Est-ce qu'un rootkit, tel celui de Sony décrit sur la page ci-dessous,
permet de contourner un firewall, comme y parviennent certains
"injections de process" ?
http://msmvps.com/docxp/archive/2005/11/01/73728.aspx
--
Steph
Enlever l'.adressebidon.invalid pour m'écrire
Est-ce qu'un rootkit, tel celui de Sony décrit sur la page ci-dessous, permet de contourner un firewall, comme y parviennent certains "injections de process" ? http://msmvps.com/docxp/archive/2005/11/01/73728.aspx
Dès lors que l'on a la main sur la machine, au niveau administrateur, on peut tout faire. Certains virus, lorsqu'ils ont le contrôle ce celle-ci, commencent par tuer tout process potentiellement hostile (Norton antivirus, Zone Alarm, etc.). De même, le firewall peut être désactivé ou contourné par un service.
Le problème de fond, c'est l'installation de code hostile (ici, le DRM de Sony) sur une machine. Et TCPA ne changera rien: le rootkit sera juste signé par VerySign, mais il n'en restera pas moins hostile.
Plus d'infos ici: <http://www.theinq.net/?article'349>
Finalement, avec Sony, il vaut mieux pirater la musique que l'acheter, c'est beaucoup plus sûr.
Steph wrote:
Est-ce qu'un rootkit, tel celui de Sony décrit sur la page ci-dessous,
permet de contourner un firewall, comme y parviennent certains
"injections de process" ?
http://msmvps.com/docxp/archive/2005/11/01/73728.aspx
Dès lors que l'on a la main sur la machine, au niveau administrateur, on
peut tout faire. Certains virus, lorsqu'ils ont le contrôle ce celle-ci,
commencent par tuer tout process potentiellement hostile (Norton
antivirus, Zone Alarm, etc.). De même, le firewall peut être désactivé
ou contourné par un service.
Le problème de fond, c'est l'installation de code hostile (ici, le DRM
de Sony) sur une machine. Et TCPA ne changera rien: le rootkit sera
juste signé par VerySign, mais il n'en restera pas moins hostile.
Plus d'infos ici:
<http://www.theinq.net/?article'349>
Finalement, avec Sony, il vaut mieux pirater la musique que l'acheter,
c'est beaucoup plus sûr.
Est-ce qu'un rootkit, tel celui de Sony décrit sur la page ci-dessous, permet de contourner un firewall, comme y parviennent certains "injections de process" ? http://msmvps.com/docxp/archive/2005/11/01/73728.aspx
Dès lors que l'on a la main sur la machine, au niveau administrateur, on peut tout faire. Certains virus, lorsqu'ils ont le contrôle ce celle-ci, commencent par tuer tout process potentiellement hostile (Norton antivirus, Zone Alarm, etc.). De même, le firewall peut être désactivé ou contourné par un service.
Le problème de fond, c'est l'installation de code hostile (ici, le DRM de Sony) sur une machine. Et TCPA ne changera rien: le rootkit sera juste signé par VerySign, mais il n'en restera pas moins hostile.
Plus d'infos ici: <http://www.theinq.net/?article'349>
Finalement, avec Sony, il vaut mieux pirater la musique que l'acheter, c'est beaucoup plus sûr.
Bertrand
Salut,
Dès lors que l'on a la main sur la machine, au niveau administrateur, on peut tout faire. Certains virus, lorsqu'ils ont le contrôle ce celle-ci, commencent par tuer tout process potentiellement hostile (Norton antivirus, Zone Alarm, etc.). De même, le firewall peut être désactivé ou contourné par un service.
Et ce qui est le plus vicieux, c'est que ce rootkit permet potentiellement de contourner la protection antivirus de la machine, donc effectivement le firewall puisqu'une fois "dans" la machine il est facile de le desactiver ou de le compromettre.
Il suffit pour cela de réunir trois conditions: - Le rootkit cache les fichiers commencant par $sys$ pour absolument tout process et driver du système (y compris l'antivirus donc). J'espère que chez Sony ils ont été assez futés pour ne pas permettre à cette condition d'être validée. - Un attaquant peut trouver un programme qui lui permette d'ecrire sur le disque dur un fichier donc le nom commence par $sys, à distance - L'attaquant a la possibilité de lancer ce programme, par exemple en editant le registre.
Tout ça devrait pouvoir se faire par exemple à travers samba si il y a des partages un peu trop généreux.
Ca fait un remote root (pour peu que l'utilisateur ait un compte administrateur), et ce antivirus ou non. Sympa... :
@+ Bertrand
Salut,
Dès lors que l'on a la main sur la machine, au niveau administrateur, on
peut tout faire. Certains virus, lorsqu'ils ont le contrôle ce celle-ci,
commencent par tuer tout process potentiellement hostile (Norton
antivirus, Zone Alarm, etc.). De même, le firewall peut être désactivé
ou contourné par un service.
Et ce qui est le plus vicieux, c'est que ce rootkit permet
potentiellement de contourner la protection antivirus de la machine,
donc effectivement le firewall puisqu'une fois "dans" la machine il est
facile de le desactiver ou de le compromettre.
Il suffit pour cela de réunir trois conditions:
- Le rootkit cache les fichiers commencant par $sys$ pour absolument
tout process et driver du système (y compris l'antivirus donc). J'espère
que chez Sony ils ont été assez futés pour ne pas permettre à cette
condition d'être validée.
- Un attaquant peut trouver un programme qui lui permette d'ecrire sur
le disque dur un fichier donc le nom commence par $sys, à distance
- L'attaquant a la possibilité de lancer ce programme, par exemple en
editant le registre.
Tout ça devrait pouvoir se faire par exemple à travers samba si il y a
des partages un peu trop généreux.
Ca fait un remote root (pour peu que l'utilisateur ait un compte
administrateur), et ce antivirus ou non. Sympa... :
Dès lors que l'on a la main sur la machine, au niveau administrateur, on peut tout faire. Certains virus, lorsqu'ils ont le contrôle ce celle-ci, commencent par tuer tout process potentiellement hostile (Norton antivirus, Zone Alarm, etc.). De même, le firewall peut être désactivé ou contourné par un service.
Et ce qui est le plus vicieux, c'est que ce rootkit permet potentiellement de contourner la protection antivirus de la machine, donc effectivement le firewall puisqu'une fois "dans" la machine il est facile de le desactiver ou de le compromettre.
Il suffit pour cela de réunir trois conditions: - Le rootkit cache les fichiers commencant par $sys$ pour absolument tout process et driver du système (y compris l'antivirus donc). J'espère que chez Sony ils ont été assez futés pour ne pas permettre à cette condition d'être validée. - Un attaquant peut trouver un programme qui lui permette d'ecrire sur le disque dur un fichier donc le nom commence par $sys, à distance - L'attaquant a la possibilité de lancer ce programme, par exemple en editant le registre.
Tout ça devrait pouvoir se faire par exemple à travers samba si il y a des partages un peu trop généreux.
Ca fait un remote root (pour peu que l'utilisateur ait un compte administrateur), et ce antivirus ou non. Sympa... :
@+ Bertrand
Nicob
On Sat, 05 Nov 2005 17:14:42 +0000, Bertrand wrote:
Le rootkit cache les fichiers commencant par $sys$ pour absolument tout process et driver du système (y compris l'antivirus donc). J'espère que chez Sony ils ont été assez futés pour ne pas permettre à cette condition d'être validée.
Apparemment, c'est exactement la manip réalisée par Russinovich :
"To verify that I made a copy of Notepad.exe named $sys$notepad.exe and it disappeared from view."
L'attaquant a la possibilité de lancer ce programme, par exemple en editant le registre.
Si l'attaquant peut accéder à la BDR à distance, il peut très probablement utiliser PsExec pour lancer n'importe quel processus.
Ca fait un remote root (pour peu que l'utilisateur ait un compte administrateur), et ce antivirus ou non. Sympa... :
De toute façon, un AV sur un serveur pour éviter l'import de fichiers "malicieux" (porte dérobée, exploit "local SYSTEM"), ça ne sert que contre un kiddie (dans le vrai sens du terme, ie. qui utilise exclusivement des outils publics).
Nicob
On Sat, 05 Nov 2005 17:14:42 +0000, Bertrand wrote:
Le rootkit cache les fichiers commencant par $sys$ pour absolument tout
process et driver du système (y compris l'antivirus donc). J'espère
que chez Sony ils ont été assez futés pour ne pas permettre à cette
condition d'être validée.
Apparemment, c'est exactement la manip réalisée par Russinovich :
"To verify that I made a copy of Notepad.exe named $sys$notepad.exe and it
disappeared from view."
L'attaquant a la possibilité de lancer ce programme, par exemple en
editant le registre.
Si l'attaquant peut accéder à la BDR à distance, il peut très
probablement utiliser PsExec pour lancer n'importe quel processus.
Ca fait un remote root (pour peu que l'utilisateur ait un compte
administrateur), et ce antivirus ou non. Sympa... :
De toute façon, un AV sur un serveur pour éviter l'import de fichiers
"malicieux" (porte dérobée, exploit "local SYSTEM"), ça ne sert que
contre un kiddie (dans le vrai sens du terme, ie. qui utilise
exclusivement des outils publics).
On Sat, 05 Nov 2005 17:14:42 +0000, Bertrand wrote:
Le rootkit cache les fichiers commencant par $sys$ pour absolument tout process et driver du système (y compris l'antivirus donc). J'espère que chez Sony ils ont été assez futés pour ne pas permettre à cette condition d'être validée.
Apparemment, c'est exactement la manip réalisée par Russinovich :
"To verify that I made a copy of Notepad.exe named $sys$notepad.exe and it disappeared from view."
L'attaquant a la possibilité de lancer ce programme, par exemple en editant le registre.
Si l'attaquant peut accéder à la BDR à distance, il peut très probablement utiliser PsExec pour lancer n'importe quel processus.
Ca fait un remote root (pour peu que l'utilisateur ait un compte administrateur), et ce antivirus ou non. Sympa... :
De toute façon, un AV sur un serveur pour éviter l'import de fichiers "malicieux" (porte dérobée, exploit "local SYSTEM"), ça ne sert que contre un kiddie (dans le vrai sens du terme, ie. qui utilise exclusivement des outils publics).
Nicob
Bertrand
Salut,
De toute façon, un AV sur un serveur pour éviter l'import de fichiers "malicieux" (porte dérobée, exploit "local SYSTEM"), ça ne sert que contre un kiddie (dans le vrai sens du terme, ie. qui utilise exclusivement des outils publics).
C'est sur. Là où il y a un risque non négligeable c'est chez les particuliers, ca fera encore un potentiel vecteur de propagation pour des vers/spywares/emmerdwares en tout genre. Ou à défaut de faire vecteur de propa à part entière, ca la facilitera.
De toute facon on a peu de chance de trouver ce "rootkit" sur un serveur. A moins que le sysadm veuille écouter un CD protegé dans le datacenter, qui sait ! :P
@+ Bertrand
Salut,
De toute façon, un AV sur un serveur pour éviter l'import de fichiers
"malicieux" (porte dérobée, exploit "local SYSTEM"), ça ne sert que
contre un kiddie (dans le vrai sens du terme, ie. qui utilise
exclusivement des outils publics).
C'est sur.
Là où il y a un risque non négligeable c'est chez les particuliers, ca
fera encore un potentiel vecteur de propagation pour des
vers/spywares/emmerdwares en tout genre. Ou à défaut de faire vecteur de
propa à part entière, ca la facilitera.
De toute facon on a peu de chance de trouver ce "rootkit" sur un
serveur. A moins que le sysadm veuille écouter un CD protegé dans le
datacenter, qui sait ! :P
De toute façon, un AV sur un serveur pour éviter l'import de fichiers "malicieux" (porte dérobée, exploit "local SYSTEM"), ça ne sert que contre un kiddie (dans le vrai sens du terme, ie. qui utilise exclusivement des outils publics).
C'est sur. Là où il y a un risque non négligeable c'est chez les particuliers, ca fera encore un potentiel vecteur de propagation pour des vers/spywares/emmerdwares en tout genre. Ou à défaut de faire vecteur de propa à part entière, ca la facilitera.
De toute facon on a peu de chance de trouver ce "rootkit" sur un serveur. A moins que le sysadm veuille écouter un CD protegé dans le datacenter, qui sait ! :P
@+ Bertrand
Fabien LE LEZ
On 06 Nov 2005 02:09:32 GMT, Bertrand :
Là où il y a un risque non négligeable c'est chez les particuliers
Ahem... Je veux bien qu'un serveur web, dans un datacenter, qui considère toute connection comme potentiellement dangereuse, soit effectivement bien protégé.
Un serveur local (serveur de fichiers sur un LAN), par contre, bénéficie souvent d'une protection équivalente au PC d'un particulier. Y'a qu'à voir le nombre de serveurs Windows NT/2K/2K3 sur lesquels l'autorun est toujours activé...
On 06 Nov 2005 02:09:32 GMT, Bertrand <usenet@pas.net.invalid>:
Là où il y a un risque non négligeable c'est chez les particuliers
Ahem...
Je veux bien qu'un serveur web, dans un datacenter, qui considère
toute connection comme potentiellement dangereuse, soit effectivement
bien protégé.
Un serveur local (serveur de fichiers sur un LAN), par contre,
bénéficie souvent d'une protection équivalente au PC d'un particulier.
Y'a qu'à voir le nombre de serveurs Windows NT/2K/2K3 sur lesquels
l'autorun est toujours activé...
Là où il y a un risque non négligeable c'est chez les particuliers
Ahem... Je veux bien qu'un serveur web, dans un datacenter, qui considère toute connection comme potentiellement dangereuse, soit effectivement bien protégé.
Un serveur local (serveur de fichiers sur un LAN), par contre, bénéficie souvent d'une protection équivalente au PC d'un particulier. Y'a qu'à voir le nombre de serveurs Windows NT/2K/2K3 sur lesquels l'autorun est toujours activé...
Kupee
Steph wrote:
Bonjour,
Est-ce qu'un rootkit, tel celui de Sony décrit sur la page ci-dessous, permet de contourner un firewall, comme y parviennent certains "injections de process" ? http://msmvps.com/docxp/archive/2005/11/01/73728.aspx
Une chose que j'ai pas compris sur ce rootkit c'est la manière dont il s'installe. C'est quand même pas lors de l'insertion du CD de Sony qu'il est installé automatiquement sans aucune confirmation de l'utilisateur non ?
Steph wrote:
Bonjour,
Est-ce qu'un rootkit, tel celui de Sony décrit sur la page ci-dessous,
permet de contourner un firewall, comme y parviennent certains
"injections de process" ?
http://msmvps.com/docxp/archive/2005/11/01/73728.aspx
Une chose que j'ai pas compris sur ce rootkit c'est la manière dont il
s'installe.
C'est quand même pas lors de l'insertion du CD de Sony qu'il est
installé automatiquement sans aucune confirmation de l'utilisateur non ?
Est-ce qu'un rootkit, tel celui de Sony décrit sur la page ci-dessous, permet de contourner un firewall, comme y parviennent certains "injections de process" ? http://msmvps.com/docxp/archive/2005/11/01/73728.aspx
Une chose que j'ai pas compris sur ce rootkit c'est la manière dont il s'installe. C'est quand même pas lors de l'insertion du CD de Sony qu'il est installé automatiquement sans aucune confirmation de l'utilisateur non ?
Emmanuel Florac
Le Tue, 08 Nov 2005 18:38:52 +0000, Kupee a écrit :
C'est quand même pas lors de l'insertion du CD de Sony qu'il est installé automatiquement sans aucune confirmation de l'utilisateur non ?
Ah ben non, d'après le blog en question tu as droit à un installeur, une licence à approuver, tout ça. Mais personne ne lit jamais ce qui est écrit dans ces cas là, même pas les pros de la sécurité...
-- Si non confectus non reficiat.
Le Tue, 08 Nov 2005 18:38:52 +0000, Kupee a écrit :
C'est quand même pas lors de l'insertion du CD de Sony qu'il est
installé automatiquement sans aucune confirmation de l'utilisateur non ?
Ah ben non, d'après le blog en question tu as droit à un installeur, une
licence à approuver, tout ça. Mais personne ne lit jamais ce qui est
écrit dans ces cas là, même pas les pros de la sécurité...
Le Tue, 08 Nov 2005 18:38:52 +0000, Kupee a écrit :
C'est quand même pas lors de l'insertion du CD de Sony qu'il est installé automatiquement sans aucune confirmation de l'utilisateur non ?
Ah ben non, d'après le blog en question tu as droit à un installeur, une licence à approuver, tout ça. Mais personne ne lit jamais ce qui est écrit dans ces cas là, même pas les pros de la sécurité...
-- Si non confectus non reficiat.
Nicob
On Tue, 08 Nov 2005 18:38:52 +0000, Kupee wrote:
C'est quand même pas lors de l'insertion du CD de Sony qu'il est installé automatiquement sans aucune confirmation de l'utilisateur non ?
Ben si :-( Enfin, il faut apparemment installer le player, même ça semble normal de vouloir écouter un CD qu'on vient d'acheter, non ?
"When you insert such a CD to a Windows-based PC, the record will display a license agreement and then it will seem install a song player software - while it really installs a rootkit to the system."
C'est quand même pas lors de l'insertion du CD de Sony qu'il est
installé automatiquement sans aucune confirmation de l'utilisateur non ?
Ben si :-( Enfin, il faut apparemment installer le player, même ça
semble normal de vouloir écouter un CD qu'on vient d'acheter, non ?
"When you insert such a CD to a Windows-based PC, the record will display
a license agreement and then it will seem install a song player software -
while it really installs a rootkit to the system."
C'est quand même pas lors de l'insertion du CD de Sony qu'il est installé automatiquement sans aucune confirmation de l'utilisateur non ?
Ben si :-( Enfin, il faut apparemment installer le player, même ça semble normal de vouloir écouter un CD qu'on vient d'acheter, non ?
"When you insert such a CD to a Windows-based PC, the record will display a license agreement and then it will seem install a song player software - while it really installs a rootkit to the system."
