Archives du mot-clé FBI

Freedom Hosting : l’attaque de dé-anonymisation sur Tor est bien à l’initiative du FBI

Via Threat Level (WiredKevin Poulsen) :

Avant hier, le FBI a avoué qu’il avait pris possession en juillet dernier des serveurs de l’hébergeur de hidden-services Freedom Hosting, des jours avant que les pages des sites hébergés ne contiennent un exploit Firefox destiné à dé-anonymiser les visiteurs et utilisateur du Tor Bundle.

Marques, 28 ans, l’admin de Freedom Hosting est actuellement jugé en Irelande et se bat contre son extradition vers les USA.

Un autre point intéressant dans cette affaire est la révélation que les serveurs de Freedom Hosting étaient loués auprès d’un hébergeur français…

Maintenant extrapolons un peu sur cette information :
Le 22 juillet, l’hébergeur français OVH annonce avoir été victime d’une intrusion d’une technicité avancée. Dans son annonce, l’hébergeur indique que le ou les attaquants en avaient après la base de données des clients européens.

Le 29 juillet, OVH annonce de nouvelles restrictions quand à l’utilisation de nodes Tor sur son réseau.

Enfin le 5 août on apprend l’arrestation de Marques

Pas mal comme timing non ?

Les backdoors de la NSA

Via Mashable et PCInpact :

Ce n’est pas nouveau, la backdoor c’est la gourmandise du FBI et de la NSA :plus il y en a mieux c’est.

Hier, un article de Mashable rapportait comment le FBI s’est rapproché avec ses gros sabots de l’équipe de développement de BitLocker (la fonction de chiffrement de disque sous Windows) pour les pousser à placer une backdoor dans le code.
L’article n’indique pas si une backdoor a été effectivement placée dans le code mais cela semble fort probable…

Aujourd’hui PCINpact relate comment le NIST a gobé un algo de génération de nombres pseudo-aléatoires intentionnellement faillible proposé par la NSA : le Dual_EC_DRBG.

De quoi prendre du recul sur les recommandations en sécurité de ces deux organismes…

Freedom Host : Le SAIC à l’origine de l’injection de code javascript malicieux

Via CryptoCloud et Baneki Privacy Labs :

Le service de VPN CryptoCloud ainsi que des activistes de Baneki (forum ici) ont effectués quelques recherches autour de l’IP 65.222.202.53 qui est utilisée comme command and control par le malware dé-anonymisant Magneto chargé via l’exploitation d’une faille Firefox qui touche le Tor Browser Bundle (TBB).

Le code javascript qui exploite cette faille a été injecté dans les pages de Freedom Host comme indiqué dans la précédente news.

Le malware, du type CIPAV, est comme on pouvait s’en douter très simple à l’instar du document stealer décrit dans le dernier LOTFREE.

Quoiqu’il en soit, l’IP fait partie d’un bloc d’adresse qui est sous le contrôle du SAIC, un contracteur de la défense américaine qui est dans les beaux papiers du DoD, du Pentagone et de la NSA.
Le SAIC ne vous dit peut-être rien mais ce sont eux qui avaient à l’époque récupéré le contrat pour le projet Trailblazer qui vous parle peut-être plus.

Même si rien n’a encore été prouvé, on peut deviner que le SAIC a dû toucher le jackpot pour cracher un pauvre exploit pour un navigateur outdated et un exécutable Windows de quelques lignes de code…

Article de Ars Technica
Discussion sur HN.

Freedom Host pwné, l’un des admins arrêté

Via DailyDot :

Le site Freedom Host, l’un des hébergeurs les plus médiatisés du « Dark Net », semble avoir été compromis par la coopération du FBI et Verizon. Son administrateur, Eric Eoin Marques agé de 28 ans, a été arrêté ; il est considéré par le FBI comme le plus gros « facilitateur » de pédo-pornographie au monde.

Freedom Host permettait en effet d’héberger de nombreux sites pédophiles (Lolita City etc.) de manière « anonyme », les utilisateurs étant ainsi protégés. Cependant, grâce au FBI et à Verizon, ils sont arrivés à injecter du javascript qui chargeait une iframe pointant sur un des serveurs de Verizon.

L’exploit ciblait la version 17 de Firefox, version de Firefox utilisée dans le bundle Tor.

De plus, l’article est très intéressant car il revient sur les attaques réalisées par les Anonymous voulant mettre à mal les sites pédophiles comme Lolita City. Ce type d’attaque avait été orchestré par l’illustre Sabu (ex-leader de Lulzsec) plusieurs mois après le début de sa coopération avec le FBI, à se demander qui était réellement derrière ces attaques…

En bref, les utilisateurs de ces sites plus que douteux ont du soucis à se faire..

EDIT: Il semble que TorMail était hébergé sur cette même plateforme…

EDIT2: D’après le forum CryptoCloud, il semblerait qu’en cherchant un peu plus loin, l’IP fasse parti de la NSA et non pas du FBI, PRISM quand tu nous tiens..

PRISM : Quand la police réclame directement les mots de passe

Via CNet :

Des sources anonymes en relation avec de grandes sociétés d’Internet ont révélé que au delà des demandes de récoltes de données liées à PRISM, il était courant que les fédéraux fassent une demande pour obtenir directement les mots de passe des utilisateurs d’un service, qu’ils soient en clair ou hashés (auquel cas ils réclament aussi l’algo utilisé et le salt associé au mdp).

Et même si votre pass est suffisamment fort (dépasse les 8 caractères et contient des caractères spéciaux) et que l’algo utilisé est assez gourmand en calcul pour les embêter, alors rien d’indique que des backdoors ou des passloggers n’aient pas été mis en place comme on a pu le voir avec Microsoft

Quand le FBI veut des backdoors… il finit par les obtenir 😐

La petite boîte de la NSA

A lire sur BuzzFeed :

Le PDG d’un FAI américain dans l’Utah raconte comment une petite boîte électronique s’est retrouvée dans ses locaux, visiblement destinée à enregistrer tout le trafic de l’un des clients.

Avec un mandat, le FBI a fait installer leur boîte qui est restée branchée pendant 9 mois avant que quelqu’un ne vienne la récupérer. Un équipement qui n’a rien d’exceptionnel et comme on s’attend à en voir beaucoup dans ces genre d’entreprises…

USA : Les appels téléphoniques des citoyens sous surveillance de masse

Via The Guardian, EFF, le NY Times :

Il y a souvent beaucoup de fantasmes autour de la NSA et ce dont elle est capable. Mais depuis aujourd’hui, la vérité révélée par un article du Guardian fait très mal et pourrait bien mettre fin à l’administration Obama.

Le Guardian a en effet mis la main sur un document de seulement 4 pages qui ordonne à Verizon (l’un des principaux télécom du pays), et sur demande de la Foreign Intelligence Surveillance Court (une cour fédérale US spécialisée dans les mandats de mise sur écoute etc), de retourner tous les jours au FBI et à la NSA la totalité de l’activité journalière des appels téléphoniques sur le territoire US et à destination des USA.

Des scandales avaient déjà précédé celui-ci mais via l’utilisation du secret défense, du Patriot Act, etc, le gouvernement avait jusqu’à présent réussi à dissimuler la vérité de cette surveillance de masse au grand public.

Un rédacteur de Reuters arrêté pour complicité de hack : l’effet Sabu

Via Wired (ThreatLevel) :

Un rédacteur travaillant pour Reuters a été arrêté. En effet à la grande époque LulzSec, ce dernier avait fait par à Sabu sur un chan d’Anonymous qu’il disposait d’un accès à un serveur de Tribune Company, son ancien employeur, serveur via lequel on pouvait avoir accès aux articles du Los Angeles Times.

Sabu avait profité de ces identifiants pour modifier un article du LA Times… seulement maintenant que Sabu est informateur pour le FBI, les têtes continuent de tomber.

Un pirate algérien arrêté en Thaïlande

Via PacketStorm :

La police de Bangkok a arrêté un pirate algérien de 24 ans alors qu’il était en halte à l’aéroport pour un trajet retour Malaisie – Égypte avec sa famille.
Hamza Bendelladj est suspecté par le FBI d’avoir récupéré le pactole de plusieurs centaines de millions de dollars ^_^ en piratant des comptes sur 217 banques.

Le FBI est semble-t-il à sa recherche depuis 3 ans. Son matériel informatique a été saisi. Il sera extradé aux USA dans l’état de Géorgie.
L’article n’indique pas s’il a exploité des failles sur les sites des banques ou utilisé un botnet avec un banking-trojan.

Voir aussi l’article du Bangkok Post