Overblog
Suivre ce blog Administration + Créer mon blog
17 février 2013 7 17 /02 /février /2013 22:18

Il y a 10 ans déjà, j'animais un des rares sites indépendants francophones (à peu près pareil niveau Europe), concernant des analyses d'antivirus et notamment ViGuard.

 

Viguard ? un projet frnco-américano-israëlien. Un principe, un concept, se fondant sur l'absence de signatures antivirales.

 

Entre 2002 et 2006, j'ai ainsi pu contre-analyser les travaux d'un certain Guillaume T., mais aussi et surtout mettre ViGuard face à la plupart des codes viraux les plus dangereux/répandus de l'époque. Bilan plutôt positif, d'ailleurs, sauf pour les espiogiciels ("spywares") pour certaines raisons. J'ai également été en contact avec Eyal Dotan, Directeur technique de l'éditeur de ViGuard, Tegam, pour tester des bêtas et remonter des bogues.

 

Travaillant de façon rapprochée avec des structures d'assistance informatique, où les demandes pour machines infectées ne faisaient qu'augmenter, je peux attester des éléments suivants :

Contexte :

- sur des centaines de machines,

- dans le monde du grand public et de la PME,

- ViGuard installé sur des machines de 98 SE à XP SP2

Résulats:

Moins de 1% des machines vérifiées se sont révélées infectées même au bout de 2 à 3 ans sous ADSL (et en mode modem ! pas NAT...). Certaines machines sont encore aujourd'hui équipées de ViGuard, alors qu'il s'agit de Windows 2000 SP4 (hé oui, la vie, la vraie...), plus supporté et où nombre d'antivirus courants ne s'installent plus... Et les vérifications multi-moteurs (plus de 4) montrent qu'elles sont rarement infectées !

 

Mais plus important encore, à l'époque, le concept ViGuard a été complètement décrié et décridibilisé.

Beaucoup confondaient ViGuard avec un antivirus classique, et cherchaient à faire "bouton droit, analyser" sur des répertoires avec des fichiers potentiellement infectés, puis râlaient ensuite de ne pas avoir de résultat...  

 

ViGuard, que certains (dont moi) appelaient "firewall antiviral" est un fonctionnement en liste blanche, et non pas liste noire comme les antivirus classiques. Il fonctionnait sur le principe de la surveillance des modifications du système (notamment les modules de démarrage, et les modifications de binaires). Il permettait également de spécifier des permissions d'accès et modifications ; voici un petit exemple de matrice de droits :

 http://img.brothersoft.com/screenshots/softimage/v/viguard-62190-1248193379.jpeg

 (merci BrotherSoft pour avoir conservé cette capture).

 

Et en dernière version (Platinum) :

http://www.01net.com/images/logiciel/50311b.jpg

(merci ici à 01Net). 

 

Il était reproché à Tegam son marketing, sa communication. Le refrain était "Viguard annonce protéger contre les virus connus et inconnus : c'est impossible !". Les plus pointus faisaient même référence à la thèse de Fred Cohen, en 1986...

 

Aujourd'hui, je lis:

http://www.esiea.fr/davfi,-le-1er-antivirus-libre-100-francais-(3137).cml

L'approche technique innovante de DAVFI le rendra capable de détecter les variantes inconnues de codes identifiés et de prévenir l’action de codes inconnus

 

 

J'espère donc que DAVFI n'oubliera pas l'histoire, et des projets comme ViGuard. A l'époque, ViGuard a vu son concept dénigré, et je ne peux qu'être curieux de le voir réapparaître aujourd'hui sous une autre forme.

Au passage, ViGuard n'était pas le seul projet autour de ce concept d'antivirus sans signature : PrevX, System Safety Monitor, etc. étaient sur la même logique.

 

NB : je dispose toujours de plusieurs versions de ViGuard, notamment de celle dite Platinum, (presque pas mise en vente car l'UAC de Vista était passé par là...), je peux les fournir pour servir la bonne cause (car je crois effectivement en ce concept, que l'on retrouve dans AppLocker par ex :) )

 

 

Partager cet article

Repost0
17 février 2013 7 17 /02 /février /2013 21:54

Seen on several servers: (Debian Squeeze fully patched, and Ubuntu 11.04 also fully patched):

 

ClamAV update process started at Sun Feb 17 21:53:24 2013
main.cld is up to date (version: 54, sigs: 1044387, f-level: 60, builder: sven)
WARNING: getpatch: Can't download daily-16682.cdiff from db.local.clamav.net
WARNING: getpatch: Can't download daily-16682.cdiff from db.local.clamav.net
WARNING: getpatch: Can't download daily-16682.cdiff from db.local.clamav.net
WARNING: getpatch: Can't download daily-16682.cdiff from db.local.clamav.net
WARNING: getpatch: Can't download daily-16682.cdiff from db.local.clamav.net
WARNING: Incremental update failed, trying to download daily.cvd
WARNING: Can't download daily.cvd from db.local.clamav.net
Trying again in 5 secs...

 

This, while DNS resolution works:

 

Non-authoritative answer:
db.local.clamav.net     canonical name = db.uk.clamav.net.
Name:   db.uk.clamav.net
Address: 81.91.100.173
Name:   db.uk.clamav.net
Address: 163.1.3.8
Name:   db.uk.clamav.net
Address: 193.1.193.64
Name:   db.uk.clamav.net
Address: 217.135.32.99

 

Therefore, be aware def updates are currently failiing... no idea if it will automatically recover from itself.

In a nutshell, keep an eye on it! :)

 

BTW, the certificate used by https://mirror.ufs.ac.za/antimalware/clamav/  is not a properly signed one... 

Partager cet article

Repost0
23 décembre 2012 7 23 /12 /décembre /2012 02:19

Ligne de commande utilisée :

nmap -sS -sU -T4 -A -v -PE -PP -PS80,443 -PA3389 -PU40125 -PY -g 53 --script all 192.168.1.254

 

Et le message d'erreur renvoyé dans l'interface de ZenMap :

 

erreur_bogue_221212.PNG

En sus du message Windows classique "Nmap doit fermer...".

 

La version utilisée de Nmap est la 6.01. Si quelqu'un a une idée pour expliquer le plantage, je suis preneur...

 

Partager cet article

Repost0
23 décembre 2012 7 23 /12 /décembre /2012 00:34

J'avais espéré qu'après un précédent billet sur la sécurité de la Freebox Révolution, Free ne ferait pas uniquement que corriger la faille, mais instaurerait un processus sécurité au sein du développement de la Freebox... Apparemment, pas sûr.

 

scan_231212_vuln-DNS.PNG

 

Pourtant la version de la Freebox est à jour en termes de version...

 

fbox_version_221212.PNG

 

 Messieurs de Free, serait-il envisageable un jour que vous fassiez des tests avec Nessus ou Nexpose par exemple, de façon régulière, et mettiez à jour en conséquence la Freebox ?

 

scan_231212_vuln-liste.PNG

 

Encore une fois, la Freeebox n'est pas sécurisée...

 

Maintenant, regardons un peu ce qu'un simple scan Nmap peut nous apprendre...

 

scan_221212_nmap.PNG

 

SMBv 2 non supporté... dommage, il apporte des fonctions de sécurité, et est le standard pour les pratages réseau depuis Vista...

Samba v3.0.37...? là par contre, ce ne serait pas de toute fraîcheur :

Capture_versions-samba.org_221212.PNG

 

La 3.0.37 serait donc la dernière de la série 3.0, publiée en 2009... La 4 est sortie en décembre (sic). J'ai peur pour la version du noyau linux... 

 

 

Partager cet article

Repost0
22 décembre 2012 6 22 /12 /décembre /2012 17:40

Je pense que l'image parle toute seule :

 

securite_bouygues.png

 

Une telle politique de sécurité de mots de passe a 10 ans d'obsolescence. Pas de gestion de la casse, ni des caractères spéciaux... et 8 caractères max ! (3 min)  c'est incroyable.

 

Comment peuvent faire ensuite des éditeurs comme Microsoft pour faire passer des messages forts de sensibilisation, sur la crucialité de la sécurité des mots de passe ? Des mots de passe utilisateurs Active Directory de 4 caractères se cassent en quelques secondes à peine, depuis des années ! 8 caractères de long est aujourd'hui considéré insuffisant selon les bonnes pratiques de sécurité, pourtant c'est le maximum chez Bouygues...

 

Carton rouge pour Bouygues.

 

Partager cet article

Repost0
16 décembre 2012 7 16 /12 /décembre /2012 14:44

Soit une machine avec Windows 7 64 bits. Les correctifs de sécurité de Windows Updates sont globalement installés.

Sur cette machine, des courriels on été "interceptés" et des mots de passe volés (la victime a été "informée"), alors que la machine était connectée à un WiFi partagé entre tierces personnes, mais protégé (WPA2).

Une première vérification antivirale ne donne rien de concluant. Nous tentons donc d'autres moteurs : MalwareByte, DrWebCureIT,, et un CD amorçable : Windows Defender Offline. Rien de bien extraordinaire mis à part quelques parasites assez usuels.

Commence donc l'analyse de la machine.

J'y découvre un Acrobat Reader v9... pas de PDF malveillant détecté mais il a pu être supprimé entre temps. A mettre à jour donc, et un premier vecteur d'attaque assez courant.

Je découvre aussi un serveur WAMP ! Avec un Apache 2.2.21... et MySQL 5.5.24. Autant dire pas tout à fait à jour :

http://httpd.apache.org/security/vulnerabilities_22.html

Version 2.2.21 de Janvier 2012...

Et https://dev.mysql.com/doc/refman/5.5/en/news-5-5-24.html

donc MySQL de mai 2012...

Je ne parlerai même pas du niveau de sécurité de l'appli PHP...

 

Comme seuls des Facebook, et GMail, étaient utilisés, en HTTPS, sans qu'un avertissement apparaisse dans le navigateur, il semble donc que l'attaque par l'homme du milieu soit à écarter.

 

Bref, sachant que l'intrus était sur le LAN (un WiFi) à un moment donné, j'ai bien peur de la possibilité qu'il n'ait utilisé une vulnérabilité telle que celles du WAMP pour entrer (cela ressemblerait assez au profil du "bricoleur" en question), et piquer ce qui l'intéressait. Le PDF pourrait aussi être une piste sérieuse.

En gros, les fonctions serveurs n'exposent pas uniquement que les serveurs, leurs vulnérabilités potentielles concernent aussi les postes classiques, surtout que sur ces configs, les fonctions serveur sont souvent encore moins mises à jour... ! 

A vos mises à jour : Secunia PSI, Update Checker, etc !

 

Partager cet article

Repost0
9 décembre 2012 7 09 /12 /décembre /2012 03:17

 

Soit une sonde à base de Snort, connectée directement à Internet, sans aucun pare-feu en frontal. Cette sonde n'a pas de lien avec un nom de domaine Internet.

 

Voici les stats du moment, en top 50 (presque) d'adresses IP ayant généré le plus d'alertes Snort :

 

 

 < Adresse IP Src >   < Total # >   < Alertes Uniques >   < Adresse Dest. > 
  211.20.112.146   218776 5 3
  60.208.74.142   154356 3 3
  219.254.35.83   134208 2 48
  61.184.160.245   107472 3 3
  217.28.149.211   87374 5 1
  65.98.36.50   61978 2 1
  127.0.0.1   61480 4 3
  184.22.252.82   52988 3 2
  202.119.46.93   50696 3 1
  67.211.195.68   50426 2 73
  37.46.127.11   46068 2 3
  90.55.95.251   36090 4 2
  198.101.148.127   35980 2 1
  116.255.255.35   34730 2 2
  221.236.10.92   31896 2 2
  88.190.3.2   31854 1 52
  198.144.178.240   31016 2 1
  199.180.133.101   30234 3 3
  49.212.91.160   26356 3 2
  61.250.225.20   24224 2 2
  62.106.127.94   22820 2 2
  124.127.117.16   22248 3 2
  64.15.152.116   22234 2 1
  85.214.105.185   21460 2 1
  122.70.187.42   21110 2 3
  114.80.155.58   20796 2 1
  184.22.255.104   20032 2 1
  159.226.169.103   19854 2 1
  188.240.231.43   19298 2 1
  130.149.52.27   18730 2 1
  64.31.18.31   18624 2 1
  85.214.42.139   18536 2 2
  61.160.221.243   16804 4 1
  2.83.92.156   16778 1 1
  64.31.25.80   16646 4 2
  210.142.137.69   15618 3 1
  116.213.92.221   14642 2 1
  50.56.220.231   14020 2 5
  194.95.79.90   13174 2 1
  88.190.28.225   12926 2 1
  95.168.194.143   12622 2 7
  222.187.223.112   12532 3 1
  208.115.207.76   12494 2 1
  96.46.1.21   12246 2 1
  66.235.209.73   12140 3 3
  190.223.250.168   12062 3 1
  72.29.65.194   11352 3 1

 

Ceci pourra peut-être aider certains admins / gens de la sécurité à croiser leurs propres alertes avec d'autres sources.

 

NB/ certaines alertes sont plutôt remarquables, comme celles où l'adresse émettrice est forgée sur 127.0.0.1...

Partager cet article

Repost0
4 décembre 2012 2 04 /12 /décembre /2012 23:03

La machine est sous Windows 8 Consumer Preview, tout se passe bien jusqu'à...

Tout commence par des messages d'erreur de Windows Defender (la version complète de Security Essentials, sous Windows 8) :

WD_erreur_MaJ_041212.JPG

 

Puis c'est Windows Updates qui commence à rencontrer quelques difficultés :

WU_erreur_MaJ_041212.JPG

 

Ha, un code d'erreur apparaît. 

Allons voir le fichier c:\windows\windowsupdate.log pour en savoir un peu plus.

Voici ce qui apparaît en assez grande quantité :

2012-12-04 00:15:05:964 316 158c Misc WARNING: WinHttp: SendRequestUsingProxy failed for <http://winbeta.update.microsoft.com/win8beta/windowsupdate/redir/wuredir.cab>. error 0x80072efd

2012-12-04 00:15:05:964 316 158c Misc WARNING: WinHttp: SendRequestToServerForFileInformation MakeRequest failed. error 0x80072efd

2012-12-04 00:15:05:964 316 158c Misc WARNING: WinHttp: SendRequestToServerForFileInformation failed with 0x80072efd

2012-12-04 00:15:05:964 316 158c Misc WARNING: WinHttp: ShouldFileBeDownloaded failed with 0x80072efd

2012-12-04 00:15:07:311 316 158c Misc WARNING: Send failed with hr = 80072efd.

2012-12-04 00:15:07:311 316 158c Misc WARNING: SendRequest failed with hr = 80072efd. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <None>

Une recherche de ce code d'erreur 0x80072efd renvoi sur diverses pages comme :

- http://support.microsoft.com/kb/836941

- http://windows.microsoft.com/en-US/windows-8/windows-update-error-0x80072efd

 

En fait, ici, il s'agit d'un cas un peu particulier...

L'URL accédée par l'agent Windows Updates (sur la machine) est http://winbeta.update.microsoft.com/win8beta/windowsupdate/redir/wuredir.cab

Hé oui, ce n'est pas l'URL standard pour les mises à jour Windows Updates... mais une sous-partie spéciale pour version "bêta" de Win 8, ici la CP. Elle ne répond visiblement plus.

Et comme vous devez le savoir, Windows 8 Consumer Preview arrive bientôt en fin de vie....! http://answers.microsoft.com/en-us/protect/forum/mse-protect_start/cant-uninstall-microsoft-security-essentials-from/9f2f8d62-0017-4ff7-b483-8c6034ef77e2

Il faut donc penser à migrer : ce n'était qu'un environnement de test :)

 

 

 

Partager cet article

Repost0
18 novembre 2012 7 18 /11 /novembre /2012 17:40

Au chapitre des applications tierces, non Microsoft, mais fonctionnant sous Windows, voici un autre exemple. Il faut certes lire entre les lignes car ce n'est pas annoncé avec un ruban orange clignotant : Lenovo annonce bien que sa suite ThinkVantage a été mise à jour suite à découverte de failles de sécurité

 

MaJ_securite_ThinkVantage_181112.PNG

 

Mais c'est malheureusement typiquement le genre d'utilitaire système que je ne vois que très rarement mis à jour sur les machines... Pourtant, là, il est clairement indiqué que des failles de sécurité ont été découvertes (et corrigées).

 

Moralité, les rapports Microsoft, Kaspersky, Symantec, etc. qui donnent la liste des applications tierces les plus couramment ciblées définissent à mon sens les actions prioritaires sur le parc.

100% de mises à jour WSUS est bien, mais constitue juste la base, indispensable, et insuffisante. Il faut aujourd'hui penser aux autres applications (non MSFT) qui elles aussi ont fait l'objet de correctifs !

A vos inventaires de parc donc :)

Partager cet article

Repost0
15 novembre 2012 4 15 /11 /novembre /2012 01:00

While trying to uninstall Nexpose Rapid7 on a test machine, got an error message (related to Java)

Here is what the log says:

 

Exception:

 

In action "Determine Screen Resolution [Run script]" (screen "Startup"), property "Script":

java.lang.UnsupportedClassVersionError: com/rapid7/os/OSException : Unsupported major.minor version 51.0

at java.lang.ClassLoader.defineClass1(Native Method)

at java.lang.ClassLoader.defineClassCond(Unknown Source)

at java.lang.ClassLoader.defineClass(Unknown Source)

at java.security.SecureClassLoader.defineClass(Unknown Source)

at java.net.URLClassLoader.defineClass(Unknown Source)

at java.net.URLClassLoader.access$000(Unknown Source)

at java.net.URLClassLoader$1.run(Unknown Source)

at java.security.AccessController.doPrivileged(Native Method)

at java.net.URLClassLoader.findClass(Unknown Source)

at java.lang.ClassLoader.loadClass(Unknown Source)

at sun.misc.Launcher$AppClassLoader.loadClass(Unknown Source)

at java.lang.ClassLoader.loadClass(Unknown Source)

at I4jScript_Internal_206.eval(I4jScript_Internal_206.java:20)

at I4jScript_Internal_206.evaluate(I4jScript_Internal_206.java:25)

at com.install4j.runtime.installer.helper.Script.evaluate(Unknown Source)

at com.install4j.runtime.installer.ContextImpl.runScript(Unknown Source)

at com.install4j.runtime.installer.ContextImpl.runScript(Unknown Source)

at com.install4j.runtime.beans.actions.control.RunScriptAction.execute(Unknown Source)

at com.install4j.runtime.beans.actions.SystemInstallOrUninstallAction.uninstall(Unknown Source)

at com.install4j.runtime.installer.UninstallerContextImpl.performActionInt(Unknown Source)

at com.install4j.runtime.installer.ContextImpl.performAction(Unknown Source)

at com.install4j.runtime.installer.controller.Controller.executeActions(Unknown Source)

at com.install4j.runtime.installer.controller.Controller.handleCommand(Unknown Source)

at com.install4j.runtime.installer.controller.Controller.handleStartup(Unknown Source)

at com.install4j.runtime.installer.controller.Controller.start(Unknown Source)

at com.install4j.runtime.installer.Uninstaller.main(Unknown Source)

at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)

at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)

at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)

at java.lang.reflect.Method.invoke(Unknown Source)

at com.exe4j.runtime.LauncherEngine.launch(Unknown Source)

at com.exe4j.runtime.WinLauncher.main(Unknown Source)

at com.install4j.runtime.launcher.WinLauncher.main(Unknown Source)

 

System properties:

 

java.runtime.name=Java(TM) SE Runtime Environment

exe4j.moduleName=C:\Program Files\rapid7\nexpose\.install4j\uninstall.exe

exe4j.processCommFile=C:\Users\Phil\AppData\Local\Temp\e4j_p1056.tmp

exe4j.semaphoreName=c:_program files_rapid7_nexpose_.install4j_uninstall.exe

sun.boot.library.path=c:\program files\rapid7\nexpose\_jvm1.6.0_25\bin

java.vm.version=20.0-b11

java.vm.vendor=Sun Microsystems Inc.

java.vendor.url=http://java.sun.com/

exe4j.consoleCodepage=cp850

path.separator=;

java.vm.name=Java HotSpot(TM) 64-Bit Server VM

file.encoding.pkg=sun.io

user.country=FR

sun.os.patch.level=Service Pack 1

install4j.exeDir=C:\Program Files\rapid7\nexpose\.install4j\

java.vm.specification.name=Java Virtual Machine Specification

user.dir=C:\Program Files\rapid7\nexpose

java.runtime.version=1.6.0_25-b06

java.awt.graphicsenv=sun.awt.Win32GraphicsEnvironment

java.endorsed.dirs=c:\program files\rapid7\nexpose\_jvm1.6.0_25\lib\endorsed

os.arch=amd64

java.io.tmpdir=C:\Users\Phil\AppData\Local\Temp\

line.separator=

 

java.vm.specification.vendor=Sun Microsystems Inc.

user.variant=

exe4j.tempDir=

os.name=Windows 7

sun.jnu.encoding=Cp1252

java.library.path=shared\bin;shared\lib

java.specification.name=Java Platform API Specification

java.class.version=50.0

sun.management.compiler=HotSpot 64-Bit Tiered Compilers

exe4j.isInstall4j=true

os.version=6.1

user.home=C:\Users\Phil

user.timezone=Europe/Paris

java.awt.printerjob=sun.awt.windows.WPrinterJob

file.encoding=Cp1252

java.specification.version=1.6

java.class.path=C:\Program Files\rapid7\nexpose\.install4j\i4jruntime.jar;C:\Program Files\rapid7\nexpose\.install4j\..\.install4j\user.jar;C:\Program Files\rapid7\nexpose\.install4j\..\.install4j\user\cryptojFIPS.jar;C:\Program Files\rapid7\nexpose\.install4j\..\.install4j\user\nse.jar;C:\Program Files\rapid7\nexpose\.install4j\..\.install4j\user\sigar.jar;C:\Program Files\rapid7\nexpose\.install4j\..\.install4j\user\sslj.jar;;c:\program files\rapid7\nexpose\_jvm1.6.0_25\lib\deploy.jar;c:\program files\rapid7\nexpose\_jvm1.6.0_25\lib\plugin.jar;C:\Program Files\rapid7\nexpose\nse\lib\nse.jar;C:\Program Files\rapid7\nexpose\nsc\lib\nsc.jar;C:\Program Files\rapid7\nexpose\shared\lib\nxshared.jar;C:\Program Files\rapid7\nexpose\shared\lib\r7shared.jar

user.name=Phil

java.vm.specification.version=1.0

sun.java.command=C:\Program Files\rapid7\nexpose\.install4j\uninstall.exe

java.home=c:\program files\rapid7\nexpose\_jvm1.6.0_25

sun.arch.data.model=64

exe4j.launchName=C:\Program Files\rapid7\nexpose\.install4j\uninstall.exe

user.language=fr

java.specification.vendor=Sun Microsystems Inc.

awt.toolkit=sun.awt.windows.WToolkit

java.vm.info=mixed mode

exe4j.unextractedPosition=0

java.version=1.6.0_25

java.ext.dirs=c:\program files\rapid7\nexpose\_jvm1.6.0_25\lib\ext;C:\Windows\Sun\Java\lib\ext

sun.boot.class.path=c:\program files\rapid7\nexpose\_jvm1.6.0_25\lib\resources.jar;c:\program files\rapid7\nexpose\_jvm1.6.0_25\lib\rt.jar;c:\program files\rapid7\nexpose\_jvm1.6.0_25\lib\sunrsasign.jar;c:\program files\rapid7\nexpose\_jvm1.6.0_25\lib\jsse.jar;c:\program files\rapid7\nexpose\_jvm1.6.0_25\lib\jce.jar;c:\program files\rapid7\nexpose\_jvm1.6.0_25\lib\charsets.jar;c:\program files\rapid7\nexpose\_jvm1.6.0_25\lib\modules\jdk.boot.jar;c:\program files\rapid7\nexpose\_jvm1.6.0_25\classes

install4j.appDir=C:\Program Files\rapid7\nexpose\

java.vendor=Sun Microsystems Inc.

file.separator=\

java.vendor.url.bug=http://java.sun.com/cgi-bin/bugreport.cgi

sun.io.unicode.encoding=UnicodeLittle

sun.cpu.endian=little

sun.desktop=windows

sun.cpu.isalist=amd64

Sad to see that even a security product embeds an outdated version of Java, and does not even run on currently supported/secure Java v7...

Partager cet article

Repost0