Francois Harvey
Professionnel en sécurité, développeur et entrepreneur
Profil sur ohloh
May 27th
Je me suis créer un profil sur ohloh et retrouver quelques contributions open sources sur divers projets où j’ai déja contribué, notamment Trac et dircproxy. Le concept est intéressant, quelques une de mes contributions ont été fait sur des mailing list, donc malheureusement ils ne sont pas retracé sur ohloh. Pas certain que je vais me servir de ce profil sur une base régulière par contre, peut-être pour mes prochains projets libres.
Slides de la présentation gestion d’incident
Mar 11th
Bonjour a tous,
La présentation “gestion d’incidents pour développeur” est maintenant disponible sur le site de gestion medsécure à l’adesse suivante : http://medsecure.ca/2010/05/presentation-gestions-dincidents-pour-developpeurs/
Bonne journée
Conférence #Confoo – Gestion d’incidents
Mar 11th
Ma conférence sur la gestion d’incident se tiendra dans la salle Fontaine C a 9h45 ce matin. En espérant vous y voir en grand nombre. La copie de la présentation ainsi que la preuve de concept utilisé lors de cette présentation seront ajouté sur ce blog un peu plus tard aujourd’hui.
Backtrack 4 on a Asus EEE PC 1005HA
Dec 28th
Got a new eee pc for security testing. I have tested the last BT4 on it and here are some random hints about the setup. It’s a draft, more or less a dump of my screen buffer.
You must press F2 to go in the EEEPC BIOS. Dont forget to uncheck the “fast boot” else it will boot on the windows partition and not on the CD.
Install backtrack as usual (with the install.sh script). After the first reboot, the wired Lan don’t work, but you can use the wifi to download the drivers.
# /etc/init.d/wicd start
and go to Go to “WICD Network Manager” In the Internet menu
Install the lan driver
mkdir ~/drivers-ath
# cd drivers-ath
# wget http://www.jfwhome.com/wp-content/uploads/2009/08/atheros-wired-driver-1005ha-linux.zip
# unzip atheros-wired-driver-1005ha-linux.zip
# cd src
# make
# sudo make install
# modprobe atl1e.ko
dont forget to add atl1e in /etc/modules
Launch a system update with
# apt-get update
# apt-get upgrade
If you have a problem with posgresql about server.crt certificates, you can use
# make-ssl-cert generate-default-snakeoil –force-overwrite
If you have a issue with samdump
# dpkg -r samdump2 samdump2-menu
# dpkg -i /var/cache/apt/archives/samdump2_2.0.1-bt0_i386.deb
Sometime you want to launch X at boot time. You can use kdm for this purpose
apt-get install kdm
And play with (/etc/kde4/kdm/kdmrc) to allow root login (or allow autologin to root… yeh, it’s very unsecure, but since we use backtrack to do security testing ,it’s not a big deal). Dont forget to change the default runlevel to 3 in /etc/event.d/rc-default
To update all the offensive stuff (like MSgo in /pentest/exploits/fasttrack, and use
# ./fast-track.py -c 1 2
For kismet, update the /usr/etc/kismet.conf file with ncsource=wlan0, the wifi card will work right out the box (and packet injection too)
I don’t take the time to test ACPI issue with the eeepc, so maybe in a next post.
Happy Backtrack 
MS Virus Scanning Recommendations or Trend Micro FUD ?
Dec 22nd
Lot of talk today about this post on trend micro blog : http://blog.trendmicro.com/microsoft-virus-scanning-recommendations-bring-risks/…
Following the recommendations does not pose a significant threat as of now but it has a very big potential of being one. Cybercriminals may strategically drop or download a malicious file into one of the folders that are recommended to be excluded from scanning or use a file name extension that is also in the excluded list.
But… Haven’t trend micro created a document about this, two years ago (march 2008), if you haven’t read it, go take a look at http://trendedge.trendmicro.com/pr/tm/te/document/OSCE_8_0_MS_File_Exclusions.pdf.
Maybe Trend researcher should look at their own whitepaper before citing some 4 years old kb article.
Hash de gravatar… rien d’alarmant
Dec 16th
Un article est paru et a été repris par différent médias concernant le service gravatar, qui est notamment un service que j’utilise sur ce blog pour afficher les contributeurs. Le fonctionnement de gravatar est l’utilisation d’un hash (md5) du courriel utilisateur. L’article (http://www.developer.it/post/gravatars-why-publishing-your-email-s-hash-is-not-a-good-idea).
Personnellement je considère qu’un courriel est un identifiant et non un authentifiant… L’objectif de gravatar c’est de mettre une identité visuelle cohérente pour identifier la même personne peut importe le blog. Je trouve néanmoins que la solution de mitigation énoncé, est pas vraiment plus géniale…. (pour la storer ca prend un identifiant unique de toute facon)
“”A possible line of defense against this type of attacks is storing the images locally (which was suggested on a thread on stackoverflow). As a website owner wanting to use gravatars, you download them once when the user subscribes and serve them with an URL not giving up additional information (e.g. /avatar/username.png) “”
Si vous désirez vraiment préserver la confidentialité de votre gravatar et de votre adresse courriel, il existe un moyen simple… Dans une adresse courriel il est possible d’utiliser le caractère + pour ajouter un suffixe qui n’est pas utilisé pour la distribution, mais qui est est calculé dans le hash. Par exemple plutot que “nom_utilisateur@example.org” il est possible d’utiliser “nom_utilisateur+truc_compliqué_a_trouver@example.org” qui va générer un hash pouvant survivre à une attaque de dictionnaire.
Cela dit, mon nom de domaine et mon username correspond passablement à mon nom et mon gravatar est ma photo, alors un hash de md5 sur mon adresse courriel, ca fait parti des risque acceptables
Au québec, même les datacenter sont construits en silo :)
Dec 10th
Le CLUMEQ en partenariat avec Sun Microsystemsa a décidé d’utiliser une approche novatrice dans la construction de centre de données (batisé Colosus), en réutilisant un silo. Et oui, encore une fois le Québec démontre son expertise dans le développement en silo ! Je trouve le concept très intéressant, dommage qu’un centre de données sur le bord du St-Laurent soit pas très viable… sinon on venait peut-être de trouver une vocation à ceux du vieux port de Montréal.
Un article expliquant le fonctionnement interne (Notamment sur la gestion de la climatisation) est disponible sur le site du Data Center Knowledge.
On trouve de l’humour partout! même dans les infrastructures d’hameçonnage !
Dec 9th
Malheureusement, il arrive souvent que les sites de phishing interceptent des informations nominatives et privées. C’est encore trop commun de faire une analyse post incident (suite à un spam, RFI ou autres) et de voir des données réelles. Par contre, il arrive quelques fois où l’arnaque est tellement évidente que plutôt que de retrouver des informations réelles nous retrouvons plutôt des informations comme ceci…
Username: So this phisher is pretty cool whats it all about? I should really spread this into the password field to make it look better when you read it, lol.
Password: So I will, so whats up, guy
Oui, il est probable que mon sens de l’humour soit un peu geek…
PHP – Persistent Database Password
Dec 7th
Is storing password in clear text inside a hash is a vulnerability or not ? To me, yes it’s a unsecure design bug and it should be fixed. But others think that untrusted binary extension shouldn’t run anyways and if a bad guys inject a rogue extensions, it’s already game over. So… here it’s. Persistent database password dump proof of concept.
Conférencier à Confoo
Dec 7th
Yep, j’ai été retenu comme conférencier pour la conférence Confoo – web techno conférence en mars prochain ! W00t ! Le programme a l’air génial et très heureux d’avoir été retenu parmi les 427 propositions qui leurs ont été soumis. Ma session portera sur les processus de gestions d’incidents et comment les intégrés dans les logiciels. Vous pouvez consulter la fiche complète est disponible sur le site de confoo dans la section sessions. Je publierai surement quelques articles sur le sujet ainsi que sur cette conférence au cours des prochains mois.
