Overblog
Suivre ce blog Administration + Créer mon blog
21 janvier 2011 5 21 /01 /janvier /2011 22:22

L'innovation technologique, c'est bien, mais quid de la sécurité de la Freebox v6 ?

 

Commençons par un petit scan Nmap. Voici les options de scan :

nmap -p 1-65535 -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 192.168.1.254

 

 

Résultats nmap :

PORT      STATE  SERVICE     VERSION

21/tcp    open   ftp         Freebox ftpd

80/tcp    open   http        nginx

| html-title: Accueil Freebox Server

|_Requested resource was http://192.168.1.254/login.php   closed netbios-ns

137/tcp

138/tcp   closed netbios-dgm

139/tcp   open   netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)

445/tcp   open   netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)

554/tcp   open   rtsp        Freebox rtspd 1.2

5678/tcp  open   unknown

6600/tcp  closed unknown

8090/tcp  open   http        nginx

| html-title: Probl\xC3\xA8me de connexion Internet

|_Requested resource was http://192.168.1.254:8090/freebox_conn_problem.html  open   http        nginx

8091/tcp

| html-title: Contr\xC3\xB4le parental actif

|_Requested resource was http://192.168.1.254:8091/freebox_access_filtered.html  open   tcpwrapped

8095/tcp

54242/tcp open   unknown

 

Device type: general purpose

Running: Linux 2.6.X

OS details: Linux 2.6.19 - 2.6.31

 

 

Host script results:

| nbstat: 

|   NetBIOS name: FREEBOX, NetBIOS user: <unknown>, NetBIOS MAC: <unknown>

|   Names

|     FREEBOX<00>          Flags: <unique><active>

|     FREEBOX<03>          Flags: <unique><active>

|     FREEBOX<20>          Flags: <unique><active>

|     \x01\x02__MSBROWSE__\x02<01>  Flags: <group><active>

|     WORKGROUP<1d>        Flags: <unique><active>

|     WORKGROUP<1e>        Flags: <group><active>

|_    WORKGROUP<00>        Flags: <group><active>

| smb-os-discovery: 

|   OS: Unix (Samba 3.0.37)

|   Name: WORKGROUP\Unknown

|_  System time: 2011-01-21 22:10:26 UTC+1

|_smbv2-enabled: Server doesn't support SMBv2 protocol

 

 

 

Certains ports sont donc ouverts vers l'interne, plus que nécessaire pour de l'accès FTP/SMB...

 

On notera aussi que SAMBA ne semble pas à jour, ni le noyau d'ailleurs.

 

Et qu'en dit Nessus ?

       scan_sessus_img1-copie-7.JPG

 

 scan_sessus_img2-copie-1.JPG

Que la Freebox offre des partages réseau sans aucun contrôle d'accès n'est pas choquant outre mesure, pour le LAN de Monsieur et Madame Toulemonde... mais bon, les options de sécurité pourraient être un peu plus accessibles...

 

 scan_sessus_img3_modif.jpg

      Comme on peut le voir, le fichier /etc/passwd a pu être accédé via exploitation de la faille CVE-2010-0926 !

 

Mise à jour du 12/02/2011 :

je viens de voir que certains avaient remonté l'information à Free : 

http://bugs.freeplayer.org/task/4684

Merci ! je ne pensais même pas que cela leur parviendrait aussi vite, avec en plus prise en compte...

 

Partager cet article

Repost0
12 janvier 2011 3 12 /01 /janvier /2011 00:24

Seuls les imbéciles ne changent pas d'avis... Je vais relater ici mon expérience personnelle avec la dernière Freebox en date, la V6 Revolution.

 

Tout d'abord, je me dois de préciser que dans une autre vie, j'étais réparateur et que donc des Box en rade, j'en ai réparé quelques unes... A cette époque, Free n'avait pas forcément bonne réputation (entre le service clientèle, les délais de livraison, et les dysfonctionnements techniques...).

 

Malgré tout, j'ai décidé de sauter le pas. L'appel au service client est une bonne surprise, avec un Bordelais sympa et compétent au bout de la ligne.

Bien que l'on m'ait annoncé une livraison dans une fourchette sur 2 jours, de 8h à 19h (c'est plus une fourchette, c'est un rateau, comme diraient certains) j'ai réussi à récupérer le [gros] carton.


Je déballe donc les cartons qu'il contient, car oui, il y en a 3. Clairement Free a fait des progrès sur l'agencement et la présentation.

 

Je mets en place la nouvelle installation. Et là, surprise....

- Aucun des 4 ports RJ45 de la Box ne semble marcher (aucun voyant allumé), que j'y branche mon portable et/ou le Player. Donc, le player ne se synchronise pas et l'affichage à la TV me dit gentiment d'attendre pendant la synchro avec le "Server Freebox"...

   

- la Box reste coincée en étape 5, lors de la tentative de connexion. Ce n'est pas le fameux chenillard interminable, mais c'est pas loin avec le graphique en cercle qui tourne.

 

- l'utilisation des Freeplugs pour la connexion réseau, ou du câble RJ45 classique, entre la Box et le Player, ne change rien.

 

- malgré 3 redémarrages de la Box (et du Player), rien n'y fait.

 

Evidemment le filtre ADSL est en place... comme pour l'ancienne Box. Au démarrage de la Box, on voit bien l'allumage des voyants sur les différents ports RJ45, ils sont donc en état de marche... mais une fois la Box démarrée, les ports RJ45 semblent aussi inertes que leurs témoins lumineux.

 

    

 

Bilan, plus d'accès Internet, ni TV (ni téléphone, probablement). La fonction commutateur (Switch) de la Box semble en rade, ce qui pourrait ménaliser bon nombre de petits réseaux LAN domestiques...

L'installation automatisée échoue. La connexion échoue (sans indiquer pourquoi, si ce n'est "attente PPP")... et le lecteur multimédia /TV n'est évidemment pas opérationnel.


C'est un bon début... qui me rappelle malheureusement quelques souvenirs.

 


 

 

Partager cet article

Repost0
9 janvier 2011 7 09 /01 /janvier /2011 23:30

The Clam version I'm gonna talk about is there: http://www.clamav.net/about/win32/  So it's about the famous new technology "in the cloud".

It runs on Win 7 fully patched, and also on WXP SP3 with all security patches.

 

Since it's not the first false positive I notice while using Clam ITC, I'm gonna report here a few examples I find interesting.

 

Filezilla :

First I had an issue while trying to download Filezilla client.

I was there: http://filezilla-project.org/download.php?type=client

then I went to: http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.3.5.1/FileZilla_3.3.5.1_win32-setup.exe/download 

At the beginning of the download Clam ITC prompted a warning telling me that a W32.corrupt had been detected and deleted.

FP_filezilla_W32.corrupt_090111-copie-2.jpg

 

But if I refresh the page, the download will then start without any alert...

To a lambda user, this could be annoying / worrying. But what I try to understand is why this happens only from time to time, and not always, with the same link... is there any problem with Clam ITC signatures spreading or generating? 

 

Liberkey - HDspeed :

 

While trying to update my local Liberky install, Clam did prompt an alert about several detections... 

FP1_HDspeed_unkpacker_090111.jpg

FP2_HDspeed_w32.trojan_090111.jpg

Why the French version of HDSpeed should be detected as a quite different threat from the standard (international) version?

 

FP_smsniff_W32.Rozena_090111.jpg

This one, I don't really know if Clam is right or not. I'll find out and update my post.

 

Partager cet article

Repost0
12 décembre 2010 7 12 /12 /décembre /2010 21:20

To my knowledge, this will be the pnly (or almost) guide about that particular file type: .tpa.

 

You may find them on recovery CD/DVDs. You may want to restore the image, but sometimes the automated script will fail (as it happened to me).

 

Without doing any reverse engineering, that could be illegal, I will explain the needed command lines to restore those TPA files.

 

First, contrary to what some of you may believe, you don't need Ghost, I mean the whole application. The reason is quite simple: the batch files you may find on the backup CD/DVD only refer to Ghostwin or Ghost32.exe (when creating the image, in a TPA file)...  But these Ghost files seem to be absent on the backup CD/DVD you have.

 

Here is the trick, in fact you don't need them!

 

 Browse the folders around the TPA files, you'll find a "recounpack.exe" one, which is only what you need.

 

Here is the command line that works:

recounpack.exe %file%.tpa f: 

Where   %file%  is the filename of the fine which extension is ".tpa", and F: the letter of the drive where the whole image will be restored.


Et voilà :) 

 

NB : please be careful as this operation will destroy all data on the destination drive you set up.

 

Partager cet article

Repost0
20 novembre 2010 6 20 /11 /novembre /2010 13:30

Hi all,

 

just to say: be very carefull with CamWin running on a Windows Server 2003 (well, yeah that can happen...).

You have not only to specify exclusions for the databases themselves, BUT also for the SQL Server binaries!

If not, the last updates (for instance last week) of Clam will put into quarantine almost any sqlservr.exe!

And the thing is, you may face problems to restore all the files at the right place... (taking into account that there may be different versions, and Clam does not always tell where the quarantined files come from...)

Partager cet article

Repost0
18 novembre 2010 4 18 /11 /novembre /2010 23:08

At the time AV vendors tend to complain about theiir difficulties to maintain a base of malicious software definition (20 millions in 2009, according to Kaspersky?), some people may remember old ideas of creating a "whitelist" of harmless / well known / trusted applications.

 

I would not start a troll by saying that the whitelist of electronically signed files, not being scanned by AV engines (that not being very well documented... anyway), could lead to problem worse than W32.Stuxnet...

 

However, AV vendors now actively work on whitelisting applications. Recently, for instance, Comodo Sofware got in contact with the Pidgin developers team, and asked them to whitelist their software (which was accepted), even providing FTP if needed.

 

They aim to alert each time an "unknown" software is to be run, so they whitelist "known" softwares.

 

Therefore, AV updates are not only getting more and more important to protect computers against malicious software, but to also avoid blocking harmless software (at least, a warning with context isolation untill the user validates or denies it...).

 

To be known fot the next future... 

 

 

Partager cet article

Repost0
14 novembre 2010 7 14 /11 /novembre /2010 13:10

Don't think only "non-IT people", and above all "non-IT security people" would forget to harden their servers...

 

Even some well know players in Computers security seem to be concerned, such as VirusTotal:

VT_err_Squid_141110.jpg

 

What about Squid 3...? and in any cases, hide those horrible "by default"error messages...

This messages came up while I was reloading my browser, which had saved my previous tabs.

Partager cet article

Repost0
9 novembre 2010 2 09 /11 /novembre /2010 18:48

Encore une fois, il ne m'a pas été nécessaire d'auditer quoi que ce soit pour tomber sur cette page intéressante, lorsque l'on tente de s'authentifier sur le site de Viadeo :

 

viadeo.com_erreur__tomcat_5.5.12_091110.jpg

 

 En plus du fait que cela n'est pas très "joli", et incompréhensible aux yeux du néophyte, il conviendrait peut être de rappeler que les bonnes pratiques de développement de site Internet recommandent de ne pas laisser de telles pages d'erreur (modèle par défaut).

 

En outre, Apache Tomcat 5.5.12 est quasiment obsolète... ! cf. http://tomcat.apache.org/download-55.cgi 

Au passage, il est recommandé de migrer au moins vers la version 6, en tenant compte du cycle de vie du produit.... y compris Java, puisque Tomcat 5 repose sur Java 1.4 (voir http://tomcat.apache.org/whichversion.html) qui est en fin de vie depuis 2009.

 

Vu les données que peut détenir Viadeo sur tous ses membres, il serait certainement souhaitable que leur infrastructure informatique soit un minimum sécurisée, et qu'elle respecte donc les bonnes pratiques en la matière... espérons que cette découverte ne soit pas révélatrice.

 

Partager cet article

Repost0
5 novembre 2010 5 05 /11 /novembre /2010 00:17

Je n'ai pas honte de le dire, j'ai failli m'y faire prendre moi-même.

 

Voilà le courriel reçu (e 04/11), faussement émis par 123radar que je connais de nom :

courriel_123radar_VX_041110-copie-1.jpg

 

L'affichage dans Lanikaï est trompeur : le champ envelope-from est en fait : envelope-from <www@lary.aquaray.com>


 Le texte français est plutôt bien fait, mais une faute de génération du code (les balises) HTML casse toute la mise en page. Cela se produit à cette balise, en début de message :

<span<br> style=3D"font-weight: bold;">


 

Enfin, l'aspect viral montre son nez avec le lien bien visible dans le courriel :

Cliquer ICI

Pour Telecharger La Facture .


En fait, cela pointe sur : http://ryan8585. fileave.com/bill.exe

Et voilà le résultat VT pour ce fichier : 9/43 ! (version ligne de commande des AV).

Je peux par contre certifier que la version "complète" de Nod32, ainsi que Clam In The Cloud n'ont rien vu... Clam commence à détecter 12h plus tard (le lendemain matin de la réception du courriel)



Le courriel et son code viral ont contourné :

- les filtrages antispam de Orange

- les filtrages antispam de SpamAssassin

- les filtrages AV vus plus haut

- les filtrages sur URL de IE8, Chrome, FF 3

Pour finir, une analyse en "bac à sable" en ligne indique que ce bel échantillon a tout d'un BotNet :
Serveur de contrôle : 46.4 .245.19  (port 6667, un classique...)
Quelques commandes IRC intéressantes : BoTNeT.GoV...

Attendons de voir la réactivité des éditeurs d'antivirus !

Partager cet article

Repost0
27 octobre 2010 3 27 /10 /octobre /2010 23:22

Une fois n'est pas coutume : un peu d'humour sur fond de virologie. Les juristes pourraient certainement parler de parasitisme de nom de domaine... ceux qui ont oublié le français diraient probablement "cybersquatting".

Il n'est pas nécessaire (c'est un euphémisme) de présenter Facebook. Outre les fotes de frappe sur le nom (facebooc, facebouc, etc), une autre ruse tourne autour de l'homophonie...

Je vous présente donc fessebook. Et voici ce que nous dit l'ami Google...

google_fessebook_271010.jpg

 

Il fallait y penser. Mais pour rester sérieux malgré tout, il convient d'alerter sur les faits suivants :

- le site fessebook n'est pas le vrai Facebook, et n'a apparemment pas grand chose à voir avec liu

- il s'agit de contenus de type pornographiquequ'il convient de catégoriser et bloquer via un système de filtrage de navigation (chez Ironport, le site est classifié "porn").

- on notera la ressemblance graphique entre ce site et le vrai Facebook, qui peut inciter l'utilisateur à se connecter... (et donc donner son vrai compte et mot de passe Facebook)

- enfin, l'indexation Google révèle que le site ne semble pas respecter les bones pratiques de sécurisationde site Internet : on voit qu'ils utilisent un Ubuntu Serveur avec Apache 2.2.12... pour rappel, la 2.2.17 est la dernière en date !

Je posterai normalement d'autres éléments bientôt sur d'autres cas similaires...

 

Voici un cousin germain (dans la famille Facebook) : facebouk.com

facebouk.com_271010.jpg

On remarquera d'ailleurs que certains des liens affichés dans la page pointent en fait sur edarling.com... (le concurrent direct ?) ...

 

Autre membre de la famille, non moins drôle (pour les francophones) : facebooc.fr 

facebouc.fr_271010.jpg

 

Partager cet article

Repost0