Powered By Blogger

Rechercher sur ce blogue

vendredi 25 décembre 2015

Les attaques MiTM 'man-in-the-middle' ,Microsoft ni fait presque rien ?



Dans une actualité sur son blog, Microsoft dit vouloir combattre les adwares MiTM.
Les attaques MiTM 'man-in-the-middle', sont des attaques anciennes qui consistent à positionner un composant, généralement entre l'ordinateur et la connexion afin de fausser les résultats en effectuant des redirections vers un serveur contrôlé par l'attaquant.
Le but, en général, de ces attaques est de pouvoir voler des informations comme des mots de passe.
Les Trojans types Banker utilise ces attaques "MiTM" mais au niveau du navigateur WEB en plaçant un proxy-WEB pour récupérer les informations de connexions au site bancaire.

Certains familles d'adwares et on pense à Komodia/v-bates sont très friands de ces techniques afin de pouvoir effectuer des redirections de régie publicitaire afin d'injecter des publicités.

Généralement, cela se traduit :
  • Une modification des serveurs DNS de l'ordinateur, Komodia, n'est pas le seul, par exemple, DNS-Unlocker utilise cette approche.
  • L'installation d'un certificat afin de pouvoir injecter des publicités sur sites HTTPs
  • Spéciquement la variante v-bates "patch dnsapi.dll" qui change le fichier HOSTS afin de pouvoir opérer des redirections.
  • L'installation d'une DLL dans couche Winsock afin de manipuler les résultats réseaux. Les variantes abengine/acengine utilisent ces techniques.

Pour les deux dernier cas, se reporter la page : Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine, vous y verrez l'installation du certificat et l'utilisation de DLL dans la chaîne Winsock.
Effectivement, cela pose des problèmes puisque ces adwares peuvent s'ils le désirent voler n'importe quelles informations.

Image

On peut donc se réjouir de cet avancé de Microsoft, qui reste timide sur les détections adwares.
Seule, une détection sur l'installeur Amonetize qui va par des sites de cracks/keygen et qui installe d'ailleurs les variantes Komodia (actuellement Shopperz).

J'en avais parlé sur la page : PUPs/Adwares : guerre des moteurs de recherche où Microsoft, distribue via Bing, les plate-formes de PUPs DownloadAdmin / DomaIQ et InstallCore.
Probablement car ces derniers forcent le moteur de recherche Bing, ce qui permet à Microsoft d'augmenter le traffic de son moteur de recherche.
Yahoo! fait de même.
Personellement, j'y vois donc, une hypocrisie, Microsoft dit combattre les adwares mais autorisent ceux qui poussent Bing.

Image

Si ces détections font perdre trop de "clients" à la famille Komodia, il ne restera plus qu'à tenter de se diffuser via une plate-forme qui pousse Bing et en utilisant des techniques moins "sauvages".
Probablement que Microsoft ne dira rien et le proposera même sur son moteur de recherche Bing, en résultats commercials, comme c'est le cas des autres plate-formes PUPs.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Source.:

Microsoft dit combattre les adwares mais autorisent ceux qui poussent Bing




Dans une actualité sur son blog, Microsoft dit vouloir combattre les adwares MiTM.
Les attaques MiTM 'man-in-the-middle', sont des attaques anciennes qui consistent à positionner un composant, généralement entre l'ordinateur et la connexion afin de fausser les résultats en effectuant des redirections vers un serveur contrôlé par l'attaquant.
Le but, en général, de ces attaques est de pouvoir voler des informations comme des mots de passe.
Les Trojans types Banker utilise ces attaques "MiTM" mais au niveau du navigateur WEB en plaçant un proxy-WEB pour récupérer les informations de connexions au site bancaire.

Certains familles d'adwares et on pense à Komodia/v-bates sont très friands de ces techniques afin de pouvoir effectuer des redirections de régie publicitaire afin d'injecter des publicités.

Généralement, cela se traduit :
  • Une modification des serveurs DNS de l'ordinateur, Komodia, n'est pas le seul, par exemple, DNS-Unlocker utilise cette approche.
  • L'installation d'un certificat afin de pouvoir injecter des publicités sur sites HTTPs
  • Spéciquement la variante v-bates "patch dnsapi.dll" qui change le fichier HOSTS afin de pouvoir opérer des redirections.
  • L'installation d'une DLL dans couche Winsock afin de manipuler les résultats réseaux. Les variantes abengine/acengine utilisent ces techniques.

Pour les deux dernier cas, se reporter la page : Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine, vous y verrez l'installation du certificat et l'utilisation de DLL dans la chaîne Winsock.
Effectivement, cela pose des problèmes puisque ces adwares peuvent s'ils le désirent voler n'importe quelles informations.

Image

On peut donc se réjouir de cet avancé de Microsoft, qui reste timide sur les détections adwares.
Seule, une détection sur l'installeur Amonetize qui va par des sites de cracks/keygen et qui installe d'ailleurs les variantes Komodia (actuellement Shopperz).

J'en avais parlé sur la page : PUPs/Adwares : guerre des moteurs de recherche où Microsoft, distribue via Bing, les plate-formes de PUPs DownloadAdmin / DomaIQ et InstallCore.
Probablement car ces derniers forcent le moteur de recherche Bing, ce qui permet à Microsoft d'augmenter le traffic de son moteur de recherche.
Yahoo! fait de même.
Personellement, j'y vois donc, une hypocrisie, Microsoft dit combattre les adwares mais autorisent ceux qui poussent Bing.

Image

Si ces détections font perdre trop de "clients" à la famille Komodia, il ne restera plus qu'à tenter de se diffuser via une plate-forme qui pousse Bing et en utilisant des techniques moins "sauvages".
Probablement que Microsoft ne dira rien et le proposera même sur son moteur de recherche Bing, en résultats commercials, comme c'est le cas des autres plate-formes PUPs.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Source.:

vendredi 18 décembre 2015

Livre: Le moineau rouge


Un ex-officier de la CIA prend la plume



Écrit par un ancien espion américain ayant voyagé aux quatre coins du monde, Le moineau rouge est LE roman d’espionnage .
Jason Matthews n’est pas un auteur comme les autres : expert en contre-terrorisme­­, il a fait carrière au sein de la CIA et au fil des décennies, il a participé à une foule d’opérations périlleuses classées top secret. «À l’instar d’Ethan Hu, j’ai toujours lu des romans d’espionnage, même quand je travaillais pour la CIA. John le Carré, Charles McCarry, Ian Fleming et Charles Cumming sont d’ailleurs des écrivains qui ont tous d’abord fait partie des services secrets.»
Petit à petit, l’oiseau fait son nid
En marchant sur des œufs, la Russie corrompue de Poutine étant un inquiétant nid de vipères, Jason Matthews a fini par pondre Le moineau rouge, un best-seller qui a donné des ailes au réalisateur de Seven et de Fight Club, David Fincher promettant sous peu d’en tirer un film. «Le manuscrit a été lu par la CIA, et nous avons travaillé ensemble afin qu’aucune information sensible ne soit révélée», précise Jason Matthews. «La nouvelle guerre froide est un chapitre fascinant de l’Histoire et à travers mes yeux, les lecteurs découvriront un monde dont très peu de gens ont entendu parler.»
Grâce à Nate Nash, un jeune agent de la CIA envoyé à Moscou qui a réussi à gagner la confiance du MARBRE, une taupe ayant tour à tour gravi les échelons du KGB et du SVR (le service des renseignements extérieurs russe), on ne tardera pas à comprendre que Poutine a réellement la frite : même sans sauce et sans fromage en grains, il réserve des surprises gratinées à tous ceux qui pensent pouvoir échapper à son contrôle. Car même s’il a spécialement été formé pour œuvrer en terrain adverse, Nate sera rapidement débusqué et exfiltré vers Helsinki.
Dominika, une espionne russe de 25 ans, aussi belle que déterminée, aura aussitôt pour mission de l’approcher et de le séduire afin de démasquer coûte que coûte la véritable identité du MARBRE­­. Cette ex-ballerine a en effet suivi un stage à «l’école des moineaux», une école capable de transformer n’importe quelle blanche colombe en véritable rapace­­.
Tout cuit dans le bec
«Pour écrire Le moineau rouge, j’ai beaucoup lu sur cette école soviétique, où hommes et femmes étaient entraînés à l’art du chantage et de la séduction sexuelle à des fins d’espionnage, explique­­ Jason Matthews. Elle était située­­ dans la ville de Kazan, la capitale de la république du Tatarstan, et je pense qu’elle est maintenant fermée. Ça n’empêche pas les Russes d’utiliser encore le “sexpionnage” dans le cadre de leurs opérations, et j’ai construit l’intrigue de mon premier livre autour de ce fait.»
Une intrigue qu’on n’a pu s’empêcher de dévorer d’un bout à l’autre, James Matthews n’ayant reculé devant rien pour nous captiver.
Il a même intégré la recette des plats qui, d’un chapitre à l’autre, ont fait le régal de ses personnages. «J’ai pensé que ce serait amusant d’ajouter ces recettes, qui sont toutes délicieuses et faciles à réaliser!»Beaucoup d'ex-agents secrets se sont reconvertis en romanciers, Matthews fait partie des rares dont la seconde carrière va être aussi solide que la première ! " The Washington Post.

Le moineau rouge


Jason Matthews, aux Éditionsà du Cherche-midi, 656 pages

Source.:

vendredi 11 décembre 2015

Sécuriser son Windows (version courte)



Voici résumés les quelques conseils qui peuvent améliorer de manière plus que sensible la sécurité de votre Windows.

Voici une configuration proposée, encore une fois, ce ne sont pas les programmes installés qui font la sécurité ou feront la différence mais votre attitude et comportement sur internet.
Lire :

Pour vous tenir informer des menaces, vous pouvez vous inscrire à la newsletters du site : http://newsletter.malekal.com/lists/?p=subscribe&id=1

Sécuriser son Windows :

La config est dissociée selon les versions de Windows - les risques d'infection n'étant pas les mêmes selon les versions de Windows :

Windows Vista/Seven/8

Pour les utilisateurs de Windows Vista/Seven, si vous avez désactivé l'UAC, c'est une bien belle erreur, je vous conseille vivement de le réactiver, lire la page UAC : Pourquoi ne pas le désactiver.

La configuration ci-dessus prend en compte le faite que l'UAC est activé et que les utilisateurs ont compris son interêt.
Si l'UAC est désactivé, vous surfez certainement avec les droits administrateurs, vous avez alors réduit de manière significative la sécurité de votre Windows.

Avant d'installer un nouvel antivirus, il est possible que vous aillez un antivirus installé sur votre Windows lors de l'achat (souvent Norton, McAfee ou Trend-Micro), pensez à le désinstaller depuis le panneau de configuration puis programmes et fonctionnalités.
Deux antivirus sur le même Windows, ce n'est pas bon, du tout.
Plus d'informations sur la désinstallation des programmes : Désinstaller des programmes sur Windows


NOTE : sur un netbook, Malwarebytes + un antivirus peut s'avérer lourd et ralentir ce dernier.
N'installez pas Malwarebytes dans ce cas là.

Important : Pensez à activer la détections des PUP/LPI sur votre antivirus ==> http://www.malekal.com/2011/07/27/detec ... d-program/

Quelques mots :
  • Le pare-feu de Windows Vista/Seven est amplement suffisant, les utilisateurs avancés pourront se tourner s'ils le souhaitent vers une alternative qui demande quelques connaissances (Outpost, Comodo ou ZoneAlarm).
  • L'utilisation de programmes comme Sandboxie et DropMyRight/StripMyRight est inutile sous Windows Vista/Seven puisque l'UAC rempli sont rôle et Internet Explorer fonctionne déjà dans un bac à sable.


Windows 2000/XP

NOTE : Windows 2000 est plus sujet au infection dans le sens où il n'est plus maintenant, des vulnérabilités sont présentes et non corrigées, le fait de surfer aussi avec Internet Exporer 6 n'aide pas (voir IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ? - Si le Windows est relativement ancien, ne serait-il pas le moment de tenter l'aventure GNU/Linux ?


Un seul antivirus et un seul antispyware - Multiplier les protections ne sert à rien à part ralentir Windows surtout si vous avez une attitude à risque sur internet, voir Phénomène de sur-multiplication des logiciels de protection

Sécuriser son navigateur WEB


Et pour la vie privée, bloquer les Trackings Cookies : http://forum.malekal.com/bloquer-les-trackings-cookies-t47412.html

Et si vous êtes sur Windows 10, les bon réglages : Windows 10 : Confidentialité et mouchards

Si vous n'en avez pas l'utilité - il est fortement conseillé de désactiver Java sur votre navigateur WEB - voir les pages précédentes sur la sécurisation de ses navigateurs WEB

Éventuellement adjoindre ExploitShield Browser Edition qui permet de bloquer les Les Exploits sur les sites WEB piégés

ou des bloqueurs d'URLs malicieuses :

Désactiver l'exécution de scripts/Macros (Windows Script Hosts, etc)

il est fortement conseillé de désactiver l'exécution de scripts qui peuvent permettre l'infection de votre Windows par email ou par média amovibles.
Plus d'informations sur les malwares VBS / WSH - le dernier paragraphe explique comment s'en protéger.

Mais aussi les Macros malicieuses qui peuvent être utilisées dans des campagne de mails malicieux (par exemple) : office-limiter-risques-exposions-aux-macros-malveillantes-t51620.html


Si vous avez des enfants : Contrôle Parental

Windows fournit un Contrôle Parental qui permet de filtrer les applications utilisées, limiter l'utilisation du Windows à des plages horaires ou encore bloquer le contenu des sites WEB visités.
Pour plus d'informations, se reporter à la page : Tutorial Contrôle Parental Windows

Maintenir son Windows sécurisé et non vulnérable

Pour beaucoup la sécurité se résume à l'installation d'un antivirus et antispyware.
Windows et des logiciels non à jour rendent votre Windows vulnérable, la simple visite d'un site hacké peut entraîner l'infection de votre Windows.

Exemple en pratique d'un internaute infecté dans la partie Virus : comprend-pas-t14656.html si vous ne réglez pas les problèmes de vulnérabilités en amont, le choix en aval d'un antivirus ne réglèra pas les problèmes.

L'utilisateur est LE RESPONSABLE de sa sécurité. Elle ne peut être déléguée entièrement à aucun programme.

Logiciels pour vous aider à maintenir vos programmes à jour : logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Avoir Java / Adobe Reader et Flash à jour et extrêmement important.

Image

Ne pas avoir un comportement à risque sur internet

Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas pas

Les infections ne viennent pas toutes seules... un comportement à risque engendre les infections.
Encore une fois... si vous êtes infectés, ce n'est pas votre antivirus qui est inefficace mais vous qui avez une attitude à risque ou n'êtes pas assez méfiant : ne prenez pas comme acquis tout ce qu'on vous propose, soyez critique et vigilant!

La sécurité de votre Windows, ce n'est pas vos antivirus/antispyware, c'est vous qui l'a fait à chaque instant.
Vous cherchez le meilleurs antimachins et à côté de cela, vous ouvrez n'importe quel fichier sur Emule, ou un fichier qu'on vous propose sur un site WEB inconnu.... Cela conduit inévitablement à l'infection.
Les antivirus ont leurs limites, pour comprendre les difficultés des éditeurs de sécurité pour vous protéger des malwares, lire la page Infections VS Antivirus

[/list]

Soyez critiques et méfiants, ne prenez pas pour acquis tout ce que l'on vous dit, n'ouvrez pas tous les fichiers que l'on vous propose. N'importe quel fichier peut-être source d'infection.
Si vous avez le moindre doute, scannez le fichier sur VirusTotal : http://www.virustotal.com/
Cela prends 30s et ça peut vous éviter des heures de galères pour désinfecter son Windows.

Attention même aussi connu comme par exemple, 01net qui propage des Adwares/PUPs via des tutorials => : http://www.malekal.com/2011/11/28/pctuto-et-01net-le-foutage-de-gueule-continue/


Surfer sécurisé

Une autre solution qui permet de ne pas infecter son Windows d'une manière certaine est de surfer sur un OS alternatif. Cette solution demande quelques connaissances minimales informatiques pour être mises en place, elle est donc destinée aux personnes non néophytes.

Pour plus d'informations, lire la page Surfer de manière sécurisée!

OU

Ne surfez pas avec les droits administrateurs : Pourquoi ne faut-il pas surfer avec les droits administrateurs?

et si vous ne pouvez pas faire autrement.... : Installez un programmes de protection à la navigation WEB


Connaître les menaces

Se tenir au courant des menaces et les manières dont elles se propagent permet de les éviter.

Un utilisateur averti vaut tous les programmes de protections installés et ne se fera pas abuser par les pièges tendus par les auteurs de malwares entre autre par le social engineering

Vous pouvez suivre la communauté Malekal.com afin d'être tenu au courant des menaces.
ou vous inscrire à la newsletter du site : http://newsletter.malekal.com/lists/?p=subscribe&id=1

Enfin pour le choix de son antivirus, reportez-vous au Comparatif Antivirus malekal.com

Pour aller plus loin dans la sécurité, vous pouvez mettre aussi vos données à l'abri en :
Sauvegardant vos données et en effectuant une image système avec DriveImage XML par exemple.


Garder un œil sur son Windows

La page Virus : Analyser son Windows vous donne quelques conseils afin de garder un oeil sur les éléments qui tournent sur votre Windows et déceler des malwares.

~~

Site contre les menaces informatiques : http://www.stopvirus.fr/

Image


Solutions payantes

Si vous souhaitez investir dans des solutions payantes, nous vous recommandons les antivirus suivants :
  • Kaspersky
  • NOD32

Si vous optez pour un antivirus gratuits vous pouvez lui ajouter en protection la version payante de Malwarebytes


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Source.:

GlassWire : monitorer ses connexions réseaux



GlassWire est un programme qui permet de monitrer ses connexions réseaux.
GlassWire graph le débit, permet de lister les connexions par application avec notamment un drapeau pour la localité géographie.
GlassWire affiche aussi une popup lorsqu'un programme effectue une nouvelle connexion réseau pour vous en informer.

Pour rappel, le Moniteur de ressources systèmes de Windows fait déjà partie de ce travail.

Télécharger GlassWire : http://telecharger.malekal.com/download/glasswire/
Site Officiel : https://www.glasswire.com/

Lien connexe - Lister les connexions établies sur Windows

Image

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Source.: