Pénétration des pirates dans nos ordinateurs
Pirates et pénétration - Temps de survie - Survival time
On a pénétré ma machine ? Et alors !
Lors de propositions faites à un utilisateur de durcir sa machine (voir des exemples de kits de sécurité) il est fréquent d'entendre des propos comme "Qu'est-ce qu'un pirate viendrait faire dans ma machine ? Il n'y a rien d'intéressant" etc. ...
Ce type de réponses, très fréquent, surtout chez les utilisateurs débutants sur l'Internet (premier ordinateur) et les personnes âgées, tente de couvrir par anticipation les reproches qu'il pourrait leur être faits plus tard, et tente également d'éluder 2 craintes ou lacunes personnelles
Il y a les données stockées volontairement par l'utilisateur - admettons qu'elles soient de peu d'intérêt. Elles ne sont pas les seules cibles des pirates.
Il y a également des données non stockées. Par mesure de sécurité "naturelle" prise par l'utilisateur, laxiste au demeurant, qui a tout de même un peu peur, il ne stocke pas (n'écrit pas dans un fichier) des données qui ne feront que passer lors de connexions. C'est oublier que les KeyLoggers et autres Spywares sont là pour les capturer au passage.
Il y a aussi ce qui justifie la zombiification de votre machine. Qu'est-ce qu'apporte un ordinateur à une personne mal intentionnée qui souhaite en prendre le contrôle à distance ? Et bien, tout simplement, les ressources dont il dispose :
Les connexions haute vitesse et permanentes ou quasi permanentes, type ADSL et câble, sont des cibles privilégiées, les liaisons basse-vitesse (modem RTC) juste un peu moins "interessantes" pour certains usages que certains pirates souhaitent faire de vos machines et de vos connexions.
Lors de propositions faites à un utilisateur de durcir sa machine (voir des exemples de kits de sécurité) il est fréquent d'entendre des propos comme "Qu'est-ce qu'un pirate viendrait faire dans ma machine ? Il n'y a rien d'intéressant" etc. ...
Ce type de réponses, très fréquent, surtout chez les utilisateurs débutants sur l'Internet (premier ordinateur) et les personnes âgées, tente de couvrir par anticipation les reproches qu'il pourrait leur être faits plus tard, et tente également d'éluder 2 craintes ou lacunes personnelles
- Crainte de ne pas savoir utiliser les outils de protection
- Crainte de subir une restriction de liberté d'usage de sa machine
Il y a les données stockées volontairement par l'utilisateur - admettons qu'elles soient de peu d'intérêt. Elles ne sont pas les seules cibles des pirates.
Il y a également des données non stockées. Par mesure de sécurité "naturelle" prise par l'utilisateur, laxiste au demeurant, qui a tout de même un peu peur, il ne stocke pas (n'écrit pas dans un fichier) des données qui ne feront que passer lors de connexions. C'est oublier que les KeyLoggers et autres Spywares sont là pour les capturer au passage.
Il y a aussi ce qui justifie la zombiification de votre machine. Qu'est-ce qu'apporte un ordinateur à une personne mal intentionnée qui souhaite en prendre le contrôle à distance ? Et bien, tout simplement, les ressources dont il dispose :
- Une connexion à l'Internet dont vous payez l'abonnement et la bande passante. Depuis votre machine, un criminel pourra
- envoyer des millions de Spams à vos frais (en plus, votre complicité peut être juridiquement recherchée si vous n'avez pas protégé votre ordinateur)
- lancer des attaques en DDoS (Déni de Service Distribué) (Votre complicité, même à votre insu et à votre corps défendant, peut être recherchée)
- faire transiter son trafic Internet (ses requêtes) par votre machine pour anonymiser son activité criminelle (se servir de votre machine comme d'un "proxy" d'anonymisation
Le tout anonymement (sans pouvoir être retrouvé ni inquiété). Vous risquez d'être poursuivi par la justice et votre fournisseur d'accès Internet risque de vous couper votre connexion.
- envoyer des millions de Spams à vos frais (en plus, votre complicité peut être juridiquement recherchée si vous n'avez pas protégé votre ordinateur)
- De la mémoire vive (Ram) que vous avez acheté et qu'il utilise
- De la puissance de calcul (votre processeur et votre carte mère) que vous avez acheté et qu'il utilise
- Des surfaces de stockages (vos disques durs) que vous avez acheté et qu'il utilise (généralement pour stocker, hors de chez lui, des données sensibles ou illégales)
- Des outils automatiques scanners de failles
Les pirates développent des robots automatiques qui scrutent en permanence tous les ports de communication de toutes les machines connectées, à la recherche de failles ou de services actifs (services Windows 2000 - Services Windows XP) répondant à leurs sollicitations. Si vous avez un pare-feu (firewall), vous vous en appercevez aisément en croyant, les premiers jours de son installation, être victimes de milliers de tentatives de pénétrations dans votre ordinateur. Elles ont effectivement lieu mais votre pare-feu fait son travail et vous signale ce que vous ignoriez auparvant. Avec un pare-feu (firewall) vous n'êtes plus une victime. Mais si vous n'avez pas de pare-feu ni pris d'autres dispositions (désactivation de services W2000 - XP ...) le taux de réussite de ces tentatives est proportionnel à votre temps de connexion.
- L'obtention des autorisations
Il n'y a pas de limite à l'imagination : depuis l'espionnage physique en entrant dans les locaux pour trouver des mots de passe scotchés sur les écrans (personnel d'entretien, service après vente, technicien de maintenance, effraction...) jusqu'au dépot de keyloggers, voleurs de mots de passe etc. ... installés physiquement par l'attaquant ou par vous-même (téléchargement d'un truc gratuit piégé, P2P, spam piégé, contrôle ActiveX...). Le but est d'obtenir des identificateurs et mots de passe existant afin, ensuite, de pénétrer le système librement. Le piratage concerne également d'autres pans de technologies comme l'écoute des transmissions sur le réseau (sniffer de paquets par exemple...), sans avoir à pénétrer dans un ordinateur, afin d'y intercepter et extraire les données informatives (espionnage politique, économique, militaire, policier, crapuleux...) et les autorisations (codes d'authentification, mots de passe...).
- La création d'autorisations
Implantation de RAT (Remote Administration Tool), par une méthode quelconque (téléchargement piégé, P2P, spam piégé, drive-by download...)
Les connexions haute vitesse et permanentes ou quasi permanentes, type ADSL et câble, sont des cibles privilégiées, les liaisons basse-vitesse (modem RTC) juste un peu moins "interessantes" pour certains usages que certains pirates souhaitent faire de vos machines et de vos connexions.
Sans pare-feu (firewall) vous avez moins de 4 minutes pour survivre
La durée de survie d'un ordinateur sur le Net, avant d'être pénétré et compromis par un pirate ou un parasite, a été mesurée à moins de 4 minutes. Votre chance de survie sur le Net, sans avoir installé un pare-feu (firewall) est donc infime. Au-delà de 4 minutes votre ordinateur est pénétré, modifié, transformé en zombi, utilisé à votre insu pour des activités commerciales ou crapuleuses dans un botnet, vos données sont espionnées, modifiées, effacées, les informations vous concernant, vous personne physique ou morale, sont exploitées, revendues... Votre ordinateur peut être utilisé pour lancer des attaques contre d'autres ordinateurs et votre responsabilité juridique serait engagée - vous pouvez être poursuivi pour complicité.
Les connexions rapides (ADSL, Câble...) et longues favorisent les attaques. Pensez à vous déconnecter du Net chaque fois que vous n'en avez pas besoin.
La version de Windows livrée avec votre ordinateur tout neuf ne comporte aucune des dernières mises à jour de sécurité. D'autre part, pour des raisons historiques (critiquables ou défendables - c'est n'est pas le débat) Windows est un système ouvert par défaut, beaucoup trop ouvert. Il convient impérativement d'installer un pare-feu (firewall) avant d'aller sur le Net ainsi que de faire toutes les mises à jour de sécurité.
Nota - Survivre le premier jour :
Le temps de télécharger un premier pare-feu, lors de votre première connexion, est supérieur au temps que mettra un pirate ou un parasite à pénétrer votre machine. Des dizaines de milliers de programmes robots, écrits par les pirates et les gangs maffieux du Net, scannent et analysent en permanence l'Internet à la recherche automatique, à raison de plusieurs millions à la minute, de connexions ouvertes et non sécurisées. On activera donc le pare-feu interne de Windows qui est un demi pare-feu (entrant (inbound) uniquement), le temps de télécharger un vrai pare-feu complet ainsi que les recommandations du Kit de sécurité puis on le désactivera pour laisser la place aux outils téléchargés une fois ceux-ci installés.
La durée de survie d'un ordinateur sur le Net, avant d'être pénétré et compromis par un pirate ou un parasite, a été mesurée à moins de 4 minutes. Votre chance de survie sur le Net, sans avoir installé un pare-feu (firewall) est donc infime. Au-delà de 4 minutes votre ordinateur est pénétré, modifié, transformé en zombi, utilisé à votre insu pour des activités commerciales ou crapuleuses dans un botnet, vos données sont espionnées, modifiées, effacées, les informations vous concernant, vous personne physique ou morale, sont exploitées, revendues... Votre ordinateur peut être utilisé pour lancer des attaques contre d'autres ordinateurs et votre responsabilité juridique serait engagée - vous pouvez être poursuivi pour complicité.
Les connexions rapides (ADSL, Câble...) et longues favorisent les attaques. Pensez à vous déconnecter du Net chaque fois que vous n'en avez pas besoin.
La version de Windows livrée avec votre ordinateur tout neuf ne comporte aucune des dernières mises à jour de sécurité. D'autre part, pour des raisons historiques (critiquables ou défendables - c'est n'est pas le débat) Windows est un système ouvert par défaut, beaucoup trop ouvert. Il convient impérativement d'installer un pare-feu (firewall) avant d'aller sur le Net ainsi que de faire toutes les mises à jour de sécurité.
Nota - Survivre le premier jour :
Le temps de télécharger un premier pare-feu, lors de votre première connexion, est supérieur au temps que mettra un pirate ou un parasite à pénétrer votre machine. Des dizaines de milliers de programmes robots, écrits par les pirates et les gangs maffieux du Net, scannent et analysent en permanence l'Internet à la recherche automatique, à raison de plusieurs millions à la minute, de connexions ouvertes et non sécurisées. On activera donc le pare-feu interne de Windows qui est un demi pare-feu (entrant (inbound) uniquement), le temps de télécharger un vrai pare-feu complet ainsi que les recommandations du Kit de sécurité puis on le désactivera pour laisser la place aux outils téléchargés une fois ceux-ci installés.
- Sans pare-feu (firewall), survie inférieure à 4 minutes !
http://assiste.com.free.fr/p/abc/c/anti_pirates_les_pare_feux.html
- Moins de 4 minutes pour pénétrer et compromettre un ordinateur sans pare-feu (firewall)
http://www.avantgarde.com
- Durée de survie très inférieure à 4 minutes sans pare-feu (firewall)
http://assiste.forum.free.fr
- 20 minutes sur la toile suffisent pour être infecté
http://www.vulnerabilite.com/survival-time-actualite-20040823110657.html
- Unpatched PCs compromised in 20 minutes
http://news.zdnet.com/2100-1009_22-5313402.html
http://www.news.com/2100-7349_3-5313402.html
- After 15 minutes mydoom and bagel had probed the IP, and sasser had hit at 20 minutes
http://isc.sans.org/diary.html?storyid=238
- Survival Time for Unpatched Systems Cut by Half
http://it.slashdot.org/article.pl?sid=04/08/17/1347214&tid=172
- Amélioration : le temps de survie double et passe à 40 minutes !
http://blog.washingtonpost.com/securityfix/2005/06/windows_survival_time_on_the_r.html
- Temps de survie inférieur à 16 minutes
http://www.crn.com/security/29107625
- DShield - Survival time
http://www.dshield.org/survivaltime.html
Ce site fait un suivi et permet de générer des histogrammes sur une période donnée pour des types d'attaques données. On observera que le temps moyen de survie s'améliore. Il a chuté de 80 minutes en 2003 à 35 minutes en 2004 (début des notions de RootKits dans le monde Windows et attaques en zombiification et constitution des botnet) et il remonte depuis : 40 minutes en 2005, 50 minutes en 2006 et 60 minutes en 2007. (Nota : sur ces graphques, les pics sont des erreurs de mesure sans signification).
| Historique des révisions de ce document : |
|
25.03.05 Révision
21.02.07 Révision |
Rédigé en écoutant :
Music
Music