MOOLINET BLOG

Difficile de faire sortir le geek de sa tanniere à l’arrivée des beaux jours. SecurityFocus et TomsNetwork proposent une bonne idée de balade avec une initiation à la pêche au wifi pour verifier que votre cryptage 128 bits resiste plus de 3 min au pirate assis à la terrasse du café d’en face.

ps : attention avec une antenne ricoré à la main, on peche souvant plus de grands mère que de reseaux wifi !

How To Crack WEP - Part 1 : Setup & Network Recon :http://www.tomsnetworking.com/Sections-article118.php

How To Crack WEP - Part 2 : Performing the Crack : http://www.tomsnetworking.com/Sections-article120.php

Wireless Attacks and Penetration Testing (part 1 of 3) : http://www.securityfocus.com/infocus/1783

Wireless Attacks and Penetration Testing (part 2 of 3) : http://www.securityfocus.com/infocus/1785

Wireless Attacks and Penetration Testing (part 3 of 3) : http://www.securityfocus.com/infocus/1792

Et pour finir une video de demo du live CD Whoppix montrant une attaque réalisé en 10 min : http://whoppix.hackingdefined.com/Whoppix-wepcrack.html

Comme à son habitude, HSC livre à la communauté opensource le fruit de ses développements orientés sécurité. Développé par Alain Thivillon, le client SSLTunnel est désormais disponible pour les plateformes Microsoft Windows.

En juin 2003, le cabinet Hervé Schauer Consultants publiait le logiciel libre SSLTunnel, un ensemble client/serveur sur plateforme Unix permettant de mettre en place un tunnel chiffré grâce à une liaison PPP au dessus d’une session SSL/TLS. Le client SSLTunnel est désormais disponible pour les plateformes Microsoft Windows. Il a été testé sur Windows 2000, Windows XP (SP et SP2), et Windows Server 2003.

SSLTunnel se distingue par sa capacité à établir un tunnel en toutes circonstances : en cas de traduction d’adresses, derrière un firewall autorisant HTTPS et au travers d’un relais HTTP même imposant une authentification comme MS-ISA Server. Le logiciel SSLTunnel est un logiciel libre, principalement écrit par Alain Thivillon.

Petit rappel des faits :
Fin mai, NullSoft (créateur du logiciel Winamp) propose sur son site un logiciel P2P du nom de WASTE sous licence libre GNU/GPL. 24h plus tard la page de téléchargement est remplacée par un avertissement interdisant l’utilisation et la diffusion de WASTE, tout en réfutant la licence GNU/GPL ! Mais une journée aura suffit aux partisans du libre pour s’accaparer le logiciel. Ainsi, malgrés le désaccord d’AOL (propriétaire de Nullsoft), Waste se retrouve sur SourceForge, et sa licence libre de 24h confortée.

Mais qu’est ce que Waste ?
Simple, un réseau de partage crypté pour une petite communauté (10 à 50 personne) et qui assure un quasi-anonymat aux utilisateurs :
 À un premier niveau par le cryptage des informations grâce à un systême de clés et aussi un encodage des liens entre les ordinateurs du groupe.
 À un second niveau par l’architecture du réseau, sans serveurs et avec des nodes qui font que les communications ne sont pas directes.

Comment ça marche ?
À l’installation du programme, deux clés sont créées, une privée et une publique. La première ne sert qu’à vous identifier sur le réseau et ne doit pas être divulgée. La seconde permet de se connecter sur les autres ordinateurs. En effet cette clé est nécessaire pour que la connection sur un ordinateur ami soit effective. Une fois connecté à un autre ordinateur, celui-ci vous fournire sa liste d’ordinateur ami, et donc vous serez relié au groupe. Waste vous offre le choix alors de chatter, de chercher et transférer des fichiers.

Epilogue :
La situation légale de ce logiciel est plutot floue. Le débat fait toujours rage entre ceux qui refusent d’accorder de la validité à cette licence libre d’un jour, et ceux qui affirment que celle-ci est irrevocable. En attendant, on trouve Waste sur un nombre plethorique de sites, et on a préféré vous proposer celui de SourceForge pour des raisons évidentes.

Note : Pour le moment uniquement disponible pour Windows mais comme on peut il est dit "porting to other operating systems should be a breeze, as the source is provided (and the network code itself is pretty portable)".

Un anti-virus et une firewall c’est bien, mais comment savoir si un méchant pirate a essayé de visiter ton PC ?

Lire les logs du traffic c’est un rien trop long, alors on a créer les IDS pour le faire à ta place et détecter quand une activité réseau est suspecte.

Le celebrissime IDS Snort a été packager avec tout ce qu’il faut pour s’installer simplement sur Windows (apache, PHP, Mysql etc..) par les gens d’Engage Security (qui sont vraiment trop sympas non ?)

Alors y a plus à hésiter :
 Eagle X is an IDS environment using free software :
http://www.engagesecurity.com/products/eaglex/

 Snort Le site :
http://www.snort.org

On le savait déja, mais voila une preuve supplémentaire que MATRIX n’est pas un film de SF comme les autres : Les gens de insecure.org ont reconnu dans ’The Matix Reloaded’ leur scanner de port NMAP permettant a trinity de s’infiltrer dans un systeme ennemi.(Nmap version 2.54BETA25, utilisé pour trouver un serveur SSH vulnerable puis l’exploit SSH1 CRC32)

Donc faire du cyberpunk realiste c’est possible et johnny Mnemonic, et autres Hackers peuvent aller se r’habiller !

Les développeurs de Synacklab on eu l’idée ingénieuse d’utiliser les champs d’en-tête TCP/IP pour cacher des données et les transmettrent en toute discrétion. StegTunnel est né. Ce puissant outil vous permet de cacher des données dans les champs IPID et les numéros de séquences utilisés pour établir des connexions TCP. Composé de deux programmes, l’un « client » et l’autre « server », StegTunnel est quasi indétectable et son utilisation est complètement transparente sur le réseau. Bien sur StegTunnel est plus un « proof of concept » qu’un réel outil utilisable au quotidien, mais il vaut le coup d’être étudié.

Télécharger StegTunnel :http://www.synacklabs.net/projects/stegtunnel/stegtunnel-0.2.tar.gz

Barron Mertens reconnait avoir été déconcerté le mois dernier lorsqu’un cluster de machines sous Windows 2000 qu’il héberge à l’université d’Ontario commence à « planter » de manière complètement aléatoire et sans raison apparente. Le seul indice qu’avait Barron pour tenter de résoudre ce problème était le message d’erreur qui faisait référence à un composant Windows « ierk8243.sys ». Il n’avait jamais entendu parlé de ce composant, et lorsqu’il contacta Microsoft, eux même n’en connaissaient pas l’existence. Depuis que le cluster avait été placé en production il y a deux ans, il n’avait jamais fait ce type d’erreur se rappelle Barron Mertens.

Barron Mertens ne le savait pas à ce moment, mais le réseau de l’université avait été compromis et ces mystérieux plantages étaient en fait la preuve qu’un intrus avait réussi à s’introduire et installer un outil lui permettant d’être quasiment indétectable.

"Slanret", "IERK," et "Backdoor-ALI" sont des Rootkits pour Windows, ces ensembles de programmes permettent de tromper au plus bas niveau le système d’exploitation Microsoft Windows. Les éditeurs de solutions Antivirus informent qu’une fois installés ils ne peuvent pas être détectés par les moyens conventionnels.

Aussi connus sous le nom de "Kernel mode Trojans", les RootKits sont bien plus sophistiqués que les Backdoors classiques. La différence réside dans leurs capacités à contrôler le système compromis. Les Backdoors classiques comme SubSeven ou BO2K sont exécutées comme une application standard dans Windows, ces programmes héritent donc des mêmes capacités qu’un quelconque programme lancé par un utilisateur et sont donc facilement détectables par les antivirus, grâce aux traces dans la base de registre par exemple.

Le Rootkit lui se loge directement au cœur du système d’exploitation ou il peut intercepter les appels systèmes que les autres programmes utilisent pour exécuter des instructions et des fonctions basiques comme accéder aux fichier du disque dur.

Le Rootkit se positionne comme interface entre le système d’exploitation et les programmes, décidant ainsi de ce qu’ils peuvent voir ou faire. Bien évidement sa position lui permet de se « cacher ». Si une application essaie de lister le contenu des répertoires pouvant contenir les fichiers de Rootkit, celui-ci va pouvoir « censurer » la réponse en ne renvoyant pas au programme la liste des tous les fichiers. Le Rootkit peut évidemment faire la même chose avec la base de registre et la liste des processus actifs. Il a aussi la capacité de cacher d’autres fichiers que le pirate ne veut pas montrer comme les mp3, les listes de mots de passes etc.

"Slanret" n’est techniquement qu’un composant du rootkit. Il est installé avec un programme backdoor de 27 Kilo bytes appelé Krei qui écoute en permanence un port et permet au pirate d’accéder au système par cette porte dérobée.

Le composant "Slanret" est une routine de 7 kilo-octet qui permet d’installer le Rootkit en tant que "module de gestion de périphérique" au cœur du système. Il attend alors les instructions du pirate comme cacher tel dossier ou tel processus. D’après Mertens, cette technique effrayante pourrait permettre de cacher un éléphant.

Les Rootkits sont courants dans le monde Unix & Linux, cependant il est très rare d’en retrouver sur des machines Microsoft Windows compromises, d’après Marc Maiffret, Chief Officier de l’entreprise eEye basée en Californie.

Gred Hoglund, consultant en sécurité informatique en Californie, pense que ces techniques sont utilisées depuis plusieurs années déjà et que nous allons pouvoir observer une recrudescence de leur utilisation dans les années à venir.

Gred Hoglund fait office de spécialiste dans ce domaine, il a déjà tiré la sonnette d’alarme en 1999 lorsqu’il fit la démonstration des capacités de son propre outil "NT Rootkit". Depuis il a peu récupéré d’autres Rootkits comme "null.sys","HE4Hook" et "Hacker Defender" afin de les analyser. Ces outils sont disponibles sur le site www.rootkit.com.

D’après lui, de nombreuses personnes ont les compétences pour développer de tels programmes. Le mois dernier, il donnait un séminaire au "Black Hat Security Conference" à Seattle et tous les étudiants de l’auditoire écrivaient déjà leur propre RootKit pour Windows ayant la capacité de cacher des processus, des fichiers et répertoires.

En dépit des améliorations portées à ce genre de programmes il existe des moyens pour les détecter et les éradiquer. Une méthode simple est de booter la machine en "safe mode" rendant le Rootkit incapable d’opérer, il devient alors possible de retrouver les fichiers du Rootkit qui ne peuvent plus être cachés.

Alexis Roussel vient de traduire en français le « livre blanc » de Dancho Danchev sur la naissance, la vie, les mœurs et le futur des chevaux de Troie sous Windows. Le travail effectué est remarquable, sans erreur de traduction ni maltraitance de la syntaxe française. Bref, c’est aussi instructif que reposant à lire. Un seul regret toutefois : la Version Française de l’œuvre est fournie au format Ascii uniquement… et les URL l’émaillant (l’on en trouve une quantité industrielle, compte tenu de l’exhaustivité du travail) exigent de multiples couper-coller. On devient vite fainéant, à force d’utiliser un navigateur…

 L’article de 01.NET :
http://www.01net.com/rdn ?oid=194188&thm=UNDEFINED

 La news sur le site de The HackAdemy :
http://www.dmpfrance.com/news.php

 Why is Microsoft watching us watch DVD movies ?
Ou winMediaPlayer envoie à bill la liste de nos DVD favoris :
http://www.radsoft.net/news/20020220,00.html

 The Anatomy of File Download Spyware
Ou Netscape liste nos telechargements :
http://grc.com/downloaders.htm

Selon son éditeur, Brilliant Digital Entertainment (BDE), le logiciel Altnet ouvrira une fenêtre sur votre écran vous demandant votre permission pour participer à un nouveau réseau d’échange. Ce réseau servira à des fins plus ouvertement commerciales que Kazaa - notamment héberger de la publicité pour qu’elle se télécharge plus rapidement d’un PC à l’autre.

BDE assure que seuls les usagers ayant délibérément choisi de participer à ce réseau mettront leur PC au service de l’entreprise. Mais le texte du contrat qu’acceptent actuellement les usagers de Kazaa suscite le doute sur ce point. Le contrat prévoit déjà, en effet, que ces usagers acceptent par avance de contribuer à des échanges de fichiers sans limiter la portée de cette "contribution".

Le projet de BDE a été dévoilé aujourd’hui dans un document déposé auprès des autorités financières américaines. Ce projet serait à l’origine de la vente récente de Kazaa à une entreprise australienne, lui permettant ainsi d’échapper à la justice des Pays-Bas.

Warcraft 3, crée par Blizzard Entertainment, est certainement un des jeux de stratégie les plus attendus de l’année. Blizzard entretient depuis plusieurs mois un buzz autour du jeu en annonçant plusieurs fois par semaine via son site officiel la naissance de nouveaux éléments du jeu ou de nouvelles images pour mettre l’eau à la bouche des amateurs de la série Warcraft. Cependant, il y a quelques mois, Blizzard a demandé sur le net l’aide de "beta-testeurs" amateurs pour pouvoir trouver les derniers bugs du jeu avant sa commercialisation. Sur plusieurs dizaines de milliers de personnes qui se sont portées volontaire, Blizzard a finalement gardé 5000 testeurs à qui ont été distribué un CD de la version Beta du jeu Warcraft 3.

A noter que cette version de test ne fonctionne qu’en réseau via les serveurs BnetD qui sont la propriété de Blizzard et qui servaient déjà dans leurs précédents jeux comme StarCraft par exemple.

Or depuis le début des tests qui ont commencé en février dernier, ce ne sont pas 5000 mais près de 100 000 joueurs qui jouent, via la version piratée de la beta, en réseau via des serveurs, pirates également. Blizzard qui a constaté ceci a mis en ligne une FAQ (Foire Aux Questions) sur leur site officiel précisant que la version beta ne devait être utilisée que par les testeurs "officiels" ; que l’utilisation des services de jeux en réseau de Blizzard (Bnetd) ne leur permettait pas de contrôler l’arrêt dans quelques mois de la version beta du jeu et que cela leur portait préjudice et surtout que Blizzard allait tout mettre en oeuvre pour arrêter ce type de piratage.

Ceci explique pourquoi Blizzard a mis en place ce week-end une série de patchs pour le jeu (automatiquement mis à jour pour les vrais testeurs) qui empêchent les 95 000 autres joueurs d’utiliser les serveurs Bnetd, nécessaires pour jouer en réseau. Cependant, quelques heures après la création des patchs est apparue sur le net la nouvelle version crackée (imparfaitement) du jeu et toute la communauté des joueurs s’est réunie autour de quelques sites qui donnent des informations permanentes sur la sortie imminente de la nouvelle version crackée des patchs qui permettrait de finalement jouer en réseau. Certains de ses sites ont reçus près de 150 000 visiteurs pendant le week-end !

Qui de Blizzard ou de la "communauté" Warcraft 3 gagnera la partie ?

Rappelons que la version finale officielle de Warcraft 3 est annoncée pour le début de l’été 2002 et que la version beta fonctionne maintenant quasiment parfaitement.

La zeligConf se déroulera au CICP (centre international des cultures populaires) 21 ter rue Voltaire, 75011 Paris RER : Nation / Métro : Rue des Boulets entrée libre

Participation de Samizdat, Globenet, L’Autre Net, LSIjolie, BugBrother, Gandi, les Virtualistes, Kitetoa, le Syndicat de la Magistrature, le Syndicat des Avocats de France, Ras l’Front, Souriez, vous êtes filmés, entre autres.

Comme ce fut le cas l’an passé, les Big Brother Awards Français seront décernés dans la foulée, le lundi 28, à 20h, au Flèche d’Or Café.

Participation de Samizdat, Globenet, L’Autre Net, LSIjolie, BugBrother, Gandi, les Virtualistes, Kitetoa, le Syndicat de la Magistrature, le Syndicat des Avocats de France, Ras l’Front, Souriez, vous êtes filmés, entre autres.

Comme ce fut le cas l’an passé, les Big Brother Awards Français seront décernés dans la foulée, le lundi 28, à 20h, au Flèche d’Or Café.

Participation de Samizdat, Globenet, L’Autre Net, LSIjolie, BugBrother, Gandi, les Virtualistes, Kitetoa, le Syndicat de la Magistrature, le Syndicat des Avocats de France, Ras l’Front, Souriez, vous êtes filmés, entre autres.

Comme ce fut le cas l’an passé, les Big Brother Awards Français seront décernés dans la foulée, le lundi 28, à 20h, au Flèche d’Or Café.

Participation de Samizdat, Globenet, L’Autre Net, LSIjolie, BugBrother, Gandi, les Virtualistes, Kitetoa, le Syndicat de la Magistrature, le Syndicat des Avocats de France, Ras l’Front, Souriez, vous êtes filmés, entre autres.

Comme ce fut le cas l’an passé, les Big Brother Awards Français seront décernés dans la foulée, le lundi 28, à 20h, au Flèche d’Or Café.

Participation de Samizdat, Globenet, L’Autre Net, LSIjolie, BugBrother, Gandi, les Virtualistes, Kitetoa, le Syndicat de la Magistrature, le Syndicat des Avocats de France, Ras l’Front, Souriez, vous êtes filmés, entre autres.

Comme ce fut le cas l’an passé, les Big Brother Awards Français seront décernés dans la foulée, le lundi 28, à 20h, au Flèche d’Or Café.

<

Le trou de sécurité a été découvert il y a cinq semaines par des trois indépendants travaillant pour la société eEye Digital Security, dirigée par un ancien hacker de 21 ans. Une faille que les experts en sécurité de Microsoft ont qualifié de "très sérieuse"... Vu que les ventes de Windows XP ont maintenant dépassé la dizaine de millions d´exemplaires, cela fait désordre. Si vous utilisez Windows XP, vous êtes bon pour quelques minutes de téléchargement. D´urgence.