Chicken of the VNC en mode ecoute

Le
Thomas
bonjour :-)


je prévois d'utiliser Chicken of the VNC en mode écoute (pomme-L)
(pour que mes clients n'aient pas à se casser la tête avec leur routeur
avant que je puisse les aider)


et je me posais une question de sécurité :

si un pirate teste régulièrement la connexion tcp pour voir si elle
répond,
des que je vais cliquer sur démarrer (pour lancer l'écoute), c'est le
pirate auquel Chicken of the VNC va répondre, avant mon client,

du coup il va recevoir tout ce que le pirate va lui envoyer par la
connexion tcp,

et si Chicken of the VNC n'est pas "blindé", si il est pas à 100% bien
programmé,
il peut servir de porte (c'est comme ça qu'on dit ?) pour le pirate qui
va pouvoir faire ce qu'il veut dans mon ordi

(j'ai bon ?)


pouvez vous me rassurer sur ce point svp ? :-)

ou bien est ce que je risque réellement qqch ?
si oui, est ce que je peux faire qqch pour servir mes clients quand même
en toute sécurité ?

--
j'agis contre l'assistanat, je travaille dans une SCOP !
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thomas
Le #7028101
In article
Thomas
bonjour :-)


je prévois d'utiliser Chicken of the VNC en mode écoute (pomme-L)
(pour que mes clients n'aient pas à se casser la tête avec leur routeur
avant que je puisse les aider)


et je me posais une question de sécurité :

si un pirate teste régulièrement la connexion tcp pour voir si elle
répond,
des que je vais cliquer sur démarrer (pour lancer l'écoute), c'est le
pirate auquel Chicken of the VNC va répondre, avant mon client,

du coup il va recevoir tout ce que le pirate va lui envoyer par la
connexion tcp,

et si Chicken of the VNC n'est pas "blindé", si il est pas à 100% bien
programmé,
il peut servir de porte (c'est comme ça qu'on dit ?) pour le pirate qui
va pouvoir faire ce qu'il veut dans mon ordi ...

(j'ai bon ?)


pouvez vous me rassurer sur ce point svp ? :-)

ou bien est ce que je risque réellement qqch ?
si oui, est ce que je peux faire qqch pour servir mes clients quand même
en toute sécurité ?




est ce que personne ne répond parce que personne ne connais Chicken of
the VNC ?

est ce que qqn peut me donner une idée du risque ?
je veux dire, est ce que j'ai bon dans mon analyse ? ou est ce que je
risque moins ? ou plus ?


xpost, suivi sur fcs

--
j'agis contre l'assistanat, je travaille dans une SCOP !
Olivier Croquette
Le #7028401
Thomas wrote, On 22/03/08 16:09:
et si Chicken of the VNC n'est pas "blindé", si il est pas à 100% bien
programmé,
il peut servir de porte (c'est comme ça qu'on dit ?) pour le pirate qui
va pouvoir faire ce qu'il veut dans mon ordi ...

(j'ai bon ?)



Exact.

pouvez vous me rassurer sur ce point svp ? :-)



Ben non, puisque tu as bon :)

Tout service en écoute augmente le risque de compromission. Mais bon,
dans ton cas le risque est assez peu élevé car:
- la fenêtre de temps est assez courte pour le piratage
- Cotv est peu répandu, encore plus en mode écoute, ça en réduit
nettement son intérêt en tant que cible
- ton Cotv tourne en utilisateur restreint (car bien sûr tu ne
travailles pas en admin :) )


si oui, est ce que je peux faire qqch pour servir mes clients quand même
en toute sécurité ?



Ne pas utiliser le port par défaut, ou bien restreindre les clients
autorisés (au niveau IP), mais bon, je ne crois pas que ça vaille le coup...
blanc
Le #7031681
Thomas
> je prévois d'utiliser Chicken of the VNC en mode écoute (pomme-L)
> (pour que mes clients n'aient pas à se casser la tête avec leur routeur
> avant que je puisse les aider)
>
>
> et je me posais une question de sécurité :
>
> si un pirate teste régulièrement la connexion tcp pour voir si elle
> répond,
> des que je vais cliquer sur démarrer (pour lancer l'écoute), c'est le
> pirate auquel Chicken of the VNC va répondre, avant mon client,
>
> du coup il va recevoir tout ce que le pirate va lui envoyer par la
> connexion tcp,
>
> et si Chicken of the VNC n'est pas "blindé", si il est pas à 100% bien
> programmé,
> il peut servir de porte (c'est comme ça qu'on dit ?) pour le pirate qui
> va pouvoir faire ce qu'il veut dans mon ordi ...
>
> (j'ai bon ?)



Amha oui.


> pouvez vous me rassurer sur ce point svp ? :-)



Non.

> ou bien est ce que je risque réellement qqch ?
> si oui, est ce que je peux faire qqch pour servir mes clients quand même
> en toute sécurité ?



Oui en passant par une connection ssh.

Fait une recherche Google avec "ssh" et "vnc" je crois qu'on en a parlé
sur fcomox un jour.

--
JiPaul.
/ /--/--//\ Jean-Paul Blanc
|/| L |\ quelquepart en (somewhere in)
/|| = |||\ FRANCE
Thomas
Le #7031971
In article Olivier Croquette
Thomas wrote, On 22/03/08 16:09:
> et si Chicken of the VNC n'est pas "blindé", si il est pas à 100% bien
> programmé,
> il peut servir de porte (c'est comme ça qu'on dit ?) pour le pirate qui
> va pouvoir faire ce qu'il veut dans mon ordi ...
>
> (j'ai bon ?)

Exact.



ok


> pouvez vous me rassurer sur ce point svp ? :-)

Ben non, puisque tu as bon :)



bon ...
merci pour la confirmation, deja :-)


Tout service en écoute augmente le risque de compromission. Mais bon,
dans ton cas le risque est assez peu élevé car:
- la fenêtre de temps est assez courte pour le piratage



bon alors il faut que je pense à arrêter l'écoute des que le client
s'est connecté (c'est pas automatique)

- Cotv est peu répandu, encore plus en mode écoute, ça en réduit
nettement son intérêt en tant que cible



l'inconvénient, c'est que comme ça bouge plus depuis un bout de temps,
je suppose qu'il y avait très peu de monde dessus,
et du coup très peu de monde pour repérer les éventuelles failles de
sécurité (et du coup c'est plus probable qu'il y en ait)

et comme je ne sais pas programmer en c, je ne peux pas le vérifier moi
même :-(

- ton Cotv tourne en utilisateur restreint (car bien sûr tu ne
travailles pas en admin :) )



bien sur :-)
mais enfin il peut quand même effacer toutes mes données de travail ...
(sauf certaines sauvegardes)



> si oui, est ce que je peux faire qqch pour servir mes clients quand même
> en toute sécurité ?

Ne pas utiliser le port par défaut,



je crois que je vais être obligé

ou bien restreindre les clients
autorisés (au niveau IP),



je ne peux pas restreindre en dur, puisque mes clients potentiels
peuvent être partout,

alors ce qui serait vachement bien ça serait un pare-feu interactif,
pour pouvoir valider manuellement chaque connexion entrante avant que ça
n'atteigne Chicken of the VNC,
mais je crois que ça n'existe pas pour mac en libre (et il faut faire
confiance à l'auteur pour l'installer en admin, pour le coup ! )

mais bon, je ne crois pas que ça vaille le coup...



tu penses que le risque est trop faible pour que ça vaille le coup de
faire quoi que ce soit ? :-)
c'est rassurant :-))

... mais c'est quand même mon ordi presque entier qui est en jeu :-/
(je veux dire par là que c'est des conséquences très élevées qui sont à
multiplier à une probabilité très faible)

--
j'agis contre l'assistanat, je travaille dans une SCOP !
Fabien LE LEZ
Le #7032071
On 18 Jun 2008 00:41:05 GMT, Thomas

mais enfin il peut quand même effacer toutes mes données de travail ...



Toutes tes données étant soigneusement sauvegardées, tu ne perdrais
quasiment rien.
Thomas
Le #7035521
In article Fabien LE LEZ
On 18 Jun 2008 00:41:05 GMT, Thomas

>mais enfin il peut quand même effacer toutes mes données de travail ...

Toutes tes données étant soigneusement sauvegardées, tu ne perdrais
quasiment rien.



ça dépend,
- j'ai une sauvegarde sur un disque éteint, mais je la fais quand j'y
pense
- j'ai une sauvegarde automatique tous les jours, mais le pirate peut
l'effacer (sinon ça pourrais pas être automatique)
- j'ai une sauvegarde distante, mais là aussi si le pirate es bon il
peut retrouver tout ce qu'il faut pour y accéder

--
j'agis contre l'assistanat, je travaille dans une SCOP !
Olivier Croquette
Le #7044051
Thomas wrote, On 18/06/08 14:52:
- j'ai une sauvegarde automatique tous les jours, mais le pirate peut
l'effacer (sinon ça pourrais pas être automatique)



Juste une remarque: ton "sinon..." n'est pas un fait absolu.

Un attribut "read-only" peut être mis sur les archives déjà réalisées
(par un script qui tourne sous un autre utilisateur), ou bien le système
peut aussi être basé sur un protocole à sens unique (limité au "push" de
données).

Ce ne sont que 2 exemples, pour illustrer que "automatique" ne veut pas
forcément dire "effaçable par l'utilisateur".
Publicité
Poster une réponse
Anonyme