Le blog sécurité de Philippe Vialle / Phil Vialle's blog

Jeudi 1 décembre 2011 4 01 /12 /Déc /2011 13:46

- Publié dans : Veille sécurité

Facebook mobile: HTTP & password theft (m.facebook.com)

Warning.

If you access your Facebook profile, from your cellphone, without using the "facebook app", you'll most likely be redirected to: m.facebook.com.

The problem is that HTTP is being used when you send your email address and password over the network, and not HTTPS! Obvioulsy, this is a pretty bad mistake in security.

For instance, as I train my students to do it (within the lab), it is quite easy to steal a password that is being sent over HTTP, for example with an ARP spoofing attack (and Ettercap or other tools from BackTrack Linux). Let's say that you connect to Facebook using the mobile browser, while being connected to a WiFi... it is then quite simple to launch the spoofing attack!

Therefore I do recommend that people use the official Facebook App, and not the mobile browser, since AFAIK the app uses HTTPS to send credentials to Facebook!

HTH...

Plus
- Email
- Lien
- Imprimer

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires

Mercredi 9 novembre 2011 3 09 /11 /Nov /2011 12:06

- Publié dans : Bidouille informatique

Firefox 8.0 non compliant with GMail

Yes, a bit surprising, but yeah, even Google...! I'm talking about the classical GMail interface, which is still regular (the new one has not yet been put as a standard...)

While trying to reply to an email, or even write a new one, here is the warning that is being displayed:

Meaning: "impossible to load the rich text editor".

It is then impossible to write at least within the data part of the email. If you were going to write a new one, you won't be able to write the recipients'addresses nor the subject.

Update 1, 01/15/12:

Bug fixed in version 9...

Plus
- Email
- Lien
- Imprimer

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires

Mercredi 9 novembre 2011 3 09 /11 /Nov /2011 01:32

- Publié dans : Veille virale

New fake antivirus, quite dangerous!

This malware did succeed to install itself on the following configuration:

- Win7 64 bits, fully-patched

- KAV 2011

- user account not administrator (account switch using UAC)

- Opera 11.52 up-to-date

I was just surfing... Therefore I do believe it is a kindda drive-by-download.

Once installed, it will:

- kill all programs running (yes!), including a lot of services (sometimes KAV's service too)

- prevent you from launching new/other programs

- display a fake shield within the taskbar...

Here is how it starts itself at the beginning of the user's session:

registre_HKU_privacy.exe.jpg

The Sysinternals tool "autoruns" does not show it, AFAIK.

According to VirusTotal, only 3 AV engines out of 43 (command line versions) do detect it !

(link: http://www.virustotal.com/file-scan/report.html?id=c6d83ab1348c548b7581153100b8b7eb7c1b89b3e753151594828c2ac78f2c12-1320798644# )

Kaspersky Antivirus 2011 does not detect anything.

MalwareByte does detect something, but the problem is you can't start it once the malware is being run...

MBAM_privacy.exe_091111.png

As you can see, the malware stores a file in %appdata%, so that's the Appdata\roaming for the current user.

One hour after my first scan, VT says 3 new engines detect it:

Antivirus Version Last Update Result
AhnLab-V3 2011.11.08.01 2011.11.08 -
AntiVir 7.11.17.87 2011.11.08 -
Antiy-AVL 2.0.3.7 2011.11.08 -
Avast 6.0.1289.0 2011.11.08 -
AVG 10.0.0.1190 2011.11.08 -
BitDefender 7.2 2011.11.09 -
ByteHero 1.0.0.1 2011.11.04 -
CAT-QuickHeal 11.00 2011.11.08 -
ClamAV 0.97.3.0 2011.11.08 -
Commtouch 5.3.2.6 2011.11.08 -
Comodo 10714 2011.11.08 -
DrWeb 5.0.2.03300 2011.11.09 -
Emsisoft 5.1.0.11 2011.11.09 Trojan.Win32.Agent.AMN!A2
eSafe 7.0.17.0 2011.11.08 -
eTrust-Vet 36.1.8663 2011.11.08 -
F-Prot 4.6.5.141 2011.11.08 -
F-Secure 9.0.16440.0 2011.11.09 -
Fortinet 4.3.370.0 2011.11.08 -
GData 22 2011.11.09 -
Ikarus T3.1.1.109.0 2011.11.08 -
Jiangmin 13.0.900 2011.11.08 -
K7AntiVirus 9.117.5413 2011.11.08 -
Kaspersky 9.0.0.837 2011.11.09 -
McAfee 5.400.0.1158 2011.11.09 Artemis!61E2511F79EF
McAfee-GW-Edition 2010.1D 2011.11.08 Artemis!61E2511F79EF
Microsoft 1.7801 2011.11.08 -
NOD32 6612 2011.11.08 a variant of Win32/Kryptik.SES
Norman 6.07.13 2011.11.08 W32/Krypt.BD
nProtect 2011-11-08.01 2011.11.08 -
Panda 10.0.3.5 2011.11.08 -
PCTools 8.0.0.5 2011.11.09 -
Prevx 3.0 2011.11.09 -
Rising 23.83.01.01 2011.11.08 -
Sophos 4.71.0 2011.11.09 Mal/FakeAV-PG
SUPERAntiSpyware 4.40.0.1006 2011.11.09 -
Symantec 20111.2.0.82 2011.11.09 -
TheHacker 6.7.0.1.339 2011.11.08 -
TrendMicro 9.500.0.1008 2011.11.08 -
TrendMicro-HouseCall 9.500.0.1008 2011.11.09 -
VBA32 3.12.16.4 2011.11.08 -
VIPRE 11001 2011.11.09 -
ViRobot 2011.11.8.4761 2011.11.08 -
VirusBuster 14.1.53.1 2011.11.08 -
Additional information
Show all
MD5 : 61e2511f79ef738d73d766c0ab8c8c1a

Most of these detections are heuristic/generic ones!

I've submitted a sample to ClamAV.

About the file:

There even is a Copyright for it...

Plus
- Email
- Lien
- Imprimer

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires

Dimanche 6 novembre 2011 7 06 /11 /Nov /2011 22:40

- Publié dans : Veille sécurité

Antispam: opensource IP reputation filtering tools & stats...

Just to say that the Opensource world does manage to provide tools being able to filter spams according to a sender's reputation.

Below a few (daily) stats that I have on a messaging server, running:

- Debian fully-patched

- SpamAssassin and Exim4 (with Razor, Pyzor, DCC, *RBL,...)

TOP SPAM RULES FIRED
----------------------------------------------------------------------
RANK    RULE NAME                       COUNT  %OFMAIL %OFSPAM  %OFHAM        
----------------------------------------------------------------------
   1    BAYES_99                          958    51.45   89.20    0.00
   2    RCVD_IN_BRBL                      921    51.93   85.75    5.84
   3    DCC_CHECK                         886    53.54   82.50   14.09
   4    RAZOR2_CHECK                      867    50.00   80.73    8.12
   5    RAZOR2_CF_RANGE_E8_51_100         864    49.36   80.45    6.98
   6    RAZOR2_CF_RANGE_51_100            864    49.36   80.45    6.98
   7    DIGEST_MULTIPLE                   852    47.31   79.33    3.68
   8    RCVD_IN_XBL                       769    41.35   71.60    0.13
   9    RDNS_NONE                         736    40.87   68.53    3.17
  10    RCVD_IN_PBL                       689    37.06   64.15    0.13
  11    PYZOR_CHECK                       625    34.00   58.19    1.02
  12    HTML_MESSAGE                      512    54.56   47.67   63.96
  13    RCVD_IN_SORBS_WEB                 479    25.94   44.60    0.51
  14    RCVD_IN_BL_SPAMCOP_NET            466    25.24   43.39    0.51

As we can see, lots among the top 14 of the triggered spam rules are "sender's reputation" related...!

And yes, the filtering efficiency is good.

BTW, congrats to the guys who worked on the Pyzor issue, for it hadn't properly worked for years...

Plus
- Email
- Lien
- Imprimer

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires

Dimanche 6 novembre 2011 7 06 /11 /Nov /2011 21:12

- Publié dans : Veille sécurité

Défacement : pas que des motivations religieuses...

Autre équipe Turque, autres motivations, autre victime...?

A première vue, rien à voir avec une publication satyrique sur une icône religieuse (cf. cas Charlie Hebdo : http://www.itespresso.fr/piratage-la-galere-de-charlie-hebdo-sur-internet-47804.html )...

Pourtant, avec :

- un Apache 2.2.14 (Unix) au lieu de 2.2.21 (cf. http://httpd.apache.org/security/vulnerabilities_22.html)

- un PHP 5.2.5 au lieu de 5.3.5, moins les rétro-ports (cf. www.php.net)

- un Joomla obsolète (generator content=Joomla! 1.5), au mot de passe faible pour le compte admin...

tout était réuni pour permettre une intrusion (avec défacement) très facile.

Mais avec en outre plus de 200 sites hébergés sur le même serveur, le pauvre webmestre de celui-ci ne peut pas faire grand chose à lui tout seul, et en aucun cas mettre à jour Apache/PHP/Joomla...! D'ailleurs, il n'a même pas d'accès SSH !

Puis-je recommander aux gens de Amen, de faire une petite passe de sécurisation sur leurs serveurs?

PS : on notera que des ressources extérieures au site sont appelées (par la page de défacement) :

- http://adkgaming.com/herzamankigibi.mp3 (pour le son)

- http://www.deviantart.com/download/87945411/Turk_Bayragi___Wallpaper_by_LephistoDesign.jpg (pour l'image)

Plus
- Email
- Lien
- Imprimer

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires

Mardi 1 novembre 2011 2 01 /11 /Nov /2011 21:27

- Publié dans : Veille virale

Compromised CentOS server trying massive SSH connexions, plus spam relay

I just found out that one of my NIPS' reports seems pretty clear regarding the daily top alerts:

alert_NIPS_65.98.36.50.JPG

For those who forgot to secure a lil bit their (open)SSH server, time's running...

What about that IP address 65.98.36.50? Well, it is the reverse DNS pointer of http://argi9cure.com/.

Just have a look at it: CentOS default webpage! :( And above all, Apache 2.2.3, most likely obsolete.

Quite interesting, what (McAfee) TrustedSource says about it:

trustedsource.org_65.98.36.50.JPG

So, not only massive SSH sessions attempts are being launched from that server, but its mail volume (as a sender) has drastically changed, and got 500% bigger!

Another compromised server being used to stealthily spam, uh?

Furthermore, this IP address has also been reported in the DShield's stats:

http://www.dshield.org/ipinfo.html?ip=65.98.36.50&update=yes

This once again shows the relevance of IP's reputation based filtering.

Plus
- Email
- Lien
- Imprimer

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires

Dimanche 30 octobre 2011 7 30 /10 /Oct /2011 22:52

- Publié dans : Veille virale

Faux positif Kaspersky 2011, sur nom de fichier

En navigant sur le web, j'ai eu la surprise de voir KAV 2011 alerter lors de l'accès à un site (trojanedbinaries.com). Voici le message complet :

alerte_trojanedbinaries.com_rss_301011.JPG

Analysons donc le sens du message, via le nom de la détection :

- HEUR pour Heuristique, certainement.

- Exploit, comme son nom l'indique ?

- Script.Generic, pour une détection de script ?

J'ai bien peur que KAV fasse erreur : une soumission de l'URL à VT donne des résultats plutôt rassurants

http://www.virustotal.com/url-scan/report.html?id=b222631fa7d0b88d67c630272c3c9690-1320007826

URL Analysis tool	Result
Avira	Clean site
BitDefender	Clean site
Dr.Web	Error
G-Data	Clean site
Malc0de Database	Clean site
MalwareDomainList	Clean site
Opera	Clean site
ParetoLogic	Clean site
Phishtank	Clean site
TrendMicro	Unrated site
Websense ThreatSeeker	Unrated site
Wepawet	Unrated site

Normalized URL: http://trojanedbinaries.com/blog/?feed=rss2//trojanedbinaries

URL MD5: b222631fa7d0b88d67c630272c3c9690

Bref, si simplement le nom du fichier suffit à KAV pour le bloquer, le risque faux-positif me semble réel.

Solution : ne pas "supprimer" directement les objets détectés, mais toujours les mettre en quarantaine pour inspection à posteriori !

Plus
- Email
- Lien
- Imprimer

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires

Jeudi 20 octobre 2011 4 20 /10 /Oct /2011 00:24

- Publié dans : Bidouille informatique

Pourquoi la Freebox v6 n'est pas un vrai NAS...

Si certains pensaient (comme moi) pouvoir utiliser la Freebox v6 comme espace de sauvegarde réseau, je leur recommande de lire ce qui va suivre.

Le contexte est :

- des postes, notamment Whistler (XP) et Vienna (Win7)

- une solution de sauvegarde automatisée (Cobian Backup), programmée de nuit.

J'ai constaté que le journal d'erreur de Cobian Backup était régulièrement bien plus rempli que prévu.

Exemple :

ERR 2011-10-02 06:20 Erreur rencontrée pendant la vérification de "\\freebox\Disque dur\SVG\[couic]\images\perso\[couic\SL371848.JPG.7z": Le nom réseau spécifié n’est plus disponible

Le fichier (texte) de journal pouvait alors faire 1 Mo en taille !

Et surtout, voici le type de messages qui apparaissait sur le bureau Windows, après une tentative de sauvegarde de nuit :

L'accès à la ressource réseau de la Freebox, via SMB, a donc échoué à de nombreuses reprises, ce qui a généré de nombreuses erreurs pour l'outil de sauvegarde.

Ceci se reproduisant plusieurs fois, j'ai donc voulu surveiller l'état de la Freebox, en mon absence.

Pour cela, j'utilise l'outil IPHost Network Monitor, et je posterai bientôt quelques stats. A première vue, il semble que quasiment toutes les nuits, la Freebox coupe ses services réseau (type SMB, voire même HTTP) sans prévenir, et sans pour autant redémarrer...

En l'état, je conseille vivement à ceux qui considèrent le disque embarqué dans la Freebox v6 comme un espace de stockage réseau (NAS), de faire attention à ces problèmes de coupure intempestives qui peuvent mener à de la corruption de fichier et de sauvegarde ! le comble...

Mise à jour 1 :

Voici donc quelques stats, pour la nuit du 21 au 22/10 :

DNS :

On voit donc clairement des coupures ! 4% du temps quasiment.

Accès à un fichier par SMB :

Là par contre, pas de coupure... la résolution de nom freebox vers IP, ainsi que le partage de fichier SaMBa n'ont visiblement pas connu de coupure.

Plus
- Email
- Lien
- Imprimer

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires

Vendredi 14 octobre 2011 5 14 /10 /Oct /2011 01:15

- Publié dans : Veille virale

Nouvel hameçonnage Orange/Free

L'échantillon parle de lui-même :

L'utilisation d'un compte GMail, comme point de contact pour une promo "Orange", semble loufoque. Au pire, un Wanadoo aurait déjà pu semer le trouble pour les "nouveaux internautes"...

Et le comble, c'est que le message est émis depuis la (fausse) adresse : contact@free.fr ! Là, on mélange carrément tout !

Inutile de dire que je ne recommande ni de leur écrire, ni de leur envoyer un SMS...

---------------------------------------------------------------------------

Concernant le numéro de téléphone 81168, il est présent sur d'autres sites, pas forcément très clairs/recommandables, comme :

http://www.hacker-msn.org/hacker-msn/

http://www.hack-paradize.net/products/sms.aspx

http://hacker-dofus.net/generer-des-kamas.html

toujours avec le même mot-clef "STAR"...

----------------------------------------------------------------------------

Concernant le serveur émetteur du courriel : 91.122.206.1, il est signalé par 21 listes noires Internet au 14/10 !

Cf : http://ip-blacklist.e-dns.org/91.122.206.1

Warning! This IP is listed in 21 DNS blacklists.

LISTED 30ms 510 Software Group Blackholes
LISTED 31ms APEWS Level 2
LISTED 30ms Barracuda Reputation Block List
LISTED 30ms Barracuda Reputation Block List (for SpamAssassin)
LISTED 30ms CBL
LISTED 94ms D. D. N. S. B. L.
LISTED 38ms nsZones.com Dyn
LISTED 38ms nsZones.com SBL+Dyn
LISTED 134ms no-more-funn
LISTED 30ms SORBS Aggregate zone (problems)
LISTED 30ms SORBS Spamhost (any time)
LISTED 30ms SORBS Spamhost (last year)
LISTED 70ms SpamCop Blocking List
LISTED 30ms SpamRATS! all
LISTED 57ms Spamhaus ZEN Combined Block List
LISTED 76ms SpamRATS! Dyna
LISTED 106ms Spamhaus XBL Exploits Block List
LISTED 151ms Spamhaus SBL-XBL Combined Block List
LISTED 30ms GBUdb Truncate
LISTED 30ms UCEPROTECT Level 2
LISTED 30ms UCEPROTECT Level 3

Plus
- Email
- Lien
- Imprimer

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires

Mercredi 5 octobre 2011 3 05 /10 /Oct /2011 23:57

- Publié dans : Veille sécurité

Trusteer and in-the-wild phish

I wanted to benchmark a little bit the level of protection that Trusteer offers for real. Trusteer is said to be a leader in Internet content security filtering. See (in French): http://lesbanquesenligne.fr/articles-banques-en-ligne/boursorama-lutte-contre-la-fraude-bancaire-avec-%C2%ABtrusteer%C2%BB/

So I looked for URL phishing reports. I knew a few dedicated portals, such as Phishtank, Netcraft... I decided to try this time Clean-MX.de: http://support.clean-mx.de/clean-mx/phishing.php

One of the first links in the list is marked as targeting eBay. Alright, eBay is in the list of "trusted websites being watched by Trusteer".

Here is the Phishtank's report of the phish I picked up:

http://www.phishtank.com/phish_detail.php?phish_id=1288180

The problem is that Trusteer did not alert me while accessing the malicious website, whereas Internet Explorer did prompt an alert (and the address bar remained red, good point).

So, a well known phishing, publicly reported, targeting a "Trusteer's trusted website" would not be blocked nor at least trigger a warning by Trusteer... I find it a pity.