Copy Link
Add to Bookmark
Report

NoCooking issue 0x00 article 0x09

eZine's profile picture
Published in 
NoCooking
 · 4 years ago

  

NoCooking issue 0x00, article 0x09
__ ___ ___ _ ___ ___
\ \ / / |_ _ _ __ __ _( _ ) |_ ( _ ) ____ ___ _|__ \
\ \/\/ /| ' \ || | \ V V / _ \ ' \/ _ \ (_-< || \ \ / /_/
\_/\_/ |_||_\_, | \_/\_/\___/_||_\___/ /__/\_,_/_\_\(_)
|__/ by d1scl0




L'explication :
Un whitehat se leve le matin. Comme tout les matins avant d'aller au boulot,
il se lave, se rase, met son costard 3 pieces et va au boulot.
Le boulot ca commence par une consultation de bugtraq : "oh tient, un nouveau
bug de leaker c'est cool je l'avais pas celui la, je vais l'add dans mon
scanner de faille histoire de faire +1 sur le nombre de faille detecter. Tiens
y'a aussi le sploit qui va avec, je vais l'add sur le mass rooteur."
La il mate un coups ses honeypots installer a droite a gauche : "oh tient un
nouvel exploit avec l'adv dans l'header, on va le leaker sur bugtraq pour faire
de la pub pour la boite", une demi-heure apres, il avait changer tout les
headers et mis son nom et celui de sa boite dans le header (n'est-ce pas
cliph ?).
Maintenant, on regarde l'emploi du temps, bon j'ai rien de la fin de la
matinee, hop un fuzzing sur les sources d'un code php utiliser par 3 personnes
et on rajoute une faille php que l'on ne va pas discloser ca sert a rien c'est
une faille de merde ca ferait pas de pub.
Apres le repas, il doit se rendre dans une boite pr un audit/securisation. Il
sort alors la grosse artillerie : un nessus like ou il a rajoute ses propres
failles (comprendre il l'a mis à jour), un massrooter dont il ne comprend pas
le fonctionnement, hop il trouve trois failles. Il met a jour, install un
grsecurity, un libsafe et un ids de merde qui genere 3t de logs par jour. Et
la il dit vous etes tranquils.
Sa journee bien remplis il rentre chez lui et se couche.

A 8heure le lendemain, un admin affole l'appel : "votre securite a pas
marche, un pirate nous as defacer pendant la nuit, il a pique tout les numeros
de carte bleue et a effacer nos bases de donnees". La panique a bord de la PME
qui ne cherchait qu'un reseau qui fonctionne. Le w8h8 bien conscient du
probleme conseille de porter plainte contre X, ca ne va pas etre trop dur de
retrouver le coupable, il a laisse toute les traces.

Une semaine plus tard, une brigade d'intervention de la DGRCI debarque chez
un gamin de 16 ans a 6h du mat, reveille les parents, les voisins, la famille
(dont la petite soeur de 2ans qui se met a crie comme c pas permis) et le gamin
se retrouve en tole parce que l'on a retrouver les numeros de cartes sur le PC.
Le gamin passe 72heures en garde a vue et fini par tout avoue sous la
pression psychologique. Il ne depend plus de la justice des mineurs et est
deffere au parquet. Il est juge en comparution immediate et est condamne a la
maison de redressement jusqu'a la majorite et mise sous tutelle d'etat jusqu'a
la fin de ses etudes + une ligne dans son casier judiciaire ce qui l'empechera
de faire de briantes etudes. De plus ses parents sont condamner a une ammende
de 30000ff d'amende plus 1 millions de franc de domage et interet qui ne seront
reverse qu'aux banques. Le gamin finit par se suicider a l'age de 18ans.

Mais l'histoire ne s'arrete pas la. Le gamin etait un passionne d'informatique
et de logiciels libre mais ne s'interesse que tres peu a la securite. En
realite il avait servit de passerelle a une societe mafieuse d'espionnage
industrielle qui avait ete mandate pour coule la boite (qui a couler apres le
scandale). Le piratage s'etant fait... grace a l'exploit 0dayz leaker par
le w8h8.

Les gagnants dans cette affaire : les banques (qui ont recuperer 1 millions
de ff sans avoir eu rien a depense), la societe mafieuse et son employeur, et
surtout le w8h8 qui a gagne 500000ff d'audit et de securisation/mise en place
du reseau de l'entreprise.

Les perdants : _ la PME qui a perdu tout ses clients apres le scandale
_ le mome qui a finit par se tuer
_ la famille du mome.

So, conclusion is go get fucked up w8h8.

← previous
next →
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT