learn.hack.repeat

Guerre froide

de

On 31/01/2020

dans Sécurité

Il semble que l’ancienne guerre froide soit passée des bureaux et des grands panneaux de contrôle des armes nucléaires aux systèmes informatiques et aux réseaux de contrôle industriels – et de là aux téléphones portables. En 2009, Stuxnet a officiellement lancé le concept de cyberespace à des fins politiques et géostratégiques. Avec l’attentat contre Jeff Bezos, il semble qu’une étape soit en train de se consolider où, là où il faut, c’est dans les téléphones portables des puissants. Pour cela, il suffit d’une vulnérabilité qui permet l’exécution de code dans une application qui est très susceptible d’être utilisée avec des personnes de confiance… WhatsApp.

L’attaque de mobiles à cibles stratégiques était déjà connue en 2016 avec Pegasus. L’attaque des Bezos a ramené à l’actualité l’importance du mobile comme vecteur d’attaque. Pour les profils les plus puissants, des bogues logiciels tels que WhatsApp, qui était connu pour avoir jusqu’à 7 vulnérabilités critiques en 2019, sont recherchés. C’est un chiffre anormalement élevé par rapport aux années précédentes, ce qui peut indiquer l’intérêt pour cette plateforme.

Pour le reste des utilisateurs, le moyen d’attaque le plus courant est le logiciel publicitaire, qui est installé par les victimes elles-mêmes grâce à l’ingénierie sociale.

Plus d’information:
https://threatpost.com/bezos-whatsapp-cyberattacks-mobile-sophisticated/152357/

Bye bye Whatsapp?

de

On 29/01/2020

dans Sécurité

Les Nations unies interdisent l’utilisation de WhatsApp parmi leurs fonctionnaires. Après plusieurs problèmes de sécurité graves au cours de l’été, et le scandale Jeff Bezos (ainsi que des journalistes du Washington Post), la décision est qu’il ne s’agit pas d’un mécanisme de communication sécurisé, et donc qu’il ne doit pas être utilisé à des fins officielles dans cette organisation.

WhatsApp se défend avec le discours logique : c’est un système très sûr, qui supporte le cryptage point à point et qui, en ce qui concerne les vulnérabilités, les subit comme n’importe quel enfant d’un voisin mais est particulièrement diligent pour les corriger.

Mais dans ces cas, peu importe les efforts que vous consacrez à la sécurité si la motivation pour la rompre est suffisamment forte. En particulier, l’utilisation d’applications trop populaires dans des environnements particulièrement sensibles pour la confidentialité, est souvent un problème. Les alternatives (programmes moins populaires ou exclusifs) ne seront pas exemptes de défauts ou de vulnérabilités, mais au moins les attaquants auront une utilisation plus limitée de leurs découvertes et donc moins de motivation. En ce moment, une faille dans Whatsapp ouvre une fenêtre d’attaque à 1,5 milliard d’utilisateurs (y compris des acteurs très puissants qui manipulent des informations confidentielles), donc du point de vue des attaquants, cela vaut bien l’investissement en temps pour trouver les vulnérabilités.

Sources:
https://www.reuters.com/article/us-un-whatsapp/u-n-says-officials-barred-from-using-whatsapp-since-june-2019-over-security-idUSKBN1ZM32P

Ransomware, encore et toujours…

de

On 27/01/2020

dans Sécurité

Nous savons déjà que les rançons ne doivent pas être payées. Elle ne doit pas être livrée à l’extorsion. En juillet, la confédération des maires américains a recommandé cette solution lors de sa réunion annuelle. Il était composé de 1 400 maires de villes de plus de 30 000 habitants. Les organisations publiques se sont unies dans un discours commun dans lequel elles ont convenu de ne pas nourrir les agresseurs. S’ils sont payés, ils sont encouragés à continuer à attaquer. En 2019, il y a eu au moins 113 cas aux États-Unis.

Cette déclaration n’allait pas au-delà de la pure position « morale », car elle n’était pas contraignante. C’était un message aux agresseurs, un signe d’unité des victimes face à un ennemi commun. Mais ils sont allés plus loin. Il est maintenant possible qu’il soit illégal de payer des rançons avec l’argent public. Deux propositions de deux sénateurs (un démocrate et un républicain) demandent l’interdiction de dépenser l’argent public pour ces rançons. Le sénateur républicain propose également la création d’un fonds pour aider les organisations à améliorer leur cybersécurité.

Seulement s’ils parviennent effectivement à étrangler l’attaquant en enchaînant les attaques sans « succès » de leur part (sans en tirer profit), mais même dans ce cas, il est peu probable qu’ils cessent d’essayer d’attaquer et de détourner des fichiers. Du point de vue des attaquants, les attaques ne sont pas trop coûteuses pour eux. Ils ont une industrie grasse où le bris de sécurité est un coût abordable, même si la victime ne paie pas la rançon. Mais d’un autre côté, aussi convaincue que soit la victime de son refus de payer, les dommages causés à leurs systèmes resteront et ils seront en fait confrontés à des pertes se chiffrant en millions alors que l’agresseur n’aura perdu qu’un certain temps. Face à ce déséquilibre dans la balance des coûts et des bénéfices, il ne semble pas que les conseils locaux soient en position de force, ni que leur détermination avec le message envoyé aux attaquants puisse avoir beaucoup d’effet. Néanmoins, c’est une bonne chose (qui, sans l’application de mesures de sécurité plus nombreuses et plus efficaces, n’aura aucun sens) pour mettre un terme à cette industrie des logiciels contre rançon.

Plus d’information:
https://threatpost.com/bezos-whatsapp-cyberattacks-mobile-sophisticated/152357/

MDHex… Mais c’est quoi?

de

On 24/01/2020

dans Sécurité

Un certain nombre de vulnérabilités dans le logiciel de certains appareils de GE Healthcare qui surveillent les signes vitaux des patients dans les hôpitaux ont été appelées MDHex. Le fait de ne pas envoyer une télémétrie appropriée au personnel qui surveille le patient alors qu’il est sans surveillance pourrait faire passer une complication inaperçue et coûter la vie au patient. Et pourtant, les défaillances logicielles de ces systèmes critiques sont douloureusement ridicules et beaucoup sont liées à des clés intégrées, l’un des péchés les plus graves qui puissent être commis dans la programmation :

  • Clés SSH, SMB, VNC intégrées dans les systèmes
  • Version du logiciel web avec des vulnérabilités connues
  • Possibilité de télécharger des fichiers pour mettre à jour l’appareil.
  • Possibilité de contrôler à distance la souris et le clavier.

Un attaquant pourrait se trouver dans le même réseau hospitalier et profiter des défaillances combinées pour prendre le contrôle total du système. Comment est-ce possible dans un logiciel aussi critique ? Ce qui est curieux, c’est qu’historiquement, ce type d’erreurs insignifiantes d’une autre époque est plus fréquent dans des logiciels très spécifiques ou de niche que dans des programmes plus « populaires ». La société promet de régler ce problème au cours du deuxième trimestre. Était-ce une bonne idée de faire connaître ces problèmes dans des logiciels aussi critiques avant d’avoir un correctif ?

Plus d’information:
https://cybersecuritypulse.e-paths.com/index.html?lan=es#24012020

CVE-2020-0674

de

On 22/01/2020

dans CVE

CVE-2020-0674 est une vulnérabilité dans Internet Explorer découverte alors qu’il était utilisé par des attaquants pour exploiter du code. Les détails et les curiosités les plus importants de cette vulnérabilité sont :
Bien qu’Internet Explorer ne semble pas pertinent, il conserve une part de marché similaire à celle d’Edge, soit un peu plus de 1,5 %. Firefox en a un peu plus de 4 % et Chrome plus de 63 %. Certains médias prétendent qu’IE a une part de 7,44% et que cette vulnérabilité est plus pertinente de ce fait, mais ce n’est pas vrai, ce sont de vieilles données.
Il ne semble pas qu’ils vont sortir un patch hors cycle, nous devrons donc attendre le 11 février.
La solution proposée par Microsoft est de laisser la bibliothèque JavaScript inaccessible, ce qui fera beaucoup souffrir la fonctionnalité.
Bien que nous n’y croyions pas, Internet Explorer et cette bibliothèque particulière peuvent être utilisés pour des processus internes que nous ne connaissons pas. Rappelons-nous à quel point le navigateur est intégré dans le système. L’attaque peut se produire non seulement via un site web, mais aussi via un e-mail, un document Office ou un PDF associé à IE, car tous sont capables de traiter le JavaScript.
Il s’agit d’une exécution en code sans élévation des privilèges. Grâce à la configuration de sécurité renforcée, qui est facile à activer, l’attaque peut être grandement atténuée.

Plus d’information:
https://threatpost.com/bezos-whatsapp-cyberattacks-mobile-sophisticated/152357/

Page 28 of 28

Précédent

Fièrement propulsé par WordPress & Thème par Anders Norén