Aller au contenu
Fini la pub... bienvenue à la cagnotte ! ×
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991

Messages recommandés

  • 2 weeks later...
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...

Loi sur le renseignement : le "New York Times" dénonce un "État français de surveillance"

 

Le quotidien américain pointe une loi "vague", qui ferait de chaque citoyen une cible potentielle et autoriserait des excès semblables à ceux de la NSA.

 

http://www.lepoint.fr/societe/loi-sur-le-renseignement-le-new-york-times-denonce-un-etat-francais-de-surveillance-02-04-2015-1918324_23.php

Lien vers le commentaire
Partager sur d’autres sites

Je pense que le marché informatique va se développer, y a du boulot

 

très grosse attaque de TV5 monde, 3h de blocage,  tv,réseau bloquer

 

 

http://tvmag.lefigaro.fr/programme-tv/article/television/86345/les-programmes-de-la-chaine-tv5-monde-pirates-par-des-militants-l-etat-islamique.html

Modifié par zx
Lien vers le commentaire
Partager sur d’autres sites

Je pense que le marché informatique va se développer, y a du boulot

 

très grosse attaque de TV5 monde, 3h de blocage,  tv,réseau bloquer

 

Ce qui m'inquiète vraiment dans cette affaire c'est la réaction des autorités. On annonce une "mobilisation totale" pour lutter contre "une attaque d'une nouvelle ampleur". Et les médias ne sont pas en reste. N'est-ce pas totalement disproportionné ?

 

Je ne dis pas qu'il faut ne rien faire, naturellement. Mais enfin il s'agit sur le fond d'une blague de potache géante d'un déni de service durant quelques heures, sans la moindre perte humaine naturellement. La cybersécurité c'est important évidemment, mais enfin ce n'est pas une centrale nucléaire qui a été haquée, ni le système de contrôle du métro ou de la SNCF ! Bref pas un système critique où une intrusion pourrait provoquer mort d'homme donc est un véritable risque de sécurité. Et certainement pas un système qui était si bien protégé que ça... justement parce qu'il n'est pas critique !

 

Un système de diffusion télé a-t-il vocation à être protégé comme la salle de contrôle d'une centrale nucléaire ? Et mon ordinateur personnel, aussi bien que le réseau confidentiel de la Défense, pendant qu'on y est ?

 

TV5 a été indisponible pendant quelques heures, et son site affichait un gros plan sur un pénis... non pardon un poster de recrutement pour l'EI puisque les potaches qui ont réalisé le piratage étaient de la branche "djihad". Bon. Est-ce une raison pour perdre son sang-froid ?

 

La capacité des djihadistes, en utilisant de faibles moyens, à pousser la collectivité à des actions lourdes et des dépenses importantes, ne laisse pas d'inquiéter. Raison de plus pour ne pas sur-réagir.

 

 

Sur un autre sujet, je trouve inquiétant que nous n'ayons semble-t-il pas d'autre solution pour assurer la protection des lieux de culte et lieux communautaires juifs que de mobiliser 5 ou 10 000 hommes en permanence. Là naturellement il n'est pas question de laisser couler puisqu'il s'agit d'attaques contre les personnes. Et j'avoue ne pas avoir mieux à proposer.

 

Mais il reste que nous avons un véritable problème puisqu'un ou deux petits commandos avec un ou deux combattants peuvent en démarrant une campagne de meurtres antisémites mobiliser et bloquer des milliers de soldats de leur ennemi, c'est-à-dire nous. Le rapport coût / bénéfice est véritablement splendide du point de vue des djihadistes.

 

Et ils pourraient tenter de pousser cet avantage. Par exemple, si nous avons la malchance de tomber sur des djihadistes intelligents, ils pourraient aller jusqu'à monter des opérations sous faux drapeau contre des mosquées ou lieux communautaires musulmans, en signant "Armée du Pape" ou "Christ vaincra". Double punition pour l'armée française, avec encore plus de sites à garder, et radicalisation qui empire parmi les musulmans tentés par la secte djihadiste ! J'espère que ceci restera de la politique-fiction, mais...

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Je pense qu'il faut un GIE de la sécurité, pour renforcer le niveau des entreprises de la plus grande à la plus petite. 

Même aussi une sensibilisation à la sécurité informatique au grand public et à l'école. La sécurité passe

d'abord par le bon sens et la vigilance de chacun et connaitre les failles et les méthodes d'intrusion à l'avance.

 

Peut être aussi une catégorie de permis de sécurité obligatoire pour qualifier les sites, selon le niveau de risque.

 

Un simple audit d'un site web d'une PME, peut réduire le risque, genre intrusion par user/mot de passe, genre root/admin qu'on a oublié de changer à l'installation, ce qui ouvre l'accès à tout le système, l'ouverture de PJ renfermant un virus, le cryptage des disques/usb.

 

Mettre des données personnelles en ligne peut avoir de lourdes conséquences.

 

Pour les sites sensible, type edf et autre, il faut couper du réseau grand public, c'est le bon sens.

 

Le plus difficile à contrer, c'est une complicité intérieure.

Modifié par zx
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Je viens de suivre une intervention sur le Grand Journal de Canal+ qui évoquait la complicité intérieur justement, ou au minimum des fuites par sous-traitants interposés.

 

 

Une question d'ordre technique: on parle d’enquête, donc d’identification des auteurs de l'attaques. Comment on procède concrètement pour tracer une attaque.

 

Si je vous ai bien compris, tout passe plus ou moins par les USA ; mais comment fait on quand on est pas une agence de renseignement américaine ? Il est question de "traces" laissées, en quoi consistent elles ? Bref, comment sait-on qui a attaqué et d’où ?

Modifié par Shorr kan
Lien vers le commentaire
Partager sur d’autres sites

Si je vous ai bien compris, tout passe plus ou moins par les USA ; mais comment fait on quand on est pas une agence de renseignement américaine ? Il est question de "traces" laissées, en quoi consistent elles ? Bref, comment sait-on qui a attaqué et d’où ?

 

Quand tu utilise un services de transport de donnée sur internet il est nécessaire de faire transiter des données spécifiques au transport lui meme qui permettent d'orienter le flux de proche en proche jusqu'a la destination.

 

Une partie de ces information sont journalisés. Soit par nécessité du protocole, soit pour permettre de débugger ou de détecter des problemes de fonctionnement, soit pour facturer le transport, soit pour des simple statistique permettant d'anticiper  des maintenance mise a niveau, soit pour des contrainte légales.

 

De la meme maniere les machines cible journalisent pas mal de chose sur leur fonctionnement, les accès au fichier, de la mise en cache de certain élément d’exécution etc. etc.

 

En gros quand tu modifie un truc sur un ordinateur en général c'est difficile a dissimuler tant que c'est au niveau du système d'exploitation. Si c'est au niveau inférieur comme les attaques des firmware USB de la NSA ... c'est tout de suite plus compliqué.

 

Ils est fort possible qu'on ne trouve pas de trace physique des échange entres les machines cibles et la source de l'attaque. Néanmoins la signature - mode opératoire, cible etc. - de l'attaque elle même permet de construire un profil de l'attaquant et de savoir ou chercher ou qui est suspect.

 

Il faut savoir que la grande majorité des machines sont très mal protégé ... y compris contre des "pirates" pas forcément talentueux mais motivé.

 

Ce qui est plus intéressant c'est qu'ils aient réussi à bloquer la diffusion Sat et TNT. Donc des machines - magnétoscope numérique - de la production qui n'ont rien a voir avec les serveur internet de TV5.

 

L’enquête risque d'être intéressante.

  • Upvote (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

Je viens de suivre une intervention sur le Grand Journal de Canal+ qui évoquait la complicité intérieur justement, ou au minimum des fuites par sous-traitants interposés.

 

 

Une question d'ordre technique: on parle d’enquête, donc d’identification des auteurs de l'attaques. Comment on procède concrètement pour tracer une attaque.

 

Si je vous ai bien compris, tout passe plus ou moins par les USA ; mais comment fait on quand on est pas une agence de renseignement américaine ? Il est question de "traces" laissées, en quoi consistent elles ? Bref, comment sait-on qui a attaqué et d’où ?

 

C'est très dépendant des méthodes d'attaque, de la qualification et des informations obtenues par les attaquants, des disposotifs de traçabilité et de leur intégrité. Et après cette tarte à la crème, quelques apperçus :

- si l'attaque passe par le réseau, elle a de bonnes chance de traverser des équipements qui conservent des traces, des logs, des journaux, notant au minimum les adresses IP en cause. Si on arrive à isoler les flux réseaux correspondant, qu'on a encore les traces, on va pouvoir remonter vers la ou les adresses utilisées, de l'extérieur comme de l'intérieur. Et une fois qu'on a ça (et si déjà on obtient ça...), il faut idéalement continuer à suivre la piste.

- suivre la piste en interne c'est analyser des logs sur des serveurs : sur un Unix, l'utilisation de sudo pour obtenir une élévation de privilège (passer admin, en gros, pour une commande ou globalement pour un serveur complet), bref, si on utilise sudo, c'est logé : quel compte, quelle heure, quelle commande. Si on a isolé la commande et si l'attaquant n'a pas pu détruire ses traces, on a un bout d'information : le compte. Et avec le compte, on aura une chance de savoir d'où il s'est connecté (via SSH par exemple).

Donc ça dépend des logs, de la capacité à les analyser, de leur disponibilité : un sacré cassse-tete...

- Mais si ça se trouve l'attaquant a été plus malin et est passé à travers une faille de sécurité sur une interface accessible : typiquement, un site web interne ou extene, ou un serveur quelcqonque (messagerie...) pas mis à jour ou mal configuré.

- le plus probable reste la faille par ingéniérie sociale conjuguée aux autres : le renseignement sur quelle machine permet d'accéder aux autres, suivi de l'accès au poste d'un admin pas vérouillé pendant qquelques secondes histoire de créer un compte admin du domaine en douce, ou de l'obtention d'un mot de passe, d'un privilège indu (droit d'écriture sur un fichier accédé via sudo par exemple, des étoiles en trop dans les sudoers...).

 

J'ignore comment était foutu le réseau de Tv5 Monde mais :

- en interne, ce ne sont généralement pas les occasions qui manquent de pouvoir tenter des betises

- il y a souvent une grosse incertitude quand aux risques de se faire pincer

- pincer et tracer effectivement c'est - vu de moi qui ne suis pas spécialiste - très compliqué sauf en cas de méthodes d'attaque très grossières. Les logs sont alambiqués et hétérogènes, un attaquant doué pourra les effacer, utiliser plusieurs comptes, rebondir éventuellement d'une machine sur l'autre. Si quelqu'un qui a pris le temps de se réparer, c'est coton. Et puis les traces s'effacent au fur et à mesure ou alors il faut tout figer !

 

Il y a théoriquement des produits qui peuvent centraliser tous les logs, garder les traces et, j'imagine, aider à l'analyse en favorisant les corélations. Ca bouffe du disque et du budget. Et encore faut-il qu'ils aient pu etre imposés à des utilisateurs, y compris informatiques, qu'ils feront suer lourdement. Rajouter ça sur un projet, c'est encore une source d'embrouille en plus, encore des contraintes, des risques de défaillances accrues, etc...

  • Upvote (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

En tout cas, il a fallu collecter un nombre important d'information, définir une stratégie, se répartir les rôles,

et se coordonner ensemble. A première vue, ils étaient assez mal protégés. ils ont attaqués celle qui était

vulnérable.

 

ils ont du passer par des  pc zombie d'autres pays qu'il'ont préalablement infectés pour s'en servir

en tant que proxy.

 

comme dit précédemment, si ils ont la main sur la machine, tout devient facile

Modifié par zx
Lien vers le commentaire
Partager sur d’autres sites

L'absence de raison évidente ou revendiquée de viser TV5 plutôt qu'un autre média suggère qu'ils l'ont attaqué parce qu'ils avaient trouvé une vulnérabilité particulière qu'ils ont ensuite pris le temps d'exploiter au maximum avant de passer à l'action visible. Il est possible que cette exploitation leur ait donné des indications (genre mots de passe) qui ont été utiles pour attaquer les autres systèmes de TV5 en plus du vulnérable.

Lien vers le commentaire
Partager sur d’autres sites

 

« L’agence a récupéré le serveur qui avait été utilisé pour des actes malveillants. Depuis, on cherchait un prestataire pour un audit de sécurité sur ce point », ajoute M. Verines.

 

« On nous avait signalé une visite par effraction de la part de cambrioleurs inconnus, depuis on avait récupéré la porte qu'ils avaient réussi à crocheter et on cherchait un consultant anti-cambriolage, manque de pot les cambrioleurs sont revenus et ont tout volé entretemps », dit M. Verines.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 weeks later...
 

 

Je viens de suivre un bout de C'est dans l'air sur cette affaire d’espionnage sous-traité à l'Allemagne par la NSA, et dans l'un de leur reportage un ancien directeur de la DGSE évoquait l’existence d'un sous-marin américain spécialisé dans la pose de dispositifs d’écoutes des câbles de communication océanique. Je ne vois pas comment l'on peut pirater de la fibre optique ? Ce serait pas plutôt les répéteurs qui sont visés ?

Lien vers le commentaire
Partager sur d’autres sites

Je viens de suivre un bout de C'est dans l'air sur cette affaire d’espionnage sous-traité à l'Allemagne par la NSA, et dans l'un de leur reportage un ancien directeur de la DGSE évoquait l’existence d'un sous-marin américain spécialisé dans la pose de dispositifs d’écoutes des câbles de communication océanique. Je ne vois pas comment l'on peut pirater de la fibre optique ? Ce serait pas plutôt les répéteurs qui sont visés ?

 

En fait aujourd'hui c'est assez simple d'écouter une liaison fibre optique, avec des coupleurs qui torde la fibre pour récupérer les fuites. Avant ça ne l'était pas, donc effectivement on s'attaquait aux répéteurs.

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Je viens de suivre un bout de C'est dans l'air sur cette affaire d’espionnage sous-traité à l'Allemagne par la NSA, et dans l'un de leur reportage un ancien directeur de la DGSE évoquait l’existence d'un sous-marin américain spécialisé dans la pose de dispositifs d’écoutes des câbles de communication océanique. Je ne vois pas comment l'on peut pirater de la fibre optique ? Ce serait pas plutôt les répéteurs qui sont visés ?

 

Ah, le USS Jimmy Carter on en parle depuis la fin des années 1990 par extrapolation de ce qu'avait raconté le livre Guerre froide sous les mers : l'histoire méconnue des sous-marins espions américains (lire #Interception des câbles subaquatiques). 

 

Mais il y a zéro info sur ce qu'il aurait réussi ou échoué à faire, et de quelle manière. Les rapports sur "Echelon" ont parlé des répéteurs comme point faible mais c'était apparemment basé sur des études remontant fin années 80-début années 90 et qui parlaient aussi de faire perdre une partie du signal par méthode mécanique (courber ou pincer la fibre).

 

Il y a même une compagnie télécom qui avait breveté la méthode d'utiliser la dispersion de Rayleigh pour capter le signal d'une fibre. Si ca marche c'est le graal : interception sans créer de perturbation (la dispersion de Rayleigh c'est le principal phénomène parasite qui fait perdre de la force au signal dans la fibre... et que les fabricants réduisent autant que possible).

 

Mais les techniques des fibres ne cessent d'évoluer. Les câbles sont on multiplexés en longueur d'onde, mais aussi pour une longueur d'onde on multiplexe dans le temps des signaux divisés en paquets...

 

Donc bon, ceux qui disent qu'une fibre est théoriquement impossible à intercepter ne connaissent pas assez la théorie des fibres, mais en pratique c'est un cauchemar : obligation de travailler au contact du câble, risque que toute diminution de signal causée par une perturbation soit détectée par l'opérateur du réseau, milieu hostile, et signal probablement très faible... signal très complexe et à très haut débit qu'il faut démultiplexer et reconstitue. Et une fois que c'est fait, y'a plus qu'à traiter des Go de données par seconde (dans un data-center secret sous-marin ?), extraire le renseignement intéressant et le transmettre à Fort Meade... comment ? Soit en posant un autre câble sous-marin pirate, soit avec des enregistreurs relevés tous les quelques mois qui n'auront qu'une capacité limitée.

 

  • Upvote (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
  • Statistiques des membres

    6 005
    Total des membres
    1 749
    Maximum en ligne
    cilom
    Membre le plus récent
    cilom
    Inscription
  • Statistiques des forums

    21,6k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...