e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


en flag Read it in english with google

Microsoft vient d'annoncer dans le blog Security Research & Defense que le comportement de "Autorun" va changer dans Windows 7, et (chose importante) ceci sera implémenté prochainement dans Vista et XP. Il n'y aura plus de flash disque qui lancent automatiquement des programmes sans la connaissance de l'utilisateur....qui le premier vecteur d'infection que je constate autour de moi.

Cette "réaction" est en fait un exemple de ce que devrait être l'approche sécurité des éditeurs de logiciels et des développeurs en général...traiter le mal à ces racines et produire quelque chose le plus "solide" possible.

Apparemment, c'est que veut faire dans le domaine des systèmes d'exploitation l'équipe Andrew S. Tanenbaumde (le père de Minix), financé par l'Europe à coût 2,5 millions d'euros.


.

en flag Read it in english with google

Bien que l'apparition des virus et autres malwares est devenue chose courante, il est clair que Conficker fait parler de lui d'une façon assez notable. Il est vrai que les techniques utilisées par ce code ne sont pas vraiment révolutionnaires de l'avis de tous les experts, mais le nombre de machines compromises et le désarrois de la communauté de la sécurité par rapport à la réussite de cette attaque, font de lui un cas un peu particulier. Jusqu'à présent, ce code ne fait rien de bien nouveau sur les machines cibles, mais sa puissance de frappe commence à inquiéter. Et si on croit certaines analyses qui avancent que les créateurs de ce virus suivent un stratégie loin d'être banale, il est fort à penser que l'avenir peut nous réserver beaucoup de surprises...et c'est là que le mot "compromission" est plus adapté et précis que le mot "infection".

Je ne vais pas relater ici les détails techniques ni les divers compromissions, (il y en a tellement sur Internet) mais je voudrais que les ISP algériens, et surtout les administrateurs réseau des entreprises et administration algériennes, mettent en place et exploitent les solutions permettant d'identifier les machines compromises. C'est de leur responsabilité (au moins en partie).

Concernant les moyens de détection, il est possible de trouver les machines compromises en scanant le réseau :

- en utilisant l'excellent nmap

- l'outil de SRI

- l'outil du Honeynet Project

Et il y a même le ISC qui vous permet de voir s'il a "vu" des adresses IP compromises appartenant à vos réseau.


.

Inscription à : Articles (Atom)