Rennes Days 2011



Jack et ses potes jackeront dans les rues de Rennes pour les Rennes Days 2011 qui se tiendront les 8 et 9 Juin au soir.

Ce post nous permet de dénoncer qu'une contre soirée jus de fruits / crevettes est organisée par des coachs RSSI le 9 dans un hôtel loin du réel.
Ne vous faîtes pas berner, c'est un piège, les rois du jacking seront dans les bars.

Cordialement,
Jack.

Kernelland, Userland, DOMland

Bonjour,

une nouvelle fois je reviens vers vous, cher lecteur, car il semblerait que notre monde est en train de changer. Jack et ses potes (h4cker_in_the_d4rK, Youssef le white hat venu du Maroc, hackercroll dit le gardien des secrets, et plein d'autres, dont Mustlive qu'on entend gueuler au fond de la pièce) sont fiers de vous présenter leurs derniers travaux.

DOMLand est dorénavant une réalité, et une marque déjà déposé par Mustlive(tm).

Usage habituel du mot dans une phrase :
"Mon CookieJack a un stub en Ring 7, enfin dans le DOMLand tu vois ?"


Merci et bonne semaine.

le tabnabbing, une vaste supercherie

Le tabnabbing ? Que dis-je! Le tabnapping, oui! Ils ne savent même pas comment nommer leur dernier plagia! Cette nouvelle classe de vulnérabilité n'est qu'une infime sous partie de l'art ancestral et primaire, qu'est, dois je le préciser, LE TABJACKING.

Le tabjacking n'est autre que la maitrise parfaite et complète des tabs du navigateur (aléatoire, NDR). Il n'est pas rare de trouver chez un tabjacker (personne pratiquant le tabjacking, NDR) un firefox contenant plus de 300 tabs.

Il arrive que l'oeil de l'internaute s'égare, pendant que Jacques subtilise subrepticement un innocent tab. Il en résulte des conséquences dramatiquement nouvelles, que nous ne pourrons pas dévoiler ici, étant actuellement toujours à leurs recherches.

PS: I'm in ur tabz, iconjacking it... so, check UR tabZ
PPS: il existe des frameworks underground (en dessous du sous sol, NDR) permettant la signature cryptographique (primenumberjack, NDR) des favicons d'une tab aléatoire. Cette solution est certifiée Crasher Yellow Hat Proof (CYHP, NDR).

SSTIC09

Jacques et ses potes viennent de chairjack des places pour le SSTIC 2009.

Nous nous excusons de ne pas poster plus souvent, nous travaillons beaucoup sur des sujets novateurs en ce moment (à base de *jack).

Le netjacking

Aussi appelé "browser jacking", le netjacking consiste à utiliser des trojans (attention mot-clef!) afin de modifier les paramètres d'un navigateur internet.

Tout ça à des fins lucratives, rediriger la victime sur des pubs ou autres magasins vendant des agrandisseurs d'organes.

On parlera de cyber-criminalite organisée, de botnets (compjacking). C'est trop dangereux qu'on s'étende sur le sujet, les crashers yellow hats pourraient nous entendre et nous mettre dans la liste des whitehats à exterminer (à coup de lifejack evidemment).

A noter que le netjacking est aussi utilisé pour un type d'exploitation encore non publié à ce jour, mettant en œuvre un attaquant au cœur du réseau, modifiant les flux entre une victime et un serveur (certains arriérés de plus de 19ans parleront de MITM, mais évidemment ils sont has been).

"Jvais te netjack à coup d'ipjacking" (hijack d'adresse ip en jouant avec un protocole très peu documenté, l'ARP)

Le memjacking

Un peu plus bas niveau, on verra apparaitre le memjacking.

D'après secuobs :
Le Mem-Jacking est une nouvelle technique de compromission à destination de l'espace d'adressage mémoire des navigateurs Web et cela afin de subtiliser des informations sensibles. Par ce biais, il est également possible de forcer la redirection des utilisateurs vers des sites malicieux.

Le papier original se trouve ici.

Nous nous permettrons de résumer rapidement le memjacking en citant un expert dans le domaine des attaques en mémoire (et donc par définition expert en memjack) :

il s'agit de lancer la commande "memdump | grep -i password".

Il n'empêche que le memjack est rentré dans le langage courant dans certains bas-fonds d'IRC. Il n'est pas rare d'entendre les magiques "Attend je te memjack ton soft si tu veux" ou encore "Quelqu'un me trig la vuln à coup de memjack ?"

Le clipboardjacking

Nous commencons a rentrer dans la cour des grands avec le clipboardjacking...

XMCO, qui est aussi une grande référence en la matière, à la page 28 de son mag (vous noterez les dossiers sur les autres *jack) parle de cette nouvelle menace :
Des pirates ont trouvé le moyen de contrôler le presse-papier de l'utilisateur via la simple visualisation d'une animation Flash malicieuse. Il est alors possible
de forcer le presse-papier à garder la même valeur jusqu'au prochain redémarrage du navigateur...



Et les scénarios d'exploitation sont impressionnants!

En revanche, lʼinattention de certains internautes pourrait provoquer le blocage dʼun compte sur une application. Si un utilisateur colle, à plusieurs reprises, un mot de passe quʼil pense avoir copié dans son presse-papier.

Adobe a rapidement pris des dispositions pour corriger ce problème apparemment, dommage, encore la faute à ces foutus whitehats.

Le jackjacking

Le jackjacking est l'excellence en matière de jacking.

Il regroupe sous toutes ses formes, le jacking grandeur nature.

Lorsqu'un crackjacker ou même un clickjacker atteint le niveau du jackjacking,
il se peut alors qu'il maitrise toutes les formes de jacking.

A l'heure d'aujourd'hui, personne n'est encore capable d'imaginer jusqu'où
amènera le jackjacking, et encore moins qui maitrisera cet art.

Tout ce que nous pouvons vous dire, c'est que cette discipline regroupe tous les domaines du jacking !

Le jackjacker peut alors contrôler tout ce que vous faites via n'importe quelle methode. Méfiez-vous des jacker multi-discipline, ils sont à double-jack.

Lorsqu'un jacker s'apprête à vous dire:
"A bientôt, et merci pour tout le jacking." ou encore
"Je viens de sniffjacker en crackjackant le netjacking."
alors apprêtez-vous à courir.

Le surfjacking

On notera peu après le clickjacking, étape 2 :
Le SURFJACKING

Non ce n'est pas le vol de planche sur plage, c'est extrêmement sérieux, le concept est d'injecter du contenu HTTP lors d'un MITM afin de *jack du cookie (comme un bon expert XSS).

(A noter que le MITM n'est autre qu'une forme de netjack archaïque)

"I'm on your line, surfjacking your gmail session"

Le clickjacking

Dixit zataz, une des grandes références en matière de *jack,

Clickjacking, une faille visant l'ensemble des navigateurs Internet permettrait de cliquer sur n'importe quoi sans l'accord de l'utilisateur du butineur.

Le clickjacking a surement marqué un tournant dans l'histoire du *jack.
Le concept vient de click (le click d'une souris), et jacking (abréviation de hijacking).

Les utilisateurs expérimentés parleront de "clickjack" (notez que le 'ing' a disparu, rendant le terme beaucoup plus classe).

Il est courant d'entendre parler un clickjacker de cette façon (notez l'apparition du 'er' prononcez 'clickjackeur'):
"whitehat de merde, jvais te clickjack".
"Hier j'ai clickjack une cam, ca rox du poney"

Bienvenue

Bienvenue sur le blog officiel recensant toutes les dernières nouvelles à propos de *jack.

Le *jack est un nouveau domaine dans la sécurité informatique, Jacques est là pour vous guider à travers les méandres de cette nouvelle vague de termes.

Les lecteurs sont invites à partager leurs découvertes afin qu'on n'en perde pas une miette.