Polkaned

lundi 15 juin 2009

Apple vs Java : balle au centre

Par BenjO le lundi 15 juin 2009, 22:45 - IT security

On l'attendait, c'est enfin là :

Y'a le Attention, désactiver Java sur Mac OS X !! dedans qu'on pouvait lire à la fin du mois dernier partout, faisant suite en particulier à ce post de Landon Fuller (voir aussi celui de Julien Tinnes).
Apple faisant son propre portage de Java expliquerait pourquoi les utilisateurs de Mac OS X ont une version patchée de Java 6 mois plus tard que les autres... Je pense qu'on peut appeler cela une "vul by design".
Bref, c'est (peut-être ?) la fin pour CVE-2008-5353 pour Mac OS X (si on croit au "patch management"...).

2 commentaires

samedi 6 juin 2009

Retour(s) de SSTIC 09

Par BenjO le samedi 6 juin 2009, 23:46

Ca c'était à faire : SSTIC. Plusieurs très bonnes raisons m'avaient privé des dernières éditions : punitions, séquestrations par des clients... Mais cette année, j'ai pu y assister et... C'est super fatiguant le SSTIC ;)

Pas de compte rendu pour moi, le billet à lire pour celà est bien entendu chez Sid : SSTIC 2009 en direct, ou presque.... Sid trouvant ce genre d'exercice trop facile a ajouté cette année un petit challenge : écrire son billet avec une police de -10 sur son netbook :D

Il était super sympa ce SSITC : bonnes conférences, bonne ambiance et de grands moments (par exemple le Fail du SSTIC de nono en image dans le billet de Sylvain). Coté organisation, malgré le problème de badges (réglé en très peu de temps), tout s'est très bien passé. Ils avaient même prévu des comptes Internet supplémentaires pour les boulets comme moi qui ne savent pas cliquer sur « Reply ». Également, l’idée du social event avec tous les participants est vraiment excellente : le lieu était bien adapté au grand nombre de participants et très bonne soirée.

J'oubliais, on a vu qu'un Mac des fois ça veut pas afficher un pdf en plein écran ou ça fait avancer le pdf tout seul. Mais aussi ça sert d'outil pour faire une prés. qui super claque (faut vraiment que j'apprenne à maitriser Keynote) ;)

5 commentaires

lundi 1 juin 2009

mschapv2acc 0.2.11 release

Par BenjO le lundi 1 juin 2009, 08:06 - IT security

Sortie de la dernière version de mschapv2acc lui ajoutant la possibilité de fonctionner sous Mac OS X.
En effet, la lib ASM que j'utilise pour MD4 (développée par bartavelle) avait décidé de ne pas compiler avec Darwin... Le problème est enfin fixé.

aucun commentaire

mercredi 27 mai 2009

Kismet-2009-05-RC1 disponible

Par BenjO le mercredi 27 mai 2009, 08:01 - Wi-Fi

kismet.png Après plusieurs années de développement, dragon annonce la nouvelle monture de kismet (Kismet-Newcore) fonctionnelle.
Toutes les infos sont , le téléchargement ici.

aucun commentaire

dimanche 17 mai 2009

r0main reloaded

Par BenjO le dimanche 17 mai 2009, 19:01 - IT security

J'imagine que Bref, j'emprunte maintenant une autre voie du commentaire de r0main vous a intrigué...

Ne restez pas sur votre faim, l'autre voie c'est par ici : http://deobfuscated.blogspot.com (et ça part bien !)
:)

un commentaire

vendredi 1 mai 2009

That's all folks!

Par r0main le vendredi 1 mai 2009, 23:09 - General

thatsallfolks.jpg Voila, c'est fini.

Ceci est mon dernier post sur ce blog.
Pour différentes raisons, je me retire de polkaned.net.

Un grand merci à tout ceux qui ont pris le temps de consulter les posts et laisser des commentaires.

See y'all!

5 commentaires

jeudi 30 avril 2009

Quand les internautes se rebellent...

Par r0main le jeudi 30 avril 2009, 20:23 - General

...les ISP suivent.

C'est en tout cas ce qui se passe dans ce beau pays qu'est la Suède.

Les récentes lois relatives à la surveillance et journalisation de l'activité des internautes (dans le cadre de la lutte anti-piratage) sont très mal passées au pays de PirateBay.

Suite à une chute du trafic et un mécontentement marqués de leurs abonnés, certains ISP ont décidé d'abandonner la journalisation, ou en tout cas, une partie.

Résistant encore et toujours, il semble que la Suède soit un peu la Gaule de l'Europe...

aucun commentaire

Microsoft barre la route des vers autorun...un peu

Par r0main le jeudi 30 avril 2009, 15:00 - IT security

windowslogo.jpgQui dit Windows dit problème d'infection virale. C'est dommage, mais ça va de pair.

Vu le nombre impressionnant de vers utilisant la fonction d'autorun (grâce aux fameux fichiers autorun.inf) pour se répliquer, en particulier via les clés USB, Microsoft a décidé de la désactiver dans Windows 7.
De toute manière, hormis madame Michu, l'autorun a tendance à être une plaie dont la plupart se débarrassent une fois leur Windows (ré)installé.

Oui mais ça peut être pratique l'autorun, et en plus c'est utilisé par beaucoup de produits pour automatiser leur installation, une fois le CD/DVD inséré dans le lecteur.
Donc, vraie fausse bonne nouvelle car l'autorun sera toujours fonctionnel sur les lecteurs optiques. Le hic, c'est que certaines clés USB s'identifient comme des lecteurs optiques...
Bref, bonne initiative de Microsoft mais l'impact sera quelque peu réduit.

Par contre, la désactivation de l'autorun sur les support USB sera aussi disponible pour Vista et XP via un futur patch. C'est bien d'y avoir pensé :)

aucun commentaire

mercredi 29 avril 2009

PGP pas très soft avec ElcomSoft

Par r0main le mercredi 29 avril 2009, 19:57 - General

pgp_logo.jpgComme chaque année, Londres accueille InfoSecurity, un salon d'éditeur et autres sociétés évoluant dans la sécurité IT.

Rien de très spécial, ça ressemble au salon du même nom qui ouvre ses portes à Paris, en fin de chaque année...heu..en beaucoup plus grand quand même.
Bref, évènement purement marketing qui prend la forme d'un marathon de discours bidons où tout le monde se tient bien droit avec son plus beau costume... :)

Mais cette année à Earls Court, PGP nous a fait une petite colère.
En effet, son voisin de stand, ElcomSoft, propose toute gamme de produit destinés à casser du mot de passe.
Et bien évidemment, ElcomSoft a placé de jolis affiches sur son dernier cracker... qui est sensé casser, entre autres, du PGP (à grand renfort de GPUs).

Du coup, PGP se fâche, se plaint, et les organisateurs du salon retirent les affiches d'ElcomSoft sans rien demander à qui que ce soit.

Ça me fait bien marrer, mais franchement, c'est lamentable...

aucun commentaire

lundi 27 avril 2009

Big brother is watching you...

Par r0main le lundi 27 avril 2009, 12:49 - Quick Post (ITSec)

Jacqui Smith, secrétaire à l'Intérieur du cabinet Brown, laisse tomber l'idée d'une base de données centrale recueillant les informations nécessaires aux investigations criminelles, entre autres.
Mais Big Brother n'a pas dit son dernier mot.

Les sociétés fournissant des services liés à la communication (FAI, opérateurs de téléphonie, etc...) vont devoir rationaliser leurs bases de données et surtout recueillir plus d'informations sur leurs abonnés et leur usage du service.
En clair, on parle des communications téléphoniques, de l'accès à différentes ressources sur Internet, emails, etc...

A priori, on "s'interdirait" toujours d'inspecter le contenu dans un effort de respect de la vie privée...

Plus de détails dans l'article publié par BBC News.

aucun commentaire

mercredi 22 avril 2009

Zango est mort, vive...heu non.

Par r0main le mercredi 22 avril 2009, 10:38 - Quick Post (ITSec)

Voila, enfin une bonne nouvelle!

Zango ne peut plus rembourser ses dettes et met la clé sous la porte.
Il était temps, ça nous fera de l'AdWare/Spyware en moins...

Ça vaut ce que ça vaut, c'est a dire pas grand chose, mais Ken Smith nous offre ses impressions ici et .

Bon débarras!

2 commentaires

mardi 21 avril 2009

Il ne faut pas toucher à PirateBay...

Par r0main le mardi 21 avril 2009, 22:35 - Quick Post (ITSec)

piratebay.jpg...à moins de vouloir se prendre un DDos en pleine face...

Peter Sunde, Fredrik Neij, Gottfrid Svartholm et Carl Lundström, nos quatre PirateBay guys préférés viennent de prendre un an de prison et le droit de vendre maison, barbecue, labrador et tout le reste pour payer leurs amendes.

Il fallait s'y attendre, certaines personnes ont été quelque peu énervées par le verdict.
De plus, l'ifpi (International Federation of the Phonographic Industry) a eu la bonne idée d'enfoncer le clou en publiant son contentement.
Il n'en fallait pas plus pour que ifpi.org, entre autres, se prenne un DDos hier matin. Bon, petit DDos, rien de vraiment très méchant.

Et oui, toucher au P2P, de près ou de loin, c'est un peu comme demander son âge à une femme, on peut être certain que ça se terminera très très mal... encore que pour le P2P je n'en sois pas si sûr... ;)

un commentaire

lundi 20 avril 2009

Oracle s'offre Sun

Par BenjO le lundi 20 avril 2009, 22:11 - IT security jokes

SunOracle Voilà, ça c'est presque fait.

Espérons qu'Oracle n'imposera pas son cycle de "Critical Patch Update" à Sun... (Pour rappel : Critical Patch Updates are the primary means of releasing security fixes for Oracle products to customers with valid support contracts. They are released on the Tuesday closest to the 15th day of January, April, July and October) ;)

2 commentaires

samedi 18 avril 2009

IDA Pro 5.4 evaluation version

Par r0main le samedi 18 avril 2009, 22:07 - Reverse engineering

idalogo.gif Hex-Rays a la gentillesse de proposer en téléchargement une version d'évaluation du meilleur desassembleur disponible: IDA Pro 5.4.

Bien évidemment, cette version possède plusieurs limitations, comme l'impossibilité de sauver les modifications apportées à la base ou le support limité aux processeurs x86 et ARM.
Une liste plus complète est disponible ici.

Une bonne occasion de tester un produit qui mérite complètement l'achat de sa licence... Qui a dit "pas comme d'autres" ? :)

aucun commentaire

mercredi 4 mars 2009

Medusa 1.5 is out!

Par r0main le mercredi 4 mars 2009, 09:36 - Quick Post (ITSec)

Medusa est un brute-forcer que beaucoup préfèrent à Hydra.
En effet, Si Hydra fait correctement son travail, il a une fâcheuse tendance à crasher.

D'ailleurs, l'auteur même de Medusa présente son brute-forcer comme une version améliorée d'Hydra:

Why create Medusa? Isn't this the same thing as Hydra? Here are some of the reasons for this application:

* Application stability. Maybe I'm just lame, but Hydra frequently crashed on me. I was no longer confident that Hydra was actually doing what it claimed to be. Rather than fix Hydra, I decided to create my own buggy application which could crash in new and exciting ways.
* Code organization. A while back I added several features to Hydra (parallel host scanning, SMBNT module). Retro-fitting the parallel host code to Hydra was a serious pain. This was mainly due to my coding ignorance, but was probably also due to Hydra not being designed from the ground-up to support this. Medusa was designed from the start to support parallel testing of hosts, users and passwords.
* Speed. Hydra accomplishes its parallel testing by forking off a new process for each host and instance of the service being tested. When testing many hosts/users at once this creates a large amount of overhead as user/password lists must be duplicated for each forked process. Medusa is pthread-based and does not unnecessarily duplicate information.
* Education. I am not an experienced C programmer, nor do I consider myself an expert in multi-threaded programming. Writing this application was a training exercise for me. Hopefully, the results of it will be useful for others.

Cette nouvelle mouture de Medusa corrige différents bugs et apporte le support de nouvelles méthodes d'authentification, le changelog est disponible ici.

aucun commentaire

lundi 23 février 2009

La sécurité du navigateur : le prochain challenge ?

Par BenjO le lundi 23 février 2009, 00:24 - Quick Post (ITSec)

La sécurité autour du navigateur web semble prendre une nouvelle tournure, le web 2.0 « pouet-pouet » ayant sans doute sa part de responsabilité.

En décembre dernier, Google sortait un papier/projet Native Client: A Sandbox for Portable, Untrusted x86 Native Code / Native Client @ Google Code. Dans la foulée, Google mettait à disposition : Browser Security Handbook.

Ces derniers jours, c’était au tour de Microsoft de sortir un papier autour de ce sujet : The Multi-Principal OS Construction of the Gazelle Web Browser.

En fin d’année dernière en France, certains quittaient les UTM pour cette « nouvelle voie »...

aucun commentaire

dimanche 8 février 2009

Kaspersky got 0wn3d...

Par r0main le dimanche 8 février 2009, 12:14 - IT security

kasperskylogo.png C'est Eugène qui doit faire la tête...

usa.kaspersky.com s'est fait faire les fesses à grand coup d'injection SQL.
Évidemment, peu de détails ont été publiés mais assez pour donner un grand sourire à quelques pen-testers ;)
Jetez donc un oeil à liste des des tables... hem... on s'est compris ;)

Mouais, personne n'est à l'abri d'une vieille faille qui traîne mais quand-même, quand on s'appelle Kaspersky, c'est un peu la loose...

4 commentaires

samedi 7 février 2009

SEHOP: La fin de l'exploitation du SEH ?

Par r0main le samedi 7 février 2009, 22:01 - IT security

windowslogo.jpgUne vulnérabilité de type débordement de tampon, c'est toujours marrant. :)
Une fois découverte, il ne reste plus qu'à écrire l'exploit, si cette vulnérabilité est exploitable.
Compte tenu des contraintes techniques et de l'architecture des noyaux Windows récents, une méthode répandue est d'exploiter le mécanisme de gestion des exceptions de Windows, le SEH (Structured Exception Handler).
On écrase l'offset d'un exception handler, on provoque une exception et le flot d'exécution est redirigé vers notre code. Pratique...

Mais les Microsoft guys se sont penchés sur le sujet. En effet, interdire l'exploitation du SEH pour exécuter du code injecté pourrait rendre inutile pas mal d'exploits.
C'est exactement le but du SEHOP (Structured Exception Handler Overwrite Protection).
Le principe est simple, on ajoute un enregistrement symbolique à la fin du SEH, qui est une liste chainée.
Lorsqu'une exception est levée, le dispatcher d'exception récupère l'adresse de l'enregistrement du SEH courant (qui contient un pointeur vers le gestionnaire d'exception à exécuter) et, au lieu d'exécuter directement le gestionnaire d'exception associé, commence par vérifier la chaîne de gestionnaires.
Si l'enregistrement symbolique ne se trouve pas en bout de chaîne, on considère que le SEH a été modifié de façon suspecte et le processus est terminé.

Le SEHOP est, par défaut, activé sur Windows Server 2008 et désactivé sur Vista SP1.

Alors, est-ce la mort des exploits Win32 avec le SEHOP? Mmmm, pas si sûr... ;)

aucun commentaire

dimanche 1 février 2009

IDA Pro 5.4 is out!

Par r0main le dimanche 1 février 2009, 23:25 - Reverse engineering

idalogo.gif Oui je sais je suis en retard. Je voulais poster avant mais...non en fait je n'ai aucune excuse.


Donc, vous l'aurez compris, IDA Pro 5.4 est disponible.
Et la, attention, ça envoie gros!

La grosse nouveauté dans la version 5.4 est la présence de trois nouveaux débogueurs:

  • Bochs: Exécution et deboguage de code dans l'émulateur, ce qui n'a pas de prix pour l'analyse de code malveillant
  • GDBServer: Supporte les architectures x86 et ARM. Permet le remote debugging d'une machine virtuelle sous QEmu ou VMWare (Yeah!!)
  • WinDBG: Alors la c'est la griotte sur l'opcode, remote kernel debugging (Yeah!! Yeah!!)

Enfin, un interpréteur Python est maintenant fourni de base. Sympa pour scripter IDA.

IDA Pro est depuis longtemps (toujours?) le meilleur desassembleur disponible sous Win32.
Avec l'ajout des trois débogueurs cités précédemment, IDA Pro est plus que jamais l'arme ultime pour tout reverse engineer, peut importe son domaine d'activité.

Et si l'on pense en plus au fameux décompilateur HexRays... pas de doute, IDA Pro est LA référence.

un commentaire

This site may harm your computer...Not!

Par r0main le dimanche 1 février 2009, 22:02 - IT security

google.jpgPetite boulette chez Google le 31 Janvier 2009.
Entre 6h30 et 7h25 PST, tous les résultats fournis par le moteur de recherche de Google étaient ornés d'un avertissement relatif à la présence de malwares.

Comme l'indique Google dans ce post, une erreur a été commise en indexant "/" dans leur blacklist.
Du coup, toutes les URLs se sont retrouvées blacklistées...

Gênant mais l'erreur est humaine et Google a corrigé en 40 minutes, ce qui est plutôt pas mal. :)

aucun commentaire

- page 1 de 9