Portrait de ivan

Comment j'ai convaincu un arnaqueur de s'infecter avec Locky

tech support scam webpage

Il y a quelques jours, j'ai reçu un appel paniqué de mes parents qui avaient atterri sur cette page web (aujourd'hui inaccessible, mais voici un screenshot). Celle-ci les avertissait du fait qu'ils étaient infectés par Zeus. Ce tas d'HTML atroce avait tout pour lui : un message audio en lecture automatique, des alertes JavaScript infinies, et même un arrière plan bleu-BSoD parsemé de noms de fichiers cryptiques pour nous rappeler les bons vieux jours de Windows. Malgré celà, la page affichait une adresse IP aléatoire au lieu de mettre celle du visiteur.
Après que tout le monde ait bien rigolé sur Twitter, j'ai décidé de passer un petit coup de téléphone à ce soi-disant "support technique" pour en apprendre plus sur leur opération.

English version English version

Portrait de ivan

Broken Synapse : écriture d'un décompilateur pour fichiers DSO

Je suis un grand fan de Frozen Synapse depuis sa sortie en 2011. Il s'agit d'un jeu de stratégie en ligne comparable à une partie d'échecs dans laquelle chaque joueur déciderait de son coup en même temps et découvrirait le résultat de ses actions à l'issue du tour.
A l'instar d'un logiciel de poker en ligne mal codé, j'avais la certitude que le client du jeu recevait des informations sur la position de l'adversaire qu'il suffisait de regarder pour obtenir un avantage tactique en duel.
Cet article a fait l'objet d'une présentation à l'édition 2016 du SSTIC ! Vous pouvez télécharger les slides ici et visionner la conférence ici.

English version English version

Portrait de ivan

Chrysalide

Chrysalide est une nouvelle que j'ai publiée en juillet 2015 chez les éditions Voy'el.

Tags: 
Portrait de ivan

Bypass du script antibot "testcookie"

J'ai constaté il y a quelques jours que l'application Android sur laquelle je travaille à mes heures perdues, ApkTrack, ne parvenait plus à lire l'un des sites sur lesquelles elle récupère habituellement des informations.
Pour résumer, ApkTrack fait principalement du web scraping pour collecter des informations de version, et il arrive régulièrement que les sites consultés mettent en place des mesures pour empêcher les robots, même non-malveillants, d'accéder à leur contenu. Ce post décrit l'une de ces contremesures à laquelle j'ai été confronté ce week-end, et comment elle a pu être contournée.

English version English version

Portrait de ivan

Présentation sur l'architecture

A l'occasion de la convention du forum CoCyclics qui s'est déroulée le week-end dernier, j'ai eu l'opportunité d'animer une discussion sur l'écriture. Elle traite d'architecture littéraire, mais couvre aussi des questions plus larges qui peuvent à mon avis intéresser aussi les gens qui aiment progresser sans trop planifier.

Si le sujet vous intéresse, vous pouvez télécharger les slides de la présentation (licence CC-BY-SA 4.0). L'ensemble du discours que je prévoyais de faire à l'oral se trouve dans les commentaires des diapositives.

Bonne lecture !

Tags: 
Portrait de ivan

The Unparsable

Je fouinais dans ma réserve d'échantillons de virus liés au groupe APT1 quand j'en ai découvert un qui sortait du lot. Il s'agit de e480c8839e819eaa9b19d53acfa95052, et sa particularité est qu'il a mis en échec l'intégralité des analyseurs que je lui ai jetés au visage. Pourtant, il s'agit bien d'un exécutable Windows valide, et l'OS de Microsoft ne semble pas avoir de difficultés à le lancer.
Remontons les manches et jetons un coup d’œil sous le capot.
Portrait de ivan

SSL/TLS : Sauvons les meubles

Les derniers mois auront été rudes pour TLS. Après le désormais célèbre bug Goto Fail de l'implémentation Apple et son petit cousin linuxien, une nouvelle catastrophe vient d'être annoncée, cette fois-ci pour OpenSSL (CVE-2014-0160 répondant au doux nom de HeartBleed). La bibliothèque cryptographique semble vulnérable depuis 2012 à un problème de débordement de tampon qui permet de lui faire cracher jusqu'à 64k de sa mémoire.

État des lieux, et on en profite pour faire du ménage dans la foulée.

Portrait de ivan

Postfix : envoi de plainte automatique en cas de scan

Ces derniers jours, j'ai remarqué une forte augmentation des scans à la recherche de serveurs mails mal configurés ("open relays"). Ces serveurs acceptent de transférer des courriels en provenance de n'importe qui (et non uniquement des utilisateurs enregistrés) : une aubaine pour les spammeurs qui peuvent les utiliser pour relayer leurs cochonneries.
Après avoir envoyé une ou deux plaintes à la main, j'ai compris que mon temps serait mieux employé à automatiser cette tache.

Portrait de ivan

Les joies de l'administration

Il semblerait que les membres de la fonction publique aient pris pour résolution 2014 de me mettre des bâtons dans les roues. Bien que la majorité d'entre elles ne soient pas suffisamment drôles pour être partagées sur ce blog, la dernière en date vaut son pesant de cacahuètes. Voyez plutôt le document ci-dessous.

Portrait de ivan

Analyse et correctif du 0day Zimbra

Quand quelqu’un balance sauvagement un 0day sur ExploitDB, sans aucune concertation avec l’éditeur, ça me fait généralement marrer. Mais ce matin, quand j’ai ouvert les yeux et découvert qu’une faille Zimbra était tombée, j’avoue avoir traversé un instant de panique.
Puis j’ai rigolé.
Puis j’ai re-paniqué.

UPDATE (08 décembre) : Contrairement à ce qu'a annoncé l'auteur, il apparaît que le 0day n'en est pas un : le bug avait été corrigé dans les versions 7.2.2 et 8.0.2.

Pages

Subscribe to Borderline RSS