Note d'information du CERTA

Posté par  (site web personnel) . Modéré par Pascal Terjan.
Étiquettes : aucune
0
20
jan.
2003
Sécurité
Le CERTA (Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques) a publié fin novembre dernier une note d'information relative à une attaque perpétrée sur un serveur. Cela va de la découverte d'indices d'attaque jusqu'à l'analyse et l'explication du déroulement de l'attaque. Intéressant à lire.

Aller plus loin

  • # Re: Note d'information du CERTA

    Posté par  . Évalué à 10.

    C'est sympa a lire, ca change du ton monotone de beaucoup de documents administratifs. Pour un non specialiste, c'est tres comprehensible.

    • [^] # Re: Note d'information du CERTA

      Posté par  . Évalué à 10.

      C'est super intéressant, et pour une fois que c'est en français.
      A lire absolument par les personne non-initiées à ce genre de document.

      • [^] # Re: Note d'information du CERTA

        Posté par  (site web personnel) . Évalué à 8.

        Il manque encore quelques informations pour les non initiés ...
        genre le : "mais comment on fait pour voir qu'un fichier à été effacé et comment on le récupère ?"
        Ou le : "Mais comment qu'on voit que c'est par LPRng que le gars il est passé ?"
        Et certainement aussi : "Wahou trop fort, mais c'est ou qu'on clique pour voir les mouvements de fichiers ?".

        C'est clair que l'article va ouvrir les yeux à quelques personnes. Mais combien vont rester à se poser des questions qui n'ont aucun rapport ?

        • [^] # Re: Note d'information du CERTA

          Posté par  . Évalué à 1.

          Ouais.
          Et comment on fait pour dupliquer le disque afin de l'examiner ? On demonte la machine ?

          Mais bon ce n'etait pas le but de l'article de tout explique bien bien.

          • [^] # Re: Note d'information du CERTA

            Posté par  . Évalué à 10.


            Et comment on fait pour dupliquer le disque afin de l'examiner ? On demonte la machine ?

            dd (et pas Dédé) est ton ami...

  • # Re: Note d'information du CERTA

    Posté par  . Évalué à -10.

    C'est moi ou la note en question, est on ne peut plus banale ?
    On dirait un compte rendue de Jean Kevin Leboulet attaque le routeur d'une PME, installer par la SSI Incoyablement Incompetant System, dans H4x0r mag, dans l'article Toi aussi joue au warlord sur IRC.

    A part participer au programme Honney pot ils font quoi au juste au CERTA, pour la securité informatique ?

    • [^] # Re: Note d'information du CERTA

      Posté par  . Évalué à 5.

      Ils testent les différentes saveurs de miel: romarin, acacia, lavandes, sapin...

      [-1]

    • [^] # Re: Note d'information du CERTA

      Posté par  (site web personnel) . Évalué à 10.

      L'objectif de la note en question n'est pas de parler d'une nouvelle faille (les avis et alertes sont là pour ça) mais plutôt d'informer les administrateurs des risques en cas d'absence d'une politique de sécurité sérieuse. Amha, il ne s'adresse pas forcément aux experts de la sécurité informatique.

    • [^] # Re: Note d'information du CERTA

      Posté par  . Évalué à 5.

      C'est ni plus ni moins que ça....

      Et tu trouves que ca élimine l'intérêt de ce genre de document ?

      Toi, t'es un vrai haxor, alors...

      • [^] # Re: Note d'information du CERTA

        Posté par  . Évalué à -7.

        Bas c'est de suite beaucoup moin interessent que les communiques du CERT et du FIRST au quel il fait pourtant partie.

        De plus si c'est pour la sencibilisation en matierre de securité, je pence que le de marchage directe est une bien mellieur solution surtout pour des PME qui ne s'informe tous simplement pas sur ce type de probleme ou confie cela a des SSI peut regardentes.

        Apres le programme honny pot a part sa vocation statistique, je lui trouve pas une tres grandes utilités car je doute fortement que les hackers les vrais, aient le temps d'attaquer des machine au hasard avec leur dernier exploit non publique.

        Apres non je ne suis pas un hackers loin de la, juste quelqu'un qui se tien au courant et qui remarque le relatif immobilisme de cette orguanisme.

        • [^] # Re: Note d'information du CERTA

          Posté par  . Évalué à 9.

          Beretta soigne tes fautes, bordel !
          Toutefois je suis d'accord avec toi, ca sonne vraiment comme si le gars du CERTA avait ENFIN reussi a reperer un hacker et disait: allez les enfants, reunissez-vous autour de moi, je vais maintenant vous montrer comment on chasse la racaille rebelle de l'internet. C'est sympa a lire, mais franchement si les administrateurs systemes ne savent pas que leurs machines peuvent servir a rebondir, je peux faire leur boulot.
          (Mais, eux, ne peuvent pas faire le mien)
          Allez, roulez jeunesse ! -1 -1 -1 -1 -1 -1 -1 -1...

  • # Re: Note d'information du CERTA

    Posté par  . Évalué à 8.

    Comme quoi, il faut toujours penser à *bien* effacer ses traces
    http://abaababa.ouvaton.org/wipe/(...)
    :-)

  • # Re: Note d'information du CERTA

    Posté par  . Évalué à 10.

    Dans le même genre (mais fictif) : http://ouah.sysdoor.net/meinel.html(...)
    C'est parru dans le magazine "Pour la science".
    C'est le récit fictil d'un piratage d'une entreprise. C'est très didactique et compréensible pour le non initié, amusant pour les personnes un peu plus férues de sécu info (genre lecteur de MISC ;-)).
    Par contre le mépris récurent dont est objet le perso du pirate est un peu agaçant:
    "Imbu de ses compétences informatiques, Nau attend l'occasion – par exemple, une question naïve – de provoquer une bagarre verbale".
    ou encore
    "Sur un site du réseau Internet, Nau trouve un scanner de port furtif performant écrit en langage C. Nau doit le compiler, c'est-à-dire le traduire dans le langage de son ordinateur. Cependant, chaque version d'Unix est unique, et Nau n'a jamais étudié la programmation. Il n'en a jamais eu besoin, car tous les logiciels qu'un pirate désire sont en libre-service gratuit sur le réseau Internet."

    C'est quand même divertissant.
    C'est vrai que la plupart des pirates sont plutôt des script kiddies qui ne comprenent rien à ce qu'ils font mais là je trouve le tont un peu forcé, d'autant plus que les techniques utilisées par le pirtates de la fiction nécessitent certaines connaisances.

    • [^] # C net

      Posté par  . Évalué à 10.

      C'est vrai que la plupart des pirates sont plutôt des script kiddies qui ne comprenent rien à ce qu'ils font mais là je trouve le tont un peu forcé, d'autant plus que les techniques utilisées par le pirtates de la fiction nécessitent certaines connaisances.

      cela me rappel un très mauvais film avec travolta.

      méchant - OUHAAAAAAAAAAAAA tu as cassé du RSA 635465465 bit en 24 secondes !!! Comment as tu fais ???
      pirate - j'ai installé un sniffer dans le réseau
      méchant - ouhaaaaaaaaa
      spectateur - OUHAAAAAAAAAAAAA !!!!!! (c koi du RSA) OUHAAAAAAAAAAAAAAAA

      PS : je n'ai pas parlé de la personne sous le bureau pour ne inciter les jeunes à devenir des pirates.

      bref, suffit de placer du jargon pas trop grand publique et et le film devient une passionnante aventue.

      Je trolle dès quand ça parle business, sécurité et sciences sociales

      • [^] # Re: C net

        Posté par  . Évalué à 5.

        tu a oublier le vers polymorph multi téte, soit une hydre trop classe, le tous programmé en rubis...cube .

        • [^] # Re: C net

          Posté par  . Évalué à 2.

          Qqun peut citer ne serait-ce qu'UN SEUL film traitant correctement de l'informatique ? Je veux dire, au moins, des ordinateurs dont le systeme d'exploitation n'emet pas des couinements a chaque ouverture de fenetre.

          • [^] # Re: C net

            Posté par  . Évalué à 9.

            Cela s'appel des documentaires, ce n'est pas sensationnel, il n'y a pas de système d'exploitation avec des têtes de morts, il n'y a pas de bruit quand tu appuyes sur une touche... juste des gens qui parlent de leur passion et de ce qu'ils font.

            Arte avait diffusé ce genre de repportage il y a quelques mois.
            - sur linux
            - sur les hacktiviste
            - sur les programmeurs de microsoft à la retraite (35 ans avec un cerveau lessivé)

            Le malaise c'est que les documentaires sont regardé par peu de monde du fait que c'est un documentaire et qu'il ne s'y passe rien d'"incoyable" cela manque de BOUAAAMM de PAFFF, PAAAAAAANNNN et bien entendu d'une scène de cul...

            Faudrait proposer à TF1 de remplacer ZiStarHackademy par une chaîne ou l'on pourrait voir des gens devant leur ordi en train de pondre des lignes de codes (assembleur, fortran, QBASIC) sans rien dire, sauf quand ils sortent l'algo PARFAIT.
            Hmmmm j'ose pas imaginer le résutat !!!!

            Je trolle dès quand ça parle business, sécurité et sciences sociales

            • [^] # Re: C net

              Posté par  . Évalué à 3.

              J'ai vu le reportage sur les programmeur "Microsoft", et c'etait vraiment un bon documentaire.
              on y voyait un être vivant physiquement, mais completement vide a côté: Microsoft avait sucé sa moelle....

              Je conseille a tout le monde de le regarder.

              • [^] # Re: C net

                Posté par  . Évalué à 1.

                Euh... J'ai pas la télé...
                Plus de détails ;o9 !!!

                • [^] # Re: C net

                  Posté par  . Évalué à 2.

                  Le mec se retrouvait dans une superbe baraque, mais vide de tout (de famille, de passions personnelles, de culture...), riche mais la tête aussi bien remplie qu'un psychotique chronique en asile :/

                  • [^] # Re: C net

                    Posté par  . Évalué à 1.

                    ce qui il y avait de rassurant c'est que certains avaient gagné pas mal de tune, et après s'etrecassé, en profitait pour aider les enfants des quartiers a se former en informatique (cf la femme black).
                    Donc la conclusion, c'est : on peut s'en sortir!!!!!!!!

            • [^] # Re: C net

              Posté par  . Évalué à 9.

              Certes, mais je trouve que les reportages sont en general aussi decevants que les films. Cf justement celui sur les hacktivistes ou la "patte" ARTE avec ses graphismes zarbis, ses animations new-age et ses sons fantomatiques masquent le manque d'information. Pourquoi ne peut-on pas avoir l'equivalent de la vie des betes sur la Cinquieme. Le codeur solitaire ou en groupe, dans son milieu, avec une camera cachee derriere un vieux carton de pizza. On aurait peut-etre meme la chance inouie d'assister a un cas d'une extreme rarete: sa reproduction.

          • [^] # Re: C net

            Posté par  . Évalué à 4.

            > Qqun peut citer ne serait-ce qu'UN SEUL film traitant correctement de l'informatique ?

            Oui, moi je peux. TRON. C'est vieux (1980) mais c'est excellentissime et on est loin des trucs qui nous tombent sur le coin de la figure à l'heure actuelle.

            En plus, j'ai l'impression que c'est un film où l'informatique vient de la culture unix, le monde des processus qui ont chacun un *user*. Avec Möbius côté graphique et Jeff Bridges en gentil programmeur contre ce qui devra incarner plus tard Billou et son trust, y a que du bonheur...

            • [^] # Re: C net

              Posté par  (site web personnel) . Évalué à 2.

              Oui, moi je peux. TRON. C'est une blague ? Je l'ai revu il y a peu et à part le côté vieillot marrant principalement dans l'idée que se faisaient les réalisteurs de l'informatique à cette époque, je trouve que ça reste un film creux. De mon point de vue le meilleurs film ayant trait à l'informatique que j'ai pu voir est cybertraque, justement parce qu'on ne s'enlise pas dans la technique.

          • [^] # Re: C net

            Posté par  (site web personnel) . Évalué à 3.

            > Qqun peut citer ne serait-ce qu'UN SEUL film traitant correctement de l'informatique ?

            Cybertraque (le film sur Mitnick) ne m'avait semblé pas trop mal fait. Qu'en pensez-vous ?

          • [^] # Re: C net

            Posté par  (Mastodon) . Évalué à 4.

            Je n'en connais pas. Par contre ...
            ...et une fois de plus, j'ai eu un mal de chien à le retrouver (pourtant il y en a d'autres encore) : Les ordinateurs vus par Hollywood - http://groups.google.com/groups?selm=34BE1B51.C361BE34%40werkstoff.(...)
            et une variante pas mal : http://groups.google.com/groups?selm=TF.97Nov19082155%40world&o(...)

          • [^] # Re: C net

            Posté par  . Évalué à 2.

            Si ma mémoire est bonne, je dirai Wargames.

            • [^] # Re: C net

              Posté par  . Évalué à 2.

              Oui, les vieux films, donc. A l'epoque ou, dans l'esprit des gens, l'informatique etait deja suffisamment mysterieuse pour ne pas la maquiller avec des fenetres qui font flip-flap. Je n'ai pas vu Cybertraque. De toutes facons, il faut admettre qu'a part les decideurs de LinuxFR, personne ne baverait plus de 10 minutes devant un type qui envoie des CTCP floods sur IRC :o) On en revient a regretter que les reportages ne soient pas a la hauteur. Evidemment, y a aussi le film "Hackers" ou le gamin se pointe a la cafet' avec "La bible d'Unix", c'est-a-dire "La bible des hackers" selon ses propres dires.

        • [^] # Re: C net

          Posté par  . Évalué à 1.

          tu as oublié aussi le cluster connecté à 7 réseaux différents en même temps...

  • # Quel outil d'analyse à posteriori ?

    Posté par  (site web personnel) . Évalué à 10.

    Cette note d'information est intéressante pour ceux dont la sécurité n'est pas la tâche primordiale. Elle permet de donner une bonne vision d'una attaque "courante", des outils de hack utilisés et des buts recherchés par cette intrusion.

    Néanmoins, la question que je me pose est la validité technique de la démonstration : quels outils sont utilisés à posteriori pour le suivi des modifs du système de fichiers ?

    Je pense particulièrement aux lignes du type suivant présentes dans le document :

    La première activité suspecte est visible à 04:28:33. Le pirate télécharge (via la commande lynx) une première archive (.a. signifie que la date d'accès a été modifiée):

    Oct 15 2002 04:28:23 1102236 .a. -rwxr-xr-x 0 0 663612 /usr/bin/lynx

    Le pirate parvient peu de temps après à télécharger une archive, rk.tgz.

    Oct 15 2002 04:29:12 382403 m.. -rw------- 0 7 1462 /rk.tgz (deleted)

    Quel outil le CERTA utilise car il ne le précise pas dans la note ?

    • [^] # Re: Quel outil d'analyse à posteriori ?

      Posté par  (site web personnel) . Évalué à 6.

      Peut-etre un outil proprio sur un OS proprio, je sais pas =)

      En tout cas pour nous, la FSF nous a codé un joli stat qui donne encore plus d'infos.

      Je précise que j'ai beaucoup apprécié l'article qui a le mérite d'être dans l'esprit du libre, en dévoilant le cheminement de cet admin, ce que ne sont visiblement pas prêts à faire ceux qui l'ont dénigré dans les commentaires plus haut.

      Du genre "beu c'est nul, je fais mieux mais je te dirais pas comment."

  • # Recherche...

    Posté par  . Évalué à 2.

    Ouah ! j'ai trouvé cette lecture super interressante.

    <TROLL>
    mais ce qui m'étonne le plus et que je viens de découvrir
    des fonctionnaires français qui travaillent !
    </TROLL>

    Syj ;-).
    _____________________________________________

    Note: -1.

    • [^] # Re: Recherche...

      Posté par  . Évalué à -2.

      >des fonctionnaires français qui travaillent
      Tu parles, ils ne savaient plus quoi faire aprés avoir lu les journaux et bu le café (Il etait que 3 donc pas assez pour un belote). Du coup, ils sont allés voir ce qui ce passait sur le serveur principale du batiment et on suivit l'action.

      Note -3 au minimum

    • [^] # Re: Recherche...

      Posté par  . Évalué à -3.

      mais ce qui m'étonne le plus et que je viens de découvrir
      des fonctionnaires français qui travaillent !

      Marrant, avant je croyais pas qu'on pouvait employer ces 2 mots dans la même phrase.

      -5

      • [^] # Re: Recherche...

        Posté par  . Évalué à 1.

        Arrêtez quoi, en plus c'est d'autant plus stupide que récemment y a eu la note de l'ATICA qui était très bien faite et très intelligente. C'est pas mal pour des fonctionnaires qui ne travaillent jamais.
        C'est de l'humour, mais bon, c'est lourd. :)

  • # N'y-a-t-il que le CERTA?

    Posté par  . Évalué à 1.

    Y aurait-il un endroit, genre mailling-list ou site, ou on peux trouver de l'aide concernant l'étude d'une éventuelle compromission, et discuter des meilleurs moyens de ces mises en évidences?

    Outre le fait que le prix de tels étude, pour des machine perso, semblent hors de portée; que de plus en plus, les machine personnelles sur ADSL sont l'objectif de pirate qui s'en servent comme rebond; il n'est plus a prouver l'efficacité de la mise en communauté des moyens et des idées.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.