Hacker et hack-tiviste - France-culture

Warning: we believe your account was recently accessed from: Russia - Anatomy of a Domain Hijacking, part 1

Il s'agit d'une histoire réelle (en anglais): Une adresse  email sur Gmail volée à partir de la Russie probablement, un nom de domaine supprimé de son bureau d'enregistrement ( registrar ) d'origine pour être redirigé vers un bureau d'enregistrement  en Russie...

Ou comment le vol de nom de domaine peut changer votre vie ....

La [1ère partie est ici!],  la [2ème partie est là!].

Voir aussi Here's How Expired Domains Expose You To Embarrassment (And Theft) 

et aussi Gmail vulnerable to automated password cracking
(vulnérabilité de Gmail aux attaques de botnets si on autorise l'accès pop3)


Accessoirement Gmail semble plus sûr depuis cette histoire surtout si vous mettez cette sécurité de plus.

Megaupload : Sarkozy se réjouit, les hackers se vengent - Le Figaro

"...Nicolas Sarkozy, qui a ravivé fin novembre le combat contre les sites de streaming illégal et de téléchargement direct en France, a été l'un des premiers à saluer la fermeture de Megaupload jeudi soir. Dans un communiqué publié dans la nuit, le président de la République a salué l'action de la justice américaine et souligné que la lutte contre ce type de sites «constitue une impérieuse nécessité pour la préservation de la diversité culturelle et le renouvellement de la création».Pour Nicolas Sarkozy, «le moment est venu d'une collaboration judiciaire et policière active entre États pour porter un coup d'arrêt [au] développement» des sites de streaming et de téléchargement direct, qui tirent profit du piratage...

En face, le Parti pirate juge que Megaupload était au contraire «bien connu» pour collaborer avec les ayants droit en supprimant les contenus illégaux et s'interroge sur le calendrier de ce «raid», qui intervient au lendemain d'une journée de manifestation contre les projets de loi Sopa et Pipa, deux textes qui doivent renforcer la lutte contre le piratage aux États-Unis.

• Benjamin Bayart, fondateur du fournisseur d'accès alternatif FDN, estime que «l'arrêt d'un service centralisé est une bonne nouvelle». «Sinon, bittorrent marche mieux que jamais. Internet va bien, lui», écrit-il sur Twitter.

• Pour la Quadrature du net, qui s'était opposée à la loi Hadopi en France, «le retrait de Megaupload d'Internet montre une tentative globale de contrôler et de censurer Internet [et] met en évidence la violence de la guerre disproportionnée menée au nom d'un droit d'auteur dépassé».

• Même discours chez Éva Joly. «La fermeture de Megaupload et l'arrestation de ces dirigeants est un symptôme supplémentaire de l'incapacité des pouvoirs publics à se projeter au 21ème siècle et à concevoir un projet global éthique associant rémunération des auteurs et fluidité de la culture sur internet», a commenté la candidate d'Europe Écologie-Les Verts à l'élection présidentielle.

• La fermeture de Megaupload a donné lieu à une vague de représailles des activistes d'Anonymous, qui ont appelé sur Twitter à une mobilisation massive. Usant de la technique de l'attaque par déni de service, ils ont surchargé les sites du FBI, du ministère américain de la Justice, d'Universal Music, de la RIAA, mais aussi de l'Hadopi en France. «Disons-le clairement, Megaupload, cela ne concerne pas le téléchargement de MP3, mais le futur de la liberté sur Internet»..."

Article complet Le Figaro - High-Tech : Megaupload : Sarkozy se réjouit, les hackers se vengent

Benjamin Bayart nous dit sur le Point:
"... Avant, il était normal de ne pas trouver l'ensemble des œuvres en magasin : cela aurait fait crouler les rayons des librairies. Mais aujourd'hui, pourquoi tout n'est-il pas en ligne ? Payant, ou pas payant, c'est une autre question, mais tout devrait être en ligne.

Le droit d'auteur a été pensé au XVIIIe siècle pour protéger les auteurs contre les libraires. Aujourd'hui, on s'en sert contre la soif de lecture des lecteurs, au bénéfice des libraires, qui s'appellent aujourd'hui Universal, etc.

Il faut revoir le droit d'auteur et les mécanismes de rémunération.

Il y a un moyen naturel et normal de partager des données, qui est l'échange entre particuliers sur Internet.

On essaie aujourd'hui de l'empêcher, et cela mène automatiquement à des dérives mafieuses. On retrouve le même mécanisme qu'avec la prohibition aux États-Unis, et Al Capone qui en a profité !..."

Lien sur ce sujet chez Numerama et ça chauffe sur le feed sur la propriété intellectuelle d'OWNI

Le Woodstock des pirates informatiques dans un champ près de Berlin - RTL info

Signe des temps, on parle du CCC sur RTL:
"... Du 10 au 15 août, l'influente association allemande de "hackers" Chaos Computer Club (CCC) a planté tentes et câbles sur une ancienne base aérienne soviétique devenue musée, non loin de Berlin.

Lors de la précédente édition il y a quatre ans, le camp avait accueilli jusqu'à 2.300 personnes, cette année "on attend jusqu'à 3.500, de 50 nationalités", dit Frank Rieger, porte-parole du CCC dont l'une des devises est "Protèger les données privées, exploiter les données publiques". ..."
Le Woodstock des pirates informatiques dans un champ près de Berlin - RTL info

En réponse aux Anonymous qui ont hacké les sites syriens, Anonplus est hacké / "Hacked By SyRiAn Cyb3r Army"

Anonymous VS Syrie : 1 à 1 (***)

AnonPlus devrait permettre au groupe des Anonymous de s'exprimer or celui-ci vient de s'attaquer à la Syrie

Le site AnonPlus" qui est un site qui devrait permettre en principe un réseau social libre, sans censure et permettant l’anonymat vient d'être hacké par un groupe se revendiquant de la Syrian CyberArmy.

*** NB: Il s'agit ici d'une bataille de hackers, une bataille d'images, épiphénomène qui bien que porteur d'un message n'est que virtuel. Il ne s'agit ici en aucun cas d'occulter la réalité tragique des événements actuels en Syrie.

Defcon for kids, c'est le hacking pour les enfants - Defcon for Kids Raising a New Generation of 'Hackers' | PCWorld Business Center

Le hacking fait maintenant partie de la cyber-culture et de la culture informatique nécessaire si vous voulez vivre en sécurité.

Un peu comme les arts martiaux.

Alors de là à franchir le pas et éduquer les enfants à cette culture si spéciale, il n'y a qu'un pas. C'est ce qui s'est passé cette année à Las Vegas où les conférences est challenges de hacking à DEF CON existent maintenant aussi pour les enfants

Les Anonymous toujours d'attaque- Ecrans

Syrie: "...en s’attardant sur le site du ministère de la Défense. Dans la nuit de dimanche à lundi, les Anonymous ont ainsi décidé de refaire la décoration de la page web. Conservant le drapeau et ses étoiles rouges, ils ont opté pour l’apparition, au bout de quelques instants, du logo des Anonymous au milieu de celui-ci. Autre touche personnelle notoire : en haut de la page, un bandeau faisant défiler des images des troubles et de la violence dans le pays, toutes renvoyant vers des vidéos. En bas, le groupe de hackers avait ajouté des liens vers des sites de protestation contre le régime, et les pages Facebook et Twitter de la campagne contre les actions du président syrien Bachar el-Assad...."

Anonymous (communauté) - Wikipédia

Pendant que certains s'occupent de LulzSec, groupe de hackers qui met en avant les failles de sécurité évidentes en informatiques (et qui met apparemment une vraie pagaille sur les sites hackés :-( ) , le groupe Anonymous lui prend une réelle dimension politique et rebelle.

Voici sa devise que vous avez peut-être déjà rencontrée au hasard du web:

"We are Anonymous.
We are Legion.
We do not forgive. We do not forget.
Expect us"

Plus d'infos sur Wikipédia : Anonymous (communauté)

Espionnage: Les Etats-Unis veulent des règles internationales contre les hackers - Libération

Dorénavant une réponse militaire est possible si l'on attaque les ordinateurs militaires des Etats-Unis comme on le lit dans la version Online du Wall Street Journal :"If a cyber attack produces the death, damage, destruction or high-level disruption that a traditional military attack would cause, then it would be a candidate for a "use of force" consideration"

Accessoirement la rédaction de Libération confond (encore :-( ) hackers et espions : "...«Nous prenons les cyber-menaces très au sérieux et nous en voyons de diverses sources et pas simplement d'un pays ou d'un autre», a indiqué M. Gates à Singapour lors d'une conférence sur la défense en Asie à laquelle participait son homologue chinois, Liang Guanglie.

«Nous pourrions éviter de sérieuses tensions internationales à l'avenir si nous pouvions établir dès que possible un code de conduite qui dise quels genres d'actions sont acceptables, quels genres d'actions ne le sont pas et quels genres d'actions peuvent en fait être des actes de guerre», a poursuivi M. Gates, sans mentionner la Chine.
...
La firme de sécurité sur internet Trend Micro a averti vendredi que des espions avaient tenté d'infiltrer les services de messagerie électronique de Microsoft et Yahoo!, en plus de ceux de Google...."

Un peu plus d'infos: Les Etats-Unis veulent des règles internationales contre les hackers - Libération

Nettement plus d'infos sur ce blog en anglais: Cyber Attacks and Military Responses
et dans le WSJ en anglais.

____________________________

Définir des limites à ne pas franchir permettrait peut-être de séparer plus précisément l'espionnage [voir aussi spy en anglais] (recherche d'information délibérée et au profit d'un individu, groupe, organisation ou pays) du hacking (accroissement de la connaissance, dépassement des barrières, résistance à la centralisation et cela sans intérêt pour l'information protégée), car si dans Libé, on nous parle de hackers, il s'agit en réalité d'espionnage, surtout lorsque voit les connaissances diverses qu'il a fallut connaître pour passer les barrières de sécurité multiples de ces sociétés espionnées. Il faut des moyens et des connaissances très diverses , le tout très "orientés" vers un but: l'espionnage.

Notez aussi que le Cloud computing qui consiste à mettre de l'information sur des serveurs dont on délègue en général la maitrise à d'autres - typiquement ces messageries Google et Microsoft (Yahoo! appartient à M$) - bref, cette centralisation de l'information dans des grandes organisations centralisées, facilite la vie des espions: "tous les œufs sont dans le même panier".
Une administration centralisée qui a les qualités et le défaut de sa centralisation. Cela donne encore raison à Richard Stallman qui est contre le Cloud Computing: "Soit les utilisateurs contrôlent le logiciel soit c'est le logiciel qui contrôle les utilisateurs".

Un Hacker vient au secours de votre sommeil: Parce que vous en avez marre d'être endormi au réveil - Wake up fresh; sleep smarter - WakeMate

Un gadget américain qui analyse votre sommeil afin de vous permettre de vivre mieux. Probablement un bon cadeau de Noël à connotation très "New Age".

Après avoir analysé votre sommeil, il peut vous réveiller au moment optimum dans une fenêtre de 20 minutes autour de l'heure de réveil choisie afin de garantir au mieux un réveil en forme.

Il peut aussi aider à corréler n'importe quelles donnée que vous collecterez à votre rythme de sommeil: Savoir si regarder Les Experts vous empêche de bien dormir par exemple ou si ce matelas récemment acheté vous a apporté un réel confort supplémentaire ou bien comprendre comment la sortie du samedi soir vous affecte dans la semaine.

Son site web: WakeMate–Wake up fresh; sleep smarter - WakeMate

__________________________________________

Pour la petite histoire, Joe Grand, un des consultants pour la réalisation de Wakemate, est un des membres originels du fameux groupe de Hackers L0pht (notez le grand H).

Ce même Joe Grand organise des séminaires de Harware hacking

__________________________________________

L0pht, L0pht crack, @Stake et ...

En1997, L0pht avait aussi fait frémir Microsoft en sortant le fameux crack portant le nom du groupe servant a craquer les mots de passe de Windows. Microsoft était alors allé à leur contact
Ce L0pht crack sera finalement acheté plus tard (2004) par Symantec lors de l'acquisition du groupe qui s'était immergé dans une société appelée @Stake . Il est a noté que, ce crack ayant gagné ses lettres de noblesse et devenu alors "outil d'investigation" (forensic tool) , L0pht crack est alors décrit en 2007 par Symantec qui en était devenu le vendeur comme étant un outil à bas risque (low risk) . [NDR: Si vous n'avez pas installé vous même cet outil sur votre ordinateur, cela peut être inquiétant si vous le trouvez ;-) ]

Ce même groupe de Hackers L0pht avait expliqué en 1998 au congrès américain qu'ils pouvaient arrêter (au sens planter) l'Internet mondial en environ 30 minutes. Ils sont à l'origine des mécanismes de réponse aux attaques informatique de type CERT

L0pht renaît de ces cendres en 2009

Après avoir erré dans le monde du consulting et en être revenu, le groupe de hackers s'est reformé en 2009, a racheté a Symantec L0pht crack pour le faire renaître de ses cendre
et le refaire évoluer à partir de là où Symantec l'avait arrêté. Sont incluses maintenant les dernières technologies (Rainbow tables etc) dans leur crack officiellement "outil d'investigation"

L0pht Heavy Industries (nom actuel du groupe) maintient ses projets sur ce site du groupe

Perseus : protection de flux Open Source utilisant du bruit contre les botnets - Eric Filiol et Eddy Deligne - ESIEA RECHERCHE

Les botnets travaillant beaucoup par l'écoute des flux HTTP, l'idée est de rendre l'écoute par ceux -ci impossible en insérant du bruit dans la communication (principe mathématique validé en 2007) , un court échange en HTTPS entre le client et le server permet d'informer le client de "comment supprimer ce bruit" grâce à des codes de correction d'erreur.

L'insertion de bruit permet de se débarrasser de certains problèmes légaux amenés par le chiffrement puisque la communication n'est pas chiffrée mais bruitée et que la méthode de nettoyage du bruit est passée via HTTPS qui est autorisé. Cela n'empêche pas que la communication soit rendue "illisible" et d'autre part cela permet en utilisant uniquement des codes de correction d'erreur de "débruiter" très rapidement ce qui permet de mettre cela en œuvre pour des flux audio, vidéo ou autres.

Un module client de "débruitage" existe pour Firefox. Évidemment le client ne suffit pas ;-) il faut mettre en œuvre la communication bruitée sur le serveur puis gérer l'échange avec le client.

J'avais déjà parlé d'[Eric Filiol ici!]

Ci-dessous le résumé de cette technologie qui montre tout son intérêt:
"PERSEUS est une technologie destinée à protéger les flux de toutes natures contre l'écoute abusive ou illégale et ainsi assurer, avec un un excellent niveau de sécurité, interdisant sauf à y consacrer des moyens très importants (plusieurs dizaines d'heures de supercalculateur) d'accéder aux données échangées. Cela permet de concilier les besoins et droits fondamentaux des utilisateurs en matière de vie privée et de confidentialité des données tout en maintenant la capacité opérationnelle des états contre les acteurs véritablement malfaisants (terroristes, pédophiles...) qui eux, utilisent de la cryptographie.

La technologie PERSEUS peut être utile dans de nombreux cas :
# Protection contre l'activité d'espionnage de codes malveillants à grande échelle (ex. botnets qui pour éviter la détection préférent écouter sur les ports non standards plutôt que de hooker des ressources surveillées par les antivirus, enfin ceux qui le font réellement).
# Protection contre les écoutes privées de type officine plus ou moins légale à des fins plus ou moins acceptables (études de consommation, intelligence économique, écoutes non administratives...).
# Communications à partir de pays "non démocratiques" vers des pays démocratiques (journalistes par exemple);
# Communications professionnelles discrètes dans des pays où le contrôle de la cryptographie est fort (VRP communiquant avec sa maison mère en i France par exemple).
L'intérêt de la technologie PERSEUS est qu'elle fournit également une securité partielle de type TRANSEC (dissimulation du canal). Autrement dit un flux protégé par PERSEUS ressemble à un grand nombre de flux existants et anodins. De plus son profil statistique change régulièrement.

La technologie PERSEUS a été developpée par Eric Filiol et Eddy Deligne a implémenté la première application au flux HTTP sous la forme d'un module libre Firefox. La technologie PERSEUS est open source sous triple licence GPL/LGPL/MPL."

L'ensemble de la solution est expliqué sur le site de ESIEA RECHERCHE

La puce RFID des passeports piratable à 70 mètres - Actualités Sécurité - Le Monde Informatique

Le passeport avec puce RFID était-il une bonne idée ?

"Lors du Black Hat 2010, le chercheur Chris Paget a fait la démonstration que la fréquence radio des éléments d'identification, les ID tags, inscrits dans les puces RFID intégrées aux passeports US pouvait être captée à une centaine de mètres au moins !

Avec un matériel trouvé dans les rayons de différents magasins et sur eBay, le tout pour moins de 2 500 dollars, le chercheur a pu assembler un système qui, dit-il, lui a permis "de lire les balises contenues dans les puces RFID des passeports à une distance de 70 mètres." Mais celui-ci pense que l'appareil placé dans de meilleures conditions pourrait atteindre les 300 mètres...."

La puce RFID des passeports piratable à 70 mètres - Actualités Sécurité - Le Monde Informatique

Plus d'infos en anglais sur l'extreme-range RFID sur le blog de Chris Paget

_______________________________________

Noter que le même Chris Paget avait réussi cette année, entre autres exploits, à fabriquer pour moins de 1500 $ une pseudo station de base de téléphone cellulaire laquelle avait dupée 17 téléphones GSM à proximité de celle-ci y compris un ordinateur portable et deux antennes RF cellulaire légitimes. À partir de là Chris Paget avait réussi à intercepter et enregistrer les appels du public.

Plus d'infos sur son blog en anglais et sur son Twitter.

Notez que les diapos de projections qui expliquent les principes de base de l'espionnage des téléphones cellulaires sont au format OpenOffice (extension .odp)

Je rappelle aussi que le l'algorithme de chiffrement qui protège vos téléphones mobiles GSM est cracké et que des sociétés comme celle-ci fournissent depuis un certain temps déjà des outils d'écoutes GSM

Le hacker qui fait trembler la Lettonie - L’Europe décalée - Blog LeMonde.fr

"...ce mathématicien de 31 ans est un héros pour les Lettons. Il est parvenu à accéder à des millions de données fiscales et, depuis février, fournit des informations croustillantes à la presse ou les publie sur Twitter.

Voilà comment 2,4 millions de Lettons ont appris que de nombreux hauts fonctionnaires continuaient à percevoir de très généreux salaires, alors que le gouvernement a dû mettre en place un programme d’austérité budgétaire pour répondre aux exigences de l’Union européenne et du Fonds monétaire international, et éviter une faillite de l’Etat....

Morten Hansen, de la Stockholm School of Economics, nourrit de la sympathie pour le hacker : “Bien sûr, il faut faire respecter les lois, mais Neo a mis le doigt sur ce qui manque dans tous les secteurs de la société lettone : la transparence.”"

Le hacker qui fait trembler la Lettonie - L’Europe décalée - Blog LeMonde.fr

Un hacker ne dévoile pas à Adobe, Microsoft et Apple leurs failles de sécurité en raison d'une mauvaise utilisation du fuzzing par ceux-ci - ZDNet.fr

Soyons clair, nos ordinateurs sont des passoires face à ce genre de compétences:
Ce hacker, ex-employé de la NSA , vainqueur une fois de plus du Pwn2Own, ne dévoile pas à Adobe, Microsoft et Apple leurs failles de sécurité en raison, notamment, à cause d'une mauvaise utilisation du "fuzz testing" ou fuzzing par ceux-ci ! - Information trouvée via cette page sur ZDNet.fr

Le fuzzing est [défini sur wikipedia ici!]

Plus précisément: Après avoir généré, à partir d'environ 1500 fichiers PDF, plus de 3 millions de fichiers PDF "fuzzés" grace à ses propres outils de fuzzing , puis avoir bombardé grâce à eux des outils de lecture de PDF, Charlie Miller a détecté qu'Adobe Acrobate avait obtenu au moins trois fichiers créant des failles exploitables sur Acrobat Reader. De même pour Apple Preview, un autre lecteur PDF mais chez Apple, qui possédait aussi une trentaine de fichiers ainsi "fuzzés" exploitables:


En appliquant cette même recette de fuzzing sur des fichiers PowerPoint il a aussi obtenu de 6 à 30 fichiers créant des failles exploitables sur Microsoft PowerPoint. De même, 10 à 12 fichiers généraient des failles exploitables sur l'outil open Source OpenOffice Impress de la suite Open Office qui est compatible PowerPoint.
Source : SearchSecurity.TechTarget.com.

Ce même Charlie Miller avait montré qu'il était possible d'entrer dans le navigateur du système Apple grâce au Flash player. Précédemment il avait montré une faille dans l'iPhone.

Plus d'infos en anglais à l'InfoSecEvents.net

Pour aller beaucoup plus loin et en savoir plus sur la technique du bombardement aléatoire d'erreurs (fuzzing) afin d'obtenir des failles, voir cette page de l'université du Wisconsin à Madison ou plus généralement ces liens Google sur les universités américaines sur le sujet ou ceux-ci à l'INRIA.

Des hackers éthiquement certifiés aux Etats-Unis

Les hackers Whites Hats (Chapeaux blancs = défenseurs du bien) ont décidés de faire avancer sérieusement les choses aux USA dans le domaine de la défense contre le crime informatique.

Le principe étant que "pour battre un hacker il faut penser comme un hacker", une certification est prévue comme étant obligatoire pour travailler dans certains département de la défense américaine à partir de 2011.

Cette certification appelée du doux nom d"EC-Council Certified Ethical Hacker exam 312-50 / EC0-350"sera obligatoire pour travailler dans certains départements du DoD [comme indiqué ici!]

Le Certified Ethical Hacker Training a un programme déjà complet et très chargé où vous apprendrez tout sur la détection d' intrusion, le Social engineering, les attaques DDoS, les buffer overflow, la création de virus etc

Les salaires pour les certifiés sont ici en livres anglaises

Évidemment, avec un tel programme, on trouve déjà le CD et les cours associés sur les réseaux P2P....

Votre Botnet est mon botnet - Comment détourner un botnet - How to Steal a Botnet (Video Lecture Summary) - UCSB.EDU via catonmat.ne

Les Botnets, réseaux de machines infectées par des chevaux de Troie commandés à distance, sont la cause d'un grand nombre de problèmes de sécurité sur Internet.

Un Botnet particulièrement sophistiqué et insidieux est Torpig (Wikipedia English) , un malware conçu pour collecter les renseignements sensibles de ses victimes comme ceux sur les comptes bancaires et les cartes de crédit. Torpig peut faire varier son comportement en fonction de la demande de ses "clients" ( mafieux, agence de renseignements etc)

Dans ce papier (PDF) publié en novembre 2009 , des chercheurs de l' Université de Californie de Santa Barbara montrent leurs efforts pour prendre le contrôle du botnet Torpig et ainsi étudier les opérations menées par Torpig pendant une période de 10 jours, cela tout en ne renvoyant aucune donnée au BotMaster

Pendant cette période, ils ont observé plus de 180 000 infections et ont enregistré presque 70 gigaoctets de données collectés par les malwares de Torpig.

Quoique d'autres botnets aient été "piratés" et étudiés auparavant, Torpig expose certaines propriétés qui rendent l'analyse de ses données particulièrement intéressantes:

• Tout d'abord, il est possible (avec une précision raisonnable ) d'identifier des infections uniques dues au botnet et de rattacher celui-ci à plus de 1,2 millions d'adresses IP infectées contactant le serveur de contrôle et de commande des chercheurs.Après analyse ces 1,2 millions d'IP correspondaient à environ 180.000 machines uniques infectées.
  

• Deuxièmement, Torpig botnet ratisse large, vise une grande variété d'applications et collecte un riche ensemble de données diverses sur les victimes infectées. L'analyse de ces données permet une meilleure compréhension de la quantité de renseignements personnels volés par les botnets.
  

Par exemple:

les machines infectés collectaient tous les messages qui passaient. Environ 10 % des messages parlaient de sécurité en étant envoyé par des utilisateurs qui pensait que leur machine était "maintenant" saine.

Le botnet dérouté par les chercheurs pendant dix jours a pu récolter:

• 415.206 comptes de messagerie entrantPOP
  
• 100.472 comptes de messagerie sortant SMTP
  
• 54.090 comptes de messageries (hors POP/SMTP)
  
• 1.258.862 messages de courrier
  
• 11.966,532 données issues de formulaires :
• 411.039 comptes HTTP
  
• 12.307 comptes FTP
  
• 1.235,122 mots de passe Windows

• 8310 comptes (credentials) de 410 institutions financières différentes dont 38% via les gestionnaire de mots de passe des navigateurs des machines infectées.
  

• 1660 numéros de Cartes de crédits

Pendant ces dix jours d'analyse, les bots de Torpig ont volés 297.962 identifiants uniques (credential c'est à dire utilisateur + mot de passe ) renvoyés par 52.540 machines. Environ 60.000 machines étaient connectées au botnet à n'importe quel instant.

L'analyse des chercheurs a montrée qu'environ 28% des victimes réutilisaient leurs identifiants (credentials) pour accéder à 368.501 sites web.

__________________________________

Techniquement Torpig est très sophistiqué et réalisé par des professionnels de l'informatique:

• chaque machine infectée peut être source d'information (en envoyant les données propres à la machine), proxy ou serveur ( de contrôle ou de commande ou bien utilitaire (ex: phishing)).
• toutes les données récoltées sont chiffrées
  
• le botnet peut être mis à jour afin de modifier son comportement
  

• L'algorithme pour calculer les noms de domaine des machines où trouver les prochaines commandes est dynamique.
  
• Idem pour les machines serveurs sur lesquelles sont générées en dynamique des pages web de phishing. Ces pages web de phishing servent à collecter des informations financières et sont indétectables puisqu'une fois le fishing effectué, la machine infectée retrouve son état normal et que le serveur web de phishing peut disparaître en tant que tel.
  
• Plus de 95% des machines étaient potentiellement utilisables pour faire du SPAM et non référencées pas la liste noire de Spamhaus
• 20% des machines infectées étaient utilisables en tant que serveur.
  
• Le cheval de Troie ne prend qu'une partie de la bande passante réseau de la machine infectée afin de ne pas étouffer celle-ci et la puissance cumulée de Torpig pour 60.000 machines correspond à 17 Giga-octets/s de bande passante ce qui permet n'importe quelle attaque réseau du type déni de service distribué
  
• Le code déchiffré par les chercheurs était évolutif, commenté, modulaire et réutilisable. Les professionnels apprécieront...
  

__________________________________

Le rapport en PDF Your Botnet is My Botnet: Analysis of a Botnet Takeover sera intéressant pour tout ceux s'intéresse à ce sujet brulant. La [page web principale de présentation est ici!] .

Les cours enseignés par les même chercheurs sur la sécurité informatique sont [là!] et [là!]

Trouvé via How to Steal a Botnet (Video Lecture Summary) - good coders code, great reuse qui fait en anglais un résumé de la video qui présente le travail des chercheurs ci-dessous:


Plus d'informations sérieuses sur les botnets dans les universités américaines [via Google ici!]

L'attaque contre Google était trop sophistiquée - Google Hack l | Wired.com

L'attaque de Google appelée maintenant Operation Aurora était une attaque très sophistiquée utilisant, et de manière coordonnée, diverses techniques comme la désactivation et compromission d'un serveur d'hébergement, l'utilisation de trous de sécurité chez Adobe inconnus jusque là, idem avec un trou dans l'Internet Explorer qui a touché tous les Windows , un cheval de Troie dédié à cette seule attaque...

33 sociétés ont été attaquées visant leurs données stratégiques (code source, chiffres financiers, Emails, etc), les attaquant savaient effacer leurs traces sur les machines attaquées comme seules des agences de renseignements ou de grandes organisations sauraient le faire en principe car cela demande trop de connaissances multiples et l'on ne peut être "hacker" dans tous les domaines .

Cette attaque a été qualifiée d'attaque mythique par Symantec (fabricant d'antivirus) : Pour avoir une petite idée du niveau technique employé, regardez juste cette description du cheval de Troie que l'on a nommé Hydraq utilisé pour une petite part dans cette attaque et qui peut grosso-modo TOUT FAIRE sur une machine. Il faut aussi lire cette description
qui nous raconte que grosso-modo, les attaquants avaient accès par un pseudo VNC à l'accès distant et pouvaient voir en temps réel ce qui se passait sur les machines compromises.
Une vulnérabilité, encore inconnue [SAUF PAR MICROSOFT], dans le navigateur Internet Explorer de Windows a été particulièrement utilisée pour cette attaque car comme le montre [ce bulletin CVE-2010-0249 ici!] et le bulletin de mise à jour Microsoft associé cela touchait TOUT les Windows.

Comme une cathédrale en équilibre instable

Sachant d'une part que des codes sources ont été volés par des spécialistes en intrusion et que d'autre part l'analyse de ces codes sources par ces mêmes spécialistes permettrait probablement d' ouvrir d'autres brèches de sécurité. Un système qui a été compromis peut-il encore être considéré comme fiable ? Voila qui doit faire, en ce moment même, beaucoup réfléchir ...beaucoup de monde...

Comment devenir "Reverse Engineer" à partir de Google et de Wikipedia - Recherche Google

Ou la toute-puissance de Google...

On the PlayStation 3: Hello hypervisor, I'm geohot

La PS3 hackée ?

CLUSIF : panorama de la cybercriminalité 2009 - Global Security Mag Online

Attention: La plupart des liens suivants sont en anglais.

Ce que l'on retient de ce panorama de la cybercriminalité de la CLUSIF est

• 1)

que l'algorithme de sécurité du GSM (celui qui chiffre vos conversations dans vos téléphones mobiles) est cracké. Ce qui veut dire que le système de sécurité le plus déployé dans le monde est cassé. Encore un coup algorithmique de ces fameuses "rainbow tables" qui avaient déjà œuvrées dans le monde du PC. Plus d'infos [ici! Another crack for A5/1], [là! GSM A5/1 Cracked] et [là! A5/1]. On peut d'ailleurs chercher la video intitulée GSM: SRSLY? dans ces vidéos du Chaos Computer Club .

On peut déduire de l'émergence de ce genre de produits d'écoutes destinés aux agences de renseignements que ceux-ci utilisent ces même algorithmes.

Si vous ne connaissez rien à la sécurité des téléphones cellulaires, vous pouvez lire la FAQ de GSM-security et pour vous plonger dans la technologie GSM, vous pouvez commencer par l'Overview of the Global System for Mobile Communications de John Scourias - amateurs s'abstenir.

• 2)

Que le Cloud Computing , si il fait bien des économies d'échelle, met beaucoup d'oeufs dans le même panier, et est à ce titre, un danger potentiel pour ses usagers: "Avec le cloud computing, même si les serveurs sont aujourd’hui virtuels d’un point de vue logiciel, ils sont bien réels dans les centres informatiques, avec toutes les fragilités inhérentes.

Une entreprise doit bien penser son contrat d’infogérance, définir des clauses de confidentialité et de chaînes de responsabilité."

• 3)

Que le web 2.0 sert à tous et donc aux criminels comme à ceux qui les combattent (voir plus bas) et qu'il faut donc être prudent avec les réseaux sociaux comme savoir s'en servir.

• 4)
  

Que l'exploitation de la peur en vous proposant de soigner une peur imaginaire fonctionne aussi sur Internet. Cela n'est donc ni réservé aux politiques, ni aux toubibs corrompus :-)

Ainsi un scareware (nouveau nom à retenir) est le logiciel associé à la tactique qui consiste à convaincre un utilisateur

1. que son ordinateur contient un logiciel malveillant (une grippe mortelle),
   
2. puis lui suggérer de télécharger et de payer un logiciel (le fameux scareware (un vaccin) ) pour l'éliminer.
3. Le virus est le plus souvent fictif et le scareware est inutile voire malveillant (adjuvant dangereux).
   

Des infos intéressantes sur ce sujet [à la BBC ici!]

Un exemple a été donné publiquement par les McAfee Labs d'une société escroquant grâce à des scareware, il s'agit de "Innovative Marketing Ukraine. [lien LinkedIn]
70 Go de données ont pu être collectées par McAfee Labs pendant près d’un an au travers du port TCP80. Cette société basée à Kiev, qui dispose de véritables locaux, vend des scarewares et compte dans son annuaire LDAP (835 entrées) des « têtes » d’ores et déjà reconnues pour leurs activités cybercriminelles. Parmi les principaux constats de ses recherches, [François Paget] observe :
34 serveurs de production repérés sur 6 mois,
de fréquents changements d’ISP,
4 millions de téléchargements provoqués en 10 jours,
les adresses IP des serveurs ont une durée de vie inférieure à 15 minutes,
un support technique qui fait traîner les réclamations mais qui enregistre tout : 2 millions d’appels en 2008, pour différentes raisons (double débit carte bleue, débit CB pour des produits non commandés, produit absent au téléchargement,…)." ..."4,5 millions de commandes ont été passées en l'espace de 11 mois, soit un chiffre d'affaires estimé sur ce service à 180 millions de dollars.

Plus fort encore, les personnes qui travaillent pour la société sont facilement traçables car la plupart sont inscrits sur des réseaux sociaux. A ce titre, certains travaillent aujourd'hui dans des grands groupes informatiques. ". Plus d'info sur cette société dans [cet article de François Paget !]