Aller au contenu
Fini la pub... bienvenue à la cagnotte ! ×
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991

Messages recommandés

Le ‎21‎/‎09‎/‎2017 à 11:34, rogue0 a dit :

Suite de l'affaire Ccleaner.

Après analyse, il semble que l'opération visait spécifiquement les firmes de hardware IT et réseau occidentales (au sens large, avec MSI, dlink, cisco, microsoft,amd,intel))

En effet, s'il detecte qu'il a infecté un PC de ces firmes, ce logiciel espion télécharge d'autres malwares.

3ème épisode.

Avast a mis la main sur les serveurs de contrôle de ce malware infiltré dans Ccleaner (2 serveurs en 1 mois, car le premier s'est planté, plus assez d'espace disque pour enregistrer toutes les données:dry:).

Après analyse des logs, sur plus de 1.6 millions de machines infectées par le premier étage du malware, seules 40 PC/serveurs ont été infectées par le second étage.
On peut considérer que c'étaient les vraies cibles du piratage (très ciblé , à peine 0.002% du total).

Au vu des sociétés visées (télécoms taiwanais et japonais), des sociétés non infectées par le second étage, et avec les heures de connexion au serveur de contrôle (cohérent avec les fuseaux horaires asiatiques GMT+8), le faisceau de présomptions sur l'attribution se renforce

Machines infectées par le second étage:

Chart3-1.jpg?t=1506549102410&width=639&h

machines non infectées par le second étage (seulement le premier étage de collecte d'information système)

Révélation

Chart4-1.jpg?t=1506549102410&width=640&h

heures de connexion

 

Révélation

Chart2.png?t=1506549102410&width=836&hei

 

https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-apt-security-incident

 

Lien vers le commentaire
Partager sur d’autres sites

Pfff... Entre ça et le défaut sur Bluetooth, ça va commencer à être bien risqué d'utiliser les réseau publics à court terme, sous Android comme sous Linux :

Citation

Code-execution flaws threaten users of routers, Linux, and other OSes

Bugs in widely used Dnsmasq give attackers remote control of vulnerable systems.

Suppose un piratage du DHCP si je lis bien. On va attendre les rustines, sortez couverts !

EDIT : des rustines sont disponibles sous Ubuntu 16.04, Debian 8 et 9 ce matin, chez Synology, et probablement sur d'autres systèmes ; ça a été vite... Sous Android, en revanche, et pour des téléphones un peu anciens... (j'ignore le niveau d'utilisation de dnsmasq)

 

Sinon, chez Yahoo, tous les comptes avaient été compromis en 2013, comme ça, pas d'jaloux !

Modifié par Boule75
  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le WSJ a un scoop sur une autre perte d'informations classifiées de la NSA par un contractor :

Citation

 

Hackers working for the Russian government stole details of how the U.S. penetrates foreign computer networks and defends against cyberattacks after a National Security Agency contractor removed the highly classified material and put it on his home computer, according to multiple people with knowledge of the matter.

The hackers appear to have targeted the contractor after identifying the files through the contractor’s use of a popular antivirus software made by Russia-based Kaspersky Lab, these people said.

...

The incident occurred in 2015 but wasn’t discovered until spring of last year, said the people familiar with the matter.

The stolen material included details about how the NSA penetrates foreign computer networks, the computer code it uses for such spying and how it defends networks inside the U.S., these people said.

Having such information could give the Russian government information on how to protect its own networks, making it more difficult for the NSA to conduct its work. It also could give the Russians methods to infiltrate the networks of the U.S. and other nations, these people said.

The breach is the first known incident in which Kaspersky software is believed to have been exploited by Russian hackers to conduct espionage against the U.S. government. The company, which sells its antivirus products in the U.S., had revenue of more than half a billion dollars in Western Europe and the Americas in 2016, according to International Data Corp. By Kaspersky’s own account it has more than 400 million users world-wide.

 

https://www.wsj.com/articles/russian-hackers-stole-nsa-data-on-u-s-cyber-defense-1507222108

Le reste de l'article étant largement du remplissage avec des infos déjà publiques pas spécifiques à cette fuite... Ce que je retiens :

1) une nouvelle baffe pour la NSA en quelques années. Elle  va finir par devenir l'agence nationale de l'insécurité des informations classifiées...

2) ca fait un moment que la compagnie Kaspersky est mal vue par la sécurité nationale US, mais à ma connaissance c'est la première fois qu'on parle d'un incident où elle aurait eu un rôle concret (même si pas détaillé)

Modifié par Rob1
  • J'aime (+1) 1
  • Merci (+1) 1
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Il y a 19 heures, Rob1 a dit :

Le WSJ a un scoop sur une autre perte d'informations classifiées de la NSA par un contractor :

https://www.wsj.com/articles/russian-hackers-stole-nsa-data-on-u-s-cyber-defense-1507222108

Le reste de l'article étant largement du remplissage avec des infos déjà publiques pas spécifiques à cette fuite... Ce que je retiens :

1) une nouvelle baffe pour la NSA en quelques années. Elle  va finir par devenir l'agence nationale de l'insécurité des informations classifiées...

2) ca fait un moment que la compagnie Kaspersky est mal vue par la sécurité nationale US, mais à ma connaissance c'est la première fois qu'on parle d'un incident où elle aurait eu un rôle concret (même si pas détaillé)

Le wapo en avait parlé l'année dernière (sans les détails de l'affaire)

Quelques infos en plus (mode rush je reviens plus tard dessus) : 

* c'est un ex réfugie vietnamien naturalisé US

* il travaillait pour le TAO (EDIT: pas de restriction pour les naturalisés ?)

* ce n'est sans doute pas la première source des shadow brokers

https://mobile.twitter.com/emptywheel/status/916022096618192896

EDIT: avec l'article source du wapo:

https://www.washingtonpost.com/world/national-security/russian-government-hackers-exploited-antivirus-software-to-steal-us-cyber-capabilities/2017/10/05/a01bf546-a9fc-11e7-92d1-58c702d2d975_story.html

 

Modifié par rogue0
lien rajouté
  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Première opération offensive dévoilée pour le Cyber Command US.
Faire du déni de service (DDoS) sur les infrastructures internet NK (et de leurs pirates basés en offshore)

Cf le fil corée

source wapo

https://www.washingtonpost.com/world/national-security/trump-signed-presidential-directive-ordering-actions-to-pressure-north-korea/2017/09/30/97c6722a-a620-11e7-b14f-f41773cd5a14_story.html

 

Lien vers le commentaire
Partager sur d’autres sites

Le ‎20‎/‎02‎/‎2016 à 16:11, Conan le Barbare a dit :

 

Le ‎20‎/‎02‎/‎2016 à 20:15, zx a dit :

oui, c'est parce que les protocoles sécurités sont faibles, il suffit de sniffer, la liaison, de les analyser et d'isoler les commandes lors des échanges de messages,, maintenant si le système a une protection sécurisé wifi avec du ssl et des certificats ou autre, c'est un autre paire de manche, c'est un peu comme si on allait à la gare, et qu'on sniff les échanges wifi des pc portables, qui sont généralement en clair, généralement à cause de la lenteur des connexions sécurisés,.

Les hackers trouvent souvent la faille sur ce qui n'est pas sécurisée ou peu protégé, avec des mots de passe par défaut ou genre 12345, voir l'utilisation de backdoor pour accéder à des services sans authentification, ou l'envoi un programme espion, communication non sécurisée. n'importe qui avec la motivation, de la patience et de l'astuce peu se transformer en hacker.

Le fusil est la pour la déco. c'est le raspberry pi et son antenne wifi qui fait le boulot. mais c'est rigolo.

Citation

 

Un fusil sous Linux avec du Wifi faillible

Le fusil TrackingPoint 338TP est un modèle de pointe destiné aux snipers les plus expérimentés. L'arme repose sur un système Linux qui se charge de réaliser les calculs nécessaires pour atteindre à coup sûr une cible. Avec un tel système, le fusil est à même de toucher n'importe quelle cible située jusqu'à un kilomètre de distance et le tout, même si cette dernière est en mouvement ou que les conditions climatiques sont aléatoires. Une véritable prouesse technologique, mais qui ne semble pas infaillible du point de vu de la sécurité. En effet, dans le cadre du Black Hat 2015, le couple Michael Auger et Runa Sandvik a fait la démonstration du piratage du fusil TrackingPoint 338TP. Ces derniers expliquent qu'ils ont exploité le hotspot Wifi intégré à l'arme. Il permet de communiquer les informations récoltées par les différents capteurs du fusil à un smartphone. Les deux hackers n'ont pas hésité à débourser 13 000 dollars pour acheter puis décortiquer le fusil et trouver une faille. Et ils n'ont pas été déçus. Au programme : API avec accès non authentifié, des validations de données un peu justes et de nombreuses failles de sécurité. Il n'en fallait pas plus pour que les deux hackers s'amusent à pirater le fusil. En plus de modifier la cible à distance, Michael Auger et Runa Sandvik ont indiqué qu'ils ont pu réaliser des modifications irréversibles sur l'arme.

 

 Ce qui amène à certaines questions:

1) Pratiquement toute faction belligérante trouvera des hackers capable de pirater un tel fusil mais combien de fusils pourront être piraté sur une courte période et sous quelles conditions?

2) Le fusil piraté est sous Linux. Existe-t-il des langages et logiciels alternatifs moins connus et piratables?

Ce piratage nous ramène à la réalité mais ne remet pas forcément en cause la pertinence de l'emploi d'une telle conduite de tir pour une arme non létale embarquée sur un drone plus ou moins autonome.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Lame a dit :

2) Le fusil piraté est sous Linux. Existe-t-il des langages et logiciels alternatifs moins connus et piratables?

Il semble bien que les failles soient beaucoup sur la couche logicielle haute. Sont citées "API avec accès non authentifié" et "validations de données un peu justes" : le premier va permettre de voir ce qui passe ou de faire de nombreuses tentatives successives jusqu'à éventuellement identifier un défaut de programmation, soit le second défaut. Programmation défaillante en somme, face à des assaillants déterminés, disposant de temps et éventuellement de puissance de calcul.

En outre ils auraient piraté le Wifi, ce qui laisse à penser que la couche de chiffrement n'était pas formidable et/ou que certains dispositifs de bon sens n'étaient pas implémentés (délais allongés au fur et à mesure des tentatives infructueuses de mots de passe, par exemple, mots de passe trop court, protocoles moisis, clés trop courtes, etc...).

Donc le machin est (ou était) mal foutu et la faille corrigée, je ne suis pas certain qu'ici Linux en tant que tel ait été piraté, c'est plutôt l'implémentation qui laissait à désirer.

Linux, c'est la couche logicielle basse (pas forcément la plus basse, mais passons) et, par dessus, il y a pléthore de choix disponibles de langages. Il y a bien d'autres systèmes d'exploitation dans le même goût, du type Free BSD (dont le système des Appple actuels est dérivé), du Open BSD (historiquement la référence d'implémentation de la couche TCP/IP) et plein d'autres OS adaptés aux "petits objets", des distributeurs de café aux ordinateurs de bord des voitures ou au contrôle des machines outil, etc... La difficulté avec tout ça c'est que c'est beaucoup moins répandu, que ça évolue moins vite (typiquement : pas au même rythme que les composants grand public), que du coup des failles découvertes risquent d'être corrigée lentement seulement, que ça suppose éventuellement des compétences plus rares pour les exploiter... L'avantage c'est que les pirates connaîtront moins bien voire pas.

Un autre axe pour la protection, c'est l'usage de protocole radio exotiques. Ou les câbles optiques s'ils ne sont pas trop fragiles :cool:. De toutes façons, c'est la course à l'échalotte : qui peut se payer une bonne architecture tenant compte de la sécurité, des spécialistes pointus à demeure, des méthodes de programmation rigoureuses, qui prévoit des mécanismes fiables de mise à jour vers les clients pourra produire quelque chose de dur ou très dur à casser. Sinon, on retombe dans le travers des caméras de télésurveillance, avec leurs codes par défaut, leurs dispositifs de sécurisation pourris, jamais mises à jour et exposées directement sur Internet... Et hop un botnet !

 

Un autre truc qu'il faut indiquer, c'est que les pirates à chapeau, là, ont pu disposer de temps, pouvaient interagir directement avec l'arme, ont eu tout loisir pour l'étudier, ce qui serait probablement beaucoup plus ardu sur un champ de bataille. Ils étaient à portée de Wifi, typiquement.

Lien vers le commentaire
Partager sur d’autres sites

9 hours ago, Lame said:

Le fusil piraté est sous Linux. Existe-t-il des langages et logiciels alternatifs moins connus et piratables

GNU Linux est un système d'exploitation, dont il existe tout un tas de variantes et de distributions ... Les distributions célèbres disposent toutes de branche particulièrement sûre, certes un peu moins sexy que les tout dernier dev, et c'est très robuste si c'est pas utilisé par des abrutis. En général les problemes sur les *nix viennent surtout des dev des applications que de l'OS lui même. La raison est assez simple, il existe des distributions très compactes avec assez peu de code qui peuvent être assez facilement révisées par plein de monde. En gros c'est robuste entre autre parce que c'est simple.

Lien vers le commentaire
Partager sur d’autres sites

Une petite fournée spécial Kaspersky.

Je commente rapidement : (dommage parce qu'il y a d'énormes pépites)

  • Les israéliens prétendent avoir fourni des preuves de flagrant délit de Kaspersky aidant à l'espionnage US
    https://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html?_r=0

    A prendre avec quelques réserves, mais les israéliens cherchent à garder de bonnes relations avec les russes:
    je considère l'article comme crédible (aux exaggérations près)

    Beaucoup de pépites dans l'article.
    • Les liens de Duqu, Duqu2 et Stuxnet avec Israel y sont répétés  (espionnage des accords nuke iranien)
    • Pendant cette opération, les israéliens ont hacké Kaspersky (en 2014),
      Note: ils ne disent pas pourquoi ils ont ciblé Kaspersky ... Ou ils ont hacké toutes les boîtes d'antivirus ? :bloblaugh:
    • Ils affirment avoir vu des agents de SR russes utiliser l'accès privilégié des antivirus Kaspersky, pour surveiller et récupérer des fichiers confidentiels US (avec capture de webcam à la clé...)
    • Cependant, il est difficile de savoir si l'antivirus avait une backdoor pour faciliter le piratage : ça peut être la télémétrie typique envoyée par pleins de logiciels comme Windows X, Virustotal, etc.
      Et on ne sait pas si elle a été utilisée à l'insu de Kaspersky, ou forcé (contraint par la loi russe), ou par coopération volontaire.
    • Et l'article note que la NSA a utilisé la même technique (backdoor antivirus) contre d'autres adversaires :dry:
    • l'opération a été éventée en Mars 2015 par Kaspersky
    • EDIT: et cette énorme opération de contre-esp israélienne vient d'être grillée par une fuite à Washington, ce qui prouve qu'on ne peut pas faire confiance aux USA pour garder un secret... :dry:
Citation

Israeli intelligence officers informed the N.S.A. that in the course of their Kaspersky hack, they uncovered evidence that Russian government hackers were using Kaspersky’s access to aggressively scan for American government classified programs, and pulling any findings back to Russian intelligence systems. They provided their N.S.A. counterparts with solid evidence of the Kremlin campaign in the form of screenshots and other documentation, according to the people briefed on the events.

It is not clear whether, or to what degree, Eugene V. Kaspersky, the founder of Kaspersky Lab, and other company employees have been complicit in the hacking using their products. Technical experts say that at least in theory, Russian intelligence hackers could have exploited Kaspersky’s worldwide deployment of software and sensors without the company’s cooperation or knowledge. Another possibility is that Russian intelligence officers might have infiltrated the company without the knowledge of its executives.

But experts on Russia say that under President Vladimir V. Putin, a former K.G.B. officer, businesses asked for assistance by Russian spy agencies may feel they have no choice but to give it. To refuse might well invite hostile action from the government against the business or its leaders. Mr. Kaspersky, who attended an intelligence institute and served in Russia’s Ministry of Defense, would have few illusions about the cost of refusing a Kremlin request.

  • Un autre article historique
    Voici un vieil incident qui a déclenché la vindicte pardon la suspicion des SR US contre Kaspersky :
    https://www.cyberscoop.com/kaspersky-fbi-cia-fsb-demarche-2015/

    1)En 2015, Kaspersky faisait du marketing aggressif, en suggérant qu’ils pouvaient faciliter la « capture de cibles" cyber.
    2)Le FBI et la NSA ont été intrigués (suggestion de backdoor), et auraient commencé à faire des auditions du personnel de Kaspersky pour mieux comprendre
    3) les russes ont remarqué, et ont protesté officiellement.
    Sauf que la protestation (dite démarche) est habituellement délivrée par l’ambassadeur russe (pour les affaires civiles).
    Ici, elle aurait été délivrée directement par un représentant du FSB.
    Interprétation -> c’est utilisé par nos SR, pas touche.

    Et à partir de là, les SR et FBI américains ont concentré toute leur attention sur Kaspersky depuis.

 

  • Pour l'autre révélation Kaspersky de la semaine dernière,

http://securityaffairs.co/wordpress/63883/intelligence/kaspersky-av-espionage.html

AMHA, les éléments publiés ne suffisent pas à conclure à la complicité active de Kaspersky.

La NSA est bien au courant de l'accès root des antivirus, et l'a d'ailleurs exploité pour espionner (chez d'autres).
A minima, la télémétrie de l'antivirus permet de savoir quel logiciel est installé sur la machine, et son contenu.
Cela est suffisant pour les hackers comme le TAO pour pirater la machine avec les failles connues, sans vraie backdoor de la part de l'antivirus.

Pour information, la NSA intercepte, et enregistre déjà les rapports de plantage Windows pour savoir la configuration de la machine, et qu'est-ce qui est vulnérable...
Sans compter les epic fails, comme des gens qui uploadent des ZIP confidentiels pour analyse de virus... :rolleyes:

 

Après, je n'ai pas d'actions chez les antivirus.
Pour les systèmes gouvernementaux sensibles, c'est de la prudence élémentaire de les protéger avec des logiciels 100% nationaux.
Pour les particuliers (sans doc sensible), je garde ma recommandation de Kaspersky

 

 

Modifié par rogue0
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, rogue0 a dit :

Une petite fournée spécial Kaspersky.

Je commente rapidement : (dommage parce qu'il y a d'énormes pépites)

  • Les israéliens prétendent avoir fourni des preuves de flagrant délit de Kaspersky aidant à l'espionnage US
    https://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html?_r=0

    A prendre avec quelques réserves, mais les israéliens cherchent à garder de bonnes relations avec les russes:
    je considère l'article comme crédible (aux exaggérations près)

    Beaucoup de pépites dans l'article.
    • Les liens de Duqu, Duqu2 et Stuxnet avec Israel y sont répétés  (espionnage des accords nuke iranien)
    • Pendant cette opération, les israéliens ont hacké Kaspersky (en 2014),
      Note: ils ne disent pas pourquoi ils ont ciblé Kaspersky ... Ou ils ont hacké toutes les boîtes d'antivirus ? :bloblaugh:
    • Ils affirment avoir vu des agents de SR russes utiliser l'accès privilégié des antivirus Kaspersky, pour surveiller et récupérer des fichiers confidentiels US (avec capture de webcam à la clé...)
    • Cependant, il est difficile de savoir si l'antivirus avait une backdoor pour faciliter le piratage : ça peut être la télémétrie typique envoyée par pleins de logiciels comme Windows X, Virustotal, etc.
      Et on ne sait pas si elle a été utilisée à l'insu de Kaspersky, ou forcé (contraint par la loi russe), ou par coopération volontaire.
    • Et l'article note que la NSA a utilisé la même technique (backdoor antivirus) contre d'autres adversaires :dry:
    • l'opération a été éventée en Mars 2015 par Kaspersky
    • EDIT: et cette énorme opération de contre-esp israélienne vient d'être grillée par une fuite à Washington, ce qui prouve qu'on ne peut pas faire confiance aux USA pour garder un secret... :dry:

Complément d'information chez le Wapo:

Je suppose que ce sont des sources indépendantes, donc la fiabilité monte encore en grade (et les israéliens doivent se sentir bien trahis par ces fuites)

https://www.washingtonpost.com/world/national-security/israel-hacked-kaspersky-then-tipped-the-nsa-that-its-tools-had-been-breached/2017/10/10/d48ce774-aa95-11e7-850e-2bdd1236be5d_story.html

 

Citation

Over the past several years, the firm has on occasion used a standard industry technique that detects computer viruses but can also be employed to identify information and other data not related to malware, according to two industry officials, who spoke on the condition of anonymity to discuss sensitive information.

The tool is called “silent signatures” — strings of digital code that operate in stealth to find malware but which could also be written to search computers for potential classified documents, using keywords or acronyms. (...)

Kaspersky is also the only major anti-virus firm whose data is routed through Russian Internet service providers subject to Russian surveillance. That surveillance system is known as the SORM, or the System of Operative-Investigative Measures.

The company said that customer data flowing through Kaspersky’s Russian servers is encrypted and that the firm does not decrypt it for the government.

Andrei Soldatov, a Russian surveillance expert and author of “The Red Web,” said, “I would be very, very skeptical” of the claim that the government cannot read the firm’s data. As an entity that deals with encrypted information, Kaspersky must obtain a license from the FSB, the country’s powerful security service, he noted, which “means your company is completely transparent” to the FSB.

Voici quelques détails sur la technique de "silent signature", une pratique courante chez les éditeurs d'antivirus:

https://www.renditioninfosec.com/2017/07/is-kaspersky-inappropriately-removing-files/ (explication après des allégations précédentes du FBI).

https://eugene.kaspersky.com/2012/06/20/fighting-false-positives/ (défense de Kaspersky sur le sujet ... y a déjà 5 ans)

https://www.schneier.com/blog/archives/2013/12/how_antivirus_c.html (commentaire de Schneier : à priori, pas de possible de demander à tous les éditeurs d'AV d'ignorer un malware d'un pays (normal, 3 éditeurs US, 1 japonais, 1 russe, 2 pays de l'est...)

Note:
La technique de "silent signature" a aussi été détournée / utilisée par Yahoo sur demande express du FBI.
Pour attraper un cercle pédo bien caché, Yahoo a détourné un outil pour faire une recherche globale silencieuse de la signature électronique du groupe, chez tous ses utilisateurs.

Après quelques recherches, voici un scénario "raisonnable" probable (vu chez Nicolas Weaver par exemple):

  • Kaspersky détecte des outils de hacking de la NSA/ Equation Group en opération (après tout c'est un malware) : 
    timing (en 2014 ou avant dixit les fuites israéliennes).
     
  • Pour voir l'étendue de l'infection, ils rajoutent une "silent signature" pour détecter tous les PC où ce malware est présent.
    (d'où le "aggressive scanning" de l'article du NYT
     
  • Ensuite , les SR russes qui surveillent l'activité de Kaspersky et la NSA, récupèrent la liste des machines "infectées" (*).
    Ceci inclut le PC domestique de l'analyste indélicat de la NSA qui a ramené du travail à la maison:rolleyes: ...  (en 2015)
    Et qui a Kaspersky antivirus à la maison :rolleyes:...
    Double facepalm.
    (* d'une façon ou d'une autre : pression sur Kaspersky, taupe, ou recopie intégrale des données échangées PC - éditeur Kaspersky via le système d'espionnage SORM, homologue russe des programmes Xkeyscore NSA )
     
  • Les SR russes piratent sa machine d'une façon ou une autre, et récupère tous les logiciels, et accessoirement les documents.
     (soit via backdoor Kaspersky, soit via des failles standards de Windows/logiciel).
    Après tout, ils connaissent déjà les softs installés via les rapports antivirus (ou les rapports de plantage Microsoft).
     

C'est un scénario plausible qui ne nécessite pas la coopération active de Kaspersky... Et qui leur permet de se défendre (même s'ils vont perdre le marché US).


Y a des scénarios plus simples, mais qui détruiraient leur réputation.
Si Kaspersky :

  1. inclut une fonction de scan de PC à la recherche de fichier sensible (via les métadata XML) (genre Google desktop...).
     
  2. ou que la "silent signature" peut être détournée pour rechercher des fichiers sensibles
    (et que les SR russes peuvent injecter des demandes chez l'éditeurs).

Alors ce serait une backdoor d'espionnage dédiée, et ils sont fou-tus.
Je sens qu'il va y avoir du reverse engineering de cet antivirus prochainement...
 

Note: bien entendu, ce potentiel d'espionnage concerne tous les produits antivirus existants, pas seulement les russes.

Modifié par rogue0
  • J'aime (+1) 1
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, rogue0 a dit :

 

Je suppose que ce sont des sources indépendantes, donc la fiabilité monte encore en grade (et les israéliens doivent se sentir bien trahis par ces fuites)

 

 

Article du Register sur  Kaspersky :

http://www.theregister.co.uk/2017/10/11/israel_russia_kaspersky/

Ils confirment tes explications. Avec entre autre le fait que la fuite ai révélé une opération secrète Israélienne.

  • J'aime (+1) 1
  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

 

Le 11/10/2017 à 12:44, rogue0 a dit :

Je sens qu'il va y avoir du reverse engineering de cet antivirus prochainement...

Note: bien entendu, ce potentiel d'espionnage concerne tous les produits antivirus existants, pas seulement les russes.

Je ne croyais pas si bien dire.

Un autre hacking récent a impliqué des antivirus:

Le 11/10/2017 à 12:44, rogue0 a dit :

Y a des scénarios plus simples, mais qui détruiraient leur réputation.
Si Kaspersky :

  1. inclut une fonction de scan de PC à la recherche de fichier sensible (via les métadata XML) (genre Google desktop...).

(...)

Alors ce serait une backdoor d'espionnage dédiée, et ils sont fou-tus.

ça sent le sapin pour Kaspersky

Une autre fuite de WSJ penche pour cette théorie :

Des agences de sécurité US ont déjà conduit des tests de "pot de miel":
en laissant des documents des documents taggés "top secret" sur des machines avec Kaspersky.
Ils auraient été aspirés.

DL4Ca_yU8AAReLO.jpg:large

Je laisse le conditionnel, car on ne sait pas les conditions des tests (si c'était sur des PC gouvernementaux, les russes ont peut-être tout aspiré par principe ...)

https://www.wsj.com/articles/russian-hackers-scanned-networks-world-wide-for-secret-u-s-data-1507743874

Modifié par rogue0
  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Grosse Fuite de données militaires en australie.

Un prestataire de défense s'est fait pirater 50go de données confidentielles ITAR sur le JSF, le P8, des plans de futurs navires.

C'était pas difficile, y avait encore les mots de passe par defaut admin/admin...:dry:

http://www.zdnet.com/google-amp/article/secret-f-35-p-8-c-130-data-stolen-in-australian-defence-contractor-hack/

  • Haha (+1) 4
  • Confus 1
Lien vers le commentaire
Partager sur d’autres sites

Le 05/10/2017 à 21:40, Rob1 a dit :

Le WSJ a un scoop sur une autre perte d'informations classifiées de la NSA par un contractor :

https://www.wsj.com/articles/russian-hackers-stole-nsa-data-on-u-s-cyber-defense-1507222108

Le reste de l'article étant largement du remplissage avec des infos déjà publiques pas spécifiques à cette fuite... Ce que je retiens :

1) une nouvelle baffe pour la NSA en quelques années. Elle  va finir par devenir l'agence nationale de l'insécurité des informations classifiées...

Vu le laxisme au département TAO de la NSA (piratage) , les fuites ne sont pas près de s'arrêter.
Cet article décrit le niveau de sécurité jusqu'en 2015 ...
Et c'est (relativement) faible.

Après,
<mode @Bat ON :bloblaugh: >  les circonstances atténuantes

  • Oui, chaque personne qui y  travaille est déjà habilitée niveau Secret, et a passé les contrôles de sécurité.
  • Et les hackers là-bas sont de très haut niveau, et pourraient facilement contourner les procédures s'ils le souhaitaient
  • et la sécurité réduit la productivité.

Mais vu le danger de ce qu'ils manipulent, c'est mieux de faire rentrer un peu de discipline militaire dans les rangs, en ce qui concerne la sécurité.
Et puis, interdire de ramener du travail à la maison, c'est bon pour la santé :dry:

https://www.thedailybeast.com/elite-hackers-stealing-nsa-secrets-is-childs-play

Lien vers le commentaire
Partager sur d’autres sites

Le stade d'après le BlackBerry

Je viens de  découvrir les "PGP phones", avec serveurs privés cryptés.
Sauf qu'une bonne partie d'entre eux semble destinés aux organisations criminelles

https://www.thedailybeast.com/meet-danny-the-guy-selling-encrypted-phones-to-organized-crime

 


De plus en plus de sites embarquent des scripts pour "miner" le bitcoin ... et c'est l'internaute qui paie la facture (CPU donc électricité).

Pour certains (thepiratebay), c'est voulu et ils préviennent les utilisateurs (moyen de financement alternatif aux publicités).

Pour beaucoup d'autres, l'utilisateur n'est pas au courant ... et parfois le site non plus.
Les scripts ont été installés par des hackers, et l'argent est "versé" dans sa poche.
Du coup, les bloqueurs de pub s'adaptent pour les bloquer aussi (coinhive)

https://www.developpez.com/actu/165974/Le-minage-furtif-de-cryptomonnaies-affecte-pres-de-500-millions-d-internautes-des-statistiques-revelent-l-ampleur-du-phenomene/

Lien vers le commentaire
Partager sur d’autres sites

http://internetactu.blog.lemonde.fr/2017/10/14/vos-donnees-seront-manipulees/

Quote

Vos données seront manipulées !

A l’occasion de la conférence Strata Data qui se déroulait fin septembre à New York, la chercheuse danah boyd (@zephoria), l’auteure de C’est compliqué (dont paraît ces jours la traduction d’un autre livre coécrit avec Mimi Ito et Henry Jenkins, Culture participative) a, comme toujours, livré une présentation remarquable (extrait en vidéo) sur la fragilité des données à l’heure de leur analyse massive.

La manipulation des médias a toujours existé et le numérique l’a certainement favorisé en rendant poreuse la frontière entre la propagande et le marketing, rappelle-t-elle en pointant vers le rapport publié par Data&Society en mai 2017, l’Institut de recherche dont elle est la fondatrice et la présidente (blog, @datasociety). Mais l’enjeu n’est pas de nous expliquer ce qui s’est déjà passé ou ce qui se passe actuellement, que de regarder ce qui s’annonce. A l’heure du Big data et de l’intelligence artificielle, si nous pensons que la donnée peut et doit être utilisée pour informer les gens et alimenter la technologie, alors nous devons commencer à construire l’infrastructure nécessaire pour limiter la corruption, les biais et l’abus de données. Nous devons reconsidérer la sécurité dans un monde de données.

...

 

Lien vers le commentaire
Partager sur d’autres sites

Quote

Paris - Des chercheurs ont découvert une vulnérabilité dans le protocole WPA2 qui sert à protéger les échanges wifi, rapporte lundi le site spécialisé Ars Technica.

L'Equipe d'intervention en cas d'urgence informatique des Etats-Unis (US-Cert), qui a gardé le secret pendant plusieurs semaines, devait faire une communication à ce sujet plus tard dans la journée, selon Ars Technica.

Concrètement, un dispositif de chiffrement qui devrait être à usage unique peut en réalité être réutilisé plusieurs fois au cours de la procédure d'identification, ce qui "affaiblit complètement le chiffrement", écrit le site.

Quand bien même l'US-Cert a discrètement prévenu la profession, "la grande majorité des points d'accès existants ne devraient pas bénéficier d'un patch de correction rapidement, et certains risquent de ne pas en avoir du tout", note Ars Technica.

"Si les rapports initiaux sont avérés et que les failles permettant de contourner le chiffrement sont faciles à utiliser (...), il est probable que les attaquants seront en mesure d'espionner le trafic wifi à proximité lorsqu'il passe entre les ordinateurs et les points d'accès", écrit-t-il notant que cela peut "ouvrir la porte à des piratage visant les noms de domaine des utilisateurs".


(©AFP / 16 octobre 2017 14h10)

 

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Quote

Une faille dans le protocole de sécurisation du wifi identifiée

San Francisco - Des chercheurs ont découvert une vulnérabilité dans le protocole WPA2 qui sert à protéger les échanges wifi et qui pourrait permettre à des pirates d'y accéder, a rapporté lundi l'équipe d'intervention en cas d'urgence informatique des Etats-Unis (US-Cert).

Le Cert a toutefois gardé le secret sur cette faille pendant plusieurs semaines le temps d'y remédier et sécuriser les réseaux, écrit le site Ars Technica qui a révélé initialement cette faille et les mesures prises par le Cert.

Concrètement, un dispositif de chiffrement qui devrait être à usage unique peut en réalité être réutilisé plusieurs fois au cours de la procédure d'identification, ce qui "affaiblit complètement le chiffrement", écrit Ars Technica.

Le Cert, qui fait partie du département de la sécurité intérieure américain (Homeland Security), a indiqué que la faille avait été initialement découverte par des chercheurs de l'université de Louvain en Belgique.

Ceux-ci ont indiqué dans un blog que la faille pouvait être utilisée "pour avoir accès à des informations que l'on pouvait penser chiffrées en toute sécurité".

"Cela peut-être utilisé pour dérober des informations sensibles comme des numéros de cartes de crédit, des mots de passe, des messages sur des sites ou par courriel, des photos etc.", ajoutent les chercheurs belges, indiquant que "tous les réseaux wifi modernes protégés" étaient concernés.

"Selon la configuration du réseau, il est aussi possible d'injecter et de manipuler des données" par le biais de logiciels malveillants en utilisant cette faille.

Les chercheurs de l'université de Louvain l'ont appelée "KRACK" (Key Reinstallation AttaCK) car elle permet aux pirates d'insérer une nouvelle clé dans les connexions wifi privées.

"Tout le monde a raison d'avoir peur", a affirmé Rob Graham de Errata Security dans un blog. "En pratique, cela veut dire que les pirates peuvent lire une bonne partie du trafic sur les réseaux wifi avec plus ou moins de difficulté selon la configuration du réseau", ajoute-t-il.

Wi-Fi Alliance, un groupe qui fixe les normes pour les réseaux sans fil, a toutefois souligné que les utilisateurs ne devaient pas céder à la panique.

"Il n'y a pas preuve que cette faille ait déjà été exploitée à de mauvaises fins et l'alliance a pris des mesures immédiates pour que les réseaux wifi soient utilisés en toute sécurité", a indiqué l'organisation dans un communiqué.

"Wi-Fi Alliance demande maintenant que des essais soient faits pour tester cette faille sur le réseau et fournit un outil pour la détecter à tous ses membres", ajoute-t-on de même source.

Ars Technica souligne cependant que, quand bien même l'US-Cert a discrètement prévenu la profession, "la grande majorité des points d'accès existants ne devraient pas bénéficier d'un patch de correction rapidement, et certains risquent de ne pas en avoir du tout".

"Si les rapports initiaux sont avérés et que les failles permettant de contourner le chiffrement sont faciles à utiliser (...), il est probable que les attaquants seront en mesure d'espionner le trafic wifi à proximité lorsqu'il passe entre les ordinateurs et les points d'accès", écrit-t-il notant que cela peut "ouvrir la porte à des piratage visant les noms de domaine des utilisateurs", ajoute le site internet.


(©AFP / 16 octobre 2017 16h32)

 

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Après le protocole wifi, c'est au tour des cartes à puces d'avoir un défaut dans leur crypto:

https://arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids/

Moralité: la crypto sensible, ça se fait avec des masques jetables générés par des processus physiques aléatoires et distribués correctement. Le reste c'est des paris risqués.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, g4lly a dit :

 

Quelques détails en  plus:

  • L'attaque fonctionnait sur toutes les implémentations du protocole WPA2 (notamment Android 6.0 et Linux).
    La bonne nouvelle, c'est qu'il suffit d'un patch logiciel pour se protéger de la faille.
    La mauvaise nouvelle, c'est que de nombreux matériels (dont les smartphones androids, routeurs, etc) ne sont plus mis à jour, et resteront à jamais vulnérables. :sad:
    La pseudo bonne nouvelle, c'est qu'on est revenu à l'ère du WEP : considérer que tout réseau sans fil est non sécurisé maintenant...
    Reste le bon vieux câble réseau :bloblaugh:
  • L'attaque a été présentée en juin dernier, avec une annonce complète en novembre.
    Mais il est désormais impossible de garder un secret avec tous les gens qui surveillent les nouveaux noms de domaine, le cloud amazon AWS à la recherche d'info non sécurisées, etc. :dry:

https://arstechnica.com/information-technology/2017/10/how-the-krack-attack-destroys-nearly-all-wi-fi-security/

https://www.schneier.com/blog/archives/2017/10/new_krack_attac.html#comments

Il y a 6 heures, hadriel a dit :

Après le protocole wifi, c'est au tour des cartes à puces d'avoir un défaut dans leur crypto:

https://arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids/

Moralité: la crypto sensible, ça se fait avec des masques jetables générés par des processus physiques aléatoires et distribués correctement. Le reste c'est des paris risqués.

Merci, ça résout le mystère de la faille des cartes d'identités estoniennes dont on parlait le mois dernier ...

Mais du coup, la crise s'élargit à toutes les clés de crypto générées par ces puces infineon (puce TPM dans les portables, clés Ubikey U2F...)
Faudra refaire tous ces certificats de crypto...

Le one-time pad est théoriquement infaillible, mais n'est pas utilisable à grande échelle , avec les problématique de distribution de clé ... Et de garantie que la distribution n'a pas été compromise...

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, g4lly a dit :

Cette faille WPA2 ... c'est une faille HADOPI ... a qui on pourra opposer l'absence de mise a jour des firmware WPA2 :bloblaugh:

Pas sûr que ça tienne, au moins en entreprise : la mise en sécurité des infra est de la responsabilité de leurs opérateurs. Pour les particuliers, les Free, Orange et consorts vont poser des rustines j'espère...

Lien vers le commentaire
Partager sur d’autres sites

Google propose un service email à sécurité "durcie".

Ce service sera proposé aux utilisateurs à "haut risque" : gouvernements, dissidents, journaleux.

Rien de bien révolutionnaire : juste :

  • l'obligation de passer par des clés physiques d'authentification (U2F et dongle bluetooth équivalents pour les smartphone),
  • le blocage des API externes,
  • un scan poussé antivirus à la réception (d'ailleurs Chrome inclut le moteur de Eset / Nod32 maintenant)
  • et une procédure de réinitialisation de mot de passe beaucoup plus contraignante (des jours de vérification et d'attente, pour contrer l'usurpation d'identité).

https://arstechnica.com/gadgets/2017/10/google-now-offers-special-security-program-for-high-risk-users/

Mon avis :
Ce sont des mesures minimales de bon sens, qu'on peut appliquer soi-même.
Mais là, c'est déjà tout préparé par l'éditeur.

ça pourra décourager les attaquants casual et le spear phishing de base (style Fancy Bear).
Par contre, les attaquants gouvernementaux (style APT) seront à peine ralentis.
Ces mesures ne protègent pas contre la prise de contrôle du PC ou du smartphone (ce qui peut se faire avec quelques failles/0day pas trop chers <1M$)

Lien vers le commentaire
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
  • Statistiques des membres

    5 996
    Total des membres
    1 749
    Maximum en ligne
    erthermer
    Membre le plus récent
    erthermer
    Inscription
  • Statistiques des forums

    21,6k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...