Planète Warez

Depuis le 7/12/2021, la fondation Mozilla à lancer une nouvelle version stable de son navigateur : Firefox 95. Cette nouvelle version intègre une fonctionnalité attendue : RLBox, une nouvelle technologie de sandboxing qui devrait améliorer la sécurité offerte par Firefox.

8c5e9eca-0977-4a4a-b156-c582ed277ca2-image.png

Il y a plusieurs mois, cette fonctionnalité est rentrée en phase de test dans le cadre d’une version preview. Désormais, elle va occuper la prochaine version stable de Firefox et pour développer cette nouvelle sandbox, les développeurs de Mozilla n’ont pas travaillé seuls. En effet, RLBox a été codéveloppé par Mozilla, mais aussi l’Université de Californie située à San Diego, l’Université du Texas à Austin et l’Université Stanford. Bien qu’intégré à Firefox, RLBox reste un projet autonome (voir le projet sur GitHub) alors il pourrait être exploité par d’autres logiciels par la suite.

La technologie RLBox sépare les bibliothèques tierces et le code natif d’une application en s’appuyant sur WebAssembly. Les premiers modules isolés sont Graphite, Hunspell, Ogg, Expat et Woff2. Si une attaque touche l’une de ces bibliothèques tierces, alors elle sera bloquée par Firefox et RLBox. Grâce à ce mode de fonctionnement, même une vulnérabilité de type zero-day serait bloquée par ce mécanisme de sécurité.

En fait, puisque les modules sont isolés les uns des autres grâce à la sandbox, une vulnérabilité présente dans un module ne peut plus affecter un autre module, pour ensuite agir au niveau du système d’exploitation.

Cela répond à une problématique majeure rencontrée avec la majorité des navigateurs, comme l’explique Bobby Holley sur le site Mozilla :

"Tous les principaux navigateurs exécutent le contenu Web dans une sandbox pour isoler les processus, en théorie pour protéger le système d’exploitation contre l’exploitation d’une vulnérabilité contenue dans le navigateur et qui permettrait de compromettre l’ordinateur.

Sur les versions Desktop de Firefox, le navigateur isole chaque site dans un processus différent dans le but de protéger les sites les uns des autres. Malheureusement, les hackers utilisent très souvent la combinaison de deux vulnérabilités : une pour compromettre le processus sandboxé (isolé) contenant le site malveillant, et l’autre pour s’échapper de la sandbox. Pour assurer la sécurité de nos utilisateurs contre les adversaires les mieux armés, nous avons besoin de plusieurs couches de protection."

D’où cette volonté d’isoler les modules du navigateur les uns des autres grâce au sandboxing RLBox.

Vous pouvez obtenir plus d’informations sur RLBox en suivant ce lien : Firefox 95 - Annonce officielle.

SOURCES: Zdnet - it-connect

@rapace heureusement non, mais il y a 10 ans il en restait quelques unes, je ne suis même pas sûr que l’option existe encore sur les boxs actuelles pour faire ce test.

Attention, Tails est loin d’un Kali qui elle est plutôt utiliser par des Pentesters ou des gens voulant apprendre la sécurité IT par l’attaque/défense ou des gens ayant des connaissances dans les outils présents dans la distrib.

Utiliser Kali au quotidien hors de contexte est un non sens pour moi m^me si c’ets tout à fait faisable.

Tails est de toute façon non installable donc pas de dualboot à prévoir.

“Le projet autorise les cochons à se trouver tout près de la piste d’envol”

Ils vont prendre cher les cochons 🙂

c’est le nouveau nom du covid ?

plus sérieusement ils ont du faire analyser les smartphones après les revelations qu’on a eu il y a quelques temps, et il doit y en avoir bien plus que 5

@psyckofox Il a dû laisser faire les mises à jour du navigateur, comme quoi, il ne faut pas sous-estimer les ancêtres. 😉

On ne peut pas espérer non plus qu’un service légal ne respecte pas la légalité (ou alors c’est un bandit et potentiellement un voleur 🙂 ).

Même le darknet n’est pas à l’abri.

Il faut juste faire la part des choses et essayer de ne pas faire partie des cibles privilégiées…

Arnaque au faux conseiller bancaire : “C’est plus simple que vendre du shit”, un escroc raconte les dessous du piratage

573e19b6-becc-40dd-93b1-5a17a584c76e-image.png

Comment des escrocs peuvent-ils tromper les clients de différentes banques, en maîtrisant le moindre détail de leur adresse et de leur civilité? L’un d’eux nous livre les ficelles d’un juteux business, qui séduit des arnaqueurs de plus en plus jeunes.

Au petit jeu des arnaques aux faux conseillers bancaires, les escrocs ne sont jamais seuls à tirer les ficelles. Si une personne peut se faire passer pour un faux conseiller bancaire, c’est qu’elle a pu se procurer les informations personnelles soutirées, en ligne, par un autre hacker. “Il y a souvent quatre coupables, qui ne se connaissent pas”, explique ainsi un homme, qui prétend avoir observé de très près le ballet des faux conseillers bancaires.

La première étape est le “spoofing”. Par le biais d’un SMS frauduleux, un hacker parvient à mettre la main sur vos données personnelles. "Le plus courant, ce sont les fausses amendes de stationnement, issues d’une interface reproduisant la plateforme gouvernementale ANTAI à la perfection. Pour ne pas payer une amende forfaitaire majorée, les victimes payent en ligne indiquant leur nom, prénom, adresse et livrant également le numéro de leur carte bancaire, sa date d’expiration et son précieux cryptogramme.

Vend coordonnées bancaires sur Internet

Ce sont ces données que le hacker va monétiser sur Internet, et à en croire notre source, les récupérer est un jeu d’enfants et ne coûterait qu’une vingtaine d’euros, sur des groupes privés, en ligne. Un business alléchant qui attirerait de plus en plus de mineurs, bien souvent collégiens, qui voient là une façon facile, et peu chère de se faire de l’argent. “C’est plus simple que vendre du shit”, ironise l’arnaqueur. On l’a vu, dans l’actualité, de nombreux jeunes ont récemment été interpellés, soupçonnés d’être à la tête d’un trafic informatique, depuis leur chambre.

En possession des coordonnées personnelles et des numéros de carte bleue, ces pirates ont le champ libre pour piéger leurs victimes et ils savent très bien qui viser. “Si la personne répond au SMS, on sait déjà qu’elle peut tomber dans le piège, on cible les personnes faibles”, confie le “spécialiste”. Il faut ensuite savoir inquiéter la personne tout en la mettant en confiance, poursuit ce dernier. Dire qu’il y a urgence, mais que si la victime fait ce qu’il faut, il n’y aura aucun problème…

Des virements directs

“Il faut dire que le paiement qu’ils doivent valider sur leur application bancaire n’est qu’une empreinte bancaire, qu’elle permet l’annulation de la transaction, ce qui est faux. Au bout du fil, l’escroc procède au paiement”, détaille notre source. Ce dernier révèle même qu’une nouvelle forme d’arnaque se développe, elle permet des virements instantanés sur le compte des faux conseillers bancaires. “On dit que leur compte est infecté et qu’il faut le sécuriser. Ils virent alors leurs fonds sur ce qu’on appelle un livret de sécurité. Mais il s’agit en fait de notre compte bancaire…”, explique notre témoin.

“Il ne faut pas imaginer qu’il y a une mafia organisée derrière tout ça”, commente-t-il. “Simplement des personnes douées en informatique qui soutirent des données personnelles et d’autres, qui saisissent l’opportunité de les acheter, et de les utiliser”.

Source: https://www.ladepeche.fr/2024/03/10/arnaque-au-faux-conseiller-bancaire-cest-plus-simple-que-vendre-du-shit-un-escroc-raconte-les-dessous-du-piratage-11810725.php

Depuis au moins février 2021, le logiciel Pegasus était capable d’exploiter une faille informatique, repérée par des chercheurs de Citizen Lab, pour infecter des appareils d’Apple sans même que l’utilisateur n’ait cliqué sur un lien ou bouton piégé.

Le logiciel PEGASUS utilisait une méthode, baptisée FORCEDENTRY, qui ciblait la bibliothèque de rendu des images d’Apple, et fonctionnait contre les appareils Apple iOS, MacOS et WatchOS», les systèmes d’exploitation des mobiles, ordinateurs et montres connectées de la marque à la pomme.

Citizen Lab avait joué un rôle clef dans l’exposition au grand jour du scandale d’espionnage de masse via Pegasus en juillet. D’après les associations Amnesty et Forbidden Stories, l’affaire concerne une liste de 50 000 numéros de téléphone dans le monde sélectionnés depuis 2016 par les clients de NSO.

Source et plus: https://www.letemps.ch/economie/apple-repare-une-faille-informatique-liee-logiciel-despionnage-pegasus

@violence a dit dans Proton mail peut être contraint à livrer des adresses IP. :

@Nios

ba c’est pas bien malin 😉

Je pense qu’ils vont l’apprendre à leur dépens.
Ça m’étonnerait que la DMCA ne saute pas sur l’occasion…

@orphancia Coucou l’ami,
« Les gens ont tout à fait le droit d’être à la fois des moutons et des pigeons, hein ! »
Pour ce qui est des moutons, les humains sont considérés génétiquement grégaire, pas vraiment de quoi ironiser. Quant aux « pigeons », tout a été fait pour rapprocher culturellement l’humanité au plus près de ces volatiles; soit brutalement, comme en Chine, ou d’une manière sournoise et vicieuse dans nos pays occidentaux, tout ça pour mater les surexcités, les fébriles, les bouillonnants et autres agités de la cafetière.
Ainsi, à l’instar des poules et autres animaux domestiques, il y a une élite qui nous offre « gîte et couvert » et une autre (hélas) qui se charge de réfléchir à notre place. Attention, il ne s’agit pas là de guide spirituel pour nous apprendre à penser, mais de véritables châtreurs de la diversité culturelle.

Deux mille ans d’histoire nous montrent que l’idéologie n’a pas changé. L’apport de la technologie ne fait que renforcer cette tendance à faire des hommes des légumes. La TV par exemple : une vision du monde déformée et étriquée, identique à celle d’un poisson rouge dans son bocal.
Les sports ? = foot, pognon, grosses voitures, filles superbes… Ça, c’est du sport, les jeux du cirque des temps modernes. Pour la spiritualité et le monde d’en haut, les religions, je n’en parle même pas.

Que veux-tu , nous vivons dans un monde qui tente de nous faire croire que nous sommes déjà presque au paradis et que l’enfer c’est les autres. Les moyens diffèrent le résultat est le même : soumettre et asservir.
Et les smartphones dans tout ça ? me direz-vous ma p’tite dame. Les fabricants de smartphones apportent leurs contributions aux systèmes répressifs, mais ce n’est que l’épaisseur du trait en fin de compte.:byebye:

Oui mais nos contacts, il suffit juste qu’ils ont ce fléau dans leur smartphone, tablette etc, et nous faire un petit coucou ou nous envoyer une photo, pour que notre bidule soit lui aussi contaminé par cette daube.
Donc pas évident cette histoire (en faites la solution ultime c’est de ne plus avoir de smartphone)

👇 Archivé et retranscris dans le wiki 😉

https://wiki.planete-warez.net/informatique/selfhosted/squid-squidguard

@Raccoon

Merci, je suis en train de remettre petit à petit mes tutoriels que j’avais fait sur WS. J’en ai récupéré quelques uns 🙂