salut tout le monde
 
je viens partager avec vous des informations sur cette nouvelle menace qui semble pointer le bout de son nez
 
son nom : "Drive-By Pharming"
 
qui est concerné ?
 

• tous ceux qui ont un routeur / passerelle administrable par le port 80 voire d'autres ports (et éventuellement d'autres machines ou logiciel administrables par web

qu'est-ce que ça fait ?
 

• ça modifie vos dns  

et alors :
 

• vous croyez aller sur votre banque, et en fait le faux dns fait que toutes vos infos passent par l'intermédiaire d'un autre site préemptif, qui va se charger de récupérer vos données personnelles, identifiants et mots de passe, entre autre

ça se passe comment ?
 

• lors de votre navigation sur le web sur un site douteux, votre navigateur récupère un script malveillant

Comment agit ce script ?
 

• il commence par détermnier votre ip locale et l'ip des dns et celle de la passerelle

une fois que la passerelle et ou le routeur sont trouvés le script va essayer de récupérer identifiants et mots de passe de ces éléments, de plusieurs manières distinctes a) par l'intérieur, b) par l'extérieur
 
a) le script essaie de déterminer les accès internes possibles par dictionnaires, mots de passe et identifiants standards des routeurs installés ; il essaie ensuite de connaitre vos plages réseau et vos masques et toutes infos concernant votre réseau.
tout est transmis à un serveur
b) ce serveur va faire la même chose de l'extérieur, essayer de se logguer sur votre routeur pour en prendre le controle de manière la plus invisible possible en commençant par changer les dns qui seront remplacés par des dns pointant sur des serveur résolution de nom pirates.
 
 
bref première chose, n'ayez pas peur de configurer votre réseau de manière moins basique (192.168.0.x ou 10.x.x.x) sont à bannir dans cette forme primitive, changer les identifiants et mots de passe de vos routeurs, ne gardez surtout pas ceux qui y sont par défaut
 

 
J'aimerais bien qu'on essaie de faire quelque chose de constructif si jamais ça vous intéresse
 
Quant à moi, je découvre le problème, je n'aurais donc pas tous les renseignements ce soir en plus il faut que j'aille dormir un peu
 
bref, plus d'infos demain de ma part, mais si vous en avez la possibilité commencez par préciser et expliquer ce que j'ai raconté
 
ce type d'attaque quasi invisible risque d'être très dangereux !!! fesez gaffe

mouai...  
faut quand même cumuler les pas de bole:
il faut:
- que le site exploite une faille du Browser
- qu'il trouve le mot de passe du routeur.
- connaisse tout les type de routeurs pour en modifier les paramètres désiré.

tharkie -> Source des infos ?

Ouep au reveil, comme ca, vite fait...

faites

bol
Sinon, encore une galere de plus mais faut pas trop dramatiser, comme le dit Z, c'est l'accumulation de plusieurs facteurs... Quoique, facilement reunis, chez les particuliers...
 
Pas trop d'infos sur le sujet...

Le "fesez gaffe" c'était humoristique... (rectification votre honneur, c'est pas au réveil, je n'étais pas encore couché )
 
Source de l'info : http://it.slashdot.org/article.pl?sid=07/02/16/1421238
 
C'est très sérieux ! Et très facile à mettre en place.
 
Pas besoin de faille du navigateur justement, un simple script suffit, hélas.
 
http://www.symantec.com/avcenter/r [...] arming.pdf
 
Le principe global de l'attaque est que la majorité des routeurs sont configuré avec les mots de passe par défaut et que la config générale est aussi par défaut.
 
Résultat : tous les mots de passe et config sont connues. Cela touche donc tous ceux qui font du plug&play avec leur routeur et leur réseau.
 
L'article de symantec est très édifiant même si il est en anglais !!!

facile a mettre en place ... faut le dire vite quand même ....

j imagine la gueule du script et sa taille si il doit s'adapter a tout les routeurs du monde, toutes les Box, ....
mais bon,... symantec c'est comme Sophos, ils savent présenter des alertes virus avec un bon d'achat pour leur programme qui sert a rien.
La palme a Sophos :
J ai trouvé un méchant vilain pas beau virus dans le fichier tata.exe
Voulez vous supprimer le virus ?
Désolé je peux pas
Voulez vous supprimer le fichier ?
Désolé je peux pas
 
Voulez vous continuer sans rien faire, vous dire que votre entreprise a payer des millier d'€ pour une protection a la mord moi le noeud ?
Cool, on continue alors

Ceci est du testé/vécus

Z_cool je veux pas etre LAXISTE mais :
 
vous connaissez beaucoup de particuliers qui changent les mots de passes de leur routeur ?
 
2) la box fournie par cegetel il y a meme pas besoin de mot de passe, il suffit de taper l'ip interne pour rentrer.
 
car mon frere la, et j'ai changé l'adresse l'adresse mac. car il a vire son ancien pc par un portable.

Je ferais bien une précision quand même...
 

 
Il ne s'agit que d'un PoC co-developpé par un gars de Symantec et deux autres gars. Aucune URL exploitant ceci n'a été découverte jusqu'à présent, donc je ne pense pas qu'il soit nécessaire d'effrayer tout le monde non plus. Autrement dit, non ça ne pointe pas le bout de son nez
 
Ceci dit, sensibiliser c'est important. Ce qu'il faut savoir c'est que pour que cette potentielle attaque fonctionne il faut:
- que le javascript soit activé (attaque par CSRF ("Cross-site request forgery" ))
- que le mot de pass du routeur soit connu (a priori le mot de pass attribué par défaut, mais on peut très bien imaginer une bruteforce sur mots de passe "faibles" comme ça a été énoncé précédemment). Si le mot de passe du routeur a été modifié et est suffisamment costaud, l'exploitation devient beaucoup plus complexe.
 
 

[quotemsg=2644949,1,49512]salut tout le monde
 
je viens partager avec vous des informations sur cette nouvelle menace qui semble pointer le bout de son nez
 
son nom : "Drive-By Pharming"
 
DNS + un "Script détourneur"
Cà fait du monde au balcon quand même

t'as pas tout compris mais c'est gentil d'avoir participé

Il existe combien de Box/routeur a ton avis au monde ?

ba faut que le script les connaisse tous (ou les 10 premier on va dir) pour etre d une efficacité quelquonque.

Salut

Je ne suis pas d'accord, pour qu'un script soit capable de bruteforcer un mot de passe, le mec qui l'a développé devra mettre en oeuvre des algo sacrément optimisés, le script serait déjà lourd, le temps que ca charge pas mal de monde aura changé de page.
Ensuite pour faire une bruteforce depuis un serveur je ne sais ou dans le monde en HTTP vers une plage d'adresses je ne sais ou non plus, imaginez le temps et les ressources que ca prendrait !
Le serveur serait entrain de calculer un nombre énorme de combinaisons par secondes, d'envoyer tout en HTTP vers les victimes et il attendrait le retour de toutes les réponses tout en continuant de calculer jusqu'à ce qu'il recoive une réponse positive

Conséquences :
Le serveur est bloqué pour un bout de temps même pour une seule IP (si il ne plante pas !)

Ses ressources sont en grande partie prises par le script
La bande passante attribuée au site qui héberge le script sera vite consommé
Chez le particulier la bande sera saturée et le routeur risque d'avoir planté entre temps (c'est pas fait pour gérer 10000 tentatives de log par secondes...)

Bref c'est impensable...

Surtout que c'est très facile à éviter, il suffit de bloquer l'accès a l'interface de connection au adresses IP externes et certains routeurs peuvent même limiter l'acces à certaines IP définies et peut être même a certaines adresses MAC définies (ca doit exister) et la le script est bloqué !

 
+1
 
On dirait que chez Symantec, on cherche a declencher une psychose....
 
Ca me parait assez lourd comme tentative de corruption.
 
Et puis a mon avis, y'a surement des failles windows qui sont plus simples et plus rapide a exploiter.....

 
Ah oui effectivement j'avais complètement omis le fait que ça prendrait trop de temps et de bande passante    
Merci d'avoir rectifié le tir !

ça me ferait plaisir que vous lisiez et compreniez la doc pdf que j'ai fourni... avant de parler à tort et à travers !

En même temps, tu pourrais en résumer le contenus et pas simplement poser un pavé dans la marre et attendre que les autres debatent de ton sujet.

Bon, je viens de lire un peut le pdf...
 
et comme je le pensais, ca reste une attaque tres marginal:
 
1- Il faut deja que les personnes viennent sur ton site: (j imagine assé mal Google mettre ca par défaut de sa page perso)  
2- que le script intègre la configuration par défaut du routeur utilisé....
 
 
a mon avis, il y a bien plus important et urgent que ce "trou" de sécurité.

Oui c'est vrai que je n'ai pas expliqué concrètement comment ça se passait ;

Oui c'est vrai qu'il y a certainement d'autres trous de sécurité à combler ;

Mais, ce qu'il y a d'intéressant dans ce document, c'est qu'ils montrent quelques petits scripts, et j'insiste sur le terme "petits", permettant d'agir en plusieurs phases très courtes.

Obtention de l'adresse réseau du poste du navigateur, repérage de la passerelle, c'est simple et rapide.

Envoi des identifiants/mots de passe standards par défaut des principaux routeurs. (si on teste les 50 meilleurs ventes, ça doit prendre 10 secondes à tout casser sans monopoliser aucune bande passante)

Attention, l'attaque se passe en local à partir du navigateur qui a chargé un petit script et rechargera d'autres scripts en fonction du retour de ce premier script.

Les routeurs qui ne sont pas modifiés sont vulnérables de manière transparente.

Car une fois loggués, une applet ou un script prends les commandes et change le dns du routeur de manière transparente. Et les requêtes sont toutes envoyées à une même adresse qui va intercepter et re-diriger en silence vers le site demandé. Avec interception des mots de passes et identifiants des sites bancaires par exemple.

Bon et puis je mettais cette info à votre disposition, c'est tout, hein ?

Commencez par changer et faire changer les mots de passe de vos routeurs, ce sera déjà suffisant

Et en ce qui concerne les sites hébergeant ce genre de scripts, vous savez très bien comme moi, que ces scripts peuvent ne pas être toujours présents...

Ca me fait penser a d'autres risques autour de cette idée  
 
Un exemple pour les utilisateurs d'alicebox hitachi,
il suffit juste d'écrire ceci sur le forum, et le modem reboot lors de l'affichage de la page ! (le mot de passe n'est même pas vérifié)

 
Il est aussi très facile de récupérer des donnés de l'internaute :
login, pass, numéro de téléphone, numéro mgcp (code d'acces pour la voip).

effectivement !
 
mais bon... ça me fait aussi penser aux ip blacklistés sur Cisco attribuées à un FAI et plus aucun internautes de ce FAI ne pouvait surfait, j'avais donné l'info bien avant mais pas grand monde n'avait relevé... on m'avait dit, oui... ce n'est pas vrai, patati patata et puis paf la suite avait révélé que le problème venait bien de là
 
il y a tellement de "bombes" cachées comme celles là, moi j'installai du netopia chez mes clients en 97/99, jusqu'au jour où je me suis aperçu de certaines choses sur ces routeurs , j'ai averti mes clients et depuis je n'ai plus vendu que des routeurs soft

 
Ah ben désolé alors

pas mal mais ce n'est pas forcément un problème :
http://www.schneier.com/blog/archi [...] fault.html
 
le commentaire de Schneier sur ce problème :
http://www.schneier.com/blog/archi [...] armin.html

 
et bien c'est comme tout, si on laisse le mot de passe par defaut de l'appareil, c'est plus facile de s'introduire.  
 
Si le mot de passe est modifié il y a tres peu de risque. SI les gens ne changent pas leur mot de passe et bien tampis pour eux. On peux rien faire pour eux. Si c'etait moins automatisé, les gens penserait plus à changer le mot de passe et peut etre a faire plus attention.

aucun danger si vous etes cette petit manip (la reponse etait dans l'intro) :

en lieu et place du mot de passe par défaut "Aministrator" ou "Admin" ou...