Questions IP/MAC > Hacker

[Inspecteur Derrick]

Salut à tous,

Voilà, j'ai un ami (enfin c'est un grand mot ^^) qui se fait hacker depuis quelques années, par un certain monsieur (ou madame) .

Hacker ? un grand mot je sais, mais si je vous développer tout le sujet, vous comprendriez mieux, mais je vous assure que c'est pas des conneries (affaire assez grave)

Donc essayant de lui protéger au mieux son réseau, ainsi que son pc, j'ai fais quelques découverte, et je voudrai faire la lumière dessus ....

En premier, je vous donne adresse IP/MAC de l'ordinateur, ainsi que de la passerelle (le modem normalement mais .....)

IP : 8*.***.222.30
Masque : 255.255.252.0
Passerelle : 8*.***.223.254
MAC : 00.30.b8.c8.fd.c1 (vous comprendrez pourquoi je vous la donne)
Mon " client " est chez Estvidéo

Voilà, première question :
-Pourquoi l'adresse IP et la passerelle n'ont pas le même IP ? (je parle pas de la fin, mais du reste)
-Pourquoi le masque est 255.255.252.0 et non pas 255.255.255.0 ?
-Pourquoi l'adresse MAC (selon le DOS et Vista) n'est pas celle du modem mais celle d'un ordinateur portable inconnue ? (source " Estvidéo " )

Voilà les premières questions que je me pose ...

Je développerai par la suite le reste de l'histoire, ainsi que les informations supplémentaire que j'ai en ma Possession (IP / MAC / Nom ordinateur suspect / localisation)

Merci encore

Derrick

PS : sujet très sensible, en relation avec certaines entreprise qui veulent faire pression pour que certaines personnes ferment leur ***** . Si vous ne voulez pas participer à ces recherches, ne le faite pas

 

[protocole60]

Et pourquoi ton Ami n'utilise t'il pas un bon antivirus :dontknow-102c:

 

[Inspecteur Derrick]

Bon je vais développer un peu ^^

Dans son " ancien " PC, il avait un anti-virus pro très performant (désolé je sais plus le nom ) qu'il payait la peau du ***
Il avait toutes les protections au maximum.
Voilà ce qu'il lui ai arrivé en bref :

-Contrôle de son pc à distance
-Introduction du virus / trojan en masse par salve (30minutes environ)
-Modification manuel des registres, des paramétrés de l'anti-virus, des paramétrés ordinateurs
-Introduction de mot de passe dans certaines fonctions de l'anti-virus, ainsi que sur des fichiers (impossible à scanner)
-Piratage de sa boite mail
-Changement d'IP en continue
-Ordinateur voulant ce connecter à son réseau sans fil (pas de wifi chez lui) avec des adresses IP différente, toujours la même adresse MAC, et des noms d'ordinateur différents ( ----- / philippe / alain / son propre nom de famille / son nom d'ordinateur / rien) avec des localisations : en suisse, en france et en allemagne

Et d'autres choses que j'ai pas envie d'énumérer ^^
Mais voilà en bref ce qu'il a eu

Maintenant, il s'est acheté un nouvelle ordinateur, je lui ai installer, configurer, il a acheter bitdefender (le plus performant des bitdefender), je lui ai mis toutes les protections possible ....... mais les adresses que j'avais mis, on changé, et l'adresse MAC est toujours la fameuse du premier post

Pfiou ^^

 

[Raph]

Salut
J'aurai peut être quelques début de réponses.
Mais je préfère dire avant que ce n'est que mon avis par rapport aux quelques connaissances que j'ai, je n'affirme rien je suppose. Pour que ce soit clair du début
Tout d'abord pour les adresses IP, pourquoi est ce que les adresses devraient ête identiques ? :dontknow-102c: Si tu pensait que c'était parce qu'elle étaient sur le même réseau il n'y a pa de raison car une machine peut traverser plusieurs sous réseaux, passer par plusieurs routeurs dans une même structure , et je pense que les deux adresses s'affichent car il n'y a aucune règle de masquage d'adresses sur le routeur.
Ensuite, les masques en 255.255.255.0 ou 255.255.0.0 sont des masques par défaut sur des classes d'adresse (je pourrait t'en dire plus si tu veux) mais on est totalement libre d'utiliser le masque que l'ont veux sur un réseau.
Pour ton histoire de mac, la je ne sais pas mais je pense que c'est aussi lié au l'histoire de masquage d'adresse : dans un paquet IP, on retrouve plusieurs informations dont l'adresse source, l'adresse mac source... Donc je pense que tu as du scaner l'adresse ip (avec par exemple nmap) qui t'as donné plein d'info, et les paquets que tu a reçu proviennent donc directement de la machine concernée.
En gros celui qui "attaque" le réseau n'est pas très protégé.
Mais pour éviter ces attaques un bon parefeu bien réglé devrait largement suffire.
J'espere que j'ai pas trop dit de conneries et que je suis clair (pas toujours facile de se faire comprendre).
a++

EDIT : euh en fait jensuis pas sur d'avoir compris, les info que tu a donné sont celle du hacker ou de ton ami ?

Et une autre info : l'adresse mac normalement ne change jamais sur une carte réseau, donc même si tu change la config tu doit garder la meme

 

[Edog]

+1 Raph pour la mac c est la couche osi n°1 si je me souvient bien.

Par contre la mac peut etre changer virtuellement, microsoft a fait Etherchange pour cela.
L adresse mac appartient a ta carte réseau donc aucune mac n'est identique.

 

[Inspecteur Derrick]

Merci de ces éclairciement

Enfaite la question que je me poser pour les adresses IP c'est ça :

exemple :

-Adresse IP ordinateur : 192.168.1.2
-Adresse IP passerelle : 192.168.2.254

Sachant que dans ça maison, y'a que un ordinateur, ainsi que son modem.

Ensuite pour l'adresse MAC, lis ce que j'ai écris dans mon deuxième post ^^

Mais pour faire simple, cette adresse MAC est celle d'un ordinateur portable et non du routeur / switch / modem / etc...... et cette adresse MAC est la même sur les deux portables qu'il a (l'ancien et le nouveau) et elle devrait être l'adresse MAC de la passerelle
Pour la vérifier, aucun logiciel particulier, windows me l'a donné sur le nouveau, et sur l'ancien, un site internet

 

[Inspecteur Derrick]

Je rajoute encore, pourquoi cette adresse MAC est suspecte :

-Parce que c'est l'adresse MAC que essayé de s'introduire sur le PC portable, avec des adresses IP différentes, ainsi que des noms d'ordinateur différent
(Nom d'ordinateur : Son propre nom, son nom d'ordinateur, son compte utilisateur ainsi que le mot de passe du site de l'anti-virus, et des trucs bidon comme " : " ou " -----" ou " ; " )

Et que les adresses IP sont localisé à bale (en suisse), à Nancy, à strasbourg ou pas localisable .

 

[Raph]

A vrai dire j'ai du mal à comprendre comment ton ami pourrait être identifié par une adresse mac d'un pc inconnu !!!

Il passe pas par des proxy publique ou truc du genre ? Ou alors c'est tout simplement que tout ce qui sors de chez lui passe par un autre pc qui s'inscruste au milieu, et la tu peut changer de pc autant de fois que tu veux ca pas rien faire.

 

[Inspecteur Derrick]

Justement, j'ai même penser qu'ils ont pu faire une dérivation de sa connexion ... Et je pense que c'est le portable du " dit " hacker "
Enfaite l'histoire de base est compliqué, mais on a pu sortir un nom du tas (que je citerai pas) mais cette " personne " travail dans une société informatique qui gère le réseau de l'entreprise en question (voir premier post au début)
Enfaite, on a pas assez d'information pour " porter plainte ", donc on essai d'en chercher le maximum, ou alors de stoper ces attaques

Pour préciser, y'a pas de wifi chez lui, il est connecter par un câble Ethernet .


Ps : Je vous avoue, que je prend de gros risque en cherchant à comprendre, et à régler ce problème :icon_cry-45e6:

 

[Raph]

Le truc aussi en entreprise c'est que les SSII ont des accès à distance au réseau donc facile pour eux de contrôler un PC.

Après juridiquement et techniquement je peut pas trop t'aider c'est sur que si vous n'avez pas les preuves suffisantes ben ça va pas être facile, ou alors changer de routeur :dontknow-102c:

Mais ya quand même surement une chance que du parefeu arrive à gérer un peu ça, faudrait chercher un prog qui arrive à filtrer les adresses mac.

 

[Ryo]

Le truc aussi en entreprise c'est que les SSII ont des accès à distance au réseau donc facile pour eux de contrôler un PC.

Après juridiquement et techniquement je peut pas trop t'aider c'est sur que si vous n'avez pas les preuves suffisantes ben ça va pas être facile

Hello, je me permets juste de rebondir sur ce qui est en gras. Je bosse dans une SSII, notre outil de prise en main requiert que l'utilisateur clique sur un bouton "oui" à la question "acceptez-vous que machintruc prenne le contrôle de votre ordinateur".
A ma connaissance, mais je peux me tromper, c'est une obligation aujourd'hui.
Je me rend même compte que les utilisateurs sont extrêmement bien protégé, la CNIL fait bien son boulot.
Une session est privée, je n'ai, dans mon travail, rien le droit de modifier, copier, supprimer sans le consentement de l'utilisateur. Dans un cadre privé c'est tout simplement la même chose puissance 1000.
Si tu peux prouver que quelqu'un prends la main sur ton PC à ton insu, tu es sur de gagner en justice.

Si en plus de ça quelqu'un utilise ta connexion et hack ton système pour te surveiller, ça devient extrêmement grave, encore plus dans un cadre privé.
Ton ami peut demander qu'une enquête soit ouverte, c'est aussi le boulot de la police, même sans preuve.

Une chose que je ne comprends pas, pourquoi ne pas installer un bon firewall (et par là j'entends un firewall professionnel, si ton ami en a les moyens) et pourquoi ne pas mettre également un routeur ?
Passer un firewall c'est pas simple, passer un firewall et un routeur ça l'est encore moins.
Mes connaissances en réseau sont très limitées, mais autant que ton ami mette toutes les chances de son côté.

 

[Raph]

Salut Ryo

Les deux phrases étaient indépendantes.

A propos des SSII je voulais simplement dire que une fois connecté sur un pc par la voie "légale", il doit surement y avoir un moyen d'aller bidouiller quelque part pour que le "hacker" n'ai plus forcement besoin de cette autorisation, enfin c'est ce que m'avait dit un informaticien qui n'est pas du genre à se la raconter.

Et sinon je suis d'accord un bon parefeu bien bloquant du genre iptables sur Linux qui marche tellement bien que pour un tp au lycée j'ai pas été capable de faire passer le moindre paquet ^^

Niveau droit je peut te dire ce que quelqu'un qui ne fait que rentrer sur un système sans rien touché ni copier risque déjà des amendes monumentales et de la prison, mais après je sais pas comment on peut prouver ça car en droit les histoire de preuves c'est un peu compliqué.

Enfin bon courage quand même pour arrêter ça.

 

[Ryo]

A propos des SSII je voulais simplement dire que une fois connecté sur un pc par la voie "légale", il doit surement y avoir un moyen d'aller bidouiller quelque part pour que le "hacker" n'ai plus forcement besoin de cette autorisation, enfin c'est ce que m'avait dit un informaticien qui n'est pas du genre à se la raconter.

C'est tout à fait possible, extrêmement simple et tu n'as même pas besoin d'avoir déjà pris la main sur le poste de manière "légale".
Tout se joue depuis l'active directory de la boîte, de la tu décoche une case et tu prends la main sans autorisation. Je précise que je n'ai jamais testé et ne testerai pas.

En tout cas Derrick fait marcher tes relations dans la Landespolizei :lol-1923: Faut pas que ton pote se laisse faire !

 

[Inspecteur Derrick]

Hello, je me permets juste de rebondir sur ce qui est en gras. Je bosse dans une SSII, notre outil de prise en main requiert que l'utilisateur clique sur un bouton "oui" à la question "acceptez-vous que machintruc prenne le contrôle de votre ordinateur".
A ma connaissance, mais je peux me tromper, c'est une obligation aujourd'hui.

Je confirme, il faut bien " accepter ", mais le problème c'est que mon " ami " ne pouvait pas faire " non " (grisé) il ne pouvait rien faire, alors il a essayé de contourner la chose avec l'anti-virus, mais cela n'avait pas fonctionné.

Je tiens a preciser : son anti-virus " bitdefender " fait aussi firewall et anti-espion (malware) et que je lui ai aussi conseillé un routeur (comme le miens, un linksys avec firewall matériel) et c'est peut être ce qu'on va faire .

Enfaite on aimerai bien faire une enquète, mais pour faire simple, ça mets en cause des prefectures, des journaux, ainsi que quelques entreprises d'informatique assez connu ..... donc on a peur qu'une enquète n'aboutisse à rien sans " preuve " importante ... enfin ^^

Donc j'ai pratiquement toutes les réponses en mains, j'aurai juste une question en plus : Comment repèrer des adresses IP " éfficacement " ? des adresses MAC ?

Merci encore

 

[Raph]

Il existe un logiciel qui s'apelle CC Get Mac qui sert à scanner une plage d'adresse IP pour retrouver les adresses mac qui correspondent, et parfois des noms de machines.

Je connais aussi nmap qui permet de scanner un nom de machine ou une ip et qui permet de retrouver tout un tas d'infos dont l'adresse mac, jusqu'a l'OS utilisé.

Après je ne sais pas ce que ça vaut niveau fiabilité des infos mais sur le réseau ou je bosse actuellement en stage ça fonctionne nickel, mais c'est du local.