Shodan utilise un hébergeur Bulletproof (mais pas uniquement)

Shodan utilise un hébergeur Bulletproof (mais pas uniquement)

Introduction

Dans « Le virus du télétravail« , nous présentions le fonctionnement de l’outil Shodan. Pour peu que lecteur n’ait pas connaissance de cet outil, nous l’invitons à se reporter à la lecture de cet article.

Le présent article va s’attacher à quelques recherches sur les hébergeurs utilisés par Shodan. Via l’utilisation conjointe des outils AbuseIPDB, DNSdumpster, Scamanalytics et SecurityTrails, il permettra de mettre en lumière certains fonctionnements inhérents au service, et éventuellement quelques une de ses contradictions.

Recherche de sous-domaines

Il existe de multiples moteurs de recherche dédiés aux noms de domaines. Tous ne donnent pas nécessairement les mêmes résultats. Il convient alors d’en utiliser plusieurs en même temps, de sorte que les résultats obtenus soient à même de se recouper, mais aussi de se compléter. La tâche de l’analyste OSINT est grandement facilitée via des outils comme Intelx, qui permet de lancer une recherche sur 27 sites différents, avec autant d’onglets qui s’ouvrent dans le navigateur.

Dans le cas qui nous intéresse, nous avons choisi de nous limiter à l’utilisation de SecurityTrails, car ses résultats sont présentés de manière pertinente (via des colonnes « Domain » et « Hosting Provider ») et surtout, on a accès gratuitement à leur intégralité. Pour Shodan, les résultats sont ainsi disponibles via le lien https://securitytrails.com/list/apex_domain/shodan.io.

Parmi les résultats, on remarque que certains sous-domaines sont hébergés chez IP Volume Inc, présenté dans l’article OpenFacto « Enquête sur un hébergeur en dessous de tout soupçon », et connu pour être un hébergeur Bulletproof :

census.shodan.io

On remarque ci-dessus que tous les sous-domaines hébergés chez IP Volume Inc se rattachant à census.shodan.io. Par curiosité, nous souhaiterions maintenant obtenir l’intégralité des adresses IP se rattachant à ce sous-domaine : peut être ont elles la même finalité, qui sait ? Via une recherche sur SecurityTrails, on ne trouve rien de plus. Qu’à cela ne tienne ! Essayons sur DNSdumpster :

Un peu de tri

A l’exception des adresses mentionnant explicitement le domaine shodan.io en sous-titre (comme 216.117.2.180, qui ne semble être qu’une page d’affichage comme l’atteste https://urlscan.io/ip/216.117.2.180), on procède à des recherches sur AbuseIPDB :

Les recherches sur AbuseIPDB ne prétendent pas à l’exhaustivité mais il apparaît que les adresses IP trouvées sont très actives. Qu’en est il du niveau de confiance des hébergeurs ? Scamanalytics est à même de nous donner un ordre d’idées :

Éléments de conclusion

Shodan a recours aux services de IP Volume Inc mais a également recours aux services d’autres hébergeurs qui apparaissent à priori plus standards.

Si le lecteur se réfère aux logs AbuseIPDB, il verra que les services de Shodan sont par nature très intrusifs :

  • https://www.abuseipdb.com/check/185.142.236.34
  • https://www.abuseipdb.com/check/89.248.167.131
  • https://www.abuseipdb.com/check/71.6.199.23

De ce fait, tout du moins en se basant dans une optique pratico-pratique, le recours à des hébergeurs Bulletproof apparaît comme tout à fait logique. En effet, ces hébergeurs sont peu regardants sur la nature de ce qu’ils hébergent, et leurs services « abuse », pour peu qu’ils soient sollicités, ne sont pas nécessairement réactifs, à juste titre, car la capacité intrusive est un des socles de Shodan.

Quant aux questions d’éthique et de probité liées au recours à un hébergeur Bulletproof, ce n’est pas l’objectif de cet article et nous laisserons le lecteur seul juge.

Le pivot est dans la boîte

Le pivot est dans la boîte

Introduction

Par le biais de deux exemples choisis en connaissance de cause, nous nous proposons d’explorer les vertus du pivot basé sur des adresses de boîtes postales, le tout simplement renseigné dans un basique moteur de recherche. On pourra alors s’apercevoir combien la puissance de l’OSINT réside parfois dans le choix des pivots, et pas uniquement dans la combinaison de ces derniers.

Point de départ

Un repérage sur le célèbre site HelloAsso nous permet de découvrir les activités de l’association Entraide Solidarité Europe (https://www.helloasso.com/associations/entraide-solidarite-europe-ese), ainsi que son adresse de boîte postale:

Au premier regard, tout semble normal : de l’entraide, et de la solidarité …

Et des courriers jusqu’aux plus hautes instances de l’Etat !

Quand on commence à creuser …

… on retrouve la même adresse de boîte postale, mais associée à un certain « Comité d’Entraide aux Prisonniers Européens »

Après quelques recherches, on retrouve même l’adresse du site web de ce CEPE, certes fermé, mais avec quelques traces sur Wayback Machine :

https://web.archive.org/web/20060819073315/http://www.cepe-liberte.com:80/AppelLajoye.pdf

Le document en question est un appel à la libération de Michel Lajoye, un militant français d’extrême droite emprisonné pour un attentat à la bombe dans un café arabe du Petit-Quevilly commis en 1987 (https://fr.wikipedia.org/wiki/Michel_Lajoye). On retrouve dans ce document toujours la même boîte postale, cette fois ci doublement nommée ESE/CEPE, ainsi que la liste des premiers signataires de l’appel :

On notera qu’une recherche sur le nom de domaine entraide-solidarite.com nous permet de retrouver un des signataires de l’appel :

Solidarité et soirées de soutien

L’action solidaire repose aussi parfois sur l’action collective. Ainsi, dans Rivarol n°2888 (16/1/2009, https://pdfslide.net/documents/28685486-rivarol-2888.html) le CEPE s’efforce de promouvoir son action à travers des soirées de soutien :

Cependant, lors de l’annonce d’une soirée, il convient de mentionner l’adresse exacte, ce genre d’erreur pouvant être source de désagréments :

Comme une apparition …

Au gré de nos recherches sur le CEPE, une nouvelle boîte postale apparaît :

Telle le petit Poucet, cette nouvelle boîte postale nous amène de multiples petits cailloux :

Pour mémoire, l’article suivant rappellera au lecteur l’histoire associée à Unité Radicale :

https://www.liberation.fr/evenement/2003/07/14/unite-radicale-rebaptisee-mais-toujours-haineuse_439662

On retrouve également l’adresse postale sur un historique d’enregistrement(s) pour un nom de domaine :

Le site association-sdf est clôturé mais il en reste quelques traces sur archive.org :

https://web.archive.org/web/20041217083131/http://www.association-sdf.com/pourquoi.html

En guise de conclusion

Dans ses filets, le travail sur ces deux boîtes postales de Nice et Nîmes a pu drainer de multiples personnes et différents groupuscules et organisation. Arguer que l’ensemble de ces intervenants est lié entre eux n’est bien évidemment pas suffisant. Pour peu que l’on souhait pousser les investigations de cet article plus loin, il importera de se doter de multiples sources permettant de corroborer ces premières recherches.

Dans tous les cas, à travers les exemples qui ont servi de base à cet article, on pourra retenir que l’OSINT peut très bien s’incarner de manière forte à travers des objets aussi peu techniques qu’une adresse de boîte postale.

Atelier – Exposing the Invisible / Exposer l’Invisible  – Rennes – 10/12 février 2020

Atelier – Exposing the Invisible / Exposer l’Invisible – Rennes – 10/12 février 2020

Exposing The Invisible

Les 10, 11 et 12 février 2020 s’est déroulé à Rennes (35), l’atelier « Exposer l’invisible » , organisé par Tactical Tech, et animé par Xavier Coadic. Cet atelier posait les bonnes questions : si l’investigation fait de plus en plus partie de notre quotidien, comment collecter et utiliser nos recherches afin de les diffuser et/ou stocker en laissant la moindre trace possible ? Qu’est ce qui constitue une bonne preuve ? Quels sont les éléments les plus importants pour mettre en place une bonne enquête ?
Cet atelier destiné à tous publics, se proposait donc de faire découvrir une collection de ressources collaboratives accessibles à toutes personnes intéressées par la collecte de preuves ou l’utilisation d’investigations comme forme d’engagement civique.

Sandy, adhérente à Open Facto, a pu participer à cet évènement et approfondir beaucoup de choses : les outils, la sécurité, la notion d’investigation…
Parmi ces outils, et outre les classiques GoogleDorks et HIBP, on signalera tout particulièrement :

  • ad.watch, qui propose de suivre l’activité de publicité des partis politiques sur les réseaux sociaux, y compris pour la France,
  • Nitter, une interface d’un nouveau genre pour Twitter, dont le code source est disponible sur Github, permettant de manipuler ce réseau social sans traqueurs publicitaire ni limitation d’API.
    Il est par exemple possible avec Nitter de consulter les médias d’un compte sans se connecter…

Au delà de ces outils de recherches, et pour élargir le panel bien au-delà des simples outils de recherche et de consultation en ligne, les participants ont pu découvrir Tails, la distribution linux bootable, qui est devenue sa meilleure amie durant cet atelier : découverte du concept de sécurité, et de la possibilité de se créer sa propre clé USB, permettant une mobilité et une flexibilité importante.

Pas forcément facile à apprivoiser tout de suite pour quelqu’un habitué à l’environnement Windows, l’accompagnement pédagogique de Xavier a permis une belle progression tout en douceur pour Sandy!

Les fondamentaux de l’utilisation des coffres fort à mots de passe, du chiffrements de disques  et de la bio-investigation ont bien évidemment été abordés!

On dit souvent qu’en matière d’OSINT, la collaboration est la clef, et pour le coup, la grande participation collective, tenant également au choix judicieux des lieux utilisés (cafés et différents lieux à l’extérieur, afin de sortir d’un cadre de type « réunion/formation »…)  a permis le bon déroulement de l’atelier.
Tous les participants ont pu échanger librement leurs idées, leurs compétences, leurs polyvalences et prendre le temps de s’aider. Un kit a été transmis à tous les acteurs de ce workshop.
Trois jours de bonnes surprises, avec une grande investigation sur le terrain afin de se rendre au plus près de l’invisible et d’en ressortir un nombre important d’éléments que l’on ne soupçonne pas à portée de notre main.

Débutants ou confirmés, n’hésitez jamais à participer à ce genre d’évènements et de formations très pratiques!!

Un grand merci à Xavier, un maître enquêteur! 😉