logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 25-01-2017 19:40:10

Lien Rag
Membre
Inscription : 17-12-2016

Killdisk Ransomware

La presse (pseudo)technique bruisse de la nouvelle répétée par monts et par pixels, que ce ransomware s'attaque désormais à Linux.

Mais aucun des nombreux articles qui parlaient de Killdisk Ransomware que j'ai pu trouver n'expliquaient comment il arrivait à attaquer un système Linux - tout ce que j'ai trouvé est un article un tout petit peu plus détaillé qui disait que Killdisk n'est pas en lui-même un vecteur d'infestation mais ne peut s'exécuter que sur une machine déjà infestée.

Sur le forum Ubuntu un intervenant expliquait que les ransomware étaient généralement des scripts exécutés par le navigateur (donc essentiellement en javascript).

Mais concrètement qui utilise un navigateur en root?
Quelle autre solution aurait un script javascript pour s'exécuter sur un Linux qu'il veut infecter (jusqu'à réécrire grub)?
J'ai franchement du mal à comprendre...

Qui plus est les articles sus-cités faisaient surtout du FUD en copiant-collant les recommandations Windows (utiliser un antivirus, etc.) ce qui n'a aucun sens sur un OS sérieux.

Donc quelles sont les vraies mesures d'hygiène sur une Debian? J'avoue qu'à part la plus importante (ne pas utiliser Windows) et les principes de base que l'on apprend lorsque l'on débute sous Linux (utiliser un sourcelist officiel, n'exécuter en root que ce qui doit l'être), je ne sais pas trop...

Un linuxien averti m'a dit un jour en passant qu'il y avait une faille connue de X qui permettait une escalade des privilèges, mais je n'en sais pas plus... Existe-t'elle encore sur Jessie?

Au niveau des sources, j'ai 2-3 PPA (notamment pour Palemoon), comment savoir s'il y a un risque?

Si je laisse un terminal ouvert en root pendant que je fais autre chose, quel est le risque?

Y'a-t'il un risque d'une attaque en bruteforce sur le mot de passe root ?

Pour revenir sur les webexploits, il me paraît clair qu'ils ne pourront pas écrire sur /root; mais que peuvent-ils faire sur /home sans que je ne leur donne d'autorisation particulière?

Dernière modification par Lien Rag (25-01-2017 19:41:35)

Hors ligne

#2 25-01-2017 21:03:38

VincentQc
Membre
Lieu : Montréal (Canada)
Distrib. : Debian 12 Bookworm
Noyau : Linux 6.1.0-9-amd64
(G)UI : Gnome 43.4 Wayland
Inscription : 07-01-2016

Re : Killdisk Ransomware

Pour revenir sur les webexploits, il me paraît clair qu'ils ne pourront pas écrire sur /root; mais que peuvent-ils faire sur /home sans que je ne leur donne d'autorisation particulière?


J'ai un collègue de travaille qui c'est fait demander une rançon en échange de ces photos (souvenir) sur Windows. Mais, rassurez-vous, c'est qu'il a du le mérité un tout petit peu... En téléchargent tous ces programmes sur des torrents. Évidemment, c'est pour ne pas payer de clé d'activation.
kernal_panic.gif

Moi, je pense qu'il faut suivre les règles de base :  - bien séparé les comptes (Valable pour Windows aussi)
                                                                                 - toujours téléchargé des serveurs officiels (Valable pour Windows aussi)
                                                                                  - Faire des backups (Valable pour Windows aussi)
                                                                                   - Et surtout ne pas faire n'importe quoi sur internet (Valable pour Windows aussi)

Si je laisse un terminal ouvert en root pendant que je fais autre chose, quel est le risque?


Que quelqu'un d'autre y accède physiquement.

Au niveau des sources, j'ai 2-3 PPA (notamment pour Palemoon), comment savoir s'il y a un risque?


Il y a toujours un risque... vive la paranoïa! acid.gif

Un linuxien averti m'a dit un jour en passant qu'il y avait une faille connue de X qui permettait une escalade des privilèges, mais je n'en sais pas plus... Existe-t'elle encore sur Jessie?


Aucune idée, je ne suis pas spécialiste, mais par contre la réponse m'intéresse. Est-ce que le passage à Wayland va amélioré la situation? scratchhead.gif

Bonne journée!

Dernière modification par VincentQc (25-01-2017 21:09:08)


Dell XPS 13 9310 CPU: i7-1165G7 RAM: 16 Go LPDDR4 SSD: 2 To NVMe Écran: 1080p anti-reflet

Hors ligne

#3 26-01-2017 11:09:03

raleur
Membre
Inscription : 03-10-2014

Re : Killdisk Ransomware

Lien Rag a écrit :

Sur le forum Ubuntu un intervenant expliquait que les ransomware étaient généralement des scripts exécutés par le navigateur (donc essentiellement en javascript).
Mais concrètement qui utilise un navigateur en root?


Pas besoin d'exécution en root pour chiffrer les précieux documents de l'utilisateur courant.


Il vaut mieux montrer que raconter.

Hors ligne

#4 26-01-2017 11:54:27

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Killdisk Ransomware

Pour s'immuniser contre ces scripts, c'est simple : noscript est ton ami. tongue

virtue_signaling.pngpalestine.png

En ligne

#5 29-01-2017 04:54:51

VincentQc
Membre
Lieu : Montréal (Canada)
Distrib. : Debian 12 Bookworm
Noyau : Linux 6.1.0-9-amd64
(G)UI : Gnome 43.4 Wayland
Inscription : 07-01-2016

Re : Killdisk Ransomware

Où bien ScriptSafe, l'alternative pour Chromium.

Dell XPS 13 9310 CPU: i7-1165G7 RAM: 16 Go LPDDR4 SSD: 2 To NVMe Écran: 1080p anti-reflet

Hors ligne

Pied de page des forums