Discussion :

[Glev_67]

Bonjour à tous,

Je suis en stage fin d'étude, et je vous explique succintement mon sujet.. Une personne extérieure à mon entreprise a appelé par téléphone un employé de la boîte en se faisant passer lui même pour un informaticien du siège social. Il lui a donné une url à ouvrir sur un navigateur web, l'employé s'est éxécuté. Sauf que le lien validait une prise de contrôle à distance ! Aussi le pirate a eu le temps de faire quelques captures d'écran de ce qu'il voyait.

Je suis parti en premier lieu sur une sandbox, mais je doute qu'elle soit efficace contre ce genre de problème.. En gros il faudrait un sytème pour bloquer l'éxécution d'un tel programme ou sinon en limiter la portée..

Voilà je suis un peu bloqué. Si vous avez des idées, n'hesitez pas !

[Glev_67]

Je vais préciser ce que je demande avec ces problématiques :
- Une sandbox peut elle empêcher la prise de contrôle à distance ? (puisqu'aucun programme ne pourrait s'installer sur le système)
- Comment créer une "enveloppe" autour du navigateur étanche par rapport au système ? Qqun ne doit pas pouvoir installer un programme sur son système à partir d'un navigateur.

[ram-0000]

Voilà je suis un peu bloqué. Si vous avez des idées, n'hesitez pas !

Éduquer les utilisateurs !

Leur apprendre à ne pas cliquer sur n'importe quoi, une formation/présentation sur le social engineering.

Toute solution technique que tu mettras en place, si elle n'est pas accompagnée d'une formation aux utilisateurs ne sera pas efficace à 100%.

[Jipété]

Salut,

(...) - Une sandbox peut elle empêcher la prise de contrôle à distance ? (puisqu'aucun programme ne pourrait s'installer sur le système) (...)

Me semble avoir lu qu'il existait des failles permettant de s'échapper d'une sandbox

[fredoche]

un firewall en bloquant certains ports (3389 TCP pour windows RDP) pour certaines ips, genre tout ce qui vient de l'extérieur, ou tout ce qui n'est pas support ?

C'est sur windows avec le bureau à distance ?

Tu as des outils IDS/IPS comme Snort qui doivent pouvoir remplir ce rôle

[Glev_67]

Bonjour et merci pour vos messages

un firewall en bloquant certains ports (3389 TCP pour windows RDP) pour certaines ips, genre tout ce qui vient de l'extérieur, ou tout ce qui n'est pas support ?

Le support doit pouvoir continuer de prendre le contrôle des postes à distance. Donc je ne sais pas si bloquer des ports est une solution, mais je ne m'y connais pas plus que ça en firewall.

-------------------------------------------------------------------------
Depuis j'ai testé un match Sandboxie vs Teamviewer. Teamviewer étant seulement démarré, sans installation.

- En version graphique Sandboxie arrête totalement Teamviewer dans une session graphique. L'écran de contrôle à distance se fige chez le client, avec les messages suivants de Sandboxie sur l'écran de la machine hôte :
-> Blocage de la demande de changement de l'arrière-plan du bureau par processus "TeamViewer_Desktop.exe [DefaultBox]"
-> Simulation clavier ou souris bloquée par processus "TeamViewer_Desktop.exe [DefaultBox]"
DefaultBox étant le bac à sable par défaut de Sandboxie.

- En revanche Teamviewer en application "Transfert de fichier" a l'air beaucoup plus porreux.. Je suis en train de le tester et j'ai pu télécharger et uploader du contenu sur la machine hôte. Mais cela peut éventuellement se régler dans les options de Sandboxie, qui consacre beaucoup de réglages possible aux accès ressources.

[fredoche]

Le support doit pouvoir continuer de prendre le contrôle des postes à distance. Donc je ne sais pas si bloquer des ports est une solution, mais je ne m'y connais pas plus que ça en firewall.

-------------------------------------------------------------------------
Depuis j'ai testé un match Sandboxie vs Teamviewer. Teamviewer étant seulement démarré, sans installation.

il y a plein de solutions pour maintenir l'accès du support tout en bloquant le reste

teamviewer passe très bien les firewalls il me semble, notamment parce qu'il semble capable de communiquer sur les ports ouverts type http/https.

J'ouvre sans problème des sessions teamviewer chez des clients dont le réseau tient de la forteresse

[sneb5757]

Je suis d'accord avec la solution de ram-000. Ce sera la seule solution efficace pour ce genre de problème je pense. Une politique strict d'installation des logiciels peut faire l'affaire également. Mais à ton niveau, c'est difficile à mettre en place je pense c'est au niveau direction que cela se décide. Mais tu pourrais peut être en profiter pour faire quelque proposition organisationnelle de ce style.

Sinon, je contacterai un CSIRT aussi qui fait de la réponse sur incident. Au moins pour vous aider à déterminer si ces hackers ont toujours des portes ouvertes dans votre entreprise.

[Glev_67]

Je comprends bien pour la pédagogie. Je changerai éventuellement la procédure du support également.. Seulement voilà on me demande une solution technique

Je m'interesse en parralèlle à des solutions de virtualisation pour isolé la navigation web du système de l'utilisateur. Je suis dans le milieu bancaire et le leitmotiv est que rien ne doit filtrer du système interne..

D'où mon interrogation :
=> Dans le cadre d'un navigateur web (par exemple IE) streamé depuis un server distant (par exemple une solution XenApp), le système de l'utilisateur est-il "étanche" par rapports aux programmes qui peuvent être téléchargés volontairement (par exemple VLC) ou involontairement (activeX, malware, je ne sais quoi d'autres) ?

[sneb5757]

Normalement oui. Mais je suis pas expert. Mon truc c'est plutôt l'orga.

Mais comment ça se fait qu'un ordinateur a pu installer un logiciel de prise de contrôle à distance ? Ne faut il pas des droits administrateurs pour ça ?

[Glev_67]

Pour tout programme qui s'installe sur le système oui, il faut des droits d'admin.
Mais dans mon cas, avec un Teamviewer qui peut fonctionner sans installation, je ne vois pas de droit d'admin qui entre en jeu. Il n'y a qu'un .exe à lancer..

[Glev_67]

Bonjour,

J'ai fini de tester la solution de sandbox de Sandboxie, qui est convaincante et a l'air de bien fonctionner, mais je dois maintenant explorer d'autres pistes.
Je me penche maintenant sur la virtualisation d'application, en me posant la même question:
-> un Internet Explorer qui tourne à partir d'un client isole-t-il le système ?
-> un utilisateur qui utilise un navigateur streamé met-il son système à l'abri de téléchargement ou d'installation fortuite sur le net ?

Je ne suis pas un expert en virtualisation, si quelques uns de mes termes sont mal employés veuillez m'en excuser. J'attends vos avis avisés. Merci !