu de place

Vue aujourd'hui sur LifeHacker, une astuce toute simple permet de gagner un peu de place. Il suffit de droitcliquer (ça se conjugue comme doublecliquer: je droitclique, tu droitcliques...) sur la barre de menu et gauchecliquer sur "Personnaliser". J'ai décoché la "barre personnelle" dont je ne me servais pas, j'ai mis tous les boutons sur la ligne du haut, et j'ai supprimé le bouton Home (pas très utile, quand on a 150 onglets au démarrage).

On gagne encore de la place en décochant aussi "Barre de navigation".

AAAAH Il y a trop d'onglets!

Bon, ok, c'est joli. On passe d'un affichage d'une dizaine d'onglets à 25 onglets colorés. Quand on en a 150, cette solution ne suffit pas.

Profils Firefox

Je peux résoudre le problème de la durée de vie des onglets avec une astuce pas très compliquée, et TRES utile (ça mérite le gras en majuscule). Firefox peut gérer plusieurs profils utilisateur. Généralement, personne n'a besoin de ça, et utilise directement le profil par défaut. Mais on peut en créer plusieurs. Ils se trouvent dans %APPDATA%\Mozilla\Firefox\Profiles\xxxxxxxx.default'' aka c:\Users\MOI\AppData\Mozilla\Firefox\Profiles\xxxxxxxx.default'' sur Windows, ou ~/.mozilla/firefox/xxxxxxxx.default/ (et les utilisateurs de Mac peuvent crever la bouche ouverte ou aller consulter la doc).

L'idée ici est de créer un profil par thème. Je peux ainsi garder le profil par défaut pour lire les RSS et les webcomics, et autres distractions, et créer un profil pour chaque projet sur lequel je travaille. J'ai par exemple un profil pour stocker les onglets en rapport avec VLC, et un autre pour mes bidouilles en électronique. Ainsi, je garde des fenêtres avec peu d'onglets, je n'ai pas besoin de scroller constamment pour trouver les pages qui m'intéressent, j'ai moins de chances de perdre mes onglets, Firefox utilise moins de RAM, et avoir tous les liens en rapport avec un sujet sur la même fenêtre aide à ne pas se laisser distraire (surtout si je ferme le profil default).

Comment faire ça? Pas compliqué! En gros, Démarrer->Exécuter puis tapez: firefox.exe -ProfileManager

Créez ensuite le profil que vous voulez. Quittez Firefox et redémarrez-le. Il va charger le profil par défaut. Lancez une seconde instance de Firefox. Il devrait vous présenter la fenêtre suivante:

Si non, faites Démarrer->Exécuter puis tapez: firefox.exe -P -no-remote

-P étant un alias pour -ProfileManager et -no-remote indiquant à Firefox qu'il ne doit pas charger le nouveau processus dans le même profil.

Vous pouvez maintenant gérer vos profils (créer, supprimer, etc.) et lancer ceux qui vous intéressent. Vous pouvez même créer des raccourcis pour chacun des profils, par exemple en indiquant:

firefox.exe -P VLC -no-remote

Configurer chaque profil

Le problème, c'est que les nouveaux profils sont vierges. Vous voudrez peut-être copier vos bookmarks, mots de passe, historique d'un profil à l'autre. Pour ça, l'extension FEBE s'occupe de tout, même de la migration de vos extensions. Vous n'avez plus qu'à exporter les informations qui vous intéressent d'un profil à l'autre.

Et après?

Maintenant, je dois faire attention à garder un nombre d'onglets par profil limité. Pour le profil "distractions", il suffit de lire les pages qui sortent de l'aggrégateur RSS, et pour les autres profils, quand j'ai de trop nombreuses pages, soit je m'arrange pour bosser suffisamment et les supprimer, soit la documentation est importante, et je l'insère dans un logiciel de Mind Mapping. Ca fait un peu pipo comme outil, mais c'est très pratique!

Voilà, je vous ai livré mon secret pour corriger mes mauvaises manières grâce à la technologie. Si maintenant, vous voulez un dernier avis sur ce qu'il faut utiliser avec Firefox, voici quelques trucs:

utilisez NoScript. Je sais que le développeur ne s'est pas comporté très correctement, mais ça n'empêche pas l'extension d'être pratique.
Après NoScript, pour rendre la navigation encore moins intuitive, utilisez RequestPolicy qui vous protègera contre les CSRF.
Et comme j'aime décidément rendre les sites que je consulte illisibles et inutilisables, j'ajoute GreaseMonkey pour modifier les pages qui s'affichent.
Ajoutons encore Add N Edit Cookies pour surveiller un peu mes cookies.
Et j'utilise Firebug quand j'ai le malheur de faire du HTML et du CSS.

La combinaison NoScript/RequestPolicy/GreaseMonkey peut paraître overkill et inutilisable, mais elle accélère la navigation (moins de Flash et de Javascript), les listes de sites à autoriser sont vites faites, et c'est marrant de voir les interactions entre sites, du genre vol d'images, publicités, séparation des services selon le nom de domaine, etc.

VLC tricks: get comfortable

2009-09-12T21:02:00+01:00

Last time, I showed you how to customize your interface with new skins. I hope you are happy with it :)

Now, I will tell you how to tune VLC to meet your needs. I like it when it just runs, with no tweaking. But what I would like even more is customizing the way it runs once and for all, and forget about it.

So, here is a compilation of VLC settings you may find useful, and info on where you can find them in the preferences:

Always on top: in Video. If, like me, you often watch a video while coding/reading/chatting, having a small video window on top of the others in a corner of the screen is convenient.
Deinterlacing: in Video->Filters->Deinterlace. I have some DVDs with interlaced videos, and it's annoying to set deinterlacing for each video. Here, choose the deinterlacing algorithm you prefer (test with multiple videos).
Sharpening: in Video->Filters->Sharpen video. Here again, set as you see fit (videos will appear a bit more clear).
Subtitles: in Video->Subtitles/OSD. You can choose the folder where VLC will search for subtitles, and choose the color and font in Video->Subtitles/OSD->Text renderer.

Interface tweaks: in Interface->Main interfaces->Qt. Use Automatically save the volume on exit. you can uncheck Show notification popup on track change if the systray popup bothers you.

Last but not least, the hotkeys: you can control VLC directly from your keyboard. You can see them and change them in Hotkeys in the preferences (not that hard to find...). Here are the handy ones:

Play/Pause: space
Fullscreen: F
Leave fullscreen: Esc
Next: N
Previous: P
Mute: M
Increase subtitle delay: H
Decrease subtitle delay: G
Increase audio delay: K
Decrease audio delay: J

There's a lot of configuration settings, so feel free to test the remaining ones and tweak your VLC :)

Trojan.PWS.Legmir.AD / W32.Ahlem.A@mm: not really a virus for me

2009-08-23T21:18:00+01:00

Today, I got the scary message:

Virus alert: Run antivirus software on your computer This problem was caused by Trojan.PWS.Legmir.AD / W32.Ahlem.A@mm, a known computer virus.

To prevent this problem from occurring again, install and run an up-to-date antivirus program on your computer.

Oh, crap! I'm infected, what should I do? Quick, quick, run the AV. What, it didn't find anything? OHCRAPOHCRAPOHCRAP!

Well, let's calm down and look up the issue... W32.Ahlem.A@mm is a mass-mailing worm written in VB. It sends itself to all the contacts in the Windows address book, with an e-mail and its attachment, "a.exe".

Mmmmh, wait a minute... I create plenty of those a.exe, because I'm often too lazy to add a "-o name" to my gcc command line. Let's click on "View all problems this applies to"... Here it is, a small crashing program that I wrote, named "a.exe".

*sounds of head smashing against the keyboard*

If anyone runs into the same problem, check if you're not a developer using gcc, it helps :)

VLC tricks: customize your interface

2009-08-20T22:20:00+01:00

VLC media player is full of nice features, but the interface is a bit "geeky". It's minimalistic, grey... but you can change it!

Customizing Qt4

Default profiles

In the Qt4 interface, there are a few different looks you can choose. Go to Tools->Preferences->Interface Type->Native->Display mode and then select one of the following profiles:

Make your own profiles

OK, that's not enough. You want more? Then go to View->Customize Interface... and you'll see the Qt customization interface:

Go to Select profile, name it like you want, and then choose what buttons will go in your interface. Here, I have removed some buttons from the "advanced controls" line, and added the frame-per-frame and snapshots buttons to the fullscreen controller.

That's neat, but it's still that grey interface... Now take a look at the skins interface.

Skins

Go to Tools->Preferences->Interface Type->Skins and you'll have a new look for VLC! This theme you see is named "SubX", and was selected in a contest 2 months ago.

Do you like it? If not, you can use another skin. Download it from videolan.org and save it in c:\Users\yourlogin\AppData\Roaming\vlc\skins then go to ''View->Themes" and choose it. As an example, here is the Winamp theme:

There are a lot of skins to download and try! But if you're not pleased yet, you can create your own with the VLC skin editor:

If you create a nice theme, feel free to send it to VideoLAN, we will add it to the list of downloadable skins :)

Bypass addslashes with UTF-8 characters

2009-08-12T22:59:00+01:00

Yes, I know, that's not something new. Chris Shiflett already explained how you can use the backslash with the previous character to create a new character, and leave the quote unharmed. But that's not really satisfying, because you need MySQL to use some multibyte character sets like GBK, SJIS or BIG5.

What I present here seems new (no trace of it on the Internet) but I won't be surprised if someone already thought about this. In short: you can send a quote through addslashes by "swallowing" the backslash with an UTF-8 character (don't be too happy, it's not working in all cases).

Multibyte characters?

From the rfc 3629 (UTF-8):

In a sequence of n octets, n>1, the initial octet has the n higher-order bits set to 1, followed by a bit set to 0. The remaining bit(s) of that octet contain bits from the number of the character to be encoded.

Here is a table of what it means:

   Char. number range  |        UTF-8 octet sequence
      (hexadecimal)    |              (binary)
   --------------------+---------------------------------------------
   0000 0000-0000 007F | 0xxxxxxx
   0000 0080-0000 07FF | 110xxxxx 10xxxxxx
   0000 0800-0000 FFFF | 1110xxxx 10xxxxxx 10xxxxxx
   0001 0000-0010 FFFF | 11110xxx 10xxxxxx 10xxxxxx 10xxxxxx

So, the first character indicates how many bytes after it are part of the UTF-8 character. This first character can be anything from C0 to FF. Now, imagine what happens when a quote (0x27) follows, say, 0xC8. If the string passes through addslashes, it becomes 0xC8C527 (È\' if you can read this). Ok, there's still a backslash, now what? I see that some people are doing utf8_decode(addslashes($string)) (instead of addslashes(utf8_decode($string)) which is much more common). What happens now? utf8_decode happily destroys the backslash and tells us that it translates to ?' with ? meaning that it encountered an invalid character. It works with nearly all bytes from C0 to FF (and you can delete more than one character like that).

What can I do with that?

Not much: you can do a straightforward SQL injection only if you find utf8_decode(addslashes somewhere (you will find it, I have faith in you and in Google code search).

Now, If you want to work a bit more, There's something else you can do. If there's no utf8_decode, you can still send your 0xC8C527 to MySQL. This will not be an SQL injection, but you will have a È' somewhere in the database waiting to be used in a second stage SQL injection (I told you you would have to work). Fun fact: mysql_real_escape_string doesn't seem to protect you there. I have more tests to do, but it works with Apache, PHP and MySQL in default configuration.

Conclusion

STOP SAYING THAT ADDSLASHES PROTECTS YOU. It will, in most cases. But most developers won't know about the cases where it can't help.
You have to understand what is UTF-8, what are the charsets, etc. Read at least The Absolute Minimum Every Software Developer Absolutely, Positively Must Know About Unicode and Character Sets (No Excuses!).
Use prepared statements to (nearly) stop worrying about quotes Don't stop worrying about user input though).
This is not the exploit of the year, but I'm pretty happy with my nice little bug :)

UPDATE: it looks like Eduardo Vela Nava &and David Lindsay discussed this bug at BlackHat USA 09, but for XSS filters. Sorry guys, I wasn't trying to steal your bug: I wasn't at BlackHat and I didn't know someone did an exposé about it. At the time of the presentation, my code was already exploiting this type of bug, so I'm pretty sure I didn't copy it :P

Authenticode, code signing, c'est quoi?

2009-07-28T18:34:00+01:00

Allez, on va encore parler de ces systèmes qui font hurler les journalistes incompétents qui recopient les messages de développeurs qui ne savent pas lire la doc. Cette fois, c'est Authenticode, la signature des programmes et drivers qui nous intéresse. Aussi, je ne parlerai que de l'utilisation sous Windows. Tant pis pour les utilisateurs d'Iphone (et ils ont suffisamment de doc qui traîne sur le net).

En gros, c'est quoi?

C'est un système d'authentification. Le terme est important, car c'est ce que les journalistes n'ont pas compris. Signer un fichier, c'est utiliser un certificat (oui, les mêmes que SSL, vous voyez, vous connaissez!), pour indiquer que le fichier vient bien de vous. Comme pour SSL, les certificats sont signés par des autorités de certification, comme Thawte ou Verisign. Ce sont elles qui vous assurent que le certificat correspond bien à l'identité affichée.

Avec les certificats, on peut signer tout et n'importe quoi. On peut par exemple signer des mails, des PDF ou des documents Office. Ici, le cas qui nous intéresse, c'est les programmes, DLLs, drivers, et extensions Internet Explorer. Au lancement du programme, Windows vérifie la signature, et vous indique si elle est présente (avec un gros warning jaune en cas d'absence), si l'éditeur est connu (en gros, si, le certificat de l'éditeur est signé par une CA connue), si le certificat a expiré, et si la signature est valide. Vous verrez la même chose à l'installation de drivers, avec un warning rouge si le driver n'est pas signé (mode kernel, faire gaffe, toussa).

Quelle utilité?

Tout d'abord, la démystification: il s'agit d'authentification, pas de sécurité. Si quelqu'un écrit un virus et le signe avec un certificat venant de Verisign, votre PC ne dira rien, et ce sera quand même un virus. De plus, c'est pas vraiment boulet-proof: monsieur Toulemonde (oui, le nom existe) aura tendance à cliquer ok même avec le warning.

Les Software Restrictions policies

Là où ça devient marrant,c'est quand vous utilisez des SRP pour embêter vos utilisateurs. Les SRP vous permette de choisir quels programmes vos utilisateurs peuvent ou ne peuvent pas exécuter. Avec des signatures, vous pouvez carrément autoriser certains éditeurs de logiciels et pas d'autres (par exemple, vous pourrez autoriser Adobe et exposer vos utilisateurs aux toutes dernières failles dans Flash et Reader). Avec un peu de configuration, seuls les programmes signés avec un certificat connu pourront être lancés. Il est même possible de signer vous-mêmes des programmes non signés que vous avez testés et auxquels vous faites confiance.

Les drivers

Tout le monde (ou au moins, ceux qui sont un peu renseignés) sait qu'un driver, ça s'exécute en mode kernel, et donc que ça a beaucoup plus de privilèges qu'un programme normal. Donc, quand vous installez des drivers, c'est pas mal de savoir à qui vous faites confiance. C'est pour ça que maintenant, Windows demande des drivers signés. Encore une fois, ça ne vous protège pas de quelqu'un qui crée une signature pour un driver rootkit.

Side by side assemblies

Bon, ça, c'est un cas très particulier. Pour résoudre le problème de "DLL hell", Microsoft a mis en place un système un peu complexe. En gros, avec SxS, les DLLs sont installées dans C:\Windows\winsxs. Elles sont accompagnées de fichiers XML les décrivant: nom, n° de version, éditeur, signature... Pour pouvoir les installer, elles doivent être signées (hum, bon, note pour moi-même: faire un article complet sur SxS plus tard).

Windows CE

Là, c'est intéressant pour une utilisation en entreprise: vous pouvez refuser l'installation de programmes non signés sur, par exemple, le téléphone de votre patron (on va rire). C'est une méthode très efficace, comme les SRP: vous choisissez quels programmes peuvent être installés, et lesquel peuvent être lancés.

Les problèmes

Il y a pas mal de problèmes avec le code signé:

D'abord, comme je l'ai dit, c'est pas boulet-proof. Vous pourrez jamais empêcher quelqu'un de cliquer sur OK quand il y a un gros message rouge clignotant. Faut avoir un réseau ou une machine qu'on est seul à administrer pour que ça ait un effet.
Pareil pour les téléphones sous WinMo. Mais là, on va voir ce que ça donne avec la Marketplace que Microsoft met en place. Ils utiliseront probablement des certificats pour identifier les développeurs, comme pour l'AppStore. Avec ça, on verra peut-être arriver des téléphones qui n'accepteront que les programme de Marketplace. A quand le jailbreak pour Windows Mobile?
Pour les drivers, de nombreux fabricants n'ont pas voulu payer les certificats...
Je le répète: rien n'empêche un développeur de virus d'acheter un certificat. Il y a des chances qu'il soit facilement identifiable grâce au certificat, mais il y a beaucoup trop d'autorités de certification reconnues par défaut par Windows, et il se peut que certaines ne soient pas très regardantes quant à l'identité de la personne demandant un certificat.
Il est possible d'utiliser MD5 pour la signature, et c'est mal !

UAC fail... ou pas?

2009-06-23T11:27:00+01:00

Ca y est, le code source pour l'UAC injection est distribué, tout le monde se plaint, on a peur des virus autoélevés sous win, ouiiiin, ouiiin. Sauf moi! Parce que moi, contrairement à une majorité de gens qui se promènent sur internet, je vérifie un minimum avant de dire des sottises :P

L'UAC, pourquoi?

L'UAC (User Account Control) est un mécanisme introduit dans Windows Vista, qui sert à demander l'autorisation à l'utilisateur avant d'effectuer une action requérant des privilèges d'administrateur. Pourquoi créer un tel système, alors qu'on pouvait déjà utiliser Windows en standard user, sans droit admin, et se connecter en admin uniquement lorsqu'on en a besoin? PARCE QUE LES DEVELOPPEURS D'APPLICATIONS POUR WINDOWS SONT DES BOULETS.

A l'époque de Windows XP, de nombreuses applications avaient besoin de droits administrateur pour fonctionner, pour diverses raisons: écriture des fichiers de configuration dans Program Files, lecture/écriture de clés registre spéciales, modification de paramètres windows discrète... Du coup, pour que la plupart des applications fonctionnent, il fallait tourner constamment en administrateur. Là, je vois les manchots qui se gaussent, en disant que sous linux, y a pas ce problème... <troll>A l'époque où ce problème a été rencontré pour la première fois, personne n'utilisait Linux en desktop de toute façon</troll>. Enfin bref, pour Vista, Microsoft a décidé que ça commençait à bien faire, et que les développeurs devraient apprendre à se débrouiller sans les droits admin. Et la méthode choisie pour les forcer à changer leurs applications, c'est l'UAC. Ils ont supposé qu'en mettant plein de warnings ennuyeux, ils allaient pousser les développeurs à se prendre en main. Bien sûr, ça a provoqué un tollé, les développeurs se sont mis à blâmer Vista au lieu de se remettre en question, et même les entreprises "sérieuses" (avec de très gros guillemets) comme les créateurs d'antivirus se sont mises à conseiller aux gens de désactiver l'UAC... Bilan quelques années plus tard: les utilisateurs ne sont pas contents, mais la plupart des développeurs ont fini par se dire que demander à joe six pack de désactiver l'UAC, c'était déjà trop compliqué, donc ils ont du modifier leurs applications. C'est pas trop tôt!

L'UAC et la sécurité

Bon, alors, pourquoi, dans ce cas, a-t-on entendu pas mal de gens, dont des bloggers de chez Microsoft, dire que l'UAC était un mécanisme de sécurité? Parce que, eux aussi, ce sont des boulets! Mais là, c'est preque excusable, car les systèmes de sécu présents dans Windows sont assez complexes à comprendre, peut-être trop pour des gens qui font de la comm' et du marketing (10 contre 1 que ce sont eux qui ont choisi le bouclier pour l'icône). L'UAC n'apporte rien niveau sécu: l'autoélévation par injection ne sert à rien, quand il suffit de demander l'autorisation à joe six pack avec un prompt... Il y a bien l'UIPI, qui permet d'empêcher un programme qui tourne en low integrity d'envoyer des messages à un programme en medium ou high integrity, pour éviter les shatter attacks, mais c'est pas le moyen le plus propre et efficace de le faire. En gros, ne croyez pas que l'UAC va vous protéger. Même si vous la réglez sur le niveau maximum, ça reste un système mis en place pour empêcher les développeurs de se planter, pas pour éviter qu'un virus s'amuse sur votre machine (même sans être élevé, le virus pourra toujours se connecter à un botnet, lire vos fichiers, etc.).

La véritable amélioration apportée niveau sécurité par l'UAC, c'est que maintenant, beaucoup d'applications peuvent tourner sans droits admin, et peuvent donc être restreintes plus facilement, réduisant ainsi la surface d'attaque.

Comment se protéger, alors?

Il y a des systèmes très sympas, qui marchent bien, comme les Group Policies et les Software Restriction Policies, pour restreindre les applications non autorisées. Avoir un compte utilisateur ne faisant pas partie du groupe Administrateurs peut aider aussi. Vous pouvez utilisre des logiciels comme Sandboxie.

Encore une fois, ne croyez pas tout ce qu'on vous dit sur Internet. De nombreux bloggers se disent professionnels, mais bien souvent, leur professionnalisme consiste à être le premier à sortir un article, pas à vérifier ses sources. Si en plus, ils peuvent déclencher un bon gros troll, ça fera du traffic sur leur site, donc ils seront contents.

Windows Seven sans Internet explorer: on est pas sortis de l'auberge

2009-06-12T15:40:00+01:00

Comme on le sait, Il y a eu une grande bataille autour du monopole de Microsoft, qui installe Internet explorer de base avec son OS. Suite à ça, Microsoft a décidé que pour toutes les versions de Windows Seven vendues en Europe, il n'y aurait aucun navigateur préinstallé. Bah oué, si vous voulez télécharger Firefox avec votre Seven tout juste installé, vous ne pouvez pas... Bon, en fait, si, les constructeurs auront le choix du navigateur à installer.

Maintenant, il y a quelque chose qui m'inquiète un peu... Cette info signifie que des constructeurs vont préinstaller Chrome, Firefox ou Opera. Bah oui, c'est quand même le but du lobbying de Mozilla et Google auprès de l'Union Européenne. Le problème, c'est que Firefox ou Opera installés sur beaucoup plus de machines, ça va pousser des gens mal intentionnés à chercher beaucoup plus d'exploits dans ces navigateurs. Heureusement, avec Windows, on peut faire tourner les navigateurs dans une sandbox, pour réduire la surface attaquable en cas de pourrissage du navigateur. Mais c'est là que le bât blesse.

Internet explorer utilise le "protected mode", qui permet de faire tourner le processus chargé de l'analyse des pages web avec beaucoup moins de droits (en le faisant tourner en "low integrity"). De même, Chrome fournit un système de sandbox complet. Ces fonctions permettent de diminuer les accès du processus aux autres processus, à l'OS, etc. L'utilisateur est ainsi mieux protégé en cas de faille dans le navigateur (il y aura de toute façon des failles, quel que soit le browser, donc vaut mieux protéger derrière).

Et pour Firefox et Opera? Rien. J'ai pas beaucoup d'infos à propos d'Opera, mais en tout cas, pour Firefox, je sais que ça fait plus de quatre ans qu'ils auraient du se mettre au boulot de ce côté là. Ils ont même été invités à Redmond pour discuter de l'intégration de Firefox dans Vista. Et maintenant? Toujours rien. Firefox peut tourner en low IL, certes, mais ça ne va pas tellement plus loin. Bien sûr, c'est plus facile de faire comme Chrome, et tout réécrire en prévoyant la sandbox, plutôt que modifier du vieux code. Mais l'équipe d'Internet explorer l'a fait pour IE 8. Alors pourquoi pas Mozilla?

En résumé, à la sortie de Windows Seven, si vous voulez éviter les problèmes, utilisez Internet Explorer 8 ou Chrome (en espérant que d'ici là, on aura NoScript partout).

Boucher les trous du htaccess passoire

2009-05-19T01:20:00+00:00

Il n'y a pas que Limit pour protéger du contenu dans un htaccess. Il y a aussi LimitExcept. Pourquoi? Parce que. L'article a plus d'un an, oui. Et pourtant, ça marche encore...

La faille

Vous venez de faire votre site web. Trop cool, vous avez votre espace à vous. Mais vous voulez peut-être une partie privée, où vous pourrez stocker, euuuuh, ce que vous voulez. Vous avez consulté les tutoriels sur internet (enfin, les premiers qui apparaissent sur google quoi...), et vous obtenez à peu près ceci:

AuthType Basic

AuthName "Accès restreint"

AuthUserFile /chemin/vers/.htpasswd

AuthGroupFile /dev/null

<Limit GET POST>

Require valid-user

</Limit>

(ceci étant dit, si votre .htaccess n'est pas dans le dossier restreint, vous pouvez jouer avec Location). Vous êtes content, vous avez restreint toutes les requêtes vers votre dossier privé. Toutes? Non! Un énorme ensemble (dénombrable) de requêtes peut encore passer: il suffit de mettre une suite de caractères sans signification à la place de GET ou POST, et Apache interprétera ça comme un GET. Et devinez quoi? Les règles de Limit ne s'appliquent qu'aux requêtes indiquées, donc GET ou POST ici. Si quelqu'un de (forcément) mal intentionné cherche à rentrer sur votre site, il n'aura qu'à envoyer "POUET /partie_privee/" au lieu de "GET /partie_privee/",et n'aura aucun mal à naviguer dans votre dossier et consulter tout votre... enfin bref.

La solution

Utilisez LimitExcept. Cette directive Apache applique les règles à toutes les requêtes sauf celles mentionnées. Donc, pour protéger votre dossier, il vous suffit d'écrire:

AuthType Basic

AuthName "Accès restreint"

AuthUserFile /chemin/vers/.htpasswd

AuthGroupFile /dev/null

<LimitExcept GET POST>

Deny from all

</LimitExcept>

<Limit GET POST>

Require valid-user

</Limit>

Et voilà! Ce htaccess enverra bouler ceux qui ne font pas des requêtes correctes.

Bon, y avait plus simple

Si vous mettez le htaccess directement dans le dossier concerné, au lieu de jouer avec Location, il suffit de mettre "require valid-user" sans s'embêter avec Limit, et toutes les requêtes devront être authentifiées.

Note: le Geo cité sur la page de GITS, c'est pas moi. Raaah, les collisions de pseudos...

DxVA in VLC!

2009-05-04T01:24:00+00:00

I'm doing again a Google Summer of Code, and this time, I'll work on DxVA integration in VLC: decoding MPEG2 or H264 with the graphic card! This plugin will reduce the load on the CPU and speed up decoding. It looks like I'll have to see lots of HD videos this summer, "for testing purpose" 0:-)

VLC tricks: Lua playlist

2009-04-11T19:33:00+00:00

Try it!

You certainly know that VLC media player can play your videos and musics if you make it open your file. But what happens when you try to open a Google Video or Youtube webpage? If you don't know, try it! Cool, huh? And now, I'll show you how to do it for other video websites, using the Lua interpreter embedded in VLC.

In your VLC installation directory, you will find the subdirectory lua/playlist. In this directory, you will find the Lua scripts responsible for finding the video content in the website page.

Create the Script

I chose Koreus to do my script, because there's a great deal of funny and weird videos, like this one :p

First, create koreus.lua in this directory. Your file must contain two functions: probe and parse.

The probe function

Probe tests if the website is the good one and if it's the URL of a video. Here is the small code I wrote, for an URL like http://www.koreus.com/video/pouet.html :

-- Probe function.

function probe()

if vlc.access ~= "http" then

return false

end

koreus_site = string.match( vlc.path, "koreus" )

if not koreus_site then

return false

end

return ( string.match( vlc.path, "video" ) )

end

That's really simple: just a test, to know if it's HTTP, on a koreus website, containing video in the url, you return true if you found what you want.

The parse function

Parse looks into the HTML code, finds the metadata and the video url, and send it to VLC media player. That's a bit more code, but nothing really hard.

-- Parse function.

function parse()

while true do

line = vlc.readline()

if not line then break end

if string.match( line, "<meta name=\"title\"" ) then

_,_,name = string.find( line, "content=\"(.-)\"" )

end

if string.match( line, "<meta name=\"description\"" ) then

_,_,description = string.find( line, "content=\"(.-)\"" )

end

if string.match( line, "<meta name=\"author\"" ) then

_,_,artist = string.find( line, "content=\"(.-)\"" )

end

if string.match( line, "link rel=\"image_src\"" ) then

_,_,arturl = string.find( line, "href=\"(.-)\"" )

end

if string.match( line, "videoDiv\"%)%.innerHTML" ) then

vid_url = string.match( line, '(http://media%d?%.koreus%.com/%d+/%d+/[%w-]*%.mp4)' )

if vid_url then

return { { path = vid_url; name = name; description = description; artist = artist; arturl = arturl } }

end

Yep, if you look into the source of a koreus webpage, you see that they send an mp4 file to their flash player. You can also get the flv and play it in VLC, but I prefer mp4. About the small regexp: we loo, for a string like "http://media9.koreus.com/00067/200903/tortue-pigeon.mp4", with media{number}.koreus.com or media.koreus.com. That's easy, isn't it?

You can download the whole file here. Enjoy!

3ème forum international sur la cybercriminalité: buzzwords, FUD and boredom

2009-03-27T00:31:27+00:00

Le 24 Mars a eu lieu à Lille un forum sur la cybercriminalité. Sous ce joli nom se cache en fait un rassemblement d'intervenants pour la plupart sérieux, venant apprendre aux chefs d'entreprise plein de nouveaux mots comme DoS, chiffrement ou firewall, pour qu'ils puissent ensuite taper sur leur DSI ou RSSI pour lui dire "oh, look, it's shiny, I want it, I want it!"

Plus sérieusement, la plupart des conférences n'étaient pas vraiment techniques (ça, je m'y attendais), mais on peut en retenir quelques idées:

L'armée française commence plus ou moins à reconnaître Internet comme étant un lieu de "bataille", comme l'air, la terre et la mer. Beaucoup d'intervenants ont insisté sur le fait qu'avant de pouvoir attaquer dans ce domaine, il faut pouvoir se défendre. Faut pas avoir fait Normale Sup' pour penser ça, mais c'est vrai qu'il y a beaucoup de travail à faire, et les ressources vont être surtout dirigées dans ce sens pour les prochaines années.
En fin de journée, la conférence qui m'a plu: "Biométrie, quelles applications pour l'entreprise?" La présence d'une personne de la CNIL a rendu le débat intéressant: ce n'est pas tout de mettre en place un système de reconnaissance d'empreintes digitales, iris, il faut le déclarer à la CNIL qui peut refuser si la solution est démesurée. Exemple cité par l'intervenant: une entreprise de 50 personnes ne gagne pas grand chose en remplaçant des clefs ou des cartes pour la porte d'entrée par une reconnaissance des empreintes digitales. Et garder une base des informations biométriques de tous ses employés quelque part pose bien évidemment des problèmes de vie privée. C'est pour ce genre de raisons que la CNIL a des critères assez stricts en matière de biométrie. En gros: il faut que l'utilisation soit justifiée (pas comme dans certaines cantines).
J'ai découvert l'existence de Dhimyotis, une autorité de certification française, située à deux pas de ma résidence étudiante.

La mention spéciale va à Websense, qui m'a bien fait rire. Globalement, ils animaient une conférence pour vendre leur solution de filtrage de contenu. Leurs arguments de vente se basaient sur des statistiques sorties du chapeau, des études qu'ils essayaient de faire passer pour des travaux de Gartner, et des killer features comme la possibilité pour l'employé de consulter Facebook depuis son poste (bah oui, Facebook, c'est Web 2.0, donc le contenu diffère entre les utilisateurs pour une même url, alors c'est dur à monitorer, qu'ils disent). Et ils ne s'arrêtent pas là! Leur système de filtrage du web utilise une base de données qui est mise à jour par leurs bots, qui explorent le web constamment. Cette base de données est envoyée dans les petites boîtes firewall qu'ils installent chez le client. Là où ça devient marrant, c'est que ces petite boîtes aident à remplir la base de données à partir du contenu filtré. Et au passage, ils ont bien réfléchi, et se sont dits que le traffic SSL, c'était embêtant, parce qu'à cause du chiffrement, on ne peut pas monitorer le traffic et protéger l'employé des menaces du web. Ils ont donc trouvé une solution très astucieuse, qui consiste à déchiffrer le contenu dans la boî-boîte, le vérifier, puis le rechiffrer pour l'envoyer sur le web. Ye who enter here, abandon all privacy.

A côté de ça, ils ont un autre produit qui, lui, est intéressant: un système fait pour empêcher la fuite de données de l'entreprise. Il suffit d'indiquer les contenus "sensibles", et le logiciel se chargera de vérifier si les données sont présentes à chaque communication, quelqu'en soit la forme (HTTP, FTP, mail, plain text, PDF, imprimante, et même SSL *hem*). Le logiciel vérifie alors si la personne recevant les informations a le droit de les consulter, et notifie l'utilisateur en cas de problème de droits.

Ca reste du monitoring sauvage des communications des employés, mais bon, si des entreprises sont capables de l'assumer et leurs employés de vivre avec, pourquoi pas. Mais ça me fait quand même rire de voir un type vendre un système comme ça avec l'argument massue "vous ne pouvez pas monitorer le contenu reçu par les employés sur Facebook, sauf avec notre système" quand on sait que Facebook n'a pas vraiment de justification comme outil de travail...

Le fourre-tout à Geo

Utterly useless uses of VLC

See also

VLC: now with DxVA support

So you want to contribute...

Ingredients

Recipe

Preamble

Module descriptor

Create function

DoWork function

Now in the oven

Eat it while it's still hot

HowTo: audits et logs

L'event viewer

Rajoutons des événements

HOWTO: la sécurité au quotidien

Utilisateurs et groupes

test d'EMET, un nouvel outil pour protéger vos programmes

Enable DEP and ASLR with MinGW

DEP and ASLR?

Using it

Peflags

LD

Remarks

Je bidouille Firefox et j'aime ça

Affichage

Premier essai: Colorful Tabs

La suite: TabKit

Gagner encore un peu de place

AAAAH Il y a trop d'onglets!

Profils Firefox

Configurer chaque profil

Et après?

VLC tricks: get comfortable

Trojan.PWS.Legmir.AD / W32.Ahlem.A@mm: not really a virus for me

VLC tricks: customize your interface

Customizing Qt4

Default profiles

Make your own profiles

Skins

Bypass addslashes with UTF-8 characters

Multibyte characters?

What can I do with that?

Conclusion

Authenticode, code signing, c'est quoi?

En gros, c'est quoi?

Quelle utilité?

Les Software Restrictions policies

Les drivers

Side by side assemblies

Windows CE

Les problèmes

UAC fail... ou pas?

L'UAC, pourquoi?

L'UAC et la sécurité

Comment se protéger, alors?

Windows Seven sans Internet explorer: on est pas sortis de l'auberge

Boucher les trous du htaccess passoire

La faille

La solution

Bon, y avait plus simple

DxVA in VLC!

VLC tricks: Lua playlist

Try it!

Create the Script

The probe function

The parse function

See also

3ème forum international sur la cybercriminalité: buzzwords, FUD and boredom