Daily - January 13, 2016 - Les liens de Jim

Delete Set public Set private Add tags Delete tags

Daily Weekly Monthly

Daily Shaarli

Previous day

All links of one day in a single page.

Next day

January 13, 2016

IANA — WHOIS Service

Purée, le MIT a un /8 rien que pour lui.

Et j'apprends que sur le campus, un DHCP distribue ces ip's publiques librement (http://unhandled.com/2013/01/12/the-truth-about-aaron-swartzs-crime/)

Pendant ce temps, certains se tapent de CGNAT

Réseau MIT Internet Routing

BREVES | Responsabilité : un blog est un espace de contribution personnelle | Legalis.net

Pour ceux qui en doutaient...

Droit TIC

Fortinet tries to explain weird SSH 'backdoor' discovered in firewalls • The Register

Encore une backdoor ^W un problème avec l'identification automatisée trouvée dans un os de Firewall. Ça s'arrêtera donc jamais ces conneries?

Sécurité Réseau Firewall

mycli et pgcli, de vrais clients SQL - AdminRezo

Clients cli MySQL et PostregreSQL avec coloration syntaxique et autocompletion.
En Python. Et donc installables via Pip
Sympa.

Python Mysql

EXFiLTRATED

Récit d'une intrusion dans l'infra de Instragram, en mode white-hat.

Intéressant, et dingue la très rapide escalade d'accès.

SZABÓ AND VISSY v. HUNGARY

Arrêt CASE OF Szabó et Vissy contre Hongrie.

For the Court, it is a natural consequence of the forms taken by present-day terrorism that governments resort to cutting-edge technologies in pre-empting such attacks, including the massive monitoring of communications susceptible to containing indications of impending incidents. The techniques applied in such monitoring operations have demonstrated a remarkable progress in recent years and reached a level of sophistication which is hardly conceivable for the average citizen (see the CDT’s submissions on this point in paragraphs 49-50 above), especially when automated and systemic data collection is technically possible and becomes widespread. In the face of this progress the Court must scrutinise the question as to whether the development of surveillance methods resulting in masses of data collected has been accompanied by a simultaneous development of legal safeguards securing respect for citizens’ Convention rights.

--> La Cour trouve que c'est naturel d'utiliser du DPI et de l'interception de masse, face aux formes actuelles du terrorisme. Elle nuance cette assertion en assurant que cette montée en moyens de surveillance doit être accompagnée d'une montée des garde-fous pour les droits fondamentaux

Elle rappelle que dans sa jurisprudence Kennedy, elle avait spécifié que l'absence de violation de la convention était entre autre due à l'absence d'autorisation de capture "indiscriminée d'une vaste quantité de communications".

Rappel de la nécessité que les mesures soient strictement nécessaire dans une société démocratique --> classique

given the particular character of the interference in question and the potential of cutting-edge surveillance technologies to invade citizens’ privacy, the Court considers that the requirement “necessary in a democratic society” must be interpreted in this context as requiring “strict necessity” in two aspects. A measure of secret surveillance can be found as being in compliance with the Convention only if it is strictly necessary, as a general consideration, for the safeguarding the democratic institutions and, moreover, if it is strictly necessary, as a particular consideration, for the obtaining of vital intelligence in an individual operation.

--> Tout est dit, non?

Given that the scope of the measures could include virtually anyone, that the ordering is taking place entirely within the realm of the executive and without an assessment of strict necessity, that new technologies enable the Government to intercept masses of data easily concerning even persons outside the original range of operation, and given the absence of any effective remedial measures, let alone judicial ones, the Court concludes that there has been a violation of Article 8 of the Convention.

Issue 693 - google-security-research - TrendMicro node.js HTTP server listening on localhost can execute commands - Google Security Research - Google Project Hosting

Donc, TrendMicro (éditeur d'anti-virus) a développé un gestionnaire de mots de passe, installé par défaut avec son antivirus.
Celui-ci est basé sur node.js, et expose une septantaine d'API en local.

Un de ces API appelle directement ShellExecute(), et lui passe ses arguments. Du coup, on peut faire exécuter n'importe quelle commande sur le système, depuis n'importe quel site. (on a pas le résultat de cette commande parce que la Same-Origin policy empêche de choper les données issue de localhost).

Une autre de ces API lance une veille version de Chrome, en lui mettant l'option --disable-sandbox

Une troisième permet de lancer l'export des mots de passe des navigateurs vers le navigateur "sécurisé" fourni, alors qu'un appel vers la seconde permet de rassembler tous ces mots de passe.

Ça fait peut quand même.