Archives par mot-clé : securite

Un déchiffreur pour le ransomware PyLocky

Ils sont un peu moins visibles dans les médias en ce moment, mais les ransomwares ont toujours le vent en poupe.

Prenez par exemple PyLocky. Celui-ci est développé en Python et comme les autres, il chiffre tous les fichiers sur le disque dur de sa victime, avant de demander une rançon.

Si je vous parle de PyLocky, c’est d’abord parce qu’il se répand beaucoup en Europe et notamment en France.

Peut-être en avez-vous été victime ?

La bonne nouvelle, c’est que la société Talos (Cisco) a mis au point un déchiffreur qui va vous permettre de sauver vos fichiers si vous n’avez pas eu le réflexe de faire des sauvegardes correctes.

Lorsque PyLocky se lance, il génère un ID et un mot de passe aléatoire et récupère des informations sur la machine infectée. Il génère ensuite un vecteur d’initialisation aléatoire (IV) encodé en base64 et envoyé avec le reste des infos au serveur de contrôle (C2).

Une fois les chemins d’accès à tous les fichiers récupérés, le chiffrement se met en route, en combinant le vecteur d’initialisation et le mot de passe. Ainsi chaque fichier est d’abord encodé en base64 avant d’être chiffré, puis une extension .lockedfile est attribué à chaque fichier. Le fichier original quand a lui est remplacé par un document contenant les instructions pour payer la rançon.

L’outil de Talos fonctionne sous Windows et exige de connaitre toutes les infos envoyées au serveur C2 pour pouvoir déchiffrer les fichiers. C’est pourquoi le déchiffrement ne sera possible que si vous avez le fichier PCAP (capture du trafic réseau) de votre machine infectée.

Voici le type d’infos que le déchiffreur recherchera dans le fichier PCAP :

PCNAME=NAME&IV=KXyiJnifKQQ%3D%0A&GC=VGA+3D&PASSWORD=CVxAfel9ojCYJ9So&CPU=Intel%28R%29+Xeon%28R%29+CPU+E5-1660+v4+%40+3.20GHz&LANG=en_US&INSERT=1&UID=XXXXXXXXXXXXXXXX&RAM=4&OSV=10.0.16299+16299&MAC=00%3A00%3A00%3A00%3A45%3A6B&OS=Microsoft+Windows+10+Pro

Comme vous pouvez le voir, ce message POST contient le vecteur d’initialisation (IV) et le mot de passe. Cela sera utilisé par le déchiffreur pour restaurer vos fichiers.

Si vous avez le PCAP qui va bien, et que vous voulez déchiffrer vos documents, je vous invite à télécharger le déchiffreur PyLocky ici.


Sécurité et vitesse pour votre connexion internet

Restez à l’abris des regards indiscrets

En règle générale, utiliser un VPN pour se connecter à internet a tendance à ralentir vos débits de connexions, c’est le cas pour afficher une simple page HTML ou accéder à d’autres catalogues de VOD comme ceux de NETFLIX. Le téléchargement de fichiers ou du flux vidéo en devient parfois saccadé.

Notre VPN vous propose Une bande passante illimitée et une sécurité renforcée avec un cryptage AES 256 et un système anti-empreintes digitales

Restez éfficace et anonyme


Le danger des contrôleurs RF dans les applications industrielles

Quand on pense « sécurité + systèmes industriels » d’un point de vue grand public, le premier truc qui vient à l’esprit est en général SCADA en place dans les usines, et qu’on peut parfois croiser au détour d’un Shodan ou autre.

On pense aussi à Windows Embedded pour les systèmes embarqués et son lot de vulnérabilités connues et parfois exploitées par des malwares.

Mais ce à quoi on pense un peu moins, ce sont les « télécommandes » qui permettent de contrôler ces fameuses machines dans les usines. Je dis « télécommandes » pour simplifier, mais il s’agit de contrôleurs RF (Radio Fréquence) qui permettent de piloter et d’envoyer des ordres comme on le ferait avec une voiture radiocommandée.

La société Trend Micro a publié un rapport à ce sujet où elle détaille les vulnérabilités les plus fréquentes que nous pouvons retrouver au niveau de ces contrôleurs RF, ainsi que les différentes mesures de sécurisation.

Trend Micro a classé les différentes attaques dans 5 grandes classes que voici, et les détaille ensuite dans son rapport.

Radio frequency remote controller weaknesses

Pour mener à bien ses attaques, il n’y a pas besoin forcement de grandes compétences, ni de matériel trop complexe. Avec un petit équipement radio (type RTL-SDR, BladeRF, Ettus, Yard Stick One, PandwaRF…etc.), et un peu de temps, il est possible pour un attaquant de rejouer des commandes, d’en injecter, voire de provoquer un genre de déni de service.

Exemple avec une injection de commande :

Ces attaques peuvent alors déboucher sur du vol de données, du sabotage, ou encore de l’extorsion en cas de chantage.

Ces attaques se réalisent en étant sur place où à une distance réduite de l’appareil (quelques minutes suffisent) mais peuvent aussi s’effectuer à distance au travers d’un poste mal sécurisé, connecté à Internet ou à un réseau compromis.

Dans son rapport, Trend Micro expose une étude de cas IRL dans une aciérie (fabricant d’acier) avec la méthode et les outils qui vont bien. C’est très intéressant à lire.

Évidemment, des contre-mesures existent et il est fortement recommandé de les mettre en place pour réduire la surface d’attaque :

Si le sujet vous intéresse, je vous invite fortement à lire ce rapport de Trend Micro, vraiment bien illustré, très clair et simple à comprendre pour les débutants que nous sommes tous 😉


Sécurité et vitesse pour votre connexion internet

Restez à l’abris des regards indiscrets

En règle générale, utiliser un VPN pour se connecter à internet a tendance à ralentir vos débits de connexions, c’est le cas pour afficher une simple page HTML ou accéder à d’autres catalogues de VOD comme ceux de NETFLIX. Le téléchargement de fichiers ou du flux vidéo en devient parfois saccadé.

Notre VPN vous propose Une bande passante illimitée et une sécurité renforcée avec un cryptage AES 256 et un système anti-empreintes digitales

Restez éfficace et anonyme


Événement Bug Bounty – Rendez-vous au FIC (Lille) la semaine prochaine !

Petite question : Que faites-vous les 22 et 23 janvier prochain ?

Si la réponse est « Pas grand-chose mon capitaine« , alors pourquoi ne pas sauter dans un train direction Lille pour assister au FIC, le Forum International de la Cybersécurité ? Bonne ambiance assurée, gens sympas, autocollants et goodies partout, et même si ça manque de barbecues, j’ai une bonne intuition concernant la bière 🙂

La bonne nouvelle c’est que j’y serai avec mes camarades de YesWeHack pour organiser pour la première fois dans tout l’univers et ses réalités alternatives, un Bug Bounty sur site tout à fait exceptionnel !

En effet, si vous voulez gagner de jolies récompenses (en euros !), des cadeaux de fou, et un hug de votre blogueur préféré, c’est très simple. Vous devez :

Ensuite, nous on se charge du reste, en vous offrant en exclusivité de nombreux périmètres d’ONG de renom et de projets CivicTech (Projets tech pour le bien commun si vous préférez) sur lesquels vous pourrez durant les 2 jours de salon, pratiquer votre art du ethical hacking afin de découvrir le plus de failles possibles, empocher un maximum d’argent et de cadeaux et devenir « famous » au niveau « worldwide » (si, si c’est comme ça qu’on dit en ch’ti).

Ça va être du gros délire.

Une fois sur place, pour nous trouver, ce sera très simple. Il suffit de chercher les stands E8 et E9 en vous référant au plan suivant :

N’oubliez pas non plus que nous recrutons pleine balle pour l’année qui vient, donc venez discuter avec nos équipes si vous êtes développeur, commercial ou autre..

On se voit là bas ?


Sécurité et vitesse pour votre connexion internet

Restez à l’abris des regards indiscrets

En règle générale, utiliser un VPN pour se connecter à internet a tendance à ralentir vos débits de connexions, c’est le cas pour afficher une simple page HTML ou accéder à d’autres catalogues de VOD comme ceux de NETFLIX. Le téléchargement de fichiers ou du flux vidéo en devient parfois saccadé.

Notre VPN vous propose Une bande passante illimitée et une sécurité renforcée avec un cryptage AES 256 et un système anti-empreintes digitales

Restez éfficace et anonyme


La Tesla Model 3 rootée

Le hacker Trsohmers a mis en ligne sur Reddit, une petite vidéo dans laquelle on peut voir l’ordinateur de bord de la Tesla totalement rootée, avec une distrib Ubuntu et tout ce qui va avec.

C’est trop cool 🙂

Et évidemment, en regardant cette vidéo, j’ai une petite pensée pour RatZillaS qui bosse aussi sur le sujet.

Rooter une voiture peut paraitre inutile, mais c’est d’intérêt public, car la direction que prend l’automobile est inquiétante : Des voitures connectées, sans cesse en communication avec le réseau du constructeur et dépendantes de celui-ci. Et cela pose de nombreux problèmes.

En effet, acheter une voiture connectée, c’est accepter d’acheter une voiture qui ne nous appartient pas totalement, car le constructeur peut agir dessus à distance ou donner accès à votre voiture à un tiers (assurances, forces de l’ordre…etc.). À partir du moment où la voiture est connectée, il est possible d’y faire des modifications à distance, récupérer de la donnée, la brider, voire la bricker ou la forcer à s’arrêter…

Pouvoir rooter sa voiture, voire la déconnecter du cloud du constructeur sera peut-être la seule possibilité de rester autonome en termes de déplacement dans les années à venir. Et vous pourrez, une fois de plus, dire merci aux hackers.

Source


Six conseils pour vous aider à éviter le marketing ciblé sur le Net



contenu proposé par ESET sécurité

Si vous en avez gros, que les sites d’achat vous envoient des messages « Je vois que vous avez regardé cet article, voici des choses similaires », alors ce qui suit peut vous intéresser

Vous arrive-t-il d’avoir l’impression que les annonceurs suivent vos moindres faits et gestes? Aujourd’hui, la plupart d’entre nous peuvent réciter une histoire tirée de notre propre expérience personnelle ou de celle d’un ami proche ou d’un membre de la famille, où une publicité avait une pertinence particulièrement effrayante.

Ce type de marketing ciblé n’est pas nécessairement malveillant, bien qu’il y ait toujours la possibilité d’une utilisation abusive de réseaux publicitaires légitimes. Et pour ceux d’entre nous qui sont sensibles à la protection de notre vie privée, cela peut s’avérer tout simplement perturbant. Si vous préféreriez que vos expériences de navigation vous donnent un peu moins l’impression d’être pourchassé par un médium, voici quelques conseils pour vous permettre de réduire le nombre d’annonces ciblées que …


Lire la suite


Windows Sandbox arrive bientôt

Si vous vous intéressez un peu à ce que fait Microsoft, une nouvelle mise à jour réservée pour le moment aux Insiders et estampillée Windows 10 19H1 preview build 18305, intègre quelques nouveautés sympas dont une qui mérite, je pense un petit article.

Cette nouveauté, c’est l’arrivée de Windows Sandbox. Cela va vous permettre de faire tourner de manière isolée et non persistante, des applications qui ne sont pas de confiance. Ainsi en cas de plantage ou de problème plus important, ces applications ne pourront en aucun cas impacter votre système Windows 10.

C’est un peu comme faire tourner une application dans une machine virtuelle, mais là, c’est natif à Windows 10.

Windows Sandbox se présente visuellement comme un second bureau Windows fenêtré dans lequel vous pouvez faire exactement la même chose qu’avec un Windows 10 classique, sauf qu’une fois que la fenêtre est refermée, tout disparait de manière définitive. Cela vous permettra de faire des expérimentations sur des softs un peu chelou, ou de l’analyse de malware si vous le désirez.

Pour installer Windows Sandbox, assurez-vous d’abord d’avoir la mise à jour build 18305, puis allez dans le Panneau de Configuration, Programmes et Fonctionnalités, Activer ou désactiver des fonctionnalités Windows et cochez « Windows Sandbox »

Vous trouverez plus de détails sur Windows Sandbox ici.

À voir maintenant comment les auteurs de malware vont faire pour échapper à cette nouvelle Sandbox 😉

Source


Sécurité et vitesse pour votre connexion internet

Restez à l’abris des regards indiscrets

En règle générale, utiliser un VPN pour se connecter à internet a tendance à ralentir vos débits de connexions, c’est le cas pour afficher une simple page HTML ou accéder à d’autres catalogues de VOD comme ceux de NETFLIX. Le téléchargement de fichiers ou du flux vidéo en devient parfois saccadé.

Notre VPN vous propose Une bande passante illimitée et une sécurité renforcée avec un cryptage AES 256 et un système anti-empreintes digitales

Restez éfficace et anonyme