Aller au contenu
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991
 Share

Messages recommandés

Le comité sur le renseignement de la Chambre des représentants US a publié les conclusions de son rapport sur l'affaire Snowden. Parmi les infos nouvelles, je note dans la conclusion 3) Snowden a commencé à copier des documents en juillet 2012, jusque-là il me semble que tout ce qu'on savait c'était qu'il avait commencé à contacter les journalistes en novembre ou décembre, conclusion 4) plusieurs exagérations passées de Snowden quant à lui-même, et 5) la NSA et la communauté du renseignement à encore pas mal à faire pour se sécuriser face à une menace similaire.

http://intelligence.house.gov/uploadedfiles/hpsci_snowden_review_-_unclass_summary_-_final.pdf

Sinon, le gourou de la sécurité informatique Bruce Schneier a posté un essai où il explique que des compagnies majeures d'internet (il ne précise pas lesquelles) lui ont dit avoir fait l'objet d'attaques DDoS augmentant progressivement en intensité et en sophistication. Ca ressemble à des tests, qui obligent les compagnies concernées à utiliser (donc dévoiler) progressivement toute leur panoplie de défenses. Sa conclusion est dans le titre, a priori pas exagéré par rapport aux faits : "quelqu'un est en train d'apprendre à mettre internet K.O.".

https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

5 hours ago, zx said:

à cette échelle, cela ne peut être qu'un état, il faut avoir beaucoup de moyen et une importante architecture. Ils ont certainement localiser l'origine.

La faiblesse de DNS est archi connu et tout un tas de solution alternatives existent... je ne suis pas convaincu qu'un simple gros DDOS sur les serveur Verisign empeche beaucoup de monde de résoudre les nom de domaines ...

Lien vers le commentaire
Partager sur d’autres sites

Comme la plupart des trucs, je suppose que c'est dispo pour qui chercher un peu mais 99% des internautes n'en savent rien. Si le DNS était coupé demain, bonne chance pour s'en tirer... Les sites seraient toujours là mais la fréquentation serait complètement contrainte par la question du DNS... le "paysage" internet serait remodelé : au lieu des moteurs de recherche, ce seraient les solutions de DNS les plus popularisées qui deviendraient les nouveaux "points de passage" obligés d'internet. Et allez savoir les implications économiques d'une baisse massive de fréquentation, même temporaire.

Sinon, ce rapport du comité du renseignement de la Chambre des représentants semble contenir quelques grosses conneries, ce qui jette le doute sur le reste où il est difficile de trancher. 'pas fichus de pondre un dossier béton de trois pages, ça la fiche mal.

Lien vers le commentaire
Partager sur d’autres sites

8 minutes ago, Shorr kan said:

Comme quoi ? 

DNS c'est un annuaire centralisé des relations en nom de domaine et adresse ip.

Les serveur DNS secondaire récupere chez le garant les enregistrements DNS qui les intéressent et les mettent en cache, puis les répondent a leur client ou aller chercher tel domaine. Ca se fait en cascade, et les enregistrements ne sont pas signé numériquement.

Résultat n'importe quel abruti peut diffuser des enregistrement corrompu - DNS spoffing - avec une chance non négligeable que ça se diffuse, et qu'un domaine finisse par t'envoyer.

Meme punition pour le DDOS sur un DNS racine ou sur un DNS cible de l'attaque ... etc.

Le gros souci d'internet c'est qu'on utilise des procédé des année 70 ... conçu pour que quelques prof d'université collabore de manière bon enfant ... dans un monde de vicelard.

Forcement c'est moyennement robuste :bloblaugh:

5 minutes ago, Rob1 said:

Comme la plupart des trucs, je suppose que c'est dispo pour qui chercher un peu mais 99% des internautes n'en savent rien. Si le DNS était coupé demain, bonne chance pour s'en tirer... Les sites seraient toujours là mais la fréquentation serait complètement contrainte par la question du DNS... le "paysage" internet serait remodelé : au lieu des moteurs de recherche, ce seraient les solutions de DNS les plus popularisées qui deviendraient les nouveaux "points de passage" obligés d'internet. Et allez savoir les implications économiques d'une baisse massive de fréquentation, même temporaire.

Sinon, ce rapport du comité du renseignement de la Chambre des représentants semble contenir quelques grosses conneries, ce qui jette le doute sur le reste où il est difficile de trancher. 'pas fichus de pondre un dossier béton de trois pages, ça la fiche mal.

En fait tout le monde meme toi gere un "cache DNS". En gros tu stockes les relation ip<->domaine des site que tu visite ... normalement ton FAI fait pareil, et tout un tas d'opérateur qui s'occupe du backbone d'internet aussi.

Résultat en pratique tu peux vivre un certain temps sans aller chercher d'infos directement chez verisign ou un autre registrar.

Il existe aussi des solutions sans registrar ICANN pour les domaines exotiques ... tel OpenNIC et son systeme decentralisé etc.

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

il y a 26 minutes, Rob1 a dit :

Comme la plupart des trucs, je suppose que c'est dispo pour qui chercher un peu mais 99% des internautes n'en savent rien. Si le DNS était coupé demain, bonne chance pour s'en tirer... Les sites seraient toujours là mais la fréquentation serait complètement contrainte par la question du DNS... le "paysage" internet serait remodelé : au lieu des moteurs de recherche, ce seraient les solutions de DNS les plus popularisées qui deviendraient les nouveaux "points de passage" obligés d'internet. Et allez savoir les implications économiques d'une baisse massive de fréquentation, même temporaire.

Sinon, ce rapport du comité du renseignement de la Chambre des représentants semble contenir quelques grosses conneries, ce qui jette le doute sur le reste où il est difficile de trancher. 'pas fichus de pondre un dossier béton de trois pages, ça la fiche mal.

Je la refais.

Comme quoi ?

Lien vers le commentaire
Partager sur d’autres sites

Les réponses viennent de Barton Gellman (un des journalistes bénéficiaire des documents Snowden, mais le plus sérieux d'entre eux) :

- parmi les exagérations de Snowden, le rapport dit qu'il a menti en prétendant avoir une équivalence de diplôme qu'il n'a jamais eue, et qu'il a abandonné sa tentative d'entrer dans les forces spéciales non pas pour s'être cassés les jambes mais pour périostite tibiale. Gellman dit qu'il a les paperasses montrant que Snowden a bien eu son équivalence de diplôme et qu'il a eu un diagnostique de "fractures de fatigue bilatérale aux tibias". https://tcf.org/content/commentary/house-intelligence-committees-terrible-horrible-bad-snowden-report/

- le plus important à mon avis : le rapport dit que Snowden n'a jamais passé la formation des employés de la NSA aux règles d'utilisation des interceptions effectuées sous la loi section 702 du Foreign Intelligence Surveillance Act (FISA). Jusqu'ici j'étais parfaitement prêt à le croire, parce que dans des mails internes de la NSA publiés par Vice une personne de la NSA disait que Snowden était venu la voir dans un état visiblement très affecté pour se plaindre qu'il y avait des questions-pièges. Sauf que Gellman dit que là aussi il a la paperasse montrant le contraire.

Gellman n'est a priori pas un guignol, donc je veux bien le croire. (Il n'a pas montré les papiers en question, mais comme il a un livre sur Snowden dans les tuyaux pour la fin de l'année, c'est crédible qu'il ait bien eu ces documents et qu'il les garde sous le coude pour la sortie de son livre.)

Bon, après, il y a pas mal d'autres points de discussion où je n'ai aucun élément pour trancher, notamment les allégations que Snowden ait triché à un autre test, celui pour entrer au TAO, ou qu'il représente mal les fonctions qu'il a occupées à la NSA. Ni la NSA si le reste du gouvernement ne semblent vouloir faire une réponse sérieuse sur ça, pourtant ca ne devrait pas être difficile... et les grosses erreurs de compréhension faites sur les documents publiés me laissent supposer qu'il est loin d'avoir d'avoir l'expertise sur la NSA qu'il suggère qu'il a.

Un point pour illustrer : Snowden a déclaré lors de sa télé-audition par une commission d'enquête parlementaire allemande qu'il avait fait des interceptions type section 702 FISA. S'il a effectivement réussi le test, c'était en mars ou avril 2013. Avec un tour de formation aux States continentaux, il n'est pas sûr qu'il ait eu le temps de pratiquer une seule interception avant de filer d'Hawaï fin mai 2013... et même si c'était le cas, il avait commencé à voler des documents et contacter les journalistes fin 2012.

Modifié par Rob1
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 16/09/2016 à 03:09, Rob1 a dit :

Sinon, le gourou de la sécurité informatique Bruce Schneier a posté un essai où il explique que des compagnies majeures d'internet (il ne précise pas lesquelles) lui ont dit avoir fait l'objet d'attaques DDoS augmentant progressivement en intensité et en sophistication. Ca ressemble à des tests, qui obligent les compagnies concernées à utiliser (donc dévoiler) progressivement toute leur panoplie de défenses. Sa conclusion est dans le titre, a priori pas exagéré par rapport aux faits : "quelqu'un est en train d'apprendre à mettre internet K.O.".

https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html

J'ai énormément d'estime pour Schneier pour la sécurité (IT ou autre).

Néanmoins, sur ce coup-là, je suis un peu sceptique : le seul indicateur de la dangerosité des attaques qu'il rend public, c'est le volume des attaques DDoS.
Et ça, c'est à la portée d'un botnet de PC zombies de taille moyenne, et ça n'exige pas de compétences particulières (ça se loue, une carte de crédit (volée) suffit).
Par ailleurs, si l'attaque se base sur la force brute, ces flux anormaux peuvent être identifiés et filtrés.

SInon, il y a des palliatifs de type Cloudflare pour équilibrer la charge, qui ont démontré qu'ils peuvent encaisser des pics à 500Gb/s (https://support.cloudflare.com/hc/en-us/articles/200170216-How-large-of-a-DDoS-attack-can-CloudFlare-handle-)
https://www.cloudflare.com/ddos/ (pour quelques détails sur les techniques DDoS)

Bref, vu sa réputation, j'ai tendance à le croire , mais si quelqu'un a des détails, je suis preneur!

Modifié par rogue0
ortho
Lien vers le commentaire
Partager sur d’autres sites

Le 24/08/2016 à 00:41, Rob1 a dit :

On n'a pas parlé de l'affaire "Shadow Brokers". J'essaie de faire un résumé de l'essentiel.

[...]

Comment ça ? Comment ces trucs sont sortis de la NSA, c'est la question à un million de dollars. Le scripts datent (d'après leur "modifié le..." qui est falsifiable) au plus tard d'octobre 2013, donc après la fuite de Snowden. Pour le moment, il y a deux hypothèses qui se dégagent :

Voici les dernières nouvelles sur la "source" des Shadow Brokers ( et la fuite des outils de hacking top niveau):
Les hypothèses du piratage direct de la NSA ou d'une fuite à la Snowden sont écartées.

Selon Reuters, l'enquête s'oriente finalement vers la thèse ...  d'une "erreur" humaine (oh surprise:tongue:).
Ce serait un employé de la NSA qui a laissé traîner le kit sur une machine distante (ou cible).
Cet ex-employé de la NSA plaide la négligence, mais l'enquête ne peut écarter la possibilité qu'elle soit intentionnelle.

Le détail qui fâche : après la révélation de la fuite, la NSA n'a pas contacté les sociétés concernées (même pas les américaines) pour les prévenir que des failles critiques étaient devenues publiques.
La plus grosse faille permettait de décrypter des milliers de VPN d'entreprise réputés "sécurisés" par du matériel Cisco (ce qui justifie a postériori une des affirmations Snowden)

Article d'origine (en anglais)

http://www.reuters.com/article/us-cyber-nsa-tools-idUSKCN11S2MF

Résumé en français

http://www.nextinpact.com/news/101510-outils-voles-nsa-erreur-humaine-aurait-permis-fuite.htm?skipua=1

 

 

Lien vers le commentaire
Partager sur d’autres sites

On apprend que les caméras de surveillance produites par la société allemande NetBotz auraient été équipées par les services secrets américains de systèmes leur permettant de récupérer les enregistrements. Ces caméras ont notamment été installées sur des sites hautement sensibles, potentiellement des agences gouvernementales, sièges d'entreprises dans les secteurs notamment de la haute technologie et de la défense, etc. Le BND connaissait la pratique opérée par les services secrets américains depuis 2005 au moins, vu notamment qu'ils avaient détecté des tentatives de communication du matériel vers un serveur de la US-Army. le BND n'a cependant rien dit, pas même au Verfassungschutz, en raison selon leurs dires de craintes des possibles implications politiques. Selon le BND, l'idée de passer par une société allemande visait à dissimuler l'origine américaine de la technologie. A noter que NetBotz fait désormais partie de Schneider Electric.

http://www.tagesschau.de/ausland/spionage-cctv-101.html

Lien vers le commentaire
Partager sur d’autres sites

On 25/09/2016 at 5:44 PM, zx said:

Hmmm, sympa, les entreprises vont apprécier que leur contrat peut être dérober et utiliser au profit d'intérêts de groupe américain. succulent.

D'un coté les entreprises en question ne font absolument aucun lobbying pour concurrencer ces pratiques ... au contraire ... de la a dire quelle le méritent bien ...

Sila sécurité informatique intéressait vraiment les entreprises, les syndicats d'entreprise fonderait un coopérative produisant des outils de sécurité des OS et des soft garantissant la sécurité informatique. Or il n'en n'a jamais été question, alors que les bases existent et sont assez facilement implémentable.

Même punition au niveau des états. Rien ne les force a se rendre dépendant d'entité concurrente, quand a leur propre sécurité.

Modifié par g4lly
Lien vers le commentaire
Partager sur d’autres sites

il y a 18 minutes, Skw a dit :

On apprend que les caméras de surveillance produites par la société allemande NetBotz auraient été équipées par les services secrets américains de systèmes leur permettant de récupérer les enregistrements.[...] Le BND connaissait la pratique opérée par les services secrets américains depuis 2005 au moins, vu notamment qu'ils avaient détecté des tentatives de communication du matériel vers un serveur de la US-Army. le BND n'a cependant rien dit, pas même au Verfassungschutz, en raison selon leurs dires de craintes des possibles implications politiques.

Bien joué ... (ce n'est pas ironique)

Je ne connais pas ce système de caméra de surveillance.
Enfin, si les flux vidéos passent par les réseaux des sociétés, tout administrateur réseau compétent devrait pouvoir repérer le pic de volumétrie d'une récupération massive des enregistrements (tout comme les 10 Go des Panama Papers exfiltrés en douce, ça aurait dû se voir).

J'attend impatiemment la révélation de la première affaire d'espionnage réelle via ... photocopieuse connectée :chirolp_iei:
(les poubelles, c'est déjà un vieux classique).
Tant qu'on parle de caméra, j'en profite pour remettre une couche sur le billet de Schneier :
 


 

Le 23/09/2016 à 01:56, rogue0 a dit :

Néanmoins, sur ce coup-là, je suis un peu sceptique : le seul indicateur de la dangerosité des attaques qu'il rend public, c'est le volume des attaques DDoS.
Et ça, c'est à la portée d'un botnet de PC zombies de taille moyenne, et ça n'exige pas de compétences particulières (ça se loue, une carte de crédit (volée) suffit).
Par ailleurs, si l'attaque se base sur la force brute, ces flux anormaux peuvent être identifiés et filtrés.

SInon, il y a des palliatifs de type Cloudflare pour équilibrer la charge, qui ont démontré qu'ils peuvent encaisser des pics à 500Gb/s (https://support.cloudflare.com/hc/en-us/articles/200170216-How-large-of-a-DDoS-attack-can-CloudFlare-handle-)
https://www.cloudflare.com/ddos/ (pour quelques détails sur les techniques DDoS)

Il y a eu 2 incidents tout frais d'attaque de déni de service massif (DDoS), avec une moyenne à 620Gb, et des pointes de l'ordre du TeraB(aud pour ceux qui ont connus la période :dry:).
Les cibles ?

Un blogger de sécurité (Brian Krebs), et un hébergeur/ISP français OVH.

A priori, pas besoin des ressources d'un pays pour ça : il a suffit d'utiliser un réseau zombie de ... caméra de surveillance.
Dans le cas d'OVH, plus de 145 000 caméra piratées différentes ont été repérées (chacune balançant 10Mb de flux).
Une grande faiblesse du concept de l'Internet d'objet connecté (appliances, IoT, MtM) vient d'être démontrée explicitement.
La plupart de ces objets ne font l'objet d'aucune mise à jour de sécurité.

Sources:
https://krebsonsecurity.com/2016/09/the-democratization-of-censorship/ (complet mais en anglais)

http://www.zdnet.fr/actualites/ovh-noye-par-une-attaque-ddos-sans-precedent-39842490.htm
http://www.lemonde.fr/pixels/article/2016/09/26/derriere-une-serie-d-attaques-informatiques-tres-puissantes-un-reseau-d-objets-connectes-pirates_5003470_4408996.html

 

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Bon, la nouvelle a été largement diffusée même dans les média grands publics, mais ça reste "intéressant".

On savait déjà que les sociétés internet US donnaient accès aux (méta)données pour les enquêtes de renseignement (ponctuellement, pas de soucis).
Il y a eu des révélations passées sur la surveillance de masse de la NSA, visant notamment les étrangers (c'est déjà plus contestable, mais c'est le boulot des services secrets) : les géants GAFA se présentaient jusque-là comme ayant obéit aux injonctions légales, à reculons et en protestant.

Selon plusieurs sources interrogées par Reuters, Yahoo aurait franchit une nouvelle étape.
Cette fois, ils auraient purement et simplement créé un outil de surveillance global, recherchant sur l'ensemble des comptes emails de leurs utilisateurs, des messages ayant certains mots-clés (similaire aux vieilles descriptions de Echelon?) .
Bref, sur demande des autorités (NSA ou FBI?), c'est directement eux qui jouaient les "Big Brother" pour les autorités.

Mes commentaires en vrac, et avec les pincettes de rigueur:

  • ça sent le sapin pour yahoo.
    Déjà qu'ils devaient se justifier d'une méga-fuite de mots de passe (>500 million de comptes email compromis), la perte de confiance sera sévère (que le rapport soit confirmé ou pas)
  • Je suis étonné, car dans les épisodes précédents, Yahoo avait gagné un peu d'estime, en tenant tête aux injonctions fédérales, et en demandant plus de transparence sur les "gag orders", et le volume des interceptions / requête FISA
  • Je suppose que les "autorités" doivent être le FBI.
    Je pense que ce type de surveillance doit être un jeu d'enfant pour la NSA
  • EDIT: <mode provoc' ON> Après ça, à quand la grande muraille numérique pour les USA ? :tongue:<provoc OFF>

Source en anglais

http://www.nextinpact.com/news/101642-renseignement-yahoo-aurait-accepte-fouiller-automatiquement-dans-emails.htm?skipua=1

Résumé en français:

http://www.reuters.com/article/us-yahoo-nsa-exclusive-idUSKCN1241YT?il=0


 

Le 28/09/2016 à 00:18, rogue0 a dit :

Tant qu'on parle de caméra, j'en profite pour remettre une couche sur le billet de Schneier :

2 ème couche sur l'attaque.

Le kit d'attaque à base des objets connecté a maintenant un nom : Mirai.
Et son auteur a publié le code source au grand public (sans doute pour brouiller les pistes : l'attaque a fortement attiré l'attention)
http://www.generation-nt.com/ddos-botnet-mirai-iot-internet-objets-actualite-1933965.html

On peut donc s'attendre à une multiplication de ces attaques prochainement.

Joie... :mechantc:

Modifié par rogue0
Lien vers le commentaire
Partager sur d’autres sites

Il y a 22 heures, rogue0 a dit :

Cette fois, ils auraient purement et simplement créé un outil de surveillance global, recherchant sur l'ensemble des comptes emails de leurs utilisateurs, des messages ayant certains mots-clés

L'article Reuters était très flou, il a d'ailleurs été pas mal critiqué pour ça.

En fin de compte, c'est une réponse à un mandat de la Foreign Intelligence Surveillance Court (FISC) qui demandait l'interception des mails contenant une certaine signature numérique pour le FBI. L'ordre était inhabituel en demandant cette sélection sur une signature (a priori dans le contenu des mails), pour ce faire Yahoo a fait une modification ad hoc sur son système de filtrage de mails entrants (qui sert à détecter le spam et la pédopornographie).

C'est donc une injonction légale, pour une interception ciblée, au profit du FBI, et ciblant une "organisation terroriste étrangère", pour une fois ce n'est pas un prétexte médiatique mais la cible concrète.

http://www.nytimes.com/2016/10/06/technology/yahoo-email-tech-companies-government-investigations.html

Modifié par Rob1
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Il y a 23 heures, Rob1 a dit :

L'article Reuters était très flou, il a d'ailleurs été pas mal critiqué pour ça.

En fin de compte, c'est une réponse à un mandat de la Foreign Intelligence Surveillance Court (FISC) qui demandait l'interception des mails contenant une certaine signature numérique pour le FBI. L'ordre était inhabituel en demandant cette sélection sur une signature (a priori dans le contenu des mails), pour ce faire Yahoo a fait une modification ad hoc sur son système de filtrage de mails entrants (qui sert à détecter le spam et la pédopornographie).

C'est donc une injonction légale, pour une interception ciblée, au profit du FBI, et ciblant une "organisation terroriste étrangère", pour une fois ce n'est pas un prétexte médiatique mais la cible concrète.

http://www.nytimes.com/2016/10/06/technology/yahoo-email-tech-companies-government-investigations.html

Ca ressemble beaucoup à un mandat général, ce qui est sensé être interdit par le 4e amendement de la constitution US.

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...

Apparemment gros DDoS sur un important fournisseur de DNS aujourd'hui, ca rappelle ce que disait Schneier il y a quelques temps : http://gizmodo.com/this-is-probably-why-half-the-internet-shut-down-today-1788062835?rev=1477054209946 En ce moment je n'arrive pas à accéder à twitter, est-ce à cause de cela ?

C'est peut-être le moment d'anticiper si un jour on a un gros problème sur les DNS... c'est quoi l'IP du forum, d'ailleurs ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 15 minutes, Rob1 a dit :

Apparemment gros DDoS sur un important fournisseur de DNS aujourd'hui, ca rappelle ce que disait Schneier il y a quelques temps : http://gizmodo.com/this-is-probably-why-half-the-internet-shut-down-today-1788062835?rev=1477054209946 En ce moment je n'arrive pas à accéder à twitter, est-ce à cause de cela ?

C'est peut-être le moment d'anticiper si un jour on a un gros problème sur les DNS... c'est quoi l'IP du forum, d'ailleurs ?

tu ouvres une fentre cmd (dos) , click sur bouton "demarrer", puis tape cmd 

ping  "www.air-defense.net"

ne pas oublier les  double quotes  a cause du -

tu as l'ip associé au nom 

 

Modifié par zx
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Restaurer la mise en forme

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • Statistiques des membres

    5 967
    Total des membres
    1 749
    Maximum en ligne
    Stevendes
    Membre le plus récent
    Stevendes
    Inscription
  • Statistiques des forums

    21,5k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...