Archives pour la catégorie Actualité

Découvrez toutes les dernières actualités informatiques sur le piratage et les protections de données. Les nouvelles technologies au coeur du quotidien (tablette, pc, mac, objets connectés…) sans oublier les interviews d’hackers professionnels.

Google et Microsoft demandent au gouverneur de la Géorgie d’opposer son veto au projet de loi « hack back ».

Google et Microsoft demandent au gouverneur de la Géorgie, Nathan Deal, d’opposer son veto à un projet de loi controversé qui criminaliserait « l’accès non autorisé à un ordinateur » et permettrait aux entreprises de mener des opérations de piratage offensives.

L’Assemblée générale de la Géorgie a adopté le projet de loi fin mars et l’a envoyé à Deal, qui a 40 jours pour le signer. La législation a été accueillie avec des cris de la part de la communauté des chercheurs en sécurité. Les critiques disent que cela aurait un effet dissuasif sur la recherche légitime sur la cybersécurité, dans laquelle les pirates éthiques trouvent et signalent des vulnérabilités dans les réseaux des organisations.

Mais dans une lettre datée du 16 avril, des représentants de Microsoft et de Google se concentrent sur l’une des dispositions du projet de loi exemptant les « mesures de défense active conçues pour empêcher ou détecter l’accès non autorisé aux ordinateurs ». « Hack back » si le piratage est réputé être dans l’intérêt de la cybersécurité.

« À première vue, cette disposition autorise largement le piratage d’autres réseaux et systèmes sous le couvert indéfini de la cybersécurité », indique la lettre.

Les géants de la technologie affirment que cette exemption va bien au-delà du simple fait de donner aux organisations l’autorité de se défendre contre une attaque extérieure. Ils disent que le projet de loi pourrait donner aux entreprises la liberté de mener des opérations offensives à des fins concurrentielles.

« Avant que la Géorgie approuve l’autorité de » défense « en » défense « ou même l’anticipation d’une attaque potentielle sans critères statutaires, elle devrait avoir une compréhension beaucoup plus approfondie des ramifications d’une telle politique », écrivent les compagnies. « Des dispositions comme celle-ci pourraient facilement mener à des abus et être utilisées à des fins anticoncurrentielles et non protectrices ».

D’autres défenseurs de la sécurité ont écrit à Deal pour lui demander d’opposer son veto au projet de loi parce qu’ils disaient qu’une autre exception – accéder à un ordinateur ou à un réseau pour une activité commerciale légitime – était trop vague et menaçait d’inculpation pour un accès non autorisé.

Dans leur lettre, Google et Microsoft ne répondent pas à ces préoccupations, soulignant plutôt le problème du « hack back ».

« Nous croyons que le projet de loi 315 du Sénat fera de la Géorgie un laboratoire pour les pratiques offensives de cybersécurité qui peuvent avoir des conséquences imprévues et qui n’ont pas été autorisées dans d’autres juridictions », indique la lettre.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Le site web du Undergraduate Council a été piraté

Le site Web du Undergraduate Council a été brièvement piraté par un groupe qui s’appelait « Iran Cyber ​​Security Group », jeudi soir. Vendredi matin, le vice-président de l’UC, Nicholas D. Boucher19, a rétabli la page Web du Conseil à son état normal.

Pendant le piratage qui a duré au moins une demi-heure, les visiteurs du site ont vu un dessin du président Donald Trump frappé au menton par un individu dont le visage n’était pas représenté mais qui portait un bracelet rayé aux couleurs du drapeau iranien : vert, blanc et rouge.

« DOWN WITH USA », lisez un message en haut. Des lettres dans une langue étrangère ont défilé à travers le dessin animé. En naviguant sur le site Web, les visiteurs ont été accueillis par de fortes souches de musique dans une langue étrangère.

« Persian Gulf Forever », la page a lu près du fond. La page a également listé les hashtags « #DownWithUSA » et « #DownWithEsraeil ». « Le piratage a été fait au nom de Dieu », selon le texte plâtré en haut de la page.

Le piratage n’affectait que la page d’accueil du Conseil, hébergée sur un domaine de la Faculté des arts et des sciences, selon son URL.

Un porte-parole de HUIT n’a pas pu être joint pour commenter tôt vendredi matin.

Boucher a écrit dans un texte tôt vendredi matin que, avant d’être averti par The Crimson, il n’était pas au courant du piratage.

Environ 10 minutes plus tard, Boucher a écrit qu’il avait « contré leur attaque » et qu’il « travaillerait avec HUIT pour voir comment ils pénétraient le réseau de Harvard ».

Le piratage survient quelques semaines après que le Conseil a rassemblé des centaines d’informations sur les étudiants dans le cadre de la législation visant à accorder des subventions à certains étudiants éligibles au SEF pour le transport et le stockage. L’information n’a pas été soumise sur le site Web de l’UC.

Boucher et la Présidente de l’UC, Catherine L. Zhang, ont promis, lors de la campagne présidentielle de l’automne dernier, de réorganiser le site web du Conseil. M. Boucher a déclaré lors de la réunion UC de dimanche dernier que le nouveau site Web sera probablement lancé dans les prochaines semaines.

Boucher a écrit dans le texte que le Conseil est sur le point de remplacer son site Web actuel par « quelque chose de beaucoup mieux » et « plus sûr ».

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Une start-up à Dubaï offre 3 millions de dollars à tous ceux qui peuvent pirater l’iPhone.

Un programme de piratage éthique de 10 millions de dollars par Crowdfense vise à développer des capacités de cyberdéfense pour un logiciel populaire.

Le piratage éthique, ou « zero-day », utilise des outils qui exploitent les bugs dans les systèmes informatiques inconnus des développeurs de systèmes, afin d’améliorer la sécurité en les identifiant et en développant des systèmes plus solides.

Crowdfense, une start-up basée à Dubaï, offre jusqu’à 3 millions de dollars pour le piratage éthique d’Android, iOS, Windows et Mac.

Le paiement fait partie d’un programme de primes de 10 millions de dollars visant à développer des capacités de cyberdéfense pour des logiciels populaires. C’est le premier programme public de ce genre à offrir un prix si élevé.

La chasse aux bugs, une partie du piratage éthique, consiste à rechercher des bugs ou des failles dans le code qui pourraient être exploitées par des pirates informatiques. Il aide les fournisseurs de logiciels à nettoyer leur code et à trouver les erreurs qu’ils ont pu manquer.

Crowdfense est composé d’une équipe mondiale d’experts en cybersécurité, de chercheurs et d’avocats, prêts à travailler sur certains des plus grands défis mondiaux en matière de cyberdéfense afin d’introduire des niveaux d’expertise plus élevés sur le marché.

« Nous travaillons uniquement avec les meilleurs chercheurs en matière de vulnérabilité, en nous concentrant sur des capacités très sélectives avec une approche hautement structurée et scientifique », a déclaré le directeur de Crowdfense, Andrea Zapparoli Manzoni.

« Maintenant que cette pratique à l’origine souterraine est devenue une industrie stratégique de haute technologie, il est nécessaire de mettre en place de bons processus, vérifications et garanties pour toutes les parties impliquées. C’est pourquoi nous avons construit Crowdfense : le marché avait besoin d’une loi neutre, fiable un partenaire axé sur les processus et axé sur les processus pour fournir des capacités de cyberdéfense active de haute qualité », a-t-il ajouté.

La société, qui a mis plus d’un an à établir, vise à obtenir le meilleur retour sur investissement pour ses clients, tout en protégeant les nations et les citoyens contre un éventail croissant d’attaques et de menace.

Il évalue, teste et améliore les capacités de cyberdéfense active à la fine pointe de la technologie.

Il y a quelques temps, nous avions parlé d’un appareil pouvant pirater n’importe quel iPhone. Voir l’article.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Quelqu’un a peut-être piraté l’entreprise qui peut pirater n’importe quel iPhone.

L’appareil GrayKey de Grayshift a fait l’actualité à plusieurs reprises au cours des derniers mois, car c’est le genre d’outil qui peut pénétrer n’importe quel iPhone exécutant n’importe quelle version d’iOS, y compris l’iPhone X de l’année dernière en essayant toutes les combinaisons possibles, ce qui est communément appelé une attaque en force brute. C’est pourquoi de nombreux organismes d’application de la loi américains ont déjà acheté GrayKeys, qui coûte entre 15 000 $ et 30 000 $, selon la façon dont vous voulez les utiliser. Mais il s’avère que même une entreprise qui a beaucoup d’expérience en matière de sécurité n’est pas à l’abri des piratages de données.

Un groupe inconnu a été en mesure d’obtenir des extraits de code de la clé GrayKey, Motherboard l’a appris et a demandé 2 Bitcoin en rançon. « M. David Miles, ceci est destiné à vous et à toute autre personne intéressée à garder le produit GrayKey sécurisé et non disponible au grand public « , a déclaré un message publié en ligne s’adressant à l’un des co-fondateurs de Grayshift. « Nous sommes un groupe d’entreprises impatient d’attirer votre attention sur le fait que nous avons obtenu le code source de votre produit GrayKey et apprécierions tout don au-delà de 2 BTC. »

Cependant, il semble que cela ait pu être un bluff des « hackers ».

Grayshift a confirmé à la carte mère que des données avaient effectivement été piratéess, mais le code venait d’un site client, où l’interface utilisateur d’une unité GrayKey « a été exposée à Internet pendant une courte période de temps plus tôt ce mois-ci. »

Les hackers n’ont apparemment pas obtenu de données significatives. La rançon n’a pas encore été payée, ce qui semble être une preuve supplémentaire que tout cela n’a aucune valeur puisque rien n’a été publié. Sans oublier que le paiement réel que cherche le « business group » semble trivial. Deux Bitcoin est sur ce que vous payeriez pour une boîte GrayKey.

Si tout le monde pouvait avoir accès à GrayKey, il n’y aurait plus de sécurité et donc plus de vie privée. Les iPhones deviendraient vulnérables et l’accès aux boîtes emails comme GMail ou Yahoo ne serait plus un problème pour les hackers !

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Nigeria Hacking Group cible les sociétés d’expédition.

La société de sécurité réseau Secureworks a identifié un groupe de menace nigérian qui semble se concentrer uniquement sur l’industrie du marime. Le groupe, surnommé « Gold Galleon », utilise des escroqueries par courriel et des logiciels de piratage accessibles au public pour tenter de voler des centaines de milliers de dollars à des gestionnaires de navires et à des fournisseurs de services qui ne se doutent de rien.

Selon Secureworks, Gold Galleon est un groupe d’environ 20 personnes qui travaillent ensemble pour pirater des entreprises maritimes du monde entier en utilisant des techniques de base. Ils louent des outils de piratage pour seulement quelques dollars par mois, ils communiquent via Skype et ils identifient des cibles en utilisant des répertoires d’entreprises en ligne et des listes de contacts disponibles dans le commerce.

Alors que la bande criminelle utilise un service proxy en ligne pour dissimuler son emplacement, plusieurs indices indiquent qu’elle est d’origine nigériane, a déclaré Secureworks. Le groupe communique dans le pidgin nigérian, une langue créole anglaise et utilise des expressions associées à une organisation sociale nigériane appelée « Buccaneeers Confraternity » pour les noms d’utilisateur et les mots de passe.

Des méthodes simples, de grandes récompenses.

Une fois que le groupe a identifié une nouvelle cible, il envoie un courriel spearphishing soigneusement adapté au destinataire. L’e-mail contient une pièce jointe contenant des logiciels malveillants, qui se déploie sur l’ordinateur de la victime sans méfiance et enregistre ses frappes, en enregistrant le nom d’utilisateur et le mot de passe du compte de messagerie professionnel de la victime. Une fois le compte compromis, le groupe utilise un outil logiciel pour collecter toutes les adresses e-mail avec lesquelles l’utilisateur a eu une interaction et il s’installe pour intercepter les transactions commerciales entre l’utilisateur et ses clients.

De nombreuses entreprises maritimes utilisent le courrier électronique pour gérer les détails de facturation et de paiement. Lorsque le groupe Gold Galleon voit les détails de paiement relayés sur une facture dans un compte e-mail compromis, il intercepte la facture, modifie les numéros de compte pour diriger l’argent vers son propre compte bancaire « mule » et utilise une adresse e-mail similaire envoyer la demande modifiée sur son chemin au destinataire prévu. Souvent, l’acheteur ne détecte pas la modification de l’adresse e-mail de l’expéditeur et des coordonnées bancaires et paie simplement la facture frauduleuse.

Dans une étude de cas, le groupe a été en mesure de pirater des noms d’utilisateur et des mots de passe pour huit employés d’une entreprise de transport sud-coréenne, y compris le compte du comptable. Les membres de Gold Galleon ont surveillé les transactions financières de l’entreprise afin de se familiariser avec ses cycles de facturation et ses clients. Puis, lorsque la firme sud-coréenne a lancé une transaction « cash to master » de 50 000 $ pour livrer de l’argent à l’un de ses navires, un pirate Gold Galleon a usurpé l’identité du destinataire et demandé que son paiement soit envoyé à un compte subsidiaire. problèmes bancaires. Secureworks surveillait l’échange et notifiait aux parties impliquées qu’elles étaient piratées, ce qui a contrecarré deux tentatives ultérieures dans la même entreprise une pour 234 000 $ et une autre pour 325 000 $.

Secureworks a averti que les petites entreprises de transport pourraient être exposées à des risques accrus alors que des menaces telles que Gold Galleon se concentrent sur des cibles sensibles au simple piratage – dans ce cas, une escroquerie de base de type «business email compromise» (BEC). L’entreprise a indiqué que l’authentification à deux facteurs pour le courrier électronique professionnel et personnel est une étape clé, car la plupart des groupes de menaces BEC utilisent un portail de messagerie Web. L’authentification à deux facteurs est un outil de vérification familier. comme un smartphone ou une carte magnétique) sur sa personne, en plus du mot de passe du compte. Il est difficile pour les pirates de bas de gamme de vaincre, mais il n’est pas souvent utilisé par les petites et moyennes entreprises.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage