The Hacker News nous a concocté le meilleur du Hack mais aussi du Fail pour cette année 2011. Des awards pour le meilleur et pour le pire donc

Parmi les prix décernés nous retrouvons les catégories suivantes :

• La personnalité de l'année
• Le meilleur groupe de hacking de l'année
• Le meilleur pirate WhiteHat de l'année
• Le meilleur leak de l'année
• Le meilleur défacement de l'année
• Le piratage le plus fou de l'année
• Le malware de l'année
• Le meilleur outil de piratage de l'année
• Le hacker le plus reconnu de l'année
• La plus grande victime de l'année
• Le réseau social le plus spammé
• Le système mobile le plus vulnérable
• Le meilleur livre de hacking de l'année
• Le hack le plus innovant de l'année
• Le plus gros hack de l'année

Vous pouvez voir les gagnants de chacune de ces catégories sur leur site.

Je vous en parlais déjà dans une précédente news et depuis le 1 décembre, ce malware a fait du chemin.

Dans ma news du 09/12/2011, je vous parlais de ce malware qui réussissait à s’incruster sur certains sites grâce à une injection SQL. A la date d'écriture de ma news, ce malware s'était répandu sur prés de 4000 sites web ce qui était déjà pas mal mais aujourd'hui on commence à atteindre des sommets avec plus de 1 millions de pages infectées.

A l'origine ce malware a été découvert par ISC (Internet Storm Center). Depuis un mois ce malware a fait pas mal de dégâts et ICS nous donne des statistiques des ccTLD qui ont été infecté.

• UK - 56,300
• NL - 123,000
• DE - 49,700
• FR - 68,100
• DK - 31,000
• CN - 505
• CA - 16,600
• COM - 30,500
• RU - 32,000
• JP - 23,200
• ORG - 2,690

Vu l'ampleur, vérifiez votre site en faisant une recherche sur Google et en mettant comme mots-clé site:domain.com où domain.com est le domaine de votre site (pour moi crazyws.fr) suivi de l'url vers le malware (remplacer hxxp par http) :

isc.sans.edu

Un hack peu commun qui va permettre de profiter de la route

C'est la police de Gahanna (une petite ville située au centre de l'Ohio) qui rapporte qu'entre le 21 et le 22 décembre 2011 quelqu'un a piraté une station d'essence et a ainsi fait baisser le prix du carburant à $0.02 par gallon !

Dans son rapport la police indique qu'un client de la station a vu que le prix avait changé et en a tout de suite informé le gérant. Celui-ci indique que la personne qui a piraté la pompe a dû se servir d'une clé pour l'ouvrir et utiliser un ordinateur ou un autre appareil pour pénétrer le système et changer le prix.

Malheureusement pour la police, aucune caméra ne pointée la pompe au moment des faits et donc aucun suspect. A moins que celui-ci ait payé par carte bancaire mais ça m'étonnerait

www.columbuslocalnews.com

FBPwn est une application Java multi-plateforme utilisant les API de Facebook. Ce petit programme se chargera d'envoyer des requêtes de demandes d'amis à une liste de profils. Une fois que la victime a accepté l'invitation, le programme téléchargera toutes les informations, les photos, la liste d'amis dans un dossier local.

C'est le but premier de cette application mais d'autres modules sont présents. L'application travaille sur une URL de profil sélectionné (admettons Toto) tout en utilisant un compte valide (admettons Lama). Voici les modules en question :

• AddVictimFriends : Fera une demande d'ajout de certains ou de tous les amis de Toto pour augmenter les chances de Toto d'accepter les demandes futures et comme ça après il découvre des amis en communs
• ProfileCloner : Une liste de tous les amis de Toto sera affiché, vous choisissez l'un d'entre eux (admettons Loulou). FBPwn changera la photo de profil de Lama et les infos de base pour correspondre avec celles de Loulou. Cela augmentera les chances que Toto accepte votre demande d'ami.
• CheckFriendRequest : Vérifie si Lama est déjà ami avec Toto. Si ils ne sont pas amis alors le module va tenter d'ajouter Toto comme ami et attendre qu'il accepte.
• DumpFriends : Télécharge la liste des amis de Toto.
• DumpImages : Télécharge les photos de Toto.
• DumpInfo : Télécharge les infos du profil de Toto.
• DumpWall : Télécharge le mur de Toto.

La dernière version de FBPwn est la 1.7 sortie aujourd'hui.

Non Patator ce n'est pas seulement un lance-patate comme on en a tous fait dans notre enfance mais aussi un brute-force multi-fonction avec une conception modulaire et une utilisation souple.

En ayant créé cette application écrite en Python et en voyant le panel de fonctionnalités proposées, on voit que le concepteur en a eu marre d'utiliser Medusa, Hydra, ncrack, etc... Pourquoi?

• Soit ils ne fonctionnent pas ou ne sont pas fiables (faux négatifs à plusieurs reprises)
• Ils sont lents (non multi-thread ou pas de tests de mots de passes multiples dans la même connexion TCP)
• Ils manquent de pas mal de fonctionnalités utiles qui sont assez faciles à coder en Python.

Vous devriez l'essayer si vous avez été déçu par la majorité des brute-force que vous avez pu tester jusqu'à présent. Actuellement ce script supporte les modules suivants :

• ftp_login: Brute-force FTP
• ssh_login: Brute-force SSH
• telnet_login: Brute-force Telnet
• smtp_login: Brute-force SMTP
• smtp_vrfy: énumérer les utilisateurs valides en utilisant la commande SMTP VRFY
• smtp_rcpt: énumérer les utilisateurs valides à l'aide de la commande SMTP RCPT TO
• http_fuzz: Brute-force HTTP / HTTPS
• pop_passd: Brute-force poppassd (non POP3)
• ldap_login: Brute-force LDAP
• smb_login: Brute-force PME
• mssql_login: Brute-force MSSQL
• oracle_login: Brute-force Oracle
• mysql_login: Brute-force MySQL
• pgsql_login: Brute-force PostgreSQL
• vnc_login: Brute-force VNC
• dns_forward : Recherche directe de sous-domaines
• dns_reverse : Recherche inversée de sous-réseaux
• snmp_login: Brute-force SNMPv1 / 2 et SNMPv3
• unzip_pass: Brute-force du mot de passe de fichiers ZIP cryptés
• keystore_pass: Brute-force du mot de passe de fichiers clés Java

Ça fait un gros paquet de modules!

Ce n'est pas un script-kiddie alors faut bien lire le README dans le code source avant de demander comment on se sert de cet outil.

Ah et autre chose de sympa, vous savez où le développeur du script a été chercher le nom Patator?
Et bien dans un clip TV bien de chez nous!