Aller au contenu
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991
 Share

Messages recommandés

Il y a 10 heures, rogue0 a dit :

Vulnérabilité matérielle des processeurs Intel (depuis 10 ans) : fuite mémoire kernel (via le mécanisme de prédiction des CPU Intel)
Les détails sont encore sous embargo, mais corriger la faille nécessiterait un redesign complet.

En attendant, un gros palliatif niveau système d'exploitation est nécessaire (avec un malus de performance jusqu'à 30% sur les applications de base de données, cloud ou hyperviseur).

résumés en français:

http://www.hardware.fr/news/15325/bug-securite-couteux-cote-serveur-intel.html
https://www.numerama.com/tech/318251-faille-critique-sur-les-processeurs-intel-quelles-seront-les-consequences.html

détails:

https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/

Finalement, les failles touchent également des processeurs ARM (en attente de voir les versions Android et iOS impactées), et certains processeurs AMD.

https://www.nextinpact.com/news/105903-kpti-correctifs-pourraient-impacter-lourdement-performances-processeurs-intel.htm

Google a décidé de briser l'embargo, et publie les premiers détails des failles (déclarées aux constructeurs il y a 6 mois)

https://googleprojectzero.blogspot.fr/2018/01/reading-privileged-memory-with-side.html

https://developer.arm.com/support/security-update

Lien vers le commentaire
Partager sur d’autres sites

Quote

Le géant américain des micro-processeurs Intel, qui a reconnu mercredi comme d'autres fabricants que certaines puces étaient vulnérables à des failles de sécurité, a de nouveau tenté d'atténuer les inquiétudes jeudi alors que son action baissait en Bourse.

Le groupe avait confirmé mercredi que ses micro-processeurs -la pièce qui fait tourner les serveurs informatiques, les ordinateurs ou les téléphones portables-, comme ceux d'autres entreprises comme AMD ou ARM, pouvaient potentiellement être piratés et permettre l'accès à des informations stockées sur l'appareil ou le serveur, comme les mots de passe ou des clés de cryptage.

Des failles confirmées par le CERT, l'agence américaine en charge de la cybersécurité, qui a également indiqué "ne pas avoir connaissance" de tentative de piratage utilisant ces failles, baptisées "Spectre" et "Meltdown" ("fusion") et découvertes par des experts en sécurité informatique de chez Google.

Intel, ARM et AMD, ainsi que d'autres entreprises technologiques comme Microsoft, Amazon ou Mozilla ont commencé à diffuser correctifs et mises à jour de sécurité pour limiter le problème.

Dans un nouveau communiqué diffusé jeudi, Intel affirme qu'il aura d'ici la fin de la semaine prochaine "diffusé des mises à jour pour plus de 90% de ses processeurs sortis ces cinq dernières années".

Malgré cela, le titre a encore perdu près de 2% jeudi après avoir déjà clôturé en repli de 3,40% la veille.

Les inquiétudes viennent du fait que l'écrasante majorité des appareils électroniques et informatiques fabriqués ces dernières années dans le monde est équipée de puces de ce type. De plus, selon certains experts, la faille touchant la puce elle même, seul son remplacement par une puce conçue différemment permettrait de se prémunir durablement, une perspective lourde de conséquences.

Ceci étant, expliquent-ils également, un piratage de ces processeurs exige un niveau technique très pointu, limitant selon eux les risques.



(©AFP / 04 janvier 2018 22h59)

 

Lien vers le commentaire
Partager sur d’autres sites

Retour sur l'attribution de NotPetya (le wiper qui a coûté des milliards à St Gobain, AP Maersk, et surtout l'Ukraine, etc).

Selon Ellen Nakashima (reporter spécialisée dans les SR américains), la CIA conclut que c'est le GRU qui aurait commandité ce malware pour plomber l'économie Ukrainienne (avec une forte confiance : source un rapport de la CIA de novembre 2017, fuité) : spécifiquement, ce serait la division IT du GRU qui serait responsable (je suppose via des hackers "contractors" issus des mafia de pays de l'est).

https://www.washingtonpost.com/world/national-security/russian-military-was-behind-notpetya-cyberattack-in-ukraine-cia-concludes/2018/01/12/048d8506-f7ca-11e7-b34a-b85626af34ef_story.html?tid=ss_tw&utm_term=.f87f1cfd47b9

Citation

The hackers worked for the military spy service’s GTsST, or Main Center for Special Technology, the CIA reported. That unit is highly involved in the GRU’s cyberattack program, including the enabling of influence operations.

L'attribution à la russie n'est pas une surprise (normal vu l'avalanche de piratages et opérations d'influence et de guerre larvée qui leur tombe dessus tous les mois).
Par contre, l'implication du service technique du GRU est une surprise.
Moi je l'aurais sous-traitée à des cybercriminels, pour garder e déni plausible.

Un commentaire sur l'organigramme du GRU par Mister Black Ops @Rob1 ? :tongue:

Rappel des épisodes précédents:

Révélation

 

 

Le 04/07/2017 à 00:49, rogue0 a dit :

Le centre cybersécurité pour l'OTAN tranche à son tour : il considère notPetya comme un malware vraisemblablement déclenché par un état, ou avec support étatique
(NATO Cooperative Cyber Defence Centre of Excellence).

Et il pose la question sur une réponse/riposte conjointe des états de l'OTAN

https://ccdcoe.org/notpetya-and-wannacry-call-joint-response-international-community.html

Le 06/07/2017 à 01:13, rogue0 a dit :

La fournée du jour:

  • En compilant tout le travail d'analyse déjà effectué (par ESET et d'autres), les spécialistes commencent à avoir une bonne idée de l'attribution de Petna/NotPetya (le groupe responsable).
    https://wvusoldier.wordpress.com/2017/07/04/notpetya-2-telebots-attribution/amp/
    En faisant l'historique de toutes les versions tests de NotPetya (depuis 2 ans), on voit de fortes similarité (codes, techniques), avec le groupe dénommé Sandworm / BlackEnergy (oui, celui qui a fait le malware qui coupe le réseau électrique : ils ont déjà fait des malware destructeurs déguisés en ransomware).
    En gros, soit c'est ce groupe, soit c'est une entité qui a accès à tous leurs travaux.
    Et sans surprise, ce groupe est soupçonné de travailler pour les russes...

 

 

Modifié par rogue0
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

A propos des soupçons sur Kaspersky servant à détecter et récupérer des documents classifiés, voici une démonstration de la faisabilité, en image et vidéo (pas trop technique).

Patrick Wardle, un chercheur en sécurité IT chez Digita Security, montre comment détourner la base de signature de l'antivirus pour détecter et exfiltrer des documents confidentiels (avec la balise TS/SCI Top Secret, Compartiment Information Sensible)

Ce n'est pas très difficile, si on connaît assez bien les antivirus pour modifier le fichier de signature (protégé et compressé, mais le fichier tampon n'est pas protégé).
La démonstration a été faite sur MacOS.
Mais la technique est applicable sur tout antivirus  (pas seulement russe), ce qui explique pourquoi la NSA ne les installe pas sur leur serveur sensible

https://www.nytimes.com/2018/01/01/technology/kaspersky-lab-antivirus.html?_r=0 (résumé grand public)

https://objective-see.com/blog/blog_0x22.html (démo technique pas très difficile).

(droit de réponse de Kaspersky, pas très convainquant)

https://usa.kaspersky.com/about/press-releases/2018_kaspersky-lab-response-to-the-new-york-times-misinterpretation-of-research-reported-on-january-1-2018

en vidéo:

Révélation


 

 

 

Suite à cette démonstration,

Le 13/11/2017 à 11:06, rogue0 a dit :
  • fuites Shadow Brokers
     
    • la chasse aux "traîtres" / fuites n'a toujours pas permis d'identifier la source Shadow Brokers 
      (les 3 fuiteurs connus n'ont pas de contact connu avec les SR Russes (sauf indirectement, celui qui s'est fait pomper son PC via Kaspersky) )
       
    • Le contenu des fuites couvre un périmètre très large (outils de hacking + doc + détails des ops passées + contenu de piratages passés) : soit il y a encore plusieurs "traîtres" non identifiés, soit il y a eu pénétration systématique (et non détectable) de plusieurs serveurs de la NSA.

il y a une nouvelle théorie radicale sur la source des Shadow Brokers:

(désolé, la source d'origine est du yahoo, mais ça a l'air pas mauvais cette fois)

https://finance.yahoo.com/news/experts-link-nsa-leaks-shadow-brokers-russia-kaspersky-144840962.html

Certains experts privés (donc libres de parler) pensent qu'il n'y a pas de source humaine (après 18 mois d'enquête sans résultat).
Ils pensent que toutes les fuites ont été faites via piratage d'antivirus (dont Kaspersky).

Cela nécessiterait juste 2 conditions:

  • que les employés de la TAO/NSA ramènent des documents classifiés à la maison (interdit, mais assez fréquent, cf les 2 condamnations déjà connues)
  • et que lesdits employés utilisaient chez eux des antivirus modifiables par les russes (cad dont les signatures sont soient "piratables" de l'extérieur, soit avec un employé déjà sous contrôle des SR russes).
    C'est probable, vu que l'antivirus Kaspersky avait une excellente réputation technique dans le monde IT.


Quelques commentaires par des commentateurs Infosec.
A confirmer, mais plausible

 

 

Lien vers le commentaire
Partager sur d’autres sites

Le 16/10/2017 à 20:36, hadriel a dit :

Après le protocole wifi, c'est au tour des cartes à puces d'avoir un défaut dans leur crypto:

https://arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids/

Moralité: la crypto sensible, ça se fait avec des masques jetables générés par des processus physiques aléatoires et distribués correctement. Le reste c'est des paris risqués.

Vu chez Schneier :

voici la solution temporaire adoptée pour éviter de bloquer l'administration estonienne en attendant le remplacement de carte (1 an minimum).

Passer à un autre algorithmes de génération de clé, à savoir les courbes elliptiques ECC (pourtant abandonnées en urgence par la NSA).
D'un autre côté, les puces ont une puissance limitée, et seuls les algorithmes supportés par la puce Infineon sont utilisables.

https://cyber.ee/en/news/cybernetica-case-study-solving-the-estonian-id-card-case/

Le 13/11/2017 à 01:26, collectionneur a dit :

Résumé de la profonde crise de confiance que connaît les employés de la NSA avec les fuites a répétitions et le vol de leurs techniques. L'agence tourne au ralenti et l'on passe au détecteur de mensonge le personnel :

https://mobile.nytimes.com/2017/11/12/us/nsa-shadow-brokers.html

Un autre article sur le même thème : malaise et départs en série du personnel (souvent les plus qualifiés).

https://www.washingtonpost.com/world/national-security/the-nsas-top-talent-is-leaving-because-of-low-pay-and-battered-morale/2018/01/02/ff19f0c6-ec04-11e7-9f92-10a2203f6c8d_story.html?utm_term=.bea47e8f081c

Causes multiples : réorganisation interne, chasse au traître, plein de programmes d'espionnage à l'arrêt suite aux fuites, et à reconstruire de zéro, énormes salaires proposés en cybersécurité par le secteur privé (200k$+) pour du junior.

L'article essaie de quantifier le phénomène:

  • 5.6% de turnover chez les administratifs depuis 2015
  • presque 9% de turnover global chez les divisions de hacker / ELINT
  • Et certains départements (je suppose les plus touchés par les fuites Shadow Brokers) auraient eu 50% de départ...

 

  • Upvote (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

Attention, post pour les fondus de cryptographie.
Ce n'est pas trop compliqué, mais il faut être motivé.

https://blog.cryptographyengineering.com/2017/12/19/the-strange-story-of-extended-random/

Résumé en français:

  1. Il y avait eu de très fortes suspicions que la NSA avait proposé des algorithmes de crypto avec des portes dérobées pour faciliter le décryptage : en particulier le Dual_EC_DBRG.
    (confirmé via les documents Snowden).
    Ledit algo compromis avait été incorporé dans la librairie BSAFE de RSA (utilisé presque partout).
     
  2. Après rétro-ingénierie de ladite librairie, on a trouvé une extension "custom" au protocole de communication internet TLS, appelée Extended Random.
    L'extension est anodine ... sauf quand elle est utilisée en conjonction avec l'algo compromis Dual_EC_DBRG.
    Utilisées ensembles, elle rendent la backdoor beaucoup plus efficace à utiliser.
     
  3. Dernier acte.
    Suite à la sortie de la nouvelle version de protocole TLS (1.3), certaines vieilles imprimantes Canon se sont mises à malfonctionner.
    La raison ? Elles utilisaient le protocole TLS avec l'extension non standard "Extended Random" de la NSA (d'il y a 15 ans)...
    Qui utilisait également le numéro de version 1.3 : d'où l'activation inopinée de l'extension backdoor NSA.
     

La morale de l'histoire?
Même en étant super compétent et plein de moyens, les backdoors sont impossibles à cacher.

  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Un article bien sourcé de TheIntercept détaillant les recherches de la NSA sur la voix :
la reconnaissance vocale, et surtout les empreintes vocales.

https://theintercept.com/2018/01/19/voice-recognition-technology-nsa/

(sources à la fin de l'article)

La technologie est assez mûre pour faire des recherches via l'empreinte d'une personne.
Ils sont aussi capables de détecter et de s'adapter aux appareils distordant la voix.

La technologie a de nombreuses applications:

  • mieux identifier les cibles de surveillance (même s'ils changent de téléphone)
  • faciliter la tâche des analystes en zoomant directement sur la bonne personne, ou la bonne conversation:
    Chercher toutes les conversations parlant de "bombe".
  • contre-espionnage : pouvoir identifier les fuites ou espions (*)
    Exemple donné de Pelton, qui avait été enregistré, mais sans empreinte vocale, n'avait pas été identifié.

La NSA n'a pas le droit de surveiller (massivement) les américains, mais considère l'empreinte vocale comme une métadonnée...
Et considère avoir le droit de la collecter.

Bien sûr, cette technologie voit son potentiel exploser vu le nombre d'appareils connectés à reconnaissance vocale (Siri, google now, les assistants vocaux, etc ...).
Si la NSA a l'autorisation de se connecter à ces bases de données privées.

La recherche vocale de Batman serait alors praticable

C'est là où les libertariens commencent à s'inquiéter sérieusement...
Bien sûr Snowden joue un peu du conspirationniste (mais ça reste encore dans les limites du raisonnable)
(puisque à priori, ce n'est pas une conspiration de la NSA qui a poussé à sortir les assistants vocaux)

 

 

Modifié par rogue0
  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Selon le  journal néerlandais de Volkskrant, l'AIVD, le service de renseignement extérieur des Pays-Bas, avait réussi à pirater en 2014 "Cozy Bear", un des groupes de pirates informatiques niveau étatique, et ce seraient eux qui auraient alertés les USA sur certaines réussites de Cozy Bear / APT29, notamment leur piratage des mails du parti démocrate.

https://www.volkskrant.nl/media/dutch-agencies-provide-crucial-intel-about-russia-s-interference-in-us-elections~a4561913/

Par ailleurs, pour prendre un peu de recul sur l'article :

- le groupe de hackers offensifs de l'AIVD compterait seulement 80 membres, mutualisés avec 300 autres du MIVD (le service de renseignement militaire) dans une Joint Sigint Cyber Unit (JSCU). Ca fait très "chat maigre, souple, félin et manœuvrier" par rapport aux NSA et autres GCHQ...

- les Néerlandais pensent que Cozy Bear est un groupe du SVR (jusqu'ici il me semble qu'on soupçonnait plutôt le FSB)

- Cozy Bear est seulement suspecté d'avoir piraté à fin de renseigment, c'est un autre groupe, Fancy Bear / APT28 (soupçonné d'être du GRU russe) à qui est attribué le piratage et le "fuitage" des mails pendant la campagne électorale

- Le FSB passe pour le service "favori" du pouvoir russe devant le SVR et le GRU... mais où sont donc ses pirates ?

Modifié par Rob1
  • Merci (+1) 1
  • Upvote (+1) 3
Lien vers le commentaire
Partager sur d’autres sites

Une application de jogging révèle l'emplacement de bases et avant-postes confidentiels US

Strava a publié la carte complète des parcours de jogging / vélo / fitness utilisé par ses utilisateurs ...
Qui comportent de nombreux soldats.
Du coup, les parcours de jogging révèlent l'emplacement et le plan de nombreuses bases/avant-postes occidentaux en Syrie, Afghanistan, Mali, Djibouti, etc.


https://www.theguardian.com/world/2018/jan/28/fitness-tracking-app-gives-away-location-of-secret-us-army-bases?CMP=share_btn_tw

Révélation

 


 

La carte mondiale complète
https://labs.strava.com/heatmap/#5.28/38.96278/33.95329/hot/all

Puisqu'on vous dit que le big data, c'est bon pour la santé...:rolleyes:

 

  • Haha (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

1 hour ago, rogue0 said:

Une application de jogging révèle l'emplacement de bases et avant-postes confidentiels US
Strava a publié la carte complète des parcours de jogging / vélo / fitness utilisé par ses utilisateurs.

C'est le principe de Strava ... tu uploads tes tracks vélo piéton etc. et Strava propose ensuite des heatmap anonymisé.

C'est tres utile le fonctionnement comme Waze. Plus il y a de gens qui passe quelques part, plus cette route peut etre qualifié de chemin ... et donc peut etre proposer pour un courrir ou rouler. Ca permet de tracer des carte statistiquement la ou il est impossible de tracer depuis les image aérienne par exemple en foret.

https://labs.strava.com/heatmap/#7.00/-120.90000/38.36000/hot/all

Évidement si c'est des bidasse qui se balade avec leur application lancé ... ça trace le cheminement des bidasse.

Accessoirement Strava ça existe depuis longtemps ...

  • Haha (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

Il y a 10 heures, g4lly a dit :

C'est le principe de Strava ... tu uploads tes tracks vélo piéton etc. et Strava propose ensuite des heatmap anonymisé.(...) 

Évidement si c'est des bidasse qui se balade avec leur application lancé ... ça trace le cheminement des bidasse.

Accessoirement Strava ça existe depuis longtemps ...

Oui, je ne m'explique pas que le bad buzz ait éclaté aussi tard. 

https://www.thedailybeast.com/strava-fitness-tracker-app-exposes-taiwans-missile-command-center

Après, il est clair que la firme sera piratée pour récupérer les données utilisateur avant anonymisation. Comme le dit l'article, l'appli stocke des données permettant d'identifier les utilisateurs (et de faire le lien avec les réseaux sociaux). 

Donc un gusse faisant son jogging près des skunk work (ou du PC des missiles Taïwanais) ,  verra la suite de sa carrière suivie avec beaucoup d'intérêt :dry:

Révélation

tumblr_inline_o0c9zpODmc1rhkl0p_500.gif

 

Lien vers le commentaire
Partager sur d’autres sites

3 hours ago, rogue0 said:

Donc un gusse faisant son jogging près des skunk work (ou du PC des missiles Taïwanais) ,  verra la suite de sa carrière suivie avec beaucoup d'intérêt :dry:.

En fait toutes les application "fitness/running" fonctionne pareil ... elle enregistre les infos de tes sessions et te permettent de les diffuser sur les réseaux sociaux, te proprose de comparer tes performances, de rencontrer des gens qui courent dans le coin etc etc.

C'est la même chose avec les application de navigation auto, Waze et autres qui utilisent ta localisation ta vitesse etc. pour faire l'infotraffic ...

Et tout un tas d'appli connecté avec géolocalisation intégré ... c'est a dire très beaucoup.

Lien vers le commentaire
Partager sur d’autres sites

Le 26/01/2018 à 14:42, Rob1 a dit :

Selon le  journal néerlandais de Volkskrant, l'AIVD, le service de renseignement extérieur des Pays-Bas, avait réussi à pirater en 2014 "Cozy Bear", un des groupes de pirates informatiques niveau étatique, et ce seraient eux qui auraient alertés les USA sur certaines réussites de Cozy Bear / APT29, notamment leur piratage des mails du parti démocrate.

https://www.volkskrant.nl/media/dutch-agencies-provide-crucial-intel-about-russia-s-interference-in-us-elections~a4561913/

Par ailleurs, pour prendre un peu de recul sur l'article :

Ce n'est pas confirmé, mais je soupçonne que ce coup d'éclat des SR néerlandais remonte à 2014... voire avant.

Cf le témoignage d'un haut responsable de la NSA, qui remerciait un allié anonyme de les avoir alerté en 2014 sur un piratage du Département d'Etat par APT29 (avec preuves en vidéo)

https://arstechnica.com/tech-policy/2017/04/russias-hack-of-state-department-was-hand-to-hand-combat/

Citation

The NSA learned of the 2014 State Department compromise from an unnamed US ally that had managed to hack the intruders as their incursion was in progress. The ally gained access to both the hackers' computers and the surveillance cameras inside their workspace, a feat that allowed US intelligence officials to monitor the intruders as they went about their work. The Post identified the hackers as belonging to APT 29 (which is also known as Cozy Bear) and The Dukes. That group also compromised unclassified systems at the White House and in Congress, current and former officials said.

Maintenant, c'est l'heure de payer les pots cassés:

  • Cette fuite a - à nouveau - grillé une source de renseignement, et exposé publiquement un allié à des représailles.
    On peut supposer que les hollandais sont furax .
    Je suppose que ce sont les SR US qui ont fuité l'information pour rappeler l'existence des piratages russes (régulièrement remis en cause par les alliés de Trump)
    Je crois qu'après ça, les hollandais vont faire comme les les israéliens (pour la fuite précédente) : restreindre les échanges d'information, et anonymiser les tuyaux.
     
  • Juste après ces révélations, il y a eu une vague d'attaques de déni de service (DDoS) contre les banques et le fisc hollandais.
    https://www.politico.eu/article/dutch-tax-authority-banks-under-cyberattack/
    L'attribution est difficile : n'importe qui peut le faire : ce type d'attaque est simple, et est même vendu clé en main.
    Le timing est quand même suggestif comme représailles russes
    (cf l'expérience des pays baltes, qui s'attendent à des cyber-attaques à chaque "offense" à l'histoire russe)
  • Y a plus qu'à attendre d'éventuelles représailles US
    (le Trump est notoirement rancunier... Et les attaques DDoS sont à la portée de ses supporter alt right aussi.).

 

Citation

(...)
- les Néerlandais pensent que Cozy Bear est un groupe du SVR (jusqu'ici il me semble qu'on soupçonnait plutôt le FSB)

ça semble assez  logique : les piratages offensifs collent mieux avec les SR extérieurs.

Citation

- Le FSB passe pour le service "favori" du pouvoir russe devant le SVR et le GRU... mais où sont donc ses pirates ?

Leur mission n'est pas la même : orienté sécurité intérieure non ?
Dans ce cas, ils ont dû reprendre des ressources de l'ancien FAPSI, pour gérer leurs systèmes d'écoute SORM  ( https://en.wikipedia.org/wiki/FAPSI )

Et s'il y a besoin de hacker offensifs, ils peuvent toujours faire appel aux criminels (et aux autres agences).

Modifié par rogue0
Lien vers le commentaire
Partager sur d’autres sites

Une des lois de surveillance des communications anglaises à été rétoqué par la justice.

Data Retention and Investigatory Powers Act 2014

Le reproche ?

  • Les données étaient trop faciles d'accès : Elles devaient être en théorie réservées aux crimes graves, mais en pratique, elles étaient accessibles à tous. 
  • pas assez de contrôle sur la procédure de mise sur écoute (pas besoin de validation hiérarchique pour déclencher une écoute).

https://amp.theguardian.com/uk-news/2018/jan/30/uk-mass-digital-surveillance-regime-ruled-unlawful-appeal-ruling-snoopers-charter?CMP=Share_iOSApp_Other&__twitter_impression=true

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

un gusse (inconscient ou anarchiste) à développé et publié sur internet, un outil d'attaque automatisé, autosploit.

Il permet à tous les script kiddies de rechercher toutes les machines  vulnérables à une faille donnée dans le monde, et de les attaquer en masse.
Sans connaissance particulière en hacking.
Merci ... 

https://motherboard.vice.com/amp/en_us/article/xw4emj/autosploit-automated-hacking-tool?__twitter_impression=true

  • J'aime (+1) 1
  • Confus 1
Lien vers le commentaire
Partager sur d’autres sites

Le 31/01/2018 à 02:58, rogue0 a dit :

Juste après ces révélations, il y a eu une vague d'attaques de déni de service (DDoS) contre les banques et le fisc hollandais.
https://www.politico.eu/article/dutch-tax-authority-banks-under-cyberattack/
L'attribution est difficile : n'importe qui peut le faire : ce type d'attaque est simple, et est même vendu clé en main.
Le timing est quand même suggestif comme représailles russes
(cf l'expérience des pays baltes, qui s'attendent à des cyber-attaques à chaque "offense" à l'histoire russe)

 

:blink:

  • J'aime (+1) 1
  • Merci (+1) 1
  • Confus 1
Lien vers le commentaire
Partager sur d’autres sites

La LPM contiendrait aussi des propositions concrètes sur la cybersécurité (à confirmer, c'est le seul article qui en parle jusqu'à présent).

http://www.lemonde.fr/pixels/article/2018/02/08/cybersecurite-le-gouvernement-veut-mettre-les-telecoms-a-contribution-pour-detecter-les-attaques_5253808_4408996.html

Comme discuté plus haut, il s'agirait de mettre a contribution les opérateurs télécoms pour la cyberdéfense (puisque l'ANSSI n'a de mandat que pour surveiller l'IT gouvernementale et les infrastructures vitales).

En prévention d'attaque, il s'agirait de rechercher sur leurs réseaux, des signatures d'attaque en cours (DDoS, Mirai, ou plus sophistiqué), puis de prendre des mesures palliatives ( notifier les utilisateurs, ou bloquer les attaques).

C'est théoriquement une entorse à la neutralité des opérateurs (de tout laisser passer sans surveillance), mais on est à l'ère où des webcam connectées peuvent être piratées pour balancer des attaques de déni de service à 1 Tb/seconde ... il faut bien faire quelque chose.

 

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 06/02/2018 à 14:53, Rob1 a dit :

 

 

Merci pour la recherche.

En parlant des hollandais, un gars intéressant (Max Smeets) vient de publier un billet dans le Wapo, analysant la révélation des capacité cyber sous plusieurs points de vue:

  • "Bonne" relation publique pour le gouvernement
  • Communication des SR envers les adversaires ... et les alliés.
    En faisant la parallèle avec Casimir et la conférence d'un certain officiel français (Mr Bernard Barbier)

https://www.washingtonpost.com/news/monkey-cage/wp/2018/02/08/the-netherlands-just-revealed-its-cyber-capacity-so-what-does-that-mean/?utm_term=.d00db8b6b843

Lien vers le commentaire
Partager sur d’autres sites

Le 26/01/2018 à 14:42, Rob1 a dit :

- les Néerlandais pensent que Cozy Bear est un groupe du SVR (jusqu'ici il me semble qu'on soupçonnait plutôt le FSB)

(...)

- Le FSB passe pour le service "favori" du pouvoir russe devant le SVR et le GRU... mais où sont donc ses pirates ?

A propos des relations entre les SR russes et leur groupes de hacker  / APT favori, l'Estonie vient de publier son rapport annuel sur la sécurité du pays...
Consacré à 95% par la Russie (compréhensible vu leur situation géographique et les tensions récurrente) : la menace militaire, les guerres de propagande, et les pirates.

On trouve en page 56 du rapport un beau schéma sur leur théorie sur le rattachement des groupes de hacker.
Le FSB utiliserait le groupe Turla/ Snake/Uroboros pour leurs opérations offensives "déniables", et les centres  (16ème et 18ème) pour les opérations officielles de SIGINT et cyber.

Révélation

DVgUAn7X4AAne93.jpg

 

 

 


Rapport complet en anglais ici.
https://www.valisluureamet.ee/pdf/raport-2018-ENG-web.pdf


Extra bonus.
A propos de Fancy Bear : vu le ramdam sur leur expertise à influer sur les élections, il ne pas oublier qu'ils font aussi de l'espionnage industriel.

En épluchant une liste de cibles de phishing sur la période 2015-2016, ces journalistes de AP ont remarqué un effort marqué pour viser les spécialistes de drones armés, et de l'aérospatial (comme SpaceX et le X-37). (via phishing, piratage de boite mail, etc)

Et tout comme pour les interférences électorales, le FBI n'a prévenu quasiment aucune de ces cibles (militaires, sensibles) qu'ils étaient visés par des hackers...

https://apnews.com/cc616fa229da4d59b230d88cd52dda51


Modifié par rogue0
  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Restaurer la mise en forme

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • Statistiques des membres

    5 967
    Total des membres
    1 749
    Maximum en ligne
    Stevendes
    Membre le plus récent
    Stevendes
    Inscription
  • Statistiques des forums

    21,5k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...