utilisation de OE ....

Salut,

Ben... Manifestement, l'utilisateur fait effectivement n'importe quoi
(si ça se trouve, il se connecte même à Internet sans firewall, va
savoir...)

Ca ne change rien au probleme ca! Depuis quand un firewall va empecher IE
d'aller chercher une page Web et d'installer quelquechose codé dans celle
ci ?

C'est pas un firewall qu'il faudrait, c'est un filtre de contenu. Rien a
voir.

D'autre part, l'utilisateur ne fait pas n'importe quoi. Bon, ca fait la
30eme fois que je le dis, mais je crois que ca ne va pas suffire.

Dans 2 minutes je vais avoir droit a des reponses genre "mais comment tu
le sais ? et puis peut etre que un patch s'est mal appliqué ! et puis
peut etre que l'user a desinstallé les patchs ! et puis peut etre que une
meteorite a enlevé les patchs !" faut arreter là !

[*] en particulier, interdire toute communication sur les ports 135-139,
et interdire à IE et OE d'accéder à Internet.

Je n'ai _jamais_ dit que IE/OE etaient dignes d'acceder au net, au
contraire ! Je me cite: "Franchement: on ne peut PAS securiser Internet
Explorer/Outlook.".

Faut il utiliser autre chose que IE/OE ? Oui, certainement, pour les
raisons que j'ai evoquées. Et il y en a bien d'autres.

@+
Bertrand

Le Tue, 11 Nov 2003 17:15:21 +0000, Faelan a écrit :

Si IE/OE est patché et à jour, rien ne s'est fait de façon automatique.

Absoluement faux, pour commencer il y a un délais de réaction (parfois
relavitement important) entre la découverte d'une vulnérabilité et que
le patch associé soit au point.

Secondo, le patch peut ne pas fonctionner sur une configuration
matérielle et logicielle spécifique.

utilisé. Pour les connexions dialup, par exemple, il a fait n'importe
quoi puisqu'il a accepté l'installation de l'exécutable (par défaut,
la question est posée). Pour la page d'accueil de IE, il faut aussi
avoir donné son accord.

On peut parfaitement installer des logiciels sur une machine windows
distante sans l'avis de l'utilisateur en exploitant diverses
vulnérabilités. Pour mémoire la vulnérabilité rpc qui a fait tant de
bruits est connue et utilisée par plusieurs sociétés de sécurité lors
de tests d'intrusion depuis bientot 2 ans...

On ne compte pas le nombre de vulnérabilités qui sortent tous les mois
touchant windows, ie, outlook... Cette "suite logicielle" est l'antithèse
meme de la sécurité.

Rien de ce que vous citez ne se fait de façon invisible si les 2 softs
en question sont à jour et si personne n'a modifié sciemment les
paramètres de sécurité.

Absoluement faux. Tout ou presque peut etre fait, et de manière invisible
pourvu que l'on exploite la bonne faille au bon moment, c'est même le
baba du script kidding...

amicalement,

--
Christophe Casalegno | Digital Network | UIN : 153305055
http://www.digital-network.net | http://www.speed-connect.com
http://www.securite-reseaux.com | http://www.dnsi.info
Security engineer network/systems | Intrusion tests specialist.

"Bertrand" <usenet@cykian.net> a écrit dans le message de
news:pan.2003.11.11.17.26.11.569271@cykian.net...

Salut,

Si IE/OE est patché et à jour, rien ne s'est fait de façon automatique.

Si.

Non. Un dialup ne peut pas s'installer sans intervention de l'utilisateur.
Je suis formel. A condition d'avoir ses softs à jour et de ne pas modifier
les paramètres de sécurité.

On ne peut empêcher personne de répondre OK sans réfléchir aux requêtes
d'installation ou d'exécution, quel que soit le soft utilisé.

Ce PC n'etait pas manié par n'importe qui. Je sais ce qui y est fait et la
personne qui s'en sert a toute la formation necessaire pour eviter de
faire ce genre de betises.

Vous n'êtes pas tout le temps devant son PC. D'autre part, il est étrange
qu'une personne qui ne manipule pas n'importe comment sa machine et a toute
la formation nécessaire ait besoin de vous pour savoir tout ce qui s'est
installé à son insus !!!
Je répète qu'avec les deux softs à jour, et la sécurité par défaut, il est
impossible de se retrouver avec ce que vous avez décrit !

Rien de ce que vous citez ne se fait de façon invisible si les 2 softs
en

question sont à jour et si personne n'a modifié sciemment les paramètres
de

sécurité.

Mais qu'est ce qui vous permet d'etre aussi sur de vous et de nier
plutot "betement" ce que j'affirme ?

Je nie ce que vous affirmez bêtement. Ce que vous dites n'est pas crédible.
Je m'occupe d'un parc important de PCs avec IE et Oe, je sais ce qui est
possible et ce qui ne l'est pas. Bien entendu, aujourd'hui, sur internet, il
faut aussi patcher son OS et se servir d'un petit firewall. Mais c'est
valable pour tout le monde, y compris celui qui utilise autre chose que IE
et OE.

Si je dis que l'IE de cette machine etait patché, c'est qu'il l'etait. Si
je dis que l'utilisateur ne fait pas n'importe quoi, c'est que c'est le
cas.

"Je dis" ! Voilà votre argument :-)

Merci d'une part de vous informer un peu afin de ne pas dire des choses
fausses (genre "machine patchée, machine invulnerable")

Je n'ai jamais dit cela. Vous me faites dire des choses que je n'ai pas
dites. Merci de ne pas transformer mes propos.

, et d'autre part

d'etre un peu moins categorique dans vos reponses.

Vous l'êtes tout autant et je pense que vous avez tort.

__

F.

On 11 Nov 2003 17:37:28 GMT, "Bertrand" <usenet@cykian.net> wrote:

Depuis quand un firewall va empecher IE
d'aller chercher une page Web et d'installer quelquechose codé dans celle
ci ?

Kerio le fait très bien : toute communication de ou vers IE est
bloquée (La règle en question n'est malheureusement pas d'origine,
mais c'est une des premières que j'ai mises).

--
;-)

"Christophe Casalegno" <christophe.casalegno@digital-network.net> a écrit
dans le message de
news:pan.2003.11.11.17.31.53.566247@digital-network.net...

Si IE/OE est patché et à jour, rien ne s'est fait de façon automatique.

Absoluement faux, pour commencer il y a un délais de réaction (parfois
relavitement important) entre la découverte d'une vulnérabilité et que
le patch associé soit au point.

Délai très court qui, la plupart du temps, ne permet pas l'exploitation de
la faille que dans des cas rares, et surtout au niveau des premières
failles. Dire que quelqu'un qui fait très attention et garde son IE/OE à
jour peut ramasser tout ce que l'autre intervenant à décrit est par contre
impossible aujourd'hui.

On peut parfaitement installer des logiciels sur une machine windows
distante sans l'avis de l'utilisateur en exploitant diverses
vulnérabilités. Pour mémoire la vulnérabilité rpc qui a fait tant de
bruits est connue et utilisée par plusieurs sociétés de sécurité lors
de tests d'intrusion depuis bientot 2 ans...

Je vous rappelle que cet exemple concerne Windows. Il est donc erroné dans
notre discussion puisqu'il ne concerne pas IE et OE en particulier. Le
navigateur et le logiciel de Mail n'ont rien à voir dans l'exploitation de
cette faille.

__

F.

Faelan wrote:

Je vous rappelle que cet exemple concerne Windows. Il est donc erroné dans
notre discussion puisqu'il ne concerne pas IE et OE en particulier. Le
navigateur et le logiciel de Mail n'ont rien à voir dans l'exploitation de
cette faille.

Oui et non - sous Windows, tout est intégré: les virus injectés par IE
peuvent utiliser du code de Outlook pour récupérer des adresses, Outlook
utilise lui-même IE pour l'affichage des pages, etc.

Le Wed, 12 Nov 2003 10:24:38 +0000, Faelan a écrit :

Délai très court qui, la plupart du temps, ne permet pas l'exploitation
de la faille que dans des cas rares, et surtout au niveau des premières
failles. Dire que quelqu'un qui fait très attention et garde son IE/OE à
jour peut ramasser tout ce que l'autre intervenant à décrit est par
contre impossible aujourd'hui.

Non malheureusement le délais est loin d'etre très court. Bien sur je ne
parle pas du délais entre sa publication sur bugtraq et le correctif (qui
peut cependant atteindre plusieurs jours), mais bien du délais entre la
découverte de la faille, son exploitation via "0 days" sous le manteau
et le fait qu'elle soit publiée et que le patch soi sorti.

De toute manières meme avec tous les patches du monde, toutes les mesures
de sécurité et firewalls, aucun système n'est invulnérable. Pour te
donner un exemple concret, depuis 4 ans que l'on fait des tests
d'intrusion sur le principe du challenge, essentiellement sur des
architectures sécurisées (firewalls, point d'accès vpn, etc...), nous
n'avons échoué qu'une seule fois (par faute de temps...)

Le meilleurs niveau de sécurité ne peut se définir que d'une seule
façon, intrusions rares, controllées, sans répercussions dramatiques,
rapidement détectées et traitées...

Et encore là, on est proche d'un raisonnement utopique.

Je vous rappelle que cet exemple concerne Windows. Il est donc erroné
dans notre discussion puisqu'il ne concerne pas IE et OE en particulier.
Le navigateur et le logiciel de Mail n'ont rien à voir dans
l'exploitation de cette faille.

La faille rpc n'était ici cité qu'en exemple. Je ne compte pas non plus
les différents heap overflows, etc... qui circulaient bien avant que
l'avis soit publié et le patch sorti.

De nombreuses sociétés (y compris quelques particuliers), ont leurs
propre base d'exploits et de vulnérabilités, qui ne sont parfois
découverts que des années après (quand ils le sont).

De plus on ne parle généralement que de vulnérabilités génériques,
c'est à dire reproductible sur des versions de systèmes semblables.
Il existe également un certain nombre de vulnérabilités spécifiques à
un ensemble de conditions (matériels, drivers, etc...).

Certains ici se souviennent peu etre de mon post sur securite@dnsi.info
ou encore de quelques mails privés, au sujet d'une telle vulnérabilité
dont je n'ai jamais pu trouvé l'explication (bug chown). De telles
vulnérabilités, il y en a malheureusement beaucoup, en quelque sorte des
"race conditions" mais prenant en compte énormément de facteurs...
(processus en cours, uptime, mises en veille, etc.. etc...)

Bref, prétendre que quelque chose de la sorte arrive est impossible, est
justement impossible :).

De plus je connais assez bien bertrand et ses compétences pour savoir
qu'il ne raconte pas de cracks ici...

amicalement,


--
Christophe Casalegno | Digital Network | UIN : 153305055
http://www.digital-network.net | http://www.speed-connect.com
http://www.securite-reseaux.com | http://www.dnsi.info
Security engineer network/systems | Intrusion tests specialist.

Délai très court qui, la plupart du temps, ne permet pas l'exploitation de
la faille que dans des cas rares, et surtout au niveau des premières
failles. Dire que quelqu'un qui fait très attention et garde son IE/OE à
jour peut ramasser tout ce que l'autre intervenant à décrit est par contre
impossible aujourd'hui.

Et bien va sur bugtrack il y a un post interessant du 05/11/2003 a 11:35
qui explique comment compromettre une machine via IE meme completement
patcher en utilisant plusieurs bug de IE non patchés par Microsoft car
considerés non-critique (Le Proof of Concept est fourni avec).

Ce que le gentil garçon utilise n'est pas revolutionnaire, mais il
demontre qu'avec plusieurs petites failles on en fait une grosse.


Donc un IE patché ou pas est une faille quoi qu'on en dise.

"Xavier Roche" <xroche@free.fr.NOSPAM.invalid> a écrit dans le message de
news:bot2q9$il$1@s1.read.news.oleane.net...

Faelan wrote:

Je vous rappelle que cet exemple concerne Windows. Il est donc erroné
dans

notre discussion puisqu'il ne concerne pas IE et OE en particulier. Le
navigateur et le logiciel de Mail n'ont rien à voir dans l'exploitation
de

cette faille.

Oui et non - sous Windows, tout est intégré: les virus injectés par IE
peuvent utiliser du code de Outlook pour récupérer des adresses, Outlook
utilise lui-même IE pour l'affichage des pages, etc.

La faille RPC n'utilise ni l'un ni l'autre code.

--

F.

"Christophe Casalegno" <christophe.casalegno@digital-network.net> a écrit
dans le message de
news:pan.2003.11.12.11.33.09.427335@digital-network.net...

De toute manières meme avec tous les patches du monde, toutes les mesures
de sécurité et firewalls, aucun système n'est invulnérable.

Pour ne pas alimenter un troll, je ne vais pas la faire plus longue. C'est
ma dernière intervention sur ce sujet.

Mais qui a dit que le système IE/OE était invulnérable ? Pas moi, en tout
cas.
Il est un fait que je ne pense pas possible d'avoir ce qui a été décrit par
Bertrand avec IE et OE sans commettre d'imprudences. J'ai d'ailleurs des
doutes sur la "formation" et le comportement prudent de la victime quand on
sait qu'elle a, semble-t-il, attendu Bertrand pour découvrir ce qu'il y
avait à découvrir ;-)

Je vous rappelle que cet exemple concerne Windows. Il est donc erroné
dans notre discussion puisqu'il ne concerne pas IE et OE en particulier.
Le navigateur et le logiciel de Mail n'ont rien à voir dans
l'exploitation de cette faille.

La faille rpc n'était ici cité qu'en exemple.

Mais ce n'était pas un bon exemple ;-)

Je ne compte pas non plus
les différents heap overflows, etc... qui circulaient bien avant que
l'avis soit publié et le patch sorti.

Exact. Il y a d'ailleurs aussi des corrections et des patches pour d'autres
navigateurs et logiciels de mail.

Bref, prétendre que quelque chose de la sorte arrive est impossible, est
justement impossible :).

Ce n'est en tout cas certainement pas une règle générale. Je viens
d'examiner une machine chez un ami avec IE/OE à jour ; trois personnes
l'utilisent : lui et ses deux enfants, 2 adolescentes de 16-17 ans.
Connexion haut débit ADSL fonctionnant toute la journée. Il y a un petit
firewall surveillant uniquement les connexions rentrantes et un antivirus
NAV2003. Cette machine n'a pas été contrôlée depuis plus de 2 ans : les
personnes n'y connaissent rien de plus qu'un utilisateur lambda. Il n'y a
strictement rien de ce qu'a décrit Bertrand, à part de simples cookies de
pub détectés par Adaware.
Aucun dialup, aucun programme inattendu. Le propriétaire demande simplement
à ses enfants de ne pas ouvrir des fichiers inconnus arrivés par mail ou de
ne pas télécharger et installer de programmes sans lui en parler (excellente
précaution, valable pour tous les navigateurs et tous les softs de mail).

De plus je connais assez bien bertrand et ses compétences pour savoir
qu'il ne raconte pas de cracks ici...

Parce que les 2 ou 3 qui ne sont pas d'accord avec lui dans ce fil sont
incompétents et racontent des cracks ? Laissons svp ce genre de jugement
subjectif de côté :)

__

F.