Journal Windows 2000 avec Zone Alarme est un system attaquable.

Posté par (page perso) .
Tags : aucun
0
20
nov.
2005
J'ai pris le temps (20 mn ), pour etudier la securite d'un windows 2000 muni de Zone Alarm (firewall gratuis assez connu dans certains milieus).

J'ai configure Windows en IP fixe sur mon lan, et installe ZA en mode FW, et demarrage automatique (par default).

JE lance un ping de Linux vers ce windows, et je reboot Windows.

Pendant toute la phase d extinction, W2k repond present (plus ou moins normal en LAN.

A partire du reset du bios, tout s arrete - normal.

Puis il redemarre, se charge, puis lance la cession par default de mon utilisateur idiot qui se logue directe. Une fois logue, un paneau de controle averti l utilisateur que je me fais pinguer.

La ou c est assez bizarre a mon gout, c est que pendant le processus de chargement, une trame ICMP obtient une reponse en delai raisonnable ( inferieure a 5ms), parfois suivi d'une seconde.

Cette reponse positive ICMP prouve qu'il y a un laps de temps non nul, d'environ 0.5s a 1.5s ou l'interface reseau est configuree, routee, et ou les demons ecoutent sur leurs ports (la preuve j ai une reponse ICMP) ...

ce qui en soit me choque ... quand on sait que Zone Alarme est un FireWall.

Et comme de pas tres par hazard, 2s plus tard, tout se ferme.

Sans aprofondire ma recherche, je conclue donc que le firewall est active en dernier pendant le processus d'activation du reseau.

Alors que sous plusieur distributions linux, les regles IPTABLES sont lancees 2 a 5 etapes AVANT le reseau.

Mais sous windows, on lance dabord le reseau, puis les services, puis le firewall en dernier.

Quand je vois que sur un Windows tout neuf, je me prends un Blaster 18s apres le lancement de l'Adsl, j'imagine que 2s sont statistiquement suffisantes pour se prendre un truc.

PS:
Le coup du Blaster en 18s:
je prends un PC, je lui debranche le net, je formatte, je met win2k, je sors FireFox de ma cle USB, et j'installes BitDefender que mon pote vient d acheter a la Fnac (AV+FW). J'installes tout ca, et je verifie que tout se lance bien avec plusieur reboots offline. Confiant dans mon installation, je me dit qu'il est temps de se connecter a internet, et de lancer les 12 ou 15 mises a jour necessaires a Wiindows 2000 (installation de IE6, ajout du supoprt DRM a WMP, remettre IE et OE comme programmes par defaults alors que je viens de lui installer TB et FF, installer SP6, bref, 4 a 6h de telechargement juste pour des mises a jour somme toute pas si terriblrd, mais sans lesquelles on ne peut pas installer OOo2.0).

Donc, j'eteint le PC, je branche son cable reseau internet (Erenis propose comme Noos un DHCP via modem). Je regarde l utilisateur par default se loguer, et quand le bureau est charge (j ai dit le BUREAU, pas les demons accessoires), je commence a compter a haute voix le temps necessaire au chargement de l interface utilisateur de BitDeffender, et d un autre moniteur reseau. Et a ma grande surprise, a la 18e seconde, je vois le celebre avertissement que mon PC va devoire redemarrer dans 60s, 59 ... 58 ... 57 ...

A R-34, je vois un avertissement en provenance de la messagerire de service ventant les merites d'un medicament quelconque, apres quoi BD me rensigne d'il a bloque une attaque, et qu'il y a une activite suspiscieuse en provenance d'un demon system (dont j ai oublie le nom). Avant meme que je n ai le temps de lire tous ces pops ups, et de fermer le message de service, R-0 ... fermeture de cession.

En 90s, je me suis pris 3 attaques, qui ont passe le fire wall de Bit Defender pourtant en securite maximale par default, dont le demon devrait bloquer automatiquement la connexion en cas de probleme. BD n a eu le temps que de bloquer une attaque, et se poser une question sur une 2nd. 3 sont passees, et la premiere de toutes etait blaster.

BD n a meme ps eu le temps de verifier si il y avait des mises a jour ... windows etait deja corrompu.

J'ai laisse la machine rebooter pendant que refermais mon petit sac, et suis parti de chez mon ami sans mot dire.

Le lendemain, je suis venu avec un CD Ubuntu. La machine n a aucune activite suspecte depuis 3 semaines.
  • # hehe

    Posté par . Évalué à 0.

    tout ca c'est bien beau, mais tester windows 2000 en 2005, bah ca me fait sourire.

    Un volontaire pour faire la meme chose avec XP?
    • [^] # Re: hehe

      Posté par (page perso) . Évalué à 9.

      Pour XP j'ai un dossier "kit de survie" (véridique) sur mon iRiver (bah oui parce que ma clé USB 256Mo elle suffit pas) avec en vrac :

      * avast
      * kerio
      * firefox
      * thunderbird
      * media player classic
      * 2-3 autres trucs que j'oublie surement

      Processus d'install d'XP chez quelqu'un :

      débrancher tout ce qui ressemble à une prise réseau -> installer XP -> installer SP2 -> installer kerio -> installer avast -> installer le reste

      saupoudrez de reboots à chaque flèche environ et dégustez
      • [^] # Re: hehe

        Posté par . Évalué à 4.

        Dans ta trousse, je te proposerai bien de rajouter stinger, un petit soft qui permet de virer les 40 virus les plus connus.
    • [^] # XP aussi...

      Posté par . Évalué à 4.

      Un volontaire pour faire la meme chose avec XP?
      J'ai fait le test avec XP.
      J'ai eu l'occasion de l'installer (câble réseau débranché). Une fois installé, j'ai commis la boulette de brancher le câble réseau avant d'installer le firewall.
      3min chrono après le branchement blaster avait provoqué le reboot.

      Je précise que c'était XP service pack 1. L'expérience m'ayant beaucoup amusé (non, j'ai pas que ça à faire, mais comme c'était pas mon PC, autant faire des expériences). J'ai réitéré trois fois la manip (sans tout réinstaller, dd et knoppix oblige): Blaster a toujours frappé en moins de 5min.

      J'ai recommencé avec le SP2 installé avant le branchement réseau. Aucune contamination dans les 10min qui ont suivi. Mais bon c'était peu de temps après la sortie du SP2, il devait y avoir peu de vulnérabilités liées à ce SP qui étaient connues.

      Donc pour répondre à ta question clairement: ça fonctionne très bien avec XP SP1. Pas avec le SP2.
    • [^] # Re: hehe

      Posté par . Évalué à 6.

      tester windows 2000 en 2005, bah ca me fait sourire

      Regarde le nombre de Windows NT 4.0 toujours en service dans les entreprises (les grosses boîtes ont des bons firewalls, mais peut-être pas les PME), et le nombre de Windows 98 ou Me toujours utilisés chez les particuliers, tu auras une bonne raison de rigoler.

      <mode = acide>
      Quand un poulet Vietnamien choppe la grippe, on abat tout l'élevage. Qu'est-ce qu'on attend pour éradiquer ces OS vecteurs de virus ?
      < /mode >
    • [^] # Re: hehe

      Posté par (page perso) . Évalué à 4.

      Pour avoir testé 2000 et XP au boulot, je préfère nettement le 2000. XP (SP2 à jour) gère la mémoire n'importe comment. Il swappait comme un malade sans raison.
      • [^] # Re: hehe

        Posté par . Évalué à 4.

        Personnellement je préfère égalerment 2000 a XP pour d'autres raisons: un XP a un tas de services qui s'amusent à tripatouiller la conf de la machine et en changent le comportement sans prévenir alors que 2000 ne fait que ce qu'on lui demande.
      • [^] # Re: hehe

        Posté par (page perso) . Évalué à 4.

        Il swappait comme un malade sans raison
        Dis plutôt que tu ne sais pas pourquoi il swappait. Il avait sûrment ses raisons.
        • [^] # Re: hehe

          Posté par . Évalué à 4.

          Il swappait pour des raisons que le core ignore...
          Ou l'inverse.
      • [^] # Re: hehe

        Posté par (page perso) . Évalué à 1.

        c'est probablement le service d'indexation...
        d'ailleurs je ne sais pas a quoi peut bien servir cet engin vu la lenteur des recherches... (vive locate, ou locate32 sous win)
    • [^] # Re: hehe

      Posté par . Évalué à 3.

      Ah, de mon côté j'avais eu l'occasion d'installer un XP, mais bêtement, j'avais laissé le réseau branché et tout, me disant (eh, j'y connais rien en windows, j'utilise Linux moi), que j'irai pépère faire mes mises à jour tout ça...
      Ben la toute première fenètre qui est apparue quand l'WP s'est lancé, avant toute autre chose, c'était celle de blaster m'expliquant que j'avais plus qu'à tout recommencer, fallait pas mon vieux, fallait pas...

      Ca va super vite ces conneries...

      Yth.
      • [^] # Re: hehe

        Posté par (page perso) . Évalué à 3.

        Bon, petite astuce à la con si ça vous arrive de vous retrouver avec Blaster qui vous dit que vous allez redémarrer dans 30 sec, quand vous reinstallez l'XP de tante Monique pour la 4 ème fois en 1 an.
        Vous avez 30 secondes pour reculer l'horloge d'une heure, Blaster vous dira simplement qu'il redémarre dans 1:00:30 s.
        Le temps de faire les premières mises à jour en expliquant a tatie Monique que la prochaine fois vous lui mettrez Gnoulinouxe..
        • [^] # Re: hehe

          Posté par . Évalué à 2.

          En fait, là, 30s après l'apparition de la fenètre de Blaster le XP n'était pas encore opérationnel, ce qui fait qu'il n'a pas redémarré comme prévu par blaster, mais qu'il était impossible de lancer la moindre application, tout explosait de partout avec de belles erreurs toutes rouges.

          Bref, mort et enterré...

          Yth.
  • # Conclusion

    Posté par . Évalué à 3.

    Les routeurs, c'est bien (surtout avec windows)
    • [^] # Gaffe quand même

      Posté par . Évalué à 1.

      Un jour, ma Freebox s'est retrouvée en mode routeur désactivé pour une raison que j'ignore. Heureusement, derrière c'était une Kubuntu.
      Depuis, je n'utilise plus les fonctions DHCP de la Freebox, je met mes adresses IP en dur. Comme ça si cela arrive de nouveau, pas de risque d'être directement connecté au net. Comme je suis un peu parano, je vais y ajouter une couche de Shorewall.
      • [^] # Re: Gaffe quand même

        Posté par (page perso) . Évalué à 1.

        Perso, je me suis mis dans la DMZ de mon modem routeur, sous une Mdk 2006, je n'ai pas de problèmes depuis 1 mois.

        Je vois pas trop l'utilité de se protéger sous Linux...

        Mais le réseau n'esta absolument pas ma spécialité, peut être fais-je mal ?

        « Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker

        • [^] # Re: Gaffe quand même

          Posté par (page perso) . Évalué à 4.

          Le fait de mettre un firewall et de se protéger sous linux permet tout de même de poser une protection minimale sur certains rootkits. En effet, beaucoup de rootkits, en se lançant, écoutent sur un port quelconque et attendent les commandes de leur maître ...

          Si ton firewall interdit toute connexion tcp/udp entrante sur des ports non prévus, cela te protège alors contre la majorité des rootkits habituels. Bien sur, cela n'est utile que si un jour tu te retrouve avec un trou de sécu par ailleurs qui permettrait à quelqu'un d'installer un rootkit...

          ... Mais bon, dites-vous que cela n'arrive pas qu'aux autres, ...
          • [^] # Re: Gaffe quand même

            Posté par . Évalué à 3.

            d'un autre cote, si c'est un rootkit digne de ce nom, il sera capable de supprimer les regles le genant au lancement...
            Voire mieux, les supprimer en te faisant croire qu'elle sont toujours en place.
            • [^] # Re: Gaffe quand même

              Posté par (page perso) . Évalué à 3.

              C'est pour ca que tu as un firewall separé (generalement ton routeur) et qui ne risque pas de se prendre un rootkit.
              • [^] # Re: Gaffe quand même

                Posté par . Évalué à 2.

                oups, au temps pour moi, par "firewall" j'avais compris iptables ou autre.
                J'ai rien dit, effectivement dans ce cas ca marche :)
        • [^] # Re: Gaffe quand même

          Posté par (page perso) . Évalué à 2.

          Si tu te pense 100 à l'abrit sous Linux, fait donc une recherche sur « ssh "brute force" linux » dans ton moteur de recherche préféré.

          Jette un oeil par exemple à ce thread:

          http://www.redhat.com/archives/fedora-list/2005-April/msg051(...)
          • [^] # Re: Gaffe quand même

            Posté par (page perso) . Évalué à 3.

            J'ai regler ce pb facilement en utilisant pam_access:

            /etc/security/access.conf

            -:clea:ALL EXCEPT LOCAL
            -:ALL EXCEPT nico:ALL EXCEPT LOCAL xavia.local xavia.thenico.fr.eu.org


            /etc/pam.d/common-account

            account required pam_unix.so
            account required pam_access.so


            nico est mon nom d'utilisateur, mon mot de passe est tres complexe donc je craint pas la brute force.
            clea est le compte de ma soeur et elle met generalement des mot de passe tres faibles donc je bloque toute connection distante à ce compte.
            Sinon je bloque tous le monde :)

            Et je ne fais plus de souci !
  • # HOW TO Install Windows XP

    Posté par (page perso) . Évalué à 1.

    Avec tous ses vers qui cours maintenant depuis des années, je me sens incapable d'installer windows.

    Pourtant je vais devoir le faire prochainement pour ma cousine.

    Est-ce que quelqu'un à une procédure à suivre pour installer windows XP à coup sûr ?
    Qu'est ce que je dois avoir de prêt pour l'installer ? Un live-cd d'un linux pour télécharger des logiciels à l'abri ? Un logiciel de firewall ? un antivirus ?
    Est-ce que l'on peut récupérer les services packs avant de faire la réinstallation du windows ?
  • # blaster

    Posté par (page perso) . Évalué à 1.

    Je confirme pour le blaster, ou quel que soit le nom que ca porte, quand je reinstalle des win 2000 ou XP sp1

    on se fait installer des pub et spyware en quelques instants, je dirai pas le delai exacte mais ca va tres vite

    Faut pas compter sur windows update pour mettre à jour, faut avoir les patches sur cd et les appliquer avant de brancher le cable reseau

    je m'etonne d'ailleurs qu'il soit si difficile de telecharger les versions completes (dite installation reseau, ce qui ne veux rien dire) des patches et sp, par defaut ms propose les versions en ligne (on telecharge un petit executable qui se charge de telecharger la suite, faut donc etre connecter, c'est déjà trop tard) des mises à jour. Les versions complete sont assez difficiles a trouver sur le site.

    Experience faite la semaine derniere, les spywars en question sont resistants a ms antispywar et spybot, meme apres que le systeme soit completement updater
    • [^] # Re: blaster

      Posté par . Évalué à 3.

      C'est vrai que le site de MS est un peu bordelique. Mais si tu veux telecharger les mises à jour des differents windows, je te conseils de passer par :
      www.windowsupdate.com
      ->
      Utiliser les options pour administrateur
      ->
      Catalogue Windows Update.

      A partir de la tu pourras choisir un produit et selectionner les MAJ qui t'interresses, et ça te telechargerat toutes ta selection dans un repertoire de ton choix.

      C'est trés utile, evites de se galerer a trouver les versions completes des sp et etc ...
      • [^] # Re: blaster

        Posté par . Évalué à 2.

        ça à pas l'air de marcher depuis Konqueror (même en filloutant sur le user agent) il me détecte que j'ai pas IE et il me refuse le catalogue.

        Saurais-tu, par le + grand des hasards, si une telle manip est possible depuis mon Linux.

        Merci quand même (j'essayerais sur le Windows de quelqu'un).
        • [^] # Re: blaster

          Posté par . Évalué à 3.

          ça marche que sous IE malheuresement car je crois qu'il a besoin d'activex ...
        • [^] # Re: blaster

          Posté par (page perso) . Évalué à 1.

          nan il faut ie, ya pas mal d'activex à installer pour windows update, mais je crois avoir lu quelque part que ms travaillait a la compatibilté firefox de ce genre d'appli (windowsupdate pas les activex)
        • [^] # Re: blaster

          Posté par (page perso) . Évalué à 3.

          Essaye avec IEs4linux :
          http://www.tatanka.com.br/ies4linux/
          • [^] # Re: blaster

            Posté par (page perso) . Évalué à 2.

            Je n'ai pas réussi à utiliser ies4linux avec java ! Je sais mais je dois utiliser une application web codée avec les pieds qui mélange activex et java ! Merci les accords entre boites ;-)

            Quelqu'un a déjà réussi cet exploit ?
          • [^] # Re: blaster

            Posté par (page perso) . Évalué à 2.

            Je n'ai pas réussi à utiliser ies4linux avec java ! Je sais mais je dois utiliser une application web codée avec les pieds qui mélange activex et java ! Merci les accords entre boites ;-)

            Quelqu'un a déjà réussi cet exploit ?
  • # Pour vos marque-pages

    Posté par (page perso) . Évalué à 5.

    La durée de vie moyenne de windows mois par mois:

    http://isc.sans.org/survivalhistory.php

    Installer ce machin sans se prendre un ver avant la fin de l'installation:

    http://www.sans.org/rr/whitepapers/windows/1298.php (pdf)
  • # Donc, j'eteint le PC, je branche son cable reseau internet...

    Posté par . Évalué à 2.

    Pourquoi ne pas démarrer le pc attendre que BD se lance et brancher le cable réseau après tout simplement.
  • # Orthographe

    Posté par . Évalué à -1.

    Ayant pris la peine de faire tous ces tests, n'aurais tu pas eu le temps de passer le correcteur d'orthographe sur ton journal ?

    Là, franchement on se demande si tu ne veux pas gagner un concours.

    Merci d'avance pour tes relecteurs.
    Cdlt
  • # Un firewall pour Windows sous licence BSD

    Posté par . Évalué à 3.

    Un ami m'a fait découvrir un firewall pour Windows qui tourne sans grosse interface graphique et autres mais plus comme un iptables :

    http://www.hsc.fr/ressources/outils/pktfilter/index.html.fr

    On stocke ses regles dans un fichiers texte et c'est reglé. La syntaxe me semble etre la même que PF sous*BSD (d'ailleurs peut etre que le nom du firewall vient de la :D).
  • # ...

    Posté par (page perso) . Évalué à 3.

    Es tu sûr que les services dont tu parles sont véritablement lancés avant le firewall ? Je doute que windows lance un service ICMP chargé de répondre aux ping...

    J'aime beaucoup:
    J'ai pris le temps (20 mn ), pour etudier la securite d'un windows 2000

    Maintenant, j'installe une debian datant de 2000 à partir d'un cd de la même époque. Je suis sûr que depuis le temps, on doit bien trouver une ou deux failles dans les logiciels installés quand on choisi "une utilisation serveur". Est-ce que ça prouve vraiment qqch ? Bof.

    A la limite, ton journal montre que les vendeur d'antivirus/firewall sont un peu des charlatants par moment en faisant croire qu'il suffit d'acheter leurs produits pour ne plus craindre quoi que ce soit (et il faut être ignorant/naïf pour le croire).
    • [^] # Re: ...

      Posté par (page perso) . Évalué à 1.

      J'ai vu la même chose sur un ISA server (Windows 2000 avec un Proxy/Firewall MS) : les règles firewall se déclenchent très très tard dans le boot. Au début, le système répond, mais il faut plusieurs minutes pour que le Firewall soit démarré complètement, en ce qui me concerne, j'avais remarqué qu'on pouvait faire ce que l'on voulait pendant plus de trois minutes (ISA Server a en plus la bonne idée d'utiliser IIS...)

      Sachant qu'en plus c'est un produit MS, sur un Windows 2000 version Server, je trouve ça très très très dommage, le système peut être infecté pendant ce temps de latence nécessaire au démarrage du proxy/firewall...

      Enfin, c'est pas le seul problème, je me suis rendu compte que des requêtes subversion (donc WebDav), réalisaient tout bêtement un DOS sur le Proxy... alors avec un peu d'imagination:

      1°) On lance une requête HTTP qui crashe ISA server.
      2°) On vient de faire un DOS. Le système ne répond plus. Si l'admin a activé le redémarrage automatique, ce qui est probable, le système ou le service va redémarrer...
      3°) Bravo, tu disposes de qques minutes pour infecter le serveur avec un vers ou ce qui te plait, à l'heure qui te plait... mignon non ?

      Notons que ce système a été installé par un consultant spécialisé en sécu NT, donc je doute qu'il y ait trop trop d'erreurs lors de l'install. (En plus, il était cher le consultant :)
      • [^] # Re: ...

        Posté par . Évalué à 2.

        Enfin, c'est pas le seul problème, je me suis rendu compte que des requêtes subversion (donc WebDav), réalisaient tout bêtement un DOS sur le Proxy... alors avec un peu d'imagination:

        Ca c'est un truc que j'aimerais bien voir alors, t'as une capture reseau de la chose ?

        Je suppose bien entendu que tu parles d'un systeme a jour...
        • [^] # Re: ...

          Posté par (page perso) . Évalué à -1.

          Et si il te le montre sur un système à jour, ça t'avance à quoi ?

          C'est toi qui corrige les "failles" d'isa server ? ;)
          • [^] # Re: ...

            Posté par . Évalué à 1.

            Non je les corrige pas, mais ca me permet d'envoyer le rapport au team ISA histoire qu'ils la corrigent eux.
            • [^] # Re: ...

              Posté par (page perso) . Évalué à 1.


              ca me permet d'envoyer le rapport au team ISA


              Mouarf, c'est donc ça ta fonction "cachée" chez microsoft ?

              Ecumer les news/journaux de dlfp pour faire des bug reports ? ;) /o\
    • [^] # Re: ...

      Posté par (page perso) . Évalué à 5.

      je trouve ce genre de journal super drôle. Ce qu'on reproche aux anti-linux primaires sur certains forums: dire que linux c'est de la merde après un test de 20min, on le retrouve ici, mais dans l'autre sens.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.