L'abc de la sécurité

[sloshy]

Bonjour à tous et toutes,

Attention:
Nous sommes dans le sous-forum sécurité du forum WINDOWS, et donc ce poste va donc parler de WINDOWS (et non des autres OS).

Un utilisateur de l'internet DOIT par respect pour sa machine mais surtout par respect pour les autres utilisateurs de l'internet se préoccuper un minimum de la sécurité de sa machine. (Quand ont voit le nombre de machines zombifiées )



- Comment le virus arrive-t-il à nous?

- Il est de notorieté publique que les malwares ont pour origine dans 80% des cas des sites de c** et des sites de crack.
Voici déjà une belle liste de sites à visiter avec précaution dirait-on (voir même pas du tout).
- Une autre série de malwares nous arrive via email, en piece jointe.
- Pour finir, un virus, par définition (et une définition ça ne se critique pas ) tentera toujours de se transmettre (de fichier en fichier ou de reseaux en reseaux).

En évitant de visiter les sites pas très catholiques, en ne lisant pas les courriers inconnus on évite déjà une bonne partie des infections "courantes".
Mais que faire contre la derniere partie? il faut s'armer car qui veut la paix prépare la guerre
Pour lire la suite de ce poste, je vous rassure, pas besoin d'être un lecteur assidu de machiavel

- La sécurité passive:

-La configuration des services WINDOWS:

Un service windows, en plus d'être un programme qui se lance avant une session utilisateur est un programme qui se met en écoute sur un port du systeme.
Les services qui nous sont utiles ont toutes les raisons d'être là, mais dites-moi combien d'entre vous utilisent un "accès à la base de registre à distance" (XP pro)
Ce genre de service qui ne nous sert pas devrait être désactivé, car d'une part c'est un gain de ram (quand on voit que le service thèmes prend jusqu'à 12 Mo ...) mais c'est surtout une porte d'entrée en moins sur le système.

Pour avoir accès à la liste des services windows:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
>>> Demarrer
>>> Executer
>>> services.msc

La lecture des descriptions des services devrait suffire à faire un 1er tri dans vos services.
Si vous n'êtes pas sur d'un service, google vous aidera sans trop de difficulté

-La liste hosts:

Alors pour la liste host c'est une toutes autre histoire.
A la base cette liste est un fichier disponible sur tous les OS (unix et dérivé aussi ^^) qui permettait de faire un mini serveur DNS.
Aujourd'hui des gens "astucieux" ont détourné son utilisation principale pour faire rediriger les noms de domaines "dangereux" (à risque) sur l'ip 127.0.0.1 (votre PC).
Donc quand vous voulez joindre un site à risque vous êtes redirigé sur votre PC (erreur 404 dans la majorité des cas ^^).
Cette technique est très utile car évite pas mal de pub indésirable
De plus, si vous avez un spyware sur votre systeme qui veut envoyer des informations sur une IP spécifique, ses infos ne font que "boucler" sur votre propre machine (rassurant si l'on parle de données bancaires non? )
Vous trouverez des listes pré-faites sur beaucoup de sites de sécurité informatique.

- Les logiciels de sécurité:

Nous passons à la phase logiciel du poste.
Avant même de commencer avec les antivirus firewall et autres le meilleur logiciel de sécurité est windows update.
En effet un système à jour comblant certaines failles de sécurité c'est plutot pas mal

- les antivirus.
Les antivirus, il en existe pour tous les goûts, l'important est que vous le compreniez (et non qu'il soit n°1 au hit parade).
Il en existe de nombreux gratuits et chacun se fera sa propre idée. il n'y en a pas de meilleur qu'un autre.

Il est important de n'avoir qu'un seul antivirus sur le PC (qui soit en mode résident du moins, vous pouvez avoir autant de scanners que vous voulez ^^) car sinon ces derniers entrent en conflit.

Utilisez donc une fois par mois un antivirus en ligne sur votre PC (au lieu d'un scan depuis votre antivirus installé) par routine

- les firewalls.
Rejoint la technique passive sur les services windows.
Un firewall vous permet de gérer votre trafic internet et de vous prévenir en cas d'attaque.
Il existe deux types de firewall, le firewall logiciel et le firewall matériel.
Ils fonctionnent tout deux de même manière (l'un est plus "puissant" que l'autre, il s'agit du firewall matériel (routeur)).
Il vous faut juste savoir que si vous avez un firewall matériel il est souvent inutile d'ajouter un firewall logiciel.
Encore une fois même remarque que pour les antivirus, prenez-en un que vous comprenez et pas forcément celui qui est 1er au hit parade.
Toujours la même remarque que pour les antivirus: pas besoin d'en mettre plusieurs, c'est souvent mauvais ...
Si je pouvais vous conseiller, je vous indiquerais comodo PRO firewall, gratuit, disponible en français, très simple avec des paramètres avancés pour ceux qui veulent (facultatif donc) et bougrement efficace ^^


- Les mythes légendaires:

- C'est la faute à windaube
J'entends souvent beaucoup de gens dire: "windaube c'est de la merde, c'est lui qui est mal codé et c'est moi qui me prends des virus".
Windows n'est pas un mauvais OS, il a certes des failles tout comme les autres OS mais sa place de monopole fait que les "pirates" préfèrent rechercher des failles sur cet OS plutôt que sur un plus "petit" (par le nombre d'utilisateur j'entends).
Dire que windows est mauvais peut s'appliquer au niveau des techniques marketing, du commercial, du juridique et bien d'autres mais certainement pas au niveau produits finis (en tout cas pour windows XP).

- Les HOAXs
Qui n'a jamais reçu un email disant que msn va devenir payant si l'on n'envoit pas le message à 12.4 contacts?
L'internet est une source gigantesque d'information mais ce n'est pas une raison pour tout croire sans rien vérifier.
Un esprit critique fera toujours la différence entre un "bon" internaute et les autres.
Pour tous les HOAXs je ne saurais que vous conseiller la plateforme française hoaxbuster pour faire des verifications
Ce site est édifiant. Saviez-vous que les dinosaures bleus ne sortent pas de l'écran pour manger toute notre famille quand on ne participe pas à un mailbombing collectif?
Mieux, il existe une fille de 7 ans qui a le cancer et qu'AOL soutient à raison de 3 cents l'email, le seul problème est que notre triste amie à 7 ans depuis 10 ans déjà.
bref, vous l'aurez compris: méfiance, méfiance ...

- Pour finir:
La lecture est la base de tout en informatique. Ainsi si vous prenez le temps de bien lire quelques chose, vous pouvez apercevoir des subtilités qui peuvent jouer dans le maintien de votre systeme.
Il est strictement interdit de confier la sécurité de son ordinateur à un logiciel (même plusieurs ^^), elle ne depend que de son administrateur et de personne d'autre.
Google est notre meilleur ami, c'est vrai en programmation mais en sécurité informatique aussi.
Le payant n'est pas toujours le meilleur
Le mieux est l'ennemi du bien :-)

Ce poste ne parle pas de "quoi faire quand on est infecté" car il se peut que l'arsenal soit bien plus gros que cette base.
En cas d'infection, je ne peux que vous conseiller de vous retourner sur un forum ou des helpeurs vous aideront si vous ne savez que faire ...
Je n'ai pas non plus parlé des nettoyeurs de registre et autre nettoyages de primtemps mais ça pourrait être à l'origine d'un autre post si celui-ci plaît.

Je précise ne pas avoir donné de lien direct et conseillé des recherches Google sur certains points dans le seul but de ne pas faire de pub.
Si quelqu'un n'arrive pas à trouver un point sur Google (ce qui serait étonnant) vous pouvez me MP, je vous donnerai des liens sans aucun soucis :-)

Dans l'attente de vos réactions et autres,
amicalement, Sloshy

[Louis-Guillaume Morand]

c'est un post-it, pas un débat. désolé mais j'aimerai que ce post contienne des informations neutres, pas vos avis persos. Il y a des threads pour cela.

Celui qui continuera à poster n'importe quoi à la suite subira mon courroux

[Katyucha]

Allez, si tu veux l'avancer un peu , voici ma critique :

Les antivirus, peut etre expliquer, ce qu'est une base virale... Et donc pourquoi il est important de la mettre a jour
Les scans de mail ...Etc

Pareil au niveau firewall, expliquez comment bien régler un firewall.

On a beau dire mais ils sont tous pareil de nos jours. Tu lances un truc, le machin t'averti, tu fais : "Oh oui, laisse passer wow!" ou "Oh non, c'est beurk ce programme"

Et puis, le truc sur windows, on s'en fout un peu et ca fait pas très pro et ca nourrit les trolls ... et c'est un linuxien/unixien qui te le dit.

Donc oui, c'est super interessant et bien fait mais il faut l'appronfondir.

[sloshy]

Bonjour et merci de vos réponses.
Après une longue absence sans PC et sans connection, je refais surface Je n'ai pas parlé des antispywares simplement parcequ'ils ne sécurisé pas un système.
En effet, un antispyware permet de virer les spywares présent sur le système, mon poste se veut prévenant et non guérissant.
Je n'explique pas comment configurer un AV et un firewall (ni aucun autre logiciel) simplement pcq les méthodes peuvent differée d'un logiciel à un autre, même si le principe de base reste souvent le même (pour les firewall du moins).
Je pourrais parler des HIDS et autre effectivem ent, mais je pense que sur un poste je ne saurais parler que du principe, je pense que c'est ce que je vais faire dans un avenir proche, refaire plus en prodonfeur la partie software en expliquant les principes et en accentuant des liens pour de meilleur configuration.

Pour la notion sous forum windows, je ne connais pas très bien devellopez et ses membres, mais dans beaucoup d'autre endroit c'est presque indispensable. (plus c'est un gros board plus c'est difficile à gerer).

Merci encore une fois pour vos informations qui m'aideront à ameliorer ce papier
amicalement, sloshy

[Manumation]

Bonjour à tous,

Ton Post porte bien son nom "l'abc de la sécurité", car il survole les passages les plus importants sans entrer dans les détails...

Je suis étonné que tu ne parles même pas des dangers liés aux chevaux de Troie, et surtout au social engineering qui est je pense primordiale...

Autrement c'est un post bien utile pour quiconque veut commencer à se protéger...

[sayce]

Salut A Vous

Je sais pas si c'est fait exprès dans un soucis de résumé mais le fait de tenir A Jour son :

OS
Navigateur
et ses add-on ( Java Adobe et Flash) et PLUS que importants car énorméments d'infection utilise les Failles de sécurités des PC pour se les infecter

Le Danger Des Failles De Sécurité

Cordialement

sayce

[jacqueline]

Bonjour.

Une des portes d'entrée des rootkits est le Hotplug ou Plug and Play, quel que soit l' OS..

L'exemple le plus célèbre et récent c'est Stuxnet, qui visait WinCC de Siemens dans la centrale nucléaire irakienne. Un poste mal surveillé a été infecté par une clé USB.

Haking 9 a publié une technique équivalente avec le Firewire et un iPod traffiqué, pour faire un dump mémoire en qq minutes, pour ensuite y découvrir les clés de cryptage..

Logiquement dans une entreprise, où il passe beaucoup de monde, les postes devraient avoir le firewire et l' USB désactivé..

Les stakhanovistes les bouchent à l'araldite.

Mais lorsque je cherchais des infos sur Stuxnet, j'ai découvert un blog où on parlait de la sécurisation du hotplug sous Windows.

C'est utile sur un portable, qu 'on emmène en réunion et qu 'on peut abandonner quelques instants : le temps d'aller aux toilettes ( c'est rare qu 'on l'emmène ), ça suffit pour lui faire avaler un rootkit, qui sera très difficile à détecter.

( Stuxnet ils en ont découvert après, qui dataient depuis plus d'un an ) les antivirus ne sont mis à jour que bien plus tard : il faut déjà avoir découvert le rootkit.

Ce n'est pas suffisant d'utilser un chasseur de rootkit, car les devloppeurs de rootkits ont intgéré l'existence de ces outils de détection et et connaissent les méthodes de détection, aussi ils se cachent, ils se recyptent différemment à chaque tour , aucune analyse de code est possible. o

On ne peut les détecter que par une analyse de fonctionnement du sytème. c'est du niveau expert, il y a des outils mais ils sortent plein de faux positifs.. On s'oriente vers le développement de tels "virus".

La protection puis qu'on ne sait pas bien les détecter est de les empêcher d'entrer.

Je ne connais pas assez bien Windows, pour avoir bien mémorisé en détail le principe de cette sécurisation du hotplug ( sans désactiver l' USB , c'est trop contraignant ).

Mais je pense que ce serait un sujet intéressant à traiter dans votre rubrique sécurité.

Normalement Windows depuis Vista utilise une signature des periphs, mais la clé USB qui a servi a installer Stuxnet avait été trafiquée et signait Realtek , ce qui lui a permis de charger un module driver : un rootkit. ( source sure : Siemens )

J'ai de la chance j'ai pu retouver assez vite le site de sécurisation de l'USB avec Google :

http://forum.zebulon.fr/securisation-des-windows-face-aux-menaces-des-peripheriques-amovi-b284-entry717.html

Je n'ai pas encore eu le temps de le relire, mais je vous donne le lien

Ci dessous le document complet en PDF

http://forum.zebulon.fr/post-a1437-guide-de-securisation-windows-face-menaces-supports-amoviblespdf.html.

PS : je vois que le post date un peu ( 2007 ) , peut être faudrait il créer un topic pour le mettre plus en évidence, si vous trouvez ce sujet digne d'interet.

[tigzy]

Citation:

Ce n'est pas suffisant d'utilser un chasseur de rootkit, car les devloppeurs de rootkits ont intgéré l'existence de ces outils de détection et et connaissent les méthodes de détection, aussi ils se cachent, ils se recyptent différemment à chaque tour , aucune analyse de code est possible. o

Mhhh... En général la détection de RK ne se fait pas sur des signatures, mais plutôt sur des diffs entre appel directs et indirect aux API.
Le diff montre les fichiers / clé de registre caché(s)

après pour ce qui est des RK MBR, c'est une autre histoire, mais globalement sauf nouvelles technos de rootkit jamais vues à ce jour , on a fait vite le tour.