Le réseau IRC Freenode a indiqué avoir découvert une intrusion sur l’un de ses serveurs. Il invite les utilisateurs à changer leurs mots de passe.

,

Via HN :

Hacker Experience est un jeu en ligne (via interface web) dans lequel vous incarnez un hacker qui doit (à priori) accomplir différentes missions.
Par conséquent ça ne doit pas être très réaliste mais peut être amusant.

Have i been pwned? c’est le nouveau service en ligne qui fouille dans les bases de données volées et rendues publiques pour dire si l’un de vos compte a été piraté (en se basant sur l’adresse mail)

Via le blog de Cisco :

Un chercheur de chez Cisco s’est penché sur la campagne de malvertising Kyle & Stan où le gang derrière un malware exploite les réseaux d’ADS pour faire passer leurs exploits javascripts et infecter les internautes.
L’analyse du malware illustre bien les étapes d’exécution d’un malware chiffré (extrait de l’image depuis les ressources, réécriture du process, etc)

Via /r/ReverseEngineering :

On est rarement dans ce genre de situations saugrenus où l’on a à reverser un exécutable Windows 16bits… mais l’article peut toujours servir :)

Via Wired et Brian Krebs :

Pas de cassage de Tor par un 0day de la NSA… En fait il apparaît que le FBI a simplement trouvé une adresse IP qui fuitait sur la page de login de Silk Road utilisée pour le mécanisme de captcha.

C’est donc une simple erreur humaine de la part de l’administrateur qui a du hardcoder cette adresse puis l’oublier…
Quand le FBI a saisi cette adresse IP dans un navigateur ils se sont retrouvés face au même mécanisme de captcha et ce sans passer par Tor.

, ,

Netsparker a mis à disposition sur son blog une série de wordlists qui peuvent être utiles à la recherche de scripts et dossiers sur les serveurs web.
Pour ne pas faire les choses au hasard ils ont pris les noms de fichiers utilisés par du code présent sur Google Code, Github, etc. donc plus proche de la réalité.

A charger dans vos DirBuster / dirb et compagnie.

Note: par contre je ne m’explique pas la présence de points d’interrogations (parfois nombreux) dans certaines urls présentes…

Via /r/NetSec :

Le blog SecuritySucks a repris et synthétisé un ancien post de ESEC/Sogeti.

Ca n’en reste pas moins intéressant : ça explique comment on peut écrire dans un fichier via la méthode mail() de PHP pour par exemple créer un fichier PHP avec une backdoor.
Peu de raisons de passer par là, à moins que toutes les fonctions utiles aient été mises en disabled…

Via F-Secure :

Une “innovation” Microsoft… et si on oubliait tous les principes de sécurité ?

, ,

Vu sur StackOverflow :

Voilà qui pourrait intéresser ceux qui souhaitent obfusquer leur code source C :)

Voir aussi la section sur la page Wikipedia