#OpSyria (S05E02) : Opération Bebop Aloola.sy
Alors que Wikileaks continue de distiller au compte gouttes les mails de hauts dignitaires syriens, nous nous sommes nous aussi, intéressés, il y a plusieurs mois de ça, aux applications webmail du régime, plus particulièrement des webmails de la Syrian Computer Society. De nombreux trous de sécurité, issus de mauvaises pratiques d'administration, ont été trouvé.
Alors que Wikileaks continue de distiller au compte gouttes les mails de hauts dignitaires syriens, nous nous sommes nous aussi, intéressés, il y a plusieurs mois de ça, aux applications webmail du régime, plus particulièrement des webmails de la Syrian Computer Society. De nombreux trous de sécurité, issus de mauvaises pratiques d'administration, ont été trouvé. Nous avons décidé de vous en reporter une, juste pour vous donner une petite idée de comment presque deux millions et demi d'emails plus ou moins confidentiels se sont retrouvés dans la nature. Nos travaux ont principalement porté sur l'infrastructure de la SCS (Syrian Computer Society) dont l'ISP "Yahoo style" se nomme Aloola, le nouvel épisode du Soap de Reflets. Ce n'est d'ailleurs pas la première fois que Reflets tombe sur ses copains de la SCS, nous avions déjà rendu public le cluster Iron, lors de la Saison 4 Episode 2, intitulée Iron Strike, qui mettait en évidence les machines de l'équipementier américain Bluecoat au sein du réseau de la SCS.
Reflets.info ne dispose pas de la grandiloquence de Wikileaks quand il s'agit de faire une annonce, cependant, vous trouverez dans ce que nous vous livrons pas mal de chose intéressantes. Comme d'habitude, vous noterez que tout ce à quoi nous avons accédé est parfaitement public, accessible en quelques clics. Aussi, contrairement à Wikileaks, nous vous livrons la totale, de manière brute, nous trions pas les informations collectées. Et pour parfaire le décor, nous vous expliquons très exactement comment nous avons accédé à ces documents, en toute transparence... vraie transparence.
Les emails de la Syrian Computer Society
Voici un webmail syrien typique http://213.178.226.246, il tourne sous atmail : http://atmail.com/, un machin propriétaire.
Quand on est un peu tête en l'air comme les admins de Bachar, on pense toujours à backupper ses fichiers de config, avec ses passwords, en, clair... juste au cas où : http://213.178.225.44/config/dbconfig.ini
Nous avons identifié l'application, il nous est maintenant simple de télécharger la demo d'ATmail pour avoir une idée de son arborescence et des éventuels fichiers et dossiers intéressants :
- http://213.178.225.44/mail/install/ : Les répertoires d'installation sont toujours supers instructifs, on y trouve plein de fichiers de configuration. Comme prévu et mentionné ci-dessus, on y trouve LE mot de passe qui tue.
- http://213.178.225.44/mail/install/apache/ : les flavours de l'application aussi ont leurs fichiers de configuration.
- http://213.178.225.44/mail/install/atmail6.sql : Le mapping des create de table SQL, c'est aussi une information toujours sympa.
- http://213.178.225.44/mail/install/atmail6-default-config.sql et hop un fichier de configuration SQL.
- http://213.178.225.44/mail/log/ : là on voit bien que ça plantouille un peu...
- http://213.178.225.44/mail/tmp/ : Oh tiens, il y a plein à manger dans ce répertoire...
C'est tout bien rangé par ordre alphabétique, ce ne sont que des mails de la SCS, c'est la classe...
Puis il y a plein de pièces jointes, des photos, des documents bureautiques...
Nous avons backuppé à tout hasard tout ce petit monde, vous pouvez télécharger notre archive ici (tar.gz / 153 Mo) ou encore là (Zip /153Mo) et par exemple nous aider à identifier les personnes en uniforme sur certaines photos.
ATTENTION : les emails contenus dans cette archive peuvent contenir des virus en pièce jointe, ne faites donc pas n'importe quoi, et si possible, évitez d'utiliser Windows pour les lire.
Happy crowdsourcing /-)