WannaCry "ransomware" cyber attack :

Le
Ph. Gras
Bonjour,

que pensez-vous de cette affaire :
http://www.reuters.com/article/us-cyber-attack-idUSKCN18B0AC

Avez-vous t touchs ? J'ai eu plein d'attaques vendredi et =
samedi sur mon serveur
et sur une ML, et puis a s'est calm dimanche aussi rapidement que =
c'est apparu

Au plaisir de vous lire,

Ph. Gras=
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Eric Degenetais
Le #26433618
Le 15 mai 2017 à 17:12,
Visiblement, ça a eu de l'effet, puisque de nombreux serveurs sont e n panne,
avec arrêts de multiples services d'entreprises dont des cartes banc aires,
des robots de chaînes de fabrication...
André


Mais que f... une chaîne de production sur internet? Si le vecteur
n'est pas le réseau, quelles ouvertures baroques ont des chaînes de
production pour qu'elles puissent succomber à un virus?
______________
Éric Dégenètais
Henix
http://www.henix.com
http://www.squashtest.org
Eric Degenetais
Le #26433617
J'entends bien, mais là on parle d'informatique embarquée, des
systèmes qui devraient être isolés de l'extérieur. Je v ois mal un
robot de soudure chatter sur Face de Bouc et vérifier ses mails entre
deux chassis...
Quel intérêt y'a t'il à connecter un tel système aux r éseaux, à part
se retrouver avec ce genre d'intrusions?
______________
Éric Dégenètais
Henix
http://www.henix.com
http://www.squashtest.org

Le 15 mai 2017 à 17:53,
On Monday 15 May 2017 17:37:01 Ph. Gras wrote:
On Monday 15 May 2017 16:52:20 Ph. Gras wrote:
que pensez-vous de cette affaire :
http://www.reuters.com/article/us-cyber-attack-idUSKCN18B0AC
Avez-vous été touchés ?
J'ai eu plein d'attaques vendredi et samedi
sur mon serveur :




Que s'est-il passé exactement sur ton serveur sous Jessie ?
(quelles attaques ?).
On Monday 15 May 2017 17:41:20 Eric Degenetais wrote:
Le 15 mai 2017 à 17:12,
Visiblement, ça a eu de l'effet, puisque de nombreux serveurs
sont en panne,
avec arrêts de multiples services d'entreprises dont des cartes b ancaires,
des robots de chaînes de fabrication...


Mais que f... une chaîne de production sur internet? Si le vecteur
n'est pas le réseau, quelles ouvertures baroques ont des chaîn es de
production pour qu'elles puissent succomber à un virus?

Faudra le demander au PDG de Renault automobiles et Nissan,
plusieurs de leurs usines sont arrêtées jusqu'à demain min imum,
aucun ouvrier dans les ateliers, parkings vides :
http://france3-regions.francetvinfo.fr/hauts-de-france/nord-pas-calais/no rd/douai/cyberattaque-usine-renault-douai-arretee-demain-1253485.html
www.lemonde.fr/economie/article/2017/05/15/cyberattaque-mondiale-renault- nissan-dans-l-il-du-cyclone_5127802_3234.html
Une explication :
robots et machines sont fréquemment pilotés par de vieilles ver sions des
systèmes d’exploitation. Il n’est pas rare de rencon trer des ordinateurs
tournant sous Windows XP dans les usines, constate M. Hausermann.
C’est un système particulièrement vulnérable car, normalement,
Microsoft ne fait plus de mise à jour pour XP.
Il est temps que l’industrie améliore son hygiène infor matique.
Il est surtout temps de passer à GNU/Linux ! :-)
André
JC.EtiembleG
Le #26433620
Le 15/05/2017 à 18:00, daniel huhardeaux a écrit :
Toutes les versions de Windows en dehors de W10 sont des cibles.
Concernant XP, Microsoft a/va patcher également cette version et ce
gratuitement.

XP et Vista (qui ne sont plus maintenus) et Win 8 et Windows Server
2003 / 2008 ont un patch disponible depuis quelques jours
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
--
J-C Etiemble
daniel huhardeaux
Le #26433621
Le 15/05/2017 à 17:12, a écrit :
On Monday 15 May 2017 16:52:20 Ph. Gras wrote:
que pensez-vous de cette affaire :
http://www.reuters.com/article/us-cyber-attack-idUSKCN18B0AC
Avez-vous été touchés ? J'ai eu plein d'attaques vendredi et samedi
sur mon serveur :

Serveur sous Linux ?
et sur une ML, et puis ça s'est calmé dimanche aussi rapidement
que c'est apparu… Au plaisir de vous lire, Ph. Gras

[...]
Le schéma de sa propagation se ferait à partir d'une ancienne version
de Microsoft-Windows, l'article ne donne pas sa version, d'autres parlent
de Windows-XP...
[...]

Toutes les versions de Windows en dehors de W10 sont des cibles.
Concernant XP, Microsoft a/va patcher également cette version et ce
gratuitement.
--
Daniel
Eric Degenetais
Le #26433627
Le 15 mai 2017 à 18:19,
J'ai lu que passer de Windows-XP à Linux (même de XP à Win dows-10)
serait trop coûteux.

Ca s'expliquerait s'il s'agit bien des pilotes de la chaîne: qui dit
pilotage de chaîne dit cartes d'interface plus ou moins spécifiqu es,
donc pas de drivers grand public, donc obligation de développements
spécifiques, avec des coûts élevés que ce soit pour les tests ou pour
les bugs (un bug qui plante une chaîne de fabrication bonjour les
pertes d'exploitation.
Effacement, le problème est probablement plus complexe qu'une
connexion directe à Internet, mais ça reste surprenant...
Mais pour ce qui est de l'isolation des logiciels pilotes rappelons
nous qu'il y a des zozos qui imaginent des contrôleurs de véhicul e
connectés. Avec encore une fois un rapport coût / bénéf ice désastreux
(un contrôleur de voiture vulnérable à DOS ou subversion? Ça me fout
le frisson).
Cordialement
______________
Éric Dégenètais
Henix
http://www.henix.com
http://www.squashtest.org
Stéphane Aulery
Le #26433629
Le 15/05/2017 17:53, a écrit :
Une explication :
robots et machines sont fréquemment pilotés par de vieilles versions
des
systèmes d’exploitation. Il n’est pas rare de rencontrer des
ordinateurs
tournant sous Windows XP dans les usines, constate M. Hausermann.
C’est un système particulièrement vulnérable car, normalement,
Microsoft ne fait plus de mise à jour pour XP.
Il est temps que l’industrie améliore son hygiène informatique.

Pour avoir travailler sur une ligne de production (pas chez Renault)
dont le logiciel de pilotage était installé sur des postes en XP,
voir DOS (l'année dernière encore), la migration était économiquement
impossible car le constructeur demande une somme astronomique
pour chaque poste. On ne pouvait pas non plus installer leur logiciel
sur un Windows plus frais nous même car le constructeur se dégage
alors de sa responsabilité en cas de panne.
Je te rassure, ces machines sont en permanence hors réseau
sauf pour de brèves maintenances.
Il est surtout temps de passer à GNU/Linux ! :-)

Il faut le dire aussi aux éditeurs de logiciels qui tiennent en otage
leurs clients... sur des logiciels et du matos pourris...
Cordialement,
--
Stéphane Aulery
=c3
Le #26433641
On 05/15/2017 05:41 PM, Eric Degenetais wrote:
Le 15 mai 2017 à 17:12,
Visiblement, ça a eu de l'effet, puisque de nombreux serveurs sont en panne,
avec arrêts de multiples services d'entreprises dont des cartes bancaires,
des robots de chaînes de fabrication...
André

Mais que f... une chaîne de production sur internet? Si le vecteur
n'est pas le réseau, quelles ouvertures baroques ont des chaînes de
production pour qu'elles puissent succomber à un virus?


Bonsoir,
Afin de limiter la casse, et faute d'éléments dans le feu de l'action, je
soupçonne de nombreuses installation d'avoir été arrêtées vendredi soir à
titre préventif. Peu importe que les machines aient été vulnérables ou non,
vu le peu d'éléments à disposition sur le coup, le plus important était la
sûreté des équipements pour le week-end afin d'éventuellement reprendre
lundi avec une infrastructure à peu près opérationnelle.
Vaut mieux ça que de prendre le risque de laisser une chance à la bestiole
de faire son nid dans l'infra pendant le week-end, n'est ce pas ?
À plus
--
Étienne Mollier
=c3
Le #26433643
On 05/15/2017 08:57 PM, Thierry Bugier Pineau wrote:
Un jour j'ai lu un article (sur internet) assez amusant de
quelqu'un qui était resté sur windows.. 3.1 !
Je crois qu'il y avait déjà des embryons de navigateurs
internet (de mémoire, dixit l'article) . mais ce qui m'a le
plus amusé c'est que l'auteur vante son immunité aux virus
puisqu'aucun encore en activité ne cible (ou ne sait cibler) de
tels systèmes. De plus ils ne seront pas ciblés à l'avenir.
Les virus de l'époque adoraient se nicher dans les secteurs de
boot des disquettes, même pas sûr qu'ils aillent se copier sur
disque dur. Le format d'exécutable 16 bits doit être maintenant
une barrière à l'infection de .exe ou .dll (supposition
personnelle).
Je sais pas pour vous, mais ça m'a un peu fait réfléchir.
Pourquoi ne pas y retourner ? En plus, sur nos machines
modernes, ça doit démarrer à une vitesse qui scotcherait
n'importe quel OS sur un SSD ! Le bonheur !

Chut ! Moins fort ! Vous allez attirer de vilains pirates sur
ces plate-formes. :-)
--
Étienne Mollier
Stéphane Aulery
Le #26433650
Le 15/05/2017 18:46, Eric Degenetais a écrit :
Le 15 mai 2017 à 18:40, Stéphane Aulery
Je te rassure, ces machines sont en permanence hors réseau
sauf pour de brèves maintenances.

C'est ce qui paraît le plus sain, c'est pourquoi je trouve surprenant
que des systèmes de ce type se retrouvent vérolés...
Après l'intérêt d'avoir des version d'OS en fonction des plannings
commerciaux de microsoft sur des systèmes qui n'ont pas vocation à
recevoir de nouveaux périphériques à noël...
Mais je me demande sincèrement si avec une expérience de terrain tu
vois comment un virus qui traîne sur internet se retrouve dans des
systèmes de production de ce type ?

De la même manière que les nôtres ont tout de même été infecté et que
nous avons mis longtemps à nous en débarrasser.
Ces machines ont besoin de données extérieures pour établir un programme
de production parce que ce ne sont pas des machines outils qui
n’automatisent qu'un tâche basique et unique.
Du coup si tu ne peux pas utiliser un câble réseau tu es obligé
d'utiliser... un autre moyen de faire entrer des données. Et ceux qui
étaient là avant moi n'ont rien trouvé de mieux que d'utiliser une clef
USB. D'un autre côté le constructeur refuse l'installation d'un
antivirus plus élaboré que Clamav, qui n'est pas franchement efficace,
parce qu'ils perturbent soi-disant le fonctionnement des logiciels. Et
d'un autre côté, trouver un antivirus qui fonctionne encore sur XP, faut
se lever tôt.
Si j'avais pu rester en poste, je projetais de rebrancher le câble
réseau mais de n'autoriser qu'un unique port de transfert entre deux
machines déterminées avec à chaque bout des services maisons en tâche de
fond de transfert / réception de fichiers s'appuyant sur une convention
préétablie pour permettre de vérifier la validation du contenu de chaque
fichier échangé. En gros on ne fait passer que des fichiers de données
dans un format prédéfinie sur un poste frontière.
C'est une politique bien différente de brancher un câble à l'aveugle en
espérant passer au travers. Pour ça il faut avoir ne serai-ce que l'idée
et l’énergie de vouloir développer les outils adaptés et d'internaliser
le savoir et les moyens ; ce qui est à contre-courant de l'idéologie
ambiante.
--
Stéphane Aulery
aishen
Le #26433672
Que la NSA soit citée (à tort ou à raison, mais apparemment c'est à raison…) paraît confirmer le caractère
géopolitique de l'attaque. Ceci dit, il n'est pas exclu qu'il puisse y en avoir 2, la seconde crapuleuse en se
cachant derrière la première…
NSA = cholera et peste comme la politique à choisir entre la peste et le
choléra...
L'information médiatique est tellement pourrie qu'on finirait par
devenir parano et puis il faut une sorcière... Le monde ne s'est pas
amélioré, il a tellement régressé que les gens ne s'en rendent pa compte
ou plus compte, ou ne veulent pas voir la vérité en face

Le 16/05/2017 à 11:08, Ph. Gras a écrit :
Bonjour,
Quelqu'un ici a parlé d'un lien potentiel avec la Corée du nord.
Ça semble aller dans cette direction : http://www.ouest-france.fr/monde/coree-du-nord/virus-informatique-la-coree-du-nord-pourrait-etre-liee-l-attaque-4993956

Ce genre d'attaques, avec de telles particularités, sont d'expérience souvent en lien avec l'actualité des
questions géopolitiques.
Elles ont un caractère soudain, et sont réalisées avec de gros moyens mais avec peu de précision dans
le ciblage…
Quand c'est mon serveur ou une de ses activités qui sont visés, c'est beaucoup plus opiniâtre et ciblé.
Quelqu'un a dit avoir vu de l'activité suspecte passer sur ses serveurs, j'aimerais moi aussi voir ces logs si possible, dans un but didactique.

Il n'y a rien de spécial dans les logs, sauf que les requêtes suspectes viennent de partout sauf de France.
Parallèlement à un pic d'attaques par dictionnaire venant principalement de Chine, j'ai observé un pic de
messages sur une liste de discussion, venant de non abonnés issus de tous les pays de la planète, sauf
de France (où se trouvent ses . Le message était en anglais avec un lien dedans.
Rien de particulier donc, dans les logs. Il m'a été impossible d'identifier un motif particulier dans ces mails
qui m'aurait permis de créer un filtre dans fail2ban.
Mais 2 jours plus tard, ça s'était déjà calmé…
Que la NSA soit citée (à tort ou à raison, mais apparemment c'est à raison…) paraît confirmer le caractère
géopolitique de l'attaque. Ceci dit, il n'est pas exclu qu'il puisse y en avoir 2, la seconde crapuleuse en se
cachant derrière la première…
Bien à vous,
Ph. Gras
Publicité
Poster une réponse
Anonyme