vendredi 12 octobre 2007

.ASIA against phishers


Well here are good news following the opening of the new .asia gTLD. I've blogged about it HERE. This week-end I'm sick, so I guess I could find some time to blog at least one new post here ;-)


jeudi 11 octobre 2007

ISPs are frustrating


Once again, I'm sorry but you have to click one step further, HERE, to read a new post from me ;-)

vendredi 31 août 2007

Blog day 2007 :-)


Je sais je sais, je délaisse un peu mon blog en ce moment...

Par contre je ne pouvais pas passer à côté de ce jour, qui est le blog day international :-)

En ce jour, nous sommes censés blogger sur 5 autres blogs qui ne se rapportent pas à notre domaine...

J'ai donc choisi des blogs d'amis, et d'autres blogs, mélangés.

Hop, sans plus attendre, la liste.

Lise-Laure Meyer's Blog
blog-not.com
Syphie.com
Morghot
Dream Theater Skyblog


vendredi 10 août 2007

Joe The Whistler


I wrote a post about Joe The Whistler on cert lexsi's weblog ... You can find it here

To make it short, it is about this sad news that shook the phreakers world : "Joe the Whistler" left us some days ago.

samedi 7 juillet 2007

CERT LEXSI ... :-)


Well I've been quite busy recently, I'm sorry I didn't post anything for the last weeks...

I also forgot to mention that I started writing on CERT LEXSI's weblog.

From now on you might read some of my thoughts there, but I'll keep feeding this blog with other thoughts.

Typically, my geek thoughts about computer security will still be posted here, while the rest will be on CERT LEXSI's one.

You can read my first post for CERT LEXSI here.

mercredi 13 juin 2007

Réunion OSSIR du 12 juin 2007


Une fois n'est pas coutume, je vais parler un peu de la réunion d'hier du groupe SUR (Sécurité Unix et Réseau) de l'OSSIR (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux) ...

Pour rappel, l'OSSIR se réunit à peu près une fois par mois, en deux dates distinctes, l'une pour le groupe Windows, et l'autre pour le groupe SUR.
Les réunions se déroulent en fonction des opportunités de disponibilités de salles proposées en général par des adhérents de l'OSSIR.

Hier donc, c'était à EPITA

Les deux sujets abordés étaient "Spam Images" et "Mise au point d'un filtre HTTP avec filtrage par liste blanche et apprentissage".

Spam Images
Louis Nyffenegger - Hervé Schauer Consultants

Cette présentation, que vous pouvez trouver ici, s'est révélée très intéressante. Pour m'être déjà un peu intéressé moi-même à ce type de spam, je m'attendais un peu à m'ennuyer, mais pas du tout. Louis (que j'ai déjà eu l'occasion d'entendre concernant la détection de rootkits sous Linux) est un très bon orateur, et ses réflexions se sont révélées très à-propos.

J'ai notamment appris, et je ne l'aurai pas soupçonné, une information mathématique "amusante" mais surtout très utile que je vous expose ici :
Prenez deux spams contenant la même image.
Sauvegardez ces deux images "identiques" sur votre système, et lancez un calcul de hash MD5 dessus.
Evidemment, vous obtenez un hash MD5 différent, tout simplement parce que les spammers utilisent plusieurs techniques très simples pour que les images de chaque mail ne soient pas "exactement" semblables, afin de contre-carrer une bête blacklist de hash MD5 quelconque.
Maintenant, reprenez ces deux images, réduisez-les en 40*40 ar exemple, et refaites un calcul de hash MD5.
Vous obtenez un hash identique.
Je n'ai pas le détail des tests effectués... Evidemment le taux de réussite doit être variable en fonction de la méthode utilisée par le spammer pour créer ses images, du format de l'image (je me pose la question par rapport à la compression de jpg par exemple), etc... mais il serait intéressant d'étudier plus avant cette méthode d'identification d'images...

Mise au point d'un filtre HTTP avec filtrage par liste blanche et apprentissage
Vincent Deffontaines - INL

Là encore, un orateur sympa et très compétent, puisque capable de nous tenir en haleine devant un simple tty pour sa démo, qui n'a pas souffert de l'"effet démo" pour notre plus grand plaisir...

Tout le monde connait Apache, et certains de ses modules, mais connaissiez-vous ModSecurity ?
Ce module possède de nombreux avantages, et notamment de pouvoir logger beaucoup plus de choses que dans votre access.log habituel ... Et de gérer votre trafic web par des règles de filtrage.
Il existe des convertisseurs de vos règles snort en règles modsecurity, mais finalement, rien n'existait pour avoir un vrai learning-mode modsecurity du trafic web et créer ainsi des règles de filtrage efficaces, selon le principe des white-lists.

Après avoir présenté modsecurity, Vincent nous présente donc un nouveau produit INL, Ouadjet, capable de générer des règles de filtrage en un format XML à partir de trafic web, modifiables à la main, et ce autant sur vos requêtes GET que sur vos requêtes POST. (Eh oui, c'est merveilleux)

Cet XML est ensuite convertible en format modsecurity ... Plus qu'à ajouter les nouvelles règles de filtrage, redémarrer le serveur Apache... Et le tour est joué :-)

Décidément, beaucoup de talents chez cette jeune société française qui se bat élégamment pour le libre ;-)

Add-on: le lien vers la présentation de Vincent est ici.

mercredi 6 juin 2007

Nouveau blog :-)


Ca y est, suite à une discussion hier avec un certain geek suisse qui a encore du matériel informatique à fourguer, je me suis enfin décidé à m'offrir un nom de domaine et un hébergement digne de ce nom. (OVH)
En plus, je ne sais pas si vous avez remarqué, mais cela faisait plusieurs jours que l'ancien blog n'était pas accessible, merci Free.

Alors voilà, j'ai été étonné de la facilité d'installation de ce nouveau blog, je pensais que cela me prendrait du temps mais au final les méthodes les plus simples restent comme souvent les meilleures : j'ai installé Dotclear 1.2.6, puis je lui ai présenté l'ancienne base de donnée qu'il a accepté sans broncher, et je lui ai remis les plugins qui vont bien...
Du coup, sur le temps gagné, j'ai cherché un nouveau thème, et je trouve celui-ci carrément canon, merci la lène pour ce merveilleux thème :-)
Le seul soucis, c'est que dès que je vois des baguettes japonaises, peu importe l'heure à laquelle je les vois, j'ai des envies de makis.

Enfin voilà, je vais aller me coucher, et je reviendrais dans la journée pour blogger ce que je n'ai pas pu mettre en ligne ces derniers jours à cause des soucis d'accès au niveau de l'ancien hébergeur.

Enjoy your stay my friends :-)

jeudi 31 mai 2007

Mitnick Stealing ?


I fell on this newspaper article today, and started getting angry reading it.

Has this supposedly journalist any evidence that Kevin Mitnick might "steal" informations ? Does he know at least what a security consulting company is ?

Kevin Mitnick has paid his tribute to Justice. He's just like any other man, he's got the right to come back to the society, and not to be claimed as being guilty for everything he does !

I wish journalists would always check their information before claiming stuff around... This one even writes about "ethics" ? I guess he's got none... And I'm being polite ;-)

mercredi 30 mai 2007

SSTIC 2007 ... :'-(


Voilà, ça y est ...

Tous les copains sont partis pour le SSTIC 2007, dans cette charmante ville de Rennes que j'apprécie particulièrement ...
Ne m'y cherchez pas, je n'ai pas pu y aller cette année, à mon grand désespoir.

Je salue néanmoins mes collègues de boulot Denis et Olivier qui y sont, ainsi que "Bruno le suisse", les ptits gars de chez INL (Vincent,Eric,Jérôme), les autres Eric (y'en a beaucoup, oui...), David, et tous ceux qui ne m'ont pas dit qu'ils y allaient mais qui vont me téléphoner ou me mailer dans quelques jours en se foutant de ma trogne ...

Je m'en fiche, je me suis commandé deux tee-shirts de geek sur T-ShirtAvenue pour me remonter le moral, et ce soir moi aussi je boirais des litres de bière... pour oublier ;-)

mercredi 23 mai 2007

Un peu de pub ...


Une fois n'est pas coutume, et histoire de se détendre un peu, je vais faire un peu de pub et vous inviter à visiter les geekscottes de Johann Dréo ...

Il s'agit de petites planches que personnellement je trouve très distrayantes, sur ce monde si attachant qu'est celui des geeks... ;-)

Bravo Johann, et comme on dit, keep up the good work ! :-)

Je remercie au passage l'"homme en noir" assis en face de moi actuellement pour m'avoir fait découvrir ces planches... ;-)

lundi 14 mai 2007

Phisher interview...


Here's a part of an article from ha.ckers.org you can find here. It is about a phisher being interviewed, I'm hereby including a copy/paste of the interview, that I find very interesting and that I won't comment :-P

-----

How would you describe yourself? Age? Did you go to school? Interests?
Determined is the best word to describe myself. I’m 18 years young. Yes, I went to school. I left after high school. My interests are mma (mixed martial arts); fitness and last but not least..The internet!

How did you get your start in phishing? How did you get interested in it?
The typical scam mail that my parents kept recieving in their inbox. They were very poorly done! Yet in general they worked. So, I knew automatically I could come up with more efficient methods and have a far greater outcome.

How long have you been phishing?
I’ve been pishing since I turned 14. So thats, Nearly 5 years.

Do you have any idea how many people’s identities you’ve stolen so far?
Way over 20 million. Social networking worms really hit it off for me! I have so many hundreds of thousands of accounts to many websites I haven’t even got a chance to look through.

Did you need to forge any particular relationships with other people/groups to get started?
No, When I started I went solo. Alot of groups came to me asking if I wanted in, I declined.

What types of sites make the best phishing sites?
Social networking sites, Any site that involves teenagers ranging from 14 years old upwards.

What are the steps you take to set up a phishing site?
I try find a domain name that would best suite the current target. Try find a few similarities which would make my site more realistic. Then, Register it! I then find a reliable anonymouse host. (Offshore are the most reliable) Although, I do tend to use compromised hosting accounts.
Secondly, I view the page source. Then I alter the source code to post the forms information to my pishing site.
Thirdly, I create a php file which will POST the current forms information to a text file on my server. I use the same php file with every site, Just minor alterations are needed since it’s mearly a few lines of php code.

How many people do you typically phish per site you post?
That all depends on the size of the website (the ammount of users) Usually, I pish 30k a day.

How do you monetize the identities and how much does that net you?
Social networking sites, Make me $500 to 1k through CPA deals. 5 times out of 10 the person uses the same password for their email account. Now depending what is inside their email inbox determines how much more profit I make. If an email account has one of the following paypal/egold/rapidshare/ebay accounts even the email account itself, I sell those to scammers. All in all, I make 3k to 4k a day. I only pish 3-4 days a week. Depends on how much time I invest, The more time I invest the greater the outcome.

Are there any costs associated with phishing?
Yes there are costs. A dedicated server, VPN, Network encryption software and time.

What sort of hardware/software do you need to do this? Anything special (phishing kits, etc…)? What kind of internet connection do you use?
For MOST social networking sites, I use a program called MyChanger. You can find it on this website - www.myownchanger.com - This makes pishing so much faster on social networking sites. Everything is automated! messaging/bulletins/comments/profile modifications it’s great. Other than that, I get ALOT of custom programs built to suite my needs from freelance developers. My internet connection isn’t anything fancy, A stanard 1mb adsl line.

How do you keep yourself safe from being caught?
I use VPN’s, Dedicated servers, Proxies and my network traffic is encrypted. All payments are made through egold.

Are there any anti-phishing deterrents (tools or technology) that make life as a phisher harder?
Oh sure, There are many things that make pishing harder. But since Internet Explorer 7 and firefox 2 have implemented an antiphishing protection, Those two cause the most irritation.

Do you forsee any changes to the phishing industry that are worthy of note?
No.

Anything else you’d like to share/last words?
Lazy web developers are the reason I’m still around pishing.
Pretty telling on the current state of affairs, I’d say. The first interesting point I took from this were that IE7 and FF2 were actually a somewhat okay deterrent. From the looks of it, it hasn’t made much of a dent - only changed the tactics that phishers use. I suppose we could have guessed that since there is no lack of phishing emails in our inboxes, still I found it somewhat surprising that it was making a dent. I actually predicted that it would before IE7.0 launched, but I lost a bit of hope afterwards. Interesting nonetheless.
The second is that the password is used in more than one place 50% of the time - we already knew that but it’s interesting to hear it from a phisher’s perspective on how that’s actually useful to help monetize the attack. A huge thanks to lithium who allowed me to post all of his words. Does it make you re-think that MySpace profile you set up?

mercredi 2 mai 2007

E-Gold & Justice...


I've read an interesting article from Securityfocus ...
The article is about a two and a half year investigation from the FBI, leading to charging the famous E-Gold with four counts of violating the U.S. laws restricting funds transfers and money laundering.

I think I'm not the only one thinking it would be great if E-Gold, and all other "companies" of this kind, would definitely close... But I know, I'm a dreamer sometimes... ;-)

vendredi 13 avril 2007

come back...


Ca y est, mon déménagement est fini, il reste bien quelques cartons dans les coins mais en même temps, ils n'ont pas été ouverts non plus lors de mon déménagement précédent... ;-)

Bref, ADSL récupéré, TV récupérée, serveurs online, tout baigne à nouveau chez moi :-)

Du coup, je vais pouvoir me remettre à blogger de temps en temps, même si personne ne m'a mailé pour m'indiquer quel manque cruel était engendré par l'absence de nouveaux posts ici... :-P

J'en ai aussi profité pour mettre Dotclear à jour vu que la version 1.2.6 vient de sortir... ;-)

vendredi 23 mars 2007

Baisse d'activité


Hmmmm... désolé de ne pas blogger des masses en ce moment, mais je suis... surbooké.

En gros, entre mon déménagement (et plus d'ADSL la semaine prochaine, migration oblige...), mes expériences et tests sur le honeypot Nepenthes , mon boulot et ses déplacements, mes lectures de flux RSS, ma chère et tendre, etc... je n'ai pas trop le temps de blogger.

I'll be back, comme dirait l'autre, stronger than ever, very soon ;-)

dimanche 18 mars 2007

Forensics... Spreading like a worm ;-)


Here is an article from al.com ...

So Hoover will host the NATIONAL COMPUTER FORENSICS INSTITUTE.

It will welcome a thousand people each year, police investigators as well as prosecutors and judges...
But it will also train "private-sector specialists" ... Could you imagine this mix here in France ? *grin*

I'm not even daring to write about the money involved in this project... On the other hand, I'll damn myself to have a training there, to satisfy my curiosity and to learn more about Forensics ;-)

mardi 13 mars 2007

Numberz


I know, I'd better post personnal stuff/comments on the blog instead of other people's articles, but... I'm lazy and have few time at the moment for it ;-)

Anyway, here's another interesting article about playing with numbers ... Written by Dr. Neal Krawetz, it tells us about laptop losses and about spam/phishing ...

To bounce on this topic, I'm amazed by the number of employees who are allowed to take home their professional laptop, and who are having no idea of what computer security is.
They are taking the laptop home, storing personnal and professional infos without any encryption, connecting the machine to Internet, and so on...

All of this is driving me quite mad, to stay polite ;-)


mercredi 28 février 2007

Différentes faces... de déface :-p


Ces dernières années ont vu augmenter de façon considérable le nombre de défacements.
Considérés en fonction des points de vue comme "amusants" ou au contraire comme "énervants", ces défacements n'en sont pas moins générateurs d'interrogations, que ce soit du néophyte ou du professionnel de la sécurité informatique.

Why the hell ?
Les motifs premiers de ces pirates étaient la plupart du temps égocentriques : pénétrer un serveur web, revendiquer le piratage sous son pseudonyme auprès d'un maximum de personnes, se faire connaitre sur zone-h ou zataz, bref, augmenter sa popularité dans ce milieu...
La sensibilisation des administrateurs des systèmes compromis est un autre mobile. De nombreux défacements sont commis, puis l'administrateur du système est contacté par un mail dans lequel le pirate lui explique comment il a procédé, afin de pouvoir corriger la faille ou le manque de sécurité du site.
Depuis quelques temps, d'autres motifs sont apparus : revendications politiques, religieuses, haine de certains administrateurs...

Who the hell ?
Différentes catégories de pirates sont auteurs de ce type d'actes, mais la plupart du temps il s'agit de script kiddies.
Ces pirates se contentent d'utiliser des logiciels préexistants, et de se tenir plus ou moins au courant de vulnérabilités pouvant affecter un maximum de serveurs. Ils se servent ensuite de scripts/logiciels pour commettre leurs méfaits en masse. (Différents types de recherches Google leur permettent souvent de trouver un nombre conséquent de sites présentant les même failles.)
D'autres pirates plus compétents défacent parfois des sites, mais pour indiquer qu'ils ont compromis beaucoup plus que le seul serveur web hébergeant un site.

Evolution.
A l'heure actuelle, il est inquiétant de constater que de plus en plus de défacements véhiculent non seulement un message à caractère de plus en plus violent, mais également du code malicieux.
Evidemment, de nombreuses personnes veulent constater de visu les défacements, et se rendent sur le "lieu du crime", permettant ainsi à un éventuel code malicieux d'exploiter une vulnérabilité sur leur propre système et de les infecter.
D'autres compromissions, plus vicieuses encore, ne se "montrent" pas sur la page d'accueil du site piraté, mais se contentent d'agir "dans l'ombre" et de propager du code malicieux.
Ainsi, le nombre de piratages de pages d'accueil de sites à fort potentiel (en terme de nombre de visiteurs) augmentent. Dernier en date, celui du site des Dolphins, une équipe de football américain ... Dont voici l'article de Websense.


lundi 26 février 2007

La crétinbox a de la concurrence :-p


Samedi soir, après 400 km dans les pattes (ou plutôt dans les pneus), je suis arrivé chez mes parents, et là, oh joie, leur premier PC était là.
Flambant neuf, et trônant dessus... son Alicebox.

Mon premier réflexe étant de dégainer mon laptop et de vouloir me connecter au net par le wi-fi de l' Alice, j'eus la surprise de constater qu'aucun réseau wi-fi n'était présent. Ah, ok, la box doit avoir le wi-fi déconnecté par défaut. Là dessus ma mère, entendant le mot "wifi", s'exclame : "mais on n'a pas de cartes wi-fi".
N'y prêtant pas attention, marmonnant un vague "nan mais c'est bon j'en ai une de carte wifi sur ma machine, blabla..."
Je vais donc sur la machine des parents, je 192.168.1.1 et là ... Euuuh...
"Papa, c'est quoi le login/mot de passe de ta box ?
- Hmmm euh... ben... hmm... ?"

Zou, un petit coup de Google, pour obtenir l'accès: alice/alice. Magnifique, aussi fort que chez Wanadoo. La similitude s'arrêtant là, parce que dans la console d'administration de l' AliceBox...Eh bien...Il n'y a pas possibilité de changer le pass par défaut !

Et pour le wifi... Eh bien je déchantais rapidement : contrairement à ma bonne vieille Livebox, l' Alicebox a besoin d'une carte wifi sur elle-même, et mes parents l'avaient... renvoyé à Alice, n'en ayant pas l'utilité... :-/

Bien bien bien... Je passais donc mon week-end offline sur mon laptop, parce qu'évidemment je n'avais pas pensé à prendre un cable Ethernet avec moi, et que tout était fermé. (en Lorraine, rien n'est ouvert le Dimanche...)

Lundi matin, achat de cable droit, et hop, laptop connecté.

Mauvaise surprise encore une fois, l' Alicebox malgré ses trois prises ethernet, m'a attribué la même IP locale sur le laptop que sur le PC des parents.
Problème rapidement réglé du côté laptop (Ubuntu) à coup de ifconfig et de route.

Voulant m'éviter de trop faire la hotline avec mes parents et leur nouveau matos quand je serais de retour sur Paris, je décide d'installer un serveur VNC sur leur machine.

Hop hop, le serveur VNC tourne, et fonctionne merveilleusement en local avec vncviewer.
Par contre, par Internet, connexion refusée...
Firewall déconnecté pour les tests, ports VNC bien ouverts et déclarés sur la box, et toujours un soucis... Sur lequel je vais retourner travailler ;-)

Bref, Alice m'a un peu fait tourner en bourrique, je lui préfère largement Malice. ;-) (mineurs s'abstenir...)

Pour finir, je pourrais parler de la qualité de la téléphonie par Alice, mais non, tous mes interlocuteurs m'entendaient à peine et je recevais plein de grésillements... :-/

jeudi 22 février 2007

Aliens are not enough...


Here's a funny article from Associated Press writer Rachel Konrad.

It tells us about a stolen laptop which could be found by using the data it was trying to send to SETI.

Nice to know that when some stealers are booting their stolen material, they're just using the OS that's running on it without checking anything ... Would an alien do the same ? :-p

lundi 19 février 2007

Bienvenue...


Bienvenue sur le blog de Cédric Pernet.

J'espère que votre passage ici sera plaisant ...
En tout état de cause, ce blog traitera principalement de réflexions et commentaires relatifs à la sécurité informatique...A destination de geeks,évidemment... ;-)

Pour me contacter, vous pouvez me mailer directement à cedric.nospam.@.nospam.cedricpernet.net (retirez les .nospam. , et vous obtiendrez mon adresse mail... ;-)

Mon profil LinkedIn : http://www.linkedin.com/in/cpernet

Et enfin voilà ma clé publique...

page 2 de 2 -