Encore une vidéo super intéressante de XP horizon:
"""
Accepter de rester plus longtemps au bureau sans être payé, accepter un nouveau contrat d’assurance coûteux sans réels besoins, accepter de rendre un service incongru à un individu que vous ne connaissez pas… Il vous est sans doute déjà arrivé de vous étonner a posteriori d’avoir accepté ce que vous auriez refusé en temps normal. Si tel est le cas, peut-être avez-vous été victime d’une technique de manipulation expérimentée pour la première fois en 1966 par Freedman et Fraser: la technique du Pied dans la porte.
C'est une technique que l'on retrouve un peu partout, que ce soit dans la vente, le démarchage ou encore au travail.
"""

via http://arstechnica.com/the-multiverse/2015/03/ars-kicks-off-march-with-hacker-movie-madness/ (un bon article sur les scènes de hacking dans les films)

article intéressant et fouillé. excellent blog.

ne ratez pas les vidéos de l'auteur: https://hackingsocialblog.wordpress.com/nos-videos/ (chaine youtube: https://www.youtube.com/channel/UCGeFgMJfWclTWuPw8Ok5FUQ)

et bim, voici les vidéos du congrès CCC 2014 (31C3)
j'ai encore rien vu à part celle sur le SS7 qui m'a fait haluciner :)
http://cdn.media.ccc.de/congress/2014/webm-sd/31c3-6249-en-de-SS7_Locate_Track_Manipulate_webm-sd.webm

edit: 's/congret/congrès/' (j'avais peut-être faim de magret en écrivant)

En plus de faire le boulot de la NSA, les sites qui font appels à des scripts externes abaissent leur sécurité au niveau de celui des sociétés externes dont dépendent ces scripts.

Reuters en a fait les frais car l'une des sociétés (Taboola), dont elle charge un script dans toutes ses pages, a été attaquée.
La SEA a manisfestement pu modifier le code du script de Taboola, leur permettant ainsi de commettre un défacement du site complet (pour peu qu'on ne bloque pas ce script).

Merci pour ce beau PoC.

Ce projet consiste à développer le concept de ville comestible, où chaque espace vert a une utilité autre que d’être regardé, où chaque espace public laisse place à une appropriation collective et non exclusive, où les « délaissés » ne le sont plus et font l’objet d’une valorisation « comestible ».
Lieux: http://villecomestible.org/projet-vergers-urbains/lieux/
Photos: http://www.flickr.com/photos/78462514@N07/9355063287/in/pool-2197222@N23/lightbox/

2 chercheurs en sécurité informatique ont fait de la rétro-ingénierie sur un malware qui permet de vider l'argent de certains ATM.
Effacer ses traces (supprimer le malware et toutes les évidences) fait normalement partie de leur mode de fonctionnement, sauf que là le mec a été pris la "main dans le sac" alors qu'il retirait l'argent.
Les hackers ont le plus souvent procédé en 2 étapes: infection de la machine puis "jackpotting" (action de récupérer tout l'argent).

Quelques faits interessants en vrac:

• coup de cutter dans le chassis (plastique) pour atteindre le port usb
• brancher une clé usb qui contient le malware
• autorun exécute un exe qui va charger des DLL malicieuses
• persistence (en cas de reboot), le malware fait en sorte que les DLL malicieuses soit chargées à chaque démarrage d'une application grâce à la clé de registre AppInit_DLL.
• le code est obfusqué de partout et est rendu intentionnellement complexe (code spaghetti) pour rendre le reverse engineering difficile (voire impossible car trop long)
• l'ensemble des ressources utilisées par le malware sont chiffrées avec une clé qui est dans le code. Il faut donc de toute façon décompiler le code.
• toujours à propos du code. on peut voir que celui-ci a suivi un cycle de développement. la version du malware étudiée était la 1.5.0.1
• une fois l'atm infecté, on peut activer le malware en tapant un code de 12 chiffres (000507607999) avec le clavier numérique.
• en plus de ce code de 12 chiffres, ils ont implémenté un "challenge response" pour éviter que des personnes puissent vider l'ATM à leur place. c'est un peu le même principe que les questions secrètes qu'on a sur certains sites pour retrouver son mot de passe. sauf que là cela fonctionne avec un téléphone. la machine présente un code de 6 caractères, le mec donne un coup de fil à son pote qui lui donne un code en retour. disons que c'est une sorte de keygen par téléphone.
• à partir de l'écran caché,
  • on peut voir le nombre de billets et la somme totale qu'on peut récupérer.
  • récupérer l'argent
  • désactiver/activer les interfaces réseaux
  • supprimer toutes ses traces
• à propos du gang:
  • très organisé, plusieurs rôles
  • ils se font un blé monstre
  • sérieuses connaissances dans les ATM (matériel / logiciel utilisé): ils ont, soit quelqu'un qui travaille/a travaillé dans le bancaire, soit récupéré un ATM sur lequel ils ont pu faire un travail de reverse engineering

Pour finir, si vous vous apercevez qu'un ATM est infecté par ce malware , vous pouvez rentrer ce code 000507607999000753951000 pour désinstaller le malware... Véridique, sauf que vous feriez mieux de fuire à la place.

à travers ce projet, ce hacker urbain a mis en évidence que la plupart des caméras sans fil (2.4Ghz) sont en accès libre... chose que les propriétaires de ces caméras ne savent pas forcément.

jolie note. je la remets:
"Ce matin, je croise des employés de voirie en train de ramasser des feuilles. Ils utilisent une espèce de gros camion aspirateur et il y a un employé qui porte une tube flexible pour aspirer les feuilles donc. Pour cela, l'embout est muni d'une structure avec poignées, sauf que cette structure est placée au bout du tuyau et il faut donc qu'un employé de taille moyenne se penche, légèrement, pour pouvoir bénéficier de l'aspiration.

Voyant cela, je l'interpelle, le salue, et lui demande s'il va faire ça toute la journée. Il me répond que, oui, en partie, dans toute la ville.

• Courbé comme ça ? Toute la journée ? Mais vous n'avez pas mal au dos à la fin ?
• Si, un peu, mais c'est un boulot un peu pénible vous savez, c'est normal.

Interloqué, je lui dis :

• Pourquoi ne pas mettre une sangle par exemple, accrochée à chaque bout de la structure, pour pouvoir diriger le tuyau tout en restant droit ?
• C'est pas bête ça... Mais on n'a pas le droit de toucher au matériel.
• Ça s'enlève une sangle et vous n'auriez pas mal au dos.
• C'est gentil monsieur, mais vraiment ça va aller, et de toute façon je vais me faire engueuler si je modifie alors...

Voilà, c'en est resté là. Je suis reparti un peu sonné. Pas le droit de modifier le matériel fourni ? Même si cette modification ne gêne en rien le travail accompli et permet à l'employé de ne pas avoir mal au dos le soir ?

Voilà donc un homme dont le travail et la santé pourrait être amélioré, grâce à une simple sangle, mais qui ne modifiera pas son outils de travail, même temporairement et sans dégât, parce que la hiérarchie (je suppose que c'est pas son collègue qui va l'engueuler hein) ne veut pas que... Ne veut pas quoi au juste ?

Appropriez vous votre outil de travail. Rendez le confortable à utiliser. Ne vous sacrifiez pas la santé pour un emploi, d'autant plus quand ça peut être très facilement évité. C'est à votre outil de travail de s'adapter à vous, pas l'inverse.

Et c'est une note adressée aussi aux ingénieurs : pensez à ceux qui vont utiliser les outils que vous créez, mettez vous à leur place, imaginez travailler des journées entières, une année entière, avec l'outil que vous créez.

Une sangle. Une putain de sangle. Une simple foutue sangle pour éviter un mal de dos potentiellement jusqu'à la fin de la vie.

Merde."

• manipulation de l'esprit
• appel aux emotions
• déduction erronée
• confusion entre cause et effet
• manipulation de contenu
• attaque

je me reconnais un peu dans la description du perfectionniste