|
RedCode: pourquoi ça marche |
Informatique > Vers |
Ecrit par Lutin, le Mercredi 1 Août 2001, 09:53. |
Mesures de sécurité inéfficaces |
Sondage: Avez-vous, ou votre entreprise, été touché par RedCode? |
Durée: 30j |
Oui: |
0% (0) |
Non: |
50% (3) |
Peut-être (je ne m'occupe pas de ça): |
50% (3) |
Je suis admin mais je n'en sais rien: comment on fait pour savoir?: |
0% (0) |
Votants: 6 |
Bon, alors plein de monde parle de RedCode. Je vais pas vous en rajouter des tartines, mais juste quelques notes:
- les serveurs IIS de Microsoft contiennent des bugs (comme d'autres, peut-être un peu plus, je ne sais pas)
- des pirates exploitent ces bugs pour faire des vers et les lâchent dans la nature
Bilan: ça se reproduit comme les petits pains.
Pourquoi ça marche vraiment? Tout simplement parce que:
- les serveurs ne sont pas patchés en temps et en heure
- les mesures de sécurité mises en place ne sont pas efficaces et suffisantes.
Comment empêcher que ça continue d'arriver?
- tout d'abord, éviter les bugs dans les serveurs, c'est clair :)
- ensuite, mettre en place des mesures de sécurité correctes. Est-ce normal qu'un serveur web se connecte ailleurs sur Internet? Non! Un site ne devrait pas autoriser n'importe quelle machine sur son réseau à sortir sur Internet. L'exemple du virus SirCam devrait réveiller les gens: il diffuse des documents (n'importe lesquels) à votre carnet d'adresse). Le contrôle des paquets en sortie permet de se prémunir contre la fuite d'information... et ce genre de soucis avec un vers.
Sans compter les dénis de service distribués qui spoofent en plus des paquets (ie, on change l'adresse IP source du paquet pour faire croire qu'il vient d'ailleurs): les filtres des entreprises ou des ISP devraient filtrer en sortie tout paquet dont l'adresse source ne correspond pas à celle d'une machine de ce réseau.
Tant que la sécurité ne sera pas prise au sérieux et faite correctement, ce genre de vers continuera de se propager...
Un dernier mot sur les patches à appliquer: ce n'est pas si facile que cela pour une entreprise. Lorsqu'elle a des centaines de serveurs à faire évoluer, il faut retester chaque serveur après les patches pour vérifier qu'il continue à bien fonctionner après (ça n'est une évidence que pour ceux qui ont déjà expérimenté le problème des patches qui cassent tout). Donc, ça prend du temps et n'est pas toujours possible. Par contre, le firewall, lui, c'est a priori possible. |
Commenter cet article.
|
|
Plus d'infos |
Sur SecurityFocus, faites une recherche sur "worm" dans la catégorie "Library" et vous aurez plein de papiers sur les vers. |
|
|
Commentaires:
|
Re: Re: Le patch |
Ecrit par Geoffrey le Samedi 8 Mai 2004, 12:34 |
Waaaaaaaaahhhh!!
Hier, j'installe IIS pour mon site en PHP!
Redémarrage: AVG6 trouve RedCode.
Vous etes sur qu'il ne s'attaque qu'à la confidentialité??
:'( |
Répondre à ce commentaire
|
|
|
|