Nouvelle(?) methode de securisation de site bancaire
29 réponses
Laurent Blume
Bonsoir à tous,
Comme les méthodes de sécurisation de sites bancaires ont déjà été évoquées ici,
je signale celle maintenant utilisée par ma banque pour information et
éventuellement remarques (je veux savoir si mon compte est vulnérable à quelque
subtilité qui m'échappe :-)
Il s'agit du Crédit Mutuel Méditerranéen.
Ils ont envoyé une petite table («Carte de clés personnelles») de 8x8 cases.
Les colonnes sont numérotées, les lignes alphabétisées. Chaque case contient un
nombre de 4 chiffres.
Cela s'ajoute au login/mot de passe habituel, et le fonctionnement, d'après le
site, est simple:
«Par exemple, au moment de l'ajout d'un bénéficiaire de virements, nous vous
demandons d'indiquer la clé contenue dans la case F7 de votre carte.
La clé saisie débloque également les autres opérations protégées pour votre
connexion en cours. Vous disposez de 3 essais pour saisir la clé demandée ; 3
saisies erronées consécutives révoquent votre carte de CLÉS PERSONNELLES.»
Ça me plait assez, encore qu'évidemment, il faut maintenant faire attention à ne
pas perdre la carte en question.
Je ne vois pas encore de durée de vie de cette carte, je suppose qu'il les
remplaceront.
On Thu, 21 Jul 2005 17:41:38 +0000, Cedric Blancher wrote:
Les gars qui codent ça ne recherchent pas l'excellence, mais l'efficacité.
C'est pourquoi les gangs réellement professionnels (exemple type : Dumaru) emploient désormais des bots n'infectant qu'un petit nombre de machines (disons 5.000) afin de limiter la probabilité qu'une de ces machines fasse partie d'un honeypot de boîte AV ou que l'utilisateur soit suffisamment débrouillard pour identifier le malware et le faire suivre aux labos.
C'est (entre autres) pour cette raison que les chasseurs de virus doivent coller de train près les méchants pour avoir une chance de choper les nouvelles versions. Ca donne des situations marrantes, du style monitorer une machine que sera utilisée dans un temps X pour héberger la nouvelle de version de XYZ et filer le code au AV l'instant d'après sa publication, simuler un faux proxy Socks5 local pour pouvoir "s'enregistrer" auprès du serveur central des keyloggers, éplucher les logs des serveurs centraux de keylogging pour savoir quels sites Web ont eu leurs mots de passe FTP compromis et risquent donc d'être utilisés par les méchants comme stockage temporaire, ...
Ah oui, au fait, c'est fini les serveurs compromis par des failles de sécurité : trop chiant à patcher ou risque de voir un autre gars r00ter la machine. Maintenant, ça se fait principalement via des mots de passe FTP chopés en base de registres ou au keylogger sur des postes clients.
Note : pas de X-post ni de FU2, mais possibilité de passer sur fcsv ...
Nicob
On Thu, 21 Jul 2005 17:41:38 +0000, Cedric Blancher wrote:
Les gars qui codent ça ne recherchent pas l'excellence, mais
l'efficacité.
C'est pourquoi les gangs réellement professionnels (exemple type :
Dumaru) emploient désormais des bots n'infectant qu'un petit nombre de
machines (disons 5.000) afin de limiter la probabilité qu'une de ces
machines fasse partie d'un honeypot de boîte AV ou que l'utilisateur soit
suffisamment débrouillard pour identifier le malware et le faire suivre
aux labos.
C'est (entre autres) pour cette raison que les chasseurs de virus doivent
coller de train près les méchants pour avoir une chance de choper les
nouvelles versions. Ca donne des situations marrantes, du style monitorer
une machine que sera utilisée dans un temps X pour héberger la nouvelle
de version de XYZ et filer le code au AV l'instant d'après sa
publication, simuler un faux proxy Socks5 local pour pouvoir
"s'enregistrer" auprès du serveur central des keyloggers, éplucher les
logs des serveurs centraux de keylogging pour savoir quels sites Web ont
eu leurs mots de passe FTP compromis et risquent donc d'être utilisés
par les méchants comme stockage temporaire, ...
Ah oui, au fait, c'est fini les serveurs compromis par des failles de
sécurité : trop chiant à patcher ou risque de voir un autre gars r00ter
la machine. Maintenant, ça se fait principalement via des mots de passe
FTP chopés en base de registres ou au keylogger sur des postes clients.
Note : pas de X-post ni de FU2, mais possibilité de passer sur fcsv ...
On Thu, 21 Jul 2005 17:41:38 +0000, Cedric Blancher wrote:
Les gars qui codent ça ne recherchent pas l'excellence, mais l'efficacité.
C'est pourquoi les gangs réellement professionnels (exemple type : Dumaru) emploient désormais des bots n'infectant qu'un petit nombre de machines (disons 5.000) afin de limiter la probabilité qu'une de ces machines fasse partie d'un honeypot de boîte AV ou que l'utilisateur soit suffisamment débrouillard pour identifier le malware et le faire suivre aux labos.
C'est (entre autres) pour cette raison que les chasseurs de virus doivent coller de train près les méchants pour avoir une chance de choper les nouvelles versions. Ca donne des situations marrantes, du style monitorer une machine que sera utilisée dans un temps X pour héberger la nouvelle de version de XYZ et filer le code au AV l'instant d'après sa publication, simuler un faux proxy Socks5 local pour pouvoir "s'enregistrer" auprès du serveur central des keyloggers, éplucher les logs des serveurs centraux de keylogging pour savoir quels sites Web ont eu leurs mots de passe FTP compromis et risquent donc d'être utilisés par les méchants comme stockage temporaire, ...
Ah oui, au fait, c'est fini les serveurs compromis par des failles de sécurité : trop chiant à patcher ou risque de voir un autre gars r00ter la machine. Maintenant, ça se fait principalement via des mots de passe FTP chopés en base de registres ou au keylogger sur des postes clients.
Note : pas de X-post ni de FU2, mais possibilité de passer sur fcsv ...
Nicob
Cedric Blancher
Le Thu, 21 Jul 2005 17:09:48 +0000, Jean-Marc Desperrier a écrit :
de question est jusqu'à quel point ce type d'attaque est transportable sous Linux ? Parceque quand on voit cela on se dit mais qu'est-ce qu'il sont cons chez Microsoft d'autoriser des trucs pareils, mais est-ce vraiment infaisable sous d'autres OS ? Il faudrait passer par /proc/pid/mem et ça serait beaucoup plus délicat, mais il y a certainement des possibilités d'exploit aussi.
ptrace marche très bien. Philippe Biondi a fait un démonstration à Cansec et au SSTIC d'un shellcode qui saute de process en process en gardant la même connexion TCP active et ouverte.
-- Les cons, ça ose tout!...c'est meme a ca qu'on les reconnait.... -+- Lino Ventura, les Tontons Flingueurs
Le Thu, 21 Jul 2005 17:09:48 +0000, Jean-Marc Desperrier a écrit :
de question est jusqu'à quel point ce type d'attaque est
transportable sous Linux ? Parceque quand on voit cela on se dit mais
qu'est-ce qu'il sont cons chez Microsoft d'autoriser des trucs pareils,
mais est-ce vraiment infaisable sous d'autres OS ? Il faudrait passer
par /proc/pid/mem et ça serait beaucoup plus délicat, mais il y a
certainement des possibilités d'exploit aussi.
ptrace marche très bien. Philippe Biondi a fait un démonstration à
Cansec et au SSTIC d'un shellcode qui saute de process en process en
gardant la même connexion TCP active et ouverte.
--
Les cons, ça ose tout!...c'est meme a ca qu'on les reconnait....
-+- Lino Ventura, les Tontons Flingueurs
Le Thu, 21 Jul 2005 17:09:48 +0000, Jean-Marc Desperrier a écrit :
de question est jusqu'à quel point ce type d'attaque est transportable sous Linux ? Parceque quand on voit cela on se dit mais qu'est-ce qu'il sont cons chez Microsoft d'autoriser des trucs pareils, mais est-ce vraiment infaisable sous d'autres OS ? Il faudrait passer par /proc/pid/mem et ça serait beaucoup plus délicat, mais il y a certainement des possibilités d'exploit aussi.
ptrace marche très bien. Philippe Biondi a fait un démonstration à Cansec et au SSTIC d'un shellcode qui saute de process en process en gardant la même connexion TCP active et ouverte.
-- Les cons, ça ose tout!...c'est meme a ca qu'on les reconnait.... -+- Lino Ventura, les Tontons Flingueurs
Adrien Huvier
"A. Caspis" wrote in news:42dea6cf$0$15706$:
Pour ça il y a eu une autre innovation révolutionnaire récemment: le clavier virtuel...
Au passage, je ne sais pas si ça a été mentionné, mais ma banque utilise ce clavier virtuel uniquement pour l'identification initiale. Quand on change de code, l'ancien système est toujours utilisé. Donc avec un bête keylogger, il suffirait d'attendre que l'utilisateur décide de changer de code secret pour récupérer l'ancien et le nouveau... Changement qui est conseillé par le site dès la 80ème connexion en ce qui me concerne.
-- Adrien Huvier
"A. Caspis" <a_caspis@yahoo.com> wrote in
news:42dea6cf$0$15706$626a14ce@news.free.fr:
Pour ça il y a eu une autre innovation révolutionnaire récemment:
le clavier virtuel...
Au passage, je ne sais pas si ça a été mentionné, mais ma banque
utilise ce clavier virtuel uniquement pour l'identification initiale.
Quand on change de code, l'ancien système est toujours utilisé. Donc
avec un bête keylogger, il suffirait d'attendre que l'utilisateur
décide de changer de code secret pour récupérer l'ancien et le
nouveau... Changement qui est conseillé par le site dès la 80ème
connexion en ce qui me concerne.
Pour ça il y a eu une autre innovation révolutionnaire récemment: le clavier virtuel...
Au passage, je ne sais pas si ça a été mentionné, mais ma banque utilise ce clavier virtuel uniquement pour l'identification initiale. Quand on change de code, l'ancien système est toujours utilisé. Donc avec un bête keylogger, il suffirait d'attendre que l'utilisateur décide de changer de code secret pour récupérer l'ancien et le nouveau... Changement qui est conseillé par le site dès la 80ème connexion en ce qui me concerne.
-- Adrien Huvier
Fabien LE LEZ
On 21 Jul 2005 17:09:48 GMT, Jean-Marc Desperrier :
Si c'est cela le point de départ, il n'y *aucun* moyen de proposer quelquechose qui tient la route à moins de dire qu'un PC ne sert à rien d'autre que des jeux, et que les opérations sécurisées on les fait sur "autre chose".
Dans le temps, on avait le Minitel.
On 21 Jul 2005 17:09:48 GMT, Jean-Marc Desperrier
<jmdesp@alussinan.org>:
Si c'est cela le point de départ, il n'y *aucun* moyen de proposer
quelquechose qui tient la route à moins de dire qu'un PC ne sert à rien
d'autre que des jeux, et que les opérations sécurisées on les fait sur
"autre chose".
On 21 Jul 2005 17:09:48 GMT, Jean-Marc Desperrier :
Si c'est cela le point de départ, il n'y *aucun* moyen de proposer quelquechose qui tient la route à moins de dire qu'un PC ne sert à rien d'autre que des jeux, et que les opérations sécurisées on les fait sur "autre chose".
Dans le temps, on avait le Minitel.
Arnold McDonald (AMcD®)
Jean-Marc Desperrier wrote:
- OpenProcess / WriteProcessMemory / CreateRemoteThread : Ca fait 5 ou 6 ans que ce problème est connu en fait
Tu peux rajouter quelques années. Et je ne vois pas en quoi c'est un problème. Il s'agit de fonctions comme d'autres !
et que les black hat ne l'ont guère exploité.
Perso, j'ai désassemblé des dizaines de softs qui utilisaient ces trucs. C'est très exploité, au contraire.
Ces fonctions ont été ajoutées à l'API Windows pour l'usage des debuggeurs,
Entre autre. Mais cela peut servir à bien des choses.
il faudrait vraiment que Microsoft se décide à faire en sorte que seul un admin ou mieux seul un programme autorisé puisse s'en servir.
Et comment veux-tu faire cela ? C'est impossible. Tout est détournable.
Programme autorisé càd enregistré comme déboggeur, il y a déjà en fait une liste des déboggueurs installés pour que Windows sache à quelle appli passer la main en cas d'erreur fatale. Il faudrait gérer cela comme la liste des autorité de certificat qu'aucun programme ne peut modifier de manière silencieuse, car c'est un service qui affiche le dialogue de confirmation quand on en ajoute une.
Voilà un discours de quelqu'un qui, peut-être, ne maîtrise pas le hack Windows ? Dès qu'il y a liste, il y a possibilité de magouille, il suffit de la corrompre, d'ajouter un élément. Il y a des tas de techniques pour faire tout ec que tu veux sous Windows, patching, rerouting, emulation, code mimicking, modif des privilèges voire carrément des drivers système quand tu trouves pas une solution facile :-).
Il est clair que la seule raison pour laquelle ce n'est pas encore beaucoup attaqué est que d'autres failles pour les Black Hat ont un meilleur rapport effort/résultat.
Non. D'abord, c'est très utilisé. Ensuite, les les gros-gros hack sous Windows necessitent tout de même pas mal d'expérience, un certain niveau dirons-nous. C'est assez éloigné du niveau moyen des truffes qui codent des malware aujourd'hui. Donc, ils ne se servent pas des trucs très techniques vu qu'ils ne savent pas :-). Et puis, il y a tellement de techniques simples qui permettent de hacker le quidam moyen, ils n'ont pas besoin de patcher le kernel ou d'avoir 15 ans d'ASM derrière eux hein... Quand une personne sur deux n'a jamais entendu parler d'un pare-feu (et n'en a strictement rien à faire), pourquoi aller taper dans le code métamorphique ? Un bon vieux socket et zou !
Une grande question est jusqu'à quel point ce type d'attaque est transportable sous Linux ?
Bien évidemment ! Je sais très bien que je vais me faire incendier, mais Linux et n'importe quel *NIX est sensible, disons à 75%, aux mêmes méthodes de hack que sous les autres OS. Que ce soit un peu plus C/S ne change rien à l'affaire. Du moment que t'as une faille à exploiter tu sais, c'est fini. Tu changes les droits, truandes les privilèges, etc. Cela fait des lustres qu'on porte Linux au pinacle, mais moi, j'aimerai bien qu'il occupe un jour 75% de ppm, histoire de rire un peu. Bien évidemment, n'ayant pas touché cette horreur de Linux depuis presque 5 ans, je ne pourrai pas/plus argumenter techniquement, mais néamoins, théoriquement, il est soumis à des bugs, failles, vulnérabilités etc., comme les autres ! Si c'est pas par les lacunes des OS, tu passes par celles de l'administrateur, du matériel, la secrétaire, etc. La sécurité totale est parfaitement illusoire. Quel que soit l'OS.
Ce qui importe, c'est l'IN-TÉ-RÊT de la chose. Hacker tel truc est-il rentable ? Financièrement ? Temporellement ? Intellectuellement ? De quelle base installée vais-je pouvoir disposer ? Quel taux de not-patched puis-je escompter ? Etc. Si, autrefois, la faible qualité sécuritaire des OS de Kro en faisait des cibles de choix, c'est bien moins vrai aujourd'hui. Par contre, ce qui n'a pas vraiment changé, c'est les ppm de Windows. Alors, il est clair que les problèmes ne peuvent surgir s'il n'y a pas lieu qu'il surgissent, c'est à dire, vu le peu d'intérêt que cela a de hacker Linux, il est difficile de comparer les taux d'attaques, les techniques, les résultats, etc. Surtout que, les codeurs des *NIX n'étant pas idiots, j'ose espérer qu'ils tiennent compte des erreurs de la concurrence :-). Le jour ou les *NIX détiendront des ppm importantes et seront rentables à attaquer, peut être verra-t-on apparaître des techniques complètement inimaginable à l'heure ou je te parle. Avant de parler de comparaison, je pense qu'il vaux mieux discerner les contextes.
Et en fait, gdb n'a pas besoin de privilèges particuliers pour faire un 'attach' et manipuler un peu ce qu'il veut sur un autre processus de l'utilisateur.
La base du hack c'est exactement ne pas se soucier de ce genre de question existentielle. Si tu n'as pas les privilèges, tu cherches à les obtenir. Il y a toujours une méthode, qui sera rendue publique... ou peut être pas :-). Et tous les softs delamorkitu se sont mordu les doigts de se vanter d'être top sûrs et de faire mieux que les gars de Redmond, d'Oracle à FireFox en passant par certains anti-virus...
-- Arnold McDonald (AMcD®)
http://arnold.mcdonald.free.fr/
Jean-Marc Desperrier wrote:
- OpenProcess / WriteProcessMemory / CreateRemoteThread : Ca fait 5
ou 6 ans que ce problème est connu en fait
Tu peux rajouter quelques années. Et je ne vois pas en quoi c'est un
problème. Il s'agit de fonctions comme d'autres !
et que les black hat ne
l'ont guère exploité.
Perso, j'ai désassemblé des dizaines de softs qui utilisaient ces trucs.
C'est très exploité, au contraire.
Ces fonctions ont été ajoutées à l'API Windows pour l'usage des
debuggeurs,
Entre autre. Mais cela peut servir à bien des choses.
il faudrait vraiment que Microsoft se décide à faire en
sorte que seul un admin ou mieux seul un programme autorisé puisse
s'en servir.
Et comment veux-tu faire cela ? C'est impossible. Tout est détournable.
Programme autorisé càd enregistré comme déboggeur, il y
a déjà en fait une liste des déboggueurs installés pour que Windows
sache à quelle appli passer la main en cas d'erreur fatale. Il
faudrait gérer cela comme la liste des autorité de certificat
qu'aucun programme ne peut modifier de manière silencieuse, car c'est
un service qui affiche le dialogue de confirmation quand on en ajoute
une.
Voilà un discours de quelqu'un qui, peut-être, ne maîtrise pas le hack
Windows ? Dès qu'il y a liste, il y a possibilité de magouille, il suffit de
la corrompre, d'ajouter un élément. Il y a des tas de techniques pour faire
tout ec que tu veux sous Windows, patching, rerouting, emulation, code
mimicking, modif des privilèges voire carrément des drivers système quand tu
trouves pas une solution facile :-).
Il est clair que la seule raison pour laquelle ce n'est pas encore
beaucoup attaqué est que d'autres failles pour les Black Hat ont un
meilleur rapport effort/résultat.
Non. D'abord, c'est très utilisé. Ensuite, les les gros-gros hack sous
Windows necessitent tout de même pas mal d'expérience, un certain niveau
dirons-nous. C'est assez éloigné du niveau moyen des truffes qui codent des
malware aujourd'hui. Donc, ils ne se servent pas des trucs très techniques
vu qu'ils ne savent pas :-). Et puis, il y a tellement de techniques simples
qui permettent de hacker le quidam moyen, ils n'ont pas besoin de patcher le
kernel ou d'avoir 15 ans d'ASM derrière eux hein... Quand une personne sur
deux n'a jamais entendu parler d'un pare-feu (et n'en a strictement rien à
faire), pourquoi aller taper dans le code métamorphique ? Un bon vieux
socket et zou !
Une grande question est jusqu'à quel point ce type d'attaque est
transportable sous Linux ?
Bien évidemment ! Je sais très bien que je vais me faire incendier, mais
Linux et n'importe quel *NIX est sensible, disons à 75%, aux mêmes méthodes
de hack que sous les autres OS. Que ce soit un peu plus C/S ne change rien à
l'affaire. Du moment que t'as une faille à exploiter tu sais, c'est fini. Tu
changes les droits, truandes les privilèges, etc. Cela fait des lustres
qu'on porte Linux au pinacle, mais moi, j'aimerai bien qu'il occupe un jour
75% de ppm, histoire de rire un peu. Bien évidemment, n'ayant pas touché
cette horreur de Linux depuis presque 5 ans, je ne pourrai pas/plus
argumenter techniquement, mais néamoins, théoriquement, il est soumis à des
bugs, failles, vulnérabilités etc., comme les autres ! Si c'est pas par les
lacunes des OS, tu passes par celles de l'administrateur, du matériel, la
secrétaire, etc. La sécurité totale est parfaitement illusoire. Quel que
soit l'OS.
Ce qui importe, c'est l'IN-TÉ-RÊT de la chose. Hacker tel truc est-il
rentable ? Financièrement ? Temporellement ? Intellectuellement ? De quelle
base installée vais-je pouvoir disposer ? Quel taux de not-patched puis-je
escompter ? Etc. Si, autrefois, la faible qualité sécuritaire des OS de Kro
en faisait des cibles de choix, c'est bien moins vrai aujourd'hui. Par
contre, ce qui n'a pas vraiment changé, c'est les ppm de Windows. Alors, il
est clair que les problèmes ne peuvent surgir s'il n'y a pas lieu qu'il
surgissent, c'est à dire, vu le peu d'intérêt que cela a de hacker Linux, il
est difficile de comparer les taux d'attaques, les techniques, les
résultats, etc. Surtout que, les codeurs des *NIX n'étant pas idiots, j'ose
espérer qu'ils tiennent compte des erreurs de la concurrence :-). Le jour ou
les *NIX détiendront des ppm importantes et seront rentables à attaquer,
peut être verra-t-on apparaître des techniques complètement inimaginable à
l'heure ou je te parle. Avant de parler de comparaison, je pense qu'il vaux
mieux discerner les contextes.
Et en
fait, gdb n'a pas besoin de privilèges particuliers pour faire un
'attach' et manipuler un peu ce qu'il veut sur un autre processus de
l'utilisateur.
La base du hack c'est exactement ne pas se soucier de ce genre de question
existentielle. Si tu n'as pas les privilèges, tu cherches à les obtenir. Il
y a toujours une méthode, qui sera rendue publique... ou peut être pas :-).
Et tous les softs delamorkitu se sont mordu les doigts de se vanter d'être
top sûrs et de faire mieux que les gars de Redmond, d'Oracle à FireFox en
passant par certains anti-virus...
- OpenProcess / WriteProcessMemory / CreateRemoteThread : Ca fait 5 ou 6 ans que ce problème est connu en fait
Tu peux rajouter quelques années. Et je ne vois pas en quoi c'est un problème. Il s'agit de fonctions comme d'autres !
et que les black hat ne l'ont guère exploité.
Perso, j'ai désassemblé des dizaines de softs qui utilisaient ces trucs. C'est très exploité, au contraire.
Ces fonctions ont été ajoutées à l'API Windows pour l'usage des debuggeurs,
Entre autre. Mais cela peut servir à bien des choses.
il faudrait vraiment que Microsoft se décide à faire en sorte que seul un admin ou mieux seul un programme autorisé puisse s'en servir.
Et comment veux-tu faire cela ? C'est impossible. Tout est détournable.
Programme autorisé càd enregistré comme déboggeur, il y a déjà en fait une liste des déboggueurs installés pour que Windows sache à quelle appli passer la main en cas d'erreur fatale. Il faudrait gérer cela comme la liste des autorité de certificat qu'aucun programme ne peut modifier de manière silencieuse, car c'est un service qui affiche le dialogue de confirmation quand on en ajoute une.
Voilà un discours de quelqu'un qui, peut-être, ne maîtrise pas le hack Windows ? Dès qu'il y a liste, il y a possibilité de magouille, il suffit de la corrompre, d'ajouter un élément. Il y a des tas de techniques pour faire tout ec que tu veux sous Windows, patching, rerouting, emulation, code mimicking, modif des privilèges voire carrément des drivers système quand tu trouves pas une solution facile :-).
Il est clair que la seule raison pour laquelle ce n'est pas encore beaucoup attaqué est que d'autres failles pour les Black Hat ont un meilleur rapport effort/résultat.
Non. D'abord, c'est très utilisé. Ensuite, les les gros-gros hack sous Windows necessitent tout de même pas mal d'expérience, un certain niveau dirons-nous. C'est assez éloigné du niveau moyen des truffes qui codent des malware aujourd'hui. Donc, ils ne se servent pas des trucs très techniques vu qu'ils ne savent pas :-). Et puis, il y a tellement de techniques simples qui permettent de hacker le quidam moyen, ils n'ont pas besoin de patcher le kernel ou d'avoir 15 ans d'ASM derrière eux hein... Quand une personne sur deux n'a jamais entendu parler d'un pare-feu (et n'en a strictement rien à faire), pourquoi aller taper dans le code métamorphique ? Un bon vieux socket et zou !
Une grande question est jusqu'à quel point ce type d'attaque est transportable sous Linux ?
Bien évidemment ! Je sais très bien que je vais me faire incendier, mais Linux et n'importe quel *NIX est sensible, disons à 75%, aux mêmes méthodes de hack que sous les autres OS. Que ce soit un peu plus C/S ne change rien à l'affaire. Du moment que t'as une faille à exploiter tu sais, c'est fini. Tu changes les droits, truandes les privilèges, etc. Cela fait des lustres qu'on porte Linux au pinacle, mais moi, j'aimerai bien qu'il occupe un jour 75% de ppm, histoire de rire un peu. Bien évidemment, n'ayant pas touché cette horreur de Linux depuis presque 5 ans, je ne pourrai pas/plus argumenter techniquement, mais néamoins, théoriquement, il est soumis à des bugs, failles, vulnérabilités etc., comme les autres ! Si c'est pas par les lacunes des OS, tu passes par celles de l'administrateur, du matériel, la secrétaire, etc. La sécurité totale est parfaitement illusoire. Quel que soit l'OS.
Ce qui importe, c'est l'IN-TÉ-RÊT de la chose. Hacker tel truc est-il rentable ? Financièrement ? Temporellement ? Intellectuellement ? De quelle base installée vais-je pouvoir disposer ? Quel taux de not-patched puis-je escompter ? Etc. Si, autrefois, la faible qualité sécuritaire des OS de Kro en faisait des cibles de choix, c'est bien moins vrai aujourd'hui. Par contre, ce qui n'a pas vraiment changé, c'est les ppm de Windows. Alors, il est clair que les problèmes ne peuvent surgir s'il n'y a pas lieu qu'il surgissent, c'est à dire, vu le peu d'intérêt que cela a de hacker Linux, il est difficile de comparer les taux d'attaques, les techniques, les résultats, etc. Surtout que, les codeurs des *NIX n'étant pas idiots, j'ose espérer qu'ils tiennent compte des erreurs de la concurrence :-). Le jour ou les *NIX détiendront des ppm importantes et seront rentables à attaquer, peut être verra-t-on apparaître des techniques complètement inimaginable à l'heure ou je te parle. Avant de parler de comparaison, je pense qu'il vaux mieux discerner les contextes.
Et en fait, gdb n'a pas besoin de privilèges particuliers pour faire un 'attach' et manipuler un peu ce qu'il veut sur un autre processus de l'utilisateur.
La base du hack c'est exactement ne pas se soucier de ce genre de question existentielle. Si tu n'as pas les privilèges, tu cherches à les obtenir. Il y a toujours une méthode, qui sera rendue publique... ou peut être pas :-). Et tous les softs delamorkitu se sont mordu les doigts de se vanter d'être top sûrs et de faire mieux que les gars de Redmond, d'Oracle à FireFox en passant par certains anti-virus...
-- Arnold McDonald (AMcD®)
http://arnold.mcdonald.free.fr/
Ewa (siostra Ani) N.
Le jeudi 21 juillet 2005 à 23:26:00, dans <42dff489$0$4567$ vous écriviez :
et que les black hat ne l'ont guère exploité.
Perso, j'ai désassemblé des dizaines de softs qui utilisaient ces trucs. C'est très exploité, au contraire.
Ces fonctions ont été ajoutées à l'API Windows pour l'usage des debuggeurs,
Entre autres. Mais cela peut servir à bien des choses.
il faudrait vraiment que Microsoft se décide à faire en sorte que seul un admin ou mieux seul un programme autorisé puisse s'en servir.
Et comment veux-tu faire cela ? C'est impossible. Tout est détournable.
Programme autorisé càd enregistré comme déboggeur, il y a déjà en fait une liste des déboggueurs installés pour que Windows sache à quelle appli passer la main en cas d'erreur fatale. Il faudrait gérer cela comme la liste des autorité de certificat qu'aucun programme ne peut modifier de manière silencieuse, car c'est un service qui affiche le dialogue de confirmation quand on en ajoute une.
Voilà un discours de quelqu'un qui, peut-être, ne maîtrise pas le hack Windows ? Dès qu'il y a liste, il y a possibilité de magouille,
[...]
En voilà un échange légèrement corsé mais constructif. J'ai snippé les détails techniques développés par AMcD, je poste juste pour appuyer, de ma faible voix de blonde, l'idée que décortiquer Windows a un sens, de nos jours.
IMHO beaucoup
Ewcia
-- Niesz
Le jeudi 21 juillet 2005 à 23:26:00, dans <42dff489$0$4567$636a15ce@news.free.fr> vous écriviez :
et que les black hat ne
l'ont guère exploité.
Perso, j'ai désassemblé des dizaines de softs qui utilisaient ces trucs.
C'est très exploité, au contraire.
Ces fonctions ont été ajoutées à l'API Windows pour l'usage des
debuggeurs,
Entre autres. Mais cela peut servir à bien des choses.
il faudrait vraiment que Microsoft se décide à faire en
sorte que seul un admin ou mieux seul un programme autorisé puisse
s'en servir.
Et comment veux-tu faire cela ? C'est impossible. Tout est détournable.
Programme autorisé càd enregistré comme déboggeur, il y
a déjà en fait une liste des déboggueurs installés pour que Windows
sache à quelle appli passer la main en cas d'erreur fatale. Il
faudrait gérer cela comme la liste des autorité de certificat
qu'aucun programme ne peut modifier de manière silencieuse, car c'est
un service qui affiche le dialogue de confirmation quand on en ajoute
une.
Voilà un discours de quelqu'un qui, peut-être, ne maîtrise pas le hack
Windows ? Dès qu'il y a liste, il y a possibilité de magouille,
[...]
En voilà un échange légèrement corsé mais constructif. J'ai snippé les
détails techniques développés par AMcD, je poste juste pour appuyer, de
ma faible voix de blonde, l'idée que décortiquer Windows a un sens, de
nos jours.
Le jeudi 21 juillet 2005 à 23:26:00, dans <42dff489$0$4567$ vous écriviez :
et que les black hat ne l'ont guère exploité.
Perso, j'ai désassemblé des dizaines de softs qui utilisaient ces trucs. C'est très exploité, au contraire.
Ces fonctions ont été ajoutées à l'API Windows pour l'usage des debuggeurs,
Entre autres. Mais cela peut servir à bien des choses.
il faudrait vraiment que Microsoft se décide à faire en sorte que seul un admin ou mieux seul un programme autorisé puisse s'en servir.
Et comment veux-tu faire cela ? C'est impossible. Tout est détournable.
Programme autorisé càd enregistré comme déboggeur, il y a déjà en fait une liste des déboggueurs installés pour que Windows sache à quelle appli passer la main en cas d'erreur fatale. Il faudrait gérer cela comme la liste des autorité de certificat qu'aucun programme ne peut modifier de manière silencieuse, car c'est un service qui affiche le dialogue de confirmation quand on en ajoute une.
Voilà un discours de quelqu'un qui, peut-être, ne maîtrise pas le hack Windows ? Dès qu'il y a liste, il y a possibilité de magouille,
[...]
En voilà un échange légèrement corsé mais constructif. J'ai snippé les détails techniques développés par AMcD, je poste juste pour appuyer, de ma faible voix de blonde, l'idée que décortiquer Windows a un sens, de nos jours.
IMHO beaucoup
Ewcia
-- Niesz
Dominique Blas
[...]
C'est comme les empreintes digitales : non révocable, et pas si dur que ça à obtenir par un tiers qui se donne un peu de mal. La sécurité absolue n'existe pas mon cher.
Mais à chaque fois que l'on ajoute une étape de contrôle cela complique (rend plus onéreux) un peu plus la tâche de l'usurpateur.
N'oublions pas que le crime d'identité (souvent encore considéré comme un simple délit alors qu'il s'agit d'un véritable crime souvent) n'a pas besoin d'Internet pour se manifester.
Pour reprendre l'histoire de la banque : se faire passer pour un client légitime auprès du guichetier sans même user de pièces d'identité. Cela est arrivé et arrivera encore. Malgré la formation du personnel bancaire sur ce sujet, il y en a encore beaucoup qui s'appuie sur la confiance (essentiellement par crainte de froisser le client) et les nombreux stagiaires intervenant en période estivale eux, ne sont absolument pas sensibilisés.
db
--
Courriel : usenet blas net
[...]
C'est comme les empreintes digitales : non révocable, et pas si dur
que ça à obtenir par un tiers qui se donne un peu de mal.
La sécurité absolue n'existe pas mon cher.
Mais à chaque fois que l'on ajoute une étape de contrôle cela complique
(rend plus onéreux) un peu plus la tâche de l'usurpateur.
N'oublions pas que le crime d'identité (souvent encore considéré comme
un simple délit alors qu'il s'agit d'un véritable crime souvent) n'a pas
besoin d'Internet pour se manifester.
Pour reprendre l'histoire de la banque : se faire passer pour un client
légitime auprès du guichetier sans même user de pièces d'identité. Cela
est arrivé et arrivera encore. Malgré la formation du personnel bancaire
sur ce sujet, il y en a encore beaucoup qui s'appuie sur la confiance
(essentiellement par crainte de froisser le client) et les nombreux
stagiaires intervenant en période estivale eux, ne sont absolument pas
sensibilisés.
C'est comme les empreintes digitales : non révocable, et pas si dur que ça à obtenir par un tiers qui se donne un peu de mal. La sécurité absolue n'existe pas mon cher.
Mais à chaque fois que l'on ajoute une étape de contrôle cela complique (rend plus onéreux) un peu plus la tâche de l'usurpateur.
N'oublions pas que le crime d'identité (souvent encore considéré comme un simple délit alors qu'il s'agit d'un véritable crime souvent) n'a pas besoin d'Internet pour se manifester.
Pour reprendre l'histoire de la banque : se faire passer pour un client légitime auprès du guichetier sans même user de pièces d'identité. Cela est arrivé et arrivera encore. Malgré la formation du personnel bancaire sur ce sujet, il y en a encore beaucoup qui s'appuie sur la confiance (essentiellement par crainte de froisser le client) et les nombreux stagiaires intervenant en période estivale eux, ne sont absolument pas sensibilisés.
db
--
Courriel : usenet blas net
Jeremy JUST
On 21 Jul 2005 21:26:00 GMT Fabien LE LEZ wrote:
Si c'est cela le point de départ, il n'y *aucun* moyen de proposer quelquechose qui tient la route à moins de dire qu'un PC ne sert à rien d'autre que des jeux, et que les opérations sécurisées on les fait sur "autre chose". Dans le temps, on avait le Minitel.
C'est le principe, courant jusque récemment, du terminal: une machine qui fait suffisamment peu de choses pour ne pas risque d'en faire des délétères.
Malheureusement, actuellement, ce qu'on vend pour être des terminaux (X ou Windows) sont des PC complets sous Windows CE ou Linux. Quand on a une accès physique au boîtier, il est trivial d'y coller n'importe quel keylogger, programme de spamming ou autre; j'imagine que c'est à peine plus difficile par le réseau (surtout que ces terminaux se font suffisamment oublier pour ne pas être mis à jour souvent).
-- Jérémy JUST
On 21 Jul 2005 21:26:00 GMT
Fabien LE LEZ <gramster@gramster.com> wrote:
Si c'est cela le point de départ, il n'y *aucun* moyen de proposer
quelquechose qui tient la route à moins de dire qu'un PC ne sert à rien
d'autre que des jeux, et que les opérations sécurisées on les fait sur
"autre chose".
Dans le temps, on avait le Minitel.
C'est le principe, courant jusque récemment, du terminal: une machine
qui fait suffisamment peu de choses pour ne pas risque d'en faire des
délétères.
Malheureusement, actuellement, ce qu'on vend pour être des terminaux (X
ou Windows) sont des PC complets sous Windows CE ou Linux. Quand on a une
accès physique au boîtier, il est trivial d'y coller n'importe quel
keylogger, programme de spamming ou autre; j'imagine que c'est à peine
plus difficile par le réseau (surtout que ces terminaux se font
suffisamment oublier pour ne pas être mis à jour souvent).
Si c'est cela le point de départ, il n'y *aucun* moyen de proposer quelquechose qui tient la route à moins de dire qu'un PC ne sert à rien d'autre que des jeux, et que les opérations sécurisées on les fait sur "autre chose". Dans le temps, on avait le Minitel.
C'est le principe, courant jusque récemment, du terminal: une machine qui fait suffisamment peu de choses pour ne pas risque d'en faire des délétères.
Malheureusement, actuellement, ce qu'on vend pour être des terminaux (X ou Windows) sont des PC complets sous Windows CE ou Linux. Quand on a une accès physique au boîtier, il est trivial d'y coller n'importe quel keylogger, programme de spamming ou autre; j'imagine que c'est à peine plus difficile par le réseau (surtout que ces terminaux se font suffisamment oublier pour ne pas être mis à jour souvent).
-- Jérémy JUST
Arnold McDonald (AMcD®)
Jeremy JUST wrote:
C'est le principe, courant jusque récemment, du terminal: une machine qui fait suffisamment peu de choses pour ne pas risque d'en faire des délétères.
Oui, enfin, les livres sont pleins d'histoires de hack (et pas des moindres) réussis à partir de simples terminaux hein...
-- Arnold McDonald (AMcD®)
http://arnold.mcdonald.free.fr/
Jeremy JUST wrote:
C'est le principe, courant jusque récemment, du terminal: une machine
qui fait suffisamment peu de choses pour ne pas risque d'en faire des
délétères.
Oui, enfin, les livres sont pleins d'histoires de hack (et pas des moindres)
réussis à partir de simples terminaux hein...
