Powered By Blogger

Rechercher sur ce blogue

samedi 5 août 2017

Désinfection manuelle de Windows (Trojan, Adware etc)



Dans cet article, j’explique le principe des désinfections manuelles qui s’effectuent généralement sur les forums.
Cela peut servir aux geek de la famille à qui on ramène les Windows malades.
Le but est de bien comprendre sur quoi repose ces désinfections de virus et comment procéder.
Ceci est donc une illustration des désinfections faites à partir de l’utilitaire FRST.
Cette page est donc à destination des personnes à l’aide en informatique et ayant une connaissance minimale en informatique et Windows.

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Principe

Avant d’entrer dans le vif du sujet, il faut comprendre sur quoi repose ces désinfections.
Tout d’abord, nous allons juste rappeler de quoi est composé un logiciel malveillant.
  • Une partie active, c’est le processus en mémoire actif qui effectue les actions, ce pourquoi, le logiciel malveillant a été conçue. Ce processus peut prendre la forme d’un .exe ou d’une DLL
  • L’utilisation d’un point de chargement de Windows, cela permet au virus informatique de se charger à chaque démarrage de Windows. Il existe beaucoup de point de chargement sur Windows.
Bien entendu, on a toujours des exceptions, comme par exemple, le remplacement de fichiers systèmes : Trojan Patched et remplacement de fichiers systèmes de Windows.
FRST est un programme qui effectue un analyse de Windows et génère des rapports.
Ces rapports contiennent des points de chargements de Windows, les processus en cours d’exécution, une partie des DLL chargées en mémoire, les derniers fichiers modifiés dans le système et bien d’autres données.
A partir, d’une analyse de ces informations, il est possible de trouver certains logiciels malveillants et de les éradiquer.
La suppression se fait à partir d’un script de correction que l’on fournit à FRST et qui indique les fichiers, clés et autres éléments à supprimer de Windows.
Pour les plus anciens des internautes, il s’agit du même principe que le fameux HijackThis qui est devenu trop limité sur le contenu de l’analyse système et plus maintenu.
Avec une bonne pratique, les avantages sont de pouvoir vérifier et supprimer les virus qui ne sont pas détectés par les programmes traditionnels : RogueKiller, ZHPCleaner, AdwCleaner, Malwarebytes-Anti Malware.
On se rapproche plutôt des outils proposés sur cette page : Comment vérifier si ordinateur a été hacké ou piraté ?
A travers l’analyse des processus en cours de chargement et des points de chargement de Windows.
L’inconvénient concerne ceux qui ne veulent pas avoir à réfléchir et passer des outils automatiques.
pjjoint est l’outil idéal, ce dernier permet d’analyser les rapports FRST, ainsi vous pouvez avoir déjà un aperçu à travers une base de données recensant les programmes légitimes.

Analyse rapport FRST

Quelques informations sur les rapports FRST et leur composition.
Les rapports FRST sont composés de trois rapports (si vous cochez bien les options comme indiqué dans le tutoriel FRST)
  • FRST.txt : contient les processus, clés RUN, informations navigateurs WEB, pilotes et derniers fichiers modifiés
  • Addition.txt : liste les programmes installés, les tâches planifiées
Les couleurs de pjjoint :
  • En rouge gras : connus pour être malveillant
  • En rouge : détection générique afin d’attirer l’attention, pas forcément malveillant mais peut l’être
  • En vert : légitime
  • En gris : pas de statut

FRST.txt

L’en-tête fournit les informations du rapport FRST.txt, l’utilisateur Windows et les versions de Windows.
puis la liste des processus en cours d’exécution durant le scan FRST.

Vient ensuite les clés Run et startup.
On peut aussi y trouver les clés IFEO.

puis la configuration des navigateurs WEB, listant les extensions installées.

puis les services Windows et pilotes.

les derniers fichiers modifiés ou créés, sur un mois.


Enfin le rapport FRST se termine par les hashs de fichiers systèmes afin de détecter d’éventuel patch.
FRST indique si les fichiers systèmes sont signés numériquement.
Si l’option BCD a été coché, le contenu du BCD est donné.

Addition.txt

Les rapports Addition.txt ne sont pas évalués par pjjoint.
Voici l’en-tête du rapport Addition.txt assez similaire à FRST.txt
puis on enchaîne sur les informations utilisateurs, ainsi que les antivirus installés.
Du moins, la liste retournée par Windows (qui peut-être fausse).
puis la liste des programmes installés dans Windows.

puis les raccourcis, souvent modifiés par des Browser Hijacker pour forcer des moteurs de recherche.
Les modules chargés dans explorer.exe
Puis les tâches planifiées de Windows.

Pour les raccourcis, vous pouvez générer un fichier Shortcut.txt qui liste tous les raccourcis et permet de récupérer les raccourcis Windows modifier afin de faire lancer un moteur de recherche en particulier. Exemple launchpage.org où on voit que Shortcut.txt en liste beaucoup plus :


puis d’autres infos dont un aperçu du fichier HOSTS de Windows qui peut-être modifiés (Hijack.HOSTS).
On trouve aussi les informations DNS.
et les entrées mconfig, si l’utilisateur a désactivé certains programmes au démarrage de Windows.

les règles du pare-feu de Windows

Quelques informations comme les points de restauration de Windows, puis les périphériques non installés (gestionnaires de périphériques) et certains contenu de l’observateur d’événements de Windows.

Enfin la configuration matérielle de l’ordinateur.

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Désinfection virus

Aidez vous de pjjoint pour analyser les rapports FRST.
En cas de doute sur un fichier ou autres, vous pouvez :
  • une analyse VirusTotal de ce fichier,
  • une recherche Google incluant si possible le chemin complet avec des “, exemple : “C:\Windows\system32\csrss.exe”
  • vérifiez avec herdprotect, exemple sur Google : herdprotect c:\windows\system32\csrss.exe
Pjjoint aide à mettre de côté les fichiers légitimes. Avec l’habitude, vous verrez que c’est à peu près toujours les mêmes programmes qui reviennent.
Le but est de noter chaque ligne malveillante et liés à des cheval de troie, virus et autres afin de constituer une correction FRST.
C’est parti pour quelques exemples et subtilités.

Startup, clé Run et services Windows

Rien d’exception, il suffit de vérifier ces derniers.
En général, pjjoint les reconnaît.

Prêtez une attention au fichier non signé numériquement.


Clé IFEO

Les clés du registre Windows IFEO pour Image File Execution Options sont des clés, initialement prévus pour débugger permettant l’exécution d’un exécutable lorsqu’un exécutable en particulier se lance.
La clé se trouve dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options suivi du nom de l’exe.
Dans l’exemple ci-dessous, à chaque exécution de GoogleUpdate.exe (légitime), un exécutable avec des chiffres (malveillant) sera aussi lancé.

Si aucun exécutable n’est spécifié alors le fichier ne pourra se lancer.
Ci-dessous, le gestionnaire de tâches (taskmgr.exe) ne pourra être démarré.

Même chose ci-dessous pour prévenir de l’exécution de FRST, HijackThis etc :

Malwarebytes Anti-Malware peut détecter ces derniers en PUP.Optional.IFEO

Extension malveillante sur Chrome

Les extensions malveillantes (Adwares/PUPs)  sur Chrome et Firefox sont identifiées par des ID.
Il suffit alors d’effectuer une recherche Google afin de vérifier si celle-ci se trouve dans le magasin de Chrome et si elle est “connue”.

Drivers malveillants

Exemple de pilotes malveillants avec ucguard / UCBrowser et Netutils


Trojan RAT

Quelques exemples de rapports FRST avec des Trojans RAT.
La plupart du temps, ces derniers se chargent par des clés RUN ou Startup.
Parfois des tâches planifiées.
La tâche planifiée et les dossiers du Trojan RAT qui correspondent :



Un Trojan RAT qui se chargent par des clés RUN et Startup :

De multiples dossiers dans %APPDATA%, l’attribut H montre que ces derniers sont attributs cachés (hidden).

Malware Filess

Ces derniers se chargent par des clés Run qui contiennent un script dans la clé.
Plus d’infos : Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit et les Les virus ou trojan Powershell
Clé Run avec mshta :

Signature fichiers systèmes

Ci-dessous un exemple de fichier système patché (modifié afin d’effectuer des opérations malveillantes).
Le fichier dnsapi.dll est modifé et donc, il n’est plus signé numériquement.
FRST indique le MD5 du fichier, vous pouvez éventuellement effectuer une recherche sur Google.

Correction FRST

Une fois, les lignes malveillantes repérées et notées.
Vous pouvez effectuer une correction FRST afin de supprimer les logiciels malveillants de Windows.
Pour cela, il faut créer un fichier fixlist.txt qui doit impérativement se trouver dans le même dossier que Windows.

  • CreateRestorePoint: demande la création d’un point de restauration système.
  • CloseProcesses: tue tous les processus non essentiels de Windows
  • cmd: permet de lancer une commande cmd, dans l’exemple on vide le catalogue Winsock.
  • reg: permet de passer une commande reg, même syntaxe que celle de l’invite de commandes de Windows.
    • reg add, vous pouvez créer des clés en indiquant la valeur etc
    • reg delete, vous pouvez supprimer des clés du registre Windows
  • HOSTS: vide le fichier HOSTS de Windows.
  • EmptyTemp : vide les fichiers temporaires
  • RemoveProxy : supprimer tous les proxys de Windows
  • Reboot: fait redémarrer l’ordinateur une fois la correction effectuée.
Vous pouvez donc indiquer les clés Run, Services et autres directement, ainsi que les lignes de fichiers modifiés.
Vous pouvez aussi donner le chemin complet d’un fichier ou dossier afin de faire supprimer ce dernier.
Pour une syntaxe complète des scripts FRST, rendez-vous sur la page:  FRST Tutorial – How to use Farbar Recovery Scan Tool
Relancez alors FRST puis cliquez sur le bouton Correction (Fix en anglais) pour lancer l’opération.

En vidéo

Exemple de suppression de cheval de troie et désinfection Windows en vidéo :

Liens autour de la suppression de virus

Sans oublier, le menu du site : Virus & Sécurité.

REF.:

Le Peer-to-peer (P2P) et les virus



Le Peer-to-Peer (P2P) est un mode d’échange de fichiers entre internautes qui a très vite permis de mettre en ligne des fichiers illégalement, en échappement aux droits d’auteurs.
Parmi ces fichiers, on trouve beaucoup de logiciels crackés, c’est à dire soit modifié, soit contenu un petit programme qui permet de mettre en veille ou contourner la licence de l’application afin de pouvoir l’utiliser gratuitement. Ainsi, le P2P est donc aussi très vite devenu populaire.
Cette popularité est exploitée par les auteurs de virus en mettant en ligne des programmes malveillants à travers ces applications crackées.
Voici un tour d’horizon des menaces qui ont pu exister et comment elles se sont propagés à travers le P2P.


Introduction au P2P

Avant de commencer sur le côté virus, il existe plusieurs protocoles différents et plusieurs logiciels, qui ont aussi évolués dans le temps.
Le fonctionnent est grosso modo identique mais avec quelques variantes, dans tous les cas, l’internaute fait client/serveur, c’est à dire qu’il peut téléchargé chez les autres des morceaux du fichiers souhaités tout en les mettant à disposition des autres internautes. C’est la force du P2P.
En gros les modes P2P les plus connus sont :
  • Emule où l’age d’or se situe plutôt entre 2002 et 2013, ce dernier fonctionne avec des serveurs centralisés, on s’y connecte, on a obtient la liste des programmes mis en ligne par les internautes, que l’on peut télécharge et mettre en ligne à son tour.
  • Bittorrent qui a maintenant supplanté Emule, il s’agit de serveurs décentralisés, chaque client fait ensuite office de noeud. L’internaute télécharge un .torrent qui récupère une liste de noeuds. Le client P2P s’y connecte afin de mettre à jour et pouvoir ensuite téléchargé les morceaux du fichiers en ligne. Actuellement, le client Bittorent le plus populaire est utorrent.
En contrôlant les ordinateurs infectés, il peut être possible de partager ensuite des fichiers malveillants, ainsi l’ordinateur infecté est aussi utilisé, à travers le P2P pour infecter d’autres internautes.
C’est le principe des vers informatiques ou worm en anglais.

Les virus sur Emule

Emule a très vite été utilisé pour diffuser des logiciels malveillants, ainsi, le principe est assez simple, une fois contaminé, le virus va créer des zip de cracks dans le répertoire de partage de l’utilisateur.
Les internautes vont télécharger ces derniers et se mettre ensuite à diffuser ces cracks malveillants.
Par exemple, dans les années 2007 et 2008, Bagle était très actif de ce côté là : Bagle/Beagle/Trojan.Tooso.R
Bagle un trojan par Peer-to-peer (P2P) Bagle un trojan par Peer-to-peer (P2P)
Cette vidéo montre la création des cracks vérolés par Bagle lorsque l’ordinateur est infecté par ce trojan :

Les torrents peuvent renfermer aussi des logiciels malveillants.
Les auteurs de malwares peuvent tout simplement mettre en ligne des logiciels embarquant des trojan, et autres logiciels malveillants.
Parmi les cheval de troie assez élaboré et utilisant les torrents pour se diffuser, on peut Trojan.Sathurbot.


Une fois l’ordinateur infecté par Trojan.Sathurbot, l’ordinateur va tenter d’attaquer des sites internet en WordPress, si le piratage fonctionne, le contenu du site internet sera modifié pour mettre en ligne de fausses pages de logiciels torrent.
Si un internaute tombe dessus et télécharge ce torrent, en exécutant le contenu, il va infecter son ordinateur qui à son tour va tenter d’attaquer des sites internet.
Le Trojan Sathurbot en vidéo avec le mode de propagation avec par des attaques par brute force  :

L’éditeur d’antivirus ESET s’est aussi fait l’écho d’un ransomware visant Mac propagé à travers des torrent piégés : New crypto-ransomware hits macOS
Là aussi, on met en ligne des cracks, par exemple pour Adobe Premiere Pro comme le montre cette capture d’écran :
Un ransomware diffusé par Peer-to-peer (P2P)
Le zip renferme un fichier “patcher” qui s’avère être le ransomware.
Un ransomware diffusé par Peer-to-peer (P2P)

Client Torrent et PUP

Enfin les clients torrent, comme tout logiciels peuvent proposer l’installation de programmes potentiellement indésirable (PUP) qui s’avèrent être la plus part du temps des adwares.
Plus d’informations, se reporter aux pages :

Conclusion

Comme vous pouvez le constater, il est relativement simple d’utiliser le P2P pour propager des virus, tout simplement car le contenu n’est pas centralisé.
Cela permet donc très facilement mettre en ligne du contenu malveillant.
Le problème de télécharger des cracks par P2P rentre dans le cadre du téléchargement de sources non sûres.
Les fichiers sont mis en lignes par des inconnus, vous ne savez pas ce qui est au bout, sauf après avoir exécuter sur votre ordinateur le contenu, or souvent, il est trop tard.
C’est tout simplement la loterie.
Ces sources non sûres valent aussi pour le téléchargement de fichiers comme 1fichiers, uptobox ou mega. D’ailleurs, il se passe la même chose avec les virus sur Youtube : Arnaques et virus sur Youtube
En clair donc, télécharger depuis ces sources non sûrs est à l’extrême opposé des bons réflexes de la sécurité informatique.


Liens autour des virus et cracks

Pour aller plus loin dans les virus par cracks :
REF.:

lundi 31 juillet 2017

Toutlemondeenblogue, le bonne endroit pour les Blogues

Hackers: Le plus grand cybercriminel est Russe


Au F.B.I., Evgeniy M. Bogachev est le cybercriminalisme le plus recherché au monde. Le bureau a annoncé une prime de 3 millions de dollars pour sa capture, le plus montant d'argent jamais offert pour des crimes informatiques, et ont a tenté de suivre ses mouvements dans l'espoir de l'attraper s'il s'est éloigné de son territoire domestique en Russie.Il a été inculpé aux États-Unis, accusé de créer un réseau étendu d'ordinateurs infectés par le virus pour siphonner des centaines de millions de dollars de comptes bancaires à travers le monde, ciblant n'importe qui avec suffisamment d'argent pour voler - d'une société de lutte antiparasitaire en Caroline du Nord a un service de police du Massachusetts à une tribu des Amérindiens à Washington.En décembre, l'administration Obama a annoncé des sanctions contre M. Bogachev et cinq autres en réponse aux conclusions des agences de renseignement selon lesquelles la Russie s'est entachée lors de l'élection présidentielle. Publicement, les responsables de l'application de la loi ont déclaré que ce sont ses exploits criminels qui ont débarqué M. Bogachev sur la liste des sanctions, pas un rôle spécifique dans le piratage du Comité national démocrate.Mais il est clair que pour la Russie, il est plus qu'un simple criminel. À un moment donné, M. Bogachev contrôlait jusqu'à un million d'ordinateurs dans plusieurs pays, avec un accès possible à tout, depuis les photographies de vacances familiales et les documents à terme jusqu'à des propositions d'affaires et des informations personnelles hautement confidentielles. Il est presque certain que les ordinateurs appartenant à des fonctionnaires et entrepreneurs dans un certain nombre de pays figuraient parmi les dispositifs infectés. Pour la communauté russe du renseignement obsédée par la surveillance, les exploits de M. Bogachev ont peut-être créé une occasion irrésistible d'espionnage.Tandis que M. Bogachev évacuait les comptes bancaires, il semblait que les autorités russes regardaient par-dessus son épaule, cherchant les mêmes ordinateurs pour les fichiers et les courriels. En effet, ils ont greffé une opération de renseignement sur un système de cybercriminalité de grande envergure, épargnant le lourd travail de piratage dans les ordinateurs eux-mêmes, selon les responsables.
Les Russes étaient particulièrement intéressés, semble-t-il, par les informations des services militaires et de renseignement concernant les combats dans l'est de l'Ukraine et la guerre en Syrie, selon les responsables de l'application de la loi et la firme de cybersécurité Fox-IT. Mais il semble également y avoir eu des tentatives d'accès à des informations militaires et d'intelligence confidentielles sur les ordinateurs infectés aux États-Unis, consistant souvent à rechercher des documents contenant les mots «top secret» ou «ministère de la Défense».Le gouvernement russe dispose de ses propres outils de cyberespace pour recueillir des renseignements. Mais le survol des activités de M. Bogachev offre des indices de l'ampleur et de la créativité des efforts d'espionnage de la Russie à un moment où les États-Unis et l'Europe luttent contre les attaques de plus en plus sophistiquées capables de détruire les infrastructures critiques, de perturber les opérations bancaires, de voler des secrets gouvernementaux et Sapant les élections démocratiques.


Cette relation est illustrée par le mélange improbable de personnages ciblés par les sanctions annoncées par l'administration Obama. Quatre étaient des officiers supérieurs avec la puissante agence de renseignement militaire russe, le G.R.U. Deux étaient des cyberthèmes suspectés dans la liste la plus recherchée de F.B.I.: une Russe ethnique de Lettonie a nommé Alexsey Belan avec une coupe de cheveux Justin Bieber teinté de couleur rouge, et M. Bogachev, dont F.B.I. Le fichier comprend une photo de lui tenant son chat tacheté du Bengale tout en portant un ensemble assorti de pyjama imprimé léopard. 


Du voleur à l'actif russe?Son implication dans l'intelligence russe peut aider à expliquer pourquoi M. Bogachev, âgé de 33 ans, n'est guère responsable. FBI. Les fonctionnaires disent qu'il vit ouvertement à Anapa, une station balnéaire dégradée sur la mer Noire dans le sud de la Russie. Il a un grand appartement près du rivage et peut-être un autre à Moscou, disent les officiels, ainsi qu'une collection de voitures de luxe, bien qu'il semble favoriser la conduite de son Jeep Grand Cherokee. Les enquêteurs américains disent qu'il aime naviguer et possède un yacht.en Russie, une station balnéaire sur la mer Noire où vit M. Bogachev.  

L'exécution du régime pénal était un travail acharné. M. Bogachev se plaignait souvent d'être épuisé et «d'avoir trop peu de temps pour sa famille», a déclaré Aleksandr Panin, pirate russe, maintenant dans une prison fédérale au Kentucky pour la fraude bancaire, qui communiquait avec M. Bogachev en ligne. "Il a mentionné une femme et deux enfants pour autant que je me souvienne", a déclaré M. Panin dans un courriel.Au-delà, on sait peu de choses sur M. Bogachev, qui a préféré opérer anonymement derrière différents noms d'écran: slavik, lachez le e
n personne ou connaissait son vrai nom. "Il était très, très paranoïaque", a déclaré J. Keith Mularski, F.B.I. Superviseur à Pittsburgh, dont l'enquête sur M. Bogachev a conduit à un acte d'accusation en 2014. «Il n'a pas confiance en personne.» La Russie n'a pas de traité d'extradition avec les États-Unis, et les responsables russes disent que tant que M. Bogachev n'a pas  commis un crime sur le territoire russe, il n'y a pas lieu de l'arrêter. Les tentatives de contact avec M. Bogachev pour cet article ont échoué. En réponse aux questions, son avocat à Anapa, Aleksei Stotskii, a déclaré: "Le fait qu'il soit recherché par le F.B.I. M'empêche moralement de tout dire. "Une ligne dans le dossier de M. Bogachev avec le ministère ukrainien de l'Intérieur, qui a aidé le F.B.I. Suivre ses mouvements, le décrire comme «travaillant sous la supervision d'une unité spéciale du F.S.B.», se référant au service fédéral de sécurité, principal service de renseignement de la Russie. Le FSB n'a pas répondu à une demande de commentaire. Que M. Bogachev reste en liberté "est l'argument le plus puissant" qu'il est un atout du gouvernement russe, a déclaré Austin Berglas, qui était un agent spécial adjoint chargé des cyberinvestigations Du bureau de terrain du FBI de New York jusqu'en 2015. Les pirates comme M. Bogachev sont des «lutteurs de la lune», a déclaré M. Berglas, «faisant l'offre des services de renseignement russes, qu'il s'agisse d'espionnage économique ou d'espionnage direct». Un tel arrangement offre Le Kremlin est une histoire de couverture pratique et une occasion facile de jeter un coup d'oeil sur les vastes réseaux d'ordinateurs infectés par des pirates russes, disent les experts en sécurité. Les agences de renseignement russes semblent également utiliser occasionnellement des outils de logiciels malveillants développés à des fins criminelles, y compris le populaire BlackEnergy, pour attaquer les ordinateurs des gouvernements ennemis. Les récentes révélations de WikiLeaks au sujet de C.I.A. Les outils d'espionnage suggèrent que l'agence a également gardé une grande bibliothèque de référence de trousses de piratage, dont certaines semblent avoir été produites par la Russie. Elle suggère également de lutter pour recruter les meilleurs talents. Un travail avec les agences de renseignement russes ne commande pas le prestige qu'il a fait à l'ère soviétique. L'Etat russe doit rivaliser avec le rêve des salaires à six chiffres et des stock-options dans Silicon Valley. Un poste de recrutement depuis quelques années pour la brigade de cyberguerre du ministère de la Défense a offert aux diplômés du collège le grade de lieutenant et un lit dans une pièce avec quatre autres personnes. Le procureur général adjoint de Photoshop, Leslie R. Caldwell, de la Division criminelle du ministère de la Justice, a annoncé la Effort pour perturber GameOver ZeuS en 2014. Des accusations criminelles contre M. Bogachev ont également été exclues. Crédit Gary Cameron / ReutersAnd, alors le Kremlin tourne parfois vers le "dark web" ou les forums de langue russe consacrés au cyberfraud et au spam. M. Bogachev, selon les documents judiciaires de son cas criminel, vendait des logiciels malveillants sur un site appelé Carding World, où les voleurs achètent et vendent des numéros de cartes de crédit volés et des trousses de piratage, selon F.B.I. Une publication récente a offert de vendre des informations de carte de crédit américaines avec des numéros de sécurité CVV pour 5 $. Un utilisateur nommé MrRaiX vendait un logiciel malveillant supposé conçu pour piloter des mots de passe de programmes comme Google Chrome et Outlook Express. Plus que de fermer ces sites, comme F.B.I. Tente généralement de le faire, les agents de renseignement russes semblent les avoir infiltrés, selon les experts de la sécurité. Certains des forums affirment spécifiquement que presque n'importe quel type de criminalité est autorisé: la fraude bancaire, la contrefaçon de documents, les ventes d'armes. L'une des rares règles: pas de travail en Russie ou dans l'ancienne Union soviétique. Dans Carding World et dans de nombreux autres forums, une violation entraîne une interdiction à vie. La Lettre d'interprète Comprend le monde avec une perspicacité et des commentaires sur les principales nouvelles de la semaine. Voir la politique de confidentialité de l'exemple Désactiver ou nous contacter en tout temps The F.B.I. A longtemps été bloqué dans ses efforts pour obtenir des cybercriminels russes. Pendant un certain temps, le bureau avait de grands espoirs que ses agents et enquêteurs russes avec le F.S.B. travailleraient ensemble pour cibler les voleurs russes qui avaient fait une spécialité de voler les informations sur les cartes de crédit des Américains et de casser leurs comptes bancaires. "Voici des recherches approfondies", F.B.I. Et les agents de F.S.B. se ravisaient dans les steaks de Manhattan lors de visites périodiques de confiance, a déclaré M. Berglas. Mais l'aide a rarement semblé se concrétiser. Au bout d'un moment, les agents se sont inquiétés du fait que les autorités russes recrutaient les suspects que le F.B.I. Poursuivait. La blague parmi les fonctionnaires du ministère de la Justice était que les Russes étaient plus susceptibles d'épingler une médaille sur un pirate informatique suspect que d'aider le F.B.I. "Presque tous les pirates informatiques qui ont été annoncés par le gouvernement américain par des actes d'accusation sont immédiatement suivis par le gouvernement russe", a déclaré Arkady Bukh, un avocat basé à New York qui représente souvent des pirates russes arrêtés aux États-Unis. "Tout le temps, on leur demande de fournir des ressources logistiques et techniques support
"Alors qu'il s'agissait d'un soupçon largement répandu, il est difficile de prouver le lien entre les cyberthèmes et les renseignement russes. Mais dans un cas, M. Berglas a dit, F.B.I. Les agents surveillant un ordinateur infecté ont été surpris de voir un pirate qui a été la cible de leur enquête de partager une copie de son passeport avec une personne le F.B.I. Considéré comme un agent russe du renseignement - un signal probable que le suspect était recruté ou protégé. "C'était le plus proche que nous ayons jamais vécu", a-t-il déclaré. Pêche pour Top SecretsM. 

 La carrière de piratage de Bogachev a débuté il y a plus d'une décennie, ce qui a conduit à la création d'un logiciel malveillant appelé GameOver ZeuS, qu'il a réussi avec l'aide d'environ une demi-douzaine d'associés proches qui se sont appelés le Business Club, selon le F.B.I. Et des chercheurs en sécurité. En travaillant 24 heures sur 24, son groupe criminel a infecté un réseau d'ordinateurs en constante augmentation. Il a pu contourner les mesures de sécurité bancaire les plus avancées pour vider rapidement les comptes et transférer l'argent à l'étranger à travers un réseau d'intermédiaires appelés mules d'argent. FBI. Les fonctionnaires ont déclaré que c'était le système de larcement en ligne le plus sophistiqué qu'ils avaient rencontré - et pendant des années, il était impénétrable.M. Bogachev est devenu extrêmement riche. À un moment donné, il possédait deux villas en France et gardé une flotte de voitures garées dans toute l'Europe, de sorte qu'il n'aurait jamais à louer un véhicule en vacances, selon un responsable ukrainien chargé de l'application de la loi ayant connaissance de l'affaire Bogachev, qui a demandé l'anonymat à Discuter de l'enquête continue. Les officiels disent qu'il a eu trois passeports russes avec des alias différents lui permettant de voyager sous le couvert. 

Donnez-vous un avis confidentiel? Le New York Times aimerait entendre les lecteurs qui souhaitent partager des messages et du matériel avec nos journalistes. Au plus fort de ses opérations, M. Bogachev avait entre 500 000 et un million d'ordinateurs sous son contrôle, ont déclaré des responsables américains. Et il est prouvé que le gouvernement russe s'intéresse à savoir ce qui était sur eux. En début d'année 2011, selon une analyse de Fox-IT, les ordinateurs sous le contrôle de M. Bogachev ont commencé à recevoir des demandes d'informations - pas sur les transactions bancaires, mais pour Des dossiers relatifs à divers développements géopolitiques ont été tirés des manchettes. Au cours de l'époque où l'ancien président Barack Obama a accepté publiquement de commencer à envoyer des armes légères et des munitions aux rebelles syriens, en 2013, les ordinateurs turcs infectés par le réseau de M. Bogachev ont été touchés par des recherches par mots-clés Les termes «livraison d'armes» et «livraison d'armes». Il y avait également des recherches pour «mercenaire russe» et «mercenaire caucasien», ce qui suggère des préoccupations concernant les citoyens russes qui se battent dans la guerre. En raison de l'intervention militaire de la Russie en Ukraine en 2014, les ordinateurs infectés étaient A cherché des informations sur les fichiers top-secret de la principale direction du renseignement du pays, le SBU Certaines des requêtes concernaient la recherche d'informations personnelles sur les responsables de la sécurité du gouvernement, y compris les courriels du service de renseignement étranger de la Géorgie, le ministère turc des Affaires étrangères et d'autres, a déclaré Michael Sandee, l'un des chercheurs de Fox-IT. Et à un certain point entre mars 2013 et Février 2014, il y avait des recherches pour des documents en langue anglaise, qui semblaient pêcher des documents américains sur l'armée et le renseignement. Les requêtes étaient pour les termes «top secret» et «Department of Defense», a déclaré Brett Stone-Gross, un analyste de la cybersécurité impliqué dans l'analyse de GameOver ZeuS. "Ils étaient en anglais", at-il dit. "C'était différent." Les experts en cybersécurité qui ont étudié l'affaire disent qu'il n'y a aucun moyen de savoir qui a commandé les requêtes. Mais ils étaient tellement déconnectés du vol et de la fraude qui ont poussé l'opération de M. Bogachev que les analystes disent qu'il ne peut y avoir d'autre motif que l'espionnage. Si les recherches ont révélé un document classifié ou un matériel gouvernemental sensible est inconnu, bien que les chances soient bonnes étaient un certain nombre d'employés du gouvernement fédéral ou d'entrepreneurs militaires avec des ordinateurs personnels infectés. "Ils avaient un tel nombre d'infections, je dirais qu'il est très probable qu'ils avaient des ordinateurs appartenant au gouvernement américain et aux employés des gouvernements étrangers", a déclaré M. Stone-Gross. Au cours de l'été 2014, le FBI, ainsi que des organismes d'application de la loi dans plus d'une demi-douzaine de pays, a mené l'opération Tovar, une attaque coordonnée contre l'infrastructure criminelle de M. Bogatchev qui a fermé son réseau et a libéré des ordinateurs infectés par GameOver ZeuS.Prosecutors Ont déclaré qu'ils discutaient avec le gouvernement russe, essayant d'assurer la coopération pour la capture de M. Bogachev. Mais le seul problème juridique apparent que M. Bogachev a rencontré en Russie était un procès déposé contre lui par une société immobilière en 2011 sur le paiement d'environ 75 000 $ sur son appartement à Anapa, selon les documents judiciaires. Et même qu'il a réussi à battre. 
Ces jours-là, les responsables croient que M. Bogachev vit sous son propre nom à Anapa et prend parfois en bateau en Crimée, la péninsule ukrainienne que la Russie a occupée en 2014. M. Mularski, le F.B.I. Superviseur, a déclaré que ses agents «continuaient à poursuivre des pistes».

REF.:

jeudi 20 juillet 2017

Les plus gros data center dans le monde


Terra Incognita

Image 1 sur 13
Les data center sont un paradoxe. Sans eux, pas d'internet tel qu'on le connaît aujourd'hui. Pourtant ils restent éminemment mystérieux. Mis à part les managers qui les commandent, les ingénieurs qui les conçoivent et ceux qui les exploitent au quotidien, personne ne les voit, personne ne les connait, personne ne sait véritablement comment ils fonctionnent. Levons un coin du voile en faisant un tour du monde des plus gros data center, existants ou en cours de construction.
 
 
 
 
 

China Telecom Inner Mongolia Information Park - Hohhot

Image 2 sur 13
Le plus gros data center mondial - pour le moment - est la propriété d'un des plus gros opérateurs télécoms mondiaux, China Telecom. En construction au sein d'un gigantesque complexe de 25 kilomètres carrés à Hohhot, la capitale de la Mongolie intérieure, le Inner Mongolia Information Park de China Telecom occupera une surface de 1 million de mètres carrés. Tout cet espace n'est cependant pas dédié à des serveurs : il comprend également un centre d'appel ou des bureaux. Sa capacité totale doit atteindre 100 000 racks et 1,2 millions de serveurs.
 
 
 
 
 

China Mobile - Hohhot

Image 3 sur 13
Non loin de China Telecom, China Mobile, le premier opérateur chinois, va également ouvrir un énorme data center à Hohhot. Il est légèrement plus petit que celui de China Telecom, mais totalise tout de même 720 000 mètres carrés. Et encore, ceci ne vaut que pour les deux premières phases du projet : une troisième est en préparation.
 
 
 

China Mobile - Harbin

Image 4 sur 13
La troisième place du classement est également occupée par China Mobile, avec un second data center qui atteindra 663 000 mètres carrés à terme. Celui-ci est situé au Nord-Est de la Chine, Harbin, une ville proche de la frontière avec la Russie et donc propice aux échanges commerciaux. C'est aussi une ville très froide (température moyenne de 5 °C) donc appropriée au refroidissement d'une ferme de serveurs.
 
 
 
 
 
 

Range International Information Hub - Langfang

Image 5 sur 13
Le groupe Range Technology Development a lancé en 2011 la construction du Range International Information Hub, à Langfang, dans la province chinoise de Heibei. Ce complexe atteint une surface de 620 000 m2, soit autant que le Pentagone abritant le département de la Défense américaine. Ce data center a été conçu par IBM pour Range Technology et le groupe américain participera également à l'exploitation du site. La construction doit s'achever en 2016.
 
 
 
 
 

China Unicom - Northwest

Image 6 sur 13
Le troisième opérateur chinois s'est lui aussi jeté dans une course au data center et a décidé de s'installer lui aussi à Hohhot. Son centre y sera un peu plus petit que ceux de ses deux concurrents, avec "seulement" 598 000 m2.
 
 
 
 
 

@Tokyo Corporation, Koto-Ku, Japon

Image 7 sur 13
À ce niveau dans le classement, nous pouvons enfin quitter l'empire du milieu pour atterrir dans celui du soleil levant. @Tokyo est une entreprise assez jeune, fondée en 2000. Avec 130 000 m2 dédiés à l'accueil de serveurs, son immeuble phare du quartier de Koto-Ku à Tokyo est pourtant l'un des plus gros data center au monde.  Il est aussi remarquable par son architecture, tout en rondeur. @Tokyo exploite ce centre de données pour des clients tiers, qui louent une capacité serveur.
 
 
 
 
 

NSA Utah Data Center (Bumblehive)

Image 8 sur 13
Les data center précédents étaient tous la propriété d'opérateurs télécoms ou d'exploitants spécialisés. Voici venir un autre acteur, moins publique : la National Security Agency, l'agence de renseignement américaine rendue tristement célèbre par les révélations d'Edward Snowden. Pour mener à bien ses missions d'écoute des communications, la NSA s'est dotée d'un superbe data center, la Utah Data Center, aussi affectueusement baptisé Bumblehive (la ruche bourdonnante). Bâtie pour la bagatelle de 2 milliards de dollars à Bluffdale dans l'Utah, cette ruche occupe plus de 1 million de pieds carrés, soit environ de 100 000 m2. Sur ce total, seuls 10 % sont des salles serveurs.
 
 
 
 

Digital Realty 350 East Cermak

Image 9 sur 13
À égalité avec la NSA (100 000 m2) et toujours américain, mais fonctionnant d'ores et déjà à plein régime, le 350 East Cermak est un superbe data center, en plein coeur de la ville de Chicago. Il est en effet abrité par un bâtiment centenaire, à l'architecture intérieure d'inspiration gothique. A l'origine, ce bâtiment fut construit pour les impressions RR Donnelley, qui produisaient notamment les pages jaunes ou le célèbre catalogue des magasins Sears. Sa conception avant-gardiste pour l'époque fait appel à des colonnes de béton armé. Les planchers peuvent supporter plus d'une tonne par mètre carré. Il est aujourd'hui exploité par Digital Reality un hébergeur abritant les services de nombreuses autres sociétés.
 
 
 
 

QTS Atlanta-Metro

Image 10 sur 13
Quality Technology Services, comme Digital Reality, possède et exploite des data center dont elle loue les capacités à d'autres entreprises. Son fleuron est le data center Atlanta Metro : 90 000 m2 de surface dans le nord ouest d'Atlanta (Georgie), dont 49 000 m2 de salles serveurs.
 
 
 
 

Plus gros européen : Portugal Telecom- Covhila, Portugal

Image 11 sur 13
Le titre de plus gros data center d'Europe revient au bâtiment inauguré fin 2013 par Portugal Telecom à Covilha, avec une surface totale prévue de 75 500 m2. Le site se veut également très "Green" utilisant l'air extérieur pour son refroidissement, pour atteindre un PUE de 1,25. En France, Orange a ouvert fin 2013, son data center Normandie, un peu plus petit (64 000 m2 prévus à terme).
 
 
 
 
 

Et Google, Facebook, Microsoft, Amazon, Apple ?

Image 12 sur 13
Curieusement, les grands noms de l'informatique sont absents de notre classement. Les raisons sont diverses. Ces sociétés ne communiquent pas toujours les détails de leur infrastructure. Google par exemple, ne donne aucun chiffre. Facebook est plus transparent, mais la société ne fait pas la course aux data center géants : elle possède trois centres d'environ 30 000 m2 et un de 45 000 m2. De même, Amazon préfère multiplier les centres moyens, cela renforce son infrastructure : une catastrophe sur un site ne touche qu'une petite portion des données.
Microsoft est moins frileuse et possède plusieurs très gros sites dont un data center de 65 000 m2 à Chicago. Apple est arrivée plus tard dans la course, mais a fait grand bruit avec son centre de Maiden (en photo ci-contre), totalisant 47 000 m2 et alimenté à l'énergie solaire.
 
 
 
 
 
 REF.:
A propos de l'auteur
Matthieu Lamelot & Florian Charpentier
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Après le CPU et le GPU, voici le DLU (Deep Learning Unit)

L'apprentissage profond1 (en anglais deep learning, deep structured learning, hierarchical learning) est un ensemble de méthodes d'apprentissage automatique tentant de modéliser avec un haut niveau d’abstraction des données grâce à des architectures articulées de différentes transformations non linéaires[réf. souhaitée]. Ces techniques ont permis des progrès importants et rapides dans les domaines de l'analyse du signal sonore ou visuel et notamment de la reconnaissance faciale, de la reconnaissance vocale, de la vision par ordinateur, du traitement automatisé du langage. Dans les années 2000, ces progrès ont suscité des investissements privés, universitaires et publics importants, notamment de la part du GAFA (Google, Apple, Facebook, Amazon)2.


Le « deep learning » fait partie d’une famille de méthodes d'apprentissage automatique fondées sur l’apprentissage de modèles de données. Une observation (comme une image) peut être représentée de différentes façons par un vecteur de données en fonction de :
  • l’intensité des pixels dont elle est constituée ;
  • ses différentes arêtes ;
  • les différentes régions de forme particulière ;
  • etc.
Certaines représentations et une bonne capacité d'analyse automatique des différenciations5 rendent la tâche d’apprentissage plus efficace.
Une des perspectives des techniques de l'apprentissage profond est le remplacement de travaux qui aujourd’hui sont encore relativement laborieux par des modèles algorithmiques d’apprentissage supervisé, non supervisé (c’est-à-dire ne nécessitant pas de connaissances spécifiques du problème étudié) ou encore par des techniques d’extraction hiérarchique des caractéristiques.
Les recherches dans ce domaine s’efforcent de construire de meilleures représentations du réel et de créer des modèles capables d’apprendre ces représentations à partir de données non labellisées à grande échelle. Certaines de ces représentations s’inspirent des dernières avancées en neuroscience qui sont grosso modo des interprétations du traitement de l’information et des modèles de communication du système nerveux, de la même façon que le système nerveux tente d’établir des connexions en fonction des messages reçus, de la réponse neuronale consécutive et du poids des connexions entre les neurones du cerveau.
Les différentes architectures de « deep learning » telles que les « deep neural networks », les « convolutional deep neural networks », et les « deep belief network » ont des champs d’application tels que la vision par ordinateur, la reconnaissance automatique de la parole, le traitement automatique du langage naturel, la reconnaissance audio et la bioinformatique6,7 où elles ont démontré qu’elles étaient capables de produire d’excellents résultats pour différentes problématiques.


Processeur DLU : Fujitsu promet 10 fois plus d'efficacité pour l'intelligence artificielle

jeudi 6 juillet 2017

Société : La vingtaine est finie, vive la vingtaine!