Jelectronique.com

[DEMAINE Benoit-Pierre]

Certains ici étaient incrédules quand à la possibilité de recevoire du
spam vers une adresse qu'ils utilisent exclusivement avec une société
(disons Conrad ou RadioSpare, quand ils font des commandes), sans jamais
la publier sur le moindre forum. Certains ont conclu immédiatement que
les dittes sociétés avaient vendu leur email à des spammers.

Ma réaction a été de dire, c'est possible de se faire spammer autrement.
Je dis pas que certaines boites le font pas; je dis qu'une autre
explication peut justifier de recevoire par exemple du spam sur un email
spécial utilisé seulement sur un seul site (on va dire
popol-ebay(remplacer_par_@)wanadoo.fr , utilisé seulement sur ebay).

Le truc consiste pour le spammer à s'infiltrer dans un routeur, chez un
FAI ou un inetrmédiaire, et écouter toutes les trames du port 25, et
enregistrer celles de numéro 0 qui contient l'entete, donc, les champs
From et TO.

J'ai été victime de ce genre d'attaque vers 2002 deux fois.

Et une troisième fois ce matin: j'ai recu un email de la part d'une amie
qui ne m'a jamais mailé, et à qui je ne pale que sur MSN, une fois par
mois. Hors, à 5h04, sont PC était éteint. Alors comment justifier le
fait que ce matin, 6 autres de ses amis aient tous recus de sa part le
même email ? moi, je crois tout simplement qu'un admin de son FAI a mis
un scanner sur les trames de type MSN (qui pour un connaisseur sont
faciles à casser), et construit une liste décrétant que mon amie connait
telles personnes. Le spam est rédigé en francais.

Comment pourriez vous expliquer autrement que le même jour plusieur de
ses amis receoivent des spams de sa part, à un moment ou son PC est
éteint, des spams émis non via le SMTP de son FAI, mais via

smtp.mail=root(remplacer_par_@)yeni.akif.org
Received: from root by yeni.akif.org with local (Exim 4.68)
(envelope-from <root(remplacer_par_@)yeni.akif.org>)
id 1JeNRM-0006ha-6a

alors que je lui parle très peu sur MSN, et qu'on ne fréquence aucun
forum commun ?

Ce qui me surprend, c'est de voire que la méthode soit encore utilisée,
et exploitée par des spammers francais. C'est pas recevoire un spam qui
m'étonne, c'est recevoire un spam dont le To: soit d'elle !

La chose étant toujours en usage, et étant en usage en France, je
confirme donc qu'en 2008, il est toujours "possible" de recevoire du
spam de type viagra sur une boite qu'on croyais n'utiliser qu'avec une
seule société, sans forcément que la dite société ait vendu votre adresse.

--

o_/ DEMAINE Benoit-Pierre (aka DoubleHP) http://benoit.demaine.info/
If computing were an exact science, IT engineers would not have work \_o

"So all that's left, Is the proof that love's not only blind but deaf."
(FAKE TALES OF SAN FRANCISCO, Arctic Monkeys)

[Antoine ROUCHET]

"DEMAINE Benoit-Pierre" <nntp_pipex(remplacer_par_@)demaine.info> wrote in message
news:47ea64c2$0$26186$426a74cc(remplacer_par_@)news.free.fr...

Certains ici étaient incrédules quand à la possibilité de recevoire du
spam vers une adresse qu'ils utilisent exclusivement avec une société
(disons Conrad ou RadioSpare, quand ils font des commandes), sans jamais
la publier sur le moindre forum. Certains ont conclu immédiatement que les
dittes sociétés avaient vendu leur email à des spammers.

Ma réaction a été de dire, c'est possible de se faire spammer autrement.
Je dis pas que certaines boites le font pas; je dis qu'une autre
explication peut justifier de recevoire par exemple du spam sur un email
spécial utilisé seulement sur un seul site (on va dire
popol-ebay(remplacer_par_@)wanadoo.fr , utilisé seulement sur ebay).

Le truc consiste pour le spammer à s'infiltrer dans un routeur, chez un
FAI ou un inetrmédiaire, et écouter toutes les trames du port 25, et
enregistrer celles de numéro 0 qui contient l'entete, donc, les champs
From et TO.

J'ai été victime de ce genre d'attaque vers 2002 deux fois.

Et une troisième fois ce matin: j'ai recu un email de la part d'une amie
qui ne m'a jamais mailé, et à qui je ne pale que sur MSN, une fois par
mois. Hors, à 5h04, sont PC était éteint. Alors comment justifier le fait
que ce matin, 6 autres de ses amis aient tous recus de sa part le même
email ? moi, je crois tout simplement qu'un admin de son FAI a mis un
scanner sur les trames de type MSN (qui pour un connaisseur sont faciles à
casser), et construit une liste décrétant que mon amie connait telles
personnes. Le spam est rédigé en francais.

Comment pourriez vous expliquer autrement que le même jour plusieur de ses
amis receoivent des spams de sa part, à un moment ou son PC est éteint,
des spams émis non via le SMTP de son FAI, mais via

smtp.mail=root(remplacer_par_@)yeni.akif.org
Received: from root by yeni.akif.org with local (Exim 4.68)
(envelope-from <root(remplacer_par_@)yeni.akif.org>)
id 1JeNRM-0006ha-6a

alors que je lui parle très peu sur MSN, et qu'on ne fréquence aucun forum
commun ?

Ce qui me surprend, c'est de voire que la méthode soit encore utilisée, et
exploitée par des spammers francais. C'est pas recevoire un spam qui
m'étonne, c'est recevoire un spam dont le To: soit d'elle !

La chose étant toujours en usage, et étant en usage en France, je confirme
donc qu'en 2008, il est toujours "possible" de recevoire du spam de type
viagra sur une boite qu'on croyais n'utiliser qu'avec une seule société,
sans forcément que la dite société ait vendu votre adresse.

Bonjour,

C'est, effectivement, totalement hors sujet ici.

Antoine.

[PovTruffe]

Il y a un cas de figure que tu n'as pas évoqué: Elle ne t'a pas envoyé de mails
mais n'aurait-elle pas ton adresse quelque part dans son PC et/ou celle
de tes amis ? En particulier dans son carnet d'adresses. Ou alors dans les
archives des emails envoyés ou reçus si elle a communiqué avec ses amis.
Il suffit alors d'un virus (ou variante dans le genre), voire même une attaque
directe par la connexion ADSL donc sans passer par la messagerie ni même
aller sur un site infecté.
Dans ce cas de figure l'attaque consiste juste à récupérer les adresses email
pour envoi de spam ultérieur (par le spammeur, pas nécessairement par le PC
infecté).

"DEMAINE Benoit-Pierre" <nntp_pipex(remplacer_par_@)demaine.info> a écrit :

Comment pourriez vous expliquer autrement que le même jour plusieur de ses amis receoivent des spams de sa part, à un
moment ou son PC est éteint, des spams émis non via le SMTP de son FAI, mais via

[DEMAINE Benoit-Pierre]

PovTruffe wrote:

Il y a un cas de figure que tu n'as pas évoqué: Elle ne t'a pas envoyé de mails
mais n'aurait-elle pas ton adresse quelque part dans son PC et/ou celle
de tes amis ? En particulier dans son carnet d'adresses. Ou alors dans les
archives des emails envoyés ou reçus si elle a communiqué avec ses amis.
Il suffit alors d'un virus (ou variante dans le genre), voire même une attaque
directe par la connexion ADSL donc sans passer par la messagerie ni même
aller sur un site infecté.
Dans ce cas de figure l'attaque consiste juste à récupérer les adresses email
pour envoi de spam ultérieur (par le spammeur, pas nécessairement par le PC
infecté).

Non, ce n'est pas le cas de ce qui est arrivé ce matin. Mais, oui ca
peut arriver (un email envoyé un peu large, un virus chez un ami à elle
qui récupère la liste des destinataire ...).

Je voulais surtout rappeler que recevoire du spam sur
popol-conrad_only(remplacer_par_@)free.fr ne veut pas obligatoirement dire que Conrad a
vendu vorte adresse. Certains (ici et ailleurs) tapent sur Conrad, RS,
et Ebay un peu vite ... Ca m'est arrivé aussi avec TI, l'email que
j'utilise exclusivement dans leur programme samples.

--

o_/ DEMAINE Benoit-Pierre (aka DoubleHP) http://benoit.demaine.info/
If computing were an exact science, IT engineers would not have work \_o

"So all that's left, Is the proof that love's not only blind but deaf."
(FAKE TALES OF SAN FRANCISCO, Arctic Monkeys)

[BrunoG]

"DEMAINE Benoit-Pierre" <nntp_pipex(remplacer_par_@)demaine.info> a écrit dans le message de
news: 47ea64c2$0$26186$426a74cc(remplacer_par_@)news.free.fr...

Certains ici étaient incrédules quand à la possibilité de recevoire du
spam vers une adresse qu'ils utilisent exclusivement avec une société
(disons Conrad ou RadioSpare, quand ils font des commandes), sans jamais
la publier sur le moindre forum. Certains ont conclu immédiatement que les
dittes sociétés avaient vendu leur email à des spammers.

Ma réaction a été de dire, c'est possible de se faire spammer autrement.
Je dis pas que certaines boites le font pas; je dis qu'une autre
explication peut justifier de recevoire par exemple du spam sur un email
spécial utilisé seulement sur un seul site (on va dire
popol-ebay(remplacer_par_@)wanadoo.fr , utilisé seulement sur ebay).

Le truc consiste pour le spammer à s'infiltrer dans un routeur, chez un
FAI ou un inetrmédiaire, et écouter toutes les trames du port 25, et
enregistrer celles de numéro 0 qui contient l'entete, donc, les champs
From et TO.

Hello,

les spammers ne s'infiltrent pas dans les routeurs pour obtenir des adresses
email car :
- les routeurs sont des matériels beaucoup plus résistants que les PC aux
attaques
- la plupart des virus ou autres malwares sont installés par les
utilisateurs eux-même sans le savoir, et les routeurs ne sont pas exposés à
ce type de risque
- il faudrait développer une technique d'intrusion spécifique pour chaque
matériel
- ce n'est pas rentable de hacker un routeur pour piocher quelques adresses
email, ça pourrait l'être pour obtenir des numéros de cartes bancaires mais
il n'y a jamais eu un seul cas en France
- les routeurs sont plutôt exposés aux flood et dénis de service
- c'est beaucoup plus efficace de développer une application virale pour un
PC qui se propagera toute seule en recueillant au moins plusieurs dizaines
d'adresses à la fois
- ils font des attaques par dictionnaire (ça ne coûte quasiment rien
d'envoyer des emails au hasard)

en conclusion :
- les commerçants sont honnêtes
- les routeur ne sont pas ciblés par ce type d'attaque
- pour ceux qui s'étonnent de recevoir des emails sur des adresses non
publiques : désinfectez votre PC, ou mieux, éteignez-le !

A+,
Bruno

[DEMAINE Benoit-Pierre]

BrunoG wrote:

les spammers ne s'infiltrent pas dans les routeurs pour obtenir des adresses
email car :
- les routeurs sont des matériels beaucoup plus résistants que les PC aux
attaques

? ? ? t'a jamais entendu parlé de failles exploitables sur les routeurs
ciscos ? Clairement, elle sont beaucoup moins exploitées à cause du très
faible nombre de gens ayant la formation, les compétances, et les
connaissance de ces archis, mais, ces failles sont nonmbreuses,
exploitables, et exploitées.

Les mauvaises langues disent même que ce sont les admins eux même qui
implantent les filtres décrits dans leur propre réseau pour arondire les
fins de mois.

Les routeurs sont aussi percés que tous les autres équipements.

- il faudrait développer une technique d'intrusion spécifique pour chaque
matériel

Non; une atatque ciblée sur une machine donnée suffit; tu peux pénétrer
un routeur en 5 à 20mn (quand tu as les connaissances, et les scripts);
si c'est bien fait, le script reste résident plusieur semaines, voire
mois; prendre le temps de faire une attaque ciblée est donc suffisement
rentable pour qu'un hacker en prenne le temps.

Une fois que tu as pénétré un routeur, tous les autres du même modèle
sont exploitables de la même manière; et en générale, quand tu en trouve
un, il est pas seul ...

- ce n'est pas rentable de hacker un routeur pour piocher quelques adresses
email, ça pourrait l'être pour obtenir des numéros de cartes bancaires mais
il n'y a jamais eu un seul cas en France

En france, j'en ai eu déjà deux fois la preuve; 2 autres fois entre la
france et l'UK, une fois entre la France et les USA. C'est méga
rentable, d'une manière que t'imagine pas. En filtrant les trames avec
des bons filtres, tu collècte plusieur dizaine de milliers d'emails
apariés par jour. Le problème consiste à rejeter ceux émis par d'autes
spammers qui font des envois avec des sources aléatoires.

- les routeurs sont plutôt exposés aux flood et dénis de service

Un flood ou un DOS rapporte de la fierté; l'exploitation d'une faille
avec introduction rapporte de l'argent (et pas qu'un peu).

- ils font des attaques par dictionnaire (ça ne coûte quasiment rien
d'envoyer des emails au hasard)

un dico génère du bruit, avec une probabilité (de moins en moins nulle)
de tomber sur un truc qui existe; une telle adresse sera spammée depuis
une adresse quelconque, et aura un score élevé. Si le spam est envoyé
depuis une adresse connue du destinataire, le spam a beaucoup plus de
chances de passer; et encore plus si le spam est dans la bonne langue.
Une liste d'emails apariés dont tu connais la langue (selon la
localisation du routeur que tu as attaqué) a donc une ENORME valeur
financière. La petite heure que tu passe à faire l'attaque est
rentabilisée mille fois, grace à la qualité de ce que tu collecte, et le
prix que tu va revendre la liste : ca rempli ton compte en banque.

en conclusion :
- les commerçants sont honnêtes

MOUARF.

- les routeur ne sont pas ciblés par ce type d'attaque

re-mouarf.

- pour ceux qui s'étonnent de recevoir des emails sur des adresses non
publiques : désinfectez votre PC, ou mieux, éteignez-le !

hmmm ... et ... quand la paire d'email sont des adresses de deux gens
sous Linux qui consultent leur email via Webmail, tu m'explique le truc
? Ma version, avec un routeur piraté entre les deux fournisseurs de
service, elle, justifie !

***

Le processus m'a été décrit par deux pirates, et la facilité d'usage de
son principe m'a été confirmé par 3 admins réseaux (pas des admins du
genre, admin d'un parc de 10000 windows, mais, plutot des admins du
genre technicien de déploiment ADSL, ou installateur chez Level3).

--

o_/ DEMAINE Benoit-Pierre (aka DoubleHP) http://benoit.demaine.info/
If computing were an exact science, IT engineers would not have work \_o

"So all that's left, Is the proof that love's not only blind but deaf."
(FAKE TALES OF SAN FRANCISCO, Arctic Monkeys)

[PovTruffe]

Si, selon ce que tu dis:
- L'attaque des routeurs n'est pas possible.
- Il existe des attaques par dictionnaire

Je n'aboutis pas à des conclusions aussi catégoriques que toi, notamment
concernant les commerçants...

C'est moi qui avais lancé le sujet sur le commerçant en question et
je me souviens que j'avais reconnu avoir pu me tromper.

Mais je rappelle que l'adresse en question:
- N'était pas stockée dans mon ordi.
- Etait constituée à partir d'un nom de domaine perso (pas free, wanadoo, etc.)
- Elle était bien entendu stockée chez l'hébergeur de mon domaine
- Je ne prétends pas avoir un PC infaillible niveau attaques mais je prends
beaucoup de précautions y compris un routeur firewall matériel externe en
plus du firewall de Windoze. Et toutes les autres précautions classiques
(antivirus à jour, anti-spyware, scans à partir d'antivirus en ligne connus, etc).
Je scrutte aussi les process résidents régulièrement

Qu'entend-on exactement par "dictionnaire" dans le contexte du spam ?
Je suppose:
- D'une part une liste de mots courants, noms propres courants et toutes
les combinaisons de lettres pour les mots courts.
- D'autre part les noms de domaine connus des FAI, des entreprises ainsi
que tous ceux extraits des adresses email déjà capturées.

Il est très improbable que le nom de domaine que j'avais choisi soit dans le
dictionnaire d'une langue existante sur cette planète. Mais il est possible que le
domaine ait été récupéré par un spammeur à partir d'une autre adresse que
j'utilisais avec ce nom de domaine, puis l'ajouté à son dico perso de noms de
domaine. Autrement dit le spammeur a récupéré l'adresse AAAA(remplacer_par_@)BBBB.COM
et a extrait le domaine BBBB.COM puis l'a combiné avec d'autres noms
pour obtenir par exemple CCCC(remplacer_par_@)BBBB.COM

"BrunoG" <noreply(remplacer_par_@)micro-examples.com> a écrit :

en conclusion :
- les commerçants sont honnêtes
- les routeur ne sont pas ciblés par ce type d'attaque
- pour ceux qui s'étonnent de recevoir des emails sur des adresses non publiques : désinfectez votre PC, ou mieux,
éteignez-le !

[DEMAINE Benoit-Pierre]

PovTruffe wrote:

C'est moi qui avais lancé le sujet sur le commerçant en question et
je me souviens que j'avais reconnu avoir pu me tromper.

Je ne sais pas trop si pour lui "commercant" désigne la société
possédant le routeur piraté (j'ai évoqué que certains routeurs se
fassent troyenner par leurs propres admins), ou un fournisseur de
service comme celui que tu as évoqué. Dans ton post original,
obligatoirement un des deux était un "malfaiteur"; selon moi, les deux
peuvent l'etre

Il est très improbable que le nom de domaine que j'avais choisi soit dans le
dictionnaire d'une langue existante sur cette planète.

Pour ce point précis, je sais qu'il existe une méthode pour trouver les
domaines récement achetés; j'ai acheté deux domaines à 3 mois
d'intervalle, et j'ai recu le meme spam (un service d'hebergement) sur
les deux, à mois d'intervalle ...

De toute facon, n'importe quel script whois peut faire des querries aux
ROOTs DNS, et demander à coup de dico si tel domaine existe Tu le
lance une fois par an, tu liste tous les domaines achetés depuis moins
d'un an, et tu passe ton année à faire du dico pour trouver des boites
email valides dans ces domaines Et contrairement au mail, une
requette DNS abouti obligatoirement; donc, avant de demander le whois
complet, tu commence par essayer de résoudre www.a.com www.b.com
www.c.com ... et ceux qui ont une résolution tu les whois

Donc normalement, même si tu n ecris jamais a personne, ne ref ton site
dans aucun moteur, cré des boites que tu n'utilise jamais ...
normalement, tu es quand meme spammable

--

o_/ DEMAINE Benoit-Pierre (aka DoubleHP) http://benoit.demaine.info/
If computing were an exact science, IT engineers would not have work \_o

"So all that's left, Is the proof that love's not only blind but deaf."
(FAKE TALES OF SAN FRANCISCO, Arctic Monkeys)

[kavanier]

BrunoG a écrit :

Hello,

les spammers ne s'infiltrent pas dans les routeurs pour obtenir des adresses
email car :
- les routeurs sont des matériels beaucoup plus résistants que les PC aux
attaques

c'est claire et net sans compter que certains routeurs sont tout
simplement invisible .

- la plupart des virus ou autres malwares sont installés par les
utilisateurs eux-même sans le savoir, et les routeurs ne sont pas exposés à
ce type de risque
- il faudrait développer une technique d'intrusion spécifique pour chaque
matériel
pour chaques marques aussi .

- ce n'est pas rentable de hacker un routeur pour piocher quelques adresses
email, ça pourrait l'être pour obtenir des numéros de cartes bancaires mais
il n'y a jamais eu un seul cas en France
oui et encore faut tomber sur le router qui puisse faire ce genre de

manip (sniffer les packets)

- les routeurs sont plutôt exposés aux flood et dénis de service
- c'est beaucoup plus efficace de développer une application virale pour un
PC qui se propagera toute seule en recueillant au moins plusieurs dizaines
d'adresses à la fois
- ils font des attaques par dictionnaire (ça ne coûte quasiment rien
d'envoyer des emails au hasard)
pour un particulier si !

c'est ça que je pige pas trop car un jour j'ai voulu jouer avec un
mailbomber et resultat j'ai recu un coup de fil du fai qui visiblement
n'aimait pas trop ça

[kavanier]

DEMAINE Benoit-Pierre a écrit :

BrunoG wrote:
les spammers ne s'infiltrent pas dans les routeurs pour obtenir des
adresses email car :
- les routeurs sont des matériels beaucoup plus résistants que les PC
aux attaques

? ? ? t'a jamais entendu parlé de failles exploitables sur les routeurs
ciscos ? Clairement, elle sont beaucoup moins exploitées à cause du très
faible nombre de gens ayant la formation, les compétances, et les
connaissance de ces archis, mais, ces failles sont nonmbreuses,
exploitables, et exploitées.
la tu parles sans savoir surtout chez cisco encore zixel (à la limite )

mais alors dire que c'est possible de casser du cisco en 20Min c'est du
grand nawak!!

Les mauvaises langues disent même que ce sont les admins eux même qui
implantent les filtres décrits dans leur propre réseau pour arondire les
fins de mois.

Les routeurs sont aussi percés que tous les autres équipements.

- il faudrait développer une technique d'intrusion spécifique pour
chaque matériel

Non; une atatque ciblée sur une machine donnée suffit; tu peux pénétrer
un routeur en 5 à 20mn (quand tu as les connaissances, et les scripts);
si c'est bien fait, le script reste résident plusieur semaines, voire
mois; prendre le temps de faire une attaque ciblée est donc suffisement
rentable pour qu'un hacker en prenne le temps.

Une fois que tu as pénétré un routeur, tous les autres du même modèle
sont exploitables de la même manière; et en générale, quand tu en trouve
un, il est pas seul ...
mais pas du tout c'est pas par ce que tu as un routeur cisco 65XX que

les autres 65XX seront aussi hackable
cisco est tres rapide sur les failles et il mettent le corectif tres
tres vite en ligne les cisco qui sont hackable sont d'une tres vielle
generation et ne sont plus en service (en tout cas pas dans les domaines
grand public)

- ce n'est pas rentable de hacker un routeur pour piocher quelques
adresses email, ça pourrait l'être pour obtenir des numéros de cartes
bancaires mais il n'y a jamais eu un seul cas en France

En france, j'en ai eu déjà deux fois la preuve; 2 autres fois entre la
france et l'UK, une fois entre la France et les USA. C'est méga
rentable, d'une manière que t'imagine pas. En filtrant les trames avec
des bons filtres, tu collècte plusieur dizaine de milliers d'emails
apariés par jour. Le problème consiste à rejeter ceux émis par d'autes
spammers qui font des envois avec des sources aléatoires.