Journal d'investigation en ligne et d'information‑hacking
par bluetouff

#OpSyria (S05E02) : Opération Bebop Aloola.sy

Alors que Wikileaks continue de distiller au compte gouttes les mails de hauts dignitaires syriens, nous nous sommes nous aussi, intéressés, il y a plusieurs mois de ça, aux applications webmail du régime, plus particulièrement des webmails de la Syrian Computer Society. De nombreux trous de sécurité, issus de mauvaises pratiques d'administration, ont été trouvé.

Alors que Wikileaks continue de distiller au compte gouttes les mails de hauts dignitaires syriens, nous nous sommes nous aussi, intéressés, il y a plusieurs mois de ça, aux applications webmail du régime, plus particulièrement des webmails de la Syrian Computer Society. De nombreux trous de sécurité, issus de mauvaises pratiques d'administration, ont été trouvé. Nous avons décidé de vous en reporter une, juste pour vous donner une petite idée de comment presque deux millions et demi d'emails plus ou moins confidentiels se sont retrouvés dans la nature. Nos travaux ont principalement porté sur l'infrastructure de la SCS (Syrian Computer Society) dont l'ISP "Yahoo style" se nomme Aloola, le nouvel épisode du Soap de Reflets. Ce n'est d'ailleurs pas la première fois que Reflets tombe sur ses copains de la SCS, nous avions déjà rendu public le cluster Iron, lors de la Saison 4 Episode 2, intitulée Iron Strike, qui mettait en évidence les machines de l'équipementier américain Bluecoat au sein du réseau de la SCS.

Reflets.info ne dispose pas de la grandiloquence de Wikileaks quand il s'agit de faire une annonce, cependant, vous trouverez dans ce que nous vous livrons pas mal de chose intéressantes. Comme d'habitude, vous noterez que tout ce à quoi nous avons accédé est parfaitement public, accessible en quelques clics. Aussi, contrairement à Wikileaks, nous vous livrons la totale, de manière brute, nous trions pas les informations collectées. Et pour parfaire le décor, nous vous expliquons très exactement comment nous avons accédé à ces documents, en toute transparence... vraie transparence.

Les emails de la Syrian Computer Society

Voici un webmail syrien typique http://213.178.226.246, il tourne sous atmail : http://atmail.com/, un machin propriétaire.

Quand on est un peu tête en l'air comme les admins de Bachar, on pense toujours à backupper ses fichiers de config, avec ses passwords, en, clair... juste au cas où : http://213.178.225.44/config/dbconfig.ini

Nous avons identifié l'application, il nous est maintenant simple de télécharger la demo d'ATmail pour avoir une idée de son arborescence et des éventuels  fichiers et dossiers intéressants :

C'est tout bien rangé par ordre alphabétique, ce ne sont que des mails de la SCS, c'est la classe...

Puis il y a plein de pièces jointes, des photos, des documents bureautiques...

  

Nous avons backuppé à tout hasard tout ce petit monde, vous pouvez télécharger notre archive ici (tar.gz / 153 Mo) ou encore là (Zip /153Mo) et par exemple nous aider à identifier les personnes en uniforme sur certaines photos.

ATTENTION : les emails contenus dans cette archive peuvent contenir des virus en pièce jointe, ne faites donc pas n'importe quoi, et si possible, évitez d'utiliser Windows pour les lire.

Happy crowdsourcing /-)

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée