Les Anonymous développent une nouvelle cyber-arme dévastatrice, #RefRef devrait succéder à LOIC

[Idelways]

Les Anonymous développent une nouvelle cyber-arme dévastatrice
#RefRef devrait succéder à LOIC



Des membres de la communauté Internet Anonymous développent un nouvel outil « dévastateur » de cyber attaque, en succession de LOIC (Low Orbit Ion Cannon), l'utilitaire DDoS populaire.

La première motivation derrière cette démarche est la vague d'arrestation s'étant récemment abattue sur les utilisateurs de LOIC en Turquie, Espagne et Angleterre, car par défaut, cet outil n'offre pas des mécanismes permettant de cacher l'identité de ses utilisateurs.

Son successeur, donc, baptisé RefRef utilise une nouvelle approche pour mettre à mal les serveurs qui propulsent les sites Web.
Plutôt que de tenter de noyer les cibles de paquets TCP et UDP comme le fait si bien LOIC, RefRef utilisera une méthode plus sophistiquée qui agit sur les applications Web plutôt que sur le trafic réseau, explique un billet d'un blog affilié aux Anonymous.

RefRef, écrits en JavaScript, exploitera les vulnérabilités SQL pour retourner les capacités de calcul du serveur contre lui même jusqu'à le faire succomber par épuisement des ressources, comme une énorme bête qui s’étouffe avec une petite carotte, image un Anonymous dans une déclaration au Tech Herald.

Ces techniques et les failles dont elles tirent profit existent depuis belle lurette, mais les cyberactivistes ont traditionnellement préféré la force brute des attaques DDoS générés par des bots ou par LOIC.

Bien que la dangerosité du concept ne soit pas évidente à cerner, car chaque application Web a ses spécificités, les Anonymous s'enorgueillit d'avoir pu rendre indisponible le service Pastebin en 42 minutes seulement.

En attendant que RefRef soit lancé en septembre et que des analyses poussées de ses entrailles nous renseignent sur son fonctionnement, les responsables en sécurité des sites Web n'ont qu'à bien se préparer à une rentrée sociale agitée cette année.



Source : blog affilié aux anonymous, Tech Herald

Et vous ?

Qu'en pensez-vous de cette nouvelle ?
Pensez-vous qu'un outil écrit en JavaScript et exploitant les vulnérabilités SQL peut être aussi dévastateur que ce que tentent de nous le faire croire ses concepteurs ?

[fifi_dz]

pas mal pas mal

[Ev3r10st]

Il s'agit toujours de DDoS, mais DDoS intelligent.

Il utilisera le proxy configuré dans le navigateur, et on pourra bruteforce des urls impliquant beaucoup de travail au serveur j'imagine.

Celà-dit je trouve ça idiot, et petit.

Mais surtout petit, parceque le bruteforce c'est l'attaque du noob.
Aucune compétence requise, juste un peu de puissance de calcul. :/

Ce genre d'attaque aide les états à se tourner vers les FAI, et le deep packet inspection.
Donc en plus d'être idiot parce que même ma petite soeur saurait faire tourner ces trucs, c'est complètement débile comme de scier la branche sur laquelle on est assis...

[Lorantus]

DDoS: Arme nucléaire.
Combien de choses ne sont pas développés en considérant le DDoS ?
Combien le sont en pensant... "c'est possible d'avoir aucune ressources"... "que faire alors ?"
L'Humain pense comme ses peids... comme ses poubelles... comme sa voiture... Il pense que c'est tellement grand, qu'il y en a toujours. Il pense que c'est inépuisable.
"T'as mal aux doigts.. non... ben continues à taper... je préfére rigoler en entendant ta douleur !"

[Drawingrom]

Citation:

Envoyé par Ev3r10st

Mais surtout petit, parceque le bruteforce c'est l'attaque du noob.

C'est un peu le principe des attaques Anonymous, non ? Ils sortent un soft facile d'accès pour que le plus grand nombre puisse s'amuser à participer au DDoS.

Le côté un peu négatif, c'est que les n00bs se font coffrer par manque de sécurisation .

[berceker united]

Oui mais pourquoi ? Qui sera la cible. Est-ce que leurs revendications est-elle justifiées ?
Vais-je saccager Renault parce qu'ils fabriquent des voitures aux qualité douteuse ? Non je vais voir ailleurs (Si l'herbe est plus verte)

[kaymak]

Citation:

Envoyé par Ev3r10st

Il s'agit toujours de DDoS, mais DDoS intelligent.

Il utilisera le proxy configuré dans le navigateur, et on pourra bruteforce des urls impliquant beaucoup de travail au serveur j'imagine.

Celà-dit je trouve ça idiot, et petit.

Mais surtout petit, parceque le bruteforce c'est l'attaque du noob.
Aucune compétence requise, juste un peu de puissance de calcul. :/

Ce genre d'attaque aide les états à se tourner vers les FAI, et le deep packet inspection.
Donc en plus d'être idiot parce que même ma petite soeur saurait faire tourner ces trucs, c'est complètement débile comme de scier la branche sur laquelle on est assis...

Oui, ben le pire dans cette histoire, c'est que ces personnes qui se revendiquent citoyenne, dans la mesure où ils se battent pour défendre nos libertés informatiques, vont nous pondre un bel outil que bien des pirates** vont utiliser pour prendre en otage des applications lambda.

Peut être même verra t'on bientôt l'arroseur arrosé, et que ce sont les sites d'anon qui seront pris en hotage par ce même outil..

Moi je dis, qu'il faut retourner faire des applications desktop, d'ici peu de temps, ce sera moins compliqué, moins dangereux et plus fun ...

@berceker, les gens trouvent toujours des raisons de faire des trucs douteux.
Surtout en ce moment, où la fin justifie toujours les moyens, malgré les connaissances acquises.

a+

** Le termes désigne ici toute personne qui réalise du hacking pour monétisé son action, quelque soit son niveau

[Drawingrom]

Citation:

Envoyé par kaymak

Moi je dis, qu'il faut retourner faire des applications desktop, d'ici peu de temps, ce sera moins compliqué, moins dangereux et plus fun ...

+1

[sshpcl2]

“Anonymous is not a single person, but rather, represents the collective whole of 4chan. He is a god amongst men.”

http://spectrum.ieee.org/tech-talk/t...nymous-hackers

à l'heure de stuxnet ... est-ce que se sont eux les plus dangereux ?

par contre je rejoins l'avis de Ev3r10st

[Alpha573]

Moi ce que j'ai du mal à comprendre, c'est comment leur fameux "LOIC" ne spoofait pas l'IP des attaquants...

[jv-boy]

Citation:

Moi je dis, qu'il faut retourner faire des applications desktop, d'ici peu de temps, ce sera moins compliqué, moins dangereux et plus fun ...

Ben ca reviendrais au meme, niveau ddos. Il faudra quand eme un serveur pour l'appli desktop.

[kaymak]

Citation:

Envoyé par sshpcl2

“Anonymous is not a single person, but rather, represents the collective whole of 4chan. He is a god amongst men.”

http://spectrum.ieee.org/tech-talk/t...nymous-hackers

à l'heure de stuxnet ... est-ce que se sont eux les plus dangereux ?

J'ai envi de dire un truc un peu con : ça dépend !

Pour les agences gouvernementales et ceux qui ont les moyens d'avoir des ips/ids, des spécialistes de la sécurité, ils trouveront des parades à toutes ces conneries.
Je considère que les attaques dont on entend parler dernièrement sont le fruit de décennies de laisser-aller de la part des décisionnaires.

Pour le gars comme moi, qui n'à pas énormément de moyens, mais qui veut se lancer sur internet pour faire du commerce, toute cette merde lui sera catastrophique.... A moins d'engraisser des gros comme google / amazon / ebay etc etc
Mais bon si c'est cela l'internet de demain, je m'en retournes acheter un minitel

a+

edit en me relisant, j'ai pensé ceci "la sécurité est un droit, pas un devoir" !== hadopi qui voudrait nous faire avaler le contraire..

[kOrt3x]

Ils ont trop regardé Die Hard 4...

[kdmbella]

moi j'attends avant de voir de quoi sera réellement capable ce qu'il déclare vouloir développez c'est très facile de construire des grattes ciels avec les paroles

[cuicui78]

c'est marrant les annonce de ce style.

"je prévoi de faire un super truc qui fera ça et ça".

ils recherchent des sponsors ou un appel à don ?

les gros nazes.......

[hackrobat]

Je ne les sous estimerais pas car il sont passionnés. Ils ne se refuse aucune limite. Dernièrement, ils se disaient choqués de voir le manque de sécurité sur les sites web(et que me laisse penser que leur nouvel outil vient de la). Vous croyez peut etre qu'ils sont à l'extreme mais je pense que ca pourrait etre largement pire... Ils montrent avant tout les failles des systèmes et si ca nous amène à avoir des sites plus sûrs, alors je vote pour leur attaque...

Quant aux applis desktop, ca pourrait etre pire, ce serait plus fun pour eux... Imaginez votre systeme vulnerable, ils auront acces a votre machine a votre insu...

[bigouzou]

Ces types sont des rigolo. Avec leur mise en scéne a deux franc leur masque et même sur arte il ce ridiculise. Des ''pirates'' ? Non ce sont des pti lamz perdu qui utilise le DDoS pour faire trembler le monde. Aucune technique aucune recherche et des ados de 15ans qui ce font arréter appartenant aux anonymous. Ce sont que des passionné du mail bombing et autre connerie qui utilise des logiciel de script kiddie sans meme savoir ce qu'est un proxy bref des boulet. Dsl sa m'énerve quand je vois que de vrai hacker font des vrai choses et que les media prefere parler de boulet pareille sa me rend hor de moi.

[squelos]

Effectivement, LOIC c'est vraiment une daube. Il est vraiment pas performant du tout, ne permet rien de special, et ne permet même pas la modification de l'IP source ... Une appli de rigolo développée en quelques heures.

Même l'interface est nulle : elle est en absolu, suffit de resizer un peu plus petit pour voir disparaitre une partie des contrôles ...

Sinon, non, Anonymous, heureusement c'est pas que du DDoS. Et ce n'est pas qe 4chan non plus Anonymous.

[kaymak]

Citation:

Envoyé par bigouzou

Ces types sont des rigolo. Avec leur mise en scéne a deux franc leur masque et même sur arte il ce ridiculise. Des ''pirates'' ? Non ce sont des pti lamz perdu qui utilise le DDoS pour faire trembler le monde. Aucune technique aucune recherche et des ados de 15ans qui ce font arréter appartenant aux anonymous. Ce sont que des passionné du mail bombing et autre connerie qui utilise des logiciel de script kiddie sans meme savoir ce qu'est un proxy bref des boulet. Dsl sa m'énerve quand je vois que de vrai hacker font des vrai choses et que les media prefere parler de boulet pareille sa me rend hor de moi.

En même temps, les vrais hackers, comme tu dis, leur premier objectif est la discrétion

Et en attendant, ces boulets, sans chercher à les défendre, font trembler le monde avec des attaques d'un faible intérêt technologique.
Si tu ne trouves pas cela [que des grands groupes financiers soient à la merci de la première attaque venu qui à plus de 20 ans d'existence] plus choquant que cette bande de zoulous du net...

a+

[manserk]

c'est plutot intelligent, un ping, tu peux le bloquer facilement si ça devient génant

uns requete normale sur le port 80... si tu la bloque ben autant fermer ton site

par contre je suis assez intrigué par le fait qu'ils utilisent javascript je ne pensais pas que ça pourrait etre un langage valide pour ce genre d'utilisation