Trump se dit « absolument » prêt à téléphoner à [son homologue] Kim Jong-un
▻https://www.ouest-france.fr/monde/etats-unis/donald-trump/trump-se-dit-absolument-pret-telephoner-kim-jong-un-5486065
Trump se dit « absolument » prêt à téléphoner à [son homologue] Kim Jong-un
▻https://www.ouest-france.fr/monde/etats-unis/donald-trump/trump-se-dit-absolument-pret-telephoner-kim-jong-un-5486065
Ouest-France est en deuil. Disparition de François Régis Hutin, journaliste et patron de presse
▻https://www.ouest-france.fr/necrologie/ouest-france-est-en-deuil-disparition-de-francois-regis-hutin-journalis
le nombre de vieux nuisibles qui clamsent ces temps-ci, c’est vraiment la période des fêtes...
C’est pas la première fois que @rezo nous balance des communiquées de Ouest-France. Bizarre, bizarre ... A moins que ce soit pour nous faire réagir ?
#taupe ? #infiltration ? #botnet ?
Disons Sombre Hermani que ouest france est particulièrement tarte pour ce qui est du style (point de vue personnel) .
C’est aussi le premier quotidien français en termes de diffusion.
Est-ce que quelqu’un a des références sur l’éventuel niveau de crapulité de Régis Hutin .? Je demande parce que je n’ai rien vu, à la grande différence des autres.
@reka Hutin est une des têtes de turc préférée des gens de l’Institut de démobilisation
▻http://www.le-terrier.net/i2d
▻http://i2d.toile-libre.org
@bce_106_6 : s’il ne s’agissait que du style ... (en parlant de style, j’aime assez celui des pages du terrier et de i2d assez, comment dire ... minimaliste ?)
Ceci n’est pas le site de l’Institut de démobilisation. L’Institut de démobilisation n’a pas de site. Il ne fait que déposer ici (endroit parmi d’autres) ses productions. Il n’a ni lieu, ni vitrine. Il ne communique pas. Il n’est pas transparent.
Le style . . . .
Leur style, c’est un peu comme de la panse de brebis farcie.
Avant, on pense que ça en est.
Après on regrette que cela n’en fut pas.
Tarte ou panse de brebis farcie, le choix n’est pas des plus faciles. Mais je dois avouer que dans un repas, j’ai une nette préférence pour les desserts. Cependant, la ligne éditoriale du sus-nommé baveux n’est pas ce que je goûte le plus en matière de gastronomie. Et surtout, n’oublions pas que la seule info qui soit valide dans leur cas, c’est la date.
François Régis Hutin, ambassadeur du « Saint-Empire d’Occident »
▻http://www.acrimed.org/Francois-Regis-Hutin-Big-boss-de-Ouest-France-au-service-de-la-democratie-e
C’était le 17 janvier 2008. Le « dieu » de la Presse quotidienne régionale en personne s’est déplacé sur les terres de Vendée pour prêcher la bonne parole... Invité par « Chrétiens médias », François Régis Hutin s’est attelé à répondre à cette question cruciale de « l’information au service de la démocratie et de l’humanisme ». Une bien belle démonstration…
Jean-Marie Blanquer, ministre de l’Éducation nationale. Intervention à 16h15 le vendredi 19 janvier dans l’Auditorium 1 : « L’École sait-elle préparer les élèves à leur futur rôle de citoyens ? » (Il a finalement décidé d’intervenir par visioconférence).
Merdalors, on pourra juste lui lancer une cyber-tarte ... Petit joueur !
RFC 8073 : Coordinating Attack Response at Internet Scale (CARIS) Workshop Report
Ce nouveau #RFC fait le bilan de l’atelier CARIS (Coordinating Attack Response at Internet Scale) qui s’est tenu à Berlin le 18 juin 2015. Cet atelier avait pour but d’explorer les problèmes de coordination entre les victimes et témoins d’une attaque portant sur l’Internet. Ce RFC est un compte-rendu, les positions exprimées ne sont pas forcément celles de l’IAB ou de l’Internet Society (organisateurs de l’atelier). D’autant plus que les participants ont mis les pieds dans le plat, expliquant très bien pourquoi il n’y a toujours pas de coordination globale des acteurs de l’Internet face aux attaques. (La plupart des rapports sur la #cybersécurité sont des monuments de lourde langue de bois, où on ne dit jamais ce que tout le monde sait, mais qui fâche. Par exemple que les acteurs de l’Internet ne partagent pas facilement avec les autorités, tout simplement parce qu’ils n’ont pas confiance - et ils ont bien raison.)
(bon, j’ai un peu de retard dans mes lecture)
La liste des participants figure dans l’annexe B du RFC
Or, il n’y pas d’annexe B, uniquement une annexe A avec la liste des participants.
Les tentatives des certains États
de*
@claudex Exact, l’annexe A avait été supprimée au dernier moment, faisant que l’ancienne B devienne A. Merci, c’est corrigé.
On connait désormais le nom de l’auteur du #malware #Mirai. Il a été reconnu par sa combinaison assez inhabituelle de compétences dont il s’était vanté, sur un forum sous un pseudo, et sur LinkedIn sous son vrai nom...
▻https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author
▻https://techcrunch.com/2017/01/18/mirai-botnet-creator-unmasked-as-ddos-protection-developer-tempted-by-th
But for those of you who just want to skip to the end, here’s the executive summary. Anna-senpai appears to be one of perhaps a dozen aliases for one Paras Jha, founder of DDOS protection service ProTraf. ProTraf was in fierce competition over the lucrative Minecraft server market, and seems to have resorted to underhanded tactics in order to drive customers away from other hosts.
Several ProTraf employees — perhaps all of them, in fact — seem in various online conversations indirectly attributable to them to threaten, create, and execute DDOS attacks on competitors and for hire — $100 in bitcoin for every five minutes of attack time.
Jha looks to have been undone by the compulsive need of hackers operating in the shadows to claim credit for their work. Various personas linked to Jha and his colleagues take responsibility for numerous attacks, the creation of the Mirai code, and extorting service providers worldwide.
Slips here and there (identical coding skills between two online identities, for instance, or an attack utilising data only certain people could know) allowed the dots to be connected by Krebs, who understandably took the September takedown of his own site as something of a personal affront.
Failed #Mirai botnet attack causes internet outage for 900,000 Germans
▻http://www.dw.com/en/deutsche-telekom-hack-part-of-global-internet-attack/a-36574934
German security experts have suggested internet outages that have hit hundreds of thousands of Deutsche Telekom customers in Germany were part of a worldwide attempt to hijack routing devices.
“The BSI considers this outage to be part of a worldwide attack on selected remote management interfaces of DSL routers,” the government agency said on its website.
Deutsche Telekom said the issues seemed to be connected to an attempt to make a number of customers’ routers part of the Mirai botnet.
Deutsche Telecom information page:
▻https://www.telekom.com/en/media/media-information/archive/information-on-current-problems-444862
Deutsche Telekom has developed a software update together with the router manufacturers which is offered for download here ▻https://www.telekom.de/stoerung
What was behind this Mirai variant is the exploitation of a #TR-064 protocol vulnerability (CPE WAN Management Protocol, or #CWMP)
▻https://www.incapsula.com/blog/new-variant-mirai-embeds-talktalk-home-routers.html
TR-069 is a widely used protocol many ISPs employ to remotely manage network routers. Its communication occurs on port 7547, to which remote commands are sent. One such command is Time/SetNTPServers, used to synchronize a router with an external time source.
However, this same command can also be modified to let hackers remotely execute bash commands. Among other things, this enables them to:
• Open port 80 for remote access.
• Obtain Wi-Fi passwords.
• Modify the iptable rules.
• Inject malware into the device.
a Mirai botnet perturbed Liberia’s internet connectivity
Liberia is connected to internet via only one undersea cable (part of ACE - African Coast to Europe) of 5.12 Tbps, shared between all 23 countries connected via ACE.
Mirai has been targeting IP addresses of Lonestarcell MTN, a telecom operators managing the Liberian ACE leg, flooding the pipe with 500 Gbps and thereby impacting Liberia’s internet several times. (well, the 6% of the country that actually has internet access).
Lonestarcell MTN is one of the 4 telecom operators
▻http://thehackernews.com/2016/11/ddos-attack-mirai-liberia.html
Many media, including BBC, PC World, The Guardian, Forbes, IBtimes, Quartz, Mashable, The Register, inaccurately reported that Liberia was totally cut off.
▻https://krebsonsecurity.com/2016/11/did-the-mirai-botnet-really-take-liberia-offline
“Both our ACE submarine cable monitoring systems and servers hosted (locally) in LIXP (Liberia Internet Exchange Point) show no downtime in the last 3 weeks,” [the general manager of Cable Consortium of Liberia] said. “While it is likely that a local operator might have experienced a brief outage, we have no knowledge of a national Internet outage and there are no data to substantial that.”
Mirai announces its attacks here:
Liberian Observer:
Lonestar Cell MTN has contracted Arbor’s DDoS mitigation service.
▻http://www.liberianobserver.com/news/hackers-attack-lonestar-mtn-network
Lodestar Cell MTN is pleading to the Liberian authorities to take this issue seriously, because this threat could affect other financial institutions.
The cellular network provider is calling on the government through its security apparatus to institute immediate investigation into the matter as these DDOS attacks amount to economic sabotage and calls on the LTA to ensure that Liberia urgently joins Africa CERT, an organization setup to protect countries around Africa against cyber threats.
NewWorldHackers & Anonymous are behind the massive DDoS attack against Dyn DNS service, using the Mirai bonnet and other booters
▻http://securityaffairs.co/wordpress/52583/hacking/dyn-dns-service-ddos-3.html
When I asked which Anon groups were involved they replied me that many crews targeted the Dyn DNS service.
“Anonymous, Pretty much all of Anonymous” sais NewWorldHackers.
They confirmed me that they are testing the capability of their botnet, highlighting that the DDoS attack against the Dyn DNS Service was carried with the Mirai botnet alongside with other booters.
#DDoS #botnet #Mirai
#NewWorldHackers #Anonymous
#Dyn #DNS
#IoT
Statement by Dyn
▻http://hub.dyn.com/static/hub.dyn.com/dyn-blog/dyn-statement-on-10-21-2016-ddos-attack.html
We can confirm, with the help of analysis from Flashpoint and Akamai, that one source of the traffic for the attacks were devices infected by the Mirai bonnet. We observed 10s of millions of discrete IP addresses associated with the Mirai botnet that were part of the attack.
Krebs’s view on this
▻https://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-massive-internet-outage
“The issue with these particular devices is that a user cannot feasibly change this password,” Flashpoint’s Zach Wikholm told KrebsOnSecurity. “The password is hardcoded into the firmware, and the tools necessary to disable it are not present.
Rumours about extorsion
▻http://www.networkworld.com/article/3133751/security/extensive-ddos-attack-against-dyn-restarts-could-indicate-a-new-use-of
Cunningham [director of cyber operations for A10 Networks] says he’s seen chatter on underground forums indicating that the attackers tried to extort Bitcoin from Dyn by threatening the attacks, and when the provider didn’t pay up, launched them. He says Dyn seems to be doing a pretty good job of mitigating the effects relatively quickly.
Lengthy and interesting article by #Level3 on Mirai, containing information on the C2s (command & control servers) and the structure of the botnet
By analyzing the communication patterns of the Mirai C2 IP addresses, we were able to identify and enumerate Mirai’s infrastructure. This analysis was later confirmed accurate when the Mirai source code was released.
The Mirai source code
Chinese firm admits its hacked DVRs, cameras were behind [Dyn DNS] massive DDOS attack
▻http://www.pcworld.com/article/3134039/hacking/chinese-firm-admits-its-hacked-products-were-behind-fridays-massive-ddos-at
Hangzhou Xiongmai Technology, a vendor behind DVRs and internet-connected cameras, said on Sunday that security vulnerabilities involving weak default passwords in its products were partly to blame.
DDos On Dyn Used Malicious TCP, UDP Traffic
▻http://www.darkreading.com/attacks-breaches/ddos-on-dyn-used-malicious-tcp-udp-traffic-/d/d-id/1327309
Scott Hilton, executive vice president of product for Dyn, in a blog post said the attackers employed masked TCP and UDP traffic via Port 53 in the attack as well as recursive DNS retry traffic, “further exacerbating its impact,” he said.
[...]
He noted that the DNS traffic sent in the DDoS attacks also generated legitimate DDoS retry traffic, making the attack more complicated to parse, and the attack generated ten- to 20 times the normal DNS traffic levels thanks to malicious and legit retries.
“During a DDoS which uses the DNS protocol it can be difficult to distinguish legitimate traffic from attack traffic,” he said in the post. “When DNS traffic congestion occurs, legitimate retries can further contribute to traffic volume. We saw both attack and legitimate traffic coming from millions of IPs across all geographies.”
ESET discovers first-ever botnet of Android devices that is controlled via Twitter instead of C&C center
The new Android/Twitoor.A trojan can’t be found on any official Android app store; it probably spreads by SMS or via malicious URLs.
It then hides inside apps mimicking MMS viewers and porn players apps. These apps don’t deliver any working functionality and hide their presence as soon as the user installs them.
The trojan then checks a Twitter account at specific intervals for new commands. The botnet’s operator tweets out instructions, which are interpreted by the trojan and converted into a malicious action.
A particular feature of the Twitoor botnet is that the Twitter C&C accounts can at any time switch the botnet’s control to a new account.
▻http://www.welivesecurity.com/2016/08/24/first-twitter-controlled-android-botnet-discovered
“In the future, we can expect that the bad guys will try to make use of Facebook statuses or deploy LinkedIn and other social networks”, states ESET’s researcher.
It was only a matter of time : Botnet of Aethra Routers used for brute-forcing WordPress sites
A year ago, a researcher from Italian security company VoidSec investigated his WordPres logs, to discover that there was a brute-force attack going on trying to guess the admin password, and of course try the default (blank admin & password). He found out the attack came from Aethra modem/routers (BG1242W, BG8542W) (Aethra is an Italian telecom company).
Well, he does say that
I cannot easily determine if attacks come directly from the devices or from PCs connected to them, but it is safe to think that routers are the main actors.
Additional investigation also revealed that some of the routers were also susceptible to various reflected XSS and CSRF attacks that would also allow attackers to take control of the device.
Botnet size:
Using #Shodan, a search engine for locating Internet-connected devices, researchers found over 12,000 of Aethra routers around the world, 10,866 in Italy alone, and over 8,000 of these devices were of the model detected in the initial brute-force attack (Aethra Telecommunications PBX series). At that time, 70% of these Aethra routers were still using their default login credentials
The details are in their article:
RFC 7720 : DNS Root Name Service Protocol and Deployment Requirements
L’Internet repose en grande partie sur le #DNS (si ce dernier est en panne, presque plus rien ne fonctionne) et le DNS doit à sa nature arborescente de dépendre de sa racine ou plus exactement de ses serveurs racine. La gestion de ces derniers est donc une question cruciale. Ce très court RFC précise les obligations des serveurs racine en terme de protocoles réseau à suivre. D’autres documents décrivent les exigences opérationnelles.
Maintenant faut juste encore trouver un moyen de se défendre contre une attack DDoS vers les DNS root servers comme celle de fin novembre - début décembre :)
Enfin bon, je pense que l’attaque a montré que le système est tout de même assez robuste.
5 milion de requêtes par seconde c’est quand même pas mal.
L’effet de ces deux attaques, vues par DNSmon : beaucoup de rouge !
▻https://atlas.ripe.net/dnsmon/?dnsmon.session.color_range_pls=0-10-10-50-100&dnsmon.session.exclude-er
ah oui c’est vrai, je n’avais pas regardé là pour voir l’effet.
en plus, je trouve cet interface super bien faite.
@erratic Et si on veut rigoler avec ces attaques, le texte délirant du délirant McAffee vaut la peine (résumé : ces attaques sont faites par Daesh avec des téléphones) ▻http://www.ibtimes.co.uk/john-mcafee-massive-ddos-attack-internet-was-smartphone-botnet-popular-ap
OK pour ISIS oui, proofless speculation.
mais pour les smartphones, why not ?
McAfee and other cybersecurity experts believe that smartphones are the most likely culprit for such a botnet, as one can be easily installed to a device through an app, such as a flashlight app. There are other possibilities for the botnets, such as Spam emails, but due to the sheer volume displayed in the attack that answer is unlikely. With more than 7 billion smartphones in the world, McAfee sees this route for an attack on the internet as the logical answer.
[...]
“The problem with the recent attack is that the originating IP addresses were evenly distributed within the IPV4 universe,” McAfee says. "This is virtually impossible using spoofing. The second oddity is that every single request asked to resolve the exact same address. There is only one circumstance that can explain the above: the mythical “Zombie Army” of botnets has been built and has been partially activated."
Verisign’s Perspective on Recent Root Server Attacks
▻http://www.circleid.com/posts/20151215_verisign_perspective_on_recent_root_server_attacks
Sometimes, the DNS root name servers receive attack traffic where the intent seems to be clear. By examining the traffic, and perhaps with other supporting information, it may be easy to discern whether the intended victim is a third party, or perhaps the root server system itself. At other times, however, the intent is less obvious.
The events of Nov. 30 and Dec. 1, 2015, are one of those cases where the intent as observable on the root server operations side of the system is unclear. While a number of DNS root name servers did receive high levels of traffic, it is unclear whether the intent was to harm the root server system itself.
[...]
In addition to anycasting and an array of DNS transaction processing capabilities, Verisign and the other DNS root server operators have a number of techniques for identifying anomalous system loads and then classifying and mitigating malicious activity, as appropriate.
• blocking bogons
• source address filtering, (#BCP38)
although not usable at the root server system itself in this case due to the obvious presence of source address spoofing employed by the attacker source networks
• response rate limiting (RRL)
In this very interesting video is shown graphically, using Hilbert space-filling curve[1] representations that the spoofed source addresses are being generated more or less sequentially, and you can obtain an idea of how the attack operated in two fronts, as monitored on Verisign’s A-Root.
_
[1] a space-filling curve, mapping 1D into 2D while preserving locality, ie. points near each other in terms of distance along the curve will also be near each other on the 2D plane ▻http://datagenetics.com/blog/march22013/index.html
@erratic Il n’existe aucune indication qu’il s’agisse de smartphone. Pure spéculation sensationnaliste. Le raisonnement de McAfee est ridicule : c’est justement si les adresses sont usurpées qu’elles peuvent être réparties équitablement ! En outre, c’est un cinglé connu ▻https://en.wikipedia.org/wiki/John_McAfee#Legal_issues
@stephane En effet, curieux personnage !
Ce qui est intéressant c’est de voir de plus en plus de sites/blogs reprendre ses spéculations sur les smartphones espions.
Je suis curieux de voir ce que le #téléphone_arabe en aura fait dans 1 mois, et s’il y aura encore des traces de l’origine du message.
Sinon, je viens de tomber sur cet article assez, on va dire polarisé. Mais bon, si en effet la Maison Blanche l’intéresse, je peux comprendre son discours sur les smartphones.
▻http://www.jeuneafrique.com/mag/275859/politique/john-mcafee-drugs-guns-and-paranoia
Ponmocup, one of the biggest active botnets
Discovered in 2006, it is operational for 9 years now. It is actively in use and under continuous development. The botnet is believed to be aimed at financial gain. It is a malware framework, written in C++ and using encryption to hide its operations.
The initial way of distribution was through fake codec packs and fake Flash players. Later on they developed their own method called Zuponcic.
▻http://blog.fox-it.com/2015/12/02/ponmocup-a-giant-hiding-in-the-shadows
Ponmocup’s operators are technically sophisticated, their techniques suggest a deeper than regular knowledge of the Windows operating system. On top of that, the operators have close to 10 years of experience with malware development. Their framework was developed over time, quality tested and then improved in order to increase robustness and reduce the likelihood of discovery.
The operators are most likely Russian speaking and possibly of Russian origin. This is based on the fact that instructions to business partners and affiliates are written in Russian, and that historically, Ponmocup would not infect systems in some post-Soviet States.
A very detailed document describes into more details how the botnet operates:
▻https://foxitsecurity.files.wordpress.com/2015/12/foxit-whitepaper_ponmocup_1_1.pdf
(backup link : ▻http://docdro.id/iSMmgrX)
This infection vector relies on social engineering or outdated
Java software in order to execute a Java applet.
These applets are typically run in a sandbox, in order to
prevent them from touching the file system, so to drop
the Ponmocup installer on a victim’s machine this Java
applet has to escape the sandbox. Ponmocup successfully
does so because the Java applet is signed with a
valid certificate, stolen from a legitimate organization.
Older versions of Java (pre-dating Java 7 Update 21 to
be specific) which blindly trust certificates issued by
authorities, will run this applet outside of the sandbox
without even asking for the user’s permission.
Dorkbot
▻https://www.us-cert.gov/ncas/alerts/TA15-337A
Dorkbot is designed to steal passwords for online accounts, including social networks like Facebook and Twitter, as well as to install additional malware that can turn infected endpoints into nodes in a DDoS attack or part of a spam relay.
Dorkbot is commonly spread via malicious links sent through social networks, instant message programs or through infected USB devices.
Dorkbot is operated via IRC, and exists since 2011.
Dorkbot Botnets Get Busted (4 December 2015)
▻http://www.bankinfosecurity.com/dorkbot-ddos-botnets-get-busted-a-8728/op-1
Win32/Dorkbot botnet disrupted by Microsoft and law enforcement officials
▻http://www.winbeta.org/news/win32dorkbot-botnet-disrupted-microsoft-law-enforcement-officials
Microsoft indicated that the following websites are prime candidates for Dorkbot to steal usernames and passwords: AOL, eBay, Facebook, Gmail, GoDaddy, OfficeBanking, Mediafire, Netflix, PayPal, Steam, Twitter, Yahoo, and YouTube. Dorkbot also blocks you from accessing anti-virus and anti-malware programs and websites like: Avast, Bitdefender, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Sophos, Trend Micro, and VirusTotal.
The Linux XOR botnet is launching crippling DDoS attacks in excess of 150 Gbps
The XOR #DDoS #botnet can generate attacks more powerful than most businesses can withstand.
▻http://www.pcworld.com/article/2987580/security/a-linux-botnet-is-launching-crippling-ddos-attacks-at-more-than-150gbps.htm
Attackers install it on Linux systems, including embedded devices such as WiFi routers and network-attached storage (NAS) devices, by guessing SSH (Secure Shell) login credentials using brute-force attacks.
[...]
Old and unmaintained routers are especially vulnerable to such attacks, as several incidents have shown over the past two years.
▻https://www.stateoftheinternet.com/resources-web-security-threat-advisories-2015-xor-ddos-attacks-l
Akamai’s Security Intelligence Response Team (SIRT) is tracking XOR DDoS, a Trojan malware that DDoS attackers have used to hijack Linux machines to build a botnet for distributed denial of service (DDoS) attack campaigns with SYN and DNS floods.
• The XOR DDoS botnet has produced DDoS attacks from a couple of Gbps to 150+ Gbps
• The gaming sector has been the primary target, followed by educational institutions.
• The botnet has attacked up to 20 targets per day, 90% of which were in Asia.
• XOR DDoS is an example of attackers building botnets of Linux systems instead of Windows-based machines.
• XOR DDoS appears to be of Asian origin
• The malware spreads via Secure Shell (SSH) services susceptible to brute-force attacks due to weak passwords.
• To hide its presence, the malware also uses common rootkit techniques.
• Akamai’s SIRT expects XOR DDoS activity to continue as attackers refine and perfect their methods, including a more diverse selection of DDoS attack types.
What you can find in the Technical information about XOR:
• Indicators of binary infection
• Characteristics of the botnet and C2 communications
• Observed DDoS attack campaigns
• DDoS payloads for DDoS mitigation
• Snort rule to detect the initial registration of a bot with its C2
• YARA rule to detect infection by XOR DDoS malware on your hosts
4 steps to remove XOR DDoS malware from a Linux host
▻https://www.stateoftheinternet.com/downloads/pdfs/2015-threat-advisory-xor-ddos-attacks-linux-botnet-malware-remov
An argumentation (by a Linux fan) against blaming Linux about this botnet:
(albeit somewhat "de mauvaise foi", and using as main defence argument that anything can fail against brute force attacks):
▻http://www.infoworld.com/article/2990956/linux/dont-blame-linux-for-the-xor-botnet.html
The real culprits are the irresponsible vendors behind cheap broadband routers and their clueless customers
The existence of the XOR DDoS was already mentioned here in January 2015 by @stephane : ▻http://seenthis.net/messages/327907
Evgueni « Fantomas » Bogatchev, l’insaisissable hacker russe
►http://www.lemonde.fr/pixels/article/2015/08/27/evgueni-fantomas-bogatchev-bogatchev-l-insaisissable-hacker-russe_4738498_44
Mais, toujours selon le Daily Mail qui a questionné Aslan Vladimirovich Goshokov, un responsable de la police locale, aucune demande d’arrestation ne lui est jamais parvenue au nom de Bogatchev, dont le casier judiciaire est toujours vierge en Russie. Mieux : questionnés dans la rue, des habitants d’Anapa n’hésitent pas à voir en Bogatchev un héros de la nation, méritant plus une médaille que la prison, pour avoir tenu tête et dépouillé des représentants du « grand capital ».
Pendant que je me livrais à mes calculs de coin de table, je me suis fait doublé ! Bien fait pour moi ;-)
▻http://seenthis.net/messages/402171
In the cyberspace, Microsoft now hears you screaming...
[Nice scientific experience]
▻http://kuow.org/post/listen-sound-botnets-helps-microsoft-fight-cybercrime
Un pirate mine 620 000 dollars de DodgeCoin via un botnet NAS ! | UnderNews
▻http://www.undernews.fr/malwares-virus-antivirus/un-pirate-mine-620-000-dollars-de-dodgecoin-via-botnet-nas.html
En effet, la version 4.3 du DSM (Disk Station Manager) des NAS Synology est victime d’une faille sur le protocole SMB, permettant à des utilisateurs de miner des Dogecoins.
▻http://www.welivesecurity.com/2014/03/18/operation-windigo-the-vivisection-of-a-large-linux-server-side-crede
« Today, we are publishing the results of significant amounts of research effort in a report titled “Operation Windigo – The vivisection of a large Linux server-side credential stealing malware campaign”. This report details our analysis of a set of malicious programs that are used together to infect servers and desktop computers. »
“Researchers say they have uncovered an ongoing attack that infects home and small-office wireless routers from #Linksys with self-replicating malware, most likely by exploiting a code-execution vulnerability in the device firmware.”
▻http://arstechnica.com/security/2014/02/bizarre-attack-infects-linksys-routers-with-self-replicating-malware
Soon, a #botnet made of small routers?
J’ai lu "Confession d’un pédophile : l’impossible filtrage du Web"
▻http://archives-lepost.huffingtonpost.fr/article/2010/02/01/1918529_j-ai-lu-confession-d-un-pedophile-l-impossibl
PS : Je rappelle que le PDF téléchargeable est gratuit et ne contient aucun élément de pédophilie
▻http://www.ilv-bibliotheca.net/librairie/confession_dun_pedophile_limpossible_filtrage_du_web.html
▻http://www.ilv-edition.com/images/librairie/couvertures/confession_dun_pedophile_limpossible_filtrage_du_web.jpg
bon voilà, avec trois ans de retard j’ai lu ce #livre ; en me bouchant un peu le nez pour la préface (Robert Ménard). Il propose notamment trois longs textes, assez intéressants, sur la problématique du #filtrage (ou #censure) du net qui se met en place pour lutter contre la pédopornographie.
Le journaliste Fabrice Epelboin présente un texte rédigé par un ancien administrateur (anonyme) de serveur d’images pédophiles. Il explique en détails comment selon lui fonctionne techniquement et économiquement ce business, qui selon ses estimations « pèse » environ 20 millions de dollars/an ; il souligne au passage que (d’après lui toujours) ce sont les opérateurs financiers (banques fermant les yeux, etc.) qui en extraient le maximum d’argent.
Et il décrit (c’est peut-être ça le plus intéressant) comment les opérateurs de ce genre de service emploient des spécialistes de différents types de criminalité électronique (blanchiment, piratage de carte bancaire, #botnets, virus, et surtout le #spam qui permet d’atteindre les clients, notamment quand le DNS est bloqué).
Deux « chasseurs de pédophiles », un expert judiciaire britannique et un ancien gendarme-enquêteur français, prennent ensuite position contre le filtrage du Web, arguant que ça ne sert à rien, à part à rassurer le public de TF1 en montrant qu’on fait quelque chose, et attraper des petits consommateurs imprudents : « filtrer internet ne portera atteinte ni à la capacité des marchands de commercialiser leur offre, ni à celle des consommateurs d’y accéder ». Et tandis qu’on privilégie ces non-solutions, les moyens manquent pour mener de vraies enquêtes qui pourraient remonter les filières.
Je n’évoque pas le reste (Champeau, Pasquini et Zimmerman), mais c’est bien aussi.
ah mais je suis con, c’était suite à ton post, j’aurais dû le citer :
▻http://seenthis.net/messages/211584
Etats-Unis : spamé par son... frigo - France Info
▻http://www.franceinfo.fr/high-tech/etats-unis-spame-par-son-frigo-1286341-2014-01-18
Il le croyait innocent, accueillant même. Le réfrigérateur, cet ami du quotidien. Celui qui maintient au frais son soda préféré, qui veille avec zèle sur le coleslaw, qui permet de ne pas aller chercher une vache à chaque fois qu’on a envie d’un steak. Quelle n’a pas dû être la surprise, le chagrin même de cet Américain en se découvrant trahi. Un bandit informatique s’était installé dans cette cuisine, où chaque matin, il pénétrait sans méfiance en pyjama, l’esprit tout embrumé. Un frigo transformé en pirate du net, de quoi inspirer un nouveau filon aux scénaristes hollywoodiens. Pire qu’un colocataire psychopathe ou que l’hôtel qui rend fou. On imagine déjà Jack Nicholson dans le rôle.....
#États-Unis
#cyberattaque
#piratage
#spams
#téléviseurs
#réfrigérateurs
#objets-connectés
Proofpoint Uncovers Internet of Things (IoT) Cyberattack
▻http://www.marketwatch.com/story/proofpoint-uncovers-internet-of-things-iot-cyberattack-2014-01-16
The global attack campaign involved more than 750,000 malicious email communications coming from more than 100,000 everyday consumer gadgets such as home-networking routers, connected multi-media centers, televisions and at least one refrigerator that had been compromised and used as a platform to launch attacks.
Internet des objets : le cri d’alarme de Bruce Schneier
▻http://www.linformaticien.com/actualites/id/31569/internet-des-objets-le-cri-d-alarme-de-bruce-schneier.aspx
Hier dans une tribune publiée sur le magazine Wired et accessible à cette adresse, il met en exergue l’absence de sécurité des objets connectés, des appareils qui les relient (les routeurs en particulier) et la quasi impossibilité de « patcher » les failles qui affectent les objets. L’article débute ainsi : « Nous sommes désormais à un point de crise en ce qui concerne la sécurité des systèmes embarqués, où l’informatique est embarquée dans le matériel lui-même – comme pour l’internet des objets. Ces systèmes embarqués sont criblés de vulnérabilités et il n’y a pas de bon moyen pour les patcher ».
Rien à voir avec l’#IoT, terme qui désigne la connexion d’objets n’appartenant pas à l’univers informatique habituel (frigos, cafetières, etc). Schneier ne parle que des routeurs.
Windows XP : 2014 un vrai risque
▻http://www.commentcamarche.net/faq/38256-windows-xp-2014-un-vrai-risque
Migrer vers Windows 7 voir 8 aura un coût, si votre ordinateur en support les recommandations.
Je vois mal un Pentium avec 512 Mo de ram tourner.
Vous pouvez migrer vers Linux qui aura les avantages d’avoir aucun coût, de fonctionner sur de vieille machine et être à l’abri de toutes infections.
#windows-xp
#gnu/linux
#512-Mo-de-ram
#hackers
#pirates
#botnets
#avril-2014
« ZeuS-P2P monitoring and analysis » Excellente analyse technique du #botnet Zeus-P2P par le CERT polonais. Zeus est un kit de construction de botnets, pour éviter aux mafieux de devoir tout faire par eux-mêmes, kit qui était vendu et dont le code source a mystérieusement fuité. Un certain nombre de botnets ont ainsi pu être construits gratuitement et des perfectionnements ont été apportés à Zeus par la communauté (merveille du code source disponible). L’une de ces améliorations a été utilisé pour bâtir le botnet Zeus-P2P (également appelé #Gameover) : au lieu de communiquer uniquement avec un maître (le C&C pour Command and Control) centralisé, Zeus-P2P sait récupérer les informations, les ordres et les mises à jour en pair-à-pair... (Son algorithme est proche de celui de #Kademlia.) Il est un des premiers (la date exacte n’est pas forcément connu) botnets avec cette capacité.
Zeus-P2P a aussi des méthodes classiques de communication avec son C&C comme un DGA (Domain generation Algorithm) pour engendrer des noms de domaine à essayer pour cette communication.
Le pair-à-pair fournit de la résilience mais il vient avec ses propres vulnérabilités. Les chercheurs du CERT ont ainsi pu s’insérer dans ce botnet et l’observer (sans toutefois pouvoir le diriger, le logiciel vérifiant les signatures cryptographiques des messages). La partie la plus drôle du rapport est la description de l’observation, par le CERT, de deux attaques (sans doute menées par des botnets concurrents) contre Zeus-P2P, attaques qui ont été vues en temps réel.
Contrairement à la plupart des rapports techniques d’analyse d’un logiciel malveillant, les auteurs de celui-ci ont eu des préoccupations pédagogiques et expliquent tous les termes utilisés.
Le rapport du CERT : ▻http://www.cert.pl/PDF/2013-06-p2p-rap_en.pdf
La fiche de Zeus-P2P sur botnets.fr : ▻https://www.botnets.fr/index.php/Gameover
Une carte animée illégale d’Internet par 420.000 botnets sous Linux
▻http://neosting.net/actualite/carte-internet-420-000-carnabotnets-linux.html
Pour le fun, un chercheur anonyme a voulu créer une carte pour montrer l’activité d’Internet. Mais, pour réaliser son exploit, il a créé un hack, le Carna Botnet, afin de faire des botnet dont le but est de définir leur présence sur la toile grâce au ping. Les cibles sont ... #botnets #carte #internet #linux
The Genesis Block - The Foundation of All Things Bitcoin
▻http://thegenesisblock.com/have-we-reached-a-turning-point-for-bitcoin-ddos
explication de l’utilisation d’une attaque de type Ddos sur les transactions bitcoins pour spéculer...
...et comment le prix de ces micro-transactions et de la location du botnet pour l’attaque n’est pas forcément rentabilisé
#bitcoin #ddos #transaction #botnet #spéculation #marché #maturité