backdors minimal ...

ptilou

10/06/2008 à 18:39

On 10 juin, 17:46, Stephane Catteau wrote:

Pascal Hambourg n'était pas loin de dire :

Quant à la seconde possibilité, installer le code de la backdoor dans
la mémoire BIOS, et l'exécuter une fois le système d'exploitation
lancé, cela demande un programme supplémentaire, qui se chargera
d'aller chercher le code dans la mémoire du BIOS, de le charger en
mémoire puis de l'exécuter.
Ce programme pourrait être le système d'exploitation lui-même lorsqu'il

fait appel à des fonctions du BIOS (PCI, APM, ACPI, vidéo...) si ces
fonctions sont détournées par la backdoor.
Je ne pense pas que Windows fasse encore vraiment appel à ces

fonctions, même pour le plus bas niveau.

Je ne sais pas pour Windows, mais Linux le fait pour les fonctions que
j'ai mentionnées.

Donc Windows doit probablement encore s'en servir un peu, ce qui rend
l'approche sans doute un brin aléatoire, mais néanmoins intéressante.

Donc ici, personne ne sait comment exempter sont système de
backdoor ...
( Tous juste faire le malin pour avoir bloqué un poste non protégé )
Je crois que c'est pour ça que beaucoup d'administrateur tarde à
passer au nouvelles version !

Ptilou

Stephane Catteau

10/06/2008 à 19:01

ptilou devait dire quelque chose comme ceci :

Donc ici, personne ne sait comment exempter sont système de
backdoor ...

C'est ta nouvelle question ?

C'est simple, ici ou ailleurs, cette question amènera toujours la même
réponse : Le seul et unique moyen d'exempter son système de backdoor, c'est
d'avoir un système qui ne soit pas connecté au réseau et sur lequel rien
n'est installé. En fait, pour être exact, un système qui n'est pas utilisé.

Et je ne dis pas cela à la légère. Toute personne se souvenant de
l'affaire du DRM de Sony[1], sait que même une opération aussi simple et
aussi peut dangeureuse que l'insertion d'un CD *audio* dans le lecteur
de CD de son ordinateur peut aboutir à l'installation d'une backdoor.
C'est un gars de sysinternal qui l'a découvert, donc quelqu'un qui s'y
connait en rootkit, et si je me souviens bien cela faisait plus d'une
semaine que sa machine était (potentiellement) compromise. Comme quoi,
même un gourou n'est pas en mesure de garantir que son propre ordinateur
est exempt de backdoor.

[1]
Premiers liens trouvés, il peut y avoir plus précis/détaillé :
Anglais: <http://www.cnet.com/4520-6033_1-6376177-1.html>
Français: <http://www.pcinpact.com/actu/news/Sony_les_rootkits_et_la_gestion_des_DRM.htm>

ptilou

10/06/2008 à 19:23

On 10 juin, 19:01, Stephane Catteau wrote:

ptilou devait dire quelque chose comme ceci :

Donc ici, personne ne sait comment exempter sont système de
backdoor ...

C'est ta nouvelle question ?

Non une pensé !

C'est simple, ici ou ailleurs, cette question amènera toujours la même
réponse : Le seul et unique moyen d'exempter son système de backdoor, c'est
d'avoir un système qui ne soit pas connecté au réseau et sur lequel rien
n'est installé.

Les banques font comment ? ( etc y a d'autre système, mais jusque la
nous avons des idées approchantes ! )

En fait, pour être exact, un système qui n'est pas utilisé.

La plus du tout ...

Et je ne dis pas cela à la légère. Toute personne se souvenant de
l'affaire du DRM de Sony[1], sait que même une opération aussi simple et
aussi peut dangeureuse que l'insertion d'un CD *audio* dans le lecteur
de CD de son ordinateur peut aboutir à l'installation d'une backdoor.
C'est un gars de sysinternal qui l'a découvert, donc quelqu'un qui s'y
connait en rootkit, et si je me souviens bien cela faisait plus d'une
semaine que sa machine était (potentiellement) compromise. Comme quoi,
même un gourou n'est pas en mesure de garantir que son propre ordinateur
est exempt de backdoor.

Donc, on doit utiliser des procédure "rodé" pour chaque tache de la
machine
Ne pas laisser un programe installé quoi que se soit, ou alorrs en
virtuallllisation ?
( C'est une question )

[1]
Premiers liens trouvés, il peut y avoir plus précis/détaillé :
Anglais: <http://www.cnet.com/4520-6033_1-6376177-1.html>
Français: <http://www.pcinpact.com/actu/news/Sony_les_rootkits_et_la_gestion_des...>

Merçi

Ptilou

Stephane Catteau

12/06/2008 à 19:34

ptilou devait dire quelque chose comme ceci :

C'est simple, ici ou ailleurs, cette question amènera toujours la même
réponse : Le seul et unique moyen d'exempter son système de backdoor, c'est
d'avoir un système qui ne soit pas connecté au réseau et sur lequel rien
n'est installé.

Les banques font comment ? ( etc y a d'autre système, mais jusque la
nous avons des idées approchantes ! )

Elles font au mieux, en général. Je connais une banque, que je ne
citerais pas pour bien des raisons, qui fournit des clés USB à ses
employés parce que cela leur semble revenir moins cher que d'augmenter
le nombre de serveurs de fichiers.
Crois-tu qu'il y a un admin derrière chaque employé pour vérifier que
la clé ne contient aucun code malveillant à chaque fois qu'elle est
insérée ? Crois-tu vraiment qu'il n'y a aucun employé qui en profite
pour rammener au travail un petit jeu "à la con" histoire de se
détendre deux minutes de temps en temps ?

Leur système (au sens large) n'est pas plus sûr que d'autres, et en
fait il est même probablement moins sûr que d'autres. Ce qui les sauve,
c'est qu'ils ont quand même une bonne ligne de défense entre le vaste
monde et eux, et une bonne ligne de défense autour des serveurs
sensibles. Le système est donc vulnérable, puisqu'à tout moment une
backdoor peut se retrouver implantée à l'intérieur. Seulement cette
backdoor ne pourrait rien faire, car elle est isolée du reste du monde
autant qu'elle est isolée des données sensibles.
Le seul moyen d'arriver à percer les défenses est donc d'être présent
dans le système lui-même, de façon à pouvoir le tester et trouver une
faille à exploiter. Ce n'est pas infaisable, mais c'est assez long et
compliqué puisqu'il faudrait :
1) Trouver un employé qui aime bien emporter des petits gadgets
informatiques à son travail.
2) Compromettre son ordinateur à la maison.
3) Lui transmettre un trojan qui ferait un premier scan du réseau et
les stockerait sur la clé USB au sein d'un fichier de données
légitimes.
4) Récupérer le résultat du scan, l'interpréter, puis créer et envoyer
à l'employer un trojan qui testerait tel ou tel hôte du réseau, telle
ou telle chose sur un hôte donné.
5) Boucler en 4 jusqu'à ce que l'on ait trouvé une faille exploitable.
6) Créer le trojan qui exploitera la faille et le transmettre à
l'employer.

Bref, ça prendra des mois, pendant lesquels ils faudra prier pour que
l'employer ne découvre pas que son ordinateur à la maison est corrompu
et/ou ne se fera pas prendre entrain de jouer et remettre à l'ordre au
point qu'il arrêtera de le faire, et évidement prier pour que rien ne
change dans le réseau et sa protection.
Au final, malgré le laxisme apparent, le réseau est bien protégé, même
s'il est vulnérable.

Et je ne dis pas cela à la légère. Toute personne se souvenant de
l'affaire du DRM de Sony[1], sait que même une opération aussi simple et
aussi peut dangeureuse que l'insertion d'un CD *audio* dans le lecteur
de CD de son ordinateur peut aboutir à l'installation d'une backdoor.
C'est un gars de sysinternal qui l'a découvert, donc quelqu'un qui s'y
connait en rootkit, et si je me souviens bien cela faisait plus d'une
semaine que sa machine était (potentiellement) compromise. Comme quoi,
même un gourou n'est pas en mesure de garantir que son propre ordinateur
est exempt de backdoor.

Donc, on doit utiliser des procédure "rodé" pour chaque tache de la
machine
Ne pas laisser un programe installé quoi que se soit, ou alorrs en
virtuallllisation ?

En théorie, oui, mais dans la pratique, l'exemple que j'ai pris
démontre que même les gourous ne sont pas aussi paranoïaque que cela.
Ce qu'il faut, c'est garder à l'esprit que, d'une part, le risque
existe, et donc en tenir compte lorsque l'on fait quelque chose, et
d'autre part que la vulnérabilité n'est pas le seul facteur à prendre
en compte.
A titre d'exemple, mon ordinateur est à 100% vulnérable aux virus,
parce que je n'ai pas d'anti-virus, cependant, de toute ma vie je n'ai
été vérolé qu'une seule fois. En fait, mon ordinateur en lui-même est
vulnérable, mais dans le même temps il dispose de l'un des meilleurs
anti-virus qui existe, un être humain qui fait attention. Tant que je
lis les mails/news en texte brut, aucun code actif ne peut s'exécuter.
Et lorsque le message est en HTML, si c'est quelqu'un en qui j'ai
confiance je prends le risque, parce qu'il est minime, et si c'est
quelqu'un en qui je n'ai pas confiance, ai-je vraiment envie de lire ce
qu'il écrit ? ;) Même chose lorsque je télécharge un programme, je
choisis une source sûre.
Mais l'important ce n'est pas seulement l'attention que l'on porte aux
vecteurs de propagation, c'est aussi l'attention que l'on porte au
comportement de son système. Comme je l'ai dit dans un précédent
message, rare sont les trojans réellement bien foutus, donc un
programme qui ne fonctionne pas doit alerter l'utilisateur, "Attention,
c'est peut-être un trojan". Même chose si un programme donné, ou le
système lui-même, se retrouve avec un comportement bizarre. J'ai oublié
le nom du virus qui m'avait contaminé, mais sa particularité était de
doubler l'appuye sur la touche de l'accent circonflexe. Dès que j'ai vu
apparaître des "^^" dans mes textes, j'ai compris que j'étais vérolé et
réglé le problème.

A la vigilance doit aussi s'ajouter la prévention. Je peux me
permettre de ne pas avoir d'anti-virus, parce que mon réseau est bien
protégé et monitoré. Un code malicieux qui arriverait à s'installer sur
mon ordinateur n'aurait quasiment aucune chance de pouvoir communiquer
avec l'extérieur, et s'il le fait il laisserait des traces que je
verrais.

Merçi

De rien, j'aboies beaucoup, mais il est rare que je mordes :)

ptilou devait dire quelque chose comme ceci :

C'est simple, ici ou ailleurs, cette question amènera toujours la même
réponse : Le seul et unique moyen d'exempter son système de backdoor, c'est
d'avoir un système qui ne soit pas connecté au réseau et sur lequel rien
n'est installé.

Les banques font comment ? ( etc y a d'autre système, mais jusque la
nous avons des idées approchantes ! )

Elles font au mieux, en général. Je connais une banque, que je ne
citerais pas pour bien des raisons, qui fournit des clés USB à ses
employés parce que cela leur semble revenir moins cher que d'augmenter
le nombre de serveurs de fichiers.
Crois-tu qu'il y a un admin derrière chaque employé pour vérifier que
la clé ne contient aucun code malveillant à chaque fois qu'elle est
insérée ? Crois-tu vraiment qu'il n'y a aucun employé qui en profite
pour rammener au travail un petit jeu "à la con" histoire de se
détendre deux minutes de temps en temps ?

Leur système (au sens large) n'est pas plus sûr que d'autres, et en
fait il est même probablement moins sûr que d'autres. Ce qui les sauve,
c'est qu'ils ont quand même une bonne ligne de défense entre le vaste
monde et eux, et une bonne ligne de défense autour des serveurs
sensibles. Le système est donc vulnérable, puisqu'à tout moment une
backdoor peut se retrouver implantée à l'intérieur. Seulement cette
backdoor ne pourrait rien faire, car elle est isolée du reste du monde
autant qu'elle est isolée des données sensibles.
Le seul moyen d'arriver à percer les défenses est donc d'être présent
dans le système lui-même, de façon à pouvoir le tester et trouver une
faille à exploiter. Ce n'est pas infaisable, mais c'est assez long et
compliqué puisqu'il faudrait :
1) Trouver un employé qui aime bien emporter des petits gadgets
informatiques à son travail.
2) Compromettre son ordinateur à la maison.
3) Lui transmettre un trojan qui ferait un premier scan du réseau et
les stockerait sur la clé USB au sein d'un fichier de données
légitimes.
4) Récupérer le résultat du scan, l'interpréter, puis créer et envoyer
à l'employer un trojan qui testerait tel ou tel hôte du réseau, telle
ou telle chose sur un hôte donné.
5) Boucler en 4 jusqu'à ce que l'on ait trouvé une faille exploitable.
6) Créer le trojan qui exploitera la faille et le transmettre à
l'employer.

Bref, ça prendra des mois, pendant lesquels ils faudra prier pour que
l'employer ne découvre pas que son ordinateur à la maison est corrompu
et/ou ne se fera pas prendre entrain de jouer et remettre à l'ordre au
point qu'il arrêtera de le faire, et évidement prier pour que rien ne
change dans le réseau et sa protection.
Au final, malgré le laxisme apparent, le réseau est bien protégé, même
s'il est vulnérable.

Et je ne dis pas cela à la légère. Toute personne se souvenant de
l'affaire du DRM de Sony[1], sait que même une opération aussi simple et
aussi peut dangeureuse que l'insertion d'un CD *audio* dans le lecteur
de CD de son ordinateur peut aboutir à l'installation d'une backdoor.
C'est un gars de sysinternal qui l'a découvert, donc quelqu'un qui s'y
connait en rootkit, et si je me souviens bien cela faisait plus d'une
semaine que sa machine était (potentiellement) compromise. Comme quoi,
même un gourou n'est pas en mesure de garantir que son propre ordinateur
est exempt de backdoor.

Donc, on doit utiliser des procédure "rodé" pour chaque tache de la
machine
Ne pas laisser un programe installé quoi que se soit, ou alorrs en
virtuallllisation ?

En théorie, oui, mais dans la pratique, l'exemple que j'ai pris
démontre que même les gourous ne sont pas aussi paranoïaque que cela.
Ce qu'il faut, c'est garder à l'esprit que, d'une part, le risque
existe, et donc en tenir compte lorsque l'on fait quelque chose, et
d'autre part que la vulnérabilité n'est pas le seul facteur à prendre
en compte.
A titre d'exemple, mon ordinateur est à 100% vulnérable aux virus,
parce que je n'ai pas d'anti-virus, cependant, de toute ma vie je n'ai
été vérolé qu'une seule fois. En fait, mon ordinateur en lui-même est
vulnérable, mais dans le même temps il dispose de l'un des meilleurs
anti-virus qui existe, un être humain qui fait attention. Tant que je
lis les mails/news en texte brut, aucun code actif ne peut s'exécuter.
Et lorsque le message est en HTML, si c'est quelqu'un en qui j'ai
confiance je prends le risque, parce qu'il est minime, et si c'est
quelqu'un en qui je n'ai pas confiance, ai-je vraiment envie de lire ce
qu'il écrit ? ;) Même chose lorsque je télécharge un programme, je
choisis une source sûre.
Mais l'important ce n'est pas seulement l'attention que l'on porte aux
vecteurs de propagation, c'est aussi l'attention que l'on porte au
comportement de son système. Comme je l'ai dit dans un précédent
message, rare sont les trojans réellement bien foutus, donc un
programme qui ne fonctionne pas doit alerter l'utilisateur, "Attention,
c'est peut-être un trojan". Même chose si un programme donné, ou le
système lui-même, se retrouve avec un comportement bizarre. J'ai oublié
le nom du virus qui m'avait contaminé, mais sa particularité était de
doubler l'appuye sur la touche de l'accent circonflexe. Dès que j'ai vu
apparaître des "^^" dans mes textes, j'ai compris que j'étais vérolé et
réglé le problème.

A la vigilance doit aussi s'ajouter la prévention. Je peux me
permettre de ne pas avoir d'anti-virus, parce que mon réseau est bien
protégé et monitoré. Un code malicieux qui arriverait à s'installer sur
mon ordinateur n'aurait quasiment aucune chance de pouvoir communiquer
avec l'extérieur, et s'il le fait il laisserait des traces que je
verrais.

Merçi

De rien, j'aboies beaucoup, mais il est rare que je mordes :)

Vous avez filtré cet utilisateur ! Consultez son message

ptilou devait dire quelque chose comme ceci :

C'est simple, ici ou ailleurs, cette question amènera toujours la même
réponse : Le seul et unique moyen d'exempter son système de backdoor, c'est
d'avoir un système qui ne soit pas connecté au réseau et sur lequel rien
n'est installé.

Les banques font comment ? ( etc y a d'autre système, mais jusque la
nous avons des idées approchantes ! )

Elles font au mieux, en général. Je connais une banque, que je ne
citerais pas pour bien des raisons, qui fournit des clés USB à ses
employés parce que cela leur semble revenir moins cher que d'augmenter
le nombre de serveurs de fichiers.
Crois-tu qu'il y a un admin derrière chaque employé pour vérifier que
la clé ne contient aucun code malveillant à chaque fois qu'elle est
insérée ? Crois-tu vraiment qu'il n'y a aucun employé qui en profite
pour rammener au travail un petit jeu "à la con" histoire de se
détendre deux minutes de temps en temps ?

Leur système (au sens large) n'est pas plus sûr que d'autres, et en
fait il est même probablement moins sûr que d'autres. Ce qui les sauve,
c'est qu'ils ont quand même une bonne ligne de défense entre le vaste
monde et eux, et une bonne ligne de défense autour des serveurs
sensibles. Le système est donc vulnérable, puisqu'à tout moment une
backdoor peut se retrouver implantée à l'intérieur. Seulement cette
backdoor ne pourrait rien faire, car elle est isolée du reste du monde
autant qu'elle est isolée des données sensibles.
Le seul moyen d'arriver à percer les défenses est donc d'être présent
dans le système lui-même, de façon à pouvoir le tester et trouver une
faille à exploiter. Ce n'est pas infaisable, mais c'est assez long et
compliqué puisqu'il faudrait :
1) Trouver un employé qui aime bien emporter des petits gadgets
informatiques à son travail.
2) Compromettre son ordinateur à la maison.
3) Lui transmettre un trojan qui ferait un premier scan du réseau et
les stockerait sur la clé USB au sein d'un fichier de données
légitimes.
4) Récupérer le résultat du scan, l'interpréter, puis créer et envoyer
à l'employer un trojan qui testerait tel ou tel hôte du réseau, telle
ou telle chose sur un hôte donné.
5) Boucler en 4 jusqu'à ce que l'on ait trouvé une faille exploitable.
6) Créer le trojan qui exploitera la faille et le transmettre à
l'employer.

Bref, ça prendra des mois, pendant lesquels ils faudra prier pour que
l'employer ne découvre pas que son ordinateur à la maison est corrompu
et/ou ne se fera pas prendre entrain de jouer et remettre à l'ordre au
point qu'il arrêtera de le faire, et évidement prier pour que rien ne
change dans le réseau et sa protection.
Au final, malgré le laxisme apparent, le réseau est bien protégé, même
s'il est vulnérable.

Et je ne dis pas cela à la légère. Toute personne se souvenant de
l'affaire du DRM de Sony[1], sait que même une opération aussi simple et
aussi peut dangeureuse que l'insertion d'un CD *audio* dans le lecteur
de CD de son ordinateur peut aboutir à l'installation d'une backdoor.
C'est un gars de sysinternal qui l'a découvert, donc quelqu'un qui s'y
connait en rootkit, et si je me souviens bien cela faisait plus d'une
semaine que sa machine était (potentiellement) compromise. Comme quoi,
même un gourou n'est pas en mesure de garantir que son propre ordinateur
est exempt de backdoor.

Donc, on doit utiliser des procédure "rodé" pour chaque tache de la
machine
Ne pas laisser un programe installé quoi que se soit, ou alorrs en
virtuallllisation ?

En théorie, oui, mais dans la pratique, l'exemple que j'ai pris
démontre que même les gourous ne sont pas aussi paranoïaque que cela.
Ce qu'il faut, c'est garder à l'esprit que, d'une part, le risque
existe, et donc en tenir compte lorsque l'on fait quelque chose, et
d'autre part que la vulnérabilité n'est pas le seul facteur à prendre
en compte.
A titre d'exemple, mon ordinateur est à 100% vulnérable aux virus,
parce que je n'ai pas d'anti-virus, cependant, de toute ma vie je n'ai
été vérolé qu'une seule fois. En fait, mon ordinateur en lui-même est
vulnérable, mais dans le même temps il dispose de l'un des meilleurs
anti-virus qui existe, un être humain qui fait attention. Tant que je
lis les mails/news en texte brut, aucun code actif ne peut s'exécuter.
Et lorsque le message est en HTML, si c'est quelqu'un en qui j'ai
confiance je prends le risque, parce qu'il est minime, et si c'est
quelqu'un en qui je n'ai pas confiance, ai-je vraiment envie de lire ce
qu'il écrit ? ;) Même chose lorsque je télécharge un programme, je
choisis une source sûre.
Mais l'important ce n'est pas seulement l'attention que l'on porte aux
vecteurs de propagation, c'est aussi l'attention que l'on porte au
comportement de son système. Comme je l'ai dit dans un précédent
message, rare sont les trojans réellement bien foutus, donc un
programme qui ne fonctionne pas doit alerter l'utilisateur, "Attention,
c'est peut-être un trojan". Même chose si un programme donné, ou le
système lui-même, se retrouve avec un comportement bizarre. J'ai oublié
le nom du virus qui m'avait contaminé, mais sa particularité était de
doubler l'appuye sur la touche de l'accent circonflexe. Dès que j'ai vu
apparaître des "^^" dans mes textes, j'ai compris que j'étais vérolé et
réglé le problème.

A la vigilance doit aussi s'ajouter la prévention. Je peux me
permettre de ne pas avoir d'anti-virus, parce que mon réseau est bien
protégé et monitoré. Un code malicieux qui arriverait à s'installer sur
mon ordinateur n'aurait quasiment aucune chance de pouvoir communiquer
avec l'extérieur, et s'il le fait il laisserait des traces que je
verrais.

Merçi

De rien, j'aboies beaucoup, mais il est rare que je mordes :)

backdors minimal ...

4 réponses

Veuillez sélectionner un problème