Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 09/04/2017, à 12:52

lamidesbetes

Sécurisation des mises à jours (DNS fraude)

Bonjour.

Une technique de hacking connue est l'usurpation des résultats DNS,
Soit par hacking du routeur (box internet)
Soit par la volonté d'un état à censurer (google Chine il y a dix ans), mais un état ou une mafia pourrait également à grands frais faire un miroir intermédiaire entre le serveur original (google, facebook, yahoo...) recopiant et contrôlant tout ainsi (vrai post du client, censuré ou pas, faux post, contrôle des mail recevable ou non...): dans ce cas avec accord ou non des annuaires DNS (y compris OPEnDNS qui pourrait être hacké, ou derrière un miroir, ou complaisant par exemple par infiltrations ou menace sur ses quelques employés/ dirigeants clefs)
Un whois peut donc être hacké grâce aux DNS.

Ipsec et ipv6 ne marchent pas forcément, même configuré il reste des ipv4.

J'ai remarqué des anomalies fréquentes sous SSL sous firefox au niveau gui (icône verte de certificat absente)

Il est à noter que l'assistance à distance à l'installation (terminal server, aide...) est un très gros risque (j'ai réinstalle XP plus de 100 fois en un mois en 2009 sans succès):
Mon firewall n'a jamais tenu une semaine.
Même sous Ubuntu il n'est pas configuré au démarrage.

Voici donc quelques idées rapides:

1.aucun accès à distance à l'installation (bios) tant que le firewall n'est pas pret et configuré. Activation et ouverture des ports Volontaire par root
2.firewall limité à 80 et 443: ouverture volontaire (root)
3.Annuaire DNS de type peer guard: sauvegardé avec MD5 sur l'ordinateur(et vérification des DNS classique, mais ça ne résoudre pas le hacking sur le réseau local et usurpation d'annuaire dans le cas du hacking DNS), et MISE A JOUR PAR IP systématique (choix?)
Je n'ai pas toujours à téléphoner au 118218 pour appeler ma femme, et vous?

On peut imaginer une clef USB à l'installation cryptée:
(Truecrypt?)
En readonly ensuite voir destruction (problèmes de microSD connu: on ne peut plus modifier les fichiers)
On aurait sur cette clef:
-les fichiers pour se loguer avec ou sans MDP
-les IP essentielles (d'Ubuntu serveurs, google, facebook...les FTP, ovh...)
- les logins firefox
...
Voire une partition secondaire:configuration et logiciels portables

Truecrypt pourrait décoder la clef avec une seconde partition ou une deuxième clef pour les datas sensibles (cryptage Sha ou md5 + fichiers personnels)

Une mise à jour simple avec annuaire des BIOS officiel/nightly serait aussi intéressant ?

Des volontaires pour une distribution "BigParanoy"?
(Moi pas être qualifié, en plus j'ai pas le numéro de téléphone de ma femme... :-) :-( )

Dernière modification par lamidesbetes (Le 09/04/2017, à 12:56)

Hors ligne

#2 Le 09/04/2017, à 13:59

erresse

Re : Sécurisation des mises à jours (DNS fraude)

Allez, avoue... tu travailles à la NSA hein ? Je ne vois que ça pour justifier une telle paranoïa !
Tu sais que tu peux aussi ne pas raccorder ta machine au réseau pour éviter toute intrusion ? Mais n'oublie pas aussi de l'attacher solidement avec un gros anti-vol, parce-que quelqu'un pourrait bien carrément te la subtiliser sur ton bureau !
Aïe aïe aïe !!!
lol


Plus de 50 ans d'informatique, ça en fait des lignes de commandes en console, mais on n'avait pas le choix...
Excellente raison pour, aujourd'hui qu'on le peut, utiliser au maximum les INTERFACES GRAPHIQUES !
Important : Une fois résolu, pensez à clore votre sujet en ajoutant [Résolu] devant le titre du 1er message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.

Hors ligne

#3 Le 09/04/2017, à 14:11

lamidesbetes

Re : Sécurisation des mises à jours (DNS fraude)

lamidesbetes a écrit :

Bonjour.

Une technique de hacking connue est l'usurpation des résultats DNS,
Soit par hacking du routeur (box internet)
Soit par la volonté d'un état à censurer (google Chine il y a dix ans), mais un état ou une mafia pourrait également à grands frais faire un miroir intermédiaire entre le serveur original (google, facebook, yahoo...) recopiant et contrôlant tout ainsi (vrai post du client, censuré ou pas, faux post, contrôle des mail recevable ou non...): dans ce cas avec accord ou non des annuaires DNS (y compris OPEnDNS qui pourrait être hacké, ou derrière un miroir, ou complaisant par exemple par infiltrations ou menace sur ses quelques employés/ dirigeants clefs)
Un whois peut donc être hacké grâce aux DNS.

Ipsec et ipv6 ne marchent pas forcément, même configuré il reste des ipv4.

https://scontent-cdg2-1.xx.fbcdn.net/v/ … e=5954DF14



https://m.facebook.com/charlois2017/?re … &source=47


Modération : merci d'utiliser des images de petite taille (300x300) ou des miniatures pointant sur ces images (Des hébergeurs comme Toile Libre, TDCT'Pix et hostingpics le permettent).

Dernière modification par cqfd93 (Le 09/04/2017, à 16:03)

Hors ligne

#4 Le 09/04/2017, à 14:31

jplemoine

Re : Sécurisation des mises à jours (DNS fraude)

lamidesbetes a écrit :

1.aucun accès à distance à l'installation (bios) tant que le firewall n'est pas pret et configuré. Activation et ouverture des ports Volontaire par root

Aucun intérêt : voir cette page.

lamidesbetes a écrit :

2.firewall limité à 80 et 443: ouverture volontaire (root)

idem

lamidesbetes a écrit :

3.Annuaire DNS de type peer guard: sauvegardé avec MD5 sur l'ordinateur(et vérification des DNS classique, mais ça ne résoudre pas le hacking sur le réseau local et usurpation d'annuaire dans le cas du hacking DNS), et MISE A JOUR PAR IP systématique (choix?)
Je n'ai pas toujours à téléphoner au 118218 pour appeler ma femme, et vous?

Là, c'est très simple : il y a déjà une protection de type MD5. Si quelqu'un modifie le code, le MD5 est changé : la MAJ ne s'installera pas.
Évidement, le MD5 et le code ne sont pas sur les mêmes serveurs.
--> Voir l'attaque des ISO de Linux Mint, l'année dernière : voir là.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#5 Le 09/04/2017, à 18:31

Underneath

Re : Sécurisation des mises à jours (DNS fraude)

Je voulais me pencher sur DNScrypt, mais je n'ai pas encore eu le temps. Je ne me suis même pas encore occupé d'ailleurs de mes soucis de fuites DNS avec mon VPN (enfin, ça fuit plus, mais c'est du bricolage dégueulasse, ça fait boulot de plombier au black).


Boubounetou 17.04

Hors ligne

#6 Le 10/04/2017, à 10:04

lamidesbetes

Re : Sécurisation des mises à jours (DNS fraude)

Je lirais les lien plus tard

1.Ubuntu déconseille les mises à jour par INTERFACE GRAPHIQUE pour des raisons de sécurité. PS: les ordis en 1967 c'était des immeubles avec des DNS par fils pour "appeler le 17 à Asnières" ?

2.Complément:
Dans le cas freebox, les data du serveur (gestion en http) ne sont pas mises à jour par rapport à "freebox OS" (connections locale au routeur)

Donc si quelqu'un arrivait à hacker le firmware de la box, il peut changer les DNS FAI et faire en sorte que ni fées ni freebox os ne le voit.
Isn'it ?

Dernière modification par lamidesbetes (Le 10/04/2017, à 10:38)

Hors ligne

#7 Le 10/04/2017, à 10:12

lamidesbetes

Re : Sécurisation des mises à jours (DNS fraude)

jplemoine a écrit :

Évidement, le MD5 et le code ne sont pas sur les mêmes serveurs.
--> Voir l'attaque des ISO de Linux Mint, l'année dernière : voir là.

Bah tu donnes 2 IP que tu inscrit dans ton miroir DNS et tu donnes les MD5 de tes mises a jour que tu as hacké... en les modifiant aussi dans les mises à jour...
je vois aucune sécurité dans ta description...

J'en conclu que tu appelle toujours le 118218 pour appeler ta femme ou tes amis?

Dernière modification par lamidesbetes (Le 10/04/2017, à 10:13)

Hors ligne

#8 Le 07/05/2017, à 10:12

Compte anonymisé

Re : Sécurisation des mises à jours (DNS fraude)

Une technique de hacking connue est l'usurpation des résultats DNS,
Soit par hacking du routeur (box internet)
Soit par la volonté d'un état à censurer (google Chine il y a dix ans), mais un état ou une mafia pourrait également à grands frais faire un miroir intermédiaire entre le serveur original (google, facebook, yahoo...) recopiant et contrôlant tout ainsi (vrai post du client, censuré ou pas, faux post, contrôle des mail recevable ou non...): dans ce cas avec accord ou non des annuaires DNS (y compris OPEnDNS qui pourrait être hacké, ou derrière un miroir, ou complaisant par exemple par infiltrations ou menace sur ses quelques employés/ dirigeants clefs)
Un whois peut donc être hacké grâce aux DNS.

Sinon,ta machine peut devenir un résolveur DNS, c'est ce que je fais depuis longtemps...