Powered By Blogger

Rechercher sur ce blogue

samedi 19 avril 2014

Pourquoi les attaques par injection SQL sont couronnées de succès ?

Le rapport Ponemon offre un aperçu intéressant :
SQL est martelé par les méchants . Pourquoi est-ce , et c'est là tout ce qui peut être fait pour remédier à la situation ? Une récente étude du Ponemon sur les injections SQL et les solutions possibles sont discutés.
SQL a été autour depuis les années 1970 , donc on assumerait tous les bugs de la vulnérabilité du language ont été éliminés.Pourtant, il existe encore de nombreux rapports d'attaquants pouvant tirer parti des faiblesses dans SQL à enfreindre systématiquement les entreprises de grande envergure .

On m'a dit que c'est la nature de la bête . Chaque fois que les gens sont autorisés à accéder aux informations stockées sur les serveurs backend,le problème est juste une requête plus loin .Méchants utilisent une injection SQL pour libérer les données du serveur hébergeant la base de données sous attaque .

En quoi consiste exactement une attaque par injection SQL ?
Selon l'Institut Ponemon , injection SQL est utilisée pour :

" Applications pilotées par les données d'attaque : dans les instructions SQL malveillants sont insérés dans un champ de saisie pour l'exécution (par exemple pour vider le contenu de base de données à l'attaquant ) injections SQL exploitent les failles de sécurité dans le logiciel d'une application injection SQL est plus communément connu comme un . . vecteur d'attaque par des sites grand public , mais peut être utilisée pour attaquer des bases de données SQL dans une variété de façons . "

Pourquoi les attaques par injection SQL sont encore répandue ?
Le fait que les attaques par injection SQL ont été découverts il y a plus de 15 ans par Jeff Forristal et sont encore exécuté par beaucoup de gens frustrés .
D'autres applications vulnérables sont finalement fixés , mais pas SQL . Le projet Open Web Application Security ( OWASP ) propose cette explication :

«Les attaques par injection SQL sont malheureusement très commun , et cela est dû à deux facteurs : . La prévalence des vulnérabilités d'injection SQL et l'attractivité de la cible ( bases de données contenant les données intéressantes / critiques pour l'application ) "
La prévalence de la vulnérabilité et l'apparente incapacité de faire quoi que ce soit à ce sujet le Dr Larry Ponemon perplexe , président et fondateur de l'Institut Ponemon , un organisme de recherche indépendant . Dr Ponemon a décidé de faire ce qu'il fait le mieux : la recherche du problème .

Avec le parrainage de DB Networks, l'Institut Ponemon a recueilli les réponses de près de 600 membres du personnel de TI et les professionnels de la sécurité pour tenter de comprendre comment les organisations réagissent aux menaces d'injection SQL et la prise de conscience des participants sur la façon de gérer le risque - les choses simplement , pourquoi les attaques par injection SQL se produisent encore .

De l'enquête les réponses des répondants , l'Institut Ponemon dérivé résultats intéressants qu'il a publié dans l'étude SQL Injection de la menace .

Méthodologie de l'enquête
Avant d'arriver à ce découvert Ponemon , je vais partager la façon dont il a mis en place l'enquête , en particulier la sélection des participants :

" Un cadre d'échantillonnage de 16520 a connu TI et praticiens de la sécurité situées aux États-Unis ont été sélectionnés comme participants à cette enquête. Rendement total s'élève à 701 . Dépistage et les vérifications de fiabilité requis la suppression de 106 enquêtes . L'échantillon final était composé de 595 enquêtes . "

Le nombre d'organisations attaquées
Une conférence téléphonique a eu lieu avec le Dr Ponemon et Michael Sabo , vice- président du marketing pour DB Networks, pour discuter des résultats . L' ampleur du problème a fait surface lors de l'examen des réponses des répondants aux questions suivantes :

Au cours des 12 derniers mois , votre entreprise at- expérience une ou plusieurs attaques réussies par injection SQL ?
Si oui , combien de temps at-il fallu pour détecter l'attaque ?
Si oui , combien de temps at-il fallu pour contenir l'attaque ?
Soixante- cinq pour cent des organisations représentées dans cette étude a connu une attaque par injection SQL qui a évité avec succès leurs défenses périmétriques dans les 12 derniers mois . Vingt et un pour cent ( le plus grand groupe en termes de pourcentage ) a déclaré qu'il a pris six mois pour détecter l'attaque , et vingt- un pour cent ( le plus grand groupe en termes de pourcentage ) dit qu'il a fallu un mois pour contenir l'attaque .

Pourquoi le taux de réussite ?
La prochaine série de questions a essayé de déchiffrer pourquoi tant d'attaques ont réussi , et pourquoi il a fallu tant de temps pour détecter et contenir les attaques :

Comment êtes-vous familier avec le terme comme arme d'attaque par injection SQL ?
Combien de fois ne scanne votre entreprise pour les bases de données actives ?
Est-ce que votre test de l'entreprise et de valider des logiciels tiers afin de s'assurer qu'elle n'est pas vulnérable à des attaques par injection SQL ?
Quarante- huit pour cent des répondants n'étaient pas familiers avec le terme comme arme attaques par injection SQL . Comme pour la numérisation de bases de données actives , vingt -cinq pour cent le faire à intervalles irréguliers , et vingt-deux pour cent ne recherche pas du tout . Cinquante -deux pour cent des répondants ne va pas tester ou valider un logiciel tiers pour leur sensibilité à attaques par injection SQL .

Essayer d'identifier les faiblesses
Ensuite, les participants ont été invités à évaluer les déclarations suivantes .
La question se référant au BYOD semblait hors de propos. Pour expliquer , Sabo mentionné attaques par injection SQL via un PC a commencé avec le navigateur Web , dont il ne reste que quelques versions et relativement facile à obtenir . Considérant que, BYOD , le plus souvent chaque application se connecte à un serveur SQL , ce qui rend presque impossible de protéger les appareils et les données , et d'expliquer pourquoi 56 pour cent des répondants sont préoccupés par BYOD .

les conclusions
Comme la plupart des enquêtes , l'étude SQL Injection de la menace fournit les informations , mais pas de conclusions . Ponemon et Sabo ont été invités à spéculer sur les conclusions du rapport d'enquête . Tous deux centrés sur la façon dont le maillon faible de SQL est la requête , et que la garantie de toutes les requêtes font ce qu'ils sont censés et rien de plus est une tâche difficile .

Sabo a également mentionné que , jusqu'à récemment , il fallait un haut niveau d'expertise pour construire une requête illicite . Maintenant, l'Internet est inondé avec des outils qui permettent aux individus inexpérimentés à obscurcir les requêtes malveillantes , ce qui rend facile d'être un mauvais gars(Pirate/Hacker) , et encore plus difficile pour les mesures de sécurité SQL pour détecter les requêtes malveillantes.
" Le processus commence par l'apprentissage automatique et la modélisation du comportement de génération de SQL correcte de l'application. L'IDS de base utilise alors une suite de procédures de tester et d'évaluer chaque instruction SQL sur le modèle de comportement appris. Logique floue est appliquée pour déterminer la menace globale de chaque instruction SQL . "
Scepticisme sur les solutions est justifiée sur la base du passé de SQL . Mais , Joe McCray , un consultant indépendant en sécurité et  vétéran Pen testeur, dans cette vidéo YouTube, a expliqué que la réponse de DB réseau à injection SQL bloqué toutes les attaques qu'il a essayé :



" La façon dont le produit fonctionne est unique . Le suivi en temps réel et la détection basée sur les anomalies - était quelque chose que je n'avais pas vu dans cet espace de l'application. Elle a été en mesure de montrer à tous les attentats que je tentais , même quelques trucs très sophistiqués que j'utilise " .



Pourquoi Edward Snowden a utilisé Tails Linux pour organiser sa fuite


Pour communiquer avec les journalistes Glenn Greenwald et Laura Poitras, l’ex-consultant de la NSA s’est appuyé sur un projet open source relativement inconnu, mais terriblement efficace. Explications.



Outre sa messagerie chiffrée avec PGP, Edward Snowden utilisait également un autre outil informatique pour assurer la confidentialité de ses communications: le système d’exploitation Tails Linux. Comme le relate le livre « Der NSA-Komplex », qui vient d’être publié par deux journalistes du magazine Spiegel, le lanceur d’alerte a d’abord tenté d’entrer en contact avec Glenn Greenwald avec PGP, mais sans succès. A cette époque, le journaliste ne connaît rien à ces techniques de chiffrement. Il ne répond pas.
Edward Snowden se tourne alors vers la documentariste Laura Poitras, qui s’y connaît déjà plus. Après un premier échange en PGP, il lui suggère d’installer Tails Linux, pour davantage de confidentialité. Et c’est ainsi que toute l’histoire commence, les premières publications dans la presse, l’interview à Hong Kong, la fuite vers Moscou, etc.

Une épine dans le pied de la NSA

Si Snowden, ex-consultant de la NSA, a choisi Tails Linux, c’est parce qu’il était certain que ce système était l’un des plus sécurisés. Et c’est vrai : dans un document secret, la NSA estimait que ce système rendait beaucoup plus difficile les cyberattaques par le réseau (« adds severe CNE [Computer Network Exploitation, ndlr] misery to the equation »). « Cela a été un outil essentiel pour réaliser l’enquête sur le NSA », souligne Laura Poitras, sur le site de la fondationFreedom of the Press.
agrandir la photo
Pourquoi Tails Linux est-il si efficace ? Plusieurs raisons peuvent l’expliquer. Basé sur Debian, l’une des distributions les plus populaires, ce système open source n’installe rien sur l’ordinateur. Comme son nom l’indique (TAILS, The Amnesic Incognito Live System), il est démarré directement depuis un CD/DVD ou une clé USB. Tout s’exécute au niveau de la mémoire vive, aucun accès au disque dur n’est effectué. Quand l’utilisateur éteint la machine, tout est réellement effacé, il n’y laisse aucune trace.

Les développeurs préfèrent rester dans l’ombre

Le nouveau logo de Tails Linux
agrandir la photo
Par ailleurs, Tails Linux intègre toute une série d’outils pour communiquer en toute tranquillité : Tor, le célèbre protocole de communication anonyme ; OpenPGP, une version open source de PGP ; OTR, une messagerie instantanée chiffrée ; HTTPS Everywhere, pour crypter toutes les connexions avec les sites web. Enfin, comme le relate Wired.com, les développeurs de Tails restent eux-mêmes dans l’anonymat, pour éviter de subir d’éventuelles pressions de la part d’agences de renseignement, comme cela est déjà arrivé à Linus Torvalds, le créateur de Linux.
Il est intéressant de constater que pour déjouer la surveillance des agents secrets, Snowden et ses amis ne sont appuyés sur un projet dont le budget de fonctionnement n’est que d’environ 42 000 euros. Ce qui n’est rien comparé aux 15 milliards de dollars de la NSA...  
Lire aussi:
Les documents d’Edward Snowden déjà publiés, désormais accessibles par mot-clé, le 07/04/2014
Edward Snowden : « Les plus grosses révélations sont à venir », le 19/03/2014


REF.:

Smartphones : les fabricants unis pour des antivols 'kill switch' sur les mobiles dès juillet 2015

Technologie : Même Apple fait partie de la liste des participants... Il s'agit de généraliser les dispositifs de neutralisation à distance pour décourager les voleurs.
Toutes les secondes, un mobile se fait voler dans le monde, souvent avec violence. Une tendance qui évidemment prend de l'ampleur avec la généralisation des smartphones.
Les moyens pour décourager les voleurs, comme les fichiers IMEI, ne semblent plus adaptés à la donne actuelle. Il s'agit donc aujourd'hui d'offrir à tous les outils qui existent déjà pour les entreprises, à savoir la possibilité de neutraliser bel et bien un smartphone volé à distance, même éteint.
Il était temps car ces technologies sont connues, notamment sur iOS 7 ou via des applications tierces sur Android. Ainsi, Apple, Samsung, Motorola, Microsoft, Nokia, Google et HTC ont signé un accord visant à généraliser ces dispositifs : neutralisation à distance (kill switch) mais aussi double authentification, effacement des données etc..., rendant inutilisable un terminal volé.
Virage à 180° 
Il pourra être par la suite réactivé avec l'accord de leur propriétaire et l'aide des opérateurs mobiles. Ces mesures seront appliquées sur les mobiles commercialisés au-delà de juillet 2015.
Il y a encore peu de temps, les opérateurs américains refusaient l’intégration d’un tel outil dans les smartphones. De quoi les soupçonner de protéger leurs revenus issus de la vente d’assurance.
Mais pour ces entreprises, une telle fonction pourrait aussi être perçue comme néfaste financièrement en réduisant par exemple la très lucrative vente d’assurance contre les vols. Une position qui a immédiatement été critiquée par les procureurs de San Francisco (où 50% des vols en 2012 portaient sur un smartphone) et de New York.
Pour ces derniers, le fait pour ces opérateurs que les profits priment sur la sécurité des consommateurs est désormais flagrant. Ils insistent donc auprès de ces derniers pour qu’une telle fonction devienne un standard. Ce qui semble aujourd'hui en prendre le chemin.


REF.:

Samsung Galaxy S5 et iPhone 5S : le lecteur d'empreintes déjà piraté

C'est l'un des principaux arguments de Samsung pour son nouveau Galaxy S5 : la présence d'un capteur d'empreintes digitales afin de déverrouiller le terminal et même effectuer des paiements avec PayPal.
La fonction est également mis en avant dans le discours dédié aux entreprises afin de démontrer que le S5 est un terminal sécurisé. Mais comme chacun sait, la sécurité à 100% n'existe pas et le dispositif de Samsung n'a pas mis longtemps à être contourné.
L'exploit est du aux chercheurs allemands de SRlabs qui ont utilisé un moule en plastique reproduisant l'empreinte enregistrée qui a été récupérée en photographiant l'écran du spartphone où les traces de doigt sont multiples.Vidéo à l'appui, les experts montrent que la manoeuvre n'est pas bien compliquée.
D'autant plus que le S5 n'intègre pas de système de blocage en cas d'essais répétés (et refusés) de déverrouillage par l'empreinte. On peut alors imaginer les conséquences de ce hack via PayPal par exemple...
Rappelons que TouchID d'Apple, présent sur l'iPhone 5s, n'a lui non plus pas résisté longtempsaux assauts des spécialistes. Le Chaos Computer Club (CCC) a d'ailleurs utilisé la même méthode de la photo et du moule. Ils ont d'abord pris une photographie de l’empreinte de l’utilisateur en 2400 ppp (la résolution utilisée par TouchID).
Cette image a ensuite été inversée puis imprimée en 1200 ppp (avec une imprimante laser grand public) sur une feuille transparente. Une sorte de moule 3D est ensuite réalisé dans lequel est versé du latex. Il suffit alors de décoller la copie 3D de l'empreinte, de l'humidifier et de l'utiliser pour leurrer TouchID. 
Un autre membre du CCC souligne : "nous espérons que notre démonstration mettra fin à l’illusion que les gens ont au sujet de la biométrie par empreinte digitale. Il est stupide d’utiliser comme moyen de sécurité quelque chose qu’on ne peut pas changer et que vous laissez toute la journée partout derrière vous".


REF.:

OS Mobile pour voiture: Windows in the Car Vs CarPlay d'Apple




Début mars, Apple avait dévoilé à l'occasion du salon automobile de Genève son système d'exploitation mobile pour voiture, appelé CarPlay. La firme indiquait avoir passé des accords avec 18 constructeurs, dont le français PSA (Peugeot-Citroën).
Selon le quotidien japonais Nikkei, Apple travaille avec le fabricant électronique Alpine pour réaliser une console qui permettra d'intégrer la technologie CarPlay dans des modèles préexistants.
L'utilisation d'iOS pour la musique, l'échange de messages, les appels vocaux et la cartographie, ainsi que l'usage de l'assistant personnel Siri, seraient possibles avec un écran de 7 pouces relié à un iPhone 5.
 
Le dispositif serait disponible l'automne prochain aux Etats-Unis et en Europe, pour un prix de 500 à 700 dollars (360 à 506 euros).
De nombreux projets 
L'industrie des véhicules connectés intéresse énormément tant les constructeurs automobiles que les entreprises IT ces temps-ci. Des firmes comme Ford incluent des fonctionnalités de cartes, de météo et trafic en temps réel et de musique dans certains modèles.
Google développe un système similaire (pour lequel il s'est allié avec Audi, General Motors, Honda, Hyundai et Nvidia), et Microsoft a présenté il y a quelques jours son futur "Windows in the Car", sans donner de date de lancement.
Chez les constructeurs, GM (General Motors) sort cette année des voitures équipées de connexion 4G.


mercredi 16 avril 2014

Hackers: on attrape toujours les derniers petits malfrats pour faire peur au gros ,......................Heartbleed Story ?

Heartbleed Story ?

Ce qu'ont disaient en 2008 sur le SSL:(sur le site de SID)
Premièrement, cette vulnérabilité n'a absolument pas fait parler d'elle ! Certes celle-ci n'est pas aussi critique que celle deOpenSSL dans Debian, mais GnuTLS est quand même très utilisée. Mais bon, il aurait sûrement suffi d'annoncer la plus grosse vulnérabilité du mois, ne pas releaser les détails, etc. pour la transformer en faille médiatisée ;) Je vous renvoie d'ailleurs sur un post plus ancien de Sid qui reprend des failles peu médiatisées et à celui de FX sur la perception des vulnérablités.

Et la,on parle pas encore de cette possible faille(non rendu publique) du https,avec plus de 360 millions d’identifiants contenant des adresses emails, accompagnées de mots de passe,provenant du DeepWeb ! A lire ICI !

Comptes en banques, réseaux d'entreprises visés ? Entre les mains des pirates, ces données sont considérées comme beaucoup plus dangereuses que les coordonnées de cartes bancaires, surtout lorsque les usagers se servent des mêmes identifiants et mots de passe, ce qui est souvent le cas. Selon Hold Security, cela pourrait notamment permettre d’accéder à des comptes en banque, des réseaux d’entreprise ou des données médicales.Il est important de souligner que ces révélations sont utilisées par Hold Security pour promouvoir son nouveau service de surveillance du web invisible ou deep web.

drean179 a dit, Posté le: 2014-04-13 06:09:52
Messages: 330Classe: User
Il y a plusieurs moyens de hacker un site internet

Voici les plus répondue:
Attaque DDOS serveur contre serveur (il y a peu de temps un tracker publique avait attaqué un tracker fermé avec une simple iframe cachée dans le code)
Attaque DDOS pc zombie contre serveur (Très utilisés par Anonymous, pour faire tomber des site du gouvernement)
Injection SQL (SI un site ne met pas de protection dans les $_GET ou $_POST ou encore $_COOKIE, il risque fortement d'avoir la base de donnée modifiée)
Incrustation de JavaScript ou de HTML dans le code, aussi appelée faille Cross Site-Scripting (Il s'agit de mettre de l'HTML ou du JS dans un élément sauvegarder dans la base de donnée, Attaque peu intrusive)
L’hameçonnage (Une fausse page web avec le même design d'un site (la page de connexion) est créé par un intéressé qui va servir pour enregistrer les identifiants d'un membre et ainsi de pouvoir en abusé.
 
 
on attrape toujours les derniers petits malfrats pour faire peur au gros,c'est comme la Mafia, ça n'existe plus maintenant c'est la 'Ndrangheta, une mafia calabraise construite comme une immense famille sans véritable leadership (ce qui la rend plus difficile à faire tomber que leurs rivaux siciliens, la Cosa Nostra).La 'Ndrangheta, est l'équivalent d' Anonymous sur le web. Dans le monde du hacking ,ceux-ci offre des logiciels d'attaques DDNS (clef en main)prêt  a servir aux mains des script kiddies (les ados du web ou les gagnes de rue du cyberspace),on appel ça des porteux de valise ce sont eux qui font la sale besogne , et ont les mains sale pleine d'empreinte IP repérable par le FBI, NSA et Prism qui doivent avoir accès ,avec ou sans mandat aux livres IP ,des serveurs web de votre fournisseur internet.
LE 911 SYNDROME,(ont savaient ,que l'attaque arrivait,mais personne ne l'a rendu publique)........les vrai raison ? la vente d'armes militaires ? Le marché du pétrole,....la démocratisation et l'impérialisme Américain, ou un domage caulatéral a l'ingérence Américaine en Orient ? On n'a vraiment pas poigné le vrai coupable : Ben Laden,Kadhafi ou Saddam Hussein !

Paradis fiscaux ? Même estiee d'affaire !
La conscience ? 
Ça prend une éternité,et c'est invisible!

*Le problême de la faille Heartbleed,est-ce le programmeur du SSL qui a oublié de tester la faille en deux ans ou les Script kiddies du web en mal de notoriété ?
Le corps policier de la SQ a arrêté Stephen Arthuro Solis-Reyes (ti-cul de 19 ans)à son domicile de London, en Ontario, mardi. Des accusations criminelles d'utilisation non autorisée d'ordinateur de méfait concernant des données ont été portées contre lui.« M. Solis-Reyes est soupçonné d'avoir extrait des renseignements personnels détenus par l'Agence du revenu du Canada en exploitant la faille informatique Heartbleed », a précisé la GRC dans un communiqué.L'ARC a annoncé lundi que 900 numéros d'assurance sociale ont été saisis illégalement dans ses banques de données par un pirate informatique.D'autres renseignements personnels pourraient aussi avoir été détournés. L'ARC et la GRC, de même que les services de sécurité électronique du gouvernement fédéral, continuent à enquêter.M. Solis-Reyes comparaîtra à Ottawa le 17 juillet 2014.
Non ,ça prendra la tête dirigeante de la pyramide du cybercriminel , et ça ,.............ça n'arrivera jamais !
Ce sera toujours les suiveux , qui se feront prendre ,après 2 ans de cavale ,et ça finira par une pseudo-loi du web(4% DU WEB VISIBLE) ,alors que tout se passe dans le Deep Web (96% DU WEB et INVISIBLE) ! 




lundi 14 avril 2014

Faille Heartbleed: faille inconnu des Banques depuis deux ans et plus ?

Et si la banque CIBC et autres Banques Canadienne avaient été exposé a cette faille,il y a deux ans ?(Je me souviens ?)
Personnes ne le dira,car la faille était pas connu des Banques,ni de Revenu Canada etc.......ainsi que 500,000 serveurs sur la planète web.D'ailleurs encore beaucoup de sites perso n'ont pas le HTTPS encore !
Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu'il s'agit d'un site pirate), pourraitutiliser certaines des données interceptées pour vous cibler.



Mais ,beaucoup de personnes clients des Banques ont changées de cartes débits en 2012,les banques ont demandées a leurs clients de se rendre a leurs comptoir pour changer de carte débit, avec une puce ,en changeant de mot de passe ! Bizarre quand même.C'est sûr que personne ne dira qu'il y avait une faille Heartbleed en 2012 ,mais beaucoup de programmeurs le savaient,ainsi que la communauté des Pirates a chapeau blanc,la NSA ,le dernier a être au courant de cette faille a été un ingénieur en sécurité chez Google "Neel Mehta" en Avril 2014, le jour de sa découvert médiatique(c'est lui qui découvra le bug underground) !

Pourquoi Google,Microsoft sont protégé,c'est qu'ils ont des doublons,du Cloud et du back-up en miroir sur leurs serveurs ! C'est comme si vous ferez des back-up instantannés a la secondes près, et que vous garderiez des copies virtuelles et sur disques physiques en lieux sûre.Google a des sous-marins et des containners sur bateaux flottants !

Après ça, vous connaissez l'histoire ;-)

Le problême est dans la validité des certificats,....................très connu des Hackers !


Ce qu'a dit Symantec:  (Avis de sécurité - OpenSSL Heartbleed Bug )   https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AD831
En tant que premier organisme de certification dans le monde, Symantec a déjà pris des mesures pour renforcer nos systèmes. Nos racines ne sont pas en danger; Cependant, nous suivons les meilleures pratiques et avons retapées tous les certificats sur les serveurs Web qui ont les versions affectées d'OpenSSL. 

Après les entreprises ont mis à jour leurs systèmes ou recompilés, Symantec recommande que les clients remplacent tous les certificats-indépendamment de l'émetteur sur leurs serveurs web pour atténuer les risques de violation de la sécurité. Symantec offrira des certificats de remplacement gratuits pour tous nos clients. 

Enfin, Symantec demande des clients pour réinitialiser les mots de passe de leur SSL et consoles de gestion de signature de code. Encore une fois, il s'agit d'une meilleure pratique et nous encourageons les entreprises à demander à leurs clients finaux à faire de même après leurs systèmes ont appliqué le correctif. Nous continuerons à travailler avec nos clients afin de minimiser l'impact des risques de sécurité de cette vulnérabilité.

Ce qu'ont disaient en 2008 sur le SSL:(sur le site de SID)
Premièrement, cette vulnérabilité n'a absolument pas fait parler d'elle ! Certes celle-ci n'est pas aussi critique que celle deOpenSSL dans Debian, mais GnuTLS est quand même très utilisée. Mais bon, il aurait sûrement suffi d'annoncer la plus grosse vulnérabilité du mois, ne pas releaser les détails, etc. pour la transformer en faille médiatisée ;) Je vous renvoie d'ailleurs sur un post plus ancien de Sid qui reprend des failles peu médiatisées et à celui de FX sur la perception des vulnérablités.

Et la,on parle pas encore de cette possible faille(non rendu publique) du https,avec plus de 360 millions d’identifiants contenant des adresses emails, accompagnées de mots de passe,provenant du DeepWeb ! A lire ICI !

Comptes en banques, réseaux d'entreprises visés ? Entre les mains des pirates, ces données sont considérées comme beaucoup plus dangereuses que les coordonnées de cartes bancaires, surtout lorsque les usagers se servent des mêmes identifiants et mots de passe, ce qui est souvent le cas. Selon Hold Security, cela pourrait notamment permettre d’accéder à des comptes en banque, des réseaux d’entreprise ou des données médicales.Il est important de souligner que ces révélations sont utilisées par Hold Security pour promouvoir son nouveau service de surveillance du web invisible ou deep web.
**********************


Alors,si les Banques Canadienne perdent de l'argent avec le vol de mots de passe de vos cartes Bancaires,il y a aussi la fraude,le clonage de carte, mais aussi il ont le droit de légaliser leurs filiales dans des paradis fiscaux,   c'est pire !

Les banques canadiennes et leurs filiales:
Les grandes banques canadiennes ne sont pas en reste. Elles possèdent 75 filiales dans desparadis fiscaux, de la Suisse à Singapour. On trouve, par exemple, des succursales de CIBC et de Scotiabank dans les îles Vierges britanniques, des filiales de la Banque Royale sur l'île Jersey, une succursale de la Banque de Montréal au Luxembourg et la présence de TD aux Bermudes et à la Barbade.Ça prend des couilles pour faire ça ;-)
Le Canada a joué et continue de jouer un rôle de premier plan dans le développement des paradis fiscaux dans les Caraïbes et ailleurs.C’est la thèse explosive que défend l’auteur Alain Deneault dans un livre à paraître mardi, Paradis fiscaux: la filière canadienne.
Le Québec n’échappe pas non plus à la vague, lui qui subventionne les bureaux montréalais d’un des cabinets d’avocats les plus en vue aux Îles Caïmans.Environ 25% des investissements étrangers du Canada sont aujourd’hui réalisés dans des paradis fiscaux.

Selon l’auteur, le gouvernement conservateur en place à Ottawa n’a fait qu’accenter le phénomène en légalisant des pratiques qui étaient autrefois considérées comme illégales.
«Il est devenu clair que la politique fédérale canadienne consiste à lutter contre la fraude fiscale en la légalisant.»