NoCooking issue 0x00, article 0x07

-[ Manuel du mauvais SE - ou comment se faire repérer bêtement en 10 étapes ]-
                           -----[EL8FR & ANTI-IHC]-----

1. Introduction

2. Contexte 

3. Analyse en 10 étapes

4. Conclusion 

------[ 1. Introduction


Tous le monde connait l'histoire de Kevin Mitnick, le roi du SE (Social 
Engineering). Dans une autre mesure, Christophe Rocancourt etait lui aussi 
un "as" du SE en reussissant à escroquer les star d'holywood. 

Beaucoup d'articles et de livres ont été écrit sur comment faire du bon SE. 
Mais peu explique comment faire du mauvais SE. Un cas s'étant présenté à 
nous dans le cadre d'une conversation bidon sur un chan bidon, un petit
article s'imposait sur le sujet. 


------[ 2. Contexte


Objet 		: Se faire démasqué bettement

Victime		: remote (irc nickname)

Real Name 	: inconnu 

Contexte 	: lors d'une conversation sur un chan francophonne pronant 
		  la non-disclosure, un inconnu à commencé la discussion. 
		  Précisons que 13 personnes étaient présentes, seulement deux 
		  étaient inconnus.


------[ 3. Analyse en 10 étapes


Point 1 : 
---------

20:26 < remote> salut les fou

Notre victime a dis ça à 20h26 (GMT+1). J'aurais bien voulu calculer le temps 
entre sa première phrase et son moment d'apparition, malheureusement je
n'étais pas là à son arrivée.

J'ai alors demandé sur le chan : 

<kriek[antisec]> kelkun a la difference de temps entre le moment ou remote est 
entré et le moment ou il a dis "salut les fou"
<kriek[antisec]> je trip sur l'article la :)
<remote> moi je l'ai
<remote> ;P
<spacewalker> kicked :(
<remote> 18:26 -!- remote [~remote@modemcable215.30-203-24.mc.videotron.ca] has 
joined
<remote> #no.disclosure
<remote> 14:25 < remote> salut les fou
<remote> c'est 18 heures quoi

REM : kriek[antisec] est mon nickname... les belges aiment bien la bière!

Un difficil calcul nous permet de voir qu'il y a une différence de 6 heures
entre sa phrase "salut les fou" apparût chez moi et chez lui. Tiens tiens.


Je lui ai demandé à un moment (je m'appelais mpil à ce moment): 

<mpil> remote = binf ? :)
<[antisec]fool> tiens mpil
<[antisec]fool> j'y avais pas pense
<[antisec]fool> me je pense pas
...
<remote> mpil: non
<spacewalker> hey mpil
<remote> = un touriste
<mpil> wai wai 
<mpil> on dit ca :)
<spacewalker> t'as l'intention d'aller au truc des sciences avec moi demain ou 
t'as trop de travail ?
<mpil> klog, binf ou nitro j'en connais pas bcp plus des canadiens ;)
<remote> j'suis pas canadien merde

Marrant il n'est pas canadien, sont dns est provient pourtant du canada, et de 
plus sa machine est configuré avec une différence de 6h par rapport à nous.

Busted ca rime à rien ! 


Point 2 : 
---------

<remote> mais en vrai, [antisec]Kriek je suis Juari Bosnikovich
<remote> mdr ;)
<[antisec]Kriek> je me disais bien aussi
<remote> un vrai dur quoi
<[antisec]Kriek> carrement
<[antisec]Kriek> pas de la blague
<remote> RIP JUari
<remote> c'est a qqn d'ici chapeaux-noirs.org ?

Plusieurs choses ici, il connait ET demande à qui appartient chapeaux-noirs.
Pour info, chapeaux-noirs appartient à une connaissance de nombreuses personnes
sur le chan, on peut dire qu'il n'est pas spécialement un "whitehat". Pour le 
connaittre assez bien, je trouve déjà très bizare qu'on demande en plein milieu
d'une conversation qui n'a rien avoir à qui appartient un tel site.

Quelques lignes plus loin : 

<remote> lists.netsys.com/pipermail/full-disclosure/ 2004-January/016353.html
<remote> c'est lui juari, une elite quoi
<remote> j'ai des logs hyper drole mais j'sais pas quoi en faire
<[antisec]Kriek> ok
<[antisec]Kriek> mais ca a avoir koi avec chapeaunoir ? 
<remote> ca m'a fait pense un peu au rep.. euh 
<remote> attends
<remote> http://www.segfault.net/ouch/
<remote> ;)

D'accord ca fait penser un peu au repository de segfault, mais des repository 
dans le genre il y en à des centaines sur le web (à noter qu'il connait
segfault).

Busted ca rime à rien :)


Point 3 : 
---------


<spacewalker> ttu es qui en fait remote ?
<remote> un touriste
<remote> j'ai fais un /list et j'suis tombe sur ce chan

Je ne sais pas si quelqu'un a déjà fait un /lit sur freenode mais il y à 
des centaines de channels différents. 

quelques lignes plus loin : 
...
<[antisec]Kriek> pis ton coup du /list c pas serieux
<remote> ouais sans dec
<[antisec]Kriek> je sais pas si t'a deja fait un /list sur freenode
<spacewalker> d'ailleur
<remote> j'avais vraiment rien a foutre
<spacewalker> je vois pas ou t'aurais pu trouver ce log irc
<remote> j'ai passer la liste entiere
<remote> sans manquer un chan :)


Voilà quelqu'un de vraiment motivé, le chan est à peine créé depuis trois jours
et voilà déjà qu'il y a quelqu'un dessus. Bizare Bizare. 

quelques lignes plus loin : 

...
<remote> j'ai rien cherche du tout j'ai fais un /list et ai regarde presque
chaque chan

Une fois il les regarde tous sans en manquer un et une fois il les regarde
presque tous. Il ne sait plus ce qu'il dit on dirait! 


Busted ca rime à rien ! 



Point 4 : 
---------


<remote> mais le drole c'est que symantec idefense et zdnet uk m'ont envoye des
email en prive ;)))
<spacewalker> pourquoi ?
<remote> cd whitehats
<remote> forcement ils peuvent pas etre tres malins 
<spacewalker> dans l'histoire tu es qui pour recevoir des mails d'eux ?
<remote> oh putain... :/
<remote> ;)
<spacewalker> ;p

J'avoue que j'ai eu du mal à comprendre un peu ce qu'il voulait dire aussi au 
début.
Quelques lignes plus loin, ils nous expliquent qu'il a envoyé des mail à Juari
pour lui soutirer des informations sur un certain vers/virus (mydoom)


<remote> Hello Juari
<remote> I am a security researcher with Symantec. Do you by any chance have a
copy
<remote> of the binary that it downloaded, or the Windows exploit? Were you
using
<remote> MyDoom.A, or MyDoom.b>
<remote> I would be happy to share the findings of our research with you as soon
as
<remote> it is available.
<remote> Thanks
<remote> Sean Hittel
<remote> Symantec DeepSight Threat Analyst


Il à dont clairement des dons de SE pour envoyer des mails comme ça (remarquez
aussi qu'il a connu Juari sur la ML full-disclosure). A remarquez aussi qu'il
n'est pas canadien, mais que son anglais est parfais.

Il nous a alors pasté une deuxième lettre qu'il a écrite (il à l'art d'être
fier de ses exploits...).

...
<[antisec]Kriek> ca me rappelle kelkun ki envoyait des mails dans le meme 
genre :)
<remote> ouais j'crois pas avoir invente le concepte
<remote> operation desinformation

Il dit lui même qu'il n'a pas inventé le concept (sous-entendu du SE).

<[antisec]Kriek> <remote> pcq moi j'suis genre.. le script kiddie <-- on y croit
<[antisec]Kriek> c du mauvais SE ca dude :)
<spacewalker> clair
<remote> SE ?

NB : On reviendra sur la première phrase. 

Bon apparement il connait pas le SE. Il le fait exprès on dirait.


Busted ca rime à rien! 



Point 5 : 
---------


... 
<[antisec]Kriek> djang0 ca fait mille ans ke je l'ai plus vu lui
<remote> au nombre de fois que j'lui paste ca ;)
<remote> eh moi aussi j'me souviens meme plus c'est qui
<spacewalker> remote: bah j'vois pas le pb ;p
<remote> ok cool :P
<remote> j'vous trouves cool les mecs
<remote> pcq moi j'suis genre.. le script kiddie
<remote> vous etes commes des batmans pour moi
<spacewalker> genial
<remote> :D
<spacewalker> on t'engage pour jouer le role de robin
<remote> ca tombes bien


Apparement il se considère lui-même pour un script-kiddie. 

...
<[antisec]Kriek> <remote> pcq moi j'suis genre.. le script kiddie <-- on y croit
<[antisec]Kriek> c du mauvais SE ca dude :)
<spacewalker> clair
<remote> SE ?
<spacewalker> remote: tu le fais trop bien
<spacewalker> si t'en tais un vrai tu serais deja dehors et tu le sais bien :)
<remote> ba
<remote> par script kiddie j'veux dire je code pas
<remote> je fais que des scripts

Très bonne la blague des scripts, je ne l'avais jamais entendue celle-là. Il 
essaye de se rattraper mais très très mal.


Busted ca rime à rien! 


Point 6 : 
---------


<remote> spacewalker: nice site en passant
<remote> j'ai une quote irc que tu pourrais y mettre
<remote> attends...
<remote> -> Fri Jan 17 13:15:13 EST 2003
           [ gros log irc pris sur #segfault/ircs parlant de spacewalker ]
<remote> xDDD
<[antisec]Kriek> lol
<[antisec]Kriek> c t ya longtemp ca a mon avis :)
<remote> -> Fri Jan 17 13:15:13 EST 2003
<[antisec]Kriek> effectivement :)
<remote> j'crois qui va me detester spacewalker 
<[antisec]Kriek> djang0 ca fait mille ans ke je l'ai plus vu lui
<remote> au nombre de fois que j'lui paste ca ;)
<remote> eh moi aussi j'me souviens meme plus c'est qui

Beaucoup de choses ici : 

- il connait segfault depuis au moins le 17 janvier 2003 (nous sommes le
23/03/2004).
- il connait spacewalker depuis quelques temp apparement puisqu'il lui aurait 
déjà passé ca plusieurs fois. Pour lui avoir demandé, il n'a pas souvennir que 
"l'intrus" lui ai déjà pasté
- Il connait django mais ne se souvient plus c'est qui. Django est un 
francophone qu'on a plus vu sur les chans depuis longtemps effectivement.


Si on résume jusque là, c'est un un script-kiddie d'après lui, il ne fait que 
des scripts mais il connait space et segfault depuis plus d'un an. 

Busted ca rime à rien!


Point 7 : 
---------


<remote> je fais que des scripts
<spacewalker> mdr
<[antisec]Kriek> lol
<remote> mais la j'commences le super C
<[antisec]Kriek> la tu t'enfonces :)
<remote> ouais
<remote> le vrai pouvoir est la
<[antisec]Kriek> on te prendrais pour un cops ke ce serait pareil
* remote est un batman en devenir
<remote> lol
<remote> j'avais compris tu t'enforces

Tient, il apprend le C. Donc je resume : 

- il connait les script
- il connait segfault depuis plus d'un an

Quelq'un à déjà vu une personne trainant sur segfault (ayant donc utilise ssl 
ce qui rappelons-le n'est pas donné à tous les "script-kiddie". Qui n'as pas 
demandé la première fois comment marchais un "stunnel"? ) et qui ne sait pas
coder une ligne de C. 


Busted ca rime à rien!


Point 8 : 
---------


<remote> a$ ls
<remote> C     black  fournisseur.pdf  irclog    pijan.biz    static
<remote> Perl  docs   hkit             phone.no  prompt.bash  win2k.tar.bz2
<spacewalker> trouve une excuse
<remote> $ ls irclog/
<remote> elseone-at-ircs.q
<remote> c'est le seul que j'ai ;)))

Tient ici ils nous montre un ls de sa machine. Remarquez qu'il n'utilise pas 
le bash avec une belle variable PS1 (ou même un autre shell). Les "haxors" n'ont
t'ils pas l'habitude de mettre leur nick dans leur variable PS1 ou du moins un 
joli hostname ? Bien-sûr que si ! Bonne technique pour cacher son vrai nick...

NB : remarquez comme il a les sources de win2000 (comme un vrai haxor...), qu'il
nous montre qu'il connait le script-bash et qu'il à un "home" bien rangé pour 
passer pour un parfait amateur. et aussi le repertoire black comme par hasard.


Busted ca rime à rien!


Point 9 : 
---------


Quand on lui dit qu'il est "busted" et qu'il est un flic, une taupe ou un ancien
"amis-ennemis", ils nous réponds :

<remote> je suis d'interpol
<phun> c'est quoi ca ? :p
<remote> merde
<remote> c'est elite 
<remote> bien.. elite genre cia
<remote> ou nasa
<remote> c'est quoi ces pensees
<remote> 16:04 <@phun> mais on est grills par remote l
<remote> 16:04 <@phun> il est d'IHC et de la DST
<remote> tu deconnes ?
<phun> hein ?
<phun> non
<remote> lol
<phun> je suis srieux
<phun> ca se voit pas ?
<remote> c'est quoi ihc
<[antisec]fool> moi je suis d'europol ca tombe bien remote

Réponse classique du mec qui veut tourner ca à la rigolade. Si j'étais vraiment 
un flic et que je me faisait busté, c'est le genre de phrase bateau que je 
lacherais. (sauf que je ne me ferais pas du SE comme lui...donc que je ne me 
ferais pas reperé :)


Busted ca rime à rien ! 


Point 10 : 
----------


Pour le point 10, je vais juste montré quelque phrase qu'il à dis en vrac. En
relisant les points précedants, vous pourrez vous rendre compte qu'il y a
quelque chose qui cloche.

...
<Juari> merde j'ai qu'un 0day et il marche pas super bien
<Juari> ca efface mon home dir a chaque fois que je le lances :/

NB : il a change de nick.

On y croit, je revient toujours avec ça mais, le gars il va sur segfault il y a
plus d'un an et il lance un exploit binaire qui efface son home... On y croit :)


<[antisec]Kriek> http://www.oulala.net/Portail/IMG/Desinformation.
<remote> ah ca m'interesse 
* [antisec]Kriek ki en peut plus avec son pdf sur la desinfo :)
<remote> oulala ca ma fait pense a ouf
<remote> le pdf c'est en fr ?
<[antisec]Kriek> wep
<remote> k
<[antisec]Kriek> toute facon t canadiens non :)
<remote> nah c'est que j'ai pas x et j'veux le classer, si c'est bon j'vais 
tente de le mettre en valeur dans mon projet


Il n'y a pas que les "pur et dur" qui n'ont pas X de nos jours ? Un débutant 
qui n'a pas X c'est rare quand même de nos jours.

<kriek[antisec]> excuse moi Juari faut que je regarde quelque chose
<Juari> hahaha
>Juari< CTCP VERSION
<kriek[antisec]> eleet
<kriek[antisec]> :)
<Juari> oh ca reponds pas ?

Bizare bizare, il cache sa version... :)

...
<Juari> BitchX-1.0c19+ by panasync - Linux 2.4.25-grsec
<Juari> pour kriek[antisec] 
...

Ici il "essaye" de se racheter en me montrant sa version. Remarquez qu'il a le
dernier kernel et grsec. Marrant pour quelqu'un qui est un script-kiddie, qui 
sait pas coder une ligne de C,...


Busted ca rime à rien!



------[ 4. Conclusion 


Voilà l'exemple typique du gars qui fait du mauvais SE. J'aurais pu prendre de 
nombreux autres exemples dans son discour, mais j'espère vous avoir déjà 
convaincu avec les 10 points. Est-il un flic, un ancien "ami-ennemi", un "eleet"
qui le fait exprès, un gars qui le fait pas exprès. Difficile à dire. Mais les
incohérences dans son dialogue sont tellement nombreuses qu'il est difficile de 
croire qu'il est "safe". 


Big brother is watching you... 

d1scl0 comment : En gros apprenez a demasquer les gens, ne leur parler jamais de
vos projets de hack ou de vos hacks passe avec des gens sur irc. IRC is unsafe
for all people. On a pris volontier un cas flagrant pour noter de nombreuses
incoherences mais il s'agit clairement d'une tentative de SE.