Powered By Blogger

Rechercher sur ce blogue

jeudi 2 mai 2013

BoxCryptor vs DropSmack: La bataille pour sécuriser Dropbox ?


Peut DropSmack malware être arrêté? Michael P. Kassner demande aux créateurs de BoxCryptor si elle est à la tâche d'assurer le service de synchronisation de fichiers Dropbox.
J'ai récemment écrit un article sur DropSmack , un outil bad-guy potentiellement puissant qui manipule le service de fichiers de synchronisation de Dropbox pour recevoir la commande non autorisée et le trafic de contrôle de l'extérieur du périmètre d'un réseau. DropSmack est la création de Jake Williams ( @ MalwareJake ). Dans les mains de Jake, il est un outil utile bienveillant utilisé pour sonder les points faibles dans le réseau d'un client.
Mais dans de mauvaises mains, Jake rapidement fait remarquer, que ce soit DropSmack ou un logiciel similaire est un moyen efficace pour obtenir un appui-pied dans les réseaux d'entreprise hautement fortifiés qui emploient sciemment ou non un service de synchronisation de fichiers.
Cet article se distingue pour moi parce que c'était l'une des rares fois où je n'ai pas pu offrir une solution autre que de ne pas utiliser l'application.

Une lueur d'espoir

Comme j'ai répondu aux commentaires du forum sur DropSmack, je suis tombé sur un article intitulé: "C'est pourquoi BoxCryptor est disponible!" Le membre a ensuite proposé quelques réflexions sur la façon dont BoxCryptor pourrait contrecarrer DropSmack.
Pour une raison quelconque, BoxCryptorsemblait familier. Après un peu, le brouillard s'éclaircit; TechRepublic a publié un article à ce sujet en Février. Pourtant, je ne vois pas comment BoxCryptor pouvait vaincre DropSmack. N'ayant rien à perdre, et une chance d'en apprendre davantage sur BoxCryptor, j'ai décidé de demander aux gens de BoxCryptor ce qu'ils pensaient de DropSmack.

Quel est BoxCryptor?

J'ai d'abord discuté avec Andrea Wittek, PDG et fondateur de BoxCryptor, elle m'a ensuite présenté à Robert Freudenreich, BoxCryptor co-fondateur et CTO. Il ne semble pas juste de commencer avec une question sur DropSmack, alors j'ai demandé à Robert pour expliquer BoxCryptor:
BoxCryptor est un logiciel de cryptage cloud optimisé fabriqué en Allemagne. Avec BoxCryptor, vous pouvez crypter vos fichiers avant de les télécharger sur Dropbox, Google Drive, SkyDrive, Box, ou tout autre fournisseur de stockage en nuage. BoxCryptor est compatible avec Windows, Mac OS X, Android, Windows 8, et iOS.
Remarque : Il est important de rappeler deux DropSmack et le travail de BoxCryptor avec l'un des nombreux services de synchronisation de fichiers. Pour faire simple, je voudrais continuer à utiliser Dropbox pour faire référence à l'ensemble du groupe.
Ensuite, j'ai demandé à Robert pourquoi il se sentait BoxCryptor était nécessaire:
Je suis sûr que vous êtes au courant des nombreux problèmes de sécurité graves impliquant des données des membres à différents fournisseurs de stockage en nuage. Si vous voulez vous assurer que vos fichiers sont protégés, vous devez BoxCryptor.
Robert a alors commencé à expliquer les subtilités de leur processus de cryptage. Je me suis vite interrompu Robert, le suppliant de me donner la version "non-geek» (Suivez ce lien pour la version geek):
BoxCryptor crée un lecteur virtuel sur votre ordinateur. Lorsque vous enregistrez un fichier sur le disque virtuel, BoxCryptor crypte le fichier à la volée, et le stocke dans votre dossier Dropbox. Si vous ouvrez un fichier dans le BoxCryptor Drive, il est automatiquement décrypté. Parce que la clé utilisée pour le chiffrement est sécurisé par un mot de passe, n'importe qui qui veut décrypter et accéder au fichier doit connaître le mot de passe correct.
Andrea et Robert considèrent BoxCryptor être un logiciel "Zero-Knowledge". Appel quelque chose zero-knowledge semblait étrange pour moi, alors j'ai demandé à Robert ce qu'ils voulaient dire:
Logiciels Zero-Knowledge signifie que nous que les développeurs de logiciels de BoxCryptor n'ont pas accès à vos clés ou des fichiers. BoxCryptor est un logiciel client-side vrai, le chiffrement et le déchiffrement sont traitées sur votre appareil.
D'autres applications de chiffrement ont fait des déclarations similaires, et vous les lecteurs clairement, assurances n'étaient pas assez, alors j'ai demandé à Robert pour preuve:
Pas de connexion Internet est nécessaire pour utiliser BoxCryptor. Cela peut être vérifié en surveillant l'activité de réseau de l'application de BoxCryptor (none si la vérification de mise à jour automatique est désactivée). De plus, l'algorithme de chiffrement est compatible avec les projets open-source EncFS , dont le code source peut être revu.
Je me suis intéressé à ce que j'ai lu sur le site de BoxCryptor: fichiers individuels ont été chiffrée, et non des conteneurs (comme ce utilise TrueCrypt). J'ai demandé à Robert de la différence:
Comme vous l'avez mentionné, BoxCryptor crypte chaque fichier individuellement. D'autres applications utilisent des conteneurs: dossiers de taille fixe ou lecteurs virtuels qui conservent tous les fichiers à crypter.
Ensuite, Robert a expliqué pourquoi le cryptage des fichiers individuels était important:
Malheureusement, les conteneurs ne jouent pas bien avec stockage en nuage, parce que les conteneurs de synchronisation nécessitent beaucoup de frais généraux. Cela signifie:
  • Fonctionnalités Cloud-stockage comme les versions ne peuvent pas être utilisés.
  • La collaboration est impossible.
  • Téléchargement du conteneur sur votre appareil mobile sera beaucoup de temps.
Et depuis BoxCryptor ne pas utiliser de récipients, vous pouvez garder (plus) les caractéristiques de votre fournisseur de stockage en nuage, et utiliser BoxCryptor sur les appareils mobiles.
J'oublie souvent de mentionner les différentes versions de l'application j'écris sur - pas cette fois. Il existe deux versions gratuites et payantes de BoxCryptor. Les fonctionnalités supplémentaires offertes par les versions payantes de BoxCryptor sont:
  • chiffrement de fichier: Les versions payantes non seulement crypter le contenu d'un fichier, mais même le nom du fichier ou du dossier parce que les informations sensibles sont souvent contenus dans le nom du fichier.
  • Plusieurs lecteurs: La version gratuite ne possède qu'une seule BoxCryptor Drive. Dans la version payante, vous pouvez avoir plusieurs disques en même temps (par exemple, pour des projets différents)

La prochaine étape

Il ya quelque chose d'excitant se passe au siège de BoxCryptor, mais je ne vais pas le dire. J'ai promis à Robert qu'il pouvait:
Il est passionnant, nous publions une nouvelle version - BoxCryptor 2.0 - dans quelques semaines. L'application BoxCryptor courant est grande pour les individus. Mais, les entreprises sont maintenant désireux d'utiliser le cloud de synchronisation de fichiers, et le logiciel de BoxCryptor actuel ne répond pas à leurs besoins. Par exemple, en échangeant des mots de passe est un no-go pour les entreprises. En outre, le logiciel BoxCryptor ne répondait pas aux exigences réglementaires.
Pour répondre aux besoins supplémentaires, BoxCryptor 2.0:
  • Utilisez une combinaison de RSA (4096 bits) et AES (256 bits) cryptage pour permettre le partage de fichiers individuels avec d'autres utilisateurs et de groupes sans avoir à partager le mot de passe.
  • Laisser paramètre de stratégie, ou une clé maîtresse pour décrypter tous les fichiers de leurs salariés en cas de besoin.
Bien que le serveur de clés pour BoxCryptor 2.0 est à notre emplacement, nous avons encore ni la connaissance des mots de passe utilisateur, ni la capacité de décrypter les fichiers des utilisateurs.
Voilà de bonnes nouvelles, Robert. Maintenant que nous comprenons BoxCryptor, je crois qu'il est temps ... le temps de voir si l'équipe de tags DropBox BoxCryptor peut déjouer DropSmack.

Et le gagnant est ...

J'avais espéré que la réponse serait BoxCryptor s'arrête soit DropSmack ou elle n'existe pas, mais ce n'est pas aussi simple que cela. Donc je vais un pas de côté, et laissez-Robert expliquer où et quand BoxCryptor s'arrêtera DropSmack:
Après avoir un regard sur votre article et les diapositives originales pour DropSmack, je suis venu à la conclusion que BoxCryptor peut avoir un effet dissuasif pour DropSmack dans des circonstances particulières, mais ce n'est pas une solution pour l'attaque décrite.
BoxCryptor ne sera pas décourager DropSmack:
  • Si les victimes utilisent BoxCryptor uniquement pour un sous-ensemble de leurs fichiers Dropbox. Dans ce cas, les attaquants peuvent toujours placer les fichiers contenant DropSmack dans la partie "non crypté" de Dropbox et d'exécuter leur attaque.
  • Ou attaquants ont un accès complet à l'ordinateur portable privé de la victime. Quand BoxCryptor est exécuté sur une machine, les fichiers cryptés sont exposés en clair dans un lecteur virtuel. En général, si les attaquants ont accès à un ordinateur, les victimes ont perdu.
BoxCryptor va dissuader DropSmack:
  • Si les victimes utilisent BoxCryptor pour tous les fichiers Dropbox. Ils n'ont jamais travailler avec des fichiers non cryptés dans leur Dropbox, mais plutôt utiliser le lecteur virtuel BoxCryptor, ce qui signifie tous les fichiers sont automatiquement cryptés et décryptés.
  • Si les attaquants n'ont pas accès à l'un des ordinateurs des victimes avec BoxCryptor courante ni le mot de passe BoxCryptor, ils sont les suivants:
    • Impossible de décrypter tous les fichiers existants et d'obtenir des informations de leur part.
    • Impossible de créer des versions chiffrées du fichier contenant DropSmack. BoxCryptor permet uniquement les fichiers chiffrés valides dans le lecteur de BoxCryptor virtuel.
Robert résume:
Si les attaquants obtiennent un accès complet (typiquement, télécommande) pour les ordinateurs ou périphériques des victimes, il est difficile de défendre plus loin de cette attaque.BoxCryptor n'a pas été conçu pour prévenir les attaques où les ordinateurs des victimes sont compromises. Sécurise les données BoxCryptor contre les attaquants qui tentent d'accéder aux données après il laisse votre ordinateur (employés des fournisseurs de stockage, les attaquants qui entaillent les fournisseurs de stockage, etc.)

Réflexions finales

Il vous en avez. Je donnerais l'avantage à DropSmack. Pourtant, BoxCryptor va rendre la vie beaucoup plus difficile pour les méchants au niveau de l'ordinateur, et lorsque vos renseignements personnels est en transit. La chose la plus évidente est de s'assurer que les ordinateurs ne sont pas vulnérables (up-to-date, le patch-sage), en gardant les méchants d'obtenir que toehold initial sur votre ordinateur.


mardi 30 avril 2013

L'IllumiRoom de Microsoft fera-t-elle le succès de la future Xbox?

Immersion totale - L'IllumiRoom de Microsoft fera-t-elle le succès de la future Xbox?
Aperçu de l'effet produit par l'IllumiRoom de Microsoft dans une pièce. 
Photo Microsoft Research


Microsoft dévoile peu à peu les détails de son IllumiRoom, un concept d'immersion totale dans un jeu vidéo susceptible d'être présenté en même temps que la prochaine génération de sa console Xbox, le 21 mai.
IllumiRoom (vidéo en anglais) est un système immersif nécessitant un vidéoprojecteur - sortant le jeu de l'écran pour en afficher les images sur les murs, le sol et les meubles -, la console de jeu Xbox et la Kinect. Cette dernière est une caméra permettant d'interagir avec les jeux vidéo en se passant de manettes, lancée il y a trois ans.
Saskchin Bessette, de Moment Factory

Grâce à la Kinect, le système serait ainsi en mesure de détecter la taille de la pièce, la présence des meubles, le nombre de personnes sur place, etc., d'ajuster l'image en conséquence et de limiter ou d'étendre l'étalement d'IllumiRoom.
Le joueur n'aurait donc pas à être un expert pour calibrer le système d'immersion. Microsoft aurait pensé à tout en rendant le processus automatique et adaptatif à l'environnement disponible, question d'en tirer le meilleur parti. En d'autres mots, l'IllumiRoom serait un peu le «Moment Factory» des jeux vidéo.

Aussi sur Canoe.ca:
Microsoft présentera sa Xbox de «nouvelle génération» en maiXbox IllumiRoom: le summum de l'immersion

Moment Factory est une entreprise montréalaise spécialisée dans la conception et la production d'environnements multimédias, qui a connu un succès fulgurant entre autres grâce à ses projections sur des bâtiments extérieurs lors d'événements spéciaux ou de spectacles.
Par exemple, elle a participé à la prestation de Madonna au Super Bowl (vidéo ci-haut), de Céline Dion à Las Vegas et a projeté Ode à la vie sur la Sagrada Familia de Barcelone.
Pour l'heure, le concept est toujours en développement chez Microsoft Research, mais l'horizon de sa commercialisation semble se dessiner, notamment sous la forme d'un ensemble tout inclus avec la prochaine Xbox.
L'entreprise avait pour la première fois présentée son concept d'immersion totale dans un jeu, une technologie brevetée en 2012, lors du dernier CES de Las Vegas, la grand-messe annuelle de la techno.


REF.:


 
 





REF.:

Google Now Vs Siri

Sur l'iPhone - L'assistant personnel Google Now rivalise avec Siri
 
Photo Pawel Kopczynski / Reuters

L'assistant personnel Google Now rivalise avec Siri

NEW YORK - Google a annoncé lundi le lancement de son assistant personnel Google Now sous forme d'application mobile pour l'iPhone et l'iPad d'Apple, mettant ainsi la pression sur Siri, l'assistant conçu par le groupe à la pomme.
«Aujourd'hui, avec le lancement de Google Now sur iPhone et iPad, votre téléphone va devenir encore plus intelligent», assure le géant de l'internet dans un message publié sur un de ses blogues officiels.
Google Now est, comme Siri, un programme activé par la voix. Il est désormais disponible sous forme d'une application compatible avec iOS, le système d'exploitation mobile utilisé par Apple pour ses téléphones et ses tablettes.
Google et Apple sont actuellement à couteaux tirés sur le marché des appareils mobiles. Android, le système d'exploitation conçu par Google et utilisé par une série de fabricants dont Samsung, domine désormais clairement le marché des téléphones intelligents.
Dans les tablettes, l'iPad reste numéro un mais Android gagne rapidement des parts de marché.
Google fait valoir parallèlement que Siri menace potentiellement son activité centrale de recherche sur internet, et les importantes recettes publicitaires qui vont avec, en permettant aux utilisateurs de téléphones de faire des recherches sans passer par Google Search.


dimanche 28 avril 2013

L'application Xbox SmartGlass

Microsoft - L'application Xbox SmartGlass sur les tablettes Kindle
 
Photo Microsoft

Microsoft

L'application Xbox SmartGlass sur les tablettes Kindle

Déjà disponible sous iOS, Android et Windows Phone, l'application Xbox SmartGlass a été déployée sur Kindle Fire et Kindle HD.

Aussi sur Canoe.ca:
L'appli Xbox SmartGlass fusionne les écrans

SmartGlass transforme l'appareil mobile en un second écran interagissant de façon intelligente avec la Xbox 360 - tout comme les appareils iOS peuvent intégrer les Apple TV et certaines applications tierces sont capables de transformer les téléphones intelligents et les tablettes en télécommande.
Mais l'intérêt de SmartGlass reste la possibilité de sélectionner et d'afficher du contenu additionnel en complément de ce qui est envoyé sur l'écran principal de la Xbox 360 (que cela soit une émission TV, un film, un jeu, une chanson ou un événement sportif).


REF.:

Le Leap Motion Controller compatible avec Asus et HP, Google


Boîtier

Voyagez en 3D sur Google Earth grâce à Leap Motion


Boîtier - Voyagez en 3D sur Google Earth grâce à Leap Motion
Capture vidéo de «Leap Motion + Google Earth» 
Photo YouTube

L'interface de détection de mouvement Leap Motion est désormais compatible avec Google, assurant un bel avenir à ce nouveau boîtier.
Google Earth est le premier service de la firme à être compatible avec Leap Motion, ce qui veut dire qu'à la livraison de ces boîtiers, le mois prochain, les heureux utilisateurs pourront les brancher directement à leur Mac, PC Windows ou même leur PC Linux pour partir en voyage virtuel autour de la planète en bougeant simplement ses doigts.
Voyage en 3D sur Google Earth grâce à  Leap Motion

Le Leap Motion Controller est un petit boîtier, semblable à une clé USB, à relier à un ordinateur par un port USB, qui traduit les mouvements de main en commande numérique. Cette technologie est tellement sensible qu'elle peut suivre et reconnaître les mouvements de chaque doigt et des deux mains simultanément.

Aussi sur Canoe.ca:
Grâce à Leap Motion, les ordinateurs de HP détecteront les mouvements

Seul hic de cette interface, elle nécessite aussi des applications et des logiciels compatibles pour fonctionner, il ne suffit pas de la brancher. C'est pourquoi le Leap Motion a déjà son propre app store, appelé Airspace, sur lequel travaillent 10.000 développeurs, selon le fabricant. Cet app store est déjà bien fourni en applications de productivité, créatives et aussi plus spécialisées dans le loisir.
Même si le fabricant a déjà annoncé certains partenariats importants depuis le début de l'année, avec Asus et HP, Google est bien évidemment un gros poisson qui pourrait assurer une longue vie à cet appareil.
Le Leap Motion Controller coûtera 79,99$ à sa sortie en mai et peut d'ores et déjà être précommandé sur Leap Motion et bientôt sur Amazon.