Aussi appelé "browser jacking", le netjacking consiste à utiliser des trojans (attention mot-clef!) afin de modifier les paramètres d'un navigateur internet.
Tout ça à des fins lucratives, rediriger la victime sur des pubs ou autres magasins vendant des agrandisseurs d'organes.
On parlera de cyber-criminalite organisée, de botnets (compjacking). C'est trop dangereux qu'on s'étende sur le sujet, les crashers yellow hats pourraient nous entendre et nous mettre dans la liste des whitehats à exterminer (à coup de lifejack evidemment).
A noter que le netjacking est aussi utilisé pour un type d'exploitation encore non publié à ce jour, mettant en œuvre un attaquant au cœur du réseau, modifiant les flux entre une victime et un serveur (certains arriérés de plus de 19ans parleront de MITM, mais évidemment ils sont has been).
"Jvais te netjack à coup d'ipjacking" (hijack d'adresse ip en jouant avec un protocole très peu documenté, l'ARP)
Le memjacking
Un peu plus bas niveau, on verra apparaitre le memjacking.
D'après secuobs :
Le Mem-Jacking est une nouvelle technique de compromission à destination de l'espace d'adressage mémoire des navigateurs Web et cela afin de subtiliser des informations sensibles. Par ce biais, il est également possible de forcer la redirection des utilisateurs vers des sites malicieux.
Le papier original se trouve ici.
Nous nous permettrons de résumer rapidement le memjacking en citant un expert dans le domaine des attaques en mémoire (et donc par définition expert en memjack) :
il s'agit de lancer la commande "memdump | grep -i password".
Il n'empêche que le memjack est rentré dans le langage courant dans certains bas-fonds d'IRC. Il n'est pas rare d'entendre les magiques "Attend je te memjack ton soft si tu veux" ou encore "Quelqu'un me trig la vuln à coup de memjack ?"
D'après secuobs :
Le Mem-Jacking est une nouvelle technique de compromission à destination de l'espace d'adressage mémoire des navigateurs Web et cela afin de subtiliser des informations sensibles. Par ce biais, il est également possible de forcer la redirection des utilisateurs vers des sites malicieux.
Le papier original se trouve ici.
Nous nous permettrons de résumer rapidement le memjacking en citant un expert dans le domaine des attaques en mémoire (et donc par définition expert en memjack) :
il s'agit de lancer la commande "memdump | grep -i password".
Il n'empêche que le memjack est rentré dans le langage courant dans certains bas-fonds d'IRC. Il n'est pas rare d'entendre les magiques "Attend je te memjack ton soft si tu veux" ou encore "Quelqu'un me trig la vuln à coup de memjack ?"
Le clipboardjacking
Nous commencons a rentrer dans la cour des grands avec le clipboardjacking...
XMCO, qui est aussi une grande référence en la matière, à la page 28 de son mag (vous noterez les dossiers sur les autres *jack) parle de cette nouvelle menace :
Des pirates ont trouvé le moyen de contrôler le presse-papier de l'utilisateur via la simple visualisation d'une animation Flash malicieuse. Il est alors possible
de forcer le presse-papier à garder la même valeur jusqu'au prochain redémarrage du navigateur...
Et les scénarios d'exploitation sont impressionnants!
En revanche, lʼinattention de certains internautes pourrait provoquer le blocage dʼun compte sur une application. Si un utilisateur colle, à plusieurs reprises, un mot de passe quʼil pense avoir copié dans son presse-papier.
Adobe a rapidement pris des dispositions pour corriger ce problème apparemment, dommage, encore la faute à ces foutus whitehats.
XMCO, qui est aussi une grande référence en la matière, à la page 28 de son mag (vous noterez les dossiers sur les autres *jack) parle de cette nouvelle menace :
Des pirates ont trouvé le moyen de contrôler le presse-papier de l'utilisateur via la simple visualisation d'une animation Flash malicieuse. Il est alors possible
de forcer le presse-papier à garder la même valeur jusqu'au prochain redémarrage du navigateur...
Et les scénarios d'exploitation sont impressionnants!
En revanche, lʼinattention de certains internautes pourrait provoquer le blocage dʼun compte sur une application. Si un utilisateur colle, à plusieurs reprises, un mot de passe quʼil pense avoir copié dans son presse-papier.
Adobe a rapidement pris des dispositions pour corriger ce problème apparemment, dommage, encore la faute à ces foutus whitehats.
Le jackjacking
Le jackjacking est l'excellence en matière de jacking.
Il regroupe sous toutes ses formes, le jacking grandeur nature.
Lorsqu'un crackjacker ou même un clickjacker atteint le niveau du jackjacking,
il se peut alors qu'il maitrise toutes les formes de jacking.
A l'heure d'aujourd'hui, personne n'est encore capable d'imaginer jusqu'où
amènera le jackjacking, et encore moins qui maitrisera cet art.
Tout ce que nous pouvons vous dire, c'est que cette discipline regroupe tous les domaines du jacking !
Le jackjacker peut alors contrôler tout ce que vous faites via n'importe quelle methode. Méfiez-vous des jacker multi-discipline, ils sont à double-jack.
Lorsqu'un jacker s'apprête à vous dire:
"A bientôt, et merci pour tout le jacking." ou encore
"Je viens de sniffjacker en crackjackant le netjacking."
alors apprêtez-vous à courir.
Il regroupe sous toutes ses formes, le jacking grandeur nature.
Lorsqu'un crackjacker ou même un clickjacker atteint le niveau du jackjacking,
il se peut alors qu'il maitrise toutes les formes de jacking.
A l'heure d'aujourd'hui, personne n'est encore capable d'imaginer jusqu'où
amènera le jackjacking, et encore moins qui maitrisera cet art.
Tout ce que nous pouvons vous dire, c'est que cette discipline regroupe tous les domaines du jacking !
Le jackjacker peut alors contrôler tout ce que vous faites via n'importe quelle methode. Méfiez-vous des jacker multi-discipline, ils sont à double-jack.
Lorsqu'un jacker s'apprête à vous dire:
"A bientôt, et merci pour tout le jacking." ou encore
"Je viens de sniffjacker en crackjackant le netjacking."
alors apprêtez-vous à courir.
Le surfjacking
On notera peu après le clickjacking, étape 2 :
Le SURFJACKING
Non ce n'est pas le vol de planche sur plage, c'est extrêmement sérieux, le concept est d'injecter du contenu HTTP lors d'un MITM afin de *jack du cookie (comme un bon expert XSS).
(A noter que le MITM n'est autre qu'une forme de netjack archaïque)
"I'm on your line, surfjacking your gmail session"
Le SURFJACKING
Non ce n'est pas le vol de planche sur plage, c'est extrêmement sérieux, le concept est d'injecter du contenu HTTP lors d'un MITM afin de *jack du cookie (comme un bon expert XSS).
(A noter que le MITM n'est autre qu'une forme de netjack archaïque)
"I'm on your line, surfjacking your gmail session"
Le clickjacking
Dixit zataz, une des grandes références en matière de *jack,
Clickjacking, une faille visant l'ensemble des navigateurs Internet permettrait de cliquer sur n'importe quoi sans l'accord de l'utilisateur du butineur.
Le clickjacking a surement marqué un tournant dans l'histoire du *jack.
Le concept vient de click (le click d'une souris), et jacking (abréviation de hijacking).
Les utilisateurs expérimentés parleront de "clickjack" (notez que le 'ing' a disparu, rendant le terme beaucoup plus classe).
Il est courant d'entendre parler un clickjacker de cette façon (notez l'apparition du 'er' prononcez 'clickjackeur'):
"whitehat de merde, jvais te clickjack".
"Hier j'ai clickjack une cam, ca rox du poney"
Clickjacking, une faille visant l'ensemble des navigateurs Internet permettrait de cliquer sur n'importe quoi sans l'accord de l'utilisateur du butineur.
Le clickjacking a surement marqué un tournant dans l'histoire du *jack.
Le concept vient de click (le click d'une souris), et jacking (abréviation de hijacking).
Les utilisateurs expérimentés parleront de "clickjack" (notez que le 'ing' a disparu, rendant le terme beaucoup plus classe).
Il est courant d'entendre parler un clickjacker de cette façon (notez l'apparition du 'er' prononcez 'clickjackeur'):
"whitehat de merde, jvais te clickjack".
"Hier j'ai clickjack une cam, ca rox du poney"
Bienvenue
Bienvenue sur le blog officiel recensant toutes les dernières nouvelles à propos de *jack.
Le *jack est un nouveau domaine dans la sécurité informatique, Jacques est là pour vous guider à travers les méandres de cette nouvelle vague de termes.
Les lecteurs sont invites à partager leurs découvertes afin qu'on n'en perde pas une miette.
Le *jack est un nouveau domaine dans la sécurité informatique, Jacques est là pour vous guider à travers les méandres de cette nouvelle vague de termes.
Les lecteurs sont invites à partager leurs découvertes afin qu'on n'en perde pas une miette.
Inscription à :
Articles (Atom)
