Contenu | Rechercher | Menus

Annonce

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Pour en savoir un peu plus sur l'équipe du forum.

Appel à contributeurs pour la doc.

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 09/04/2017, à 13:52

lamidesbetes

Sécurisation des mises à jours (DNS fraude)

Bonjour.

Une technique de hacking connue est l'usurpation des résultats DNS,
Soit par hacking du routeur (box internet)
Soit par la volonté d'un état à censurer (google Chine il y a dix ans), mais un état ou une mafia pourrait également à grands frais faire un miroir intermédiaire entre le serveur original (google, facebook, yahoo...) recopiant et contrôlant tout ainsi (vrai post du client, censuré ou pas, faux post, contrôle des mail recevable ou non...): dans ce cas avec accord ou non des annuaires DNS (y compris OPEnDNS qui pourrait être hacké, ou derrière un miroir, ou complaisant par exemple par infiltrations ou menace sur ses quelques employés/ dirigeants clefs)
Un whois peut donc être hacké grâce aux DNS.

Ipsec et ipv6 ne marchent pas forcément, même configuré il reste des ipv4.

J'ai remarqué des anomalies fréquentes sous SSL sous firefox au niveau gui (icône verte de certificat absente)

Il est à noter que l'assistance à distance à l'installation (terminal server, aide...) est un très gros risque (j'ai réinstalle XP plus de 100 fois en un mois en 2009 sans succès):
Mon firewall n'a jamais tenu une semaine.
Même sous Ubuntu il n'est pas configuré au démarrage.

Voici donc quelques idées rapides:

1.aucun accès à distance à l'installation (bios) tant que le firewall n'est pas pret et configuré. Activation et ouverture des ports Volontaire par root
2.firewall limité à 80 et 443: ouverture volontaire (root)
3.Annuaire DNS de type peer guard: sauvegardé avec MD5 sur l'ordinateur(et vérification des DNS classique, mais ça ne résoudre pas le hacking sur le réseau local et usurpation d'annuaire dans le cas du hacking DNS), et MISE A JOUR PAR IP systématique (choix?)
Je n'ai pas toujours à téléphoner au 118218 pour appeler ma femme, et vous?

On peut imaginer une clef USB à l'installation cryptée:
(Truecrypt?)
En readonly ensuite voir destruction (problèmes de microSD connu: on ne peut plus modifier les fichiers)
On aurait sur cette clef:
-les fichiers pour se loguer avec ou sans MDP
-les IP essentielles (d'Ubuntu serveurs, google, facebook...les FTP, ovh...)
- les logins firefox
...
Voire une partition secondaire:configuration et logiciels portables

Truecrypt pourrait décoder la clef avec une seconde partition ou une deuxième clef pour les datas sensibles (cryptage Sha ou md5 + fichiers personnels)

Une mise à jour simple avec annuaire des BIOS officiel/nightly serait aussi intéressant ?

Des volontaires pour une distribution "BigParanoy"?
(Moi pas être qualifié, en plus j'ai pas le numéro de téléphone de ma femme... :-) :-( )

Dernière modification par lamidesbetes (Le 09/04/2017, à 13:56)

Hors ligne

#2 Le 09/04/2017, à 14:59

erresse

Re : Sécurisation des mises à jours (DNS fraude)

Allez, avoue... tu travailles à la NSA hein ? Je ne vois que ça pour justifier une telle paranoïa !
Tu sais que tu peux aussi ne pas raccorder ta machine au réseau pour éviter toute intrusion ? Mais n'oublie pas aussi de l'attacher solidement avec un gros anti-vol, parce-que quelqu'un pourrait bien carrément te la subtiliser sur ton bureau !
Aïe aïe aïe !!!
lol


Plus de 50 ans d'informatique, ça en fait des lignes de commandes en console, mais on n'avait pas le choix...
Excellente raison pour, aujourd'hui qu'on le peut, utiliser au maximum les INTERFACES GRAPHIQUES !
Important : Une fois résolu, pensez à clore votre sujet en ajoutant [Résolu] devant le titre du 1er message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.

Hors ligne

#3 Le 09/04/2017, à 15:11

lamidesbetes

Re : Sécurisation des mises à jours (DNS fraude)

lamidesbetes a écrit :

Bonjour.

Une technique de hacking connue est l'usurpation des résultats DNS,
Soit par hacking du routeur (box internet)
Soit par la volonté d'un état à censurer (google Chine il y a dix ans), mais un état ou une mafia pourrait également à grands frais faire un miroir intermédiaire entre le serveur original (google, facebook, yahoo...) recopiant et contrôlant tout ainsi (vrai post du client, censuré ou pas, faux post, contrôle des mail recevable ou non...): dans ce cas avec accord ou non des annuaires DNS (y compris OPEnDNS qui pourrait être hacké, ou derrière un miroir, ou complaisant par exemple par infiltrations ou menace sur ses quelques employés/ dirigeants clefs)
Un whois peut donc être hacké grâce aux DNS.

Ipsec et ipv6 ne marchent pas forcément, même configuré il reste des ipv4.

https://scontent-cdg2-1.xx.fbcdn.net/v/ … e=5954DF14



https://m.facebook.com/charlois2017/?re … &source=47


Modération : merci d'utiliser des images de petite taille (300x300) ou des miniatures pointant sur ces images (Des hébergeurs comme Toile Libre, TDCT'Pix et hostingpics le permettent).

Dernière modification par cqfd93 (Le 09/04/2017, à 17:03)

Hors ligne

#4 Le 09/04/2017, à 15:31

jplemoine

Re : Sécurisation des mises à jours (DNS fraude)

lamidesbetes a écrit :

1.aucun accès à distance à l'installation (bios) tant que le firewall n'est pas pret et configuré. Activation et ouverture des ports Volontaire par root

Aucun intérêt : voir cette page.

lamidesbetes a écrit :

2.firewall limité à 80 et 443: ouverture volontaire (root)

idem

lamidesbetes a écrit :

3.Annuaire DNS de type peer guard: sauvegardé avec MD5 sur l'ordinateur(et vérification des DNS classique, mais ça ne résoudre pas le hacking sur le réseau local et usurpation d'annuaire dans le cas du hacking DNS), et MISE A JOUR PAR IP systématique (choix?)
Je n'ai pas toujours à téléphoner au 118218 pour appeler ma femme, et vous?

Là, c'est très simple : il y a déjà une protection de type MD5. Si quelqu'un modifie le code, le MD5 est changé : la MAJ ne s'installera pas.
Évidement, le MD5 et le code ne sont pas sur les mêmes serveurs.
--> Voir l'attaque des ISO de Linux Mint, l'année dernière : voir là.


Cordialement, Jean-Philippe.
Système principal Sous Ubuntu de 2009 à février 2015 - Xubuntu depuis.
Xubuntu 16.04 (poste principal portable) - Ubuntu 16.04 server (desktop converti en serveur DHCP, DNS, dépôt local et supervision (shinken))
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)

Hors ligne

#5 Le 09/04/2017, à 19:31

Underneath

Re : Sécurisation des mises à jours (DNS fraude)

Je voulais me pencher sur DNScrypt, mais je n'ai pas encore eu le temps. Je ne me suis même pas encore occupé d'ailleurs de mes soucis de fuites DNS avec mon VPN (enfin, ça fuit plus, mais c'est du bricolage dégueulasse, ça fait boulot de plombier au black).


Boubounetou 17.04

Hors ligne

#6 Le 10/04/2017, à 11:04

lamidesbetes

Re : Sécurisation des mises à jours (DNS fraude)

Je lirais les lien plus tard

1.Ubuntu déconseille les mises à jour par INTERFACE GRAPHIQUE pour des raisons de sécurité. PS: les ordis en 1967 c'était des immeubles avec des DNS par fils pour "appeler le 17 à Asnières" ?

2.Complément:
Dans le cas freebox, les data du serveur (gestion en http) ne sont pas mises à jour par rapport à "freebox OS" (connections locale au routeur)

Donc si quelqu'un arrivait à hacker le firmware de la box, il peut changer les DNS FAI et faire en sorte que ni fées ni freebox os ne le voit.
Isn'it ?

Dernière modification par lamidesbetes (Le 10/04/2017, à 11:38)

Hors ligne

#7 Le 10/04/2017, à 11:12

lamidesbetes

Re : Sécurisation des mises à jours (DNS fraude)

jplemoine a écrit :

Évidement, le MD5 et le code ne sont pas sur les mêmes serveurs.
--> Voir l'attaque des ISO de Linux Mint, l'année dernière : voir là.

Bah tu donnes 2 IP que tu inscrit dans ton miroir DNS et tu donnes les MD5 de tes mises a jour que tu as hacké... en les modifiant aussi dans les mises à jour...
je vois aucune sécurité dans ta description...

J'en conclu que tu appelle toujours le 118218 pour appeler ta femme ou tes amis?

Dernière modification par lamidesbetes (Le 10/04/2017, à 11:13)

Hors ligne

#8 Le 07/05/2017, à 11:12

libc6

Re : Sécurisation des mises à jours (DNS fraude)

Une technique de hacking connue est l'usurpation des résultats DNS,
Soit par hacking du routeur (box internet)
Soit par la volonté d'un état à censurer (google Chine il y a dix ans), mais un état ou une mafia pourrait également à grands frais faire un miroir intermédiaire entre le serveur original (google, facebook, yahoo...) recopiant et contrôlant tout ainsi (vrai post du client, censuré ou pas, faux post, contrôle des mail recevable ou non...): dans ce cas avec accord ou non des annuaires DNS (y compris OPEnDNS qui pourrait être hacké, ou derrière un miroir, ou complaisant par exemple par infiltrations ou menace sur ses quelques employés/ dirigeants clefs)
Un whois peut donc être hacké grâce aux DNS.

Sinon,ta machine peut devenir un résolveur DNS, c'est ce que je fais depuis longtemps...


FreeBSD et Devuan... That's all
No SystemD User \ö/

Hors ligne