reponses a une intrusion

Celui qui veut vraiment commettre une attaque quelle qu'elle soit, se
fabriquera ses propres outils adaptés au réseau qu'il veut attaquer et
à ses besoins du moment.

Soit mais pas forcément. Tout va dépendre du contexte, de
l'environnement.

Non. Si le type est pas con et veut limiter les risques de lever des
alarmes des IDS, il passera par un outil qu'il aura développé.

Si quelqu'un arrive à attaquer un réseau autre
qu'un réseau domestique avec des scripts trouvé en ligne, il est grand
temps de changer l'admin de ce réseau, vue que ces scripts s'appuye sur
des failles et/ou faiblesses connues.

Tu es dur envers les admins.

C'est normal. Il serait étrange qu'un *admin* ne fasse pas régulièrement
toutes les mises à jour des systèmes qu'il gère. Donc il n'est pas
normal qu'un sk puisse mener avec succès une attaque sur un réseau
"autre que domestique".

Ces "armes" comme tu dis ne sont que des pistolets à grenaille

Non pas d'accord.

Pourquoi ?

On en a déjà parlé depuis le début de notre échange dans ce thread donc
inutile de revenir dessus.

Pourtant, l'exemple du pistolet à grenaille est bien choisi. Cela peut
aider à braquer une vieille (non, ce n'est pas du vécu ;-) ), mais
contre un char, tu auras l'air d'un con avec.

[...] Et dans cet échange, je m'adresse à toi [...]

Si tu ne t'adresses qu'à lui, je tiens à te dire que des gens ont mis au
point ce qu'ils appellent les mails. Google devrait pouvoir te
renseigner sur ce point. Et si tu tiens à écrire sur ce NG, alors tu
t'adresses à l'ensemble des gens qui le lisent.

IMHO MISC n'est absolument pas grand public. Et que cette revue ne le
devienne pas. D'autres s'en chargent très bien. En France, on dispose de
2 revues à destination des professionnels dont le contenu éditorial est
de qualité : MISC et Netcost Security.

Je ne dirais pas que MISC est grand public, mais ce n'est pas non plus
un magasine destiné aux professionnels de la sécurité, faut arrêter. Il
est très bien, mais àmha un spécialiste de la sécurité n'a pas besoin
d'un article "comment se servir de nmap" (j'ai pris celui-là au hasard).

De part son existance et l'accessibilité (relative) de ses
articles, il permet d'informer les personnes déjà sensibilisée, et de
leur fournir la connaissance nécessaire pour faire ensuite circuler
l'information autour d'eux.

C'est assez proche de ce que je pense d'eux. Ah, oui, c'est trop cher :(

Fort
étrangement, ces publications ont toutes un point en commun, elles
n'existent que pour faire de l'argent.

Je ne connais pas une seule entreprise quelle quelle soit qui ne se fixe
pas comme objectif de faire croître son chiffre d'affaires et dégager
des bénéfices.

Le Monde Diplomatique SA.

et à moins que tu ne te complaises dans le
rôle du monsieur "jesaistout"

Non plus mais si tu le dit

Il le dit ironiquement, je pense.

qui fait sourire les lecteurs,

Non TE FAIT SOURIRE. Cesses un peu de mêler les autres ou de t'en
servir. Ca devient lassant.

Bon, qui me fait sourire aussi, si tu veux savoir.

il serait
grand temps que tu dépasses le stade de la suffisance

Encore une fois tu préjuges etc...
Cf mes précédentes réactions à ce sujet.

Il préjuge sur ce que tu donnes à préjuger.

Tu parles en long et en large de sensibilisation,

On (les acteurs de ce thread) en a parlé oui.

Ne parle pas pour eux stp ;-)

que l'ensemble des lecteurs de ce forum en prennent
connaissance.

Arrêtes de parler aux noms des autres, je trouve ça intolérable (de ta
part car tu es modérateur) et méprisant à leur encontre.

Ca change quoi le fait qu'il soit modéro ?

Pierre

--
Pierre LALET
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E

"Ermelir" <ermelir@.ifrance.com.invalid> wrote in message news:<3f45aa48$0$243$626a54ce@news.free.fr>...

bonjour a tous,

j'aurai aimé votre avis sur les reponses possibles à une intrusion.

Je ne l'ai pas lu mais MiscMag 9 vient de sortir avec un dossier là-dessus

"LaDDL" <alamaison@noos.fr> a écrit dans le message de
news:3f551c44$0$18748$79c14f64@nan-newsreader-01.noos.net...

Nicob wrote:

On Sat, 30 Aug 2003 14:57:26 +0000, LaDDL wrote:

Un scanner ne remplace pas toujours un exploit.
Pardonnes moi mais là je ne comprend pas bien le sens de ta phrase.

Sans définir un scanner et une exploit, à un moment donné on va avoir
besoin de balayer/sonder le réseau ou la machine ou le service sur
lequel on pense qu'il peut y avoir utilisation de l'exploit.
L'utilisation de scripts est aussi une solution pour exécuter le code
sur la machine client qui remonte ensuite la réponse vers le serveur.

Dans la majorité des cas le script (test de vulnérabilité ou exploit
proprement dit) est dispo avant la mise à jour du scanner, ou on peut
l'écrire rapidement si les infos sont publiées ou connues.

De plus lors d'une alerte -outre le fait que je sais généralement si la
machine est vulnérable ou non, mais on va supposer qu'on contrôle le fait
qu'un patch a été appliqué par autrui- il est urgent d'agir contre cette
vulnérabilité.
Le scan, lui, peut être éventuellement utilisé de manière récurrente,
histoire de voir si un gus n'a pas désinstallé un correctif ou réinstaller
son OS (mais non ce n'est pas si rare que ça!), comme contrôle systématique.
Il peut aussi être une *partie* d'un audit.
A condition, je me répête, de ne pas confondre un scan négatif et une
absence de problème.

Que faire quand :
- l'éditeur sort un patch mais ré-introduit le bug 10 mois plus tard
- on fait un pen-test pour un de ses clients
- on veut *sensibiliser* la direction d'une boite
(le "voici l'ensemble de vos mails" marchant très bien)
- on veut écrire des signatures pour un (H/N)-IDS
- on veut exploiter la faille pour la patcher [1]
- l'outil de l'éditeur (ex: HFNetchk) fait des faux *négatifs*
- ...
lol tu veux pas aussi que je t'envoie mes "livres blanc" sur le

traitement des vulnérabilités, audits de sécurité logique, etc.

Si tu as ces livres blancs tu serais peut être inspiré d'en ré-écrire
certains chapitres, non?
Lorsque quelqu'un te démontre par A+B qu'il y a un problème tu te contente
de répondre non, ou pas d'accord, toujours sans argumenter.
La plupart des intervenant ici illustrent leur propos par des *exemples
précis*. Il est sur qu'en restant dans le vague on prend moins de risque :(

Une fois de plus ca ne veut pas dire que toutes tes remarques sont fausses
ou inutiles, simplement qu'elle ne m'apportent rien quand aucun élément n'en
indique le bien fondé.

Il existe apparement beaucoup d' "expert" en sécurité qui vendent leur
bidules en effrayant le client ou en lui sortant des grands discours
incompréhensibles. Outre que je qualifie certains de truand, dans tous les
cas de figure ils ne rendent pas (un) service (satisfaisant) à leur client
dans le mesure ou celui ci ne peut apprendre et comprendre une démarche
qu'il peut appliquer pour diminuer les risques[1]

Eric.

[1] Par démarche j'entends une analyse ou un action que le client peut
mettre lui même en place pour traiter des problèmes courant. Je n'inclus pas
la démarche "vous me signez un contrat, je passe toutes les semaines!"

"LaDDL" <alamaison@noos.fr> a écrit dans le message de
news:3f5527fd$0$10195$79c14f64@nan-newsreader-02.noos.net...

Je trouverai complétement imbécile pour ne pas dire fou de sanctionner
les professionnels d'utiliser les outils qui leur permettent de
sécuriser les SI.

Au moins on est d'accord la dessus.
Moi j'étends l'accès à ces outils à tous pour une simple raison :
je ne veux pas d'un état qui contrôle qui a le droit ou pas de ce servir de
tels outils pour, de facto, aboutir à une censure à volonté.
De plus pas mal de hobbystes rendent de réels services en entreprise,
parfois plus que de pseudo professionnels.

Il est largement suffisant, amha, de punir l'utilisation frauduleuse -et les
textes le permettent- de ces outils (entre autre).
Une analogie serait l'interdiction de l'automobile aux non professionnels de
la route sous prétexte que l'on peut faire des délis avec!

Pour revenir à toi, c'est l'accessibilité des malwares qui me dérangent.
Pourquoi ne pas mettre dans une zone privée tes fameux codes comme le
font certaines teams ou groupes ? Ainsi tu peux contrôler et filtrer qui
les utilise. De cette manière tu t'évites tout problème et limites toute
propagation voire exploitation de ton code par des personnes
malintentionnées.

Et qui décrète que intel ou intel est digne d'accès?
Pour ma part prévenir l'editeur + délai + diffusion de la faille avec patch
ou workaround + delai + exploit est raisonnable. Si à ce moment l'exploit
passe, l'admin n'a pas fait son job.

C'est bizzare, mais les experts crédibles que je connais, je ne les vois
jamais dans un tribunal,
Pour être expert auprès d'un tribunal il faut être agréé par la cour de

cassation.

C'est une confirmation : il y a une différence parfois sensible entre un
"vrai" expert et un expert reconnu devant les tribunaux.
Certains sont parfaitement compétant mais d'autres ne comprennent même pas
un discours purement technique dans leur domaine (ça ne vaut pas que pour la
sécurité).
Explique moi comment une instance -sans connaissance dans un domaine- peut
*réellement* juger les compétance d'un expert qui se présente pour agrément?
(sans la passer devant d'autres experts, malheureusement).


Eric.

On Thu, 04 Sep 2003 08:10:04 +0000, LaDDL wrote:

Pour revenir à toi, c'est l'accessibilité des malwares qui me dérangent.
Pourquoi ne pas mettre dans une zone privée tes fameux codes comme le
font certaines teams ou groupes ? Ainsi tu peux contrôler et filtrer qui
les utilise. De cette manière tu t'évites tout problème et limites toute
propagation voire exploitation de ton code par des personnes
malintentionnées.

J'ai déjà répondu dans ce thread sur l'aspect "moyens à mettre en place
pour un tel contrôle", mais il faut aussi penser à l'aspect "fuite".

Je diffuse mon code à 50 professionnels de ma sécurité dûment identifiés.
15 jours plus tard, le code est sur IRC.

Et là, on fait comment ?
Seuls les sk et les black-hats (et 50 professionnels) auront le code.

Exemple récent : leak de CANVAS
http://packetstorm.linuxsecurity.com/0308-advisories/aitel.html


Nicob

On Thu, 28 Aug 2003 16:22:11 +0000, LaDDL wrote:

Ceci incluant un article punissant la fourniture de moyens, un juriste
spécialisé dans le droit de l'Internet m'ayant conseillé de retirer
mes codes offensifs (comme par exemple JAB ou evade_ftp.pl) d'ici le 22
Octobre 2003.

Il a raison.
Actuellement IMHO trop d'outils sont à la disposition de n'importe qui
sur le réseau donc les risques sont accrus.

Prenons l'exemple du script evade_ftp.pl :

- 100 lignes de Perl (200 avec les commentaires et le POD)
- permettait (il y 3 ans) de bypasser sur lex flux FTP :
- Snort (options Telnet),
- Prelude (options Telenet + réassemblement de paquets TCP)
- Dragon (recherche case-sensitive de patterns)
- basé sur la présentation de Robert Graham à Defcon

Pendant 2 semaines, ce script a pu paraitre comme une mencae pour certains
admins. Mais bon, de là à considérer ça comme illégal, il y a un pas
que je ne franchirais pas.

IL faut considérer que ce code peut aussi servir à tester d'autres IDS
que je n'avais pas sous la main, à détecter des serveurs FTP non-RFC
compliant ou des serveurs POP3 buggés, de fractionner facilement des
données à transférer, etc ...

Donc son interdiction serait plus une perte (minime) pour la communauté
que qu'un gain pour le grand public, non ?

Et prenons l'exemple de "ping.exe" : doit-on l'interdire car il peut être
une "arme par destination" ?


Nicob

salut
"Eric Razny" <trash2@razny.net> a écrit dans le message news:
3f5727b5$0$6189$626a54ce@news.free.fr

Il est largement suffisant, amha, de punir l'utilisation frauduleuse
-et les textes le permettent- de ces outils (entre autre).

voilà une approche qui me semble bien plus raisonnable (et crédible)
"laissons la justice faire son travail" ©

j'ai l'impression que l'aspect "sécuritaire" du grand réseau (tel que décrit
par notre nouvel ami) n'est qu'un effet de mode dont le but est (machand)
avant tout de rendre crédible "l'économie numérique" et qui en pratique
transfert une partie de la "sécurité" vers le "marchand" au détriment du
consommateur
(donc un "truc" politique et mercantile... mais pas un intérêt soudain pour
la sécurité)

Et qui décrète que intel ou intel est digne d'accès?

waow, la méchante pub (gratuite) :-D
Untel inside ?

je n'ai pas envie de devoir me connecter au réseau en utilisant mon code de
CB comme identifiant et l'empreinte numérique de ma rétine droite comme mot
de passe :-(

@tchao

On Thu, 04 Sep 2003 13:32:54 +0000, Stephane Catteau wrote:

Et pourtant tu refuses aux autres le droit d'exercer leur propre
libertée. Comme par exemple lorsque tu demandes à Nicob de mettre ses
codes offensifs dans une zone protégée. Ce faisant, tu brides la
liberté de Nicob et la liberté de toutes personnes voulant accéder à
ces codes, quelque soit leur raison.

[snip très bonne description des fuites possibles, qu'elles soient
volontaires ou non et du problème de partage de responsabilités]

[LaDDL] :
Non mais je suis pour une identification numérique des users sur
les réseaux.

C'est bizarre, mais je reste attaché aux faits que les flics soient censés
avoir un motif valable (sauf loi d'exception type VigiPirate) pour me
demander mes papiers, que j'ai droit de regard sur les films de
vidéo-surveillance où j'apparais, ...

Or, sur Internet (en tout cas pour l'instant), on n'arrive même pas à
faire condamner en justice les sociétés gérant à la légère les
données personnelles. Donc ré-équilibrons les choses, sécurisons les
données personnelles, condamnons les revendeurs de listes d'email, et on
pourra reparler alors du flicage des internautes.

La seule chose qui pouvait poser problème était l'accès à des données
sans intrusion (l'affaire "kitetoa"). Et la réponse de la justice est
parfaite en tout point.

Bof. Même si le jugement en appel m'apporta un soulagement, j'aurais
préféré voir Tati poursuivi pour négligences.


Nicob

On Thu, 04 Sep 2003 13:32:54 +0000, Stephane Catteau wrote:

La seule chose qui pouvait poser problème était l'accès à des données
sans intrusion (l'affaire "kitetoa"). Et la réponse de la justice est
parfaite en tout point.

Oui.

Bof. Même si le jugement en appel m'apporta un soulagement, j'aurais
préféré voir Tati poursuivi pour négligences.

Négligences relevant du civil. Dans ce cas seules les victimes (clients)
pouvaient se prévaloir d'une faute par négligence dans la gestion de
leur compte.

Roland Garcia

Eric Razny wrote:

De plus lors d'une alerte -outre le fait que je sais généralement si la
machine est vulnérable ou non, mais on va supposer qu'on contrôle le fait
qu'un patch a été appliqué par autrui- il est urgent d'agir contre cette
vulnérabilité.
Certes mais la démarche du traitement d'une vulnérabilité n'est pas

uniquement à traiter sous l'angle technique. N'oublies le processus de
décision : trouver les bonnes compétences en interne ; quels sont les
acteurs concernés par les risques ? ; etc.

Que faire quand :
- l'éditeur sort un patch mais ré-introduit le bug 10 mois plus tard
- on fait un pen-test pour un de ses clients
- on veut *sensibiliser* la direction d'une boite
(le "voici l'ensemble de vos mails" marchant très bien)
- on veut écrire des signatures pour un (H/N)-IDS
- on veut exploiter la faille pour la patcher [1]
- l'outil de l'éditeur (ex: HFNetchk) fait des faux *négatifs*
- ...
lol tu veux pas aussi que je t'envoie mes "livres blanc" sur le

traitement des vulnérabilités, audits de sécurité logique, etc.

Si tu as ces livres blancs tu serais peut être inspiré d'en ré-écrire
certains chapitres, non?
Non je ne vois pas pourquoi ss vouloir te vexer.

Et nous sommes nombreux à les maintenir à jour en permanence.

Lorsque quelqu'un te démontre par A+B qu'il y a un problème tu te contente
de répondre non, ou pas d'accord, toujours sans argumenter.
Faux. Je confronte mon point de vue dans ce thread avec de nombreux

intervenants sur plusieurs sujets et j'argumente mon propos à chaque
fois.
Simplement l'argument technique ici ne me semble pas essentiel pour
développer une argumentation.
Et pour aller plus loin dans ta remarque, je viens rarement discuter
technique sur Usenet pourquoi ? Je travaille avec une équipe
pluridisciplinaire dont l'expérience me permet souvent d'apporter des
réponses à mes interrogations/questions. Sinon, je poste mais dans
d'autres listes.
Je viens sur fcs comme sur d'autres NG public français ou étrangers pour
faire de la veille et parfois comme dans ce thread partager mon
expérience, donner mon point de vue, réagir, etc.

La plupart des intervenant ici illustrent leur propos par des *exemples
précis*.
Je le fais mais ça ne te plaît pas. Que faire de plus pour toi ?

Il est sur qu'en restant dans le vague on prend moins de risque :(
IMHO je ne pense pas rester neutre dans mes prises de position.

Une fois de plus ca ne veut pas dire que toutes tes remarques sont fausses
ou inutiles, simplement qu'elle ne m'apportent rien quand aucun élément n'en
indique le bien fondé.
Tu es le seul à pouvoir apprécier ou non mon propos.

Il existe apparement beaucoup d' "expert" en sécurité qui vendent leur
bidules en effrayant le client ou en lui sortant des grands discours
incompréhensibles.
Ceux-là il ne faut pas manquer de les "cartonner".

Outre que je qualifie certains de truand, dans tous les
cas de figure ils ne rendent pas (un) service (satisfaisant) à leur client
dans le mesure ou celui ci ne peut apprendre et comprendre une démarche
qu'il peut appliquer pour diminuer les risques[1]
Complétement d'accord.