Sortie de MISC n° 5

Posté par  (site web personnel) . Modéré par Benoît Sibaud.
Étiquettes :
0
5
jan.
2003
Sécurité
Vendredi 3 janvier est sorti le numéro 5 de MISC, magazine sur la sécurité informatique, avec comme thème principal les virus.
Sommaire complet dans la suite de l'article

Note du modérateur : voir aussi la page avec les anciens articles en ligne Témoignage :
- Déployer une veille technologique
Droit :
- Virus informatiques, aspects juridiques
- L'assurance contre les virus informatiques
Dossier : Virus, mythes et réalités
- Les infections informatiques
- Exécution de code malveillant via Internet Explorer 5 et 6
- Virus sous Unix : les virux, ou quand la fiction devient réalité
- Appliquer une politique antivirus
- Analyse par désassemblage d'un ver
- La lutte antivirale : techniques et enjeux
Système :
- Cassage et durcissement des mots de passe Unix
Réseau :
- Protection de l'infrastructure IP (autopsie de routeur)
Fiches techniques :
- Tunnels SSH
Science :
- Sécurisation d'UMTS ou GSM 3e génération.

A noter que le Hors Serie numéro 13, l'acte 2 sur les firewall, sort le 17 janvier, deux semaines apres celui-ci.

Aller plus loin

  • # /devoice pappy + virux

    Posté par  (site web personnel) . Évalué à 10.

    Bon, ben si j'ai plus rien à dire ...
    Ah si :)
    Nous (samuel et moi, les auteurs de l'article sur les virux) aimerions bien coder un "proof of concept". Samuel est plus tenté par le virux des packages, et moi par le ver ... mais les 2 de toutes façons.
    Dans les 2 cas, ce que nous avons déjà fait ne sert que d'exemple, mais volontairement nous avons laissé du code sans grande efficacité. Notre objectif n'est pas de casser les choses, mais de montrer qu'en l'état, il y a des choses qui ne vont pas et d'essayer de proposer alors des solutions.
    Bref, si des personnes sont intéressées, n'hésitez pas à nous contacter, il y a de quoi faire ...

    • [^] # Re: /devoice pappy + virux

      Posté par  (site web personnel) . Évalué à 10.

      D'abord bravo pour votre journal : c'est de la balle ;)

      Perso, je serais plus tenté par un ver mais pas forcément "méchant".

      De plus hier au soir, sur France 2, il y avait une emission de vulgarisation "scientifique" qui présentait les travaux sur les robots développés par Paris VI à base d'algo génétique.

      Ce qui me plaît dans le ver c'est l'aspect vie artificielle : cela me rappelle "Le Trilogie Ender"...

    • [^] # Re: /devoice pappy + virux

      Posté par  (site web personnel) . Évalué à 10.

      Le proof of concept est interrescant uniquement si le patch correctif est fournis avec. Faire une charge viral est vraiment trop facile ("\rm -rf /", installation de root kit, ... ) à ajouter un système d'infiltration !

      "La première sécurité est la liberté"

      • [^] # Re: /devoice pappy + virux

        Posté par  (site web personnel) . Évalué à 10.

        Dans le cas des pakages, la solution existe déjà : il faut vérifier les signatures (et pas les MD5). Cela demande à être fait automatiquement lors de l'installation d'un package.

        Dans le cas du ver pour ssh et autres vpn, là, je ne vois pas de solution ... mais la portée est bien moins grande.

    • [^] # Re: /devoice pappy + virux

      Posté par  . Évalué à 10.

      Quitte a faire un "proof of concept", et quitte a hésiter entre deux techniques de virus, pourquoi pas faire un virus hybride qui combine les deux ?

      <inconscient>
      Et puis tant qu'a faire, vous codez ca proprement, avec un moteur de réplication et un système de plugins de prise de controle, et vous diffusez ca sous GPL :-)
      </inconscient>

      • [^] # Re: /devoice pappy + virux

        Posté par  (site web personnel) . Évalué à 10.

        Tu as encore abusé de la bière ? ;-)

        Le problème, c'est qu'il faut être le plus petit possible, et ce n'est as gagné en étant hybride.
        Enfin, bon, je pense qu'on peut faire facilement un truc en perl/shell qui se propage dans tout un trousseau ... ce qui me semble déjà suffisant.

        Maintenant, c'est vrai que rajouter la charge n'est pas compliquée ... mais faire entrer la première instance du ver n'est pas si simple que cela.

        • [^] # Re: /devoice pappy + virux

          Posté par  . Évalué à 4.

          Hum de nos jours plus grand monde fait attention a la taille exacte d'un exe, surtous si cela fait moin d'un Mo.

          Je pence que passer les IDS et les principaux moteur d'anti virus est plus important pour la survie d'un virus moderne.

          bon il y a bien des exceptions comme Win32.VIH, qui était petit inovent et passait les anti virus de l'epoque, mais boen ...

          • [^] # Re: /devoice pappy + virux

            Posté par  . Évalué à 3.

            Je pence que passer les IDS et les principaux moteur d'anti virus est plus important pour la survie d'un virus moderne.

            Pour un virus "normal", oui, mais la, leur objectif est pas non plus de faire un virus super-mega-destructeur (j'espere !!!!!!! :-).

            Et d'un autre point de vue, ca serait interessant d'etudier le temps de reaction/de mise en place des antivirus/IDS/autres, et ca serait aussi très intéressant de vérifier que dans quelques mois (années ?) il y aura encore une trace d'un virus qui devrait pourtant etre stoppe par n'importe quoi......

        • [^] # Re: /devoice pappy + virux

          Posté par  . Évalué à 3.

          Tu as encore abusé de la bière ? ;-)

          Je vois pas du tout de quoi tu peux parler :-)


          Pour ce qui est d'etre le plus petit possible, "ca depend".

          Deja, comme le dit Beretta_Vexee, pas grand monde ne fait attention a la taille des exe (et pour ceux qui y font gaffe, ca devient limite a l'octet pres, donc t'es grillé des le depart).
          Je suis sur que la plupart des utilisateurs ne sont meme pas capables de te donner un ordre de grandeur pour la plupart des commandes courantes.
          Mais bon, c'est clair que faire transiter un ver de 20Mo sur le net, ca va ralentir sa diffusion (enfin, disons que la plupart des utilisateurs en RTC seront protégés :-)


          Ensuite, pour contourner ce probleme, il y a plusieurs solutions, plus ou moins intéressantes:

          1) Perl/sh/python/etc.... Amha pratique pour un ver (et ca augmente la portabilite potentielle, en plus :-), par contre si tu veux contaminer des executables existants pour t'installer, faut triturer un peu....

          2) Deporter le gros du code dans une librairie. Si tu veux contaminer des executables, ca permet de fournir pas mal de choses en ajoutant un minimum d'octets a chaque binaire...... Et en plus, je suis pas sur que beaucoup de monde ait le reflexe de chercher une "librairie suspecte"....

          Bon, je crois quand meme que je vais aller me coucher, moi.....

          • [^] # Re: /devoice pappy + virux

            Posté par  (site web personnel) . Évalué à 2.

            >> Tu as encore abusé de la bière ? ;-)
            > Je vois pas du tout de quoi tu peux parler :-)

            forcément, dans l'état dans lequel tu étais, je me doute bien que tu ne vois plus rien du tout ;-)

            Sinon, pour la taille, ça a quand même son importance car tu peux "parasiter" des binaires sans les faire grossir. Bien sûr, c'est plus approprié sous Win avec le format PE, mais bon.

            Côté langage, je pensais effectivemen à du perl pour le ver. En gros, un script qui "s'exporte" vers toutes les machines destinations contenues dans le trousseau de clé. En revanche, je ne vois toujours pas comment "remonter" une connexion entrante :(((

            > Bon, je crois quand meme que je vais aller me coucher, moi.....
            Ton message date de 9h29 ...

            • [^] # Re: /devoice pappy + virux

              Posté par  . Évalué à 2.

              >>> Tu as encore abusé de la bière ? ;-)
              >> Je vois pas du tout de quoi tu peux parler :-)
              >forcément, dans l'état dans lequel tu étais, je me doute bien que tu ne vois plus rien du tout ;-)

              Bah moi au moins je me suis pas lachement enfui en plein milieu de la soirée sous un fallacieux prétexte de train le lendemain......
              Tu vois que je me souviens :-)

              > En gros, un script qui "s'exporte" vers toutes les machines destinations contenues dans le trousseau de clé

              Quel trousseau ?
              Et tu prévois d'exporter le script comment ?
              Une liste d'exploits connus à tester ?
              Une "simple" infection de tout ce qui a une tete d'executable ?
              Autre chose ?

              > En revanche, je ne vois toujours pas comment "remonter" une connexion entrante :(((

              "remonter une connexion entrante" ??????

              >> Bon, je crois quand meme que je vais aller me coucher, moi.....
              >Ton message date de 9h29 ...

              Et ?


              Et on récupère quand le -1, paske je suis super limite, la ???? :-)

              • [^] # Re: /devoice pappy + virux

                Posté par  . Évalué à 1.

                >> En gros, un script qui "s'exporte" vers toutes les machines destinations contenues dans le trousseau de clé

                > Quel trousseau ?

                Pas exactement un trousseau, mais les clefs qui trainent dans $HOME/.ssh
                En fait, il faudrait plutôt lorgner du côté de $HOME/.ssh/known_hosts pour obtenir des cibles potentielles.

                > Et tu prévois d'exporter le script comment ?

                Le script s'exporte par scp

                >> En revanche, je ne vois toujours pas comment "remonter" une connexion entrante :(((

                > "remonter une connexion entrante" ??????

                pour un serveur infecter la machine d'un client qui se connecte à lui.
                (je ne vois pas, sauf à profiter d'exploits récents)

                P.S. Voir page 34 de l'excellent article sur les virux de l'excellent MISC 5 ;-)

  • # Re: Sortie de MISC n° 5

    Posté par  . Évalué à 10.

    Il faudra tirer les oreilles au webmaster du site de diamond edition parceque la partie comande pour Misc ne concerne toujours que les numéros 1 et 2, alors qu'a moins d'un problème de disponibilité les 3 et 4 doivent pouvoir se commander désormais .. non ?

    Sinon bravo pour votre revue .. je crois que je vais finir par m'abonner.

    • [^] # Re: Sortie de MISC n° 5

      Posté par  . Évalué à 10.

      J'ai un problème "belge" à propos de MISC.
      Mon marchand de journaux me dit que le MISC 3 n'est pas encore sorti en belgique (alors que le 5 est disponible en france).
      C'est pareil avec GNU/Linux france, il n'est disponible que en fin de mois.
      Quelqu'un connait l'explication?
      J'ai l'impression que l'on nous vend les "restes" que les français n'ont pas acheté???

      David GLAUDE

      • [^] # Re: Sortie de MISC n° 5

        Posté par  (site web personnel, Mastodon) . Évalué à 7.

        Même principe dans les librairies québecoises. Ils arrivent en fin de mois. Je penche aussi fortement pour de la recycle d'invendus...

      • [^] # Re: Sortie de MISC n° 5

        Posté par  . Évalué à 6.

        Je suis également en Belgique et je n'ai pas de problèmes pour trouver les Linux mag en début du mois ! ( Je n'ai jamais cherché après Misc)

        Essaie peut-être une autre libraire...

      • [^] # Re: Sortie de MISC n° 5

        Posté par  . Évalué à 2.

        Bonsoir,

        je fais partie de Linuxgraphic.org et nous publions régulièrement des articles dans Linux Mag.
        Je poserai la question à l'éditeur si vous le souhaitez, il aura peut-être une explication...espérons...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.