Greboca  

Suport technique et veille technologique

Suport technique et veille technologique

Aujourd’hui, les grandes entreprises et administrations publiques hésitent entre continuer à utiliser des logiciels propriétaires ou basculer vers les Logiciels Libres. Pourtant, la plupart des logiciels libres sont capables de bien traiter les données issues des logiciels propriétaire, et parfois avec une meilleur compatibilité.

C’est alors la barrière de la prise en main qui fait peur, et pourtant...

Les logiciels libres

L’aspect « Logiciel Libre » permet une évolution rapide et une plus grande participation des utilisateurs. Les aides et tutoriels foisonnent sur Internet ou sont directement inclus dans le logiciel lui-même.

Enfin, les concepteurs sont plus proches des utilisateurs, ce qui rend les logiciels libres plus agréable à utiliser et conviviaux.

Grâce à la disponibilité des logiciels libres, vous trouverez facilement des services de support techniques et la licence n’est plus un frein à l’utilisation de ces logiciels par votre personnel.

Notre support technique concerne essentiellement les logiciels libres, que ce soit sous forme de services ponctuels ou de tutoriels.

LinuxFr.org : les journaux  -  Quand le phishing se joue des serveurs DNS

 -  28 novembre - 

L'histoire commence la semaine dernière quand j'ai commencé à recevoir du phishing pour le Crédit Mutuel, mais avec des URL qui pointaient toutes vers les serveurs de Wikimedia.

Très étonnant, trop même.

J'ai décidé de faire remonter l'information à Wikimedia, qui me répond connaître ce problème depuis un moment, une quantité d'outils et d'abus les ciblant à cause de la résolution vers ses serveurs.

Bien sur, aucun phishing n'est hébergé chez Wikimedia, seul les domaines de phishing pointent dessus.

Habituellement, les site de phishing détectent les IP des outils de signalement et renvoient vers une page anodine. (c'est là où on constate l'impuissance de la solution d'Orange phishing-initiative qui n'ira pas plus loin après une vérification positive, malgré le nombre de signalements…)

Une première hypothèse commune était que les domaines pointaient temporairement vers les serveurs de Wikimedia le temps de déjouer les outils de signalement. Or, cette stratégie ne peut pas fonctionner: La campagne de spam perd son efficacité avec le temps, et les outils sérieux prendront en compte les signalements successifs.

En creusant un peu plus, une résolution DNS sur le lien donne bien le serveur de Wikimedia.

    ;; ANSWER SECTION:
    isg.strinygys.com.      53      IN      A       208.80.154.224

Or, je me trouve en Asie en ce moment. Il y aurait-il une réponse différente en fonction de la zone géographique ? Pour cela il faut que les criminels aient le contrôle de la réponse, donc du serveur faisant autorité.

Voyons, via whois, qui fait autorité pour ce domaine de phishing

    Domain Name: strinygys.com
    Name Server: NS1.SPERTYION.INFO
    Name Server: NS2.SPERTYION.INFO

Des serveurs DNS qui ne sont pas ceux d'un registrar. Voyons plus loin:

    NS1.SPERTYION.INFO has address 62.84.182.241

    inetnum:        62.84.176.0 - 62.84.191.255
    netname:        TT-20240627
    descr:          Contabo GmbH

Les réponses de résolution DNS sont donc émises par des serveurs DNS hébergés sur des serveurs dédiés Allemands.

Possiblement, ils peuvent donc faire tourner un serveur DNS modifié qui répondra différemment en fonction de la zone géographique, et donc de la cible d'attaque définie (France pour le Crédit Mutuel).

Validons la théorie. Retentons via un VPN sortant en France:

    ;; ANSWER SECTION:
    isg.strinygys.com.      60      IN      A       208.80.154.224

Zut. Rien de changé. Toujours une réponse vers Wikimedia.

Pourtant ces campagnes de phishing durent, donc c'est que ça fonctionne pour eux.
Pourquoi alors n'ai je pas la réponse me donnant le serveur web de phishing ?

Pour avoir une réponse différente il faudrait faire du DNS poisoning, mais impossible pour eux de cibler tout le monde, à moins que…

Tentons autre chose, mais en forçant la demande via les serveurs DNS de Free

        host isg.strinygys.com 212.27.40.240
        Using domain server:
        Name: 212.27.40.240
        Address: 212.27.40.240#53
        Aliases:

        isg.strinygys.com has address 62.84.182.241 

Bingo.

On se retrouve donc avec une technique insidieuse, ne résolvant vers le phishing que quand la demande est effectuée par les caches/DNS des fournisseurs Français. D'autant plus facile étant donné que la liste des IP des ces serveurs est forcément publique.

En configurant la résolution via un serveur habituellement non filtré comme Google ou Cloudfare, le phishing n'est donc plus effectif. Cela pourrait éviter ce type de phishing, or la loi Française a pour effet de contraindre le fournisseurs à fournir des box qui ne résolvent que par leur propres serveurs.

Commentaires : voir le flux Atom ouvrir dans le navigateur

par fcartegnie

LinuxFr.org : les journaux

LinuxFr.org : Journaux

L'IPv6 ce n'est pas pour demain

 -  1er décembre - 

Bonjour tout le monde.Depuis le temps que l'ipv6 existe, pas mal d'outils ne considèrent pas ce protocole au même niveau que l'ipv4;par exemple (...)


Gestion domestique de l'énergie: OpenHEMS

 -  21 novembre - 

Sommaire La Domotique L’Énergie But recherché Les moyens disponibles Remarques La solution OpenHEMS Présentation générale Fonctionnalités Conclusion (...)


Souriez, vous êtes filmé

 -  2 novembre - 

Bonjour 'nal, Le contexteJ'ai hésité à appeler ce journal "La France a peur" ou je deviens vieux, mais finalement j'ai choisi un titre plus neutre (...)


L'OSI publie une définition de l'IA "opensource"... mais pas trop?

 -  1er novembre - 

Bonjour Nal,L'open source initiative vient de publier une définition de ce qu'ils appellent Open Source AI.Cela semble prendre en compte 4 (...)


Helix, une excellent alternative à vim !

 -  29 octobre - 

Pour écrire du code, j'ai toujours été tiraillé entre les éditeurs de texte et les EDI. Il manque souvent aux éditeurs de texte des fonctionnalités qui (...)