Category Archives: Security

Tips and studies on security tools and concept.
Astuces et analyse sur les outils de sécurité et les concepts associés

Stop telling me Sigfox is clear payload, for real you’re just lazy ;)

The usual attack on Sigfox network is related to the “security”. Behind this large concept, for real, the only point is related to the use of clear payload over the air. As a consequence some are extending this to the possible replay after 2048 frames so regarding a standard use of Sigfox is will be about 6 month later…

That said, for real, all of this is just ignorance from these pseudo “security” experts and developer laziness. Don’t beat me for saying that, I’m part of the lazy developer, the only difference is I’m not complaining and I’m aware the solution is in my own hands.

Because, for real, the payload encryption exists as documented in the post I’ve published on May 2017 and detailed on the Feb 2017 technical security paper published by Sigfox or like in this document.

So saying the Sigfox is not proposing payload encryption is wrong and this option is also fixing any 6 months later message replay. It’s like saying WiFi is  not secured because you can create an open-network.

So now, let’s see why encryption is not the default option, why a network encryption standard is not the best option and then see how to stop to be a lazy developer and make encryption working.

Continue reading
Posted in Security, Sigfox | Tagged , , | 2 Comments

ncrack – multi protocol password brute force attack by nmap

Ncrack is a new brute force tool made by nmap, it’s actually a alpha version but the product is really interesting to verify your password policies compliance and security. It support ftp, telnet, ssh, rdp … protocols.

Easy to use in command line, I only tested it with rdp, unfortunately with no success even knowing the password to be found. I assume it’s just an alpha bug. In my point of view the multi protocol implementation makes it an interesting tool for audit automation.

 

Posted in Security | Tagged , , | Leave a comment

Faille WPS – nouvel outil : Reaver

Un nouvel outil permettant l’attaque de résaux wifi protégés par WPS est sorti. Son petit nom est reaver. Il permet de tester différentes clefs sous la forme d’une attaque de type brute force. La methode employé permet de résoudre cette attaque en un maximum de 11.000 tests, ce qui est très peu.

Continue reading

Posted in Networks, Security | Tagged , , | Leave a comment

Installation de NeXpose et problème de langue

Quelques soucis pour installer NeXpose sous Windows et Linux… Le principal problème est que l’installeur ne fonctionne que si la langue du système est anglaise, du coup avant de lancer l’install sous Linux, tapez la commande suivante: export LANG=en_us.UTF-8
Ensuite sous Linux il faut absolument appeler la commande d’install avec ./NeXposeSetup-Linux64.bin et non sh ./NexposeSetup… Donc préalablement il faudra faire un chmod a+x ./NeXposeSetup-Linux64.bin
Enfin, pour ma part j’ai du préciser le chemin pour la jvm : ./NeXposeSetup-Linux64.bin -is:tempdir /home/xxxxx -is:javahome /usr/lib64/jvm/jre/

Bon courage !

Ref de l’erreur initiale:
This application requires a Java Run Time Environment (JRE)to run. Searching for one on your computer was not successful. Please use the command line switch -is:javahome to specify a valid JRE. For more help use the option is:help

Posted in Security | Leave a comment

Webmaster anonyme ; est-ce possible ?

Après m’être posé la question de comment créer un site web de façon anonyme sur Internet, je vous livre une petite procédure qui attend vos objections avec impatience… Attention, ceci n’est pas forcement très légal, au moins selon l’usage que vous en faites, et je ne vous recommande pas son usage si ce n’est dans le but pédagogique…

  • Tout d’abord je propose d’acheter une clef usb wifi en liquide pour éliminer les trace liées à l’adresse MAC plus tard. (il y a d’autres solutions, mais celle-ci est sûre)
  • D’installer ensuite une distribution Linux dans une VM pour s’assurer que toutes les trace OS seront vierges
  • Se connecter ensuite depuis un mac-do où l’on a obtenu une clef wep apres paiement de son burger en liquide
  • On ne se connectera au reseau wifi qu’en utilisant la clef wifi associée à la VM
  • L’etape suivante est de se créer un compte email (hotmail, gmail…)
  • Puis un compte paypal associé à cet email
  • Il faut ensuite un compte ebay sur lequel on vendra des produits divers, en exigeant un paiement paypal qui viendra remplir le compte paypal precedemment crée; les objets doivent être envoyés sans traces ; s’ils passent dans une enveloppe c’est mieux pour ne pas laisser de trace chez collisimo
  • En possession d’une identité vituelle et d’un peu d’argent, il est assez simple de trouver un vendeur de noms de domaine et d’hébergement qui accepte le paiement par paypal
  • A ce moment, il me semble que paypal demandera un numéro de carte bleu, là arrive l’opération la plus délicate et franchement illégale (donc à ne pas faire) qui consiste à rentrer le numéro de CB d’autrui. Le compte ne sera pas débité si le montant présent sur le paypal est suffisant ; il n’y aura donc pas de trace
  • Reste à installer le site …

La méthode est simple, je ne vous donne pas toutes les clefs, ceci est une démonstration de principe, c’est tout. Le principal problème est le nombre de burgers à ingérer pour supporter tout le processus.

Posted in Security | Leave a comment

Locker son ecran sur Mac Os X (tiger)

Il me semble étrange de constater combien il est compliqué de locker son écran sous Mac OS X quand cette fonctionnalité est la première de toute démarche de sureté. Bref… heureusement une solution existe. Plusieurs d’ailleurs, référencées dans le lien ci-joint.
La méthode qui me semble la plus pratique consiste à lancer le “Trousseau d’accès” depuis “Applications/Utilitaires” puis de choisir les préférences, et dans l’onglet “général”, cocher la case “Afficher l’état dans la barre des menus”. Vous aurez alors, dans la barre des menu, en haut de l’écran un petit cadenas permettant de locker l’écran en deux clicks.

Posted in Security | Leave a comment