                      NoCooking issue 0x00, article 0x07

-[ Manuel du mauvais SE - ou comment se faire reprer btement en 10 tapes ]-
                           -----[EL8FR & ANTI-IHC]-----

1. Introduction

2. Contexte 

3. Analyse en 10 tapes

4. Conclusion 

------[ 1. Introduction


Tous le monde connait l'histoire de Kevin Mitnick, le roi du SE (Social 
Engineering). Dans une autre mesure, Christophe Rocancourt etait lui aussi 
un "as" du SE en reussissant  escroquer les star d'holywood. 

Beaucoup d'articles et de livres ont t crit sur comment faire du bon SE. 
Mais peu explique comment faire du mauvais SE. Un cas s'tant prsent  
nous dans le cadre d'une conversation bidon sur un chan bidon, un petit
article s'imposait sur le sujet. 


------[ 2. Contexte


Objet 		: Se faire dmasqu bettement

Victime		: remote (irc nickname)

Real Name 	: inconnu 

Contexte 	: lors d'une conversation sur un chan francophonne pronant 
		  la non-disclosure, un inconnu  commenc la discussion. 
		  Prcisons que 13 personnes taient prsentes, seulement deux 
		  taient inconnus.


------[ 3. Analyse en 10 tapes


Point 1 : 
---------

20:26 < remote> salut les fou

Notre victime a dis a  20h26 (GMT+1). J'aurais bien voulu calculer le temps 
entre sa premire phrase et son moment d'apparition, malheureusement je
n'tais pas l  son arrive.

J'ai alors demand sur le chan : 

<kriek[antisec]> kelkun a la difference de temps entre le moment ou remote est 
entr et le moment ou il a dis "salut les fou"
<kriek[antisec]> je trip sur l'article la :)
<remote> moi je l'ai
<remote> ;P
<spacewalker> kicked :(
<remote> 18:26 -!- remote [~remote@modemcable215.30-203-24.mc.videotron.ca] has 
joined
<remote> #no.disclosure
<remote> 14:25 < remote> salut les fou
<remote> c'est 18 heures quoi

REM : kriek[antisec] est mon nickname... les belges aiment bien la bire!

Un difficil calcul nous permet de voir qu'il y a une diffrence de 6 heures
entre sa phrase "salut les fou" appart chez moi et chez lui. Tiens tiens.


Je lui ai demand  un moment (je m'appelais mpil  ce moment): 

<mpil> remote = binf ? :)
<[antisec]fool> tiens mpil
<[antisec]fool> j'y avais pas pense
<[antisec]fool> me je pense pas
...
<remote> mpil: non
<spacewalker> hey mpil
<remote> = un touriste
<mpil> wai wai 
<mpil> on dit ca :)
<spacewalker> t'as l'intention d'aller au truc des sciences avec moi demain ou 
t'as trop de travail ?
<mpil> klog, binf ou nitro j'en connais pas bcp plus des canadiens ;)
<remote> j'suis pas canadien merde

Marrant il n'est pas canadien, sont dns est provient pourtant du canada, et de 
plus sa machine est configur avec une diffrence de 6h par rapport  nous.

Busted ca rime  rien ! 


Point 2 : 
---------

<remote> mais en vrai, [antisec]Kriek je suis Juari Bosnikovich
<remote> mdr ;)
<[antisec]Kriek> je me disais bien aussi
<remote> un vrai dur quoi
<[antisec]Kriek> carrement
<[antisec]Kriek> pas de la blague
<remote> RIP JUari
<remote> c'est a qqn d'ici chapeaux-noirs.org ?

Plusieurs choses ici, il connait ET demande  qui appartient chapeaux-noirs.
Pour info, chapeaux-noirs appartient  une connaissance de nombreuses personnes
sur le chan, on peut dire qu'il n'est pas spcialement un "whitehat". Pour le 
connaittre assez bien, je trouve dj trs bizare qu'on demande en plein milieu
d'une conversation qui n'a rien avoir  qui appartient un tel site.

Quelques lignes plus loin : 

<remote> lists.netsys.com/pipermail/full-disclosure/ 2004-January/016353.html
<remote> c'est lui juari, une elite quoi
<remote> j'ai des logs hyper drole mais j'sais pas quoi en faire
<[antisec]Kriek> ok
<[antisec]Kriek> mais ca a avoir koi avec chapeaunoir ? 
<remote> ca m'a fait pense un peu au rep.. euh 
<remote> attends
<remote> http://www.segfault.net/ouch/
<remote> ;)

D'accord ca fait penser un peu au repository de segfault, mais des repository 
dans le genre il y en  des centaines sur le web ( noter qu'il connait
segfault).

Busted ca rime  rien :)


Point 3 : 
---------


<spacewalker> ttu es qui en fait remote ?
<remote> un touriste
<remote> j'ai fais un /list et j'suis tombe sur ce chan

Je ne sais pas si quelqu'un a dj fait un /lit sur freenode mais il y  
des centaines de channels diffrents. 

quelques lignes plus loin : 
...
<[antisec]Kriek> pis ton coup du /list c pas serieux
<remote> ouais sans dec
<[antisec]Kriek> je sais pas si t'a deja fait un /list sur freenode
<spacewalker> d'ailleur
<remote> j'avais vraiment rien a foutre
<spacewalker> je vois pas ou t'aurais pu trouver ce log irc
<remote> j'ai passer la liste entiere
<remote> sans manquer un chan :)


Voil quelqu'un de vraiment motiv, le chan est  peine cr depuis trois jours
et voil dj qu'il y a quelqu'un dessus. Bizare Bizare. 

quelques lignes plus loin : 

...
<remote> j'ai rien cherche du tout j'ai fais un /list et ai regarde presque
chaque chan

Une fois il les regarde tous sans en manquer un et une fois il les regarde
presque tous. Il ne sait plus ce qu'il dit on dirait! 


Busted ca rime  rien ! 



Point 4 : 
---------


<remote> mais le drole c'est que symantec idefense et zdnet uk m'ont envoye des
email en prive ;)))
<spacewalker> pourquoi ?
<remote> cd whitehats
<remote> forcement ils peuvent pas etre tres malins 
<spacewalker> dans l'histoire tu es qui pour recevoir des mails d'eux ?
<remote> oh putain... :/
<remote> ;)
<spacewalker> ;p

J'avoue que j'ai eu du mal  comprendre un peu ce qu'il voulait dire aussi au 
dbut.
Quelques lignes plus loin, ils nous expliquent qu'il a envoy des mail  Juari
pour lui soutirer des informations sur un certain vers/virus (mydoom)


<remote> Hello Juari
<remote> I am a security researcher with Symantec. Do you by any chance have a
copy
<remote> of the binary that it downloaded, or the Windows exploit? Were you
using
<remote> MyDoom.A, or MyDoom.b>
<remote> I would be happy to share the findings of our research with you as soon
as
<remote> it is available.
<remote> Thanks
<remote> Sean Hittel
<remote> Symantec DeepSight Threat Analyst


Il  dont clairement des dons de SE pour envoyer des mails comme a (remarquez
aussi qu'il a connu Juari sur la ML full-disclosure). A remarquez aussi qu'il
n'est pas canadien, mais que son anglais est parfais.

Il nous a alors past une deuxime lettre qu'il a crite (il  l'art d'tre
fier de ses exploits...).

...
<[antisec]Kriek> ca me rappelle kelkun ki envoyait des mails dans le meme 
genre :)
<remote> ouais j'crois pas avoir invente le concepte
<remote> operation desinformation

Il dit lui mme qu'il n'a pas invent le concept (sous-entendu du SE).

<[antisec]Kriek> <remote> pcq moi j'suis genre.. le script kiddie <-- on y croit
<[antisec]Kriek> c du mauvais SE ca dude :)
<spacewalker> clair
<remote> SE ?

NB : On reviendra sur la premire phrase. 

Bon apparement il connait pas le SE. Il le fait exprs on dirait.


Busted ca rime  rien! 



Point 5 : 
---------


... 
<[antisec]Kriek> djang0 ca fait mille ans ke je l'ai plus vu lui
<remote> au nombre de fois que j'lui paste ca ;)
<remote> eh moi aussi j'me souviens meme plus c'est qui
<spacewalker> remote: bah j'vois pas le pb ;p
<remote> ok cool :P
<remote> j'vous trouves cool les mecs
<remote> pcq moi j'suis genre.. le script kiddie
<remote> vous etes commes des batmans pour moi
<spacewalker> genial
<remote> :D
<spacewalker> on t'engage pour jouer le role de robin
<remote> ca tombes bien


Apparement il se considre lui-mme pour un script-kiddie. 

...
<[antisec]Kriek> <remote> pcq moi j'suis genre.. le script kiddie <-- on y croit
<[antisec]Kriek> c du mauvais SE ca dude :)
<spacewalker> clair
<remote> SE ?
<spacewalker> remote: tu le fais trop bien
<spacewalker> si t'en tais un vrai tu serais deja dehors et tu le sais bien :)
<remote> ba
<remote> par script kiddie j'veux dire je code pas
<remote> je fais que des scripts

Trs bonne la blague des scripts, je ne l'avais jamais entendue celle-l. Il 
essaye de se rattraper mais trs trs mal.


Busted ca rime  rien! 


Point 6 : 
---------


<remote> spacewalker: nice site en passant
<remote> j'ai une quote irc que tu pourrais y mettre
<remote> attends...
<remote> -> Fri Jan 17 13:15:13 EST 2003
           [ gros log irc pris sur #segfault/ircs parlant de spacewalker ]
<remote> xDDD
<[antisec]Kriek> lol
<[antisec]Kriek> c t ya longtemp ca a mon avis :)
<remote> -> Fri Jan 17 13:15:13 EST 2003
<[antisec]Kriek> effectivement :)
<remote> j'crois qui va me detester spacewalker 
<[antisec]Kriek> djang0 ca fait mille ans ke je l'ai plus vu lui
<remote> au nombre de fois que j'lui paste ca ;)
<remote> eh moi aussi j'me souviens meme plus c'est qui

Beaucoup de choses ici : 

- il connait segfault depuis au moins le 17 janvier 2003 (nous sommes le
23/03/2004).
- il connait spacewalker depuis quelques temp apparement puisqu'il lui aurait 
dj pass ca plusieurs fois. Pour lui avoir demand, il n'a pas souvennir que 
"l'intrus" lui ai dj past
- Il connait django mais ne se souvient plus c'est qui. Django est un 
francophone qu'on a plus vu sur les chans depuis longtemps effectivement.


Si on rsume jusque l, c'est un un script-kiddie d'aprs lui, il ne fait que 
des scripts mais il connait space et segfault depuis plus d'un an. 

Busted ca rime  rien!


Point 7 : 
---------


<remote> je fais que des scripts
<spacewalker> mdr
<[antisec]Kriek> lol
<remote> mais la j'commences le super C
<[antisec]Kriek> la tu t'enfonces :)
<remote> ouais
<remote> le vrai pouvoir est la
<[antisec]Kriek> on te prendrais pour un cops ke ce serait pareil
* remote est un batman en devenir
<remote> lol
<remote> j'avais compris tu t'enforces

Tient, il apprend le C. Donc je resume : 

- il connait les script
- il connait segfault depuis plus d'un an

Quelq'un  dj vu une personne trainant sur segfault (ayant donc utilise ssl 
ce qui rappelons-le n'est pas donn  tous les "script-kiddie". Qui n'as pas 
demand la premire fois comment marchais un "stunnel"? ) et qui ne sait pas
coder une ligne de C. 


Busted ca rime  rien!


Point 8 : 
---------


<remote> a$ ls
<remote> C     black  fournisseur.pdf  irclog    pijan.biz    static
<remote> Perl  docs   hkit             phone.no  prompt.bash  win2k.tar.bz2
<spacewalker> trouve une excuse
<remote> $ ls irclog/
<remote> elseone-at-ircs.q
<remote> c'est le seul que j'ai ;)))

Tient ici ils nous montre un ls de sa machine. Remarquez qu'il n'utilise pas 
le bash avec une belle variable PS1 (ou mme un autre shell). Les "haxors" n'ont
t'ils pas l'habitude de mettre leur nick dans leur variable PS1 ou du moins un 
joli hostname ? Bien-sr que si ! Bonne technique pour cacher son vrai nick...

NB : remarquez comme il a les sources de win2000 (comme un vrai haxor...), qu'il
nous montre qu'il connait le script-bash et qu'il  un "home" bien rang pour 
passer pour un parfait amateur. et aussi le repertoire black comme par hasard.


Busted ca rime  rien!


Point 9 : 
---------


Quand on lui dit qu'il est "busted" et qu'il est un flic, une taupe ou un ancien
"amis-ennemis", ils nous rponds :

<remote> je suis d'interpol
<phun> c'est quoi ca ? :p
<remote> merde
<remote> c'est elite 
<remote> bien.. elite genre cia
<remote> ou nasa
<remote> c'est quoi ces pensees
<remote> 16:04 <@phun> mais on est grills par remote l
<remote> 16:04 <@phun> il est d'IHC et de la DST
<remote> tu deconnes ?
<phun> hein ?
<phun> non
<remote> lol
<phun> je suis srieux
<phun> ca se voit pas ?
<remote> c'est quoi ihc
<[antisec]fool> moi je suis d'europol ca tombe bien remote

Rponse classique du mec qui veut tourner ca  la rigolade. Si j'tais vraiment 
un flic et que je me faisait bust, c'est le genre de phrase bateau que je 
lacherais. (sauf que je ne me ferais pas du SE comme lui...donc que je ne me 
ferais pas reper :)


Busted ca rime  rien ! 


Point 10 : 
----------


Pour le point 10, je vais juste montr quelque phrase qu'il  dis en vrac. En
relisant les points prcedants, vous pourrez vous rendre compte qu'il y a
quelque chose qui cloche.

...
<Juari> merde j'ai qu'un 0day et il marche pas super bien
<Juari> ca efface mon home dir a chaque fois que je le lances :/

NB : il a change de nick.

On y croit, je revient toujours avec a mais, le gars il va sur segfault il y a
plus d'un an et il lance un exploit binaire qui efface son home... On y croit :)


<[antisec]Kriek> http://www.oulala.net/Portail/IMG/Desinformation.
<remote> ah ca m'interesse 
* [antisec]Kriek ki en peut plus avec son pdf sur la desinfo :)
<remote> oulala ca ma fait pense a ouf
<remote> le pdf c'est en fr ?
<[antisec]Kriek> wep
<remote> k
<[antisec]Kriek> toute facon t canadiens non :)
<remote> nah c'est que j'ai pas x et j'veux le classer, si c'est bon j'vais 
tente de le mettre en valeur dans mon projet


Il n'y a pas que les "pur et dur" qui n'ont pas X de nos jours ? Un dbutant 
qui n'a pas X c'est rare quand mme de nos jours.

<kriek[antisec]> excuse moi Juari faut que je regarde quelque chose
<Juari> hahaha
>Juari< CTCP VERSION
<kriek[antisec]> eleet
<kriek[antisec]> :)
<Juari> oh ca reponds pas ?

Bizare bizare, il cache sa version... :)

...
<Juari> BitchX-1.0c19+ by panasync - Linux 2.4.25-grsec
<Juari> pour kriek[antisec] 
...

Ici il "essaye" de se racheter en me montrant sa version. Remarquez qu'il a le
dernier kernel et grsec. Marrant pour quelqu'un qui est un script-kiddie, qui 
sait pas coder une ligne de C,...


Busted ca rime  rien!



------[ 4. Conclusion 


Voil l'exemple typique du gars qui fait du mauvais SE. J'aurais pu prendre de 
nombreux autres exemples dans son discour, mais j'espre vous avoir dj 
convaincu avec les 10 points. Est-il un flic, un ancien "ami-ennemi", un "eleet"
qui le fait exprs, un gars qui le fait pas exprs. Difficile  dire. Mais les
incohrences dans son dialogue sont tellement nombreuses qu'il est difficile de 
croire qu'il est "safe". 


Big brother is watching you... 

d1scl0 comment : En gros apprenez a demasquer les gens, ne leur parler jamais de
vos projets de hack ou de vos hacks passe avec des gens sur irc. IRC is unsafe
for all people. On a pris volontier un cas flagrant pour noter de nombreuses
incoherences mais il s'agit clairement d'une tentative de SE.
