eBay scanne les ports des ordinateurs des visiteurs à la recherche de programmes d'accès à distance

eBay scanne les ports des ordinateurs des visiteurs à la recherche de programmes d'accès à distance;

Lorsqu'ils accèdent à son site Web

Le 27 mai 2020 à 13:51, par Stan Adkens

Le commerce électronique prend de plus en plus de l’ampleur ces derniers temps. Chaque fois, nous disposons de plus de plateformes pour pouvoir faire des achats de n'importe où via Internet. eBay est l’un des services du e-commerce les plus connus et les plus utilisés. À la fin de la semaine dernière, des médias ont fait circuler une histoire selon laquelle eBay serait en train de scanner les ports des ordinateurs des visiteurs à la recherche de programmes d'accès à distance.

Cela se produit lorsque les visiteurs entrent sur la page ebay.com. À cet instant, un script est exécuté qui effectue une analyse du port local des ordinateurs du visiteur. Il vise à détecter les applications d'assistance et d'accès à distance. Beaucoup de ces ports qu'il scanne sont liés à des outils d'accès à distance comme le bureau à distance de Windows, VNC, TeamViewer, Ammy Admin et autres. Au total, il effectue un balayage de 14 ports différents lorsqu'un utilisateur se connecte au site Web.

Jack Rhysider de DarkNetDiaries est l’un de ceux qui ont partagé l’histoire pour la première. « Le site Web scanne le port de mon ordinateur portable, contourne mon pare-feu et le fait depuis/vers le navigateur. Il a examiné 14 ports », a-t-il écrit dans un tweet. Ce scan est effectué par un script check.js sur eBay.com qui tente de se connecter aux 14 ports.

Le développeur de logiciel Dan Nemec a confirmé la nouvelle sur son blog le dimanche dernier après avoir fait des vérifications. Il a également confirmé le script utilisé par eBay pour tenter de détecter les activités frauduleuses sur sa plateforme à partir des ordinateurs qui s’y connectent.

« Il s'agit d'une technique ingénieuse, voire insidieuse, qui permet aux potentiels scanners de port de se glisser directement dans un réseau interne et de le scanner en utilisant le JavaScript dans le contexte du navigateur », a écrit Nemec. « Soit dit en passant, c'est quelque chose qu'une extension de navigateur pourrait bloquer, mais la société qui se cache derrière le scanner de ports utilise des techniques pour empêcher le blocage généralisé de ses trackers », a-t-il ajouté.

Les 14 ports différents qui sont scannés, ainsi que les programmes associés et la chaîne de référence eBay, sont énumérés dans le tableau ci-dessous :

Comme nous le voyons, les chercheurs en sécurité qui ont fait des analyses n'ont pas trouvé la véritable cible du port 63333. Le script effectue ces analyses en utilisant des WebSockets pour se connecter à 127.0.0.1, qui est l'ordinateur local, sur le port spécifié. Les chercheurs indiquent également que le scan du port se produit sous Windows, mais pas lorsque l'on navigue depuis Linux. Il en est ainsi puisque tous les programmes analysés sont tous des outils d'accès à distance de Windows.

Détecter des achats frauduleux

En théorie, ce genre de balayage pourrait être utilisé pour la diffusion de publicités, la prise d'empreintes digitales ou la protection contre la fraude. Mais comme l’analyse de port ne cherche que les programmes d'accès ou d’assistance à distance de Windows, il est très probablement fait pour vérifier les ordinateurs compromis utilisés pour faire des achats frauduleux sur eBay.

Ce n'est pas la première fois qu'une telle chose se produit. En d'autres occasions en 2016, les chercheurs ont détecté des équipements d'utilisateurs qui ont été frauduleusement contrôlés par TeamViewer et qui ont été utilisés pour acheter sur eBay. Comme de nombreux utilisateurs d'eBay utilisent des cookies pour se connecter automatiquement au site Web, les attaquants ont pu contrôler l'ordinateur à distance et accéder à eBay pour effectuer des achats.

À l’époque, des attaquants avaient pris le contrôle des ordinateurs via TeamViewer et ont ensuite utilisé le compte PayPal des victimes pour voler de l'argent ou faire des achats en ligne. Pour aggraver les choses, certaines de ces victimes avaient affirmé que ces attaques se sont produites alors même qu'elles utilisaient une authentification à doubles facteurs, ce qui devrait pouvoir prévenir ce type d'attaques.

Une personne a créé un tableur pour garder trace de toutes les attaques signalées, avec les commentaires des victimes. Selon les commentaires, plusieurs des attaques faisaient référence à eBay. De nombreuses personnes avaient pensé que Teamviewer avait été piraté, mais la société était catégorique sur le fait qu'elle n'a pas été compromise de quelque façon que ce soit.

Dan Nemec a fait un lien entre le script d’eBay et un produit de détection des fraudes appelé ThreatMetrix qui appartient à LexisNexis. Dans le cadre de la description de ThreatMetrix, il a expliqué la manière dont le produit détecte et protège les sites contre les chevaux de Troie d'accès à distance (RAT).

« La protection contre les logiciels malveillants aide les entreprises à réduire les risques en étant protégées contre le Man-In-The-Browser (MITB), le cheval de Troie d'accès à distance (RAT), les attaques de bots à haute vitesse/fréquence, les attaques lentes et à faible vitesse imitant le comportement légitime des clients, les logiciels de rançon, les tentatives d'enregistrement de clés, etc. », d’après la page Web du produit ThreatMetrix.

Bien que l'objectif d'eBay soit de prévenir les achats frauduleux, comme nous le voyons, il s'agit toujours d'une intrusion pour les utilisateurs. C'est un problème que beaucoup peuvent considérer comme une perte de vie privée, et ne souhaiteraient pas voir se produire lorsqu'ils visitent un site Web.

Selon une étude menée un peu plus tôt cette année par le fournisseur de sécurité informatique Positive Technologies, 97 % des entreprises participantes présentent des signes d'activité suspecte dans leur trafic réseau et 81 % des entreprises de l'échantillon exhibent des activités malveillantes. Parmi les activités de réseau suspectes révélées dans la recherche, il y a la dissimulation de trafic, le tunnelage VPN, les connexions au réseau anonyme Tor et le proxy réseau. Quelque 67 % des entreprises autorisent l'utilisation de logiciels d'accès à distance, tels que RAdmin, TeamViewer et Ammyy Admin, qui peuvent également être compromis par des attaquants pour se déplacer sur le réseau tout en restant non détectés par les outils de sécurité, indique le rapport.

Selon Nemec, eBay n’est pas le seul à utiliser ce type de contrôles de sécurité pour s’assurer que l’ordinateur de la cible n’est pas utilisé à des fins malveillantes. Cette position est soutenue par un commentateur : « Le check.cs est utilisé conjointement avec snare.js, et eBay n'est pas le seul à l'utiliser. Je sais pertinemment que l'application Virtual Numbers de la Citi Bank l'utilise. Il semblerait que de nombreux (la plupart ?) sites de jeu et de commerce l'utilisent également », a-t-il écrit. « Où cela va-t-il finir ? Chaque commerçant pourrait s'en servir comme justification », a ajouté un autre commentateur. Qu’en pensez-vous ?

Sources. : Twitter, Dan Nemec

Comment installer une VM macOS sous Linux, Windows ou macOS ?

@Korben  —  26 mai 2020

Si vous voulez gouter à macOS au travers de Virtualbox, voici une méthode qui permet de le faire très simplement.

Grâce au script bash macOS-Guest-Virtualbox, que vous pouvez lancer depuis n’importe quel terminal Linux/macOS ou sous Windows via Cygwin ou WSL, vous allez pouvoir installer une VM macOS Catalina, Mojave ou High Sierra et la faire tourner directement depuis l’outil de virtualisation VirtualBox.

Pour cela, vous devez avoir sur votre système :

• bash ≥4.3
• coreutils ≥8.22
• gzip ≥1.5
• unzip ≥v6.0
• wget ≥1.14
• xxd ≥1.7
• dmg2img  ≥1.6.5 (sous Cygwin, le script le téléchargera directement)
• virtualbox ≥6.1.6

Installez donc Virtualbox et tous ces paquets avec apt, brew, macPort ou Cygwin puis récupérez le script d’install ici (la dernière version sur le dépôt n’a pas fonctionné chez moi, j’ai du prendre la release du 24 janvier) et lancez-le comme ceci :

./macos-guest-virtualbox.sh

Suivez ensuite les instructions du script et voilà !

Vous aurez une jolie VM macOS à utiliser pour tous vos projets / tests. Par défaut, cette installation aura un stockage de 80 GB dont 20 GB pris par l’OS, mais vous pourrez modifier cela dans les paramètres du script. Vous pourrez aussi y modifier la release que vous voulez (Catalina, Mojave, HighSierra), sans oublier la mémoire RAM, la mémoire GPU et la résolution d’écran à adopter.

# Customize the installation by setting these variables:
vm_name="macOS"                  # name of the VirtualBox virtual machine
macOS_release_name="Catalina"    # install "HighSierra" "Mojave" or "Catalina"
storage_size=80000               # VM disk image size in MB, minimum 22000
cpu_count=2                      # VM CPU cores, minimum 2
memory_size=4096                 # VM RAM in MB, minimum 2048
gpu_vram=128                     # VM video RAM in MB, minimum 34, maximum 128
resolution="1280x800"            # VM display resolution

De plus, si vous possédez un ordinateur Apple avec de vrais identifiants originaux, vous pourrez aussi les mettre dans le fichier de config pour bénéficier en plus des services iCloud, iMessage…etc. Les commandes permettant de récupérer tous ces identifiants sont inscrites ici :

# The following commented commands, when run on a genuine Mac,
# may provide the values for NVRAM and other parameters required by iCloud,
# iMessage, and other connected Apple applications.
# Parameters taken from a genuine Mac may result in a "Call customer support"
# message if they do not match the genuine Mac exactly.
# Non-genuine yet genuine-like parameters usually work.

#   system_profiler SPHardwareDataType
DmiSystemFamily="MacBook Pro"        # Model Name
DmiSystemProduct="MacBookPro11,2"    # Model Identifier
DmiSystemSerial="NO_DEVICE_SN"       # Serial Number (system)
DmiSystemUuid="CAFECAFE-CAFE-CAFE-CAFE-DECAFFDECAFF" # Hardware UUID
DmiOEMVBoxVer="string:1"             # Apple ROM Info
DmiOEMVBoxRev="string:.23456"        # Apple ROM Info
DmiBIOSVersion="string:MBP7.89"      # Boot ROM Version
#   ioreg -l | grep -m 1 board-id
DmiBoardProduct="Mac-3CBD00234E554E41"
#   nvram 4D1EDE05-38C7-4A6A-9CC6-4BCCA8B38C14:MLB
DmiBoardSerial="NO_LOGIC_BOARD_SN"
MLB="${DmiBoardSerial}"
#   nvram 4D1EDE05-38C7-4A6A-9CC6-4BCCA8B38C14:ROM
ROM='%aa*%bbg%cc%dd'
#   ioreg -l -p IODeviceTree | grep "system-id
SYSTEM_UUID="aabbccddeeff00112233445566778899"
#   csrutil status
SYSTEM_INTEGRITY_PROTECTION='10'  # '10' - enabled, '77' - disabled

En termes de performances, et bien, ça dépendra de votre machine, mais l’auteur du script recommande de lancer ensuite la VM directement depuis QEMU/KVM pour profiter de performances quasi natives.

Faites-en bon usage !

REF.:

Fin de règne pour le pirate aux 770 millions de données volées

By : Damien Bancal

Le Service de sécurité Ukrainien a identifié et arrêté le pirate informatique Sanix. Il s’était fait connaître, en 2019, avec les compilations de données volées additionnant 770 millions d’identifiants de connexion.

En 2019, le pirate Sanix avait a attiré l’attention des experts mondiaux de la cybersécurité en affichant sur un forum « underground » la vente d’une base de données contenant 773 millions d’adresses e-mail et 21 millions de mots de passe uniques. La presse parlait alors de « la plus grande gamme de données volées de l’histoire« . ZATAZ vous racontait une guéguerre entre anciens « collègues » pirates qui s’étaient volés des contenus pour en faire profit. Sanix vendait ses archives, 45 dollars comme je vous le montrais ici.

Les autorités ont saisi plus de 3 000$ … et les Mentos !

87 gigaoctets de mails et mots de passe qui s’additionnait à plusieurs autres compilations. Le pirate possédait au moins sept bases de données similaires de mots de passe volés, dont le montant total atteignait presque des téraoctets. Il s’agissait notamment de données personnelles, y compris financières, provenant de résidents de l’Union européenne et d’Amérique du Nord. Depuis, les bases de données et compilations se sont multipliées, certains pirates croisés par ZATAZ additionnent plusieurs téraoctets d’informations volées.

 

Les compilations étaient vendues 45 $ … dès 2018. – Source : zataz.com

Les services secrets Ukrainiens vont se pencher sur le cas de « Sanix » après des indiscrétions. Un résident de la région d’Ivano-Frankivsk (certains comprendront l’un de ses pseudos, NDR).

L’art de la guerre contre le cyber crime… montrer l’accès aux espaces de discussions privées 🙂

Lors de son arrestation, les cyber-spécialistes du SBU ont saisi des bases de données, des mots de passe dédiées aux boîtes de messagerie, des codes PIN pour des cartes bancaires, des portefeuilles électroniques de cryptomonnaies, des comptes PayPal, des informations sur des ordinateurs piratés pour une utilisation ultérieure pour organiser des attaques DDoS.

Voilà à quoi ressemble le quartier général d’un pirate ! A mille lieux d’une armée !

Lors des perquisitions de sa résidence, les forces de l’ordre ont confisqué du matériel informatique avec deux téraoctets d’informations volées, des téléphones avec des preuves d’activités illégales et de l’argent provenant de transactions illégales pour un montant de près de 190 mille hryvnias (plus de 3 000$ US). La « visite », ci-dessous, en vidéo.

C’est le second membre de ce « groupe » à être arrêté.  Il y a quelques jours, le pirate Azatej, a été arrêté en Pologne à la suite d’une opération orchestrée par Europol. La fin des ventes de données ? Malheureusement, non ! Sanix, Azatej, … ne sont qu’une petite goûte d’un business très fleurissant ! Ci-dessous, deux exemples de boutiques aux millions de données volées et à vendre ; ou encore cette boutique dédiée uniquement aux données de clients de sites de rencontres découvert par ZATAZ !

REF.:

Grayshift commercialise un nouvel outil qui craque les mots de passe des iPhone

Déjà connue pour son produit GrayKey, la société Grayshift a dévoilé un nouvel outil capable de donner accès aux codes de déverrouillage des iPhone.

Louise Millon

Depuis quelques années, la société Grayshift fait parler d’elle, car ses activités se concentrent sur le développement d’appareils capables de pirater les iPhone.

L’entreprise américaine travaille principalement avec les forces de l’ordre américaines qui peuvent envoyer les smartphones de suspects pour accéder au contenu. En somme, elle fait ce qu’Apple refuse régulièrement aux autorités au nom de la défense des données personnelles de ses clients.

Un outil fonctionnel depuis environ un an

Le produit le plus populaire de Grayshift est un outil baptisé GrayKey, mais elle ne s’est pas arrêtée à ce dernier. En effet, NBC News a révélé que la société avait mis au point un autre logiciel capable de détecter les codes de déverrouillage des iPhone.

Plus concrètement, Hide UI est un logiciel espion qui peut s’installer sur les iPhone alors que ceux-ci sont verrouillés. Il est alors capable de suivre les traces de l’utilisateur et d’enregistrer le code de l’iPhone quand celui-ci le déverrouille.

Celui-ci ne fonctionne pas à distance, mais les autorités y trouveront logiquement leur avantage après la récupération du téléphone d’un suspect comme cela a pu être le cas dans d’anciennes affaires judiciaires.

Toutefois, l’outil Hide UI ne serait pas si nouveau, car il serait fonctionnel depuis environ un an, sans que les forces de l’ordre n’aient évoqué son existence ni les médias jusqu’ici.

De son côté, Apple a été en confrontation avec les autorités à ce sujet plusieurs fois, au point que la marque à la pomme a failli entrer en procès avec le FBI. Finalement, l’agence a trouvé un autre moyen d’accéder au contenu de l’iPhone —elle serait passée par un outil similaire à celui de Grayshift, mais proposé par la société Cellebrite. Plus récent, le FBI a fait de même avec le téléphone d’un autre suspect accusé de terrorisme.

REF.:

Comment activer le DNS-over-HTTPS (DoH) sous Firefox et Chrome / Brave

@Korben  —  26 février 2020

Hello la compagnie,

je ne sais pas si vous avez suivi, mais Mozilla vient d’activer en mode « Par défaut on s’en balek« , l’option DoH dans la dernière version de Firefox pour tous les Américains.

DoH, ça veut dire DNS over HTTPS, et ça permet de chiffrer le trafic DNS pour empêcher un tiers d’observer les requêtes DNS que vous générez.

Activer DoH sous Firefox

Si ça vous intéresse, dans Firefox, vous devrez aller dans le menu des options, et cliquer sur « Préférences ».

Ensuite, descendez tout en bas, dans la section paramètres réseaux et cliquez sur le bouton « Paramètres ».

Puis cochez la case « Activer le DNS via HTTPS ». Vous pouvez choisir le fournisseur de DNS sécurisé (Cloudflare ou Nextcloud) ou spécifier le vôtre. Si vous cherchez une liste fiable de fournisseurs DNS over HTTPS (DoH), je vous en ai compilé plusieurs ici.

Puis faites OK.

Et voilà. Ensuite, rendez-vous sur cette page de test pour valider que tout fonctionne.

Et si la section Encrypted SNI est rouge, voici un article qui explique comment activer la fonctionnalité de chiffrement SNI.

Activer DoH sous Chrome / Brave

Pour cela, entrez la ligne suivante dans le champs d’adresse du navigateur :

chrome://flags/

Cherchez ensuite quelque chose qui s’appelle Secure DNS ou DNS over HTTPS et activez l’option

Pensez ensuite à configurer votre réseau Windows / Linux ou macOS pour utiliser des DNS compatibles DoH comme ceux de Cloudflare : 1.1.1.1. Mais si, vous savez, ici dans Windows (c’est pour vous rafraichir la mémoire) :

Puis allez sur ce site pour valider que tout fonctionne pour vous.

Et voilà !

Attention, chaque URL que vous voyez ci-dessous doit être renseigné dans la les paramètres fournisseurs DoH de votre navigateur. Il ne s’agit pas d’URL consultables avec un navigateur. Pour savoir comment ajouter ce paramètre, consultez cet article.

Voici une liste non-exhaustive mais si vous en voyez d’autres qui sont majeurs, n’hésitez pas à me le signaler, j’en rajouterai.

• AdGuard – https://dns.adguard.com/dns-query
• BlahDNS – https://doh-fi.blahdns.com/dns-query
• Cloudflare –  https://cloudflare-dns.com/dns-query
• CZ.NIC
• dnswarden – https://doh.dnswarden.com/uncensored
• Foundation for Applied Privacy – https://doh.applied-privacy.net/query
• NextDNS – https://dns.nextdns.io/<config_id>
• NixNet
• PowerDNS – https://doh.powerdns.org
• Quad9 – https://dns.quad9.net/dns-query
• SecureDNS – https://doh.securedns.eu/dns-query
• Snopyta
• UncensoredDNS

Il existe aussi une grosse liste détaillée ici mais il y a des DNS tenus par des particuliers donc je ne vous l’ai pas mise.

Notez que les navigateurs compatibles DoH sont pour le moment Firefox, Chrome et ses dérivés et des outils comme Bromite, Curl, OkHttp ou encore curl-doh.

Amusez-vous bien !

REF.: