Le python est-il venimeux ? (cas de conscience de hacker)
Bien loin du fleuve Limpopo qui est comme de l'huile, gris vert et tout bordé d'arbres à fièvre, un obscur descendant du Serpent-Python-Bicolore-de-Rocher permit un jour de fabriquer un piège d'infinie-ressource-et- sagacité, destiné à attraper les internautes par le nez. Ce fils de python, avec ses scripts mais sachant évoluer dans un environnement graphique, peut se capturer sur les rivages d'Immunity Sec, et se nomme par voie de conséquence, Immunity Debugger. Comme l'explique son auteur, le reptile « is a powerful new way to write exploits, analyze malware, and reverse engineer binary files ». Ce qui, dans la langue natale des natifs des rivages d'Immunity, signifie à peu près « ... est une nouvelle manière -excessivement puissante au demeurant- d'écrire des exploits, d'analyser des programmes malins (et parfois malicieux) et d'examiner les rouages intimes des fichiers binaires ». Avis partagé par les gens du Sans, qui qualifient l'outil de « the best of command line interfaces as well as the GUI ones and combined it into one package ». Une appréciation qui classe Immunity Debugger au même niveau qu'IDA Pro, c'est un peu comme la Légion d'Honneur du hacking, non ?
Présenté également à l'occasion de la Black Hat et Defcon de Las Vegas, là ou se reflètent les rayons du soleil avec une splendeur-plus-qu'orientale, voici la toute dernière compilation de WiCrawl, hypocritement baptisé « Access Point auditor » par ses auteurs. Né il y a pratiquement un an jour pour jour, cet outil polymorphe tenant à la fois du sniffer, du cric à PenTest, de l'outil d'inventaire pour équipements sans-fil et plus si affinité, repose sur une architecture modulaire à base de « plug in ». C'est une approche logique, intelligente, et de plus en plus en phase avec la méthode de conception même des équipements wireless contemporains. La toute dernière révision porte l'immatriculation Wicrawl 0.4. Précisons, ô ma Mieux-Aimée, que ce couteau-suisse de l'écoute discrète des réseaux 802.11 existe sous forme de module intégrable dans un CD « autobootable » bien connu des professionnels de la sécurité, le terrible, le redoutable Backtrack d'Exploit.org.
Pourquoi Wicrawl est-il conceptuellement plus intéressant qu'un programme monolithique tel que Aircrack ? (également disponible sur Backtrack, faut-il le préciser) Tout simplement parce qu'il correspond à une adaptation des exigences logicielles face à une mutation des plateformes « hard »... lesquelles deviennent de plus en plus minimalistes. Preuve en est, les « smartphone » et autres « iPhone », dont les principales fonctions radio sont de plus en plus déléguées à des modules de traitement logiciel. Il ne faudra pas 2 ans avant que n'apparaisse sur le « marché » du hack de premier niveau des UMTScrawl, des 3Gcrawl ou des « sniffers universels bluetooth/wifi/tetra/GSM/UWB ». Ce n'est encore, pour l'heure, qu'une question d'amusements universitairesqui ne fait froid dans le dos qu'à ceux qui savent lire entre les lignes. Mais aucun expert en sécurité patenté ne semble s'intéresser au problème... c'est probablement parce que tout çà ne présente strictement aucun risque. Non, vraiment, strictement aucun, ô ma Mieux-Aimée.
Encore un hack, totalement raté celui-ci, organisé par l'émission TV Dateline de NBC. Afin de produire une séquence sensationnaliste présentant d'horribles hackers (tous d'un noir profond) se réunissant dans la plus grande ville de perdition du monde civilisé, la chaine américaine n'a rien trouvé de plus subtile que d'envoyer comme taupe... UNE journaliste. Laquelle fut, cela va sans dire, rapidement remarquée dans ce milieu de geek, masculin à 99,9 %* et particulièrement aguerri dans l'art de la détection d'attaques en social engineering. Exceptionnellement, le traditionnel concours « Spot the Fed » qui consistait à repérer les agents fédéraux infiltrés dans les allées de la DefCon (un T-Shirt gratuit au gagnant et à l'agent repéré) s'est donc transformé en « spot the reporter ». Tous les détails et liens amusants sur Hacker's Factor et quelques centaines d'autres blogs.
Continuons ce rapide survol des instruments de hacking -humains ou non-humains - avec deux accessoires à classer au tableau B des drogues binaires. Les lecteurs de CSOFrance se souviennent sans doute du papier de Bojan Zdrnja (prononcer simplement Zdrnja) signalé dans nos colonnes de vendredi dernier. Voilà que Ben Feinstein et Daniel Peck, de SecureWorks, offrent une contremesure, Caffeine Monkey, un « outils destiné à aider les chercheurs à découvrir (sic) les différentes façons avec lesquelles les hackers cachent leurs code destructeur au coeur des JavaScripts ». L'amateur d'expresso bien serré peut également jeter un cil sur ce très intéressant fuzzer JavaScript découvert par hasard dans les méandres de Bugzilla. Un outil qui fait un peu penser à la théorie du singe savant.
Ce même jour, SecureWorks -encore- lançait un autre programme gratuit, Wind Pill (décidément, la mode est aux pilules, dans le milieu du hack), un instrument facilitant et automatisant certaines tâches lors du debugging du noyau Windows. Instrument de hacking non-humain à comparer -est-ce possible- avec sa contrepartie humaine française, toujours aussi étonnante.
A ces quelques perles, l'on se doit d'ajouter les toutes dernières productions suivantes :
- Bothunter (monitoring de trafic)
- Trace Explorer, qui met en évidence la consanguinité de certains serveurs Web
- PyFault, encore une bibliothèque de fonction Win32 proche cousin du bicolore-de-rocher qui se love amoureusement (ainsi disent les anglophones) autour des noeuds de code.
- Et surtout l'intégrale des 70 communications effectuées durant la Black Hat, ou l'on retrouve les noms de Dan Geers, Kaminsky, Krawetz, Adam Laurie, Litchfield, Maynor et Graham, H.D. Moore, Schneier, Snyder (Window), Sotirov, Wysopal... pour ne citer que les plus connus. Il y a là de quoi occuper tout le reste des vacances, voir un peu plus, en de saines lectures et recherches.
* Note de la Correctrice : ... « dont une douteuse », comme aurait dit Courteline, qui ne connaissait rien à Blue Pill mais qui comptait les veuves ayant traversé le Pont Neuf. Voilà qui nous change un peu des allusions éléphantesque à Kipling... enfin.