j'essaie de faire comprendre à un responsable sécurité que laisser son
anti-virus faire de l'auto-reply sur l'émetteur ne sert qu'à surcharger
la bande passante. Il me semble que les mails infectés auto
envoyés par virus prennent aléatoirement des adresses dans les carnets,
aussi-bien pour l'expéditeur que le destinataire, et utilisent des
serveur SMTP ouverts acceptant le relaying. C'est pour cela que nous
recevons tous des mails provenant de contacts inconnus répondant à un
mail infectés que nous aurions envoyé. Je crois que le spoofing utilisé
pour des attaques DoS peut aussi servir à noyer la source
émettrice.
Me trompe-je ?
xy
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Le Mon, 26 Apr 2004 06:17:40 +0000, IxI a écrit :
Il me semble que les mails infectés auto envoyés par virus prennent aléatoirement des adresses dans les carnets, aussi-bien pour l'expéditeur que le destinataire,
C'est exact. Il suffit de regarder le fonctionnement des 10 derniers vers email pour s'en convaincre.
et utilisent des serveur SMTP ouverts acceptant le relaying.
Ils n'ont pas besoin. Une fois installé sur un poste, ils utiliseront celui défini dans la configuration du mailer installé sur le poste, qui dans 99% des cas[1] est ouvert pour le poste infecté.
Je crois que le spoofing utilisé pour des attaques DoS peut aussi servir à noyer la source émettrice.
Oui. C'est un technique (connue) qui a été formalisée assez récemment. Cette technique de DoS, dite par amplification, consiste à émettre un message en plaçant l'adresse de la victime en source vers un nombre important de To, Cc et plus particulièrement Bcc qui n'existent pas, générant un message de contrôle pour chaque destination vers la source du message, donc notre victime. Si on combine cela à l'utilisation d'un open relay en source, des jeux d'adresses bien choisis (genre des mailings list, des adresses utilisant des domaines communs) et un mail de départ bien choisi (taille en particulier), le facteur d'amplification peut être énorme. Ceci dit, l'utilisation d'une mail non infecté vers des adresses n'existant pas me semble être beaucoup plus efficace, la réponse étant systématique et incluant le plus souvent le mail source.
[1] le 1% qui reste est une vague approximation du nombre de gens qui utiliseront des relais SMTP avec authentification, qui pourront cependant être utilisés si le ver demande gentiment au mailer de l'envoyer pour lui (cf. OE).
-- Dans les situations critiques, quand on parle avec un calibre bien en pogne, personne ne conteste plus. Y'a des statistiques la-dessus. -+- Melodie en sous-sol
Le Mon, 26 Apr 2004 06:17:40 +0000, IxI a écrit :
Il me semble que les mails infectés auto envoyés par virus prennent
aléatoirement des adresses dans les carnets, aussi-bien pour
l'expéditeur que le destinataire,
C'est exact.
Il suffit de regarder le fonctionnement des 10 derniers vers email pour
s'en convaincre.
et utilisent des serveur SMTP ouverts acceptant le relaying.
Ils n'ont pas besoin. Une fois installé sur un poste, ils utiliseront
celui défini dans la configuration du mailer installé sur le poste, qui
dans 99% des cas[1] est ouvert pour le poste infecté.
Je crois que le spoofing utilisé pour des attaques DoS peut aussi
servir à noyer la source émettrice.
Oui.
C'est un technique (connue) qui a été formalisée assez récemment.
Cette technique de DoS, dite par amplification, consiste à émettre un
message en plaçant l'adresse de la victime en source vers un nombre
important de To, Cc et plus particulièrement Bcc qui n'existent pas,
générant un message de contrôle pour chaque destination vers la source
du message, donc notre victime. Si on combine cela à l'utilisation d'un
open relay en source, des jeux d'adresses bien choisis (genre des mailings
list, des adresses utilisant des domaines communs) et un mail de départ
bien choisi (taille en particulier), le facteur d'amplification peut être
énorme. Ceci dit, l'utilisation d'une mail non infecté vers des
adresses n'existant pas me semble être beaucoup plus efficace, la
réponse étant systématique et incluant le plus souvent le mail source.
[1] le 1% qui reste est une vague approximation du nombre de gens qui
utiliseront des relais SMTP avec authentification, qui pourront
cependant être utilisés si le ver demande gentiment au mailer de
l'envoyer pour lui (cf. OE).
--
Dans les situations critiques, quand on parle avec un calibre bien en pogne,
personne ne conteste plus. Y'a des statistiques la-dessus.
-+- Melodie en sous-sol
Il me semble que les mails infectés auto envoyés par virus prennent aléatoirement des adresses dans les carnets, aussi-bien pour l'expéditeur que le destinataire,
C'est exact. Il suffit de regarder le fonctionnement des 10 derniers vers email pour s'en convaincre.
et utilisent des serveur SMTP ouverts acceptant le relaying.
Ils n'ont pas besoin. Une fois installé sur un poste, ils utiliseront celui défini dans la configuration du mailer installé sur le poste, qui dans 99% des cas[1] est ouvert pour le poste infecté.
Je crois que le spoofing utilisé pour des attaques DoS peut aussi servir à noyer la source émettrice.
Oui. C'est un technique (connue) qui a été formalisée assez récemment. Cette technique de DoS, dite par amplification, consiste à émettre un message en plaçant l'adresse de la victime en source vers un nombre important de To, Cc et plus particulièrement Bcc qui n'existent pas, générant un message de contrôle pour chaque destination vers la source du message, donc notre victime. Si on combine cela à l'utilisation d'un open relay en source, des jeux d'adresses bien choisis (genre des mailings list, des adresses utilisant des domaines communs) et un mail de départ bien choisi (taille en particulier), le facteur d'amplification peut être énorme. Ceci dit, l'utilisation d'une mail non infecté vers des adresses n'existant pas me semble être beaucoup plus efficace, la réponse étant systématique et incluant le plus souvent le mail source.
[1] le 1% qui reste est une vague approximation du nombre de gens qui utiliseront des relais SMTP avec authentification, qui pourront cependant être utilisés si le ver demande gentiment au mailer de l'envoyer pour lui (cf. OE).
-- Dans les situations critiques, quand on parle avec un calibre bien en pogne, personne ne conteste plus. Y'a des statistiques la-dessus. -+- Melodie en sous-sol
