juillet 8th, 2010

« Facebook n’a pas amélioré sa politique de préservation de la vie privée, elle l’a simplement modifiée ». Propos tenus par Chester Wisniewski de Sophos.

Un nouveau journal en ligne pour les professionnels de sa sécurité et de la recherche de preuves : Digital Forensics Magazine

Qube, le « système à VM kleenex » de Rutkowska, attaque sa seconde phase alpha. Des captures qui donnent envie, des améliorations dans les domaines graphiques, sonores et réplication/backup

Nettoyeur de BDR pour machine grand public : il s’appelle F-Secure PC Booster Beta. C’est là un produit signé F-secure… et c’est une préversion avec ses risques potentiels

Roger Thomson, le Chief Research Officer d’AVG, publie sur le blog de l’entreprise un article d’un niveau technique relativement insignifiant, mais d’une profondeur insondable d’un point de vue humain. En fouillant dans le marais des messages Facebook, Thomson est tombé sur l’une de ces nombreuses alertes incitatives invitant à visualiser une séquence vidéo. Peu importe la « charge utile » ou l’escroquerie sous-jacente. C’est surtout le contenu du message d’incitation qui est étonnant, puisqu’il demande à la « victime » d’effectuer un couper-coller d’un texte vers le champ de saisie d’adresse de son navigateur. Un texte qui n’est rien d’autre qu’un javascript.

Sur les quelques 600 000 personnes ayant visité cette page –et qui, par le truchement d’un automatisme, se sont vues déclarer « aimer cette vidéo »- combien ont réellement effectué ce couper-coller ? Combien de temps encore pourra-t-on lire des bulletins d’alertes émis par les différents éditeurs expliquant que telle ou telle faille ne mérite nullement le qualificatif de « critique » compte tenu du fait qu’elle demande une « strong user interaction » ? la dissociation –voir la totale ignorance- de l’élément humain dans l’appréciation technique de l’exploitation d’une faille est encore le dernier rempart de certains fonctionnaires-comptables de la sinistralité logicielle dont le rôle est de maintenir les statistiques en deçà d’un certain seuil. Avec deux doigts de psychologie, l’on peut tout exiger d’une victime : saborder son propre ordinateur ou adopter n’importe quel comportement à risque. Mais contre çà, il n’existe aucun « patch ».

Brian Krebs nous apprend que les identités d’inscription de près de 4 millions d’utilisateurs de Pirate Bay  –notamment nom d’utilisateur et adresse email- auraient été accessibles via plusieurs attaques par injection SQL conduites par un hacker Argentin du nom de Ch Russo. Les données en question n’ont fait l’objet d’aucune modification ou communication à un industriel du divertissement, affirme le chercheur. Lequel n’aurait publié le résultat de son hack que pour sensibiliser les administrateurs de Pirate Bay et de ses usagers des carences de sécurité du site.
Bien sûr, aucun des lecteurs de CNIS Mag n’a pu être identifié au fil de ce fichier, exception faite de quelques chercheurs s’étant inscrits à des fins de pure analyse et intérêt professionnel …