Hadopi : greffé à un PDF ou automatisé, Seedfuck accélère ses mutations
La loi du Talion (suite)
Alors qu’HADOPI poursuit sa longue hibernation, le projet SeedFuck, un générateur de vraies fausses IP, continue ses développements exponentiels. Deux de ses dernières étapes démontrent une nouvelle fois la forte capacité d’adaptation des réseaux face à des contraintes juridiques simplement futures pour ne pas dire éventuelles.
Seedfuck encapsulé dans un PDF
On sait depuis longtemps que le format PDF peut abriter des lignes d’instructions en son sein, ce qui suscite des craintes en termes de sécurité comme l’ont montré des recherches. Justement : selon nos sources, une version modifiée du code de Seedfuck en circulation a été encapsulée dans un PDF. Ce n’est pour l’heure qu’un PoC – un proof of concept –, mais comme souvent, il ne faut pas attendre bien longtemps pour passer de la théorie à la pratique.
En pratique, justement, dès l’ouverture du PDF piégé, le « torrent poisoning » débutera ses basses œuvres : l’injection de fausses adresses IP sur un tracker P2P. Sans pousser bien loin l’anticipation, on imagine sans mal les effets d’une telle démarche si elle est généralisée sur plusieurs centaines de machines : d’un côté, le brouillard total sur les petits cadrans de TMG, la société chargée de surveiller les réseaux P2P pour le compte des ayants droit de la musique et du cinéma. D’un autre côté, des réseaux pourris par ces leurres... Tristes ravages de la loi du Talion.
Même si le PoC est à l’état larvaire, il est heureusement déjà bloqué par les solutions de sécurité comme Windows Defender ou Kaspersky Antivirus.
3 ko pour automatiser Seedfuck
Outre ce code encapsulé dans un PDF, d’autres développements grésillent sur le web. Ainsi, un code de 3Ko est également en circulation pour automatiser et généraliser les leurres de SeedFuck. L’une de ces « dégénérescences » peut être installée sur un serveur distant, par exemple à l’étranger. On y définit le nombre d'instances, on choisit le tracker à « empoisonner » et le hash du torrent, et si on le souhaite le nombre d'IP à injecter. Sur ce point, le script peut générer des IP ou être alimenté par une liste d'adresses IP (gérant les masques de sous réseau). Il permettrait de faire tourner 1600 faux peers en 5 minutes. Là encore, on imagine sans trop de mal les importants dégâts de la démarche si des listes d’IP connues, d’entreprises, d’administration, etc. sont ainsi injectées par camions.
Le blog Bluetouff, qui avait tablé sur ces sombres mutations, signale que Seedfuck est récemment « passé en GPL (une version threadée en Python), et plusieurs variantes amusantes se trouvent sur Pastebin ou d’autres pasters. Le plus triste là dedans c’est d’avoir raison : on assiste comme prévu à une course à l’armement, aux frontières de la légalité, de la part des uns et des autres. Tout ça à cause de quelques moines copistes de DVD… »
Seedfuck encapsulé dans un PDF
On sait depuis longtemps que le format PDF peut abriter des lignes d’instructions en son sein, ce qui suscite des craintes en termes de sécurité comme l’ont montré des recherches. Justement : selon nos sources, une version modifiée du code de Seedfuck en circulation a été encapsulée dans un PDF. Ce n’est pour l’heure qu’un PoC – un proof of concept –, mais comme souvent, il ne faut pas attendre bien longtemps pour passer de la théorie à la pratique.
En pratique, justement, dès l’ouverture du PDF piégé, le « torrent poisoning » débutera ses basses œuvres : l’injection de fausses adresses IP sur un tracker P2P. Sans pousser bien loin l’anticipation, on imagine sans mal les effets d’une telle démarche si elle est généralisée sur plusieurs centaines de machines : d’un côté, le brouillard total sur les petits cadrans de TMG, la société chargée de surveiller les réseaux P2P pour le compte des ayants droit de la musique et du cinéma. D’un autre côté, des réseaux pourris par ces leurres... Tristes ravages de la loi du Talion.
Même si le PoC est à l’état larvaire, il est heureusement déjà bloqué par les solutions de sécurité comme Windows Defender ou Kaspersky Antivirus.
3 ko pour automatiser Seedfuck
Outre ce code encapsulé dans un PDF, d’autres développements grésillent sur le web. Ainsi, un code de 3Ko est également en circulation pour automatiser et généraliser les leurres de SeedFuck. L’une de ces « dégénérescences » peut être installée sur un serveur distant, par exemple à l’étranger. On y définit le nombre d'instances, on choisit le tracker à « empoisonner » et le hash du torrent, et si on le souhaite le nombre d'IP à injecter. Sur ce point, le script peut générer des IP ou être alimenté par une liste d'adresses IP (gérant les masques de sous réseau). Il permettrait de faire tourner 1600 faux peers en 5 minutes. Là encore, on imagine sans trop de mal les importants dégâts de la démarche si des listes d’IP connues, d’entreprises, d’administration, etc. sont ainsi injectées par camions.
Le blog Bluetouff, qui avait tablé sur ces sombres mutations, signale que Seedfuck est récemment « passé en GPL (une version threadée en Python), et plusieurs variantes amusantes se trouvent sur Pastebin ou d’autres pasters. Le plus triste là dedans c’est d’avoir raison : on assiste comme prévu à une course à l’armement, aux frontières de la légalité, de la part des uns et des autres. Tout ça à cause de quelques moines copistes de DVD… »
Le 27 avril 2010 à 17:03
(46 125
lectures)
Il y a 106 commentaires
INpactien
INpactien
INpactien
le top serait que suite a cela ca mette le bronx sur des trackers étrangers [...]
-> Ça serait drôle de voir une loi française qui enraye le piratage sur le P2P dans le monde entier.
INpactien
cid_Dileezer_geek
Le mardi 27 avril 2010 à 18:57:25
#54
Inscrit
le lundi 16 mars 09
-
10306
commentaires
-> Ça serait drôle de voir une loi française qui enraye le piratage sur le P2P dans le monde entier.
C'est qui ton fournisseur...
INpactien
INpactien
127.0.0.1
Le mardi 27 avril 2010 à 19:02:23
#56
Inscrit
le mercredi 29 avril 09
-
12252
commentaires
Cela me parait pas possible.
Non, moi non plus. Comme Seedfuck ne fait que faire du poisoning sur un "hash" donné, ils devront imaginer un moyen de connaitre la liste des hash surveillés. Le TOP100 sur une recherche "french rip" devrait suffire
INpactien
Non, moi non plus. Comme Seedfuck ne fait que faire du poisoning sur un "hash" donné, ils devront imaginer un moyen de connaitre la liste des hash surveillés. Le TOP100 sur une recherche "french rip" devrait suffire
Oui combien de centaine ou de millier de hash diffèrent pour la même oeuvre?
pour trois IP valables ! 
Ils vont avoir du boulot chez TMG!
INpactien
Perso, j'ai déjà bloqué les IP de TMG (serveur et IP sondes) dans mon firewall (Comodo).
INpactien
Heureusement que les bidouilleurs veillent sur nous. Ca me rappelle 68 version XXIème siècle.
PS : Les reloux ki ne suppaurtes pah 1 oubli daxant devrè éviT 2 KoriG chak fotes. Ce6 pourix l'embience ait la lizibiliT. Ce6 stigmatize ceus ki galR en orthographe ; toux le monde a le droi de sexprimer com il peuh (or sms bi1 sur)
PS : Les reloux ki ne suppaurtes pah 1 oubli daxant devrè éviT 2 KoriG chak fotes. Ce6 pourix l'embience ait la lizibiliT. Ce6 stigmatize ceus ki galR en orthographe ; toux le monde a le droi de sexprimer com il peuh (or sms bi1 sur)
INpactien
127.0.0.1
Le mardi 27 avril 2010 à 19:14:24
#60
Inscrit
le mercredi 29 avril 09
-
12252
commentaires
Oui combien de centaine ou de millier de hash diffèrent pour la même oeuvre? pour trois IP valables !
pour trois IP valables ! D'ou le principe de prendre le TOP100 (en nombre de seed/peer).
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
![[MàJ] Quand Google cache des poneys dans...](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs -
CPU-Z 1.64 et HWMonitor 1.22 sont de sortie
(0)
Il faut dire qu'il fait soleil aujourd'hui -
Adobe Reader Touch pour Windows 8 peut enfin imprimer
(3)
Une meilleure version que la classique
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable jusqu'au 20 mai -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable jusqu'au 20 mai
