Aller au contenu
Fini la pub... bienvenue à la cagnotte ! ×
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991

Messages recommandés

Tiens, personne n'a parlé de la dernière fournée de TheIntercept ?

Cette semaine, ils zooment sur un acteur majeur du renseignement, mais très discret :
Palantir, une licorne / start-up du renseignement qui fournit des outils très pointus de big data (datamining / croisement de données), optimisés pour la surveillance / renseignement, à la NSA (et à d'autres, dont la DGSI).

Rien de très choquant dans l'article, mais il montre des documents concrets (des manuels utilisateurs, démonstrations faites aux Five Eyes) et montre les synergies avec d'autres outils de la NSA (dont Xkeyscore)

Article original:

https://theintercept.com/2017/02/22/how-peter-thiels-palantir-helped-the-nsa-spy-on-the-whole-world/

Résumé en français

https://www.nextinpact.com/news/103432-palantir-entreprise-privee-qui-aide-services-renseignement.htm

Annonce du contrat Palentir - DGSI sur l'exploitation des données de surveillance

http://www.parismatch.com/Actu/International/La-CIA-appelee-au-secours-par-l-antiterrorisme-francais-1138268

Pour la petite histoire, un des fondateurs de la société est Peter Thiels, le (seul) soutien fidèle de Trump dans le monde très démocrate de la Silicon Valley.
Mais quel que soit le président élu, visiblement ces outils font un tabac.
 

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Petite brève rapide:

Wikileaks a tenté de faire le buzz à propos d'une grande révélation dénommée Vault 7, qui a été dévoilée aujourd'hui.

Qu'est-ce que c'est ?
C'est censé être une grosse archive de milliers de documents et outils de hacking, qui aurait "fuité" des divisions techniques de la CIA (Directorate for Digital Innovation , à prendre avec de grosses pincettes).
Ces outils de hacking sont très variés, et semblent empiéter le domaine de la NSA (TV connectées, GPS, voitures reprogrammées pour espionnage).


Je transmet le lien au forum en avance, car l'analyse détaillée prendra aubasmot :biggrin: des semaines. (EDIT: et je suis curieux de voir ce qu'en pensent les autres cyber-analystes du forum :biggrin:)
Je conseille un peu de prudence en consultant les liens (avec un navigateur sur une machine sacrifiable, genre tablette sans mot de passe , c'est plus sûr :tongue:)
(mais de toute façon, je parie que les forumeurs sont déjà tous fichés :chirolp_iei:)

Mon opinion à chaud:

  • La "fuite" est assez intéressante pour passer le temps de les analyser (pour une fois :dry:).
  • Etonnamment pour eux, ils se sont retenus de donner en accès libre les noms des sources, les binaires des exploits 0-day, etc.
    Un bon point pour eux.

    Attention, même s'ils ont l'habitude de fournir des documents authentiques, l'interprétation de la signification de ces documents reste ouverte (et Wikileaks n'a pas un bon historique de précision en la matière).

  • Ma première réaction serait que ces types d'outil d'espionnage sont légitimes pour un service secret :
    ça semble plutôt orienté espionnage approfondi de cible ponctuelle.
    Tant que la CIA n'a pas les datacenters de la NSA, on ne peut les employer en masse (pas plus de 10-100 000 cibles à la fois, ce qui couvre les cibles légitimes de surveillance)...
    EDIT: Mais si on  combine les deux (ou qu'ils utilisent les infrastructures d'un gros cloud), là c'est plus dangereux
     
  • 2 bémols : à confirmer
    • Dixit wikileaks, cette fuite traînait "dehors" depuis un certain temps. (j'en doute fortement... sauf si ça vient de l'archiveur de la NSA)
      Si la fuite incluait un dump des malware eux-mêmes, là, on est dans la m****.
      Les mafias des malware vont s'en prendre à coeur joie...
    • ces outils seraient non classifiés.
      J'ai du mal à le croire.
      A confirmer donc
      EDIT : c'est faux : il y a au moins documents classifiés Top Secret, et plusieurs Secret.

Bonne lecture, et sortez couverts :biggrin:


 

 

Modifié par rogue0
Lien vers le commentaire
Partager sur d’autres sites

Après quelques heures de lecture:

Les documents semblent légitimes et dater autour de ~2013-2016~

Pour les connaisseurs, voici une liste de vulnérabilités 0-day pour passer outre des anti-virus répandus (Bitdefender, Comodo, Avira, AVG, F-Secure)
(habituellement, je n'aurais pas publié les détails, mais toute l'archive est publique maintenant ...)

https://wikileaks.org/ciav7p1/cms/page_7995642.html
 

Schneier reprend et confirme les premiers détails:
https://www.schneier.com/blog/archives/2017/03/wikileaks_relea.html

Un avis contradictoire sur les sources probables des fuites (avec rappel des "distorsions" connues passées de Wikileaks (pour protéger les sources ? ou faire plus de sensationnel ?)).

https://www.lawfareblog.com/cias-no-good-very-bad-totally-awful-tuesday

EDIT:
L'histoire ressemble un peu aux Shadow Brokers (avec un dump très large des outils d'attaque de la NSA), avec une couverture plus respectable (sans bitcoin, sans vente aux enchères, en passant par un "idiot utile" superficiellement crédible).

ça ferait 2 fuites massives dans 2 organisations distinctes (d'outils Top Secret).
ça commence à faire beaucoup comme coïncidence.
Et ces fuites vont avoir aussi en commun comme conséquence de ridiculiser les services secrets US et de réduire leur efficacité ..(failles patchées)

Cette fois aussi, la/les sources des fuites aurait pu gagner des (dizaines de) millions de $ avec toutes ces failles 0 day , et a choisi de les sacrifier.

Soit que la CIA a aussi un archiviste / lanceur d'alerte avec une (énorme) conscience ...
Soit des tierces parties ont filé les données.
Je vous laisse constituer la (très courte) liste des suspects

Modifié par rogue0
rajout des Shadow Brokers
  • Upvote (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, zx a dit :

L'article n'est pas trop mal pour un journal grand public.

D'autres ont été beaucoup plus alarmistes / sensationalistes (copie déformée du communiqué de presse de wikileaks...)

Pour clarifier ce que je disais plus haut, en l'état actuel des investigations, les outils révélés ne semblent pas orientés vers un espionnage de masse (accès physique souvent necessaire) a l'exception possible des failles de smartphone.

Détails ci dessous : 

http://www.numerama.com/tech/238772-comprendre-lespionnage-informatique-vault-7-prism-que-risque-t-on-en-tant-que-citoyen.html

Lien vers le commentaire
Partager sur d’autres sites

Le 08/03/2017 à 00:02, rogue0 a dit :

EDIT:

L'histoire ressemble un peu aux Shadow Brokers (avec un dump très large des outils d'attaque de la NSA), avec une couverture plus respectable (sans bitcoin, sans vente aux enchères, en passant par un "idiot utile" superficiellement crédible).

ça ferait 2 fuites massives dans 2 organisations distinctes (d'outils Top Secret).
ça commence à faire beaucoup comme coïncidence.
Et ces fuites vont avoir aussi en commun comme conséquence de ridiculiser les services secrets US et de réduire leur efficacité ..(failles patchées)

Cette fois aussi, la/les sources des fuites aurait pu gagner des (dizaines de) millions de $ avec toutes ces failles 0 day , et a choisi de les sacrifier.

Soit que la CIA a aussi un archiviste / lanceur d'alerte avec une (énorme) conscience ...
Soit des tierces parties ont filé les données.
Je vous laisse constituer la (très courte) liste des suspects

Schneier, a refait un autre article, ou il confirme ton hypothèse sur l’origine de la fuite :

https://www.schneier.com/blog/archives/2017/03/more_on_the_cia.html

Si on me demandait de deviner l’origine de cette fuite, je dirais qu’un non américain est responsable. Mon raisonnement : l’utilisation de ces outils par la CIA n’est pas illégale aux USA. Espionner les pays étranger est le job de la CIA. Tous les outils correspondent à des vrais besoins de la CIA. Cela ne correspond pas au profil d’un lanceur d’alerte (NDT : l’Américain Snowden s’était révolté contre le fait que la NSA espionne tous les Américains).
 
Un autre argument pour l’hypothèse d’un non américain: les documents sont vieux.  Un lanceur d’alerte donne les documents immédiatement après les avoir récupéré. Un service secret  (Russe par exemple), lui va garder les documents récupérés secret lui aussi. C’est seulement quand les documents ne sont plus utiles que le service secret  consent à les révéler pour humilier la CIA.

Lien vers le commentaire
Partager sur d’autres sites

L'annonce de Wikileaks n'est pas soutenue par le contenu des outils de la CIA. Un récapitulatif ici : http://blog.erratasec.com/2017/03/some-comments-on-wikileaks-ciavault7.html#.WMGVm7immM8

Le FUD a de beaux jours devant lui.

L'enquête s'orienterait vers des contractuels de la CIA, et les fichiers fuités auraient traîné un moment le web avant d'être ramassés puis publiés par Wikileaks : http://www.reuters.com/article/us-cia-wikileaks-idUSKBN16F2AP

Lien vers le commentaire
Partager sur d’autres sites

12 hours ago, LeCassandre said:

Y'a quand même des trucs amusant dans ces fuites, notamment que la cia se procurait les malware produit dans d'autre pays (notament russe) pour faire des cyber attaque sous faux drapeaux.

Tu peux nous cité le passage ou c'est dit?

Lien vers le commentaire
Partager sur d’autres sites

Oups parlé un peu vite. La CIA collectionnait les malware c'est tout ce que dit le document. Et c'est normal. A partir de la, rien ne n’empêche d'utiliser ces connaissances pour faire des attaques sous faux drapeaux. Une fois que tu as la connaissance, tu peut l'utiliser dans le cadre de ta mission. Par contre, oui il n'y a aucune preuve dans les documents de wikileaks déjà publié que ces connaissances ont été utilisé dans ce but.

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Révélations sur la CIA : Wikileaks en baisse de forme ?

http://information.tv5monde.com/info/revelations-cia-wikileaks-baisse-de-forme-158541

Manifestement entre les annonces de wikileaks et la réalité des fichiers proposé, y'a de la marge. Qu'on cherche à faire mousser un scoop c'est normal, mais la c'est un peu trop. Ou alors wikileaks n'a pas livré tous les documents qu'il possède.

Modifié par LeCassandre
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 10/03/2017 à 11:07, LeCassandre a dit :

Y'a quand même des trucs amusant dans ces fuites, notamment que la cia se procurait les malware produit dans d'autre pays (notament russe) pour faire des cyber attaque sous faux drapeaux.

Pour commencer, comme le disais @g4lly, tous les hackers intelligents (disons ceux qui ne veulent pas dormir en prison) tentent de camoufler leur activité et de leurrer les enquêteurs.
Mais les cyber-forensics se sont améliorés en conséquence.
Avec assez de temps pour préparer des fausses pistes, on pourrait faire un hack en false flag, qui tienne en échec les enquêteurs (c'est presque le cas du hack présumé russe de TV5 Monde, dont le false flag EI a tenu 2 mois).
Mais masquer les traces / signatures / méthodes de travail de centaines de piratages étalés sur 15 ans (le cas des "Duke"), c'est très difficile, à moins qu'on dépense bien plus d'énergie en false flag que sur l'activité d'espionnage elle-même.
 

Le 12/03/2017 à 19:52, LeCassandre a dit :

Oups parlé un peu vite. La CIA collectionnait les malware c'est tout ce que dit le document. Et c'est normal. A partir de la, rien ne n’empêche d'utiliser ces connaissances pour faire des attaques sous faux drapeaux. Une fois que tu as la connaissance, tu peut l'utiliser dans le cadre de ta mission. Par contre, oui il n'y a aucune preuve dans les documents de wikileaks déjà publié que ces connaissances ont été utilisé dans ce but.


A ce sujet, le seul élément publiquement disponible de UMBRAGE concernait un éditeur de logiciel espion italien (mal nommé la Hacking Team: pas russe donc).
Il s'était fait lui-même pirater en 2015, et tous ses outils avaient été rendus publics (par un hacker plutôt doué).

 

Des experts de sécurité se sont penché sur les outils créés par cette division de la CIA (notamment ceux ayant utilisé UMBRAGE), et voici quelques remarques :
https://www.cyberscoop.com/elite-spies-used-leaked-hacking-team-code-learn-techniques-hide-attacks/

  • La CIA n'est pas la seule à avoir ce type de projet UMBRAGE.
    Des groupes affiliés à (ou utilisant les mêmes infrastructures que) APT28 alias Fancy Bear alias l'un des groupes russes soupçonnés du piratage du DNC, ont aussi mis la main sur les sources / certificats PKI fuités de la Hacking Team... Et les ont déjà utilisé (détecté par les sociétés de cyber sécurité):
  • Le niveau technique de leurs malware ne semble pas top-niveau.
    La NSA, les autres groupes APT, et même certaines sociétés d'antivirus arrivent à faire bien mieux.

    Il est possible que la division technique de la CIA garde la possibilité de copier / coller des bouts de code de la Hacking Team (par paresse, ou obfuscation voire false flag). ça aurait une certaine logique, même au prix d'une efficacité réduite
    Le hic dans l'affaire, c'est plusieurs de ces modules de malware sont déjà détectables par les antivirus courants.
    Du coup, utiliser ces bouts de code est vraiment stupide pour des outils censés être discrets.
    Ca ne se justifie que si on est pressé, et en utilisation ponctuelle sur une cible peu méfiante.
     

Oui, il est normal d'étudier ce que font les adversaires, et de faire du RETEX.
Ce qui n'est pas normal pour un "media" qui se présente comme 100% authentique,  honnête, défenseur de la justice et de la veuve ... , c'est de passer sous silence ce que font les autres.
Deux poids, deux mesures...

  • Upvote (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

A propos des piratages de yahoo (ayant compromis jusqu'a 1 milliard de comptes et mot de passe), le FBI a déclassifié l'acte d'accusation... Et a lancé un avis de recherche pour 4 suspects ... Dont 2 officiers du FSB russe.

(la fois d'avant, 5 militaires chinois de cyberwarfare avaient été pointés du doigt)

Pour les preuves de lien avec le FSB, je ne me prononcerais pas ( si preuves il y a, elles sont classifiées ou couvertes par le secret de l'enquête)... Et  on a vu que wikileaks  n'est pas plus fiable que le FBI en cyber .:dry:

Pour la motivation, le motif principal semble avoir été de l'espionnage de dissidents / acteurs russes+ espionnage commercial, + base de référence pour choper les mots de passe réutilisés entre comptes persos et gouvernementaux).

https://krebsonsecurity.com/2017/03/four-men-charged-with-hacking-500m-yahoo-accounts/

Par contre, pour les 2 petites mains ( dont 1 kazakh résident au canada), y a peu de doutes : 

Il faisait ouvertement la pub de ses services en spam, phishing et hacking, en s'affichant avec des voiture de luxe...

Un peu de discrétion est bon pour la santé :tongue:

Pour les connaisseurs, plus de detail sur la méthode du hack ici

http://www.lemondeinformatique.fr/actualites/lire-les-explications-du-piratage-de-yahoo-par-2-russes-67654.html

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Pour info :  l'acte d'accusation du FBI

https://www.justice.gov/opa/press-release/file/948201/download

Et d'autres commentaires en français. Je résume 2 passages intéressants :

*l'honneur de yahoo est sauvé :  leur sécurité était défaillante et pas prise au sérieux par la direction...

Mais ce sont de "méchants" services secrets étatiques qui ont fait le hack... Donc ils ne pouvaient rien faire ma p'tite Lucette...

* la technique employée (générer un cookie de session) a laissé pas mal de logs. Pour ceux qui croient que les services sont infaillibles et ninja...

https://m.nextinpact.com/news/103704-piratage-yahoo-quatre-russes-inculpes-dont-deux-agents-fsb.htm

Lien vers le commentaire
Partager sur d’autres sites

Il y a 23 heures, rogue0 a dit :

A propos des piratages de yahoo (ayant compromis jusqu'a 1 milliard de comptes et mot de passe), le FBI a déclassifié l'acte d'accusation... Et a lancé un avis de recherche pour 4 suspects ... Dont 2 officiers du FSB russe.

(la fois d'avant, 5 militaires chinois de cyberwarfare avaient été pointés du doigt)

Pour les preuves de lien avec le FSB, je ne me prononcerais pas ( si preuves il y a, elles sont classifiées ou couvertes par le secret de l'enquête)... Et  on a vu que wikileaks  n'est pas plus fiable que le FBI en cyber .:dry:

Pour la motivation, le motif principal semble avoir été de l'espionnage de dissidents / acteurs russes+ espionnage commercial, + base de référence pour choper les mots de passe réutilisés entre comptes persos et gouvernementaux).

https://krebsonsecurity.com/2017/03/four-men-charged-with-hacking-500m-yahoo-accounts/

Par contre, pour les 2 petites mains ( dont 1 kazakh résident au canada), y a peu de doutes : 

Il faisait ouvertement la pub de ses services en spam, phishing et hacking, en s'affichant avec des voiture de luxe...

Un peu de discrétion est bon pour la santé :tongue:

Pour les connaisseurs, plus de detail sur la méthode du hack ici

http://www.lemondeinformatique.fr/actualites/lire-les-explications-du-piratage-de-yahoo-par-2-russes-67654.html

Les services secrets Russes n’ont absolument pas les mêmes moyens financiers que les services secrets Américains.

Pour compenser cet énorme handicap, les Russes utilisent au maximum des Corsaires informatiques. Des pirates « légaux ». De vrais criminels en informatique se voient proposer des réductions de peine en échange d’une collaboration discrète avec  les services secrets.

Avec ce genre de personnel, les objectifs divergent un peu qu’avec des vrais professionnels. De plus, Il faut financer l’achat de matériel sans avoir les moyens financier des  services secrets Américains.

Yahoo n’est pas vraiment une bonne cible si on veut des informations intéressantes pour l’état Russe. Par contre, pour les criminels, c’est une excellente cible.

La seule question qui se pose, est ce que les services secrets Russes étaient au courant de l’attaque de Yahoo  par leurs corsaires ?

Il est possible que les corsaires aient caché à leurs hiérarchies qu’ils faisaient un raid sur Yahoo pour garder tout l’argent pour eux.

 Il est possible que la hiérarchie fût au courant de la cible Yahoo mais que leur accord avec les corsaires les autorisent à ces activités criminelles. Surtout contre une société Américaine. Une partie de leur temps pour la patrie Russe, Une partie de leur temps pour leur portefeuille.

Il est possible que la hiérarchie ait besoin d’argent pour acheter du matériel et payer les corsaires. Le choix de Yahoo aurait été volontaire par la hiérarchie.

  • Upvote (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

Les services russes sont aussi moins enclins à chercher à faire du très perfectionné, ca s'est aussi vu dans d'autres choses comme un micro du SVR trouvé dans une salle sécurisée du Congrès. Ca fait le boulot, et c'est suffisant pour ne pas engendrer de conséquence

En fait, trouver un matériel super-tip-top (hardware ou software) est un bon indice que c'est un matériel américain, rappelez-vous Stuxnet et ses multiples zéro-day :laugh:

 

Je signale un article du mois dernier qui parle du côté cyberdéfense de la NSA : https://www.schneier.com/blog/archives/2017/02/nsa_using_cyber.html, le document du 3ème lien décrit très bien certaines techniques, je trouve.

Lien vers le commentaire
Partager sur d’autres sites

Le 16/03/2017 à 14:56, rogue0 a dit :

A propos des piratages de yahoo (ayant compromis jusqu'a 1 milliard de comptes et mot de passe), le FBI a déclassifié l'acte d'accusation... Et a lancé un avis de recherche pour 4 suspects ... Dont 2 officiers du FSB russe.

Bon d’après les documents indique, le piratage était relativement simple et ne demandant que peu de connaissance technique (phisting et usurpation de cookie). De plus ce ne sont pas des dissidents, mais des officiels russes qui ont été espionné : "Parmi les victimes des hackers on trouve notamment l'assistant du vice-président de la Russie, un officier du ministère des Affaires Intérieures de la Russie ainsi qu'un formateur du ministère des Sports russe. Les autres sont des journalistes russes, des fonctionnaires du gouvernement américain, un employé de la société Swiss Bitcoin ou encore un salarié d'une compagnie aérienne américaine." (cf  le lien de Rob0 du monde informatique). Si le gouvernement russe avait voulu espionné ces gens, il aurait été beaucoup plus simple de le faire directement sur leur territoire.

Reste aussi à savoir si le FSB est le donneur d'ordre ou juste prés à payer pour récolter des informations. A mon avis, c'est le second cas, ils ont des programmeurs extrêmement doué comme

"Yevgeniy Anikin, un jeune Russe de 27 ans travaillant comme manager des ventes pour une entreprise de e-commerce, était arrêté à Novossibirsk (dont dépend administrativement Akademgorodok)  pour avoir volé 9 millions de dollars au service de paiement WorldPay de la Royal Bank of Scotland. Considéré à l’époque comme 
l’une des attaques les plus sophistiquées du genre, le coup d’éclat de celui qu’on surnommait alors Hacker 3 ne lui avait finalement valu qu’une timide peine de prison avec sursis après son jugement en Sibérie".

On pari qu'il a été recruté par le FSB ?

Le 16/03/2017 à 17:16, rogue0 a dit :

* la technique employée (générer un cookie de session) a laissé pas mal de logs. Pour ceux qui croient que les services sont infaillibles et ninja...

Vi, mais le seul chose que l'on peut trouver dans de tel log, c'est l'adresse ip de l'attaque. Or si l'attaque passe par plusieurs machines, impossible de remonté, donc facile le ninja. Le truc, c'est qu'il est pas nécessaire de nettoyer tous les logs quand tu attaque à partir d'une machine hacké spécialement pour l'opération et muni d'un programme prêt à effacer complétement et profondément le disque dur. Tout ce qu'il reste dans tes logs c'est l'ip d'une machine sur le quelle il ne reste rien.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, LeCassandre a dit :

Vi, mais le seul chose que l'on peut trouver dans de tel log, c'est l'adresse ip de l'attaque. Or si l'attaque passe par plusieurs machines, impossible de remonté, donc facile le ninja. Le truc, c'est qu'il est pas nécessaire de nettoyer tous les logs quand tu attaque à partir d'une machine hacké spécialement pour l'opération et muni d'un programme prêt à effacer complétement et profondément le disque dur. Tout ce qu'il reste dans tes logs c'est l'ip d'une machine sur le quelle il ne reste rien.

Sauf si la machine (ou la VM) a été régulièrement et diligemment sauvegardée... (et ce n'est même pas nécessairement visible de la machine elle même, ça peut se faire directement sur le stockage)...

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Dernière non révélation de wikileaks

La CIA a fait des recherches pour hacker les iPhone et les Mac depuis 10 ans.

Annonce sans surprise vu que de nombreux VIP s'en servent. Le niveau technique a l'air bon  :  ils avaient quelques années d'avance sur les meilleurs jailbreak connus publiquement... (alors que les hacks du premier lot sont plutôt "moyens").

 (les failles décrites ont été toutes bouchées depuis)

https://motherboard.vice.com/en_us/article/wikileaks-new-dump-shows-how-cia-allegedly-hacked-macs-and-iphones-almost-a-decade-ago

Lien vers le commentaire
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
  • Statistiques des membres

    6 003
    Total des membres
    1 749
    Maximum en ligne
    pandateau
    Membre le plus récent
    pandateau
    Inscription
  • Statistiques des forums

    21,6k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...