Recommended Posts

un gusse (inconscient ou anarchiste) à développé et publié sur internet, un outil d'attaque automatisé, autosploit.

Il permet à tous les script kiddies de rechercher toutes les machines  vulnérables à une faille donnée dans le monde, et de les attaquer en masse.
Sans connaissance particulière en hacking.
Merci ... 

https://motherboard.vice.com/amp/en_us/article/xw4emj/autosploit-automated-hacking-tool?__twitter_impression=true

  • J'aime (+1) 1
  • Confus 1

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 31/01/2018 à 02:58, rogue0 a dit :

Juste après ces révélations, il y a eu une vague d'attaques de déni de service (DDoS) contre les banques et le fisc hollandais.
https://www.politico.eu/article/dutch-tax-authority-banks-under-cyberattack/
L'attribution est difficile : n'importe qui peut le faire : ce type d'attaque est simple, et est même vendu clé en main.
Le timing est quand même suggestif comme représailles russes
(cf l'expérience des pays baltes, qui s'attendent à des cyber-attaques à chaque "offense" à l'histoire russe)

 

:blink:

  • J'aime (+1) 1
  • Merci (+1) 1
  • Confus 1

Partager ce message


Lien à poster
Partager sur d’autres sites

La LPM contiendrait aussi des propositions concrètes sur la cybersécurité (à confirmer, c'est le seul article qui en parle jusqu'à présent).

http://www.lemonde.fr/pixels/article/2018/02/08/cybersecurite-le-gouvernement-veut-mettre-les-telecoms-a-contribution-pour-detecter-les-attaques_5253808_4408996.html

Comme discuté plus haut, il s'agirait de mettre a contribution les opérateurs télécoms pour la cyberdéfense (puisque l'ANSSI n'a de mandat que pour surveiller l'IT gouvernementale et les infrastructures vitales).

En prévention d'attaque, il s'agirait de rechercher sur leurs réseaux, des signatures d'attaque en cours (DDoS, Mirai, ou plus sophistiqué), puis de prendre des mesures palliatives ( notifier les utilisateurs, ou bloquer les attaques).

C'est théoriquement une entorse à la neutralité des opérateurs (de tout laisser passer sans surveillance), mais on est à l'ère où des webcam connectées peuvent être piratées pour balancer des attaques de déni de service à 1 Tb/seconde ... il faut bien faire quelque chose.

 

  • Upvote (+1) 1

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 06/02/2018 à 14:53, Rob1 a dit :

 

 

Merci pour la recherche.

En parlant des hollandais, un gars intéressant (Max Smeets) vient de publier un billet dans le Wapo, analysant la révélation des capacité cyber sous plusieurs points de vue:

  • "Bonne" relation publique pour le gouvernement
  • Communication des SR envers les adversaires ... et les alliés.
    En faisant la parallèle avec Casimir et la conférence d'un certain officiel français (Mr Bernard Barbier)

https://www.washingtonpost.com/news/monkey-cage/wp/2018/02/08/the-netherlands-just-revealed-its-cyber-capacity-so-what-does-that-mean/?utm_term=.d00db8b6b843

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 26/01/2018 à 14:42, Rob1 a dit :

- les Néerlandais pensent que Cozy Bear est un groupe du SVR (jusqu'ici il me semble qu'on soupçonnait plutôt le FSB)

(...)

- Le FSB passe pour le service "favori" du pouvoir russe devant le SVR et le GRU... mais où sont donc ses pirates ?

A propos des relations entre les SR russes et leur groupes de hacker  / APT favori, l'Estonie vient de publier son rapport annuel sur la sécurité du pays...
Consacré à 95% par la Russie (compréhensible vu leur situation géographique et les tensions récurrente) : la menace militaire, les guerres de propagande, et les pirates.

On trouve en page 56 du rapport un beau schéma sur leur théorie sur le rattachement des groupes de hacker.
Le FSB utiliserait le groupe Turla/ Snake/Uroboros pour leurs opérations offensives "déniables", et les centres  (16ème et 18ème) pour les opérations officielles de SIGINT et cyber.

Révélation

DVgUAn7X4AAne93.jpg

 

 

 


Rapport complet en anglais ici.
https://www.valisluureamet.ee/pdf/raport-2018-ENG-web.pdf


Extra bonus.
A propos de Fancy Bear : vu le ramdam sur leur expertise à influer sur les élections, il ne pas oublier qu'ils font aussi de l'espionnage industriel.

En épluchant une liste de cibles de phishing sur la période 2015-2016, ces journalistes de AP ont remarqué un effort marqué pour viser les spécialistes de drones armés, et de l'aérospatial (comme SpaceX et le X-37). (via phishing, piratage de boite mail, etc)

Et tout comme pour les interférences électorales, le FBI n'a prévenu quasiment aucune de ces cibles (militaires, sensibles) qu'ils étaient visés par des hackers...

https://apnews.com/cc616fa229da4d59b230d88cd52dda51


Modifié par rogue0
  • J'aime (+1) 1

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 2/8/2018 à 14:38, rogue0 a dit :

La LPM contiendrait aussi des propositions concrètes sur la cybersécurité (à confirmer, c'est le seul article qui en parle jusqu'à présent).

http://www.lemonde.fr/pixels/article/2018/02/08/cybersecurite-le-gouvernement-veut-mettre-les-telecoms-a-contribution-pour-detecter-les-attaques_5253808_4408996.html

Comme discuté plus haut, il s'agirait de mettre a contribution les opérateurs télécoms pour la cyberdéfense (puisque l'ANSSI n'a de mandat que pour surveiller l'IT gouvernementale et les infrastructures vitales).

En prévention d'attaque, il s'agirait de rechercher sur leurs réseaux, des signatures d'attaque en cours (DDoS, Mirai, ou plus sophistiqué), puis de prendre des mesures palliatives ( notifier les utilisateurs, ou bloquer les attaques).

C'est théoriquement une entorse à la neutralité des opérateurs (de tout laisser passer sans surveillance), mais on est à l'ère où des webcam connectées peuvent être piratées pour balancer des attaques de déni de service à 1 Tb/seconde ... il faut bien faire quelque chose.

 

Je réponds à tes questions du fil LPM:

Citation

Après, du point de vue d'un profane, ça me semble être l'extension logique de la loi de renseignement et des fameuses "boîtes noires" DPI, à brancher sur les opérateurs.
(bien plus intrusives pour la vie privée, vu que les DGSI et DGSE ont pour mandat le renseignement et la collecte).
Dont toutes les modalités d'application sont aussi fixé par décret/ordonnance.

Le chapeautage par l'ANSSI / ARCEP ne te rassure pas du tout ?
Ce ne sont pas des agences de collecte de renseignement, elles (contrairement à la NSA/Cybercom, qui sont légèrement Judge Dredd en la matière...)

La différence fondamentale est que les boites noires sont encadrées par la commission nationale de controle des techniques de renseignement, dont la composition et les pouvoirs sont prévus par la loi, et qui a de vrais pouvoirs de contrainte et un expertise à la fois juridique et technique. Et les boites noires ne concernent que les métadonnées si je me souviens bien.

Là on parle de "marqueurs techniques", qui peuvent tout à fait faire partie du contenu (un lien, une pièce jointe par exemple) si on a une interprétation large. Bien que l'ANSSI ne soit pas officiellement un service de renseignement, rien ne l'empêche de communiquer les conclusion de ses enquêtes aux services de renseignement (et je suis quasiment sur qu'elle le fait pour maintenir la direction technique de la DGSE et le commandement cyberdéfense au courant des menaces qu'elle voit), voire aux autorités judiciaires. Et la collecte des marqueurs sera encadrée on ne sait pas comment par l'ARCEP, vu que le gouvernement fixera les modalités du contrôle par ordonnance. Les parlementaire ne pourront même pas poser d'amendements.

L'article du monde est assez équilibré, dans la mesure où le journaliste n'était pas au courant du passage par ordonnances (le gouvernement a du lui cacher parce que politiquement ça la fout un peut mal)

Partager ce message


Lien à poster
Partager sur d’autres sites

Il y a un nouveau directeur pour la NSA.

Ils n'ont pas cherché bien loin, il était déjà chef de CyberCOM.
Lt Général Paul M Nakasone.

Voilà la Biographie officielle:

https://www.army.mil/article/199703/biography_lt_gen_paul_m_nakasone_commanding_general_us_army_cyber_command

Il succède à Mike Rodgers, qui a subit des crises terribles pendant son mandat (la bombe Snowden, Shadow Brokers, piratage russes sur les élections, etc).

 

  • Upvote (+1) 1

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 13 heures, rogue0 a dit :

Ils n'ont pas cherché bien loin, il était déjà chef de CyberCOM.

Attention,

maitre-capello.jpg

il était chef de l'Army Cyber Command, la contribution de l'US Army à l'US Cyber Command.

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 10/02/2018 à 01:51, rogue0 a dit :

On trouve en page 56 du rapport un beau schéma sur leur théorie sur le rattachement des groupes de hacker.
Le FSB utiliserait le groupe Turla/ Snake/Uroboros pour leurs opérations offensives "déniables", et les centres  (16ème et 18ème) pour les opérations officielles de SIGINT et cyber.

Et APT29 Cozy Bear travaille donc pour, réponse A : le FSB ; réponse B : le SVR ; réponse C : le FSB et le SVR ; réponse D : la réponse D.

Par ailleurs :

Citation

the  GRU likely possesses the finest technological and operational capabilities  among Russia’s special services

j'ai cru comprendre que le GRU avait été le principal héritier des moyens SIGINT de la FAPSI, mais curieusement les fuites qui parlaient du premier satellite d'écoute géostationnaire russe "Olimp" il y a quelques années disaient qu'il était exploité par le FSB.

Modifié par Rob1

Partager ce message


Lien à poster
Partager sur d’autres sites

Un peu de news cyber française.

Publication par la SGDN de la revue stratégique de cyberdéfense.
Pas trop le temps de poster ( et c'est un gros bébé de 167 pages+), mais ça a l'air intéressant ... si on met les moyens derrière.

Voilà le document.
Les actions recommandées sont résumées à partir de la page 137.
(j'ai raté le RIE, réseau interministériel d'état qui semble comprendre un accès internet durci et contrôlé)

http://www.sgdsn.gouv.fr/evenement/revue-strategique-de-cyberdefense/

Et une première analyse par un chercheur infosec franco polonais (mais qui écrit en anglais, vu l'audience cyber...)

http://blog.lukaszolejnik.com/highlights-of-french-cybersecurity-strategy/

https://mobile.twitter.com/lukOlejnik

Note: spécial pour @hadriel : la coopération ANSSI et opérateurs télécoms est plus détaillée à partir de l'annexe 9, page 166.

  • J'aime (+1) 1

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 14/02/2018 à 13:48, Rob1 a dit :

Attention,

maitre-capello.jpg

il était chef de l'Army Cyber Command, la contribution de l'US Army à l'US Cyber Command.

Ach so, ça m'apprendra à lire en diagonale.
Du coup, voilà une autre bio plus complète avec son parcours public:

https://www.cyberscoop.com/new-nsa-director-cyber-command-paul-nakasone-trump-rob-joyce/

PS: maitre Capello a eu une rénovation, cf plus bas :biggrin:

Ted Mosby

screen-shot-2017-07-12-at-9-17-27-pm.png

 

Le 14/02/2018 à 22:11, Rob1 a dit :

Et APT29 Cozy Bear travaille donc pour, réponse A : le FSB ; réponse B : le SVR ; réponse C : le FSB et le SVR ; réponse D : la réponse D.

Par ailleurs :

j'ai cru comprendre que le GRU avait été le principal héritier des moyens SIGINT de la FAPSI, mais curieusement les fuites qui parlaient du premier satellite d'écoute géostationnaire russe "Olimp" il y a quelques années disaient qu'il était exploité par le FSB.

Attention, tu es à deux doigts de penser : "c'était mieux avant, au moins avec le KGB, c'était plus simple à retenir " :tongue:

Modifié par rogue0
  • Haha (+1) 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Autres news cyber:

  • Upvote (+1) 1

Partager ce message


Lien à poster
Partager sur d’autres sites

DJIHAD BUTLÉRIEN !!! 

Tu ne fera point de machines à l'esprit de l'Homme semblable.

On arrive a un point ou notre civilisation est bien trop vulnérable devant l'action de quelques groupuscules... 

  • Haha (+1) 2
  • Upvote (+1) 1

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 26/01/2018 à 14:42, Rob1 a dit :

- Le FSB passe pour le service "favori" du pouvoir russe devant le SVR et le GRU... mais où sont donc ses pirates ?

A ce sujet, Thomas Rid a trouvé un scoop.

En faisant de l'archéologie sur la légendaire attaque Moonlight Maze/Makers Mark/Storm Cloud (années 96+ : des gigaoctets du Pentagone exfiltrés à l'ère des modem 56K... ), il a trouvé des logs complets de l'attaque sur un vieux serveur honeypot.
(grâce à des documents FOIA mal anonymisés par le FBI...)

Et bonus, il a trouvé de fortes similarité avec les outils d'attaque de Turla (un APT de haute volée, avec des techniques de masquage avancées).
Si c'est confirmé, alors ce serait un groupe de pirate avec une ancienneté comparable à l'Equation Group de la NSA...
Et grâce aux 6 mois de logs, on peut voir l'évolution des outils et techniques d'attaque.

résumé grand public
https://motherboard.vice.com/en_us/article/vvk83b/moonlight-maze-turla-link

conférence détaillée (ironiquement organisée par Kaspersky):
https://securelist.com/penquins-moonlit-maze/77883/

papier complet (35 pages)
https://kas.pr/4P8E

EDIT appendices techniques sur les 30+ outils capturés par le honeypot
https://kas.pr/z52c

 

Modifié par rogue0
ajout des appendices techniques
  • J'aime (+1) 1
  • Upvote (+1) 3

Partager ce message


Lien à poster
Partager sur d’autres sites

brèves cyber en série :

Le 14/02/2018 à 13:48, Rob1 a dit :

Attention,

il était chef de l'Army Cyber Command, la contribution de l'US Army à l'US Cyber Command.

Audition parlementaire pour confirmer le nouveau chef de la NSA, Paul Nakasone 

https://www.cyberscoop.com/nakasone-nomination-hearing-they-dont-fear-us/

En résumé, il confirme l'état des lieux de son prédecesseur, cad que les adversaires des USA continuent leurs attaques ou ingérence, sans peur des représailles : normal, puisqu'elles sont souvent inexistantes (ou inaudibles vu les signaux contradictoires de PotUS vs le reste du gouvernement US : DDoS sur une institution de hacker nord coréen par exemple).

Il semble préparer le terrain à un portefeuille d'actions de représailles, surtout cyber, et de renforcer la défense.
Une posture totalement  défensive est perdante.

  • Upvote (+1) 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour éviter des fiasco comme au Donbass (où des troufions russes ont posté des selfie en territoire séparatistes, quand les chefs niaient farouchement toute intervention),

Les autorités militaires ont choisi les méthodes traditionnelles de COMSEC... mais toujours efficaces.
https://medium.com/dfrlab/putinatwar-burner-phones-are-back-in-10c4dc368d7c

En déploiement, seule une petite liste de téléphone est autorisée...
Et aucun d'eux n'est un smartphone, ou n'a de caméra frontale.
Les chefs précisent bien que ces téléphones peuvent envoyer des SMS ... (en mode T9 à la mode des vieux nokia).

En cas de violation des consignes, les smartphones saisis sont littéralement crucifiés .
Et leur propriétaire ? ... no comment :dry:

  • Haha (+1) 1

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 17/02/2018 à 01:20, rogue0 a dit :

 

Suite de l'affaire.

Le Pentagone avait déjà annoncé que l'attaque informatique sur les JO était un false flag (russe) cherchant à blâmer les Nord Coréens, mais ça méritait confirmation.

Une confirmation indépendante vient de tomber lors de la conférence de sécurité de haut vol #SAS2018.
Ironiquement, ça vient des chercheurs de Kaspersky (société russe avec des liens au FSB)...

En gros, les créateurs du malware Olympic Destroyer ont bien recopié des modules du groupe Lazarus (nord coréen)...
Sauf que la procédure de mise en oeuvre étaient différente (exemple: au lieu de mot de passe de cryptage complexe de 30 caractères, mot de passe "123" ).

Rendus méfiants, ils ont remarqué que l'en-tête de compilation (supposément créé par le vénérable Visual Studio 6 1997 prisé par les nord coréens sans le sous) était un faux.
Vu sa signature, il a sans doute été créé sous Visual Studio 2010, puis édité ensuite pour ressembler (superficiellement) aux malware nord coréens.

Et si on élimine les Nord Coréens, il ne reste plus grand monde comme suspect.
Affaire classée.
(et un signe de plus que Kaspersky n'est pas tout pourri)

version grand public:

https://www.axios.com/olympic-destroyer-8fdef84a-16ea-4b31-a409-35bb75bad4b0.html?source=sidebar

version détaillée:

https://securelist.com/the-devils-in-the-rich-header/84348/

  • J'aime (+1) 1

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 08/03/2018 à 00:44, rogue0 a dit :

Les chefs précisent bien que ces téléphones peuvent envoyer des SMS ... (en mode T9 à la mode des vieux nokia).

Ce modèle là est conseillé 

680px-%D0%9C-633%D0%A1_%D0%BC%D0%BE%D0%B

En vidéo c'est mieux. En Russe sinon ce n'est pas drôle.

M-633C - développement du modèle commercial du téléphone GSM SMP-ATLAS / 2

Source de la vidéo l'article suivant: https://iz.ru/711715/aleksandr-kruglov-aleksei-ramm-nikolai-surkov/minoborony-vooruzhilos-sekretnymi-mobilnikami

Ce téléphone est équipé d'un écran couleur et d'un lecteur MP3 pour une valeur de 115 mille roubles.  Il crypte et décrypte  la voix mais pas les SMS. Ce qui est ballot à mon avis.  4 plages de fonctionnement de 850, 900, 1800, 1900 MHz. Poids 130 gr. Plus de détail ici: 

http://stcnet.ru/products_iid_17.htm

Je ne connaissais pas cette société FGUP "NTC" Atlas. Site : http://stcnet.ru/

Partager ce message


Lien à poster
Partager sur d’autres sites

Papier assez  pointu trouvé sur Springer : Torres, Douglas. "Cyber security and cyber defense for Venezuela: an approach from the Soft Systems Methodology." Complex & Intelligent Systems (2018).

Résumé (en anglais) :

Révélation

The use of the Internet by large sectors of society represents the interaction through information technology infrastructure, communication networks, information systems and telecommunications, as it determines the presence and exposure of cyber threats. The Soft Systems Methodology (SSM) was used to transit between observed reality and the world of systems, where emerges a Strategic Cyber Security and Cyber Defense Model (SCSCDM), proposed as a component of the security, defense and integral development of Venezuela. The human activities system foresees five subsystems: universal and inalienable guarantees of fundamental rights and freedoms of citizens; research, prevention, detection and management of cyber incidents; strengthening of economic welfare and social progress based on the development of information technology and communication; democratic, participatory, protagonist and pluralistic society; international cooperation and projection of cyber realm. The proposed system of human activities provides interaction with the environment where it is inserted, so the elements with which it interacts are identified.

Texte complet : http://rdcu.be/IOhw

Modifié par Baba1

Partager ce message


Lien à poster
Partager sur d’autres sites

A prendre avec des pincettes, en attendant d'autres sources (pas trouvé l'analyse détaillée sur le site de Crowdstrike)

https://www.axios.com/china-broke-hacking-pact-before-new-tariff-tiff-d19f5604-f9ce-458a-a50a-2f906c8f12ab.html

Selon le fondateur de Crowdstrike, le nombre de cyber attaques chinoises sur les entreprises privées US (hors défense donc) aurait fortement augmenté en 2018 .
Ce type d'attaque avait été proscrite par un accord avec Obama et avait beaucoup baissé entre 2016 et 2017 (autorisant juste l'espionnage classique sur la défense et le gouvernement)
 

Le 23/03/2018 à 00:10, collectionneur a dit :

Déclenché une guerre économique et changé de conseiller à la sécurité nationale le jour même, est ce une bonne stratégie ? 

http://www.lepoint.fr/monde/le-journal-de-trump/trump-remplace-son-conseiller-a-la-securite-nationale-23-03-2018-2204855_3241.php

John Bolton, ex ambassadeur à l'ONU remplace le général MacMaster.

A priori, toujours avec des pincettes, ces attaques n'auraient pas été directement déclenchées aux sanctions de Trump.

Elles auraient démarré avant l'annonce fracassante de guerre commerciale de Trump à la Chine (précisément sur la protection intellectuelle des entreprises US).

Modifié par rogue0
  • Upvote (+1) 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant


  • Statistiques des membres

    5191
    Total des membres
    1132
    Maximum en ligne
    Philipides
    Membre le plus récent
    Philipides
    Inscription
  • Statistiques des forums

    20268
    Total des sujets
    1131847
    Total des messages
  • Statistiques des blogs

    3
    Total des blogs
    2
    Total des billets