Skip to main content
KAIZER ONION

Author: Franck Wurtz

Session lockpicking

Lock picking (crochetage en Français) est l’art d’ouvrir une serrure en l’analysant et la manipulant avec des outils de crochetage, et ceci sans la clef d’origine. Bien que le crochetage peut être associé à  des intentions criminelles, c’est une compétence essentielle pour un serrurier.

La plupart des serrures peuvent être rapidement et facilement ouverte en utilisant des outils commun tel un trombone, un morceau de scie, etc …

Certaines personnes ont comme hobby le lockpicking, car ils trouvent qu’il apporte une satisfaction et est une façon agréable de passer le temps, il a aussi une valeur de hack.

Personnellement, j’ai découvert le lockpicking en tant que sport lors de la DefCon 16 et depuis je le pratique de temps à  autre les weekends. Plus petit, je m’amusais déjà  à  ouvrir la serrure de ma tirelire, je me suis attaqué aussi à  la porte d’entrée de mes parents après avoir regardé MacGyver ouvrir une porte avec un couteau suisse … Maintenant je sais que ce n’est pas possible … 🙂

Cependant j’ai réussi à  ouvrir une serrure de porte d’entrée traditionnelle en utilisant la méthode du racking. Le racking est une méthode qui demande moins de dextérité mais qui fonctionne bien sur les serrures bas de gamme. Le principe est simple, l’outil en dent de scie doit faire un glissement rapide sur tous les pins, à  maintes reprises, afin de faire rebondir les pins jusqu’à  ce qu’elles atteignent la ligne de cisaillement.

Voici une petite démonstration sur un cadenas standard.

Sources:

http://en.wikipedia.org/wiki/Lockpicking

http://www.lysator.liu.se/mit-guide/MITLockGuide.pdf

http://www.lockpickshop.com/MPXS-14.html

Iptables reminder

Je suis toujours à  la recherche des bonnes commandes iptables, alors j’en profite pour me faire un petit pense bête :

Lister les règles :

# iptables -nvL –line-numbers

Sauvegarder votre config :

# service iptables save

Sortir votre conf en fichier texte :

# iptables save

Insérer une règle à  la position 12 par exemple:

# iptables -I RH-Firewall-l-INPUT 12 -p tcp -m state –state NEW -m tcp –dport 7804 -j ACCEPT

Restaurer une conf :

# iptables-restore your_config_file

Limiter le temps entre deux connections de la même adresse IP :

# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –update –seconds 15 -j DROP
# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –set -j ACCEPT

Satellite Hacking for Fun and Profit by Adam Laurie

Adam Laurie fait à  nouveau le buzz avec sa présentation “Satellite Hacking for Fun and Profit” à  la BlackHat Briefing à  Washington. On se souvient  de sa brillante intervention sur les puces RFID au hack.lu où il nous avait montré avec quelle facilité on pouvait lire, clôner et éditer les données de son passeport biométrique. Cette fois, c’est aux satellites qu’il s’attaque. Vous me direz “on a pas attendu sur lui pour avoir Canal SAT ou TPS gratuit”. De plus, avec les réseaux de key sharing qui prolifèrent sur la toile et leurs abonnements parfois plus chers que l’officiel. Passons …
Adam a démontré lors de la conférence, qu’il est possible d’écouter les communications de satellites grâce à  l’interface réseau de votre Dreambox. Pour les néophytes, la Dreambox est ni plus ni moins qu’un démodulateur tournant sous linux. Il vous suffit de lancer un sniffer réseau comme WireShark sur votre pc portable, de le connecter à  votre dreambox et c’est parti ! Une parabole de 1 mètre motorisé suffit pour scanner les différentes fréquences.

blackhat-2008-04-22

Les chercheurs Jim Geovedi, Raditya Iryandi, et Anthony Zboralski avaient déjà  exposé les mêmes failles ici (PDF), mais leur méthode nécessite une parabole de 2 à  4 mètres. Ce qui rend leur étude plus difficile à  vérifier contrairement à  celle d’Adam.

Adam a developpé un script qui permet de scanner différentes fréquences et d’identifier certains types de contenus, y compris le trafic basé sur TCP, UDP ou SMTP. Ce qui devient intéressant, c’est d’apprendre le type de données qui transite sur ces fréquences…

Pico Bello

Waterproof

Elle a tout d’une grande… Je pense que c ‘est un slogan qui lui colle au chrome … Cette petite clé USB de 31.3 mm de long est tout simplement une merveille. Pour ma part, je l’ai choisi en chrome avec 8 Gb, mais il existe plusieurs variantes disponible sur le site de Super Talent.

Voici les caractéristiques techniques :

Super Talent Pico C

Twitter, la F1 de l’internet

Il n’est plus nécessaire de présenter Twitter. Pour les personnes qui auraient passé un an sur la banquise sans internet, Twitter (qui signifie gazouiller) est un outil de microblogging qui permet à  l’utilisateur de signaler à  ses contacts “ce qu’il est en train de faire”. Basé sur le principe du SMS, twitter vous permet d’écrire 140 caractères et de suivre les tweets de vos contacts partout dans le monde. En effet, que vous ayez un iPhone (twinkle), un smartphone avec Windows Mobile (PockeTwit) ou que vous soyez au bureau avec firefox (TwitterFox), tous les moyens sont bons pour recevoir les “tweets” (les messages).

Son utilisation est très simple et c’est ce qui plait. L’information n’a jamais été aussi rapide qu’avec twitter. Par exemple, lors du dernier crash d’avion à  New York, la première photo du sauvetage a été publiée sur internet via Twitter par Janis Krums :

http://twitpic.com/135xa – There’s a plane in the Hudson. I’m on the ferry going to pick up the people. Crazy.

Que ce soit le geek ou le Président des Etats-Unis, tout le monde l’utilise. Ce qui fait de Twitter une mine d’or en terme d’information. Forcément, cela créé de nouvelle tendance, en autre la veille stratégique anonyme. Journalistes, espions industriels se sont jetés sur cet nouvel outil pour récupérer les informations le plus rapidement possible. Je ne serais pas étonné de voir des offres de conseil sur Twitter dans les années voire mois à  venir.

Comme chaque technologie qui fait le buzz, Twitter a été soumis au scanner de vulnérabilités de ses utilisateurs. Il n’aura pas fallu longtemps pour s’apercevoir que Twitter n’intègre aucune des meilleures pratiques en termes de sécurité. Lors de la dernière DefCon 16 à  Las Vegas, le “Wall of Sheep” était rempli de login Twitter. Si les trois développeurs de Twitter ont trouvé un super concept en Avril 2006, ils n’ont certainement pas pensé à  le sécuriser. Il faut dire que l’application a été pliée en deux semaines grâce au framework RubyOnRails. L’architecture du Logiciel est faite de telle manière que la communication avec l’API est autorisée uniquement sur la base du nom d’utilisateur et du mot de passe (qui bien entendu sont transmis en clair sur la toile).

De plus, Twitter ne nécessite pas d’avoir une adresse email valide lors de l’enregistrement d’un nouveau compte, même si un doesnotexist@email.com est utilisé, l’utilisateur est toujours enregistré et est autorisé à  utiliser Twitter. La facilité de créer un compte sur Twitter a donné la naissance a un outil de spam. Commercialisé depuis peu, Tweettornado permet de créer autant de compte utilisateurs que vous souhaitez et permet d’ajouter un nombre illimité d’adeptes(Followers). Combiné à  sa capacité à  mettre à  jour automatiquement tous les comptes par des faux serveurs proxy avec un message identique, cela en fait le parfait outil de spam.

Espérons que pour cette nouvelle année Twitter mise sur la sécurité.

Meilleurs Voeux 2009

Voici la pensée de Sartre qui nous faisait comprendre à  travers la citation suivante : L’homme est un être en perpétuel devenir” que l’être humain est en fait une synthèse complexe entre le passé et le présent ce qui permet à  chacun à  travers sa conscience, d’explorer son passé, de s’appuyer sur son vécu et ses expériences personnelles dans le but d’avancer vers un objectif ultime, celui de la réussite suprême : La liberté.

Et c’est ce que je vous souhaite à  tous pour cette nouvelle année … d’accéder à  la liberté …