Nouveau piratage

[silencio]

Bon j'en peu plus!!!
Je me suis fais pirater pour la seconde fois. La première fois, s'était dû à Chiken VNC qui avait une faille, mais de puis je l'ai viré.
Là, il s'est passé la même chose, ma souris faisait n'importe quoi, MSN s'est lancé, puis le "pirate" a tapé un texte odieux à un de mes correspondants.
J'ai contacté mon FAI, Alice, et selon le technicien suite à un Netstat à partir de l'outil Utilitaire de réseau, le piratage viendrait du Wi-Fi. Ma clé WEP aurait été cracké.

Est-ce que quelqu'un peut m'aider?? Je suis désespéré. Je fais un boulot où je suis soumis au secret professionnel, et franchement je voudrais pas que mon Mac pas un hall de gare pour des abrutis.

De plus, d'un point de vue légal, qu'est ce que je peux faire?

Merci d'avance!!

[guerom00]

Mets un filtrage par adresse MAC sur ta borne Wifi

[silencio]

Salut,
Merci pour ta réponse. Je viens effectivement de mettre un filtrage Mac.
Par contre une question me travaille.
Dans mon immeuble, nous sommes que 3, je connais très bien mes voisins, et un jour, l'un deux était en rade d'internet. Je lui ai proposé de se connecter à ma borne wi-fi, mais le signal n'était passez fort pour que la connexion soit fiable.
Alors je ne vois comment quelqu'un de plus éloigné aaurait pu se connecter à mon routeur.
Vraiment le craque là

[guerom00]

Remarque : si le mec a craqué ta clef WEP, il peut sûrement se faire passer pour ta machine au niveau de l'adresse MAC
Désactive ton serveur VNC : tu seras tranquille
Aussi : mets une clef WPA. C'est plus dur à craquer je crois

Ce message a été modifié par guerom00 - 22 Feb 2008, 20:39.

[silencio]

Le VNC n'y est un plus depuis quelques mois. Je l'avais viré quand la première un gars s'était planté d'adresse IP et s'est retrouvé sur ma machine. Il m'a envoyé un mail pour me dire qu'il y avait une faille.
Maintenant je ne sais pas vraiment si c'est dû au Wi-FI ou autre, je suis largué

[guerom00]

Le VNC n'y est un plus depuis quelques mois. Je l'avais viré quand la première un gars s'était planté d'adresse IP et s'est retrouvé sur ma machine. Il m'a envoyé un mail pour me dire qu'il y avait une faille.

Tu as viré Chicken of the VNC mais pas désactivé ton serveur, vu ce que tu rapportes (contrôle à distance)
Il faut décocher ce service dans les PrefSyst > Partage

[silencio]

Dans le Partage j'ai seulement "Partage de fichiers Mac" et "Partage d'imprimante" de cochés

[PowerBook]

La meilleur solution, c'est le câble.

Sauf erreur ou omission, si quelqu'un désire rentrer sur un réseau WIFI, il n'y a rien qui puisse l'en empêcher, sauf le désactiver.

Des pistes pour améliorer, en plus de ce qui a été écrit ci dessus :
- limiter le nombre d'adresses au niveau du serveur d'adresse, au strict minimum,
- ou limiter le champs au travers du masque réseau

[silencio]

Merci pour cette réponse.
Je n'ai pas le bagage technique pour tout comprendre. Demain je vais aller faire un tour à la boutique Mac de ma ville pour qu'il me sécurise mon Mac

[andre6006]

Cela n'est pas très utile de vouloir sécuriser le mac, c'est plutôt le réseau qu'il faut sécuriser.
Par commencer, remplace ta clé WEP par une WPA, beaucoup plus dur à craquer. Ensuite comme mot de passe, je te conseille une série de chiffre et de lettre, mais aussi des caractères spéciaux comme $ ! &. Enfin, tu peux activer sur ton routeur le filtrage des adresses MAC, pour ne choisir que celle de ton ordi, tu la trouvera dans préférence, réseau, éthernet, avancé, ethernet, ID Ethernet.

Si malgré tout cela, il parvient quand même à t'atteindre, désactive le wifi et achete un câble éthernet.

[babgond]

Bonjour

Filtrage Mac Adresse
Clef WPA
désactivation de tout les partages possible dans Mac'Os
Mise à jour du Mac

Ensuite si le gars arrive à tout contourner : Soit
- tu as des donnes extrêmement importante, (dans ce cas tu ne devrait même pas imaginer te connecter sur internet )
- tu as un véritable Geek qui t'en veut !!! (elle la il te faut une connexion cablé en attendant que le gars déménage...)

après il te faut un parfeu indépendant (ipcop par exemple) et désactiver le wifi biensur

[Lumbermatt]

Le filtrage MAC ne sert à RIEN en sécurité wifi. L'adresse mac du destinataire figure en clair dans l'entête des paquets wifi. Il suffit donc de capturer des trames wifi au hasard et de noter cette adresse. Après, le pirate change son adresse MAC (mac spoofing) sur celle du poste autorisé et y a plus qu'à...

Pareil pour les restriction d'adresses c'est pareil. Aussi tôt rentré sur votre réseau, le pirate n'a plus qu'a capturer des trames et à regarder les adresses IP des postes et donc découvrir l'architecture du réseau.

La seul presque* garantie est le WPA2 avec une clef de minimum 8 caractères de casses différentes , symboles et chiffres. Après y a des solutions plus élégantes comme une authentification Radius mais ça devient un peu lourd pour un particulier.

Un conseil, change le type de cryptage sur ton point d'accès wifi en WPA ou WPA2.

(*) Je dis presque parce que je pars du fait que tout système de sécurité n'est pas parfait, mais dans ce cas on peut quand même accepter un doute raisonnable.

[silencio]

Dans ma colère, j'ai oublié de préciser une chose importante. C'est sur mon mac Mini qui a été piraté. Il n'est pas en Wi-fi celui là, il est relié à internet par ethernet (connecté à un routeur Linksys WAG300).
Le Wi-Fi est activé sur ce routeur afin que je puisse me connecter avec mon MacBook. Mais c'est seulement le MacMini qui a été piraté.
Hier soir j'ai jeté un oeil à la configuration de mon routeur. Dans la section Applications et jeux (là où je peux ouvrir ou fermer les ports pour des applications) je me suis aperçus qu'il y avait le port 5900 (qui est nommé VNC) ouvert sur mon Mac Mini. Je l'ai donc fermé.

Donc si je récapitule :

- Un Mac Mini connecté via ethernet, AirPort désactivé, sur lequel j'avais installé il y a quelques mois Chiken VNC (et par la même occasion activation du port 5900 sur cette machine, fermé depuis hier soir) - et désinstallé depuis - et c'est lui qui a été piraté.

- Un MacBook connecté en Wi-Fi à mon routeur, et lui je n'ai pas (encore) eu de problèmes de sécurité.

- Sur ces deux machines j'ai activé le firewall de MacOs X, activé le partage seulement pour le partage de fichiers Mac et d'imprimante (et là c'est seulement sur mon Mac Mini). Le firewall de mon routeur est aussi activé. J'ai désactivé l'option d'accès au contrôle du routeur via Wi-Fi. J'ai changé la clés WEP 148 bits(je n'ai pas le WAP), j'ai mis le filtrage Mac et j'ai désactivé la diffusion du SSID.

Au vu de ces nouvelles infos, pensez-vous effectivement que c'est par le Wi-Fi que l'abruti a pu prendre le contrôle de ma machine (je rappel que ma souris bougeait toute seule, etc...) ou bien c'est par une autre voie? Port VNC ouvert sur mon routeur? Mouchard? Tojean? ou autre...
Dois-je formater mon Mac Mini pour plus de sécurité?
Merci

Désolé si j'ai été un peu confus hier, mais j'étais dans une colère noire!!!

Ce message a été modifié par silencio - 23 Feb 2008, 09:05.

[andre6006]

Une clé WEP est super facile à craquer, même en 148 bits, choisi WAP c'est beaucoup plus sûr.

[castor74]

Je me pose une petite question à ce sujet: si la box (chez moi, Livebox Inventel) n'est pas en mode association, comment peut-on, même si on a pu avoir la clé WEP ou autre, ouvrir une connexion???

[megastef]

Tu peux aussi déposer une plainte (ou du moins une main courante). Même si le type te balade sur ton réseau parce qu'il se sent plus malin, ca reste un délit.

Si il y a trois gusses dans ton entourage, voir la police sonner à la porte en refroidit plus d'un. Et si besoin de prouver des intrusions, surtout si tu as des données sensibles, ils ont un service bien équipé.



Ce message a été modifié par megastef - 23 Feb 2008, 12:06.

[Lumbermatt]

Je me pose une petite question à ce sujet: si la box (chez moi, Livebox Inventel) n'est pas en mode association, comment peut-on, même si on a pu avoir la clé WEP ou autre, ouvrir une connexion???

En mode association le filtrage MAC est désactivé et tout client qui se connecte à la box est enregistré comme adresse MAC autorisée.

Comme je disais précédemment, obtenir l'adresse MAC des autres client Wifi qui sont autorisés est simple comme bonjour. Après il suffit de prendre l'adresse Mac d'un poste autoriser le filtrage MAC n'est plus qu'un lointain souvenir.

@silencio : Si ton wifi est activé, ça suffit. Tu peux accéder aux postes connectés en ethernet si tu est connecté en wifi.

Normalement ton routeur doit pouvoir être upgrader pour supporter le WPA. Sinon trouve toi un autre point d'accès wifi qui supporte les derniers versions du WPA.

Ce message a été modifié par Lumbermatt - 23 Feb 2008, 14:05.

[andre6006]

Parceque le WEP c'est simple a craquer comme bonjour. On trouve même des tutos sur internet.

[castor74]

En mode association le filtrage MAC est désactivé et tout client qui se connecte à la box est enregistré comme adresse MAC autorisée.

Ça ne répond pas vraiment à la question... Le mode association, sur ma LiveBox, n'est effectif que pendant 10 minutes. Toute machine qui essaie, après ces dix minutes, de se connecter même avec la clé se voit refuser la connexion. Alors comment font ceux qui piratent, dans ce cas précis? Certains modems restent en association toute l'année?

[Nicosa]

Comme il est dit au dessus, le filtrage MAC n'est pas incassable. Il suffirait de faire du MAC spoofing (émettre une fausse adresse mac) après avoir récupéré une adresse MAC autorisée à se connecter.

[cyril1]

Ne pas oublier aussi de désactiver le SSID = diffusion du nom de ton réseau wifi...

En + de l'adressage MAC

+ une clef WPA

Et la ! le mec devra etre un gros baleze pour Rentrer !

[macuserfr]

sur ce thread là on avait donné des commandes pour voir si le serveur VNC ne restait pas actif. Ce serait bien d'y jeter un coup d'oeil en plus de toutes les suggestions déjà données.

Si ce n'est arrivé qu'une seule fois et que la personne n'a fait que mumuse sur MSN, je pense qu'il ne faut pas être parano envers tes voisins (à moins que t'aies un bon motif pour cela). Ça peut être des jeunes qui ont apprit à cracker du WEP et qui n'ont rien d'autre à faire que de se ballader dans la ville avec un ordinateur portable à la traque de réseaux non sécurisés ou WEP.

J'ai déjà fait l'expérience chez moi avec des utilitaires, du WEP ça peut se craquer en moins de 10 min en 2 clics de souris. La protection par adresse MAC, comme déjà dit plus haut, n'en est pas une pour quelqu'un qui a déjà le niveau pour cracker du WEP, ce n'est qu'une formalité en plus. La découverte du SSID d'un réseau n'est pas très difficile non plus, malheureusement.

Je suis d'accord avec l'idée générale: passer en WPA (par update du firmware du routeur ou changement de celui-ci), fermer tous les partages, utiliser Little Snitch pour être informé en temps réel des connexions, et si ça ne suffit pas, désactiver le wifi et passer le portable en ethernet, mais bon, pour en arriver là c'est vraiment que tes documents confidentiels ont de la valeur... Le WPA ça ne se crack pas facilement

[silencio]

Alors voilà, j'ai revus la configuration de nom routeur. J'ai vérifié et mon routeur possède bien le cryptage WPA2 sous le nom de PSK2-Personnel.
Alors voilà ce que j'ai fait au niveau du routeur :

- Activation du WPA2(est-ce bien la même chose que le PSK2-Personnel?) et renouvellement de la clé toutes les 5 secondes.
- Changement de nom du SSID et non diffusion.
- Activation du filtrage MAC et établissement d'une liste d'ordinateur pouvant se connecter : il y en a qu'un.
- Pare-feu SPI activé (il a toujours été), plus mis en place de filtres supplémentaires :
* Proxy
* ActiveX
* Applets Java
- Les 3 canaux Passthrough VPN désactivé
- Pour les transferts de connexion unique, seul 3 ports sont autorisés (ce sont ceux de aMule)
- Désactivation de l'accés à distance pour la configuration du routeur, et désactivation de la gestion du routeur par WLAN

Au niveau de mon Mac Mini (qui est connecté au routeur via ethernet) et de mon MacBook (lui via AirPort)
- Mise en route du pare-feu Mac OsX et autorisation du partage de l'imprimante
- Changement de mot de passe long et compliqué+++++++

Bon je viens de réinstaller VNC server et désinstallé avec AppDelete. Le dossier /Library/StartupItems/OSXvnc/OSXvnc-server n'y ai plus maintenant.
Quand je fais un scan des ports ouvert sur mon IP local, le port 5900 n'apparait plus!!! (est-ce une victoire?), il y 3 ports ouverts
Si je rentre mon adresse IP fournie par mon FAI, et que je fais un scan port avec l'utilitaire de réseau de Mac OSX j'obtiens 7 ports ouverts, est-ce normal?
Si je fais un scan sur http://check.sdv.fr j'ai le port 5190 qui est ouvert. Sur d'autres sites (www.inoculer.com ou www.zebulon.fr) tous mes ports sont invisible.

Voilà, dois-je faire autre chose? Comment puis-je vérifié que mon réseau est convenablement protégé?

[lolo_en_passant]

En mode association le filtrage MAC est désactivé et tout client qui se connecte à la box est enregistré comme adresse MAC autorisée.

Ça ne répond pas vraiment à la question... Le mode association, sur ma LiveBox, n'est effectif que pendant 10 minutes. Toute machine qui essaie, après ces dix minutes, de se connecter même avec la clé se voit refuser la connexion. Alors comment font ceux qui piratent, dans ce cas précis? Certains modems restent en association toute l'année?

si, cela répond à la question. Le mode association sur la livebox ne sert qu'à permettre la connexion d'un matériel non référencé dans la table des adresses MAC autorisées si le filtrage par adresse MAC est activé. Autrement dit, même avec le filtrage, si tu places ta livebox en association, tu pourras t'y connecter (avec la clé wep/wpa bien sûr).
A l'inverse, si ton matériel est référencé dans la table, inutile de passer la lb en association pour t'y connecter, même la première fois. Et donc, en changeant son adresse MAC, un matériel que tu n'as pas référencé peut se connecter, même sans que la lb soit en association

Ce message a été modifié par lolo_en_passant - 24 Feb 2008, 19:29.

[castor74]

Bon, merci de ces précisions... Une fois de plus, je constate que toutes les barrières possibles sont franchissables par les voyous...

[macuserfr]

Juste pour info, le port 5190 c'est celui utilisé par iChat/AIM, c'est pas bien grave

[tommy3oay]

...
Voilà, dois-je faire autre chose? Comment puis-je vérifié que mon réseau est convenablement protégé?

Oui. Ton niveau de sécurité est bon pour un LAN domestique. Cependant, il faut bien comprendre que tout ceci est ce qu'on appelle du "homebrew security". Cad un LAN sur lequel il sera aisé de rentrer si on s'en donne vraiment les moyens (ie. les distribs Linux orientées hack).
Donc si tu penses réellement que les données présentes chez toi sont confidentielles au niveau professionnel, il va falloir investir dans du VRAI matériel réseau afin de mettre en place un tunnel GRE/IPSEC, une connexion VPN ou au MINIMUM des ACLs au niveau WAN. Si tu tiens à conserver un réseau Wifi, il faudra penser à une borne disposant de certificats ou au moins authentification RADIUS locale à la borne.

Mais évidemment, tout ça coûte du pognon. A toi d'estimer quel niveau de risque tu es prêt à accepter !

Ce message a été modifié par tommy3oay - 25 Feb 2008, 11:44.

[macuserfr]

Le plus simple serait peut être d'externaliser les données sensibles sur clé usb ou disque dur externe. de ne les laisser connectés que le temps de travailler dessus et débrancher le reste du temps.

Le debranchement physique reste le meilleur moyen d'éviter des intrusions.

[silencio]

Bonjour,

Merci pour ces réponses. Sur mon Mac je n'ai rien de relatif à l'identité de mes patients (j'en ai pas besoin), tous mes textes sont anonymés. C'est surtout une question de principe, j'ai un peu pété les plombs quand j'ai vu qu'il y avait encore une faille dans mon système!!!!!!!! Ce sont des heures de travails qui peuvent disparaitre parce qu'un un ado a une poussé hormonale et s'imagine être le nouveau Kevin Mitnick!!! De toute façon ça concerne toute personne qui travail bcp sur sont ordinateur, de l'écrivain au photographe, en passant par des médecins, des secrétaires, etc...

Pour ce qui est du Radius, j'ai la possibilité d'utiliser ce mode de sécurité sur mon routeur, mais si j'ai bien saisi il faut un serveur auquel doit se connecter le routeur. A moins de mettre un serveur "software" sur mon Mac, j'imagine que je devrais avoir un serveur physique.
Mais bon faut pas tomber dans la paranoïa non plus, j'ai eu un bon coup de flip et de colère!!!!
Merci à tous!!!

PS : juste pour ma culture, je vais m'informer sur les serveurs Radius

[macuserfr]

Si c'était juste un ado, le fait de désactiver le VPN, changer le mdp du routeur et passer le wifi en WPA devrait suffire à le calmer, ou au moins le faire chercher une autre cible...

Reste à avoir les 2 oreilles levées pendant quelques jours, histoire d'en faire une quarantaine.

[aurelien28]

Pas de paranoia, met le WPA ou lieu du WEP et deja avec ca tu devrais etre tranquil car le WPA est dur a craquer

[Pierre Fracasse]

Je viens de lire rapidement l'historique de ton post. Une solution rapide est de changer régulièrement ta clé WPA/WPA2/WEP/autre. Sinon, change le nom de
ton réseau WIFI (SSID).

Ceci demande d'être répété souvent (une fois par mois?).

Petite question, as tu changé le mot de passe de ton compte admin sur le routeur? Est-ce toujours celui par défaut? La cause du problème n'est peut être pas ton mac...

Ce message a été modifié par Pierre Fracasse - 10 Apr 2008, 10:34.

[Tournevis]

Une porte d'intrusion "facile" pour les livebox est qu'il est rare que les utilisateurs sachent qu'il y a deux noms d'administrateur. Le premier et le plus connu avec son mot de passe est bien sur Admin. Beaucoup de personnes changent le mot de passe d'admin. Ce qui est bien mais pas suffisant.
L'autre nom d'administrateur est root, avec un mot de passe également archi connu. Mais pour changer le mot de passe de cet administrateur, il faut être en mode "Avancé" sous admin et seulement là on a accès à la modification du mot de passe de root.
Je ne peux que te conseiller de changer les 2 mots de passes (et de préférence ne pas mettre le même) dès que possible.

[Pierre Fracasse]

Yep, je confirme, il faut moins de 10 secondes pour trouver le mot de passe du compte " support " via une recherche sur Gogole :

un thread de discussion sur un autre forum

pour info :

Login : support
Pass : dvguhbti


ton vilain voisin passe peut etre par là ?

[trouspinette]

Juste pour info, le port 5190 c'est celui utilisé par iChat/AIM, c'est pas bien grave

Oui, ou alors un vilain programme qui détourne les ports aussi

[powerbook92]

mes préférences afin d'éviter tout piratage de mon réseau wifi

security : WPA2-PSK (cle de partage wpa = une cle wep récupérée et qui me parait est assez longue)
wpa encryption : AES
Activer le filtrage par adresse MAC
puis masquer la borne


Borne journée


Alain


PS: penser à activer le firewall s'il n'est pas déjà activé par défaut

Ce message a été modifié par powerbook92 - 11 Apr 2008, 06:38.

[vro75]

WPA est une bonne solution. Ce n'est pas facile à casser, contrairement au WEP qui souffre d'une grosse faille exploitée par de nombreux utilitaires (type aircrack). C'est le cryptage RC4 associé au fait que la clé de 128 bits (par exemple) est en fait constituée d'un vecteur d'initialisation de 24 bits suivis de 104 bits de clé qui constitue le problème : certaines configurations des 11 premiers bits de la clé RC4 permettent de la casser, et comme les 11 bits en question sont dans la partie IV (vecteur) qui change à chaque trame, on finit rapidement par trouver des configurations fautives. Il suffit de capturer des trames pendant quelques temps.

Par contre il faut bien rappeler que le filtrage MAC comme le masquage du SSID ne sont pas des sécurités : le SSID est de toutes façons transmis en clair dans la phase de connexion de votre Mac à la borne, il suffit d'écouter le réseau à ce moment là pour le saisir au vol. Et l'adresse MAC source comme destination est transmise nécessairement en clair également dans tous les paquets échangés. Une capture puis une configuration de sa carte Ethernet après, et le pirate se fait passer pour vous.

[monsieurben]

...
Voilà, dois-je faire autre chose? Comment puis-je vérifié que mon réseau est convenablement protégé?

Oui. Ton niveau de sécurité est bon pour un LAN domestique. Cependant, il faut bien comprendre que tout ceci est ce qu'on appelle du "homebrew security". Cad un LAN sur lequel il sera aisé de rentrer si on s'en donne vraiment les moyens (ie. les distribs Linux orientées hack).
Donc si tu penses réellement que les données présentes chez toi sont confidentielles au niveau professionnel, il va falloir investir dans du VRAI matériel réseau afin de mettre en place un tunnel GRE/IPSEC, une connexion VPN ou au MINIMUM des ACLs au niveau WAN. Si tu tiens à conserver un réseau Wifi, il faudra penser à une borne disposant de certificats ou au moins authentification RADIUS locale à la borne.

Mais évidemment, tout ça coûte du pognon. A toi d'estimer quel niveau de risque tu es prêt à accepter !

Le Radius, je veux bien mais ça fait pas un peu beaucoup (genre brûler sa maison pour tuer une mouche)? pour ceux qui ne savent pas (et c'est compréhensible), radius est un protocole d'authentification qui est notamment utilisé par les fournisseurs d'accès à internet car il est fiable et capable de gérer une forte charge... On pourrait pas utiliser une solution un peu plus simple, genre CPL? ça paraît un peu plus approprié, et ça évite d'avoir à déployer une véritable usine à gaz pour 2 mac... Devolo faisait pour Club Internet des adaptateurs qui pouvaient se coupler par 4 (3 postes + la box), ça coûtait en gros 160€ les 4, et c'est bien plus sécurisé que le wifi, tout en étant transportable. Ca doit bien se trouver dans le commerce...

Ce message a été modifié par monsieurben - 13 Apr 2008, 20:25.