Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Contrer un hacker ? Detection manuelle d'intrusion ? Contre mesures?

holacabron

Bonjour à tous,

Je suis assez passionné de sécurité informatique bien que non-informaticien de formation. Je me souviens avoir vu un sujet ici me semble-il dont le nom pourrait-être "10 Step intrusion check list" ou du genre, qui recensait les différentes choses à faire, logs à contrôler et autre qui permettent de réagir à une suspicion de pénétration de son système. C'était en anglais.

Du coup je me demande, quels sont vos outils de monitoring de sécurité ? Existe-il des applets de sécurité ? Qu'est-ce que vous faites si vous arrivez sur un ordinateur infecté, ou qu'est-ce que vous faites pour combattre un hacker en action sur votre pc ? Les autres problématiques de sécurité je les connais assez, du paramétrage du par feu à l'utilisation d'IDS ou d'ISP, en passant par les "comportements sains" à avoir avec son environnement.

Évidemment si vous avez un lien vers quelque chose qui ressemble à ce "10 step check list" dont je parle au début ca me va aussi.

Accessoirement (par curiosité) pensez vous qu'il soit possible de piéger un hacker ? Éventuellement un hacker du gouvernement ? Je n'ai rien à me reprocher mais je ne serais pas contre l'idée de troller un fouineur officiel. Honeypot + script scan de vulnérabilités ? Je sais qu'une payload sur un ordinateur infecté se connecte back vers l'attaquant, et je suis presque sûr qu'il est possible d'attaquer l'attaquant sur son port qui est en écoute pour le reverse_xxx.

J'attends vos idées ou commentaires avec plaisir ! Soyez gentil, je ne fais que débuter et désolé si cela semble naïf ou stupide comme questions.

(Je connais bien l'aspect légal autour de ces questions par contre, donc vos conseils sont le bienvenu mais ne vous attardez pas trop là dessus)

vikin2052

Bonjour.
(Je connais bien l'aspect légal autour de ces questions par contre, donc vos conseils sont le bienvenu mais ne vous attardez pas trop là dessus)
Tu me plais. S tu as du fric, deux serveurs un vpn quelques pc zombies et en une journée tu plies le hacker en herbe

Pour les vrais hachers plus dur surtout si tu as une iP fixe et que tu es en France plus difficile. Cela même selon la légende urbaine que j'ai un vpn blablabla j'suis un gros dur l est possible de trouver l'IP d'une personne cachée derrière un VPN

Si i a plusieurs attaques venant de l'étranger et de hacjkers confirmés sur ton site, un conseil, coupe ta box, le serveur, la lumière et va finir de lire le livre que tes parents t'ont offert le temps qu'ils se calment.

Unix revient

holacabron a écritQu'est-ce que vous faites si vous arrivez sur un ordinateur infecté, ou qu'est-ce que vous faites pour combattre un hacker en action sur votre pc ?

Un ordinateur déjà infecté ? Tu repars de zéro, avec mise à jour du bios compris. Si tu as un hacker sur ton PC, tu ne le sauras pas. Si tu t'en rends compte, c'est qu'il y a un souci. Pour pirater Linux, s'il est à jour, il faut une ou plusieurs "0 days" (généralement 2, une pour traiter le code malvaillant, celui qui va exploiter une faille du navigateur, de ton lecteur pdf ou vidéo, et l'autre qui va permettre d'obtenir l'escalation de privilèges). Celui qui dispose d'une ou plusieurs "0 days" devrait savoir comment se camoufler dans ton ordinateur. Il y a aussi l'exploitation de failles Internet, XSS, CRSF, etc, plus faciles à trouver, mais qui ne toucheront pas ton ordinateur. Elles permettront de te voler tes données perso en ligne, tes comptes, etc. Avec ses dernières, il reste tout de même la possibilité de sauter l'étape de la première faille "0 day" servant à passer ton navigateur ou ton lecteur video ou pdf, avec du social engineering.

Alors, comment combattre un hacker ? En amont de l'attaque, en sursécurisant ton ordinateur. Ce n'est évidemment pas forcément nécessaire, mais pour celui qui s'intéresse à la sécurité Internet, ça se fait naturellement. Pour cela, il faut déjà connaitre les différentes étapes pour attaquer quelqu'un, sachant qu'on ne peut pas toutes les connaitre, sauf à être un expert en sécurité, et encore ! Il y a des techniques de haut vol qui n'ont aucun intérêt sur un utilisateur lambda et qui sont réservées aux cibles de valeur. Piquer 1000 euros sur un compte et des photos perso n'ont aucun intérêt pour ceux qui disposent de ces technologies.

holacabron a écritAccessoirement (par curiosité) pensez vous qu'il soit possible de piéger un hacker ?

Oui, en te faisant sous-estimer. Mais c'est au petit bonheur la chance. Pour moi, le top du top, c'est d'avoir 2 ordinateurs, ton ordinateur connecté et ton ordinateur de travail, ce dernier faisant du tapping sur le premier de façon invisible pour repérer des éventuelles activités réseau non demandées (à partir de là, tu fais des investigations, si tu peux). Mais c'est la théorie, en pratique, c'est inutile, même pour protéger ses comptes en banque, à moins d'être très riche. Déjà, si tu utilises un kernel durci et un navigateur sursécurisé, à part des gouvernements, je ne vois pas qui va encore pouvoir entrer dans ton ordinateur. Et ton fric, je crois qu'ils s'en fouttent complet.

holacabron a écritÉventuellement un hacker du gouvernement ?

Non, tu ne peux pas. A moins que se soit le gouvernement du Lesotho, et encore, je ne suis pas sûr.

holacabron a écritJe n'ai rien à me reprocher mais je ne serais pas contre l'idée de troller un fouineur officiel. Honeypot + script scan de vulnérabilités ?

Les honey-pots, ce sont pour les chercheurs en sécurité. Ils servent à mettre en évidence les failles non découvertes qui sont exploitées dans la nature. Par exemple celles exploitées par des gouvernements*. Ils servent aussi à voir comment sont exploitées les failles récentes déjà patchées, mais pas encore par tout le monde. Ils analysent tout le code injecté dans un système "cible". Et pour analyser ce code, il faut juste être un expert. Un scan de vulnérabilités ne sert à rien dans ce cas car, d'un, ton système est sensé être à jour, donc le scan de vulnérabilités ne trouvera rien, et de deux, les seules failles suceptibles d'être exploitées ne sont pas encore repertoriées, puisque "0 days".

*C'est un peu comme le "nuclear deterrence" : par exemple, prends le risque de m'attaquer (pour un gouvernement étranger, d'attaquer les infrastructures de ton gouvernement) et tu risques de tomber dans un honeypot, ce qui me donnera des informations sur une "0 day" que je ne connaissais pas, avec le risque que cette "0 day" devienne "disclosed", donc inutilisable dans le monde entier, ce qui te fait perdre l'avantage d'avoir cette cyberarme de coté, ou alors qu'elles deviennent patchées pour les structures gouvernementales de ton pays, et qu'elles se transforment alors ensuite en cyberweapon susceptible de se retourner contre des infrastuctures non patchées de ton pays, ou encore d'un pays adverse, ou d'allié de l'attaquant. On voit bien que l'utilisation de cyberarmes est hautement stratégique et qu'elle ne peut se faire tout azimuth.