Wednesday, April 30, 2008

Les AV, c'est a chier

Et non amis WoW-iens anglophones, je ne parle pas d'Alterac Valley ce coup-ci. Mais des antivirus. A Defcon cette annee aura lieu le 'Race to Zero', je n'ai pas trop suivi mais Dave a tente de m'expliquer ca rapidement: il s'agirait de contourner des batteries d'AV en modifiant des virus connus tout en les conservant executables. Les equipes gagnent des points par virus passant les detections, tout ca. Libre a vous de verifier, la maintenant j'ai la flemme.

En soi, ca ne m'a pas l'air trop complique, et la presse va sans doute faire tout un battage mediatique sur l'inutilite des antivirus une fois les 42 premiers virus modifies avec succes. Genre. Je me ficherai bien de tout cela si ca n'avait provoque une reaction en chaine dans le milieu de la protection ("LoL") anti-virale. Tous les editeurs savent pertinemment qu'ils vont se faire exploser joyeusement, a plusieurs reprises pendant quelques jours, et ca les inquiete un peu.

Et c'est dans ces moments la qu'on peut voir a quel point ces gens la sont pathetiques:
  • Entree dans le blog de McAfee Avert Labs
  • Article de geek.com avec des citations a se faire dessus de Trend Micro et AVG
  • et probablement beaucoup d'autres prochainement
Un bel exemple de "fail" encore une fois. Messieurs les editeurs d'AV, il vous reste 3 mois pour ameliorer vos produits, ou vous mettre a genou et pleurer en disant que c'est vraiment trop injuste calimero-style.

Cretins.

Thursday, April 17, 2008

Detecter l'escroc

Quand on lit le papier de Dowd (cf. entree precedente), et que l'on est technique, on pense comprendre ce qui se passe. Certains y arrivent tres bien, d'autres comprennent les choses a moitie et surfent sur la vague pour essayer d'en tirer un soupcon de renommee, mais en racontant des conneries.

J'ai en tete un post de monsieur Ptacek sur le blog de Matasano, a la fin de ce dernier on peut lire:
First, even though IE and Firefox use different Flash builds, the addressing inside them is compatible. The exploit works in both places.
Bon certes le monsieur a des connaissances techniques (ou pas), mais clairement son post est une escroquerie. Je vais me concentrer uniquement sur cette phrase la, les lecteurs avises pourront noter d'autres anneries tout au long de l'article.

J'ai fini l'exploit sous IE, ca marche impec, XP SP2, SP3rc2, Vista, cool. Maintenant je regarde Firefox. On est plus sous flash9[d,e].ocx mais dans npswf32.dll. "Compatible addressing"? Ca semble louche. Et effectivement le tableau AS3_argmask n'est pas du tout au meme endroit. On peut voir dans le commentaire de Mark au sujer de ce post:

1. Address you need to overwrite (location of AS3_argmask)
...

Issue #1 could possibly cause problems, but hey - exploiting both browsers at once worked out alright by doing multiple overwrites, so you could probably do multiple overwrites to address different versions of Flash also. But, I have never confirmed this, so I can’t be sure.

Et voila la solution. Il suffit de faire plusieurs overwrite differents, histoire de remplacer le mask de l'opcode marker pour IE et Firefox, le reste des constantes utilisees etant des offsets relatifs, donc pas de soucis pour cela. Plusieurs SWF sans bytecode ne crasheront pas le browser si vous faites suffisamment attention, puis un final avec le bytecode non-verifie permettra d'executer votre shellcode.

Escroc.

Groovy Week End

Ca y est, j'ai recu mes tickets pour le Bacardi B-Live'08. La meteo s'annonce clemente (comprendre 27degC et ciel relativement bleu). Le concert sera streame en live sur myspace.com/blivemiami si l'on en croit le site officiel de l'evenement http://www.bacardi.com/#/us/en-us/blive_miami_08/. Au programme, Dave Navarro (un habitue), Cedric Gervais, Deep Dish, et Groove Armada! Et surtout des Mojitos a ne plus savoir qu'en faire.

Wednesday, April 16, 2008

Le Duke *

S'emerveiller devant une faille et un exploit se fait rare de nos jours. Il n'y a pas grand chose de nouveau, et on finit toujours avec les memes primitives de bugs et des exploits dont le principe est toujours le meme. Alors quand je dois ecrire l'exploit pour une faille comme celle recemment publiee pour Flash par ISS, je suis heureux.

Le papier de Mark "Duke" Dowd est une perle. Un contenu exact de A a Z, une approche novatrice pour une primitive de bug pas necessairement evidente a exploiter (ecrire 4 octets pas entierement controlables a une addresse multiple de 12 pour simplifier). Ecrire son bytecode AS3 non verifie pour prendre le controle de EIP, c'est marrant. "Exciting and Dynamic" comme dirait Runara.

Bien que le papier soit hyper detaille (ca change des merdes usuelles), il reste pas mal de boulot a un neophite de Flash pour ecrire l'exploit. Quelques heures passees sur les formats SWF et les blobs ABC auront suffit pour satisfaire les exigences de Flash et de sa VM.

Au final, pas la meilleure faille du monde (DEP OptOut introduit une complexite non couverte par le papier de Duke), mais probablement l'exploitation la plus interessante sur laquelle j'ai pu travailler.

* Reference a The Big Lebowski meme si en VO il s'agit du 'Dude' et non du Duc ou Duke, et meme si le sieur Dowd n'a rien a voir avec.

Sunday, April 13, 2008

De retour de SF

Et voila, RSA 2008 c'est fini. C'est le genre de conference dans laquelle il ne serait pas bon de lacher un Ruff, je pense qu'il y avait plus de goodies qu'un etre humain puisse gerer. Ma performance de ce cote a ete relativement decevante, je me suis contente de devaliser le stand de la NSA, cela fait toujours bien de laisser trainer un bloc note de la dite agence dans son appartement. Quelques photos ont ete ajoutees sur le Picasaweb.

Cote personnes, j'ai pu trainer avec les suspects usuels (cf. Photos). San Francisco est decidement une ville tres appreciable.

Tuesday, April 8, 2008

If you're going to San Francisco

Helas non, je n'ai pas de fleurs de les cheveux. Je ne sais pas si c'est faute de fleurs, ou de cheveux. Enfin voila, San Francisco est mon etape de la semaine. La conference RSA 2008 s'y deroule, et Immunity, Inc. y sera represente par Justine, Sinan et moi meme. Si vous etes dans le coin passez me dire bonjour! Vous aurez le droit a une demonstration de Silica :)

A defaut de fleurs, un gros coeur (promis je remets des tetes de mort des que j'en trouve):

Les habitues reconnaitront le dos d'Halvar a droite!

D'apres les News, la flamme olympique devrait passer dans le coin sous peu une fois qu'elle aura quitte Paris ... A suivre.

Je mettrais les photos au fur et a mesure ici:
http://picasaweb.google.com/kostya.kortchinsky/SanFrancisco/

Tuesday, April 1, 2008

Ultra Music Festival, day 2

Et voila, Samedi c'etait le deuxieme et dernier jour de l'Ultra Music Festival. Ma foi, j'ai ete encore surpris. La scene Carl Cox & Friends blindee pour Fedde Legrand et David Guetta. J'ai passe 2h tout devant pour le mix de David Guetta, avec Carl Cox qui a fait la transition quand Moby a commence... Ca fait bizzare le grand black baraque a cote du freluquet pale a lunettes :) Avec Guetta et sa coupe beau gosse blond au milieu. Enur etait de la partie, Ferry Corsten, Sander Van Doom. Bref le bonheur pour un amateur de house et autres musiques electroniques.

Les photos:
http://picasaweb.google.com/kostya.kortchinsky/Ultra08Day2