Powered By Blogger

Rechercher sur ce blogue

mercredi 15 décembre 2021

Comment les experts en criminalistique informatique peuvent-ils attraper les pirates informatiques qui utilisent VPN et Tor pour masquer leur identité/emplacement ?

 

 

Comment les experts en criminalistique informatique peuvent-ils attraper les pirates informatiques qui utilisent VPN et Tor pour masquer leur identité/emplacement ?
 
 Par exemple, quand la Corée du Nord a piraté Sony, comment ont-ils su que c'était NK ? 
 
Vous devez d'abord savoir ce que font Tor et un VPN : 
La réponse simple est qu'ils vous donnent l'impression d'être ailleurs. Tor vous empêche souvent d'être stupide et de dire aux gens où vous êtes, mais il s'agit d'une fonctionnalité facultative que vous pouvez désactiver.
 Les VPN font essentiellement la même chose mais n'ont qu'une seule couche alors que Tor a plusieurs couches. 
 Tout d'abord, il est trivial de trouver d'où vient un hack. Il suffit de regarder l'adresse IP (qui peut être falsifiée si vous utilisez un DOS ou un DDOS mais pas si vous voulez des données). Il apparaît généralement dans le journal si le pirate ne le supprime pas OU si vous êtes assez intelligent pour déconnecter le trafic réseau du serveur (il doit ensuite pirater plusieurs machines pour supprimer tous les journaux.). Si quelqu'un utilise un VPN ou Tor, tout ce que vous découvrez est le nœud final. Vous pouvez utiliser cela et le temps pour voir si cet ordinateur a des journaux et suivre l'attaque jusqu'à la source. 
Cela est possible s'ils ont des journaux et vous permettent de les voir (commun avec la plupart des VPN commerciaux). 
Vous pouvez utiliser un VPN à l'intérieur d'un VPN. Cela signifie que vous devez retracer le nœud plusieurs fois, tout comme Tor pour trouver le nœud d'origine. C'est vraiment difficile à faire. 
 
Souvent, les gens sont stupides.
 
 Ils utilisent des cookies ou d'autres services à partir de la même machine ou pendant qu'ils piratent. (Moteurs de recherche, Webmail, etc.). Si vous connaissez le point de terminaison, vous pouvez voir si quelqu'un d'autre à partir de cette adresse IP à ce moment précis a accédé à l'un de ces services (certaines sociétés de services vous aideront. D'autres moins) S'il a accédé à ces sites et s'est connecté ou a utilisé un cookie existant alors vous pouvez savoir s'ils se sont déjà connectés sans VPN/Tor et s'ils l'ont fait, vous pouvez trouver la source d'origine du tiers.
 
 Si de l'argent est impliqué, la police peut souvent suivre où il est allé, sinon le compte, du moins la banque et le pays, même si cela s'est produit dans le passé. 
 Cela étant dit, pour beaucoup de ces choses, les gens utilisent souvent un terminal dans un pays dont il est difficile d'obtenir des informations. 
 
Cela signifie que bien que le point final trouvé se trouve en Corée du Nord, il pourrait facilement s'agir de quelqu'un qui refroidit délibérément le sentier en Corée du Nord, car la plupart des gens ne peuvent plus suivre le sentier.
 Le pirate a-t-il foiré par accident ou est-il encadré/le fait-il exprès ?
 
 Il existe des films et des livres entiers sur ce sujet. Tout ce que quelqu'un peut dire, c'est qu'il pense que ce sera probablement « ____ » à moins qu'il ne tienne un pistolet fumant (mais même celui-ci pourrait être planté).
 
 

Sorry for the delay. A few people asked for movies and I should have provided links.

Some of the “better” movies/documentary are:

  • TPB AFK: The Pirate Bay Away from Keyboard (2013) - IMDb
  • Hackers Wanted (2009) - IMDb
  • WARNING: Some adult content in the movie below.

     

    REF.:  Quora.com


    Contrôlez et limitez la collecte de données sur votre iPhone et iPad grâce à cette fonction

     

     

    Contrôlez et limitez la collecte de données sur votre iPhone et iPad grâce à cette fonction

    Avec la mise à jour iOS 15.2 et iPadOS 15.2 pour iPhone et iPad, Apple introduit un rapport de confidentialité des apps. Celui-ci nous permet de savoir rapidement quelles applications ont utilisées leurs privilèges pour accéder à la caméra, au micro, la localisation et plus encore.

    Depuis l’automne 2020, Apple nous offre plus de transparence quant aux autorisations qu’une application va nous demander avant même qu’on l’ait téléchargée.

    Dans la fiche de ladite application sur l’App Store, on peut donc instantanément savoir quelles données l’application va chercher à obtenir.

    Ça peut être notre localisation, nos contacts, notre micro, notre caméra, nos achats, etc.

    Néanmoins, après avoir donné notre accord et avoir téléchargé l’application, nous ne savons pas vraiment à quelle fréquence celle-ci utilise ces privilèges.

    Apple remédie à la situation et introduit une nouvelle fonction dans les paramètres qui nous permettant de le savoir! Il s’agit du rapport de confidentialité des apps.

    Prenez le contrôle total des autorisations accordées aux applications avec ce tableau de bord sur Android 12

    Comment accéder au rapport de confidentialité des apps d’Apple

    Pour pouvoir avoir accès au rapport de confidentialité des apps sur son iPhone ou son iPad, il faut au préalable avoir installé la mise à jour iOS 15.2 ou iPadOS 15.2 ou une version supérieure.

    Une fois cela fait, il faut activer le rapport de confidentialité des apps. Pour ce faire, on doit:

    1. Ouvrir l’application: Réglages
    2. Aller dans l’onglet: Confidentialité
    3. Défiler jusqu’en bas
    4. Appuyer sur: Rapport de confidentialité des apps
    5. Sélectionner l’option: Activer le rapport de confidentialité des apps


    Voici comment activer et accéder au rapport de confidentialité des apps d’Apple.

    Une fois le rapport activé, on peut donc savoir quelles applications a utilisées quelles autorisations.

    On peut également savoir vers quel domaine des applications ont établit un contact et transmis ces informations.

    Du moment que l’on n’est pas confortable avec une certaine activité d’une application précise, on peut aller lui en retirer l’accès.

    Il suffit de retourner dans l’onglet: Confidentialité des Réglages, sélectionner l’autorisation et la retirer pour l’application en question.

    Comment modifier les autorisations accordées à nos application mobiles

     

    REF.:   https://francoischarron.com/sur-le-web/trucs-conseils/controlez-et-limitez-la-collecte-de-donnees-sur-votre-iphone-et-ipad-grace-a-cette-fonction/ehNVJVvENX/?fbclid=IwAR2bBqpbSBmb6YCQWhoiMTNWuasEBKV8_Ufk5vvzIjZTDHBHT8o1q81NtMM

    Visual Studio Code dans votre navigateur

     

     

    Visual Studio Code dans votre navigateur

    Vous vous souvenez de Cloud9 qui permettait d’avoir un IDE (environnement de dev) dans le navigateur pour coder depuis n’importe où ?

    Et bien même si le service a été absorbé par Amazon, je ne l’ai pas oublié.

    Alors je vous laisse imaginer mon plaisir lorsque j’ai découvert VSCode.dev qui n’est ni plus ni moins qu’un portage de Visual Studio Code dans le navigateur.

    Alors bien sûr, on est à des années-lumière de Cloud9 puisqu’on ne peut pas lancer le code pour le débugger. On est là, face à un simple éditeur, mais comme les navigateurs récents supportent l’API File System Access, il est possible d’accéder à vos fichiers locaux depuis le browser.


    Ainsi, avec VSCode.dev vous pourrez par exemple visualiser et éditer des fichiers locaux, prendre des notes en markdown, créer des app full HTML, JS, CSS côté client en utilisant les outils de debug du navigateur pour votre débogage. Il est même possible d’ouvrir des dépôts Git directement depuis l’éditeur.

    VSCode.dev est ainsi parfaitement adapté pour éditer du code sur des machines peu performantes ou qui ne font pas tourner VSCode comme les Chromebook ou les iPad.

    À découvrir ici.

     

    REF.:   https://korben.info/visual-studio-code-dans-votre-navigateur.html?fbclid=IwAR3eSBoznB5k8EJ_0NCeWpNAYCGZyfYZBssSTbs5x6HE15SUe2I5A3ZZbTI

    La stratégie de GrayShift pour garder le secret sur le piratage d’iOS

     

     

    La stratégie de GrayShift pour garder le secret sur le piratage d’iOS

    Il n’y a pas que Pegasus qui sait comment accéder au contenu de n’importe quel iPhone !


    Publié le

     

    Par

    Valentin

    a méthode privilégiée par GrayKey (il s’agit du nom du périphérique) pour attaquer un iPhone n’est en réalité rien d’autre que le brute force. Stratégie bien connue des acteurs du secteur, puisqu’on la retrouve également au cœur de l’affaire de San Bernardino. À l’époque, c’est alors le FBI qui avait misé sur une autre entreprise elle aussi spécialisée dans le hack.

    Évidemment, tout ceci n’est guère commode pour Apple qui essuie par conséquent moult critiques relatives à la protection censée être offerte par ses smartphones. La firme joue d’ailleurs au chat et à la souris avec ces intrus, qui sont aussi à l’origine de découvertes de failles majeures ensuite comblées par Cupertino.

    Vice a encore frappé. Après avoir révélé un tutoriel expliquant à la police comment hacker un appareil Apple, la section Motherboard du média new-yorkais vient ainsi de dévoiler des documents publiés par GrayShift et détaillant sa méthode pour tenter de conserver la confidentialité qui règne autour de sa technologie. En effet, GrayKey, l’outil de la société pour pirater des iPhone, nécessite de sérieuses mesures de protection pour éviter de tomber entre de mauvaises mains.

    Un des documents sur lesquels a pu mettre la main la filiale de la Walt Disney Company révèle notamment ce que les enquêteurs ayant investi dans le produit ne doivent pas communiquer à des tiers. On y apprend par exemple qu’il est hors de question pour le fabricant de voir les fonctionnalités de sa solution mises au jour. L’une d’entre elles, qui consiste à passer outre le bouclier USB d’Apple introduit avec iOS 11.4.1, est particulièrement concernée.


    La deuxième métropole américaine comme cliente

    Le fichier en question était en réalité destiné à la police de l’Illinois, qui siège à Chicago. L’histoire ne dit pas dans quelles affaires a ici pu être utilisé GrayKey, néanmoins beaucoup supposent que les dossiers liés au terrorisme ou à la pédocriminalité sont potentiellement la cible des autorités. Avec à la clé les débats agités qui s’en suivent, mêlant inquiétude pour le respect de la vie privée et questions de morale.

    La ville des vents n’est par ailleurs pas la seule à avoir fait appel au périphérique de GrayShift. En effet, l’accessoire a également pu trouver preneur du côté de la ville d’Orlando (FL) où s’est entre autres déroulée la fusillade du Pulse, un club LGBT visé par l’organisation État islamique. Un officiel de la mairie locale aurait ainsi écrit au commissaire en 2018 afin de cacher l’achat du GrayKey des registres municipaux. Objectif : garantir davantage de discrétion aux manœuvres de la crim’.


    Réaction de GrayShift

    Le CEO de GrayShift, David Miles, a rapidement répondu à ce qui s’apparentait à un début de polémique :

    “Confidentiality agreements help to protect our customers and partners with how confidential information is disclosed, and we protect and maintain the integrity of our relationships. In addition, they are instrumental in preventing the public disclosure of our intellectual property to protect the integrity of our security research. Confidentiality agreements are not at all meant to prevent disclosure of evidentiary data or general information about GrayKey in court proceedings that may result from data extracted by GrayKey during our customers’ investigations.”

    En bref, le dirigeant justifie les agissements de sa société par le besoin de “protéger” ses “clients et partenaires“, tout en maintenant “l’intégrité de ses relations“. Il serait également question de préserver la “propriété intellectuelle” de la marque ainsi que l’intégrité de ses recherches en cybersécurité. Pour terminer, Miles se met également à couvert face à d’éventuels risques juridiques.

     

    REF.:   https://www.iphon.fr/post/strategie-grayshift-garder-secret-piratage-ios

    Faille: Log4j,plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud,....les Banques aussi .

     Faille: Log4j,plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud,....les Banques aussi .

    Une faille zero day dans Log4j crée d'importantes vulnérabilités dans plusieurs applications dont Minecraft

    Fanny Dufour
    10 décembre 2021 à 12h50

     

    Une zero day critique a été trouvée dans Log4j permettant à des attaquants de réaliser des attaques d'exécution de code à distance.

    Plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud .

    Une faille critique facile à exploiter

    Log4j est un outil de journalisation développé par la fondation Apache et utilisé dans de nombreux logiciels et services Cloud, ce qui explique pourquoi la faille zero day qui le touche est aussi critique. Rapportée initialement à Apache par l'équipe de sécurité d'Alibaba Cloud dès le 24 novembre, cette faille est désormais définie comme la CVE-2021-44228. Elle permet à des attaquants de créer des requêtes malveillantes pour exécuter du code à distance et prendre le contrôle total d'un serveur, tout ça sans authentification.

    Dans la nuit, plusieurs preuves de concept de son exploitation ont été postées. À la suite de ça, il a été rapporté que plusieurs acteurs malveillants scannaient Internet à la recherche de systèmes vulnérables à attaquer. « En raison de la facilité d'exploitation et de l'étendue de l'applicabilité, nous soupçonnons que des groupes de ransomwares vont commencer à exploiter cette vulnérabilité immédiatement », a déclaré la Randori Attack Team.

    De nombreuses applications concernées

    Pour le moment, il est compliqué d'avoir une liste complète d'applications touchées, la faille impactant les configurations par défaut de nombreux frameworks Apache, que ce soit Apache Struts2, Apache Solr, Apache Druid, Apache Flink et autres. La Randori Attack Team prédit qu'un « nombre croissant de produits vulnérables seront découverts dans les semaines à venir ».

    LunaSec a de son côté confirmé que Steam, Apple iCloud et Minecraft étaient vulnérables. Plusieurs sites dédiés à Minecraft ont rapporté que des hackers pouvaient exécuter du code à distance sur les serveurs ou clients utilisant la version Java du jeu grâce à de simples messages dans le chat.

    Les joueurs de Minecraft sont donc appelés à faire preuve d'une grande prudence, à ne pas se connecter à des serveurs inconnus et à ne pas communiquer avec des joueurs qu'ils ne connaissent pas. Il est conseillé que les logiciels et applications utilisant Log4j2 fassent la mise à jour vers le build log4j-2.15.0-rc2 , le fixe présent dans la version 2.15.0-rc1 ayant déjà été contourné. LunaSec rappelle que des failles similaires dans Apache Struts avaient conduit en 2017 à la fuite de données d'Equifax.

    WoW que dire des Banques maintenant ;-)

    REF.:   https://www.clubic.com/antivirus-securite-informatique/actualite-398148-une-faille-zero-day-dans-log4j-cree-d-importantes-vulnerabilites-dans-plusieurs-applications-dont-minecraft.html

     

    Une grave faille zero-day dans la bibliothèque Java Log4j est déjà exploitée

    Sécurité : Une grave vulnérabilité dans les bibliothèques de journalisation Java permet l'exécution de code à distance non authentifié et l'accès aux serveurs, avertissent des chercheurs.

    Une vulnérabilité zero-day récemment découverte dans la bibliothèque de journalisation Apache Log4j est facile à exploiter et permettrait à des attaquants de prendre le contrôle total des serveurs affectés.

    Identifiée comme CVE-2021-44228, la vulnérabilité est classée comme grave et permet l'exécution de code à distance non authentifié.

    Selon le CERT néo-zélandais (CERT-NZ), cette vulnérabilité est déjà exploitée par des attaquants.

    Le CERT-FR a également publié un avis

    Le CERT-FR a également publié un avis concernant cette faille de sécurité. Les analystes de l'Anssi indiquent que « cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'événement.

    « Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification. Des preuves de concept ont déjà été publiées et des codes d'exploitation sont susceptibles d'être rapidement développés ».

    Les systèmes et services qui utilisent la bibliothèque Apache Log4j entre les versions 2.0 et 2.14.1 sont tous concernés, notamment de nombreux services et applications écrits en Java.

    Toute personne utilisant Apache Struts est « probablement vulnérable »

    La vulnérabilité a été découverte pour la première fois dans Minecraft, mais les chercheurs avertissent que des applications cloud sont également vulnérables. Il est également utilisé dans des applications d'entreprise et il est probable que de nombreux produits se révèlent vulnérables à mesure que l'on en apprend davantage sur la faille.

    Un article de blog publié par des chercheurs de LunaSec avertit que toute personne utilisant Apache Struts est « probablement vulnérable ».

    « Compte tenu de l'omniprésence de cette bibliothèque, de l'impact de l'exploit (contrôle total du serveur) et de sa facilité d'exploitation, l'impact de cette vulnérabilité est assez grave. Nous l'appelons "Log4Shell" en abrégé », indique LunaSec.

    Que faire face à cette menace ?

    Les organisations peuvent identifier si elles sont affectées en examinant les fichiers journaux de tous les services utilisant les versions Log4j affectées. S'ils contiennent des chaînes de caractères envoyées par l'utilisateur, le CERT-NZ utilise l'exemple de "Jndi:ldap", ils pourraient être affectés. Afin d'atténuer les vulnérabilités, les utilisateurs doivent basculer le paramètre log4j2.formatMsgNoLookups sur "true" en ajoutant "‐Dlog4j2.formatMsgNoLookups=True" à la commande JVM pour démarrer l'application.

    Pour empêcher l'exploitation de la bibliothèque, il est vivement recommandé de mettre à jour les versions Log4j vers log4j-2.15.0-rc1.

    « Si vous pensez que vous pourriez être affecté par CVE-2021-44228, Randori vous encourage à faire comme si vous l'étiez et à examiner les journaux concernant les applications affectées pour identifier une activité inhabituelle », écrivent des chercheurs en cybersécurité de Randori dans un article de blog. « Si des anomalies sont découvertes, nous vous encourageons à supposer qu'il s'agit d'un incident actif, que vous avez été compromis et à réagir en conséquence. »

    Source : ZDNet.com

     

    Ici le tester de Trendmicro:

    https://log4j-tester.trendmicro.com/

     

    Détectez et bloquez les tentatives d’exploitation de la vulnérabilité Log4j avec CrowdSec

    — En partenariat avec Crowdsec —

    Si vous travaillez dans le domaine de la cybersécurité, vous avez probablement passé un très mauvais week-end.

    Et ce, à cause de la découverte de la vulnérabilité zero-day Log4j (CVE-2021-44228).

    L’équipe CrowdSec s’est retroussé les manches pour développer un scénario capable de détecter et bloquer les tentatives d’exploitation de cette vulnérabilité. Vous pouvez le télécharger directement depuis le Hub de CrowdSec et l’installer en un clin d’œil. 

    L’efficacité de CrowdSec se basant sur le pouvoir de la foule, et à la lumière de la taille de leur communauté en pleine expansion, la solution a déjà collecté un grand nombre d’adresses IP qui tentant d’exploiter la vulnérabilité. Vous pouvez consulter la liste ici. Elle est très fréquemment mise à jour et il va sans dire que vous devriez bloquer sans attendre celles qui sont marquées comme « validated ».

    Ces adresses IP ont été sélectionnées par l’algorithme de consensus de la solution, ce qui signifie qu’elles ont reçu de nombreux votes défavorables de la part de leur réseau d’utilisateurs. Celles qui sont marquées comme “not enough data” sont très suspectes mais peuvent encore contenir quelques faux positifs. Les adresses classées dans la catégorie « benign » sont utilisées par des personnes qui sont généralement du bon côté de la force, pour aider, scanner, et non à des desseins malfaisants. 

    Vous pouvez également utiliser leur mode replay, ou forensics, pour analyser les logs de vos serveurs afin de vérifier si une exploitation Log4j a été tentée sur l’une de ces IP, par qui et quand, en utilisant le scénario approprié et la ligne de commande ci-dessous :

    sudo cscli hub update
    sudo cscli scenarios install crowdsecurity/apache_log4j2_cve-2021-44228
    sudo systemctl reload crowdsec
    
    # sudo crowdsec --dsn "file://<log_file_path>" -no-api --type <log_type>
    sudo crowdsec --dsn "file:///var/log/nginx/access.log" -no-api --type nginx
    
    sudo cscli alerts list --scenario crowdsecurity/apache_log4j2_cve-2021-44228

    Si vous souhaitez accéder à plus de détails concernant cet IPS open source et collaboratif, qui est capable de détecter et bloquer de nombreux comportements malveillants, tout en vous permettant de collaborer entre cyber défenseurs en échangeant les IPs bloquées, visitez leur site web ou leur dépôt GitHub

    REF.:  https://korben.info/detecter-bloquer-vulnerabilite-log4j-crowdsec.html?fbclid=IwAR1lZWvc0Li99sSEnhRgyY5oDcx1TyZ1rfoiIhpch-8TdZJLPFVDTXD3B6Y