Auteur Sujet: WannaCry, ransomware qui a touché plus de 200 000 utilisateurs dans 150 pays  (Lu 10175 fois)

0 Membres et 1 Invité sur ce sujet

alain_p

  • Client Free fibre
  • *
  • Messages: 10 585
  • Delta S 10G-EPON sur Les Ulis (91)
c'est juste la faute des salopiauds qui mettent pas a jour leur OS ou qui les isolent pas (partage smb ouvert sur le Net) et qui se font attraper. Pour moi c'est du même niveau que de partir sans fermer sa porte a clé et ensuite venir pleurer.

Pour windows XP, impossible de le mettre à jour (avant). Bien sûr, ils ne devraient pas être sur un réseau, mais on sait tous ce qu'il en est, de systèmes qu'il serait trop coûteux d'upgrader.

En fait, ces machines ne sont pas sur Internet (peut-être des 2003 ?), mais si une machine se fait infecter par phishing sur un intranet, à cause de cette faille, elle peut infecter les autres machines non patchées sur cet intranet. Mais bon, là où je travaille, je n'ai pas eu de cas (pour l'instant ?).

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 802
  • 73
Non. Tout simplement car c'est illégal. Scanner à la recherche de failles, ça consiste in fine à rentrer dans un système automatisé de données sans autorisation.

Un hébergeur qui souhaite surveiller la présence de trafic SMB aura sûrement plus de raisons de partir sur une analyse passive avec une infrastructure de type pare-feu/IDS dont il dispose déjà que de le faire de façon active.

Un SYN sur un port SMB sans envoi de segments modifie certes une table d'état pour quelques secondes, mais constitue-elle dans l'esprit de quiconque une intrusion en quoi que ce soit tant qu'il n'y a pas d'opération d'accès, de lecture ou de réception des données d'authentification au sens protocolaire ?

pourquoi les gens parlent d'attaque exceptionnelle ? 150k machines touchées c'est peu vu le nombre de machines Windows dans le monde ...

À cause de pertes de données spontanées et importantes chez des acteurs clés de l'économie et des opérateurs d'infrastructures critiques sans doute.

miky01

  • Expert. Réseau RESO-LIAin (01)
  • Client K-Net
  • *
  • Messages: 3 895
  • Farges (01)
News securite
« Réponse #26 le: 18 mai 2017 à 08:36:07 »

Si on prend le cas Renault, il me semble qu'une personne à ouvert une pièce jointe. Là où avant seul son poste serait infecté, l'utilisation de la faille trouvée par la NSA permet d'infecter tout ce qui est sur le réseau d'entreprise, notamment les robots dans les usines.

J'ai par contre un peu de mal à comprendre que le réseau bureautique et le réseau de production soient interconnectés directement sans firewall. C'est deux types de réseau différents, il semble logique qu'ils ne soient pas interconnecté entre eux directement et que chaque flux nécessaire entre les deux réseaux passe soit par une machine de rebond (connectés aux deux réseaux), soit par un firewall avec ouverture des flux avec IP source / destination / port destination spécifiés.


Tout a fait d'accord avec toi, j'ai déja vu ce genre de conneries dans des grosses entreprises, meme d'Etat, ou le concierge avec son PC se trouvait sur le meme Vlan que la console de management des systèmes, la prod, le dev,  la gestion des panneaux afficheurs LED de la ville, etc...

C'est une abération totale et une infa concue par des ingénieurs incompétent, si c'est le cas chez Renalut, ca fait peur,

A l'autre extreme j'ai bossé pour des multinationales et des banques ou tu as une 30 ene de firewall et tout est isolé, comme le remote acceess des employée, les partenaires, la prod, la dev, la burotique, les machines automatisés, la telephonie, etc.


Optix

  • AS41114 - Expert OrneTHD
  • Client Orne THD
  • *
  • Messages: 2 227
  • Strasbourg (67)
    • OrneTHD
Un hébergeur qui souhaite surveiller la présence de trafic SMB aura sûrement plus de raisons de partir sur une analyse passive avec une infrastructure de type pare-feu/IDS dont il dispose déjà que de le faire de façon active.

Un SYN sur un port SMB sans envoi de segments modifie certes une table d'état pour quelques secondes, mais constitue-elle dans l'esprit de quiconque une intrusion en quoi que ce soit tant qu'il n'y a pas d'opération d'accès, de lecture ou de réception des données d'authentification au sens protocolaire ?

Théoriquement je suis d'acc ord avec toi, mais d'expérience, un juge t'enverra chier si tu tentes de le perdre dans des explications comme celles-ci et de mémoire il y a une jurisprudence à ce sujet qui dit qu'en gros, le fait de scanner des machines dont tu n'as pas l'usufruit (ex, OVH est propriétaire des bécanes, toi locataire, donc OVH ne devrait pas scanner les bécanes que tu loues) c'est rentrer dans un SATD et vu la masse bon courage pour verser toutes les autorisations (à moins que cela soit autorisé dès que tu loues, possible aussi).

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 802
  • 73
il y a une jurisprudence à ce sujet qui dit qu'en gros, le fait de scanner des machines dont tu n'as pas l'usufruit (ex, OVH est propriétaire des bécanes, toi locataire, donc OVH ne devrait pas scanner les bécanes que tu loues) c'est rentrer dans un SATD

Les deux ressources de synthèse sur le sujet qui ressortent pour "jurisprudence nmap" sur Google avancent le contraire ((1) (2)). Je n'ai pas connaissance de la jurisprudence que tu mentionnerais.

Optix

  • AS41114 - Expert OrneTHD
  • Client Orne THD
  • *
  • Messages: 2 227
  • Strasbourg (67)
    • OrneTHD
Les deux ressources de synthèse sur le sujet qui ressortent pour "jurisprudence nmap" sur Google avancent le contraire ((1) (2)). Je n'ai pas connaissance de la jurisprudence que tu mentionnerais.
Bah c'est normal que tu ne trouves pas, je ne parle pas de scan de "ports", je parle vraiment de scans de vulnérabilité, c'est tout à fait différent, car tu mets un pied dans l'élèment intentionnel.

Un scan de port regarde s'il peut se connecter ou non, sans aller plus loin. Un scan de vulnérabilité va plus loin et exécute des commandes précises sur la bécane en face pour tester une faille pour te dire s'il arrive à aller en root ou non.

Un scan de port te dit si le port SMB répond. Un scan de vulnérabilité te dit s'il a réussi à exécuter du code via ce port. Là est la nuance.

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 607
  • La Madeleine (59)
News securite
« Réponse #30 le: 18 mai 2017 à 11:37:35 »
Pour eux oui, mais les botnets aussi.

Il y a des logiciels légitimes qui nécessitent un port ouvert, et d'autres, illégitimes, aussi. Notamment ceux qui attendent des ordres d'un botnet.
Clairement pas, faut pas prendre les gens pour des débiles non plus

Optix

  • AS41114 - Expert OrneTHD
  • Client Orne THD
  • *
  • Messages: 2 227
  • Strasbourg (67)
    • OrneTHD
News securite
« Réponse #31 le: 18 mai 2017 à 14:46:00 »
Clairement pas, faut pas prendre les gens pour des débiles non plus

Je n'ai pas dit que je prenais les gens pour des débiles.

Tu as 2 solutions pour qu'une machine infectée écoute les ordres envoyés : soit tu ouvres un port auto (ça prend 10 lignes de code), soit tu polles l'extérieur régulièrement (plus lourd à coder&gérer, donc penser à aussi filtrer l'output).

Forcèment, si les gens leur facilitent la tâche, tu en tireras ta propre conclusion :)

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 607
  • La Madeleine (59)
News securite
« Réponse #32 le: 18 mai 2017 à 14:52:14 »
Tu as 2 solutions pour qu'une machine infectée écoute les ordres envoyés : soit tu ouvres un port auto (ça prend 10 lignes de code), soit tu polles l'extérieur régulièrement (plus lourd à coder&gérer, donc penser à aussi filtrer l'output).

Forcèment, si les gens leur facilitent la tâche, tu en tireras ta propre conclusion :)

Ben heu, tu as aussi la solution qu'utilisent 99% des machines depuis que la communication point à point n'est plus garanti sur internet : le client (PC) ne fait tourner que du code client (pas daemon)

J'pense pas qu'il existe encore des gens, en 2017, qui scan des milliards d'IPv4 dans l'espoir de tomber, par chance, sur un hôte infecté.

Optix

  • AS41114 - Expert OrneTHD
  • Client Orne THD
  • *
  • Messages: 2 227
  • Strasbourg (67)
    • OrneTHD
News securite
« Réponse #33 le: 18 mai 2017 à 16:36:45 »
J'pense pas qu'il existe encore des gens, en 2017, qui scan des milliards d'IPv4 dans l'espoir de tomber, par chance, sur un hôte infecté.

Laisse un serveur avec une IP publique et revient qq jours plus tard : dans tes logs tu en verras plein qui tentent du "w00tw00t" sur ton ssh/http/telnet/vnc & cie :)

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 607
  • La Madeleine (59)
Ha excuse moi, j'pensais qu'on parlait des hôtes infectés;

Optix

  • AS41114 - Expert OrneTHD
  • Client Orne THD
  • *
  • Messages: 2 227
  • Strasbourg (67)
    • OrneTHD
Ha excuse moi, j'pensais qu'on parlait des hôtes infectés;
Bah la liste des hôtes infectés est connue du botnet, il n'y a pas besoin de scanner. Comment tu veux envoyer tes ordres si tu connais pas même ton parc ? :p

 

Mobile View