Sécurité info - Page 8

Je pense que ça dépend beaucoup de la direction et de son estime pour son équipe technique... c'est un coup à se retrouver désavoué par la direction ou le CA et à devoir faire de la merde "parce que l'auditeur l'a dit".
Cela dit, c'est quand même énorme (perso, au début, j'ai vraiment cru qu'il s'agissait d'un test).

Des clés USB infectées déposées dans des boîtes aux lettres :
http://www.theregister.co.uk/2016/09/21/letterbox_usb_police_warning/

Et en parlant d'USB, ce n'était qu'une question de temps avec quelqu'un se mette à les fabriquer en grande quantités :
http://www.extremetech.com/computing/235328-computer-killing-usb-drives-now-on-sale-for-less-than-60

génial ce truc

Des gens recoivent une clef USB et premier reflexe le coller au cul d'un PC? hum :/

Bon faut dire, dans les series/animes quand un mechant un peu (beaucoup) technophile laisse un message informartique c'est souvent sur un support amovible type carte SD / Clef USB, et que font les bon et gentils ? On le branche sur la machine qu'on utilise tous les jours pour le boulot!

Des fois les scenaristes ont l'idee que ca colle un virus tueur du reseau, mais souvent non, souvent ca va juste coller une icone au milieu de l'ecran pour lire la video ou le fichier texte laisse par le mechant........

-_-

Nan mais Luc Besson nous a prouvé qu'une simple clef USB peut tous nous sauver.

chaque fois que je vais imprimer des trucs chez un imprimeur pas cher du quartier c'est clé dédiée, format avant, format apres

Luc besson ?

hu?

Cf ./217

ahwi.

Je voulais le poster, mais avec les rate yNautiques j'ai oublie

Je trouve dommage d'avoir sur yAronet de plus en plus de liens postés sans contexte, explication ou commentaire. Du coup à défaut, je me permets de faire un résumé de ce que je comprends de celui-ci :

Le site de Brian Krebs a été la cible d'une attaque DDoS d'une taille record : la plus grosse attaque qu'Akamai (son hébergeur) ait vu jusqu'ici, plus de 660Go/sec de trafic en pointe. Cette attaque viendrait en réponse à son combat contre vDOS, un service israélien de "DDoS à la demande" dont deux des fondateurs sont maintenant en prison mais grâce auquel ils auraient amassé plusieurs centaines de dollars. L'ampleur de l'attaque est déjà impressionnante, mais ce qui est étonnant c'est surtout qu'a priori l'attaque a été effectuée via un botnet majoritairement composé d'objets connectés (routeurs, webcams, etc.) au lieu d'ordinateurs classiques.

Plus de 100000 appareils ont été utilisés pour l'attaque, d'où l'une des questions posée à Brian : qui lui en voudrait assez pour gaspiller un botnet aussi énorme (sachant que maintenant que les adresses IP sont connues il devient théoriquement plus facile de repérer les appareils non sécurisés) ? D'après lui la réponse est que ce botnet n'est en réalité pas si énorme que ça. Avec la tendance actuelle de multiplier les objets connectés à internet avec des mesures de sécurité faibles voire inexistantes, on est en train de mettre à la disposition des apprenti pirates des outils formidables pour faire tomber à peu près n'importe quel service sans effort.

Ce qui est dommage c'est que je ne vois pas beaucoup de solutions proposées dans l'article à part "on pourrait pousser des mises à jour à distance pour patcher tous les appareils non sécurisés" sans plus de précisions, donc ça reste essentiellement un constat. Perso ça me parait illusoire d'imaginer que tous les fabricants de produits connectés vont s'attacher à la sécurité de leur appareil tant que ça ne leur retombe pas directement sur la figure, mais dans ce genre de cas ils sont plutôt à l'abri.

Zeph (./226) :
Je trouve dommage d'avoir sur yAronet de plus en plus de liens postés sans contexte, explication ou commentaire.

Rédiger un résumé comme tu l'as fait, ça demande un certain temps et il y a le risque d'induire en erreur si on a mal interprété l'article. Vu que ce topic est assez pointu et que le débit de posts n'est pas très élevé, je me suis dit que les gens qui s'intéressent à la question préféreront de toute façon juger l'article par eux-mêmes.

Mais ton résumé est bien

Zeph (./226) :
Ce qui est dommage c'est que je ne vois pas beaucoup de solutions proposées dans l'article à part "on pourrait pousser des mises à jour à distance pour patcher tous les appareils non sécurisés" sans plus de précisions, donc ça reste essentiellement un constat.

Il parle aussi d'inciter les FAIs à filtrer les paquets sortants qui ont une adresse d'origine spoofée, pour éviter les attaques par réflexion (de l'extérieur, ça me semble assez fou d'ailleurs : j'étais persuadé qu'avec les matériels dont disposent les FAIs, une astuce aussi grossière n'avait aucune chance de marcher). Mais ça n'aurait aucun effet sur les attaques où ce sont des équipements compromis qui initient la connexion, bien sûr.

Effectivement il ne propose pas beaucoup de solutions, mais honnêtement, je n'en vois pas beaucoup non plus :

- forcer les mises à jour à distance, même en arrivant à contraindre les fabricants à le faire (bon courage si c'est une petite boîte en Chine), ça pose d'autres problèmes : il faut que ce soit bien sécurisé pour que ça ne soit pas détourné (pour compromettre directement les équipements, ou réinstaller une vieille version de firmware vulnérable), ça permet au fabricant de faire ce qu'il veut à posteriori des appareils vendus (on a pas mal d'exemples qui montrent que c'est pas forcément une bonne idée)...

- demander aux FAIs d'analyser le trafic sortant pour détecter ce qui est "anormal", ça encourage le DPI et les faux positifs ; et les attaques sont de plus en plus réparties, donc pris individuellement, le trafic sortant d'un équipement compromis n'est pas forcément très différent de ce qui est normal.

- pour punir ceux qui organisent des DDoS, il faut déjà les trouver : pas facile, l'attaque peut être lancée de n'importe où dans le monde, y compris des pays où la législation sur ce point est très laxiste

Une unité de police pourrait patcher les failles d'exécution de code arbitraire en les exploitant.

Je pense pas que ce serait légal. Et puis la police a bien autre chose à faire qu'à reverse-engineerer et patcher le code de sociétés commerciales.

Je te vois bien dans ce role Kevin

C'est pas OVH qui s'est pris un DDoS de 1To/s dans la tête, la semaine dernière ?
Edit : oui et on en a parlé ici désolé

./227 : oui je sais bien que ça prend du temps, mais c'est aussi ça qui rend l'article plus sympa à découvrir ici que directement sur le site, je trouve

Concernant la détection des adresses spoofées, encore une fois je n'y connais rien mais est-ce seulement possible ? Quand l'émetteur donne sa propre adresse ça n'est pas juste pour faire joli, c'est aussi pour que l'appareil d'en face puisse lui faire parvenir une réponse. Sans cette adresse impossible de savoir où envoyer le message de retour, donc de la même façon si elle est falsifiée comment est-il possible de s'en rendre compte ? Les équipements réseau ne peuvent pas se mettre à faire des ping pour valider l'émetteur de chaque message, déjà parce que ça serait super lourd mais surtout parce que ça deviendrait une nouvelle faille exploitable un peu comme la "DNS reflection" mentionnée dans l'article (ou dans l'un des articles liés, je ne sais plus).

Dans tes trois solutions j'aurais tendance à croire plutôt la deuxième, quitte à rendre les FAI responsables quand une attaque a lieu depuis leur réseau. Mais chaque FAI ne voit qu'une partie de l'attaque (celle qui est émise depuis son réseau), je ne sais pas si c'est suffisant pour détecter quelque chose. J'aurais tendance à penser que voir tout à coup des milliers d'appareils émettre des requêtes vers une même adresse alors que la seconde d'avant il n'y avait aucun trafic dessus, c'est suffisamment évident pour déclencher au minimum une vérification humaine. Mais peut-être que c'est une impression un peu simpliste. Quelqu'un s'y connait en réseau ici ? ^^

Pour les adresses spoofées, oui, c'est possible en UDP ^^

Il existe des attaques par réflexion, avec bon vieux NTP over UDP qui est particulièrement prisé : ton botnet initial envoie des requêtes en usurpant l'adresse IP de la cible vers des NTP intermédiaires, avec des réponses 10 fois plus grosses que la requête.

Ca se fait avec le Ping aussi ca

surtout avec DNS

Zeph (./233) :
Concernant la détection des adresses spoofées, encore une fois je n'y connais rien mais est-ce seulement possible ? Quand l'émetteur donne sa propre adresse ça n'est pas juste pour faire joli, c'est aussi pour que l'appareil d'en face puisse lui faire parvenir une réponse. Sans cette adresse impossible de savoir où envoyer le message de retour, donc de la même façon si elle est falsifiée comment est-il possible de s'en rendre compte ?

Les cibles ne peuvent pas le savoir en effet. Mais les FAIs connaissement les adresses IP de leurs clients, donc ils peuvent facilement détecter si l'adresse d'origine d'un paquet sortant de leur réseau est falsifiée. Au pire, si vérifier l'adresse exacte est trop complexe/coûteux, ils peuvent au minimum détecter si l'adresse d'origine est dans un plage qui leur appartient ou pas.

Je pense que la solution peut venir des gros opérateurs qui vendent de la bande passante aux FAIs : ils pourraient exiger contractuellement que leurs clients mettent en place ce genre de protections.

Je me demande si ca ne pose pas un problème avec les *casts de faire une telle chose.

C'est quand même un cas très particulier, la grande majorité des clients ne fait pas de multicast (et ceux qui en font ont probablement des contrats spéciaux avec les FAIs).

Oui mais j'ai peur que faire une telle choses casses des choses dans l'IPv4, c'est fragile cette choses, il y a probablement des choses qu'on ne vois pas/pense pas qui risque d'etre cassé en bloquant cette "fonction"