Pharming... un risque avec ubuntu?

Efhache84 · Le 11/08/2006, à 12:24

Voilà, bon j'ai été abonné à Norton (oui oui pas tapper, je m'excuse... pardon ), et de temps à autre je recois une newsletter... Mais cette fois-ci en la parcourant rapidement du regard avant de la jetter. J'ai été interpellé par le sujet concernant les "Pharming"...

C'est à dire, d'après cette newsletter des phishers évolué et de ce fait indétectable (sauf bien entendu avec Norton (sic) )

Mis à part le côté dramatico-commercial qui cherche uniquement à m'inciter à acquérir le tout dernier super_mega_genial_Norton_de_la_mort_qui_tue_tous_les_malware. Existe-t-il réellement un risque sous Linux d'être confronté à ce genre de menace? Et plus particulièrement sous Ubuntu? Si oui, comment s'en prémunir?

Je pense toujours évidement aux services de PC-Banking, chez moi la seule chose qui mérite vraiment une nécessité de confidentialité (je l'aurais mauvaise de voir mon compte passé à -1500eur à cause de ce genre de petit soucis) D'autant que si en général la banque rembourse, je ne serais pas étonner de voir un non remboursement sous prétexte de ne pas disposer d'antivirus (bah oui sous linux il parraît que ça ne sert à rien...)

Bon maintenant au cas où certains ne savent pas ce que sont les Pharming, voici l'explicatif Norton :

http://www.symantec.com/region/fr/clubs … 6_1_8.html

J'y retiens surtout :

Le pharming peut diriger automatiquement les internautes vers un site Web frauduleux qu'ils pensent être un site bancaire ou commercial légitime

Le pharming, selon lui, "peut être indétectable. Ce n'est pas encore une pratique très courante, mais le phénomène s'amplifie."

Le pharming fonctionne de trois façons différentes :
1) Empoisonnement du DNS sur une machine locale
(...)
2) Le Cross-site scripting : (...)les pirates tentent également d'entrer dans le code de sites Web légitimes dans le but d'insérer un script qui manipulera alors les visiteurs du site
(...)
3) Empoisonnement du DNS basé sur serveur

Alors il est bien question des façons de se prémunir : choisir un FAI légitime (euh oui lesquels ne le sont pas en fait??), vérifier que l'url est correcte (encore faut-il connaître l'url correcte par coeur, surtout celle contenant une série de caractère quasi aléatoire), un antivirus (y a pas ), vérifiez les certificats (euh oui sous firefox on peut le faire? moi ça m'affiche souvent identité non trouivée...), utilisez ses favoris (oui mais si les DNS de mon pc ont été modifié???)

Bon la question semble probablement idiote à certain, mais venant de windows, j'ai l'habitude d'avoir l'antivirus et de lui faire confiance (pas eu de soucis en 5 ans de connexion continue). On me dit que linux ne nécessite pas d'antivirus, mais psychologiquement cette notion m'est quelque peu difficile à assimiler...

Alors y a-t-il un risque pour Ubuntu? Si oui, comment s'en prémunir?

NB : j'ai chercher s'il y avait un sujet en traintant, j'ai rien trouvé, si c'est le cas... comme d'hab, on efface ici

Smashou · Le 11/08/2006, à 14:00

Alors à mon avis et sa n'engage que moi:
Sous Ubuntu ils vont pas te modifier tes DNS comme sa

Par contre tu peux tout a fait etre victime de ce genre de "piraterie" puisque en réalité rien ne se passe vraiment sur la machine de la victime mais plutot tout du coté du ou des serveurs "frauduleux"/ou non

wam · Le 11/08/2006, à 14:04

et si c'est le serveur qui est attaqué, je ne vois pas trop ce que ça va changer d'avoir Norton ou pas.

Ago · Le 11/08/2006, à 14:12

Voilà.

À moins que Norton garde en mémoire les urls valides et bloque si elle est différente?

Je sais plus où sont stoqués les dns sous linux, mais c'est un fichier appartenant à root, donc pas de risque avec un quelconque script si tu ne le lances pas toi même

Donk · Le 11/08/2006, à 14:14

J'ai fait un petit tour sur wikipedia, où j'ai trouvé ça.
On peut d'ailleurs y lire que:

Antivirus software and spyware removal software cannot protect against pharming.

Y a-t-il un risque pour Ubuntu ou linux?
1) En informatique, ne jamais dire jamais
2) Si l'attaque se fait au niveau des serveurs, alors tu ne peux pas faire grand chose.
3) Tu n'as pas été gentil et quelqu'un t'en veut, alors il faut que cette personne puisse modifier des fichiers sur ton pc, et contre ça avoir un système à jour, un par-feu bien configuré et faire attention à ce que tu installes sur ton pc devrait te permettre de naviguer tranquillement

Dernière modification par Donk (Le 11/08/2006, à 14:15)

iuchiban · Le 11/08/2006, à 14:15

Et si tu veux un antivirus, tu as clamAV ou avast.

J'utilise avast sur mon Windows et je le trouve très bien, sauf quand y a une popup qui t'indique qu'une mise à jour a été installé. En plein milieu d'une tremulous ca le fait:/

PS : oublie pas de bien régler tes iptables aussi. Blocage de tous les ports par défaut. Ouverture des ports 21, 80, 110, ... pour le ftp, le web, le pop, ... Bien manipulées, c'est le top du top.

Dernière modification par iuchiban (Le 11/08/2006, à 14:16)

Efhache84 · Le 11/08/2006, à 14:15

Je sais plus où sont stoqués les dns sous linux, mais c'est un fichier appartenant à root, donc pas de risque avec un quelconque script si tu ne le lances pas toi même

Non, peut de risque, je ne vois pas ce que j'y ferrai pour l'instant

Donc pas de risque?

iuchiban · Le 11/08/2006, à 14:18

Le fichier, tu as le /etc/hosts sinon le serveur DNS c'est dans /etc/bind9/resolv.conf et c'est effectivement du fichier appartenant à root.

OdyX · Le 11/08/2006, à 15:03

Vous êtes tous tombés dans le panneau... Il ne s'agit pas de modifier VOTRE référence locale aux serveurs DNS... Un serveur DNS, c'est un serveur qui lie noms de domaines et adresses IP... Il rend une adresse IP lorsqu'il reçoit une demande contenant un nom de domaine, en fonction de ses registres... Quand on "enregistre" un nom de domaine, on va diffuser le lien IP-nomDeDomaine aux serveurs DNS primaires, qui vont gentiment les diffuser un peu partout, pour que tout le monde puisse accéder au nouveau site avec le ndd...

Si on a par exemple, un site youpi.com qui pointe sur une adresse 1.2.3.4, l'idée de l'attaque, c'est de dire à tous les serveurs DNS que youpi.com ne pointe plus sur 1.2.3.4, mais sur 666.666.666.666 (c'est un exemple ), ce qui permet au pirate de "récolter" les gens qui visent youpi.com sur son serveur 666.666.666.666... Les IP des DNS stockés en local sur la Ubuntu ne changent pas, ce sont les registres internes des serveurs DNS qui sont visés...

J'ai bon?

@+, OdyX

Ago · Le 11/08/2006, à 15:10

Tu peux héberger tes propres DNS je crois

Efhache84 · Le 11/08/2006, à 15:26

Re: Pharming... un risque avec ubuntu?
Vous êtes tous tombés dans le panneau... Il ne s'agit pas de modifier VOTRE référence locale aux serveurs DNS... Un serveur DNS, c'est un serveur qui lie noms de domaines et adresses IP... Il rend une adresse IP lorsqu'il reçoit une demande contenant un nom de domaine, en fonction de ses registres... Quand on "enregistre" un nom de domaine, on va diffuser le lien IP-nomDeDomaine aux serveurs DNS primaires, qui vont gentiment les diffuser un peu partout, pour que tout le monde puisse accéder au nouveau site avec le ndd...
Si on a par exemple, un site youpi.com qui pointe sur une adresse 1.2.3.4, l'idée de l'attaque, c'est de dire à tous les serveurs DNS que youpi.com ne pointe plus sur 1.2.3.4, mais sur 666.666.666.666 (c'est un exemple ), ce qui permet au pirate de "récolter" les gens qui visent youpi.com sur son serveur 666.666.666.666... Les IP des DNS stockés en local sur la Ubuntu ne changent pas, ce sont les registres internes des serveurs DNS qui sont visés...

Et donc? Pas de soucis avec ubuntu alors? seul soucis serait de passer par un serveur externe dont les dns sont modifié?

bipede · Le 11/08/2006, à 15:38

Efhache84 a écrit :

Et donc? Pas de soucis avec ubuntu alors? seul soucis serait de passer par un serveur externe dont les dns sont modifié?

Ubuntu n'est pas plus à l'abri que Windows sur ce type de malversation.

Si tu veux aller sur le site de ta banque, et que les DNS te dirigent sur un clone, parce que l'adresse du clone a été substitué à l'adresse de ta banque dans leurs registres, tu n'auras aucune raison de penser que tu n'es pas sur ton site, et tu donneras tes login et mot de passe sans te méfier.

Le génie des pirates c'est d'avoir pu faire de la malversation cross-plateform en s'attaquant aux noeuds du web que sont les DNS.

canabix67 · Le 11/08/2006, à 15:46

Excellent article sur le sujet:
http://www.linux-magazine.com/issue/67/ … arming.pdf

Efhache84 · Le 11/08/2006, à 15:56

Si tu veux aller sur le site de ta banque, et que les DNS te dirigent sur un clone, parce que l'adresse du clone a été substitué à l'adresse de ta banque dans leurs registres, tu n'auras aucune raison de penser que tu n'es pas sur ton site, et tu donneras tes login et mot de passe sans te méfie

Il me reste donc à passer au plus vite au système utilisant les digipass... un code à 8 chiffres alléatoire, à entrer dans un petit appareil sans lien au pc, ma carte de banque, mon code, et je rentre sur le site le code réponse fournit par l'appareil...
Comme le code innitial est aléatoire et unique, ça devrait être bon...

Sinon, du coup je ne comprend pas en quoi Norton peut-il se targuer que son antivirus protège contre le pharming?? A part une déclaration de marketing...

marcounet · Le 11/08/2006, à 17:52

Pour ma part, ma banque m'a fourni un p'tit programme (oui oui, sous Linux aussi) que je dois lancer avant de me connecter et qui fait office de serveur http local, un genre de tampon entre mon PC et le serveur de la banque, et je pense qu'il crypte tous les échanges entre les deux. Donc, quand je vais à ma banque c'est sur 127.0.0.1:1234 et pas directement sur le serveur extérieur.
Mais si ce serveur extérieur était remplacé par un clone ? Je pense qu'il faudrait d'abord qu'il arrive à décrypter ce que le programme tampon lui envoie... Enfin c'est peut-être possible, mais ça me semble encore plus sécurisé qu'avec le digipass.
Qu'en pensez-vous ?

mika · Le 11/08/2006, à 18:03

Vous avez de la chance vous, moi ma banque me fournit que des lettres de rappel. La vie est mal faite je vous dit que ça.

Bon cela dit, je vais pas sur leur site du coup, donc pas de pharming

Efhache84 · Le 11/08/2006, à 19:48

Bon je proffite de ce sujet pour refaire une demande, j'avais déjà eu la réponse, mais j'avais remis à plus tard l'installation. Et la recherche sur le forum m'envoit sur les roses...

Donc qu'y a-t-il de mieux comme firewall pour ubuntu? J'utillise jusque maintenant lokkit en mode console (comme dit dans le bonquin Ubuntu) mais est-ce qu'il y a mieux? si oui lequel? voilà, merci de votre aide... désolé de refaire la demande, mais pas moyen de faire une recherche (pareil chez vous??)

DecIRC · Le 12/08/2006, à 01:08

Pour le firewall, IpTables qui a FireStarter comme interface de config.
Si le DNS de mon provider de ma banque est foireux.. cela veut dire généralement que le hacking est orienté vers ma banque ou vers mon FAI.
Si je perds mes sous, cela devient leur problème, pas le mien...

cEd

2fast4u · Le 12/08/2006, à 01:28

Dans ce genre de situation, le virus est entre la chaise et le clavier

Ago · Le 12/08/2006, à 08:39

Relis le topic encore une fois, et moins vite, 2fast

Ago · Le 12/08/2006, à 14:01

C'est pas exctement le même sujet, mais je viens de voir ça dans Bon Echo (Fx 2.0, dans les depots Edgy):

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 11/08/2006, à 12:24

Pharming... un risque avec ubuntu?

#2 Le 11/08/2006, à 14:00

Re : Pharming... un risque avec ubuntu?

#3 Le 11/08/2006, à 14:04

Re : Pharming... un risque avec ubuntu?

#4 Le 11/08/2006, à 14:12

Re : Pharming... un risque avec ubuntu?

#5 Le 11/08/2006, à 14:14

Re : Pharming... un risque avec ubuntu?

#6 Le 11/08/2006, à 14:15

Re : Pharming... un risque avec ubuntu?

#7 Le 11/08/2006, à 14:15

Re : Pharming... un risque avec ubuntu?

#8 Le 11/08/2006, à 14:18

Re : Pharming... un risque avec ubuntu?

#9 Le 11/08/2006, à 15:03

Re : Pharming... un risque avec ubuntu?

#10 Le 11/08/2006, à 15:10

Re : Pharming... un risque avec ubuntu?

#11 Le 11/08/2006, à 15:26

Re : Pharming... un risque avec ubuntu?

#12 Le 11/08/2006, à 15:38

Re : Pharming... un risque avec ubuntu?

#13 Le 11/08/2006, à 15:46

Re : Pharming... un risque avec ubuntu?

#14 Le 11/08/2006, à 15:56

Re : Pharming... un risque avec ubuntu?

#15 Le 11/08/2006, à 17:52

Re : Pharming... un risque avec ubuntu?

#16 Le 11/08/2006, à 18:03

Re : Pharming... un risque avec ubuntu?

#17 Le 11/08/2006, à 19:48

Re : Pharming... un risque avec ubuntu?

#18 Le 12/08/2006, à 01:08

Re : Pharming... un risque avec ubuntu?

#19 Le 12/08/2006, à 01:28

Re : Pharming... un risque avec ubuntu?

#20 Le 12/08/2006, à 08:39

Re : Pharming... un risque avec ubuntu?

#21 Le 12/08/2006, à 14:01

Re : Pharming... un risque avec ubuntu?

Pied de page des forums