ICT Security-Sécurité PC et Internet

Mittels automatisierter Tests, so genanntem Fuzzing, haben Sicherheitsforscher insgesamt 26 Programmierfehler in USB-Treibern entdeckt. 18 davon betreffen verschiedene Linux-Kernelversionen; wiederum zehn dieser Linux-Bugs erhielten aufgrund von ihnen ausgehender hoher Sicherheitsrisiken CVE-Nummern. Vier weitere Bugs betreffen Windows 8 und 10, drei stecken in macOS 10.15 Catalina und einer im freien BSD-Derivat FreeBSD 12.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=USB

Travelers are advised to avoid using public USB power charging stations in airports, hotels, and other locations because they may contain dangerous malware, the Los Angeles District Attorney said in a security alert published last week.

USB connections were designed to work as both data and power transfer mediums, with no strict barrier between the two. As smartphones became more popular in the past decade, security researchers figured out they could abuse USB connections that a user might think was only transferring electrical power to hide and deliver secret data payloads.

This type of attack received its own name, as "juice jacking."

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=USB

A proof of concept from security researcher and software developer Samy Kamkar shows that macOS, Windows, and Linux computers can have any previously active Web logins hijacked merely by plugging in a tiny Unix device via USB or Thunderbolt, even if the computer is locked and password protected, and possibly even when it seems to be asleep. It can also hijack many router brands on the same network.

PoisonTap exploits several interlocked network and browser design features, rather than relying on an operating system, hardware, or browser flaw. This will make it harder to root out and resolve. Kamkar said in an interview, “The interesting attacks to me are by design: how do you exploit the protocol rather than a single buffer overflow that gets patched the next day.”

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=Samy+KAMKAR

http://www.scoop.it/t/securite-pc-et-internet/?tag=Raspberry+PI

Praktisch, wenn man unterwegs ein USB-Kabel zum Aufladen des Smartphones findet. Allerdings sollte man sein Telefon nicht an jedes beliebige Kabel hängen. Über präparierte Ladestationen können Unbefugte in den Besitz persönlicher Daten gelangen.
Smartphones an öffentlich zugänglichen USB-Steckern aufzuladen, kann ein Sicherheitsrisiko sein. Zum Schutz vor Spionage sollte man lieber auf eigene Kabel und Ladegeräte zurückgreifen, rät der Sicherheitsexperte Brian Krebs in seinem Blog „ krebsonsecurity.com“.
Er warnt vor dem sogenannten Video Jacking. Dabei wird über vermeintliche Ladestationen der Displayinhalt des Smartphones übertragen. Angreifer können so Sicherheitscodes, Passwörter und Texteingaben auslesen und verfolgen, was auf dem Smartphonebildschirm angezeigt wird.
Nehmen Sie ihr eigenes Kabel mit!!!

Betroffen sind Geräte, an deren Micro-USB-Port auch der formgleiche Mobile High Definition Link (MHL) oder ein Slimport-HDMI-Adapter angeschlossen werden kann. Diese Stecker ermöglichen auch die Übertragung des Bildschirminhalts vieler Android- und Blackberry-Smartphones. Für das ungeübte Auge sind sie von normalen Micro-USB-Steckern nicht zu unterscheiden - den Akku des Smartphones laden sie alle. Mit einem speziellen Adapter funktioniert der Angriff den Angaben nach auch mit Apples iPhone 6.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=Video+Jacking

Die Ransomware ZCryptor verbreitet sich von System zu System, in dem der Trojaner sich im Autostart von USB-Sticks einnistet. Sie verschlüsselt über 80 verschiedene Dateitypen.

Microsoft warnt Nutzer vor einem neu entdeckten Erpressungstrojaner namens ZCryptor. Der Schädling verhält sich eigentlich wie viele andere Ransomware-Programme, hat aber die besonders perfide Eigenheit, sich auch auf eingesteckte USB-Laufwerke und -Sticks zu kopieren. In dem sich ZCryptor in die Autostart-Datei der Laufwerke einklinkt, verbreitet er sich wurmartig von System zu System.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/ict-security-tools/?tag=Ransomware

http://www.scoop.it/t/securite-pc-et-internet/?tag=RANSOMWARE

Des universitaires disent avoir découvert 26 nouvelles vulnérabilités dans la pile de clés USB utilisée par les systèmes d'exploitation tels que Linux, macOs, Windows et FreeBSD. L'équipe de recherche, composée de Hui Peng de l'Université de Purdue et de Mathias Payer de l'Ecole polytechnique fédérale de Lausanne, a déclaré que tous les bugs ont été découverts grâce à un nouvel outil qu'ils ont créé, appelé USBFuzz.

Cet outil est ce que les experts en sécurité appellent un fuzzer. Les fuzzers sont des applications qui permettent aux chercheurs en sécurité d'envoyer de grandes quantités de données non valides, inattendues ou aléatoires comme entrées dans d'autres programmes. Les chercheurs en sécurité analysent ensuite le comportement des logiciels testés pour découvrir de nouvelles vulnérabilités, dont certaines peuvent être exploitées de manière malveillante.

Pour tester les clés USB, Hui Peng et Mathias Payer ont développé USBFuzz, un nouveau fuzzer spécialement conçu pour tester la pile de clés USB des systèmes d'exploitation modernes. « En son cœur, USBFuzz utilise un dispositif USB émulé par logiciel pour fournir des données aléatoires aux pilotes (lorsqu'ils effectuent des opérations d'entrée/sortie) », ont déclaré les chercheurs. « Comme le dispositif USB émulé fonctionne au niveau du dispositif, le portage sur d'autres plateformes est simple ».

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=USB

Vulnerabilities found in Logitech's proprietary Unifying USB dongle technology.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=USB

Even the strongest passwords are fallible, and as Samy Kamkar demonstrates, sometimes it doesn’t take much. Kamkar’s new exploit, PoisonTap, uses free software and a $5 Raspberry Pi Zero microcomputer. After attaching the Raspberry Pi to a USB adapter and plugging it in, the device goes to work. In all of 30 seconds, it bypasses your …

A little-known feature of many modern smartphones is their ability to duplicate video on the device’s screen so that it also shows up on a much larger display — like a TV. However, new research shows that this feature may quietly expose users to a simple and cheap new form of digital eavesdropping.

Dubbed “video jacking” by its masterminds, the attack uses custom electronics hidden inside what appears to be a USB charging station. As soon as you connect a vulnerable phone to the appropriate USB charging cord, the spy machine splits the phone’s video display and records a video of everything you tap, type or view on it as long as it’s plugged in — including PINs, passwords, account numbers, emails, texts, pictures and videos.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=USB