Migration samba vers Windows server

Publié le 21 septembre 2010 par Zythom

Il est cinq heures du matin, j’émerge doucement du fond de mon lit de chambre d’hôtel. Je suis en mission.

La veille, j’ai préparé consciencieusement tout mon matériel d’intervention, j’ai relu mes fiches de procédures et bouclé ma trousse à outils.

Il est six heures. Je suis devant la porte… seul.

Je suis en déplacement au Maroc pour migrer le système informatique de notre école casablancaise (casaouia comme disent les jeunes). Il y a deux heures de décalage avec la France et mon équipe technique (restée en France) embauche à 8h.

J’entre dans l’école et je m’installe. Me voici devant mon ordinateur, branché sur Skype. Je serai les mains et les bras de mon équipe pendant les 5 prochains jours.

Voici le problème: il y a sur place 30 ordinateurs sous Windows XP, dont 20 en libre service, et un serveur sous GNU/linux faisant tourner Samba en contrôleur de domaine. J’ai pris la décision (relatée dans ce billet) de migrer tous les ordinateurs vers un contrôleur de domaine Windows 2008 R2. Cette décision valait pour les ordinateurs de mon école sur le campus français. Il est cohérent de l’appliquer également sur les autres sites distants gérés par mon service. Je m’attaque donc à une migration Samba vers un serveur Windows.

Toute la migration a été préparée à distance: le nouveau serveur est prêt (sous la forme d’une machine virtuelle WMware), les comptes Active Directory ont été créés, et les données des comptes Samba synchronisées par un Robocopy approprié. Il ne reste plus qu’à changer à la main le domaine de chaque ordinateur et à migrer les profils des utilisateurs.

Je commence donc par le plus simple: les ordinateurs en libre service. En effet, les étudiants n’ayant que des profils très simples, seules les machines sont à migrer. Un changement du mode domaine X vers le mode Workgroup TOTO, suivi d’un retour vers le mode domaine Y, suffit à faire basculer la machine d’un domaine à l’autre. J’en profite pour faire du nettoyage: CCleaner, défragmentation, Windows update, examen en profondeur par l’antivirus, etc.

Le passage sur les machines du personnel m’a posé plus de soucis. Notre procédure de migration de profils, réalisée lors de notre passage Novell Netware vers Windows Server, s’intéressait aux profils locaux créés à la volée sous Windows XP par le client Novell et faisait grand usage de la commande « moveuser.exe ».

Seulement voilà, cette commande ne fonctionne pas dans mon cas (migration entre deux domaines) et me retourne un message d’erreur mystérieux. Internet étant mon amis, j’y recherche la solution. Je n’ai pas le temps de trouver quelque chose d’exploitable car une solution telle que je les aime m’est fourni par un membre de mon équipe via Skype: « Et si on migrait chaque profil Samba vers un compte local (avec moveuser) et ensuite ce compte local vers AD (encore avec moveuser) ». Aussitôt proposé, aussitôt testé. Cette commande qui permet de migrer un profil local vers un compte de domaine permet également de faire l’inverse.

Voici donc l’astuce, seule raison d’être de ce billet:

– sur chaque poste, en tant qu’administrateur local, créer un compte local TOTO.

– exécuter: moveuser.exe « ANCIENDOMAINEnomutilisateur » TOTO /y /k

– puis: moveuser.exe TOTO « NOUVEAUDOMAINEnomutilisateur » /y /k

– supprimer le compte local TOTO

Cette astuce fonctionne pour une migration Samba <-> AD, ou Domaine1 <-> Domaine2 quelque soit le contrôleur de domaine (enfin je crois).

Elle sauvera peut-être la mise de quelques autres administrateurs windows débutants.

Pourquoi faire moins compliqué quand on peut faire plus simple.

Chain of custody

Publié le 23 avril 2010 par Zythom

Un commentateur de ce blog (sam280), sous le billet « Un peu de technique« , m’a posé une question sur la « chain of custody »:

sam280 a dit…
Outre la copie sous windows, je m’étonne de ne trouver aucune mention de la fameuse « chain of custody ».
Par exemple, à Enclave Forensics ils utilisent md5 (pas terrible, mais bon) afin de prouver que la copie est identique à l’original (quand c’est possible): https://www.youtube.com/user/DHAtEnclaveForensics#p/u/2/6SEnVNUAe0s
Pourriez-vous nous éclairer sur l’équivalent dans le droit français de la « chain of custody » et la façon dont vous la maintenez ?

Avant de faire part de mon sentiment sur ce problème, je voudrais planter le décor en définissant la « chain of custody »:

Extrait de Wikipedia au 27/02/2010 (Informatique légale):

Rapport de garde
Terme adapté de l’anglais « chain of custody », l’expression « rapport de garde » représente un rapport ou procès-verbal établi lors de la saisie ou de la réception d’une information numérique et de son support, comportant toute information sur le détenteur antérieur (propriétaire, usager, gardien), les lieux et conditions d’acquisition (saisie, transmission), la nature du support d’information (description physique avec photographie, numéro de série), la description éventuelle de l’information numérique (méta-données, structure des données, empreinte numérique), la situation d’accès aux données (accessibles ou non), la présence de sceau (avec identification), le libellé de l’étiquette d’accompagnement, les dates d’ouverture et de fermeture du support, la mention des modifications éventuelles (suppression de mot de passe) et l’état de restitution du support (scellé, accessibilité aux données, étiquette) avec photographie.

Personnellement, je préfère l’expression « chaîne de responsabilité » (traduction plus littérale de chain of custody) plutôt que « rapport de garde ». C’est donc cette expression que je vais utiliser par la suite.

Intérêt de la chaîne de responsabilité? S’assurer que la pièce à conviction présentée au procès est bien celle qui a été saisie sur le lieu du crime. Que c’est bien celle-ci qui a été analysée lors de l’enquête, et qu’elle n’a pas été altérée, ou si oui, dans quelles conditions et pour quelles raisons.

Comment cette chaîne de responsabilité est-elle organisée en France? Et bien, c’est très simple, de mon point de vue, elle n’est pas organisée… Ah si, le scellé m’est livré avec une étiquette marron sur laquelle est indiquée diverses mentions, mais rien n’est prévue pour l’expert judiciaire (les étiquettes indiquent une année à compléter commençant par « 19.. » et ont du être fabriquées en grande quantité dans les années 1950). Le scellé est plus ou moins bien constitué (son ouverture est souvent possible sans briser le sceau de cire). Je ne connais pas les nom et qualité de la personne qui me l’apporte. Il n’y a pas de vérification sérieuse de l’identité de la personne qui le réceptionne (et en général il s’agit de mon épouse dont le cabinet est sur place). Enfin, à ma connaissance, aucune obligation n’est expliquée à l’expert judiciaire, à part « la reconstitution du scellé ». En tout cas, les différentes formations proposées aux (futurs) experts ne semblent pas mentionner pas cet aspect.

Chaque expert met donc en place sa propre procédure, suite à son expérience, son domaine d’expertise, ses lectures et ses échanges de bonnes pratiques. « A la française » donc.

Je voudrais citer un commentaire trouvé sous l’article Ces as de l’informatique au secours des juges et que je reproduis ici car il me semble intéressant:

Je ne suis pas expert judiciaire mais expert scientifique qui en connait un rayon en termes de bonnes pratiques. Sachez que dans notre domaine, le pharmaceutique, tout ce qui n’a pas été réalisé selon une procédure documentée et validée n’existe pas. Une validation d’un logiciel chez nous prend de 6 mois à un an. Un « expert » dont la formation n’est pas documentée et qui à ouvert un DD sans procédure validée et qui a copier tout ça sur son ordi sans validation de sa procédure… n’a en fait rien fait de valable juridiquement parlant. Tout avocat peut facilement contester le travail de cet « expert » si la documentation aussi bien du travail que des procédures est défaillante, même si lui a la réputation d’être un crac. Et chaque fois qu’il change de matos, il peut recommencer sa validation. Mettre en place ces procédures est, en fait, bien plus complexe que d’ouvrir le DD. C’est ça la réalité judiciaire. Les expertises de coin de table et rien c’est du pareil au même.

Nous n’en sommes qu’au début des contestations. Le juge de l’article n’est même pas encore au courant. Bientôt, ces expertises ce sera en fait beaucoup de temps perdu pour rien. Du balai, toutes ces « expertises » de soi-disant experts. Et avec « les bonnes pratiques d’expertise informatique » qu’il va falloir mettre en place, les prix vont monter, monter et du coup les expertise vont se faire rares, très rares.

Je pense que, malheureusement, ce commentateur a parfaitement raison et qu’il manque en France la mise en place d’une chaîne de responsabilité stricte en matière d’investigation.

Pour autant, il en faut pas attendre que quelqu’un pense à mettre en place un système global et la plupart des experts judiciaires ont mis en œuvre de bonnes pratiques en la matière. A défaut d’avoir une chaîne complète, il faut donc essayer d’être un bon maillon, et voici en résumé ma chaîne à un maillon:

Le scellé arrive à la maison: mettez en place un cahier de réception avec date, nom et qualité du livreur et signature.

Ouverture du scellé: utilisez un cahier de prises de notes (papier ou numérique). Notez l’état général du scellé, les rayures, les éléments endommagés, la quantité de poussière visible, les traces de moisi (si, si!), etc. Prenez quelques photos (avec les appareils numériques, ne pas hésiter à mitrailler). Si l’ouverture du scellé nécessite une procédure particulière, notez sur ce cahier les sites internets utilisés ou la documentation technique ad hoc. Ce cahier est la clef de voute de votre mémoire. Pensez aux chercheurs du siècle précédent qui notaient tout pendant leurs expériences. Si votre expertise se déroule sur plusieurs jours, notez bien la date à chaque fois.

Extraction du disque dur: C’est toujours un moment émouvant lorsqu’il s’agit de sortir le (ou les) disque dur. En effet, c’est seulement à ce moment là que vous allez comprendre que le devis adressé au magistrat, et dans lequel vous indiquez 10h de travail, risque d’être un peu sous évalué avec les trois disques de 1000 Go que vous êtes en train d’extraire. N’oubliez pas de prendre des photos, de noter les positions des disques (surtout en cas de RAID logiciel) et des cavaliers pour pouvoir tout remonter correctement. Et ne croyez pas que ce soit la phase la plus facile de l’expertise…

Mise sous tension de l’unité centrale sans disque dur: Cette étape est nécessaire pour vous permettre d’entrer dans le BIOS afin de noter tous les éléments concernant l’horloge de la machine. Souvent, le système d’exploitation s’appuie sur le temps fourni par le BIOS. En tout cas, si la pile du BIOS est épuisée, ce sont des informations perdues, et il faut l’écrire dans son rapport d’expertise.

Prise d’image: Tout ce processus est décrit dans ce (récent) billet. Je le complète ici en parlant du calcul du hash du disque dur. Non, il ne s’agit pas d’un dérivé du chènevis utilisé par nos pécheurs, mais du résultat d’une fonction de hachage. Personnellement, j’utilise MD5 avant ET après la prise d’image. Normalement, le résultat doit être le même, ce qui prouve que vous n’avez en rien modifié les données écrites sur le disque dur (attention, les données S.M.A.R.T. ont été modifiées). Si les hashs calculés avant et après la prise d’image sont différents, alors cela signifie, ~~soit que vous êtes nul,~~ soit que des secteurs défectueux sont apparus sur le disque pendant la prise d’image, soit que vous travaillez avec un disque dur SSD. En effet, dans ce dernier cas, les fabricants ont chacun mis en place une technique dite « d’étalement de l’usure » (en anglais « wear levelling ») qui a pour objectif d’éviter de toujours utiliser pour le stockage les mêmes cellules mémoires, car ces dernières perdent (après quelques millions de cycles de lecture et écriture) leurs capacités nominales de mémorisation. Pour plus d’informations, lire l’excellent article dans la revue Experts de mes confrères Jean-Louis Courteaud et Jean-François Tyrode.

Remontage du scellé: Paradoxalement, ce n’est pas forcément l’étape la plus simple. Si l’expertise a duré plusieurs jours, voire plusieurs semaines (cas du salarié qui n’effectue ses expertises que le week-end ;), le cahier de notes et les photos prennent toute leur importance. Il faut être précis, surtout que vous ne pourrez pas brancher l’ordinateur pour voir s’il démarre correctement.

Reconstitution du scellé: J’ai déjà écrit plusieurs billets sur ce thème. En résumé: cachet de cire (billet de 2007 toujours valable) si vous voulez impressionner, ou sac poubelle transparent fermé avec un solide adhésif d’emballage.

Restitution du scellé: Notez bien les heure et date de reprise, ainsi que les nom et fonction (avec signature) sur votre cahier de suivi.

A défaut d’être une bonne chaîne de responsabilité, cela m’a permis d’être un maillon suffisamment fort, surtout lorsque j’ai reçu un coup de fil d’un magistrat qui avait perdu la trace d’un scellé.

Et là, avec ma chain of custody, je crie « Kudos« !

Un peu de technique

Publié le 2 février 2010 par Zythom

Bon, ce n’est pas parce que je croule sous les expertises que je ne peux pas écrire un petit billet en exploitant la puissance non utilisée du processeur de mon ordinateur d’investigation pendant une prise d’image de disque dur.

Justement, j’avais envie de partager une nouvelle manière d’effectuer une prise d’image « à travers » le réseau avec mes camarades experts judiciaires qui me font l’honneur de me lire sans pester devant leurs écrans.

Il ne s’agit pas de révolutionner la technologie, mais simplement d’écrire un petit billet aide-mémoire et pourquoi pas de rendre service aux OPJ informatiquophile.

Ingrédients.

Il vous faut:

– un ordinateur « A » dans lequel vous placerez le disque dur extrait du scellé

– un réseau représenté par un switch si possible d’1Gb/s

– un ordinateur que j’appellerai « Catherine » en l’honneur de Pierre Desproges qui nous a quitté trop tôt. Cet ordinateur vous servira pour l’analyse et doit être muni d’un espace disque disponible confortable.

– un cédérom avec la distribution DEFT Linux Computer Forensics live cd la bien nommée

– et enfin, un carnet papier pour vos notes et un stylo qui marche.

Hypothèse de travail: l’ordinateur « Catherine » est équipé du système d’exploitation Windows 7, que l’on appelle également Windows Vista Final Edition, ou Windows NT 6.1.

Mode opératoire.

Après avoir branché vos câbles réseaux, après avoir désactivé le boot sur disque dur de l’ordinateur « A », après avoir testé le boot sur cédérom DEFT de l’ordinateur « A », vous pouvez commencer vos opérations:

– notez la marque, le modèle et le numéro de série du disque dur extrait du scellé

– branchez le dans l’ordinateur « A » (ordinateur éteint)

– bootez l’ordinateur « A » sur le cédérom DEFT

– à l’invite sur « A », configurez le réseau,

par exemple avec la commande

A# ifconfig -a eth0 192.168.0.10

– vérifiez la communication avec l’ordinateur « Catherine »,

par exemple avec la commande

A# ping 192.168.0.20

– sur l’ordinateur « Catherine », créez un répertoire de partage « darkstream » destiné à recevoir le fichier « image.dd », par exemple, en faisant « clic droit » sur le dossier « darkstream », puis « partager avec » et choisissez un compte protégé par mot de passe, par exemple le compte « zythom ». Lui donner l’autorisation lecture/écriture.

– de retour sur l’ordinateur « A », vous allez créer un répertoire d’attachement:

A# mkdir /mnt/darkstream

– puis vous allez saisir la commande magique:

A# mount -t cifs //192.168.0.20/darkstream -a username=zythom /mnt/darkstream

et répondre à la demande du mot de passe du compte zythom.

– finalement, vous pouvez commencer la copie numérique à travers le réseau en utilisant la commande suivante:

A# dd_rescue /dev/sda /mnt/darkstream/image.dd

commande qui a le mérite d’accepter la présence de blocs défectueux sur le disque dur à numériser.

Vous pouvez alors aller vous coucher en croisant les doigts pour que le disque dur extrait du scellé ne choisisse pas ce moment pour rendre l’âme et vous obliger à lire en détail l’assurance en responsabilité civile que vous avez judicieusement pensé à prendre pour couvrir vos opérations d’expertise. Il n’est pas drôle d’expliquer au magistrat qui vous a désigné que vous avez manqué de chance dans son dossier Darkstream où il vous demandait de retrouver des « listings » Excel. Personnellement, je dispose un grand ventilateur de bureau dirigé vers le disque dur pour assurer son refroidissement (mais je croise les doigts quand même).

En fois la prise d’image numérique terminée, vous pouvez éteindre l’ordinateur « A » et en retirer le disque dur que vous replacerez dans le scellé d’origine.

Il vous reste alors à supprimer le partage du répertoire darkstream sur l’ordinateur « Catherine » (le partage hein, pas le répertoire) et à imposer l’attribut « lecture seule » sur le fichier « image.dd »

Et maintenant, commence l’analyse de ce fichier, avec des outils tels que « liveview » pour un démarrage du disque dans une machine virtuelle, ou « Sleuth kit et Autopsy« , ou le très onéreux EnCase® Forensic mais ça, c’est une autre histoire…

La récupération de données, faites la vous-même

Publié le 22 décembre 2009 par Zythom

Vous avez veillé tard hier soir, vous avez malencontreusement effacé un document important, malgré les conseils de David .J. Way…

Vous allumez votre ordinateur et, horreur, celui-ci ne redémarre plus, et affiche au choix: un curseur clignotant sur fond noir, un écran bleu, un message sibyllin au sujet d’un fichier manquant apparemment indispensable (NTLDR?)…

Vous faites un grand ménage de vos fichiers et, croyant travailler sur une copie de répertoire, vous effacez toutes vos photos de votre voyage exceptionnel sur l’ISS…

Votre petit dernier a eu la bonne idée de supprimer votre dossier « accord final avec les chinois » pour faire de la place pour son dernier FPS, TPS, RPG, RTS ou sa variante MMO…

Et bien entendu, votre dernière sauvegarde (choisir une ou plusieurs mentions):

– date de Mathusalem

– quoi, quelle sauvegarde?

– est sur un cédérom ayant servi de sous-verre à votre dernier Mathusalem

– est complète, mais non restaurable (pas de cédérom de boot, ni de logiciel adhoc)

– se trouve hors de portée sur la planète Mathusalem

– se trouve justement sur le disque dur de l’ordinateur en panne…

Bienvenu dans le monde impitoyable des problèmes informatiques.

Première règle: empêcher toute écriture sur le disque dur à problème. Par exemple, en éteignant l’ordinateur.

Seconde règle: réfléchir calmement pour éviter tout mauvais choix. C’est le moment de proposer une pause à votre enfant réclamant son jeu. N’hésitez pas à avertir votre mari/épouse/conjoint(e)/concubin(e)/amant(e)/copain(e)/colocataire/confrère/collègue/patron/subordonné/partenaire(s) sexuel(s) que vous avez un GROS problème à gérer et qu’il vous faut calme et silence. Débranchez le téléphone. N’appelez pas un ami. N’essayez pas le 50/50, ni l’avis du public.

Troisième règle: ne rien entreprendre que l’on ne maitrise pas. Ce n’est pas le moment pour essayer « un truc », surtout si c’est le fils du voisin « qui s’y connait bien » qui vous le conseille. Y’en a qui ont essayé, ils ont eu des problèmes!

Hypothèse de travail: votre disque dur semble fonctionner. Il ne fait pas de « clac clac » et ronronne normalement. Si ce n’est pas le cas, ou s’il s’agit d’une clef USB ou d’un disque SSD qui ne fonctionne plus sur aucun autre ordinateur, alors il ne vous reste probablement plus qu’à écouter cette musique. Si vous avez supprimé votre dossier le mois dernier, et que depuis vous avez défragmenté un disque dur rempli à 99%, ou si vous avez utilisé un outil tel que UltraShredder, WipeDisk ou WipeFile de votre LiberKey, il est peu probable que vos données soient récupérables, et dans ce cas: musique.

Que faire? La liste des opérations qui suivent ne prétend pas être la meilleure, ni exhaustive, ni complète. C’est MA liste de conseils, SGDZ. Elle pourra évoluer au gré de mes humeurs et des commentaires des lecteurs (dont je m’approprierai honteusement les bonnes idées).

1) Copie du disque endommagé.

– C’est un réflexe d’expert judiciaire. Je ne travaille jamais sur le disque dur d’origine. Si votre disque dur est en train de vous lâcher, il est préférable d’en effectuer une copie qui, certes, stressera votre disque, mais une fois seulement.

– Une fois la copie effectuée (voir ci-après), rangez votre disque dur et n’y touchez plus.

– Si votre disque d’origine n’est pas trop gros et que vous avez de la place, n’hésitez pas à dupliquer la copie. Vous pourrez alors essayer différents outils de récupération (voir ci-après) et en cas de fausse manip (loi de Edward Aloysius Murphy Jr.), vous pourrez toujours redupliquer la copie, sans toucher au disque dur d’origine. Vous n’avez pas beaucoup de place, n’est-ce pas le moment d’acheter un petit disque de 2To qui pourra toujours vous servir ensuite d’espace de stockage de vos sauvegardes?

– Si vous avez un seul ordinateur, courez acheter un disque dur USB externe (de taille supérieure au votre). Paramétrez votre BIOS pour démarrer sur le disque dur USB sur lequel vous allez installer un nouveau système tout neuf. Il vous suffit ensuite de taper la commande (si Windows, exécution sous cygwin):

dd if=/dev/disque_dur_origine of=nom_de_fichier_image

– Si vous avez deux ordinateurs (et un réseau), il me semble plus pratique de procéder comme indiqué dans ce billet, et de procéder ainsi à une prise d’image à travers le réseau. En résumé: côté PC de travail (si Windows, exécution sous cygwin)

nc -l -p 2000 > nom_de_fichier_image

et côté PC avec disque dur contenant les données endommagées, boot sous DEFT, lancement dans un shell de la commande

dd if=/dev/disque_dur_origine | nc IP_PC_de_travail 2000

– Dans tous les cas, si la commande dd ne fonctionne pas à cause de la présence de secteurs défectueux, il est possible d’utiliser la commande dd_rescue ou sa sœur ddrescue.

2) Les outils de récupération.

Comme j’ai déjà bien travaillé sur ce blog, je vous invite à lire ce billet. En résumé, je vous propose d’utiliser l’outil PhotoRec. Avec cet outil, vous pourrez récupérer tous ces fichiers là.

Vous pouvez également utiliser le live CD INSERT, sur lequel vous trouverez quelques uns des meilleurs outils de récupération (gparted, gpart, partimage, testdisk et recover).

Les linuxiens pourront utiliser avec succès le live CD PLD RescueCD avec entre autres les outils gzrt, disc-recovery-utility, e2retrieve, e2salvage, foremost, gpart, recover, recoverdm, et scrounge-ntfs.

3) L’entrainement, il n’y a que cela de vrai.

Plutôt que d’attendre que la catastrophe n’arrive, essayez un peu de récupérer un fichier effacé exprès.

Mettez en place une stratégie de sauvegarde.

Mettez en place une stratégie de sauvegarde ET de restauration.

Mettez en place une stratégie de sauvegarde ET de restauration ET testez les.

Un peu de lecture ne fait pas non plus de mal:

– DataRecovery de la communauté Ubuntu

– Data Recovery de Wikipedia (en anglais)

– La distribution Operator (Live CD)

Vous vous sentez fort et sur de vous… Vos données ont « ceinture et bretelles »? N’oubliez pas qu’une panne arrive même aux meilleurs: Sid et /tmp, Chappeli et la poubelle (du copain?)…

4) Et après?

Si le disque dur contenant les données perdues vous semble un peu vieux, séparez vous en (en l’amenant à une déchèterie spécialisée). Ne le conservez pas pour faire des sauvegardes ou pour y stocker des données peu importantes (toutes vos données sont importantes). N’oubliez pas d’effacer les anciennes données avant de vous débarrasser du disque.

Si vous arrivez à récupérer tout seul vos données perdues, laissez moi un petit commentaire sous ce billet 😉

Si vous avez utilisé le superbe outil PhotoRec ou TestDisk, envoyez quelques anciennes pièces de monnaies à l’auteur du logiciel Christophe GRENIER, je suis sur que cela lui fera plaisir.

Si vous avez utilisé exceptionnellement une distribution Linux ou des outils OpenSource, pourquoi ne pas continuer?

Connaissez-vous Firefox, Thunderbird, Liberkey, Tristan Nitot, Framasoft? N’hésitez pas à soutenir toutes ces personnes.

Allez réconforter votre mari/épouse/conjoint(e)/concubin(e)/amant(e)/copain(e)/colocataire/confrère/collègue/patron/subordonné/partenaire(s) sexuel(s) en lui expliquant que vous étiez très énervé quand vous lui avez parlé durement. Idem pour votre enfant et son ~~maudit~~ jeu.

Et n’oubliez pas de rebrancher le téléphone.

SAN Ku Kaï

Publié le 27 août 2009 par Zythom

Ma vision de l’expert judiciaire en informatique, c’est qu’il s’agit d’un généraliste de l’informatique, qui doit connaître un peu de tout, plutôt qu’un spécialiste qui connait tout d’un domaine particulier.

Un peu comme médecin généraliste vs médecin spécialiste.

Et finalement, professionnellement, c’est ce que je suis un peu: je dois gérer un réseau informatique de 300 PC, des serveurs de fichiers, des serveurs d’impression, des serveurs d’applications, des serveurs de sécurité, des serveurs d’accès à internet, des serveurs internet, des achats informatiques, des switchs réseaux, etc. Sans pour autant être spécialiste de chaque question.

Bien entendu, je suis aidé par une équipe de deux techniciens (plus) compétents, mais ils ont également à gérer le même éparpillement des connaissances.

C’est pourquoi quand j’ai commencé à m’intéresser de près au remplacement de notre « vieux » système de stockage des données de l’entreprise/école, il m’a fallu aborder de front le monde inconnu du stockage.

Dès le début, j’ai rencontré quelques difficultés de vocabulaire, mais comme je les ai déjà évoquées dans ce billet, je n’en reparlerai pas ici.

Je vais essayer de faire un billet « retour d’expérience » pour les responsables informatiques qui pourraient se retrouver dans le même cas que moi.

1) Définition du problème:

Faire évoluer un système de stockage qui concentre toutes les données des utilisateurs. Ce système consiste en une baie de disques SCSI d’une capacité totale maximale de 320 Go. Cette baie est gérée par un serveur dédié fonctionnant sous Novell Netware.

2) Premières décisions:

Si possible, le nouveau système doit permettre de continuer à faire fonctionner notre organisation basée autour de nos serveurs Novell, avec annuaire EDirectory, sans hypothéquer une éventuelle migration vers du « full Microsoft ».

Après réflexion, et quelques mois de tests, je prends la décision de virtualiser tous mes serveurs pour m’affranchir du matériel et minimiser le nombre de machines physiques. Quatre acteurs dominent le marché de la virtualisation: VMware, Xen, VirtualBox et HyperV de Microsoft. A un moment, il faut trancher et prendre une décision stratégique, et c’est ma responsabilité. Après plusieurs tests et quelques hésitations, je choisis VMware pour sa fiabilité, ses parts de marché et son interface clic&play.

3) Etudes documentaires:

Choisir une solution de stockage demande de connaitre l’état de l’art. Curieusement, grâce à mon blog et suite à ce billet, plusieurs responsables informatiques m’ont contacté et, dans les discussions par emails qui ont suivi, ils m’ont fait part de beaucoup de trucs et astuces qui ont pu faire avancer ma réflexion.

Le plus utile dans mon cas a été l’outil open source « OpenFiler » qui avait échappé à mes recherches googlesques et qui s’est révélé très utile pour comprendre et tester CIFS, NFS et surtout iSCSI grandeur nature. Bref, si vous voulez mettre en place un NAS ou un SAN gratuit…

Merci en tout cas à tous les RSI qui m’ont aidé via mon pseudonyme Zythom!

4) Les fournisseurs:

La chance que j’ai de travailler dans le privé est de ne pas être contraint aux lourdeurs des appels d’offres publics. J’ai mis en place en fait une procédure qui s’appuie sur les avantages des deux systèmes (mise en concurrence, transparence) tout en évitant les inconvénients (lourdeurs des commissions d’ouverture des appels d’offres, rédaction des CCTP et CCAP, etc).

Je rencontre donc plusieurs fournisseurs (j’en parle un peu ici) et plusieurs utilisateurs. Je parle de mon projet et chacun me vante les mérites de son système.

Peu à peu, je me rends compte que les prix des SAN d’entrée de gamme ont baissé et que la meilleure solution pour moi est vraiment de remplacer mon système de stockage par un SAN sur lequel pourront s’appuyer les machines physiques qui hébergeront mes machines virtuelles.

Mais chaque fournisseur met en avant plusieurs solutions avec des caractéristiques techniques très différentes. Comment comparer?

5) SAS ou SATA?

Les disques durs SAS sont très rapides, mais très chers avec peu de capacité.

Les disques durs SATA offrent de très grandes capacités à des prix très abordables, mais un temps d’accès long.

Après plusieurs hésitations, et une visite chez mon voisin universitaire, j’ai choisi de prendre une baie SAN avec beaucoup de disques SATA. J’ai ainsi le beurre (coût intéressant, grosse capacité), l’argent du beurre (nombre d’I/O suffisant car 10 disques) et le sourire de la crémière: j’ai pu acheter deux SAN identiques.

6) Le choix final:

J’ai retenu la solution « deux SAN Dell MD3000i ».

J’ai ainsi un SAN pour le stockage des datastores VMware sur des LUN de 2To basés sur un disque virtuel de 8 disques SATA d’1To en RAID5 avec 2 disques hot spare.

Le deuxième SAN (identique) me permet de disposer d’un matériel de secours en cas de panne majeure sur le premier, et me sert pour entreposer les copies de sauvegardes des machines virtuelles, ainsi que les backups sur disques (qui sont quand même beaucoup plus rapides que les backups sur bandes).

C’est « ceinture et bretelles ».

7) Et maintenant?

J’assume les choix effectués, même s’ils sont évidemment critiquables par des spécialistes. Mais quand on est généraliste, il faut s’appuyer sur les conseils du réseau et sauter à l’eau.

J’ai fini de faire joujou avec les outils de configuration des deux SAN. J’ai créé les LUN. Je suis en train de migrer mes machines virtuelles et de virtualiser les machines physiques. J’en profite pour passer de la version gratuite de VMware ESXi3.5 vers la version commerciale intitulée vSphere Enterprise 4.0. Du coup, je commence à découvrir et à jouer avec VMotion.

Mais cela, c’est une autre histoire.

Libre échange

Publié le 11 mai 2009 par Zythom

Je travaille depuis plusieurs semaines sur les réseaux P2P cryptés et les réseaux F2F afin d’en tester les performances et les propriétés, notamment dans le domaine inforensique. A ce sujet, j’exhume ici un billet d’aout 2007 qui me semble redevenir d’actualité:

——————————-
Edmond Locard est le médecin français créateur du premier laboratoire de police scientifique à Lyon en 1910. Son ambition était de substituer la preuve matérielle au seul témoignage humain par l’analyse systématique des traces laissées par le coupable.

Parmi ses innombrables travaux, le principe dit « d’échange de Locard » reste le plus célèbre:

on ne peut aller et revenir d’un endroit, entrer et sortir d’une pièce sans apporter et déposer quelque chose de soi, sans emporter et prendre quelque chose qui se trouvait auparavant dans l’endroit ou la pièce.

Je pense que ce principe s’applique également lors de la recherche de preuves informatiques. Pour paraphraser Locard,

on ne peut chiffrer et déchiffrer une donnée, l’inscrire ou la supprimer d’une mémoire sans apporter et déposer une trace sur l’ordinateur, sans modifier et prendre quelque chose qui s’y trouvait auparavant.

C’est la base même de l’informatique légale (forensic) pratiquée par un expert judiciaire.

Et bien entendu, comme toujours, se déroule une course permanente entre gendarmes et voleurs pour savoir qui disposera des meilleurs outils techniques. Lire pour cela le très instructif site forensicwiki.org et en particulier cette page.

Cette surenchère se faisant pour le plus grand bonheur des administrateurs informatiques qui disposent ainsi d’outils leur permettant de sécuriser leurs réseaux, ou des utilisateurs qui peuvent ainsi protéger les données des regards indiscrets ou récupérer un mot de passe perdu.

C’est de ce point de vue un débat continuel entre protection de la vie privée et accès à des données permettant de confondre un dangereux criminel.
Débat d’actualité.
——————————-

Parmi tous mes tests, actuellement, le logiciel Peer2me est celui qui me pose le plus de questions.

Déchiffrage

Publié le 22 avril 2009 par Zythom

On me demande souvent comment je procède lorsque les données d’un disque dur ont été chiffrées, ou lorsqu’un mot de passe a été utilisé pour protéger un fichier zippé.

Je vais donc vous délivrer ici même mon secret.

Mais avant, faisons ensemble quelques petites introspections.

Nous aimons bien nous protéger des intrusions d’autrui. Il nous semble naturel de mettre une serrure à clef sur notre porte d’entrée, parfois même un système d’alarme. Pour autant, la nature humaine étant ce qu’elle est, la clef est souvent cachée sous le paillasson ou dans le pot de fleur le plus proche, et le code de l’alarme est 4321, quand ce n’est pas 5555 (qui par hasard est la touche la plus usée).

En informatique, l’humanité qui est en nous reste la même, avec ses défauts et ses qualités: la plupart de nos petits secrets sont protégés par des mots de passe.

J’ai lancé, il y a quelques années, le logiciel « crack » sous Unix, pour tester la sécurité des comptes étudiants. Sur 700 mots de passe, 10 ont été trouvés en moins d’une minute, 50 en moins de dix minutes et enfin 10 en moins d’une heure, soit 10% des comptes crackés en moins d’une heure (avec les ordinateurs de l’époque. Je pense que ce temps peut être divisé par 10 aujourd’hui).

Quelques étudiants utilisaient le login comme mot de passe, d’autres leur prénom, certains poussaient « l’astuce » jusqu’à utiliser un mot écrit à l’envers, ou même en phonétique comme le langage SMS d’aujourd’hui (t1t1 pour tintin…).

Tous les mots de passe constitués d’un mot pouvant être trouvé dans un dictionnaire (y compris en langue étrangère, en phonétique même exotique ou écrit à l’envers) sont trouvés en moins de quelques minutes. Même (et surtout) s’ils sont associés à un nombre représentant plus ou moins une date…

Mais mon secret ne réside pas dans l’utilisation de logiciels tels que John l’éventreur ou Ophcrack.

Le Truc, c’est que chacun tend à la paresse autant qu’il le peut. Nous n’utilisons donc qu’un nombre très réduit de mots de passe. Très très réduit si j’en crois mes statistiques d’expertises.

La plupart des utilisateurs n’utilise donc qu’un ou deux mots de passe. Et ces mots de passe sont soumis à très rude épreuve: pensez donc, l’utilisateur s’en sert pour tous ses comptes emails, msn, meetic, et autres sites web où l’on demande de choisir son mot de passe. Et le plus souvent, ce mot de passe est envoyé par email, à fin de vérification.

Il ne reste plus à l’expert judiciaire qu’à lancer une petite recherche avec comme mot clef ‘mot de passe’ dans le courrier électronique, ou parfois ‘password’ pour récupérer une petite collection de mots de passe très révélatrice.

Parfois, il suffit de regarder dans le navigateur adhoc la liste de tous les mots de passe très gentiment conservée de façon très pratique.

De temps en temps, c’est plus subtil, il faut retrouver les mots de passe dans une page web conservée sur le disque dur par un mécanisme de mise en cache très opportun, en zone non allouée par exemple ou en mémoire cache.

Parfois, c’est vrai, l’utilisateur utilise des moyens sérieux de chiffrement (TrueCrypt avec volume caché), des outils d’effacement efficaces (Eraser par exemple) et des mots de passe sophistiqués qu’il change souvent.

Mais quand je lis les billets des spécialistes de la sécurité (ce que je ne suis pas), comme chez Sid, Nonop ou Expert: Miami, je me dis que finalement, vu les comportements divers et variés des utilisateurs et/ou des entreprises, il est assez normal que je n’ai pas encore rencontré un utilisateur ayant blindé son disque dur sans laisser trainer le mot de passe quelque part.

Et si ce jour arrive, je demanderai aux Officiers de Police Judiciaire ou au magistrat de demander gentiment le mot de passe au propriétaire. On verra bien quelle excuse sera utilisée pour ne pas le donner.

Et enfin, s’il me faut un jour tenter d’analyser le disque dur d’un spécialiste de la sécurité, (l’Admin m’en garde), ou si le disque dur est chiffré par Mme Michu avec la dernière génération de système NSA à clef quantique, j’écrirai alors dans mon rapport:

à l’impossible nul n’est tenu.

Cache cache

Publié le 19 janvier 2009 par Zythom

Il m’arrive de temps en temps de recevoir une enquête par email. En général, elle passe directement à la corbeille, mais cette fois-ci, j’ai eu envie d’y répondre. Toutefois, avant de cliquer sur le lien, par réflexe paranoïaque (non pathologique quand même), j’aime à vérifier qu’icelui renvoie vers le site dont l’email provient.

Or, dans mon cas, le lien envoie vers un site différent, prétendument français (point fr oblige parait-il). Un petit coup de Google sur le nom de domaine du suspect m’informe de la réalité de l’existence IRL de ce site, prestataire annoncé de mon enquêteur.

Au risque d’évoluer vers une psychose paranoïaque constituée, je m’enquiers de la qualité de ce site via un autre navigateur démuni de tous ses attributs javascriptesques, en entrant, non pas le lien envoyant vers l’enquête toujours en attente, mais l’adresse de la racine du site.

Et là, ô rage! ô désespoir! ô vieillesse ennemie!, que vois-je sur la page d’accueil de ce bon site d’une entreprise informatique bien française de chez nous: l’image d’un fier guerrier en rouge sur fond noir, accompagnée d’inscriptions vengeresses et d’une musique guillerette.

Le site avait été piraté!

Une petite analyse du code source me montre quelques traces d’expressions anglaises laissant penser que certains turcs souhaitaient avoir des rapports sexuels avec des grecs.

N’ai-je donc tant vécu que pour cette infamie?

Mon sang ne fait qu’un tour, allais-je laisser ainsi ce site sans figure? En tant qu’internaute premier, n’ai-je pas une obligation d’assistance à site en danger?

Et ne suis-je blanchi dans les travaux guerriers

Que pour voir en un jour flétrir tant de lauriers?

Je décide donc de contacter le responsable du site. Problème: comment?

J’envoie un email à [email protected] et [email protected]

24h passent sans réponse et sans effet.

Les adresses emails obligatoires ne sont plus lues par personne…

Ô cruel souvenir de ma gloire passée!

Mais Zythom ne lâche pas prise aussi simplement!

Une recherche auprès des bureaux d’enregistrement: rien.

Les pages blanches et jaunes sur internet: rien.

Ma collection de vieux bottins papiers… Rien.

Le cache de Google pour retrouver le site avant son piratage: OUI. Sur la page contact se trouve un numéro de téléphone surtaxé.

J’appelle (à mes frais).

Je tombe sur un quidam décentralisé auquel j’explique mon souhait urgent de contacter le responsable informatique de l’entreprise. Miracles, je suis persuasif et il me fournit un numéro de téléphone direct (cela fait deux miracles).

J’ai le responsable informatique en ligne.

Moi: « Bonjour, votre site web a été piraté et sa page d’accueil va vous surprendre. Cela fait déjà 24h que j’ai envoyé un message à votre postmaster, mais cela n’a pas changé grand chose. »

Lui: « Bonjour, attendez, je vais vérifier. »

Lui (en voix lointaine, mais j’ai l’oreille fine): « Hé, Yoda, je crois que quelqu’un essaye de me faire une blague par téléphone… »

Lui (quelques bruits de touches sur un clavier plus tard): « Euh, Monsieur, non, j’ai la page d’accueil du site de l’entreprise sous les yeux, et tout à l’air normal… »

Moi: « Bon, ça doit être un problème de cache ou de site dupliqué. Avez-vous la possibilité de vider votre cache et/ou d’aller sur le site réellement vu par le public? »

Lui: « Attendez, je vide le cache ».

Lui (d’une voix chevrotante): « Œuvre de tant de jours en un jour effacée! »

Lui (reprenant ses esprits): « Merci d’avoir appelé. Nous allons faire le nécessaire ».

Ce haut rang n’admet point un homme sans honneur

Finalement, le site est revenu à sa configuration d’origine quelques minutes plus tard. Une excellente occasion de redécouvrir les différents algorithmes de remplacement des lignes de cache…

Billet d’actualité du dimanche 2

Publié le 11 janvier 2009 par Zythom

Je suis en train de tester Windows Seven (ce billet est publié sous cet OS avec IE8béta). Je dois dire que pour l’instant je suis agréablement surpris: légèreté et facilité de prise en main.

Jusqu’ici tout va bien.

Même l’antivirus Avast semble fonctionner correctement (alors que rien sur le site d’Avast ne précise encore « Windows 7 Ready »).

Bon, bien sur, je n’ai pas encore testé mes vieilles webcams « sans pilote Vista ».

Bref un billet complètement inutile, juste pour dire que je suis dans le vent (ou plutôt sous la mer avec Bubulle, le fond d’écran par défaut…)

Et puis, cela fait du bien de faire une pause.

————————–
Source image: www.rap-francais.com

Aide mémoire LVM

Publié le 11 novembre 2008 par Zythom

Après installation d’une distribution Debian netinstall 40r5, si l’on a fait le choix de monter un LVM sur plusieurs disques (3 fois 20Go par exemple) et que l’on s’aperçoit après installation que seul le premier disque est réellement utilisé (la commande vgdisplay retourne un « volume group size » de 20 Go au lieu des 60Go attendus), il faut:

1) étendre le volume logique aux trois disques:
lvextend -L+40Go /dev/grpvol/root

2) et redimensionner à chaud le système de fichier ext3
resize2fs -p /dev/grpvol/root

C’est la troisième fois que j’ai besoin de régler ce problème (je dois rater quelque chose dans la procédure d’installation. RTFM?) et je rame à chaque fois dans Google avant de retrouver ces deux commandes.
Je saurais où les chercher une prochaine fois:)

PS: C’est toujours amusant d’installer un serveur de 10 ans d’âge, biprocesseur Pentium II, 512Mo de mémoire vive et dont la carte mère n’accepte pas les disques durs IDE de plus de 20Go. Un serveur pour faire des tests bien sur…

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire

Archives par mot-clé : Technique