Powered By Blogger

Rechercher sur ce blogue

mercredi 15 décembre 2021

La stratégie de GrayShift pour garder le secret sur le piratage d’iOS

 

 

La stratégie de GrayShift pour garder le secret sur le piratage d’iOS

Il n’y a pas que Pegasus qui sait comment accéder au contenu de n’importe quel iPhone !


Publié le

 

Par

Valentin

a méthode privilégiée par GrayKey (il s’agit du nom du périphérique) pour attaquer un iPhone n’est en réalité rien d’autre que le brute force. Stratégie bien connue des acteurs du secteur, puisqu’on la retrouve également au cœur de l’affaire de San Bernardino. À l’époque, c’est alors le FBI qui avait misé sur une autre entreprise elle aussi spécialisée dans le hack.

Évidemment, tout ceci n’est guère commode pour Apple qui essuie par conséquent moult critiques relatives à la protection censée être offerte par ses smartphones. La firme joue d’ailleurs au chat et à la souris avec ces intrus, qui sont aussi à l’origine de découvertes de failles majeures ensuite comblées par Cupertino.

Vice a encore frappé. Après avoir révélé un tutoriel expliquant à la police comment hacker un appareil Apple, la section Motherboard du média new-yorkais vient ainsi de dévoiler des documents publiés par GrayShift et détaillant sa méthode pour tenter de conserver la confidentialité qui règne autour de sa technologie. En effet, GrayKey, l’outil de la société pour pirater des iPhone, nécessite de sérieuses mesures de protection pour éviter de tomber entre de mauvaises mains.

Un des documents sur lesquels a pu mettre la main la filiale de la Walt Disney Company révèle notamment ce que les enquêteurs ayant investi dans le produit ne doivent pas communiquer à des tiers. On y apprend par exemple qu’il est hors de question pour le fabricant de voir les fonctionnalités de sa solution mises au jour. L’une d’entre elles, qui consiste à passer outre le bouclier USB d’Apple introduit avec iOS 11.4.1, est particulièrement concernée.


La deuxième métropole américaine comme cliente

Le fichier en question était en réalité destiné à la police de l’Illinois, qui siège à Chicago. L’histoire ne dit pas dans quelles affaires a ici pu être utilisé GrayKey, néanmoins beaucoup supposent que les dossiers liés au terrorisme ou à la pédocriminalité sont potentiellement la cible des autorités. Avec à la clé les débats agités qui s’en suivent, mêlant inquiétude pour le respect de la vie privée et questions de morale.

La ville des vents n’est par ailleurs pas la seule à avoir fait appel au périphérique de GrayShift. En effet, l’accessoire a également pu trouver preneur du côté de la ville d’Orlando (FL) où s’est entre autres déroulée la fusillade du Pulse, un club LGBT visé par l’organisation État islamique. Un officiel de la mairie locale aurait ainsi écrit au commissaire en 2018 afin de cacher l’achat du GrayKey des registres municipaux. Objectif : garantir davantage de discrétion aux manœuvres de la crim’.


Réaction de GrayShift

Le CEO de GrayShift, David Miles, a rapidement répondu à ce qui s’apparentait à un début de polémique :

“Confidentiality agreements help to protect our customers and partners with how confidential information is disclosed, and we protect and maintain the integrity of our relationships. In addition, they are instrumental in preventing the public disclosure of our intellectual property to protect the integrity of our security research. Confidentiality agreements are not at all meant to prevent disclosure of evidentiary data or general information about GrayKey in court proceedings that may result from data extracted by GrayKey during our customers’ investigations.”

En bref, le dirigeant justifie les agissements de sa société par le besoin de “protéger” ses “clients et partenaires“, tout en maintenant “l’intégrité de ses relations“. Il serait également question de préserver la “propriété intellectuelle” de la marque ainsi que l’intégrité de ses recherches en cybersécurité. Pour terminer, Miles se met également à couvert face à d’éventuels risques juridiques.

 

REF.:   https://www.iphon.fr/post/strategie-grayshift-garder-secret-piratage-ios

Faille: Log4j,plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud,....les Banques aussi .

 Faille: Log4j,plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud,....les Banques aussi .

Une faille zero day dans Log4j crée d'importantes vulnérabilités dans plusieurs applications dont Minecraft

Fanny Dufour
10 décembre 2021 à 12h50

 

Une zero day critique a été trouvée dans Log4j permettant à des attaquants de réaliser des attaques d'exécution de code à distance.

Plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud .

Une faille critique facile à exploiter

Log4j est un outil de journalisation développé par la fondation Apache et utilisé dans de nombreux logiciels et services Cloud, ce qui explique pourquoi la faille zero day qui le touche est aussi critique. Rapportée initialement à Apache par l'équipe de sécurité d'Alibaba Cloud dès le 24 novembre, cette faille est désormais définie comme la CVE-2021-44228. Elle permet à des attaquants de créer des requêtes malveillantes pour exécuter du code à distance et prendre le contrôle total d'un serveur, tout ça sans authentification.

Dans la nuit, plusieurs preuves de concept de son exploitation ont été postées. À la suite de ça, il a été rapporté que plusieurs acteurs malveillants scannaient Internet à la recherche de systèmes vulnérables à attaquer. « En raison de la facilité d'exploitation et de l'étendue de l'applicabilité, nous soupçonnons que des groupes de ransomwares vont commencer à exploiter cette vulnérabilité immédiatement », a déclaré la Randori Attack Team.

De nombreuses applications concernées

Pour le moment, il est compliqué d'avoir une liste complète d'applications touchées, la faille impactant les configurations par défaut de nombreux frameworks Apache, que ce soit Apache Struts2, Apache Solr, Apache Druid, Apache Flink et autres. La Randori Attack Team prédit qu'un « nombre croissant de produits vulnérables seront découverts dans les semaines à venir ».

LunaSec a de son côté confirmé que Steam, Apple iCloud et Minecraft étaient vulnérables. Plusieurs sites dédiés à Minecraft ont rapporté que des hackers pouvaient exécuter du code à distance sur les serveurs ou clients utilisant la version Java du jeu grâce à de simples messages dans le chat.

Les joueurs de Minecraft sont donc appelés à faire preuve d'une grande prudence, à ne pas se connecter à des serveurs inconnus et à ne pas communiquer avec des joueurs qu'ils ne connaissent pas. Il est conseillé que les logiciels et applications utilisant Log4j2 fassent la mise à jour vers le build log4j-2.15.0-rc2 , le fixe présent dans la version 2.15.0-rc1 ayant déjà été contourné. LunaSec rappelle que des failles similaires dans Apache Struts avaient conduit en 2017 à la fuite de données d'Equifax.

WoW que dire des Banques maintenant ;-)

REF.:   https://www.clubic.com/antivirus-securite-informatique/actualite-398148-une-faille-zero-day-dans-log4j-cree-d-importantes-vulnerabilites-dans-plusieurs-applications-dont-minecraft.html

 

Une grave faille zero-day dans la bibliothèque Java Log4j est déjà exploitée

Sécurité : Une grave vulnérabilité dans les bibliothèques de journalisation Java permet l'exécution de code à distance non authentifié et l'accès aux serveurs, avertissent des chercheurs.

Une vulnérabilité zero-day récemment découverte dans la bibliothèque de journalisation Apache Log4j est facile à exploiter et permettrait à des attaquants de prendre le contrôle total des serveurs affectés.

Identifiée comme CVE-2021-44228, la vulnérabilité est classée comme grave et permet l'exécution de code à distance non authentifié.

Selon le CERT néo-zélandais (CERT-NZ), cette vulnérabilité est déjà exploitée par des attaquants.

Le CERT-FR a également publié un avis

Le CERT-FR a également publié un avis concernant cette faille de sécurité. Les analystes de l'Anssi indiquent que « cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'événement.

« Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification. Des preuves de concept ont déjà été publiées et des codes d'exploitation sont susceptibles d'être rapidement développés ».

Les systèmes et services qui utilisent la bibliothèque Apache Log4j entre les versions 2.0 et 2.14.1 sont tous concernés, notamment de nombreux services et applications écrits en Java.

Toute personne utilisant Apache Struts est « probablement vulnérable »

La vulnérabilité a été découverte pour la première fois dans Minecraft, mais les chercheurs avertissent que des applications cloud sont également vulnérables. Il est également utilisé dans des applications d'entreprise et il est probable que de nombreux produits se révèlent vulnérables à mesure que l'on en apprend davantage sur la faille.

Un article de blog publié par des chercheurs de LunaSec avertit que toute personne utilisant Apache Struts est « probablement vulnérable ».

« Compte tenu de l'omniprésence de cette bibliothèque, de l'impact de l'exploit (contrôle total du serveur) et de sa facilité d'exploitation, l'impact de cette vulnérabilité est assez grave. Nous l'appelons "Log4Shell" en abrégé », indique LunaSec.

Que faire face à cette menace ?

Les organisations peuvent identifier si elles sont affectées en examinant les fichiers journaux de tous les services utilisant les versions Log4j affectées. S'ils contiennent des chaînes de caractères envoyées par l'utilisateur, le CERT-NZ utilise l'exemple de "Jndi:ldap", ils pourraient être affectés. Afin d'atténuer les vulnérabilités, les utilisateurs doivent basculer le paramètre log4j2.formatMsgNoLookups sur "true" en ajoutant "‐Dlog4j2.formatMsgNoLookups=True" à la commande JVM pour démarrer l'application.

Pour empêcher l'exploitation de la bibliothèque, il est vivement recommandé de mettre à jour les versions Log4j vers log4j-2.15.0-rc1.

« Si vous pensez que vous pourriez être affecté par CVE-2021-44228, Randori vous encourage à faire comme si vous l'étiez et à examiner les journaux concernant les applications affectées pour identifier une activité inhabituelle », écrivent des chercheurs en cybersécurité de Randori dans un article de blog. « Si des anomalies sont découvertes, nous vous encourageons à supposer qu'il s'agit d'un incident actif, que vous avez été compromis et à réagir en conséquence. »

Source : ZDNet.com

 

Ici le tester de Trendmicro:

https://log4j-tester.trendmicro.com/

 

Détectez et bloquez les tentatives d’exploitation de la vulnérabilité Log4j avec CrowdSec

— En partenariat avec Crowdsec —

Si vous travaillez dans le domaine de la cybersécurité, vous avez probablement passé un très mauvais week-end.

Et ce, à cause de la découverte de la vulnérabilité zero-day Log4j (CVE-2021-44228).

L’équipe CrowdSec s’est retroussé les manches pour développer un scénario capable de détecter et bloquer les tentatives d’exploitation de cette vulnérabilité. Vous pouvez le télécharger directement depuis le Hub de CrowdSec et l’installer en un clin d’œil. 

L’efficacité de CrowdSec se basant sur le pouvoir de la foule, et à la lumière de la taille de leur communauté en pleine expansion, la solution a déjà collecté un grand nombre d’adresses IP qui tentant d’exploiter la vulnérabilité. Vous pouvez consulter la liste ici. Elle est très fréquemment mise à jour et il va sans dire que vous devriez bloquer sans attendre celles qui sont marquées comme « validated ».

Ces adresses IP ont été sélectionnées par l’algorithme de consensus de la solution, ce qui signifie qu’elles ont reçu de nombreux votes défavorables de la part de leur réseau d’utilisateurs. Celles qui sont marquées comme “not enough data” sont très suspectes mais peuvent encore contenir quelques faux positifs. Les adresses classées dans la catégorie « benign » sont utilisées par des personnes qui sont généralement du bon côté de la force, pour aider, scanner, et non à des desseins malfaisants. 

Vous pouvez également utiliser leur mode replay, ou forensics, pour analyser les logs de vos serveurs afin de vérifier si une exploitation Log4j a été tentée sur l’une de ces IP, par qui et quand, en utilisant le scénario approprié et la ligne de commande ci-dessous :

sudo cscli hub update
sudo cscli scenarios install crowdsecurity/apache_log4j2_cve-2021-44228
sudo systemctl reload crowdsec

# sudo crowdsec --dsn "file://<log_file_path>" -no-api --type <log_type>
sudo crowdsec --dsn "file:///var/log/nginx/access.log" -no-api --type nginx

sudo cscli alerts list --scenario crowdsecurity/apache_log4j2_cve-2021-44228

Si vous souhaitez accéder à plus de détails concernant cet IPS open source et collaboratif, qui est capable de détecter et bloquer de nombreux comportements malveillants, tout en vous permettant de collaborer entre cyber défenseurs en échangeant les IPs bloquées, visitez leur site web ou leur dépôt GitHub

REF.:  https://korben.info/detecter-bloquer-vulnerabilite-log4j-crowdsec.html?fbclid=IwAR1lZWvc0Li99sSEnhRgyY5oDcx1TyZ1rfoiIhpch-8TdZJLPFVDTXD3B6Y



jeudi 9 décembre 2021

 N'y a-t-il qu'un seul dark web ? 

 

 N'y a-t-il qu'un seul dark web ? 

 Non.

 Il existe de nombreux sites Web sombres, les trois plus importants étant Tor, I2P et Freenet. Tor (réseau d'anonymat) — Wikipédia

 I2P  - Wikipédia

Freenet  - Wikipédia

 Tor est un réseau d'anonymisation construit sur l'idée du routage de l'oignon développé par Paul Syverson, Michael G. Reed et David Goldschlag au United States Naval Research Laboratory.

 Le routage en oignon fonctionne en relayant les informations via de nombreux routeurs différents avec plusieurs couches de cryptage. Chaque routeur ne peut déchiffrer qu'une seule couche de chiffrement, ce qui lui fournit deux choses : un paquet d'informations chiffré et l'adresse du prochain routeur auquel le donner. Le premier routeur de la chaîne sait qui fait la demande, mais pas quelles informations sont demandées. La destination finale sait quelles informations ont été demandées, mais pas qui les a demandées. Les routeurs intermédiaires ne savent pas qui demande les informations ni quelles informations sont demandées. C'est ce qu'on appelle le « routage en oignon » : chaque couche de cryptage peut être décollée comme les couches d'un oignon, mais chaque routeur individuel n'a les clés d'une seule couche de cryptage.

 Je décris le fonctionnement du routage de l'oignon ici : 

la réponse de Franklin Veaux à Que signifie l'oignon dans le darkweb ? 

Vous accédez à Tor en téléchargeant le navigateur Tor :

 Le projet Tor | Confidentialité et liberté en ligne I2P est un réseau peer-to-peer distribué géré par des bénévoles qui crypte le trafic et l'achemine à travers le réseau avant d'atteindre sa destination. Comme Tor, I2P utilise plusieurs couches de cryptage sur chaque paquet (Tor utilise des couches variables de cryptographie ; I2P en utilise quatre). Comme Tor, les informations sont relayées via des routeurs qui ne révèlent pas leurs adresses IP. Contrairement à Tor, I2P essaie de rendre l'analyse du réseau plus difficile en liant ensemble différents paquets pour différents utilisateurs en une seule charge utile cryptée ; ils appellent cela "acheminement de l'ail" plutôt que "acheminement de l'oignon". I2P est beaucoup moins populaire que Tor. 

Vous accédez à I2P en téléchargeant le logiciel ici :

 https://geti2p.net/en/download

 Freenet est un réseau de stockage de données distribué, anonyme et peer to peer. Freenet permet aux gens de publier presque tout type de contenu, du texte aux fichiers, de manière anonyme. Le contenu est crypté et distribué sur un réseau de bénévoles. Le contenu est crypté et divisé en morceaux, de sorte que les bénévoles qui gèrent les nœuds Freenet ne connaissent pas ou n'ont pas accès au contenu sur leurs ordinateurs. Le contenu est accessible à l'aide d'une clé fournie par celui qui l'a téléchargé. Le contenu est répliqué plusieurs fois sur le réseau, il est donc toujours disponible même si de nombreux nœuds sont mis hors ligne. Une fois les données publiées sur Freenet, il n'y a aucun moyen de les supprimer. Il n'y a pas de commande de suppression ou non publiée, et le fait que toutes les informations soient cryptées et répliquées rend presque impossible la suppression de quoi que ce soit sans détruire d'une manière ou d'une autre l'ensemble du réseau. Freenet est le plus petit des trois grands. À un moment donné, il y a rarement plus de 3 200 nœuds environ en fonctionnement. 

Vous accédez à Freenet en téléchargeant le logiciel Freenet : 

 Télécharger

 Toutes les différentes toiles sombres combinées sont minuscules. Tor est de loin le plus grand et Tor mesure environ trois dix millièmes d'un pour cent de la taille d'Internet ordinaire. Tor a été rendu public en 2002. Au cours de ses 18 années d'histoire, le nombre total d'utilisateurs de Tor est à peu près le même que le nombre d'utilisateurs que Quora obtient en dix-sept jours.

 

REF.: Quora.com

Le nouveau moteur de recherche « You » peut-il menacer Google ?

 

 

Le nouveau moteur de recherche « You » peut-il menacer Google ?

Le nouveau moteur de recherche « You.com » a pour objectif de mettre fin à la domination écrasante de Google, mais en est-il capable ? You propose une approche totalement différente sans pubs avec une meilleure confidentialité.

You.com est un nouveau moteur de recherche qui vient de faire son apparition sur la toile. Il se présente comme étant « le moteur de recherche privé qui résume le web pour vous ». En effet, You met l’accent sur des recherches plus pertinentes, le tout avec une meilleure confidentialité et protection des données personnelles par rapport aux moteurs de recherche concurrents.


Avec son approche radicalement différente, You.com a la grande ambition de mettre fin à la domination écrasante de Google. Celui-ci est actuellement le moteur de recherche le plus utilisé dans le monde et c’est aussi le mot le plus tapé sur Bing, le moteur de recherche de Microsoft. Néanmoins, il n’en a pas toujours été ainsi. Alta Vista et World Wide Web Worm étaient quelques-uns des moteurs de recherche les plus importants il y a plus d’une vingtaine d’années. Mais alors, Google doit-il s’inquiéter des ambitions du nouveau You.com ?

You.com affiche des résultats de recherche plus pertinents avec l’intelligence artificielle

You.com est déjà disponible en bêta. Le nouveau moteur de recherche vise à fragiliser la position de Google, mais pas que. Son objectif ultime est de transformer complètement la manière dont les milliards d’utilisateurs surfent sur Internet chaque jour.

En plus d’une interface innovante qui propose un défilement à l’horizontale, You.com promet des résultats de recherche pertinents grâce à l’intelligence artificielle. Le moteur de recherche se base effectivement sur le contexte pour afficher des résultats les plus précis possibles dans un ordre cohérent. De plus, You annonce aussi qu’il ne contient pas de publicités, du moins pour le moment. « Nous nous engageons à ne jamais diffuser de publicités portant atteinte à la vie privée, mais nous pourrions avoir des publicités privées à l’avenir », explique le moteur de recherche sur sa page d’accueil.

À lire aussi > Google : comment changer l’arrière-plan de son moteur de recherche ?

You.com veut révolutionner les moteurs de recherche avec moins de publicités et une meilleure confidentialité

Richard Socher qui est le PDG de You.com a lancé ce projet il y a 8 ans. Aujourd’hui, You.com est encore loin d’être terminé, mais il est disponible en bêta pour collecter les feedbacks des utilisateurs. Richard Socher dispose d’un financement de 20 millions de dollars pour peaufiner son moteur de recherche et le faire connaître auprès du grand public.

Faisant directement référence à Google, le PDG de You a déclaré à VentureBeat que : « aujourd’hui, il y a trop d’informations et personne n’a le temps de les lire, de les traiter ou de savoir à quoi se fier. Un seul gardien contrôle la grande majorité du marché de la recherche, dictant ce que vous voyez : trop de publicités et un flot de pages optimisées pour les moteurs de recherche. En plus de cela, 65 % des requêtes de recherche se terminent sans un clic sur un autre site, ce qui signifie que le trafic reste au sein de l’écosystème Google ».

En effet, Google représente à l’heure actuelle 92 % des recherches mondiales. D’ailleurs, il verserait 12 milliards de dollars par an à Apple pour être le moteur de recherche par défaut. En conclusion, You.com possède définitivement les atouts pour concurrencer sérieusement Google. Cependant, il lui manque encore la chose la plus importante : les utilisateurs. Nous ne savons pas encore combien d’utilisateurs vont se servir de You pendant la bêta publique, mais il y en avait quelques milliers pendant la bêta privée.

Source : ScreenRant

 https://www.tomsguide.fr/le-nouveau-moteur-de-recherche-you-peut-il-menacer-google/

Quand nous sommes en navigation privé est-ce vraiment anonyme ?

Quand nous sommes en navigation privé est-ce vraiment anonyme ?

Par: 

Non, ça ne l'est pas.

Il y a plusieurs façons dont votre identité peut être exposée lorsque vous utilisez une fonction de navigation privée.

Par exemple, la navigation privée ne bloque que les cookies qui ne proviennent pas du site que vous visitez. Elle ne bloque pas les cookies "tiers" qui sont stockés sur votre ordinateur par d'autres sites. Cela signifie que les sites que vous visitez peuvent définir des cookies qui peuvent être lus par des tiers ou qui sont lus par des sites qui sont visités pendant votre navigation privée.

Vos informations d'identification sont également en danger. Les différents navigateurs utilisent différents mécanismes de sauvegarde des informations d'identification qui varient en termes de sensibilité et de sécurité des données qu'ils stockent. Certains navigateurs utilisent des cookies de base qui sont cachés et nécessitent un programme malveillant pour les obtenir.

 

REF.:  https://fr.quora.com/