lundi 26 janvier 2009

hakin9

Je viens de tomber là dessus, c'est tout simplement énorme...
Hakin9 is the hardcore computer security magazine which exposes the top secrets straight from the field. Written by some of the prominent personalities who have proven their expertise in the security world. It offers an in-depth look at both attack and defense techniques and concentrates on difficult technical issues. Mainly targeted for IT security professionals and system managers, it provides great insight for students & hobbyists.
Il a oublié de mentionner les "boutonneux à lunettes et au poil gras", mais je crois que tout le reste du site est un peu une blague.

jeudi 15 janvier 2009

Des gens, et de leur vie privée

En fait tout ça me rappelle le gros bordel que ça avait été à l'époque où on nous parlait d'EDVIGE. Les gens ralent blabla le fichage policier blabla pas bien. Soit. Puis à côté de ça ils balancent leurs infos sans faire le tri, sur l'Internet Multimédia Interactif. Puis ça donne ce genre de choses.
Ca m'a évoqué le souvenir d'un workshop il y a deux semaines quelque part en allemagne... D'ailleurs une idée dont il était question, pour espérer sensibiliser les gens, était de les mettre face à la quantité d'infos sur eux à laquelle il est possible d'avoir accès dans être un service de renseignement. Je ne regarde plus la télé depuis des mois, je ne sais donc pas, par conséquent, si cette (més)aventure a été racontée au JT de 20h de TF1, mais si c'est le cas, ça va peut-être faire prendre conscience aux gens qu'ils en disent peut-être un peu trop sur eux.

mercredi 14 janvier 2009

And remember...

On a beau utiliser du SSL de la mort qui tue, si le noeud final du lien sécurisé est compromis (même que partiellement, sachant que lors d'un pentest, un lien partiellement compromis finit par l'être totalement, ce n'est qu'une question de temps), les données qui ont transité seront tout de même accessible (autant avoir des convoyeurs de fonds ultra armés qui déposent l'argent à un endroit en libre accès et sans gardiens, sur une table).
Une possibilité étant de chiffrer les données avant de les envoyer (via un lien sécurisé (ssl par exemple), ou non), comme ça, une personne "malveillante" aura plus de mal à en faire quelque chose si elle parvient à s'en emparer.
L'insécurité informatique a encore de beaux jours devant elle.

lundi 12 janvier 2009

The modem which steals the Internets !

C'est un peu le genre de bidouilleur qui nous manque en France ça...

lundi 5 janvier 2009

Et pendant ce temps, de l'autre côté de la Manche

...On leur prépare la télé-perquisition. Nos chers dirigeants en parlaient aussi il y a peu de temps. Avec un peu de chance, ils seront formés par Zi H4ckademY (CEH 4evar). Non pas que je doute des compétences dans le domaine de certaines personnes, mais au delà d'un certain niveau, cela relève quand même un peu plus de la science-fiction.
A moins qu'on nous fasse passer quelques lois obligeant les intégrateurs de matériel et autres fabriquants de pc à installer des trojans sur les pc neufs, ou quelques backdoors hardware (de toutes façons, dans tous les cas, il y aura une frange non négligeable de gens qui s'en seront débarassé d'une manière ou d'une autre). D'ailleurs, c'est la piste du keylogger hardware qui est envisagée là bas. En France aussi, serrurier et installation du keylogger sur le pc. Je ne doute pas sur le fait que les plus paranos ont des webcams avec un soft style "motion" (que j'utilisais déjà il y a 6 ans, mais avec des résultats assez pourris il y a quelques années, mais c'était dû à ma webcam de l'époque). D'autres ont juste des alarmes. Enfin de quoi avertir (attention, 99% des gens s'en rendront même pas compte). Une alternative étant d'utiliser un laptop avec un disque entièrement chiffré (TrueCrypt & co font ça). Bon, encore que j'ai vu des cartes mini-pci capables de faire du keylogging sur laptop, mais le but du laptop c'est de l'embarquer avec soi. Cela dit, avec un peu de chance ce genre de cartes apparait dans un "lspci", donc détectable...).
Ensuite, ça sera la porte ouverte à un ministère de la pensée (vu qu'on en est à créer des nouveaux ministères à chaque remaniement hein). Ouh, j'ai hâte.
Enfin, bonne chance hein.

samedi 3 janvier 2009

Et ça va changer quoi ?

Je parle bien évidemment de la n-ième annonce de la fin du monde, ou du moins de l'Internet multimédia interactif. Les papers ont été balancés y'a quelques jours déjà, mais je n'ai pas encore eu le temps de lire les détails, je me suis contenté de me renseigner sur la nature du souci, et ... finalement, c'est pas si mortel que ça. Du moins, pour le moment. On savait déjà que md5 était foireux depuis un paquet de temps. Enfin au moins on a une belle application pratique d'un problème de crypto appliqué à la vraie vie avec les vrais gens pouvant poser de vrais problèmes.
Bon, dans la pratique  je relève juste le chiffre de netcraft faisant état de 14% des certificats existants pouvant poser problème (utilisant md5). Ce que je note aussi, c'est que finalement dans la vraie vie, un certificat invalide est quand même accepté par les gens qui cliquent bêtement sur OK (j'en fais partie, ayant affaire régulièrement à un certificat ssl auto-signé pour un serveur imap ayant expiré fin aout 2008 et qui n'a toujours pas été changé depuis, j'ai acquis le réflexe de cliquer sur "OK" dans mon client mail sans réfléchir). Et même quand y'a un méchant message d'erreur disant que le certificat est invalide (ceux de Firefox et de Chrome en tout cas, celui d'IE à l'époque ressemblait plus à une pseudo page 404 et je n'ai jamais utilisé Opera) eh bien les gens cliquent quand même sur OK sinon ça les empeche de browser sur l'internet multimédia.
Mais je préfère me dire que ce genre de travaux est bon pour faire avancer la sécurité, car il permet de foutre un gros coup de pied au cul de ceux qui se reposent sur des trucs antiques (sans parler de md5 uniquement, de toutes façons un jour ça sera au tour de SHA-1 et les suivants de subir ce genre de travaux, mais le résultat sera moins frappant parce qu'on y aura déjà eu droit)
A part ça, bonne année.