Questo sito si avvale di cookie utili alle finalità illustrate nella Privacy Policy
Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie.

2000 07 * Confidentiel-Défense * L'intrusion.

http://www.confidentiel-defense.com/anciens/numero%202/intrusion.htm

En exploitant un réseau internet ou intranet, il est tout à fait possible de consulter le disque dur d'un ordinateur distant, voir d'agir sur le contenu de celui-ci. Des logiciels tels que Timbuktu et d'autres sont précisément conçus pour effectuer ce genre de manipulation, à la condition que les ordinateurs distants soient équipés de petits programme chargés d'établir la liaison avec l'ordinateur pilote. Mais quelques spécialistes sont capables des mêmes effets et résultats en utilisant des programmes plus confidentiels que Timbuktu. Nous allons examiner dans cet article la puissance et la portée de ces outils qui ne sont généralement pas utilisés par des enfants de coeur, et surtout, comment s'en prévenir.

 

L'intrusion dite du "Socket de Troie".

Lorsque l'on est victime de ce type d'intrusion, on remarque que le disque dur de l'ordinateur est en activité, bien que qu'aucun logiciel ne soit en train de traiter une tache ou, plus globalement, que l'ordinateur ne soit pas sollicité. Cette intense activité ralentit à cette occasion les performances de l'ordinateur de manière tout à fait perceptible. Attention tout de même à ne pas confondre ces symptômes avec des taches de routine automatisées tout à fait normale. Il arrive que des disques durs, notamment sur Macintosh, se mettent à "travailler" seuls, dans le cadre de procédures automatiques de réactualisation des données (date, heure, sauvegarde automatique...). Il convient donc de ne pas succomber à la "parano" et de bien faire la différence entre ces deux comportements.

Mais lorsqu'il s'agit d'une véritable intrusion, votre ordinateur exécutera "seul" des fonctions qui impliquent ordinairement un ordre extérieur, tel que par exemple : imprimer, copier un fichier ou écrire tout seul. Observez également très attentivement la lampe dite "send data" de votre modem. Si celle-ci clignote alors que vous ne trafiquez pas sur Internet, ou que, si vous y êtes, vous ne provoquez pas d'activité de chargement ou de consultation, quelqu'un, quelque part, s'est "introduit" dans votre ordinateur et bricole "on ne sais quoi".

Lors de genre d'intrusion, la première chose à faire et de couper la communication, ou de mettre votre modem hors tension, ou de débrancher la connexion, soit en sortie d'ordinateur, soit à la prise du téléphone, ou de déconnecter la prise ethernet du modem-câble, pour ceux qui sont équipés de ce type de ligne.

Avertissement tout particulier à ceux qui sont équipés du câble : le modem reste généralement connecté au réseau en permanence, puisque la tarification est forfaitaire. Cela implique qu'une personne extérieure peut avoir accès en permanence au contenu de votre disque dur pendant votre absence, pour peu que votre ordinateur soit simplement allumé...

Dans tous ces cas, vous encourez le risque d'avoir affaire à un plaisantin un peu méchant qui provoquera des vols ou des suppressions de fichier, et autant de choses que le peut l'imagination.

Le nom "Socket de Troie" est directement inspirée de l'histoire du cheval de bois que tout le monde connaît. Pour qu'une intrusion de ce type soit possible, il faut au préalable que votre "visiteur" ait trouvé le moyen d'installer dans votre ordinateur une petit programme de type serveur. En règle générale la taille de celui-ci évolue aux environs des 300 à 400 ko, mais comme on n'arrête pas le progrès, il peut exister des serveur plus petits. Pour placer ce programme sur votre ordinateur à votre insu il n'y a guère qu'une seule solution : qu'une personne "sympa" vous donne un lot de programmes dont certains vous semblent "indispensables" ou très attrayants. Parmi ces programmes, il y aura le serveur dissimulé sous un nom d'emprunt, voire caché dans un exécutable. Pour vous parler de notre expérience personnelle, un personnage a priori charmant qui s'est présenté à nous en temps qu'éditeur informatique nous a gracieusement offert une présérie de son logiciel, évidement "révolutionnaire". Dès que vous allez tenter d'utiliser ce programme, celui-ci va ouvrir un port de communication qui permettra à l'intéressé d'accéder à votre disque dur. Pour ceux qui sont équipés d'un ordinateur de type PC, le programme que vous croyiez si attrayant affichera un simple message d'erreur dans le genre :

[setupdll32.gif (1667 octets)],

ou encore :

[Socket23error.gif (1720 octets)]

ou encore : rien du tout...

Dans tous les cas, il sera déjà trop tard. Pourtant, les trois exemples que nous venons de vous présenter sont les moins sophistiqués.

Il existe également des logiciels serveurs cachés dans des programmes tout à fait fonctionnels, et a priori si utiles que vous hésiterez longuement avant de vous en débarrasser. Pour ne rien arranger, ce genre de programme va se reproduire, à l'instar du virus, et vous ne pourrez plus vous en débarrasser. Enfin, si vous êtes volontiers "échangiste" (nous faisons allusion à l'informatique, bien sur), vous le refilerez à d'autres sans même vous en rendre compte. Ceux qui sont équipés d'un PC pourront télécharger un remède portant le nom aussi triviale qu'explicite de "Bouffetroyen".

Bouffetroyen va rechercher en mémoire les "chevaux de troie" de type serveur FTP, socket de troie et DMSETUP. Il peut aussi les supprimer de votre disque dur, ainsi que nettoyer la base de registre et vos fichiers .INI. Bouffetroyen est un utilitaire à posséder absolument si vous pensez être un jour dans le collimateur de quelqu'un. Si vous êtes sous Windows NT, n'oubliez pas psapi.dll pour pouvoir profiter de toutes les possibilités de ce programme.

Ceux qui sont équipés de Mac ne pourront pas faire grand chose, sinon tout réinstaller, en ayant pris soin, préalablement à la tentative d'intrusion, de sauvegarder les informations sur des disquettes et autres supports de stockage. Certains utilitaires tels que Norton Utilities et quelques antivirus ne viendrons pas à bout de ces serveurs, mais, à défaut, les présenterons parfois comme des programmes victimes d'anomalies apparemment sans gravité. C'est en général un signe qui ne trompe pas, et le mieux est encore de se débarrasser de manière radicale du (des) fichier incriminé. Quoiqu'il en soit, l'idéal est encore d'être prudent avec les inconnus désintéressés qui vous offrent des programmes intéressants.

Si vous voulez renvoyer la balle à celui qui tente de pénétrez votre ordinateur après vous avoir refilé le programme, utilisez Wolfysoft Notroyen. Non seulement ce programme vous prévient d'une tentative d'intrusion, mais en plus il "reboot" la machine de la personne qui a tenté de vous attaquer. A mettre dans le menu "Démarrer" pour être sur de ne pas l'oublier. Citons également Panda Antivirus qui détecte la plupart des chevaux de troie.

L'intrusion via les ressources partagées du système.

Difficile à détecter, ce type d'intrusion offre un accès sans restriction en lecture et écriture à vos fichiers. On se trouve alors confronté à deux options :

1) L'intrus a repris à son compte la célèbre phrase Veni, vedi, vici. Il est entré, à regardé et est partie en ayant pris le temps de subtiliser vos mots de passe Internet, et divers fichiers de données l'intéressant.
2) L'intrus s'est comporté de la même manière que précédemment, mais vous ne trouverez plus vos fichiers. Ceux-ci auront disparus ou auront été modifiés. Bref c'est, dans ce dernier cas, un véritable casseur informatique qui vous aura rendu visite.

La plupart des ordinateurs organisés en réseau local ou ayant effectué une mise un jour de réseau local, partagent en commun des ressources telles que les disques durs et les imprimantes. La jouissance de ces ressources peut-être conditionnée par un mot de passe. En règle générale, ce mot de passe est facile à trouver car il s'inspire d'éléments très simples et faciles à mémoriser. Il suffit de taper une commande Dos et on verra apparaître le nom de votre ordinateur ainsi que son groupe de travail. On le rajoute dans un petit fichier de Windows, on met à jour et on recherche ensuite l'ordinateur dans le voisinage réseau. Dès que ce dernier apparaît, on accède à son contenu, on effectue quelques connections réseau et le tour est joué dans 80% des cas.

Dans l'éventualité du réseau partagé, l'intrus, pour peu qu'il dispose du cd-rom d'installation de Windows ou de Windows NT, possédera tous les drivers d'imprimantes et pourra donc lancer de multiples impressions de n'importe quoi depuis votre réseau, histoire de vous empoisonner l'existence. Avec ce type d'intrusion l'infection n'est pas tout à fait similaire à celle précédemment présentée. Allez dans votre voisinage réseau sur votre ordinateur et faites un point de tout ce qui est partagé sans mot de passe. Tout ce qui ne l'est pas est potentiellement disponible depuis Internet chaque fois que vous vous vous connectez...

Pour se protéger contre ce type d'intrusion, l'idéal est encore de ne jamais se connecter, mais comme cela est exclu, vous pouvez disposer d'un second ordinateur réservé à l'usage exclusif de la connexion sur Internet. C'est ainsi que l'on procède bien souvent dans quelques entreprises. Sinon, et à la condition que vous ne soyez pas en réseau local, il faut désactiver le partage de fichiers et d'imprimantes dans le panneau de configuration du réseau. Si vous devez absolument travailler en réseau, le minimum absolu est de tout protéger par mots de passe et de prévoir un dossier spécial qui sera le seul partagé, et servira au transferts de fichiers sur le réseau. Toute personne désireuse d'envoyer un fichier sur votre ordinateur devra transiter par un répertoire spécial protégé par mot de passe que vous rangerez et effacerez.

L'intrusion via un serveur FTP caché dans votre disque dur.

Ce troisième cas présente des symptômes et des risques identique à ceux des exemples précédents. Ici encore, l'intrus tente au préalable de vous faire exécuter un petit fichier zip auto-extractible qui s'avère être un petit exe. Dès son lancement ce programme procède à l'installation un serveur FTP. Cette autre technique d'intrusion est vulnérable à Bouffetroyen qui ira chercher les programmes de type serveur FTP, socket de Troie et DMSETUP. Bouffetroyen peut aussi supprimer ces programmes de votre disque dur et nettoyer la base de registre et vos fichiers .INI.

Encore une fois, si vous êtes sous Windows NT, n'oubliez pas psapi.dll pour pouvoir disposer de toutes les possibilités de Bouffetroyen.

L'Intrusion ICQTROGEN.

Identique a l'intrusion via FTP et ressources partagées, l'intrusion ICQTROGEN est assortie de programmes capables de s'auto-executer. Les risques encourus sont identiques à ceux que nous venons d'évoquer, avec en plus la possibilité pour l'intrus de lancer des programmes à distance. Une fois de plus, il faut préalablement vous faire exécuter un programme qui va mettre en place un serveur. Celui-ci se trouvera sur le port 4950 et permettra à une personne qui dispose du programme de contrôle de se balader sur votre disque dur pour y faire tout ce qu'elle veut.Pour savoir si vous êtes victime de l'Intrusion ICQTROGEN saisissez dans une fenêtre Dos la commande suivante :

netstat -a

Si cette opération provoque l'affichage de la ligne ci dessous, c'est que vous êtes piégés :

TCP XXXXXXX : 4950 .....................................

Ce fichier peut porter n'importe quel nom. A vous de le trouver et de le supprimer. C'est affaire de logique et d'intuition. A notre connaissance, il n'existe aucune parade contre ce type d'attaque qui peut être réajustée en fonction de vos tentatives de riposte. Nous ne pouvons donc que vous conseiller de faire attention... Si vous pensez être la cible d'une telle intrusion, pressez les touches ctrl-alt-Del et regardez si rien de suspect ne se produit. Si vous vous êtes vraiment parano, vous pouvez configurer nuke nabber sur le 4950 en TCP, ce qui vous permettra de d'être averti d'une tentative de connexion.

L'intrusion via Hacker Paradise, ou Master Paradise.

ce type d'intrusion se manifeste généralement par une perte quasi totale du contrôle de votre ordinateur. Des fenêtres se ferment, s'ouvrent, des noms de fichiers ou de dossiers changent inexplicablement. Bien entendu, le plaisantin qui se livre à ce jeu a un accès sans limites au contenu de votre disque dur et peut même se payer des captures de vos écrans. Dur, dur...

Hacker Paradise surclasse tous les programmes d'intrusion que vous venons de présenter. Pour autant il repose comme les autres sur l'acquisition et l'exécution préalable d'un programme serveur déguisé. Dans sa livrée originale, ce programme porte le nom de "redemption.exe" et a une icône représentant un ange. Quoi de plus anodin. Là encore, le programme Bouffetroyen pourra localiser ce programme serveur et l'éradiquer.

L'intrusion via DMSETUP (IRC).

Ce programme existe en deux version : la dmsetup simple et la dmsetup2. Le première n'est qu'un petit virus pas bien méchant qui vous déconnecte quand quelqu'un tape le mot clé "message". La deuxième version s'inspire des chevaux de troie etc. Celle-ci est un serveur permettant un accès à vos fichiers et offre quelques " backdoor " qui permettent à l'intrus de s'en prendre à votre connexion IRC. Pour devenir victime de cette variante, vous devez comme chaque fois activer un programme exécutable. Celui-ci n'est pas très évolué et dans 95% des cas ne trouvera pas votre répertoire pour peu qu'il ne s'appelle pas "mirc". Certaines versions peuvent ajouter une ligne à l'autoexec.bat et se reproduire. Pour lutter contre ce modèle vous devez vous procurer le petit utilitaire "dmcleanup" qui vérifiera votre autoexec et les fichiers .ini en cas d'infection. Sinon... Bouffetroyen ! Et psapi.dll si vous êtes sous NT.

L'intrusion via cDc Back Orifice.

Vos programmes s'arrêtent tout seul, vos fichiers disparaissent, des fenêtre d'erreur avec des messages incongrus n'ayant rien à voir avec votre système d'exploitation apparaissent, votre micro se met en shut-down, voir se bloque. Bref, c'est la guerre totale ! L'intrus sait ce que vous saisissez sur votre clavier à la Majuscule près, et a un accès à certaines ressources qui sont ordinairement inaccessibles directement, tels que les passwords en mémoire, sans oublier la possibilité d'effacer toute les applications qui tournent en mémoire, dll compris.

Comme presque toujours, il s'agit de vous faire exécuter un programme qui va servir de serveur. Celui-ci se trouve sur le port 31337 par défaut mais, le cas échéant, l'auteur de l'infection a la possibilité de le mettre sur n'importe quel autre port, d'où la difficulté de le détecter. De plus, il est possible de lui assigner un password. Ainsi, si vous exécutez ce programme et que la personne qui vous l'a fait parvenir a eu la présence d'esprit de le modifier, elle seule aura accès à votre ordinateur... En fait, ce programme n'est jamais qu'un outil d'administration.

Les remèdes sont néanmoins multiples, et certain d'entre eux sont simples à mettre en oeuvre. Du côté des anti-virus, Panda est un des seul à détecter le phénomène et à être capable le supprimer de la mémoire. Les récentes versions de Bouffetroyen le détecte et l'éradique complètement. Enfin, Antigen est un programme spécialement conçu pour l'éradication de ce cheval de Troie. Si vous êtes sous NT et que vous avez choisi Bouffetroyen, n'oubliez pas psapi.dll.

L'intrusion via Netbus.

Cd-Rom qui s'ouvre tout seul, souris qui se déplace toute seule, inversion des boutons de la souris, programmes qui démarrent tout seuls, messages, sons qui n'ont rien à voir avec le contexte, écran qui se renverse... C'est Netbus.

Dans ce cas-ci les risques sont moyens, il n'y a pas d'option directe pour effacer vos fichiers ou formater votre disque dur mais un intrus chevronné y parviendra. L'interface de Netbus est complexe et ne permet que peu d'actions destructrices à court terme. Comme presque toujours, il s'agit de vous faire exécuter un programme qui fera fonction de serveur. Celui-ci se trouve sur le port 12345 de votre ordinateur. Netbus est également vulnérable à Bouffetroyen.

Peut être serez vous tenté de penser que cet article vous dit tout. Il n'en est rien, et sachez qu'il existe de nombreuses autres possibilités de s'introduire dans votre disque dur en utilisant un réseau interne ou Internet. Nous ne connaissons d'ailleurs pas nous-mêmes avec précision le programme qui a permis à des intrus chevronnés de s'introduire dans nos ordinateurs il y a quelques jours. Mais, à défaut, nous sommes certains qu'il a fallut pour cela que nous acceptions de placer nous même dans notre disque dur un programme a priori sans rapport avec le sujet dont nous venons de débattre.