Comme je vous l'expliquais précédemment, j'ai passé mon gros desktop de RAID-1 en RAID-5 en utilisant un hack relativement pratique permettant d'effectuer l'opération en ligne. En ligne, certes, mais pas sur toutes les grappes cependant. Ce serait trop beau. Les manipulations nécessitant le démontage du système de fichiers visé, il faut passer en single pour traiter certains points de montage spécifiques. Ce fut pour moi le cas de /usr et /var. Enfin, pour la racine, il faut rebooter sur un système de secours disposant des outils adéquats. C'est le cas du CD d'installation Debian Etch qui a parfaitement fait l'affaire, même si je trouve le nouveau mode "rescue" un peu chiant à utiliser[1]. En particulier, si vous avez des grappes RAID, il faut passer d'abord par le partitionneur pour les activer puis revenir au shell de secours. Par contre, je n'ai pas trouver comment lui dire de faire une rescue sur une racine en RAID. Je n'en avais pas besoin, mais quand même, ça pourrait servir un jour.

Whatever. Il reste cependant un point à ne pas négliger. Ni LILO, ni GRUB ne savent lire des données d'une grappe RAID ! Ils lisent des données sur une partition physique d'un disque... Si vous êtes en RAID-1, vous n'aurez pas de problème, les données sont toutes accessibles et lisibles sur la même partition. Mais en RAID-5, l'entrelacement va rendre la chose tout simplement impossible. D'où la nécessité de conserver quelque part une partition normale où poser /boot, sur le premier disque. Et sur le second aussi, parce que si le premier claque, vous voulez pouvoir booter quand même. Et pourquoi pas sur le troisième, même si ça présente peu d'intérêt. J'ai personnellement opté pour un RAID-1 avec spare pour /boot qui me permet de pallier la perte de n'importe lequel des trois disques, tout en m'évitant de devoir synchroniser trois partitions à chaque ajout de noyau. Mais cela n'empêche pas de devoir refaire les trois MBR...


Toujours dans les histoires de récupération de données, j'ai remarqué que les adaptateurs ATA vers USB semblaient plus tolérant aux erreurs que les contrôleurs de carte mère. J'ai donc ressorti un vieux disque impossible à lire mes desktops. En effet, dès que je veux accéder au superblock, le noyau part en sucette : des erreurs IDE dans tous les coins qui se terminent par un reset du contrôleur. Je l'ai donc branché via l'adaptateur et ça passe beaucoup mieux. Est-ce dû au hardware ou au driver ? Je n'ai pas approfondi plus que ça, mais c'est mieux, et c'est tout ce qui compte. Par contre, je ne peux toujours pas lire le superblock qui est manifestement décédé, et ne peux donc pas monter la partition. Au moins, le système reste stable et ne se plaint pas, je vais donc pouvoir aller plus loin.

Tout linuxien de base sait, ou devrait savoir, qu'un système de fichier EXT2/EXT3 contient de multiples copies du superblock, justement pour le sauver dans ce genre de situation. Problème : trouver ces copies et en utiliser une. C'est là qu'on (re)découvre les petites options à la con des outils qu'on utilise (presque) tous les jours. Comme le flag -n de mke2fs qui veut dire "formate donc moi ça, mais pour de faux stp". Et de vous dire au passage ce qu'il aurait fait, avec en particulier la taille des blocs et la position des superblocks de secours. Maintenant, il faut dire à mount d'utiliser un de ces autres superblocks, en utilisant l'option sb qui prend l'adresse du superblock à utiliser en kilo-octets, d'où l'intérêt de connaître votre taille de bloc puisque mke2fs vous indique la position des superblocks en blocs. Je vais utiliser le second, à 32678 blocs de 4Ko:

# mount -t ext3 -o sb=131072 /dev/sda1 /mnt

Et ça passe. Je ne vous cache pas que je n'ai pas tout récupéré, loin de là. Le disque est en piteux état. Mais quand même. Quand je vous disais qu'un adaptateur ATA vers USB était indispensable...


Don Parker se fend sur SecurityFocus d'une réflexion sur l'intérêt des conférences de sécurité, sujet que j'avais abordé l'an dernier et que vous aviez abondamment[2] commenté. Il aborde le sujet sous l'angle du savoir-faire pratique que l'informaticien en retire, en les comparant aux formations. C'est assez intéressant de voir comment un article qui va partir d'une analogie aussi déplacée va parvenir à une conclusion somme toute relativement raisonnable. En fait, globalement la même que la mienne, à savoir que les gens y viennent pour rencontrer d'autres gens, se tenir au courant, déceler des tendances et pourquoi pas se faire un peu peur. Pour autant que l'effet épouvantail marche encore...

Si vous voulez apprendre des choses qui servent tous les jours, allez à des trainings. C'est tellement évident. Remarquez d'ailleurs que l'auteur ne met pas dans le même panier les présentations et les trainings qui sont donnés aux conférences :

Be honest now, when was the last computer security conference
that you went to where you came away from with several ideas
to implement immediately onto your networks? I would wager
none. The same can not be said of the training tracks now
offered at most of these conferences. This training is
offered by experts in the field, and is quite good.
Furthermore, it is one of the few places to find advanced
courseware on such subjects as reverse engineering to name
but one.

Si le gain pratique des talks est le plus souvent relativement faible, il en va donc tout autrement des trainings qui mettent très souvent en avant le côté pratique justement. C'est une bonne nouvelle pour moi ça ;)

À moins de se poser les mauvaises questions, il n'y a pas de quoi s'étonner à ce que les conférences de sécurité continuent de remplir les salles, même si le mouvement est en train de s'infléchir très nettement.


Et puisqu'on parle de conférences, parlons de la BlackHat qui s'est terminée hier. Je n'y étais pas, mais j'ai quand même hésité un bref moment à vous pondre un compte-rendu basé sur le programme, les descriptions et les slides disponibles en ligne. Un billet intitulé "La BlackHat comme si j'y étais (ou pas)". Et puis je me suis dit qu'il ne fallait pas voler la vedette à Nono qui se fera une joie de nous en pondre un quand il aura fini de se faire plumer au poker[3]. Alors pourquoi BlackHat ? Tout simplement parce que France Info s'est senti obligé d'en parler ce matin même. Dans cette chronique intitulée "Les hackers du monde entier réunis à Las Vegas" par Jamila Zeghoudi, vous apprendrez pleins de choses sur cette étrange communauté. Par exemple qu'ils débutent dans le métier en cherchant à pirater de la musique ou des films... Un petit passage sur le CTF, des interviews, bref, un reportage comme je les aime, c'est à dire pas mal à côté de la plaque...

Et toujours côté BlackHat, Joanna Rutkowska nous explique sur son blog ce qu'il fallait comprendre de son talk. Je dois avouer que ces histoires de BluePill j't'détecterai vs. BluePill t'm'détecteras pas commencent à me lasser. Cependant, la première partie de sa présentation sur l'exploitation des drivers pour outre-passer la protection du noyau de Vista est intéressante, même si elle ne révolutionne rien. J'aime en particulier la partie "Do it yourself" qui explique comment récupérer son propre certificat pour écrire son propre driver avec ses propres bugs à soi. Ceci étant, il reste encore à diffuser ce driver-trojan-backdoor-(furtive ?), mais quelque chose me dit qu'en le présentant comme un truc anti-DRM, ça devrait passer ;)

La seconde partie, c'est encore du BluePill, avec des réflexions sur la détection des rootkits virtualisés et des stratégies pour les rendre encore plus invisibles, en particulier contre tout ce qui a été proposé avant, y compris les techniques présentées par son ancien collègue Edgar Barbosa. J'attends des compte-rendus plus conséquents pour voir ce que les autres en disent, en particulier ce que va répondre Matasano. Surtout des avis plus crédibles que certaines publications dont on voit, même d'ici, que l'auteur n'a pas franchement compris grand chose au fond du problème...


Et pour conclure, quelques conférences à venir.

  • Hack In The Box se tiendra du 3 au 6 septembre prochains à Kuala Lumpur en Malaisie. Je n'y serai pas. Dommage, le programme a l'air sympa.
  • Suivra Hack.lu du 18 au 20 octobre. Je n'ai rien proposé, mais le voyage est suffisamment court pour que j'y fasse un saut juste pour voir, d'autant que c'est une excellente conférence.
  • Je serai par contre à BCS'07 les 30 et 31 octobre à Jakarta, où je vais présenter sur... Ben non, pas du Wi-Fi pour cette fois. Comme la liste des intervenants et le programme ne sont pas encore en ligne, je ne vais pas vendre la mèche, mais ça ne devrait pas passer trop inaperçu comme sujet.
  • Mi-novembre, une autre conférence en Europe. Deepsec se tiendra du 20 au 23 novembre à Vienne, en Autriche. J'y donne, une fois n'est pas coutume, un training Wi-Fi de deux jours les 20 et 21. Le programme est prometteur.
  • Ensuite, ce sera Pacsec les 29 et 30 novembre à Tokyo. Je pense que je vais devoir faire l'impasse cette année. À voir, mais si c'est le cas, ce sera la mort dans l'âme...


Voilà. Il ne me reste plus qu'à boucler deux ou trois dossiers et ce sera le départ pour les vacances \o/

Notes

[1] Fini le "rescue root=/dev/hda1" en argument à LILO.

[2] À l'échelle de ce blog...

[3] À condition qu'il n'y laisse pas son laptop, bien sûr...