Comment intercepter une intrusion sur notre pc debian ?

Support Debian
#1

bonsoir,

je me pose la question de comment surveiller efficacement les échanges de paquets, les intrusions, les connections sur mon pc …
J’ai du mal à réunir les principes de bases et les outils appropriés … et surtout interpréter les résultats ; prenons l’exemple suivant :

Avec EtherApe, je vois une connection à une ip qui me parait louche : 194.158.114.105.
Je lance Ethereal, qui me donne une ligne, entre autre :

Plus haut, j’ai un truc du genre :

[quote]
45 47.363886 192.168.1.100 194.158.144.105 TCP [TCP Retransmission] 47581 > www [FIN, ACK] seq=0 Ack=0 …etc …[/quote]

Voilà, ben je comprend pas grand chose …
on pourrait pas faire un petit manuel de traçage et de démasquage ici svp ?

#2

[quote=“usinagaz”]bonsoir,

je me pose la question de comment surveiller efficacement les échanges de paquets, les intrusions, les connections sur mon pc …
J’ai du mal à réunir les principes de bases et les outils appropriés … et surtout interpréter les résultats ; prenons l’exemple suivant :

Avec EtherApe, je vois une connection à une ip qui me parait louche : 194.158.114.105.
[/quote]
C’est la connexion qui est louche ou l’ip qui est louche?
frameip.com/whois/whois.php
=>
netnum: 194.158.114.0 - 194.158.116.255
netname: T-ONLINEFRANCE
descr: Servers at La Villette
country: FR
admin-c: NOCT1-RIPE
tech-c: NOCT1-RIPE
status: ASSIGNED PA
mnt-by: T-ONLINEFRANCE
source: RIPE # Filtered

[quote]
Je lance Ethereal, qui me donne une ligne, entre autre :

Plus haut, j’ai un truc du genre :

Ben FIN ton PC veut mettre fin (de maniere propre) à la connexion.
ACK ca fait partie d’une connexion deja existante, c’est un Acquitement (une reponse)
TCP Retransmission je dirai que c’est parceque le paquet précedent que tu as envoyé (probablement FIN,ACK) n’a pas été acquité par 194… dc ta pile TCP réessaye après un certain timeout.

[quote]
Voilà, ben je comprend pas grand chose …
on pourrait pas faire un petit manuel de traçage et de démasquage ici svp ?[/quote]
Si tu veux bien comprendre comment tcp/ip marche, tu peux lire soit TCP/IP illustrated soit aller sur
abcdrfc.free.fr/rfc-vf/rfc793.html
Ca t’expliquera TCP un protocole censé assurer un echange de haute fiabilité .Reprise en cas d’erreur, allocation des ports TCP pour adresser plusieurs applis pour une meme IP. La couche sous jacente IP est supposée non s^ure, c’est l’hypothese. De plus les paquets peuvent prendre plusieurs chemins, ces chemins peuvent etre plus ou moins rapides donc il va falloir réordonner les paquets à l’arrivée (Sequence numbers). TCP gère aussi une fenetre d’emission, ex il envoit 100 paquets et ne va attendre qu’un acquitement, pour accelerer le traffic.
Le diagramme d’etat à la fin du 3.2 est assez important, il explique pas mal de choses. C’est ptet un peu indigeste mais bon… c’est TCP/IP après tout, c’est pas un petit truc!
Donc IP c’est par là :
abcdrfc.free.fr/rfc-vf/rfc791.html
:slightly_smiling:

IP, c’est les adresse IP, le routage…

Je crois pas qu’il y ait de méthode parfaite pr deceller une tentative de piratage… sinon ce serait intégré dans linux…
Par contre si tu veux tenter de comprendre ce qui s’est passé , post mortem; il te faudra tous les paquets loggués ainsi que leur contenu… un gros disque dur et tres rapide aussi…
Parceque TCP/IP a des failles de conception c’est clair (spoofing, coupure de connexion,…) et aussi des failles d’implémentation (reouverture de port deja ouverts sur les windows 2000,XP;…). Donc quand tu lis tes logs, peut-etre que quelqu’un essaye de te faire croire qu’il s’est passé une chose, alors qu’en fait une autre chose s’est passé. Il faut alors regarder TOUS les champs des entetes pour esperer voir qqchose.
Tu peux mitiger les risques en installant certaines protections…

La protection locale est tres importante AMA : A.I.D.E. (utilisé par l’equipe debian en 2003 pr localiser un piratage) , Samhain, tripwire. Le controle d’integrité, qui prouve que tes fichiers n’ont pas été modifiés et que tu n’as pas un rootkit au c*l… A partir du moment ou tu as un rootkit d’installer, ce que voient tes yeux ne correspond plus à la réalité :wink: Formatage, reinstalle.

#3

waoua le flippe :confused:
merci pour l’exposé BorisTheButcher, bon ben je vais lire tous ça, je crains juste de me paumer total mais bon … 8)
ya des apt-get à faire ? :confused:

ps: Et puis, par exemple, comment mettre un terme à une connexion suspecte ?
Soit d’un nom de domaine que je reconnais pas, soit d’une IP … comment les déconnecter ?

#4

Oula :slightly_smiling: N’essayez pas defaire de la sécurité si vousne comprenez pas les concepts sous-jascent, sinon vous allez vous bruler les ailes !!

Cdlt,

#5

Oui c’est vrai. La sécurité d’un système equivault à la sécurité du maillon le plus faible. Si il y a le dernier Firewall TipTop de la mort qui tue mais qu’a coté de ca, vous avez laissé un accès ssh avec comme password le nom de votre chien, ben vous perdez votre temps. Ceci est un exemple tres simpliste, il y en a des plus compliqués.
C’est un domaine de pointe, assez compliqué (de ce que j’en connais). Les méchants ont selon moi souvent un temps d’avance sur les gentils :slightly_smiling:
Et dernierement, il est bcp plus facile de casser un systeme que d’en construire un qui est sécurisé. Aucun système n’est sur à 100% (regle d’or à bien se mettre dans le crane) mais on peut y tendre.

Tu pourrais commencer par installer le patch grsec, ca m’interesse aussi pour la débian.

Si kk1 peut expliquer comment le faire simplement. C’est pas la panacée mais bon…

Tcho’

#6

[quote=“ed”]Oula :slightly_smiling: N’essayez pas defaire de la sécurité si vousne comprenez pas les concepts sous-jascent, sinon vous allez vous bruler les ailes !!
Cdlt,[/quote]
Ouaip, c’est clair …
Mais il y a quand même des choses qu’on peut faire … enfin j’imagine, sans tout dérégler … :confused:

Mes outils actuels:

  • Firestarter (interface graphique d’iptable)
  • Etherape
  • Ethereal

Je prend un exemple basique :
Dans etherate, je vois une connection à fradvip1.doubleclick.net, mettons que je veuille l’interdire …
Si j’édite une règle dans Firestarter dans politique traffic sortant (restrictions par liste noire) comme ceci :
Refuser les connections à destination de fradvip1.doubleclick.net, j’applique …Lorsque je relance le navigateur sur tel site, j’obtiens dans etherape une connection à fradvip2.doubleclick.net
Donc, la règle a fonctionnée, mais elle est détournée, vu que j’i fradvip2 maintenant …
Alors, questions simple, comment editer une régle qui va prendre en compte toutes les modifications du nom de l’hôte , de 1 à 10 ou X carrément ?

BorisTheButcher, pour la question de la connection ou de l’IP, louche, je sais pas trop, des connections à priori, c’est normal, encore faudrait il que je sache les décripter, les reconnaitres, les traduire, les interpréter … (c’est un peu ce qui a motivé mon post en fait, comme préoccupations);
Non mais, cette IP me parait bizarre oui, je suis derrière un rooteur, je n’ai pas d’ordi en réseaux, une ip en 194.114. me parait bizarroide …

Connaissez vous des logiciels spécialisés pour :

  • traduire une IP en nom d’hôte ou de domaine
  • localiser géographiquement une IP en temps réel (ya pas une bibliothèque mondiale de l’IP ?? en temps réel )
  • tracer la route vers une IP

ps: excusez moi si les questions sont absurdes mais bon …

#7

pour firestarter, tu peux surement lui indiquer d’interdire *.doubleclick.net ?

194.114 est, AMA, une ip standard

pour traduire une ip en hôte, firestarter sait le faire (click droit > résoudre le nom d’hôte), il y a aussi NSLOOKUP ou DIG.

la localisation un whois peut suffire des fois (tu as au moins le pays)

et pour tracer une route… je dirais traceroute ?

#8

Hum, si je regardes le nombre de personnes connectées à la passerelle en ce moment, il y en a beaucoup et ce serait trop compliqué de tester les paquets. Ma technique est la suivante:

Axiome: Il n’y a pas de forteresse imparable
Technique: 7 Samourais: Regarder les points de faiblesse et surveiller.

Outils: Entres autres deux outils personnels dont un qui a un petit succès de notoriété:

  1. cacheproc qui affiche cherche les processus cachés et affiche les renseignements relatifs aux processus cachés trouvés (ligne de commande, répertoire, etc). Je l’avais développé après avoir constaté que checkrootkit ne remplissait pas son office et ne signalait pas des processus cachés existants (J’ai une une intrusion chez moi il y a 3 ans et checkrootkit n’a rien signalé et n’a pas détecté le rootkit SuckIT installé y compris lorsque je le lançais explicitement dans cette recherche (je meuis aperçu de l’intruision 6 heures après en gros).

  2. surveillance qui compare les md5sums d’une liste de fichiers (par défaut ceux de /bin /sbin, /usr/bin, /usr/sbin, /etc/init.d et /etc/rcS.d) avec une liste de référence construite au moment de l’installation. Il peut être mis sur CD ainsi que la liste ce qui assure l’impossibilité de le «gruger» (il est compilé en statique et j’ai refais un md5sums ce qui fait qu’il est indépendant de la librairie contenant les fonctions md5sums).

Lancé régulièrement par cron, je suis prévenu de la modification d’un fichier (on s’aperçoit que ça arrive spontanément de temps à autre) par mail.

Ces deux paquets sont sur

deb boisson.homeip.net/woody/ ./

deb boisson.homeip.net/sarge/ ./

deb boisson.homeip.net/amd64/ sarge ./

deb boisson.homeip.net/ubuntu dapper ./

deb boisson.homeip.net/ubuntu breezy ./

#9

[quote]Connaissez vous des logiciels spécialisés pour :

  • traduire une IP en nom d’hôte ou de domaine
  • localiser géographiquement une IP en temps réel (ya pas une bibliothèque mondiale de l’IP ?? en temps réel )
  • tracer la route vers une IP
    [/quote]1 - la commande 'host’
    2 - ne sait pas, il y a un service web “geoip” dont je n’ai plus l’url, pour regarder ponctuellement.
    3 - la commande ‘traceroute’
#10

maxmind.com/app/geolitecity
plotip.com/

netcraft.com
delorie.com/web/
completewhois.com/

firewalk, tcptraceroute, *traceroute, ping -R @ip et d’autres…

#11

Salut fran.b, comment utilises-tu cacheproc ? La commande, sans option, ne me donne rien. Un whereis cacheproc, non plus et il n’existe pas de man page. Idem pour surveillance. Même en lançant en root. Merci

#12

Bonsoir à tous …
:confused: houla la … j’avais pas vu tout ce que vous aviez rajouter (ça va me faire une sacré lecture) , je venais livrer une petite expérience bizarre que je viens de faire …

je me rend sur frameip.com/scan/ et je lance le scan pour mon IP : [quote]Le port TCP 20 est fermé
Le port TCP 21 est fermé
… Tous fermés …
Le port TCP 80 est fermé
[/quote]
je lance nmapfe, et je lance un scan pour l’adresse IP spécifiée dans le scan précédent, et j’obtiens :

Et si je sélectionne dans l’interface de nmapfe, comme Target(s) :
mon domaine.com, j’obtiens :

[quote]
(The 1656 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
113/tcp open auth
443/tcp open https
940/tcp open unknown[/quote]
J’ai du mal à suivre tous ces résultats différents … pouvez m’expliquer ?
Je suis toujours sur la lecture du premier liens donné par Boristhebutcher, excellent, et j’ai du retard lol …

#13

Fanb> quand tu dit que tu t’es fait attaqué il y a 3 ans, ton serveur était clairement attirant pour que quelq’un s’y intéresse ? Un site web sur la sécurité, un serveur IRC ou un truc du genre ? Faut quand meme se faire remarqué non pour que un méchant pirate vienne s’acharner sur notre cas non ?

Ya quand meme des millions de post windows qui doivent etre plus facile a attaquer que les pauvre gens qui s’amuse a administrer tant bien que mal un serveur non ?

Parce que moi je sais que je suis carrément pas bien protégé, j’ai une ipcop mais mon serveur tourne derrière avec des transfères de port et non pas dans une DMZ ! je n’ai pas encore eu le temps de me repencher sur le cas de iptable… en plus mes mots de passes sont style ‘nom de mon chien’… je vais changé ca de suite je crois…

Raahh pourquoi j’ai lu ce fil, j’était bien tranquille dans mon inconscience avant :cry: je propose de mettre une alerte sur le nom du thread ‘interdit aux admins avec moins de 18ans d’exp, risque de délires paranoïaque’

Je vois déjà le FBI débarqué :
‘Monsieur nous vous avons identifié comme a l’origine du nouveau vers xxx’
‘Mais non c’est pas moi on a utilisé mon serveur a mon insu’
‘Vous vous foutez de nous ? mot de passe: toto ! Vous vous etes délibérément déclaré comme une plateforme du terrorisme mondiale. Venez on va vous faire pourrir 3-4 a Guantanamo’

#14

[quote=“avision”]Fanb> quand tu dit que tu t’es fait attaqué il y a 3 ans, ton serveur était clairement attirant pour que quelq’un s’y intéresse ? Un site web sur la sécurité, un serveur IRC ou un truc du genre ? Faut quand meme se faire remarqué non pour que un méchant pirate vienne s’acharner sur notre cas non ?[/quote]Rien que de faire un peu de mail, et d’heberger un service web, tu attires les sniff. [quote=“avision”]Ya quand meme des millions de post windows qui doivent etre plus facile a attaquer que les pauvre gens qui s’amuse a administrer tant bien que mal un serveur non ?[/quote]Sauf qu’à part casser, sur un poste windows, y a pas grand chose à faire.[quote=“avision”]Parce que moi je sais que je suis carrément pas bien protégé, j’ai une ipcop mais mon serveur tourne derrière avec des transfères de port et non pas dans une DMZ ! je n’ai pas encore eu le temps de me repencher sur le cas de iptable… en plus mes mots de passes sont style ‘nom de mon chienn’… je vais changé ca de suite je crois…[/quote]Faut pas flipper tout de même. Ton ipcop est bien suffisant sans doutes, s’il a bien été configuré au départ, pour repousser les pauvres robots qui n’ont pas manqué de s’interresser à toi. Si tu vaux de l’argent par contre, tu as peut être le fils d’un concurrent qui vient lire tes mails topus les soirs, va savoir :smiling_imp: [quote=“avision”]Raahh pourquoi j’ai lu ce fil, j’était bien tranquille dans mon inconscience avant :cry: je propose de mettre une alerte sur le nom du thread ‘interdit aux admins avec moins de 18ans dd’exp, risque de délires paranoïaquee’

Je vois déjà le FBI débarqué :

‘Monsieur nous vous avons identifié comme a ll’origine du nouveau vers xxxx’

‘Mais non cc’est pas moi on a utilisé mon serveur a mon insuu’

‘Vous vous foutez de nous ? mot de passe: toto ! Vous vous etes délibérément déclaré comme une plateforme du terrorisme mondiale. Venez on va vous faire pourrir 3-4 a Guantanamoo’[/quote]C’est comment chez toi la coopération avec les americains ? :wink:

#15

tiens, pour inquièter les paranos:
j’avais pris l’habitude, pour me connecter sur des machines sur le LAN de la boite, te me connecter en ssh -X sur mon routeur, puis de lancer un vncviewer sur le routeur vers une machine de mon réseau, avec display chez moi.
J’etais pas content de la qualité, et avec en plus les problêmes que j’ai sur mes tuyaux ça devenait vraiment lourd.
Cet aprés midi, j’ai donc testé la commandexvnc4viewer <une adresse du lan de l'agence> via <l'adresse externe de mon routeur>ben ça marche :mrgreen:
alors ça passe bien en crypté par ssh, donc dans la connection ça va, mais ça veut dire que donner un accés ssh à quelqu’un (même avec un shell restreint) permet à quelqu’un qui connait un peu mon réseau de se connecter sur une machine du lan.
Pas bon, ça.

#16

Pas tout compris là mais c’est de la faute de ton routeur si je comprend bien ? C’est quoi c’est une machine qui le fait ou un boitier genre belkin etc ?

Non ipcop est bien configuré il bloque tout ce qui est entrant par deffaut et je pense qu’il y a pas de prob pour les bots et autres machines infectées par des vers. D’ailleurs ils s’en donnent un exemple de 1min du log du firewall pris au pif:

00:04:07 INPUT eth1 TCP 82.226.135.34 2440 00:06:gd:07:a0:31 xx.xxx.xxx.xxx 135(EPMAP) 00:04:15 INPUT eth1 TCP 82.226.250.104 4292 00:06:gd:07:a0:31 xx.xxx.xxx.xxx 1433 00:04:18 INPUT eth1 TCP 82.226.250.104 4292 00:06:gd:07:a0:31 xx.xxx.xxx.xxx 1433 00:04:18 INPUT eth1 TCP 82.226.250.104 3059 00:06:gd:07:a0:31 xx.xxx.xxx.xxx 445(MICROSOFT-DS) 00:04:21 INPUT eth1 TCP 82.226.250.104 3059 00:06:gd:07:a0:31 xx.xxx.xxx.xxx 445(MICROSOFT-DS) 00:04:27 INPUT eth1 TCP 82.226.140.150 2340 00:06:gd:07:a0:31 xx.xxx.xxx.xxx 135(EPMAP) 00:04:31 INPUT eth1 TCP 82.226.140.150 4105 00:06:gd:07:a0:31 xx.xxx.xxx.xxx 135(EPMAP) 00:04:53 INPUT eth1 TCP 82.226.140.150 1431 00:06:gd:07:a0:31 xx.xxx.xxx.xxx 135(EPMAP)

7 attaques en 1min :confused: c’est la jeungle dehors… ya besoin d’un coup de karcher :laughing:

Sinon snort c’est plus calme:

Date: 07/23 21:32:58 Nom: MS-SQL Worm propagation attempt Priorité: 2 Type: Misc Attack Informations sur l'adresse IP: 60.191.42.142:1074 -> xx.xxx.xxx.xxx:1434 Références: aucune entrée trouvée SID: 2003 Date: 07/23 21:32:58 Nom: MS-SQL version overflow attempt Priorité: 3 Type: Misc activity Informations sur l'adresse IP: 60.191.42.142:1074 -> xx.xxx.xxx.xxx:1434 Références: aucune entrée trouvée SID: 2050 Date: 07/23 21:43:09 Nom: MS-SQL Worm propagation attempt Priorité: 2 Type: Misc Attack Informations sur l'adresse IP: 61.175.163.195:2868 -> xx.xxx.xxx.xxx:1434 Références: aucune entrée trouvée SID: 2003 Date: 07/23 21:43:09 Nom: MS-SQL version overflow attempt Priorité: 3 Type: Misc activity Informations sur l'adresse IP: 61.175.163.195:2868 -> xx.xxx.xxx.xxx:1434 Références: aucune entrée trouvée SID: 2050 Date: 07/23 22:50:45 Nom: ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited Priorité: 3 Type: Misc activity Informations sur l'adresse IP: 66.35.250.207:n/a -> 192.168.1.5:n/a Références: aucune entrée trouvée SID: 486

Non ce qui me fous le plus la trouille c’est qu’un HacK3rZ s’interesse a mon cas, comme c’est arrivé a fanb, c’est pas cool de s’ataquer aux particuliers qui s’autoformes a linux et a l’administration ! Merde je croyais que les hackers étaient des robins des bois pas des ptits sauvageons qui vont desouder un grand-mere a coup de tournevis :cry:

Parce que si il y en a un qui s’intéresse a mon cas je suis cuit! Avec mes acces SSH depuis l’extérieur, vue que j’administre tout a distance, et mes transphère de ports y compris sur un client blindows :confused:

Pour les mails, j’ai un provider indépendant avec son imap et smtp en crypté. Donc pour ca j’espere ne pas etre a la porté du 1er apprenti hacker qui passe mais va savoir si se provider n’est pas un canard boiteux. Fin mes mails vallent rien.

PS: fanb au fait tu es bien un particulier ?

#17

[quote=“avision”]Non ce qui me fous le plus la trouille c’est qu’un HacK3rZ s’interesse a mon cas, comme c’est arrivé a fanb, c’est pas cool de s’ataquer aux particuliers qui s’autoformes a linux et a l’administration ! Merde je croyais que les hackers étaient des robins des bois pas des ptits sauvageons qui vont desouder un grand-mere a coup de tournevis :cry: [/quote]Il y a malheureusement des personnes qui scannent les réseaux a la recherche d’une connection mal protegé et ceci rien que dans le but de se faire des machines zombies ou simplement pour tester ces compétences.
La seule sécurité 100% fiables de ne pas se faire piraté par internet c’est de ne pas y etre connecté :laughing: :laughing:

[quote=“avision”]Parce que si il y en a un qui s’intéresse a mon cas je suis cuit! Avec mes acces SSH depuis l’extérieur, vue que j’administre tout a distance, et mes transphère de ports y compris sur un client blindows :confused:

Pour les mails, j’ai un provider indépendant avec son imap et smtp en crypté. Donc pour ca j’espere ne pas etre a la porté du 1er apprenti hacker qui passe mais va savoir si se provider n’est pas un canard boiteux. Fin mes mails vallent rien.

PS: fanb au fait tu es bien un particulier ?[/quote]Pas forcement tout dépend du niveau de la personne qui te trouve si c’est un petit script kiddies qui s’amuse avec des outils déjà tout fait et que tu es sécurisé un minimum pas de probleme (enfin tout est relatif) par contre si c’est une personne connaissant les réseaux correctements tu as plus de difficulté pour te protéger.

La sécurité informatique est un domaine tellement large que si on voulait se sécurisé correctement et completement (toujours relatif car de nouvelles failles sont découvertes chaque jours) il faudrait etre expert en securité et réseau :slightly_smiling:

#18

Mais je rappelle que 90% des attaques se font juste en récupèrant le mot de passe auprés d’une secrétaire ou autre méthode d’ingénièrie sociale. C’est pas moi qui le dit, c’est Mitnik. :wink:

#19

[quote=“Ashgenesis”][quote=“avision”]Non ce qui me fous le plus la trouille c’est qu’un HacK3rZ s’interesse a mon cas, comme c’est arrivé a fanb, c’est pas cool de s’ataquer aux particuliers qui s’autoformes a linux et a l’administration ! Merde je croyais que les hackers étaient des robins des bois pas des ptits sauvageons qui vont desouder un grand-mere a coup de tournevis :cry: [/quote]Il y a malheureusement des personnes qui scannent les réseaux a la recherche d’une connection mal protegé et ceci rien que dans le but de se faire des machines zombies ou simplement pour tester ces compétences.
La seule sécurité 100% fiables de ne pas se faire piraté par internet c’est de ne pas y etre connecté :laughing: :laughing:

[quote=“avision”]Parce que si il y en a un qui s’intéresse a mon cas je suis cuit! Avec mes acces SSH depuis l’extérieur, vue que j’administre tout a distance, et mes transphère de ports y compris sur un client blindows :confused:

Pour les mails, j’ai un provider indépendant avec son imap et smtp en crypté. Donc pour ca j’espere ne pas etre a la porté du 1er apprenti hacker qui passe mais va savoir si se provider n’est pas un canard boiteux. Fin mes mails vallent rien.

PS: fanb au fait tu es bien un particulier ?[/quote]Pas forcement tout dépend du niveau de la personne qui te trouve si c’est un petit script kiddies qui s’amuse avec des outils déjà tout fait et que tu es sécurisé un minimum pas de probleme (enfin tout est relatif) par contre si c’est une personne connaissant les réseaux correctements tu as plus de difficulté pour te protéger.

La sécurité informatique est un domaine tellement large que si on voulait se sécurisé correctement et completement (toujours relatif car de nouvelles failles sont découvertes chaque jours) il faudrait etre expert en securité et réseau :slightly_smiling:[/quote]

C’est le fait que il y ai une possibilitée que un veritable humain s’interresse a moi qui change completement la donne, je savais déja que mon installation n’était pas tres sur mais suffisante pour évité les trucs automatisés.

Pour les script kiddies je ne sais pas du tout, je ne connais pas leurs outils. Tu ne connaitrais pas des sites sur le sujet? ou je peu avoir leurs outils et les essayer sur mon propre reseau.

EDIT: matt aucun risque pour ca, le seul utilisateur qui a les mots de passes n’est pas bete.

#20

Celui qui pense ne jamais se faire avoir est une cible plus facile que les autres.
Es tu sûr qu’un plombier n’est pas venu poser une camera pour filmer ton clavier ?
Ou qu’un type n’est pas branché sur ton electricité en bas de chez toi pour capter ce qui s’affiche sur ton ecran ?
Ton voisin d’en face, il est soudoyable pour mettre une camera avec un bon zoom pour regarder ce que tu tapes ?
C’est aussi de l’ingenierie sociale, ça…

Pour les techniques de casse, poses tes questions sur les bons forums irc et essayes de trouver des adresses de sites temporaires. Il n’y a pas de lieu fixe pour trouver des bons conseils sur les techniques d’intrusion à venir (celles déjà obsolètes sont sur les sites de sécurité).