droitCybercriminalité - Page 2

Plus qu'avoir à se trimbaler avec sa clé sur soi en permanence (et c'est fait rapidement, hein... bon il y a UN cas où tu pètes les plombs, c'est si tu dois intervenir sur la tête de réseau, redémarrer, que ça te coupe ta session et que tu doives te reconnecter )

mais nan, tu up la clé sur le ftp de free pour pas avoir à la garder tout le temps sur toi en permanence !

En fait ça rejoint la théorie des mots de passe : Plus un mot de passe est compliqué, plus ça augmente la probabilité de le trouver sur un post it collé à l'écran...

Nan rigole pas, il y a un formateur qui avait tous les mots de passe de tous les webadmin de tous les serveurs dans "Documents partagés" sur son portable, sans aucune limitation d'accès (donc accessible non seulement par n'importe qui à l'intérieur de l'établissement, mais aussi par n'importe qui de chez lui s'il n'a pas un filtrage NetBIOS activé quelque part)

Malheureusement, c'est comme ça...

bah, c'est pas mieux que root/root sur certains de nos serveurs.
Dans le genre aussi, samedi dernier on avait une livraison, il manquait un indus pour débloquer un truc, je me suis connecté avec un compte particulier, j'ai vu son login d'indus, j'ai deviné son mot de passe en 2sec, et hop hop, je l'ai remplacé pour l'occas

(si jamais ça se sait par contre... hum hum, blackghost, tu dis rien hein ! )

Nil (./29) :
Donc pour arriver en ssh à une machine de la DMZ, il faut : craquer le mot de passe de toto sur la machine Alpha (sachant qu'au bout de trois échecs en ssh, t'es bon pour une heure d'attente). Une fois sur cette machine, il ne peut faire qu'une chose : changer d'usager, donc il faut qu'il craque aussi le compte baka. Admettons.Une fois qu'il est baka, il ne peut faire qu'une chose, c'est du ssh. Il faut qu'il craque le mot de passe du compte autorisé pour chaque machine qu'il veut atteindre (l'équivalent du toto pour le "répartiteur SSH"). Et une fois sur ces machines, il faut encore qu'il arrive à faire un su -l pour prendre la main avec un utilisateur qui a des pouvoirs.

Oui mais en fait au lieu de craquer un seul mot de passe, le mec doit en craquer 4 à la suite, ce qui est en fait strictement équivalent à craquer le gros mot de passe concaténé "mdp1mpd2mdp3mdp4". Tu complexifies un peu la tâche du craqueur parce que le mot de passe est plus long, mais au final ça ne change pas grand chose : je vois assez peu de cas de figures dans lesquels l'attaquant est capable de récupérer mdp1 mais pas les autres (le seul cas que je vois, en fait, c'est si les mots de passe sont stockés par leur propriétaire à des endroits différents, ce qui aurait pu être simulé dans le cas d'un seul mot de passe en le stockant en plusieurs parties à différents endroits). Bref je ne trouve vraiment pas que ça augmente de manière significative la sécurité.

Ben les mots de passe sont stockés sur chaque serveur, en l'occurrence (ce sont des comptes d'administration qui ne sont pas déportés dans l'annuaire).

et le mec, si il arrive a craquer le premier mot de passe en 3 tentatives, la chance qu'il y parvienne aussi pour le second est beaucoup plus faible que celle de trouver le mot de passe plus secure en une seule tentative (gagnante)

./38 > par stockage des mots de passe, j'entends stockage du coté client, pas du coté serveur (que ce soit sur un post-it, dans un logiciel de PIM, dans le cerveau de l'utilisateur, ou encore ailleurs). tu ne crackes pas un compte en choppant la liste des mots de passe sur le serveur, sinon ça veut dire que t'es déjà root dessus

je précise ma pensée : si qqun cracke le compte toto sur la machine alpha, a priori il a réussi à chopper le mot de passe toto quelque part chez le client ou entre le client et le serveur. comme les communications par ssh sont (bien) cryptées, c'est même en fait forcément chez le client (à moins que l'attaquant ne puisse modifier des paquets, auquel cas l'attaque Man in the Middle est possible et c'est gagné), et donc y a de fortes chances qu'une fois le mot de passe de toto choppé, les autres mot de passe soit récupérables par le même moyen employé (que ce soit un keylogger, une faille du logiciel de PIM, une lecture des post-its, une torture de l'utilisateur, ou autre).

./39 > dans le cas des quatres mot de passe, il a trois tentatives pour chacune des parties du gros mot de passe, alors que si c'était un seul gros mot de passe, il n'aurait que trois tentatives pour le mot de passe entier, ce qui est bien sur plus restrictif.

dualmoo (./40) :
./39 > dans le cas des quatres mot de passe, il a trois tentatives pour chacune des parties du gros mot de passe, alors que si c'était un seul gros mot de passe, il n'aurait que trois tentatives pour le mot de passe entier, ce qui est bien sur plus restrictif.

je cite au cas où... c'est tellement rare que tu sois d'accord avec un truc dit par moi... (enfin ou pourrait presque étendre aux modos/admins mais c'est pas le sujet)

ben malheureusement c'est pas ce que tu dis, toi tu dis que la probabilité de craquer les 4 parties du mot de passe est plus faible que celle de craquer le gros mot de passe, et moi je dis le contraire.

dualmoo (./40) :
tu ne crackes pas un compte en choppant la liste des mots de passe sur le serveur, sinon ça veut dire que t'es déjà root dessus

C'est pourtant ce qu'on faisait à l'IUT, avant que le fichier passwd ne soit "shadowé" par défaut ^^

Aaaah mais en fait, tu parles de hack par leak d'informations... j'étais branché sur du brute force (puisque c'est ce dont on parlait au début). Bah de toutes façons quand quelqu'un chope un ou des mots de passe par leak d'info (post-it, menaces, hypnose ou je ne sais quoi), il n'y a pas grand chose à faire. Ton fichier de certificat, tu peux te le faire voler, hein.

ben le brute force je l'envisage aussi, mais qu'il y ait un mot de passe ou plusieurs, à-partir du moment où tu mets trois tentatives maximum, tu es autant protégé que ce soit avec un ou n mots de passe, et là non plus ça n'augmente pas significativement la sécurité. Dans ton architecture de sécurité, la mesure importante c'est bien sûr la limite au nombre de tentatives, mais pas le nombre de mots de passe à trouver.

dualmoo (./44) :
ben le brute force je l'envisage aussi, mais qu'il y ait un mot de passe ou plusieurs, à-partir du moment où tu mets trois tentatives maximum, tu es autant protégé que ce soit avec un ou n mots de passe, et là non plus ça n'augmente pas significativement la sécurité. Dans ton architecture de sécurité, la mesure importante c'est bien sûr la limite au nombre de tentatives, mais pas le nombre de mots de passe à trouver.

Ca a au moins un avantage de plus (non lié aux mots de passe) : vu qu'on n'a pas un parc Linux homogène, si une distribution a une faiblesse, il devient plus difficile de s'appuyer dessus. Bien entendu, on peut toujours dire "oui, mais il vaut mieux avoir une seule et même distrib partout et corriger les failles etc. mais on n'a ni les moyens humains ni les moyens techniques de le faire). Corollaire : il suffit qu'une distribution ait une faiblesse pour affaiblir le système.

ça c'est déjà plus valable comme avantage (même si en effet il peut être discuté en long et en large )

Nil (./45) :

dualmoo (./44) :
ben le brute force je l'envisage aussi, mais qu'il y ait un mot de passe ou plusieurs, à-partir du moment où tu mets trois tentatives maximum, tu es autant protégé que ce soit avec un ou n mots de passe, et là non plus ça n'augmente pas significativement la sécurité. Dans ton architecture de sécurité, la mesure importante c'est bien sûr la limite au nombre de tentatives, mais pas le nombre de mots de passe à trouver.

Ca a au moins un avantage de plus (non lié aux mots de passe) : vu qu'on n'a pas un parc Linux homogène, si une distribution a une faiblesse, il devient plus difficile de s'appuyer dessus.

c'est fréquent, une faiblesse d'une distribution qui peut être exploitée simplement en exposant un serveur ssh au public ? (sans que le public en question n'ait de mdp valide)
parce que je ne vois vraiment pas quel autre type de faille ton schéma pourrait éviter, alors que ça complique quand même violemment les choses

solaris tenait une erreur comme ca depuis qq annees si je me rappelle bien

C'est pas forcément lié au service ssh, ça peut être un quelconque backdoor à n'importe quel niveau (la machine a forcément d'autres services activés, mais le SSH est le seul qui permet *théoriquement* d'accéder en dur au système).

Nil (./49) :
C'est pas forcément lié au service ssh, ça peut être un quelconque backdoor à n'importe quel niveau

s'il y a des services à d'autres niveaux tu peux tout à fait les restreindre aux requêtes venant du réseau local ; quand tu veux y accéder de l'extérieur il suffit d'utiliser ssh pour faire un forward de ports (et ça restera toujours nettement plus simple pour l'utilisateur que le système avec 3 logins ssh successifs )

Dans le domaine de la sécurité, je ne peux pas me connecter par ssh sur le serveur du client parce que je ne suis pas sur sa white list...
Pas contre, je peux m'y connecter par telnet...

Ah nan, ça on ne fait plus (mais ça a été vu chez nous, effectivement )

Comme preuve, j'ai les fichiers de log.

Un log ne constitue pas une preuve.

Et tu ne peux pas contacter ton FAI à ce propos ?

ah ouais?
qu'est-ce qui constitue une preuve alors? quelle evidence tu peux avoir sans log?

C'est ce qu'on appelle un "commencement de preuve".

nEUrOO> et quelle évidence tu as avec un log ?

Seule une accumulation de sources croisées et indépendantes peut permettre au juge de se faire un avis sur la question. Typiquement, il faudra voir si le FAI a loggé quelque chose, par exemple.
A la limite, si le log était stocké en temps réel chez un tiers de confiance garantissant l'immuabilité des données une fois écrites, ça serait déjà plus convaincant (mais toujours pas suffisant). Là, qu'est-ce qui me dit que son log il a pas été généré par Notepad.exe ?

Après t'as toute une ribambelle d'autres problèmes. Il faut montrer que l'accès était intentionnel. Une défense simple mais redoutablement efficace (pas mal de monde s'en sort comme ça), c'est de ne pas être au courant. C'est la faute d'un trojan tout simplement. Dans le cas qui nous intéresse la meilleure piste c'est surtout la grande gueule du gars concerné en fait

Ok, en fait tout ce que vous me dites me rassure. Parce que c'est pas moi qui veut porter plainte. C'est un mec que je connais qui voulait porter plainte contre un autre mec que je connais, je les aime bien tous les deux mais ca allait partir en sucette quoi...

Mais bon, là je suis plutôt rassuré avec vos propos, et c'est vrai qu'il a à priori toujours pas porté plainte.