Discussion :

[cs_ntd]

Impressionant cette video

Je savais que ça existait, mais je n'avais jamais vu a l'oeuvre... Très rapide, très facile...

Sinon pour s'en protéger, faut faire son navigateur perso

[MadScratchy]

Impressionant cette video

Je savais que ça existait, mais je n'avais jamais vu a l'oeuvre... Très rapide, très facile...

Sinon pour s'en protéger, faut faire son navigateur perso

Ou alors il faut utiliser un ordinateur virtuel pour surfer sur des sites qu'on ne connait pas : VirtualBox et une distribution Linux (ou Windows selon les besoins), je surfe ou je teste des programmes, et à la fin j'arrête la machine virtuelle qui reviendra à son état initial. C'est ce que j'ai trouvé de mieux pour le moment.

[salif98]

Toujours le fameux argument "parce Linux n'est pas massivement utilisé..."

Linux occupe la premiere place dans le monde des serveurs, et ces serveurs gere , dans la plus part des cas des centaines/milliers de post sous windows.
Analysons-on un peu: Si je developpe des Virus et que je souhaite attaquer le maximum de personne(ce qui le but des virus en general) , qu'est ce que je fait ? je prends le controle du serveur(linux) afin de faire ce que je veux sur les machines gerées par ce serveur ou alors je m'attaque individuellement aux machines qui y sont connectées?

Moi je choisirais la solution la plus facile.

et aussi pourquoi s'attaquer à un systeme qui corrigerait la faille une semaine voir quelque jours voir quelque heures plus tard ?

le plus important dans un systeme GNU/Linux n'est pas de trouver une faille, mais de pouvoir l'exploiter dans le temps limité, car meme linux a des failles , mais seulement qui ne sont pas si facilement exploitable... l'argument du nombre d'utulisateurs ne tient donc pas la route car il suffit de s'attaquer à un serveur (linux) pour prendre le controle de tout un parc informatique ...

[Invité]

Linux occupe la première place dans le monde des serveurs, et ces serveurs gèrent , dans la plus part des cas des centaines/milliers de post sous windows.
Analysons-on un peu: Si je developpe des Virus et que je souhaite attaquer le maximum de personne(ce qui le but des virus en general) , qu'est ce que je fait ? je prends le contrôle du serveur(linux) afin de faire ce que je veux sur les machines gérées par ce serveur ou alors je m'attaque individuellement aux machines qui y sont connectées?

Derrière un serveur il y a des administrateurs et quelque soit l'OS (windows, linux, freeBSD...), l'administrateur a une politique de sécurité (réduction de la surface d'attaque, étude de log,...) un serveur qui se met à spammer ce voit TRÈS vite.
Et un serveur corrompu faut réinstaller, un administrateur ne devrait pas avoir d'hésitation!
Et j'ai vu des attaques sur des linux donc...
Moralité il est plus facile d'attaquer les pc personnel (ou professionnel sur des machines allumées 24/24 sans mesures de sécurité) sous Windows que des serveurs.

le plus important dans un systeme GNU/Linux n'est pas de trouver une faille, mais de pouvoir l'exploiter dans le temps limité, car même linux a des failles , mais seulement qui ne sont pas si facilement exploitable... l'argument du nombre d'utilisateurs ne tient donc pas la route car il suffit de s'attaquer à un serveur (linux) pour prendre le contrôle de tout un parc informatique ...

Bof c'est possible si ça vaut le coup (pour des botnet, span surement pas*), par contre Mac OSX et Ubuntu (et le futur Google OS) seront attaqués à terme car les virus cherchent les codes des cartes bleus beaucoup plus rentable, là encore c'est le niveau de sécurité inférieur des ordinateurs de bureau/personnel qui en font des cibles privilégiées ...
SSH, OpenSSL ont eu des failles dans le passé, mais l'utilisateur lambda ne s'en sert pas sur une machine personnelle.

* par contre pour les réseaux pédophiles et autres du même genre, je suis d'accord qu'ils attaquent des serveurs

[Invité]

Toujours obligé de transformer n'importe quel news sur la sécu en combat Windows/Mac/Unix ? C'est vraiment intéressant.

[sevyc64]

Linux occupe la premiere place dans le monde des serveurs, et ces serveurs gere , dans la plus part des cas des centaines/milliers de post sous windows.
Analysons-on un peu: Si je developpe des Virus et que je souhaite attaquer le maximum de personne(ce qui le but des virus en general) , qu'est ce que je fait ? je prends le controle du serveur(linux) afin de faire ce que je veux sur les machines gerées par ce serveur ou alors je m'attaque individuellement aux machines qui y sont connectées?

Derrière un serveur il y a des administrateurs et quelque soit l'OS (windows, linux, freeBSD...), l'administrateur a une politique de sécurité

La première étant qu'un serveur ne devrait jamais être directement accessible depuis internet et ne devrait pas, non plus pouvoir acceder directement à internet, sauf connections sécurisées et sites dûment validés par l'administrateur

Et les serveurs hébergeant des sites web (et par définition connecté à internet) ne devrait jamais se trouver sur le même réseau physique que les autres serveurs de l'entreprise.


Et de toute façon, ce n'est pas les serveurs qui intéressent la grosse majorité des virus, mais des postes clients ou personnels. C'est avant tout des données personnelles qui sont recherchées par les virus

[kaymak]

J'aimerais bien connaitre la taille du virus quand même

C'est très anecdotique comme information aujourd'hui.
Les concepteur de virus ont désormais suffisamment d'expérience pour segmenter l'attaque en plusieurs phases.

1/ détection des failles
2/ exploitation
3/ intrusion et manipulation du système

Chaque phase conditionne la suivante. Cela permet d'avoir des charges virales très concises, tout en permettant en plus une plus grande capacité d'action.

En effet si suite à l'étape 1, le virus détecte que le poste tourne sous mac, avec une faille dans ssl.
La phase deux n'aura qu'à charger un exploit à ce sujet, pour cet environnement.

Cela permet de faire des points de d'attaques centralisés et standardisés avec un nombre de succès important.
C'est d'autant plus important que nombre de faille sont aujourd'hui réalisé à travers de logiciel tiers disponible sur la majeur partie des OS.
Bref c'est une logique d'attaque qui est devenu nécessaire, avant même d'être devenu un standard pour la beauté du virus.

Les connexions internet d'aujourd'hui ne sont d'ailleurs plus les mêmes qu'il y à 5 ans seulement et c'est là un facteur très important.
De plus avec la hyper connectivité des équipements il y à de plus en plus de failles exploitable on line.
Il y à 10 ans les vecteur d'infections étaient des clefs usb, des disquettes ou encore des cds. Bref des espaces de stockages, parfois très très restreint.
Maintenant on utilise des lignes adsl avec 1mo/s disponible en download...

le plus important dans un systeme GNU/Linux n'est pas de trouver une faille, mais de pouvoir l'exploiter dans le temps limité, car meme linux a des failles , mais seulement qui ne sont pas si facilement exploitable...

On pourrait aussi dire que les systèmes *nix ont peut être un meilleur taux de recouvrement des failles sur l'ensemble de leurs parcs logiciels installés, toutes versions confondues, à contrario de nombre d'installations de windows qui ne sont pas mises à jour, et qui donc laisse traîner des failles viellent de l'an 2.
Peut importe ici que la faute incombe à l'utilisateur ou au fournisseur de logiciel.

Analysons-on un peu: Si je developpe des Virus et que je souhaite attaquer le maximum de personne(ce qui le but des virus en general) , qu'est ce que je fait ? je prends le controle du serveur(linux) afin de faire ce que je veux sur les machines gerées par ce serveur ou alors je m'attaque individuellement aux machines qui y sont connectées?

Encore faut il connaitre et être capable d'exploiter ces outils.
Ce n'est pas le cas, espérons le, de la majeur partie des exploitants de virus.

et aussi pourquoi s'attaquer à un systeme qui corrigerait la faille une semaine voir quelque jours voir quelque heures plus tard ?

La question est plutôt, comment infecté ce serveur dans le laps de temps disponible.
Sachant que ce serveur ne surfe pas sur le net, utilise des connections clairement identifiées et analysées, qu'en général les transfert sont fait en push, et non en get.
Partant de là, c'est plus compliqué de l'infecté si la faille ne concerne pas une implémentation de protocole en entrée défectueuse.

Et tant bien même, il faudrait encore trouver la cible, dans un laps de temps restreint encore une fois. Hors cette opération nécessite de scanner des dizaines, des centaines, voir des milliers machines au hasard. Ce qui demande du temps que l'attaquant ne possède pas dans ce cas de figure.

a plus

[pi-2r]

pour info, les OS comme Linux ou Mac sont pour leur par, eux aussi ciblé et infecté par les pirates. Faut pas se leurrer
De plus,si je me souviens bien (article écrit par un expert Russe) ces 2 OS sont le plus sensible aux rootkits que Windows....

[kaymak]

Je rajouterais un point concernant l'attaque des serveurs *nux.

Ce qui n'est pas encore, ou trop peu, arrivé jusqu'à lors c'est la prise en otage d'un ordinateur.

La grande majorité des serveurs *nux sont aujourd'hui exploités pour des serveurs webs, grâce à apache/mysql/php et d'autres belles réalisations comme ruby ou python.

Hors que faisons nous tourné sur ce genre de services ?
Des forums certes, des blogs aussi, mais surtout des sites de commerces.

Imaginons maintenant un commerçant sans trop de moyen, un joli site internet, hébergé sur son serveur web.
Le risque pour cette personne est de ce faire attaquer et de recevoir un message lui indiquant clairement de verser xx euros sur un compte bancaire, sous peine de quoi le service sera suspendu, intégralement détruit, ces données volées pour être revendu.

Le commerçant n'aura pas d'autres choix que de comparer le coup d'indisponibilité + de rétablissement des services pour évincer le hacker Vs la somme de la rançon.
Bien jauger la somme de la rançon permettra surement de faire racker plus d'un commerçant.....

Ce n'est qu'une idée des plaisirs qu'ils nous réservent ...

a plus

[Invité]

Ce que tu dis là arrive déjà? Pas trop en France mais à l'étranger...
Tu sais un stagiaire qui part avec un mot de passe de BDD d'une appli, ça peut aider beaucoup cette mafia informatique.

En effet si suite à l'étape 1, le virus détecte que le poste tourne sous mac, avec une faille dans ssl.
La phase deux n'aura qu'à charger un exploit à ce sujet, pour cet environnement.

Cela permet de faire des points de d'attaques centralisés et standardisés avec un nombre de succès important.
C'est d'autant plus important que nombre de faille sont aujourd'hui réalisé à travers de logiciel tiers disponible sur la majeur partie des OS.
Bref c'est une logique d'attaque qui est devenu nécessaire, avant même d'être devenu un standard pour la beauté du virus.

L'utilisation de Firefox (et demain de Chrome) réputés plus sur semble être exploité par
ce virus première marche vers des virus multi os.

La question est plutôt, comment infecté ce serveur dans le laps de temps disponible.
Sachant que ce serveur ne surfe pas sur le net, utilise des connections clairement identifiées et analysées, qu'en général les transfert sont fait en push, et non en get.
Partant de là, c'est plus compliqué de l'infecté si la faille ne concerne pas une implémentation de protocole en entrée défectueuse.

Hélas beaucoup de serveurs ne sont pas à jour/ont des logiciels pas à jour et souvent les deux.
J'en ai vu faire une attaque brute force en ssh sur un de nos serveurs en partant du leur! Mais un administrateur m'avait parlé de serveurs, il y a quatre ans qui tombaient en une nuit les assaillants ne voulaient pas prendre le contrôle mais détruire, cela avait les moyens.

[kimz]

Imaginons maintenant un commerçant sans trop de moyen, un joli site internet, hébergé sur son serveur web.
Le risque pour cette personne est de ce faire attaquer et de recevoir un message lui indiquant clairement de verser xx euros sur un compte bancaire, sous peine de quoi le service sera suspendu, intégralement détruit, ces données volées pour être revendu.

ça arrive déjà malheureusement, en plus ces commerçants ne sont souvent pas des pro IT alors pour gérer un serveur *nix qui hébergent leurs sites web c'est pas évident

[cs_ntd]

Ou alors il faut utiliser un ordinateur virtuel pour surfer sur des sites qu'on ne connait pas

Tout a fait

Sauf qu'au final ce n'est pas très pratique. Mais à quand un navigateur avec un mode 'Sandbox' ? On a déjà la navigation privée, on pourrait imaginer la navigation 'Sandbox'.

Je ne sais pas si ça peut le faire faire avec VMWare ThinApp par exemple, mais il y a un mode qui permet d'isoler totalement l'appli du système réel je crois... faut voir ce que ça donne face à un virus de ce genre...

[sevyc64]

Mais à quand a navigateur avec un mode 'Sandbox'

Ben, il suffit de lancer le navigateur dans une sandbox.
Perso j'utilise Sandboxie

[Invité]

Tout a fait
Sauf qu'au final ce n'est pas très pratique. Mais à quand un navigateur avec un mode 'Sandbox' ? On a déjà la navigation privée, on pourrait imaginer la navigation 'Sandbox'.

Je ne sais pas si ça peut le faire faire avec VMWare ThinApp par exemple, mais il y a un mode qui permet d'isoler totalement l'appli du système réel je crois... faut voir ce que ça donne face à un virus de ce genre...

Mais il y a des virus qui attaque l'hôte de la VM

[Stéphane le calme]

Le code source du malware ultrasophistiqué Carberp disponible en téléchargement,
un bazooka entre les mains d'apprentis développeurs pour un expert

Mise à jour du 02/07/2013

Le code source de « Carberp », le kit de création de botnet qui a été utilisé pour dérober près de 250 millions de dollars aux banques, a été mis en vente en ligne dans plusieurs forums de cybercriminels pour près de 40 000 dollars la licence.

Désormais, il est disponible gratuitement en ligne. Des archives atteignant les deux gigabytes que les experts de par le monde se sont empressés d’étudier en prévision des prochaines attaques de malwares sophistiqués qui pourraient s’en inspirer.

Carberp est une arme puissante qui offre aux attaquants la possibilité de voler une quantité de données sensibles importante des dispositifs affectés. Il possède également une série de plugins qui permettent de neutraliser à la fois des antivirus et des malwares sur une machine. Des nouvelles versions du Trojan comprennent également un bootkit, une série de fonctions qui infectent les ordinateurs depuis leur séquence de boot.

« Il ne faudrait pas être un génie pour obtenir une copie de ce code source ce qui rend tout ça dangereux » remarque Christopher Elisan, chercheur en malware pour le compte du département FirstWatch de RSA. Toutefois il ajoute que « tout apprenti développeur qui ne comprend pas forcément cette technologie peut l’utiliser et cela entraînera d’affreuses conséquences. C’est comme donner un bazooka à un enfant ».

Source : RSA

Et vous ?

Qu'en pensez-vous?

[Hotgeart]

Où qu'il est le zip ? Areuh

[transgohan]

- Le virus manipule les sources html de ton navigateur pour que lorsque tu valides ton action celle ci soit redirigée.

c'est malheureux, mais c'est comme ça, même en faisant attention on se fait berner : /

Personnellement je n'avais pas encore eu vent de cette méthode d'injection HTML, et je la trouve assez flippante pour un utilisateur lambda.

Sous firefox avec Ghostery tu peux détecter ce fonctionnement.
Il désactive les redirections abusives, et donc stoppera la redirection (la seconde redirection donc) vers la banque. Le mal sera fait mais au moins on le voit.

Dans tous les cas ça fait un peu peur de voir un virus de cet envergure disponible à tout un chacun...

[pmithrandir]

merci pour la vidéo, très interessante

[benymypony]

Une partie de cette saloperie est en Russe.
Que voulez-vous qu'on y fasse ?



Beny

[azstar]

Ce sont des virus crées par des genrs normaux (des génies ) ,il faut voir ce que fait les pays alors ; Exemple : PRISM (USA)