On 11/28/19 5:04 PM, Radu-Adrian Feurdean wrote:
> Ca reste l'equivalent d'un /8 par OUI.
> Et de nos jours pas mal de fabricants ont plusieurs (parfois dizaines) d'OUI.
> Et c'est valable que pour les hotes qui n'utilisent aucune extension (ni 
> privacy, ni CGA)
> Tout ca, pour trouver ce qu'il y a chez un seul client.
> Je te laisse le loisir de re-faire ca plusieurs (??? dizaines de ??? 
> centaines de ???) milliers de fois pour commencer a monter  un botnet.

Je n'aurais jamais cru que des pirates allaient faire de l'attaque
dictionnaire(*) sur des comptes et, pourtant, c'est bel et bien ce qui
semble se passer.

(*) mots de passe simples et ré-utilisation de mots de passe compromis
légèrement modifiés

Aujourd'hui, les attaquants se montent des plateformes massivement
réparties et fortement asynchrones. Ils ne supportent pas le coût des
attaques et quand bien même il faut du temps pour récupérer des comptes,
la volumétrie des attaques font qu'ils en récupèrent suffisamment pour
leur activité.

En tant que particulier, j'aurai tendance à avoir le même point de vue
que toi (peu probable et pas rentable). En tant qu'employé FAI, je sais
que je vais avoir des centaines de milliers d'utilisateurs qui vont se
faire trouer le cul.

>> Si l'attaquant a accès aux logs de serveurs (site web par exemple), la
> Sauf pour les privacy extensions (adresses temporaires).

Non, (1) tu pars sur une situation idéale et (2) l'attaque peut être
immédiate.

Pour le (1), je vois comment c'est le bordel quand la chaîne hifi ou
l'imprimante changent d'IP ; le programmateur pour l'arrosage ne
supporte même pas de changer de canal wifi (*sic*), etc...

Les utilisateurs ont des objets connectés sur lesquels l'interface de
gestion peut être minimaliste et dont la durée du support est inférieur
à l'espérance de vie. Leur utilisabilité peut être contraire à certains
principes de sécurité et, ici, ce n'est pas la sécurité qui gagnera.

> A force d'avoir abuse du firewall (NAT ou pas) comme la solution a tous les 
> maux (reels mais surtout immaginaires), les black-hats ont commence a 
> apprendre a passer au travers. Aujourd'hui, le "deny all incoming 
> connections" est nettemant moins efficace qu'avant.
> Certes, quand quelqu'un sur un acces fixe/statique est vise explicitement, la 
> situation change un peu. Mais le "au secours, MAINTENANT je suis tout nu sur 
> Internet", ca tien pas. Surtout que tu peux mettre ton "plus ou moins 
> firewall" derriere la box. Y compris pour du v6 !!!!

Chez des utilisateurs lambda ? Non, je n'y crois pas. Tout est branché
au cul de la box avec la configuration par défaut.

François


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à