Thursday, July 24, 2008

Zul'Aman Bear Runs

Si vous voulez voir a quoi ressemble un Bear Run complet, voici les videos que Twenty a capture de nos runs:



Friday, July 18, 2008

Cher Blizzard,

J'ai ete gentil cette annee, j'ai aide beaucoup de personnes a se proteger des mechants hackers du ternet, j'ai beaucoup travaille et je suis alle souvent a la piscine, j'ai paye toutes mes factures. Est-ce que je peux avoir une cle pour la Beta de Wrath of the Lich King?

Merci.

Edit: Allez je rajoute meme que j'audite votre code gratuitement pendant 4 week ends si vous me filez une cle!

Thursday, July 17, 2008

Vegas Baby!

En ce moment je suis a Boston pour deux semaines, ou je fais beneficier un client de mes competences en massacrage de programmes. C'est chouette comme job, vous dites "Vous avez fait de la merde la, la et la. Et la c'est encore pire". Vous developpez les exploits pour prouver que vous ne dites pas de la merde vous-meme, et le client vous dit merci et paye, bien. Tres bien. Boston c'est chouette au passage. J'aime beaucoup les batiments en briques (je suis a Cambridge, MA en fait, juste a cote de Boston) et la population locale. Ca change un peu des greluches en bikinis.

Enfin bon, tout ca pour dire que je vais m'occuper cette annee de la certification NOP d'Immunity a Vegas (Network Offense Professional). Le principe sera de developper un exploit pour un binaire proprietaire en un temps determine sur plateforme Win32. Vous reussissez, tant mieux, vous etes certifie. [troll]Sinon bah vous pouvez toujours tenter le CISSP[/troll]. C'est marrant, tout le monde a plein d'avis differents sur la question, d'apres les posts sur DD. Personnellement je trouve ca amusant. Et puis si vous n'etes pas certifie, ca ne veut pas dire que vous etes un incapable, ca veut juste dire que vous n'etiez pas la.

Vous pourrez me retrouver la-bas, avec soiree au Sapphire comme chaque annee pour profiter des strip-teaseuses locales!

Thursday, July 10, 2008

Garde a vous

Depuis que je vis aux USA, je ne m'interesse que tres peu aux affaires interieures de l'hexagone. Je suis ca de loin quand le temps le permet, lorsqu'une affaire fait la une internationale, ou lorsque le streamer RSS de Gmail me pond un truc qui m'interesse.

J'ai fait mon service nationale bien qu'etant de la derniere "promotion", n'ayant pas opte pour la solution "inscription en universite", j'ai fait mes classes sur la base aerienne 115, et cotoye des gens plus ou moins interessants (plus souvent moins que plus) servant les couleurs de la France. J'ai eu une periode patriotique, rapidement calmee par l'ineptie et la fourberie des gens auxquels j'ai eu a faire (speciale dedicace aux OPJ de la D*T). Les methodes de crevards employees constituent toujours en 2008 une excellente source de rage - tres utile pour le sport.

Et recemment je me suis mis a suivre les peripeties de l'actuel president face au corps militaire francais. Et je rattrappe mon retard. J'avoue que malgre mon experience (aussi courte soit elle) dans le domaine, je suis surpris par l'etendue des dommages. J'apprecie particulierement les articles du Nouvel Observateur sur le sujet. Sur l'affaire du Ponant, je lis:

En panne moteur, l'un des deux avions Bréguet-Atlantic-2 (27 ans d'âge) chargés de surveiller «le Ponant» a failli se crasher en se posant en urgence au Yémen. Les bateaux engagés «sur zone» ont connu quelques problèmes. La frégate «Jean-Bart», âgée de seulement 17 ans, a été victime d'avaries mais a pu être opérationnelle. La frégate «Surcouf» était à Djibouti. En panne. Le porte-hélicoptères «Jeanne-d'Arc» (45 ans d'âge) était en surchauffe moteur. La frégate «Georges-Leygues» (31 ans), victime «de problèmes techniques», n'a pas pu participer à l'opération. Deux hélicoptères Puma (40 ans d'âge), stationnés à Djibouti, étaient en panne, «comme tous les jours». Quant à la barge de débarquement pour les commandos marine, elle a coulé tout simplement à proximité du «Jean-Bart»...


Meme dans un film comique, les scenaristes n'oseraient pas en faire autant!

Les sources:
Article 1
Article 2
Article 3

On a frole le Big One

Je trouve des failles. J'ecris des exploits. Je fais des pentests. Je suis utilisateur de Windows. Je joue a WoW. De quoi ai-je peur? Du vide, comme j'en ai eu une belle confirmation a Singapour, mais au niveau informatique de pas grand chose. Et surtout pas de DNS cache poisoning.

Recemment j'ai failli me faire avoir une fois. Par un 0day Acrobat Reader (cherchez le post dans l'historique du blog). Parcequ'un iframe d'un site de pub legitime (pas redirige par une entree d'un cache DNS) servait joyeusement un PDF verole. Et tout le monde s'en foutait a l'epoque. Pourtant je ne suis pas passe loin. De quoi? Je n'en suis pas sur. D'un formatage de disque probalement (Oh non 1/2 journee de perdue!)

On a eu l'occasion de faire des campagnes de social engineering a Immunity pour des grosses boites US, avec montage de site bidon, etc: taux de reussite de 10% en envoyant des emails aux employes et en leur demandant de rentrer leur user/password sur le site.info a la place du site.com. Pas besoin de cache poisoning.

Les 0days serverside exploitables sur des Windows 2003 SP2 sur des ports non filtres ca existe. Est-ce que ca sera la fin du monde lorsqu'ils seront exploites a grande echelle? Pas plus que ca ne l'a ete pour Code Red. Un exploit qui root un Firefox <= 2.0.0.14 sans sourciller sur un Windows XP SP3, on a (cf. Early Updates). Tant pis pour les gens qui chient en permanence sur IE, j'espere qu'ils font tourner un anti-rootkit regulierement. Et ca ne change rien pour Internet.

Le "Big One", ca me fait grincer des dents. La mediatisation on en fait aussi a Immunity, ca fait vendre du produit. Mais la ca depasse mes capacites d'assimilation.

Wednesday, July 9, 2008

Les loleries du renseignement francais

Article du Nouvel Observateur:
Sarkozy lance la DST aux trousses des militaires

Continuez les mecs, vous devriez avoir votre place au betisier 2008.

DNS

Pareil que Sid.

Je vais juste rajouter qu'une fois de plus un maitre de l'escroquerie a reussi a faire monter la mayonnaise. C'est vraiment nul, les journalistes sont stupides. Article du Figaro. Quand je lis des trucs comme ca j'ai envie de changer de metier. Genre elever des moutons. Faire tueur a gages. Ouaip tueur a gages c'est mieux. J'ai vu Wanted hier soir, et ca donne envie. Prochaine activite prevue avec Bas & Rocky, le shooting range. Un des avantages des Etats-Unis...

Edit: certaines personnes pensent qu'il serait deraisonnable de mettre un semi-automatique charge dans mes mains. Avis?