Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Sécurisation des mises à jours (DNS fraude)

lamidesbetes

Bonjour.

Une technique de hacking connue est l'usurpation des résultats DNS,
Soit par hacking du routeur (box internet)
Soit par la volonté d'un état à censurer (google Chine il y a dix ans), mais un état ou une mafia pourrait également à grands frais faire un miroir intermédiaire entre le serveur original (google, facebook, yahoo...) recopiant et contrôlant tout ainsi (vrai post du client, censuré ou pas, faux post, contrôle des mail recevable ou non...): dans ce cas avec accord ou non des annuaires DNS (y compris OPEnDNS qui pourrait être hacké, ou derrière un miroir, ou complaisant par exemple par infiltrations ou menace sur ses quelques employés/ dirigeants clefs)
Un whois peut donc être hacké grâce aux DNS.

Ipsec et ipv6 ne marchent pas forcément, même configuré il reste des ipv4.

J'ai remarqué des anomalies fréquentes sous SSL sous firefox au niveau gui (icône verte de certificat absente)

Il est à noter que l'assistance à distance à l'installation (terminal server, aide...) est un très gros risque (j'ai réinstalle XP plus de 100 fois en un mois en 2009 sans succès):
Mon firewall n'a jamais tenu une semaine.
Même sous Ubuntu il n'est pas configuré au démarrage.

Voici donc quelques idées rapides:

1.aucun accès à distance à l'installation (bios) tant que le firewall n'est pas pret et configuré. Activation et ouverture des ports Volontaire par root
2.firewall limité à 80 et 443: ouverture volontaire (root)
3.Annuaire DNS de type peer guard: sauvegardé avec MD5 sur l'ordinateur(et vérification des DNS classique, mais ça ne résoudre pas le hacking sur le réseau local et usurpation d'annuaire dans le cas du hacking DNS), et MISE A JOUR PAR IP systématique (choix?)
Je n'ai pas toujours à téléphoner au 118218 pour appeler ma femme, et vous?

On peut imaginer une clef USB à l'installation cryptée:
(Truecrypt?)
En readonly ensuite voir destruction (problèmes de microSD connu: on ne peut plus modifier les fichiers)
On aurait sur cette clef:
-les fichiers pour se loguer avec ou sans MDP
-les IP essentielles (d'Ubuntu serveurs, google, facebook...les FTP, ovh...)
- les logins firefox
...
Voire une partition secondaire:configuration et logiciels portables

Truecrypt pourrait décoder la clef avec une seconde partition ou une deuxième clef pour les datas sensibles (cryptage Sha ou md5 + fichiers personnels)

Une mise à jour simple avec annuaire des BIOS officiel/nightly serait aussi intéressant ?

Des volontaires pour une distribution "BigParanoy"?
(Moi pas être qualifié, en plus j'ai pas le numéro de téléphone de ma femme... :-) :-( )

erresse

Allez, avoue... tu travailles à la NSA hein ? Je ne vois que ça pour justifier une telle paranoïa !
Tu sais que tu peux aussi ne pas raccorder ta machine au réseau pour éviter toute intrusion ? Mais n'oublie pas aussi de l'attacher solidement avec un gros anti-vol, parce-que quelqu'un pourrait bien carrément te la subtiliser sur ton bureau !
Aïe aïe aïe !!!
:lol:

lamidesbetes

lamidesbetes a écritBonjour.

Une technique de hacking connue est l'usurpation des résultats DNS,
Soit par hacking du routeur (box internet)
Soit par la volonté d'un état à censurer (google Chine il y a dix ans), mais un état ou une mafia pourrait également à grands frais faire un miroir intermédiaire entre le serveur original (google, facebook, yahoo...) recopiant et contrôlant tout ainsi (vrai post du client, censuré ou pas, faux post, contrôle des mail recevable ou non...): dans ce cas avec accord ou non des annuaires DNS (y compris OPEnDNS qui pourrait être hacké, ou derrière un miroir, ou complaisant par exemple par infiltrations ou menace sur ses quelques employés/ dirigeants clefs)
Un whois peut donc être hacké grâce aux DNS.

Ipsec et ipv6 ne marchent pas forcément, même configuré il reste des ipv4.

https://scontent-cdg2-1.xx.fbcdn.net/v/t31.0-8/fr/cp0/e15/q65/17814323_889891237820412_3916583092111618618_o.jpg?efg=eyJpIjoidCJ9&oh=68bff2a47f3081d286abfb02f02d8149&oe=5954DF14

https://m.facebook.com/charlois2017/?ref=bookmarks#!/charlois2017/photos/p.889891237820412/889891237820412/?type=3&source=47

Modération : merci d'utiliser des images de petite taille (300x300) ou des miniatures pointant sur ces images (Des hébergeurs comme Toile Libre, TDCT'Pix et hostingpics le permettent).

jplemoine

lamidesbetes a écrit1.aucun accès à distance à l'installation (bios) tant que le firewall n'est pas pret et configuré. Activation et ouverture des ports Volontaire par root

Aucun intérêt : voir cette page.

lamidesbetes a écrit 2.firewall limité à 80 et 443: ouverture volontaire (root)

idem

lamidesbetes a écrit3.Annuaire DNS de type peer guard: sauvegardé avec MD5 sur l'ordinateur(et vérification des DNS classique, mais ça ne résoudre pas le hacking sur le réseau local et usurpation d'annuaire dans le cas du hacking DNS), et MISE A JOUR PAR IP systématique (choix?)
Je n'ai pas toujours à téléphoner au 118218 pour appeler ma femme, et vous?

Là, c'est très simple : il y a déjà une protection de type MD5. Si quelqu'un modifie le code, le MD5 est changé : la MAJ ne s'installera pas.
Évidement, le MD5 et le code ne sont pas sur les mêmes serveurs.
--> Voir l'attaque des ISO de Linux Mint, l'année dernière : voir là.

Underneath

Je voulais me pencher sur DNScrypt, mais je n'ai pas encore eu le temps. Je ne me suis même pas encore occupé d'ailleurs de mes soucis de fuites DNS avec mon VPN (enfin, ça fuit plus, mais c'est du bricolage dégueulasse, ça fait boulot de plombier au black).

lamidesbetes

Je lirais les lien plus tard

1.Ubuntu déconseille les mises à jour par INTERFACE GRAPHIQUE pour des raisons de sécurité. PS: les ordis en 1967 c'était des immeubles avec des DNS par fils pour "appeler le 17 à Asnières" ?

2.Complément:
Dans le cas freebox, les data du serveur (gestion en http) ne sont pas mises à jour par rapport à "freebox OS" (connections locale au routeur)

Donc si quelqu'un arrivait à hacker le firmware de la box, il peut changer les DNS FAI et faire en sorte que ni fées ni freebox os ne le voit.
Isn'it ?

lamidesbetes

jplemoine a écrit Évidement, le MD5 et le code ne sont pas sur les mêmes serveurs.
--> Voir l'attaque des ISO de Linux Mint, l'année dernière : voir là.

Bah tu donnes 2 IP que tu inscrit dans ton miroir DNS et tu donnes les MD5 de tes mises a jour que tu as hacké... en les modifiant aussi dans les mises à jour...
je vois aucune sécurité dans ta description...

J'en conclu que tu appelle toujours le 118218 pour appeler ta femme ou tes amis?

[supprimé]

Une technique de hacking connue est l'usurpation des résultats DNS,
Soit par hacking du routeur (box internet)
Soit par la volonté d'un état à censurer (google Chine il y a dix ans), mais un état ou une mafia pourrait également à grands frais faire un miroir intermédiaire entre le serveur original (google, facebook, yahoo...) recopiant et contrôlant tout ainsi (vrai post du client, censuré ou pas, faux post, contrôle des mail recevable ou non...): dans ce cas avec accord ou non des annuaires DNS (y compris OPEnDNS qui pourrait être hacké, ou derrière un miroir, ou complaisant par exemple par infiltrations ou menace sur ses quelques employés/ dirigeants clefs)
Un whois peut donc être hacké grâce aux DNS.

Sinon,ta machine peut devenir un résolveur DNS, c'est ce que je fais depuis longtemps...