reponses a une intrusion

Thierry Evangelista wrote:

En cas d'intrusion, il est possible (même si ce n'est pas franchement
conseillé) de répondre à une attaque dans la mesure ou "la reponse
n'est pas disproportionnée par rapport à l'attaque" (principe général
de la légitime défense appliaqué aux intrusions informatiques).

Personnellement je ne suis pas trop partisan de ce genre de choses car
il y a toujours un risque de répondre à des adresses qui ont été
spoofées, et dans ce cas c'est toi qui devient responsable d'une
attaque contre un système tiers (ou ton entreprise, ce qui est pire).

Tout a fait!!
Je recommande la "contre-attaque", uniquement lorsque vous etes
victime d'une tentative d'intrusion, a l'instant meme, pour signaler a
la personne "en face" que vous etes la, et que vous pouvez aussi
l'em....er.
Mais bien entendu, il faut etre certain qu'il ne s'agisse pas d'une
adresse spoofee (difficile a determiner rapidement), et il faut
egalement chercher ses propes faiblesses (ports ouverts, applications,
failles de securite...)
Le but n'etant pas de "plier" la machine en face, mais de lui fa ire
comprendre que tu peux aussi l'embeter.

Mais ce processus risque de ne pas alarmer la personne en face, car
dans 90% des cas aujourd'hui, les attaques sont dues a des personnes
utilisant des logiciels "tout faits", donc ils ne se rendront pas
forcement compte de "l'avertissement" que vous leur donnerez.

Cordialement,
OLS

On Mon, 25 Aug 2003 09:30:38 +0000, Olivier Saulnier wrote:

Mais bien entendu, il faut etre certain qu'il ne s'agisse pas d'une
adresse spoofee (difficile a determiner rapidement)

Si j'ai une connexion TCP complète (avec échange de données et tout
...) vers une de mes machines Linux, c'est soit que l'IP source est la
bonne, soit que l'attaquant est sur le chemin et sniffe l'ensemble de la
communication en empêchant l'IP source apparente de répondre. Le
deuxième cas étant très peu probable, on peut alors considérer l'IP
source comme réellement valide.


Nicob

On Mon, 25 Aug 2003 10:21:29 +0000, Nicob wrote:

On Mon, 25 Aug 2003 09:30:38 +0000, Olivier Saulnier wrote:

Mais bien entendu, il faut etre certain qu'il ne s'agisse pas d'une
adresse spoofee (difficile a determiner rapidement)

Si j'ai une connexion TCP complète (avec échange de données et tout
...) vers une de mes machines Linux [snip]

Précision :
Et cela est valide avec la plupart des Unix, le problème étant une bonne
gestion des ISN ...


Nicob

Pierre LALET wrote:

Pouce. Ces deux cas sont très différent. Si je laisse devant chez moi
une pile de journaux avec une pancarte "servez-vous" (exemple des
répertoires partagés sous Windows), ce n'est pas la même chose que si
j'ai une vieille serrure toute pourrie et rouillée, et qu'un bon coup
d'épaule suffit à faire sauter (failles sans mises à jour). Parce que
dans le deuxième cas, même s'il n'est pas difficile de donner le coup
d'épaule, c'est illégal.

J'ai retrouve au moins un lien:
http://www.jurisexpert.net/site/fiche.cfm?id_fiche71

Cordialement,
Olivier Saulnier

On 25 Aug 2003 13:44:01 GMT, Pierre LALET <lalet@enseirb.fr> wrote:

Le scan de port est une tentative d'intrusion.
Non. Le scan de port peut être le début d'une tentative d'intrusion. Et

peut être plein d'autres choses.

Pierre

Désolé, j''ai peut être été trop bref dans mon commentaire. Dans ce
cas je reformule. Pour beaucoup d'avocats qui doivent appliquer les
textes de lois, le scan est assimilé à une tentative d'intrusion. La
difficulté pour un expert technique vis à vis de la justice consiste à
démontrer qu'il s'agit effectivement d'un scan volontaire et non d'un
faux positif (du a une application qui se connecterait de manière
rapide a plusieurs ports de la cible par exemple).
Pour ma part, je vois deux principales raisons pour scanner
volontairement un système:
- soit il s'agit effectivement d'une phase de reconnaissance avant
intrusion volontaire
- soit il s'agit d'un scan de vulnérabilité pour évaluer la sécurité
d'un système. Dans ce cas de figure, il est interdit de scanner le
système d'autrui, même si c'est dans un esprit whitehat (sauf s'il
s'agit d'un scan effectué sur un modèle ASP, qui est soumis à un
contrat strict entre le scanneur et le scanné).

Je serai toutefois intéressé pour que tu développes le "plein d'autres
choses" ;-)

Thierry

On Tue, 26 Aug 2003 05:40:40 +0000, Thierry Evangelista wrote:

- soit il s'agit d'un scan de vulnérabilité pour évaluer la sécurité
d'un système. Dans ce cas de figure, il est interdit de scanner le
système d'autrui, même si c'est dans un esprit whitehat

Et ben j'suis pas dans la merde :)

Plus sérieusement, il ne me semble pas que les choses soient aussi claires
que ça en droit français. Y a-t-il eu une jurisprudence à ce sujet ?


Nicob
PS : Non, SVP, pas la métaphore du mec qui essaie d'ouvrir toutes les
portes de voiture de la rue où il habite :)

Je serai toutefois intéressé pour que tu développes le "plein d'autres
choses" ;-)

Principalement de la curiosité : je scanne (ou plutôt je scannais, ça
m'a passé) des réseau entiers (sur des ports dits "bien connus", ou non)
afin de voir les ressources mises à la disposition du public. Je ne
cherchais pas de failles, mais simplement des services, et j'estime que
laisser un service ouvert, c'est comme laisser des journaux sur le pas
de sa porte avec un mot "servez vous". Donc, je ne pense pas que cela
ait quelque chose d'illégal.

Une seconde raison est, en cas d'attaque. Par exemple, si je vois que
mon réseau subit un scan (horizontal ou vertical, peu importe), je
scanne la machine en face. Déjà pour lui montrer que je suis là, et
ensuite pour chercher éventuellement un 'open relay' quelconque
(histoire de prévenir le bonhomme qu'on utilise sa machine pour faire
des trucs pas légaux).

Pierre

--
Pierre LALET
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E

J'ai retrouve au moins un lien:
http://www.jurisexpert.net/site/fiche.cfm?id_fiche71

Attention, si j'héberge des données sensibles, il est évident qu'il est
de ma responsabilité de les protéger, et j'imagine que si c'est ma
banque qui a une vieille serrure rouillée et pourrie, elle aura quelques
soucis en cas de vols. Mais cela n'empêche pas que les voleurs soient
dans l'illégalité eux aussi.

Pierre

--
Pierre LALET
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E

In article <3F49BDE2.4080904@steganux-no-spam.com>, Olivier Saulnier wrote:

Je recommande la "contre-attaque", uniquement lorsque vous etes
victime d'une tentative d'intrusion, a l'instant meme, pour signaler a
la personne "en face" que vous etes la, et que vous pouvez aussi
l'em....er.

Argh! Mais on ne fait pas (ou ne fait pas semblant de faire) justice soi
meme! (sauf si on est dans la mafia)

Deja parce que ça ne va rien changer au préjudice subit, mais ensuite
parce que l'ordinateur que l'on va intimider est certainement celui d'un
tiers mal protégé.

Et une fois qu'on a montré qu'on a aussi des poils, si le gars en face
ne change rien, on fait quoi? Et si on se trompe et qu'il n'y a pas
intrusion?

On 26 Aug 2003 09:52:21 GMT, Pierre LALET <lalet@enseirb.fr> wrote:

Je serai toutefois intéressé pour que tu développes le "plein d'autres
choses" ;-)

Une seconde raison est, en cas d'attaque. Par exemple, si je vois que
mon réseau subit un scan (horizontal ou vertical, peu importe), je
scanne la machine en face. Déjà pour lui montrer que je suis là, et
ensuite pour chercher éventuellement un 'open relay' quelconque
(histoire de prévenir le bonhomme qu'on utilise sa machine pour faire
des trucs pas légaux).
Merci pour ces précisions. Pour ma part, je suis scanné en permanence

à mon domicile et je n'ai pas le temps de faire des "contre-scans"
systématiques. Et à mon humble avis, je ne suis pas persuadé que le
type en face se rende compte que tu le scannes en retour (surtout si
c'est un SK qui utilise des outils automatiques).
Par ailleurs, mes commentaires étaient plutôt oriéntés "entreprise"
(quoique valables dans un contexte individuel également) et je connais
malheureusement peu d'admins qui aient le temps d'analyser les scans.

-t

Pierre