Test en sécurité..
Hors ligneSerenity Le 01/04/2008 à 11:59 Profil de Serenity Configuration de Serenity

Bonjour,

J'ai 2 questions concernant la sécurité des systèmes, les voici si ça vous intéresse de réfléchir avec moi

Question 1 :

Soit un ver W32/beagle qui se présente sous forme de courrier électronique avec fichier joint .exe compressé et chiffré. Le mot de passe pour le déchiffrer est contenu dans l’email. Si la victime exécute le fichier en utilisant le mot de passe, le ver se propage en choisissant la prochaine victime dans le carnet d’adresses de la victime courante.
Pourquoi le fichier compressé est il chiffré puisque le mot de passe et fourni en clair dans le message lui-même ? Et comment le serveur de messagerie peut il repousser ce genre d’attaque ?


Question 2 :

Supposons un parc informatique comprenant plusieurs stations de travail connectées à Internet via un firewall. Plusieurs utilisateurs signalent que leur machine redémarre de manière intempestive. Selon l’un des utilisateurs ce problème est dû à un ver virulent qui exploite une faille du système d’exploitation. Pour ce propager le ver semble utiliser des connexions TCP et UDP vers d’autres machines aussi bien dans le réseau local que dans l’extérieur du réseau.
Quelles sont les mesures d’urgence à appliquer afin d’enrayer la propagation du ver ?
Quelles sont les mesures à prendre pour restaurer l’intégrité du système ?

J'attends vos propositions de réponses !
Merci
Hors ligneAnthony Le 01/04/2008 à 12:08 Profil de Anthony Configuration de Anthony

Fou du volant
Salut

Même si ça sent les réponses au devoir, je vais quand même tenter de te répondre :)

Serenity a écrit :

Question 1 :

Soit un ver W32/beagle qui se présente sous forme de courrier électronique avec fichier joint .exe compressé et chiffré. Le mot de passe pour le déchiffrer est contenu dans l'email. Si la victime exécute le fichier en utilisant le mot de passe, le ver se propage en choisissant la prochaine victime dans le carnet d'adresses de la victime courante.
Pourquoi le fichier compressé est il chiffré puisque le mot de passe et fourni en clair dans le message lui-même ? Et comment le serveur de messagerie peut il repousser ce genre d'attaque ?


Je pense que le fichier est compressé avec un mot de passe pour que même si ton serveur mail est configuré pour analyser les fichiers compressés (antivirus, etc) il ne pourra pas puisque le fichier est crypté il ne pourra donc pas l'ouvrir et la décompression sera impossible. Un éventuel virus pourrait donc ne pas être détecté.

Comment repousser ce genre d'attaques ? en supprimant les fichiers portant certaines extensions : pif, scr, exe, zip, rar, bat, com ...

Serenity a écrit :

Question 2 :

Supposons un parc informatique comprenant plusieurs stations de travail connectées à Internet via un firewall. Plusieurs utilisateurs signalent que leur machine redémarre de manière intempestive. Selon l'un des utilisateurs ce problème est dû à un ver virulent qui exploite une faille du système d'exploitation. Pour ce propager le ver semble utiliser des connexions TCP et UDP vers d'autres machines aussi bien dans le réseau local que dans l'extérieur du réseau.
Quelles sont les mesures d'urgence à appliquer afin d'enrayer la propagation du ver ?
Quelles sont les mesures à prendre pour restaurer l'intégrité du système ?


Première chose que je ferais, débrancher les câbles réseaux des machines saines si toutefois il est possible de travailler sans, puis installer un pare-feu digne de ce nom sur toutes les machines (une fois que le vers est rentré à l'intérieur, c'est fini si t'as rien pour te protéger). Bref ce que tu peux faire sinon c'est de changer le nom du groupe de travail directement dans la machine non infectée, comme ça la machine infectée ne pourra plus y accéder ainsi que le masque de sous réseau (en théorie du moins).

Pour restaurer le système infecté, ne surtout pas passer par la restauration système mais refaire une install propre, soit à partir d'un serveur comme c'est souvent le cas dans les grandes entreprises (en s'assurant que ce serveur contient une version saine) soit en y allant  comme on ferait pour n'importe quel PC à savoir avec le CD directement ... mais en faisant gaffe qu'aucune autre machine n'est infectée, sinon c'est rebelote ...
--

Hors ligneSerenity Le 01/04/2008 à 13:54 Profil de Serenity Configuration de Serenity

Salut Anthony ,

merci beaucoup pour tes réponses :)
pour la 2eme question tu dis qu'il suffit de changer le non du groupe de travail dans les machines non infectées , mais est ce que cette mesure n'est pas suffisante puisque le ver se propage non seulement à l'intérieur du réseau mais vers l'extérieur aussi ?

Et pour la restauration du système , si on fait une nouvelle installation via un serveur ou un CD, est ce qu'il n'y aura pas toujours un risque que le ver se trouve dans les fichiers des données ? est ce que les vers ont la capacité de se loger dans des fichiers ?

Merciiii d'avance :)
Hors ligneTrepied Le 01/04/2008 à 20:01 Profil de Trepied Configuration de Trepied

Dr_Chacalux
Une solution simple efficace et gratuite :

Mettre tous les postes sous Linux, cette solution fonctionne pour les deux problèmes
--
Computers are like air conditioners, they are useless when you open Windows.
Hors ligneAnthony Le 01/04/2008 à 23:44 Profil de Anthony Configuration de Anthony

Fou du volant
Serenity a écrit :
pour la 2eme question tu dis qu'il suffit de changer le non du groupe de travail dans les machines non infectées , mais est ce que cette mesure n'est pas suffisante puisque le ver se propage non seulement à l'intérieur du réseau mais vers l'extérieur aussi ?


A vrai dire, que le vers se barre chez quelqu'un d'autre ... personnellement du moment qu'il rentre pas chez moi (comment ça je suis égoïste ?) Plus sérieusement, n'importe quel routeur doté d'un firewall digne de ce nom filtre les paquets sortants. Ton réseau est sécurisé de l'intérieur => le vers tente de sortir => il ne peut pas car le routeur général le bloque, point final :)

Serenity a écrit :

Et pour la restauration du système , si on fait une nouvelle installation via un serveur ou un CD, est ce qu'il n'y aura pas toujours un risque que le ver se trouve dans les fichiers des données ? est ce que les vers ont la capacité de se loger dans des fichiers ?


Ton vers lorsque tu réinstalleras tout (en formatant) ne sera plus de la partie. Un vers tente de s'envoyer aux plus de contacts possibles, après savoir si il se place dans des fichiers (systèmes) je n'en sais rien, ça doit dépendre du vers et de son fonctionnement. Pour récupérer le contenu du carnet d'adresses, pas besoin de modifier des fichiers système. Pour envoyer un mail non plus (en telnet c'est possible, encore une fois tout dépend du programme ...)

Trepied a écrit :
Une solution simple efficace et gratuite :

Mettre tous les postes sous Linux, cette solution fonctionne pour les deux problèmes


J'y avais pas pensé
--

Hors ligneSerenity Le 02/04/2008 à 19:44 Profil de Serenity Configuration de Serenity

Anthony a écrit :


A vrai dire, que le vers se barre chez quelqu'un d'autre ... personnellement du moment qu'il rentre pas chez moi (comment ça je suis égoïste ?) Plus sérieusement, n'importe quel routeur doté d'un firewall digne de ce nom filtre les paquets sortants. Ton réseau est sécurisé de l'intérieur => le vers tente de sortir => il ne peut pas car le routeur général le bloque, point final :)


Ahhh d'accord je vois :)


Trepied a écrit :
Une solution simple efficace et gratuite :

Mettre tous les postes sous Linux, cette solution fonctionne pour les deux problèmes


non sérieusement.. on a pas besoin d'antivirus  firewall et tout ça avec linux ???
En ligneMarculinos Le 02/04/2008 à 21:43 Profil de Marculinos Configuration de Marculinos

Viconaute Modérateur
Serenity a écrit :
non sérieusement.. on a pas besoin d'antivirus  firewall et tout ça avec linux ???

Bah disons que vu la proportion d'adeptes par rapport à la masse mondiale de Linuxien, les concepteurs de virus se disent que ça sert à rien encore d'en créer sous Linux si c'est juste pour faire ch... 0,01% de la population.

Bon, ok, c'est une explication de Windowsien. Un linuxien te répondondra que Linux est au top de la sécurité, qu'il est inviolable et patati et patata...

Bon, ok, je m'enfonce...

En fait, s'il ne restait plus que Linux, le problème se reporterait dessus, donc, moi je dis : il faut de tout pour faire un monde et prendre les bons côtés de tout ce qui existe.

Hors ligneTrepied Le 03/04/2008 à 13:45 Profil de Trepied Configuration de Trepied

Dr_Chacalux
C'est surtout dans ce cas là, le péquin moyen n'est pas administrateur de son Linux il est comme tout le monde utilisateur, donc son mail à la con ne pourra en aucun cas atteindre à l'intégrité su système...

Ensuite, il y a un firewall intégré dans linux, iptable, seulement ce firewall là il fonctionne...
--
Computers are like air conditioners, they are useless when you open Windows.
Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !
Vulgarisation-informatique.com
Cours en informatique & tutoriels