#OpSyria (S05E02) : Opération Bebop Aloola.sy

Alors que Wikileaks continue de distiller au compte gouttes les mails de hauts dignitaires syriens, nous nous sommes nous aussi, intéressés, il y a plusieurs mois de ça, aux applications webmail du régime, plus particulièrement des webmails de la Syrian Computer Society. De nombreux trous de sécurité, issus de mauvaises pratiques d’administration, ont été trouvé. Nous avons décidé de vous en reporter une, juste pour vous donner une petite idée de comment presque deux millions et demi d’emails plus ou moins confidentiels se sont retrouvés dans la nature. Nos travaux ont principalement porté sur l’infrastructure de la SCS (Syrian Computer Society) dont l’ISP « Yahoo style » se nomme Aloola, le nouvel épisode du Soap de Reflets. Ce n’est d’ailleurs pas la première fois que Reflets tombe sur ses copains de la SCS, nous avions déjà rendu public le cluster Iron, lors de la Saison 4 Episode 2, intitulée Iron Strike, qui mettait en évidence les machines de l’équipementier américain Bluecoat au sein du réseau de la SCS.

Reflets.info ne dispose pas de la grandiloquence de Wikileaks quand il s’agit de faire une annonce, cependant, vous trouverez dans ce que nous vous livrons pas mal de chose intéressantes. Comme d’habitude, vous noterez que tout ce à quoi nous avons accédé est parfaitement public, accessible en quelques clics. Aussi, contrairement à Wikileaks, nous vous livrons la totale, de manière brute, nous trions pas les informations collectées. Et pour parfaire le décor, nous vous expliquons très exactement comment nous avons accédé à ces documents, en toute transparence… vraie transparence.

Les emails de la Syrian Computer Society

Voici un webmail syrien typique http://213.178.226.246, il tourne sous atmail : http://atmail.com/, un machin propriétaire.
Quand on est un peu tête en l’air comme les admins de Bachar, on pense toujours à backupper ses fichiers de config, avec ses passwords, en, clair… juste au cas où : http://213.178.225.44/config/dbconfig.ini
Nous avons identifié l’application, il nous est maintenant simple de télécharger la demo d’ATmail pour avoir une idée de son arborescence et des éventuels  fichiers et dossiers intéressants :
C’est tout bien rangé par ordre alphabétique, ce ne sont que des mails de la SCS, c’est la classe…
Puis il y a plein de pièces jointes, des photos, des documents bureautiques…
  
Nous avons backuppé à tout hasard tout ce petit monde, vous pouvez télécharger notre archive ici (tar.gz / 153 Mo) ou encore là (Zip /153Mo) et par exemple nous aider à identifier les personnes en uniforme sur certaines photos.
ATTENTION : les emails contenus dans cette archive peuvent contenir des virus en pièce jointe, ne faites donc pas n’importe quoi, et si possible, évitez d’utiliser Windows pour les lire.
Happy crowdsourcing /-)
Twitter Facebook Google Plus email

31 thoughts on “#OpSyria (S05E02) : Opération Bebop Aloola.sy”

  1. Peut etre a force que le monde entier leurs mettent le nez dans leurs merde les Admin refuseront de faire de la merde quand on le leur demande! :)

    GG en tout cas, je preferes aussi la methode sans filtres ou toutes les données recuprerées sont divulguées. Mais il est vrai que dans certains cas cela peut etre problematique.
    Loin de vouloir créer le troll je note le petit tacle a wikileaks et je me demande si leur attitude a ce moment la n’a pas été celle qu’il fallait. Enfin avec ce sujet il y a la matiere a un debat entier…

    Encore une belle leçon merci de maintenir mon envie de rire au plus haut :)

  2. Hello, bien vu !

    Sinon juste, il me semble que le rip est pas complet, par exemple : SCS/213.178.225.44/mail/tmp/d/e/deltalabscsnetorg ne contiens que l’index alors que sur le serveur officiel, il y a des fichier cache de zend.

    Sinon la recherche continue !

  3. Bonjour,

    Je lis avec toujours autant d’intérêt vos articles même si j’avoue ne pas toujours comprendre toutes les finesses dont vous faîtes preuves pour trouver tous ces jolis fichiers !
    Je n’y connais pas non plus grand chose à ces fichiers de configs mais suis je le seul à m’interroger au sujet de la ligne suivante :
    (‘exim’, ‘virus_enable’, ‘1’, ‘Boolean’)

    Une âme charitable pourrait-elle m’indiquer si il s’agit d’une blague ? Ou bien si ce paramètre à bien sa place ici et au quel cas à quoi sert-il ?
    Merci

      1. Après m’être (très vaguement, de loin dans le noir et sur un malentendu) penché sur une partie du code source atmail (c’est fou tout se qu’on peut trouver : http://pastebin.com/YgxdJvJC), il semblerait que ce soit « uniquement » une variable stocké dans la db qui précise si un antivirus existe ou non sur le système.

        P.S : sorry double-post, j’avais oublié la fonction « répondre ».

  4. @bluetouff Une ptite question me taraude.
    Les mots de passe dans mysql ne sint t’ils pas salés par défault?
    Je suis pas un pro de la db mais il me semble que quand je faisais mumuse avec ma db sous mamp pendant ma licencse les champs mdp étaint salés par défault.

      1. Tout de même, cela me scie le fondement! Que tu sois un gros faisan en configurant avec les pieds ce merdier c’est une chose, mais être feignant au point de ne pas saler les champs mdp c’est du sabotage…

          1. En mm tps, tu peux avoir tes mdp en clair, ce n’est pas vraiment ça le pb… C’est plus que le fichier sois accessible, et les dossiers listables… comme toujours…
            Comment ça se passe Bluetouff, tu tente simplement des traversées de répertoires au hasard ou quoi :) ?

          2. Tout de même, stocker des mots de passe en clairs, cela défie le bon sens.
            D’un point de vue sécurité/vie privée c’est pas terrible

  5. 3rr0r404>
    Après m’être (très vaguement, de loin dans le noir et sur un malentendu) penché sur une partie du code source atmail (c’est fou tout se qu’on peut trouver : http://pastebin.com/YgxdJvJC), il semblerait que ce soit « uniquement » une variable stocké dans la db qui précise si un antivirus existe ou non sur le système.

  6. incroyable. Et apparemment les services syriens ne vous lisent pas car tout est encore la …
    Par contre je suis pas sur que Bachar utilise beaucoup les mails. S il est aussi a la rue au niveau technique que nos presidents (Hollande je ne sais pas, mais Sarkozy et Chirac ils en etaient reste au minitel pour l un au SMS pour l autre) il ne doit pas y avoir grand chose

  7. Bel effort, mais la pique contre Wikileaks ne me paraît pas forcément pertinente, au moment ils balancent quelque chose qui va peut-être encore déstabiliser a la fois El-Hassad et les gouvernements occidentaux. Vous œuvrez dans le même camp, il me semble…

  8. Ca devient un peu schizo chez Reflets .
    Un coup « c’est oulala attention avec Skype utilisez Tor et des proxy les services syriens sont des cadores de la traque sur la toile…pour demontrer dans le papier suivant ce qu’ils sont, à savoir des tocards …

    1. Pour rebondir là-dessus, c’est bizarre aussi de conseiller Tor, alors que dans le premier article à propos de l’agence H :), vous rappelez au floodeur que cela ne sert à rien de se cacher derrière un proxy ou dans Tor…
      Que comprendre ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *