person:brian krebs

Facebook a conservé des centaines de millions de mots de passe de manière non sécurisée
▻https://www.lemonde.fr/pixels/article/2019/03/21/facebook-a-conserve-des-centaines-de-millions-de-mots-de-passe-de-maniere-no

Le réseau social a publié un communiqué expliquant que ces mots de passe ont été accessibles, en clair, pour des milliers de ses employés. L’un des plus gros acteurs de la Silicon Valley vient de reconnaître une erreur majeure de sécurité informatique. Dans un communiqué diffusé jeudi 21 mars, le réseau social Facebook annonce que les mots de passe de centaines de millions d’utilisateurs du réseau social ont été conservés de manière non sécurisée sur les serveurs de l’entreprise. « Nous nous sommes rendu (...)

#Facebook #cryptage #données

https://img.lemde.fr/2018/07/19/255/0/4002/2001/1440/720/60/0/41283c4_14291-n33ay8.3pqd.jpg

Facebook : des centaines de millions de mots de passe étaient visibles par les employés
▻https://www.latribune.fr/technos-medias/internet/facebook-des-centaines-de-millions-de-mots-de-passe-etaient-visibles-par-l

Le géant américain a confirmé ce jeudi dans un communiqué que des centaines de millions de mots de passe #Facebook et Instagram étaient accessibles par certains employés, perdus dans des jeux de données. Le réseau social ne sait pas lesquels ont été compromis.
Nouvelle fuite de données chez Facebook... Cette fois, le réseau social a laissé traîner sur ses serveurs internes, sans cryptage, les mots de passe Facebook et Instagram de plusieurs centaines de millions d’utilisateurs. Le journaliste spécialisé Brian Krebs a révélé l’affaire sur son site, et forcé le groupe californien à réagir. Facebook avait pourtant connaissance de la fuite depuis janvier.

Le long communiqué officiel de Facebook se cache derrière un rappel de toutes les procédures qu’il a mis en place pour protéger les données. Mais le début est accablant :

« Lors d’un examen de sécurité routinier en janvier, nous avons découvert que certains mots de passe des utilisateurs étaient stockés dans un format lisible sur nos serveurs internes », concède Facebook.
Les mots de passe sont normalement cryptés, et donc illisibles pour les quelques 20.000 ingénieurs qui ont accès aux serveurs. D’après les sources de Brian Krebs, la faille existait déjà en 2012. Pire, sur la période, plus de 2.000 ingénieurs et développeurs ont réalisé environ 9 millions de requêtes pour des données qui contiennent ces mots de passe. Facebook affirme que la faille est désormais réparée.

Mais que va devenir cette grosse bubulle ?

#stuxnet files

W32.Stuxnet Dossier
v1.4, February 2011, Symantec

▻https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf
(Nicolas Falliere, Liam O Murchu, and Eric Chien)

In order to achieve this goal the creators amassed a vast array of components to increase their chances of success. This includes 4 zero-day exploits, a Windows rootkit, the first ever PLC [Programmable Logic Controller] rootkit, [compromise 2 digital certificates] antivirus evasion techniques, complex process injection and hooking code, network infection routines, peer-to-peer updates, and a command and control interface. We take a look at each of the different components of Stuxnet to understand how the threat works in detail while keeping in mind that the ultimate goal of the threat is the most interesting and relevant part of the threat.

[...]

Stuxnet contains many features such as:
• Self-replicates through removable drives exploiting a vulnerability allowing auto-execution. "Microsoft Windows Shortcut ‘LNK/PIF’ Files Automatic File Execution Vulnerability (BID 41732) CVE-2010-2568"
• Spreads in a LAN through a vulnerability in the Windows Print Spooler. "Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073) CVE-2010-2729"
• Spreads through SMB by exploiting the Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874), CVE-2008-4250
• Copies and executes itself on remote computers through network shares.
• Copies and executes itself on remote computers running a WinCC database server.
• Copies itself into Step 7 projects [ Siemens SIMATIC Step 7 industrial control software] in such a way that it automatically executes when the Step 7 project is loaded.
• Updates itself through a peer-to-peer mechanism within a LAN.
• Exploits a total of four unpatched Microsoft vulnerabilities, two of which are previously mentioned vulnerabilities for self-replication and the other two are escalation of privilege vulnerabilities that have yet to be disclosed.
• Contacts a command and control server that allows the hacker to download and execute code, including updated versions.
• Contains a Windows rootkit that hide its binaries.
• Attempts to bypass security products.
• Fingerprints a specific industrial control system (ICS) and modifies code on the Siemens PLCs to potentially sabotage the system.
• Hides modified code on PLCs, essentially a rootkit for PLCs.

Stuxnet Malware and Natanz: Update of ISIS December 22, 2010 Report - update Feb 15, 2011

▻http://isis-online.org/uploads/isis-reports/documents/stuxnet_update_15Feb2011.pdf
(David Albright, Paul Brannan, and Christina Walrond)

In the December 22, 2010 ISIS [Institute for Science and International Security] report on Stuxnet, ISIS found that this malware contained important evidence indicating that its target was the IR-1 centrifuges at the Fuel Enrichment Plant (FEP) at Natanz. ISIS focused on the attack sequences generated by a Siemens S7-315 programmable logic controller (PLC) connected to frequency converters of a particular type. The ISIS analysis centered on the rotational frequencies listed in these detailed attack sequences. These frequencies matched, in two cases identically, key frequencies characteristic of the IR-1 centrifuge at the FEP.

A further analysis of another attack sequence has revealed that this code contains a description of what appears to be an exact copy of the IR-1 cascade at the FEP. The attack is titled “Sequence C” by Symantec, the computer security company that has conducted the most thorough and reliable open analysis of the malware’s code, or “417 code” after the advanced Siemens S7-417 programmable logic controller that Stuxnet targets. However, the 417 code is not activated and thus unable to launch an attack. Moreover, key data is missing from the code available to Symantec that would define exactly what is affected or sabotaged. Symantec has assessed that the 417 code is likely unfinished, perhaps a work in progress.

Additional analysis also lends more support to the conclusion that the Stuxnet malware is aimed principally at centrifuges, not manipulating parameters of the centrifuge cascades so as to lower the production low enriched uranium (LEU) on a sustained basis. To date, Stuxnet is known to have had at least one attack. It is increasingly accepted that, in late 2009 or early 2010, Stuxnet destroyed about 1,000 IR-1 centrifuges out of about 9,000 deployed at the site. The effect of this attack was significant. It rattled the Iranians, who were unlikely to know what caused the breakage, delayed the expected expansion of the plant, and further consumed a limited supply of centrifuges to replace those destroyed. Nonetheless, Iran took steps in the aftermath of the attack that likely reduced further damage by Stuxnet, principally shutting down many centrifuge cascades for months. The shutdown lasted long enough for the malware to be discovered publicly, which time Iran could have found Stuxnet on the Natanz control systems.

[...]

New Finding: Evidence of Targeting Natanz in Sequence C or 417 Code
Soon after the publication of the ISIS December 22 report, Ralph Langner, a German security expert, contacted ISIS after noticing that each of the Natanz centrifuge cascades contained 164 centrifuges. He said that the 417 code, or sequence C, is grouped in six arrays of 164 units each, perhaps representing six cascades, each with 164 centrifuges.
Based on Symantec’s analysis of this array, ISIS discovered that this array is identical to an IR-1 centrifuge cascade at the FEP. This evidence is perhaps the strongest evidence that Stuxnet is aimed at Natanz.

[...]
But with key data missing, one can only speculate about what the 417 code aims to sabotage. According to Symantec, the data sent to the cascades appear more aimed at flipping a series of on/off values rather than sending a packet of commands like the 315 code sends to frequency converters.

Derrière une série d’attaques informatiques très puissantes, un réseau d’objets connectés piratés

►http://www.lemonde.fr/pixels/article/2016/09/26/derriere-une-serie-d-attaques-informatiques-tres-puissantes-un-reseau-d-obje

Or, l’attaque qui a visé le site de Brian Krebs a été estimée à 620 Gbps, ce qui en fait l’une des plus importantes de l’histoire d’Internet. Le site a été rendu totalement inaccessible, malgé le système de protection dont il bénéficiait, mis en place par une filiale du géant d’Internet Akamaï. Le site est revenu en ligne épisodiquement durant les deux jours suivants, avant qu’Akamaï ne jette l’éponge, expliquant qu’il pouvait protéger le site, mais que cela aurait un coût – près de 200 000 dollars à l’année – une somme que M. Krebs ne pouvait pas payer. Google lui a alors proposé de fournir gracieusement son propre système de protection contre ce type d’attaque – le site de M. Krebs est depuis normalement accessible.

http://s1.lemde.fr/image/2016/09/26/644x322/5003468_3_5fe5_a-video-camera-monitors-activity-on-september_fed8019a3dd7fb1cce1d870188818e92.jpg

Coïncidence ? Le 22 septembre également, l’hébergeur et fournisseur d’accès français OVH était également victime d’une tentative de blocage massive – une série de 26 attaques simultanées de plus de 100 Gbps, affirme Octave Klaba, le PDG de l’entreprise sise à Roubaix. L’attaque a occasionné des dysfonctionnements temporaires sur le réseau d’OVH.

La particularité des attaques ayant eu lieu la semaine dernière, et qui leur aurait permis d’atteindre ces débits inédits, est qu’il s’agit d’un botnet non pas composé d’ordinateurs, mais de machines beaucoup plus simples – et notamment de caméras de surveillance. M. Klaba explique que son entreprise a repéré 145 607 caméras qui semblaient faire partie du réseau.

De nombreux spécialistes affirment depuis des années que « l’Internet des objets » représente une menace importante – non pas à cause des objets en tant que tels, mais parce que de très nombreux modèles d’objets connectés vendus dans le commerce sont insuffisament protégés et donc aisément piratables. Contrairement aux ordinateurs ou aux smartphones, ils ne bénéficient que rarement de mises à jour régulières, et restent connectés en permanence à Internet ; ce qui en fait des cibles idéales pour des personnes cherchant à créer des botnets de grande envergure.

#Internet_des_objets

Ne laissez plus traîner votre carte d’embarquement, son QR Code en dit beaucoup (trop) sur vous | Slate.fr
▻http://www.slate.fr/story/108103/billet-avion-revele-sur-vous

Brian Krebs n’a qu’un conseil à vous donner : « Je vous recommande de ne pas laisser votre carte d’embarquement dans l’avion quand vous débarquez. »

–>@reka et autres voyageurs
#transport_aérien #QR_code #confidentialité

#lorem_ipsum déchaîne toujours les passions…

La fonction « latin » de Google traduction détournée
▻http://www.lemonde.fr/pixels/article/2014/08/19/la-fonction-latin-de-google-traduction-detournee_4473350_4408996.html

Et pourtant, a remarqué Brian Krebs, un ancien journaliste et expert en sécurité informatique, c’est ce qu’il se passait quand on tapait les termes « lorem ipsum » et ses dérivés dans Google Translate, jusqu’à il y a peu. Michael Shoukry et un autre chercheur de FireEye sont à l’origine de cette découverte.

http://s2.lemde.fr/image/2014/08/19/534x0/4473410_5_623e_la-traduction-proposee-par-google-translate_fbd6a103b8ae5c3451c279d780008078.png

Le texte étant en latin et Google ne bénéficiant pas d’une base de données assez grande dans cette langue, il s’appuie sur les internautes, qui peuvent proposer leurs propres traductions pour améliorer le fonctionnement de l’outil de Google. Un petit malin a donc réussi à faire croire à Google en faisant remonter d’autres résultats que ses traductions de « lorem ipsum » étaient les bonnes.
(…)
Google a depuis corrigé l’erreur. Mais selon le chercheur, d’autres traductions secrètes doivent être cachées dans Google Translate.

Twitter : des robots pro-Poutine contre les opposants russes | Rue89

Dix slogans nationalistes par seconde

Pour Goncharov, pas de doute : ce sont des « bots » – des robots automatisés – à la solde du gouvernement russe :

« Ces bots ont posté de nombreux slogans nationalistes et des insultes. Avec un rythme allant jusqu’à 10 messages par seconde, ces robots sont parvenus à bloquer le véritable flux de message. »

Brian Krebs, un blogueur américain spécialisé dans la sécurité informatique, a recensé plus de 2 000 comptes Twitter suspects. Il écrit :

« la plupart des comptes ont été créés début juillet 2011, et ont posté très peu de tweets autres que ceux qui sont destinés à combattre les manifestants. De plus, presque tous ces comptes se suivent entre eux. Et tous suivent un compte qui semble appartenir à un véritable utilisateur. »

►http://www.rue89.com/2011/12/09/twitter-des-robots-progouvernement-contre-les-opposants-russes-227389