Le Monde.fr (avec AFP)


Des pirates informatiques ont pris le contrôle, mardi 10 novembre, de 289 groupes communautaires du réseau social Facebook. Baptisé CYI, pour Control Your Info, (Crontrôlez vos informations), le groupe a assuré qu'il était très simple de déjouer les protections du site, concernant l'administration de ces groupes de discussions. Ces pages sur Facebook, sont des lieux de discussions thématiques que les adeptes du site de socialisation peuvent rejoindre pour discuter avec d'autres gens qui partagent leurs intérêts particuliers.
Sur son site Internet, le groupe assure que ses motivations sont honnêtes et n'ont qu'un but pédagogique. "Nous avons vu trop d'exemples où nos amis ou nos parents souffrent du manque de connaissances à propos de leur présence en ligne. Des personnes ont même perdu leur travail à cause du contenu sur Facebook, nous voulions faire quelque chose sur ce sujet", expliquent les cybermilitants.
HACKING ?
Pour accéder au rang d'administrateur d'un groupe, les membres du CYI n'ont pas eu besoin de pirater les comptes d'un des 300 millions d'inscrits à Facebook. Control Your Info annonce en effet avoir exploité une erreur de conception : ces groupes "ont un défaut majeur", car "si l'administrateur d'un groupe s'en va, n'importe qui peut s'inscrire en tant que nouvel administrateur".
Les membres de CYI affirment qu'après avoir obtenu le statut d'administrateur, il est facile de faire n'importe quelle modification, notamment sur les photos ou les paramètres du groupe. CYI a envoyé des messages aux groupes infiltrés pour les avertir qu'ils avaient été "détournés", et a promis de leur rendre leur apparence initiale après avoir été entendu sur le sujet.
Par email, un porte-parole du groupe Facebook a toutefois minimisé la portée de ce détournement, et précisé qu'"aucune information confidentielle n'était en danger". "Pour les petits groupes, les administrateurs peuvent simplement choisir son nom et sa description, modérer les discussions, et envoyer des messages à ses membres. Le nom des groupes plus grands ne peuvent pas être changés, et personne ne peut envoyer un message à tous les membres", poursuit-il.

-------------------

£500K fines for data protection breaches - consultation begins


The government has started a consultation on the possibility of levying penalties of £500,000 for serious breaches of data protection principles.
The consultation, "Civil monetary penalties: setting the maximum penalty", asks whether new fines of up to £500,000 will provide the Information Commissioner's Office (ICO) with a proportionate sanction to impose.
Justice Minister, Michael Wills, said: "We want to ensure that the ICO has the powers it needs and is able to impose robust penalties on those who commit serious breaches of data protection principles."

La primera "Orella Global"?

"It seems that a SETI (Search for Extra Terrestrial Intelligence) experiment happened decades before the Project Ozma occurred in 1960. The historians at the blog Letters of Note have uncovered a telegram sent in 1924 by then Chief of Naval Operations Edward W. Eberle instructing the United States Navy to listen for radio transmissions from the planet Mars.

Compte amb la seguretat

Un virus que descarrega imatges de pedofília als ordinadors no protegits.

Una enquesta de l’agència AP revela que pirates utilitzen ordinadors d’usuaris sense protecció per emmagatzemar imatges de pedofília.

http://www.google.com/hostednews/ap/article/ALeqM5iFP7nhggkjFFeVx5PS60H2O4qeIwD9BRFQ680.

És imprescindible usar un tallafocs in un antivíric.

No obrir missatges no desitjats o de desconeguts.

Antivíric gratuït              Tallafocs gratuït

Voleu conèixer lo que GOOGLE CONEIX de vosaltres?

Today, we are excited to announce the launch of Google Dashboard. Have you ever wondered what data is stored with your Google Account? The Google Dashboard offers a simple view into the data associated with your account — easily and concisely in one location.

Over the past 11 years, Google has focused on building innovative products for our users. Today, with hundreds of millions of people using those products around the world, we are very aware of the trust that you have placed in us, and our responsibility to protect your privacy and data. In the past, we've taken numerous steps in this area, investing in educating our users with our Privacy Center, making it easier to move data in and out of Google with our Data Liberation Front, and allowing you to control the ads you see with interest-based advertising. Transparency, choice and control have become a key part of Google's philosophy, and today, we're happy to announce that we're doing even more.

In an effort to provide you with greater transparency and control over their own data, we've built the Google Dashboard. Designed to be simple and useful, the Dashboard summarizes data for each product that you use (when signed in to your account) and provides you direct links to control your personal settings. Today, the Dashboard covers more than 20 products and services, including Gmail, Calendar, Docs, Web History, Orkut, YouTube, Picasa, Talk, Reader, Alerts, Latitude and many more. The scale and level of detail of the Dashboard is unprecedented, and we're delighted to be the first Internet company to offer this — and we hope it will become the standard. Watch this quick video to learn more and then try it out for yourself at www.google.com/dashboard. “

Aneu en compte amb les vostres dades a la xarxa   http://www.networkadvertising.org/

El cap de l´APDA i els inspectors a Madrid - Espanya -

Madrid, 4, 5 y 6 de noviembre de 2009 

PRIMERA SESIÓN PLENARIA

¿UNA SOCIEDAD VIGILADA? EN BUSCA DEL EQUILIBRIO ENTRE SEGURIDAD Y PRIVACIDAD.

Vivimos en la sociedad del riesgo. El bienestar económico y el desarrollo social hacen que las sociedades modernas estén menos preparadas para aceptar el riesgo y la incertidumbre. Nuevas amenazas, como el terrorismo, el cibercrimen o los desastres ambientales han venido a unirse a riesgos más tradicionales como las enfermedades o la delincuencia.

Por ello la seguridad se erige en uno de los grandes valores de nuestro tiempo y las tecnologías de la información, proporcionan herramientas que facilitan la labor de los servicios de seguridad. Sin embargo, se trata de tecnología altamente invasiva que pone en riesgo el derecho a la vida privada y a la protección de datos de los ciudadanos y obliga a ponderar, a adoptar decisiones que establezcan una situación de equilibrio en el conflicto privacidad/seguridad.

11’15-12’05: PONENCIAS

• Alfredo Pérez Rubalcaba. Ministro del Interior. Presidencia de la Unión Europea 2010. España.
• ...
  

--- http://jaumecabot.info/da01a07 ---

Mòbils compromesos?

http://www.cryptography.com/newsevents/prel/20091013-T-Systems.html

Security researchers have discovered a way to steal cryptographic keys that are used to encrypt communications and authenticate users on mobile devices by measuring the amount of electricity consumed or the radio frequency emissions.

The attack, known as differential power analysis (DPA), can be used to target an unsuspecting victim either by using special equipment that measures electromagnetic signals emitted by chips inside the device or by attaching a sensor to the device's power supply, Benjamin Jun, vice president of technology at Cryptography Research, said on Tuesday. Cryptography Research licenses technology that helps companies prevent fraud, piracy, and counterfeiting.

An oscilloscope can then be used to capture the electrical signals or radio frequency emissions and the data can be analyzed so that the spikes and bumps correlate to specific activity around the cryptography, he said.

An oscilloscope and simple antenna can capture electromagnetic emissions from mobile devices. The large spikes correspond to secret keys used during cryptographic activity.

For instance, someone with the proper equipment could steal the cryptographic key from a device three feet away in a cafe in as short a time as a few minutes.

An attacker could replicate the key with the information and use it to read a victim's e-mail or pretend to be the user in sensitive online transactions.

Smartphones and PDAs have been found to leak data unless they have countermeasures in place to protect against it,

He would not say exactly which devices could be snooped on in this manner and said he did not know of any attacks in the wild using this method.

This type of attack first surfaced about 10 years ago on cash register terminals and postage meters. Similar data leakage was found with smartIDs, secure USB tokens, smart cards, and cable boxes, he said.

Forensics - Eines gratuïtes

CAINE ( Computer Aided INvestigative Environment ) est un projet visant à fournir un environnement complet pour la recherche légale ( voir notre dossier - lien ) de preuves numériques sur des ordinateurs compromis. Des solutions comme Helix ( lien ), FCCU ( lien ) et Deft ( lien ) existant déjà, il intègre une architecture en modules pour utiliser, via une interface graphique homogène, des outils Open Source ( lien ) de collecte de données et de recherche d’évidences,.

Le projet CAINE souhaite par ce biais se destiner à un large panel d’utilisateurs en leur garantissant un environnement d’interopérabilité qui facilite l’utilisation des différents utilitaires de Forensic ( lien & lien & lien ) sur lesquels il est basé. Les investigateurs novices, ou experts, sont ainsi guidés à travers les étapes majeures des processus d’investigation numérique. On notera notamment les efforts de développement pour la phase de compilation semi-automatisée des rapports finaux qui visent à assurer leur recevabilité en tant que pièces de procédure juridique devant un tribunal.

CAINE se présente plus concrètement sous la forme d’un LiveCD ( voir notre dossier - lien ) qui est basé sur un système d’exploitation de type GNU/Linux et plus précisément sur la version Hardy Heron de Ubuntu ( lien ) proposant un bureau Gnome ( lien ). CAINE peut également être utilisé en tant que LiveUSB ( lien ), il suffit pour cela aux utilisateurs de suivre une procédure spécifique ( lien ) permettant la création d’une clé de ce type lors d’une session LiveCD déjà en cours.

On retrouve dans CAINE une collection complète d’outils dont AIR (lien ), Guymager ( lien ), Libguytools ( lien ), Foremost ( lien ), Scalpel ( lien ), Autopsy ( lien Sleuth Kit ( lien ), SFDumper ( lien ), Fundl ( lien ), Stegdetect ( lien ), Gtkhash ( lien ) et Ophcrack ( lien ).

On notera également la présence de WinTaylor ( lien ), une interface spécifique pour utiliser des outils du LiveCD sur des systèmes Microsoft Windows en exécution et notamment les plus anciens d’entre eux puisqu'elle a été développée en Visual Basic 6 ( lien afin d'assurer la plus grande compatibilité d’exécution possible. Elle propose ainsi une intégration simple et complète des solutions de collecte de données et de recherche de preuves pour ces systèmes, tout en héritant de la philosophie de conception de CAINE et de son générateur de rapports.

Afin d’assurer la transparence des opérations effectuées, le code source de CAINE a été placé sous la licence GPL ( lien ), c'est en fait un projet du Digital Forensics for Interdepartment Center for Research on Security ( CRIS - lien ) de l’Université de Modena e Reggio Emilia ( lien ). Il profite de contributions provenant autant de l'informatique que du juridisme, les mainteneurs unifiant ces deux approches dans une solution qui propose les meilleures pratiques de gestion de cas et des rapports conformes aux exigences juridiques.

Pour le montage des périphériques de stockage internes et externes, CAINE respecte une politique stricte comme le faisait déjà Helix, aucun montage automatique n’est ici configuré. Les montages via l’interface se font par ailleurs en lecture seule et sans possibilité d’exécution ou de modifications des dates pour garantir l’intégrité du système de fichier audité. Cependant, et contrairement à FCCU qui, volontairement, n’inclut pas le support NTFS-3G ( lien ), un utilisateur peut monter du NTFS ( lien ) en console avec des droits d’écriture.

Parmi les langues supportées pour l’interface et les rapports générés, on trouve l’anglais, l’Italien, le français, l’allemand et le portugais. La disposition italienne est privilégiée par défaut pour le clavier, cela peut être modifié dans le menu système de GNOME ou en utilisant la commande loadkeys ( lien ) depuis une console. L’ouverture dans CAINE de Mozilla Firefox ( lien ) offre par défaut une page listant les outils disponibles et des documentations pour faciliter leurs utilisations et la recherche de preuves en général.

Font: Security Database Tools Watch ( lien )

http://www.caine-live.net/