[FRnOG] Re: [FRnOG] Re: Détection des botnets et protection des internautes
Le 10/11/10, Herve Le Guillouherleguil...@gmail.com a écrit : Rien d'extrardinaire, je suis d'accord, mais ça a néanmoin le mérite d'exister. J'aimerais voir ce type de service arriver chez les hébergeurs français en tout cas. La détection du problème est-elle vraiment le point bloquant? Naïvement, j'aurais pensé que, dès qu'un site est infecté (ou une machine ou autre chose), il se trouvera forcément quelqu'un pour le signaler rapidement à abuse, qui (dans le cas d'un hébergeur) fera remonter l'information rapidement aux responsables du site. Non? Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: Détection des botnets et protection des internautes
Dans le genre exemple à suivre, GoDaddy aux US : http://news.softpedia.com/news/Go-Daddy-Offering-Website-Security-Scanning-Tool-165706.shtml Le 9 novembre 2010 22:38, vincent hinderer vhinde...@lexsi.com a écrit : Plusieurs individus du monde de la sécu en France ont pris de leur temps perso pour traduire les pages du site. Il n’y a plus eu volonté du CWG quand c’était prêt de mettre la version FR sur le site, sauf la page de test d’infection ( http://www.confickerworkinggroup.org - http://cert.lexsi.com/eyechart_fr.html). Après c’est vrai que les infections étaient/sont de toutes façons majoritairement en IN, CN, BR, etc. PS: Je n’ai pas apporté de contribution à ce fil de discussion pour l’instant par manque de temps, mais ne désespère pas de le faire. Vincent Cert-Lexsi On 05/11/10 10:31, Herve Le Guillou herleguil...@gmail.com wrote: -- Message transféré -- De : *Herve Le Guillou* herleguil...@gmail.com Date : 5 novembre 2010 10:30 Objet : Re: Détection des botnets et protection des internautes À : Stephane Bortzmeyer bortzme...@nic.fr Le Conficker Working Group a été un succès, par contre les français en étaient à peu près absents de ce que j'en vois, d'ailleur les page du CWG ont été traduites en plein de langues mais jamais en french... Dommage. RV. Le 5 novembre 2010 08:55, Stephane Bortzmeyer bortzme...@nic.fr a écrit : Je me souviens de pas mal de réunions de professionnels DNS où on était sommés d'agir vite et n'importe comment contre Conficker (et où les états-uniens, notamment l'ICANN, exerçaient une lourde pression pour agir, même au hasard). Finalement, la baudruche s'est dégonflée toute seule...
Re: [FRnOG] Re: Détection des botnets et protection des internautes
Plusieurs individus du monde de la sécu en France ont pris de leur temps perso pour traduire les pages du site. Il n¹y a plus eu volonté du CWG quand c¹était prêt de mettre la version FR sur le site, sauf la page de test d¹infection (http://www.confickerworkinggroup.org - http://cert.lexsi.com/eyechart_fr.html). Après c¹est vrai que les infections étaient/sont de toutes façons majoritairement en IN, CN, BR, etc. PS: Je n¹ai pas apporté de contribution à ce fil de discussion pour l¹instant par manque de temps, mais ne désespère pas de le faire. Vincent Cert-Lexsi On 05/11/10 10:31, Herve Le Guillou herleguil...@gmail.com wrote: -- Message transféré -- De : Herve Le Guillou herleguil...@gmail.com Date : 5 novembre 2010 10:30 Objet : Re: Détection des botnets et protection des internautes À : Stephane Bortzmeyer bortzme...@nic.fr Le Conficker Working Group a été un succès, par contre les français en étaient à peu près absents de ce que j'en vois, d'ailleur les page du CWG ont été traduites en plein de langues mais jamais en french... Dommage. RV. Le 5 novembre 2010 08:55, Stephane Bortzmeyer bortzme...@nic.fr a écrit : Je me souviens de pas mal de réunions de professionnels DNS où on était sommés d'agir vite et n'importe comment contre Conficker (et où les états-uniens, notamment l'ICANN, exerçaient une lourde pression pour agir, même au hasard). Finalement, la baudruche s'est dégonflée toute seule...
[FRnOG] Re: [FRnOG] Re: Détection des botnets et protection des internautes
Je me souviens de pas mal de réunions de professionnels DNS où on était sommés d'agir vite et n'importe comment contre Conficker (et où les états-uniens, notamment l'ICANN, exerçaient une lourde pression pour agir, même au hasard). Finalement, la baudruche s'est dégonflée toute seule... Le conficker-working-group est selon moi un modèle du genre en matière de réponse orchestrée contre la cybercriminalité. Il regroupait chercheurs, solutions antivirales, ISP, CERTs, universitaires, registres et autorités Internet. Il en est ressorti : - Des investigations coordonnées - Un blocage par anticipation de tous les noms de domaines générés par Conficker - Une sensibilisation pour le grand public - Une méthode de détection simple et efficace pour des postes Internet - Des alertes pour les sociétés qui s'inscrivent Je ne vois pas trop ce que l'on peut faire de mieux. Pour ma part, je salue les actions des registres pour le blocage des domaines. Si cela n'avait pas été fait et si ce groupe de travail ne s'était pas mobilisé si rapidement, je pense que Conficker aurait eu un tout autre impact. Pour en revenir à nos moutons (parce que ça dérape), le comportement DNS des clients infectés par Conficker permet très facilement de les détecter pour un FAI. Il est donc possible : - de notifier le client - de le restreindre dans une zone de quarantaine - bref de faire en sorte que l'internet s'en porte mieux Petite question déplacée : que dites vous à un ami qui vous dit avoir une MST et coucher à tout va? 1 - Vous vous en moquez (situation FAI fançais) 2 - Vous l'informer sur les conséquences (sensibilisation + notification) 3 - Vous lui proposez un RDV avec un médecin (zone de quarantaine) Pour moi, Internet devrait s'astreindre à la même logique que celle que l'on applique dans la vie réelle. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: Détection des botnets et protection des internautes
Bravo. Ca élève vachement le débat, des propos qui pourraient être tenus par tout kiddie qui n'a aucune idée de ce que peut être un environnement corporate lourd à gérer. Mais je sais, je sais, si je dis que ce n'est pas possible de changer de système d'exploitation pour plein d'utilisateurs en entreprise qui ne connaissent que Windows, et mal, on va me répondre qu'il suffit de changer les utilisateurs. Le jour où Linux sera impacté par autant de malware que Windows, on fera quoi ? Ca commence déjà à arriver sur Mac, avec au moins 5 éditeurs majeurs anti-viraux qui s'y mettent... RV. C'est amusant de voir tant d'appels à agir énergiquement, lancés par des gens qui évitent soigneusement de mentionner les vraies mesures radicales, changer de système d'exploitation.
Re: [FRnOG] Re: [FRnOG] Re: Détection des botnets et protection des internautes
On Fri, 5 Nov 2010 11:49:16 +0100, Herve Le Guillou wrote: Bravo. Ca élève vachement le débat, des propos qui pourraient être tenus par tout kiddie qui n'a aucune idée de ce que peut être un environnement corporate lourd à gérer. Mais je sais, je sais, si je dis que ce n'est pas possible de changer de système d'exploitation pour plein d'utilisateurs en entreprise qui ne connaissent que Windows, et mal, on va me répondre qu'il suffit de changer les utilisateurs. Le jour où Linux sera impacté par autant de malware que Windows, on fera quoi ? Ca commence déjà à arriver sur Mac, avec au moins 5 éditeurs majeurs anti-viraux qui s'y mettent... RV. Mais tout le monde sait que Linux est meilleur que tous les autres OS. La preuve, il arrive à faire des boucles infinies en 5 secondes ! -- Rémy Sanchez http://hyperthese.net/
Re: [FRnOG] Re: [FRnOG] Re : Détection des botnets et protection des internautes
Le Fri, Nov 05, 2010 at 11:49:16AM +0100, Herve Le Guillou [herleguil...@gmail.com] a écrit: [...], on va me répondre qu'il suffit de changer les utilisateurs. Aller, on est vendredi, j'ai mis mes bottes pour... Sans forcément « changer les utilisateurs », il faudrait leur apprendre à utiliser les outils (logiciels surtout, matériel aussi) qu'on met à leur disposition. Faudrait aussi que les choix corporate de rester sur des outils antédiluviens dangereux (le nombre d'intranet qui ne fonctionnent que sur de l'IE6, les failles mensuelles d'Acrobat Reader, etc.) soient pleinement assumés et que leur utilisation soit confinée hors « réseau public plein de méchants ». Un ralentisseur pour protéger les approches d'une école, c'est bien. Mais si les conducteurs, une fois informés par un panneau, adaptaient d'eux mêmes leur vitesse au contexte, ça serait encore plus efficace, et plus « universel ». -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re : Détection des botnets et protection des internautes
[on est vendredi, hein ?] Le Friday 05 November 2010 (12:01), Rémy Sanchez écrivait : On Fri, 5 Nov 2010 11:49:16 +0100, Herve Le Guillou wrote: Bravo. Ca élève vachement le débat, des propos qui pourraient être tenus par tout kiddie qui n'a aucune idée de ce que peut être un environnement corporate lourd à gérer. Mais je sais, je sais, si je dis que ce n'est pas possible de changer de système d'exploitation pour plein d'utilisateurs en entreprise qui ne connaissent que Windows, et mal, on va me répondre qu'il suffit de changer les utilisateurs. Non, on te citera la gendarmerie nationale. :-) Le jour où Linux sera impacté par autant de malware que Windows, on fera quoi ? Ca commence déjà à arriver sur Mac, avec au moins 5 éditeurs majeurs anti-viraux qui s'y mettent... à écrire des malware ? -- Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re: Détection des botnets et protection des internautes
Bravo. Ca élève vachement le débat, des propos qui pourraient être tenus par tout kiddie qui n'a aucune idée de ce que peut être un environnement corporate lourd à gérer. Mais je sais, je sais, si je dis que ce n'est pas possible de changer de système d'exploitation pour plein d'utilisateurs en entreprise qui ne connaissent que Windows, et mal, on va me répondre qu'il suffit de changer les utilisateurs. Je ne pensais pas qu'en 2010 ce genre de trolls pourrait encore marcher. Il faut croire que je suis trop optimiste sur la nature humaine. Mes félicitations à Stéphane qui a réussi un bien beau lancé. Le jour où Linux sera impacté par autant de malware que Windows, on fera quoi ? Ca commence déjà à arriver sur Mac, avec au moins 5 éditeurs majeurs anti-viraux qui s'y mettent... Il y a déjà des antivirus pour Linux, par exemple Avast[1] qui fournit en plus d'une archive tar des packages .deb et .rpm . Les éditeurs ne vont pas attendre que la menace soit réelle pour commencer à refourguer leur marchandise :) [1] http://www.avast.com/fr-fr/linux-home-edition --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re: Détection des botnets et protection des internautes
shad...@c0a8.org writes: Le jour où Linux sera impacté par autant de malware que Windows, on fera quoi ? Ca commence déjà à arriver sur Mac, avec au moins 5 éditeurs majeurs anti-viraux qui s'y mettent... Il y a déjà des antivirus pour Linux, par exemple Avast[1] qui fournit en plus d'une archive tar des packages .deb et .rpm . Les éditeurs ne vont pas attendre que la menace soit réelle pour commencer à refourguer leur marchandise :) Ce n'est pas un antivirus pour Linux, c'est un antivirus pour environnement microsoft fonctionnant sur un environnement linux ou bsd [1] http://www.avast.com/fr-fr/linux-home-edition --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Détection des botnets et protection des internautes
Herve Le Guillou wrote: Mais je sais, je sais, si je dis que ce n'est pas possible de changer de système d'exploitation pour plein d'utilisateurs en entreprise qui ne connaissent que Windows, et mal, on va me répondre qu'il suffit de changer les utilisateurs. heu... http://linuxfr.org/2010/11/03/27533.html ?! Si eux le peuvent, alors le monde de l'entreprise et Monsieur tout-le-monde le peuvent également. C. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Détection des botnets et protection des internautes
Herve Le Guillou wrote: Mais je sais, je sais, si je dis que ce n'est pas possible de changer de système d'exploitation pour plein d'utilisateurs en entreprise qui ne connaissent que Windows, et mal, on va me répondre qu'il suffit de changer les utilisateurs. heu... http://linuxfr.org/2010/11/03/27533.html ?? Sans vouloir manquer de respect à nos forces de l'ordre, si eux le peuvent, alors le monde de l'entreprise le peut également. C. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re: Détection des botnets et protection des internautes
On Fri, 2010-11-05 at 14:15 +0100, Herve Le Guillou wrote: Ce n'est tout simplement pas comparable. En Gendarmerie imposer un nouvel OS ne leur prend que du temps de formation, fait par des gendarme pour des gendarmes. Avec leurs méthode de bout de chandelles habituelles, cette migration présente un cout ridiculement bas par rapport à la même action menée dans une grande entreprise... en particulier parce que la dite entreprise va payer une autre boite pour faire le déploiement et la formation, plutot que de faire ca en interne... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re: Détection des botnets et protection des internautes
Pierre Chapuis catw...@archlinux.us writes: 2) les FAI filtrent au niveau des Box avec possibilité de désactiver le filtrage *pour les gens informés* Reste la 2, mais il faudrait une sacrée évolution des mentalités. Je pense que si vous parlez de filtrage, vous sous entendez filtrage de paquets réseau. Ce que je veux pour mes concitoyens (puisque l'on parle d'en dehors du monde entreprise, donc du grand public) ce n'est pas que les FAI prennent en charge la sécurité de leurs systèmes. Ce que je veux c'est qu'ils aient le plein contrôle de leurs liaisons au réseau, que les acteurs du marché proposent des solutions, et que le client décide de l'offre qui lui convient. Pourquoi je devrais avoir le mécanisme de sécurisation de mon FAI et pas celui que je décide de payer ? Cette solution est impossible au niveau : - économique, car le marché des box n'est tout simplement pas ouvert a la concurrence, n'aggravons pas la situation avec des mécanismes de sécurisation - légal, car il pourrait y avoir plusieurs utilisateurs sur la meme connections, et ce n'est pas parce que le propriétaire décide de confier ses données a son FAI que les autres utilisateurs le feront Techniquement, elle est possible bien sur, mais elle comporte tellement de contrainte (Que faire du flux chiffré reste la grande question) Et surtout elle ne s'attaque pas au problème du client/citoyen : le programme malicieux lui, il est installé sur un OS derrière la box. Sauf si l'idée c'est de faire fermer les liaisons des victimes incapablent de se protéger. La seule solution viable c'est la protection et détection du programme malicieux sur l'OS, avec des échanges de status ou d'infos entre les utilisateurs et des CERTs, une sorte de grid de contrôle du réseau. J'aimerais bien pouvoir inscrire ma box au service de la zone CERT de la société générale, qui me permettrait d'avoir la protection réseau et système relative à cette banque, mais aussi au groupe mailling list FRnOG, etc et recompiler les régles de tous ces acteurs en local. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re: Détection des botnets et protection des internautes
On Fri, 05 Nov 2010 14:37:52 +0100, Pierre Chapuis catw...@archlinux.us said: Pourquoi on en est venus à parler de grande entreprise en partant des botnets ? En entreprise, il y a (théoriquement) des admins systèmes avec des outils pour surveiller le réseau, détecter les postes infectés et prendre les mesures qui s'imposent. Pas chez les particuliers. Parce-que Joe User, qui travaille 35 (hahaha !!!) heures par semaine avec windoze/M$Ospice/IE veut avoir *EXACTEMENT* le meme chose a la maison. Vous savez qu'il y a des programmes pour offrir M$Ospice a la maison pour les salaries des certaines boites (pas forcement grandes) qui ont deploye en interne des solutions Micro$oft. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: Détection des botnets et protection des internautes
On Fri, 5 Nov 2010 18:47:28 +0100, Sébastien FOUTREL sfout...@gmail.com said: C'est dommage car en utilisant un firewall M*Office au lieu du firewall openoffice ils sont moins bien protégés. My 2Cents pour un vendredi. Tes 2 cents pour la securite doivent combattre les millions des Micro$oft (qui eux n'ont rien a f* de la securite). -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: Détection des botnets et protection des internautes
Yves Dubromelle a écrit : Ce n'est d'ailleurs pas du tout ce que tu viens de faire... Pour ma part j'ai choisi d'utiliser le relais médiatique dont je dispose... http://bit.ly/anti-botnets -- Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Détection des botnets et protection des internautes
Le mardi 02 novembre 2010 à 10:03 +0100, Stephane Bortzmeyer a écrit : C'est hélas une voie possible http://fr.readwriteweb.com/2010/11/02/a-la-une/fusion-arcepcsahadopi-futur-ministre-de-guerre-coloniale-de-linternet/. Au moins on aurais pas l'impression qu'ils ne servent a rien ? Il est toujours dangereux de mêler la sécurité avec la défense des intérêts financiers de l'industrie du divertissement. En effet, pas mal d'internautes vont prendre des mesures pour contourner Hadopi. au contraire, un organisme qui s'occuperait de la sécurité de l'Internet a besoin de jouir de la confiance desdits internautes, puisqu'il faudra qu'ils participent. Il manque l'intégration de la LOPSI à l'article, et quelques broutilles associées. En fait ce genre de structure chimérique mélangeant législatif, justice, exécutif et économie n'a rien d'original ni de nouveau, ça a déjà été fait en Allemagne par exemple, sous le nom de Ministère de la Sécurité Intérieures (Stasi pour les intimes). Vive le Parti. -- Jérôme - jer...@aranha.fr --- Liste de diffusion du FRnOG http://www.frnog.org/