De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
|
22-07-2013, 18h00
(Modification du message : 22-07-2013, 18h05 par gruik.)
Message : #1
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
j'ai vu passer ce lien il y a quelque minutes heures : http://travaux.ovh.net/?do=details&id=8998
avis à tous les HACKERS et autres warlordz en herbe, vous qui ne rêvez que de gloire et de femmes lassives à vos pieds tandis que leurs maris vantent votre skill immodéré, voici donc un bel exemple de comment ca se passe dans la vie réelle chez les w8h8 ("whitehats", pour ceux du fond) évidement il faut savoir lire entre les lignes, comme souvent et comme souvent c'est un exercice ô combien difficile pour les jeunes bovins que nous sommes, on nous explique donc que le H4ck3R (le vilain) a réussi à pirater la boite mail d'un admin système OVH, de là déjà les mieux plus calibrés d'entre vous commencent je le vois à cogiter ferme, ça veut dire que l'attaquant a du bien préparer son coup, mener sa phase préliminaire de récolte d'infos sur une période possiblement plus longue que le simple "tiain é ci je meu tapé www3-6.disney.com/admin lol ?" suivi d'un nmap, on peut également en déduire que le gars est pas un branquignole complet pour monter ce type d'attaque, c'est qu'il a à la fois des compétences techniques, mais aussi une certaine intelligence dans ce domaine et de la suite dans les idées, ce que confirme la suite dans laquelle on apprend que depuis ce mail il a réussi à accéder le vpn perso de l'admin, de là il a réussi a compromettre un autre admin responsable du backoffice etc. notez qu'à ce stade, si vous ne voyez toujours pas la beauté de la chose vous avez 2 choix : vous arretez de troller désormais et vous bossez 2x plus votre HTML/CSS et son copain C/C++, soit vous vous mettez au tricot du point de vue des w8h8, on peut raisonnablement penser que ça doit être la guerre chez eux, les sysadmins avec leur fail2ban vengeur et le tripwire vindicatif prêt à en découdre, la cellule sécu portée à ébullition et le RSSI en mode caca mou, un incident unique pour les remuer tous et dans les ténèbres les lier, il a du s'en dire des choses interessantes, tout ce que nous autres pauvres hères pouvons lire c'est que désormais chaque employé va avoir son propre dongle crypto pour accèder au S.I. d'une part, et quelques spéculations sur les objectifs soupçonnés du vilain, en l'occurence la base de données clients europe (aka piratage indus en bonne et due forme), soit rebondir a nouveau vers le serveur de livraison canadien, avec l'explication du risque qui en est donnée c'est à dire que le pirate ai dès lors accès à l'ensemble des serveurs dédiés OVH, jolies perspectives que ce soit pour un état ou une "cyber-mafia" quelconque (mais est-ce que ça existe vraiment ?) d'un point de vue technique on apprend néanmoins que les passwords chez eux sont stockés en sha512 salted, ce qui est plutôt très bien (qui peut en dire autant ? dans sa boite ou sur sa propre machine perso ? hein comment ça on est toujours au md5 sur la plupart des applis ?), même si (...) empiriquement ça reste possible à casser, même si en pratique même md5 ça peut s’avérer encore très difficile et laborieux pour peu qu'on ait la bonne stratégie de mots de passe derrière etc., il n’empêche que ça rassure énormément le quidam moyen, et le client encore plus évidement et par là enfin on en arrive à la communication, oui car le w8h8 communique, ça fait partie de ses prérogatives de w8h8 de mettre de l'ordre dans le SI, dire aux totos vengeurs sur quoi ils doivent mettre l'accent pour plus que ça se reproduise, et rassurer le client, ici OVH rassure l'internaute directement comme à son habitude, y compris Mme Michu à coups de "on a eu un souci, on s'en est rendu compte, c'est maîtrisé on gère, et on ne va pas en rester là on va pas seulement boucher les trous on va aussi mettre des pointes sur les créneaux, aménager des meurtrières et creuser des douves autour comme spécifié par la norme ISO-1337..." alors voila, me direz-vous pourquoi un post aussi long pour dire si peu de choses, et bien d'abord parceque, et ensuite de manière à. Citation :<junky> huhu ça m'arrive et je le déplore, mais que voulez-vous... ce qui est certain c'est que du coté des whitehats, ça devait être assez bandant (pour l'avoir déjà vécu) à vivre un incident pareil, surtout si on la chance d'être au coeur de l'action (cellule sécurité de l'entreprise ou à une échelle différente sysadmin pour acter sur le terrain etc.), on en viendrait presque à souhaiter que ça arrive un peu plus souvent :p l'autre chose, c'est que l'attaquant en question, même si l'on a que très peu d'infos, a dores et déjà un profil qui n'est pas anodin, loin du "h4x0r" de LFI ponceur de RoP, c'est aussi un gars qui connait parfaitement les réseaux, le fonctionnement d'une entreprise et les limites des moyens/ressources alloués à la sécurité des SI, il est probable que les gens chez OVH aient des infos bien plus croustillantes encore (ce qu'ils semblent indiquer à la fin), j'espère juste qu'on aura des détails un jour... |
|
22-07-2013, 18h04
Message : #2
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
and ?
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
22-07-2013, 18h06
Message : #3
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH |
|
22-07-2013, 18h14
(Modification du message : 22-07-2013, 18h18 par Junky.)
Message : #4
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
Je suis vraiment très loin de tt comprendre ce qui va me mener a rejoindre Khaled sur le tricot (/kiss), mais une question me vient qd mm a l'esprit.
Le faite qu'OVH répondre de cette manière a tt ses client, et explique le pourquoi du comment est-ce arrivé est une bonne chose. Mais la ou je veut en venir est: Ne se tire t'il pas une balle dans le pied en annoçant les possibles parades qu'il vont mettre en place ? Citation :Immédiatement suite à ce hack, nous avons modifié Même si ceci ne donne pas une réelle information, elle pourrai donner certaines bases pour un futur attaquant? Je me trompe peu être, mais a la place d'OVH je n'aurait pas répondu ceci. Junky. Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
22-07-2013, 19h40
Message : #5
|
|
0pc0deFR Non-enregistré |
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
Ce qui est inquiétant c'est que le hacker a réussi à accéder à la boite mail de l'admin certainement à coup de SE ou à coup de backdoor sur sa machine car une vuln sur le serveur mail aurait permis d'accéder directement aux infos des sys admin et donc aurait simplifier l'attaque.
Dans le cas d'un SE c'est un manque d'informations/formations au sein de OVH Dans le cas de la backdoor faut être un bon admin pour surfer avec sa machine de manière à choper un backdoor et ensuite ce connecter à sa boite mail du travail. |
|
22-07-2013, 20h18
(Modification du message : 22-07-2013, 20h19 par gruik.)
Message : #6
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
(22-07-2013, 18h14)Junky a écrit : Le faite qu'OVH répondre de cette manière (...) Ne se tire t'il pas une balle dans le pied en annoçant les possibles parades qu'il vont mettre en place ? ben... oui et non je peux me tromper mais j'y vois une question de "responsabilité", au sens économique du terme, je m'explique; si à l'avenir OVH se fait à nouveau pirater, admettons à cause d'une faille dans les yubikeys, si c'est un 0day OVH pouvait pas savoir, c'est pas son boulot de sécuriser les produits qu'il achète, si c'était la faille était connue depuis 3 ans, OVH aurait du investir pour changer ses dongles, c'est l'attitude responsable à laquelle on s'attend et de l'autre coté, annoncer ce qui s'est passé, ce qui va être fait etc. c'est là aussi une façon de jouer la transparence et d'avoir une attitude responsable qui fricote avec la notion de "full disclosure" chère aux aficionados de la sécurité, chose importante pour une grosse entreprise dont l'un des soucis principaux est devenu au fil des années la fameuse "e-réputation", tout ça se tient dans une logique économique néanmoins, le propos n'est à mon avis pas celui de quelques "valeurs morales" à la sauce OVH (22-07-2013, 19h40)0pc0deFR a écrit : Ce qui est inquiétant c'est que le hacker a réussi à accéder à la boite mail de l'admin certainement à coup de SE ou à coup de backdoor sur sa machine car une vuln sur le serveur mail aurait permis d'accéder directement aux infos des sys admin et donc aurait simplifier l'attaque. c'est pas faux... je revois encore le responsable sysadmin nous dire "vous utilisez pas votre boite gmail hein, y'en a un qui s'est fait gauler on lui a cloué les boules au dessus de son ecran pour en faire un sapin fraicheur etc."... ou quelque chose du même genre mais à mon avis ça doit arriver plus souvent qu'on pense, "je suis sysadmin donc je connais l'informatique, je connais l'informatique donc la sécu j'en fais mon affaire" (note que ça marche en sens inverse également, j'ai vu des pentesters se prendre pour des sysadmins avec le succès d'un roti de veau lors d'un repas végétarien) idée un-peu-con-mais-ptet-pas-en-fait : tu veux un accès au vpn de ta boite, de manière à pouvoir faire du télétravail et notament consulter les mails du boulot depuis chez toi, la cellule sécurité te fait parvenir les certificats pour le vpn... par la poste ? (en fait le pôle sécu n'a probablement rien à voir là dedans, principe de la patate chaude, ils t'envoient les certificats sur ta boite mail boulot, et charge au destinataire de les rappatrier de manière sécurisée chez eux, cqfd ) au final le problème est celui des accès externes à l'entreprise et des postes informatiques non-maîtrisés, c'est nécéssaire et néanmoins y'a aucun moyen pour l'entreprise pour s'assurer que ledit poste n'a pas été compromis... |
|
23-07-2013, 06h58
Message : #7
|
|
0pc0deFR Non-enregistré |
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
(22-07-2013, 20h18)gruik a écrit : au final le problème est celui des accès externes à l'entreprise et des postes informatiques non-maîtrisés, c'est nécéssaire et néanmoins y'a aucun moyen pour l'entreprise pour s'assurer que ledit poste n'a pas été compromis... Tout à fait d'accord d'où l'intérêt de séparer travail et vie privée. Pour l'exemple, j'ai une machine windows qui ne me sert qu'à de l'analyse de code statique et quelques bricoles sous windows et pour le pro, le reste c'est sur une machine Linux et quand besoin est j’exécute sur machine virtuelle (exécuté du Windows en virtuelle sur du Linux hôte permet de prévenir les éventuels escalation hôte). Ceci dit ça doit être le cas aussi chez les pentesters de se faire compromettre aussi car la mentalité humaine dit "c'est mon job, je sais ce que je fais donc je suis pas obligé de me sécu à fond". Une question me vient aussi, quelle est l'utilité d'avoir des sys admin qui sont autorisés à se connecter à leur boite mail de l’extérieur alors que chez OVH ils ne sont pas amenés à travailler sur l’extérieur. |
|
23-07-2013, 09h53
Message : #8
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
Donc finalement si je comprend bien:
On explique le système de mise en place des corrections afin d'avoir une "transparence" vis à vis du client tout en "aiguillant" un futur attaquant, et On nous parle de sécu, que les boites mails perso c'est le mal mais la cellule sécurité ne fait rien pour diffuser/distribuer les certificats de connection des VPN pour les usager de façon "plus scred" et comme tu dis si bien gruik: Citation :principe de la patate chaude Donc on pourrait presque en déduire, c'est déjà arrivé, ça viens de se reproduire, et ça se reproduira car finalement il n'y a pas forcément de responsable déclaré et donc peu de solutions/résolutions mise en place vraiment concrètes. Quand bien même on pose des solutions, on les explique gentillement et avec une précision se qui a pour effet "d'annulé" celle-ci finalement. J'ai presque envie de dire , c'est le chien qui se mord la queue. Junky Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
23-07-2013, 12h17
Message : #9
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
(23-07-2013, 06h58)0pc0deFR a écrit : Ceci dit ça doit être le cas aussi chez les pentesters de se faire compromettre aussi car la mentalité humaine dit "c'est mon job, je sais ce que je fais donc je suis pas obligé de me sécu à fond". je pense même que ce sont les pires, avis perso Citation :Une question me vient aussi, quelle est l'utilité d'avoir des sys admin qui sont autorisés à se connecter à leur boite mail de l’extérieur alors que chez OVH ils ne sont pas amenés à travailler sur l’extérieur. ben le télétravail, les astreintes (pas forcément obligé de se déplacer en pleine nuit quand ça sonne si ça peut être réglé en 5min à distance), pour le moins |
|
23-07-2013, 12h22
Message : #10
|
|
0pc0deFR Non-enregistré |
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
Une boite comme OVH je pense qu'ils ont des équipes qui tourne H24 avec des admins sys présents sur site à toute heure non?
|
|
23-07-2013, 12h32
Message : #11
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
j'ai encore jamais vu d'entreprise embaucher des gens en nocturne explicitement en général t'as plutot un fonctionnement d'astreintes tournante avec tes collègues sysadmins, les seuls à bosser en nocturne à la limite c'est les gardiens, mais je me trompe peut-être faut voir...
|
|
23-07-2013, 12h48
Message : #12
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
(23-07-2013, 12h32)gruik a écrit : j'ai encore jamais vu d'entreprise embaucher des gens en nocturne explicitement en général t'as plutot un fonctionnement d'astreintes tournante avec tes collègues sysadmins, les seuls à bosser en nocturne à la limite c'est les gardiens, mais je me trompe peut-être faut voir... Si j'ai déjà vu des cas. Je sais qu'a une époque Agarik recrutait sur des plages horaires 7/7 24/24. Mais de mémoire sa remonte un petit peu de tps. Citation :*Horaires aménagés Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
sécurité, tracking et anonymat | playzzzz | 13 | 630 |
23-07-2013, 15h14 Dernier message: gruik |
|
La sécurité des mots de passe | InstinctHack | 6 | 371 |
19-04-2013, 12h17 Dernier message: InstinctHack |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)