[Ubuntu-QC] Newbots? Ordinateur envahi!

David Montminy david.montminy at gmail.com
Ven 4 Déc 06:01:52 GMT 2009


Il faut se poser la question:Sécuritaire, mais pour protéger contre quoi?

Avec les vieux protocols (telnet, rlogin, ftp, etc...) il n'y a AUCUNE 
protection. Tout est passé en clair, et tout est visible à quiconque est 
entre la source et la destination.

ssh et sftp protège contre une personne qui "sniffe" le mot de passe. Le 
trafic entre 2 machine est crypté et il n'est pas possible de lire ce 
qui se passe.

Cela n'empêche pas quelqu'un d'essayer d'entrer en essayant tout les 
mots de passe en commencant par le dictionnaire et ensuite de "aa" à 
"ZZZZZZZZ"... C'est très long, mais ca donne des résultats... 
éventuellement...

Vous n'avez qu'à mettre une machine directement sur Internet et 
surveiller le fichier /var/log/auth.log pour voir ce que je veux dire. 
Il existe plusieurs scanners qui parcourt Internet à la recherche de 
vulnérabilité connues ou de service qu'ils peuvent exploiter.

Pour éviter ce genre de scénario, il est possible de désactiver 
l'authentification par mot de passe et de forcé l'authentification par 
clé publique-privé.
(voir par exemple http://www.debuntu.org/ssh-key-based-authentication )

Je pourrais fournir les détails dans un prochain e-mail, mais vu l'heure 
tardive, je vais laisser le travail de recherche aux lecteurs pour le 
moment :)

David Montminy



Martin Gamache wrote:
> Je croyais qu'une connection ssh était sécuritaire (en comparaison avec 
> ftp).  Dois-je comprendre que même ça n'est pas recommandable?
> 
> On Fri, 2009-12-04 at 00:08 -0500, David Montminy wrote:
>> Gilbert Dion wrote:
>> > 
>> > 
>> > 
>> >      
>> >>     L'intrus s'étant installé mardi, je me demande s'il y a un rapport
>> >>     avec le fait que j'ai testé mon visionneur de bureau à distance ce
>> >>     jour-là... 
>> > 
>> >     Tu l'a testé à partir de quel genre d'endroit?
>> > 
>> > 
>> > D'abord sur mon propre réseau maison (de desktop à laptop et vice 
>> > versa), puis d'un café Île sans fil, puis d'un ami. Curieusement,  de 
>> > l'extérieur, croyant me connecter sur mon desktop (vers quelle machine 
>> > allais-je être dirigé parmi les trois ordis? Quand j'ai réussi à me 
>> > connecter à mon bureau à partir de chez mon ami, je suis tombé sur le 
>> > laptop, alors que je m'attendais à aboutir sur mon desktop...
>> > 
>> > (D'ailleurs, lorsqu'on accède depuis l'extérieur à son adresse IP 
>> > publique [ex.: 74.57.xxx.xxx], comment fait-on pour cibler une machine 
>> > en particulier du réseau privé qui se trouve de l'autre côté du routeur 
>> > [192.168.xxx.xxx]?)
>> > 
>>
>> Si l'assignation manuelle des ports dans le router n'a pas été faite, le 
>> router ignore les packets qui arrive.
>>
>> En d'autres mots, ce genre de configuration doit se faire manuellement. 
>> Le router ne peut pas deviner vers quel machine les traffic du port X 
>> est destiné parce qu'il a 65534 choix possibles. (de 192.168.1.1 a 
>> 192.168.255.254)
>>
>> > Mais l'heure à laquelle s'est installé le répertoire newbots chez moi 
>> > précède mes tests de l'extérieur. Également, lundi et mardi, j'ai 
>> > expérimenté avec sftp (avec force tripotages de pare-feu et de 
>> > configurations de routeur) pour finir par me tourner platement vers ftp 
>> > pour qu'un ami ramasse un fichier de 2 Gio sur ma machine. J'ai 
>> > peut-être laissé une porte entrouverte en cours de route?
>> > 
>> > Gilbert
>> > 
>> sftp = ssh
>>
>> Si ton mot de passe root est un mot du dictionnaire et que tu utilise le 
>> port standard pour ssh (port 22), le temps de survie moyen de la machine 
>> sur internet se calcule en heure, voir en minutes.
>>
>> David Montminy
>>
> 




Plus d'informations sur la liste de diffusion Ubuntu-quebec