For non-French speaking people, I suggest you to use http://translate.google.com/translate?js=n&prev=_t&hl=en&ie=UTF-8&layout=2&eotf=1&sl=fr&tl=en&u=http%3A%2F%2Fwww.ph-v.net%2Farticle-socialbox-de-facebook-et-la-securite-77526428.html

 

 

Ayant reçu l'invitation suivante, j'ai préféré ne pas la jeter aux indésirables et jouer le jeu :

 

J'ai donc cliqué sur le lien "de téléchargement". Au passage, je ne sais toujours pas qui, de mes contacts, m'a invité sur SocialBox...

 

Première surprise, un clic sur le lien m'amène sur l'avertissement Facebook suivant :

 

Je ne vois pas trop le lien avec l'application SocialBox, mais il semble qu'il faille rabaisser la sécurité de Facebook (ie désactiver le HTTPS) pour y accéder. Pas très rassurant. Je tente quand même...

 

Là, on me demande mon accord pour que l'application, que je n'ai pas vue, accède à mes données. Ok sur le principe, mais concrètement, je ne sais toujours pas où je vais...

 

 

Ok, je tente (toujours)...

 

J'arrive enfin au téléchargement de l'application. Tiens, un avertissement Adobe AIR apparaît. C'est du du Flash, porté à l'extérieur du navigateur.

 

 

On remarquera qu l'avertissement parle de SocialBox, avec sa version (1.96.23.air), mais surtout, que l'application est sur le nuage d'Amazon : s3.amazonaws.com. Donc, l'application n'est en soi pas hébergée par Facebook. Est-ce une application officielle ? difficile à dire en l'état.

Je vais donc pousser plus loin et faire "ouvrir".

 

A ce moment-là, la sécurité applicative AIR intervient. Un message me demande de confirmer que je veux installer l'application sur mon ordinateur :

 

 

Il apparaît donc qu'en fait, c'est Zoosk qui a signé l'application. Pas Facebook, pas Amazon. Comment faire le lien, comment être sûr qu'il s'agit bien d'une application légitime et officielle ?

Zoosk est plus connu pour son système de rencontres amoureuses proche de meetic...

 

Je tente encore en faisant "installer".

 

La, c'est une acceptation de la licence d'utilisation qui est nécessaire, la fameuse EULA. Tout en anglais, je me demande comment les non anglophones et non juristes, pourront s'y retrouver.

Mais toujours OK sur le principe.

 

Je vais donc accepter !

 

Bilan : ai-je installé une application officielle Facebook ? aucune idée réelle.

Cette application a demandé des accès à mon compte, que j'ai du valider avant d'apprendre qu'elle n'était pas signée par Facebook... mes données personnelles vont-elles être compromises ? je ne le sais.

 

Bref, en l'état, je ne peux recommander d'utiliser cette application ni ce mode de publication d'applications facebook !

 

--------------------------------------------------------------------------------------------------------------------------------------------------

 

Niveau protocolaire :

 

Quelques surprises, bonnes et mauvaises :

 

Les destinations des requêtes :

Non, il n'y a pas que Facebook...Voici une capture réalisée en lançant SocialBox, session préalablement fermée :

 

Le cache DNS local de la machine jouant, les réponses ne sont pas toutes visibles.

 

Voici la liste miniale des domaines qui semblent nécessaires :

- canary.msg.zoosk.com

- api.facebook.com

- www.google-analytics.com

- dodafhx8iz0gg.cloudfront.net

- login.socialbox.com

- chat.facebook.com

- graph.facebook.com

- www.facebook.com

- static.ak.fbcdn.net

- chat.facebook.com

 

Au passage, il est notable que l'authentification de session se fait avec login.socialbox.net. Facebook aurait donc mis un SSO entre leurs infrastructures et celles de socialbox.net ?

 

 

Le protocole de chat :

C'est du Jabber !

Port destination TCP 5222. Je doute qu'il soit ouvert sur les pare-feux des entreprises ayant une vraie architecture de filtrage des accès vers Internet... une charge en perspective pour les administrateurs réseau, les assistances utilisateurs, et les acteurs sécurité !

 

Mais surtout, le chat se fait en clair !

 

Comme on peut le voir, le mot "bye" a bien été envoyé au contact de la session Facebook.

 

 

L'authentification :

Est bien chiffrée en TLS v1, donc cela semble plutôt sérieux.

Elle se fait avec api.facebook.com au départ. Puis, avec login.socialbox.com.

 

 

Les autres requêtes :

En fait, la toute première requête pour ouvrir l'interface d'authentification, se fait vers canary.msg.zoosk.com.

Elle indique en "agent utilisateur" :

Mozilla/5.0 (Windows; U; fr-FR) AppleWebKit/531.9 (KHTML, like Gecko) AdobeAIR/2.7

Tiens, pourtant, Safari (pour Webkit ?) n'est pas installé sur la machine.

 

 

Après authentification, il semble que SocialBox envoie régulièrement ce qui pourrait être une signature de la configuration de l'utilisateur. Exemple de requête :

 GET /__utm.gif?utmwv=4.3as&utmn=2107487742&utmt=event&utme=5(login*login%20-%201.96.13)&utmcs=UTF-8&utmsr=1680x1050&utmsc=24-bit&utmul=fr&utmje=0&utmfl=10.3%20r181&utmhid=1232853870&utmr=-&utmp=&utmac=UA-20714458-3&utmcc=__utma

Eléments reconnaissables, par extrapolation :

- &utmfl=10.3 : Flash, effectivement en version 10.3 sur la machine

- &utmsr=1680x1050&utmsc=24-bit : configuration écran, 24 bits en 1680 par 1050...

- &utmcs=UTF-8 : encoage des caractères par défaut accepté sur le système ?

- &utme=5(login*login%20-%201.96.13) : version de l'application SocialBox, effectivement en 1.96.13

 

En fait, cette requête est envoyée à l'adresse IP : 74.125.39.139   qui est, comme l'indique le champ "host" de HTTP : www.google-analytics.com !

Ainsi donc, Facebook et/ou l'application SocialBox, feraient des statistiques d'audience via Google Analytics ?

 

 

Mise à jour 1 :

 

Il semble que Facebook ait adopté la logique de Google, pour le déploiement automatique et "forcé" des mises à jour de son application.

 

Ci-dessous, quelques exemples de notification :

 

Le 24/06/2011 :

 

 

Les notes de publication ne sont pas très bavardes...

 

Puis, le 01/07/11 :

 

A ce rythme-là, on sera en version 10 en moins de 6 mois... mais quels sont réellement les changements apportés à l'application ? cela semble opaque.

 

Le 23/07/11:

 

 

Toujours aucune info sur les modifications apportées à l'application... par contre, les privilèges administrateur sont encore nécessaires pour l'installation...

 

 

-------------------------------------------------------------------------------------------------

 

Côté antivirus : 

 

42 moteurs antiviraux différents (en version ligne de commande) ne disent rien pour la version 2.108.5 de SocialBox :

Antivirus	Version	Last update	Result
AhnLab-V3	2011.07.02.00	2011.07.01	-
AntiVir	7.11.10.197	2011.07.01	-
Antiy-AVL	2.0.3.7	2011.07.01	-
Avast	4.8.1351.0	2011.07.01	-
Avast5	5.0.677.0	2011.07.01	-
AVG	10.0.0.1190	2011.07.01	-
BitDefender	7.2	2011.07.01	-
CAT-QuickHeal	11.00	2011.07.01	-
ClamAV	0.97.0.0	2011.07.01	-
Commtouch	5.3.2.6	2011.07.01	-
Comodo	9244	2011.07.01	-
DrWeb	5.0.2.03300	2011.07.01	-
eSafe	7.0.17.0	2011.06.29	-
eTrust-Vet	36.1.8421	2011.07.01	-
F-Prot	4.6.2.117	2011.07.01	-
F-Secure	9.0.16440.0	2011.07.01	-
Fortinet	4.2.257.0	2011.07.01	-
GData	22	2011.07.01	-
Ikarus	T3.1.1.104.0	2011.07.01	-
Jiangmin	13.0.900	2011.07.01	-
K7AntiVirus	9.107.4863	2011.07.01	-
Kaspersky	9.0.0.837	2011.07.01	-
McAfee	5.400.0.1158	2011.07.01	-
McAfee-GW-Edition	2010.1D	2011.07.01	-
Microsoft	1.7000	2011.07.01	-
NOD32	6258	2011.07.01	-
Norman	6.07.10	2011.07.01	-
nProtect	2011-07-01.01	2011.07.01	-
Panda	10.0.3.5	2011.07.01	-
PCTools	8.0.0.5	2011.07.01	-
Prevx	3.0	2011.07.01	-
Rising	23.64.04.03	2011.07.01	-
Sophos	4.67.0	2011.07.01	-
SUPERAntiSpyware	4.40.0.1006	2011.07.01	-
Symantec	20111.1.0.186	2011.07.01	-
TheHacker	6.7.0.1.246	2011.07.01	-
TrendMicro	9.200.0.1012	2011.07.01	-
TrendMicro-HouseCall	9.200.0.1012	2011.07.01	-
VBA32	3.12.16.4	2011.07.01	-
VIPRE	9743	2011.07.01	-
ViRobot	2011.7.1.4544	2011.07.01	-
VirusBuster	14.0.105.2	2011.07.01	-

MD5: b8489a7be4650d393ee07510bf941190

SHA1: 17becc34c4e3ab8557f82671d692d3c2ad7f9ab7

SHA256: 6f4dfc366db28de862036e92076f1ab275f1d61b14825bc41362689ac06a69fa

File size: 142848 bytes

Scan date: 2011-07-01 20:47:38 (UTC)

 

 

Toutefois, pour Microsoft Windows Defender, socialbox.exe semblerait suspect, et "devrait leur être envoyé", afin d'améliorer l'efficacité du programme :

 

 

Espérons que le support Microsoft est bien dimensionné, car il risque de recevoir une pluie de fichiers "socialbox.exe" !

 

NB : du coup, il me semble intéressant de noter que SocialBox a été déplacé sur le disque, il est passé de users\username\appdata\roaming\socialbox, à  program files (x86)\sociabox

Echantillon reçu il y a quelques temps :

 

CE MESSAGE EST DE NOTRE ÉQUIPE DE SOUTIEN TECHNIQUE

Ce message est envoyé automatiquement par l'ordinateur.

Si vous recevez ce message, cela signifie que votre adresse e-mail a
été mis en attente pour la désactivation, ce qui a été à la suite d'une erreur continue
script (code: 505) a reçu depuis cette adresse email. Pour résoudre ce problème
vous devez réinitialiser votre adresse e-mail. Pour réinitialiser cette adresse e-mail,
vous devez répondre à cet e-mail en fournissant les informations suivantes pour
confirmation.

Nom d'utilisateur actuel Email: {             }
Mot de passe actuel Email: {             }
Re-confirmer Mot de passe: {             }

Note: Fournir une information erronée ou d'ignorer ce message permettra de résoudre
la neutralisation de cette adresse email.

Vous continuez à recevoir ce message d'avertissement périodiquement jusqu'à ce que votre
e-mail est réinitialisé ou désactivée.


Merci d'avoir choisi Orange Mobile!

© 2010 Orange Mobile. Tous droits réservés

 

 

Ce qui apparaît dans le client de messagerie (type Mozilla) :

- Adresse de réponse (reply-to) : webhelpdesk20@ymail.com

- Adresse indiquée en émetteur (champ données) : support@orange.fr

 

 

Entêtes :

 

Received: from mwinf5c08 (mwinf5c08 [10.223.111.58])
         by mwinb1501 with LMTPA;
         Mon, 21 Mar 2011 09:28:35 +0100
X-Sieve: CMU Sieve 2.3
Received: from box1.qn.net ([74.126.21.10])
        by mwinf5c08 with ME
        id MkTq1g0140D3Ef601kTqJp; Mon, 21 Mar 2011 09:28:35 +0100
X-bcc: %%%%%%%@wanadoo.fr
X-me-spamrating: 48.00
X-me-spamcause: (40)(0000)gggruggvucftvghtrhhoucdtuddrfeduhedrudeggddvuddthecuteggodetufdouefnucfrrhhofhhilhgvmecuoffgnecuuegrihhlohhuthemucegtddtnecuoghunhguihgtlhhoshgvugculdegtddmnecujfgurhepgggtgfffhffurhfkgigfsehtkehjtddtreejnecuhfhrohhmpefqrhgrnhhgvgcuofhosghilhgvuceoshhuphhpohhrthesohhrrghnghgvrdhfrheqnecuffhomhgrihhnpe
X-me-spamlevel: not-spam
Received: from localhost ([127.0.0.1] helo=webmail.qn.net)
        by box1.qn.net with esmtpa (Exim 4.69)
        (envelope-from <support@orange.fr>)
        id 1Q1aSp-0008GF-El; Mon, 21 Mar 2011 04:27:47 -0400
MIME-Version: 1.0
Content-Type: text/plain;
 charset=UTF-8;
 format=flowed
Content-Transfer-Encoding: 8bit
Date: Mon, 21 Mar 2011 04:27:47 -0400
From: Orange Mobile <support@orange.fr>
To: undisclosed-recipients:;
Subject: =?UTF-8?Q?D=C3=A9faut=20Mot=20de=20passe?=
Reply-To: webhelpdesk20@ymail.com
Message-ID: <76d7e32649f7d9a484407936dd4ffec3@qn.net>
X-Sender: support@orange.fr
User-Agent: Roundcube Webmail/0.4.2
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - box1.qn.net
X-AntiAbuse: Original Domain - wanadoo.fr
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - orange.fr

Le domaine émetteur n'est visiblement pas lié à Orange (qn.net). Si l'envelope-from a pu être forcé à support@orange.fr, c'est que visiblement le MTA émetteur est soit totalement ouvert (open relay) soit compromis...

   

Donc, il est recommandé de ne pas répondre à ce message !

Voici l'avertissement que j'ai eu en me connectant ce soir à l'interface d'administration du blog :

 

Cela me semble un peu surprenant sachant que la machine est un Windows 7, avec IE 9 (version 9.0.8112.16421), et tous les correctifs...

 

Il est donc d'autant plus nécessaire d'avoir divers navigateurs sur la même machine : car dans ce cas, malgré l'utilisation de IE 9, certaines fonctions nécessaires d'administration du blog ne fonctionnaient plus (mode de compatibilité ou non).

 

Je ne peux que recommander d'avoir sous la main Opéra, voire Chromium !

Un contact, que je remercie au passage, m'a informé que sa compagne avait eu une petite surprise en voulant choisir "son activité" dans une SmartBox.

Par les entêtes HTTP, il semble difficile de déceler si le serveur n'était pas à jour en termes de correctifs (ce qui aurait pu faciliter l'intrusion). Je vais revenir sur ce point plus bas.

 

Un Nmap donne un résultat assez surprenant, par prise d'empreinte (cf. The Art of TCP Scanning) :

 

C:\>"c:\Program Files (x86)\Nmap\nmap.exe" -O --osscan-guess www.romeo-juliette.fr

Starting Nmap 5.51 ( http://nmap.org ) at 2011-05-26 22:42 Paris, Madrid (heure dÆÚtÚ)

Nmap scan report for www.romeo-juliette.fr (82.165.52.73)

Host is up (0.12s latency).

rDNS record for 82.165.52.73: kundenserver.de

Not shown: 938 filtered ports, 57 closed ports

PORT    STATE SERVICE

21/tcp  open  ftp

22/tcp  open  ssh

80/tcp  open  http

81/tcp  open  hosts2-ns

443/tcp open  https

Device type: WAP|general purpose|firewall|broadband routerRunning (JUST GUESSING): Linksys Linux 2.4.X (99%), Linux 2.4.X|2.6.X (98%), Asus Linux 2.6.X (93%), Check Point Linux 2.4.X (90%)

Aggressive OS guesses: OpenWrt White Russian 0.9 (Linux 2.4.30) (99%), OpenWrt 0.9 - 7.09 (Linux 2.4.30 -2.4.34) (98%), OpenWrt Kamikaze 7.09 (Linux 2.6.22) (98%), Linux 2.6.9 - 2.6.21 (95%), Linux 2.6.19 - 2.6.24 (95%), Linux 2.6.18 (94%), Linux 2.6.20.6 (94%), OpenWrt Kamikaze 7.09 (Linux 2.6.17 - 2.6.21) (94%), Asus RT-N16 WAP (Linux 2.6) (93%), Linux 2.6.22 (Fedora 7) (93%)No exact OS matches for host (test conditions non-ideal).

 

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 24.22 seconds

 

 

Avec un autre scanner, LanSpy, il apparaît que le reverse DNS de l'IP du site est bien sur le domaine : kundenserver.de mais aucune bannière n'est récupérable pour les services actifs sur la machine.

Concernant l'adresse IP elle-même, elle apparatient à l'AS8560, située en Allemagne :

http://www.domaincrawler.com/82.165.52.73

Et avec Robtex, il semble que cette adresse IP soit largement sujette à mutualisation :

http://www.robtex.com/ip/82.165.52.73.html#shared

Liste de domaines "pointant vers la même adresse IP" :

1066artgallery.co.uk
1066artgallery.com
arabianweekends.com
architekt-mergel.com
bds-esc-rouen.fr
bonaventura-gymnasium.de
calindastudio.com
carthago-sb.de
catalystjobs.com
comcat4u.com
djk-aviation.co.uk
ehvw.biz
ehvw.net
elaart.com
emiliano-h.com
esm-mouthpiece.de
eventidee.net
forschungszentrum-ruhr.com
forschungszentrum-ruhr.de
forschungszentrum-ruhr.eu
fridaysound.com
fridaysounds.com
fz-r.com
harfieldpackaging.co.uk
harfieldpackaging.com
hm-interieur.de
hs-design-box.com
hsdesign.de
hsdesignbox.com
i4cem.com
i4cem.info
i4cem.net
i4cem.org
julesetcesar.com
kalkan-holidays.com
kephweb.info
label-design.com
liedergalerie.com
liedergalerie.de
lightfantastique.com
marketing-moderation.de
meliorator.com
mini-centre.co.uk
packung.com
pappelhof.biz
pappelhof.info
perfectweddingsandhoneymoons.com
perfectweddingsandhoneymoons.net
praxis-dermos.com
rbeckerweb.net
romeo-juliette.fr
siktalen.com
sithandone.fr
sporteventoftheyear.com
studiocalinda.com
subjektiveobjekte.com
taekwondo-rosny.org
thorsten-eberhardt.de
tiersarg.net
torschaenke.com
tourment.info
versicherte-gewinnspiele.com
versicherte-gewinnspiele.net
volk-s-wagen.com
www.sithandone.fr
www.thorsten-eberhardt.de
youlovefriday.com

En testant certains de ces domaines, dont http://label-design.com/, il semble que la compromission ne touche pas le serveur HTTP entièrement, mais uniquement certains des domaines qu'il héberge. S'agissant d'un Apache, on pourrait donc supposer que la compromission s'est limitée à un (ou plus) VirtualHost.

 

En poussant un peu plus loin l'investigation, on se rend compte que :

- le site défacé a été indexé par Google (donc le défacement ne date pas d'il y a quelques heures, à priori)

- il reste d'autres pages légimites du site (toujours accessibles via Google), exemple : http://www.romeo-juliette.fr/index.html. Donc tout le "virtualHost" Apache n'a pas été effacé...

- la page d'accueil index.php n'est en fait pas utilisée, et affiche un message intéressant :

En accédant à http://www.romeo-juliette.fr/index.html  là, magie, la page de défacement apparaît !

Evidemment, je déconseille d'accéder à ce type de sites compromis (à moins d'utiliser des configurations "durcies"), car leur code source "après altération" peut très bien contenir un petit code d'exploitation !

 

Maintenant, en considérant que la page "malveillante" injectée est en HTML, il est normal que les entêtes HTTP concernant le moteur PHP n'apparaissent pas.

 Le PHP est en version 4.4.9 ! 

 Merci à ACE pour m'avoir fait la remarque :)

Moralité : rien ne sert de durcir l'affichage de la version Apache et ses modules (par la directive ServerTokens, qui serait ici en "ProductOnly"), si le champ "X-Powered-By" des entêtes HTTP indique la version de PHP... idem pour les autres champs visibles dans les entêtes (notamment pour les CMS...).

 

Au passage, la page "index.html" injectée ne semble pas malveillante à première vue en parcourant le code source, ni d'ailleurs d'après VirusTotal :

URL Analysis tool	Result
Avira	Clean site
BitDefender	Clean site
Firefox	Clean site
G-Data	Clean site
Google Safebrowsing	Clean site
Malc0de Database	Clean site
MalwareDomainList	Clean site
Opera	Clean site
ParetoLogic	Clean site
Phishtank	Clean site
TrendMicro	Unrated site
Websense ThreatSeeker	Clean site
Wepawet	Unrated site

Normalized URL: http://www.romeo-juliette.fr/index.html

URL MD5: f94ecfd338a3f063f266d2022c69f5f5

Et Norton Safeweb ne donne rien non plus :

http://safeweb.norton.com/report/show?url=www.romeo-juliette.fr%2Findex.html

En circulation en ce moment !

Texte du SMS :

Vous avez reçu un message vidéo, pour le consulter: http://vvapvideo.com/a4869

Emetteur : +33664844033

 

On notera la ressemblance entre le "vv" de l'URL et un vrai "w", qui ferait donc "Wapvideo", certainement un terme connu (y compris du grand public)...

Quand on va sur le site en question (pas de chance pour les admins, c'était avec un vrai navigateur), voici ce qui apparaît :

Tiens, le service SMS+, déjà croisé pour des centres de téléchargements "gratuits et sécurisés" de logiciels, quelquefois sous licence (comme WinZIP ou WinRAR) ou pire, complètement libres (donc le simple téléchargement serait facturé plus de 3€ ??)

Les 3 liens qui sont visibles ont en fait pour commande : sms:81120?body=VIDEOX.

Donc, en fait, on envoie un SMS au numéro 81120, avec le code "X" de la vidéo... 

Le service est facturé à chaque fois plusieurs euros, et ici, c'est apparemment (cf. bas de page)  4€50 + prix du SMS lui-même !

 

En résumé, ne cliquez pas sur les liens et supprimez ce SMS.

De mon côté, je remonte l'échantillon au 33 700 (service de signalement national http://www.33700-spam-sms.fr/).