Sécurité info - Page 73

2160

Le 01/09/2024 à 20:26

Ca alors, je ne m'y attendais pas du tout

J'ai jamais activé le paiement NFC sur mon smartphone. Et pourtant je comprends que c'est pratique.

Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

2161

Le 19/09/2024 à 14:00

Massive China-state IoT botnet went undetected for four years—until nowArs Technica75% of infected devices were located in homes and offices in North America and Europe.

The FBI has dismantled a massive network of compromised devices that Chinese state-sponsored hackers have used for four years to mount attacks on government agencies, telecoms, defense contractors, and other targets in the US and Taiwan.

The botnet was made up primarily of small office and home office routers, surveillance cameras, network-attached storage, and other Internet-connected devices located all over the world. Over the past four years, US officials said, 260,000 such devices have cycled through the sophisticated network, which is organized in three tiers that allow the botnet to operate with efficiency and precision. At its peak in June 2023, Raptor Train, as the botnet is named, consisted of more than 60,000 commandeered devices, according to researchers from Black Lotus Labs, making it the largest China state botnet discovered to date.

EDIT :

Another useful practice is to reboot the devices every week or so, or more frequently if practical. Nosedive, like the vast majority of other IoT malware, resides solely in memory, and therefore can't persist once a device restarts.

Ça reste un pis-aller, mais c'est toujours mieux que rien. Je me demande si "redémarrer régulièrement les équipements réseaux" deviendra une pratique standard dans la liste des recommendations de sécurité (mais peut-être que c'est déjà le cas).

— Zeroblog —

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2162

Le 19/09/2024 à 21:52

Comme tu dis, ça reste un pis-aller.

Faudrait des obligations de mises à jour des équipements sur les réseaux des opérateurs (ce qui est plus ou moins le cas des box en France)

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

2163

Le 21/09/2024 à 13:42

Open source maintainers underpaid and going graywww.theregister.comAI-coded contributions? Most would rather skip the bot's work

The majority of open source project maintainers are not being paid for their work, spend three times as much time on security than they did three years ago, and have become less trusting of contributors following the xz backdoor, according to open source package security firm Tidelift.

Small wonder then that the maintainer population is aging – not enough newcomers want the undercompensated, unappreciated job.

Tidelift on Tuesday published its 2024 State of the Open Source Maintainer Report [PDF], the result of a survey answered by over 400 maintainers.

Some 45 percent of the survey takers have been maintainers for more than 10 years and the age distribution is getting older.

According to the report, "the percentage of maintainers self-reporting that they are 46–55 or 56–65 has doubled since our first survey in 2021 (2021: 11 percent; 2023: 27 percent; 2024: 21 percent). Meanwhile, the percentage of maintainers under 26 has dropped precipitously from 25 percent in our 2021 survey to 12 percent last year and 10 percent today."

— Zeroblog —

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2164

Le 22/09/2024 à 09:25

Eh oui... dans notre monde informatique, énormément de choses fonctionnent grâce à la bonne volonté des gens, pour maintenir des choses ou donner des piécettes aux mainteneurs. Les mainteneurs de nombre de logiciels présents sur la plupart des distros Linux, et utilisés quotidiennement sur des dizaines à des centaines des millions d'ordinateurs, ne sont pas du tout, ou extrêmement peu, payés: ce constat est fait depuis longtemps, et dans la pratique, pas grand chose ne change.

Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

2165

Le 25/09/2024 à 15:15

Faille majeure dans Linux ? (difficile de savoir si c'est vrai ou pas, pour l'instant il n'y a aucun détail technique) :

Thread by @evilsocket on Thread Reader Appthreadreaderapp.com@evilsocket: * Unauthenticated RCE vs all GNU/Linux systems (plus others) disclosed 3 weeks ago. * Full disclosure happening in less than 2 weeks (as agreed with devs). * Still no CVE assigned (there should be at...…

— Zeroblog —

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2166

Le 25/09/2024 à 22:00

Arf, violent

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

2167

Le 26/09/2024 à 14:21

Très flippant, une 9.9 pendant 20 ans ???

Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

2168

Le 26/09/2024 à 14:48

Elle dit "more than a decade", donc probablement plutôt plus proche de 10 que de 20 ans, mais ça fait beaucoup quand même.
Après, on ne sait pas quel composant de Linux est affecté ; il n'est pas forcément activé par défaut.

— Zeroblog —

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2169

Le 26/09/2024 à 21:08

Avant de lire le thread linké, j'aurais posté qu'à ma connaissance, Simone Margaritelli "evilsocket" est un chercheur en sécurité doué et sérieux, donc il est très improbable qu'il raconte des bêtises: il n'a rien à y gagner...
Après avoir lu le thread... il me semble clair qu'il va d'autant moins raconter des bêtises que les mainteneurs du code vulnérable s'y sont très mal pris dans la façon de gérer la correction des bugs et la communication avec lui, ce qui est une très mauvaise idée d'une façon générale: non seulement ils vont d'autant plus se faire mettre le nez dans leur caca, mais va d'autant plus donner des idées à d'autres chercheurs en sécurité dans le meilleur des cas, sinon à des faiseurs d'exploits privés avancés.

EDIT: apparemment, full disclosure dans moins d'1h: https://xcancel.com/evilsocket/status/1839361276813902240 .

Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

2170

Le 26/09/2024 à 21:13

C'est con oui. Surtout que comme posté dans le topic Linux, c'est toujours beaucoup des bénévoles, et de plus en plus vieux (et donc sourds). Ça peut pas continuer comme ça…

Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741

2171

Le 26/09/2024 à 21:40

xcancel ? Quel est donc ce site ?

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

2172

Le 26/09/2024 à 21:52

J'ai découvert ça ce soir également par quelqu'un qui a posté un lien xcancel et non X.

https://xcancel.com/aboutNitter

indique actuellement
"
About

Nitter is a free and open source alternative Twitter front-end focused on privacy and performance. The source is available on GitHub at

GitHub - zedeus/nitter: Alternative Twitter front-endGitHubAlternative Twitter front-end. Contribute to zedeus/nitter development by creating an account on GitHub.

No JavaScript or ads
All requests go through the backend, client never talks to Twitter
Prevents Twitter from tracking your IP or JavaScript fingerprint
Uses Twitter's unofficial API (no rate limits or developer account required)
Lightweight (for @nim_lang, 60KB vs 784KB from twitter.com)
RSS feeds
Themes
Mobile support (responsive design)
AGPLv3 licensed, no proprietary instances permitted

Nitter's GitHub wiki contains instances and browser extensions maintained by the community.
Why use Nitter?

It's impossible to use Twitter without JavaScript enabled. For privacy-minded folks, preventing JavaScript analytics and IP-based tracking is important, but apart from using a VPN and uBlock/uMatrix, it's impossible. Despite being behind a VPN and using heavy-duty adblockers, you can get accurately tracked with your browser's fingerprint, no JavaScript required. This all became particularly important after Twitter removed the ability for users to control whether their data gets sent to advertisers.

Using an instance of Nitter (hosted on a VPS for example), you can browse Twitter without JavaScript while retaining your privacy. In addition to respecting your privacy, Nitter is on average around 15 times lighter than Twitter, and in most cases serves pages faster (eg. timelines load 2-4x faster).

In the future a simple account system will be added that lets you follow Twitter users, allowing you to have a clean chronological timeline without needing a Twitter account.
"

Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

2173

Le 26/09/2024 à 21:52

Mais est-ce que ça respecte les conditions d'utilisation de Twitter ?

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

2174

Le 26/09/2024 à 22:04Edité par Lionel Debroux le 27/09/2024 à 09:06

Attacking UNIX Systems via CUPS, Part IevilsocketHello friends, this is the first of two, possibly three (if and when I have time to finish the Windows research) writeups. We will start with targeting GNU/Linux systems with an RCE. As someone who’s

Remediation

Disable and remove the cups-browsed service if you don’t need it (and probably you don’t).
Update the CUPS package on your systems.
In case your system can’t be updated and for some reason you rely on this service, block all traffic to UDP port 631 and possibly all DNS-SD traffic (good luck if you use zeroconf).

Entirely personal recommendation, take it or leave it: I’ve seen and attacked enough of this codebase to remove any CUPS service, binary and library from any of my systems and never again use a UNIX system to print. I’m also removing every zeroconf / avahi / bonjour listener. You might consider doing the same.

Pas mal

Et le tweet qui précède celui qui contient le lien ci-dessus, à savoir https://xcancel.com/evilsocket/status/1839394449346154690 , contient "For the record: this is a coordinated disclosure because CERT's VINCE had a leak."

EDIT: formattage et ajout d'une quote plus large.

Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

2175

Le 27/09/2024 à 02:55Edité par Yoshi Noir le 02/10/2024 à 11:57

« L'open source permet à tout le monde de faire un audit du code immédiatement et ainsi de permettre une correction rapide des failles et des bugs »

🤡

2176

Le 27/09/2024 à 06:35

Lionel > merci pour les infos !

flanker (./2173) :
Mais est-ce que ça respecte les conditions d'utilisation de Twitter ?

Probablement pas, et les comptes qui alimentent les instances Nitter sautent régulièrement. D'un autre côté, vu comment Musk lui-même se vante de ne pas respecter les règles qui ne lui plaisent pas, ça ne m'empêche pas de dormir ^^

— Zeroblog —

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2177

Le 27/09/2024 à 07:17

Au passage, vu que la faille est dans CUPS, macOS est probablement concerné aussi ; l'article y fait référence :

In part II of this series (date TBD since there’s another disclosure in process), we’ll see how to use these new bettercap modules (not yet released) to attack Apple macOS.

— Zeroblog —

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2178

Le 27/09/2024 à 09:02

Merci pour les infos:
-xcancel: génial!

-cups dans *nix: arg... Vais aller checker nos serveurs.

Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

2179

Le 27/09/2024 à 09:03

Ouais, des vulnérabilités d'impression qu'il a découvertes s'appliquent plus largement que celles qu'il a publiées dans cette première partie, dont l'article indique

Affected Systems

CUPS and specifically cups-browsed are packaged for most UNIX systems:

most GNU/Linux distributions
some BSDs.
Google Chromium / ChromeOS … maybe?
Oracle Solaris
Possibly more?

Bien sûr, on parle moins des BSDs et de Solaris dans la communication à ce propos parce qu'ils sont moins populaires en desktop que Linux

Et la première phrase de l'article contient "if and when I have time to finish the Windows research", ce qui peut également faire mal avec un chercheur en sécurité de bon niveau comme lui...
Enfin bon, ce n'est pas comme si les logiciels d'impression étaient soumis à des pratiques de développement visant davantage la sécurité que le reste du logiciel, d'une façon générale.

Ceux qui se sont amusés à 1) installer / ne pas désinstaller si possible, 2) activer / ne pas désactiver cups-browsed, 3) ne pas désactiver le bazar de découverte automatique, 4) ne pas mettre de firewall et 5) exposer leurs machines sur Internet public... et apparemment, il y en a pas mal, vu qu'il y a beaucoup de machines qui répondent sur Internet public, d'après l'article... cherchent les emmerdements

Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

2180

Le 27/09/2024 à 18:33

Zerosquare (./2176) :
Lionel > merci pour les infos !

flanker (./2173) :
Mais est-ce que ça respecte les conditions d'utilisation de Twitter ?
Probablement pas, et les comptes qui alimentent les instances Nitter sautent régulièrement. D'un autre côté, vu comment Musk lui-même se vante de ne pas respecter les règles qui ne lui plaisent pas, ça ne m'empêche pas de dormir ^^

Je pense plutôt au commentaire sur la licence « AGPLv3 licensed, no proprietary instances permitted ».

Je trouve incohérent de la part du développeur d'être pointilleux sur sa licence logicielle alors qu'il ne respecte pas les conditions d'utilisation (mais j'avoue, ce n'est pas le premier que je vois comme ça ^^).

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

2181

Le 27/09/2024 à 18:33

Lionel Debroux (./2179) :

Bien sûr, on parle moins des BSDs et de Solaris dans la communication à ce propos parce qu'ils sont moins populaires en desktop que Linux

sauf que dans le lot, il y a les macOS, qui sont légèrement plus populaires en desktop que Linux

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

2182

Le 27/09/2024 à 18:40

flanker (./2181):
Lionel Debroux (./2179) :

Bien sûr, on parle moins des BSDs et de Solaris dans la communication à ce propos parce qu'ils sont moins populaires en desktop que Linux
sauf que dans le lot, il y a les macOS, qui sont légèrement plus populaires en desktop que Linux

Naturellement que macOS est plus populaire en desktop que Linux, et j'y ai pensé quand j'ai écrit ma phrase

Mais 1) evilsocket n'a pas listé macOS dans la liste que j'ai quotée, et 2) comme - que je sache - ni des aspects importants du kernel (partie mach), ni des aspects importants du user-space de macOS (stack graphique, divers frameworks, etc.) n'appartiennent à FreeBSD, OpenBSD, NetBSD ou l'un de leurs dérivés plus ou moins proches et orientés desktop => je n'ai volontairement pas listé macOS dans ma phrase.

Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

2183

Le 27/09/2024 à 18:44

flanker (./2180) :
Je trouve incohérent de la part du développeur d'être pointilleux sur sa licence logicielle alors qu'il ne respecte pas les conditions d'utilisation (mais j'avoue, ce n'est pas le premier que je vois comme ça ^^).

À mon avis, c'est moins de l'hypocrisie qu'un parafoudre pour le projet : il y a beaucoup plus de risque de se faire tomber dessus par X si c'est utilisé pour faire du profit.

— Zeroblog —

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2184

Le 01/10/2024 à 18:55

J'avais raté ça : exploits d'une faille dans les chipsets WiFi de Mediatek (utilisés entre autres par Netgear, Ubiquity et Xiami) :
https://blog.coffinsec.com/0day/2024/08/30/exploiting-CVE-2024-20017-four-different-ways.html

EDIT : Ubiquity déclare que leurs produits ne sont pas concernés, la faille est dans un composant logiciel qu'ils n'utilisent pas.

— Zeroblog —

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2185

Le 07/10/2024 à 21:06

Insecure Deebot robot vacuums collect photos and audio to train AIwww.abc.net.auThe ABC has found critical cybersecurity vulnerabilities in Ecovacs devices.

Ecovacs's privacy policy – available elsewhere in the app – allows for blanket collection of user data for research purposes, including:

• The 2D or 3D map of the user's house generated by the device
• Voice recordings from the device's microphone
• Photos or videos recorded by the device's camera

It also states that voice recordings, videos and photos that are deleted via the app may continue to be held and used by Ecovacs.

An Ecovacs spokesperson confirmed the company uses the data collected as part of its product improvement program to train its AI models.

— Zeroblog —

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2186

Le 09/10/2024 à 22:16

Two never-before-seen tools, from same group, infect air-gapped devicesArs TechnicaIt’s hard enough creating one air-gap-jumping tool. GoldenJackal did it 2x in 5 years.

— Zeroblog —

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2187

Le 09/10/2024 à 22:18

Il faut bannir les clefs USB

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

2188

Le 09/10/2024 à 22:19

Je suis pour. Et les autres périphériques USB aussi, tant qu'à faire !

— Zeroblog —

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2189

Le 09/10/2024 à 22:20

surtout les claviers et les souris

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

2190

Le 09/10/2024 à 22:22

— Zeroblog —

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo