Overblog
Suivre ce blog Administration + Créer mon blog
19 septembre 2010 7 19 /09 /septembre /2010 14:27

Je vais rédiger cet article en Français, vu que le message et la cible sont francophones... :)

 

J'ai reçu un message, et j'avoue que moi le premier j'ai failli me faire prendre. Heureusement, je me suis souvenu que j'avais résilié il y a quelques mois déjà mon abonnement Orange (France Telecom). Il s'agit d'un message indiquant que ma soit-disant banque a refusé un prélèvement automatique pour France Telecom.

 

Le texte est plutôt bien fait, mais il manque les caractères spéciaux (surtout les accents) :

 

Bonjour,

Votre banque a refuse le prelevement de 27,90 euros pour votre Facture France telecom n BOXNPT-54009-648055 de ce mois ,et ne pouvant faire un prelevement automatique.Vous devez adherer au service d'authentification des operations carte sur Internet.

 

 

 

hameconnage_FranceTel_Shredder-19092010-copie-1.jpg

 

Mozilla Shredder bloque le "contenu distant" des messages. Il propose à l'utilisateur de toujours valider le téléchargement de ce contenu, selon l'adresse email indiquée en émetteur. Il s'agit ici de : 

service@Securecode.eu

Ce qui est certainement assez tentant pour un utilisateur lambda.

 

La vraie adresse d'expédition du courriel est pourtant : envelope-from <root@s15385563.onlinehome-server.info>

Donc là-dessus, Thunderbird (Shredder) induit l'utilisateur en erreur. Il ne prend pas le bon champ dans le courriel indésirable, et du coup, affiche une adresse "choisie" par les auteurs du message, pour induire les utilisateurs en erreur.

 

Au niveau du filtrage du courriel (qui aurait dû avoir lieu) :

- filtrage Orange : inefficient

- filtrage SpamAssassin : inefficient

- filtrage Razor, DCC, XBL : inefficient 

- filtrage par Thunderbird (Bayésien principalement) : inefficient.

 

Concernant la machine émettrice du message : s15385563.onlinehome-server.info   un joli message nous accueille quand on accède à la page.

s15385563.onlinehome-server.info_190810.jpg

 

Pour le FQDN de l'émetteur du message, voici ce que donnent quelques tests :

- Netcraft : à peine un peu de rouge dans la barre d'outil

- trustedsource.org : risque minimum, catégorie "internet services"

- senderbase.org : aucune alerte pour l'URL. Bonne réputation pour l'adresse IP ! (87.106.216.161)

- dnsbl.info : aucun listage de l'adresse IP

- robtex.com : la zone onlinehome-server.info a 2 signalements : postmaster.rfc-ignorant.org et abuse.rfc-ignorant.org

J'apprends grâce à Trustedsource que les serveurs de nom sont chez 1and1(donc le domaine malveillant aussi). Tiens donc, une vieille connaissance pour ceux qui épluchent le web pour ce qui est VX.

Grâce à domaincrawler.com, j'apprends (ou confirme) que l'adresse IP est allemande.

 

Dans le code source du message, il y a un lien vers une image : 

 http://hocusadabra.com/upload/userfiles/VerifiedMasterVisa.jpg 

C'est une "vraie" image de Mastercard SecureCode , toujours pour induire l'utilisateur en erreur.

VerifiedMasterVisa.jpg

 

Si l'on clique sur le lien inclus dans le courriel, voici la vraie URL qui s'affiche dans le navigateur :

http://cinedis. famfmalaga.org/tmp/login-vbv/logine745514566/

cinedis.famfmalaga.org_Authentification_190810.jpg

On notera les belles fautes de frappe : "Veuillez Remplire l'au dessous de la forme", qui pourraient peut être alerter un utilisateur soucieux de parler en bon français...

Au niveau des navigateurs :

- Opera : aucune alerte

- Internet Explorer 8 : aucune alerte

- Chrome : aucune alerte

- Firefox 64 (Namoroka) : aucune alerte

- Netcraft : aucune alerte

- Safari : aucune alerte

Donc en résumé... aucune alerte !

 

Ce que je trouve également intéressant, c'est le code source de cette page : entièrement obfusqué.

source_cinedis.famfmalaga.org_190910.jpg

D'autre part, en remplissant le formulaire et en cliquant sur "Valider", les sessions HTTP révèlent que la machine distante, plus que probablement compromise, tourne avec :

Server Apache/2.2.3 (CentOS)

X-Powered-By PHP/5.1.6

cinedis.famfmalaga.org_valid-form_19092010-copie-1.jpg

 

On appréciera la mention "service vérifié par Visa"..

Je parierais que les failles PHP (non corrigées dans cette vieille version) ont pu faciliter l'intrusion sur le serveur.

Partager cet article

Repost0
15 septembre 2010 3 15 /09 /septembre /2010 21:05

Once again, I did not expect I could write an article about that while I was updating my Firefox.

The issue appears to be the same on 2 different configurations:

- Win XP 32 SP3,

- Win7 64 

 

On Win 7, I launch Firefox to check for updates. I have to do it using the RunAs feature since my account is not an administrator.

Very well then, Firefox tells me there is an update: FF 3.6.9 (I was using 3.6.8). Therefore I download it. To finish the install procedure, it tells me Firefox has to be closed, OK...

 

Then, I have got the now famous warning telling that the Flash plugin, that is being incorporated to Firefox, is outdated.

 

FF_Flash_avert_150910.jpg

 

So I click on the link to get the new Flash Player version...

This is where my first remark stands: why does Firefox block the Flash installation? How could lambda users understand that?

FF_block_flash_install_150910-copie-1.jpg

Okay, I click on the warning to allow the plugin installation anyway...

Then, it tells me that Firefox has to be restarted to get the installation procedure done, fine.

I restart Firefox. An Adobe installation screen appears, then nothing... I have just to click on the 'close' orange button.

 

getplus_bug_150910.jpg

But because I am kindda not a lambda user, I think of checking my configuration. Therefore I use the "plugin update checker" feature in FF.

This is where the problem comes:

plugin_detect_version_150910.jpg

 

According to Mozilla.com, my Flash plugin is not up to date!

If I click on "update now", here is the warning I get:

 

no_plugin_found_flash_150910.png

Translation: 'no plugin found. PLugin applicatioin/getplusadobe16291 is unknown'...

What's happening there?

Update: the answer is there: http://www.mozilla.com/en-US/firefox/3.6.10/releasenotes/ 

 

 

 

 

 

Partager cet article

Repost0
28 août 2010 6 28 /08 /août /2010 13:36

Quite surprisingly, I was not even thinking about writing an article when I set up my Thunderbird for a MS Live mail account. 

One day, without any notice, I had the following warning:

Shredder_pop3.live.com_cert_280610.jpg

 

Because I use a 64 bits version (Shredder), there is no locale version of if, ie. in French. So I wonder what a lambda user is supposed to understand about this warning...

Let's have a look at the certificate by itself:

pop3.live.com_cert_sympatico.ca_280610.jpg

 

It appears that the POP3 Server of MS Live Mail tries to present a certificate for pophm.sympatico.ca. Where, yes, it seems to be a problem there... and Shredder is right warning me about it.

Once again, how a lambda user is supposed to handle that? How could he or she make the difference between that case (which could certainly be accepted as an exception), and a real fraud/phishing attempt?

 And the most surprising part could be that MS Live Mail client does not prompt any warning while retrieving the same MS Live Mail account... does it hide a security weakness?

Partager cet article

Repost0
17 août 2010 2 17 /08 /août /2010 21:55

Cet article s'adresse aux Chefs de projets et/ou responsables techniques / opérationnels, notamment lorsqu'ils cherchent un hébergement web indépendant.

Prenons le cas d'un des gros hébergeurs francophones : OVH.

 

Tout d'abord, rappelons qu'OVH est régulièrement dans la liste des pires hébergeurs de phishing (hameçonnage) au niveau International, même s'il est vrai que le classement fluctue. Cf : http://toolbar.netcraft.com/stats/hosters  (Google Cache montre encore OVH en top 20 en date du 12 août 2010 04:52:16 GMT http://webcache.googleusercontent.com/search?q=cache:uw8co-g4qqsJ:toolbar.netcraft.com/stats/hosters+netcraft+phishiest+hosters+ovh&cd=1&hl=fr&ct=clnk&gl=fr)

On peut trouver d'autres informations ici : http://maliciousnetworks.org/

Encore d'autres là : http://www.spamhaus.org/sbl/listings.lasso?isp=ovh.net

et ici aussi : http://sitevet.com/db/asn/AS16276

...

Entre autres pour cette raison, la France se retrouve régulièrement mal classée au niveau international pour les pays hébergeant des contenus malveillants / frauduleux.

Rappelons enfin qu'OVH a été récemment impliqué dans une alerte SSI de portée assez sérieuse.  Il semble à ce sujet qu'OVH n'apprécie pas TOR sur ses infrastructures, ce qui me semble compréhensible : https://trac.torproject.org/projects/tor/wiki/TheOnionRouter/GoodBadISPs

Pourtant, on trouve des adresses IP encore clairement associées à l'architecture TOR : http://proxy.org/tor.shtml

(pour le trouver, il m'a suffit de chercher "ovh tor node" sur Google...).

Certaines de ces adresses OVH / Tor ont été la source d'attaques (je rassemble les preuves :) )

 

On peut donc objectivement lever un drapeau d'alerte sur le fait que les infrastructures informatiques d'OVH hébergent des contenus illicites/dangreux...  Quel impact cela a-t-il sur les services mutualisés par exemple ?

Pourtant, ce n'est pas tout.

 

OVH propose une offre de serveurs dédiés, par exemple pour virtualisation. Le tout est géré par le fameux "manager" que l'on leur connaît bien.

Cependant, il est dit "contractuellement" qu'OVH supprime les serveurs 5 jours après la date de renouvellement, par défaut (en l'absence de paiement donc).

L'expérience montre que :

- OVH supprime effectivement totalement les données de tous les serveurs de votre machine dédiée

- le seul "avertissement" reçu avant black-out est sous forme de relances par courriel

- aucune autre alerte n'est donnée au client avant suppression totale des données

- OVH ne tient pas compte des informations de "contact" que vous pouvez remplir dans la section "paramètres" : même si vous mettez un numéro de téléphone, ils n'appellent pas.

- OVH ne prend pas en compte le fait que le SMTP n'a par défaut pas d'acquittement, et que donc ses fameux courriels de relance peuvent ne pas être reçus par les destinataires

- si vous contactez OVH pour proposer de payer en urgence, en demandant qu'ils récupèrent (recouvrent) les données du serveur, ceci est "malheureusement impossible". 

- OVH supprime même les données que vous auriez mises sur leur service de sauvegarde

 

Dans tous les cas, de telles pratiques sont communément exclues en entreprise, sinon la production aurait de sévères incidents (en plus de la "vraie vie"). 

 

En résumé, ce bref exposé a pour but de sensibiliser ceux qui envisagent d'héberger leur projet chez un fournisseur de services comme OVH.

 

Partager cet article

Repost0
11 août 2010 3 11 /08 /août /2010 20:40

Well that was not expected once again to find such an issue...

 

Here is the configuration I'm gonna talk about :

- Win 7 Ultimate

- full patched

- Google Chrome 5.0.375.125

 

I let this laptop running when I went to bed. During the night, the last Windows updates have been installed, as I set it up. At the end, the WUAUSERV launches a restart procedure, with a warning before doing it.

The thing is, I was not there to delay the reboot, so it happened.

 

I had Google Chrome (and other applications) opened, with several tabs. Google Chrome is supposed to show a panel when it's being launched after a crash.

 

But this time, nothing. The history was not even working. And above all: I could not access google.com anymore (quite funny, isn't it...), whereas my other browsers Opera and FF were working like a charm.

 

Solution?

 

Close any chrome.exe instance, including (but not only) GMail app! (yeah, don't forget this one).

Restart Chrome,  then GMail.

 

Now, it works, Google.com access and history.

 

 

This story to remind people that web apps run on top of a browser.  

If the browser encounters a problem, all the (instances) web apps should be closed to fix it entirely. And last, be careful with automatic reboot after system update: check that your apps/docs do resist a forced close for reboot...

Partager cet article

Repost0
4 août 2010 3 04 /08 /août /2010 23:10

J'ai pu dire, et continue de le faire, beaucoup de bien sur Avira Antivir.

Cependant, cela ne m'empêche pas de vouloir rester objectif et signaler ici une pratique que je trouve douteuse.

 

Voici l'histoire :

Ayant rencontré des problèmes avec mon antivirus payant, sous Windows 7, (gel système à ouverture de session), j'ai donc été contraint de désinstaller au moins temporairement cet antivirus pour pouvoir investiguer et continuer à utiliser ma machine...

 

J'ai donc voulu tester (pour la n ième fois !) Antivir. A usage personnel, sa licence permet de l'utiliser gratuitement, ce qui est bien connu des internautes (quoique la restriction à l'usage uniquement dans le contexte personnel soit souvent oubliée...).

 

Cependant, au bout de 3 mois, Windows 7 a commencé à m'afficher des messages d'avertissement, indiquant que "Antivir était potentiellement obsolète".

Surpris, j'ouvre Antivir et j'ai la désagréable surprise de constater que la licence est marquée comme expirée, et qu'on me recommande vivement de passer à la version "pro", payante évidemment.

Je trouve le procédé des 3 mois de licence gratuite relativement anormal, surtout que cela n'est pas clairement précisé dès le départ...!

antivir_licence_expir_140710-copie-2.JPG

 

Un internaute averti en vaut 2, certainement...

Partager cet article

Repost0
29 juillet 2010 4 29 /07 /juillet /2010 22:03

I had recently to deal with a compromised computer. It was though supposed to be protected by a up to date antivirus with real policies.

 

The file has been detected using Spybot S&D: ZBot. It's been a long time ago since I did not find a malware which is not a spyware/adware/rogue AV, with Spybot. Anyway...

The computer was also protected by Clam for Windows, the 'in the cloud' version of Clam AV. See: http://www.clamav.net/lang/en/about/win32/ But it did not detect anything however.

Since I like to contribute to OpenSource projects, I thought of submitting this sample that Clam was not supposed to detect. Then I was astonished to see that the online form to submit samples to Clam was complaining the sample was 'already detected' and that I should check my own Clam updates...!

Here is the screenshot:

clam_zbot_support_260710_ann.jpg

 

What's going on with Clam In The Cloud? is it less efficient than the regular ClamAV?  I still do not have any answer...

 

By the way, I was kindda disappointed to see at first that McAfee was not planning to publish an extrat.dat:

mcafee_webimmune_echantillon_Zbot_230710_ann.jpg

 

Fortunately, they did publish an extra.dat later on. Why did the WebImmune portal say 'inconclusive' and 'no Extra', so?

 

To finish about Clam, I'm gonna try to check if there are real differences between the regular ClamAV version and the 'Clam in the cloud, for Windows'.

First, let's see what VT says about the sample:

VT_sdra64.exe_010810.jpg

So, VT already scanned the sample on the 23rd... the day I submitted the sample to McAfee.

And the detections summary array confirms that Clam was supposed to detect the sample:

VT_sdra64.exe_glob_010810.jpg

 

Let me remind you that, as other people like T. Zoller said, VT uses command line versions of AV engines. I know quite well ClamAV, and yes, it is the command line version that is available by default on Linux!

Thus, ClamScan most probably detected the sample, but not the Clam 'in the cloud' version... wheras the 'in the cloud' technology was said to offer better protection in real time... (I even tried to move the sample on the HDD to see if Clam in the could would detect it, but nothing happened).

According to that example, I would say that the 'in the cloud' version may offer better protection in real time, but can also miss samples that the regular version of Clam would just detect...

Partager cet article

Repost0
20 juillet 2010 2 20 /07 /juillet /2010 21:30

Voici un échantillon tout frais de hameçonnage ciblant SFR.

 

Cher client Sfr.

  
Ce mail vous a ete envoye suite a une faut comptable qui s est produite lors de nos factur mensuel .
En effet le 19  juillet 2010 la somme de (154,00) cent cinquante quatre Euros a ete indument preleve a cause d'un Probelem technique,un reversement en votre faveur sera effectue dans les plus brefs delais,a cet effet nous vous invitons a cliquer sur le lien ci-dessous et vous connectez pour fournir toute information susceptible d accelerer ce restitution .
le versement effectuer sera considere comme valide et aucune reclamation ne sera accepte.
Nous vous remercions de votre comprehension et nous nous excusons pour le desagrement encouru.
plus brefs delais,a cet effet nous vous invitons a cliquer sur le lien ci-dessous et vous connectez pour fournir toute information susceptible d accelerer ce restitution .
le versement effectuer sera considere comme valide et aucune reclamation ne sera accepte.
Nous vous remercions de votre comprehension et nous nous excusons pour le desagrement encouru.
Remplissez le formulaire de remboursement en cliquant sur le lien suivant.
 
  
  
Important :
Le versement effectue par Sfr sera porte sur votre prochain releve bancaire.
Nos clients Sfr beneficieront d un geste commercial.
Nous vous assurons de la confidentialite des informations fournies et Sfr se porte garant quant a la responsabilite juridique de ces transactions
--------------------------------------------------

Voici les entêtes du courriel :

Return-Path: <giosef@dazzler.unbit.it>
Received: from smtp.%serveur%.com ([unix socket]) by 
hermes.assonetworx (Cyrus v2.2.13-Debian-xxxxxx+lenny3) with LMTPA; 
Tue, 20 Jul 2010 12:42:46 +0200
X-Sieve: CMU Sieve 2.2
Received: from sabretooth.unbit.it ([81.174.68.19]) by 
smtp.%serveur%.com with esmtp (Exim 4.69) (envelope-from 
<giosef@dazzler.unbit.it>) id 1ObAHY-0004gq-Ne for 
philippe.vialle@%serveur%.com; Tue, 20 Jul 2010 12:42:46 +0200
Received: from dazzler.unbit.it (unknown [192.168.0.57]) by 
sabretooth.unbit.it (Postfix) with ESMTP id 578C5201D9ED for 
<philippe.vialle@%serveur%.com>; Tue, 20 Jul 2010 12:11:00 +0200 (CEST)
Received: by dazzler.unbit.it (Postfix, from userid 18372) id 
67EE520CFEE43; Tue, 20 Jul 2010 12:13:00 +0200 (CEST)
To: philippe.vialle@%serveur%.com
Subject: probleme technique
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Service Client <Service@allmail.com>
Message-Id: <20100720102348.67EE520CFEE43@dazzler.unbit.it>
Date: Tue, 20 Jul 2010 12:13:00 +0200 (CEST)
               
                    
Au niveau filtrage SpamAssassion :
- DCC positif
- MIME_HTML_ONLY BODY  positif (mais donc score négatif)
- HTML_MESSAGE BODY positif
                  
                    
Quid des détections au niveau du lien inséré dans le courriel :
- Google Chrome : signalement de "site de phising"
- Safari : blocage partiel (en faisant F5, l'avertissement peut apparaître, mais pas à tous les coups...)
- Internet Explorer 8 : aucune alerte
- Mozilla Firefox et Shiretoko : avertissement de "site contrefait"
- Opera 10 : avertissement de "site frauduleux"
- barre d'outil Netcraft : avertissement classique
- McAfee trustedsource.org : site catégorisé "phishing", risque maximal
- CISCO Surfcontrol (mtas.surcontrol.com) : ne fonctionne pas :(
- Fortiguard : classifié en "information technology"...
- DrWeb URL analysis tool : URL injoignable, test impossible
- Finjan URL test : URL injoignable...
                     
                       
Quid des informations sur l'émetteur du courriel ?
Apparemment cela tourne autour de dazzler.unbit.it. Il semblerait qu'une machine interne soit compromise (192.168.0.57). L'adresse IP en résolution est : 81.174.68.57.
- IronPort Senderbase : très bonne réputation (cf. http://www.senderbase.org/senderbase_queries/detailip?search_string=81.174.68.57 )- 
            
               
A propos de l'adresse IP elle même : https://dns.l4x.org/81.174.68.57
Hébergement mutualisé : http://www.w3who.com/reverse-ip/81.174.68.57  Ceci aura probablement facilité la compromission du serveur.
              
Méfiance donc ! il est probable que les CERT assistant SFR sont déjà sur le pont...

Partager cet article

Repost0
11 juillet 2010 7 11 /07 /juillet /2010 21:54

Just for once (again?), I'm gonna deal with linux / Unix system administration., and in particular, migration.


This may be related to scurity, as you may say that integrity does concern system configuration, when it's about renewing a server or transfering a whole system configuration from a machine to another.

 

First of all, let's say that you have an old server, and you want to migrate it to a new one, with new hardware. If you create an image of the whole system and restores it on the new server, it may just not work because of hardware differences and/or special configuration elements.

 

To insure a transfert with integroty check, I'll suggest you to use RSync. Here is what could the command line look like:

rsync -avchz --bwlimit=150 --stats /etc remote_host:/sync_etc

The way of synchronizing is source - > destination (last argument).

The bwlimit limits the bandwidth, so that you would not pay extra money for this (huge) transfer, depending on your hosting contract.

 

The folders that you would at least need to synchronize between the two servers are:

- /etc

- /var

 

Special thanks: Roro, Duckx, Fredy, and Lucky ;)  the guys who helped me meeting Linux ;)

Partager cet article

Repost0
8 juillet 2010 4 08 /07 /juillet /2010 23:58

Most of the time I would say and repeat: people should review their security systems and probably harden their configurations and system settings.

 

This time, my post is gonna deal with the contrary: how a hardened URL filtering system can impact productivity and vital assets.

You may read that security vendors tend to add a new way to block malicious / suspect content: security reputation.

I will not discuss the idea by itself right now. Let's just say that to protect from compromised systems, it could be a really interesting concept.

But what happens if the security reputation is wrong? That kind of measure is somewhat a score, which is most probably dynamic.

The firms that are being protected by that security reputation filtering system do not see the reputation score of their online applications and needed websites (assets).

Because the score is dynamic, it can be different today from yesterday.

Here is a part of a real story: it is about a vital portal, I mean a portal related to a vital function of a state (counter terrorism point of view, such as energy, communications, transportation, medical emergencies...).

One day that portal had its security reputation to be reviewed and reach "high security risk". In that case, most of the systems working with "security reputation filtering" automatically blocked any access to that website...

This was quite serious... We are not talking about Facebook being unreachable, not even Google... it is about a crucial web portal, government watched and related for a service that helps the country to run.

Were the firms informed before the website was automatically blocked? not at all, since it is an automatic check and update.

Could the firms easily bypass that filter? not really, if you consider that proxies are vital equipments and may not have their configuration radically changed so quickly, in emergency mode, and in production...

Could the firms monitor all the virtal websites/portals they know they need, to prevent that kind of situation? well if you consider 100 000 computers, several millions requests a day, and several thousands websites being whitelisted...  certainly not!

 

So I really warn any people that use or plan to use a technology close to security reputation score with automatic blocking. You may have real situations, with oproductivity loss and above all collateral damage...

Partager cet article

Repost0