Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:systeme:securite [15/08/2013 21:03] captnfab [Vos objectifs] |
doc:systeme:securite [15/08/2013 23:12] captnfab [Se protéger contre les attaques] |
||
---|---|---|---|
Ligne 5: | Ligne 5: | ||
* Tags : {{tag>à-compléter}} | * Tags : {{tag>à-compléter}} | ||
* Commentaires : //La sécurité est un vaste domaine. Nous allons développer différents aspect de la sécurité ainsi que les différents moyens à mettre en œuvre pour les satisfaire.// :-) | * Commentaires : //La sécurité est un vaste domaine. Nous allons développer différents aspect de la sécurité ainsi que les différents moyens à mettre en œuvre pour les satisfaire.// :-) | ||
+ | * Suivi de la page sur le forum : [[http://debian-facile.org/viewtopic.php?id=2897|ici]] | ||
===== Vos objectifs ===== | ===== Vos objectifs ===== | ||
Ligne 140: | Ligne 141: | ||
* [[logiciel:clamav|Clamav]]. Clamav - Un antivirus pour protéger les copains qui sont pas sous linux. Les pôv... | * [[logiciel:clamav|Clamav]]. Clamav - Un antivirus pour protéger les copains qui sont pas sous linux. Les pôv... | ||
+ | ===== L'aspect humain ===== | ||
+ | |||
+ | Avoir un mot de passe solide, c'est bien. Mais si c'est pour le donner au premier site de phishing venu, ça n'est pas la peine. | ||
+ | |||
+ | C'est pourquoi il est très important d'éduquer tous les utilisateurs d'un serveur sur les risques de phishing et autres arnaques. | ||
+ | |||
+ | L'idée est la suivante, et c'est un cas d'école puisque c'est ce qui est arrivé à TheOnion : | ||
+ | - Je veux pénétrer un réseau, plutôt que de bruteforcer tous les mots de passes possibles, je vais simplement les demander aux utilisateurs. | ||
+ | - Je crée une page qui ressemble trait pour trait à la page de changement de mot de passe du service | ||
+ | - J'envoie un mail aux utilisateurs (mais pas au staff) leur demandant de changer leur mot de passe. | ||
+ | Pour qu'ils ne se doutent de rien en voyant l'url, je la camoufle en html [url=http://url2/]http://url1[/url] où url2 est une adresse sur terrain apparemment neutre (google) redirigeant vers url3 où se trouve la fausse page de changement de mot de passe. | ||
+ | - Sur les x utilisateurs, il y en a un qui tombe dans le panneau et donne son mot de passe. | ||
+ | - Je crée ensuite une page qui ressemble à une page de connexion au compte | ||
+ | - J'envoie un lien au staff depuis le compte compromis indiquant « euh, faudrait revoir cet article » avec un lien pointant vers la fausse page de connexion au compte (protégé par la même astuce que tout à l'heure). | ||
+ | - Un des membres du staff croit que cette demande d'identifiants est légitime pour accéder à l'article cité. | ||
+ | - En fait non et je récupère les identifiants du membre du staff. | ||
+ | |||
+ | Autre astuce : | ||
+ | - Je fais une page de fishing pour un site à la noix où je sais que l'utilisateur à un compte | ||
+ | - Je teste le mot de passe donné sur ce site sur son compte mail principal | ||
+ | - Ça marche, j'ai son compte mail et donc virtuellement quasiment tous ses mots de passe… (coucou paypal, ebay et autres numéros de cartes pré-enregistrés) | ||
+ | |||
+ | **Attention, ces astuces ne sont pas là pour vous transformer en pirates du dimanche, mais pour vous montrer combien c'est facile et ça marche… Donc soyez prudents !** | ||
===== Liens divers ===== | ===== Liens divers ===== | ||