Un outils pour Linux pour faire de l'escalation privilege en exploitant diverses failles.

Ah ! On entend reparler de cette incroyable histoire de piratage à grande échelle (cf. https://sebsauvage.net/links/?JhDBgQ)
Article source : https://www.bloomberg.com/features/2021-supermicro/

Tentative d'empoisonnement des citoyens d'une ville via le piratage d'ordinateurs dans la station de traitement de l'eau en augmentant les concentrations d'hydoxide de sodium utilisé dans le traitement de l'eau. Ils ont pu corriger les régagles avant que ça fasse des dégâts.

Donc la fondation Raspberry a ajouté VSCode à Raspbian (dérivé de Debian), en ajoutant les dépôts Microsoft. Sans prévenir les utilisateurs.
Donc à chaque fois que vous faites une mise à jour sur votre OS, ça ping les serveurs de Microsoft.
Donc en gros tous les Raspberry pinguent les serveurs de Microsoft à chaque mise à jour.

Encore plus rigolo: ça installe les certificats Microsoft de signature de paquets.
Et donc votre distribution installera sans broncher les dépendances que Microsoft jugera bon d'installer. Depuis les dépôts Microsoft.

Voilà pourquoi quand il s'agit de logiciels auxquel je n'accorde qu'une confiance limitée:
- je ne les installe pas en ajoutant dépôt+clé du dépôt, mais juste avec le .deb.
  - et après installation du .deb, je vérifie qu'il n'a pas ajouté une source apt et une clé.
- je fais tourner ces logiciels dans firejail pour qu'ils n'accèdent pas à mes fichiers personnels.

Faites attention aux dépôts que vous ajoutez à votre distribution: Le dépôt peut vous installer n'importe quoi à l'occasion d'une mise à jour.
Faites-vous confiance au dépôt que vous avez ajoutés ?

EDIT: Voici le commit à la source du problème: https://github.com/RPi-Distro/raspberrypi-sys-mods/commit/655cad5aee6457b94fc2336b1ff3c1104ccb4351

Mort de rire: Des enfants ont réussi à bypasser la protection de mot passe d'économiseurs d'écran Linux en provoquant un coredump en tapant comme des malades des touches au clavier.  Pouah !

Vous avez cliqué "Se connecter avec Google" sur une application ? Les développeurs ont la possibilité d'accéder à la totalité de votre compte Google en exploitant une faille pas trop complexe. Espérons que Google va rapidement combler cette faille.

Tiens je suis tombé sur ce petit scanner de vulnérabilités pour site web. Il est assez sympa.
Il faut également prendre les templates: https://github.com/projectdiscovery/nuclei-templates
ou mettre à jour les templates: ./nuclei --update-templates
puis lister les templates disponibles: ./nuclei -tl

Puis scanner un site en choisissant la template:
echo "http..." | nuclei -t files/
echo "http..." | nuclei -t cves/
etc.

Les différents types de SSD. Et comment effacer un SSD.

Donc un nouveau malware recherche des failles de sécurité dans certains UEFI pour les infecter.
Effet Kisscool n°1: La machine n'est pas désinfectable.
Effet Kisscool n°2: Le système d'exploitation ne voit même pas l'infection, puisque le rootkit est chargé un niveau au dessus.
Effet Kisscool n°3: SecureBoot lui-même ne sert absolument à rien car le rootkit se place avant SecureBoot. Donc oui l'OS est chargé sans modification, la signature crypto n'est pas altérée. Mais la machine est quand même infectée.

Ne laissez jamais un chargeur branché sans surveillance.

Sous le coude: Une alternative moderne à fail2ban.

En même temps, une plateforme qui a MENTI à ses utilisateurs depuis le début sur la sécurité (https://sebsauvage.net/links/?gGXjUA), je ne vais pas les pleurer.

Exemple de piratage d'un système et son investigation.

TL;DR: Faire une chose comme changer le port par défaut de son serveur ssh, ce n'est pas "Security by Obscurity", c'est augmenter les ressources nécessaires à l'attaquant pour s'en prendre à vous.
D'autres exemple sont donnés dans cet article.

WOAO.
Un malware utilise le résolveur DNS chiffré de Google (DNS-over-HTTPS) pour transférer une payload vers le client, maquillée en signature DKIM dans la réponse DNS.  
Pas con du tout: Aucun admin réseau ne va s'amuser à filtrer le domaine google.com.
Et le botnet peut ainsi transférer des données customisées en fonction de l'IP du client, le tout en passant par le domaine de Google.
En l'occurrence, la payload contient des adresses IP de serveurs de contrôle (ce qui permet à l'attaquant de changer dynamiquement ses serveurs de contrôles).

Rappel: En 2003, quelqu'un a essayé de mettre une backdoor dans Debian. Une backdoor qui aurait permis d'obtenir les droits administrateur sur une machine (aka "privilege escalation").
La backdoor, dans le code, consistait à mettre "=" à la place de "==".  Juste ça. Devil is in the details.

Fuite de données massive chez Intel. Le plus inquiétant, c'est la mention de "backdoors" dans les documents, ce qui laisse présager des failles de sécurité assez importantes.
On laisse les spécialistes étudier ça (20 Go de données, ça prend du temps à étudier), on verra ce qu'il en décante.

Quand ton site compromis est compromis  :-D
On notera quand même la stupidité des hackers qui ont a priori utilisé le même mot de passe partout ^^

Exemple de service vpn de merde qui est vendu comme ne gardant aucun log, mais qui s'est fait pirater : en réalité, non seulement ils gardaient les logs, mais ils les avaient balancés dans un ElasticSearch (donc a priori pour chercher des choses dedans), et pire que tout, ils avaient aussi gardé les clés de session, permettant le déchiffrement éventuel a posteriori du trafic capturé.

https://securite.developpez.com/actu/307273/Sept-VPN-gratuits-ont-expose-les-donnees-personnelles-de-20-millions-d-utilisateurs-via-un-serveur-Elasticsearch-non-securise/

Voir aussi : https://forum.malekal.com/viewtopic.php?p=494987

Un article très complet.

WOAOO.
C'est une forte incompétence.
N'importe quelle banque digne de ce nom utilise des boîtiers NetHSM conçus pour que la clé ne soit pas extractible, et le boîtier non volable.
La sécurité, c'est un métier.

Sous le coude : comment configurer ssh pour faire de l'authentification à double facteurs (2FA)

Ok donc certains sites web utilisent WebRTC pour voir quels ports sont ouvert sur votre machine ?
ET PUIS QUOI ENCORE ???

EDIT: liste de site qui portscannent : https://www.bleepingcomputer.com/news/security/list-of-well-known-web-sites-that-port-scan-their-visitors/

Tiens Microsoft et Google sont sur le point de virer l'authentification HTTP Basic (envoie du login et mot de passe directement dans les entêtes HTTP).
Enfin... pas tout de suite.