Piratage informatique : Mafiaboy raconte son histoire dans un livre

Mafiaboy alias Michael Calce
Michael Calce alias Mafiaboy

Finalement, l'histoire tant attendue de Mafiaboy (alias Michael Calce) arrive visiblement en premier sous la forme d'une autobiographie qui est écrite par le journaliste montréalais Craig Silverman. Je dis en premier, car il ne faudrait pas oublier qu'il y avait cet autre projet bien connu dans la blogosphère et sur le blogue de Martine, celui d'un film sur Mafiaboy. Il a été scénarisé il y a quelques années par la blogueuse Martine Pagé bien connue du Yulblog.

Malheureusement, malgré que ce scénario soit écrit depuis longtemps, il est toujours en attente de financement selon Martine Pagé. Si jamais ce film sort sur nos écrans ou dans une autre forme, je serai le premier à comparer les deux oeuvres. Le côté romancé qu'apportent certains films m'inquiète toujours lorsqu'il est question de raconter une histoire vraie. Souhaitons quand même que ce projet de film débloque bientôt pour le financement et que le film soit bien fait.

La page d'accueil du site Web consacré au livre : mafiaboybook.com

Nouvelle via Sympatico/MSN

et

ici sur Radio-Canada.ca

Dossier complet d'archives sur l'affaire Mafiaboy à Radio-Canada.ca

Defcon 16 : Anatomy of a subway hack

Defcon 16 : quand la justice s'en mêle.

Aux États-Unis, une injonction a été émise par un juge envers des étudiants du MIT devant présenter une conférence au DEFCON 16. L'injonction visait les fruits de leur recherche concernant une faille du système de paiement du métro de Boston. Tout ceci se passait durant la très populaire convention américaine de "Hackers" mondiaux, le DEFCON.

Le gag c'est qu'au début de cette convention de trois jours, l'on nous remet un CD bourré des informations de chacune des conférences qu'il va y avoir durant la convention.

Comme vous pouvez le deviner, le contenu du CD est déjà dans Internet et l'injonction n'aura servi à rien. Je parierai bien cinq piastres que les autorités de Boston avaient déjà été mises au courant de la faille devant être révélée, mais n'avaient pas bougé assez vite afin de la colmater.

Au lieu de participer avec les "Hackers" pour comprendre leurs erreurs, les bureaucrates américains préfèrent se mettre la tête dans le sable et sous une pile de papier en espérant qu'une simple injonction va stopper le désire d'expérimentation de la communauté des "Hackers" en place aux USA. Bordel, mais sur quelle planète ils vivent ceux-là.

En passant, le "hack" en question serait attribuable à une faille du RFID. Comme on le sait, la STM de Montréal viens aussi de faire le saut vers une technologie utilisant le RFID pour la lecture des cartes OPUS dans ses autobus et stations de métros. Bonne chance Montréal.

À lire absolument dans leur PDF, les autres failles du métro de Boston ainsi que leur étonnant "Warcart", c'est mourant.

Le lien vers le PDF de la présentation :
www-tech.mit.edu/V128/N30/subway/Defcon_Presentation.pdf

La discussion continue sur Slashdot, juste ici : yro.slashdot.org/yro/08/08/09/1812256.shtml

Hacker un réseau via l'imprimante

Hacker un réseau via l'imprimante... Ça me rappelle le réseau Novell de Teccart en 1995 où il y avait une imprimante branchée sur un "spooleur" qui était en fait un vieux Pentium 386 avec une carte réseau. Comme de raison, la faille était le compte usager de l'imprimante qui était un compte administrateur pouvant être utilisé à partir de n'importe qu'elle station. Quelle mauvaise idée! Plus ça change plus c'est pareil. ;-)

Photocopieuses et imprimantes, les maillons faibles des réseaux... Lire cette nouvelle qui ne date pas de 1995.

Le piratage des systèmes Bluetooth

Avec l'application de la nouvelle loi sur la sécurité routière au Québec, le nombre de téléphones cellulaires supportant le Bluetooth va exploser. Le piratage Bluetooth risque fort d'augmenter lui aussi si les gens ne prennent pas quelques précautions élémentaires de sécurité vis-à-vis cette technologie.

Les fabricants tentent de nous faire croire que cette technologie est sécuritaire. Oui, c'est sécuritaire en ce qui a attrait à la quantité de radios fréquence irradier vers le cerveau, mais que penser des tentatives de connexions Bluetooth non autorisées sur votre portable? Il est en effet assez facile avec des logiciels installés sur un appareil cellulaire distant de se connecter à votre appareil cellulaire via un lien Bluetooth actif. Résultats, carnets de contacts volés, appels outre-mer facturés à votre compte et j'en passe.

Alors, comment se protéger?

Il est simple et en même temps dérangeant de se protéger, car la seule façon de se prémunir de ce type de piratage est de mettre hors fonction (off) le lien Bluetooth de votre téléphone dès que vous quitter l'automobile par exemple. Conserver le Bluetooth activé tout en se promenant dans un centre d'achats pourrait s'avérer très risqué, car il existe des scanneurs/cracker de fréquences Bluetooth très efficaces.

Le seul truc que j'ai trouvé pour me faciliter la tâche avec la mise en/hors fonction du Bluetooth sur mon téléphone c'est de faire des raccourcis clavier afin d'y arriver plus rapidement. La procédure pour les raccourcis est habituellement bien expliquée dans les manuels d'utilisateurs si elle est disponible. Soyez vigilants!

Sauvez votre vie avec un bout de fil

Vous êtes prisonnier de la neige de la dernière tempête et vous êtes perdu dans une zone où le signal cellulaire est trop faible ? Qu'à cela ne tienne, vous faites un James Bond de vous-même et vous fabriquez sur le pouce l'antenne montrée dans cette vidéo. L'antenne est censée amplifier le signal cellulaire, mais je vous conseille quand même de l'essayer avant la prochaine tempête juste au cas où ? ;-)




Boost Your Cellular Signal - video powered by Metacafe

Firefox 2.0.0.7 à cause de Quick Time

Une autre mise à jour critique pour Firefox 2.0.0.6 (en date du 18 septembre) qui corrige cette faille découverte par lui (en date du 12 septembre) et exploitée par eux. Six jours de délai pour sortir la rustine (patch) c'est quand même raisonnable surtout que ce n'est pas à proprement parler une faille dans Firefox mais bien avec Quick Time.

Defcon 15: jour 2

La 2ième journée s'annonçait très occupée et ce fut le cas. Il fallais souvent être à deux endroits en même temps à cause des conférences parallèles. Certaines étaient de grande qualité avec des spécialistes comme Vitaliy Kamlyuk, analyste virus senior chez Kaspersky Lab. On lui pardonnait son fort accent russe car la qualité de sa présentation valait le coup. Il y a eu aussi une présentation sur les futurs dangers de connecter des appareils électroménagers dans Internet par Dror Shalev, expert en sécurité chez Check Point Software Technologies. Les technologies sans fil comme le Wi-Fi on aussi eu plusieurs présentations dont celle de Pilgrim sur comment devenir un Ninja du Wi-Fi.

FYI: la programmation de samedi est ici.

Defcon 15: jour 1

Wow, à prime abord, ce n'est pas rassurant de voir autant de Hackers dans le même hôtel mais c'est pas tous du mauvais monde comme dirais ma mère. Ici on doit bien être entre 6000 et 7000 au Riviera de Las Vegas. Je vous écrit depuis le réseau du Defcon, le réseau le plus hostile au monde en ce moment. Mon billet sera dont très court. Je le compléterai en dehors de ces murs.

Attention aux lecteurs mp3/mp4 chinois sur eBay

Lecteur mp3/mp4 Lecteur mp3/mp4 Lecteur mp3/mp4 Lecteur mp3/mp4
Cliquez sur mes photos pour les agrandirent.

Aujourd'hui j'ai eu l'occasion de trouvé ce qui clochait avec un lecteur mp3 acheté par mon amie sur eBay. Les chinois fabriquent des lecteurs très ressemblant au iPod nano mais la comparaison s'arrête là. C'est un lecteur avec une mémoire supposé de 4 Gigs affichée (voir photo arrière). En réalité il n'en contient que 1 Gig. C'est une arnaque de mémoire par formatage de bas niveau inadéquat. C'est ce qui vous attend si vous l'acheter par eBay.

Les problèmes arrivent lorsque vous essayer de mettre plus de 1 Go de musique dedans. Chansons dupliquées ou non effaçables et une quantité restante de 3 à 2.5 Gigs qui en fait ne sera jamais utilisable. Donc, un lecteur avec le quart de la capacité affiché qui vous couteras, peut-être, 42$ seulement alors que par ici il est 54.99$ et avec une garantie. Quelques semaines après l'achat sur eBay le vendeur avait disparut de la "map". Ça en dit long sur la confiance qu'il peut avoir en son produit.

Ce "memory hack" est "réparable" mais il y aura un coût à cela. Vous perdrez de la capacité mémoire dans votre appareil. Capacité virtuelle que vous n'avez jamais eue de toute façon. Votre lecteur de 4 Gigs (affiché) n'est pas venu au monde avec 4 Gigs alors redonnons lui sa vrai nature de 1 Gig avec l'outil disque (disk tool) fourni sur le CD qui est inclus dans l'emballage du produit. Il faut installer les outils avec le fichier exécutable setup.exe situé dans le répertoire MP3 4.00 Setup sur le CD. Une fois l'utilitaire disque installé sur votre ordinateur il restera à faire un formatage de bas niveau (Low level format) de votre mémoire flash. La procédure est déjà toute écrite sur le WEB à l'adresse suivante :
www.mympxplayer.org/how-to-removing-memory-hack-vt2400.html

Suivez cette procédure à la lettre et fini les problèmes bizarroïdes avec votre lecteur. Parole de technicien.


P.S.: Si vous avez eu des mauvaises expériences d'achat vous aussi, ne vous gêner pas et commenter donc mon billet avec vos informations. (type de lecteur, taille fictive vs taille réelle de mémoire, le nom du magasin ou du site WEB où a été acheté l'article.)

Rencontre 2600 ce soir

Hey la gang, oubliez pas c'est la rencontre du groupe 2600 de Montréal ce soir. Toujours au même endroit, 1000 de la Gauchetière. Une rencontre de hackers dans un building qui appartient à BELL (BCE) c'est trop cool.

DEFCON version 15, le repos du Hacker

Ce soir, c'était une petite soirée de planification touristique bien remplie. Remplie d'embûches et de concessions afin de réserver un endroit cool pour poser son cul à Las Vegas cet été. Pourquoi Vegas ? Parce que c'est là que se tient le DEFCON et ce depuis 15 ans déjà. Le DEFCON ? Hé oui, c'est l'événement de Hacking underground le plus imposant du monde. Je connais personnellement des spécialistes en sécurité informatique du gouvernement qui s'y rendent afin de se mettre à niveau sur les nouveaux exploits qui pourront affectés leurs réseaux informatiques branchés à Internet. Ce n'est pas peu dire.

L'intérêt pour les hautes instances des gouvernements (NSA, CIA, FBI, SCRS) à assister à cette rencontre vient évidement du fait qu'a chaque année, le DEFCON présente une foule de nouvelles failles jamais divulguées au grand public. J'ai assisté à la 10 ième édition en 2002 et j'ai adoré mes échanges avec ces hackers des quatre coins du monde. Des gens brillants et stimulants même en plein désert, sous 129 degrés Fahrenheit. Pour rien au monde, je manquerai la 15 ième édition de cette année. Trois jours d'activités bien organisées avec des "speakers" triés sur le volet. J'adore cette conférence qui est toujours très avant-gardiste des nouvelles tendances en sécurité informatique, un domaine que j'affectionne au plus au point.

Cette année c'est l'hôtel casino Riviera qui accueil la conférence. Vous souhaiter vivre une expérience inoubliable alors visitez le site DEFCON.ORG pour toutes les informations et planifiez votre plongeon dans le monde "Underground" du DEFCON. Qui sait, on se verra peut être là-bas en août ?

Comme disait un ami Hacker ; See ya in Vegas Darling and prepare you ring…

P.S.: Le titre de mon billet est ironique et ça reflète bien la vivacité d'esprit du Hacker.

Vous avez jusqu'au 15 juin afin de déposer votre candidature en tant que "speaker" à cette adresse :

Call for papers sur le site de defcon.org/html/defcon-15/dc-15-cfp.html

Le flux RSS du DEFCON : www.defcon.org/defconrss.xml

Petite attaque massive

Selon Associated Press, l'attaque d'hier contre Internet était de grande envergure et n'avait pas eu lieu depuis 2002. Le type d'attaque subit par UltraDNS hier pourrait paralyser une bonne partie du trafic Internet si son exécution était généralisée à tous les serveurs DNS majeurs. Grâce à la distribution en temps réel de la charge (load balancing) vers d'autres serveurs, l'attaque n'a pas été très ressentie chez le simple usager. C'est pour cela que je dis que c'est une petite attaque massive.

La nouvelle via Miami Herald et Sympatico/MSN.

Rencontre du 2600 demain

Comme à l'habitude le premier vendredi du mois c'est la rencontre du groupe 2600.

Visitez le www.mtl2600.org/meetings/ pour toutes les informations.

Bienvenue aux débrouillards 50 de l'informatique et du hacking. La rencontre débute à 17h00 jusqu'à 21h00.

Le building ci-dessous est notre lieu de rencontre.

Cliquez sur la photo afin d'obtenir un plan détaillé du centre-ville.

Hacking à saveur Bluetooth !

Ce billet expose un bel exemple de hacking qui combine une nouvelle technologie et une ancienne. À la limite, ce hack permettrais même de faire le pont entre les deux technologies téléphoniques. Tout dépends de vos besoins et de votre âge.

Vous avez sûrement remarquer que de plus en plus d'abonnés téléphonique délaissent la traditionnelle ligne terrestre pour le sans fil cellulaire. Cette tendance apporte aussi son lot de gadgets cellulaires que l'on voit apparaître sur le bord des oreilles. Voici une photo du dispositif sans fil Bluetooth dont je parle. Avec la baisse des prix sur ces dispositifs on peut se permettre de bricoler avec ces trucs sans trop avoir peur de les briser. Leur usage peut être très varié et voici quelques applications possibles d'utilisation.

Voici quelques exemples d'utilisations possibles avec l'adaptation de l'électronique d'un casque Bluetooth à un vieux combiné téléphonique disponible ici.

  • Imaginer qu'un combiné standard puisse servir d'extension à votre communication cellulaire. Votre parton qui n'aime pas vous voir perdre votre temps n'y verra que du feu. Pratique quand viens le temps de conserver des relations harmonieuses ainsi que votre liberté.
  • Vous n'aimez pas l'idée d'avoir un cellulaire sur le bord de la tête car vous êtes préoccupé par les radios fréquences dégagées par celui-ci. Pas d'importance utilisé le gadget en question et éloigner par le fait même le cellulaire de votre précieux petit cerveau.
  • Votre grand-père viens de s'équiper du tout nouveau Motorola RAZR mais a beaucoup de difficulté à le tenir à cause de son arthrite. Au diable les problèmes avec ce combiné à l'ancienne à saveur Bluetooth.
  • Vous trouver juste amusant l'idée de parler dans un combiné téléphonique alors qu'en fait vous utiliser votre cellulaire.

J'ai trouvé ce montage dans cet article sur Intructables.com qui démontre image par image comment faire le montage.

J'ai pensé à ces petits hacks mais si vous avez d'autres idées, ne vous gêner pas à les ajouter en commentaires

Ne jeter plus votre carton de papier cul

Après le crayon Bic pour les cadenas en U de vélos, voici le carton de papier cul pour le cadenas d'ordinateur portable.

http://www.metacafe.com/watch/277508/laptops_lock/

Une autre belle forme de hacking si utilisé de façon étique.

Même type de guerre, mêmes gaffes

VS

Ce qui devait arriver arriva.

À vouloir tout contrôler, Microsoft s'est encore planté avec son programme de validation sur Windows XP, le (WGA) Windows Genuine Advantage. Une bévue dans le système de vérification de la validité de votre Windows XP a entraîné la désactivation de plusieurs copies valident. Donc, une des conséquences probables, les mises à jour de votre système risquent de ne plus être accessibles. Une solution au problème est donc disponible sur le site de Microsoft afin de redonner vie à votre Windows. Windows XP étant un système d'exploitation très répandu, donc extrêmement pirater et copier illégalement ceci oblige Microsoft à inventer des systèmes afin de protéger ses investissements. Le seul problème c'est que ce n'est pas fiable et d'honnêtes usagers écopent.

Cela me rappel quand Bell ExpressVu avait tenté sensiblement la même chose sur les récepteurs utilisés par ses clients afin de réduire le vol de signaux satellite par piratage. Une contre-mesure logicielle envoyée à même les signaux satellite a déconnée. Tous les récepteurs orientés sur le satellite Nimiq 91 ont vus leur microcode reprogrammé selon le bon vouloir de Bell ExpressVu. Ce bon vouloir consistait en une contre-mesure sensée désactiver uniquement les récepteurs pirates qui hébergeaient une carte à puce pirate. Le problème c'est qu'un certains nombres de bons clients furent affectés et ont perdus l'usage de leur récepteur télé. Le pire c'est que Bell Expressvu savait sûrement que ça arriverait. Quand on est en guerre contre le piratage il y a toujours des dommages collatéraux avait dit une porte-parole de Bell ExpressVu sur les ondes de TQS.

Moi je vous le dit, plus ça change plus c'est pareil... À quand les bonnes vielles oreilles de lapin numérique ?

Optimisation de votre système

Comment réduire les temps de démarrage et de fermeture de vos ordinateurs roulant sous Windows XP?

Grâce à quelques hacks des paramètres du BIOS et du registre Windows vous obtiendrez un gain substantiel de vitesse du chargement et de la fermeture de votre système.

Il existe déjà un résumé en ligne (en anglais) avec toute la procédure bien expliquée.

Téléchargez le document pdf sur le site de TechRepublic c'est gratuit suffit de s'inscrire à leur site.

Le DEFCON s'en vient, sortez vos black ou white hats

Le 4,5,6 août 2006 aura lieu la rencontre annuelle des meilleurs hackers du monde. Cet événement se nomme DEFCON et se passe à Las Vegas. Le choix de l'endroit ou le moment dans l'année peut être discutable pour certain mais personnellement j'ai pas de problème avec la chaleur ou le gambling. Il faut bien le dire, à ce moment de l'année dans le désert il fait chaud en "titi". Lors de ma dernière visite en 2002, le mercure avait atteint ~129 degrés farenheit. Mais au royaume de la climatisation on n'y voyais que du feu (sans jeu de mots).

La conférence DEFCON en est à sa 14 ième édition et déménage ses petits au Riviera cette année. Le coût est de 100$ US, comptant bien sur ;-) pour les trois jours. Plus d'infos sur DEFCON.ORG

Hacking avec Google Maps

Comment économiser sur le prix de l'essence dans une région précise grâce à Google Maps et un peu de hacking? La réponse se trouve sur le site de TechRepublic dans un chapitre téléchargeable du livre " Google Maps Hacks".

Bon hacking!

Mise à niveau du Mac mini de Core Solo à Core Duo

N'attendez pas après Apple pour la mise à niveau (upgrade) de votre Mac mini.

En décidant d'utiliser les puces Intel dans ses machines, Apple donne plus de choix aux consommateurs pour les fournisseurs de processeurs. Tel que lu dans le site de REG HARDWARE il est faisable d'augmenter la puissance d'un Mac mini à partir d'un processeur "Core solo" à celui "Core Duo".

Le système de refroidissement du Mac mini serait amplement capable de fournir à la demande.
Pour savoir comment faire en images, visitez le site de Xtremesystems.

Pour l'instant le prix d'un processeur Core Duo est d'environ 637$ US ce qui est le prix d'un système Mac mini neuf. Mais quand les prix vont baisser (12 à 18 mois) ce sera une option que les propriétaires de Mac pourront envisager afin de faire revivre leur machine pour une somme d'environ 200 $ US installation comprise.

Hacker son imprimante Epson

Pour ceux qui ont des imprimantes Epson (bouffe cartouches).

Voici quelques sites intéressants.

http://www.inksupply.com/cobra.cfm

http://www.eddiem.com/photo/CIS/inkchip/chip.html

http://www.eddiem.com/photo/CIS/cis.htm

Vous en avez marre de remplacer vos cartouches?

Avec l'installation suivante, on est bon pour un bout. ;-)