Le "Boxthon" est désormais lancé ! Kezako ? Eh bien c'est comme les dons du Téléthon, sauf que ça concerne des "Box" fournis par des FAIs. L'idée derrière ce "Boxthon" est de récolter des informations sur les modèles de box fabriquées par nos plus chers Fournisseurs d'Accès à Internet afin d'en tirer des observations/relations/faiblesses (rayez la mention inutile).
Il y a de cela quelques semaines, je m'étais penché sur quelques "box" proposées par Neuf ou Orange, et je souhaitais mener des recherches sur de possibles liens entre les informations présentes sur l'étiquette collée généralement sur (ou sous) la box (ESSID/BSSID, MAC, Clef WEP/WPA par défaut, numéro de série, etc ...) et la configuration du firmware (clef wep/wpa par défaut, paramètres divers et variés, hardware supporté, etc ...). Le plus gros écueil rencontré: le manque d'information. En effet, il me fallait pour cela plusieurs "échantillons" d'étiquettes provenant de différents FAIs/constructeurs ... J'ai appelé à l'aide sur quelques canaux IRC, mais sans grand succès.
C'est donc désormais par le biais de mon site que je vous propose de participer à cette collecte en faisant don d'une photo de l'étiquette collée derrière votre box (ou celle de vos parents). Si par souci de confidentialité vous ne souhaitez pas divulguer certaines informations, n'hésitez pas à les noircir à l'aide de votre logiciel de retouche photo favori, mais sachez que plus on a d'information mieux c'est. Pour faire don de votre étiquette de box, rien de plus simple:
Bien sûr, toutes les informations recueillies ne seront pas diffusées, mais les résultats des travaux effectués à partir de ces étiquettes seront rendus publiques.
A noter que les Livebox (tous constructeurs) et les Neufbox (NB4 principalement) sont les types de box les plus susceptibles de donner des résultats.
Merci par avance de votre contribution ;)
La Nuit Du hack (grossièrement traduit par "Night Da Hack" en apeuprès-anglais) est un évènement francophone présent depuis 2003. Elle regroupe des hackers de toute la France et d'autres Pays (quelquefois) autour de conférences diverses et d'un contest, qui dure jusqu'au petit matin.
Comme l'année dernière, cela se passe sur une péniche à Paris les 19 et 20 juin, mais pas n'importe laquelle: la péniche Concorde-Atlantique. Celle-ci est spacieuse, possède trois niveaux, et hébergera les conférences, le contest et possède trois bars (ca ne va pas arranger tout le monde). Sur place, il y a aura la possibilité de se restaurer, de boire, et de discuter avec tout le monde.
Un appel à conférenciers a aussi été émis, pour les orateurs voulant se faire entendre lors de cet évènement.
Petite nouveauté cette année, nous invitons une personnalité de la sécurité afin qu'il réalise une intervention lors la nuit du hack. De même, il se pourrait que certaines conférences soient réalisées dans la langue de molière^W^W^W Shakespeare, mais elles resteront majoritairement francophones.
L'entrée est un peu plus onéreuse que l'année précédente, mais tout à fait accessible (25 euros -- 1 pass, 1 sandwich, 1 boisson). A noter la possibilité d'acheter en ligne des tickets boisson supplémentaires, et sur place sans aucune limite.
Pour suivre les actualités en ce qui concerne HZV et la NDH, rien de plus simple, ca se passe sur Twitter.
De retour de Genève, où j'ai participé avec le reste de la team HZV à Insomni'hack 2010. Insomni'hack est un concours d'ethical hacking qui regroupe divers hackers (espagnols, français, suisses, et autres) autour de challenges concernant divers domaines de la sécurité informatique.
Nous sommes allé à Genève en train, où nous avons retrouvé les gars de Maubeuge (FaSm, Koreth, TiteFleur, Shatter) et Nagual. Après un bref passage à l'hotel, histoire de poser les bagages, nous sommes partis en direction de l'Hepia. On salue, s'installe, et là on subit le classique problème des prises: en effet, la Suisse a des prises bien particulières (on le savait avant de venir), mais nous n'avions pas trouvé d'adaptateur(s) entre le départ et l'arrivée à l'Hepia. Un autre challenger français a partagé son adaptateur, et on a pu brancher notre série de rallonges dessus, ouf.
Petit discours du directeur avec un bon accent suisse, puis début du challenge. On boit, on bouffe, on code, et on cherche. Au programme: analyse par rétro-conception, attaques web par rejeu, vulnérabilités web "classiques" (htaccess avec limit get, CAPTCHA, ...), un peu de crypto, et puis du forensics (pcap et pdf). C'était bien fun. 1h du mat, fin du contest, et le résultat: Trance premier (représentant HZV), suivi de Samsa, de Nagual et d'Acissi (les gars de Maubeuge). Remise des lots: Trance reçoit une panoplie de tshirts, une suite av offerte par kaspersky (je suis sur que Heurs va adorer travailler dessus), et un boitier fortinet anti-virus, pare-feu, etc ...
Nous saluons nos challengers, et puis grande séance de tentative de discussion avec Samsa, le second du contest, qui est d'origine espagnole. Mais il parle français, sous la torture. Un gars super simple, très sympa, et qui nous a convié à passer à Madrid en mars. On va essayer de pas manquer le rendez-vous. On salue ensuite tout le monde, et on termine la soirée à l'Ibis, avec 1l de vodka, 4 cannettes de redbull, et plein de trolls. Quelques heures plus tard, on se lève et on joue les touristes, histoire de pas partir sans avoir vu le lac et son jet d'eau de malade (qui doit faire mal au cul si on s'assoit dessus, comme le dit F|UxIuS). Puis rentrage en TGV, dodo, et de retour sur Paris.
Un évènement bien sympa, quoique court (à 1h du mat ils ont tout fermé, et nous ont mis à la porte, c'était moyen ^^). De même, les épreuves étaient de qualité (quoique parfois irréalistes, et kikoololz) Mais on reviendra peut-être. Néanmoins, il y a de bonnes idées et quelques erreurs qui sont formatrices (réseau saturé, notamment lors des phases de bruteforce nécessaires pour réussir certaines épreuves).
Petit bonux: on a retrouvé l'hotel de Billou à Genève. Il y a même garé sa voiture devant ...
<center><embed type="application/x-shockwave-flash" src="http://picasaweb.google.fr/s/c/bin/slideshow.swf" width="288" height="192" flashvars="host=picasaweb.google.fr&hl=fr&feat=flashalbum&RGB=0x000000&feed=http%3A%2F%2Fpicasaweb.google.fr%2Fdata%2Ffeed%2Fapi%2Fuser%2Fvirtualabs%2Falbumid%2F5430576548463802369%3Falt%3Drss%26kind%3Dphoto%26authkey%3DGv1sRgCKmIq6aVvqSu2wE%26hl%3Dfr" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></center>
Liens connexes
http://www.tdg.ch/actu/hi-tech/hacking-defient-geneve-2010-01-24