Tracage proxy

Ici, on discute de l'anonymat et de la préservation des données personnelles sur le net. Il est également question de crypographie puisque ce domaine est étroitement liée au sujet.

Modérateur: modos Ixus

Messagepar fripouille » 30 Sep 2003 09:26

Bonjour a tous, <BR> <BR>J ai un petit malin, surement un employe de la boite pour laquelle je travaille, qui se connecte sur notre site internet, puis rentre sur l intranet avec un login/passe valide (c est ce qui me fait penser qu il travaille encore chez nous) et modifie des données utilisateurs et clients. <BR>C est TRES lourd. D autant plus que le ptit gars utilise un proxy allemand anonyme ... <BR>Je ne suis pas newbie en reseau et securite, mais le proxy m arrete bien dans mes investigations. <BR>J ai toutes les données recuperables du type (toutes les variables HTTP par ex), mais en realite ce sont les donnees du proxy. <BR>J ai contacte le proprietaire du proxy (en allemand dans le texte, s il vous plait !), lui ai envoye un mail, et n ai aucune reponse de sa part (surprenant non ?). <BR> <BR>Y a t il un moyen de coincer le vilain pirate ? Je pensais a installer 'discretement' un plug in, ou meme tenter de lui coller un trojan ... Bref, le coincer !! <BR> <BR>Merci de votre aide <IMG SRC="images/smiles/icon_smile.gif">
Avatar de l’utilisateur
fripouille
Matelot
Matelot
 
Messages: 3
Inscrit le: 30 Sep 2003 00:00

Messagepar kerozene » 30 Sep 2003 09:32

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> Y a t il un moyen de coincer le vilain pirate ? Je pensais a installer 'discretement' un plug in, ou meme tenter de lui coller un trojan ... Bref, le coincer !! </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Attention, <BR> <BR>Bien que vouloir le coincer soit totalement légitime, tu n'as pas pour autant le droit d'utiliser des moyens illégaux pour ce faire : donc pas de virus, trojan ou autres petites choses du même acabit... <BR> <BR>Il accède avec un compte bien définit : bien, demerde toi pour trouver lequel (car apparemment tu ne sait pas encore quel compte est utilisé) et alors après quand tu sauras lequel est-ce, il te restera au choix soit la monte d'un dossier complet pour le confondre et lui coller le procès de sa vie soit plus simple pour tout le monde fermer le compte et laisser pisser. <BR> <BR>a toi de voir... <BR> <BR>
"C'est vrai, les gens se laissent hypnotiser par les grandes causes, les choix cruciaux. Et ils arrêtent de chercher des solutions de remplacement. La volonté d'être stupide est une force très puissante..." Miles Vorkosigan- Lois McMaster Bujold
Avatar de l’utilisateur
kerozene
Amiral
Amiral
 
Messages: 1019
Inscrit le: 25 Déc 2002 01:00
Localisation: LYON

Messagepar arapaho » 30 Sep 2003 09:52

Tu peux simplement le bloquer en interdisant toute requete venant de ce proxy, dont tu as evidemment l'adresse. <BR> <BR>Ensuite, tu fermes le compte qui lui permet d'accéder à l'intranet. Que l'intranet tourne sur un serveur web standard ou sur une plateforme proprio, il est obligatoire que tu es des logs concernant les accès. Quoi qu'il arrive, les logs d'accès aux pages sont également dans ceux des serveurs exécutant l'intranet.
No One Will Ever Need More Than 640K Ram - Bill Gates, 1981
Avatar de l’utilisateur
arapaho
Amiral
Amiral
 
Messages: 1119
Inscrit le: 18 Avr 2002 00:00
Localisation: Genève

Messagepar mozo » 30 Sep 2003 09:58

D'accord avec Kero. <BR>N'utilise pas de moyens frauduleux. <BR>Si tu veux le coincer, la démarche consite à déposer plainte contre X avec toutes les données que tu auras pu collecter : moyens d'intrusion, évaluation du préjudice, variables, adresse du proxy anonyme, démarches effectuées, etc. <BR>Etant donné les accords européens de coopération en matière de lutte contre la criminalité, une commission rogatoire internationale peut être diligentée par les autorités françaises aux fins d'identification de l'individu. <BR>Ca mettra peut-être un peu de temps mais qui sait. <BR>Avec le seul bémol à la clé : le proxy garde-t-il ses logs? <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif">
Bloavez Mad!
mozo
Amiral
Amiral
 
Messages: 1078
Inscrit le: 27 Juin 2003 00:00
Localisation: Breizh Armor

Messagepar fripouille » 30 Sep 2003 10:30

Le probleme est que le compte qu il utilise est un compte "general" qui est utilise par une quinzaine de personnes. <BR> <BR>Resoudre le probleme ca c est facile, je change le pass, bloque cette IP (il trouvera un autre proxy mais bon ...) et le tour est joué. <BR>Mais le bloquer ne m interesse pas, je veux le retrouver. <BR> <BR>Si qqun de votre societe s amusait a ecrire des trucs style "societe de $%#&!, bande de $%#&!, gros bouffins, sale pute", je pense que vous voudriez vous en debarasser <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Quand je parlais de "trojans" je ne pensais pas en realite a un virus ou autre moyen illegal, mais plutot a un plug in, ou autre manoeuvre me permettant de connaitre soit son IP d origine, soit des infos sur son poste. J ai essaye les HTTP REFERER, et evidemment c est le proxy qui repond. <BR> <BR>Je vais donc reformuler ma question : y a t il un moyen legal qui me permette de faire envoyer a son poste des infos au serveur ? Peut etre a travers un plug in, un javascript, enfin n importe quoi qui oblige son poste a lui a envoyer des infos. <BR> <BR>Par exemple, certain sites "de boules" copient des fichiers sur votre poste quand vous cliquez sur "oui" a une question pop-up tout a fait innocente (du genre "voulez vous acceder a cette page securisee"), ne serait il pas possible de faire pareil ? <BR> <BR>
Avatar de l’utilisateur
fripouille
Matelot
Matelot
 
Messages: 3
Inscrit le: 30 Sep 2003 00:00

Messagepar arapaho » 30 Sep 2003 11:18

Malheureusement je ne crains que ce ne soit pas possible. Les proxy réécrivent les adresses sources dans les en-têtes des paquets. <BR> <BR>Pour ma part, je ne vois qu'une seule solution pour vérifier si effectivement, l'adresse source a été réécrite: mettre en place un 'catcher' de trames sur la passerelle ayant pour seule but de récupérer les paquets en provenance de ce fameux proxy pour ainsi les décortiquer et les ananlyser. Peut être restera-t-il une trace de l'adresse source. <BR> <BR>Et petite question au passage: du point de vue sécurité, un compte général, même en interne, utilisé par une 15aine de personnes, est à mon avis très peu judicieux. Surtout si ce compte authorise un accès en écriture à l'intranet.
No One Will Ever Need More Than 640K Ram - Bill Gates, 1981
Avatar de l’utilisateur
arapaho
Amiral
Amiral
 
Messages: 1119
Inscrit le: 18 Avr 2002 00:00
Localisation: Genève

Messagepar kerozene » 30 Sep 2003 11:25

Je sais pas si c'est possible mais éventuellement, tu pourrais lui laisser l'accès mais rerouter tout ce qui vient de ce proxy allemand vers un site copie conforme de ton intranet,et ou tu pourrais alors faire joujou avec un certain nombre de piège...
"C'est vrai, les gens se laissent hypnotiser par les grandes causes, les choix cruciaux. Et ils arrêtent de chercher des solutions de remplacement. La volonté d'être stupide est une force très puissante..." Miles Vorkosigan- Lois McMaster Bujold
Avatar de l’utilisateur
kerozene
Amiral
Amiral
 
Messages: 1019
Inscrit le: 25 Déc 2002 01:00
Localisation: LYON

Messagepar fripouille » 30 Sep 2003 11:55

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> Et petite question au passage: du point de vue sécurité, un compte général, même en interne, utilisé par une 15aine de personnes, est à mon avis très peu judicieux. Surtout si ce compte authorise un accès en écriture à l'intranet. </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Certes, mais ce n est pas possible autrement. Et les infos changées ne sont pas vitales, c est juste agacant. <BR> <BR>Pour Kerozene : hehe ok, mais quels pieges ? <IMG SRC="images/smiles/icon_razz.gif"> <BR>
Avatar de l’utilisateur
fripouille
Matelot
Matelot
 
Messages: 3
Inscrit le: 30 Sep 2003 00:00

Messagepar dedalus » 30 Sep 2003 12:03

j'ai vu dernièrement qu'apparemment en ce moment la mode est au honeypot, c'est peut être bête ce que je dis mais pourquoi pas ??? <BR> <BR>en fait c'est une machine qui se place sur le réseau et sur laquelle on place volontairement des trous de secu de façon à piéger les trouble faites ou fête <IMG SRC="images/smiles/icon_wink.gif">... <BR> <BR>c'est juste une suggestion ... je ne sais pas ce qu'elle vaut <BR>
Avatar de l’utilisateur
dedalus
Matelot
Matelot
 
Messages: 9
Inscrit le: 24 Sep 2003 00:00

Messagepar mozo » 30 Sep 2003 13:06

Lien Ixus : <!-- BBCode u2 Start --><A HREF="http://www.ixus.net/modules.php?name=News&sid=560&mode=thread&order=1&thold=-1" TARGET="_blank">Les services français de lutte contre la criminalité informatique</A><!-- BBCode u2 End -->. <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif">
Bloavez Mad!
mozo
Amiral
Amiral
 
Messages: 1078
Inscrit le: 27 Juin 2003 00:00
Localisation: Breizh Armor


Retour vers Confidentialité et Cryptographie

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron