Via newsletter BBA :
Les nominations pour la 11ème édition des Big Brother Awards sont maintenant ouvertes !
Venez soumettre les noms de ceux qui ont selon vous fait le plus de mal à la vie privée en France.
Une vidéo est aussi visible sur la page d’accueil du site.
Le magazine The New Yorker qui a déjà publié quelques articles intéressants autour du hacking & co a lancé un nouveau service pour protéger l’anonymat de ses sources : Strongbox. Il s’agit d’un hidden-service Tor qui permettra à des anonymes d’envoyer des fichiers au journal et de converser avec eux.
Plusieurs utilisateurs du site de paiement en ligne Dwolla ont reçu un email leur indiquant que Dwolla a reçu une interdiction de la part du DHS (le département de la Défense US) d’effectuer certaines opérations avec Mt. Gox (la principale plateforme d’échange Bitcoins).
La raison en serait que Dwolla permet de transformer les Bitcoins dans les deux sens, notamment vers de l’argent bien réel et que cela permettrait à tous les criminels en herbe (ou pas) de laver de l’argent sale (conversion de l’argent réel en Bitcoin puis du Bitcoin en argent réel)
Toujours via CodeProject :
Sur le blog Code Arcana, un article en anglais sur l’exploitation des chaines de format C permettra de vous initier à ce type de vulnérabilité.
Via newsletter CodeProject :
Le site poweradmin.com a dressé une liste d’outils dédiés à l’administration système Windows.
Des outils souvent standards mais dont on ignore parfois l’existence comme le moniteur de ressources.
Vu chez Symantec :
Des escrocs “branchés” s’attaquent aux entreprises européennes et plus particulièrement françaises dans le but de voler des informations bancaires et des certificats de sécurité.
Le mode opératoire est plutôt avancé : ils se renseignent sur leur victime, prennent contact avec un employé gérant les finances de la boîte et l’avertissent de l’arrivé future d’un email.
Cet email contient un lien vers un cheval de troie W32.Shadesrat (aka Blackshades). Une fois installé sur la machine de l’employé, les arnaqueurs n’ont plus qu’à se servir.
L’utilisation d’un contact téléphonique dans ce genre d’attaque donne un aspect crédible au mail reçu mais la technique reste heureusement peu courante.
La société PayPal voit d’un mauvais oeil que Wikileaks puisse recevoir des fonds par son site, pourtant comme le révèle Brian Krebs, de nombreux services dits “booters” qui monnayent des services de DDoS se font payer via PayPal en toute impunité.
Dans son article, Krebs se penche en particulier sur le cas de asylumstresser.com, un site qui propose toute une panoplie d’attaques DDoS et se présente ouvertement comme un service qui permet de se débarrasser d’un site concurrent.
Pourtant quand son PDG est interrogé ce dernier assure qu’il ne s’agit que de services de “stress test”. Bref on rigole.
Le site se cache comme des services similaires derrière CloudFlare mais il semble qu’il soit hébergé par un hoster buller-proof roumain nommé Voxility.
Qui plus est, déception pour les clients de ces services : une analyse a montré que quelque soit le type de DDoS demandé, les seules attaques lancées étaient soit du UDP flooding soit des attaques par amplification DNS…
Via TorrentFreak :
Il semble bien que le célèbre site d’échange et tracker BitTorrent soit de retour en ligne à l’adresse D2.vu.
Bonne nouvelle : la base de données est intacte, les logins fonctionnent toujours.
Je peux éventuellement envoyer des invitations (nombre limité) à ceux qui le désirent. Mettez juste votre adresse mail en commentaire.
Via le NY Times, CNN Money et PCINpact :
Les piratages de société bancaires et en particulier de traitement/fabrication de cartes prépayées se sont multipliées ces dernières années et la somme maximale volée par ces cyber-braqueurs était jusque à présent de 9 millions de dollars en une journée avec le piratage de RBS Worldpay.
Dans cette nouvelle attaque qui a commencé au mois de décembre 2012, les criminels ont d’abord réalisé un coup d’essai à hauteur… de 5 millions de dollars.
Ils ont pour cela pénétré le système informatique d’une société indienne qui a un contrat avec Visa et MasterCard pour la fabrication de cartes prépayées (en Inde, les ordinateurs c’est comme des moulins).
Ils se sont ensuite débrouillés pour augmenter la limite de retrait autorisé sur ces cartes pré-payées.
Il ne restait plus qu’à produire les cartes avec les numéros de compte liés et organiser des retraits sur un intervalle de temps très court à travers le monde (ici 4500 retraits à des DABs) comme ça a déjà était fait par le passé.
L’argent était finalement blanchit via l’achat d’objets de luxe (voitures, montres etc)
Au mois de février, l’équipe reprend du service en piratant cette fois une société aux USA.
Au final 40 millions de dollars volés sur un intervalle de 10 heures soit 36000 transactions.
Rien qu’à New York, les “cashers” (l’équipe chargée des retraits) à pu retirer 2.4 millions de dollars en 2904 fois.
Les ramifications de ce gang semblent être assez obscures et la personne suspectée de mener l’équipe de retrait de NY a été retrouvée morte en République Dominicaine…
Des arrestations ont déjà eu lieu en rapport avec cette affaire mais les détails n’ont pas été révélés puisque l’enquête est toujours en cours.
On entend souvent par ci par là des critiques du système d’exploitation Windows et pourquoi ce dernier prend du retard face à son concurrent libre Linux.
Mais c’est rare de voir cette opinion venir d’un développeur du noyau Windows.
Bien que posté en anonyme sur HN, le développeur a choisi de retirer lui-même son commentaire mais finalement ce dernier a déjà été repris ailleurs.
Les raisons du retard grandissant que prend Microsoft sont pour lui avant tout un problème social…
Les développeurs ne sont pas poussés à “hacker” le code source de l’OS et quand ils proposent des améliorations pour accélérer un programme existant ou lui ajouter des fonctionnalités… ces propositions sont refusées.
Cela expliquerait ainsi pourquoi il y a toujours une invite de commande pourrie dans Windows et qu’au lieu de l’améliorer Microsoft a décidé d’ajouter PowerShell…
Bref il semble que bosser chez Microsoft manque de fun et que les têtes de la boite aient déjà migré chez Google.