IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Avast parle d'attaques par détournement de DNS, Réactions à la publication du 12/07/2019
Options
Lionel
posté 12 Jul 2019, 05:58
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 53 224
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Avast a annoncé avoir bloqué au Brésil une campagne massive de pirates.
S'en prenant à des routeurs ayant des failles ou des mots de passe mal sécurisés, ils modifiaient les DNS de ces derniers afin de rediriger le trafic vers des sites de Phishing ou affichaient massivement des publicités indésirables.
L'éditeur a publié un papier très intéressant sur ce genre d'attaque.

En résumé, pour être protégé il faut mettre à jour régulièrement le microcode des routeurs, et s'il n'y en a plus de proposé d'en changer. C'est radical mais ces appareils que l'on oublie totalement sont des portes d'entrée grandes ouvertes vers vos machines.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
Fafnir
posté 12 Jul 2019, 06:10
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 538
Inscrit : 21 Jan 2010
Lieu : Vancouver BC
Membre no 149 008



Gremlins ou poltergeists? rolleyes.gif
Go to the top of the page
 
+Quote Post
axey
posté 12 Jul 2019, 08:40
Message #3


Adepte de Macbidouille
*

Groupe : Membres
Messages : 248
Inscrit : 8 Jan 2004
Membre no 13 171



On peut aussi utiliser DNSCrypt qui va s'assurer que le traffic DNS n'a pas ete modifie, que ce soit par le routeur ou par un quelconque intermediaire.


--------------------
-Frank. - mon petit blog - mes projets opensource - mon twitter - mes photos.
Go to the top of the page
 
+Quote Post
Lionel
posté 12 Jul 2019, 09:47
Message #4


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 53 224
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Ou simplement, coder comme je le fais un DNS dans chaque appareil.
Chez moi c'est 1.1.1.1 sur tous mes appareils qui ne demandent donc rien au routeur ou à la box. PAs d'attaque DNS possible à moins qu'elle ne porte sur un appareil en question.


--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
jakin1950
posté 12 Jul 2019, 10:58
Message #5


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 490
Inscrit : 5 May 2005
Lieu : Ouest
Membre no 38 497



Merci *
J'ai mis à jour le code de ma borne Netgear

Par contre , je n'ai pas compris " coder un DNS pour chaque appareil ?"

un iphone va rechercher les DNS à quel endroit ?


Cordialement


--------------------
Fan d'Apple depuis l'apple 2 c
Derniers produits Apple achetés : 2 MacBook Air avec macsave , 2 iPhone 6 et 2 iPad Air
puis 2 iphone 8
Passé à Windows en 2015. Je continue à suivre macbidouille en espérant qu'Apple s'intéressera à nouveau aux ordinateurs , pas seulement aux téléphones
Go to the top of the page
 
+Quote Post
iAPX
posté 12 Jul 2019, 11:52
Message #6


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 639
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Lionel @ 12 Jul 2019, 04:47) *
Ou simplement, coder comme je le fais un DNS dans chaque appareil.
Chez moi c'est 1.1.1.1 sur tous mes appareils qui ne demandent donc rien au routeur ou à la box. PAs d'attaque DNS possible à moins qu'elle ne porte sur un appareil en question.

Si bien sûr, car un routeur "route" smile.gif
Je recommande néanmoins de faire comme cela, un réglage obligatoire dans notre entreprise.
Il y a d'ailleurs deux choix possible, être profilé et analysé par une multinationale de la revente des données privées et personnelles, ou par le gouvernement US, je préfère le second choix (là aussi comme @Lionel).

Le traffic DNS étant non-authentifié et non-chiffré il est facile à capturer (pour analyse) voir répondre à la place du serveur visé, certains fournisseurs d'accès à Internet utilisant au moins la première méthode pour profiler leurs usagers, et en cas d'attaque sur des routeurs on peut s'attendre à ce que des routes étranges y soient installées, justement pour les DNS.

Les routeurs sont des serveurs sur Internet, aussi chez soit, et bien sûr faisant le lien entre les deux, et sont parmi les appareils connectés les moins mis-à-jours...

PS: pour @jakin1950 la description du mécanisme de base pour "trouver" les serveurs DNS à utiliser, en passant sous silence le DHCP et tout et tout (je simplifie)

Quand un appareil se connecte à un réseau physique ou sans-fil, il peut demander une adresse IP disponible, l'adresse IP du routeur mais aussi les adresses IP des DNS à utiliser (usuellement celle du routeur).
Mais on peut aussi fixer son adresse IP et/ou les addresses des DNS que l'on utilise à la main, je fais d'ailleurs comme @Lionel auquel cas l'appareil utilise celle qu'on a rentré manuellement et non celle indiquée par le routeur.

Ce message a été modifié par iAPX - 12 Jul 2019, 13:13.


--------------------
Blah blah blahhh....
Go to the top of the page
 
+Quote Post
jakin1950
posté 12 Jul 2019, 13:34
Message #7


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 490
Inscrit : 5 May 2005
Lieu : Ouest
Membre no 38 497



1.1.1.1, est le dns de cloudflare


--------------------
Fan d'Apple depuis l'apple 2 c
Derniers produits Apple achetés : 2 MacBook Air avec macsave , 2 iPhone 6 et 2 iPad Air
puis 2 iphone 8
Passé à Windows en 2015. Je continue à suivre macbidouille en espérant qu'Apple s'intéressera à nouveau aux ordinateurs , pas seulement aux téléphones
Go to the top of the page
 
+Quote Post
Oliv333
posté 12 Jul 2019, 13:43
Message #8


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 198
Inscrit : 18 Aug 2002
Lieu : Au vert
Membre no 3 182



Citation (Lionel @ 12 Jul 2019, 09:47) *
Ou simplement, coder comme je le fais un DNS dans chaque appareil.
Chez moi c'est 1.1.1.1 sur tous mes appareils qui ne demandent donc rien au routeur ou à la box. PAs d'attaque DNS possible à moins qu'elle ne porte sur un appareil en question.

Je croyais que l'on ne pouvait pas modifier les DNS par défaut des box ...

Je me rappelle avoir tenté d'attribuer d'autres DNS que ceux définis par défaut sur ma Livebox, et ce n'était pas possible, le système étant verrouillé par Orange (pour notre "sécurité", of course) sur deux adresses IP (principales et secondaire) non modifiables.
Est il possible de procéder autrement ?
Comment shunter le DNS imposé par l'opérateur ?


--------------------
"If you just sit and observe, you will see how restless your mind is. If you try to calm it, it only make it worse, but over time it does calm, and when it does, there's room to hear more subtel things - that's when your intuition start to blossom and you start to see things more clearly and be in the present more ... It's a discipline, you have to practise it."
Steve Jobs
Go to the top of the page
 
+Quote Post
axey
posté 12 Jul 2019, 13:58
Message #9


Adepte de Macbidouille
*

Groupe : Membres
Messages : 248
Inscrit : 8 Jan 2004
Membre no 13 171



Citation (Oliv333 @ 12 Jul 2019, 14:43) *
Citation (Lionel @ 12 Jul 2019, 09:47) *
Ou simplement, coder comme je le fais un DNS dans chaque appareil.
Chez moi c'est 1.1.1.1 sur tous mes appareils qui ne demandent donc rien au routeur ou à la box. PAs d'attaque DNS possible à moins qu'elle ne porte sur un appareil en question.

Je croyais que l'on ne pouvait pas modifier les DNS par défaut des box ...

Je me rappelle avoir tenté d'attribuer d'autres DNS que ceux définis par défaut sur ma Livebox, et ce n'était pas possible, le système étant verrouillé par Orange (pour notre "sécurité", of course) sur deux adresses IP (principales et secondaire) non modifiables.
Est il possible de procéder autrement ?
Comment shunter le DNS imposé par l'opérateur ?


Sur mon routeur, le port 53 est redirige par la box vers les DNS de l'operateur. Meme si 1.1.1.1 est configure sur l'ordi, ca ne change rien.

DNSCrypt utilise le port 443 et n'est pas intercepte.


--------------------
-Frank. - mon petit blog - mes projets opensource - mon twitter - mes photos.
Go to the top of the page
 
+Quote Post
Daniel31
posté 12 Jul 2019, 14:11
Message #10


Adepte de Macbidouille
*

Groupe : Membres
Messages : 54
Inscrit : 3 Feb 2005
Membre no 32 242



Citation (Oliv333 @ 12 Jul 2019, 13:43) *
Je croyais que l'on ne pouvait pas modifier les DNS par défaut des box ...

On parle (sauf erreur !) de renseigner le DNS dans les ordinateurs/téléphone/tablettes.. (dans les préférences réseau / avancé / DNS pour mac)
Du coup ton ordi utilise ce DNS là, peu importe les réglages de la box (ce qu'elle envoie comme DNS dans les infos DHCP (généralement elle-même), et/ou ce qu'elle a enregistré (le DNS de l'opérateur))
Go to the top of the page
 
+Quote Post
roseau
posté 12 Jul 2019, 14:18
Message #11


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 5 354
Inscrit : 11 Feb 2003
Lieu : Bagneux
Membre no 6 110



Bonjour,
Question pourquoi le serveur 1.1.1.1 ne pourrait pas lui aussi être compromis?


--------------------
Imac 2017 core I7 , 2*MBP2015 core I7, Macmini late 2014 core I5 16 go 10.11/maverick MBp , Mbp 15" late 2014 core i7 16 go 10.11; Macmini 2011 core i5 ( 10.9), , , Xserve/2008/ 1 2,8ghz quad-core xeon/osx server 10.9.4/mem 18 go/carte raid 3*1to raid 5,Antiquité fonctionelle :Imac debut 2010 10.5.8MBPRO 13" fin 2010 10.9, macbookpro 17" juin 2007 10.5.8, Macmini core 2 duo 1,8 /1024mo/10.5.8, Macmini 1,42/1024mo/10.4.11,G4 mono 1.25 (MDD 2003) /1500mo/10.4.11 server , 4400 200 upgrade g3/400,4400 240 , , 7100 80/,
antiquite 6320 lc 630, powerbook 180c,powerbook duo 210, Mac classic (panne vidéo) Mac SE...,os 10.4* , 10.3.9, os9.1/os8.1, os7.6,
NAS CS407 Synology 4*500go (raid 5),
Go to the top of the page
 
+Quote Post
Oliv333
posté 12 Jul 2019, 15:07
Message #12


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 198
Inscrit : 18 Aug 2002
Lieu : Au vert
Membre no 3 182



Citation (Daniel31 @ 12 Jul 2019, 14:11) *
Citation (Oliv333 @ 12 Jul 2019, 13:43) *
Je croyais que l'on ne pouvait pas modifier les DNS par défaut des box ...

On parle (sauf erreur !) de renseigner le DNS dans les ordinateurs/téléphone/tablettes.. (dans les préférences réseau / avancé / DNS pour mac)
Du coup ton ordi utilise ce DNS là, peu importe les réglages de la box (ce qu'elle envoie comme DNS dans les infos DHCP (généralement elle-même), et/ou ce qu'elle a enregistré (le DNS de l'opérateur))

Ok, mais j'ai lu sur plusieurs forums que la configuration du device connecté ne changeait rien à l'affaire, qu'à partir du moment ou on était connecté via une box c'était le DNS de l'opérateur qui avait la main, mais peut être que c'est faux.

Y a-t-il un moyen de vérifier, si je change les réglages de DNS dans mes préférences réseau que ceux ci sont bien pris en compte, et que je ne suis pas redirigé systématiquement vers les DNS Orange de la box ?

Citation (axey @ 12 Jul 2019, 13:58) *
Sur mon routeur, le port 53 est redirige par la box vers les DNS de l'operateur. Meme si 1.1.1.1 est configure sur l'ordi, ca ne change rien.

DNSCrypt utilise le port 443 et n'est pas intercepte.

Peut être la solution ?
Un peu plus compliqué du coup ...


--------------------
"If you just sit and observe, you will see how restless your mind is. If you try to calm it, it only make it worse, but over time it does calm, and when it does, there's room to hear more subtel things - that's when your intuition start to blossom and you start to see things more clearly and be in the present more ... It's a discipline, you have to practise it."
Steve Jobs
Go to the top of the page
 
+Quote Post
iAPX
posté 12 Jul 2019, 16:30
Message #13


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 639
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Oliv333 @ 12 Jul 2019, 10:07) *
...
Y a-t-il un moyen de vérifier, si je change les réglages de DNS dans mes préférences réseau que ceux ci sont bien pris en compte, et que je ne suis pas redirigé systématiquement vers les DNS Orange de la box ?
...

Uniquement si tu as tes propres serveurs DNS pour un nom de domaine sad.gif

Là tu peux vérifier si le look-up sur un sous-domaine aléatoire est effectué depuis ton adresse IP Publique ou via les DNS de ton opérateur.

Ce message a été modifié par iAPX - 12 Jul 2019, 16:35.


--------------------
Blah blah blahhh....
Go to the top of the page
 
+Quote Post
Oliv333
posté 12 Jul 2019, 19:18
Message #14


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 198
Inscrit : 18 Aug 2002
Lieu : Au vert
Membre no 3 182



Citation (iAPX @ 12 Jul 2019, 16:30) *
Citation (Oliv333 @ 12 Jul 2019, 10:07) *
...
Y a-t-il un moyen de vérifier, si je change les réglages de DNS dans mes préférences réseau que ceux ci sont bien pris en compte, et que je ne suis pas redirigé systématiquement vers les DNS Orange de la box ?
...

Uniquement si tu as tes propres serveurs DNS pour un nom de domaine sad.gif

Là tu peux vérifier si le look-up sur un sous-domaine aléatoire est effectué depuis ton adresse IP Publique ou via les DNS de ton opérateur.

Merci pour la réponse, hors de portée pour le commun des mortels dont je fais partie

Ce message a été modifié par Oliv333 - 12 Jul 2019, 20:43.


--------------------
"If you just sit and observe, you will see how restless your mind is. If you try to calm it, it only make it worse, but over time it does calm, and when it does, there's room to hear more subtel things - that's when your intuition start to blossom and you start to see things more clearly and be in the present more ... It's a discipline, you have to practise it."
Steve Jobs
Go to the top of the page
 
+Quote Post
Nicnl
posté 12 Jul 2019, 19:22
Message #15


Adepte de Macbidouille
*

Groupe : Membres
Messages : 98
Inscrit : 12 May 2010
Membre no 154 100



Citation (Lionel @ 12 Jul 2019, 09:47) *
Ou simplement, coder comme je le fais un DNS dans chaque appareil.
Chez moi c'est 1.1.1.1 sur tous mes appareils qui ne demandent donc rien au routeur ou à la box. PAs d'attaque DNS possible à moins qu'elle ne porte sur un appareil en question.


Ah, le fameux 1.1.1.1...
Perso j'ai l'avant dernière box d'orange, je peux l'utiliser

Mais le dernier modèles des box oranges ont un souci, elles utilisent 1.1.1.1 comme adresse de routage interne
Et contacter 1.1.1.1 renvoie tout vers la box elle-même... (donc en gros au lieu d'utiliser le DNS cloudfare, ça utilise le DNS orange)
Le test pour savoir si on est impacté est super simple : il suffit de ping 1.1.1.1 (en câblé ethernet, la wifi est trop instable pour ça)
Si ça ping à 1ms, c'est que la box renvoie tout le trafic de 1.1.1.1 vers elle même.


Ce message a été modifié par Nicnl - 12 Jul 2019, 19:23.
Go to the top of the page
 
+Quote Post
iAPX
posté 12 Jul 2019, 20:36
Message #16


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 639
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Nicnl @ 12 Jul 2019, 14:22) *
Citation (Lionel @ 12 Jul 2019, 09:47) *
Ou simplement, coder comme je le fais un DNS dans chaque appareil.
Chez moi c'est 1.1.1.1 sur tous mes appareils qui ne demandent donc rien au routeur ou à la box. PAs d'attaque DNS possible à moins qu'elle ne porte sur un appareil en question.


Ah, le fameux 1.1.1.1...
Perso j'ai l'avant dernière box d'orange, je peux l'utiliser

Mais le dernier modèles des box oranges ont un souci, elles utilisent 1.1.1.1 comme adresse de routage interne
Et contacter 1.1.1.1 renvoie tout vers la box elle-même... (donc en gros au lieu d'utiliser le DNS cloudfare, ça utilise le DNS orange)
Le test pour savoir si on est impacté est super simple : il suffit de ping 1.1.1.1 (en câblé ethernet, la wifi est trop instable pour ça)
Si ça ping à 1ms, c'est que la box renvoie tout le trafic de 1.1.1.1 vers elle même.

Eh oui un routeur "route"...
Juste là ça n'est pas une bonne idée de router des adresses IP publiques en interne, mais c'est Orange laugh.gif


--------------------
Blah blah blahhh....
Go to the top of the page
 
+Quote Post
ungars
posté 12 Jul 2019, 21:22
Message #17


Adepte de Macbidouille
*

Groupe : Membres
Messages : 183
Inscrit : 23 Aug 2003
Membre no 9 180



Mais on peut changer les serveurs DNS de la configuration du Mac / PC; dans ce cas, ces adresses deviennent prioritaires sur celles de la box, non ?

Ce message a été modifié par ungars - 12 Jul 2019, 21:22.
Go to the top of the page
 
+Quote Post
iAPX
posté 12 Jul 2019, 21:32
Message #18


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 639
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (ungars @ 12 Jul 2019, 16:22) *
Mais on peut changer les serveurs DNS de la configuration du Mac / PC; dans ce cas, ces adresses deviennent prioritaires sur celles de la box, non ?

Non, pas lorsqu'elle "route" les requêtes ailleurs qu'attendu, notamment dans le cas cité ci-dessus (Orange) que je mettrait dans la catégorie des malware puisque détournant du traffic légitime.


--------------------
Blah blah blahhh....
Go to the top of the page
 
+Quote Post
Pixelux
posté 13 Jul 2019, 19:40
Message #19


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 674
Inscrit : 18 Dec 2003
Lieu : Montréal
Membre no 12 595



Au cas où vous l'auriez oublié. C'est tout à fait possible d'avoir son propre serveur DNS directement sur son PC...

Du moment que l'on à compris comment faire. Ça prend cinq minutes et y'a que des avantages.

Ce message a été modifié par Pixelux - 13 Jul 2019, 19:44.


--------------------
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 17th August 2019 - 12:46