Auteur Sujet: Wannacrypt, ransomware qui a touché plus de 200 000 utilisateurs dans 150 pays  (Lu 1307 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Client Free adsl
  • *
  • Messages: 13 669
  • Paris; Free ADSL (Freebox HD)
    • Vive le nucléaire heureux
News securite
« Réponse #36 le: 18 mai 2017 à 17:29:27 »
Laisse un serveur avec une IP publique et revient qq jours plus tard : dans tes logs tu en verras plein qui tentent du "w00tw00t" sur ton ssh/http/telnet/vnc & cie :)
J'avais essayé derrière Freebox en mode bridge de faire tcpdump.

En fait en quelques minutes on voit plein de saletés, c'est très moche. Et c'est distrayant quand on veut analyser autre chose. Beurk.

Dans ce cas, le "mode routeur" peut être vu comme un filtre visuel.

corrector

  • Client Free adsl
  • *
  • Messages: 13 669
  • Paris; Free ADSL (Freebox HD)
    • Vive le nucléaire heureux
Bah la liste des hôtes infectés est connue du botnet, il n'y a pas besoin de scanner. Comment tu veux envoyer tes ordres si tu connais pas même ton parc ? :p
Tu ne connais pas l'histoire du botnet atteint d’Alzheimer?

vivien

  • Administrateur
  • *
  • Messages: 25 977
    • Twitter LaFibre.info
News securite
« Réponse #38 le: 18 mai 2017 à 19:24:30 »
Laisse un serveur avec une IP publique et revient qq jours plus tard : dans tes logs tu en verras plein qui tentent du "w00tw00t" sur ton ssh/http/telnet/vnc & cie :)

Et oui, avec un port 80 ouvert, on voit rapidement ce type de requêtes passer :

GET /administrator/ HTTP/1.1
GET /apple-app-site-association HTTP/1.1
GET /asmtsovrics.html HTTP/1.1
GET /blog/ HTTP/1.1
GET /blog/robots.txt HTTP/1.1
GET /blog/wp-admin/setup-config.php HTTP/1.1
GET /browserconfig.xml HTTP/1.1
GET /cdvmlwojzfkaycf.html HTTP/1.1
GET /evpeynahvfcj.html HTTP/1.1
GET /gxsdgidnblgzoz.html HTTP/1.1
GET /... HTTP/1.1
GET /mqtdzpruuokcf.html HTTP/1.1
GET /old/wp-admin/setup-config.php HTTP/1.1
GET /pvfuqlvtgkm.html HTTP/1.1
GET /test/wp-admin/setup-config.php HTTP/1.1
GET /title.htm HTTP/1.1
GET /vjxmmtbpn.html HTTP/1.1
GET /vxafagjtyqqnuux.html HTTP/1.1
GET /.well-known/apple-app-site-association HTTP/1.1
GET /.well-known/assetlinks.json HTTP/1.1
GET /wordpress/ HTTP/1.1
GET /wordpress/wp-admin/setup-config.php HTTP/1.1
GET /wp-content/plugins/gallery-slider/readme.txt HTTP/1.1
GET /wp-content/plugins/mobile-app-builder-by-wappress/readme.txt HTTP/1.1
GET /wp-content/plugins/seo-keyword-page/readme.txt HTTP/1.1
GET /wp-content/plugins/stats-wp/readme.txt HTTP/1.1
GET /wp-content/plugins/webapp-builder/readme.txt HTTP/1.1
GET /wp-content/plugins/wp2android-turn-wp-site-into-android-app/readme.txt HTTP/1.1
GET /wp-content/plugins/wp-handy-lightbox/readme.txt HTTP/1.1
GET /wp-content/plugins/zen-mobile-app-native/readme.txt HTTP/1.1
GET /wp/ HTTP/1.1
GET /wp-login.php HTTP/1.1
GET /wp/wp-admin/setup-config.php HTTP/1.1
GET /xmlrpc.php HTTP/1.1
GET /xmlrpc.php?rsd HTTP/1.1
HEAD /wp-login.php HTTP/1.1
OPTIONS / HTTP/1.1


Je découvre la méthode "Options" qui fait partie de http.
Je me demande quel est l’intérêt de ceux qui l'utilisent.

=> Edit la suite de la discussion sur la méthode option est déplacé dans Méthode "Options" qui fait partie de http

ikoula

  • AS21409 Officiel Ikoula
  • Expert
  • *
  • Messages: 7
  • Reims (51)
Bonjour,

Un workaround aurait été trouvé mais la manip ne fonctionne que si le pc n'a pas rebooté et si certaines données sont encore présentes en ram:
http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 3 655
News securite
« Réponse #40 le: 19 mai 2017 à 19:47:19 »
Pour se prémunir il faut :
1. Ne pas utiliser de logiciels propriétaires.
2. Ne pas exécuter de logiciels n'ayant pas subi d'évaluation par les pairs.
3. Exécuter la merde dans des machines virtuelles.

Cette approche est pragmatique.
Mais dans énormément de cas, cette approche n'est pas du tout utilisable.
Je travaille sur des domaines techniques où il n'existe absolument aucun logiciel "non propriétaire".
De même, demander à des milliers d'utilisateurs d'utiliser des machines virtuelles dédiées à quelques applications, ça a un cout énorme pour une grosse entreprise.

Les logiciels couramment utilisés sont grotesquement complexes, point final.
+1. Il y a beaucoup trop de fonctions inutiles dans les logiciels récents. Pareil pour les OS (Windows, android, etc...) . Trop de fonctionnalités qui sont "activées" par défaut, et qui utilisent trop le réseau pour fonctionner.

pourquoi les gens parlent d'attaque exceptionnelle ? 150k machines touchées c'est peu vu le nombre de machines Windows dans le monde ...

je comprend que les sociétés qui "vivent de la sécurité" fassent du bruit médiatique, ca leur fait de la pub mais pour le reste quand on prend un peu de recul c'est juste la faute des salopiauds qui mettent pas a jour leur OS ou qui les isolent pas (partage smb ouvert sur le Net) et qui se font attraper. Pour moi c'est du même niveau que de partir sans fermer sa porte a clé et ensuite venir pleurer.
Vu les conséquences chez Renault par exemple, avec de vraies pertes assez lourdes, il me semble normal qu'on en parle.

Et je trouve ça bien, car ça permet de rappeler les bonnes pratiques (mises à jour des logiciels) à tout le monde. Et c'est loin d'être évident pour tout le monde...
Personnellement, avant d'avoir chopé mon premier virus, je ne comprenais pas l'intérêt des mises à jour de logiciels, donc je ne les faisait que rarement.

Leon.

vivien

  • Administrateur
  • *
  • Messages: 25 977
    • Twitter LaFibre.info
On a commencé a en parler avec des hôpitaux anglais qui refusent des patients à cause de l'attaque informatique.

Les 3 millions de machines infectées par "I Love You" n'ont jais eu de telles conséquences.

Aujourd'hui l'informatique est partout et beaucoup de choses ne fonctionnent plus sans informatique.

Savez-vous que les boîtiers rapid-auchan qui évitent un passage en caisse n'ont pas en local la base des articles du magasins ? Ils fonctionnent sans fil en réseau (Bluetooth Low-Energy). Je ne sais pas si notre parcours dans le magasin est analysé, ce qui est sur c'est qu'en cas de panne de son réseau, il ne fonctionne plus.

A noter que ces boîtiers (Motorola MC17 Personal Shopper) tournent sous Windows CE 5.0 (fin du support, le 14 octobre 2014) et Internet Explorer 6.0 selon Ubergizmo France


On est passé d'une civilisation de la peine, à une civilisation de la panne dirait mon père.

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 598
  • FTTH 1Gb/s sur Asnières-sur-Seine (92)
Je parlais sur l'aspect "exceptionnelle". C'est pas l'attaque qui est exceptionnelle mais bien le fait que des systèmes industriels ou hospitaliers soient touchés de part l'OS qu'ils utilisent et la manque de maj.

"I Love You" a fait plus de $8 milliards de dégâts et a coûter plus de $15 milliards pour être enlever ($ de l'époque).

Certe Wannacry est une attaque sérieuse mais faut relativiser les choses quand même. Y'a vraiment un surmédiatisation de la sécu info depuis quelques années et pas dans le bon sens en plus: il fallait surtout médiatiser l'incompétence des DSI de Renault, des hôpitaux britanniques, etc bref on ne 'pointe' pas du doigt les bonnes personnes la et on informe pas le grand public dans le bon sens.

dj54

  • Client Orange Fibre
  • *
  • Messages: 501
  • Nancy (54)
Rappelons que les hôpitaux tourne toujours sous XP  >:(

corrector

  • Client Free adsl
  • *
  • Messages: 13 669
  • Paris; Free ADSL (Freebox HD)
    • Vive le nucléaire heureux
Et donc rien ne prouve qu'une personne qui meure dans un hôpital n'a pas été assassinée par une attaque très ciblée.

Même en absence de la moindre preuve, il faut garder à l'esprit que c'est une possibilité.

jack

  • AS24904 Ingénieur système K-Net
  • Professionnel des télécoms
  • *
  • Messages: 1 305
  • Amiens (80)
En effet, d'où la nécessité pour tout les concernés de trainer l'hopital en justice pour défaut de sécurisation et donc pour homicide involontaire.

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 598
  • FTTH 1Gb/s sur Asnières-sur-Seine (92)
Rappelons que les hôpitaux tourne toujours sous XP  >:(

certe mais ca n'est pas XP le coupable d'apres les stats: https://twitter.com/craiu/status/865562842149392384


vivien

  • Administrateur
  • *
  • Messages: 25 977
    • Twitter LaFibre.info
Étonnant de ne pas voir de Windows XP dans la liste.

Je me demande si ce n'est pas basé sur les stats d'un logiciel qui ne supporte plus Windows XP.