Aller au contenu

État et surveillance

Antoninov

Par Antoninov,
dans Science et technologie

Messages recommandés

Hayek's plosive

Hayek's plosive

Posté
Posté

Kaspersky qui prend la NSA la main dans le sac:

 

Russian researchers expose breakthrough U.S. spying program

 

 

The firm declined to publicly name the country behind the spying campaign, but said it was closely linked to Stuxnet

 

photo.jpg

 

 

Peter Swire [...] said the Kaspersky report showed that it is essential for the country to consider the possible impact on trade and diplomatic relations before deciding to use its knowledge of software flaws for intelligence gathering.

 

C'est pas nous, c'est les boites qui laissent des failles, et nous on fait que les exploiter, hein.

 

 

"There can be serious negative effects on other U.S. interests," Swire said.

 

lolface.png

 

 

Western Digital, Seagate and Micron said they had no knowledge of these spying programs. Toshiba and Samsung declined to comment. IBM did not respond to requests for comment.

 

e_b8ee8bed.jpg

 

Lien vers le commentaire
h16

h16

Posté
Posté

Oops, mince alors, les services de renseignements de l'Etat français se sont aussi fait prendre la main dans le sac...

 

http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france

 

http://www.cyphort.com/babar-suspected-nation-state-spyware-spotlight/

Le nom du virus ...

Les capacités (à peine plus qu'un keylogger) ...

Le code source avec du franglish et des octets et pas des bytes ...

Y'a encore du progrès à faire pour atteindre Equation.

Lien vers le commentaire
Mathieu_D

Mathieu_D

Posté
Posté

Le nom du virus ...

Les capacités (à peine plus qu'un keylogger) ...

Le code source avec du franglish et des octets et pas des bytes ...

Y'a encore du progrès à faire pour atteindre Equation.

Y-z-ont l'air de dire que c'est quand même du bon boulot :

According to Marschalek, Babar is not “very sophisticated,” but is highly targeted and a “very good software, above the level of what kind of 'products' a malware analyst gets to see on a daily basis.”

Lien vers le commentaire
Theor

Theor

Posté
Posté

Déjà, il hook des API et s'insère dans le code système à peu près proprement pour échapper à la détection. D'autres auraient pu se contenter d'un processus discret avec son propre PID, bien visible. Le fait qu'il soit l'oeuvre d'un Etat n'en reste pas moins hautement discutable d'un point de vue éthique, c'est surtout ça qui me gêne avec ce malware.

Lien vers le commentaire
Hayek's plosive

Hayek's plosive

Posté
Posté

News tombée hier soir, la NSA et GCHQ qui volent les clés d'encryption de Gemalto:

 

https://firstlook.org/theintercept/2015/02/19/great-sim-heist/

 

The hack was perpetrated by a joint unit consisting of operatives from the NSA and its British counterpart Government Communications Headquarters, or GCHQ.

 

The company targeted by the intelligence agencies, Gemalto, is a multinational firm incorporated in the Netherlands that makes the chips used in mobile phones and next-generation credit cards. Among its clients are AT&T, T-Mobile, Verizon, Sprint and some 450 wireless network providers around the world.

 

L'action Gemalto perd 7% à l'ouverture des marchés.

Lien vers le commentaire
neuneu2k

neuneu2k

Posté
Posté

J'ai été camarade de promo avec pas mal de gens qui ont fini chez gemalto, ça ne m'étonne pas du tout, toute l'industrie de la puce "sécurisée" est gerée comme une industrie electronique grand public "normale" et ne prends pas du tout en compte les risques spécifiques à leur métier, si les militaires utilisent du matériel spécifique hors de prix et pas des trucs du marché, contrairement aux apparences, ce n'est ni pour leur cout prohibitif ni pour leur retard technologique majeur, mais bien parce que le matériel d'authentification par puce grand public est une passoire.

 

Et oui, c'est pareil pour votre carte bleue, ce n'est que l'incompétence généralisée des criminels, et le fait qu'il est encore plus simple d'aller voler les informations sur internet, qui sécurisent les transactions au niveau de l'endpoint "user", pas la qualité de l'implémentation cryptographique et encore moins le soin pris pour proteger les certificats racines et autres clefs privées "constructeur" à la source, on peut avoir une clef dans une puce extremement sécurisée, avec tous les méchanismes de défense contre le reverse engeenering qu'on veut dans le hardware livré, si la meme clef traine sur un pauvre share windows dans la boite qui fabrique la puce, il y à des moyens bien moins chers qu'un labo hyper-équipé et un microscope à effet tunnel pour aller la lire.

 

RSA sors du lot par rapport a ses concurrents de ce point de vue, mais le prix de leurs solutions est un peu prohibitif pour le grand public, et ça reste "nettement au dessus de médiocre, mais pas non plus magnifique".

 

Lien vers le commentaire
Poil à gratter

Poil à gratter

Posté
Posté

RSA sors du lot par rapport a ses concurrents de ce point de vue, mais le prix de leurs solutions est un peu prohibitif pour le grand public, et ça reste "nettement au dessus de médiocre, mais pas non plus magnifique".

RSA, c'est pas cette boîte qui a été payée par la NSA pour introduire une vulnérabilité dans leur implémentation? :)

 

 

Lien vers le commentaire
neuneu2k

neuneu2k

Posté
Posté

RSA, c'est pas cette boîte qui a été payée par la NSA pour introduire une vulnérabilité dans leur implémentation? :)

 

Si, mais personne de serieux n'utilisait l'option, RSA l'a implémentée mais ne l'a jamais recommandée, ils l'ont probablement integré à reculon, je sais ce que c'est de se faire imposer un standard de merde, en général, ça énerve le developpeur, et il l'implémente de façon à ce qu'il soit chiant pour l'utilisateur.

Lien vers le commentaire
Poil à gratter

Poil à gratter

Posté
Posté

Si, mais personne de serieux n'utilisait l'option, RSA l'a implémentée mais ne l'a jamais recommandée, ils l'ont probablement integré à reculon, je sais ce que c'est de se faire imposer un standard de merde, en général, ça énerve le developpeur, et il l'implémente de façon à ce qu'il soit chiant pour l'utilisateur.

Mouais, ils resteront tout de même à jamais entâchés de suspicion de mon point de vue. Par curiosité, ils ont quoi d'intéressant comme solution?

Lien vers le commentaire
Hayek's plosive

Hayek's plosive

Posté
Posté

 

Once you grant the government some new power or authority, it becomes exponentially more difficult to roll it back. Regardless of how little value a program or power has been shown to have (such as the Section 215 dragnet interception of call records in the United States, which the government's own investigation found never stopped a single imminent terrorist attack despite a decade of operation), once it's a sunk cost, once dollars and reputations have been invested in it, it's hard to peel that back.

Don't let it happen in your country.

 

http://www.reddit.com/r/IAmA/comments/2wwdep/we_are_edward_snowden_laura_poitras_and_glenn/

Lien vers le commentaire
L'affreux

L'affreux

Posté
Posté

Un mélange de geekisme, d'histoire et de crypto :

https://www.bakchich.info/france/2015/02/24/la-debacle-de-juin-1940-expliquee-par-la-nsa-63915

La débâcle française de 40 expliquée par le décryptage des transmissions par les Teutons...

Très intéressant.

Ne pas rater le site cité en commentaire : http://www.ticomarchive.com/ .

Lien vers le commentaire
  • 3 weeks later...
Lonely Boy

Lonely Boy

Posté
Posté

Outre le blanc-seing que compte accorder le Gouvernement aux agences de renseignement :

 

http://www.lemonde.fr/societe/article/2015/03/17/le-renseignement-ne-sera-plus-hors-la-loi_4595030_3224.html

 

Ce que critique la CNIL :

 

http://www.lemonde.fr/pixels/article/2015/03/18/les-critiques-de-la-cnil-contre-le-projet-de-loi-sur-le-renseignement_4595839_4408996.html

 

Le Gouvernement compte de nouveau limiter les payements en espèce :

 

http://www.lemonde.fr/societe/article/2015/03/18/terrorisme-le-gouvernement-s-attaque-aux-paiements-en-liquide_4595828_3224.html

Lien vers le commentaire
  • 4 weeks later...
Hayek's plosive

Hayek's plosive

Posté
Posté

 

 

Now it's BIN brother: Fury as council installs tracking technology to 'spy' on residents who put their rubbish out late 
  • Local authority wants to monitor who has their bin out at the right time
  • New scheme will see binmen log when people put out their rubbish
  • But residents are furious about the 'heavy-handed' new system, which is expected to cost taxpayers thousands of pounds
  • City hall chiefs insist it will stop binmen having to return to houses

 

http://www.dailymail.co.uk/news/article-3036926/Council-installs-tracking-technology-spy-residents-rubbish-late.html

Lien vers le commentaire
  • 1 month later...
Bézoukhov

Bézoukhov

Posté
Posté

Et l'avocate générale de dire :
 

« Comme tout le monde dans la salle, je n’ai pas compris le quart de ce qui a été dit aujourd’hui, mes enfants auraient mieux compris que moi, mais il faut condamner [bluetouff] »

 

Si elle est pas apte à juger, pourquoi elle se dé saisit pas de l'affaire ? On est vraiment entouré de guignols...

Lien vers le commentaire
  • 2 weeks later...
Tramp

Tramp

Posté
Posté

 

 

It requires no imagination, however, to discover what TSA screeners are not catching. Earlier this week, ABC News reported that undercover security testers were able to pass prohibited items, including simulated explosives and weapons, through the TSA’s systems on 67 out of 70 attempts—a 95 percent failure rate.

 

http://reason.com/blog/2015/06/03/the-tsa-is-useless-but-have-you-seen-the

Lien vers le commentaire

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
Aller sur la liste des sujets
×
×
  • Créer...