La Fibre
Hébergeurs et opérateurs pro / entreprises => Hébergeurs et opérateurs pro / entreprises => 
Ikoula => Discussion démarrée par: ikoula le 17 mai 2017 à 12:39:54
-
WannaCry, comment se prémunir ?
Wannacry ou Wannacrypt est le dernier ransomware qui a récemment touché plus de 200 000 utilisateurs dans 150 pays.
(https://lafibre.info/testdebit/windows8/201705_wannacry.png)
Un "ransomware" ou ("rançongiciel" en français) est un logiciel malveillant qui va chiffrer l'ensemble ou une partie des données d'un disque dur en demandant une rançon pour débloquer ces dites données. Le procédé existe depuis plusieurs années mais celui qui a touché le monde le weekend dernier fut particulièrement efficace.
Pour les victimes, plusieurs choix se présentent.
1. Il est fortement recommandé de ne jamais payer la somme demandée par les pirates puisque rien ne vous assure que vous aurez les clés de décryptage en contrepartie. De plus, vos données de paiement peuvent elles mêmes être piratées.
2. Il est également possible de reformater entièrement sa machine, sous condition de perdre l'intégralité de ses données (voilà pourquoi il est indispensable d'avoir des back-up)
3. La meilleure solution reste de contacter son DSI (directeur des systèmes d'information) qui est le mieux placé pour gérer ce genre de situation. Après plusieurs jours ou semaines d'existence, un ransomware sera inefficace car sa clé de déchiffrement sera connue, cependant, selon la récence du logiciel, le déchiffrement peut s'avérer plus ou moins compliqué.
Comme il vaut mieux prévenir que guérir, il faut surtout être attentif à ce que l'on peut faire pour éviter ce genre de désagrèment. Premièrement, on ne le répétera jamais assez, il est indispensable de mettre à jour ses outils. Assurez vous que Window Update est bien paramétré sur toutes les machines.
Ne négligez surtout pas votre navigateur web qui doit impérativement être lui aussi à jour ainsi que tous les plug-in associés (Adobe Flash Player, Java...). Ensuite, et particulièrement lorsque vous payez en ligne, privilégiez les sites protégés. Recherchez des sécurités type certificats SSL (http - https), green bar ou cadenas.
Enfin, lorsqu'il s'agit de votre boîte e-mail, vous pouvez choisir de filtrer la réception de certains types de fichiers (pièce-jointes, images).
Ces problématiques touchent bien évidemment les hébergeurs, Ikoula n'a pour le moment aucunement été touché par WannaCry. Cela est notamment dû aux mesures de sécurité prises en amont. En effet la première sécurité est avant tout physique, les DataCenters sont donc des lieux hautement sécurisés.
Pour notre directeur de la R&D Joaquim Dos Santos, la priorité est au recrutement et à la formation des équipes quant à ce genre de problématiques.
Voir la vidéo [lien HS]
https://lafibre.info/videos/datacenter/201705_france3_champagne-ardenne_ikoula_wannacry.mp4
-
En effet la première sécurité est avant tout physique, les DataCenters sont donc des lieux hautement sécurisés.
Hum, c'est vrai que la sécurité d'un lieu importe beaucoup pour un virus logiciel. ::)
-
Je pense que Ikoula élargissait la problématique à la sécurité en général sur la fin du message :)
-
Se prémunir ?
Si le malware a déjà été exécuté je ne pense pas que ça soit « prémunir ».
Pour se prémunir il faut :
1. Ne pas utiliser de logiciels propriétaires.
2. Ne pas exécuter de logiciels n'ayant pas subi d'évaluation par les pairs.
3. Exécuter la merde dans des machines virtuelles.
Cette approche est pragmatique.
-
Les logiciels couramment utilisés sont grotesquement complexes, point final.
-
2. Il est également possible de reformater entièrement sa machine, sous condition de perdre l'intégralité de ses données (voilà pourquoi il est indispensable d'avoir des back-up)
Vous réfléchissez un peu ?
En reformatant, la machine est obligée d'aller sur Internet pour chercher ses mises à jour (ou le serveur de l'entreprise) et elle a la faille de facto. Suffit qu'un autre ordinateur scanne l'IP et boom, infectée ! On refait quoi ? On re-reformate ?
Bref, il faut mettre le hotfix sur clé USB et/ou foutre le parefeu en mode réseau public.
filtrer la réception de certains types de fichiers (pièce-jointes, images)
L'infection est si massive qu'elle n'a rien à voir avec des pièces jointes. Des ordinateurs infectés testent les IP des autres ordinateurs du réseau (intranet ou Internet), teste la vulnérabilité et l'exploite si ça répond favorablement. En gros même si tu fous rien, tu te fais infecté "comme ça", tout seul.
Ca se voit que vous n'avez pas connu MS-Blaster dans les années 2000.
EDIT : par contre bcp d'hébergeurs sont encore très très en retard là dessus. A l'extérieur no souci, mais dès que tu lances un scan depuis un remote desktop à l'intérieur de l'hébergeur, c'est le drame. J'espère qu'iKoula a bien fait son taff (pas testé).
-
1. Il est fortement recommandé de ne jamais payer la somme demandée par les pirates puisque rien ne vous assure que vous aurez les clés de décryptage en contrepartie.
Je pensais que les éditeurs de "ransomwares" tenaient trop à leur réputation pour jouer à ça - je parle des "ransomwares" sérieux!
De plus, vos données de paiement peuvent elles mêmes être piratées.
Je croyais que les attaques actuelles faisaient une demande en Bitcoin, justement parce qu'une transaction bancaire classique aurait permis de remonter au compte de l'attaquant!!!
Quelles données seraient alors "piratées"?
-
L'infection est si massive qu'elle n'a rien à voir avec des pièces jointes. Des ordinateurs infectés testent les IP des autres ordinateurs du réseau (intranet ou Internet), teste la vulnérabilité et l'exploite si ça répond favorablement. En gros même si tu fous rien, tu te fais infecté "comme ça", tout seul.
Non, il me semble que l'infection démarre par l'ouverture d'une pièce jointe.
L'effet domino, c'est que tous les ordinateur d'un même réseau qui n'ont pas le patch Microsoft d'avril 2017 sont vulnérable et sont automatiquement infectés.
Si on prend le cas Renault, il me semble qu'une personne à ouvert une pièce jointe. Là où avant seul son poste serait infecté, l'utilisation de la faille trouvée par la NSA permet d'infecter tout ce qui est sur le réseau d'entreprise, notamment les robots dans les usines.
J'ai par contre un peu de mal à comprendre que le réseau bureautique et le réseau de production soient interconnectés directement sans firewall. C'est deux types de réseau différents, il semble logique qu'ils ne soient pas interconnecté entre eux directement et que chaque flux nécessaire entre les deux réseaux passe soit par une machine de rebond (connectés aux deux réseaux), soit par un firewall avec ouverture des flux avec IP source / destination / port destination spécifiés.
Après je comprends Renault : difficile d'avoir des automates à jour au niveau sécurité (c'est valable aussi bien pour ceux sous Windows que ceux sous Linux). Pour moi la décence de ce type de robot ce de ne pas être connecté directement à des ordinateurs qui ont accès à Internet via un Proxy (le réseau bureautique).
-
Je ne comprends pas qu'on puisse ouvrir un PJ hors sandbox.
Je ne comprends pas que que l'ordinateur bureautique ait accès au réseau d'un industriel.
-
Non, il me semble que l'infection démarre par l'ouverture d'une pièce jointe.
Ce que je souligne c'est l'erreur de croire que ça n'arrive QUE en ouvrant des pièces jointes. Un ordinateur peut très bien se faire infecter sans avoir touché la machine, ça il faut bien le comprendre et le partager.
Il y a beaucoup de choses que les gens font sans prendre conscience des conséquences, suffit de voir le nombre de particuliers qui font confiance dans "leur" box et/ou qui activent uPnp sans réfléchir parce que c'est "pratique". Pour eux oui, mais les botnets aussi.
Idem pour les entreprises qui laissent les services IIS par défaut ouverts ou pire... l'interface web du firewall en écoute sur l'IP publique, et j'en passe.
-
Il y a beaucoup de choses que les gens font sans prendre conscience des conséquences, suffit de voir le nombre de particuliers qui font confiance dans "leur" box et/ou qui activent uPnp sans réfléchir parce que c'est "pratique". Pour eux oui, mais les botnets aussi.
Tu parles de IGD là?
Quel est le souci?
-
Non, il me semble que l'infection démarre par l'ouverture d'une pièce jointe.
Il y a des cas avérés d'infection avec des machines ouvertes directement sur le Net.
Oui des admins sont suffisamment crétin pour s'imaginer qu'on puisse laisser ouvert TCP/445 directement.
J'ai par contre un peu de mal à comprendre que le réseau bureautique et le réseau de production soient interconnectés directement sans firewall. C'est deux types de réseau différents, il semble logique qu'ils ne soient pas interconnecté entre eux directement et que chaque flux nécessaire entre les deux réseaux passe soit par une machine de rebond (connectés aux deux réseaux), soit par un firewall avec ouverture des flux avec IP source / destination / port destination spécifiés.
Il y a probablement un firewall mais, par "commodité", TCP/445 est peut-être resté ouvert afin de faciliter les échanges de fichier.
Exemple: stockage des procédures de montage sur un share commun entre prod et réseau bureautique. Pas de chance, le serveur de partage a été infecté depuis la bureautique et ça se propagera vers la prod.
-
A attaque exceptionnelle, mesures exceptionnelles.
l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC) a saisie plusieurs « guard nodes » (points d'entrée de confiance pour le réseau Tor).
Je ne sais pas si les hébergeurs font toujours des scan des vulnérabilités pour identifier des serveurs dédiés manifestement plus a jour au niveau sécurité pour les débrancher du réseau.
-
J'ai coupé le mien par sécurité :/
-
Tu pourrais nous partager des statistiques en terme de ports TCP utilisés et répartition du trafic horaire ?
(par exemple comme le partage de Statistiques du serveur de mise à jour Ubuntu par défaut pour la France (https://lafibre.info/tutoriels-linux/stat-mirrors-ubuntu/))
-
A attaque exceptionnelle, mesures exceptionnelles.
l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC) a saisie plusieurs « guard nodes » (points d'entrée de confiance pour le réseau Tor).
Mais encore?
-
Established : (https://pix.milkywan.xyz/bcwdw3Cf.png)
Stats TCP : (https://pix.milkywan.xyz/P2dtRgpP.png)
Trafic : (https://pix.milkywan.xyz/UUsmp4YJ.png)
Si tu veux plus de stats, je peux te filer un accès à mon monitoring :)
-
Je demande la démission du Ministre de l'intérieur.
-
Je ne sais pas si les hébergeurs font toujours des scan des vulnérabilités pour identifier des serveurs dédiés manifestement plus a jour au niveau sécurité pour les débrancher du réseau.
Non. Tout simplement car c'est illégal. Scanner à la recherche de failles, ça consiste in fine à rentrer dans un système automatisé de données sans autorisation.
Quel est le souci?
L'UPNP permet d'ouvrir des ports automatiquement. Il y a des logiciels légitimes qui nécessitent un port ouvert, et d'autres, illégitimes, aussi. Notamment ceux qui attendent des ordres d'un botnet. Le gros problème c'est quasiment activé chez beaucoup de particuliers, donc aucune difficulté pour rentrer ou sortir.
-
Non. Tout simplement car c'est illégal. Scanner à la recherche de failles, ça consiste in fine à rentrer dans un système automatisé de données sans autorisation.
Je pense plus à un scanner qui va récupérer les versions du logiciel qui écoute sur le port. (pour faire simple, si tu trouves un Windows server 2003 ou un Apache 2.0, ce n'est pas bon)
J'ai souvenir que OVH faisait ça, il y a plus de 10ans, avec envoi de mail et forte limitation de la bande passante de mémoire.
-
Je demande la démission du Ministre de l'intérieur.
(https://sc.mogicons.com/l/wtf-155.png)
Sinon pour Wannacry ça utilise une faille de l'implèmentation SMB de Windows, d'où l'histoire de patch et que les hébergeurs n'aient pas d'attaque par ce biais.
EDIT:
Ce logiciel malveillant tire parti d’une faille de sécurité informatique utilisée par « EternalBlue », un logiciel de la NSA dont l’existence a été révélée mi-avril 2017 par les groupes de hackers appelés The Shadow Brokers et Equation Group. EternalBlue exploite la vulnérabilité « MS17-010 » dans le protocole Server Message Block dans sa version 13 et exécute ainsi du code sur le système distant. Microsoft avait publié une mise à jour pour corriger cette vulnérabilité un mois avant, le 14 mars 201717
Wikipédia (http://"https://fr.wikipedia.org/wiki/WannaCry")
-
pourquoi les gens parlent d'attaque exceptionnelle ? 150k machines touchées c'est peu vu le nombre de machines Windows dans le monde ...
je comprend que les sociétés qui "vivent de la sécurité" fassent du bruit médiatique, ca leur fait de la pub mais pour le reste quand on prend un peu de recul c'est juste la faute des salopiauds qui mettent pas a jour leur OS ou qui les isolent pas (partage smb ouvert sur le Net) et qui se font attraper. Pour moi c'est du même niveau que de partir sans fermer sa porte a clé et ensuite venir pleurer.
Y'a vraiment une surenchère médiatique sur ces 'événements' de sécurité, on se demande a qui profite tout ca...
Iloveyou a son époque et été bien plus contaminant: 3 millions de machines en 4 jours ( https://fr.wikipedia.org/wiki/I_love_you_%28ver_informatique%29 ) et c'était en 2000 donc à mettre en rapport avec l'évolution du nombre de machines connectées aujourd'hui.
-
(https://sc.mogicons.com/l/wtf-155.png)
Agitation policière grotesque => démission
Et encore c'est gentillet.
-
Non. Tout simplement car c'est illégal. Scanner à la recherche de failles, ça consiste in fine à rentrer dans un système automatisé de données sans autorisation.
Pourtant quand j'y entre, le système me dit « Access granted » :-)
-
c'est juste la faute des salopiauds qui mettent pas a jour leur OS ou qui les isolent pas (partage smb ouvert sur le Net) et qui se font attraper. Pour moi c'est du même niveau que de partir sans fermer sa porte a clé et ensuite venir pleurer.
Pour windows XP, impossible de le mettre à jour (avant). Bien sûr, ils ne devraient pas être sur un réseau, mais on sait tous ce qu'il en est, de systèmes qu'il serait trop coûteux d'upgrader.
En fait, ces machines ne sont pas sur Internet (peut-être des 2003 ?), mais si une machine se fait infecter par phishing sur un intranet, à cause de cette faille, elle peut infecter les autres machines non patchées sur cet intranet. Mais bon, là où je travaille, je n'ai pas eu de cas (pour l'instant ?).
-
Non. Tout simplement car c'est illégal. Scanner à la recherche de failles, ça consiste in fine à rentrer dans un système automatisé de données sans autorisation.
Un hébergeur qui souhaite surveiller la présence de trafic SMB aura sûrement plus de raisons de partir sur une analyse passive avec une infrastructure de type pare-feu/IDS dont il dispose déjà que de le faire de façon active.
Un SYN sur un port SMB sans envoi de segments modifie certes une table d'état pour quelques secondes, mais constitue-elle dans l'esprit de quiconque une intrusion en quoi que ce soit tant qu'il n'y a pas d'opération d'accès, de lecture ou de réception des données d'authentification au sens protocolaire ?
pourquoi les gens parlent d'attaque exceptionnelle ? 150k machines touchées c'est peu vu le nombre de machines Windows dans le monde ...
À cause de pertes de données spontanées et importantes chez des acteurs clés de l'économie et des opérateurs d'infrastructures critiques sans doute.
-
Si on prend le cas Renault, il me semble qu'une personne à ouvert une pièce jointe. Là où avant seul son poste serait infecté, l'utilisation de la faille trouvée par la NSA permet d'infecter tout ce qui est sur le réseau d'entreprise, notamment les robots dans les usines.
J'ai par contre un peu de mal à comprendre que le réseau bureautique et le réseau de production soient interconnectés directement sans firewall. C'est deux types de réseau différents, il semble logique qu'ils ne soient pas interconnecté entre eux directement et que chaque flux nécessaire entre les deux réseaux passe soit par une machine de rebond (connectés aux deux réseaux), soit par un firewall avec ouverture des flux avec IP source / destination / port destination spécifiés.
Tout a fait d'accord avec toi, j'ai déja vu ce genre de conneries dans des grosses entreprises, meme d'Etat, ou le concierge avec son PC se trouvait sur le meme Vlan que la console de management des systèmes, la prod, le dev, la gestion des panneaux afficheurs LED de la ville, etc...
C'est une abération totale et une infa concue par des ingénieurs incompétent, si c'est le cas chez Renalut, ca fait peur,
A l'autre extreme j'ai bossé pour des multinationales et des banques ou tu as une 30 ene de firewall et tout est isolé, comme le remote acceess des employée, les partenaires, la prod, la dev, la burotique, les machines automatisés, la telephonie, etc.
-
Un hébergeur qui souhaite surveiller la présence de trafic SMB aura sûrement plus de raisons de partir sur une analyse passive avec une infrastructure de type pare-feu/IDS dont il dispose déjà que de le faire de façon active.
Un SYN sur un port SMB sans envoi de segments modifie certes une table d'état pour quelques secondes, mais constitue-elle dans l'esprit de quiconque une intrusion en quoi que ce soit tant qu'il n'y a pas d'opération d'accès, de lecture ou de réception des données d'authentification au sens protocolaire ?
Théoriquement je suis d'acc ord avec toi, mais d'expérience, un juge t'enverra chier si tu tentes de le perdre dans des explications comme celles-ci et de mémoire il y a une jurisprudence à ce sujet qui dit qu'en gros, le fait de scanner des machines dont tu n'as pas l'usufruit (ex, OVH est propriétaire des bécanes, toi locataire, donc OVH ne devrait pas scanner les bécanes que tu loues) c'est rentrer dans un SATD et vu la masse bon courage pour verser toutes les autorisations (à moins que cela soit autorisé dès que tu loues, possible aussi).
-
il y a une jurisprudence à ce sujet qui dit qu'en gros, le fait de scanner des machines dont tu n'as pas l'usufruit (ex, OVH est propriétaire des bécanes, toi locataire, donc OVH ne devrait pas scanner les bécanes que tu loues) c'est rentrer dans un SATD
Les deux ressources de synthèse sur le sujet qui ressortent pour "jurisprudence nmap" sur Google avancent le contraire ((1) (http://www.infond.fr/2010/09/legalite-du-scan-de-port.html) (2) (https://juriscom.net/wp-content/documents/priv20080613.pdf)). Je n'ai pas connaissance de la jurisprudence que tu mentionnerais.
-
Les deux ressources de synthèse sur le sujet qui ressortent pour "jurisprudence nmap" sur Google avancent le contraire ((1) (http://www.infond.fr/2010/09/legalite-du-scan-de-port.html) (2) (https://juriscom.net/wp-content/documents/priv20080613.pdf)). Je n'ai pas connaissance de la jurisprudence que tu mentionnerais.
Bah c'est normal que tu ne trouves pas, je ne parle pas de scan de "ports", je parle vraiment de scans de vulnérabilité, c'est tout à fait différent, car tu mets un pied dans l'élèment intentionnel.
Un scan de port regarde s'il peut se connecter ou non, sans aller plus loin. Un scan de vulnérabilité va plus loin et exécute des commandes précises sur la bécane en face pour tester une faille pour te dire s'il arrive à aller en root ou non.
Un scan de port te dit si le port SMB répond. Un scan de vulnérabilité te dit s'il a réussi à exécuter du code via ce port. Là est la nuance.
-
Pour eux oui, mais les botnets aussi.
Il y a des logiciels légitimes qui nécessitent un port ouvert, et d'autres, illégitimes, aussi. Notamment ceux qui attendent des ordres d'un botnet.
Clairement pas, faut pas prendre les gens pour des débiles non plus
-
Clairement pas, faut pas prendre les gens pour des débiles non plus
Je n'ai pas dit que je prenais les gens pour des débiles.
Tu as 2 solutions pour qu'une machine infectée écoute les ordres envoyés : soit tu ouvres un port auto (ça prend 10 lignes de code), soit tu polles l'extérieur régulièrement (plus lourd à coder&gérer, donc penser à aussi filtrer l'output).
Forcèment, si les gens leur facilitent la tâche, tu en tireras ta propre conclusion :)
-
Tu as 2 solutions pour qu'une machine infectée écoute les ordres envoyés : soit tu ouvres un port auto (ça prend 10 lignes de code), soit tu polles l'extérieur régulièrement (plus lourd à coder&gérer, donc penser à aussi filtrer l'output).
Forcèment, si les gens leur facilitent la tâche, tu en tireras ta propre conclusion :)
Ben heu, tu as aussi la solution qu'utilisent 99% des machines depuis que la communication point à point n'est plus garanti sur internet : le client (PC) ne fait tourner que du code client (pas daemon)
J'pense pas qu'il existe encore des gens, en 2017, qui scan des milliards d'IPv4 dans l'espoir de tomber, par chance, sur un hôte infecté.
-
J'pense pas qu'il existe encore des gens, en 2017, qui scan des milliards d'IPv4 dans l'espoir de tomber, par chance, sur un hôte infecté.
Laisse un serveur avec une IP publique et revient qq jours plus tard : dans tes logs tu en verras plein qui tentent du "w00tw00t" sur ton ssh/http/telnet/vnc & cie :)
-
Ha excuse moi, j'pensais qu'on parlait des hôtes infectés;
-
Ha excuse moi, j'pensais qu'on parlait des hôtes infectés;
Bah la liste des hôtes infectés est connue du botnet, il n'y a pas besoin de scanner. Comment tu veux envoyer tes ordres si tu connais pas même ton parc ? :p
-
Laisse un serveur avec une IP publique et revient qq jours plus tard : dans tes logs tu en verras plein qui tentent du "w00tw00t" sur ton ssh/http/telnet/vnc & cie :)
J'avais essayé derrière Freebox en mode bridge de faire tcpdump.
En fait en quelques minutes on voit plein de saletés, c'est très moche. Et c'est distrayant quand on veut analyser autre chose. Beurk.
Dans ce cas, le "mode routeur" peut être vu comme un filtre visuel.
-
Bah la liste des hôtes infectés est connue du botnet, il n'y a pas besoin de scanner. Comment tu veux envoyer tes ordres si tu connais pas même ton parc ? :p
Tu ne connais pas l'histoire du botnet atteint d’Alzheimer?
-
Laisse un serveur avec une IP publique et revient qq jours plus tard : dans tes logs tu en verras plein qui tentent du "w00tw00t" sur ton ssh/http/telnet/vnc & cie :)
Et oui, avec un port 80 ouvert, on voit rapidement ce type de requêtes passer :
GET /administrator/ HTTP/1.1
GET /apple-app-site-association HTTP/1.1
GET /asmtsovrics.html HTTP/1.1
GET /blog/ HTTP/1.1
GET /blog/robots.txt HTTP/1.1
GET /blog/wp-admin/setup-config.php HTTP/1.1
GET /browserconfig.xml HTTP/1.1
GET /cdvmlwojzfkaycf.html HTTP/1.1
GET /evpeynahvfcj.html HTTP/1.1
GET /gxsdgidnblgzoz.html HTTP/1.1
GET /... HTTP/1.1
GET /mqtdzpruuokcf.html HTTP/1.1
GET /old/wp-admin/setup-config.php HTTP/1.1
GET /pvfuqlvtgkm.html HTTP/1.1
GET /test/wp-admin/setup-config.php HTTP/1.1
GET /title.htm HTTP/1.1
GET /vjxmmtbpn.html HTTP/1.1
GET /vxafagjtyqqnuux.html HTTP/1.1
GET /.well-known/apple-app-site-association HTTP/1.1
GET /.well-known/assetlinks.json HTTP/1.1
GET /wordpress/ HTTP/1.1
GET /wordpress/wp-admin/setup-config.php HTTP/1.1
GET /wp-content/plugins/gallery-slider/readme.txt HTTP/1.1
GET /wp-content/plugins/mobile-app-builder-by-wappress/readme.txt HTTP/1.1
GET /wp-content/plugins/seo-keyword-page/readme.txt HTTP/1.1
GET /wp-content/plugins/stats-wp/readme.txt HTTP/1.1
GET /wp-content/plugins/webapp-builder/readme.txt HTTP/1.1
GET /wp-content/plugins/wp2android-turn-wp-site-into-android-app/readme.txt HTTP/1.1
GET /wp-content/plugins/wp-handy-lightbox/readme.txt HTTP/1.1
GET /wp-content/plugins/zen-mobile-app-native/readme.txt HTTP/1.1
GET /wp/ HTTP/1.1
GET /wp-login.php HTTP/1.1
GET /wp/wp-admin/setup-config.php HTTP/1.1
GET /xmlrpc.php HTTP/1.1
GET /xmlrpc.php?rsd HTTP/1.1
HEAD /wp-login.php HTTP/1.1
OPTIONS / HTTP/1.1
Je découvre la méthode "Options" qui fait partie de http.
Je me demande quel est l’intérêt de ceux qui l'utilisent.
=> Edit la suite de la discussion sur la méthode option est déplacé dans Méthode "Options" qui fait partie de http (https://lafibre.info/techno-du-web/t27037/)
-
Bonjour,
Un workaround aurait été trouvé mais la manip ne fonctionne que si le pc n'a pas rebooté et si certaines données sont encore présentes en ram:
http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html
-
Pour se prémunir il faut :
1. Ne pas utiliser de logiciels propriétaires.
2. Ne pas exécuter de logiciels n'ayant pas subi d'évaluation par les pairs.
3. Exécuter la merde dans des machines virtuelles.
Cette approche est pragmatique.
Mais dans énormèment de cas, cette approche n'est pas du tout utilisable.
Je travaille sur des domaines techniques où il n'existe absolument aucun logiciel "non propriétaire".
De même, demander à des milliers d'utilisateurs d'utiliser des machines virtuelles dédiées à quelques applications, ça a un cout énorme pour une grosse entreprise.
Les logiciels couramment utilisés sont grotesquement complexes, point final.
+1. Il y a beaucoup trop de fonctions inutiles dans les logiciels récents. Pareil pour les OS (Windows, android, etc...) . Trop de fonctionnalités qui sont "activées" par défaut, et qui utilisent trop le réseau pour fonctionner.
pourquoi les gens parlent d'attaque exceptionnelle ? 150k machines touchées c'est peu vu le nombre de machines Windows dans le monde ...
je comprend que les sociétés qui "vivent de la sécurité" fassent du bruit médiatique, ca leur fait de la pub mais pour le reste quand on prend un peu de recul c'est juste la faute des salopiauds qui mettent pas a jour leur OS ou qui les isolent pas (partage smb ouvert sur le Net) et qui se font attraper. Pour moi c'est du même niveau que de partir sans fermer sa porte a clé et ensuite venir pleurer.
Vu les conséquences chez Renault par exemple, avec de vraies pertes assez lourdes, il me semble normal qu'on en parle.
Et je trouve ça bien, car ça permet de rappeler les bonnes pratiques (mises à jour des logiciels) à tout le monde. Et c'est loin d'être évident pour tout le monde...
Personnellement, avant d'avoir chopé mon premier virus, je ne comprenais pas l'intérêt des mises à jour de logiciels, donc je ne les faisait que rarement.
Leon.
-
On a commencé a en parler avec des hôpitaux anglais qui refusent des patients à cause de l'attaque informatique.
Les 3 millions de machines infectées par "I Love You" n'ont jais eu de telles conséquences.
Aujourd'hui l'informatique est partout et beaucoup de choses ne fonctionnent plus sans informatique.
Savez-vous que les boîtiers rapid-auchan qui évitent un passage en caisse n'ont pas en local la base des articles du magasins ? Ils fonctionnent sans fil en réseau (Bluetooth Low-Energy). Je ne sais pas si notre parcours dans le magasin est analysé, ce qui est sur c'est qu'en cas de panne de son réseau, il ne fonctionne plus.
A noter que ces boîtiers (Motorola MC17 Personal Shopper) tournent sous Windows CE 5.0 (fin du support, le 14 octobre 2014) et Internet Explorer 6.0 selon Ubergizmo France (http://fr.ubergizmo.com/2007/06/10/lecteur-de-code-barre-pour-les-courses-motorola-mc17.html)
(https://lafibre.info/images/bistro/201302_rapid_auchan.jpg)
On est passé d'une civilisation de la peine, à une civilisation de la panne dirait mon père.
-
Je parlais sur l'aspect "exceptionnelle". C'est pas l'attaque qui est exceptionnelle mais bien le fait que des systèmes industriels ou hospitaliers soient touchés de part l'OS qu'ils utilisent et la manque de maj.
"I Love You" a fait plus de $8 milliards de dégâts et a coûter plus de $15 milliards pour être enlever ($ de l'époque).
Certe Wannacry est une attaque sérieuse mais faut relativiser les choses quand même. Y'a vraiment un surmédiatisation de la sécu info depuis quelques années et pas dans le bon sens en plus: il fallait surtout médiatiser l'incompétence des DSI de Renault, des hôpitaux britanniques, etc bref on ne 'pointe' pas du doigt les bonnes personnes la et on informe pas le grand public dans le bon sens.
-
Rappelons que les hôpitaux tourne toujours sous XP >:(
-
Et donc rien ne prouve qu'une personne qui meure dans un hôpital n'a pas été assassinée par une attaque très ciblée.
Même en absence de la moindre preuve, il faut garder à l'esprit que c'est une possibilité.
-
En effet, d'où la nécessité pour tout les concernés de trainer l'hopital en justice pour défaut de sécurisation et donc pour homicide involontaire.
-
Rappelons que les hôpitaux tourne toujours sous XP >:(
certe mais ca n'est pas XP le coupable d'apres les stats: https://twitter.com/craiu/status/865562842149392384
(https://pbs.twimg.com/media/DAMYyYGWAAADaD9.jpg)
-
Étonnant de ne pas voir de Windows XP dans la liste.
Je me demande si ce n'est pas basé sur les stats d'un logiciel qui ne supporte plus Windows XP.
-
Je ma faisais la même réflexion, et j'ai suivi le lien twitter, la source chez Kaspersky n'apparait pas.
Comme le fait remarquer un commentaire, il n'y a pas non plus windows 8 et 8.1, ni Vista, ce qui est là aussi très étonnant. Donc sur quel produit se base Kaspersky ? Où est la source du document ?
Par contre, je confirme qu'à mon travail, et à celui de ma soeur, aucune contamination constatée. Un collègue d'origine italienne m'a parlé de son père en Italie, qui travaille dans une association. Eux ont été atteint, leur base de données cryptée. Ils se sont alors rendu compte que leur sauvegarde ne marchait plus depuis 6 mois, ont payé pour récupérer la clé, et ont réussi à déchiffrer leur base. Je ne sais pas quel était le système.
-
Combien de systèmes de sauvegarde exigent de trouver une sauvegarde précédente correcte ou se mettent à insulter l'utilisateur?
-
Combien de systèmes de sauvegarde exigent de trouver une sauvegarde précédente correcte ou se mettent à insulter l'utilisateur?
+1, j'ai eu ce problème, effectivement, avec une sauvegarde incrèmentale.
Leon.
-
Windows 8 est un système d'exploitation qui n'a jamais été fortement utilisé, a cause de son interface peu pratique sur un PC avec Clavier / Souris. Son support a été limité a 3ans (contre 10 ans habituellement) : il n'est donc plus maintenu depuis un moment, comme Windows XP.
Windows Vista est aussi un système peu utilisé, car il demande des PC puissants pour son époque. Il vient de fêter ses 10 ans et le patch qui a corrigé la faille de Wannacrypt et la dernier lot de correctifs.
Windows XP lui est comme Windows 7 un système d’exploitation qui a rencontré un énorme sucés en entreprise. Il y a en plus une impossibilité de faire une upgrade pour e nombreux PC Windows XP, pas assez puissant pour faire tourner Vista/7/8/8.1/10, 5 systèmes d’exploitations qui utilisent un peu prés la même quantité de ressources (il faut un PC double cœurs avec 2 Go de RAM pour les faire tourner).
Windows XP demande officiellement un minimum de 64 Mo de ram. En réalité, il est exploitable à partir de 256 Mo de ram, 4 fois moins que ses successeurs.
-
Wannacry n'a jamais ciblé XP spécifiquement... la encore la presse a un peu amplifier et désinformer.
C'est le fait que MS ai sorti un patch de sécu pour XP qui a introduit cette confusion.
On a des exemples 'réels et vérifiés' d'infection de Windows XP ? (beaucoup de prestataires font de la désinformation a ce sujet car ca permet de "pousser les ventes" de renouvellement de systèmes, j'en ai croisé un hier par exemple).
Faut pas de tromper, si MS a sorti un patch pour XP ce n'est pas pour 'sauver' les machines sous XP mais plutôt pour limiter la contagion car une machine XP peut servir de 'relai' a Wannacry (et surtout aux malwares similaires qui agissent depuis plus longtemps).
-
Windows Vista est aussi un système peu utilisé, car il demande des PC puissants pour son époque.
Tu parles de quoi? Le bureau? L'architecture graphique avec driver récupérable?
-
Wannacry n'a jamais ciblé XP spécifiquement... la encore la presse a un peu amplifier et désinformer.
Et s'il l'avait fait, pourrait-on l'accuser de discrimination d'OS?
Est-ce qu'il n'y a pas des lois contre ça?
-
Le National Health Service (NHS), le système de la santé publique du Royaume-Uni avait été fortement touché par WannaCry (Cinquante hôpitaux avec l'ensemble de leur systèmes informatiques à l’arrêt)
(https://lafibre.info/testdebit/windows8/201705_wannacry_nhs_pc.jpg)
La majorités des postes du NHS sont sous Windows XP, les autres sous Windows 7.
La solution pourait venir de Linux, un pilote va démarrer pour migrer les posts sous NHSbuntu, une variante d'Ubntu crée par des médecins du réseau NHS puis soutenu par la fondation Apperta – une organisation à but non lucratif qui œuvre dans la promotion des systèmes et standards ouverts pour le domaine de la santé.
https://www.youtube.com/watch?v=XdR0lltkw7k