Bonsoir,
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer. Logiciel qui présente quelques centaines de
radio locales sur Internet. Dommage!
Après son installation, j'ai eu une alarme de Zone Alarm qui demandait
l'autorisation de passer, avec un logiciel dont le nom est aléatoire
(suite de consonnes, peu de voyelles) suivi du fatidique .EXE
Refusé, il y a eu plusieurs tentatives avortées. Inquiet de ce remue
ménage, j'ai installé Avastr Anti-rootkit qui me l'a trouvé (bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises). Tout désinstallé, je n'avais plus rien.
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'en ai donc eu la certitude que c'était bien lui.
Attention, lors de la désinstallation, il réclame à corps et a cri le
branchement sur Internet, sinon il refuse de se désinstaller. ... sauf
si on clique plusieurs fois sur le bouton "reéssayer" . Accès refusé sur
le Net, désinstallation un peu à la cosaque. Puis passage de Ccleaner.
Et de plusieurs anti-spywares. et vérification finale par Avast
anti-rootkit.
Je ne sais pas s'il existe un site pour dénoncer ces saletés, ce serait
une bonne chose.
Ha, le programme de désinstallation s'appelle AU_.exe, qui est dans un
des fichiers temp du dossier Documents and settings/propriétaire/Local
settings/~nsu.tmp.
Le rootkit (invisible, sauf pour un anti-rootkit) est dans le dossier
Documents and settings/propriétaire/Local settings/Application data.
Amicalement, Michel
--
http://martin.michel47.free.fr/
Sans compter que faire un backup de ses données c'est le b-a ba.
Données peut étre, réinstaller les applis çà prend plus de temps en général (licences toussa toussa) Et puis réinstaller à partir d'une image, quelle garantie que l'image est propre... Vaste programme.
Eric Razny wrote:
Sans compter que faire un backup de ses données c'est le b-a ba.
Données peut étre, réinstaller les applis çà prend plus de temps en
général (licences toussa toussa)
Et puis réinstaller à partir d'une image, quelle garantie que l'image
est propre... Vaste programme.
Sans compter que faire un backup de ses données c'est le b-a ba.
Données peut étre, réinstaller les applis çà prend plus de temps en général (licences toussa toussa) Et puis réinstaller à partir d'une image, quelle garantie que l'image est propre... Vaste programme.
Eric Razny
Le Mon, 22 Oct 2007 13:39:14 +0000, Kurieux a écrit :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html Jette un oeil au chapitre 6, en particulier le 6.1 Il y a bien longtemps que le CERTA est, avec bien d'autres, dans mon
dossier de marques-pages, même si je n'avai pas pris connaissances de ce document. j'y ai aussi lu le chapitre 5 Comment analyser l'intrusion a posteriori ? Cela serait donc possible ? :o))
Tu ne lis que les têtes de chapitre? :) Oui c'est possible, backup du disk avant reformattage. Ca ne veux pas dire qu'il ne faut pas réinstaller...
Ben ça me permet de gagner ma vie à la satisfaction des clients Mes connaissances sont le résultat d'études informatiques confrontées à la réalité du terrain. Ce qui me permet (l'experience du terrain) compte tenu du contenu post initial, de trouver très cavalier de conseiller de but en blanc le "format c:". Il faudrait d'abord s'assurer que le rooque les sauvegardes des documents ont été faites, que les médias d'instal. sont disponibles, que le posteur est suffisement compétent, etc...
Et ça ne te viens pas une seconde à l'idée que les autres intervenant sur ce forum puissent avoir une "compétance sur le terrain", voire que pour certains la sécu informatique est leur métier? Un problème d'égo, ça va les chevilles?
J'imagine bien que dans une optique de rapidité d'intervention -rentabilité oblige- c'est la solution facile.
Grrr pour la dernière fois ce n'est pas la solution facile. C'est la seule que je connais dont la fiabilité est prouvée.
Encore une fois ma formation et mon expérience m'ont enseignée à réfléchir avant d'agir et à ne pas lacher "l'affaire facilement". Mes clients apprécient, le bouche à oreille fonctionnant à plein
Merci je n'ai pas de problème de bouche à oreille. Si je voulais être méchant je dirais que de toute façon ça ne prouve pas grand chose, une personne malintentionnée pouvant facilement satisfaire des clients ignorant sans pour autant faire un boulot propre : reste 15mn devant certains vendeurs de supermarché tu verras comment un client dans son droit repart la queue basse (sic) persuadé d'avoir fait une connerie.
Le Mon, 22 Oct 2007 13:39:14 +0000, Kurieux a écrit :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
Jette un oeil au chapitre 6, en particulier le 6.1
Il y a bien longtemps que le CERTA est, avec bien d'autres, dans mon
dossier de marques-pages, même si je n'avai pas pris connaissances de ce
document.
j'y ai aussi lu le chapitre 5 Comment analyser l'intrusion a posteriori
? Cela serait donc possible ? :o))
Tu ne lis que les têtes de chapitre? :)
Oui c'est possible, backup du disk avant reformattage.
Ca ne veux pas dire qu'il ne faut pas réinstaller...
Ben ça me permet de gagner ma vie à la satisfaction des clients
Mes connaissances sont le résultat d'études informatiques confrontées à
la réalité du terrain. Ce qui me permet (l'experience du terrain) compte
tenu du contenu post initial, de trouver très cavalier de conseiller de
but en blanc le "format c:". Il faudrait d'abord s'assurer que le rooque
les sauvegardes des documents ont été faites, que les médias d'instal.
sont disponibles, que le posteur est suffisement compétent, etc...
Et ça ne te viens pas une seconde à l'idée que les autres intervenant
sur ce forum puissent avoir une "compétance sur le terrain", voire que
pour certains la sécu informatique est leur métier? Un problème d'égo,
ça va les chevilles?
J'imagine bien que dans une optique de rapidité d'intervention
-rentabilité oblige- c'est la solution facile.
Grrr pour la dernière fois ce n'est pas la solution facile. C'est la
seule que je connais dont la fiabilité est prouvée.
Encore une fois ma
formation et mon expérience m'ont enseignée à réfléchir avant d'agir et
à ne pas lacher "l'affaire facilement". Mes clients apprécient, le
bouche à oreille fonctionnant à plein
Merci je n'ai pas de problème de bouche à oreille. Si je voulais être
méchant je dirais que de toute façon ça ne prouve pas grand chose, une
personne malintentionnée pouvant facilement satisfaire des clients
ignorant sans pour autant faire un boulot propre : reste 15mn devant
certains vendeurs de supermarché tu verras comment un client dans son
droit repart la queue basse (sic) persuadé d'avoir fait une connerie.
Le Mon, 22 Oct 2007 13:39:14 +0000, Kurieux a écrit :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html Jette un oeil au chapitre 6, en particulier le 6.1 Il y a bien longtemps que le CERTA est, avec bien d'autres, dans mon
dossier de marques-pages, même si je n'avai pas pris connaissances de ce document. j'y ai aussi lu le chapitre 5 Comment analyser l'intrusion a posteriori ? Cela serait donc possible ? :o))
Tu ne lis que les têtes de chapitre? :) Oui c'est possible, backup du disk avant reformattage. Ca ne veux pas dire qu'il ne faut pas réinstaller...
Ben ça me permet de gagner ma vie à la satisfaction des clients Mes connaissances sont le résultat d'études informatiques confrontées à la réalité du terrain. Ce qui me permet (l'experience du terrain) compte tenu du contenu post initial, de trouver très cavalier de conseiller de but en blanc le "format c:". Il faudrait d'abord s'assurer que le rooque les sauvegardes des documents ont été faites, que les médias d'instal. sont disponibles, que le posteur est suffisement compétent, etc...
Et ça ne te viens pas une seconde à l'idée que les autres intervenant sur ce forum puissent avoir une "compétance sur le terrain", voire que pour certains la sécu informatique est leur métier? Un problème d'égo, ça va les chevilles?
J'imagine bien que dans une optique de rapidité d'intervention -rentabilité oblige- c'est la solution facile.
Grrr pour la dernière fois ce n'est pas la solution facile. C'est la seule que je connais dont la fiabilité est prouvée.
Encore une fois ma formation et mon expérience m'ont enseignée à réfléchir avant d'agir et à ne pas lacher "l'affaire facilement". Mes clients apprécient, le bouche à oreille fonctionnant à plein
Merci je n'ai pas de problème de bouche à oreille. Si je voulais être méchant je dirais que de toute façon ça ne prouve pas grand chose, une personne malintentionnée pouvant facilement satisfaire des clients ignorant sans pour autant faire un boulot propre : reste 15mn devant certains vendeurs de supermarché tu verras comment un client dans son droit repart la queue basse (sic) persuadé d'avoir fait une connerie.
Eric Razny
Le Mon, 22 Oct 2007 14:05:08 +0000, Nicolas George a écrit :
Eric Razny wrote in message :
Pas seulement efficace. La seule solution sure (et encore, pas "format c:" mais ce que ça suggère : nettoyage du MBR, "repartitionnage" et formatage avant réinstall.
Ça ne suffit pas : rien ne garantit que le BIOS n'a pas été reflashé.
Je suis d'accord sur le fond, même si je n'ai jamais eu de retour sur ces cas. J'ajoute donc volontier : reflasher le bios d'origine.
Le Mon, 22 Oct 2007 14:05:08 +0000, Nicolas George a écrit :
Eric Razny wrote in message <pan.2007.10.22.13.55.19.2223@razny.net>:
Pas seulement efficace. La seule solution sure (et encore, pas "format c:"
mais ce que ça suggère : nettoyage du MBR, "repartitionnage" et
formatage avant réinstall.
Ça ne suffit pas : rien ne garantit que le BIOS n'a pas été reflashé.
Je suis d'accord sur le fond, même si je n'ai jamais eu de retour sur ces
cas.
J'ajoute donc volontier : reflasher le bios d'origine.
Le Mon, 22 Oct 2007 14:05:08 +0000, Nicolas George a écrit :
Eric Razny wrote in message :
Pas seulement efficace. La seule solution sure (et encore, pas "format c:" mais ce que ça suggère : nettoyage du MBR, "repartitionnage" et formatage avant réinstall.
Ça ne suffit pas : rien ne garantit que le BIOS n'a pas été reflashé.
Je suis d'accord sur le fond, même si je n'ai jamais eu de retour sur ces cas. J'ajoute donc volontier : reflasher le bios d'origine.
Eric Razny
Le Mon, 22 Oct 2007 14:11:45 +0000, Fred a écrit :
Données peut étre, réinstaller les applis çà prend plus de temps en général (licences toussa toussa) Et puis réinstaller à partir d'une image, quelle garantie que l'image est propre... Vaste programme.
C'est clair. Ca suppose de disposer d'une source "propre". Mais si on veut être malicieux il me semble qu'il y a déjà eu des cas de CDs officiels de programmes qui étaient vérolés.
Néanmoins ça ne change pas le fait que récupérer d'un rootkit sans réinstall est une pratique très risquée.
Le Mon, 22 Oct 2007 14:11:45 +0000, Fred a écrit :
Données peut étre, réinstaller les applis çà prend plus de temps en
général (licences toussa toussa)
Et puis réinstaller à partir d'une image, quelle garantie que l'image
est propre... Vaste programme.
C'est clair.
Ca suppose de disposer d'une source "propre". Mais si on veut être
malicieux il me semble qu'il y a déjà eu des cas de CDs officiels de
programmes qui étaient vérolés.
Néanmoins ça ne change pas le fait que récupérer d'un rootkit sans
réinstall est une pratique très risquée.
Le Mon, 22 Oct 2007 14:11:45 +0000, Fred a écrit :
Données peut étre, réinstaller les applis çà prend plus de temps en général (licences toussa toussa) Et puis réinstaller à partir d'une image, quelle garantie que l'image est propre... Vaste programme.
C'est clair. Ca suppose de disposer d'une source "propre". Mais si on veut être malicieux il me semble qu'il y a déjà eu des cas de CDs officiels de programmes qui étaient vérolés.
Néanmoins ça ne change pas le fait que récupérer d'un rootkit sans réinstall est une pratique très risquée.
Eric Masson
Kurieux writes:
Et moi qui suis professionnel de l'info depuis 28 ans, qui bosse sur PC depuis 17 ans (et depuis environ 7 ans la part des interventions concernant la sécurité augmente jusqu'à occuper 50%) je dis qu'il existe des outils (j'en ai cité dans mon premier post) qui le permettent.
Et un concours de bite, un...
Maintenant si tu veux discuter prouves moi que ce n'est pas le cas avec d'autres arguments que "je l'ai dit alors c'est vrai"
Pour un "professionnel de l'informatique", tu as un problème de documentation, il existe une revue bimestrielle tout à fait intéressante qui s'appelle MISC, dans laquelle, entre autres sujets intéressants sont disséquées les différentes techniques d'attaque d'un windows.
Ce qui invalide complètement ton analyse est qu'il est tout à fait possible d'infecter un poste sans en laisser aucune trace que ce soit dans les filesystems (pour les références, tu commences/complètes ta collection, mais comme je suis dans un bon jour, fais une recherche sur bluepill)
oui tu sais le cerveau, c'est un outil qui permet de faire des comparaisons, d'analyser, de faire des synthèses, de prendre des décisions réfléchies.
Un des trucs que l'on m'a appris lors de ma scolarité (assez lointaine maintenant) est qu'il est impossible d'arriver à un résultat valide en partant d'hypothèses fausses.
-- MC> Le Nono de base est fourni sans l'option second degré. apres la lecture de la reponse de Nono ! a ton post je me demande tout simplement si il existe une version de base du Nono ! avec cerveau :)) -+- F in GNU : Neurone de tous les neuneux, unis toi -+-
Kurieux <adresse-invalide@nospam.invalid> writes:
Et moi qui suis professionnel de l'info depuis 28 ans, qui bosse sur PC
depuis 17 ans (et depuis environ 7 ans la part des interventions
concernant la sécurité augmente jusqu'à occuper 50%) je dis qu'il existe
des outils (j'en ai cité dans mon premier post) qui le permettent.
Et un concours de bite, un...
Maintenant si tu veux discuter prouves moi que ce n'est pas le cas
avec d'autres arguments que "je l'ai dit alors c'est vrai"
Pour un "professionnel de l'informatique", tu as un problème de
documentation, il existe une revue bimestrielle tout à fait intéressante
qui s'appelle MISC, dans laquelle, entre autres sujets intéressants sont
disséquées les différentes techniques d'attaque d'un windows.
Ce qui invalide complètement ton analyse est qu'il est tout à fait
possible d'infecter un poste sans en laisser aucune trace que ce soit
dans les filesystems (pour les références, tu commences/complètes ta
collection, mais comme je suis dans un bon jour, fais une recherche sur
bluepill)
oui tu sais le cerveau, c'est un outil qui permet de faire des
comparaisons, d'analyser, de faire des synthèses, de prendre des
décisions réfléchies.
Un des trucs que l'on m'a appris lors de ma scolarité (assez lointaine
maintenant) est qu'il est impossible d'arriver à un résultat valide en
partant d'hypothèses fausses.
--
MC> Le Nono de base est fourni sans l'option second degré.
apres la lecture de la reponse de Nono ! a ton post je me demande tout
simplement si il existe une version de base du Nono ! avec cerveau :))
-+- F in GNU : Neurone de tous les neuneux, unis toi -+-
Et moi qui suis professionnel de l'info depuis 28 ans, qui bosse sur PC depuis 17 ans (et depuis environ 7 ans la part des interventions concernant la sécurité augmente jusqu'à occuper 50%) je dis qu'il existe des outils (j'en ai cité dans mon premier post) qui le permettent.
Et un concours de bite, un...
Maintenant si tu veux discuter prouves moi que ce n'est pas le cas avec d'autres arguments que "je l'ai dit alors c'est vrai"
Pour un "professionnel de l'informatique", tu as un problème de documentation, il existe une revue bimestrielle tout à fait intéressante qui s'appelle MISC, dans laquelle, entre autres sujets intéressants sont disséquées les différentes techniques d'attaque d'un windows.
Ce qui invalide complètement ton analyse est qu'il est tout à fait possible d'infecter un poste sans en laisser aucune trace que ce soit dans les filesystems (pour les références, tu commences/complètes ta collection, mais comme je suis dans un bon jour, fais une recherche sur bluepill)
oui tu sais le cerveau, c'est un outil qui permet de faire des comparaisons, d'analyser, de faire des synthèses, de prendre des décisions réfléchies.
Un des trucs que l'on m'a appris lors de ma scolarité (assez lointaine maintenant) est qu'il est impossible d'arriver à un résultat valide en partant d'hypothèses fausses.
-- MC> Le Nono de base est fourni sans l'option second degré. apres la lecture de la reponse de Nono ! a ton post je me demande tout simplement si il existe une version de base du Nono ! avec cerveau :)) -+- F in GNU : Neurone de tous les neuneux, unis toi -+-
Paul Gaborit
À (at) 22 Oct 2007 14:49:27 GMT, Eric Razny écrivait (wrote):
Grrr pour la dernière fois ce n'est pas la solution facile. C'est la seule que je connais dont la fiabilité est prouvée.
Si, après la réinstallation du BIOS, le reformatage du disque et la réinstallation du système et des applications, vous réinstallez les données sauvegardées, la non corruption du système n'est plus garantie. Ces données sauvegardées sont peut-être déjà corrompues. La frontière entre données et applications (et système) n'est pas complètement définie/étanche.
Votre solution est juste un peu plus fiable que l'utilisation des programmes de nettoyage cités précédemment...
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 22 Oct 2007 14:49:27 GMT,
Eric Razny <news_01@razny.net> écrivait (wrote):
Grrr pour la dernière fois ce n'est pas la solution facile. C'est la
seule que je connais dont la fiabilité est prouvée.
Si, après la réinstallation du BIOS, le reformatage du disque et la
réinstallation du système et des applications, vous réinstallez les
données sauvegardées, la non corruption du système n'est plus
garantie. Ces données sauvegardées sont peut-être déjà corrompues. La
frontière entre données et applications (et système) n'est pas
complètement définie/étanche.
Votre solution est juste un peu plus fiable que l'utilisation des
programmes de nettoyage cités précédemment...
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 22 Oct 2007 14:49:27 GMT, Eric Razny écrivait (wrote):
Grrr pour la dernière fois ce n'est pas la solution facile. C'est la seule que je connais dont la fiabilité est prouvée.
Si, après la réinstallation du BIOS, le reformatage du disque et la réinstallation du système et des applications, vous réinstallez les données sauvegardées, la non corruption du système n'est plus garantie. Ces données sauvegardées sont peut-être déjà corrompues. La frontière entre données et applications (et système) n'est pas complètement définie/étanche.
Votre solution est juste un peu plus fiable que l'utilisation des programmes de nettoyage cités précédemment...
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
th
on te dit carrément de faire un format c: ...
Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à dix minutes.
Dans la mesure où on a pas de backup, c'est peut-être moins utile pour un rootkit user-mode qui n'a pas été installé depuis un compte administrateur ? -- Thierry
on te dit carrément de faire
un format c: ...
Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à
dix minutes.
Dans la mesure où on a pas de backup, c'est peut-être moins utile pour
un rootkit user-mode qui n'a pas été installé depuis un compte
administrateur ?
--
Thierry
Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à dix minutes.
Dans la mesure où on a pas de backup, c'est peut-être moins utile pour un rootkit user-mode qui n'a pas été installé depuis un compte administrateur ? -- Thierry
Paul Gaborit
À (at) 22 Oct 2007 14:54:06 GMT, Eric Razny écrivait (wrote):
Le Mon, 22 Oct 2007 14:11:45 +0000, Fred a écrit :
Et puis réinstaller à partir d'une image, quelle garantie que l'image est propre... Vaste programme.
C'est clair. Ca suppose de disposer d'une source "propre". Mais si on veut être malicieux il me semble qu'il y a déjà eu des cas de CDs officiels de programmes qui étaient vérolés.
Il y a aussi des processeurs(*) qui contiennent leur propre rootkit. Ah ? Vous n'en avez jamais entendu parler ? Mais qu'est-ce qui vous garantit que ça n'existe pas ?
Néanmoins ça ne change pas le fait que récupérer d'un rootkit sans réinstall est une pratique très risquée.
C'est risqué. Mais ça peut suffire dans de nombreux cas. Comme d'habitude, il faut estimer le risque.
Si la machine ne présente a priori pas d'intérêt pour une attaque qui la viserait spécifiquement, on peut estimer qu'il y a de grande chance que l'exploit soit un standard ou qu'il ait utilisé une faille connue. Les progammes de nettoyage pourront donc en corriger les effets, au moins, le détecteront... Pour beaucoup de monde (un usage de particulier par exemple), cette précaution suffira. Et on peut éviter le reformatage et la réinstallation.
Évidemment sur un serveur d'entreprise ou autre machine critique, le risque n'est pas le même... Les mesures de sécurité non plus. Mais il n'y a pas de risque zéro.
(*) on peut remplacer le mot 'processeur' par ce qu'on veut : carte graphique, carte réseau, graveur, etc. Enfin tout ce qui est matériel...
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 22 Oct 2007 14:54:06 GMT,
Eric Razny <news_01@razny.net> écrivait (wrote):
Le Mon, 22 Oct 2007 14:11:45 +0000, Fred a écrit :
Et puis réinstaller à partir d'une image, quelle garantie que l'image
est propre... Vaste programme.
C'est clair.
Ca suppose de disposer d'une source "propre". Mais si on veut être
malicieux il me semble qu'il y a déjà eu des cas de CDs officiels de
programmes qui étaient vérolés.
Il y a aussi des processeurs(*) qui contiennent leur propre rootkit.
Ah ? Vous n'en avez jamais entendu parler ? Mais qu'est-ce qui vous
garantit que ça n'existe pas ?
Néanmoins ça ne change pas le fait que récupérer d'un rootkit sans
réinstall est une pratique très risquée.
C'est risqué. Mais ça peut suffire dans de nombreux cas. Comme
d'habitude, il faut estimer le risque.
Si la machine ne présente a priori pas d'intérêt pour une attaque qui
la viserait spécifiquement, on peut estimer qu'il y a de grande chance
que l'exploit soit un standard ou qu'il ait utilisé une faille connue.
Les progammes de nettoyage pourront donc en corriger les effets, au
moins, le détecteront... Pour beaucoup de monde (un usage de
particulier par exemple), cette précaution suffira. Et on peut éviter
le reformatage et la réinstallation.
Évidemment sur un serveur d'entreprise ou autre machine critique, le
risque n'est pas le même... Les mesures de sécurité non plus. Mais il
n'y a pas de risque zéro.
(*) on peut remplacer le mot 'processeur' par ce qu'on veut : carte
graphique, carte réseau, graveur, etc. Enfin tout ce qui est
matériel...
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 22 Oct 2007 14:54:06 GMT, Eric Razny écrivait (wrote):
Le Mon, 22 Oct 2007 14:11:45 +0000, Fred a écrit :
Et puis réinstaller à partir d'une image, quelle garantie que l'image est propre... Vaste programme.
C'est clair. Ca suppose de disposer d'une source "propre". Mais si on veut être malicieux il me semble qu'il y a déjà eu des cas de CDs officiels de programmes qui étaient vérolés.
Il y a aussi des processeurs(*) qui contiennent leur propre rootkit. Ah ? Vous n'en avez jamais entendu parler ? Mais qu'est-ce qui vous garantit que ça n'existe pas ?
Néanmoins ça ne change pas le fait que récupérer d'un rootkit sans réinstall est une pratique très risquée.
C'est risqué. Mais ça peut suffire dans de nombreux cas. Comme d'habitude, il faut estimer le risque.
Si la machine ne présente a priori pas d'intérêt pour une attaque qui la viserait spécifiquement, on peut estimer qu'il y a de grande chance que l'exploit soit un standard ou qu'il ait utilisé une faille connue. Les progammes de nettoyage pourront donc en corriger les effets, au moins, le détecteront... Pour beaucoup de monde (un usage de particulier par exemple), cette précaution suffira. Et on peut éviter le reformatage et la réinstallation.
Évidemment sur un serveur d'entreprise ou autre machine critique, le risque n'est pas le même... Les mesures de sécurité non plus. Mais il n'y a pas de risque zéro.
(*) on peut remplacer le mot 'processeur' par ce qu'on veut : carte graphique, carte réseau, graveur, etc. Enfin tout ce qui est matériel...
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
Pascal Hambourg
Salut,
Pas seulement efficace. La seule solution sure (et encore, pas "format c:" mais ce que ça suggère : nettoyage du MBR, "repartitionnage" et formatage avant réinstall.
Ça ne suffit pas : rien ne garantit que le BIOS n'a pas été reflashé.
Je suis d'accord sur le fond, même si je n'ai jamais eu de retour sur ces cas. J'ajoute donc volontier : reflasher le bios d'origine.
Pas suffisant, car d'une façon ou d'une autre le programme de flashage est exécuté à partir du BIOS potentiellement compromis. Ce serait comme lancer une réinstallation à partir de l'OS compromis. En toute rigueur il faudrait donc remplacer la puce de mémoire Flash contenant le BIOS ou l'extraire et la reprogrammer avec un programmateur d'EPROM, à l'extérieur de la machine. Si elle est soudée, ça craint.
Il y a bien eu des cartes mère avec un cavalier qui autorisait ou empêchait physiquement l'effacement/écriture de la mémoire Flash du BIOS mais je n'en ai pas vues depuis un moment, je ne sais pas si ça existe encore.
Salut,
Pas seulement efficace. La seule solution sure (et encore, pas "format c:"
mais ce que ça suggère : nettoyage du MBR, "repartitionnage" et
formatage avant réinstall.
Ça ne suffit pas : rien ne garantit que le BIOS n'a pas été reflashé.
Je suis d'accord sur le fond, même si je n'ai jamais eu de retour sur ces
cas. J'ajoute donc volontier : reflasher le bios d'origine.
Pas suffisant, car d'une façon ou d'une autre le programme de flashage
est exécuté à partir du BIOS potentiellement compromis. Ce serait comme
lancer une réinstallation à partir de l'OS compromis. En toute rigueur
il faudrait donc remplacer la puce de mémoire Flash contenant le BIOS ou
l'extraire et la reprogrammer avec un programmateur d'EPROM, à
l'extérieur de la machine. Si elle est soudée, ça craint.
Il y a bien eu des cartes mère avec un cavalier qui autorisait ou
empêchait physiquement l'effacement/écriture de la mémoire Flash du BIOS
mais je n'en ai pas vues depuis un moment, je ne sais pas si ça existe
encore.
Pas seulement efficace. La seule solution sure (et encore, pas "format c:" mais ce que ça suggère : nettoyage du MBR, "repartitionnage" et formatage avant réinstall.
Ça ne suffit pas : rien ne garantit que le BIOS n'a pas été reflashé.
Je suis d'accord sur le fond, même si je n'ai jamais eu de retour sur ces cas. J'ajoute donc volontier : reflasher le bios d'origine.
Pas suffisant, car d'une façon ou d'une autre le programme de flashage est exécuté à partir du BIOS potentiellement compromis. Ce serait comme lancer une réinstallation à partir de l'OS compromis. En toute rigueur il faudrait donc remplacer la puce de mémoire Flash contenant le BIOS ou l'extraire et la reprogrammer avec un programmateur d'EPROM, à l'extérieur de la machine. Si elle est soudée, ça craint.
Il y a bien eu des cartes mère avec un cavalier qui autorisait ou empêchait physiquement l'effacement/écriture de la mémoire Flash du BIOS mais je n'en ai pas vues depuis un moment, je ne sais pas si ça existe encore.
Christian
Fabien LE LEZ a écrit:
On 22 Oct 2007 05:18:15 GMT, Ludovic :
Bref ne pas se précipiter trop vite vers le backup d'origine...
Accessoirement, rappelons que dès qu'une cochonnerie est détectée sur un PC, il faut débrancher le câble réseau (pour éviter la propagation) et, autant que possible, éteindre le PC (pour éviter la corruption des données).
au CERTA, ils préconisent de *ne pas* éteindre le PC (§3.1) http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
-- Christian
Fabien LE LEZ a écrit:
On 22 Oct 2007 05:18:15 GMT, Ludovic <Ludovic@F5PBG.Brest>:
Bref ne pas se précipiter trop vite vers le backup d'origine...
Accessoirement, rappelons que dès qu'une cochonnerie est détectée sur
un PC, il faut débrancher le câble réseau (pour éviter la propagation)
et, autant que possible, éteindre le PC (pour éviter la corruption des
données).
au CERTA, ils préconisent de *ne pas* éteindre le PC (§3.1)
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
Bref ne pas se précipiter trop vite vers le backup d'origine...
Accessoirement, rappelons que dès qu'une cochonnerie est détectée sur un PC, il faut débrancher le câble réseau (pour éviter la propagation) et, autant que possible, éteindre le PC (pour éviter la corruption des données).
au CERTA, ils préconisent de *ne pas* éteindre le PC (§3.1) http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html
