Re: [HS] sobig et Kmail
Bonjour,
On Wed, Sep 10, 2003 at 01:23:15PM +0200, claude wrote:
> Pascal Eisele a écrit :
> [...]
> >Oui mais... Ca peux etre une solution, le seul truc c'est que c'est
> >difficile à gerer pour les FAI. En plus, il faut etre bien certain que
> >la personne est infecté et pas que ce n'est pas quelqu'un qui se fait
> >passer pour lui (comme beaucoup de vers/virus actuels). Pour cela, il
> >faut se servir de l'IP et non de l'adresse email de source des messages.
> >
>
> Oui, l'idée est séduisante... Mais, comment être sûr que les champs sont
> authentiques ? Parce que l'IP aussi peut être forgée (cf. les spams
> dont c'est la grande spécialité). Or, perso, je ne connais aucun soft
> permettant de déterminer si un champ quelconque est légitime ou forgé :(
La réponse est simple: les seuls champs auxquels on peut raisonnablement
faire confiance sont ceux (et seulement ceux) qui ont été rajoutés par
votre (ou vos) passerelle(s) de mail (si vous êtes dans un milieu plutôt
"entreprise", ou celle de votre FAI (si vous êtes plutôt dans une config
de type "particulier").
On va donc considérer pour la suite que l'adresse IP contenue dans le
champ "Received:", rajouté par cette passerelle de confiance, est bien
l'IP de la machine qui a émis le message. On pourrait objecter: "oui,
mais, comment être certain que c'est cette machine qui est infectée, et
que le message n'est pas passé par 36000 relais différents, comme c'est
le cas pour le spam ?"
Ben tout simplement, ce n'est pas l'intérêt d'un virus que de faire
cela. Un virus cherche à se propager le plus vite et le plus
efficacement possible. Avec ça à l'esprit, passer par de multiples
relais de courrier est une aberration: on rallonge le trajet et donc le
temps de délivrance du courrier vérolé, et on court le risque, à chaque
passerelle traversée, d'être stoppé par un anti-virus à jour... :-)
C'est d'ailleurs pour cela que beaucoup de virus ont désormais leur
propre moteur SMTP.
On peut donc raisonnablement penser que dans l'immense majorité des cas,
à l'heure actuelle, l'IP citée est bien celle de la machine infectée...
Les constatations faites par François (que je confirme totalement de mon
côté) concernant le nombre de champs "Received:" dans ces messages, vont
tout à fait dans ce sens.
Reste ensuite à traiter ce message comme s'il s'agissait d'un spam:
comme on ne peut connaître l'expéditeur directement, il faut avertir la
personne qui lui fournit son accès réseau...
Il y a des services comme SpamCop qui permettent d'automatiser les
plaintes, mais ces services sont "en ligne": il faut remplir une zone de
texte avec les en-têtes du message, et SpamCop fait le reste. Ce qui
serait sympa, c'est d'avoir ces scripts en local et pouvoir traiter
directement (et automatiquement) les mails vérolés, au lieu de bêtement
renvoyer un message à l'expéditeur apparent. Si quelqu'un connaît un jeu
de scripts à même d'automatiser les étapes préconisées dans le document
suivant, ce serait 'achement bien :-) :
http://www.iana.org/faqs/abuse-faq.htm
> De plus, la plupart du temps, les IP concernées sont des IP dynamiques :
> donc beaucoup plus de travail de la part le l'ISP pour déterminer leur
> provenance réelle (savoir qui est connecté, à quel moment et avec quelle
> IP => on en revient à la surveillance permanente et à une conservation
> des logs que pour ma part, je me refuse à considérer comme une bonne
> chose, que ce soit pour l'internaute - flicage - ou pour le FAI -
> gestion des logs = énormes capacités de traitement ie. espace disque et
> personnel).
Cette gestion est déjà faite pour la facturation (il y a encore beaucoup
de gens en RTC avec un forfait "x heures"), donc je ne pense pas que le
boulot soit si conséquent. Quant à savoir si c'est une bonne chose, je
dirais que de 2 maux il faut choisir le moindre... A chacun de voir. :-)
Cordialement,
Bruno
--
-- Service Hydrographique et Oceanographique de la Marine --- EPSHOM/CIS/MIC
-- 13, rue du Chatellier --- BP 30316 --- 29603 Brest Cedex, FRANCE
-- Phone: +33 2 98 22 17 49 --- Email: Bruno.Treguier@shom.fr
Reply to: