Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 25-01-2017 20:40:10

Lien Rag
Membre
Inscription : 17-12-2016

Killdisk Ransomware

La presse (pseudo)technique bruisse de la nouvelle répétée par monts et par pixels, que ce ransomware s'attaque désormais à Linux.

Mais aucun des nombreux articles qui parlaient de Killdisk Ransomware que j'ai pu trouver n'expliquaient comment il arrivait à attaquer un système Linux - tout ce que j'ai trouvé est un article un tout petit peu plus détaillé qui disait que Killdisk n'est pas en lui-même un vecteur d'infestation mais ne peut s'exécuter que sur une machine déjà infestée.

Sur le forum Ubuntu un intervenant expliquait que les ransomware étaient généralement des scripts exécutés par le navigateur (donc essentiellement en javascript).

Mais concrètement qui utilise un navigateur en root?
Quelle autre solution aurait un script javascript pour s'exécuter sur un Linux qu'il veut infecter (jusqu'à réécrire grub)?
J'ai franchement du mal à comprendre...

Qui plus est les articles sus-cités faisaient surtout du FUD en copiant-collant les recommandations Windows (utiliser un antivirus, etc.) ce qui n'a aucun sens sur un OS sérieux.

Donc quelles sont les vraies mesures d'hygiène sur une Debian? J'avoue qu'à part la plus importante (ne pas utiliser Windows) et les principes de base que l'on apprend lorsque l'on débute sous Linux (utiliser un sourcelist officiel, n'exécuter en root que ce qui doit l'être), je ne sais pas trop...

Un linuxien averti m'a dit un jour en passant qu'il y avait une faille connue de X qui permettait une escalade des privilèges, mais je n'en sais pas plus... Existe-t'elle encore sur Jessie?

Au niveau des sources, j'ai 2-3 PPA (notamment pour Palemoon), comment savoir s'il y a un risque?

Si je laisse un terminal ouvert en root pendant que je fais autre chose, quel est le risque?

Y'a-t'il un risque d'une attaque en bruteforce sur le mot de passe root ?

Pour revenir sur les webexploits, il me paraît clair qu'ils ne pourront pas écrire sur /root; mais que peuvent-ils faire sur /home sans que je ne leur donne d'autorisation particulière?

Dernière modification par Lien Rag (25-01-2017 20:41:35)

Hors ligne

#2 25-01-2017 22:03:38

VincentQc
Membre
Lieu : Montreal (Québec)
Distrib. : Debian Stretch
Noyau : 4.13.0-0.bpo.1-amd64
(G)UI : Plasma 5.8.6 + KFrameworks 5.28.0 + Qt 5.7.1
Inscription : 07-01-2016

Re : Killdisk Ransomware

Pour revenir sur les webexploits, il me paraît clair qu'ils ne pourront pas écrire sur /root; mais que peuvent-ils faire sur /home sans que je ne leur donne d'autorisation particulière?


J'ai un collègue de travaille qui c'est fait demander une rançon en échange de ces photos (souvenir) sur Windows. Mais, rassurez-vous, c'est qu'il a du le mérité un tout petit peu... En téléchargent tous ces programmes sur des torrents. Évidemment, c'est pour ne pas payer de clé d'activation.
kernal_panic.gif

Moi, je pense qu'il faut suivre les règles de base :  - bien séparé les comptes (Valable pour Windows aussi)
                                                                                 - toujours téléchargé des serveurs officiels (Valable pour Windows aussi)
                                                                                  - Faire des backups (Valable pour Windows aussi)
                                                                                   - Et surtout ne pas faire n'importe quoi sur internet (Valable pour Windows aussi)

Si je laisse un terminal ouvert en root pendant que je fais autre chose, quel est le risque?


Que quelqu'un d'autre y accède physiquement.

Au niveau des sources, j'ai 2-3 PPA (notamment pour Palemoon), comment savoir s'il y a un risque?


Il y a toujours un risque... vive la paranoïa! acid.gif

Un linuxien averti m'a dit un jour en passant qu'il y avait une faille connue de X qui permettait une escalade des privilèges, mais je n'en sais pas plus... Existe-t'elle encore sur Jessie?


Aucune idée, je ne suis pas spécialiste, mais par contre la réponse m'intéresse. Est-ce que le passage à Wayland va amélioré la situation? scratchhead.gif

Bonne journée!

Dernière modification par VincentQc (25-01-2017 22:09:08)


MB: MSI X370 Titanium | CPU: AMD Ryzen 7 1800x OC@4Ghz + Corsair H110i
RAM: Corsair Vengance 4 x 8 Go | GPU: MSI GTX 1080 Ti 11 Go + EVGA Titan 6 Go
SSD: Samsung 840 EVO de 500 Go | HDD: 2 To + 3 To + 3 To + 3 To + 3 To

Hors ligne

#3 26-01-2017 12:09:03

raleur
Membre
Inscription : 03-10-2014

Re : Killdisk Ransomware

Lien Rag a écrit :

Sur le forum Ubuntu un intervenant expliquait que les ransomware étaient généralement des scripts exécutés par le navigateur (donc essentiellement en javascript).
Mais concrètement qui utilise un navigateur en root?


Pas besoin d'exécution en root pour chiffrer les précieux documents de l'utilisateur courant.

Hors ligne

#4 26-01-2017 12:54:27

otyugh
Membre
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016

Re : Killdisk Ransomware

Pour s'immuniser contre ces scripts, c'est simple : noscript est ton ami. tongue

Agenda du libre : se faire dépanner/dépanner IRL !
Framapad sur les balados : Emissions audio pro/amateur, votre radio sur-mesure !

En ligne

#5 29-01-2017 05:54:51

VincentQc
Membre
Lieu : Montreal (Québec)
Distrib. : Debian Stretch
Noyau : 4.13.0-0.bpo.1-amd64
(G)UI : Plasma 5.8.6 + KFrameworks 5.28.0 + Qt 5.7.1
Inscription : 07-01-2016

Re : Killdisk Ransomware

Où bien ScriptSafe, l'alternative pour Chromium.

MB: MSI X370 Titanium | CPU: AMD Ryzen 7 1800x OC@4Ghz + Corsair H110i
RAM: Corsair Vengance 4 x 8 Go | GPU: MSI GTX 1080 Ti 11 Go + EVGA Titan 6 Go
SSD: Samsung 840 EVO de 500 Go | HDD: 2 To + 3 To + 3 To + 3 To + 3 To

Hors ligne

Pied de page des forums