Roberto Preatoni est le fondateur d'un site d'enchères sur lequel se monnaye des failles de sécurité : WabiSabiLabi. Mais si cette place de marché a été vivement critiquée, les faits reprochés à l'expert sont antérieur à sa création. En outre, il reste présumé innocent..
Gouvernator confronté aux virus:
Un site gouvernemental californien a été utilisé pour rediriger les internautes vers un site pirate sur lequel un ActiveX ou un faux codec était employé pour installer le cheval de Troie Zolob ou un prétendu antispyware.
Pour l'état de Californie, il ne s'agit toutefois pas d'une première. En octobre dernier, les sites Web gouvernementaux et de messagerie avaient dû être déconnectés suite au piratage d'un site, exploité ensuite pour diffuser des contenus pornographiques.
Excuses d'état pour un défaut de chiffrement:
Ces informations, plutôt que de suivre le circuit sécurisé habituel ont été acheminées par un transporteur routier classique… et égarées. Les CDroms n'étaient protégés que par un simple mot de passe. L'opposition conservatrice parle déjà de discogate.
Une console de jeux dans les mains d'un expert en sécurité permet de jouer autrement, comme par exemple jouer à casser des mots de passe. Nick Breese, néo-zélandais et possesseur d'une Playstation 3 s'est livré à quelques expériences.
La puissance de calcul de l'engin lui permettrait de venir à bout, par force brute, de mots de passe bien plus rapidement qu'en utilisant une carte graphique de PC, méthode également employée. L'explication : sa rapidité de calcul en principe utilisée pour modéliser des environnements 3D.
Adi Shamir, via des erreurs, qui pourraient être volontaires, dans les processeurs de PC permettant de récupérer une clef privée. Bruce Schneier soupçonne les services de surveillance américains, la NSA, d'avoir glissé une backdoor dans un standard du NIST. Un vrai climat de confiance.
Les antivirus se font taper sur les doigts :
En première ligne, les antivirus seraient aussi fiables que la ligne Maginot. Thierry Zoller, déjà reconnu pour avoir démontrer les failles des antivirus face aux fichiers compressés, signe une nouvelle enquête critique. A vouloir en faire trop (de multiples protocoles à lorgner), ces logiciels finiraient par mal travailler.
Associer plusieurs antivirus différents n'est pas une solution, bien au contraire. Cela ne fait qu'additionner les bugs et donc accroître la vulnérabilité. Fin commercial, Zoller présentera bientôt ParsingSafe pour protéger ces logiciels. Ouf.
Et de deux pour Monster.com:
Nouveaux déboires pour le site d'emploi qui a essuyé une seconde attaque, moins critique toutefois que celle d'août dernier et qui avait exposé les informations personnelles de 1,3 million de membres inscrits. C'est cette fois une attaque iFrame qui a été appliquée.
Des pages vulnérables ont ainsi été utilisées pour insérer du code redirigeant les internautes vers des serveurs hébergeant des programmes malveillants. Ce jour-là, il ne faisait pas bon postuler chez Toyota Financial.
Gare aux bases de données :
La marotte du chercheur David Litchfield, c'est les bases de données, et plus particulièrement leur sécurité. Après avoir chatouillé plus d'un million d'adresses IP sur un port réservé à la base de données (Oracle ou SQL Server), il a eu une épiphanie.
Bilan : 368,000 serveurs de base de données Microsoft SQL Servers étaient accessibles depuis Internet, et 124,000 estampillés Oracle, certains n'étant pas même à l'abri derrière un pare-feu. Un ver lancé sur Internet ferait un carnage prévient Litchfield. Rassurant.
source .JDN 2007 , +mes modifs
No comments:
Post a Comment