cuckoo

Attention, cet article s’adresse à des personnes averties et qui ont de bonnes connaissances en informatique. La manipulation et l’analyse de virus informatique étant très risquée, elle est fortement déconseillée aux personnes novices.

La pratique de l’analyse de virus informatique requiert de nombreuses régles de sécurité d’environnement et de pratique afin de ne pas être soi-même infecté et exposé à cette menace. Un de ces pratiques est la mise en place de Sandbox. C’est dans ce domaine que Cuckoo va intervenir.

Cuckoo est un environnement de création, de gestion et d’analyse de sandbox (ou bac à sable). Il fourni une plateforme fiable avec une interface centralisée pour la récolte des résultats sous toutes ses formes possibles. Une fois mis en place, il suffit d’envoyer le package voulu via cette interface et cuckoo exécute l’analyse.

cuckoo-sendpackage

Cuckoo va donc créer une nouvelle machine virtuelle, qui sera détruite par la suite, et exécuter le virus à l’intérieur de celle-ci pour en livrer tous ses secrets. Les résultats sont plus que complets, sont précis et vont vraiment loin dans l’analyse de l’état de la machine. Il est même possible d’en ressortir les résultats du trafic réseau détecté.

cuckoo-network

Une fois l’analyse terminée, Cuckoo vous en informe et les résultats sont disponibles à la consultation. Cependant, suivant la puissance de la machine hébergeant le système, ces analyses peuvent prendre plus ou moins de temps; le système étant assez gourmand niveau ressources.

Il est aussi possible de comparer des résultats, dans le but de, par exemple, différencier plusieurs versions d’un même virus. Ou du moins, qui voudrait se faire passer pour un autre virus.

cuckoo-compare

Dans cet exemple, on remarque que, malgré que ces deux virus semblent être similaires, leurs actions sont très différentes.

Une panoplie d’autres analyses et rapports, tels que capture de la mémoire, modification des fichiers, IO systèmes, signature et code du virus, etc…, sont aussi disponibles.

Le projet est OpenSource et disponible web-link sur leur site

logout

Si il ne fallait penser qu’à une seule et unique chose lors de l’utilisation d’un PC public ou de celui d’une connaissance, ce serai bien le fait de se déconnecter des sites visités. Cela vous évitera des publications inopinées sur votre sur Facebook (on l’a tous fait…) en votre nom par cette connaissance ou au pire, dans le cas d’un PC public, de vous faire voler vos comptes.

Alors, si vous êtes un grand emprunteur d’ordinateurs ou smartphones ou allez simplement souvent sur du matériel informatique dans des espaces publics, gardez ce site en tête : SuperLogout.

SuperLogout est un site qui, lorsqu’il est appelé par son adresse URL, va vous déconnecter automatiquement de toute une série de sites afin de ne laisser aucune connexions actives lors de votre départ.

superlogout-account-2-1200x565

Dans cette liste, on retrouve des sites de vente (Amazon, eBay, Steam,…), des réseaux sociaux (Youtube, Github, Soundcloud,…) ainsi que des fournisseurs emails et bien d’autres.

Attention, il semblerait que depuis peu, la déconnexion ne fonctionne plus avec les services de Facebook ! Veuillez bien vérifier à vous déconnecter manuellement. Et allons plus loin en précisant qu’une erreur est toujours possible et qu’il vaut mieux vérifier que les sessions sont bien fermées pour chaque site visité.

Bien entendu, si vous en avez les droits/la possibilité, un petit “CTRL+SHIFT+DEL” fera apparaître une fenêtre pour nettoyer le cache et supprimer cookies et connexions actives directement depuis le navigateur utilisé. Ceci est très pratique dans le cas d’un ordinateur public, cela sera certainement moins drôle sur l’ordinateur de votre connaissance qui perdre des données non sauvées.

Évidement, ce lien peut aussi servir comme bonne blague sachant qu’il n’y a pas de confirmation avant la déconnexion.

Pour tester SuperLogout et vous déconnecter, web-link cliquez-ici !

ublock

Vous en avez certainement entendu parler, notre bon défenseur des pubs envahissantes, AdBlock, a été racheté par un inconnu en octobre 2015. Depuis, celui-ci laisse passer des publicités jugées correctes, on pourrait presque sous-entendre “les publicités de ceux qui ont payés pour ne plus être bloqués”. Alors que faire ?

Heureusement, à la suite de cette nouvelle, un nouveau AdBlocker a vu le jour; il s’appelle uBlock.

uBlock est très similaire à son grand frère AdBlock. Il s’intègre dans la majorité des navigateurs et smartphones, il ne consomme presque pas de ressources et possède à peu près les mêmes fonctionnalités dont la désactivation manuelle pour un site particulier.

Cependant, si l’on fait une visite d’une même page internet avec les deux extensions actives, à titre de comparaison, on remarque quelque chose d’étrange…

ublock-1

En effet, là où AdBlock ne semble avoir détecté que 2 objets indésirables sur la page, uBlock, lui, en a détectés 15 ! Il doit certainement s’agir aussi de scripts ou de demande de localisation à destination de publicité pour mieux vous cibler, mais on voit que AdBlock n’est peut-être plus tout à fait lui-même depuis son rachat.

Cet avis est à nuancer, AdBlock semble toujours assez bien fonctionner mais la direction qui est prise n’est plus celle d’origine. De plus, la pub fait aussi vivre des journaux en ligne dont le contenu est gratuit, des editos et autres blogers. Pour ma part, ne cherchez pas, il n’y a pas de pubs chez moi !

uBlock est disponible web-link sur leur site


Edit 08/08/2017

Une comparaison récente et assez complète à été faite par nos voisins de comparitech entre différents bloqueurs de publicités. On y remarquera que uBlock y est toujours correctement placé et n’a pas changé de cap depuis la mise en ligne de cet article ! *Cheers*

Vous pouvez retrouver la totalité de leur comparaison sur le site de  Comparitech (Attention, c’est en langue d’outre manche !)

Up2You-Samsung-location-smartphone

Si il y a bien un point négatif sur lequel presque tout le monde est d’accord concernant les smartphones, c’est la durée de vie de la batterie. De plus, pour le prix, de plus en plus exorbitant, on aimerait bien garder son nouveau compagnon pour au moins plusieurs années. Ce qui n’est pas toujours évident. Ou peut-être en avez-vous juste marre de voir une nouvelle version sortir chaque année rendant le vôtre presque obsolète ?

Samsung propose un nouveau service qui semble avoir un avenir prometteur. Up2You est un service de location de smartphone lancé récemment qui vous permet, en échange d’un montant mensuel, de bénéficier du tout dernier flagship (le nouveau très haut de gamme) de la marque coréenne.

Pour 27€ par mois (et une caution de 89€), vous disposerez d’un Samsung Galaxy S7 ou de sa version Edge pour 3€/mois en plus.

up2you2

Une assurance casse et vol sont également disponibles mais non obligatoires. Il vous sera toutefois demandé de prendre un engagement d’au moins 24 mois et d’obtenir l’accord de la banque de Samsung avant de pouvoir profiter du service et de sa livraison en 24h chez vous. Autrement dit, si vous bossez, il ne devrait pas y avoir de problème; Si vous êtes étudiant ou sans revenus mensuels, la suite sera plus difficile.

Ça, c’était pour la partie contraintes. Côté avantages, vous ne devez plus prendre un crédit voiture pour vous payez le dernier smartphone en date (qui aujourd’hui, atteignent vite les 1000€). Les assurances sont moins chères que celles proposées par les vendeurs mais restent inutiles si vous disposez déjà d’assurances couvrant ce type de cas mais surtout…

Vous êtes libre de changer de téléphone après 4 mois d’utilisation de l’actuel !!!

Un gros point positif. Si vous achetez un smartphone et que celui-ci ne vous plaît pas ou ne fonctionne pas comme espéré, a moins de le revendre à très bon prix, vous êtes perdant. Dans ce cas-ci, vous changez à volonté jusque 3x par an et sans frais ! Vous possédez le S7 en mai ? Essayer le nouveau Galaxy Note en août. Il ne vous plaît toujours pas ? Échangez pour le nouveau qui sort fin d’année ! etc… Et pour les données ? Samsung à prévu une application appelée SmartSwitch facilitant vos transferts. Au besoin, un support téléphonique de service est mis à disposition des clients.

Mais question; est-ce que, de cette manière, Samsung voudrait-il combattre l’obsolescence programmée tout en conservant ses bénéfices ? Cette alternative ne semble t-elle pas bien moins écologique et plus consumériste en poussant constamment à la consommation pour “en avoir pour son argent ?

samsung-propose-les-galaxy-s7-et-s7-edge-en-location-via-son-service-up2you_171495_w460

Pour ma part, ce service se sert de l’obsolescence programmé comme atout marketing mais ne la combat certainement pas. Après, certains vont aussi reprendre l’exemple de la société qui à produit les chaussures “croc”. Tellement solide qu’elle en fait faillite car les ventes se sont stoppées dû à une trop grande longévité.

Et pour la partie écologique; tout ces smartphone qui ont servis 4 mois, que vont-ils advenir ? Samsung ne les revendra pas (direction prise actuellement) aux clients du service Up2You. Cependant, ils seront très certainement reconditionnés et revendus par les filiales en marché de seconde main.

En conclusion,

Samsung se lance dans un domaine inexploité (en dehors de certains sites très spécifiques). La question du service Up2You est intelligente et bien vue dans un monde où tout commence à se payer au mois mais en proposant une alternative au crédit classique. Cette offre va surtout cibler les personnes changeant souvent de smartphone ou souhaitant toujours le dernier en date. Dans le cas d’une personne lambda gardant son smartphone actuel au moins 2 ans, le rapport sera bien moins bénéfique dans son sens premier en comparant prix de l’achat et prix de la location.

Je vous laisse découvrir Up2You web-link sur leur site

TS-Logo

C’est bien connu, on ne sait pas vraiment ce qui traîne sur internet en matière de virus et autres spywares (logiciels espions). Cependant, moins visible, un ordinateur accédant à internet reçois une quantité phénoménale d’attaques directes à l’encontre de certains services. Ces attaques sont automatisées et proviennent de botnets un peu partout dans le monde et peuvent faire pas mal de dégâts en cas de protection insuffisante.

Afin de mieux connaître ces attaques, je vous invite à découvrir MHN (Modern Honeypot Network) développé par Threatstream, une société spécialisée dans la gestion des menaces numériques.

Modern Honeypot Network nécessite au moins deux équipements; une station d’analyse qui sortira les rapports et une station qui va recevoir toutes les attaques (nommée “HoneyPot” car elle attire les attaques et les garde en mémoire). Pour ma part, ce sont deux Raspberry Pi B+ qui ont servi de test. Remarque, il est indispensable d’isoler votre station de HoneyPotting afin d’éviter tout débordements sur votre réseau.

Une fois l’installation terminée et les stations mises en place, il vous suffit d’ouvrir tout le trafic sur votre (vos) stations de Honeypotting afin de le capturer. Par la suite, en rejoignant l’adresse IP de la station d’analyse, vous retrouverez vos résultats sur un portail web.

mhn-dash

Dans cet exemple, il s’agit du Dashboard, la page d’accueil par défaut, qui reprend un bref résumé des attaquants les plus fréquents ainsi que les ports/services les plus souvent visés.

D’autres rapports plus précis sont disponibles avec possibilités de consulter un listing complet des données brutes, si vous désirez retraiter les informations par un script par exemple. Toutes ces informations étant stockées dans une base de données, on peut directement les attaquer par des requêtes. Pour les fans de la localisation, une vue est disponible sous forme d’une carte reprenant les pays de provenance des attaques.

modern honeypot network map

Il faut évidement garder en tête que cette localisation peut-être faussée assez facilement mais cela donne un petit aperçu bien sympathique.

Niveau installation, elle est très simple. Il vous suffit de configurer les sondes, vos honeypots, dans l’interface web de la station d’analyse en précisant le type d’équipement, le système d’exploitation utilisé et d’autres données propres à la sonde (nom, localisation, notes,…). La station d’analyse générera un code à exécuter sur le Honeypot et le reste est automatisé.

Le code du projet se trouve sur web-link cette page Github