Copy Link
Add to Bookmark
Report
NoCooking issue 0x00 article 0x07
NoCooking issue 0x00, article 0x07
-[ Manuel du mauvais SE - ou comment se faire repérer bêtement en 10 étapes ]-
-----[EL8FR & ANTI-IHC]-----
1. Introduction
2. Contexte
3. Analyse en 10 étapes
4. Conclusion
------[ 1. Introduction
Tous le monde connait l'histoire de Kevin Mitnick, le roi du SE (Social
Engineering). Dans une autre mesure, Christophe Rocancourt etait lui aussi
un "as" du SE en reussissant à escroquer les star d'holywood.
Beaucoup d'articles et de livres ont été écrit sur comment faire du bon SE.
Mais peu explique comment faire du mauvais SE. Un cas s'étant présenté à
nous dans le cadre d'une conversation bidon sur un chan bidon, un petit
article s'imposait sur le sujet.
------[ 2. Contexte
Objet : Se faire démasqué bettement
Victime : remote (irc nickname)
Real Name : inconnu
Contexte : lors d'une conversation sur un chan francophonne pronant
la non-disclosure, un inconnu à commencé la discussion.
Précisons que 13 personnes étaient présentes, seulement deux
étaient inconnus.
------[ 3. Analyse en 10 étapes
Point 1 :
---------
20:26 < remote> salut les fou
Notre victime a dis ça à 20h26 (GMT+1). J'aurais bien voulu calculer le temps
entre sa première phrase et son moment d'apparition, malheureusement je
n'étais pas là à son arrivée.
J'ai alors demandé sur le chan :
<kriek[antisec]> kelkun a la difference de temps entre le moment ou remote est
entré et le moment ou il a dis "salut les fou"
<kriek[antisec]> je trip sur l'article la :)
<remote> moi je l'ai
<remote> ;P
<spacewalker> kicked :(
<remote> 18:26 -!- remote [~remote@modemcable215.30-203-24.mc.videotron.ca] has
joined
<remote> #no.disclosure
<remote> 14:25 < remote> salut les fou
<remote> c'est 18 heures quoi
REM : kriek[antisec] est mon nickname... les belges aiment bien la bière!
Un difficil calcul nous permet de voir qu'il y a une différence de 6 heures
entre sa phrase "salut les fou" apparût chez moi et chez lui. Tiens tiens.
Je lui ai demandé à un moment (je m'appelais mpil à ce moment):
<mpil> remote = binf ? :)
<[antisec]fool> tiens mpil
<[antisec]fool> j'y avais pas pense
<[antisec]fool> me je pense pas
...
<remote> mpil: non
<spacewalker> hey mpil
<remote> = un touriste
<mpil> wai wai
<mpil> on dit ca :)
<spacewalker> t'as l'intention d'aller au truc des sciences avec moi demain ou
t'as trop de travail ?
<mpil> klog, binf ou nitro j'en connais pas bcp plus des canadiens ;)
<remote> j'suis pas canadien merde
Marrant il n'est pas canadien, sont dns est provient pourtant du canada, et de
plus sa machine est configuré avec une différence de 6h par rapport à nous.
Busted ca rime à rien !
Point 2 :
---------
<remote> mais en vrai, [antisec]Kriek je suis Juari Bosnikovich
<remote> mdr ;)
<[antisec]Kriek> je me disais bien aussi
<remote> un vrai dur quoi
<[antisec]Kriek> carrement
<[antisec]Kriek> pas de la blague
<remote> RIP JUari
<remote> c'est a qqn d'ici chapeaux-noirs.org ?
Plusieurs choses ici, il connait ET demande à qui appartient chapeaux-noirs.
Pour info, chapeaux-noirs appartient à une connaissance de nombreuses personnes
sur le chan, on peut dire qu'il n'est pas spécialement un "whitehat". Pour le
connaittre assez bien, je trouve déjà très bizare qu'on demande en plein milieu
d'une conversation qui n'a rien avoir à qui appartient un tel site.
Quelques lignes plus loin :
<remote> lists.netsys.com/pipermail/full-disclosure/ 2004-January/016353.html
<remote> c'est lui juari, une elite quoi
<remote> j'ai des logs hyper drole mais j'sais pas quoi en faire
<[antisec]Kriek> ok
<[antisec]Kriek> mais ca a avoir koi avec chapeaunoir ?
<remote> ca m'a fait pense un peu au rep.. euh
<remote> attends
<remote> http://www.segfault.net/ouch/
<remote> ;)
D'accord ca fait penser un peu au repository de segfault, mais des repository
dans le genre il y en à des centaines sur le web (à noter qu'il connait
segfault).
Busted ca rime à rien :)
Point 3 :
---------
<spacewalker> ttu es qui en fait remote ?
<remote> un touriste
<remote> j'ai fais un /list et j'suis tombe sur ce chan
Je ne sais pas si quelqu'un a déjà fait un /lit sur freenode mais il y à
des centaines de channels différents.
quelques lignes plus loin :
...
<[antisec]Kriek> pis ton coup du /list c pas serieux
<remote> ouais sans dec
<[antisec]Kriek> je sais pas si t'a deja fait un /list sur freenode
<spacewalker> d'ailleur
<remote> j'avais vraiment rien a foutre
<spacewalker> je vois pas ou t'aurais pu trouver ce log irc
<remote> j'ai passer la liste entiere
<remote> sans manquer un chan :)
Voilà quelqu'un de vraiment motivé, le chan est à peine créé depuis trois jours
et voilà déjà qu'il y a quelqu'un dessus. Bizare Bizare.
quelques lignes plus loin :
...
<remote> j'ai rien cherche du tout j'ai fais un /list et ai regarde presque
chaque chan
Une fois il les regarde tous sans en manquer un et une fois il les regarde
presque tous. Il ne sait plus ce qu'il dit on dirait!
Busted ca rime à rien !
Point 4 :
---------
<remote> mais le drole c'est que symantec idefense et zdnet uk m'ont envoye des
email en prive ;)))
<spacewalker> pourquoi ?
<remote> cd whitehats
<remote> forcement ils peuvent pas etre tres malins
<spacewalker> dans l'histoire tu es qui pour recevoir des mails d'eux ?
<remote> oh putain... :/
<remote> ;)
<spacewalker> ;p
J'avoue que j'ai eu du mal à comprendre un peu ce qu'il voulait dire aussi au
début.
Quelques lignes plus loin, ils nous expliquent qu'il a envoyé des mail à Juari
pour lui soutirer des informations sur un certain vers/virus (mydoom)
<remote> Hello Juari
<remote> I am a security researcher with Symantec. Do you by any chance have a
copy
<remote> of the binary that it downloaded, or the Windows exploit? Were you
using
<remote> MyDoom.A, or MyDoom.b>
<remote> I would be happy to share the findings of our research with you as soon
as
<remote> it is available.
<remote> Thanks
<remote> Sean Hittel
<remote> Symantec DeepSight Threat Analyst
Il à dont clairement des dons de SE pour envoyer des mails comme ça (remarquez
aussi qu'il a connu Juari sur la ML full-disclosure). A remarquez aussi qu'il
n'est pas canadien, mais que son anglais est parfais.
Il nous a alors pasté une deuxième lettre qu'il a écrite (il à l'art d'être
fier de ses exploits...).
...
<[antisec]Kriek> ca me rappelle kelkun ki envoyait des mails dans le meme
genre :)
<remote> ouais j'crois pas avoir invente le concepte
<remote> operation desinformation
Il dit lui même qu'il n'a pas inventé le concept (sous-entendu du SE).
<[antisec]Kriek> <remote> pcq moi j'suis genre.. le script kiddie <-- on y croit
<[antisec]Kriek> c du mauvais SE ca dude :)
<spacewalker> clair
<remote> SE ?
NB : On reviendra sur la première phrase.
Bon apparement il connait pas le SE. Il le fait exprès on dirait.
Busted ca rime à rien!
Point 5 :
---------
...
<[antisec]Kriek> djang0 ca fait mille ans ke je l'ai plus vu lui
<remote> au nombre de fois que j'lui paste ca ;)
<remote> eh moi aussi j'me souviens meme plus c'est qui
<spacewalker> remote: bah j'vois pas le pb ;p
<remote> ok cool :P
<remote> j'vous trouves cool les mecs
<remote> pcq moi j'suis genre.. le script kiddie
<remote> vous etes commes des batmans pour moi
<spacewalker> genial
<remote> :D
<spacewalker> on t'engage pour jouer le role de robin
<remote> ca tombes bien
Apparement il se considère lui-même pour un script-kiddie.
...
<[antisec]Kriek> <remote> pcq moi j'suis genre.. le script kiddie <-- on y croit
<[antisec]Kriek> c du mauvais SE ca dude :)
<spacewalker> clair
<remote> SE ?
<spacewalker> remote: tu le fais trop bien
<spacewalker> si t'en tais un vrai tu serais deja dehors et tu le sais bien :)
<remote> ba
<remote> par script kiddie j'veux dire je code pas
<remote> je fais que des scripts
Très bonne la blague des scripts, je ne l'avais jamais entendue celle-là. Il
essaye de se rattraper mais très très mal.
Busted ca rime à rien!
Point 6 :
---------
<remote> spacewalker: nice site en passant
<remote> j'ai une quote irc que tu pourrais y mettre
<remote> attends...
<remote> -> Fri Jan 17 13:15:13 EST 2003
[ gros log irc pris sur #segfault/ircs parlant de spacewalker ]
<remote> xDDD
<[antisec]Kriek> lol
<[antisec]Kriek> c t ya longtemp ca a mon avis :)
<remote> -> Fri Jan 17 13:15:13 EST 2003
<[antisec]Kriek> effectivement :)
<remote> j'crois qui va me detester spacewalker
<[antisec]Kriek> djang0 ca fait mille ans ke je l'ai plus vu lui
<remote> au nombre de fois que j'lui paste ca ;)
<remote> eh moi aussi j'me souviens meme plus c'est qui
Beaucoup de choses ici :
- il connait segfault depuis au moins le 17 janvier 2003 (nous sommes le
23/03/2004).
- il connait spacewalker depuis quelques temp apparement puisqu'il lui aurait
déjà passé ca plusieurs fois. Pour lui avoir demandé, il n'a pas souvennir que
"l'intrus" lui ai déjà pasté
- Il connait django mais ne se souvient plus c'est qui. Django est un
francophone qu'on a plus vu sur les chans depuis longtemps effectivement.
Si on résume jusque là, c'est un un script-kiddie d'après lui, il ne fait que
des scripts mais il connait space et segfault depuis plus d'un an.
Busted ca rime à rien!
Point 7 :
---------
<remote> je fais que des scripts
<spacewalker> mdr
<[antisec]Kriek> lol
<remote> mais la j'commences le super C
<[antisec]Kriek> la tu t'enfonces :)
<remote> ouais
<remote> le vrai pouvoir est la
<[antisec]Kriek> on te prendrais pour un cops ke ce serait pareil
* remote est un batman en devenir
<remote> lol
<remote> j'avais compris tu t'enforces
Tient, il apprend le C. Donc je resume :
- il connait les script
- il connait segfault depuis plus d'un an
Quelq'un à déjà vu une personne trainant sur segfault (ayant donc utilise ssl
ce qui rappelons-le n'est pas donné à tous les "script-kiddie". Qui n'as pas
demandé la première fois comment marchais un "stunnel"? ) et qui ne sait pas
coder une ligne de C.
Busted ca rime à rien!
Point 8 :
---------
<remote> a$ ls
<remote> C black fournisseur.pdf irclog pijan.biz static
<remote> Perl docs hkit phone.no prompt.bash win2k.tar.bz2
<spacewalker> trouve une excuse
<remote> $ ls irclog/
<remote> elseone-at-ircs.q
<remote> c'est le seul que j'ai ;)))
Tient ici ils nous montre un ls de sa machine. Remarquez qu'il n'utilise pas
le bash avec une belle variable PS1 (ou même un autre shell). Les "haxors" n'ont
t'ils pas l'habitude de mettre leur nick dans leur variable PS1 ou du moins un
joli hostname ? Bien-sûr que si ! Bonne technique pour cacher son vrai nick...
NB : remarquez comme il a les sources de win2000 (comme un vrai haxor...), qu'il
nous montre qu'il connait le script-bash et qu'il à un "home" bien rangé pour
passer pour un parfait amateur. et aussi le repertoire black comme par hasard.
Busted ca rime à rien!
Point 9 :
---------
Quand on lui dit qu'il est "busted" et qu'il est un flic, une taupe ou un ancien
"amis-ennemis", ils nous réponds :
<remote> je suis d'interpol
<phun> c'est quoi ca ? :p
<remote> merde
<remote> c'est elite
<remote> bien.. elite genre cia
<remote> ou nasa
<remote> c'est quoi ces pensees
<remote> 16:04 <@phun> mais on est grills par remote l
<remote> 16:04 <@phun> il est d'IHC et de la DST
<remote> tu deconnes ?
<phun> hein ?
<phun> non
<remote> lol
<phun> je suis srieux
<phun> ca se voit pas ?
<remote> c'est quoi ihc
<[antisec]fool> moi je suis d'europol ca tombe bien remote
Réponse classique du mec qui veut tourner ca à la rigolade. Si j'étais vraiment
un flic et que je me faisait busté, c'est le genre de phrase bateau que je
lacherais. (sauf que je ne me ferais pas du SE comme lui...donc que je ne me
ferais pas reperé :)
Busted ca rime à rien !
Point 10 :
----------
Pour le point 10, je vais juste montré quelque phrase qu'il à dis en vrac. En
relisant les points précedants, vous pourrez vous rendre compte qu'il y a
quelque chose qui cloche.
...
<Juari> merde j'ai qu'un 0day et il marche pas super bien
<Juari> ca efface mon home dir a chaque fois que je le lances :/
NB : il a change de nick.
On y croit, je revient toujours avec ça mais, le gars il va sur segfault il y a
plus d'un an et il lance un exploit binaire qui efface son home... On y croit :)
<[antisec]Kriek> http://www.oulala.net/Portail/IMG/Desinformation.
<remote> ah ca m'interesse
* [antisec]Kriek ki en peut plus avec son pdf sur la desinfo :)
<remote> oulala ca ma fait pense a ouf
<remote> le pdf c'est en fr ?
<[antisec]Kriek> wep
<remote> k
<[antisec]Kriek> toute facon t canadiens non :)
<remote> nah c'est que j'ai pas x et j'veux le classer, si c'est bon j'vais
tente de le mettre en valeur dans mon projet
Il n'y a pas que les "pur et dur" qui n'ont pas X de nos jours ? Un débutant
qui n'a pas X c'est rare quand même de nos jours.
<kriek[antisec]> excuse moi Juari faut que je regarde quelque chose
<Juari> hahaha
>Juari< CTCP VERSION
<kriek[antisec]> eleet
<kriek[antisec]> :)
<Juari> oh ca reponds pas ?
Bizare bizare, il cache sa version... :)
...
<Juari> BitchX-1.0c19+ by panasync - Linux 2.4.25-grsec
<Juari> pour kriek[antisec]
...
Ici il "essaye" de se racheter en me montrant sa version. Remarquez qu'il a le
dernier kernel et grsec. Marrant pour quelqu'un qui est un script-kiddie, qui
sait pas coder une ligne de C,...
Busted ca rime à rien!
------[ 4. Conclusion
Voilà l'exemple typique du gars qui fait du mauvais SE. J'aurais pu prendre de
nombreux autres exemples dans son discour, mais j'espère vous avoir déjà
convaincu avec les 10 points. Est-il un flic, un ancien "ami-ennemi", un "eleet"
qui le fait exprès, un gars qui le fait pas exprès. Difficile à dire. Mais les
incohérences dans son dialogue sont tellement nombreuses qu'il est difficile de
croire qu'il est "safe".
Big brother is watching you...
d1scl0 comment : En gros apprenez a demasquer les gens, ne leur parler jamais de
vos projets de hack ou de vos hacks passe avec des gens sur irc. IRC is unsafe
for all people. On a pris volontier un cas flagrant pour noter de nombreuses
incoherences mais il s'agit clairement d'une tentative de SE.