• # Un mot: Symantec

    Posté par  . Évalué à 10.

    On dit qu'il n'y a pas de virus sous Linux.

    Il dit qu'il ne voit pas le rapport. Déjà Linux c'est un noyau et ici il s'agit d'un serveur compromis sur lequel le pirate a laissé une backdoor.
    Comment c'est arrivé ? L'article n'apporte aucune info. Mot de passe récupéré, serveur mal configuré, faille dans un logiciel installé ?

    J'adore le côté sensationnaliste de l'article "Linux compromised" ("the world is ending", "kittens are dying",…) et puis arrive le bouquet final : D'où vient cette "info" ? Symantec. Qu'est-ce qu'il ne feraient pas pour justifier l'achat de leurs softs. C'est à se demander si ce n'est pas eux qui les créent, ces "menaces".

    Comment on peut en être sur?

    Comment peut-on être sûr qu'on ne se fera pas renverser en traversant la route ? On ne peut pas. Si on prends des précautions de base, on limite très fortement les risques mais le risque 0 n'existe pas.

    ClamAV

    1) Encore faudrait-il que ce soit un virus.
    2) Si c'était le cas l'aurait-il vu?
    3) Aucun soft ne protège contre un admin mal intentionné ou incompétent.

  • # ouais enfin non

    Posté par  . Évalué à 6.

    however, the backdoor did not open a network socket or attempt to connect to a command-and-control server (C&C). Rather, the backdoor code was injected into the SSH process to monitor network traffic and look for the following sequence of characters: colon, exclamation mark, semi-colon, period (“:!;.”).

    ce qui traduit nous dit que c'est un process qui n'ouvre pas un port sur le reseau et ne se connecte pas à un serveur "telecommande", mais plutot du code injecté dans le processus SSH pour surveiller le trafic et attendre une sequence particuliere pour se mettre en marche.

    je vois quelques soucis pour se faire viruser :
    1°) faut qu'il y ait eu un acces root pour installer une version modifiée de SSH
    2°) ca ne resiste pas à la mise à jour suivante de SSH par le gestionnaire de paquet
    3°) je ne sais pas dans quel logiciel on utilise la sequence ":!;." mais moi j'ai pas souvenir de l'avoir utilisée en 13 ans de boulot d'adminsys

    enfin l'article conclut par

    Malware on Linux systems is mostly a server-side problem and incidents of worms and Trojans run into the hundreds or low thousands – as compared to the tens of millions of Windows pathogens and one million plus Android undesirables.

    Les malware linux sont souvent des probleme cotés serveurs, et les vers et tojans sont quelques centaines, moins d'un millier comparés aux millions de windows pathogenes et au million d'android indesirable.

    • [^] # Re: ouais enfin non

      Posté par  (site web personnel) . Évalué à 2.

      D'ailleurs, en parlant d'Android… Je trouve ça dingue qu'on peut se choper des trojans, spywares etc. en installant des applications sur le store de Google…

      • [^] # Re: ouais enfin non

        Posté par  . Évalué à 2. Dernière modification le 23 novembre 2013 à 15:28.

        Le contrôle sur le PlayStore est léger et plus basé sur le signalement à posteriori des applications litigieuses.

        Sur l'AppStore d'Apple le contrôle a-priori des applications est plus poussé, mais ça n'a pas évité des problèmes malgré-tout (surtout qu'Apple cherche plus les applications nuisibles pour lui que pour les utilisateurs), et du coup les délais (jusqu'à 10 jours pour voir son application validée) sont assez lourds à supporter pour les développeurs.

      • [^] # Re: ouais enfin non

        Posté par  . Évalué à 1.

        eh oui bientôt on aura les tablettes et les téléphones des amis à réparer/nettoyer, etc… (si ce n'est pas déjà le cas)

      • [^] # Re: ouais enfin non

        Posté par  . Évalué à 1.

        Moi ce que je trouve dingue c'est qu'on installe des applications depuis le store de Google.

        • [^] # Re: ouais enfin non

          Posté par  . Évalué à 5.

          tu installes bien des applis depuis le depot de ton linux ?

          simple question de confiance

          • [^] # Re: ouais enfin non

            Posté par  . Évalué à 2. Dernière modification le 24 novembre 2013 à 15:42.

            simple question de confiance

            Justement, tu fais confiance à Google ?

            Il n'est pas du tout surprenant que des applis proprio présentes sur le dépôt d'une multinationale de la publicité qui s'illustre dans le non-respect de la vie privée des citoyens soient re-packagés avec des adwares. Si on abandonne la possibilité de compiler et d'installer soi-même ses logiciels sur un appareil, c'est ce qu'on obtient.
            C'est clair que Mme Michu ne sait pas cross-compiler, mon commentaire s'adresse aux informaticiens qui lisent linuxfr et s'étonnent encore de trouver des adwares dans des blobs proprios pris sur le dépôt d'une telle entreprise.

            tu installes bien des applis depuis le depot de ton linux ?

            Mon système télécharge le code source depuis le site de projets libres (ou le binaire de projets non-libres, mais ça j'évite), vérifie les checksums, puis compile et installe. Je ne fais pas confiance à un dépôt en particulier.

            • [^] # Re: ouais enfin non

              Posté par  . Évalué à 3.

              Mon système télécharge le code source depuis le site de projets libres (ou le binaire de projets non-libres, mais ça j'évite), vérifie les checksums, puis compile et installe. Je ne fais pas confiance à un dépôt en particulier.

              admettons, tu tournes donc à partir des sources, et tu fais donc confiance au mainteneur du serveur pour verifier les sources et en calculer un checksum.

              et ton systeme est entierement compilé sur ta machine, tu n'as pas de paquet binaire percompilé, ca doit etre long le jour ou il faut mettre à jour firefox/openoffice/gimp… mais admettons.

              parce que sinon, tu telecharges un binaire precompilé dont le checksum est fournit par le meme serveur.

              si le serveur est detourné, ou que le binaire est verolé mais non controlé avant d'arrivé sur le depot,
              ben tu installeras toi aussi une verole sur ton poste.

              le probleme du depot, c'est le controle qui doit etre fait avant d'inserer un logiciel dedans,
              apple le fait, et se fait engueuler quand il est un peu trop severe,
              debian le fait et se fait engueuler quand il refuse certains projets en upstream
              google ne le fait pas, ou de maniere plus light, et se fait engueuler car ca diffuse certains adwares/spyware…

              • [^] # Re: ouais enfin non

                Posté par  . Évalué à 2. Dernière modification le 24 novembre 2013 à 17:29.

                sinon, tu telecharges un binaire precompilé dont le checksum est fournit par le meme serveur.

                Oui je suis d'accord, le code source ou le binaire fournis par un projet auquel tu fais confiance sont équivalents.

                si le serveur est detourné, […] ben tu installeras toi aussi une verole sur ton poste.

                Bien sûr dans tous les cas il faut faire confiance au dépôt primaire, mais ça y'a pas moyen de faire autrement.

                le probleme du depot, c'est le controle qui doit etre fait avant d'inserer un logiciel dedans,

                Tout autant qu'il est difficile de compromettre un serveur pour insérer un malware, il est facile de re-packager un logiciel et de le soumettre à un dépôt de binaires, et on sait que le principal dépôt grand public la cible de prédilection des auteurs d'adwares. Éliminer des intermédiaires en téléchargeant à la source (assez souvent cela veut dire devoir compiler, c'est pour ça que le présentais ainsi) réduit la possibilité de se prendre des véroles insérées par les intermédiaires.

                apple le fait, […] debian le fait […] google ne le fait pas […]

                J'ai une confiance relative dans le dépôt de Debian (en gros ça a l'air d'aller, mais on a déjà eu l'histoire de l'entropie des clefs ssh créées par un mainteneur trop zélés), mais alors AUCUNE de chez aucune dans les dépôts binaires signés Apple ou Google. Je trouve troublant que des lecteurs de linuxfr s'étonnent de trouver des adwares ou des spywares dans des blobs binaires packagés par on ne sait qui et soumis dans le dépôt grand public des champions Big Brother de la planète, chacun dans leur style.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.