articles
réactions
Jeff - 22.01.2007 | 0 réactions | #link | rss
Cela devait bien finir par arriver. Je veux dire aux oreilles du grand public. La bataille fait rage actuellement sur FD (entre autres) au sujet de l'achat/vente de failles dites 0day (inconnues donc indétectables) sur de nombreux logiciels ou systèmes tels que Windows Vista.

Il faut comprendre qu'à la base le sujet de discussion tournait plus autour des tarifs appliqués que du côté éthique de la chose: 1000 à 2000$ pour certains, jusqu'à 75000$ pour d'autres. Ce qui signifie implicitement que ce marché existe bien et qu'il devient important.

Certains me diront que cette tendance est connue depuis longtemps. Effectivement, on peut se rappeler de la fameuse faille wmf sur Windows il y a plus d'un an, qui avait déjà fait l'objet de plusieurs transactions avant d'apparaître -volontairement ou non- aux yeux du grand public. Tout se passait donc au black, dans des milieux bien à l'est (.ru) de nos préoccupations courantes.
Mais voilà qu'aujourd'hui ce marché apparaît au grand jour et tout le monde trouve normal qu'il subisse les lois immuables de l'offre et de la demande. Ceci inclut la présence de courtiers, en charge de trouver des failles intéressantes pour ensuite les revendre à des tierces parties dont les motivations restent plus ou moins floues. En effet, on peut se demander quel intérêt peut avoir une société ou un organisme gouvernem^H^H^H de posséder des failles non-publiques permettant de pénétrer des systèmes à distance, et ce en toute discrétion?

Ok, je schématise un peu, mais je ne vois pas non plus d'autre raison...

Autre effet que je qualifierais de pervers, celui de l'argent. Jamais les moyens mis en oeuvre pour monter une attaque n'auront été aussi "factorisables" au critère ultime qu'est l'argent. En clair, il suffit désormais d'avoir un minimum d'argent pour pallier le manque de compétences, de temps, etc. Et de se proclamer tout-puissant virtuel. A ce jeu, les dindons de la farce resteront les utilisateurs de base (quand je vois Windows Vista mentionné toutes les 2 lignes, que l'on ne vienne pas me dire que cela ne concerne pas les utilisateurs standards).



<MOUARF>
PS: AHAHAHAHAH petit scarabé de moteur de blog vicelard (le moteur pas le blog, encore que connaissant son créateur...) Encore une fois tu as essayé de m'avoir... Mais non, j'avais tout copié dans mon fichier avant de cliquer "poster"!!! Et paf! T'as eu beau me sortir une erreur bidon du genre "je suis allé aux chiottes pendant que tu tapais, j'ai rien vu" ou "erreur #124657247 version 454 beta 33435566 - vos données sont perdues", cela n'a servi à rien. Alors, c'est qui le bosssssss???????

Et toi, la popup, je te pi*** à la r***.
</MOUARF>
Jeff - 15.09.2006 | 1 réactions | #link | rss
Pour ceux qui comme moi n'ont ni le temps ni l'argent pour voyager aux 4 coins du monde et participer aux multiples conférences dans le domaine de la sécurité informatique, la plupart proposent leurs proceedings (les actes) gratuitement sur le web. Pour peu que l'on cherche correctement:


PS: cette liste sera mise à jour de temps en temps. Première update grâce à Sid (post ci-dessous). Thanks!
Jeff - 06.09.2006 | 0 réactions | #link | rss
Le hacker, ou pirate informatique, est une espèce particulière qui ne se croise que très rarement avec le commun des mortels (notez que j'évite tout jugement de valeur ou d'odeur, histoire d'éviter à mon gentil hébergeur de se prendre 20'000 scans de ports à la minute).

Pour palier à cette méconnaissance ou pour étaler leur savoir, au choix, certains ont créé des tutoriaux pour apprendre à pirater. Le summum dudit tutorial est sans conteste la vidéo expliquant où cliquer et dans quel ordre; il y a ici un gros nid, et quelques individus isolés par ci ou par là. Et ce n'est qu'un début...


Après toutes ces épreuves, débouchant sur un épanouissement personnel certain (ou l'inverse), le néophyte pourra alors partager un moment de détente et de franche rigolade autour d'un bon bol de Nesquik servi dans des verres en plastique. Le bonheur n'a pas de prix.




Update

Hep, hep, encore une là...

Plus fort... Pour bien apprendre, il faut être bien conseillé! Et Steve le HaxoR a plein de conseils à vous donner pour devenir un vrai h4ck3r comme lui.

Jeff - 25.08.2006 | 0 réactions | #link | rss

Il existe de multiples outils et moyens de préserver son anonymat sur le net, avec plus ou moins de succès cependant. Ce post a pour but d'en recenser un certain nombre, tous gratuits bien évidemment. Pour commencer, voici les traces que vous laissez sur Internet lorsque vous surfez:

DNSStuff
CNIL



Systèmes

Anonym.OS est un Live CD (comprenez un CDRom contenant l'intégralité du système d'exploitation et n'utilisant -de base- que la mémoire vive de l'ordinateur, ce qui évite de laisser des traces) téléchargeable gratuitement sur sourceforge à l'adresse suivante:
Projet Anonym.OS, supporté par l'équipe Kaos Theory.
Il est basé sur une distribution OpenBSD configurée avec les paramètres-qui-vont-bien pour filtrer / chiffrer / anonymiser les données entrantes et sortantes de l'utilisateur.



Réseaux

Tor est une référence <marseillais> planétaire </marseillais> dans le domaine de l'anonymat; soutenu par l'Electronic Frontier Foundation, il est composé d'une multitude de serveurs dispersés sur le net, interconnectés entre eux de manière à router les communications des utilisateurs selon différents chemins. L'adresse IP finale change régulièrement afin de ne pas permettre de corrélation entre les données échangées et l'adresse assignée par Tor.
Notez qu'en théorie cette méthode atteint une efficacité maximale lorsque le nombre d'utilisateurs est suffisamment important.
En pratique, Tor s'interface simplement en tant que proxy local sur les communications; il est téléchargeable à l'adresse:
tor.eff.org

Les proxies anonymes et libres sont également de bons moyens pour surfer tranquille (à éviter cependant pour des utilisations plus délicates). Un proxy est un serveur utilisé en relais des requêtes de votre client, principalement pour le web. Les requêtes ainsi modifiées sont alors attribuées au serveur proxy et non plus à votre client, d'où un certain degré d'anonymat.
C'est un système habituellement utilisé en entreprise, afin d'éviter que les postes des utilisateurs ne soient directement connectés à Internet (additionnellement, les proxies peuvent alors servir de pare-feu, de NAT, d'anti-virus, etc -que les puristes me foutent la paix!- ).
Il arrive que certains proxies soient accessibles depuis l'extérieur par des internautes quelconques (volontairement ou par inadvertance). Et donc utilisables par tout-à-chacun (après configuration de votre navigateur); le probème étant de trouver une liste à jour. Le meilleur moyen est de faire une recherche Google au moment voulu (et d'utiliser la cache de Google si besoin):
Google search : Free + Proxy + inurl:".ru"
Ou d'essayer les sites suivants:
FreeProxy.ru
ProxZ
Proxy-list
FreeProxyLists
FreshProxy
etc,etc,etc...


Que ce soit avec Tor ou un proxy anonyme sur Internet, il devient vite fastidieux de changer et reconfigurer sont navigateur sans arrêt selon où l'on surfe. C'est pourquoi il existe un plugin pour Firefox appelé SwitchProxy qui permet de gérer tout cela en un clic...



Email

Le mail est également une donnée révélatrice de l'identité d'une personne. Il est donc très souvent utile de créer une adresse bidon sur un site gratuit (Yahoo!Mail, Gmail, Hotmail, Mail, etc...) avec une fausse identité et de ne l'utiliser que pour certaines démarches. Il ne faut pas que cette adresse email puisse être corrélée avec un nom, une IP, une adresse postale ou un comportement sous peine de perdre les bénéfices de l'anonymat.
Il existe des services anonymes dédiés pour une telle utilisation:
Le site DodgeIt ne demande aucune identification ni gestion de compte. Il suffit de choisir une adresse au hasard sur le domaine et les mails qui arrivent seront conservés une semaine.


Navigateurs

Vaste sujet! Le nombre de technologies et applications utilisées par un simple navigateur fait qu'il devient très difficile de savoir où se trouvent vos informations et qui peut y accéder...
Saviez-vous que Flash permet l'utilisation de cookies (jusqu'à 100Ko par site web) qui ne sont pas stockés à l'emplacement habituel et ne sont jamais effacés (même en purgeant la cache)? Que ces cookies peuvent être lus par d'autres sites, s'ils sont "bien" configurés? Que la configuration de ce comportement n'est modifiable que via le site d'Adobe?
Oui mais on vous dit ici que le respect de la vie privée est une priorité et qu'il est garanti par une foultitude de mécanismes (tous avec des clauses particulières cependant). Et oui, on vous donne un marteau, mais c'est à vous de ne pas vous taper sur les mains ou de vous protéger avec des gants.

Quid de la cache des navigateurs alors? Formidable tout ce que l'on peut y (re)trouver... Le mécanisme d'AutoComplete (remplissage automatique sur la base de ce que vous avez déjà renseigné par le passé) est une source intarissable d'informations. Utilisateurs de Firefox, faites le test vous-mêmes... Je viens moi-même d'y retrouver tous mes numéros de carte bleue, toutes mes adresses email, toutes mes adresses postales, etc, etc. Un excellent papier à ce sujet est disponible sur le site de la Black Hat.




Ressources diverses

Il est également possible de se créer une adresse postale totalement bidon mais syntaxiquement correcte (code postal valide, nom valide, téléphone valide, etc...) c'est-à-dire que chaque élément existe mais que l'ensemble ne correspond à personne. Utile pour déjouer les systèmes vérifiant la localisation géographique d'un individu par exemple.
Fake Name Generator
Acheter en se protégeant? Se sont les cartes virtuelles, prépayées et prévues pour les achats en ligne, ou les numeros de carte virtuels, etc.
ePassporte Visa
Citibank numéros virtuels

Et pour aller plus loin, un article récent chez Darknet: Chaining socks.
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch