20.11.99              - H@CKOFF No19 - * HardCode Edition * -


°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø

         _/    _/    _/_/      _/_/_/  _/    _/    _/_/    _/_/_/_/ _/_/_/_/
        _/    _/  _/    _/  _/        _/  _/    _/    _/  _/       _/
       _/_/_/_/  _/_/_/_/  _/        _/_/      _/    _/  _/_/_/   _/_/_/
      _/    _/  _/    _/  _/        _/  _/    _/    _/  _/        /
     _/    _/  _/    _/    _/_/_/  _/    _/    _/_/    _/       _/

°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø




      _____________________________________________________________________________
     /                                                                              \
    / Bienvenue dans ce Hackoff No 19 HardCode edition (sous le signe de quoi deja?  |
   /  ha ouais la savate). Au sommaire de ce numero 19, un complement aux articles  /
  /  sur les sniffeurs, avec les outils, comment les detecter, comment les duper,  /
 /   une intro a la crypto et les methodes de decryptage, un exemple pratique,    /
|    un billet d'humeur sur les navigateurs web et un article sur la SNCF.       /
 \______________________________________   _____________________________________/
                                        \ |
                                         \|
                                       __________
                                   .,:;>The Crew<;:,.
                                      /  Tobozo  \
                                     /  .Yopyop.  \
____________________________________/  .Sniffdoz.  \_____________________________
 ¦§¨©ª«¬-®¯°±²³´µ·¸¹º»¿øØÞþæ¡¢£¤¥ ¦/  ..Sniffdoz..  \§¨©ª«¬-®¯°±²³´µ·¸¹º»¿øØÞþæ¡¢
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯/  ....Blured....  \¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
                                 /  .....Misto!.....  \
                                /  ........NK........  \
                ----8<---------/8<--------8<-------\---8\----------8<---
                              /   Special guest: Moonz   \
                              ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
                   ____________________________________________________________
 __________       /   TabLe des mAtières :                                     \
/ HACK0ff  \     |¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯|
]-=v0L 19=-[     |     [01]Disclaimer                          Tobozo           |
\ Nov.  99 /     |     [02]Les sniffeurs (suite)               Sniffdoz         |
 ¯¯¯¯¯¯¯¯¯¯      |     [03]La crypto                           Tobozo           |
                 |     [04]La SNCF                             Moonz            |
                 |     [05]Billet d'humeur                     Auteur anonyme   |
                 |     [06]ICQ rappel (pour ceux du fond)      Sniffdoz         |
                 |                                                              |
---------8<------+--------------8<---------------------8<---------------------8<-
                 ¦
                 :
                 .
                     _        _______________________        _
-*1*-                 `^°*;:,.> Ð ï $ © £ Å ï M Ê ® <.,:;*°^`
_____________________________/¯¯¯¯¯¯¯By Tobozo¯¯¯¯¯¯¯\___________________________

L'acces a ce document impose la lecture de ce (petit) disclaimer :

La derniere fois on s'etait arretes a "alibi culturel" et on allait mettre sur la table le theme du libre arbitre, mais devant si peut d'arguments solides, comment peut on vous forcer a ne pas commettre l'inevitable ? On s'est penches sur la question et on a trouve la reponse : le disclaimer. Dur pur blabla pour dire que c'est pas de notre faute, que vous assumez vous meme votre irresponsabilite, et que si vous avez moins de 149 ans, ce texte n'est pas pour vous.

Tobozo
Sauvez les Arbres, Mangez du Castor

¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸

function Edito() ] *> Press [X] to Abort / [CR] to Continue: [] *> *> *> La savate adequate du pirate qu'a la rate qui s'dilate *> n'a d'egale que l'escale estivale au carnaval du râle. *> *> *> Function edito() succeeded *> *> |

¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸







           _        _______________________________________        _
-*2*-       `^°*;:,.>      - Les sniffeurs (suite) -      <.,:;*°^`
___________________/¯¯¯¯¯¯¯¯¯¯¯¯¯¯By Sniffdoz¯¯¯¯¯¯¯¯¯¯¯¯¯¯\_____________________

18:54 01/11/99

Detecter un sniffeur

Introduction

Avant de commencer la lecture de cet article je vous recommande pour connaître le principe des sniffeurs, l'article sur les sniffeurs.

Théoriquement, les sniffeurs sont "invisibles". Ils peuvent être entièrement passifs, et peuvent seulement servir à écouter. La menace qu'un sniffeur peut representer vient habituellement d'une machine UNIX ou de machines à base de Linux. Il existe des possibilités pour identifier les sniffeurs sur ce type de systèmes. Toutefois, les sniffeurs sous win32 se développent très rapidement, l'apparition de logiciels comme WINDump, adaptation du célèbre TCPDump d'Unix permet à un simple windows9X de faire du sniff. Les systèmes Unix ainsi que windows NT demandent une intervention de l'utilisateur sur la carte réseau, ce qui réduit les risques si une politique de sécurité sur les droits des utilisateurs est correctement mise en place.

Comment détecter si votre machine fait fonctionner un sniffeur

Eviter une attaque de sniff est loin d'être simple, 2 approches :

  • Détecter et éliminer le sniffer
  • Protéger les données contre le sniffer
    Nous allons regarder chaque méthode de près :

Si votre machine est de type UNIX, un hackeur peut avoir pris l'accès en mode root, et peut donc exécuter un sniffeur. et ainsi sniffer un réseau auquel il n'a pas accès régulièrement (par exemple, pour rechercher des mots de passe sur d'autres machines du réseau). Détecter un processus qui fait fonctionner le sniffeur est difficile, parce que le nom de ce processus peut être déguisé en quelque chose d'anodin. ou cela peut être un cheval de Troie d'un binaire très connu. Dans ce cas-ci, l'utilisateur n'a pas besoin de l'accès root, juste assez pour déposer le Trojan et attendre que l'administrateur l'exécute. La seule manière pour détecter un sniffeur dans ce cas, est de contrôler si l'interface réseau n'est pas en promiscous mode. Si la carte est en mode promicous cela signifie qu'elle écoute les paquets de tous le réseau et pas seulement ceux destinés à sa machine.
Une machine Unix ne devra jamais être mise en mode promiscous, sauf si sont fonctionnement le nécessite (cas pour un routeur ou un firewall), et donc être en mode promiscous est une indication forte qu'un sniffer est en cours exécution.

Il existe différentes applications qui contrôlebt si l'interface de réseau est en mode promiscous comme CPM (check Promiscuous Mode) écrite par l'université de Carnegie Mellon. Une autre méthode est d'exécuter: ifconfig -a ceci énumérera les interfaces réseaux, et affichera toutes les informations à leur sujet. Le mot PROMISC signifie que la carte est en mode promiscous. Exécuter la commande :
ifconfig -a | grep PROMISC
ceci vous affichera les cartes qui sont en mode promiscous (ce type de commande peut être facilement incorporé à une entrée dans cron, cela peut fonctionner d'heure en heure ou par jour pour vérifier la présence d'un sniffeur). Notez que l'utilitaire ifconfig est parfois remplacé par des hackeurs pour éviter d'être découvert par le biais de la méthode décrite ci-dessus. Une somme de contrôle (checksum) ou une signature MD5 devra être faite pour s'assurer que l'utilitaire ifconfig est l'initial.

Comment detecter un sniffeur sur votre réseau

Détecter d'autres sniffeurs sur d'autres machines est très difficile (et parfois impossible). Mais détecter si une machine Linux fait fonctionner un sniffeur est possible. Ceci peut être fait en exploitant une faille dans la pile TCP/IP de Linux. Quand Linux est en mode promiscous, il répondra aux paquets TCP/IP envoyés à son adresse IP même si l'adresse MAC de ce paquet est fausse (le comportement standard d'un paquet contenant une adresse MAC fausse et qu'il n'y aura pas de réponse car l'interface réseau va le supprimer). Par conséquent, en envoyant des paquets TCP/IP à toutes les adresses IP du sous-réseau, avec une adresse MAC fausse, les ordinateurs en mode promiscous vous répondront (la réponse de ces machines sera un paquet RST). Cette méthode est loin d'être parfaite, elle peut aider à découvrir une activité suspicieuse sur votre réseau. Le programme Neped automatise cette manipulation pour toutes les machines d'un réseau. Notez que cela ne donne rien avec les versions récentes de Linux. En effet cela est du à un bug dans /linux/net/ipv4/arp.c, plus exactement sur la fonction arp_rcv0. Il suffit de patcher son linux ou pour contrer ce type de logiciel il suffit de reconfigurer votre carte avant de déclencher votre sniffeur :

  • /sbin/ipconfig eth0 -arp

Cela empêchera votre carte réseau de répondre aux requêtes ARP, et donc d'être détectée.

Eviter le sniff de manière efficace

Les hubs actifs ou switch permettent de lier une adresse MAC a un port de sortie, ceci implique que la machine ne reçoit plus que les paquets qui lui sont destinés, le filtre se faisant au niveau du hub. Le sniff du réseau se limite à la frontière du hub. Le hacker essaiera alors de détourner le hub actif ou le switch par le biais d'un logiciel comme Hunt (voir hackoff16), mais ceci est une autre Histoire.

Voici une liste de logiciels pour tester la présence d'un sniffeur :



  • Antisniff

    Antisniff par l'équipe de lOpht destiné au machines Windows9X, NT et Unix. Voir article sur Antisniff pour plus d'informations.


  • Neped

    Neped est un des outils écrits par le groupe d'Apostols (http://www.apostols.org) qui détecte sur le réseau les cartes qui sont en mode promiscous (une carte de réseau doit être en mode promiscous pour écouter le trafic réseau ou un ordinateur sur le réseau). Pour cela Il exploite une imperfection dans le protocole arp de Linux (comme decrit plus haut).


  • Snifftest

    Snifftest (écrit par "Beavis and Butthead") essaiera de détecter un sniffeur sur sunOS et solaris. I teste le réseau afin de voir les cartes qui ne sont pas en promiscuous mode (mode mélé).


  • Promisc

    Promisc peut détecter un sniffeur sur Linux et SunOS


  • CPM

    CPM est un outil connu sous SunOS4.0, il peut détecter les cartes en promiscuous mode.


    Ces utilitaires fonctionnent essentiellement sur SunOS ou Solaris. Ces outils vous aiderons à améliorer votre politique de sécurité, mais le sniffeur dans un réseau hétérogène reste quand meme extrêmement difficile à détecter.


    02:15 01/11/99
    LES OUTILS POUR LE SNIFF

      Je vous évite les sniffeurs commercialisés qui vont de 1000 frs à 15000 frs. Il existe beaucoup de sniffeurs en freeware et shareware. Certains sont excellents pour apprendre à manier cet outils et comprendre les particularités des réseaux. La plupart sont développés pour UNIX (ou Linux). Voici pour exemple une liste de sniffeurs commercialises, a sa suite les freeware :

    • NetXray L'analyseur par excellente, existe en version demo pour Windows NT4
    • ATM Sniffer analyser de network associates www.networkassociates.com
    • shomiti system century lan analysez www.shomiti.com.
    • packetview par klos technologies www.klos.com
    • lanwatch wwww.guesswork.com

      Voici le résultat des différents tests effectués sur les sniffeurs en freeware, la liste ci-dessous sera mise a jour petit a petit (si vous en avez testé, n'hésitez pas a m'envoyer les résultats ou vos remarques) :


  • Windump

    La copie conforme de TCPdump adapté à windows. Voir TCPdump. TCPDump est probablement l'outil de sniff réseau le plus largement répandu et le plus connu pour la plateforme UNIX. NRG (Network Research Group) à porté le logiciel sur les plateforme Windows. La nouvelle version WinDump, est disponible pour Windows 95/98 et NT 4,0.


    • windump (netgroup-serv.polito.it)
    • les sources sont disponibles : sources.zip (netgroup-serv.polito.it)

  • Sniffit

    Lui aussi un classique du monde Linux, il analyse avant tous le protocole TCP/IP, écrit par Brecht Claerhout. Sniffit vous permet d'avoir une vue très détaillée de la séquence d'échange du protocole (SEQ, ACK, TTL, Window, ...) avoir un format d'affichage en mode HEX ou texte. Porté sur SunOS/SOLARIS, IRIX et FreeBSD


  • Gobbler

    Gobbler est un excellent outils si vous voulez apprendre à vous servir des sniffeurs, il a été conçu pour MS-DOS, mais il tourne sur windows95. A l'exécution du programme cela peut vous sembler un peu confus. Le menu n'est pas très parlant, il apparaît en appuyant sur la barre d'espace. Appuyer sur F1 pour obtenir de l'aide. Gobbler peut-être utilisé sur un machine locale pour regarder ce qui passe sur le réseau ou sur une machine distante. Ce programme offre un ensemble de fonctions sur le filtrage des paquets et vous pouvez spécifier le type de paquet qui vous intéresse. Il fait partie des meilleurs sniffeurs en freeware


  • ETHLOAD

    ETHLOAD est un freeware sniffeur de paquets écrit en C, pour les réseaux ethernet et token ring, il fonctionne avec la plupart des interfaces réseaux, il peut analyser les protocoles suivants :

    • -TCP/IP
    • -DECnet
    • -OSI
    • -XNS
    • -NetWare
    • -NetBeui

    Par contre le code source n'est pas disponible. ETHLOAD est capable de sniffer les sessions rlogin et telnet, en revanche cela nécessite une clé, qui n'est fournie qu'après certification auprès de l'auteur. ETHLOAD est excellent pour le DOS et Novell

  • LinSniff

    C'est un password sniffeur, il fonctionne sur linux et nécessite les librairies réseaux (tcp.h, ip.h, inet.h, if_ther.h, et la suite).




    18:59 01/11/99

    Neped

    Introduction

    Il existe sous Linux un nombre impressionnant de sniffeurs (certains sont orientés pour sniffer les mots de passe ou pour extraire des informations importantes depuis le trafic réseau ) ceci engendre un danger sur votre réseau local. Neped (NEtwork Promiscous Ethernet detector) est un outil conçu spécifiquement pour détecter les sniffeurs Linux sur un réseau local, en utilisant une imperfection dans la pile TCP/IP de Linux.

    Dans un article précédent 'détecter un sniffeur sur votre réseau', j'avais expliqué la problématique des sniffeurs sur le réseau local et leur 'invisibilité' théorique, et présenter quelques outils disponibles pour détecter ou empêcher le sniff des paquets. Neped est un de ces outils écrit par le groupe d'Apostols (http://www.apostols.org) qui détecte les cartes réseau qui sont en mode promiscous (une carte de réseau doit être en mode promiscous pour écouter le trafic réseau ou un ordinateur sur le réseau). Pour cela Il exploite une imperfection dans le protocole d'arp qui est implanté sur les machines de Linux. Nedped ne peut garantir la découverte de sniffeur (le sniffeur peut être indétectable si il fonctionne sur une machine avec un système d'exploitation différents de Linux, un noyau qui possède le patch contre l'imperfection dans arp ou un Linux sur lequel arp a été désactivé). Neped reste un outil important a déployer dans votre politique de sécurité.

    Une documentation sur le fonctionnement de Neped (en Espagnol seulement) peuvent être trouvés sur le site d'Apostols: http://www.apostols.org/projectz/neped

    Ou se le procurer :

    Le code source de Neped sur le site : ftp://apostols.org/AposTools/snapshots/neped/neped.c

    Neped fait aussi partie du package de Trinux (pour plus d'informations à propos de Trinux: Trinux, The Linux Security Toolkit).

    Une simple script qui emploie Neped pour contrôler et enregistrer si un sniffer est détecté:http://axon.jccc.net/hir/articles/hir8/hir8-9.txt

    Antisniff by lOpht

    Introduction

    Antisniff est une nouveau logiciel de détection de sniffeur, il se demarque des autres logiciels par une interface graphique de qualité et fonctionne sous win32 et Unix. Il a la capacité de balayer un réseau et de détecter si un ordinateur est en mode promiscuous. Avec AntiSniff, les administrateurs et les équipes de sécurité peuvent analyser le trafic de réseau. Antisniff a été conçu pour détecter des machines compromises avec une piles IP qu'un hackeur distant pourrait utiliser pour sniffer le trafic de réseau. Il n'a pas été conçu pour détecter les sondes de réseau ou les analyseurs de réseau spéciaux qui nécessiteraient au hacker un accès physique pour l'installer.

    Fonctionnement

    AntiSniff a été conçu pour être exécuté de deux façons. Premièrement, pour une "analyse du réseau" pour identifier rapidement quelles machines sur le réseau local sont les plus susceptibles d'être etudiées dans la seconde étape. En second lieu, AntiSniff peut être exécuté de base pour la détection de sniffeur, balayant le réseau à intervalles programmées et régulières, comparant les tests de réponses des machines sur une bases de temps et en positionnant des alarmes basées sur des événements définis pour l'utilisateur et en vérifiant ces réponses (test sur arp, dns, echo icmp...)

    Test du noyau de Linux

    Une faille dans la pile TCP/IP de certains Linux permet de découvrir un sniffeur, Quand Linux est en mode promiscous, il répondra aux paquets TCP/IP envoyés à son adresse IP même si l'adresse MAC de ce paquet est fausse (le comportement standard d'un paquet contenant une adresse MAC fausse et qu'il n'y aura pas de réponse car l'interface réseau va le supprimer). Par conséquent, en envoyant des paquets TCP/IP à toutes les adresses IP du sous-réseau, avec une adresse MAC fausse, les ordinateurs en mode promiscous vous répondront (la réponse de ces machines sera un paquet RST), le principe de Antisniff est d'envoyer un PING contenant une adresse IP correcte et une adresse MAC fausse.

    Test du noyau NetBSD

    Le problème est le même que sous Linux, mais utilisé avec une IP de broadcast.

    Test du noyau Windows

    Le test est encore similaire, mais c'est fois-ci l'adresse MAC au lieu d'être fausse est ff:00:00:00:00:00. Ce n'est pas une adresse de broadcast.
    Il est noter que ces tests ne donnent pas le même résultat selon les différents drivers de carte réseau et cartes réseau utilisés. Il y a des possibilités que des tests soient faux, (certaines machines peuvent répondre comme étant en promiscous mode alors qu'elles ne le sont pas) mais cela semble relativement rare.

    Requête DNS

    les sniffeurs exécutent des requêtes DNS pour traduire les adresses IP des paquets capturés. Ansniff contrôle cela, en envoyant un faux paquet qui contient une adresse IP fausse comme adresse de destination, et en surveillant les requêtes DNS pour cette adresse IP. Les machines faisant une requête pour cette adresse seront probablement en promiscous mode.

    Test de latence

    De la série de test c'est le plus intéressant. Les machines qui écoutent tout le trafic entrant engendrent sur la machine un ralentissement des processus. Anstiff exploite cette faiblesse en mesurant le temps de réponse moyen des machines, et en inondant (flooding) le réseau avec du trafic fictif et en mesurant une nouvelle fois le temps de réponse. Une machine écoutant l'ensemble du trafic réseau, sera occupée, et mettra plus de temps à répondre. Ce test est effectue plusieurs fois, en utilisant différentes méthodes de mesure pour être de plus en plus précis. Ce test fonctionne sur toutes les machines et tous les OS. Encore que l'exactitude des tests reste à faire...

    Duper Antisniff

    Antisniff fonctionne comme la plupart des outils de détection, et il est loin d'être parfait. Il existe déjà plusieurs méthodes pour duper Antisniff en rendant indétectable les sniffeurs. Il est important de savoir paramétrer correctement un sniffeur pour écouter le trafic entrant et être totalement passif.

    • Utiliser un noyau mis à jour ou modifié qui corrige le problème mentionné pour Linux Ne pas faire de requêtes DNS (la plupart des outils de sniff possède cette option).
    • Cesser le sniff quand le trafic réseau excède un certain taux.

    Un sniffeur appelé : sniffeur d'Antisniff a été réalisé juste après la sortie de Antisniff. Ce nouveau sniffeur utilise les techniques citées au dessus pour éviter d'être découvert par Antisniff ou un outil similaire. Il ne nous reste plus qu'a attendre la sortie de l'anti anti antisniff.

    Les plates-formes supportées

    Ce programme fonctionne avec windows 95 winsock2, windows98 et windows NT4. Nous vous recommandons NT4 pour une meilleur performance. Windows2000 et windows Terminal Server ne sont pas actuellement supportés. Sur Windows 95, la mise à jour Winsock 2 est nécessaire. Si vous obtenez le message "A required .DLL file, WS2_32.dll was not found." vous devez télécharger la mise à jour de la winsock 2 sur le site de Microsoft. Ce produit est commercial, il existe une demo pour une période de 15 jours.

    La version d'Unix qui est disponible sert seulement dans les environnements non-commerciaux. Elle et destinée a la curiosité personnelle. Elle est livrée avec le code source. Il y a un fichier de LICENCE associé au module qui offre plus de détails dans l'utilisation du logiciel. Actuellement seules les versions OpenBSD et Solaris sont supportées.

    Les softs

    Version Win32
    as-101.zip - version win9X - NT 495 Ko


    Version Unix
    as-unix-research Version 1 - En ligne de commande avec le code source. 41 Ko


    02:20 06/11/99

    TCPdump

    TCPDump est probablement l'outil de sniff réseau le plus largement répandu et le plus connu pour la plateforme UNIX. NRG (Network Research Group) a maintenant porte le logiciel sur les plateforme Windows. La nouvelle version WinDump, est disponible pour Windows 95/98 et NT 4,0.

    Ecrit par Van Jacobson, Craig Leres et Steve McCanne, tous de l'université de Berkley. il analyse avant tous le protocole TCP/IP, Il sniffe l'en-tête des segments TCP et des datagrammes IP. Il ne sniffe en aucun cas les données. Il opère en placant la carte réseau en mode promiscous de telle sorte que chaque paquet circulant sur le réseau est capturé. L'OS doit autoriser l'interface réseau à se placer en mode promisc, tcpdump supporte les système Unix suivants : 4.4BSD, BSD/386, Linux, AIX, SunOs, Ultrix, HP-UX, il existe une snoop sur solaris2.X et iptrace, qui procure des fonctionnalités similaires

    Fonctionnement

    TCPdump peut capturer et filtrer les paquets en provenance d'un interface réseau qui à été placée en mode promiscous, cette fonctionnalité est fournie par la bibliothèque Berkley packet Filter (BFP) qui fonctionne également avec les liaisons point à point, telles que SLIP. TCPDump peut être utilisé pour observer et diagnostiquer le trafic de réseau selon diverses règles complexes. Il peut y avoir plusieurs niveaux d'analyse du trafic réseau et il peut enregistrer toutes ces informations dans un fichier pour une analyse postérieure.

    Pré requis

    Il est nécessaire de posséder les librairies suivantes pour faire fonctionner TCPDump

    Télécharger TCPDump

    Sniffdoz - Sniffoz@yahoo.com

    
    ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸
    







    
               _        ________________________________________        _
    -*3*-       `^°*;:,.>              La crypto               <.,:;*°^`
    ___________________/¯¯¯¯¯¯¯¯¯¯¯¯¯¯ By Tobozo ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯\_____________________
    
    
    Cryptoanalyse et attaques sur des cryptosystemes

    La crypotanalyse est l'art de déchiffrer des transmissions chiffrées sans savoir les clés appropriées. Il y a beaucoup de techniques crypotanalytiques. Voici le top 5 du hit-parade des methodes le plus souvent utilisees :

    * Attaque sur texte chiffré-seulement: C'est la situation où l'attaquant ne sait rien au sujet du contenu du message, et doit travailler sur du texte chiffré seulement. Dans la pratique il est souvent possible de deviner en regardant le texte crypte, car enormement de messages ont des en-têtes respectant un format fixe. Même les lettres et les documents ordinaires commencent d'une facon très prévisible. Il peut également être possible de deviner quand certain bloc de texte chiffré contient un mot commun.

    * Attaque sur texte connu: L'attaquant sait ou peut deviner le texte pour quelques parties du texte chiffré. La tâche est de déchiffrer le reste des blocs de texte chiffré en utilisant cette information. Ceci peut être fait en déterminant la clé employée pour chiffrer les données, ou par l'intermédiaire de certains raccourcis.

    * Attaque sur texte choisi: L'attaquant s'arrange pour qu'un texte connu de lui meme fasse partie de la cle d'encryption. La tâche est de déterminer la clé utilisée pour le chiffrement. Quelques méthodes de chiffrement, en particulier RSA, sont extrêmement vulnérables a ce type d'attaque.

    * L'attaque du "mec au milieu": Cette attaque est appropriée pour des protocoles cryptographiques de transmission et d'échange de clé genre SSL. L'idée est que quand deux parties echangent des clés pour des transmissions cryptees, l'attaquant se glisse entre les deux parties sur la ligne de communication puis se substitue a un routeur pour relayer l'echange. Les deux parties (serveur web et client) utilisent en final deux cles differentes qui sont connues de l'attaquant qui déchiffrera alors toutes les transmissions avec la clé appropriée, et utilisera les chiffre avec l'autre clé pour envoyer ses donnees à l'autre partie. Les parties penseront qu'elles communiquent solidement, mais en fait l'attaquant controle tout.

    * Attaque De Synchronisation: Ce type d'attaque est très récent et consiste a mesurer à plusieurs reprises les temps d'exécution exacts des operations a exponentielle modulee (vous y pigez quelque chose vous?). C'est de loin la plus interessante de toutes, mais c'est celle sur laquelle on a le moins de doc. Si vous avez des infos la dessus, envoyez les nous : tobozo@yahoo.com

    Strategies pour decrypter

    La premiere chose a faire est de s'organiser !

    Compilez une liste de codes et methodes de decryptages connus ou que vous utilisez sur vos messages secrets, une fois que vous avez teste toutes les methodes, essayez des methodes basees sur l'erreur et le traitement d'erreurs. La structure de la langue francaise est tortueuse mais pas assez pour permettre a l'encryption de masquer l'apparence d'un paragraphe, d'une phrase, ou meme d'un mot ! Un simple coup d'oeil sur un texte mal encrypté peut reveler la presence des lettres le plus communement utilisees. Les super programmes genre PGP ne tiennes pas compte des particularites de la langue francaise et fonctionnent en anticipant le type de redondance decrit ci dessous qui correspond aux mots de la langue de shakespeare.

    Lettres le plus souvent rencontrees.
    Par ordre decroissant
    1. E
    2. T
    3. A, O, N, R, I, S
    4. H
    5. D, L, F, C, M, U
    6. G, Y, P, W, B
    7. V, K, X, J, Q, Z
    
    Frequence des Bigrammes
    Par ordre decroissant
    TH, HE, AN, RE, ER, IN, ON, AT, ND, ST, ES, EN, OF, TE
    
    Frequence des Bigrammes a lettres doublees.
    In order frommost common to least common:
    LL, EE, SS, OO, TT, FF, RR, NN, PP, CC, MM, GG
    
    Frequence des trigrammes
    THE, ING, CON, ENT, ERE, ERS, EVE, FOR, HER, TED, TER, TIO, VER
    
    Lettres Initiales
    T, A, O, M, H, W, C, I, P, B, E, S
    
    
    Deuxiemes lettres
    H, O, E, I, A, U, N, R, T
    
    Troisiemes lettres
    E, S, A, R, N, I
    
    Lettres finales
    E, T, S, D, N, R, Y, G
    
    -Plus de 50% des mots anglais finissent par un E
    -Plus de 50% des mots anglais commencent par T, A, O, S ou W
    
    Ce qui fait la popularite de PGP est avant tout une bonne
    connaissance de ces constantes, mais (devons nous le rappeler)
    ce programme est de manufacture anglophone et perd de son 
    efficacite en changeant de culture, au grand plaisir de la
    DST et autres organismes de surveillance. 
    
    Simple Encryption des donnees

    Si les vous etes concernes par les ecoutes telephoniques, ce texte peut vous interesser. Si l'internet est pour vous un moyen de communication que vous jugez trop reglementé, trop surveillé, ou trop peu sécurisé, vous pourrez préférer les connexions directes par ligne telephonique pour effectuer vos transfers "top-secret" d'unemachine client a une machine serveur. Il y a seulement quelques annees, il etait tres courant de trouver dans les docs des hackeurs des numeros de BBS qui offraient des acces a des donnees pas toujours tres honnetes. Grace a la combinaison de l'informatique et de l'electronique, nous allons expliquer dans cet article comment pouvoir ajouter un niveau de securite a une connexion directe de modem a modem.

    Pour que ca marche il faudra vous equiper de :

    2 ordinateurs equipes de modems EXTERNES

    2 piles de 9 volts

    2 inverseurs CMOS 74hc/hct04 (ca coute 10 balles)

    Quelques connaissances basiques en electronique peuvent aider, un fer a souder et un peu de soudure aussi. Si vous etes meticuleux, vous pouvez meme vous equiper d'un connecteur correspondant aux bornes de votre pile. Une bonne connaissance du port serie et du processus de transport de donnees (fourni dans cet article).

    Note : Si vraiment vous etes maniaque, vous pouvez utiliser une vieille carte ISA pour PC et utiliser le courant de la carte mere. Le standrad ISA sera decrit plus en detail dans un prochain article.

    L'idee de base derriere ce schema se presente ainsi :

    Les infos entrantes et sortantes de votre modem (cote ordinateur) sont converties en 0 et 1. En transformant tous les 0 en 1 et tous les 1 en 0, on obtient un systeme d'envryption de donnees relativement simple (pour ne pas dire basique). C'est justement le boulot que fera l'inverseur hexadecimal cmos (voir liste equipement). Quand il recoit un 0 il en fait un 1, quand il recoit un 1, il en fait un 0.

    Donc l'operation ocnsistera a mettre un inverseur sur la ligne d'envoi et un inverseur sur la ligne de reception. Il faut que l'ordinateur auquel vous vous connectez ait subi les memes transformations, sans quoi la communication risque d'etre un gros merdage..

    Connexions:

    L'inverseur CMOS

    Prenez le delicatement entre vos gros doigts et reperez la petite encoche presente sur un des cotes de facon a le positionner comme sur le schema :

    (80 colonnes)
    
    
    
           ______________________________
           |                             |
          14 13 11 12 10 9 8             |
           |  |  |  |  | |  |            |
           __________________            |
          |                  |           |_ A brancher sur le "+" de la pile
          \   74hc/hct04     |
          /                  |
          |__________________|             -A brancher sur le "-" de la pile
           |  |  |  |  |  | |              |
           1  2  3  4  5  6 7______________|
           |  |  |  |
           |  |  |  |_________________________________sortie ordinateur
           |  |  |_______________________________entree modem
           |  |________________________________________________sortie modem conn.
           |________________________________________________ entree ordinateur
    
    
    (les autres connecteurs ne sont pas utilises)

    Pour ceux qui ne sont pas familiers avec l'utilisation des connectiques du port serie, allez jeter un coup d'oeil un peu plus bas au petit cours sur le port serie et sa programmation.

    -Reliez le "+" de la pile de 9v avec le pin 14 et le "-" avec le pin 7. Ce petit circuit CMOS est capable de gerer 6 inverseurs en meme temps mais ici on n'en utilisera que 2.

    -Ouvrez le cable de votre modem avex un scalpel en faisant gaffe a ne pas couper de fil quand ca n'est pas necessaire.

    -Trouvez le fil envoi de donnees (TX) partant de votre machine et allant vers votre modem. Coupez le et reliez le fil cote ordi au pin1 et le fil cote modem au pin2.

    -Trouvez le fil de reception de donnees (RX) partant de votre machine et allant ver votre modem. Coupez le et reliez le fil cote ordi au pin4 et le fil cote modem au pin3.

    C'est pret !

    Si vous voulez utiliser les 4 autres inverseurs dispos sur le circuit CMOS, voici la liste complete des pins :

    Pin#            Name and function
    ----            -----------------
    1,3,5,9,11,13   Entree de donnees
    ---------------------------------
    2,4,6,8,10,12   Sortie de donnees
    ---------------------------------
    7               "-"
    ---------------------------------
    14              "+"
    ---------------------------------
    

    N'oubliez pas qu'il faut que les deux machines emettrice/receptrice soient equipees d'un tel systeme pour que ca marche.

    PROCESSUS DE TRANSPORT DE DONNEES

                                  [bps]             [baud]
    CPU Data             Port                                      Ligne
    Bus    --> octets -->Serie -- bits --> Modem -- analogique --> Telephonique
                                                                        |
                                                                        |
    CPU Data             Port                                           |
    Bus    <-- octets -- Serie <-- bits -- Modem <-- analogique --------
                       (1)               (2)               (3)
    

    LE PORT SERIE

    1) Introduction :

    La prise série est généralement utilisée en conjonction avec une souris ou un modem. Ce port a l'avantage d'être compact et de ne posséder que quelques signaux utiles. Plus difficile à mettre en oeuvre que le port parallèle, la prise série se révèle cependant plus puissante et plus universelle (jusqu'a l'apparition du port USB evidemment). Ce petit cours decrit le port serie utilise au traver d'un modele d'UART 8250. La plupart d'entre vous possedent (je l'espere) des UART 16550, mais dans le contexte de cet article, il n'est pas important de souligner la difference etant donne le caractere purement hardware de l'activite.

    2) Géométrie :

    A l'origine, tous les compatibles PC possèdent 2 ports séries: COM1 et COM2. L'un d'entre-eux se présente sous la forme d'une prise DB9 mâle et le deuxième, sous la forme d'une DB25 mâle.

    DB9 Mâle (vue de devant)
    -------------
    \ 1 2 3 4 5 / 
     \ 6 7 8 9 / 
      --------- 
    
     
    
    DB25 Mâle (vue de devant) 
    
    ------------------------------  
    \ 1  2  3  4  5  7  8 ... 13 /  
     \ 14 15 16 17 18 .......25 / 
      -------------------------- 
    Description et attribution des signaux :
     
    
    Broche DB9	Borche DB25	Nom
    
    -----------------------------------
    1		8		DCD
    2		3		RX
    3		2		TX
    4		20		DTR
    5		7		GND
    6		6		DSR
    7		4		RTS
    8		5		CTS
    9		22		RI
    
    
    DCD (Data Carrier Detect): cette ligne est une entrée active haute. Elle 
    signale à l'ordinateur qu'une liaison a été établie avec un correspondant. 
    
    RX (Receive Data): cette ligne est une entrée. C'est ici que transitent 
    les informations du correspondant vers l'ordinateur. 
    
    TX (Transmit Data): cette ligne est une sortie. Les données de l'ordinateur 
    vers le correspondant sont vehiculées par son intermédiaire. 
    
    DTR (Data Terminal Ready): cette ligne est une sortie active haute. Elle 
    permet à l'ordinateur de signaler au correspondant que le port série a 
    été libéré et qu'il peut être utilisé s'il le souhaite. 
    
    GND (GrouND): c'est la masse. 
    
    DSR (Data Set Ready). Cette ligne est une entrée active haute. Elle permet 
    au correspondant de signaler qu'une donnée est prête. 
    
    RTS (Request To Send): cette ligne est une sortie active haute. Elle 
    indique au correspondant que l'ordinateur veut lui transmettre des données. 
    
    CTS (Clear To Send): cette ligne est une entrée active haute. Elle indique 
    à l'ordinateur que le correspondant est prêt à recevoir des données. 
    
    RI (Ring Indicator): cette ligne est une entrée active haute. Elle permet 
    à l'ordinateur de savoir qu'un correspondant veut initier une 
    communication avec lui. 
    
    D'un point de vue électronique, les signaux TX et RX en sortie des prises 
    répondent aux normes RS232, c'est à dire:
    1 logique compris entre -3 et -25V
    0 logique compris entre +3 et +25V
    

    3) Programmation :

    La programmation du port série passe par la description de son fonctionnement et par une petite explication des protocoles de transmission. Les PC possèdent en général deux ports série: COM1, généralement réservé à l'indispensable souris, et COM2 utilisé parfois en conjonction avec un modem externe.

    4) Le fonctionnement d'une liaison série :

    La communication série nécessite trois fils au minimum: une masse pour référencer les signaux, un fil émetteur et un fil récepteur. Notre liaison série est en effet full-duplex, c'est à dire que l'on peut émettre et recevoir en même temps (comme le téléphone par exemple). La différence principale entre le port parallèle et le port série est que les informations ne sont pas transmises simultanément sur des fils séparés (D0 à D7) mais les unes après les autres sur un même fil. Cela amène une économie de câble (un fil au lieu de 8) mais un montage décodeur devient nécessaire pour retransformer les données sérialisées. La figure ci-dessous montre comment l'octet 10110101 est transformé pour être transmis sur un seul fil. Vous voyez qu'en plus de l'information utile (10110101) se greffent d'autres bits comme le bit de start. Ces bits sont utiles pour la synchronisation de l'émetteur et du récepteur.

    LSB     1011010 en serie      MSB
    
               _______________________________
              /                               \
    1 _____   _____   _____   _________   _________
          |   |   |   |   |   |   |   |   |   |   |
          |   | 1 | 0 | 1 | 0 | 1 | 1 | 0 | 1 |   |
    0     |___|   |___|   |___|   |   |___|   |   |____
          \___/                               \___/
          START                               STOP         
    
    

    En effet, la liaison série est totalement asynchrone. Aucune horloge n'est transmise. Il faut donc se mettre d'accord sur la vitesse de transfert des bits et rajouter des bits de synchronisation.

    Voici un petit résumé des différents paramètres rentrant en jeu lors d'une communication série:

    longueur de mot: sur le PC, le BIOS ne permet une longueur de mot que de 7 ou 8 bits.

    Parité: le mot transmis peut être suivi d'un bit de parité qui sert à détecter les erreurs éventuelles de transmission. Il existe deux parités: la parité paire et la parité impaire. Dans le cas de la parité paire, et pour le mot 10110101 contenant 5 états à 1, le bit de parité sera 1 amenant ainsi le nombre total de 1 à un nombre pair (6). Dans le cas de la parité impaire, le bit de parité aurait été 0 car le nombre total de 1 est déjà impair. L'intérêt de ce rajout est le suivant: si jamais lors de la transmission un état 1 est transformé en état 0 (perturbation du canal par des parasites par exemple) le nombre total de 1 change et donc le bit de parité recalculé par le récepteur ne correspond plus à celui reçu. L'erreur est donc détectée. Evidemment, si deux états à 1 passent à 0, l'erreur ne sera pas détectée mais la probabilité pour que cela arrive est très faible.

    Bit de start: lorsque rien ne circule sur la ligne, celle-ci est à l'état haut. Pour indiquer qu'un mot va être transmis, la ligne passe à bas avant de commencer le transfert. Cette précaution permet de resynchroniser le récepteur.

    Bits de stop: ces bits signalent la fin de la transmission. Selon le protocole utilisé, il peut y avoir 1, 1.5, ou 2 bits de stop (ces bits sont toujours à 1).

    Vitesse de transmission: la plupart des cartes série permettent de choisir une vitesse entre 300 et 115000 bauds (par exemple à 300 bauds, un bit est transmis tout les un trois-centième de seconde). Ces vitesses ne vous paraissent peut-être pas énormes mais il faut garder à l'esprit que la liaison série est avant tout pensée pour les liaisons téléphoniques par modems, dont la bande passante est très limitée.

    5) Les protocoles de transmission :

    On ne peut réussir une transmission qu'à partir du moment où l'émetteur et le récepteur se sont entendus sur la vitesse, le nombre de bit de stop, la longueur du mot et la parité. A ce niveau là, savoir à quel voltage correspond un état haut n'a aucune importance. D'une manière générale, la parité est toujours présente car elle permet de détecter la plus grande partie des erreurs de transmission. Exemple de protocole: la figure ci-dessous montre la transmission du caractère " A " (01000001 en binaire) avec un protocole prévoyant 8 bits de données, un bit de stop et un contrôle de parité pair. La logique est supposée positive (à un état haut correspond un voltage positif) et la vitesse à été fixée à 1200 bauds.

           1/200 s
    
          <---> 
    1     _____                   _____       _____
          |   |                   |   |       |
          |   |                   |   |       | 
    0 ____|   |___________________|   |_______|
       |      
       |  |   |   |   |   |   |   |   |   |   |   |
       |  \_______________________________/ |   |
       |             01000001 = 'A'         |   |
       ----> Start                 Parite <--   --> Stop
    

    6) C'est quoi une UART ?

    En angliche dans le texte "Universal Asynchronous Receiver-Transmitter" Receveur-transmetteur asynchrone universel. En gros ca transforme un flux de donnees paralleles en donnees serie et vice-versa. Ce composant est tres important dans la communication car il joue un role de buffer entrele bus de l'ordinateur et les ports de communication serie. Ce diagramme decrit la conversion de donnees paralleles en donnees serie. Evidemment ca marche dans les deux sens.

            BUS du PC       __________           Port serie
            1 ------------> |        |
            1 ------------> |  UART  |
            0 ------------> |        |
            1 ------------> |        | ---------> 11010001
            0 ------------> |        |
            0 ------------> |        |
            0 ------------> |        |
            1 ------------> |________|
    

    Si cette doc vous a laisses sur votre faim, une description complete en anglais sur les UART, les ports serie, la programmation d'API BIOS et les standards est consultable a cette adresse : ftp://x2ftp.oulu.fi/pub/msdos/programming/serial/ser_port

    Tobozo - Tobozo@yahoo.com

    
    ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸
    







    
               _        _______________________________________        _
    -*4*-       `^°*;:,.>               La SNCF               <.,:;*°^`
    ___________________/¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ By MoonZ ¯¯¯¯¯¯¯¯¯¯¯¯¯¯\_____________________
    
    
    
    Salut a tous, ceci est mon premier article. Cet article n'est qu'une info 
    concernant une faille des distributeurs de billets automatiques de la SNCF. 
    Autrement dit : comment se faire de la tune sur leur dos !! Mais il va 
    falloir a la base investir un tout petit peu:
    
    Il vous faut  2 billets ayant une bande magnetique (certains billets n'ont
    qu'une bande coloree marron) dont :
    
    -  1 billet au prix le moins cher possible, par exemple un aller simple a la
    gare la plus proche fera l'affaire.
    
    -  1 billet a un prix beaucoup plus eleve (ca depend de votre porte-monnaie
    initial, mais ne vous en faites pas, il va vite s'enfler !!)
    
    Ensuite, voici les etapes a suivre :
    
    -  Prendre le billet dont le prix est le moins cher et demagnetiser la bande
    magnetique a l'aide d'un aimant (en la frottant tres legerement)
    -  Decouper SOIGNEUSEMENT les bandes PILE AU MILIEU sur toute leurs longueurs
    -  Intervertir les morceaux ainsi obtenus puis les scotcher proprement (pas du
    cote de la bande, hein ! :) )
    
    Maintenant, rendez-vous a la gare la plus proche disposant d'un distributeur
    automatique (avec ceux de la gare de Tours ca fonctionne tres bien !! ;) )
    Demandez au distributeur automatique de vous changer un billet (pour une
    autre date ou une autre destination, je vous laisse choisir au gre de votre
    imagination, le principal etant de lui en faire regenerer un autre, sans
    scotch, celui-la !! Procedez de la meme maniere pour l'autre billet. Vous avez
    donc maintenant deux billets ayant le prix du billet le plus cher que vous
    avez achete ! Vous n'avez plus qu'a aller vous faire rembourser a un guichet
    pretextant n'importe quoi, du genre : on m'a finalement emmene en voiture, la
    rave party a ete annulee, ou je ne sais quoi d'autre ! Finalement, vous avez
    gagne la difference de vos deux billets initiaux. Attends, je fais un rapide
    calcul : si je prend un billet  a 50 balles et un autre a 300, ca me fait
    250 balles de gagnes ! Sans rien foutre !
    Note: En fait, la tete de lecture du distrib' auto peut lire une seule moitie
    de la bande et visiblement, en coupant la bande en deux il n'y a pas de
    donnees manquantes, l'information doit donc etre codee verticalement, dans la
    largeur de la piste, en fait.
    Autre chose: Je ne l'ai su qu'ensuite, mais les numeros de serie des billets
    ne sont pas codes sur la piste magnetique car on peut faire changer deux fois
    le meme billet, et il ressort deux billets ayant des numeros de serie
    differents.
    Une derniere chose: N'en abusez pas de trop, car je sais aussi que TOUS les
    billets sont verifies "manuellement". Ca leur permet justement de detecter
    toutes (ou presque, mais ca sera peut-etre le sujet d'un autre article :) )
    les fraudes et de pouvoir ensuite les contrer.
    A mon avis, ce truc fonctionnera encore pendant quelques mois. Alors d'ici la,
    amusez-vous bien avec vos cutters !
    
    M. D.
    Moonz - Moonz@hotmail.com
    
    
    ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸
    







    
               _        ___________________________________________        _
    -*5*-       `^°*;:,.>         Pourquoi Netscape pue ?         <.,:;*°^`
    ___________________/¯¯¯¯¯¯¯¯¯¯¯¯¯ Source Anonyme ¯¯¯¯¯¯¯¯¯¯¯¯¯¯\_____________________
    
    Pourquoi netscape pue ?

    Dans mes loisirs et dans mon boulot je suis createur de pages web (je laisse de cote le terme webmaster pour souligner l'aspect creatif car c'est le contexte recherche dans ce billet d'humeur), et comme tobozo, j'utilise des editeurs de texte pour creer mes documents.

    Lorsque j'ai commence le HTML, j'ai ete seduit par la souplesse de ce "langage" car il offrait apparemment une tolerance aux erreurs (humaines) qui permettait d'arriver approximativement au meme resultat que celui originalement recherche. Je me cantonnais aux tags [center], [br], [a href], [img src] et je pouvais donc apprendre tout en m'amusant. Mon interet grandissait a chaque nouvelle decouverte, et a atteint son paroxysme lors de l'arrivee du html4.0 et des navigateurs de la meme generation.

    C'est la que tout a commence a merder... (ca merdait deja avant mais je n'avais pas eu l'occasion de le constater).

    Avoir 50 visiteurs par jour sur une homepage est une bonne chose : cela permet d'avoir un feedback de differentes personnes ayant differentes configurations, et donne donc une meilleure connaissance sur les exceptions/incompatibilites. J'ai donc vite appris a ne pas utiliser javascript dans mes pages, uniquement parce que MSIE etait incapable de gerer quelques instructions. J'ai appris a ne pas utiliser les tags [marquee] et [blink] qui sont chacun propres a MSIE ou NS, et il m'est venu a l'idee de constituer une liste d'incompatibilite HTML entre ces deux outils.

    L'avantage d'une telle difference etait de mieux connaitre le HTML et me permettait de pouvoir le maitriser.

    Seulement voia : dans sa stupide concurrence, MSIE a sorti le Jscript qui est capable d'interpreter le javascript de NS (a 80%) et qui contient un jeu d'instructions plus "souple" puisque tolerant les erreurs (les corrigeant parfois), pendant que NS sortait sa Nieme version qui contenait les fix des version precedentes.

    Je n'ai rien contre les nouvelles versions (toujours plus d'options), mais ca serait pas si mal si ils nous sortaient une version stable capable d'interpreter decemment le html 4.0, au lieu de se concentrer sur un langage non-standard qui ne fait qu'alourdir le systeme (car NS n'a jamais fait de systeme d'exploitation n'est ce pas?).

    J'ai eu l'occasion de comparer plusieurs version de NS, allant de la version 3.0 sur win3.11 en passant par OS/2 et Solaris, MacOS, zindoz95, NT4, NT5, et je me demande pourquoi il y a toujours une merde qui se passe a un moment ou a un autre et qui oblige le telechargement de la nouvelle version.

    Je m'etais un peu stoppe a la version navigator 4.5 pour win32 (apparemment stable), qui me permettait, (grace a un batch qui effacait le cache), de travailler correctement sur mes codes HTML sans trop me plomber le systeme a chaque demarrage. Le probleme c'est que lors de l'installation, il m'a pourri mon MSIE4 que j'ai du reinstaller (desole je n'ai qu'une machine et il faut bien que je teste sur les deux versions).

    MSIE4 evidemment a detecte que netscape etait installe et l'a pourri a son tour (c'est un vrai champ de bataille mon ordinateur).

    Finalement, apres install de trois systemes (Linux, WIN95, NT5), j'arrive a faire cohabiter les navigateurs...sur trois types de partitions differentes. Je teste le js/dhtml sur NS 4.7 Linux, je teste la pointe de la technologie web sur MSIE5/NT5 et il me reste le bon vieux win95 pour tester la cohabitation que j'ai reussi a faire tenir en respectant la methode suivante (systeme originalement clean, version win95 4.00.950D) : install de MSIE5 AVEC active desktop, desactivation de active desktop, install de NS4.7(US) PERSONNALISEE, avec desactivation de TOUTES les associations de fichiers, et surtout pas en tant que navigateur par defaut (c'est ca qui ravage tout), je vire toutes les cles de la base de registre relatives a netscape, je vire netscape messenger, composer, et toutes les autres daubes genre AOLIM, et je garde l'executable et ses DLL en respectant une arbo de type mozilla (voir mozilla.org pour ceux qui connaissent). Ca marche bien tant que j'installe pas de plugins.

    Bref tout ce bordel rien que pour pouvoir utiliser normalement le bouton "reload" quand je fais une modif en local ou en remote sur un document html, et encore, ca ne fonctionne qu'a 60% pour NS.

    Comparatifs des temps de demarrage sur un processeur a 300Mhz, 64Mo de RAM :

    NS : 12 secondes
    MSIE : 3 secondes
    
    Memoire occupee (document blank) :
    NS : 1448 ko
    MSIE : 832 ko
    
    Memoire occupee (url www.netscape.com)
    NS : 3240 ko
    MSIE : 2232 ko

    Note : si par malheur je laisse une fenetre NS ouverte avec un document DHTML mal syntaxé, la taille du fichier memoire augmentera jusqu'a un plafond de 32Mo, on ne sait pas pourquoi et mozilla.org non plus. MSIE par contre s'en sort brillamment et reste stable (malgre le probleme de memoire virtuelle sur win9x).

    Cote MSIE, ils ont toujours ete gourmands, mais au moins ils utilisent les ressources locales (ce qui peut expliquer la difference de temps lors du chargement www.netscape.com).

    Donc apres avoir demarre l'usine qu'est netscape, on s'apercoit que meme en imposant un comportement draconnien avec le cache, certains elements ne sont pas mis a jour (tels les scripts .js ou .css) lors d'un reload, et qu'apres un certain nombre de rafraichissements, netscape refuse purement et simplement de mettre a jour en restant betement bloqué.

    Il faut quitter netscape, et redemarrer netscape (toutes les fenetres) pour avoir la version la plus recente de votre document.

    Un comportement similaire est observable sur le premiere version beta de IE5 et sur toutes les versions de IE4 mais ne s'applique qu'aux documents .js traites localement (inapplicable sur le web).

    Encore une fois MSIE s'en sort mieux que NS.

    Voila un petit comparatif qui en dit plus que tout les mauvais ragots reunis :

    
    Temps de chargement
    	Premier chargement d'un document :
    	NS : rapide si le code HTML n'a aucune erreur et contient tous les parametres
    	de dimensionnement (body, table, img, etc)
    	MSIE : rapide dans tous les cas
    	
    	Reload :
    	NS : vitesse aleatoire selon le nombre de reloads consecutifs et la
    	disponibilite du serveur.
    	MSIE : combinaison complexe de comparaisons entre les headers des objets
    	demandes, rappel des objets par methode optimisee
    	
    	Redimensionnement : 
    	NS : recharge tout le document depuis le remote host lors d'un
    	redimensionnement mais fait appel aux objets present dans le cache (allez
    	savoir pourquoi)...
    	MSIE : redimensionnement immediat (traite le contenu visible de la fenetre).
    	Pas d'appel sur le serveur sauf si les objets sont generes dynamiquement.
    	
    Qualite graphique
    	Couleurs :
    	NS : tres bonne qualite, certaines couleurs s'affichent differemment selon la
    	plateforme (surtout sur MAC), en general les couleurs sont plus sombres.
    	MSIE : palette systeme (plus simple et surtout moins lourd), avantage : les
    	images ressemblent vraiment a l'original, c'est important quand meme (!). 
    	
    	Mise en page :
    	NS : tres sensible, il ne faut faire aucune erreur dans le dimensionnement des
    	tables et les images (bien preciser la hauteur et la largeur, le centrage pour
    	chacun des tags, au prix d'un alourdissement consequent du code), ce qui rend
    	la tache difficile pour les utilisateurs d'editeurs texte. Si ces informations
    	manquent, il faudra attendre le chargement de tous les objets de la page avant
    	de la voir s'afficher (armez vous de patience). 
    	MSIE : Il corrige et aligne toutes les erreurs en les traitant a la fin du
    	chargement du contenu VISIBLE de la page. La librairie graphique de MSIE5 est
    	foireuse lors d'affichages dynamiques de formulaires (teintes de gris sur toute
    	la largeur), mais peut etre corrigee en passant en 256 couleurs (resolution
    	optimale pour travailler sur des documents web a chargement rapide). 
    	
    	Fonts :
    	NS : Les codes ISO par defaut sont corrects sur les plateformes win32 (police
    	systeme) mais sont d'une mediocrite sans nom sur plateforme X et mac. On a plus
    	vite fait de creer des bas-reliefs avec illustrator. C'est lourd a charger mais
    	au moins c'est lisible.
    	
    	Rapidite :
    	Un gif de 5Mo animé an boucle (fichier AVI converti) chargé localement fait
    	dramatiquement chuter les ressources graphique avec NS alors que MSIE ne semble
    	pas affecté par le poids de cette animation. 
    		
    Interpreteur
    	Html :
    	NS : Les tags HTML 4.0 sont presents et effectifs mais il semblerait que la
    	librairie de conversion soit toujours la meme que celle utilisee par mosaic
    	(html 1.1). Lorsqu'un tag [script] est rencontre, NS lance un module
    	interpreteur dans une zone memoire commune et partage ces ressources (dangereux
    	pour la securite).
    	MSIE : Le contenu total du document est traite par le meme interpreteur, ce
    	qui permet de partager la tolerance d'erreur pour les differents langages.
    	L'analyseur de syntaxe est intuitif et puissant et permet d'afficher un nombre
    	optimal d'elements selon les erreurs. 
    
    	Javascript :
    	Le langage qui fait toute la puissance de netscape est aussi sa faiblesse.
    	Dans leur stupide guerre contre krosoft, ils n'ont reussi qu'a s'isoler et a
    	ennuyer tous les webmasters de la planete en les forcant a utiliser leur
    	composer (qui ne gere meme pas correctement leur propre langage d'ailleurs). En
    	voulant se demarquer, il ne font que se conformer a la politique de bill gates.
    
    	
    	Jscript : 
    	La reponse de microsoft a netscape : on peut faire comme vous, mais en mieux.
    	Certaines instructions sont empruntees a NS (ca fait des heureux), mais le
    	controle dynamique des couches se fait differemment, ce qui oblige aussi tous
    	les webmasters de la planete a passer par des scripts ennuyeux. Mais au moins
    	on etait prevenus et habitues (pour certains) a ce cote "maison".
    	
    	Java : 
    	Ouille ! Dans les deux cas, c'est une catastrophe. Perso je n'utilise pas ce
    	joujou qui n'a d'autre but que de donner un orgasme mental a ses createurs et
    	utilisateurs. 
    	NS : la machine virtuelle se lance lors de l'appel d'une applet. Si vous
    	entendez votre disque dur faire la chamade, ne cherchez pas, il y a une applet
    	(meme minuscule) qui vous bouffe 5Mo en magnetique et xMo (aleatoire selon
    	l'applet) de RAM. 
    	MSIE : la machine virtuelle java sur MSIE est une vraie catastrophe, elle met
    	en danger la stabilite du systeme et il vaut mieux eviter de s'en servir.
    	Anyway MS n'a jamais ete en bon termes avec SUN et ils ont meme essaye de leur
    	piquer quelques instructions (ils embauchent des hackers chez MS?).
    	
    	Vbscript :
    	NS : connais pas, c'est quoi ca ?
    	MSIE : tres pratique pour les applications intranet, catastrophique pour la
    	securite sur internet. Le premier composant a desactiver apres Java et apres
    	installation.
    
    	XML :
    	NS : il propose de telecharger le document (huh?)
    	MSIE : il charge le document en lui appliquant la feuille de style envoyee par
    	le serveur ou il la produit lui  meme si le serveur ne supporte pas.
    	L'affichage est de type arborescent, avec des couleurs. 
    	
    Stabilite
    	Multi fenetrage :
    	NS : apres un certain nombre de fenetres, il devient difficile de tenir le
    	systeme dans un etat stable. NS a l'air d'ignorer qu'il depend de ce meme
    	systeme et tient absolument a squatter cet espace disque qu'on lui a confie. Il
    	faut fermer toutes les fenetres pour recuperer un peu de memoire au risque
    	d'avoir a trucider la session. 
    	MSIE : Si les fenetres sont lancees separement, la stabilite n'est pas en
    	danger (ils ont appris a gerer leurs erreurs avec le temps hehehe), par contre
    	si on ouvre des fenetres a partir d'autres fenetres (child-process), on peut
    	rencontrer des blocages. Pas d'impact important sur le fonctionnement du
    	systeme. 
    	
    	Multi langage :
    	NS : Grace a sa console, NS offre un systeme de debuggage en natif qui permet
    	de developper plus simplement mais les problemes de cache rendent cette option
    	totalement inutile.
    	MSIE : Debugger mediocre (read-only), mais peut etre remplace par un addon
    	plus riche en commentaires (encore un module de la famille microfost). Par
    	contre on peut facilement inclure du VB dans du JS, du DHTML sans avoir a
    	preciser la version du langage. Ca passe ou ca casse. 
    	
    	Versions :
    	Plus la version est recente, moins elle est stable. Cela s'applique a NS comme
    	a MSIE. Cependant je n'ai jamais vu la fenetre MSIE se fermer toute seule, et
    	entrainer la fermeture de ses collegues. Par contre NS est specialiste (surtout
    	sur Xwindows) pour la disparition inopinée de l'espace de travail, et sans
    	laisser de trace en plus. NS prend la poudre d'escampette? 
    	
    Tolerance d'erreur
    	Html
    	NS : nulle
    	Lorsqu'un tag html est mal syntaxé, le tag suivant en assume le manque. Netscape
    	agit betement et simplement sur le contenu HTML du document, quelle qu'en soit le
    	taux d'erreur. Ex : tant qu'un tag de n'est pas ferme, il est
    	considere comme encore ouvert. Ceci est tres embetant si le document contient une
    	table et met du temps a charger. Il faudra attendre le chargement de tous les
    	objets inclus dans la table pour voir le tout s'afficher.
    	MSIE : intuitive
    	Le principe WISIWIG (What You See Is What You Get) s'appliqe en son sens absolu,
    	seul le contenu visible de la fenetre est traie et peut s'afficher sur un simple
    	appui de la touche 'echap' en cas de chargement trop long. Aucune importance si 
    	les tags ne sont pas fermes, le moteur HTML le fera automatiquement puisqu'il est 
    	dote d'un correcteur automatique de syntaxe.
    	
    	Javascript
    	NS : le debugger est plus complexe que celui de MSIE mais comme le langage est plus
    	capricieux que sur MSIE, on se demande si les ingenieurs de NS ne font pas plutot 
    	dans le reverse-engeneering. Au moins le javascript de NS s'execute rapidement et
    	donne un VRAI acces au cache.
    	MSIE : Tres fragile et peu compatible lorsqu'il s'agit d'utiliser les couches DHTML,
    	mais tres performant et plus compatible vers netscape que l'inverse.	
    
    Je crois que je vais me remettre au SGML.

    [auteur anonyme]
    
    ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸
    




    
               _        __________________________________________        _
    -*6*-       `^°*;:,.>               ICQ Hack                 <.,:;*°^`
    ___________________/¯¯¯¯¯¯¯¯¯¯¯¯¯¯ By Sniffdoz ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯\_____________________
    

    Comme hacker, flood, nuker et sniffer ICQ

    Comme hacker, flooder, spoofer, nuker et sniffer ICQ

    Avant propos : le terme flooder pour ce qui ne connaissent pas la signification technique, doit être pris dans le sens 'd'innonder', on innonde de paquets une machine pour la crasher ou la geler.
    le terme 'spoofer' : cette fonction permet de détourner une connexion.

    Introduction

    Nous avons déjà écrit au sujet des insécurités d'ICQ, mais il est temps de séparer la vérité de la légende et de montrer ce que peut faire un hacker en passant à travers ICQ : on ne peut pas, par exemple, exécuter des programmes a distance sur votre ordinateur, on ne peut pas effacer des fichiers ou vous envoyer des fichiers sans votre consentement, cependant il existe une longue liste de vulnérabilités dans les diverses versions d'ICQ, et nous avons rassemblé quelques une des principales applications qui circulent dans la communauté underground.

    Flood

    Beaucoup d'utilitaires permettront de vous bombarder de messages, ceci rendant l'utilisation d'ICQ impossible. La plupart des floodeurs incluent une option pour tronquer la source UIN, ainsi vous ne saurez pas qui vous attaque.

    Nuke

    Ces applications attaquent le port ICQ sur lequel il est ecoute, et permettent de crasher ou de bloquer ICQ. Bien que de base il soit difficile de connaître le port sur lequel écoute ICQ, un scanner permet de découvrir facilement cette information.

    Spoof

    Beaucoup d'utilitaires vous permettent de spoofer vos messages, tronquant leur UIN. Ceci permet d'être reconnu et accepté par l'utilisateur, vous pouvez ensuite envoyer des fichiers contenant des virus ou des chevaux de Troie. Par exemple Kicq vous offre cette option.

    Adresse IP

    Même lorsque vous êtes en mode invisible ou privé, il est relativement facile de découvrir l'adresse IP de l'utilisateur. Cela permet de vous scanner et connaître les éventuelles failles de votre système.

    Authentification

    Il est possible d'ajouter à votre liste des utilisateurs sans avoir leur autorisation. Un bug dans le transfert de fichier d'ICQ permet egalement de vous faire lancer un exécutable déguisé en fichier image. (ICQ98a)

    Lecture des fichiers locaux

    Une vulnérabilités dans le serveur web d'ICQ, permet de lire les fichiers de votre disque dur. (ICQ99)

    Pour connaître la façon de protéger votre ICQ contre certaines de ces attaques, voir sur le site :

    • http://www.surrey.quik.com/iboutoma/icq/index.html

    Sniffdoz - Sniffdoz@yahoo.com


    ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸
    



    Voilu c'est fini pour cette edition du hackoff19 sortie vachement plus tot que prevu. Merci pour les envois d'articles, continuez a nous envoyer vos propositions si vous voulez voir paraitre un de vos sujets. Que la bande passante soit avec vous. Tob ________________________________________________________________________________ ¬­®¯°±²³´µ·¸¹º»¿øØÞþæ¡¢£¤¥ ¦§¨©ª«¬­®¯°±²³´µ·¸¹º»¿øØÞþæ¡¢£¤¥ ¦§¨©ª«¬¡¢£¤¥ ¦§¨©ª«¬­ ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ -{\________________________/}- ~~ ~~ ~~ ~~°ºØø¦ ¿ H A C K 0 F F ? ¦øغ°~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~-{/¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯\}-~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~ http://come.to/legang ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~ ~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ http://come.to/illegoland ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~ ~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~~ http://lasavate.tripod.com ~~ ~~ ~~ ~~ ~~ ~~ ~~ ~ ~ ~~ ~~ ~~ ~~ ...Des commentaires, des questions, des insultes, ecrivez aux membres du gang... _________________________________________________________________________________ ¬­®¯°±²³´µ·¸¹º»¿øØÞþæ¡¢£¤¥ ¦§¨©ª«¬­®¯°±²³´µ·¸¹º»¿øØÞþæ¡¢£¤¥ ¦§¨©ª«¬¡¢£¤¥ ¦§¨©ª«¬­ ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯