Computrace - Le mouchard universel présent sur les PC, Mac et appareils Android Et si je vous disais qu'il y a dans votre ordinateur un mouchard que vous ne pouvez pas enlever, qui a été mis en place par le constructeur, qui est sur les listes blanches de la plupart des antivirus et dont vous n'avez jamais entendu parler ? La société Kaspersky, spécialisée dans la détection et l'élimination de malware a débusqué il y a quelques mois un logiciel installé sur plus de 2 millions d'ordinateurs de par le monde qui est commercialisé par la société Absolute et qui permet OFFICIELLEMENT : De sécuriser les données d'un parc de postes à distanceDe déployer toujours à distance des mises à jour, des licences ou de lancer des auditsDe géolocaliser des ordinateurs volésDe produire des rapports concernant les machinesDe récupérer des fichiersD'effacer à distance des documents ou tout le disque dur Et qui est OFFICIEUSEMENT un trou béant dans la sécurité de votre ordinateur, car il peut être utilisé par un attaquant pour faire ce qu'il veut sur votre PC. Angoisse ! Mais alors ?
existential type crisis : Diagnosis of the OpenSSL Heartbleed Bug When I wrote about the GnuTLS bug, I said that this isn't the last severe TLS stack bug we'd see. I didn't expect it to be quite this bad, however. The Heartbleed bug is a particularly nasty bug. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication. How could this happen? The fix starts here, in ssl/d1_both.c: int dtls1_process_heartbeat(SSL *s) { unsigned char *p = &s->s3->rrec.data[0], *pl; unsigned short hbtype; unsigned int payload; unsigned int padding = 16; /* Use minimum padding */ So, first we get a pointer to the data within an SSLv3 record. Records have a type, a length, and data. /* Read type and payload length first */hbtype = *p++;n2s(p, payload);pl = p; The first byte of the SSLv3 record is the heartbeat type. The variable pl is then the resulting heartbeat data, supplied by the requester.
The Heartbleed Hit List: The Passwords You Need to Change Right Now An encryption flaw called the Heartbleed bug is already being dubbed one of the biggest security threats the Internet has ever seen. The bug has affected many popular websites and services — ones you might use every day, like Gmail and Facebook — and could have quietly exposed your sensitive account information (such as passwords and credit card numbers) over the past two years. But it hasn't always been clear which sites have been affected. Mashable reached out to some of the most popular social, email, banking and commerce sites on the web. Some Internet companies that were vulnerable to the bug have already updated their servers with a security patch to fix the issue. Although changing your password regularly is always good practice, if a site or service hasn't yet patched the problem, your information will still be vulnerable. Also, if you reused the same password on multiple sites, and one of those sites was vulnerable, you'll need to change the password everywhere. Social Networks
Heartbleed : faille critique pour OpenSSL, correctifs en route Heartbleed touche la bibliothèque logicielle de chiffrement OpenSSL. Si elle est critique, elle n'impacte que les versions 1.0.1 et la bêta de la 1.0.2 d'OpenSSL. Assez important tout de même, la version stable 1.0.1 étant déjà largement déployée. Autre raison du sérieux de la faille : cela touche en conséquence l'implémentation des protocoles SSL et TLS, au coeur de la sécurité sur Internet. D'autant que Heartbleed a été publiée alors que beaucoup d'entreprises et d'éditeurs logiciels n'ont pas eu le temps de pousser une version corrigée d'OpenSSL sur les systèmes de leurs clients. Correctif 1.0.1g sur les rails La faille peut permettre de révéler le contenu d'un message sécurisé - une transaction par carte de crédit en HTTPS, au hasard - ainsi que les clés SSL primaire et secondaire elles-mêmes. Heartbleed serait le résultat d'une erreur de programmation dans les dernières versions d'OpenSSL. Cela dit, la question des correctifs devrait être assez polémique dans les prochaines heures.
Ethack 3 règles Cette récente information1 nous fait penser qu'il serait nécessaire de rappeler quelques petites règles fondamentales, à appliquer dès qu'on commence à utiliser des services en ligne.Des règles certes très simples, mais qui semblent trop souvent oubliées au fond d'un tiroir poussiéreux. Ton mot de passe, unique par service tu choisirasUn mot de passe, par les temps qui courent, est une donnée volatile, stockée hors de votre contrôle. De manière à éviter qu'un petit malin ne puisse prendre possession de votre vie numérique dans son entier en ayant deviné un seul et unique mot de passe, il convient d'en générer un par service.Pour cela, plusieurs manières de faire existent :- utilisation d'un "keyring", une application conservant vos mots de passe, du genre de keepassx- "dérivation" d'un mot de passe maître en fonction du service, de la date de création du compte etc La première manière est, sans doute, la plus simple.
Free PC cleaner National Vulnerability Database (NVD) National Vulnerability Database (CVE-2014-0160) Vulnerability Summary for CVE-2014-0160 Original release date:04/07/2014 Last revised:04/07/2014 Source: US-CERT/NIST This vulnerability is currently undergoing analysis and not all information is available. Please check back soon to view the completed vulnerability summary. Overview The (1) TLS and (2) DTLS implementations in OpenSSL 1.0.1 before 1.0.1g do not properly handle Heartbeart Extension packets, which allows remote attackers to obtain sensitive information from process memory via crafted packets that trigger a buffer over-read, as demonstrated by reading private keys, related to d1_both.c and t1_lib.c. References to Advisories, Solutions, and Tools By selecting these links, you will be leaving NIST webspace. External Source: CONFIRM Name: Name: External Source: MISC Name: Name:
Test your server for Heartbleed (CVE-2014-0160) If there are problems, head to the FAQ Results are now cached globally for up to 6 hours. Enter a URL or a hostname to test the server for CVE-2014-0160. All good, seems fixed or unaffected! Uh-oh, something went wrong: Check what it means at the FAQ. It might mean that the server is safe, we just can't be 100% sure! Here is some data we pulled from the server memory: (we put YELLOW SUBMARINE there, and it should not have come back) Please take immediate action! You can specify a port like this example.com:4433. 443 by default. Go here for all your Heartbleed information needs. If you want to donate something, I've put a couple of buttons here.
Staying ahead of OpenSSL vulnerabilities Today a new vulnerability was announced in OpenSSL 1.0.1 that allows an attacker to reveal up to 64kB of memory to a connected client or server (CVE-2014-0160). We fixed this vulnerability last week before it was made public. All sites that use CloudFlare for SSL have received this fix and are automatically protected. OpenSSL is the core cryptographic library CloudFlare uses for SSL/TLS connections. We encourage everyone else running a server that uses OpenSSL to upgrade to version 1.0.1g to be protected from this vulnerability. This bug fix is a successful example of what is called responsible disclosure. Just another friendly reminder that CloudFlare is on top of things and making sure your sites stay as safe as possible.