VIRUS
Les vieilles techniques, nous apprend le blog de Didier Stevens *, résistent au temps. Ainsi, cette technique pour camoufler un script dangereux aux yeux des principaux antivirus et autres filtres, qui consiste à truffer ledit script de caractères « zero». En deçà d'une certaine limite, la moitié des logiciels de protection parviennent encore à détecter le malware. Mais si l'on dépasse la limite fatidique des 255 zéros, même les plus aguerris échouent et laissent passer l'attaque. Internet Explorer, en revanche, est tout à fait capable de filtrer ces caractères non significatifs et parvient à reconstituer -et bien entendu interpréter- le script en question.
Le « zéro », le LF/CR, les espaces, les « null » (ascii 255), les rubout (ascii 127) sont des ingrédients classiques dans l'art de farcir des instructions. Il est étonnant de constater que des soi-disant spécialistes de la protection contre les attaques binaires ne pratiquent pas le moindre soupçon de fuzzing lors de la conception de leurs propres programmes.
NdlR : Stevens est également pratiquant d'une discipline peu commune : le Warclimbing. Rappelons toutefois que ce n'est pas là une « première », puisque les hackers de la « hiaute », à l'aide de PDA dotés de WiFiFofum, on « warclimbé » notamment sur les « Travaux d'Hercule » (12 longueurs homogènes en 5/6, 45 hosts référencés dans le val de Thônes).
