Assiste.com
cr 22.06.2016 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Dossier (collection) : Termes de la scène Warez, DLL et P2P |
---|
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Sommaire (montrer / masquer) |
---|
Scène Warez et risques en sécurité informatique (virus, compromissions, exploitation de failles de sécurité, keylogger, fiching, ingénierie sociale, etc.)
Il est généralement admis que les sites de warez représentent un risque très élevé en termes de logiciels malveillants et que les applications crackées (les appz, gamez, etc. ...) sont très majoritairement des malveillances, parfois dramatiques, aux dégâts irréversibles / irrécupérables, tels les cryptowares. Lire [01].
Il faut sans doute nuancer cela, car :
Les équipes (teams) de la scène warez sont souvent animées du simple désir de réputation (craquer jeux et applications et tout système de protection), sans en faire une source de profits financiers, et être reconnues comme de bons et rapides crackers dans le milieu du warez. Ces équipes rendent rarement leurs travaux (leurs releases finales) publics, et sont, par nécessité de protection de leurs membres, très discrètes, indétectables et imperméables, comme le sont les « anonymous »). Les travaux de la scène warez ne sont pas faciles à trouver. Les sites de la scène warez, lorsqu'ils existent, sont quasi impossibles à trouver (Web caché / Web underground).
Ne pas confondre les teams de la scène warez d'avec les teams du monde P2P qui, elles, donnent ouvertement un moyen de contact pour recruter (par exemple dans les fichiers NFO des releases vidéo ou dans un fichier readme.txt).
Les travaux (releases) des teams de la scène warez et des teams de P2P finissent toujours par apparaître, plus ou moins rapidement, sur les Tracker P2P, dans les sites dits de DDL (Direct Download) et dans la classe alt.*, hiérarchie alt.binaries.* du « Newsgroup » « Usenet ».
Si certains Trackers P2P et sites de DDL (Direct Download) sont modérés (disposent d'une équipe de modérateurs qui surveille ce qui se passe sur le site), le newsgroup alt.binaries.* n'en a pas et est un véritable nid à Virus. Les sites Trackers P2P et sites de DDL (Direct Download) non modérés sont également des pourvoyeurs de Virus. C'est sur ces sites criminels que l’utilisateur normal tombe lorsqu’il se met en quête d’une application, un jeu, une musique, un film, etc. ... qu’il ne peut pas, ou ne veut pas s’acheter.
Ce sont ces versions crackées puis modifiées, malveillantes, criminelles, de plus en plus souvent totalement destructrices (prise en otage irréversible de toutes les données (cryptowares) avec demande de rançon (ransomware) sinon destruction), sur lesquelles l’utilisateur insouciant tombe.
Que se passe-t-il ?
Les cybercriminels s’emparent des nouvelles releases, qui vont être très demandées (très populaires dans les jours suivants : blockbusters, événement people, sortie d'un album, etc. ...), les modifient et y injectent des cybercriminalités (Virus, zombification avec intégration de l'ordinateur dans un BotNet à l'insu de son propriétaire, cryptoware avec demandes de rançon, repack avec sponsorwares, injection d'un appel à un scanners de détection et exploitation (Exploit) de failles de sécurité, etc. ...).
Les techniques d'injections sont classiques : cheval de Troie, installeurs piégés, binders et droppers, etc. ... Un grand classique est de prétendre qu'il faut utiliser un CoDec particulier pour voir ou écouter une release : or, un CoDec est, tout simplement, un programme (du code qui s'exécute dans votre ordinateur). C'est une voie royale pour faire pénétrer un Virus ou toute autre forme de malveillance.
C'est là où la confusion se crée entre scène Warez et Virus. Les cybercriminels n'appartiennent pas à la scène Warez, ils l'exploitent ! Ils diffusent immédiatement les releases modifiées (piégées) sur les Tracker P2P et sites de DDL (Direct Download) non modérés où pullulent les leechers débutants ou insouciants (ces sites sont juste des attrapes nigauds qui vont cliquer sur les millions de placards publicitaires trompeurs et dangereux qui font gagner des fortunes à leurs webmasters). Les cybercriminels ont, eux-mêmes, d’innombrables sites de téléchargements très bien référencés dans les moteurs de recherche sur lesquels les pirates (les internautes) inconscients et fébriles, devant le dernier téléchargement à la mode, sont conduits (sur le principe du « On clique d'abord, on réfléchi après » (si tant est que l'on réfléchisse un jour).
Ces sites criminels, parfois très bien faits, ont des allures très techniques, ou carrément philanthropiques, et, par exemple, se donnent le beau rôle avec :
Des déclarations de façade prônant ouvertement la lutte contre les dispositifs anticopie et les DRM
Des slogans de façade « La culture ne se vend pas, elle se partage » - De quoi vit le créateur ?
Etc. ...
La quasi-totalité des outils de sécurité, à commencer par les antivirus, classe systématiquement certaines formes de crack (les générateurs de clés d’enregistrement – KeyGen) en virus. S’il est exact que la très grande majorité de ces KeyGen sont de réelles malveillances, des adwares, des pourvoyeurs de PUPs, des virus, etc. ... certains sont totalement anodins et ne font que ce qu’ils prétendent faire : délivrer des clés d’enregistrement générées avec le même algorithme de génération que celui de l’éditeur de l’application.
En outre une abondante littérature montre et démontre qu'il y a corrélation entre warez et logiciels malveillants, essentiellement en se basant sur des analyses statistiques qui ne tiennent pas compte des 2 remarques ci-dessus. [02][03][04]
En réalité, il est rare d’être infecté à partir de la scène Warez que l'on ne sait pas où trouver :
La scène Warez est quasiment inaccessible à l’utilisateur lambda qui ne trouve que la scène des Tracker P2P et sites de DDL (Direct Download).
Le contenu malveillant est ajouté aux applications crackées, hors de la scène Warez, à un stade ultérieur, par des tiers criminels.
La scène Warez méprise les Trackers P2P et sites de DDL (Direct Download).
Certains Trackers P2P et sites de DDL (Direct Download) (enfin... leurs siteops, leurs administrateurs, leurs Webmasters) sont d'une puanteur totale et exploitent sans vergogne :
Les acteurs, gratuits, de la scène Warez
Les développeurs bénévoles de ces Trackers et sites de DDL, qui croient être dans un monde de bisounours
Les internautes que l'on fait cliquer sur des pubs mensongères et des services escrocs (les sites Trackers P2P et DDL sont des placards à publicités trompeuses).
Les internautes à scrupules qui contribuent en finançant des administrateurs voyous, qui n'ont rien à voir avec l'idée (totalement fausse au demeurant - le gratuit n'a pas de prix, mais ça a un coût) que la culture se partage gratuitement.
Ces siteops et administrateurs voyous se font des dizaines de milliers d'€ par jour.
Il existe tout de même des trackers P2P totalement privés et sans pub ni exploitation financière - ils sont rares et cherchent volontairement à rester petits et discrets.
|
La plupart des outils de sécurisation de vos appareils peuvent bloquer l’accès à un domaine (site Web) de partage (tracker P2P) et aux applications torrent (qBittorrent, Vuse, etc.).
La raison est qu’il est toujours dangereux, voire dramatique, de télécharger quelque chose de nouveau qui va être ouvert immédiatement (réflexe malheureusement habituel de l’utilisateur) alors que cet objet est encore inconnu des antivirus et antimalwares.
Les cybercriminels connaissent cette faille (virus PEBCAK) chez les utilisateurs et envahissent les domaines de partage avec des objets à télécharger attractifs, mais piégés, ou en hackant les communications avec ces domaines (par exemple en utilisant des proxys). Ils ont des chances de toucher en quelques heures un grand nombre de victimes avant que l’objet malveillant ne soit détecté et retiré du domaine de partage.
Après un téléchargement de quelque chose de nouveau, et si vous ne connaissez pas l’uploader de longue date, soumettez l’objet téléchargé, avant d’ouvrir cet objet :
Si vous avez une confiance certaine en l’uploadeur et en le domaine tracker de P2P, vous pouvez mettre, temporairement, le domaine de partage (le tracker P2P) et l’application torrent utilisée en liste blanche dans vos outils de sécurité.
Les outils de sécurité bloquent un domaine douteux par son adresse IP. Les trackers P2P sont très nombreux, beaucoup étant de petits domaines de particuliers hébergés sur des serveurs mutualisés entre de très nombreux domaines (des milliers à des dizaines de milliers de domaines sur la même adresse IP). Le blocage de l’adresse IP va entraîner le blocage de tous ces domaines, même si tous les autres n’ont rien à voir avec le P2P.
Lire ces documents :
[1] Warez site riddled with mobile malware - Crack, crack your smartphone's dead.
[2] A crawler-based study of spyware in the web.
[3] Monkey-Spider: Detecting malicious Web sites.
[4] Vanity, Cracks and Malware - Insights into the Anti-Copy Protection Ecosystem.
[5] Piracy Release Group has been spying on downloaders for 9 months.
Lire ces notes :
|
Un codec est un code exécutable d'encodage/décodage, dont de compression/décompression de flux numériques. Ce sont des programmes, avec tous les risques de virus et malveillances que cela permet (y compris les malwares, les ransomwares et les cryptowares).
Ne téléchargez et n'ouvrez que des releases faites avec des codecs connus et jamais avec des codecs exotiques ou nouveaux et présentés comme « merveilleux ».
Lire l'article :
|
Collection de dossiers : Les encyclopédies |
---|