Commentaires pour WEBlog de Félix Aimé http://blog.felix-aime.fr { OpenSource Intelligence, Information Security, Information Warfare } Tue, 08 Nov 2011 08:33:41 +0100 http://wordpress.org/?v=2.8.5 hourly 1 Commentaires sur Bercy victime d’un piratage informatique : Retour technique et tactique. par Cyberarmes : définition et usage | Intelligence Stratégique http://blog.felix-aime.fr/cyberwarfare/bercy-victime-dun-piratage-informatique-retour-technique-et-tactique/comment-page-1/#comment-711 Cyberarmes : définition et usage | Intelligence Stratégique Tue, 08 Nov 2011 08:33:41 +0000 http://blog.felix-aime.fr/?p=1184#comment-711 [...] stratégiques pour faire du simple espionnage informatique, ou « APT » (voir cet article pour comprendre ce que c’est [LIEN]). Non, non, une cyberarme est plus complexe et offre comme fonctionnalité principale la [...] [...] stratégiques pour faire du simple espionnage informatique, ou « APT » (voir cet article pour comprendre ce que c’est [LIEN]). Non, non, une cyberarme est plus complexe et offre comme fonctionnalité principale la [...]

]]> Commentaires sur Le monde a perdu un génie. par Mohamed http://blog.felix-aime.fr/non-classe/le-monde-a-perdu-un-genie/comment-page-1/#comment-701 Mohamed Sun, 16 Oct 2011 20:39:28 +0000 http://blog.felix-aime.fr/?p=1690#comment-701 Merci Felix! Il manquait un article sur la mort de D.Ritchie. C'est quand même, je pense, un des père de l'informatique moderne avec la création du langage C , comme tu l'a dit, mais aussi un des fondateurs d'Unix, l'ancêtre des systèmes d'exploitation modernes (en autres, tous les Unix-like comme BSD ou Linux). En tout cas ça fait plaisir de voir quelqu'un qui écrit une news sur lui en france. Merci Felix!

Il manquait un article sur la mort de D.Ritchie.

C’est quand même, je pense, un des père de l’informatique moderne avec la création du langage C , comme tu l’a dit, mais aussi un des fondateurs d’Unix, l’ancêtre des systèmes d’exploitation modernes (en autres, tous les Unix-like comme BSD ou Linux).

En tout cas ça fait plaisir de voir quelqu’un qui écrit une news sur lui en france.

]]> Commentaires sur CDAISI – S02E03 : Suite et « faim ». par Arthur Raimbaud http://blog.felix-aime.fr/non-classe/cdaisi-%e2%80%93-s02e03-suite-et-faim/comment-page-1/#comment-687 Arthur Raimbaud Tue, 21 Jun 2011 08:29:14 +0000 http://blog.felix-aime.fr/?p=1441#comment-687 Salut, je trouve ton commentaire, comme souvent, très pertinent... Je pense comme toi pour les "sys internals" mais il faudra dans ce cas aussi ajouter pas mal de notions de C ;) PS: je voudrais juste souligner qu'on dis "laps" et pas "labs" de temps ^^ Salut, je trouve ton commentaire, comme souvent, très pertinent… Je pense comme toi pour les « sys internals » mais il faudra dans ce cas aussi ajouter pas mal de notions de C ;)

PS: je voudrais juste souligner qu’on dis « laps » et pas « labs » de temps ^^

]]> Commentaires sur Captcha-me if you can ! par Félix http://blog.felix-aime.fr/securite-des-systemes-dinformation/captcha-me-if-you-can/comment-page-1/#comment-685 Félix Sun, 19 Jun 2011 10:53:09 +0000 http://blog.felix-aime.fr/?p=1493#comment-685 Perso, je n'ai pratiquement jamais fait de cassage par OCR. Les seuls trucs que j'ai fait en python utilisaient pytesser pour l'OCR et PIL pour le calibrage de l'image avant la reconnaissance des caractères (conversion NB, inversion de couleurs, suppression de couleurs, augmentation du contraste etc.). Ca donnait (pour faire simple) un truc comme cela - fait à l'arrache : from pytesser import * import ImageFilter import ImageEnhance import PIL.ImageOps image = Image.open('imageacasser.jpg').convert("L") image = image.filter(ImageFilter.DETAIL) amelioration = ImageEnhance.Contrast(image) out = amelioration.enhance(4) out = out.resize((1000, 1000)) out.save("lol.jpg", "JPEG") print image_to_string(out) Mais bon, dans le cadre d'une publicité comme présentée dans l'article, nous ne savons pas de quelle couleur va être écrite le texte, quelle luminosité il y aura sur l'image ou autre, donc ce sera vachement plus dur. Il faudra que le script s'autoadapte en fonction de l'image carchée afin de savoir quelles manipulations pre-OCR réaliser. Perso, je n’ai pratiquement jamais fait de cassage par OCR. Les seuls trucs que j’ai fait en python utilisaient pytesser pour l’OCR et PIL pour le calibrage de l’image avant la reconnaissance des caractères (conversion NB, inversion de couleurs, suppression de couleurs, augmentation du contraste etc.). Ca donnait (pour faire simple) un truc comme cela – fait à l’arrache :

from pytesser import *
import ImageFilter
import ImageEnhance
import PIL.ImageOps

image = Image.open(’imageacasser.jpg’).convert( »L »)
image = image.filter(ImageFilter.DETAIL)
amelioration = ImageEnhance.Contrast(image)
out = amelioration.enhance(4)
out = out.resize((1000, 1000))
out.save( »lol.jpg », « JPEG »)
print image_to_string(out)

Mais bon, dans le cadre d’une publicité comme présentée dans l’article, nous ne savons pas de quelle couleur va être écrite le texte, quelle luminosité il y aura sur l’image ou autre, donc ce sera vachement plus dur. Il faudra que le script s’autoadapte en fonction de l’image carchée afin de savoir quelles manipulations pre-OCR réaliser.

]]> Commentaires sur Captcha-me if you can ! par Zizounnette http://blog.felix-aime.fr/securite-des-systemes-dinformation/captcha-me-if-you-can/comment-page-1/#comment-684 Zizounnette Sun, 19 Jun 2011 10:37:11 +0000 http://blog.felix-aime.fr/?p=1493#comment-684 Intéressant. Aurait tu plus d'infos sur le "captcha breaking" ? Notamment sur la partie OCR :) Intéressant.
Aurait tu plus d’infos sur le « captcha breaking » ? Notamment sur la partie OCR :)

]]> Commentaires sur Salut les copains, l’école est finie ! par Lpien http://blog.felix-aime.fr/projets-personnels-et-professionnels/salut-les-copains-lecole-est-finie/comment-page-1/#comment-672 Lpien Sat, 21 May 2011 22:34:56 +0000 http://blog.felix-aime.fr/?p=1423#comment-672 Et donc tu vas bosser où? Et donc tu vas bosser où?

]]> Commentaires sur Bercy victime d’un piratage informatique : Retour technique et tactique. par Malwares, virus, vers, chevaux de Troie : historique et tendances actuelles (partie 1) | http://blog.felix-aime.fr/cyberwarfare/bercy-victime-dun-piratage-informatique-retour-technique-et-tactique/comment-page-1/#comment-669 Malwares, virus, vers, chevaux de Troie : historique et tendances actuelles (partie 1) | Fri, 06 May 2011 15:36:48 +0000 http://blog.felix-aime.fr/?p=1184#comment-669 [...] comme les clés USB et des pièces-jointes attachées aux courriers électroniques (voir affaire Bercy, [...] [...] comme les clés USB et des pièces-jointes attachées aux courriers électroniques (voir affaire Bercy, [...]

]]> Commentaires sur D’une CSRF à un RCE, bienvenue chez Wordpress ! *FEAR* par Félix http://blog.felix-aime.fr/developpement-web/dune-csrf-a-un-rce-bienvenue-chez-wordpress-fear/comment-page-1/#comment-665 Félix Sun, 01 May 2011 09:15:21 +0000 http://blog.felix-aime.fr/?p=614#comment-665 Si tu parles du DNS-Rebinding, cette attaque possède ses propres limites car il faut que le site internet soit directement accessible depuis un IP (donc adieu les virtual hosts). On s'en servait - mais je pense que tu le sais - plus dans le cadre d'attaques locales sur les anciennes BOX. Aujourd'hui cette technique est obsolète pour les nouveaux navigateurs qui ont compris le trick et mis quelques protections afin de limiter la casse, sans parler de beaucoup de services DNS du type OpenDNS ou autres. Mais bon, c'est vrai que ce trick pour bypasser SOP était bien tricky comme on dit ! =) Si tu parles du DNS-Rebinding, cette attaque possède ses propres limites car il faut que le site internet soit directement accessible depuis un IP (donc adieu les virtual hosts). On s’en servait – mais je pense que tu le sais – plus dans le cadre d’attaques locales sur les anciennes BOX. Aujourd’hui cette technique est obsolète pour les nouveaux navigateurs qui ont compris le trick et mis quelques protections afin de limiter la casse, sans parler de beaucoup de services DNS du type OpenDNS ou autres.

Mais bon, c’est vrai que ce trick pour bypasser SOP était bien tricky comme on dit ! =)

]]> Commentaires sur D’une CSRF à un RCE, bienvenue chez Wordpress ! *FEAR* par gr http://blog.felix-aime.fr/developpement-web/dune-csrf-a-un-rce-bienvenue-chez-wordpress-fear/comment-page-1/#comment-664 gr Sat, 30 Apr 2011 22:25:17 +0000 http://blog.felix-aime.fr/?p=614#comment-664 Très bon article. Pour passer outre les protections anti-CSRF par token, en dehors des XSS il y a également le contrôle par un attaquant du serveur DNS ayant autorité sur la zone correspondant à l’URL d'une page hostile. Il pourra alors faire correspondre l'ip de la page hostile avec celle de la page cible. Cela permet également d'utiliser des requêtes XMLHttpRequest dirigées sur n'importe quel site(interne ou externe) et de bien-sûr en récupérer les réponses. Très bon article.
Pour passer outre les protections anti-CSRF par token, en dehors des XSS il y a également le contrôle par un attaquant du serveur DNS ayant autorité sur la zone correspondant à l’URL d’une page hostile. Il pourra alors faire correspondre l’ip de la page hostile avec celle de la page cible. Cela permet également d’utiliser des requêtes XMLHttpRequest dirigées sur n’importe quel site(interne ou externe) et de bien-sûr en récupérer les réponses.

]]> Commentaires sur CDAISI – S02E02 par seber http://blog.felix-aime.fr/securite-des-systemes-dinformation/cdaisi-%e2%80%93-s02e02/comment-page-1/#comment-641 seber Mon, 04 Apr 2011 11:17:56 +0000 http://blog.felix-aime.fr/?p=1254#comment-641 Enfin un blog sur la sécurité informatique qui parle vraiment de technique. merci Enfin un blog sur la sécurité informatique qui parle vraiment de technique.

merci

]]>