Une histoire vraiment fascinante que nous explique Loredana Botezatu sur Malware City, un blog de BitDefender.

Comme pour la création du champagne, tout a commencé par accident. De nouveaux super-malware ont vu le jour lorsqu'un virus a infecté un vers par accident.

Les vers sont en général des fichiers exécutables qui se propagent de machines en machines et les virus infectent des exécutables. Vous pouvez maintenant imaginer aisément ce qu'il se passe lorsque les deux se rencontrent...

Les possibilités sont vraiment illimitées mais pour moi la chose la plus importante c'est que tout ça s'est produit accidentellement. La prochaine étape logique serait que les créateurs de virus traque des fichiers infectés par des vers pour les infecter et ainsi leur ajouter des fonctionnalités supplémentaires.

Ça me rappelle l'époque où l'on chassait les malwares d'une machine pour mettre le nôtre ou quand un hacker qui avait pris le contrôle d'une machine se faisait reprendre la machine en question par un autre hacker car celui-ci n'avait pas bouché la faille.

Je me demande ce qu'il arrivera dans le futur avec ce genre de malware et si les hackers vont s'en servir à tout va. En tout cas un sacré défi pour les éditeurs d'antivirus. Imaginez qu'un virus qui a une signature propre puisse muter vers une toute nouvelle souche grâce à un ver

D'ailleurs BitDefender a effectué une étude début Janvier sur un échantillon de 10 millions de fichiers infectés. Parmi ceux-là 40000 Frankenmalware ont été trouvé! Ce genre de chimère cybercriminelle risque de causer de gros problèmes dans un avenir proche comme le signale BitDefender, notamment au niveau des signatures...

Pour en savoir plus, allez lire l'article sur leur blog!

Alors comme la plupart des gens, vous devez avoir dans votre grenier ou votre cave un téléphone à cadran. Si c'est le cas ne le jetez pas! Il peut encore vous servir!

Vous ne connaissez pas Samimy ? Bin si vous aimez les hacks hardware, son channel Youtube devrait vous plaire! Aujourd'hui il nous présente un hack de son cru sur un téléphone à cadran.

Dans sa vidéo, il nous présente un bon moyen de recycler ce genre de téléphone en combinant à la fois des lampes à LED et un amplificateur audio. Bien sûr il a tout démonté et la fonctionnalité première du téléphone n'est plus.

Désormais lorsque vous décrocherez, la lampe s'allumera! Pour cela il a d'abord supprimé le haut-parleur et le micro du combiné et il a foré quelques trous pour adapter les lampes. Enfin il a placé un circuit permettant d'allumer les lampes lorsque vous décrochez.

Mais ce n'est pas tout. Il a aussi placé à l'intérieur du boîtier un circuit audio qui provient d'un vieux magnétophone. Comme vous pouvez le voir dans l'image ci-dessus, il a branché son téléphone portable pour écouter de la musique.

Dans la vidéo ci-dessous, il explique brièvement les étapes du hack.

Voilà maintenant vous savez quoi faire ce weekend

De multiples vulnérabilités ont été décelées sur Wordpress 3.3.1 et toutes les versions antérieures.
On doit ces trouvailles à TrustWave SpiderLabs et plus particulièrement à Jonathan Claudius.

Ces failles permettent l'exécution de code PHP via une faille XSS sur la page setup-config.php.
Cette page qui permet l'installation de Wordpress, se situant dans votre répertoire wp-admin, permet aux utilisateurs d'installer Wordpress sur une base de données locale ou distante. Cela nécessite en général des droits utilisateurs suffisants mais un utilisateur malveillant peut héberger son propre serveur de base de données et ainsi terminer l'installation de Wordpress sans avoir eu besoin de s'authentifier.

Cela peut permettre à cet utilisateur malveillant d'injecter du code PHP sur le serveur via l'éditeur de thèmes Wordpress. En outre, avec le contrôle de la base de données, du Javascript malicieux peut aussi être injecté.

Cela concerne principalement l'installation de Wordpress, c'est-à-dire que si vous dézippez Wordpress sur un serveur sans l'installer il pourrait se faire pirater. Par contre, pour les Wordpress déjà installés, il n'y a pas encore de patch car Wordpress préfère se pencher sur l'expérience utilisateur que sur la sécurité comme dit dans son communiqué à propos de cette faille...

TrustWave conseille de changer/renforcer le mot de passe de votre base de données. Et j'ajouterai que vous pouvez aussi renommer ou mettre de côté le fichier setup-config.php en attendant la prochaine version.

trustwave.com

C'est à @AnonyOps que l'on doit cette trouvaille.
Hadopi utilise la couverture d'un livre sous copyright sans se gêner...

Celui-ci est vendu sur sur Amazon et écrit par Michael J. Kavanagh s'intitulant Human Resource Information Systems: Basics, Applications, and Future Directions dans ses labs un peu plus bas ou directement ici en ayant pris soin de découper la partie supérieure comme on peut le voir ci-dessous...

Si "encore" ce n'était que la première fois, mais non...

Voilà que la Sec Indi Security Team a pris pour cible le site officiel de Wikileaks. Cette team est déjà connu pour avoir piraté le site officiel du Sénat américain via une injection SQL.

Mais aujourd'hui c'est Wikileaks et ils ont réussi à pirater le site via un Cross-site Request Forgery (CSRF ou XSRF). Le lien vers la page affectée se trouve ici.

Ce n'est pas la première fois que Wikileaks fait face à ce genre d'attaques comme par exemple la plus grosse attaque DDoS enregistrée en 2011 qui visait son site ainsi que Visa, Mastercard et Paypal via un tout nouveau jouet baptisé #refref.

twitter.com