Commentaires sur : L’attaque Man-in-the-middle par la pratique ! http://bruno.kerouanton.net/blog/2008/05/07/man-in-the-middle/ bilingual blog about IT security and more Fri, 25 Jul 2008 00:04:24 +0000 http://wordpress.org/?v=2.5.1 Par : Bruno Kerouanton http://bruno.kerouanton.net/blog/2008/05/07/man-in-the-middle/#comment-2060 Bruno Kerouanton Fri, 23 May 2008 12:17:06 +0000 http://bruno.kerouanton.net/blog/?p=192#comment-2060 @iti : Je n'avais pas entendu parler de ces histoires félines, mais je viens de me rendre à l'évidence : C'est totalement infaisable, il ne s'agit même pas de lire les caractères mais de savoir si c'est un chien ou un chat qui est dessiné dessus... ! c'est sur, les robots ne sauront pas faire, même les humains n'y arrivent pas !!! Tiens, le lien <a href="http://www.labnol.org/internet/favorites/cats-inside-rapidshare-captcha-images/3064/" rel="nofollow">ici</a> pour vous en persuader. @iti : Je n’avais pas entendu parler de ces histoires félines, mais je viens de me rendre à l’évidence : C’est totalement infaisable, il ne s’agit même pas de lire les caractères mais de savoir si c’est un chien ou un chat qui est dessiné dessus… ! c’est sur, les robots ne sauront pas faire, même les humains n’y arrivent pas !!!

Tiens, le lien ici pour vous en persuader.

]]> Par : Bruno Kerouanton » Escalade malsaine http://bruno.kerouanton.net/blog/2008/05/07/man-in-the-middle/#comment-2059 Bruno Kerouanton » Escalade malsaine Fri, 23 May 2008 12:12:19 +0000 http://bruno.kerouanton.net/blog/?p=192#comment-2059 [...] comportements humains sur l’ensemble du système, et de manière réaliste (embaucheront-ils des esclaves d’Indonésie ou du Bengladesh [...] [...] comportements humains sur l’ensemble du système, et de manière réaliste (embaucheront-ils des esclaves d’Indonésie ou du Bengladesh [...]

]]> Par : iti http://bruno.kerouanton.net/blog/2008/05/07/man-in-the-middle/#comment-2057 iti Fri, 23 May 2008 11:41:25 +0000 http://bruno.kerouanton.net/blog/?p=192#comment-2057 Juste pour relancer les débats (j'espère...), le site de l'Avert Labs de Mc Aff publie de nombreuses infos techniques sur les Captchas en ce moment. Et puis mes yeux vont mieux (ou alors je m'habitue) mais j'ai amélioré mon score aux Captchas à Ptits Chats.... :D Juste pour relancer les débats (j’espère…), le site de l’Avert Labs de Mc Aff publie de nombreuses infos techniques sur les Captchas en ce moment.

Et puis mes yeux vont mieux (ou alors je m’habitue) mais j’ai amélioré mon score aux Captchas à Ptits Chats…. :D

]]> Par : iti http://bruno.kerouanton.net/blog/2008/05/07/man-in-the-middle/#comment-2027 iti Thu, 08 May 2008 12:10:57 +0000 http://bruno.kerouanton.net/blog/?p=192#comment-2027 @fred: presque qu'une suite de chiffres et lettres..... :o$ la dernière connerie à la mode, celle avec les petits chats cachés derrière les lettres "molles" est pire que tout; tellement modifiées visuellement que les lettres cachant un chat sont illisibles et conduisent rapidement à des erreurs d'identification, même pour le moins déficient visuel d'entre nous..... Y'a quand même des limites à la cyber-connerie, non ? @fred: presque qu’une suite de chiffres et lettres….. :o$
la dernière connerie à la mode, celle avec les petits chats cachés derrière les lettres “molles” est pire que tout; tellement modifiées visuellement que les lettres cachant un chat sont illisibles et conduisent rapidement à des erreurs d’identification, même pour le moins déficient visuel d’entre nous…..
Y’a quand même des limites à la cyber-connerie, non ?

]]> Par : Fred http://bruno.kerouanton.net/blog/2008/05/07/man-in-the-middle/#comment-2026 Fred Wed, 07 May 2008 17:20:52 +0000 http://bruno.kerouanton.net/blog/?p=192#comment-2026 J'avais lu que La Poste utilisait un système de réseau de neurones pour reconnaître les adresses manuscrites sur les lettres. En quoi pour une suite de lettres et de chiffres ça ne marcherait pas ? Même si les caractères sont déformés, donc que le taux de réussite est faible, on doit assez rapidement réussir à résoudre un paquet de captcha. Parce qu'à mon avis une grande majorité des captcha actuels ne sont rien de plus qu'une série de caractères à recopier. Donc si quelqu'un à une explication je suis preneur J’avais lu que La Poste utilisait un système de réseau de neurones pour reconnaître les adresses manuscrites sur les lettres. En quoi pour une suite de lettres et de chiffres ça ne marcherait pas ? Même si les caractères sont déformés, donc que le taux de réussite est faible, on doit assez rapidement réussir à résoudre un paquet de captcha.

Parce qu’à mon avis une grande majorité des captcha actuels ne sont rien de plus qu’une série de caractères à recopier. Donc si quelqu’un à une explication je suis preneur

]]> Par : iti http://bruno.kerouanton.net/blog/2008/05/07/man-in-the-middle/#comment-2024 iti Wed, 07 May 2008 12:24:34 +0000 http://bruno.kerouanton.net/blog/?p=192#comment-2024 Une partie de Captcha cache ? Imaginons un instant que certains groupes mal intentionnés aient besoin, pour alimenter leurs machines à Spam, de passer outre un système de captcha des plus classiques, du style suite de chiffres et de lettres légèrement caviardés, le tout en format image. Autant profiter de la main d’œuvre humaine bénévole pour remplir correctement ces champs, qui alimenteront les automates des réseaux de spam. Bien, mais interrogeons-nous sur comment pousser un humain, ou plutôt une masse importante d’humains, à faire ce travail ? Il suffit d’un lien, éventuellement envoyé par mail ou sur une page Web astucieusement défacée. Le visiteur est incité à participer à un petit jeu en flash (ou autre) qui, pour l’attirer, offre un premier niveau gratuit. Le passage au second niveau est conditionné à la saisie d’un code de Captcha, dont l’image a été capturée sur un site cible, et dont le résultat sera renvoyé au champ de saisie de ce même site cible. Plus le nombre de visiteurs-joueurs sera important et plus le jeu sera addictif, plus le piège fonctionnera. Ce concept est déjà débattu plus haut, et traité sur certains blogs. Merci Marc. Une autre astuce consisterait à faire payer du téléchargement d’images ou de logiciels piratés par un certain nombre de codes de Captcha a saisir, là où certains groupes se faisaient déjà payer en PO (pièces d’or) virtuels, dans un des mondes de WoW (World Of Warcraft). Il y a une place de commercial à pourvoir au RBN ? Une partie de Captcha cache ?

Imaginons un instant que certains groupes mal intentionnés aient besoin, pour alimenter leurs machines à Spam, de passer outre un système de captcha des plus classiques, du style suite de chiffres et de lettres légèrement caviardés, le tout en format image. Autant profiter de la main d’œuvre humaine bénévole pour remplir correctement ces champs, qui alimenteront les automates des réseaux de spam. Bien, mais interrogeons-nous sur comment pousser un humain, ou plutôt une masse importante d’humains, à faire ce travail ?

Il suffit d’un lien, éventuellement envoyé par mail ou sur une page Web astucieusement défacée. Le visiteur est incité à participer à un petit jeu en flash (ou autre) qui, pour l’attirer, offre un premier niveau gratuit. Le passage au second niveau est conditionné à la saisie d’un code de Captcha, dont l’image a été capturée sur un site cible, et dont le résultat sera renvoyé au champ de saisie de ce même site cible. Plus le nombre de visiteurs-joueurs sera important et plus le jeu sera addictif, plus le piège fonctionnera. Ce concept est déjà débattu plus haut, et traité sur certains blogs. Merci Marc.

Une autre astuce consisterait à faire payer du téléchargement d’images ou de logiciels piratés par un certain nombre de codes de Captcha a saisir, là où certains groupes se faisaient déjà payer en PO (pièces d’or) virtuels, dans un des mondes de WoW (World Of Warcraft).

Il y a une place de commercial à pourvoir au RBN ?

]]> Par : Bruno Kerouanton http://bruno.kerouanton.net/blog/2008/05/07/man-in-the-middle/#comment-2023 Bruno Kerouanton Wed, 07 May 2008 11:34:21 +0000 http://bruno.kerouanton.net/blog/?p=192#comment-2023 c'est exact. En fait notre gros handicap est également lié à la fracture économique entre les pays en voie de développement et nos pays... Seuls des pays comme le Bengladesh, l'Indonésie ou d'autres lieux similaires peuvent fournir la main d'oeuvre nécessaire pour ce type de travail indigne. C'est le revers de la mondialisation... Cela me fait penser au dilemne du OLPC, l'ordinateur à 100$ proposé aux habitants des pays en voie de développement, et justement susceptibles par effet indirect d'augmenter encore le nombre de spams et de cochonneries sur le web. c’est exact. En fait notre gros handicap est également lié à la fracture économique entre les pays en voie de développement et nos pays… Seuls des pays comme le Bengladesh, l’Indonésie ou d’autres lieux similaires peuvent fournir la main d’oeuvre nécessaire pour ce type de travail indigne. C’est le revers de la mondialisation…

Cela me fait penser au dilemne du OLPC, l’ordinateur à 100$ proposé aux habitants des pays en voie de développement, et justement susceptibles par effet indirect d’augmenter encore le nombre de spams et de cochonneries sur le web.

]]> Par : Sid http://bruno.kerouanton.net/blog/2008/05/07/man-in-the-middle/#comment-2022 Sid Wed, 07 May 2008 10:59:27 +0000 http://bruno.kerouanton.net/blog/?p=192#comment-2022 De toute manière, quand on voit la cadence à laquelle ces robots essaient de s'enregistrer sur les sites, même un taux de résolution faible (genre 10%) donne des résultats très intéressants en terme de quantité d'accès obtenus. Comme quoi, parfois, la taille compte... De toute manière, quand on voit la cadence à laquelle ces robots essaient de s’enregistrer sur les sites, même un taux de résolution faible (genre 10%) donne des résultats très intéressants en terme de quantité d’accès obtenus.

Comme quoi, parfois, la taille compte…

]]>