http://www.secuobs.com Observatoire de la securite Internet fr webmaster@secuobs.com 2010-09-17 00:04:00 - Blog ESEC Lab : Time for the lab team to get its own website, very 20 You can retrieve all our posts from this blog, and much more Enjoy http://www.secuobs.com/revue/news/246146.shtmlhttp://www.secuobs.com/revue/news/246146.shtml Secuobs.com : 2010-07-19 20:06:28 - Blog ESEC Lab - Finally, here is the tool we presented at RECON Our objective is to demonstrate that the use of Metasm allow to quickly and efficiently develop tools, in this particular case we have developed a basic code tracing tool http://www.secuobs.com/revue/news/241790.shtmlhttp://www.secuobs.com/revue/news/241790.shtml Secuobs.com : 2010-07-15 17:05:01 - Blog ESEC Lab - And I am not speaking about adult entertainment, but about the crash of the air conditioning system in the hotel during the whole conference This issue apart, RECON perfectly applies a simple mojo if you want to make a bunch of reversers happy, talk to them about reverse-engineering The conference, and the parties that come with it, were definitely great, and we met many interesting people to talk with http://www.secuobs.com/revue/news/240852.shtmlhttp://www.secuobs.com/revue/news/240852.shtml Secuobs.com : 2010-07-09 17:52:24 - Blog ESEC Lab - Metasm est à la mode en ce moment dans le lab, après le post d'Ivan et celui de Yoann, c'est à mon tour de m'y coller Depuis que j'exploite des vulnérabilités de type Format String, j'ai toujours eu l'envie de me coder rapidement un outil en Python pour automatiser un peu les choses Mais après les posts de mes deux collègues, je me suis dit qu'il était peut être temps de se jeter dans le bain Metasm http://www.secuobs.com/revue/news/239155.shtmlhttp://www.secuobs.com/revue/news/239155.shtml Secuobs.com : 2010-07-05 19:08:59 - Blog ESEC Lab - Hi all, Just last week, a few lucky people from our lab did attend the HITB Conference in Amsterdam the first time for HITB in Europe We had a really great time there http://www.secuobs.com/revue/news/237754.shtmlhttp://www.secuobs.com/revue/news/237754.shtml Secuobs.com : 2010-06-19 03:41:59 - Blog ESEC Lab - Ivan wrote a post on a script he wrote using metasm to automatically find most parameters needed when exploiting a simple stack-based buffer overflow I want to add a few lights on other ways to achieve the same result, and take this opportunity to bring his work to our english-speaking readers http://www.secuobs.com/revue/news/233074.shtmlhttp://www.secuobs.com/revue/news/233074.shtml Secuobs.com : 2010-06-15 13:40:48 - Blog ESEC Lab - Metasm est un outil puissant permettant de scripter la manipulation de binaires Sachant qu'il fournit une fonctionnalité de debugging, on peut automatiser certaines actions en les scriptant avec Ruby On va ainsi l'utiliser pour créer un outil basique d'exploitation automatique de binaires ELF x86 L'idée est de nous simplifier la vie car lorsqu'on fait de l'exploitation, on est souvent amené à repasser par les mêmes étapes En les scriptant, on gagne en temps et en efficacité http://www.secuobs.com/revue/news/231597.shtmlhttp://www.secuobs.com/revue/news/231597.shtml Secuobs.com : 2010-06-08 18:50:07 - Blog ESEC Lab - Sogeti ESEC R D will be very active at the conference HITB Amsterdam 29th June - 2nd July 2010 , giving a training, a lab session and a talk If you want to meet us there, we can propose some reduction coupons Get in touch with us for more information Note also it will be the first joint event with the security team in the Netherlands, Sogeti PaSS If you want to attend to the conference or training, get in touch with us http://www.secuobs.com/revue/news/229620.shtmlhttp://www.secuobs.com/revue/news/229620.shtml Secuobs.com : 2010-05-25 13:50:57 - Blog ESEC Lab - Sogeti est sponsor platinum de la conference HITB Amsterdam Nous y tiendrons le dojo Metasm, et donnerons une présentation sur une attaque physique ciblant Windows 7 64bits N'hésitez pas à passer nous faire un petit coucou Sogeti is a Platinum sponsor for the HITB amsterdam ITsec conference We'll be holding a Metasm dojo there, and present a physical attack on a Windows 7 64 system Come and visit us http://www.secuobs.com/revue/news/225387.shtmlhttp://www.secuobs.com/revue/news/225387.shtml Secuobs.com : 2010-02-22 16:51:23 - Blog ESEC Lab - Le 2 février 2010, l'agence Sogeti ESEC a organisé son séminaire annuel sur le thème Nouveaux supports, nouveaux usages, nouvelles menaces Les SI contiennent des informations de très haute valeur et sont vitaux pour les entreprises et organisations De fait, ils constituent des proies de choix aux yeux des attaquants de toutes sortes Cette année, les présentations ont été orientées sur les menaces qui peuvent peser sur un SI, du point de vue d'un attaquant tant au niveau global valeurs clés de l'entreprise qu'au niveau personnel ciblage d'individus clés Luc-François Salvador, Président Directeur Général du groupe Sogeti, a ouvert le séminaire en décrivant brièvement l'organisation de l'ESEC au sein du groupe Sogeti, ses offres, et le rôle de l'équipe R D Celle-ci a ensuite présenté les résultats de ses recherches sur la thématique des nouvelles pratiques issus des travaux menés au sein de son laboratoire Ce billet ainsi que les trois suivants résument une partie des présentations données pendant cette journée http://www.secuobs.com/revue/news/194186.shtmlhttp://www.secuobs.com/revue/news/194186.shtml Secuobs.com : 2010-02-22 16:51:23 - Blog ESEC Lab - Les réseaux sociaux sont souvent montrés du doigt comme des outils à double tranchant D'un coté certains disent qu'ils sont indispensables pour tisser et entretenir un réseau relationnel solide alors que d'autres en parlent comme d'un formidable outil de renseignement Arnauld Mascret et Christophe Devaux nous présentent ici leurs travaux ils ont étudiés les spécificités de deux réseaux sociaux très connus, facebook et LinkedIn, afin d'estimer la faisabilité d'un outil de collecte automatisée d'informations, ou leur emploi dans le cadre d'une attaque ciblée http://www.secuobs.com/revue/news/194185.shtmlhttp://www.secuobs.com/revue/news/194185.shtml Secuobs.com : 2010-02-22 16:51:23 - Blog ESEC Lab - Accès physique root cet adage est connu depuis longtemps dans la communauté de la sécurité informatique Il est toujours d'actualité Damien Aumaître a montré au cours de cette présentation comment il est possible de compromettre entièrement la sécurité d'un poste utilisateur en détournant les fonctionnalités offertes aux périphériques physiques en passant par le bus Firewire ou plus généralement par les bus matériels http://www.secuobs.com/revue/news/194184.shtmlhttp://www.secuobs.com/revue/news/194184.shtml Secuobs.com : 2010-02-22 16:51:23 - Blog ESEC Lab - Les terminaux mobiles sont omniprésents dans notre monde actuel sous diverses formes GPS, téléphones portables, PDAs, etc Le smartphone est le résultat de la convergence de toutes ces plateformes Windows Mobile, est un des systèmes d'exploitation embarqués les plus présents sur le marché mobile Par conséquent, il parait essentiel d'analyser le fonctionnement du système d'exploitation mobile de Microsoft, de comprendre les risques et menaces, et d'anticiper les méthodes qui pourraient être utilisées dans le but d'attaquer le terminal et de laisser une porte d'entrée pour un attaquant sans que l'utilisateur légitime du smartphone ne s'en rende compte http://www.secuobs.com/revue/news/194183.shtmlhttp://www.secuobs.com/revue/news/194183.shtml Secuobs.com : 2010-02-10 21:13:44 - Blog ESEC Lab - A quick post on the Recon CFP and our CansecWest dojo on metasm http://www.secuobs.com/revue/news/190597.shtmlhttp://www.secuobs.com/revue/news/190597.shtml Secuobs.com : 2009-12-04 20:24:20 - Blog ESEC Lab - On pourrait penser, suite à de nombreuses failles affectant Acrobat Reader voir par exemple l'avis CERTA-2009-AVI-445 , qu'il est plus prudent d'utiliser un lecteur alternatif Sous Windows, les principales alternatives sont Foxit et SumatraPDF, un lecteur de PDF léger et open-source En pratique, la situation n'est pas aussi tranchée Acrobat est plus répandu donc plus exposé, mais rien n'interdit de penser que les autres lecteurs présentent de même des vulnérabilités critiques http://www.secuobs.com/revue/news/168688.shtmlhttp://www.secuobs.com/revue/news/168688.shtml Secuobs.com : 2009-11-03 01:20:58 - Blog ESEC Lab - Nous voici de retour de la conférence hacklu 2009 qui s'est déroulée du mercredi 28 10 au vendredi 30 10 non loin de la ville de Luxembourg Autour des conférences, plusieurs activités comme des workshops ou des challenges cryptographie et reverse engineering étaient au rendez-vous http://www.secuobs.com/revue/news/156355.shtmlhttp://www.secuobs.com/revue/news/156355.shtml Secuobs.com : 2009-11-03 01:20:58 - Blog ESEC Lab - Voilà un résumé des conférences que j ai pu voir à BlueHat, les 22 et 23 octobre 2009 Les conférences qui m ont moins intéressé ne sont pas résumées ici En particulier, la demi-journée sur le Cloud Computing est mise de côté, par manque de compétences pour les comprendre et d intérêt pour le sujet http://www.secuobs.com/revue/news/156354.shtmlhttp://www.secuobs.com/revue/news/156354.shtml Secuobs.com : 2009-10-13 16:02:02 - Blog ESEC Lab - La conférence Hack In The Box 2009 se déroulait du 5 au 8 Octobre à Kuala Lumpur, en Malaisie Voici le résumé des conférences que nous avons pu voir http://www.secuobs.com/revue/news/149947.shtmlhttp://www.secuobs.com/revue/news/149947.shtml Secuobs.com : 2009-10-02 23:03:38 - Blog ESEC Lab - Some guys from our lab took part to the last Defcon CTF in Vegas While trying to sharpen our tools before the CTF, we had this brilliant idea actually not so brilliant Hey, DDTEK guys proposed a challenge based on a virtual machine in the quals, they may re-use it during the CTF we need to have a disassembler for the vm's cpu Well, I will not keep you hanging, there was no challenge using this processor in the CTF However, we coded the tool and it is an interesting use case for Metasm, so let's document it and see in this post how to add support for a new cpu in Metasm http://www.secuobs.com/revue/news/146955.shtmlhttp://www.secuobs.com/revue/news/146955.shtml Secuobs.com : 2009-07-06 20:57:33 - Blog ESEC Lab - Scanning a PDF to check whether it is malicious or not is not that easyWe have previously seen surprising results new tests will comelater Today, we would like to focus on analyzing a PDF, based on 2scripts we added in latest origamihttp://www.secuobs.com/revue/news/117266.shtmlhttp://www.secuobs.com/revue/news/117266.shtml Secuobs.com : 2009-07-03 19:48:16 - Blog ESEC Lab - Few weeks ago, preceding the 2009 SSTIC conference, the wonderfulStéphane Duverger proposed the SSTIC 2009 Challenge It has been oneof the most intersting reverse challenge I've seen these last monthsand I will take advantage of it to describe few use cases of Metasm Istrongly encourage you to check the reference solution proposed byRaphael Rigo and Simon Marechal cause I will not detail how thechallenge works, but rather how we have used Metasm to solve it Thiswill be a good opportunity to introduce simple usages of its nicefunctionalities backtracking, code binding, symbolismhttp://www.secuobs.com/revue/news/116781.shtmlhttp://www.secuobs.com/revue/news/116781.shtml Secuobs.com : 2009-06-26 14:20:42 - Blog ESEC Lab - There are several way to trigger events when a PDF is viewed: pushing abutton, resizing the document, closing it, reaching a page, when mousepass on a zone, when an annotation is displayed/hidden, but themost interesting from an offensive point of view is when the documentis open Here, we introduce several ways to trigger a JavaScript - butit could be any kind of action - when the PDF is opened A newsample is available in origami with all this code seesources/samples/open/openrbhttp://www.secuobs.com/revue/news/114042.shtmlhttp://www.secuobs.com/revue/news/114042.shtml Secuobs.com : 2009-06-19 20:47:21 - Blog ESEC Lab - PDF file format is now very common It is regarded as secure because mostpeople believe it is static It is not In order to prove it, we havedeveloped a Ruby framework, origami designed to play with PDF fileshttp://www.secuobs.com/revue/news/111644.shtmlhttp://www.secuobs.com/revue/news/111644.shtml Secuobs.com : 2009-06-19 20:47:21 - Blog ESEC Lab - As we explained in the previous article, streams are a really importantkind of object in PDF Any data is represented as a stream However,keeping raw data in a file can be inefficient think about encoding orsize issues for instance So, this article shows how to create /manipulate streams and filters with origami In the end, you shouldunderstand why it is easy to conceal JavaScript in a PDF filehttp://www.secuobs.com/revue/news/111643.shtmlhttp://www.secuobs.com/revue/news/111643.shtml Secuobs.com : 2009-06-19 20:47:21 - Blog ESEC Lab - While writing the previous article, I decided to run a simple test: hidea well-known virus in a PDF file, and let's see what happens Resultsare beyond expectationhttp://www.secuobs.com/revue/news/111642.shtmlhttp://www.secuobs.com/revue/news/111642.shtml Secuobs.com : 2009-06-12 21:46:12 - Blog ESEC Lab - Résumé des conférences de la 1ère journée du SSTIC 2009http://www.secuobs.com/revue/news/109162.shtmlhttp://www.secuobs.com/revue/news/109162.shtml Secuobs.com : 2009-06-12 21:46:12 - Blog ESEC Lab - Résumé des conférences de la 2nd journée du SSTIC 2009http://www.secuobs.com/revue/news/109161.shtmlhttp://www.secuobs.com/revue/news/109161.shtml Secuobs.com : 2009-06-12 21:46:12 - Blog ESEC Lab - Résumé des conférences de la 3ème journée du SSTIC 2009http://www.secuobs.com/revue/news/109160.shtmlhttp://www.secuobs.com/revue/news/109160.shtml Secuobs.com : 2009-05-20 19:17:28 - Blog ESEC Lab - Last week Julien and I were in Berlin to attend to the 18th EICARconference Julien gave a talk on the analysis of a botnet Based on atechnical analysis of the infector and the pieces it drops, he, Damienand Christophe were able to get a discerning picture of the botnetarchitecture, and tohttp://www.secuobs.com/revue/news/99509.shtmlhttp://www.secuobs.com/revue/news/99509.shtml Secuobs.com : 2009-05-08 02:56:57 - Blog ESEC Lab - This article will explore a bit of the framework internals to show howdecoding executable files and instructions is handledhttp://www.secuobs.com/revue/news/93325.shtmlhttp://www.secuobs.com/revue/news/93325.shtml Secuobs.com : 2009-04-28 21:08:34 - Blog ESEC Lab - This post will show the basic usage of the metasm framework as adisassembler, by following step by step the disassemblerb samplescripthttp://www.secuobs.com/revue/news/89363.shtmlhttp://www.secuobs.com/revue/news/89363.shtml Secuobs.com : 2009-03-31 17:33:24 - Blog ESEC Lab - Mardi 17 mars avait lieu à Paris la journée sécurité organisée parl'OSSIR, l'Observatoire de la Sécurité des Systèmes d'Information etdes Réseaux Julien et moi-même étions présents afin de présenter nostravaux sur les rootkits navigateurs Voici un résumé de la journéehttp://www.secuobs.com/revue/news/77403.shtmlhttp://www.secuobs.com/revue/news/77403.shtml Secuobs.com : 2009-03-28 17:56:02 - Blog ESEC Lab - La Gendarmerie Nationale organisait le 24 mars 2009 à Lille le 3e ForumInternational sur la Cybercriminalité L'évènement a rassemblé près de1500 participants et a été l'occasion pour Michèle Alliot-Marie,ministre de l'Intérieur, de l'Outre-mer et des Collectivitésterritoriales, d'annoncer de nouveaux moyens pour les investigationsnumériques L'ESEC a tenu un stand lors du Forum et un de sesconsultants a participé à une table ronde sur la gestion des flottesde téléphones mobiles Voici un compte-rendu de certainesconférenceshttp://www.secuobs.com/revue/news/76331.shtmlhttp://www.secuobs.com/revue/news/76331.shtml Secuobs.com : 2009-03-24 14:26:27 - Blog ESEC Lab - Fred et Guillaume étant partis au pays du soleil levant pour présenterleurs travaux sur les menaces dues au format PDF Malicious origami inPDF, voici leur compte-rendu sur la 1ère journée de cette édition2008 de PacSec Suite à quelques soucis de démos, de stress et tout çale 2ème jour, ils n'ont pas vraiment suivi les autres conférences,préférant se concentrer sur la leurhttp://www.secuobs.com/revue/news/74170.shtmlhttp://www.secuobs.com/revue/news/74170.shtml Secuobs.com : 2009-03-24 14:26:27 - Blog ESEC Lab - Pour faire bref, la CSPN est un test de sécurité formalisé par la DCSSIIl s'agit, en temps contraint 20 jours s'il n'y a pas de crypto, 30s'il y en a, de donner un avis sur la sécurité d'un produit Dans cecontexte, nous avons évalué le logiciel TrueCrypt version 60a Cebillet porte sur la mise à jour 61a, qui corrige certains problèmesrelevés lors de l'évaluation Dans ce billet, vous trouvez le rapportd'évaluation et quelques remarques sur le passage à la version 61ahttp://www.secuobs.com/revue/news/74169.shtmlhttp://www.secuobs.com/revue/news/74169.shtml Secuobs.com : 2009-03-24 14:26:27 - Blog ESEC Lab - Let us summarize: the CSPN Certification de Sécurité de Premier Niveau -First Level Security Certification is a security assessment proposedby the DCSSI, the main organisation in France dealing with thesematters in France The purpose is to get a quick evaluation in a giventime 20 days if there is no crypto, 30 otherwise using real expertskills One of the CSPN we had to perform was on TrueCrypt version60a This article explains what we found in regards to some fixeswhich occur in the new TrueCrypt version 61a You will also findthe evaluation report for both the software and the cryptographyhttp://www.secuobs.com/revue/news/74168.shtmlhttp://www.secuobs.com/revue/news/74168.shtml Secuobs.com : 2009-03-24 14:26:27 - Blog ESEC Lab - L'Institut des Hautes Études de la Défense Nationale organisait à l'ÉcoleMilitaire à Paris une table ronde intitulée "Guerre de l'informationet lutte informatique : état des lieux et enjeux" Animée par diversintervenants civils et militaires, elle a permis d'aborder ces notionssous des aspects techniques mais aussi juridiques, sociologiques ougéopolitiques Voici un petit résumé des différentes interventions http://www.secuobs.com/revue/news/74167.shtmlhttp://www.secuobs.com/revue/news/74167.shtml Secuobs.com : 2009-03-24 14:26:27 - Blog ESEC Lab - Le 26 décembre 2008, un patch concernant le protocole SCTP a été publiépar les développeurs du noyau, sans mentionner l'impact sur lasécurité Nous détaillerons dans ce billet les bases du protocoleSCTP, avant d'analyser la vulnérabilité pour déterminer sesconséquenceshttp://www.secuobs.com/revue/news/74166.shtmlhttp://www.secuobs.com/revue/news/74166.shtml Secuobs.com : 2009-03-24 14:26:27 - Blog ESEC Lab - La newsletter mensuelle de l’agence ESEC est parue, en français et enanglais Au menu de ce mois-ci, un agenda des prochains évènements dumonde de la sécurité et un petit retour sur l’actualité du moisdernier, suivi de deux articles : une présentation du patch grsecuritydestiné au noyau Linux et un zoom sur la sécurisation des terminauxmobiles partie 2/2http://www.secuobs.com/revue/news/74165.shtmlhttp://www.secuobs.com/revue/news/74165.shtml Secuobs.com : 2009-03-24 14:26:27 - Blog ESEC Lab - The monthly newsletter from ESEC has been published, in French andEnglish This month features a calendar of the next events in thesecurity world and a little review of last month's news, followed bytwo articles: a presentation of the grsecurity patch designed for theLinux kernel, and a closer look at securing handheld devices part2/2http://www.secuobs.com/revue/news/74164.shtmlhttp://www.secuobs.com/revue/news/74164.shtml Secuobs.com : 2009-03-24 14:26:27 - Blog ESEC Lab - L'ESEC organise un séminaire sur le thème de la Lutte InformatiqueOffensive le 3 Février 2009 La journée se découpe en deux parties :les interventions de la matinée traiteront des attaques de masses, lesinterventions de l'après-midi traiteront des attaques cibléesL'inscription est obligatoirehttp://www.secuobs.com/revue/news/74163.shtmlhttp://www.secuobs.com/revue/news/74163.shtml Secuobs.com : 2009-03-24 14:26:27 - Blog ESEC Lab - Juste pour signaler la mise à disposition des transparents du séminairedu 3 février dernier : Les hébergeurs bullet-proof - A Gazet et GCampana - PDF Analyse d'un botnet venu du froid - D Aumaître, CDevaux et J Lenoir PDF Contourner les produits de sécurité - JBBedrune et Y Guillot PDF Les PDFs malicieux - G Delugré et FRaynal PDF Les rootkits navigateurs - C Devaux et J Lenoir PDFhttp://www.secuobs.com/revue/news/74162.shtmlhttp://www.secuobs.com/revue/news/74162.shtml Secuobs.com : 2009-03-24 14:26:27 - Blog ESEC Lab - Le laboratoire de Recherche et Développement de l'ESEC organisait le 3février 2009 un séminaire sur la Lutte Informatique Offensive Aprèsune introduction de David Bizeul sur les incidents de sécurité et decybercriminalité dans le monde bancaire, les intervenants de l'ESECont traité des attaques de masse puis des attaques ciblées Voici unrésumé des différentes conférences http://www.secuobs.com/revue/news/74161.shtmlhttp://www.secuobs.com/revue/news/74161.shtml