ou comment avoir le plus de chance de se faire pirater...
1 : Résumé de la situation avant
que Anti-Hack ne prenne connaissance du probléme.
2 : Notre avis.
3 : Ce que nous aurions fait.
4 : Conclusion.
1 : Résumé de la situation avant que Anti-Hack ne prenne connaissance du probléme.
20 Août 1998 aux alentour de 21H.
Une personne qui se serait connecté via un compte UUnet envoie à 2500 abonnés de
Skynet un Cheval de troie autrement dit un programme qui une fois installé lui permet de
prendre le contrôle total et complet de tous les ordinateurs qui ont exécuté le
fichier. Le message était intitulé "Virus Warning" quoi de plus naturel
donc que d'exécuter le fichier qui se trouve attaché et qui se nomme dtct.exe.
Erreur fatale hélas car ce fichier est un cheval de troie, le fameux cheval de troie
nommé Back Orifice. Une fois exécuté ce
fichier, un genre de virus, il est très complexe de le supprimer de la mémoire et les
seules méthodes sont des programmes tels que Bouffetroyen(champion
toute catégorie en détection et éradication de chevaux de Troie) ou Antigen et Bodetect qui sont tous deux des programmes
spécialisés dans la détection de ce cheval de troie uniquement.
21 Août 1998 à 18H13
La premiére réaction en publique face au probléme, Marc[un abonné de skynet qui a reçu ce courrier] poste un message dans le newsgroup Skynet.complaints afin de demander de l'aide.
22 Août 1998 à 12H38
Premiére réaction officielle de Skynet en public via Jean-Francois Mauguit son reponsable Juridique. Voici le message :
Nous avons en effet reçu de nombreuses plaintes à ce sujet. J'ai pris
contact avec EUNet belgium (c'est un client de chez eux qui a envoyé ça)
pour qu'ils prennent les mesures adéquates. J'ai reçu un accusé de
réception de leur part me signifiant qu'ils allaient agir.
A bientôt,
Jef
marc wrote:
>
> non de dieux de merde d'enfoiré de ... !!!! y'en a un qui m'a envoyé à
> moi et à je pense 100 autres abonnés skynet un virus trojan, je demande
> de l'aide de la part de skynet, et j'aimerais porté plainte.
>
> J'ai réussi à le stopper, enfin je pense. Help urgent
--
--------------------------------------------------------
Jean-Francois Mauguit - aka Gimli - jef@skynet.be
Member of the SkyTe@m - http://www.skynet.be
Member of the SERT - Skynet Emergency and Response Team
--------------------------------------------------------
Y o u r S u n s h i n e P r o v i d e r
--------------------------------------------------------
Trois minutes plus tard :
22 Août 1998 à 12H41
Re message de Jean-Francois Mauguit, il s'est en effet trompé de provider...dans son précédant message.[Preuve du sérieux dans lequel il a rédigé son courrier :-) ]
Jean-Francois Mauguit wrote:
>
> Nous avons en effet reçu de nombreuses plaintes à ce sujet. J'ai pris
> contact avec EUNet belgium (c'est un client de chez eux qui a envoyé ça)
> pour qu'ils prennent les mesures adéquates. J'ai reçu un accusé de
> réception de leur part me signifiant qu'ils allaient agir.
>
je voulais dire uunet ;-)
Jef
Dans la suite de la journée du 22 Août 1998, quelques réponses et interrogations vont naître quand à l'identité réelle de l'émetteur du courrier.
23 Août 1998
Marc a identifié le cheval de Troie via un Anti-virus qui par chance le détectais et en fai part dans le newsgroup.
24 Août 1998
Christian un autre abonné de skynet poste un message sur le forum à l'attention de Jean-Francois Mauguit. Celui-ci répond
Christian Duprez wrote:
>
> Bonjour Jef,
>
> Quelques questions relatives à l'envoi de ce " virus ".
>
> - A ta connaissance, les abonnés de Skynet ont déjà vaincus
> un cas similaire? Si oui, quelle a été la position des responsables
> de Skynet à cette époque?
Non, c'est la premiére fois. Toutefois, et comme toujours, quelques
régles de prudence s'imposent sur Internet :
- ne pas télécharger de programmes à partir de sites inconnus
- ne pas accepter de fichiers de personnes inconnues via ICQ, IRC,...
- ne pas ouvrir les attachments en provenance de personnes inconnues
En respectant cela, je n'ai jamais eu de virus en 3 ans sur le net.
>
> - Si Uunet ne désire pas effectuer les recherches pour identifier
> son abonné indélicat ou tout simple ne désire pas communiquer
> son identité, quels sont les recours pour les abonnés de Skynet?
Si vous avez subi un préjudice, vous pouvez porter plainte auprés des
autorités judiciaire qui demanderont à UUNet d'identifier le client (là,
ils seront obligés).
>
> - Skynet a déjà reçu des plaintes relatives au cas présent ?
> (des machines en panne ?)
Des plaintes à propos du virus, non. Des plaintes à propos du spam, oui.
A bientôt,
Jef
--
--------------------------------------------------------
Jean-Francois Mauguit - aka Gimli - jef@skynet.be
Member of the SkyTe@m - http://www.skynet.be
Member of the SERT - Skynet Emergency and Response Team
--------------------------------------------------------
Y o u r S u n s h i n e P r o v i d e r
--------------------------------------------------------
25 Août 1998
Rien à l'horizon ....
26 Août 1998
Un message de plus dans les news qui n'apporte aucune solution bien au contraire puisque le contenu est carrément faux.
27 Août 1998
Rien à l'horizon ....
28 Août 1998
Rien à l'horizon ....
29 Août 1998
Rien à l'horizon ....
30 Août 1998
Rien à l'horizon ....
31 Août 1998
Rien à l'horizon ....
1 Septembre 1998
Rien à l'horizon ....
2 Septembre 1998
Rien à l'horizon ....
3 Septembre 1998
Rien à l'horizon ....
4 Septembre 1998
Rien à l'horizon ....
5 Septembre 1998
Rien à l'horizon ....
6 Septembre 1998
Rien à l'horizon ....
7 Septembre 1998
Rien à l'horizon ....
8 Septembre 1998
Skynet a compris le probléme et comment le résoudre,[19 jours plus tard vaut mieux tard que jamais] ils mettent sur la page d'accueil de leur abonnés une rubrique spéciale dont le macaron est plus petit que les résultat du Lotto[C'est pour que ce soit visible et que tout le monde le voit bien.. :-)]. Preuve que Skynet met ses abonnés au courant mais n'a pas envie d'en faire un plat et préfére étouffer l'affaire.
Copie de la page diffusée se trouve ici.
Le même jour, je recois ce mail-ci de Jean-Francois Mauguit :
Date: Tue, 08 Sep 1998 13:25:51 +0100
From: Jean-Francois Mauguit <jef@skynet.be>
Reply-To: jfm@skypro.be
To: cccb@hotmail.com
Subject: BOHello,
Je suis le responsable legal de Belgacom Skynet et ai entendu parler de votre site dans le magazine Joystick ;-)
Comme 2500 de nos clients ont été victimes d'un spam contenant BackOrifice, je suis passé sur votre site pour voir quelle était la meilleure solution.
Il me semble que c'est l'utilisation de BODETECT qui convient le mieux.Qu'en pensez-vous ? (Il faut que l'utilisation de la procédure soitsimple et efficace)
Merci,
Jef
--
--------------------------------------------------------
Jean-Francois Mauguit - aka Gimli - jef@skynet.be
Member of the SkyTe@m - http://www.skynet.be
Member of the SERT - Skynet Emergency and Response Team
--------------------------------------------------------
Y o u r S u n s h i n e P r o v i d e r
--------------------------------------------------------
9 Septembre 1998
Courrier suivant de Jean-Francois Mauguit suite à ma réponse a son précédant courrier. En mauve vous avez la réponse au précédent courrier que je lui avais envoyé. N'ayant pas enregistré le courrier lui envoyant je ne peux vous le restituer que sous cette forme.
Date: Wed, 9 Sep 1998 09:32:39 +0100
To: <cccb@hotmail.com>
From: Jean-Francois Mauguit <jfm@skypro.be> Save Address Block Sender
Subject: Re: BOAt 17:11 +0100 8/09/98, you wrote to jef:
>>Hello,
>>
>>Je suis le responsable legal de Belgacom Skynet et ai entendu parler de
>>votre site dans le magazine Joystick ;-)
>
>Heureux d'entendre enfin quelqu'un de chez Belgacom. Autant vous
>prévenir desuite je suis etrÍmement direct et je ne pense aucun bien ni
>de Skynet ni de Belgacom en général et encore moins du service technique
>de Turboline qui non seulement est incompétent, ne réponds pas à mes
>mails et me traite de "pauv type".Hello,
Il ne faut pas confondre Skynet et Belgacom meme si cela apparait assez liede l'exterieur ;-)>Ceci étant dit, je vais essayer de répondre au mieu à vos questions et
>ceci dans une athmosphere contructive dans le bien de tous.Merci ;-)
>La solution actuelle est le Bouffetroyen qui d'àpres mes renseignements
>est sensé le détecter et l'éradiquer de la mémoire trés convenablement
>et avec beaucoup d'efficacité tout comme de trés nombreux autre chevaux
>de troie.
>
>Une seconde solution que je publie sur mon site est antigen, répandu sur
>internet, il a déjà fait ses preuves. Ceci dit comme Back Orifice a été
>downloadé 100.000 fois depuis le site de ses créteurs, nombreuses sont
>les victimes et par conséquent les programmes pour s'en protéger. Je ne
>connais que de nom BODETECT et comme ma machine de test qui me sert à
>vérifier l'efficacité de ces programmes est actuellment hors d'usage, je
>ne sais pas vous donner mon avis.Nous avons teste BODETECT et il est tres simple d'utilisation et efficacedans la lutte contre BO (et uniquement contre BO)
>
>Antigen est tres simple, un seul fichier, pas de dll, une interface
>graphique excellente et trés explicite. Je ne connais pas BODETECT mais
>ca peux etre difficile de faire mieux. Ceci dit en informatique rien
>n'est impossible. Le seul défaut c'est qu'il est en anglais mais si
>vous désirez je peux réaliser une page d'explication trés compléte en
>Francais. Pas en Neerlandais hélas car je ne maÓtrise pas assez.
Je crois que pour BO, nous allons garder BODETECT. Par contre pourl'avenir, il serait bon d'avoir une page telle que la votre hebergee cheznous.
Je suis actuellement en discussion avec notre service technique pour voirce que nous pourrions faire au niveau des ports.>
>D'apres votre question, je suppose que vous allez faire un mailing
>complet à toutes les personnes spammées. Si je peux me permettre une
>remarque à ce sujet, il faudrait faire un mailing a TOUS lesNous avons place un message d'avertissement sur notre site Belcast Skynet àl'attention de tous nos clients.
Comme je vous l'ai dit plus haut, j'ai demande a notre directeur techniquede me donner son avis sur votre proposition de bloquer ou surveiller certains ports.
Je vous remercie pour votre aide,
Jef
---------------------------------------------------
Jean-Francois Mauguit - aka Gimli - jef@skynet.be
Belgacom Skynet - Belgian ISP - http://www.skynet.be
---------------------------------------------------
Y o u r S u n s h i n e P r o v i d e r
---------------------------------------------------
Immédiatement aprés avoir reçu ce courrier je lui répond et lui fait de même, voici donc son second courrier en cette belle journée du 9 septembre :
Date: Wed, 9 Sep 1998 11:49:35 +0100
To: cccb@hotmail.com
From: Jean-Francois Mauguit <jfm@skypro.be>
Subject: Re: BOAt 10:18 +0100 9/09/98, you wrote to jef:
>Alors la c'est bien une réaction typiquement à la Skynet grosse boite,
>on previent le client via une liste sur lequel 90% des gens ne metterons
>jamais les pieds. Si j'ai bien compris vous avez mis une info sur le
>site www.skynet.be dans le cas contriare excusez-vous de ce qui suit.
Hello,
Il s'agit de belcast.skynet.be. C'est la page d'entrée de plus de 60% de
nos clients.
Les personnes ayant reçu le spam ont été informée individuellement par
e-mail suite à l'initiative de l'un de nos abonnés.
Les newsgroups skynet.* ont été assez actifs à ce sujet également.
>
>je viens d'aller voir votre message et je dois dire que vous avez fait
>tres fort, rejeter la faute sur UUNet c'est pas mal mais plutôt déplacé
>je trouve. Meme si j'ai déjà porté painte plusieurs fois chez UUnet
Nous avons pris contact avec UUNet par e-mail et lors de la derniére
réunion de l'ISPA et ils nous ont dit OK, on va virer le client, mais on ne
sait pas si cela a été fait.
De plus plusieurs clients de chez nous ont écrits directement chez eux et
n'ont pas obtenu de réponse.
Enfin, le spammer avait indiqué une fausse adresse e-mail (domaine
skynet.be) et nous voulions montrer que le client n'était pas de chez nous.
>parce que ils sont des pirates professionels parmis leurs abonné, à la
>différence de vous ont des filtres anti-spam efficaces et un service
Nous avions également mis en route un service anti-spam plus efficace il y
a quelques temps mais nous avons reçu de nombreuses plaintes nous disant
que nous censurions leurs mails ! La censure étant interdite....
>anti-piratage qui vous répond dans l'heure mais aussi borné que le vôtre
>hélas. Alors je vous répete simplement, la seule mesure c'est de
>bloquer le port de ce cheval de troie sur vos firewall et d'en avertir
Il est vrai que notre communication client n'est pas trés au point. Nous
sommes en train de mettre un projet sur pied de communication de masse vers
eux. Mais bon ce sera trop tard pour cette fois-ci.
>personellment tous vos clients. Comme boserve a un port variable, je ne
>sais pas vous dire lequel il a été configuré dans la version qui a été
>envoyée a vos clients etant donne que je ne suis pas chez skynet mais si
>vous saviez m'envoyer le fichier ca me ferais tres plaisir.
Je joins donc le fichier à ce mail
A bientôt,
Jef
Rebelotte aprés avoir reçu ce derniier courrier je lui répond encore il j'aurai encore une réponse le jour même que voici :
Date: Wed, 9 Sep 1998 14:05:52 +0100
To: <cccb@hotmail.com>
From: Jean-Francois Mauguit jfm@skypro.be
Subject: Re: BO
Hello,
>Sinon j'admire le delais qu'il vous a falu pour me contacter... :-(
C'est en lisant mon Joystick que j'ai appris l'existence de votre site. Je vous ai contacté le lendemain.
>
>Deja moi si je voulais faire un coup pareil je le ferais pas depuis mon
>compte je commencerais a un piquer un quelque part (chez vous par
>exemple,ils sont si faciles...) ensuite je ferais comme lui. Changer
>l'email et je vai meme aller plus loin si vous avez ý faire ý un crack,
>il a peut etre encore utilise une fausse ip voire meme un routeur
>legerement modifié pour commettre son crime.Oui. Mais alors, un vrai crack serait passé par une chaine de BBS qui luipermette de sortir d'internet et de rerentrer avec une nouvelle IP (du bbsentrant) et impossible à remonter jusqu'à la source.
>
>Ceci dit faudrait voir si un client qui se fait formater son disque dur
>pourrait pas porter plainte contre vous... Ca pourrais etre amusant
>ca... Skynet en proces suite a l'incompetence de son sevice technique
>qui n'est pas capable de mettre en place une solution...:-)
>
>Sur ce je réfléchis encore sur l"action que je vai prendre sur mon site
>parce que je trouve franchement que vous etes inadmissibles.
>
Je crois que juridiquement, nous ne sommes pas engagés. Nous fournissons un accés complet à Internet, c'est tout.Si quelqu'un est assez bête pour ouvrir l'attachment dans un mail privé(protégé par la constitution et les droits de l'homme) ! Nous n'y sommespour rien...
C'est comme si un mec qui reçoit un pot de confiture empoisonnée par laposte et le mange et que sa femme porte plainte contre la poste qui ne l'a pas protégé des terroristes !
Je vous avais contacté pour avoir l'avis d'une personne "éclairée" dans lesproblémes de virus et d'intrusion, mais nous traiter d'incapables, ... n'avance à rien...
A bientôt,
Jef
---------------------------------------------------
Jean-Francois Mauguit - aka Gimli - jef@skynet.be
Belgacom Skynet - Belgian ISP - http://www.skynet.be
---------------------------------------------------
Y o u r S u n s h i n e P r o v i d e r
---------------------------------------------------
10 Septembre 1998
Rien à l'horizon ....
11 Septembre 1998
Date: Fri, 11 Sep 1998 12:00:04 +0100
To: <cccb@hotmail.com>
From: Jean-Francois Mauguit <jfm@skypro.be> Save Address Block Sender
Subject: Re: BO
At 10:54 +0100 11/09/98, you wrote to jef:
>Hello,
>
>Ce petit mail pour savoir au vous en etes au niveau de l'installation
>des protecion et de la configuration de vos firewall...
>
>Aujoud'hui je publie l'historique de notre dicussion sur mon site, une
>reponse positive de votre part a condition que ce soit la réalié serait
>a bienvenue....
>
>Bye
>
Cela n'a pas encore été fait.
Jef
---------------------------------------------------
Jean-Francois Mauguit - aka Gimli - jef@skynet.be
Belgacom Skynet - Belgian ISP - http://www.skynet.be
---------------------------------------------------
Y o u r S u n s h i n e P r o v i d e r
---------------------------------------------------
Le spam des 2500 utilisateurs a eu lieu le 21 Août, c'est seulement le 8 septembre soit presque trois semaines plus tard que Skynet mettait à disposition des utilisateurs un programme de détection et d'éradication du cheval de troie.
Imaginez vous dans la vie courante, vous achetez une porte de garage automatique tout marche parfaitement et trois semaines plus tard, on vous dit que le constructeur a trafiqué les commandes et sait ainsi ouvrir toutes les portes de garage que sa société a fabriqué. He bien c'est exactement ce qu'il s'est passé chez skynet, une personne avait la clé pour accéder a 2500 ordinateurs qui avaient reçu le programme. Skynet le savait mais n'a rien fait, Skynet avait la possibilité de prévenir tous ses utilisateurs très rapidement mais ne l'a pas fait, Skynet avait la possibilité de bloquer les communications qui permettaient de bloquer le contrôle à distance des ordinateurs mais ne l'a pas fait non plus.
En gros nous ne pouvons que constater l'incompétence de cet ISP qui ne connaît tout simplement pas son boulot.
Analysons à présent quelques passages clés :
Nous avons pris contact avec UUNet par e-mail et lors de la dernière
réunion de l'ISPA et ils nous ont dit OK, on va virer le client, mais on ne
sait pas si cela a été fait.
Génial, Skynet connaît l'adresse spéciale de UUNet qui est disponible sur leur site à laquelle il faut envoyer le courrier relatif à tout abus du réseau. (abuse@uunet.be )
Alors maintenant je me met dans la peau d'un "fonctionnaire " de chez Skynet : "Ouais mais moi je leur ai dit il m'a dit qu'il allait le faire alors pourquoi je vérifierais.???"
Ben à mon avis c'est juste ce que Skynet a du se dire. Pourquoi chercher à avoir des explications et un peu de suivit pour rassurer les clients alors que on est si bien à chatter sur Internet dans les bureaux.
Je crois que juridiquement, nous ne sommes pas engagés. Nous fournissons un accès complet à Internet, c'est tout.
Alors là accrochez-vous bien. Monsieur le responsable juridique de Skynet "crois", il est pas sur il crois, moi j'aime autant vous dire que si je suis pas sur en informatique ca plante alors Monsieur le responsable, cessez de croire et soyez sur ca vaudrais mieux pour vous. Quand à la seconde partie de cette phrase, elle reflète bien la mentalité grosse boite à faire du fric et qui n'en a "rien a fouttre" de ses clients. Ils fournissent un accès complet à Internet, c'est tout. Ben heureusement que en Belgique il y en a qui fournissent plus qu'un accès complet mais aussi un service technique disponible, aimable, et compétent et je ne parle pas de la qualité de vos POP... Comme quoi Skynet se limite juste à vous fournir le stricte nécessaire pour vous pomper votre blé un point c'est tout.
Si quelqu'un est assez bête pour ouvrir l'attachment dans un mail privé(protégé par la constitution et les droits de l'homme) ! Nous n'y sommespour rien...
Moi je veux bien faire le pari avec vous que je vous fais exécuter un cheval de troie que vous le vouliez ou non et vous êtes pas débutant en informatiques alors imaginez-vous la personne qui ne se sert que très rarement de son ordinateur, qui ne sait pas ce que c'est un virus, ben oui elle va tout exécuter bêtement comme vous dites, mais c'est pas parce qu'elle est bête mais bien parce que elle a un manque d'information général sur le fonctionnement d'internet et cette information c'est vous qui auriez du la lui donner à l'ouverture de son compte et pas quand il y a un problème que l'on va dire au client n'exécutez pas tel ou tel fichier c'est avant et pas après qu'il faut le dire...
C'est comme si un mec qui reçoit un pot de confiture empoisonnée par la poste et le mange et que sa femme porte plainte contre la poste qui ne l'a pas protégé des terroristes !
Rien a voir avec l'informatique et cela montre votre ignorance complète du fonctionnement de ces programmes. A la poste, on voit passer des postpacs avec des adresse, en informatique c'est similaire mais plus évolué. En plus de l'adresse, vous avez un port et les chevaux de troie, ils attaquent tous sur des ports connus ou que l'on peu connaître et qui sont fixes. Alors ou serait le problème de bloquer ces ports-la justement ? Ben y en a pas juste que visiblement c'est à la limite de vos compétences un point c'est tout... Chez moi j'utilise un firewall, tous les providers ont un firewall, en moins de 15 secondes, non seulement je peux empêcher à toute connection externe de se connecter mon ordinateur et de le contrôler même si j'ai lancé le fichier qu'il ne fallait pas mais en plus je sais savoir qui veut essayer de rentrer dans mon ordinateur au moyen de son adresse IP. Alors messieurs les providers, le jour ou vous vous déciderez à faire çà, ben vous aurez franchis un grand pas en avant en attendant vos réseaux sont la porte ouvertes aux abus de tous types. N'attendez pas de comprendre comment ca marche trop longtemps, sinon vous aurez compris quand la technique aura changé.
Cela n'a pas encore été fait.
Vous voulez que je vous dise ca ne sera jamais fait tant qu'on vous poussera pas à le faire parce que pour vous ca change rien de toute façon c'est pas votre faute si le client se fait pirater (Ceci dit je suis pas aussi sur que vous et si un avocat s'y connaît dans le domaine je veux bien m'entretenir avec lui), il a qu'a s'en prendre à lui-même.
Il est vrai que notre communication client n'est pas très au point. Nous
sommes en train de mettre un projet sur pied de communication de masse vers
eux. Mais bon ce sera trop tard pour cette fois-ci.
Mon avis personnel sur la question est que votre communication client est NULLE. Vous êtes incompétents quand c'est pas carrément grossiers. Dites-moi quand il est sur pied, je téléphonerai pour simuler une plainte pour piratage informatique et je suis curieux de voir si mon interlocuteur ou interlocutrice saura même de quoi je parle... Ensuite je vous metterai une cotation objective sur base de critères et on fera ca chez d'autres providers pour comparer.
Un client nous contacte pour signaler qu'il a reçu un virus, nous identifions ce virus comme étant le cheval de troie Back Orifice(Pas très compliqué tout le monde en parle, un logiciel de piratage qui est distribué à 120.000 exemplaires ne passe pas inaperçu), exécution de ce fichier sur une machine test afin de vérifier le port de communication ensuite configuration immédiate de tous les firewall du réseau en bloquant et logging sur ce port. Résultat des courses, tous les clients infectés sont intouchables ou presque et nous connaissons les personnes qui tentent d'accéder à leur ordinateur plainte est déposée et l'affaire est classée. Temps de mise en place des sécurités : maximum 4 heures suite à la connaissance du problème. Skynet n'a pas encore mis en place ces sécurités. Pour le moment nous sommes le 12 septembre date de rédaction de cette page et je suis donc 132 fois plus rapide que l'armada de Skynet pour une solution bcp plus fiable et qui permet en plus de démasquer les fauteurs de trouble.
Skynet est une boite a vous pomper du fric un point c'est tout. Ceci dit à décharge de Skynet, aucun provider n'a pour le moment mis en place de telles protection mais aucun non plus n'a de raison valable pour ne pas les mettre... Anti-Hack continuera donc à insister encore et encore...
©1998 www.anti-hack.org
All Rights Reserved