Dimanche 14 novembre 2010 7 14 /11 /Nov /2010 13:10
- Publié dans : Veille sécurité

tu quoque, mi fili... (VirusTotal)

Don't think only "non-IT people", and above all "non-IT security people" would forget to harden their servers...

 

Even some well know players in Computers security seem to be concerned, such as VirusTotal:

VT_err_Squid_141110.jpg

 

What about Squid 3...? and in any cases, hide those horrible "by default"error messages...

This messages came up while I was reloading my browser, which had saved my previous tabs.

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Mardi 9 novembre 2010 2 09 /11 /Nov /2010 18:48
- Publié dans : Veille sécurité

Viadeo en rade ?

Encore une fois, il ne m'a pas été nécessaire d'auditer quoi que ce soit pour tomber sur cette page intéressante, lorsque l'on tente de s'authentifier sur le site de Viadeo :

 

viadeo.com_erreur__tomcat_5.5.12_091110.jpg

 

 En plus du fait que cela n'est pas très "joli", et incompréhensible aux yeux du néophyte, il conviendrait peut être de rappeler que les bonnes pratiques de développement de site Internet recommandent de ne pas laisser de telles pages d'erreur (modèle par défaut).

 

En outre, Apache Tomcat 5.5.12 est quasiment obsolète... ! cf. http://tomcat.apache.org/download-55.cgi 

Au passage, il est recommandé de migrer au moins vers la version 6, en tenant compte du cycle de vie du produit.... y compris Java, puisque Tomcat 5 repose sur Java 1.4 (voir http://tomcat.apache.org/whichversion.html) qui est en fin de vie depuis 2009.

 

Vu les données que peut détenir Viadeo sur tous ses membres, il serait certainement souhaitable que leur infrastructure informatique soit un minimum sécurisée, et qu'elle respecte donc les bonnes pratiques en la matière... espérons que cette découverte ne soit pas révélatrice.

 

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Vendredi 5 novembre 2010 5 05 /11 /Nov /2010 00:17
- Publié dans : Veille virale

faux courriel de commmande 123radar.fr, avec code viral

Je n'ai pas honte de le dire, j'ai failli m'y faire prendre moi-même.

 

Voilà le courriel reçu (e 04/11), faussement émis par 123radar que je connais de nom :

courriel_123radar_VX_041110-copie-1.jpg

 

L'affichage dans Lanikaï est trompeur : le champ envelope-from est en fait : envelope-from <www@lary.aquaray.com>


 Le texte français est plutôt bien fait, mais une faute de génération du code (les balises) HTML casse toute la mise en page. Cela se produit à cette balise, en début de message :

<span<br> style=3D"font-weight: bold;">


 

Enfin, l'aspect viral montre son nez avec le lien bien visible dans le courriel :

Cliquer ICI

Pour Telecharger La Facture .


En fait, cela pointe sur : http://ryan8585. fileave.com/bill.exe

Et voilà le résultat VT pour ce fichier : 9/43 ! (version ligne de commande des AV).

Je peux par contre certifier que la version "complète" de Nod32, ainsi que Clam In The Cloud n'ont rien vu... Clam commence à détecter 12h plus tard (le lendemain matin de la réception du courriel)



Le courriel et son code viral ont contourné :

- les filtrages antispam de Orange

- les filtrages antispam de SpamAssassin

- les filtrages AV vus plus haut

- les filtrages sur URL de IE8, Chrome, FF 3

Pour finir, une analyse en "bac à sable" en ligne indique que ce bel échantillon a tout d'un BotNet :
Serveur de contrôle : 46.4 .245.19  (port 6667, un classique...)
Quelques commandes IRC intéressantes : BoTNeT.GoV...

Attendons de voir la réactivité des éditeurs d'antivirus !
Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Mercredi 27 octobre 2010 3 27 /10 /Oct /2010 23:22
- Publié dans : Veille sécurité

Vous avez dit Facebook ?

Une fois n'est pas coutume : un peu d'humour sur fond de virologie. Les juristes pourraient certainement parler de parasitisme de nom de domaine... ceux qui ont oublié le français diraient probablement "cybersquatting".

Il n'est pas nécessaire (c'est un euphémisme) de présenter Facebook. Outre les fotes de frappe sur le nom (facebooc, facebouc, etc), une autre ruse tourne autour de l'homophonie...

Je vous présente donc fessebook. Et voici ce que nous dit l'ami Google...

google_fessebook_271010.jpg

 

Il fallait y penser. Mais pour rester sérieux malgré tout, il convient d'alerter sur les faits suivants :

- le site fessebook n'est pas le vrai Facebook, et n'a apparemment pas grand chose à voir avec liu

- il s'agit de contenus de type pornographiquequ'il convient de catégoriser et bloquer via un système de filtrage de navigation (chez Ironport, le site est classifié "porn").

- on notera la ressemblance graphique entre ce site et le vrai Facebook, qui peut inciter l'utilisateur à se connecter... (et donc donner son vrai compte et mot de passe Facebook)

- enfin, l'indexation Google révèle que le site ne semble pas respecter les bones pratiques de sécurisationde site Internet : on voit qu'ils utilisent un Ubuntu Serveur avec Apache 2.2.12... pour rappel, la 2.2.17 est la dernière en date !

Je posterai normalement d'autres éléments bientôt sur d'autres cas similaires...

 

Voici un cousin germain (dans la famille Facebook) : facebouk.com

facebouk.com_271010.jpg

On remarquera d'ailleurs que certains des liens affichés dans la page pointent en fait sur edarling.com... (le concurrent direct ?) ...

 

Autre membre de la famille, non moins drôle (pour les francophones) : facebooc.fr 

facebouc.fr_271010.jpg

 

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Dimanche 19 septembre 2010 7 19 /09 /Sep /2010 14:27
- Publié dans : Veille virale

Nouveau hameçonnage ciblant France Telecom

Je vais rédiger cet article en Français, vu que le message et la cible sont francophones... :)

 

J'ai reçu un message, et j'avoue que moi le premier j'ai failli me faire prendre. Heureusement, je me suis souvenu que j'avais résilié il y a quelques mois déjà mon abonnement Orange (France Telecom). Il s'agit d'un message indiquant que ma soit-disant banque a refusé un prélèvement automatique pour France Telecom.

 

Le texte est plutôt bien fait, mais il manque les caractères spéciaux (surtout les accents) :

 

Bonjour,

Votre banque a refuse le prelevement de 27,90 euros pour votre Facture France telecom n BOXNPT-54009-648055 de ce mois ,et ne pouvant faire un prelevement automatique.Vous devez adherer au service d'authentification des operations carte sur Internet.

 

 

 

hameconnage_FranceTel_Shredder-19092010-copie-1.jpg

 

Mozilla Shredder bloque le "contenu distant" des messages. Il propose à l'utilisateur de toujours valider le téléchargement de ce contenu, selon l'adresse email indiquée en émetteur. Il s'agit ici de : 

service@Securecode.eu

Ce qui est certainement assez tentant pour un utilisateur lambda.

 

La vraie adresse d'expédition du courriel est pourtant : envelope-from <root@s15385563.onlinehome-server.info>

Donc là-dessus, Thunderbird (Shredder) induit l'utilisateur en erreur. Il ne prend pas le bon champ dans le courriel indésirable, et du coup, affiche une adresse "choisie" par les auteurs du message, pour induire les utilisateurs en erreur.

 

Au niveau du filtrage du courriel (qui aurait dû avoir lieu) :

- filtrage Orange : inefficient

- filtrage SpamAssassin : inefficient

- filtrage Razor, DCC, XBL : inefficient 

- filtrage par Thunderbird (Bayésien principalement) : inefficient.

 

Concernant la machine émettrice du message : s15385563.onlinehome-server.info   un joli message nous accueille quand on accède à la page.

s15385563.onlinehome-server.info_190810.jpg

 

Pour le FQDN de l'émetteur du message, voici ce que donnent quelques tests :

- Netcraft : à peine un peu de rouge dans la barre d'outil

- trustedsource.org : risque minimum, catégorie "internet services"

- senderbase.org : aucune alerte pour l'URL. Bonne réputation pour l'adresse IP ! (87.106.216.161)

- dnsbl.info : aucun listage de l'adresse IP

- robtex.com : la zone onlinehome-server.info a 2 signalements : postmaster.rfc-ignorant.org et abuse.rfc-ignorant.org

J'apprends grâce à Trustedsource que les serveurs de nom sont chez 1and1(donc le domaine malveillant aussi). Tiens donc, une vieille connaissance pour ceux qui épluchent le web pour ce qui est VX.

Grâce à domaincrawler.com, j'apprends (ou confirme) que l'adresse IP est allemande.

 

Dans le code source du message, il y a un lien vers une image :  

http://hocusadabra.com/upload/userfiles/VerifiedMasterVisa.jpg

C'est une "vraie" image de Mastercard SecureCode , toujours pour induire l'utilisateur en erreur.

VerifiedMasterVisa.jpg

 

Si l'on clique sur le lien inclus dans le courriel, voici la vraie URL qui s'affiche dans le navigateur :

http://cinedis. famfmalaga.org/tmp/login-vbv/logine745514566/

cinedis.famfmalaga.org_Authentification_190810.jpg

On notera les belles fautes de frappe : "Veuillez Remplire l'au dessous de la forme", qui pourraient peut être alerter un utilisateur soucieux de parler en bon français...

Au niveau des navigateurs :

- Opera : aucune alerte

- Internet Explorer 8 : aucune alerte

- Chrome : aucune alerte

- Firefox 64 (Namoroka) : aucune alerte

- Netcraft : aucune alerte

- Safari : aucune alerte

Donc en résumé... aucune alerte !

 

Ce que je trouve également intéressant, c'est le code source de cette page : entièrement obfusqué.

source_cinedis.famfmalaga.org_190910.jpg

D'autre part, en remplissant le formulaire et en cliquant sur "Valider", les sessions HTTP révèlent que la machine distante, plus que probablement compromise, tourne avec :

Server Apache/2.2.3 (CentOS)

X-Powered-By PHP/5.1.6

cinedis.famfmalaga.org_valid-form_19092010-copie-1.jpg

 

On appréciera la mention "service vérifié par Visa"..

Je parierais que les failles PHP (non corrigées dans cette vieille version) ont pu faciliter l'intrusion sur le serveur.

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Mercredi 15 septembre 2010 3 15 /09 /Sep /2010 21:05
- Publié dans : Veille sécurité

Firefox 3.6.9 brings buggly Flash updater

Once again, I did not expect I could write an article about that while I was updating my Firefox.

The issue appears to be the same on 2 different configurations:

- Win XP 32 SP3,

- Win7 64 

 

On Win 7, I launch Firefox to check for updates. I have to do it using the RunAs feature since my account is not an administrator.

Very well then, Firefox tells me there is an update: FF 3.6.9 (I was using 3.6.8). Therefore I download it. To finish the install procedure, it tells me Firefox has to be closed, OK...

 

Then, I have got the now famous warning telling that the Flash plugin, that is being incorporated to Firefox, is outdated.

 

FF_Flash_avert_150910.jpg

 

So I click on the link to get the new Flash Player version...

This is where my first remark stands: why does Firefox block the Flash installation? How could lambda users understand that?

FF_block_flash_install_150910-copie-1.jpg

Okay, I click on the warning to allow the plugin installation anyway...

Then, it tells me that Firefox has to be restarted to get the installation procedure done, fine.

I restart Firefox. An Adobe installation screen appears, then nothing... I have just to click on the 'close' orange button.

 

getplus_bug_150910.jpg

But because I am kindda not a lambda user, I think of checking my configuration. Therefore I use the "plugin update checker" feature in FF.

This is where the problem comes:

plugin_detect_version_150910.jpg

 

According to Mozilla.com, my Flash plugin is not up to date!

If I click on "update now", here is the warning I get:

 

no_plugin_found_flash_150910.png

Translation: 'no plugin found. PLugin applicatioin/getplusadobe16291 is unknown'...

What's happening there?

Update: the answer is there: http://www.mozilla.com/en-US/firefox/3.6.10/releasenotes/ 

 

 

 

 

 

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Samedi 28 août 2010 6 28 /08 /Août /2010 13:36
- Publié dans : Veille sécurité

Thunderbird doesn't trust MS Live POP server?

Quite surprisingly, I was not even thinking about writing an article when I set up my Thunderbird for a MS Live mail account. 

One day, without any notice, I had the following warning:

Shredder_pop3.live.com_cert_280610.jpg

 

Because I use a 64 bits version (Shredder), there is no locale version of if, ie. in French. So I wonder what a lambda user is supposed to understand about this warning...

Let's have a look at the certificate by itself:

pop3.live.com_cert_sympatico.ca_280610.jpg

 

It appears that the POP3 Server of MS Live Mail tries to present a certificate for pophm.sympatico.ca. Where, yes, it seems to be a problem there... and Shredder is right warning me about it.

Once again, how a lambda user is supposed to handle that? How could he or she make the difference between that case (which could certainly be accepted as an exception), and a real fraud/phishing attempt?

 And the most surprising part could be that MS Live Mail client does not prompt any warning while retrieving the same MS Live Mail account... does it hide a security weakness?

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Mardi 17 août 2010 2 17 /08 /Août /2010 21:55
- Publié dans : Veille sécurité

Quelques informations sur OVH

Cet article s'adresse aux Chefs de projets et/ou responsables techniques / opérationnels, notamment lorsqu'ils cherchent un hébergement web indépendant.

Prenons le cas d'un des gros hébergeurs francophones : OVH.

 

Tout d'abord, rappelons qu'OVH est régulièrement dans la liste des pires hébergeurs de phishing (hameçonnage) au niveau International, même s'il est vrai que le classement fluctue. Cf : http://toolbar.netcraft.com/stats/hosters  (Google Cache montre encore OVH en top 20 en date du 12 août 2010 04:52:16 GMT http://webcache.googleusercontent.com/search?q=cache:uw8co-g4qqsJ:toolbar.netcraft.com/stats/hosters+netcraft+phishiest+hosters+ovh&cd=1&hl=fr&ct=clnk&gl=fr)

On peut trouver d'autres informations ici : http://maliciousnetworks.org/

Encore d'autres là : http://www.spamhaus.org/sbl/listings.lasso?isp=ovh.net

et ici aussi : http://sitevet.com/db/asn/AS16276

...

Entre autres pour cette raison, la France se retrouve régulièrement mal classée au niveau international pour les pays hébergeant des contenus malveillants / frauduleux.

Rappelons enfin qu'OVH a été récemment impliqué dans une alerte SSI de portée assez sérieuse.  Il semble à ce sujet qu'OVH n'apprécie pas TOR sur ses infrastructures, ce qui me semble compréhensible : https://trac.torproject.org/projects/tor/wiki/TheOnionRouter/GoodBadISPs

Pourtant, on trouve des adresses IP encore clairement associées à l'architecture TOR : http://proxy.org/tor.shtml

(pour le trouver, il m'a suffit de chercher "ovh tor node" sur Google...).

Certaines de ces adresses OVH / Tor ont été la source d'attaques (je rassemble les preuves :) )

 

On peut donc objectivement lever un drapeau d'alerte sur le fait que les infrastructures informatiques d'OVH hébergent des contenus illicites/dangreux...  Quel impact cela a-t-il sur les services mutualisés par exemple ?

Pourtant, ce n'est pas tout.

 

OVH propose une offre de serveurs dédiés, par exemple pour virtualisation. Le tout est géré par le fameux "manager" que l'on leur connaît bien.

Cependant, il est dit "contractuellement" qu'OVH supprime les serveurs 5 jours après la date de renouvellement, par défaut (en l'absence de paiement donc).

L'expérience montre que :

- OVH supprime effectivement totalement les données de tous les serveurs de votre machine dédiée

- le seul "avertissement" reçu avant black-out est sous forme de relances par courriel

- aucune autre alerte n'est donnée au client avant suppression totale des données

- OVH ne tient pas compte des informations de "contact" que vous pouvez remplir dans la section "paramètres" : même si vous mettez un numéro de téléphone, ils n'appellent pas.

- OVH ne prend pas en compte le fait que le SMTP n'a par défaut pas d'acquittement, et que donc ses fameux courriels de relance peuvent ne pas être reçus par les destinataires

- si vous contactez OVH pour proposer de payer en urgence, en demandant qu'ils récupèrent (recouvrent) les données du serveur, ceci est "malheureusement impossible". 

- OVH supprime même les données que vous auriez mises sur leur service de sauvegarde

 

Dans tous les cas, de telles pratiques sont communément exclues en entreprise, sinon la production aurait de sévères incidents (en plus de la "vraie vie"). 

 

En résumé, ce bref exposé a pour but de sensibiliser ceux qui envisagent d'héberger leur projet chez un fournisseur de services comme OVH.

 

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Mercredi 11 août 2010 3 11 /08 /Août /2010 20:40
- Publié dans : Bidouille informatique

Google Chrome does not survive a reboot due to Win Update...

Well that was not expected once again to find such an issue...

 

Here is the configuration I'm gonna talk about :

- Win 7 Ultimate

- full patched

- Google Chrome 5.0.375.125

 

I let this laptop running when I went to bed. During the night, the last Windows updates have been installed, as I set it up. At the end, the WUAUSERV launches a restart procedure, with a warning before doing it.

The thing is, I was not there to delay the reboot, so it happened.

 

I had Google Chrome (and other applications) opened, with several tabs. Google Chrome is supposed to show a panel when it's being launched after a crash.

 

But this time, nothing. The history was not even working. And above all: I could not access google.com anymore (quite funny, isn't it...), whereas my other browsers Opera and FF were working like a charm.

 

Solution?

 

Close any chrome.exe instance, including (but not only) GMail app! (yeah, don't forget this one).

Restart Chrome,  then GMail.

 

Now, it works, Google.com access and history.

 

 

This story to remind people that web apps run on top of a browser.  

If the browser encounters a problem, all the (instances) web apps should be closed to fix it entirely. And last, be careful with automatic reboot after system update: check that your apps/docs do resist a forced close for reboot...

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires
Mercredi 4 août 2010 3 04 /08 /Août /2010 23:10
- Publié dans : Veille sécurité

Antivir : vraie-fausse licence gratuite ?

J'ai pu dire, et continue de le faire, beaucoup de bien sur Avira Antivir.

Cependant, cela ne m'empêche pas de vouloir rester objectif et signaler ici une pratique que je trouve douteuse.

 

Voici l'histoire :

Ayant rencontré des problèmes avec mon antivirus payant, sous Windows 7, (gel système à ouverture de session), j'ai donc été contraint de désinstaller au moins temporairement cet antivirus pour pouvoir investiguer et continuer à utiliser ma machine...

 

J'ai donc voulu tester (pour la n ième fois !) Antivir. A usage personnel, sa licence permet de l'utiliser gratuitement, ce qui est bien connu des internautes (quoique la restriction à l'usage uniquement dans le contexte personnel soit souvent oubliée...).

 

Cependant, au bout de 3 mois, Windows 7 a commencé à m'afficher des messages d'avertissement, indiquant que "Antivir était potentiellement obsolète".

Surpris, j'ouvre Antivir et j'ai la désagréable surprise de constater que la licence est marquée comme expirée, et qu'on me recommande vivement de passer à la version "pro", payante évidemment.

Je trouve le procédé des 3 mois de licence gratuite relativement anormal, surtout que cela n'est pas clairement précisé dès le départ...!

antivir_licence_expir_140710-copie-2.JPG

 

Un internaute averti en vaut 2, certainement...

Par Philippe V.
Ecrire un commentaire - Voir les 0 commentaires

 

Présentation

 

Articles récents

Liste complète

 

Recherche

 

Pages

 

Syndication

  • Flux RSS des articles

 

Catégories

 

Créer un Blog

Créez votre blog gratuit

 

Créer un blog gratuit sur over-blog.com - Contact - C.G.U. - Rémunération en droits d'auteur - Signaler un abus - Articles les plus commentés