"Pour démontrer la réalité du danger encouru, les chercheurs ont créé une
page Web fictive incluant un code JavaScript malveillant. Il suffit de
visualiser cette page une seule fois pour que l'attaque sur le routeur se
mette en place."
J'ai du mal a comprendre comment du code JS peut corrompre un routeur. Il me
semble que l'"Ajax" est bridé au niveau des navigateurs pour ne pouvoir
interoger le site qui fournit la page.
Des infos sur l'attaque ?
Foutaise totale. J'ai eu 20 mails de clients depuis hier sur ce "scoop", c'est pourtant évident que même avec un demi neurone, la première chose que tu fais avec un routeur c'est de changer le login et le pass par défaut. Je n'ai même pas la moindre envie de savoir ce qui se passe pour ceux qui n'ont pas ce réflexe élémentaire. -- Nina
On 27 Feb 2007 13:51:14 GMT, Thierry <yarglah@com.invalid> wrote:
Des infos sur l'attaque ?
Foutaise totale.
J'ai eu 20 mails de clients depuis hier sur ce "scoop", c'est pourtant
évident que même avec un demi neurone, la première chose que tu fais
avec un routeur c'est de changer le login et le pass par défaut.
Je n'ai même pas la moindre envie de savoir ce qui se passe pour ceux
qui n'ont pas ce réflexe élémentaire.
--
Nina
Foutaise totale. J'ai eu 20 mails de clients depuis hier sur ce "scoop", c'est pourtant évident que même avec un demi neurone, la première chose que tu fais avec un routeur c'est de changer le login et le pass par défaut. Je n'ai même pas la moindre envie de savoir ce qui se passe pour ceux qui n'ont pas ce réflexe élémentaire. -- Nina
patpro ~ Patrick Proniewski
In article , Nina Popravka wrote:
On 27 Feb 2007 13:51:14 GMT, Thierry wrote:
Des infos sur l'attaque ?
Foutaise totale. J'ai eu 20 mails de clients depuis hier sur ce "scoop", c'est pourtant évident que même avec un demi neurone, la première chose que tu fais avec un routeur c'est de changer le login et le pass par défaut. Je n'ai même pas la moindre envie de savoir ce qui se passe pour ceux qui n'ont pas ce réflexe élémentaire.
dis pas ça à mes voisins alors, parce que moi ça m'arrange bien les wifi ouverts dont le routeur a le pass par défaut. Du reste, j'ai pas besoin du pass du routeur, mais bon... Luce et Henry savent déjà pas cliquer, alors leur faire changer le pass par défaut d'un boîtier plug-&-play, c'est beaucoup demander.
patpro
-- http://www.patpro.net/
In article <qff8u2p2rvg4ccrf7ap3lt9jrvstruhbqr@4ax.com>,
Nina Popravka <Nina@nospam.news.free.fr> wrote:
On 27 Feb 2007 13:51:14 GMT, Thierry <yarglah@com.invalid> wrote:
Des infos sur l'attaque ?
Foutaise totale.
J'ai eu 20 mails de clients depuis hier sur ce "scoop", c'est pourtant
évident que même avec un demi neurone, la première chose que tu fais
avec un routeur c'est de changer le login et le pass par défaut.
Je n'ai même pas la moindre envie de savoir ce qui se passe pour ceux
qui n'ont pas ce réflexe élémentaire.
dis pas ça à mes voisins alors, parce que moi ça m'arrange bien les wifi
ouverts dont le routeur a le pass par défaut. Du reste, j'ai pas besoin
du pass du routeur, mais bon... Luce et Henry savent déjà pas cliquer,
alors leur faire changer le pass par défaut d'un boîtier plug-&-play,
c'est beaucoup demander.
Foutaise totale. J'ai eu 20 mails de clients depuis hier sur ce "scoop", c'est pourtant évident que même avec un demi neurone, la première chose que tu fais avec un routeur c'est de changer le login et le pass par défaut. Je n'ai même pas la moindre envie de savoir ce qui se passe pour ceux qui n'ont pas ce réflexe élémentaire.
dis pas ça à mes voisins alors, parce que moi ça m'arrange bien les wifi ouverts dont le routeur a le pass par défaut. Du reste, j'ai pas besoin du pass du routeur, mais bon... Luce et Henry savent déjà pas cliquer, alors leur faire changer le pass par défaut d'un boîtier plug-&-play, c'est beaucoup demander.
patpro
-- http://www.patpro.net/
Eric
On 27 fév, 15:37, patpro ~ Patrick Proniewski wrote:
dis pas ça à mes voisins alors, parce que moi ça m'arrange bien les wifi ouverts dont le routeur a le pass par défaut. Du reste, j'ai pas besoin du pass du routeur, mais bon... Luce et Henry savent déjà pas cliquer, alors leur faire changer le pass par défaut d'un boîtier plug-&-play, c'est beaucoup demander.
patpro
--http://www.patpro.net/
Les constructeurs vont forcément prendre en considération ce "problème", bientôt, le mot de passe par défaut sera aléatoire et collé sur le boitier, et il faudra trouver autre chose ! Pour les installations existantes, le vrai problème vient plus des livebox et autres box que des routeurs de marque, car les livebox sont vendues au tout public, qui là, OK, peut oublier de changer le mot de passe. Qu'un amateur ou un professionel oublie ça, désolé, mais j'hésite entre incompétence et faute lourde.
On 27 fév, 15:37, patpro ~ Patrick Proniewski
<pat...@boleskine.patpro.net> wrote:
dis pas ça à mes voisins alors, parce que moi ça m'arrange bien les wifi
ouverts dont le routeur a le pass par défaut. Du reste, j'ai pas besoin
du pass du routeur, mais bon... Luce et Henry savent déjà pas cliquer,
alors leur faire changer le pass par défaut d'un boîtier plug-&-play,
c'est beaucoup demander.
patpro
--http://www.patpro.net/
Les constructeurs vont forcément prendre en considération ce
"problème", bientôt, le mot de passe par défaut sera aléatoire et
collé sur le boitier, et il faudra trouver autre chose !
Pour les installations existantes, le vrai problème vient plus des
livebox et autres box que des routeurs de marque, car les livebox sont
vendues au tout public, qui là, OK, peut oublier de changer le mot de
passe.
Qu'un amateur ou un professionel oublie ça, désolé, mais j'hésite
entre incompétence et faute lourde.
On 27 fév, 15:37, patpro ~ Patrick Proniewski wrote:
dis pas ça à mes voisins alors, parce que moi ça m'arrange bien les wifi ouverts dont le routeur a le pass par défaut. Du reste, j'ai pas besoin du pass du routeur, mais bon... Luce et Henry savent déjà pas cliquer, alors leur faire changer le pass par défaut d'un boîtier plug-&-play, c'est beaucoup demander.
patpro
--http://www.patpro.net/
Les constructeurs vont forcément prendre en considération ce "problème", bientôt, le mot de passe par défaut sera aléatoire et collé sur le boitier, et il faudra trouver autre chose ! Pour les installations existantes, le vrai problème vient plus des livebox et autres box que des routeurs de marque, car les livebox sont vendues au tout public, qui là, OK, peut oublier de changer le mot de passe. Qu'un amateur ou un professionel oublie ça, désolé, mais j'hésite entre incompétence et faute lourde.
patpro ~ Patrick Proniewski
In article , "Eric" wrote:
On 27 fév, 15:37, patpro ~ Patrick Proniewski wrote:
dis pas ça à mes voisins alors, parce que moi ça m'arrange bien les wifi ouverts dont le routeur a le pass par défaut. Du reste, j'ai pas besoin du pass du routeur, mais bon... Luce et Henry savent déjà pas cliquer, alors leur faire changer le pass par défaut d'un boîtier plug-&-play, c'est beaucoup demander.
patpro
--http://www.patpro.net/
Les constructeurs vont forcément prendre en considération ce "problème", bientôt, le mot de passe par défaut sera aléatoire et collé sur le boitier, et il faudra trouver autre chose ! Pour les installations existantes, le vrai problème vient plus des livebox et autres box que des routeurs de marque, car les livebox sont vendues au tout public, qui là, OK, peut oublier de changer le mot de passe. Qu'un amateur ou un professionel oublie ça, désolé, mais j'hésite entre incompétence et faute lourde.
les livebox, j'ai peut etre pas eu de chance, mais j'ai jamais reussit à m'y connecter sans y être invité. Chez mes voisin c'est une 9 box par contre, et là, t'as même pas besoin de google pour trouver le pass admin. Quant au wifi, il est grand ouvert (par défaut ?).
Pour le reste, je suis bien d'accord avec toi, mais faut pas se leurrer, les cibles du phishing c'est le grand public.
patpro
-- http://www.patpro.net/
In article <1172591660.602702.303000@m58g2000cwm.googlegroups.com>,
"Eric" <zefifi@gmail.com> wrote:
On 27 fév, 15:37, patpro ~ Patrick Proniewski
<pat...@boleskine.patpro.net> wrote:
dis pas ça à mes voisins alors, parce que moi ça m'arrange bien les wifi
ouverts dont le routeur a le pass par défaut. Du reste, j'ai pas besoin
du pass du routeur, mais bon... Luce et Henry savent déjà pas cliquer,
alors leur faire changer le pass par défaut d'un boîtier plug-&-play,
c'est beaucoup demander.
patpro
--http://www.patpro.net/
Les constructeurs vont forcément prendre en considération ce
"problème", bientôt, le mot de passe par défaut sera aléatoire et
collé sur le boitier, et il faudra trouver autre chose !
Pour les installations existantes, le vrai problème vient plus des
livebox et autres box que des routeurs de marque, car les livebox sont
vendues au tout public, qui là, OK, peut oublier de changer le mot de
passe.
Qu'un amateur ou un professionel oublie ça, désolé, mais j'hésite
entre incompétence et faute lourde.
les livebox, j'ai peut etre pas eu de chance, mais j'ai jamais reussit à
m'y connecter sans y être invité. Chez mes voisin c'est une 9 box par
contre, et là, t'as même pas besoin de google pour trouver le pass
admin. Quant au wifi, il est grand ouvert (par défaut ?).
Pour le reste, je suis bien d'accord avec toi, mais faut pas se leurrer,
les cibles du phishing c'est le grand public.
On 27 fév, 15:37, patpro ~ Patrick Proniewski wrote:
dis pas ça à mes voisins alors, parce que moi ça m'arrange bien les wifi ouverts dont le routeur a le pass par défaut. Du reste, j'ai pas besoin du pass du routeur, mais bon... Luce et Henry savent déjà pas cliquer, alors leur faire changer le pass par défaut d'un boîtier plug-&-play, c'est beaucoup demander.
patpro
--http://www.patpro.net/
Les constructeurs vont forcément prendre en considération ce "problème", bientôt, le mot de passe par défaut sera aléatoire et collé sur le boitier, et il faudra trouver autre chose ! Pour les installations existantes, le vrai problème vient plus des livebox et autres box que des routeurs de marque, car les livebox sont vendues au tout public, qui là, OK, peut oublier de changer le mot de passe. Qu'un amateur ou un professionel oublie ça, désolé, mais j'hésite entre incompétence et faute lourde.
les livebox, j'ai peut etre pas eu de chance, mais j'ai jamais reussit à m'y connecter sans y être invité. Chez mes voisin c'est une 9 box par contre, et là, t'as même pas besoin de google pour trouver le pass admin. Quant au wifi, il est grand ouvert (par défaut ?).
Pour le reste, je suis bien d'accord avec toi, mais faut pas se leurrer, les cibles du phishing c'est le grand public.
patpro
-- http://www.patpro.net/
Pascal Hambourg
Salut,
J'ai du mal a comprendre comment du code JS peut corrompre un routeur.
Pour ma part je me demande comment on fait pour "s'immiscer dans le cache DNS (Domain Name Service) du routeur. Ce détournement s'appuie sur une technique apparue au début des années 2000 et dénommée « DNS Poisoning » (empoisonnement du cache DNS)."
Déjà il faut que le routeur ait un cache DNS. Puis qu'il soit vulnérable au poisonning. Et enfin que les postes du réseau local utilisent ce cache et non directement les DNS du FAI (ou un autre DNS local).
Salut,
J'ai du mal a comprendre comment du code JS peut corrompre un routeur.
Pour ma part je me demande comment on fait pour "s'immiscer dans le
cache DNS (Domain Name Service) du routeur. Ce détournement s'appuie sur
une technique apparue au début des années 2000 et dénommée « DNS
Poisoning » (empoisonnement du cache DNS)."
Déjà il faut que le routeur ait un cache DNS. Puis qu'il soit vulnérable
au poisonning. Et enfin que les postes du réseau local utilisent ce
cache et non directement les DNS du FAI (ou un autre DNS local).
J'ai du mal a comprendre comment du code JS peut corrompre un routeur.
Pour ma part je me demande comment on fait pour "s'immiscer dans le cache DNS (Domain Name Service) du routeur. Ce détournement s'appuie sur une technique apparue au début des années 2000 et dénommée « DNS Poisoning » (empoisonnement du cache DNS)."
Déjà il faut que le routeur ait un cache DNS. Puis qu'il soit vulnérable au poisonning. Et enfin que les postes du réseau local utilisent ce cache et non directement les DNS du FAI (ou un autre DNS local).
Thierry
"Nina Popravka" a écrit dans le message de news:
Foutaise totale. J'ai eu 20 mails de clients depuis hier sur ce "scoop", c'est pourtant évident que même avec un demi neurone, la première chose que tu fais avec un routeur c'est de changer le login et le pass par défaut.
Toi oui, mais pas l'utilisateur lambda pour qui l'informatique est deja compliquée. On touche pas a quelque chose qui marche :-)
La description de l'attaque: http://www.cs.indiana.edu/pub/techreports/TR641.pdf
Le but est de contruire : <script src ='' http://root:pwd@<ip>/apply.cgi?DNS serv=p.com''></script>
Une contreparade serait que la console Web d'admin n'accepte les params que par POST, pas par GET.
"Nina Popravka" <Nina@nospam.news.free.fr> a écrit dans le message de news:
qff8u2p2rvg4ccrf7ap3lt9jrvstruhbqr@4ax.com...
Foutaise totale.
J'ai eu 20 mails de clients depuis hier sur ce "scoop", c'est pourtant
évident que même avec un demi neurone, la première chose que tu fais
avec un routeur c'est de changer le login et le pass par défaut.
Toi oui, mais pas l'utilisateur lambda pour qui l'informatique est deja
compliquée.
On touche pas a quelque chose qui marche :-)
La description de l'attaque:
http://www.cs.indiana.edu/pub/techreports/TR641.pdf
Le but est de contruire :
<script src ='' http://root:pwd@<ip>/apply.cgi?DNS serv=p.com''></script>
Une contreparade serait que la console Web d'admin n'accepte les params que
par POST, pas par GET.
Foutaise totale. J'ai eu 20 mails de clients depuis hier sur ce "scoop", c'est pourtant évident que même avec un demi neurone, la première chose que tu fais avec un routeur c'est de changer le login et le pass par défaut.
Toi oui, mais pas l'utilisateur lambda pour qui l'informatique est deja compliquée. On touche pas a quelque chose qui marche :-)
La description de l'attaque: http://www.cs.indiana.edu/pub/techreports/TR641.pdf
Le but est de contruire : <script src ='' http://root:pwd@<ip>/apply.cgi?DNS serv=p.com''></script>
Une contreparade serait que la console Web d'admin n'accepte les params que par POST, pas par GET.
Thierry
"Pascal Hambourg" a écrit dans le message de news: es1lq4$gcd$
Déjà il faut que le routeur ait un cache DNS. Puis qu'il soit vulnérable au poisonning. Et enfin que les postes du réseau local utilisent ce cache et non directement les DNS du FAI (ou un autre DNS local).
C'est le DHCP, et donc le routeur, qui fourni les DNS. (sauf si les DNS sont explicitement indiques dans la conf réseau)
"Pascal Hambourg" <boite-a-spam@plouf.fr.eu.org> a écrit dans le message de
news: es1lq4$gcd$1@biggoron.nerim.net...
Déjà il faut que le routeur ait un cache DNS. Puis qu'il soit vulnérable
au poisonning. Et enfin que les postes du réseau local utilisent ce cache
et non directement les DNS du FAI (ou un autre DNS local).
C'est le DHCP, et donc le routeur, qui fourni les DNS.
(sauf si les DNS sont explicitement indiques dans la conf réseau)
"Pascal Hambourg" a écrit dans le message de news: es1lq4$gcd$
Déjà il faut que le routeur ait un cache DNS. Puis qu'il soit vulnérable au poisonning. Et enfin que les postes du réseau local utilisent ce cache et non directement les DNS du FAI (ou un autre DNS local).
C'est le DHCP, et donc le routeur, qui fourni les DNS. (sauf si les DNS sont explicitement indiques dans la conf réseau)
Pascal Hambourg
La description de l'attaque: http://www.cs.indiana.edu/pub/techreports/TR641.pdf
Je viens de parcourir ; aucun rapport avec le DNS cache poisoning évoqué par l'article de Yahoo.
Le but est de contruire : <script src ='' http://root:pwd@<ip>/apply.cgi?DNS serv=p.com''></script>
Une contreparade serait que la console Web d'admin n'accepte les params que par POST, pas par GET.
Javascript/Java ne permettent pas de faire des requêtes POST ?
La description de l'attaque:
http://www.cs.indiana.edu/pub/techreports/TR641.pdf
Je viens de parcourir ; aucun rapport avec le DNS cache poisoning évoqué
par l'article de Yahoo.
Le but est de contruire :
<script src ='' http://root:pwd@<ip>/apply.cgi?DNS serv=p.com''></script>
Une contreparade serait que la console Web d'admin n'accepte les params que
par POST, pas par GET.
Javascript/Java ne permettent pas de faire des requêtes POST ?
La description de l'attaque: http://www.cs.indiana.edu/pub/techreports/TR641.pdf
Je viens de parcourir ; aucun rapport avec le DNS cache poisoning évoqué par l'article de Yahoo.
Le but est de contruire : <script src ='' http://root:pwd@<ip>/apply.cgi?DNS serv=p.com''></script>
Une contreparade serait que la console Web d'admin n'accepte les params que par POST, pas par GET.
Javascript/Java ne permettent pas de faire des requêtes POST ?
laurent.pertois
patpro ~ Patrick Proniewski wrote:
les livebox, j'ai peut etre pas eu de chance, mais j'ai jamais reussit à m'y connecter sans y être invité.
Elles filtrent les adresses MAC par défaut, c'est pour ça.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
les livebox, j'ai peut etre pas eu de chance, mais j'ai jamais reussit à
m'y connecter sans y être invité.
Elles filtrent les adresses MAC par défaut, c'est pour ça.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
les livebox, j'ai peut etre pas eu de chance, mais j'ai jamais reussit à m'y connecter sans y être invité.
Elles filtrent les adresses MAC par défaut, c'est pour ça.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nina Popravka
On 27 Feb 2007 16:05:34 GMT, patpro ~ Patrick Proniewski wrote:
les livebox, j'ai peut etre pas eu de chance, mais j'ai jamais reussit à m'y connecter sans y être invité. Faut appuyer sur un bouton.
Chez mes voisin c'est une 9 box par contre, et là, t'as même pas besoin de google pour trouver le pass admin. Quant au wifi, il est grand ouvert (par défaut ?). C'est fini, tout ça. Plus aucune box n'arrive sans cryptage, au moins
WEP, par défaut. Ca devient pénible pour surfer depuis les terrasses de café, d'ailleurs :-( -- Nina
On 27 Feb 2007 16:05:34 GMT, patpro ~ Patrick Proniewski
<patpro@boleskine.patpro.net> wrote:
les livebox, j'ai peut etre pas eu de chance, mais j'ai jamais reussit à
m'y connecter sans y être invité.
Faut appuyer sur un bouton.
Chez mes voisin c'est une 9 box par
contre, et là, t'as même pas besoin de google pour trouver le pass
admin. Quant au wifi, il est grand ouvert (par défaut ?).
C'est fini, tout ça. Plus aucune box n'arrive sans cryptage, au moins
WEP, par défaut. Ca devient pénible pour surfer depuis les terrasses
de café, d'ailleurs :-(
--
Nina
On 27 Feb 2007 16:05:34 GMT, patpro ~ Patrick Proniewski wrote:
les livebox, j'ai peut etre pas eu de chance, mais j'ai jamais reussit à m'y connecter sans y être invité. Faut appuyer sur un bouton.
Chez mes voisin c'est une 9 box par contre, et là, t'as même pas besoin de google pour trouver le pass admin. Quant au wifi, il est grand ouvert (par défaut ?). C'est fini, tout ça. Plus aucune box n'arrive sans cryptage, au moins
WEP, par défaut. Ca devient pénible pour surfer depuis les terrasses de café, d'ailleurs :-( -- Nina