Cr@zy WS

Un glitch Gulliver sur Battlefield 3

Cr@zy — Thu, 09 Feb 2012 18:33:00 +0100

Catégorie(s) : Gaming

Avec tous les glitchs qui défilent autour de Battlefield 3 on peut dire que celui-ci est la cerise sur le gâteau. Ce glitch montre comment un joueur arrive à prendre une taille démesurée aux yeux des autres joueurs. Voyez plutôt c'est "énorme" :

-----
Copyright © Cr@zy WS
-----
» Partager via Delicious
» Partager via Digg
» Partager via Facebook
» Partager via Netvibes
» Partager via Twitter

Tests de sécurité avancés avec IronWASP

Cr@zy — Thu, 09 Feb 2012 17:36:00 +0100

Catégorie(s) : Sécurité, Dev

IronWASP est un système open source permettant d'effectuer des tests de sécurité assez poussés pour détecter de possibles failles de sécurité dans une application web.

Ce logiciel a été conçu pour être modelé et personnalisé dans la mesure où les utilisateurs peuvent créer leurs propres scanners/règles de sécurité. Pour les débutants pas de panique, vous n'êtes pas obligé d'être un développeur chevronné en Python/Ruby pour utiliser la totalité de la plateforme car la plupart des outils sont assez simples à utiliser.

Au niveau des bibliothèques, IronWASP en utilise des bonnes et en plus open source :

FiddleCore

IronPython

IronRuby

Jint

System.Data.SQLite

Html Agility Pack

ICSharpCode.TextEditor

Json.NET

Diffplex

jsbeautifylib

Diff.cs

Ce qu'il y a de vraiment pas mal avec cette application c'est qu'elle permet la création de plugins développés soit en Python soit en Ruby. Comme vous pouvez le voir, la version de Python et Ruby utilisée dans IronWASP est IronPython et IronRuby qui sont respectivement similaires à CPython et CRuby.

Il y a déjà des plugins sympas comme DOMXSS.py (plugin passif qui vérifie le code Javascript dans une réponse HTTP) et SessionAnalysis.py (plugin passif qui va analyser les sessions pour détecter de possibles vulnérabilités). Vous pouvez les retrouver dans le repos des plugins Ruby et le repos des plugins Python.

Comme documentation vous avez sur le site officiel une présentation de l'application et quelques vidéos en guise de tutoriel.

IronWASP est une application taillée pour Windows et requiert au minimum .NET 2.0

-----
Copyright © Cr@zy WS
-----
» Partager via Delicious
» Partager via Digg
» Partager via Facebook
» Partager via Netvibes
» Partager via Twitter

Un flux complet sur Google Reader

Cr@zy — Wed, 08 Feb 2012 17:52:00 +0100

Catégorie(s) : Google

Lorsque vous naviguez dans votre liste de flux préférés sur Google Reader, vous tombez parfois sur des flux coupés vous obligeant ainsi à aller directement sur le site?

Et bien avec l'extension Chrome Super Full Feeds for Google Reader vous aurez un flux complet et même l'accès au site web directement depuis Google Reader!

Après l'avoir installé, vous avez un nouveau menu qui apparait à côté de Paramètres de flux... et qui s'appelle Super settings.... Vous avez juste à cliquer dessus, choisir Full entry content et c'est fait!

-----
Copyright © Cr@zy WS
-----
» Partager via Delicious
» Partager via Digg
» Partager via Facebook
» Partager via Netvibes
» Partager via Twitter

Cryptage des téléphones par satellite cracké

Cr@zy — Wed, 08 Feb 2012 16:52:00 +0100

Catégorie(s) : Sécurité

Des chercheurs de Ruhr-Universität Bochum en Allemagne (encore eux ^^) ont annoncé avoir réussi à cracker les algorithmes de chiffrement A5-GMR-1 et A5-GMR-2 utilisés dans les téléphones par satellite. Ce genre de téléphone est principalement utilisé dans les zones où la couverture en réseau mobile est insuffisante ainsi que dans le secteur maritime et militaire.

Les chercheurs ont obtenu les algorithmes propriétaires en mettant en place une méthode de reverse engineering lors de la mise à jour du firmware du téléphone. Algorithmes qui sont donc utilisés afin de sécuriser les données transmises. Généralement la sécurité de telles données devraient dépendre de la non-divulgation de clé de cryptage et non pas du secret de la méthode de cryptage.

Le Thuraya SO-2510 est le téléphone qu'ont utilisé les chercheurs pour extraire l'A5-GMR-1.

Toutefois, une analyse a démontré que des vulnérabilités sont présentes dans ces deux algorithmes qui rendent ainsi des attaques possibles, permettant ainsi de décrypter ces données. Par exemple, l'algorithme A5-GMR-1 s'est trouvé être une version légèrement modifiée de A5/2 qui est utilisé dans les GSM et déjà cracké en 2003. Ainsi le scénario d'attaque de 2003 pourrait être reproduit sur la version satellite sans trop d'effort. Sur l'algorithme A5-GMR-2, les chercheurs ont constaté qu'une attaque à texte clair connu était possible.

Toute la reconstruction de ces algorithmes est présente sur leur site.

-----
Copyright © Cr@zy WS
-----
» Partager via Delicious
» Partager via Digg
» Partager via Facebook
» Partager via Netvibes
» Partager via Twitter

Les accents sur un domaine seront possibles dés le 3 mai

Cr@zy — Tue, 07 Feb 2012 17:27:00 +0100

Catégorie(s) : Internet

Voilà la messe est dite! Dans quelques mois vous aurez le droit à votre nom de domaine accentué. L'AFNIC se chargera d'enregistrer ces nouveaux domaines en .fr à partir du 3 mai jusqu'au 3 juillet 2012 pour ceux déjà enregistrés et souhaitant ajouter un peu de typographie à leur domaine actuel. Par exemple megaupload.com pourrait devenir mégaupload.fr (DotCom si tu m'entends ^^)

Ensuite à partir du 3 juillet tout le monde pourra réserver son nom de domaine accentué. Il faudra donc faire gaffe aux typosquatteurs et bien enregistrer le nom de domaine de son site avec tous les accents possibles avant le 3 juillet! Je ne pensais pas que l'AFNIC allait approuver cette mesure et personnellement je la trouve complètement ridicule...

Non seulement on aura du mal à identifier les noms de domaine si on n'est pas très attentif mais en plus cela va engendrer des coups supplémentaires de réservation... Et pour en rajouter une couche les visiteurs d'autres pays ne pouvant saisir des accents sur leur clavier seront drôlement emmerdés...

Sinon autre chose, vous allez me dire que ça existe déjà. Alors oui pour tous les domaines en effet mais encodé. En gros un nom de domaine peut être internationalisé, c'est ce que l'on appelle IDN (Internationalized Domain Name). Cet IDN doit respecter le format ACE (ASCII Compatible Encoding) lorsqu'il est "traduit". Par exemple : www.dömain.com devient www.xn--dmain-jua.com
Pour plus d'infos sur l'IDN, direction Wikipedia.

Bref, j'attends la suite et si vous avez des infos supplémentaires par rapport à l'article cité en source, je suis preneur. Sinon voici la liste des fameux nouveaux caractères :

ß, à, á, â, ã, ä, å, æ, ç, è, é, ê, ë, ì, í, î, ï, ñ, ò, ó, ô, õ, ö, ù, ú, û, ü, ý, ÿ, oe

-----
Copyright © Cr@zy WS
-----
» Partager via Delicious
» Partager via Digg
» Partager via Facebook
» Partager via Netvibes
» Partager via Twitter

Google veut arrêter le contrôle de certificats en ligne

Cr@zy — Tue, 07 Feb 2012 16:51:00 +0100

Catégorie(s) : Google, Sécurité

Google a prévu de bientôt désactiver les contrôles en ligne pour la validité du certificat SSL dans Chrome. C'est selon un article de blog écrit par Adam Langley qui est le développeur en charge de cet élément du navigateur que l'on a appris la nouvelle. Au lieu de cela, le navigateur va utiliser le système de mise à jour pour recevoir des listes de certificats révoqués.

Mieux ou pas ?

En principe oui, car lorsqu'un navigateur établit une connexion, il vérifie si le certificat présenté par le serveur a déjà été bloqué par l'autorité de certification en utilisant l'un de ces deux principes :

Des listes de certificats révoqués (donc non-valide) appelés aussi CRL.

l'Online Certificate Status Protocol (OCSP)

L'OCSP dans son principe est plus direct et interactif mais ce processus utilisé dans Chrome n'est pas tout à fait fiable. Par exemple si une demande OCSP ne fonctionne pas (comme un temps de réponse trop long) alors le navigateur accepte le certificat car sinon il y aurait trop de fausses alarmes.

Dans le même cas, un pirate peut manipuler des connexions SSL pouvant interrompre des demandes OCSP comme le démontre des outils tel que SSLSNIFF.

C'est pourquoi les développeurs de navigateurs tel que Mozilla ont été obligé d'intégrer ces révocations dans leurs navigateurs via des mises à jour.

Maintenant vous connaissez les grandes lignes d'un point de vue sécurité d'OCSP. Du côté des performances, puisque les demandes OCSP prolongent de manière significative le temps de chargement des pages SSL même lors d'opérations normales, il est évident qu'intégrer les révocations au navigateur boostera les temps de réponse :)

C'est pourquoi Google prévoit de tirer le meilleur parti de la situation. A l'avenir, les contrôles en ligne seront supprimés et remplacés par des listes qui seront renouvelées à travers un processus de mise à jour qui ne nécessite bien sûr pas le redémarrage du navigateur rendant ainsi ces mises à jour disponibles immédiatement. Langley a donc demandé aux autorités de certification de lui fournir ces listes de révocation avant une nouvelle version du navigateur.

Vous savez donc maintenant ce que promet la nouvelle mise à jour de Chrome ;)

-----
Copyright © Cr@zy WS
-----
» Partager via Delicious
» Partager via Digg
» Partager via Facebook
» Partager via Netvibes
» Partager via Twitter

La Purple Heart est toujours d'actualité

Cr@zy — Mon, 06 Feb 2012 17:55:00 +0100

Catégorie(s) : Culture

Si je consacre un article aujourd'hui à cette médaille, c'est parce qu'elle a une histoire pas comme les autres et que j'ai envie de vous la faire partager. Tout d'abord, la Purple Heart est une médaille militaire américaine qui est décernée aux soldats blessés ou tués au combat. Celle-ci a été à l'origine instaurée par le général George Washington et n'a plus été utilisée suite à la guerre d'indépendance. Mais à l'occasion du 50ème anniversaire de George Washington, le président Roosevelt réinstaure la Purple Heart par décret en 1932.

Là où la Purple Heart prend toute son ampleur, c'est lorsque celle-ci a été fabriquée à plus de 500 000 exemplaires en prévision du nombre de victimes d'une bataille qui n'a jamais eu lieu : l'opération Downfall.

Cette opération qui devait débuter en octobre 1945 avait pour objectif une invasion du Japon par les forces alliées. Comme vous pouvez le deviner, elle n'a pas eu lieu suite à la capitulation du Japon du fait des bombardements atomiques de Hiroshima et Nagasaki.

Si cette opération avait eu lieu, elle aurait été celle qui aurait rassemblée la plus grande armada jamais réunie avec plus de 42 porte-avions, 24 cuirassés, 400 destroyers et escorteurs et environ 600 000 hommes. Et tout cela pour la première partie de l'opération seulement.

Et aujourd'hui les médailles produites à cette époque sont toujours distribuées aux soldats blessés ou tués et il en resterait au bas mots 120 000 entre les mains de l'armée américaine.

-----
Copyright © Cr@zy WS
-----
» Partager via Delicious
» Partager via Digg
» Partager via Facebook
» Partager via Netvibes
» Partager via Twitter

The Avengers - La bande annonce du Super Bowl XLVI

Cr@zy — Mon, 06 Feb 2012 04:56:00 +0100

Catégorie(s) : Actualité

Marvel sait très bien ce que nous attendons du film The Avengers et ils nous ont concocté un tout nouveau trailer qui a été joué durant la mi-temps de la finale du Super Bowl XLVI. C'est d'ailleurs souvent le moment où les studios Hollywoodiens font la promotion de leurs prochains blockbusters :)

-----
Copyright © Cr@zy WS
-----
» Partager via Delicious
» Partager via Digg
» Partager via Facebook
» Partager via Netvibes
» Partager via Twitter

Super Battlefield 3 ou comment jouer en mode Mario

Cr@zy — Sat, 04 Feb 2012 18:54:00 +0100

Catégorie(s) : Gaming

Une vidéo réalisée par wgbdvs vous montrant comment on peut tuer des ennemis sans leur tirer dessus. Si vous croisez son chemin ne restez pas dans l'eau :D

-----
Copyright © Cr@zy WS
-----
» Partager via Delicious
» Partager via Digg
» Partager via Facebook
» Partager via Netvibes
» Partager via Twitter

Wifi Protector vous protège des attaques wifi sur Android

Cr@zy — Sat, 04 Feb 2012 03:30:00 +0100

Catégorie(s) : Android, Sécurité

Wifi Protector est une application qui vous offrira la détection et la protection contre toutes sortes d'attaques ARP (Adress Resolution Protocol), quelles soient de type Spoofing ou Poisoning sur le réseau wifi de votre smartphone Android. Ce type d'attaque permet de faire du DoS (Denial of Service) ou du MITM (Man-in-the-middle) en général.

Vous recevrez une alerte lorsqu'une tentative d'intrusion aura été détectée. Si vous êtes en mode root vous pourrez bénéficier de l'option contremesures qui vous permettra d'être immuniser contre l'attaque détectée. Sinon l'application pourra désactiver votre WiFi pour contrer cette attaque.

Voici la liste des caractéristiques :

Utilise très peu de ressources.

N'utilise pas de ressources si le WiFi est désactivé.

Consommation de la batterie très faible.

Requiert que très peu de permissions lors de l'installation et de l'utilisation.

Indétectable par le pirate.

Application passive au niveau du réseau et ne génère aucune interférence.
De nombreuses notifications personnalisables.

Joue un son lors de la détection d'une attaque (optionnel).

Vibre suivant un schéma défini (optionnel).

Facile d'utilisation avec son interface en un clique ainsi qu'une vue détaillée pour les plus experts.

L'immunité vous protège sans avoir besoin de désactiver le WiFi (mode root requis).

Peut désactiver le WiFi si votre smartphone n'est pas en mode root.

Enregistrement de toutes les attaques détectées avec des détails sur le réseau et sur le pirate.

Fonctionne sur les réseaux WiFi complexes en LAN comme vWLAN et WDS.

Détecte les réseaux qui font déjà l'objet d'une attaque.

Si vous voulez en savoir plus, le site web officiel de l'application gurkedev.com vous donne plus de détails. Pour 1,49€ sur le market, je vous conseille vivement de l'acheter :)

Ah et ils ont aussi fait une petite vidéo de démonstration :

-----
Copyright © Cr@zy WS
-----
» Partager via Delicious
» Partager via Digg
» Partager via Facebook
» Partager via Netvibes
» Partager via Twitter