octane a écrit 859 commentaires

Ah ui, c'est un vieeeeeeeux programme. Déjà qu'on rigole quand on voit que l'icone sauvegarder c'est une disquette (pour les plus jeunes d'entre nous, une disquette, c'est léquivalent d'une vieille clé USB), mais là, le seul icône qui est présenté, c'est celui de Netscape ("Netscape Navigator était un navigateur web qui a dominé le marché au milieu des années 1990." extrait de wikipedia)

J'ai utilisé longtemps windowmaker, et il m'avait beaucoup plu.
Léger, configurable, j'avais un dock super pratique.

Je m'en vais tester de ce pas la version live

comme je suis très premier degré, je pense qu'il faut un plus qu'une nanoseconde pour exploiter un bug USB.

Après ça me fait penser à terminator (pas l'émulateur de terminal, le film avec Skynet).

Et la fin me fait rigoler, l'uptime dans ce genre de situations, c'est pas important :-D

C'est hors de portée de la plupart des gens, y compris toi vu que tu n'as pas pensé aux clés mentant se faisant passer pour un clavier, aux attaques sur le firmware usb,

ouais, c'est bien ce qui me ferait peur. La détection USB, c'est le kernel linux qui le fait. Si y'a un bug là dedans -> bimbamboum le méchant a accès a de l'exec code kernel, et c'est fini. Idem avec les filesystems. Tu fais un mount /dev/sdb1 /mnt et bimbamboum le kernel croit que c'ets un fs un peu exotique qui a des bugs, et once again, le méchant exécute du code en kernel.

c'est vraiment un malware ce truc??

• Bootkitty relies on a self-signed certificate, so it won't execute on systems with Secure Boot enabled and only targets certain Ubuntu distributions.

• Additionally, hardcoded offsets and simplistic byte-pattern matching make it only usable on specific GRUB and kernel versions, so it's unsuitable for widespread deployment.

• ESET also notes that the malware contains many unused functions and handles kernel-version compatibility poorly, often leading to system crashes.

et depuis https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/

• bootkit.efi contains many artifacts suggesting this is more like a proof of concept than the work of an active threat actor.

• Whether a proof of concept or not, Bootkitty marks an interesting move forward in the UEFI threat landscape, breaking the belief about modern UEFI bootkits being Windows-exclusive threats. Even though the current version from VirusTotal does not, at the moment, represent a real threat to the majority of Linux systems, it emphasizes the necessity of being prepared for potential future threats.

Alors selon moi, c'est un gars qu'a dev à l'arrache un truc, et un vendeur de solution de sécurité est tombé par hasard dessus et s'est dit: "wolalala, on fait monter la sauce, on en parle comme étant le next big one, on va flex et on va se faire mousser et on va vendre nos outils comme des petits pains après ça, vazy gros, écrit un blogpost technique, c'est bon frérot, à nous les lambo les filles qui marchent dans la rue et la cocaine!!"

Bref. Tous les 6 mois on nous parle soit du malware delamorkitu qui va impacter tous les macOS du monde, soit du pirate trop fort qui va pirater tous les linux du monde, soit de la menace oulalala qu'elle est grave.

Je préfère lire le blogpost technique, garder la tête froide, et me resservir une bière.

Au fond de toi tu le sais si t'as été un escroc ou juste un petit malin qui a gagné du temps.

il y a vraiment une frontière entre les deux?

test technique sans interlocuteur en présentiel ou en visio pendant le test = rédhibitoire

bah, je sais pas, ça me parait être une bonne illustration de ce que je vais faire par la suite. (le test c'était pas un fizzbuzz, hein, c'était de vrais bouts de codes à écrire/relire et des questions un peu plus ouvertes). Et l'entretien qui a suivi était intéressant, ça permet de poser des questions des deux côtés.

pour moi tout ce qui se fait lors d'un recrutement, est fait en temps réel avec le recruteur ; c'est un échange 1-1, il n'y a aucune raison que le recruteur se prenne des privilèges d'imposer des "devoirs à la maison" aux candidats pour éliminer ceux qui ne veulent pas s'investir "à 200%"

Je le prends pas comme ça. C'est pour un poste en remote, j'ai pas envie de prendre le train (le payer) et perdre une journée pour 2h d'entretien en début de processus. Le gars me file un devoir, il me dit "passe 2h dessus, pas plus de 4h".
Je vois un peu ce qui est demandé, s'il me faut 8h pour le faire, c'est déjà un signe, pareil s'il me faut 30mn. Là, fallait (entre autre) coder des trucs en java, d'où mon ami chatGPT. si ça avait été du fizzbuzz ou recoder un quicksort, j'aurai drop la candidature. La qualité de l'exercice demandé, ça va dans les deux sens :-)

un recrutement = des échanges, des vérifications de connaissances, compétences, par voie orale exclusivement, ou en présentiel dans l'entreprise.

je suis nul à l'oral, et un recruteur qui m'entend dire "bin euh, bin euh" ça va pas m'aider. Je file mon github, là, ça parle.

La vidéo de motivation -> poubelle.

Je trouve que ça ne sert pas à grand chose aujourd'hui : toutes les réponses sont sur des forums techniques, ou maintenant disponibles auprès des IA. Je préfère demander à la personne comment elle s'y prendrait pour résoudre tel ou tel problème

Précisément. Savoir se servir d'une IA, ça pourrait passer comme une compétence super utile?

Si je félicite un candidat pour le code copier/coller qu'il m'a fourni ce sera bien entendu ironique et surtout dans l'espoir de provoquer une réaction de sa part.

bon, ok :-(

Ce journal m'a fait penser à un truc. On connaît le temps actuel (suffit d'ouvrir la fenêtre), le temps futur (suffit d'ouvrir ce journal), mais comment connaître le temps passé? (suffit d'ouvrir sa mémoire, mais en fait non).

Le problème que j'ai des fois, c'est de connaitre le temps qu'il faisait hier (et avant hier) ailleurs. Je veux me balader en forêt (loin de chez moi), si les trois derniers jours il a plu, vaut mieux prendre mes bottes, et je n'ai pas forcément noté la météo depuis trois jours.

Ca existe des sites météo qui ont un historique?

Je ne vois pas en quoi mettre du chewing-gum le port USB d'un téléphone relève de la bonne hygiène de vie.

Tu prends ça de manière un peu méprisante (chewing gum).

Si tu as besoin d'un équipement sécurisé, tu achètes un équipement sécurisé.

La je demande des liens vers des "équipements sécurisés".

Là c'est du niveau "truc et astuce de racaille pour éviter que les flics récupèrent dans la journée les contacts de ton point de deal".

ou bien mille autres raisons plus ou moins valides. Depuis "je veux pas que ma petite soeur lise mes sms" à "je suis journaliste qui veux protéger ses sources".

Autrement, on peut mettre "s'assurer que l'escalier de secours est à moins de 2m de la fenêtre de la chambre en cas de perquisition" dans les conseils de bonne hygiène de vie…

on conseille bien de mettre un détecteur de fumé, alors un escalier de secours en cas d'incendie, pourquoi pas

Si c'est de la délinquance courante (vol de téléphone dans les transports en commun ou lors d'un cambriolage), il est évident que l'attaquant n'a pas la moindre idée de quoi faire dès que tu as changé le moindre truc sur ton téléphone.

ou même, sans rien changer.

Si c'est du crime organisé, alors l'option séquestration + tabassage semble bien plus probable.

Ouais, pareil, je pense qu'ils prendront l'option "péter les genoux"

Si c'est des services secrets d'une puissance étrangère, tu devrais de toutes manières être dans une situation où tu as accès à du matériel bien plus sécurisé que les téléphones du commerce.

Je découperais en deux: il peut s'agir d'une puissance étatique quelconque (voir ton pays à toi). Et avoir du matos banalisé, c'est discret.

Et si c'est un labo de la police pour une enquête de justice, ça m'étonnerait que ça aille bien loin au-delà de "le port USB n'est pas accessible" vu les moyens de la justice

je pense que la justice a des moyens mais je peux me tromper

Reste quoi, l'espionnage industriel?

Pourquoi pas, mais le mode par défaut des téléphones est suffisant. Il est plus judicieux de corrompre quelqu'un je pense

Après on peut imaginer ça comme une construction de l'esprit. Je ne veux pas que quelqu'un ait accès à mes données. Mais je pense que c'est peine perdue. C'est d'ailleurs pour ça que je ne met que des trucs assez random sur mon téléphone. Un "grand méchant" saura que j'ai utilisé mon GPS pour aller à la pizzeria "il forno" et que je consulte mon solde bancaire sur le site web de la banque et que j'ai envoyé un SMS il y a deux jours (sms: 'T où?').

Arriver à dumper la RAM en AFU via le Bluetooth ou le NFC, ça me semble vraiment improbable. Ces connexions ne permettent pas d’avoir un accès assez bas niveau pour ça.

Pourquoi est tu focalisé sur le dump de RAM? Dans le cas hypothétique ou j'ai une vuln dans le NFC:
je prends ton tél, je prends le contrôle du NFC, puis j'ai une vuln kernel et je suis root avec le plus haut niveau de privilèges.
Je peux alors lire tes applis, keylog tes mots de passes, modifier ton disque, lire tes mails etc….

Pour les fake updates, les applis que j’utilise sont signées avec ma clé, donc elles ne s’installeront pas.

Ok. Et il n'y a pas de vulns dans le processus d'update ? Genre ton update d'app est signée, mais le code qui va dl l'update, il est fiable? Same shit, l'attaquant prend le contrôle du code qui fait l'update, puis il élève ses privilèges, et hop, dump disque, lecture de tes secrets, emails, keylogging, etc..

Idem pour l’OS, qui est un fork maison de GrapheneOS (GOS). Donc là-dessus, je suis couvert.

Tu veux dire que seul tu arrives à suivre l'intégralité des vulns et des patchs qui sont publiés? Et que le code que tu as ajouté est exempt de vulns? (vraie question premier degré hein).

Après, même sans port USB, il reste quand même un paquet d'attaque.

Tu as une antenne bluetooth. Qu'est ce qui empêche quelqu'un d'attaquer le BT? Pareil avec le wifi. Pareil avec le NFC. Si tu te connectes à un réseau quelconque, tu as 10000 applis qui vont se connecter. Certaines sont vulnérables (genre une fake update, ce genre de trucs). etc etc

J'ai l'impression que tu parles de la cold-boot attack. On redémarre sur un système qui va dumper toute la RAM et à l'intérieur du dump on cherche des données comme les clés de chiffrement du disque. On déchiffre le disque, on accède à tes données.

Sur tes points:

A)
Pour le port USB, pourquoi pas l'enlever, mais qu'est ce qui empêche un attaquant de s'en prendre directement au disque? Il peut démonter le téléphone, ressouder un port USB (why not) et lancer des attaques sur le TEE (https://connect.ed-diamond.com/MISC/misc-099/android-tee) pour aller chercher à extraire tes clés de chiffrement de disque.

B)
ces 18h c'est pour grapheneOS? Après, cf point A, même après 18h.

C)
je pense que c'est la pire des solutions. Ca se décape très bien l'epoxy.

Non, c'est moi qui suis idiot ☹️
Je m'exprime mal et je m'en excuse

Un ordinateur ne pourra jamais battre un humain au jeu d'échec!!
Le jour ou un ordinateur sera capable de battre le champion du monde, ce sera la fin de l'humanité les robots prendront le pouvoir.

Bon, ok, kasparov s'est fait battre par deepBlue, mais en vrai ça veut pas dire grand chose, hein. On peut surentrainer un ordinateur pour jouer aux échecs, ça veut pas dire qu'il est intelligent. Et puis regardez, le jeu de Go, ça, jamais au grand jamais un ordinateur battra le meilleur joueur du monde. La complexité algorithmique est insoluble, même avec des ordinateurs massivement superscalaires!!

Bon, ok alpha Zero a gagné, mais en vrai ça veut pas dire grand chose. On peut surentrainer un ordinateur pour jouer au Go, ça veut pas dire qu'il est intelligent. Et puis regardez, le langage naturel, ça, jamais au grand jamais un ordinateur sera capable de tenir une conversation naturelle avec un humain. La difficulté de comprendre toutes les nuances de langage est mathématiquement impossible et non modélisable.

Bon, ok chatGPT parle plutôt bien, mais en vrai ça veut pas dire grand chose. On peut surentrainer un ordinateur pour faire des phrases qui font du sens, mais ça veut pas dire qu'il est intelligent…

Je continue, ou vous avez compris l'idée?

On écoute sur le port 631 en UDP au cas ou un vieux serveur CUPS (≤1.5 sortie il y a 13 ans) veuille s'annoncer ainsi.

C'est exactement ce que je dis (?)

Il suffit de lire la page de man, ce que chacun devrait faire avant de discuter des problèmes et de leurs éventuelles solutions ;-)

je comprends pas trop la remarque.

Le soucis, c'est que la distribution doit prendre une décision pour tout le monde. L'arbitrage entre facilité d'utilisation ("l'utilisateur n'a rien à faire, tout va fonctionner") et position défensive ("rien n'est installé ni activé par défaut, l'utilisateur doit explicitement demander ce dont il a besoin") est très complexe.

J'aime bien le bluetooth pour ça. Tu dis: "ok pour 90s, vazy, écoute le monde entier".
Et ensuite, c'est configuré et tu es content et ça marche. Et après, plus d'inquiétudes ni de questions à se poser genre "est-ce qu'une faille va permettre à un pirate de faire ci ou ça".

Ca pourrait être une solution pour cups-browsd, on clique sur un bouton, pendant 2mn on est à risque, et après on est safe.

Et comme c'est essentiellemnt un problème de configuration par défaut

Bah l'existence même de ce truc, c'est de dire: "on écoute sur le réseau au cas où une imprimante se signale".

Après, oué, tu peux limiter ce serveur à localhost. Du coup… Bah tu n'es plus au courant que des imprimantes sur le réseau se signalent à toi?

Donc bon, soit tu écoutes le réseau et le service est utile, soit tu écoutes pas le réseau et le service sert à rien du coup?

le post de blog de simone fournit tout ce qu'il faut pour tester.
En gros tu envoies un paquet sur le port 631 en UDP sur ton imprimante avec ce qu'il faut dedans. Si ton imprimante se connectes chez toi, alors ouais faut t"inquiéter.

Dans les faits, c'est super improbable. L'imprante va (éventuellement) broadcaster son existence sur le port 631 au reste du monde, elle n'a aucune raison d'écouter ce que raconte les autres imprimantes.

le rapport a leaké ailleurs, donc il a plus de raison de garder le sien sous embargo

Le port UDP 631 atteignable, c'est un peu le but de la découverte automatique des imprimantes, non ? Donc si cups-browser est actif, j'ai l'impression que c'est faisable.

Oui, mais le port est bloqué sur mon firewall. Donc il faut que cups-browser soit actif, et que l'attaquant soit sur un range d'IP autorisé. Ca fait pas beaucoup.

Après, comme disait quelqu'un "j'ai ouvert mon port UDP 631 sur internet en grand car si quelqu'un pouvait s'occuper de paramétrer mon imprimante ça serait juste génial" :D

Et l'exploit présenté ici n'utilise même pas les multiple buffer overflow découverts dans cups-browser.

Certes. Mais avec un OS raisonnablement moderne, l'exploit ne va pas être tivial. Alors certes aussi, c'est pas impossible. Mais bon, comme on est dans l'état

octane@brouette:~$ ss -4 -l -n | grep 631
octane@brouette:~$
bah je suis pas trop inquiet.

Donc.

Il faut que ton port UDP 631 soit atteignable.

Il faut que tu choisisses d'imprimer sur une imprimante que tu n'as jamais vu avant.

Alors là, le méchant pirate peut exécuter du code.

Ca m'a pas l'air très sérieux tout ça.

Oui c'est grave, oui, faut patcher, oui faut prendre ça en compte, non faut pas couiner sur internet que c'est la fin du monde

ça gagne bien, de faire du bounty? Tu as une idée des prix?