mercredi 17 décembre 2008

FireFTP et FireGPG

Quelques infos utiles pour ceux qui comme moi auront rencontré un crash de Firefox, ou un message d'erreur disant que gpg est introuvable, lors de l'utilisation de FireGPG lorsque FireFTP est installé (non, ne me parlez pas de sécu, j'ai installé FireFTP sur mon eeepc uniquement comme client ftp d'appoint, je ne l'utilise pas dans la vraie vie sinon)

jeudi 11 décembre 2008

Plus de jeunesse

Un article sur les gens qui traffiquent leurs notes à l'université. Ca vaudra jamais un bon vieux site web avec une section "membres" (étudiants) que l'on peut nommer "intranet de l'école", (mal) codé par des gens n'ayant aucune notion en sécu-web et permettant un accès total aux ressources pédagogiques et administratives via un vieux hack (hint: un fichier de log en 0644 contenant des mots de passe (dont ceux de l'équipe pédagogique) en clair accessible via une sorte de directory traversal).
A moins que ça soit déjà de ça qu'il s'agit...

mercredi 10 décembre 2008

Le retour de la vengeance des chinois

Et on en remet une couche avec les chinois. Bon, bien que la tentation d'accuser ces chinois puisse être la plus forte, quand ils disent qu'ils ont tracé les IP et que ça menait jusqu'en chine, on devrait leur rappeller qu'un serveur en chine a peut-être été r00té (ou plusieurs) par des "hackers" d'une autre nation avant de lancer des attaques depuis ce/ces dernier(s) , avec le but de discréditer un peu la chine (ou pas).
En fait on devrait surtout se demander qui, dans un gouvernement, et pourquoi, utilise gmail pour des mails plutôt sensibles. Non pas que l'on ne sait pas qui fait quoi sur les serveurs, mais à peine. Bon tout ça me rappelle un type avec des mails "confidentiels" sur son compte chez Orange. Bon c'était un vieux. Enfin bref, supposons. Mais alors on peut espérer qu'il y a chiffrement des mails (nevar 4get: gnupg is good for you), mais en fait pas du tout. Puis manque de bol, ils ont pas d'argent pour embaucher des mecs un peu compétents dans le domaine (bon en même temps, vu les boulets qui sortent des écoles d'info/telco et qui préfèrent être payés un peu plus cher pour faire du php, pour une grosse SSII pour frimer devant les potes plutôt que faire des trucs plus intéressants, avec un salaire moindre, dans le public...(exemple réel, mais je ne devrais pas généraliser))
Notez cependant dans l'article, le passage faisant état de programmes chinois capables de faire du déchiffrement, et contourner les systèmes de sécurité. Comme ils sont forts ces chinois.

Bon à part ça, The Shield c'est fini. Le season finale était génial. Beaucoup de spéculations sur comment ça finira auparavant (mort ? pas mort ?), et en fait, la manière dont ça finit est parfaite. Vlà une série qui me manquera un peu.

mercredi 29 octobre 2008

samedi 25 octobre 2008

mardi 14 octobre 2008

GTalk quote of the day (Nevar 4get)

Parce que celle-ci ne doit jamais tomber dans l'oubli (sortie y'a 5 minutes):

vendredi 10 octobre 2008

Parts de marché Google Chrome

C'est fun des articles comme celui-ci. Il faudrait espérer quoi de la part d'un navigateur dont la version beta est sortie il y a à peine plus d'un mois ? D'autant plus que les gens n'ont pas forcément envie de changer leurs habitudes une fois de plus (les *gens* qui ont fait le saut de IE vers Firefox déjà, si en plus ils doivent encore passer à un autre navigateur...)
D'autant plus que Chrome n'a pas forcément eu une super pub avec toutes ces histoires de données personnelles communiquées à Google (les gens n'ont encore jamais fait une recherche sur leur nom de famille pour savoir la quantité de données qu'ils balancent sur les Facebook (le LinkedIn/Viadeo des jeunes) et autres trucs du genre, sans qu'un browser s'y mèle)

jeudi 2 octobre 2008

Windows Mobile for fun and profit

Bon, un peu useless cette "attaque". C'est grace à cette "feature avancée" que je peux me connecter à IRC via mon laptop relié à mon téléphone dans le tgv (avec du lag variant de quelques 1/10 de seconde à presque une minute) sans forcément avoir configuré de profil activesync. Attention, je ne sniffe pas de traffic metasploit pour exploiter une faille d'un Windows (patché de toutes façons - ce qui ne me rend pas invulnérable pour autant, je le sais bien) pour en faire un exploit à lancer depuis un Windows Mobile relié à un Windows XP/2003/lol via usb afin de lancer un nc.exe à "distance" (en fait, de l'IP over USB hein) ainsi qu'un nc.exe spécial windows mobile/CE qui attendra que je lui envoie des commandes (à distance, mais via une connexion wifi adhoc ou équivalent) et qu'il bridgera vers le nc.exe ouvert sur l'autre machine.
Parce que ça implique qu'on y laisse son téléphone/pda relié. Ca fait un peu cher la backdoor quoi.
Bon puis à part ça, après le gros buzz de cet été sur DNS, nous voici avec un DoS qui nous replonge 10 ans en arrière avec les Teardrop/Nestea/Land/etc...
Bon puis on ne parlera pas du clonage des passeports à base de RFID.

mercredi 24 septembre 2008

Ben voyons

Et ils voudraient pas 100 balles et un mars aussi ?
"The Chinese government said it needs the source code to prevent computer viruses taking advantage of software vulnerabilities and to shut out hackers."
A moins que ça soit "The Chinese government said it needs the source code to help its hackers taking advantage of software vulnerabilities to spy on the planet". Sans oublier la possibilité que ça soit tout simplement un moyen de pomper des technologies (mais à ce niveau là, on ne peut même plus parler d'espionnage industriel)
Parce que bon: "The envisaged system is likely to target products such as IC cards, digital copiers and possibly flat-panel TVs.", des failles de sécurité dans des écrans plats...ensuite je sais pas, peut-être que les super écrans plats lolHD que les gens du dehors ont achetés pour regarder la coupe du monde de football peuvent se connecter à internet, et dans ce cas on pourrait les pwner (ah ça, le parti communiste chinois qui obligerait tout le monde à regarder la télévision homologuée, ...)
Vivement la suite.

lundi 15 septembre 2008

os senhores da guerra

Sous ce titre quelque peu  étrange se cache une expression qui, en anglais, m'a bien fait rire lorsqu'avec du recul je suis retombé sur un site découvert il y a une dizaine d'années, qui en utilisait massivement: W4rl0rD. (Dans ce titre se cache également un très beau morceau de Madredeus, repris par le groupe Moonspell (groupe de heavy metal portugais))
Et cette expression m'a paru prendre toute sa dimension lorsqu'il y a peu, j'ai découvert le forum backtrack-fr. J'ignorais que dans les bad-fonds de ce qu'il reste de ce qu'était Internet pouvaient se tapir des forums aussi merveilleux que celui-ci. Enfin pas depuis qu'un soir d'ennui à l'epitech moi et deux potes ne tombions sur le forum de "dothazard", avec sa palanquée de types qui valaient leur pesant d'or en connerie, avec par exemple ceux qui trouvent des satellites warez (sisi, juré, je dois encore avoir une sauvegarde de la page, tellement c'était énorme).
Comme souvent sur ce genre de forums, l'OP (initiateur du thread ("original poster")) n'est pas bien méchant et demande juste un coup de main sur un truc. Et c'est là que quelque chose me dérange un peu en soi. Dès que c'est pour faire un truc qui semble illégal (accéder à une machine dont ils n'ont pas l'accès généralement), il n'y a que des réponses du genre "beuuh c'est pas bien blablabla". Premier post que je lis, le voici: http://forum.backtrack-fr.net/viewtopic.php?id=776
Ce post est un condensé de toute la naïveté qu'on aime lire par moments, lorsqu'on aime bien décompresser avant une démo le lendemain. J'ai surtout bien aimé le "il suffit d'uploader une backdoor sur le serveur ftp". Ben oui, c'est tellement simple mâme Michu. Surtout lorsqu'on a pas, à priori, d'accès. Et encore faut-il pouvoir l'exécuter, selon où on peut uploader, mais je ne vous apprends rien de toutes façons. Bon, puis je passerai sur les "attaques via tunneling". Je ne savais pas que le tunneling était une attaque (ou un type d'attaque, vu la définition, large -vous en conviendrez- de tunneling)
Et là, Deus ex macchina (ou pas): "TIn mais jvais rien dire vais laisser les autres parlé car c'est lamentable." Bon sans compter les chartes du forum, tout ça. Et surtout, les "blabla espèce de lamerz". Oui. Car il n'y a aucun mal à être conscient de faire partie de l'élite. Du moins il semble.
Mais en gros, typiquement le genre de post qui ne sert à rien (tout comme mon post actuel que vous êtes en train de lire, mais qui a le mérite de vous faire découvrir un forum super intéressant (ou pas, toujours)).
Bon, j'ai brisé plusieurs semaines de silence sur ce blog pour parler d'un forum...ah ah.

dimanche 3 août 2008

X-Files: I want to believe

En tant que fan d'xfiles de la première heure (enfin presque), je me suis senti obligé d'aller voir le second film qui en a été fait. Ahem...échec critique. Enfin ok, la série elle-même ne tournait pas tout le temps autour de la "conspiration" (le truc du gouvernement et ses secrets), il y avait par moments les fameux "loners", sans lien apparent avec le reste de l'histoire (les loups garous, les vampires, les maisons hantées, etc). Ce film aurait pu être un de ces épisodes, mais sans les ingrédients qui rendaient la série intéressante à l'époque. "L'histoire du jour" tourne autour d'une reprise des expériences du Pr Demikhov, mais sur des humains, avec donc des humains enlevés pour leur voler leurs organes (tout cela me rappelle des événements récents à Marseille), dont un agent du FBI introuvable. Pour la retrouver, ils font appel à un ancien prêtre pédophile qui a des visions, parfois. Mais vu qu'ils y croient pas trop à tout ça, ils font appel à l'ancien agent Mulder (qui n'est donc plus au FBI et a une barbe de geek) pour interpréter ces visions. Pour un peu, je me serais endormi dans la salle.

vendredi 4 juillet 2008

diff

Comme quoi, c'est un peu ce monde et l'autre. Même si, côté français, je suis carrément sceptique quant aux capacités de des "petits hackers" à faire des audits de sécurité réellement poussés. Et, avis perso, je ne suis pas certain que ça donne réellement le bon exemple. En un sens, ça pourrait leur faire penser qu'ils ont le droit de rooter des machines à peu près impunément.
En attendant, je vais retourner à ma lecture.

samedi 14 juin 2008

gpcode & lolz

Bon, tout le monde a forcément déjà entendu parler de ces malwares qui, lorsqu'on se les chope, chiffrent tous les fichiers .doc, .xls, .jpg, ... enfin tous les documents qui ont de très fortes chances d'être des fichiers perso de l'utilisateur, le tout avec du RSA 1024 bits. Du coup, kaspersky s'est mis en tête de péter cette clé privée! Tout simplement hallucinant.
Même Bruce "Norris" Schneier se marre de cette idée de Kaspersky estimant qu'obtenir la clé privée est envisageable en moins d'un an. Bon, heureusement, l'idée d'exploiter une "faiblesse" de gpcode avec photorec est apparue, du coup il y aura peut-être bientôt des malwares qui font un shred sur les fichiers originaux après les avoir chiffrés avec un truc à base de courbes elliptiques (en fait, ne pas shredder un fichier après l'avoir chiffré, c'est méchament minable). Puis de toutes façons, vaut mieux toujours avoir des backups des données importantes (ouais pour un particulier, c'est dommage de paumer ses photos de vacances, mais pour une entreprise, ça peut couter plein de pognon tout ça)

dimanche 8 juin 2008

SSTIC (rump sessions)

Dernier post pour mon pseudo compte-rendu du SSTIC; post qui sera d'ailleurs un peu court, dans la mesure où je ne me rappelle pas de toutes les rump-sessions (il y en a eu une bonne vingtaine), mais en vrac, le SSTIC-Canal Historique nous a présenté son site :), puis on a eu droit à une annonce pour la conférence C&ESAR du CELAR qui aura lieu courant décembre 2008, Cédric Blancher a fait un truc à la nikoteen du SSTIC 2006 avec un faux script shell permettant de faire croire que les signatures DSA utilisées par le site permettant la télédéclaration des revenus étaient faibles (à cause du fameux problème de sécurité causé par un package maintainer debian, enfin n'entrons plus dans les détails), des gens de FT R&D ont présenté un outil de leur conception permettant justement de retrouver une clé de session SSH vulnérable en environ 5 minutes max (!) et accessoirement de déchiffrer des connexions SSH capturées dans des traces pcap, un appel à contribution pour qui possèderait de telles traces des deux dernières années a été lancé :), des gens du CEA (je crois) ont présenté un outil de représentation graphique du traffic réseau (en particulier le traffic offensif, genre port 135, etc) sous forme de cube, même si j'ai pas tout compris, l'ESL (à ne pas confondre avec le LSE, fin du troll) a présenté une nouvelle manière de faire des blind injections sql en utilisant des retardateurs dans les requêtes, le tout permettant de faire une sorte de mini botnet pour ne pas laisser de traces, nikoteen, le fameux, a montré comment, une fois qu'on a une connerie dans la tête, il est difficile de passer à côté, en illustrant ça avec "Still Loving You" de Scorpions (une chance que je connaisse les paroles originales, sinon ça en était fini de moi) et le passage où on *peut* entendre "ce soir j'ai les pieds qui puent" en lieu et place de "[...] so strong that I can't get through" (ceux qui ont déjà écouté Cradle of Filth connaissent le passage où Dani donne l'impression de crier "j'aime le saucisson!" (à la place de "that obsesses the heart") dans le morceau Lustmord and Wargasm de l'album Cruelty and The Beast, vers 1:50), puis une présentation d'un firewall qui fait du filtrage aussi en fonction de la météo, mais ce n'était qu'une couverture pour présenter des bindings à netfilter :), Christophe Grenier nous a parlé de son outil Photorec (dont j'avais déjà pu lire un exemple typique d'utilisation sur le site de Cedric Blancher), Nicolas Ruff a raconté quelques déboires avec des serveurs HP pour utiliser la virtualisation dessus, et comment en lisant juste un listing assembleur dans une doc, il était possible de trouver un mot de passe permettant de l'activer...puis une petite présentation de la gestion des risques dans un datacenter je crois, dans le canton du jura en suisse, un jour d'inondation, un truc assez amusant :) puis j'en oublie plein d'autres je pense, cf commentaires (:p) avec un plugin IDA permettant le repérage de failles applicatives (stack overflows pour le moment). Dommage que ma vidéo de 1h18 de rumps soit d'une qualité assez pourrie. Je pense que ça va me motiver à me prendre un vrai appareil photo, ou un camescope numérique l'an prochain...

samedi 7 juin 2008

SSTIC Jour 3 (le dernier !)

* Bon, je vais maintenant tenter de résumer le jour 3 du SSTIC, qui a commencé par un talk que je n'ai pas suivi dans son intégralité (le social event cause de gros dégats), qui avait cependant l'air très intéressant, dont la thématique tournait autour des environnements graphiques à distance (ou comment faire en sorte que 7 utilisateurs simultanés puissent utiliser une seule machine via le réseau en simultané de manière graphique sans trop se nuire en raison des ressources, et le tout, de manière sécurisée). Un article qui méritera que j'y jette un oeil plus poussé dès que j'aurai un peu de temps (temps que j'aurais si je ne prenais pas la peine d'écrire un compte rendu un peu fade comparé à d'autres :))
* Ensuite, Yom a présenté le fonctionnement du botnet de Storm; botnet décrit d'un point de vue purement fonctionnel, le reverse des binaires (plus de 500, avis aux amateurs de reverse (enfin j'ai discuté avec certains gens l'ayant déjà reversé pendant ce SSTIC, donc j'imagine que personne n'en apprendra plus rien)) ainsi que ses techniques de dissimulation n'étant pas abordés ici: juste les techniques utilisées pour que le "commandant" du botnet communique avec les pc zombies (sachant qu'il était également très facile de prendre le contrôle de tout ou partie de ce botnet de manière relativement simple). Bref, talk là aussi très intéressant.
* Avant la pause, c'est GomoR qui nous a présenté son outil d'OS fingerprinting SinFP, en nous expliquant en quoi les outils tels que nmap & co ne sont pas forcément fiables dans certains cas (machine derrière un NAT par exemple, dont les en-têtes sont modifiés), et en apportant une solution intéressante à ce problème. Là aussi, une présentation intéressante au final, alors que je pensais que cela ne serait pas intéressant au début.
* Juste après la pause, c'est un gendarme de l'IRCGN qui nous a fait une présentation de leur labo de forensics dans le cadre de crimes touchant de près ou de loin à l'informatique (rarement du pwnage de serveur (chiffre noir, entreprises qui n'osent pas porter plainte), plutôt les tristement célèbres affaires de pédopornographie). Il se trouve que ce dimanche, en revenant d'Aix-en-Provence, j'ai lu dans le TGV un pdf sur les recommandations faites aux enquêteurs lors du prélèvement de matériel informatique (que ça soit pc, imprimantes, pda, etc). J'ai même appris qu'ils étaient capables, lorsqu'une machine est allumée, de l'embarquer encore en marche (vital pour le prélèvement d'indices pour éviter leur perte en mémoire) sans avoir à la débrancher. Le pire c'est que j'arrive à peine à imaginer comment :-). Ensuite, quelques recommandations pour les gens qui dirigent les entreprises où quelqu'un serait suspecté, du style éviter de propager la nouvelle inutilement à toute l'entreprise, surtout dans des cas de pédophilie, dans la mesure où même si la personne est innocente, une réputation est vite faite et peut engendrer des problèmes graves (perte d'emploi, famille, suicide, ...), dans ces cas là il vaut mieux parler de problèmes moins graves, comme suspecter un traffic de mp3, beaucoup plus répandu et moins enclin à faire une sale réputation. Bref, là encore une conférence super intéréssante. Lorsque j'étais à l'Epitech, j'avais déjà pu constater l'intérêt de l'IRCGN dans l'informatique (utilisation de l'informatique pour traitement du signal (par exemple il y a un bracage, un enregistrement sonore est examiné, il y a une sirène d'alarme, et par derrière on entend de types hurler; en isolant certains sons, on arrive à peu près à entendre ce qu'ils racontent, et il se trouvent qu'ils s'appellent par des prénoms))
* Juste avant d'aller à la soupe, on a eu droit à un bel exemple de l'utilisation du firewire pour un accès à la mémoire physique de la machine, en partant du constat que MS Windows, par défaut, interdit l'accès DMA pour tous les outils Firewire, sauf pour les IPod afin de gagner un peu en performance. L'idée étant alors de se faire passer pour un ipod. 3 démos pour illustrer tout ça, pour la lecture de données en mémoire, l'écriture de données (une variable qui par défaut est à 14 pour le login sous windows, permettant de spécifier que le login manager doit chercher le hash LM ou NTLM, qui une fois passé à 04 dit de ne pas chercher de hash, faisant que si on tape n'importe quoi comme mot de passe, on est loggué sur le système), et un accès en exécution (la démo consistant à faire exécuter un cmd.exe avant d'être loggué...cmd.exe exécuté en tant que SYSTEM !! permettant donc l'exécution d'un explorer.exe). Bref, une démo très amusante sur un sujet assez intéressant.
* Juste après la bouffe, c'est Florent Chabaud de la DCSSI qui nous a fait un talk sur le pourquoi du comment en France, au niveau gouvernemental, rien n'est vraiment pris comme décision utile dans le domaine de la sécurité informatique, malgré le fait que nous disposons de compétences assez pointues dans certains domaines (crypto, méthodes formelles (exemple de METEOR sur la ligne 14, et je crois du projet ASTREE mais je n'en suis plus certain)). Niveau retard décisionnel, un exemple a été donné pour les clés DSA du gouvernement, le projet a débuté au début des années 2000 (je dirais 2002) et les clés ont été publiées au journal officiel 5 ans plus tard, alors que les critères de sécurité ont changé en 5 ans. D'ailleurs, il y aura un passage à un système basé sur les courbes elliptiques d'ici 2 ou 3 ans (travaillant moi même depuis peu sur des technologies basées là dessus, ça fait plaisir de voir que les gens y voient un intérêt). Un talk intéressant quoi. Le speaker ayant en plus mis des lunettes noires le faisant passer pour un homme en noir (c'était également le seul en trois jours à parler en costard-cravate)).
* Le dernier talk de la journée (et du SSTIC 2008) quant à lui, expliquait comment, sans avoir de grandes grandes compétences en analyse de binaires, il était possible d'examiner un malware sans toutesfois participer à un pourrissage de l'internet multimédia interactif (par exemple en faisant tourner le malware dans une machine virtuelle sur un réseau privé n'ayant aucun accès à internet, avec une pseudo passerelle qui répond pour chaque ip (afin que l'ip réelle ne soit jamais vraiment contactée). Une démo sur un fichier office contenant des exploits connus a été faite également, mais je n'ai pas tout suivi, avec l'outil hachoir je crois bien (ah ah, si je ne me rappelle déjà plus de ça ...). Bref, un talk là aussi intéressant pour les "débutants" en analyse de malware (que ça soient des particuliers s'y intéressant, ou des entreprises qui n'ont pas les moyens de se payer des reversers :))
Puis ce fût la clôture du SSTIC cuvée 2008, direction le Surcouf devant la gare sncf de Rennes avec des gens de l'EPITECH Security Laboratory puis un train vers Paris à 18h05. J'espère pouvoir prendre mes places à temps l'an prochain! Peut-être même avec une conf' si je trouve le soutien adéquat (sinon ça sera juste une rump) En attendant, je vais envisager de finir de répondre au sondage.

Photos SSTIC'08

Bon, avant de m'attaquer à une partie du résumé des rump sessions, du social event (aaaah le social event) et le 3e jour du SSTIC, j'en ai profité pour uploader mes quelques photos. Bon, à un 2600 (halala ces meets de h4x0rz) il a été dit que les gens qui allaient au SSTIC (et ceux qui bossent dans des sociétés qui font dans la défense, ce qui est un peu (un peu) mon cas) roulaient en BM et tuaient des enfants. Du coup, je roule en BM ce qui fait que j'ai pas les moyens pour m'acheter un appareil photo potable, (ou simplement correct, qui se cotise ?) vous m'excuserez donc la piètre qualité des photos :((((
Vous lez trouverez sur mon album google picasa (je les mettrai sur moulinette[.]org plus tard je pense)

SSTIC Jour 2 (sans les rumps)

Le social-event ayant eu raison de moi (je n'allais pas me mettre à résumer la journée passée à 1H du matin après un social event), je vais m'atteler au résumé des deux derniers jours de SSTIC le lendemain de sa clôture.
Le premier talk du second jour, bon je l'ai à peine suivi (un peu à tort, la sécurité physique et l'urbanisme informatique c'est toujours intéressant), il portait sur les data-centers, leur sécurité (physique), comment ils sont conçus, leur consommation électrique, leur refroidissement, leur organisation (au sens comment les baies sont installées pour une climatisation efficace), et pourquoi il a fallu changer un peu tout ça quand on a commencé à utiliser des serveurs un peu plus petits en taille.
Ensuite, un talk très intéressant de reverse engineering, expliquant comment avec metasm il était possible de simplifier certaines étapes de reversing habituellement chiantes à contourner (une sorte de false disassembly, et l'ajout de code inutile voire même redondant (le cas typique de deux fonctions identiques, l'une d'entre elles étant appellées si un rand() renvoie un nombre pair, la seconde étant appellée si le nombre est impair, qui font perdre du temps lorsqu'on reverse un binaire ainsi obscurci) , avec deux challenges de reverse résolus avec cet outil pour illustrer.
Seb Roy et Anthony Desnos ont ensuite présenté le framework de reverse ERESI, long long long travail (travaux ? car il s'agit d'un merge entre elfsh commencé par Julien Vanegue en 2001 à l'epitech, et Kernsh commencé à peu près à la même époque par Samuel Dralet et Nicolas Brito, mort, puis repris très récemment par Anthony Desnos) qui a depuis énormément évolué et compte des dizaines de contributeurs. Bon c'était une présentation d'un outil sympa, suivie d'une démo, mais les fonctionnalités sont bien plus importantes.
Juste avant la bouffe, il y a eu un talk sur les attaques cryptographiques sans nécéssairement s'appeller la NSA, ni forcément être un Bruce Schneier (enfin si, un peu), en partant du principe que généralement, les failles en crypto viennent dans l'implémentation (ou alors de libs tierces qui ont été modifiées à la sauvage hein, tant qu'on y est). Donc on nous a aussi présenté un ptit tool pour accélérer un peu la recherche de fonctions de crypto dans des binaires avec IDA. Bon, tout cela m'a un peu rappellé un article de kostya kortchinsky dans un ancien MISC (d'il y a 3 ou 4 ans) en deux parties sous forme de mini challenge sur une faille dans le rng de Java pour des clés DSA. Bref, talk très intéressant, dont il faudra que je lise les actes une fois mon retour terminé (oui, quand on rentre chez soi, on aimerait bien lire les actes, mais on se rend compte qu'on a plus rien à bouffer et que la douche fuit, donc on fait un compte rendu du SSTIC avant d'aller faire des courses et faire du bricolage)
D'ailleurs, en parlant de bouffe, ça a été le dernier talk de la matinée. Après ça, nous avons eu droit à un talk sur la sécurité des réseaux de capteurs, bon là encore, digestion oblige, je n'ai pas tout tout suivi, juste vite fait le passage sur les pacemaker dont il a été question récemment (bon je retrouve plus le paper d'origine, mais j'imagine que les gens qui me lisent l'avaient fait), et donc se posait la question de la sécurisation de ces appareils qui sont donc reprogrammables à distance, notamment de leur accès par un médecin en cas d'urgence, etc. Bon ensuite y'a eu un truc sur les capteurs genre la détection de l'invasion d'un pays par des chars, mais j'ai pas tout suivi, je pense que je me rabattai sur les slides ou l'article.
Ensuite, Cedric Blancher a parlé de la dépérimétrisation, et de pourquoi c'est pas bien (en gros, chaque entité du réseau est responsable de sa propre sécurité, tout ça tout ça). Le tout avec des gens qui le soir rentrent chez eux du boulot avec leur laptop qu'ils refilent à leur gamin qui va choper toutes les saloperies possibles, et le brave employé revient le lendemain au boulot avec son laptop uber infecté. Bref.
Puis pour cloturer les talks, avant les rump sessions, Marie Barel a exposé quelques ennuis qui peuvent arriver lors de pen-tests, pourquoi c'est pas cool du point de vue juridique si ça arrive, et surtout qui est responsable (donc: comment s'en sortir). Talk intéressant quand on est pentester (enfin société de pentest) ou client qui veut se faire tester (et aussi les autres gens que ça intéresserait)
Je m'attaquerai à un bref résumé de quelques rumps par la suite, genre plus tard, idem pour le jour 3.

mercredi 4 juin 2008

SSTIC jour 1

Pendant que certains deux rangs devant moi, pour avoir l'exclusivité de la conf', blogguent en quasi-direct pour faire leur compte rendu, se déroulait...la conf! Bon je vais pas faire de compte rendu détaillé justement, juste balancer à peu près en vrac mes impressions sur ce premier jour qui ma foi, a été fort intéressant. La keynote de Marcus Ranum, bien que dans un français très hésitant (il est américain) mais comportant néanmoins quelques notes d'humour pour commencer, pour un ptit jeune comme moi qui connais vaaaaguement le milieu de la sécu depuis une ptite dizaine d'année, est instructive sur l'échec des "politiques" de sécurité depuis toujours, parce que finalement personne n'y croit ou tout le monde s'en fout, et ce brave Marcus d'ajouter qu'il y a déjà 20 ans il disait qu'on fonçait droit dans le mur, tout le monde le montrait du doigt en faisant "hahaha", et maintenant il le dit toujours, on ne ricanne plus, mais on ne change toujours rien.
A suivi ensuite un excellent talk tournant autour de l'utilisation du social engineering dans des cas de pentests, ou de véritables pwnages d'entreprises. Etant fasciné par le renseignement humain en général, j'avais déjà lu un peu de documentation à ce sujet auparavant (Le renseignement humain de Gérard Desmaretz, le Petit traité de manipulation à l'usage des honnêtes gens (énoncé pendant ce talk), ...) avec quelques détails sur le profil même des usagers de ces techniques, pour différencier le pro, le hacker du dimanche, ... bon, il aurait été amusant de parler des techniques d'obtention de mots de passe telles que la promesse de chocolat au téléphone :)
Puis il y a eu un talk sur les attaques de cartes à puce à distance (le même genre de bouzin qu'on a dans nos belles cartes navigo quoi) que je n'ai pas trop suivi, cela m'a rappellé un truc lu sur le blog de Trifinite ces derniers jours et releasé pendant EUSecWest fin mai, qui a d'ailleurs été évoqué à la fin. Mais mes connaissances en électronique étant ce qu'elles sont, cela ne m'a pas plus attiré que ça.
Bon y'a eu ensuite la petite bouffe au resto-u, avec un ptit verre de rosé sucré, pas mauvais, puis une bouteille de piquette :) et on est repartis pour une après midi de folie vers 14h30...David Naccache nous a présenté ce que l'on a tous pensé être un talk sur les forensics sur téléphone mobile, avec une présentation rapide du cadre légal, quelques techniques pour accéder aux données de la SIM, etc etc...soudain, c'est le drame: il nous a parlé d'un truc qui s'apparente à un covert channel sur la température. Enfin un truc totalement hallucinant, vraiment excellent, en gros, en jouant sur des variations de température, pouvoir faire passer un message, le tout avec un thermobug pour capter ça. Enfin, purement génial. Si quelqu'un a saisi comment il est passé des forensics gsm à ça, ça m'intéresse d'ailleurs.
Bon, ensuite, talk de Matthieu Blanc sur les outils de pentest automatiques; donc forcément tout le monde pense à Metasploit, Canvas et Core Inpact, bref les 3 plus connus. Le sujet tournait autour de leur détection et leur mise en échec, voire même contre attaque; tout cela m'a rappellé de très loin un article dans un vieux MISC expliquant comment il était possible de feinter un SK qui tente une connexion avec un vieux trojan (je ne me rappelle plus, ça devait être netbus) qui était totalement déformé quand il se recevait des données particulières, avec faux serveur en perl pour illustrer. Intéressant, mais c'était plus un comparatif avec une présentation d'un outil de détection qu'autre chose.
A suivi un talk que je n'ai pas totalement suivi mais qui avait l'air très intéressant, sur les bugs et backdoors dans les cpu, avec quelques instructions qui, quand utilisées d'une manière précise, permettent de faire des choses amusantes, comme le changement du securelevel sous bsd, etc (enfin ça c'était la démo, qui tournait dans un xen émulé dans un bochs en fait)
L'analyse du malware dans la conf qui a suivi, qui interceptait les données bancaires de clients, était super instructive, et apportait un certain éclairage sur certains mécanismes du business qui s'est développé dans la "cybercriminalité" qui rapporte plus que le traffic de prostiputes ou de drogue. L'analyse en elle même expliquait comment des mecs parfaitement professionnels entretenaient une sorte de "botnet" (notez les " ") qui leur permettait, grace au RBN etc etc de s'enrichir, comment les banques (même en france) étaient quand même relativement larguées contre ces gens qui trouvent toujours un moyen d'exploiter la niaiserie de l'utilisateur lambda qu'on laisse circuler sur internet (banques qui à priori s'en foutent), et comment les FAI n'ont pas vraiment de possibilités de réaction sans ouvrir la porte à des dérives telles que le filtrage de l'internet multimédia interactif. Bref une très bonne analyse.
Puis là ... là ... bah, le clou de la journée je crois. Un ptit groupe de gens du CELAR venu présenter leur debugger multi OS, multi plateformes, etc etc super modulaire. En fait j'en suis un peu resté sans voix? Et je suis pas le seul. Un bien bel exemple du "bah on avait besoin de ça ça ça et ça, tel outil en faisait une partie mais il n'existe plus, celui ci ne convenait pas entièrement, et lui non plus ... donc on a codé le notre quand on avait un peu de temps libre". Le tout pour un résultat à couper le souffle. Puis les speakers avaient eux aussi un bon sens de l'humour, comme par exemple, en parlant de la doc de leur SDK (un des seuls trucs publics de cet outil), "bah pour la doc...heu bah le .h c'est de la doc" :)
Ensuite, cocktail où on a bu vite fait un truc puis rentrage à l'hotel avec quelques connaissances de l'epitech logés à la même enseigne.
Bref, une fort bien bonne première journée.

EDIT: bon en fait, pour le coup du covert channel over température du cpu, le rapport avec les analyses forensics, c'est que tout doit être fait dans un environnement totalement "hermétique" (cage de faraday coulée dans du béton armé etc etc), et du coup à priori, si les ondes electromagnétiques ne passent pas, il faut se méfier des variations de température, voilà voilà (j'ai pigé ça en lisant les actes)

samedi 24 mai 2008

Analyse post-apocalypse [lien]

...à propos de la "faille" dans le PRNG d'OpenSSL (et des conséquences que celle-ci peut avoir) sous Debian dont on a largement entendu parler [ici]

Yeah, fun

Le reflashage à distance est devenu une réalité. (exemple sur le blog de mykii). Bientôt un exploit permettant de flasher un firmware contenant une backdoor (un peu dans le style de ce que le FBI craint pour l'administration américaine et ses routeurs cisco de contrebande)

lundi 12 mai 2008

GCC and pointer overflows

Et dire que j'ai failli passer à côté...c'est et . Les commentaires sont intéressants et instructifs.

mercredi 16 avril 2008

Exploit Wednesday Reloaded

Les mois passent...et finissent par se ressembler. Le dernier MS "Patch Tuesday" a été plutôt bien blindé[1], et fatalement, l'Exploit Wednesday ne s'est pas fait attendre. Encore une fois, un "exploit" (ici un bete code proof of concept qui ne fait pas grand chose, mais qui est du boulot pré-maché pour un mec pas trop incompétent) a été rendu public. Bon, comme d'hab hein, vu que l'advisory de MS n'était pas très verbose, y'a eu analyse différentielle de binaires.

Bon, à part ça, comme vous l'avez probablement déjà remarqué (ou pas), les inscriptions pour le SSTIC ont débuté hier. Pour ma part, j'y serai.

[1] Sur ce lien, J'ai adoré le "scénario catastrophe" enchainant des exploitations de diverses failles du cru d'avril 2008 qui malheureusement (ou heureusement, tout dépend du point de vue) est devenu monaie courante pour s'introduire sur un réseau et s'emparer de ses ressources (étrangement, c'est devenu moins fréquent de faire du wardialing pour trouver un terminal qui répond dessus dans une entreprise)

vendredi 11 avril 2008

bientôt

Le sommaire:

IntroductionTCLH
Phrack Prophile on The UNIX TerroristTCLH
Phrack World NewsTCLH
Stealth Hooking: another way to subvert the Windows kernelmxatone & ivanlefou
Clawing holes in NAT with UPnPFelineMenace
The only laws on Internet are assembly and RFCsjulia
Hacking the System Management ModeBSDaemon & coideloko & d0nand0n
Mystifying the debugger for ultimate stealthnesshalfdead
Australian Restricted Defense Networks and FISSOThe Finn
Phook - The PEB Hookershearer & dreg
Hacking the $49 Wifi Finderopenschemes
Art of exploitation: Technical analysis of Samba WINS overflowmax packetz
The Underground Mythanonymous
Hacking your brain: Artificial Conciousness-C
International Scenesvarious

jeudi 6 mars 2008

OHNOEZ PWNED BY CHINESE !!!1!!1!!!

Ah ah. J'avoue que j'ai pas encore cherché à vérifier si pcinpact ou 01.net ou quoi (enfin la grand presse francophone de référence sur l'internet multimédia interactif v2.0) a repris l'information (avant que ça paraisse dans le monde sous forme de certitude). Bon, et fatalement ça me fait penser à un post sur un autre blog.
En attendant, je guette les news sur google news avec des mots clés comme "backdoors routeurs" & co pour voir ce qu'on nous pond.
Mais blague à part, j'ai vite parcouru un rapport du congrès des USA quant aux capacités militaires de la Chine (lien plus tard (comprenez: je ne penserai jamais à éditer ce post pour balancer l'url)), c'est assez intéressant comme concept.

vendredi 29 février 2008

+29A has left the building!

Bon on s'y attendait un peu depuis pas mal de temps, mais ce coup ci c'est officiel: "29A goes officially retired."

samedi 16 février 2008

vmsplice exploit, etc

Bon bien sûr, il n'est jamais très bon pour un OS d'avoir des failles ultra critiques. Il y a tout un troll sur l'internet multimédia interactif à propos de la faille à laquelle je fais allusion (vous savez de laquelle je parle, de toutes façons je vous aurais quand même donné un lien vers le code qui exploite cette faille, même si c'est contraire à mes idées, ainsi qu'un lien vers une analyse de la faille)
Mais il ne faut pas oublier que ça n'est pas du tout la première fois que des failles sont découvertes dans des syscalls de Linux (non mais regardez ce lien quoi). Et encore je ne vois pas dans la liste d'adviso relatif à la faille ptrace-kmod de mars 2003. Sachant que ça n'était pas le premier concernant ce syscall là. Donc je ne vois pas encore trop pourquoi tout le monde parle de cette faille (je veux dire, même pcinpact s'y est mis). Bon je dis ça, mais j'en parle moi aussi du coup. Pff. Monde de merde.

mardi 29 janvier 2008

bon bah puisque tout le monde ne parle que de ça

Eh bah moi aussi je balance des trucs ! :p Bon les gens de #secdev vous êtes pas obligés de le relire, je vous ai balancé le lien hier :-)
Bon puis toutes façons, ouais ils ont rien remarqué quand il gagnait des sous, mais par contre ça s'est vu quand il en a perdu. C'est ballot tout ça. Puis les gens se focalisent sur l'aspect "délit d'initié" du pdg. Non, lisons plutôt les passages suivants:
"Société Générale's computer systems are considered some of the most complex in banking for handling equity derivatives, that is, investment contracts whose value moves with the value of other assets. Officials of the bank believe Mr. Kerviel spent many hours of hacking to eliminate controls that would have blocked his super-sized bets. Changes he is said to have made enabled him to eliminate credit and trade-size controls, so the bank's risk managers couldn't see his giant trades on the direction of indexes."
puis:
"According to one person familiar with the situation, Mr. Kerviel used the computer log-in and passwords of colleagues both in the trading unit and the technology section."
Voilà, le jour où les gens utiliseront des vrais mots de passe hein ... Puis bon, un type qui utilise un pc un peu différemment des autres est TOUJOURS un gros hacker. Puis toutes façons les hackers sont tous des néo-nazis qui écoutent du black metal téléchargé illégallement devant des films d'horreur (téléchargés eux aussi) dans des cimetières et qui vont violer des fillettes de 12 ans rencontrées sur msn après avoir piraté des banques. Seul vous-savez-qui peut sauver le monde de ces individus.
Accessoirement, et sans transition, H-23! (comprendront ceux qui savent, les autres ne sauront peut-être jamais :p)