Overblog
Suivre ce blog Administration + Créer mon blog
18 janvier 2014 6 18 /01 /janvier /2014 15:36

La lutte contre la fuite d'information n'est pas quelque chose de simple. De nombreuses solutions existent, certaines gratuites et bien connues.

L'idée ici est de faciliter le travail des admins ou ingénieurs sécurité dans leur surveillance du traffic réseau, dans le cadre de cette lutte contre la fuite d'info. Pour le cas présent, il sera question de DropBox.

Il faudra bien évidemment ensuite déterminer si l'usage de l'outil est légitime ou non.

Voici donc des requêtes caractéritisques de la connexion à un espace Dropbox, que vous verrez par exemple sur un proxy type Squid3 :

en HTTPS :

CONNECT client51.dropbox.com:443 

CONNECT client88.dropbox.com:443

Apparemment le nombre après "client" change dans le temps, sans que ce soit itératif, et varierait entre 10 et 99.

Mais aussi :

CONNECT d.dropbox.com:443

CONNECT client-lb.dropbox.com:443

CONNECT www.dropbox.com:443

CONNECT dl-client977.dropbox.com:443

CONNECT dl-debug18.dropbox.com:443

 

- en HTTP :

Nombreuses requêtes de type  GET http://notify7.dropbox.com/subscribe? 

 

Comme tout outil de ce type, rappelons que Dropbox peut faire le pont entre machine pro (à l'intérieur de l'entreprise), machine perso (à la maison), machine presta (en vadrouille), etc.

Bonne surveillance :)

Partager cet article

Repost0
19 octobre 2013 6 19 /10 /octobre /2013 16:16

J'ai eu récemment un réel souci sur une machine perso : les navigateurs n'arrivaient plus à accéder au contenu Internet... alors que le ping marchait. Détails ci-dessous.

Machine (contexte perso) : Windows 7 SP1, tous correctifs, KAV 2014. Rappelons que que Windows Vista et ultérieurs, en 64 bits, ont des vérifications renforcées des pilotes (validité des certificats de signature).

NB : je n'avais pas installé l'outil EMET (durcissement sécurité)

 

Tout commence par un problème simple : ni Internet Explorer, ni Chrome n'arrivent à accéder à Internet ! subitement, sans prévenir...

HTTP_HS_KAV_181013.PNG

 

Pareil en HTTPS :

HTTPS_HS_KAV_181013.PNG

 

Pourtant, le ping (ICMP), marche, et comme j'ai demandé un FQDN, la résolution DNS aussi !

ping_OK_181013.PNG

Strange,  non ?

Il pourrait donc y avoir un souci dans la couche HTTP, notamment WinHTTP...

Il se trouve également que KAV a injecté dans chaque navigateur (IE/Chrome) des modules additionnels de contrôle de la navigation... A garder en tête pour la suite.

Le problème est tel que même la mise à jour de Chrome ne marche plus !

Chrome_MaJ_HS_181013.PNG

NB: oui la machine est connectée sur un routeur ADSL... et ICMP marche :(

 

KAV montre de son côté des symptômes de fatigue... l'ouverture de l'interface graphique via l'icône en barre de notification Windows, pédale dans la semoule...

 

gel_KAV_181013.PNG

La barre verte ne s'arrête jamais... Cela met la puce à l'oreille !

 

En cherchant bien, une fenêtre Windows (qui n'avait pas gardé le focus) indique un message d'alerte sécurité pour KAV :

confiance_kav_181013.PNG

 

Là, clairement, il y a un loup. Un tel message ne devrait pas apparaître !

Ici, impossible de s'en sortir sans redémarrer la machine : KAV ne s'ouvre pas, et même en "acceptant de faire confiance à l'éditeur" plusieurs fois, rien ne se débloque.

Redémarrons donc... :|

 

Au redémarrage, certains points s'éclaircissent :

KAV_obsolete_reboot_181013.PNG

 

Hmmm donc effectivement, il y a bien eu un dysfonctionnement car KAV devrait être parfaitement à jour vu que la machine était restée connectée à Internet pendant plusieurs heures, avant l'incident en question !

Je suspecte que l'alerte "faites-vous confiance à cet éditeur" ait bloqué des composants Internet à KAV, notamment la mise à jour et la surveillance du traffic HTTP des navigateurs, ceci donc impactant ma navigation par effet de bord !

 

Voici maintenant une petite vérification via l'utilitaire SigCheck de SysInternals (téléchargeable depuis la TechNet) :

sigcheck_sgantures_files_KAV_181013.PNG

 

Certains champs des certificats semblent vides...

J'espère que ce problème n'impactera pas une trop grande population. Je répète la solution : redémarrer et vous assurer que vous avez validé le message "faites-vous confiance à cet éditeur ?".

 

Mise à jour 1 :

Vérification supplémentaire avec SignTool, outil disponible dans le SDK de Windows :

signtool_kav_KO_19013.PNG

Bingo...

 

A bon entendeur...

PS : un article de KB à lire, pour tout admin ou personne impliquée dans la sécurité : http://technet.microsoft.com/en-us/library/cc733026.aspx#BKMK_Code_Local 

Attention à ce type de paramètres assez méconnus de la PKI standard de Windows (indépendante de la PKI propre à l'entité !)

 

Mise à jour 2 :

Ca continue !

kav_maj_err_151113.PNG

Les impacts sont assez pénibles : accès réseau totalement gelé, lenteurs système, et Windows donc qui alerte régulièrement sur KAV qui n'est pas à jour... 

Et au passage, quand je regarde de plus près le certificat, je vois qu'il utilise SHA1...!

kav_sha1_151113.PNG

 

Or SHA1 n'est plus un algo de condensat encore considéré comme fiable... Surprenant de le voir ici (sauf peut-être, pour des contraintes de perfs ?)

 

En fait, le problème n'est pas là, mais quelques crans plus haut !!

Voici le certificat de l'autorité racine de confiance :

KAV_TrustCA_md5_181113.PNG

 

Il apparaît que l'algo de hachage est ici le MD5.

Or Microsoft a publié récemment une mise à jour (2862966) qui, dans le cadre de la défense en profondeur, fait que la CryptoAPI refuse maintenant le MD5 pour les certificats !

Et évidemment, la mise à jour en question est bien installée sur la machine...

http://blogs.technet.com/b/askds/archive/2013/08/14/md5-signature-hash-deprecation-and-your-infrastructure.aspx

Il serait donc temps que GTE CyberTrust Global Root mette à jour ses certificats ! Ou que Kaspersky, d'ici là, se fasse signer ses fichiers par une autre autorité racine de confiance.

CQFD...?

 

Partager cet article

Repost0
22 juillet 2013 1 22 /07 /juillet /2013 14:32

Toutes ces informations étant visibles à tous, par les clients,je voudrais parler du niveau de sécurisation de postes de travail en agence, à la SG.

L'exemple vient ici d'une agence dans le 94 (je donnerai l'adresse exacte en privé pour ceux que cela intéresse).

 

Système d'exploitation : presque sûr du Windows XP, Luna désactivée... ce système est pourtant en fin de vie (fin de support en avril 2014 !) et Microsoft alerte depuis des mois l'urgence à le migrer...  Mais surtout cette version de Windows n'est pas armée pour se défendre contre les menaces actuelles : XP a été conçu il y a plus de 11 ans !

 

Antivirus : Sophos (vu l'icône non masquée à côté de l'horloge). Là par contre, je ne peux pas dire la version visuellement.

 

Navigateur : je parierais sur IE 7 !! mais cela pourrait être le 8. De toute façon les 9 et 10 ne sont pas supportés sous XP...  et la v8 est le minimum syndical aujourd'hui recommandé, niveau sécurité (malheureusement certaines fonctions de sécurité de IE marchent mieux avec des versions plus récentes de Windows...).

 

Et le clou du spectacle : l'application interne pour les changements de coordonnées et procurations (pas forcément critique, hum...) est un client léger (donc IE) en HTTP !! sic. Je passerai sur les nombreux bogues de session auxquels la pauvre conseillière a du faire face, des gels complets de l'appli jusqu'à des scénarios non gérés (informations non obligatoires avant, qui le deviennent et qui empêchent la mise à jour d'un compte...).

 

Je passe sur Office 2003 (Outlook) qui n'est pas non plus sécurisable aujourd'hui pour faire face aux menaces actuelles, et qui arrive également en fin de support en 2014...!

 

Ha mais j'oubliais ! accès Internet, depuis ce même poste de travail, en parallèle de l'application web, si si !!  :(

 

 

Je pense donc simplement terminer en rappelant cet article de l'ANSSI : http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/  

Partager cet article

Repost0
16 juillet 2013 2 16 /07 /juillet /2013 13:00

 

While checking Update Checker results, I saw the following:

 opera_update-checker_160713-copie-1.PNG

 

A bit astonished, since I believe I had manually checked for Opera's updates...

 

Nonetheless, let's do it once again.

opera-version_update-checker_160713.PNG

 

 Hmmm okay my Opera is not the version 15...

 Let's try to update it then!

opera-test_update-checker_160713.PNG

 oooops... must be something wrong here! :(

 

In a nutshell, it's good to have software updates reminders, but best to have a repro (test lab) to investigate and double check before ringing the bells...! 

 

Partager cet article

Repost0
9 juillet 2013 2 09 /07 /juillet /2013 11:36

Un peu de veille, de temps en temps. Laisser quelques machines tourner avec des configs courantes, et observer ce qu'il se passe.

Ici, un Java 7 mise à jour 17 sur un XP SP3 basique, tente de se mettre à jour vers la dernière version en date : la u25.

 

Ok, l'avertissement "nouvelle mise à jour de Java disponible" apparaît comme un grand.

Ok, si l'on clique sur l'icône dans la barre de notification, la procédure de mise à jour se lance...

 

MAIS... le processus global échoue.

 

MaJ_java_XP_7u25_err_090713.PNG

La session est pourtant administrateur local du poste... Que faut-il de plus ? Ok l'accès Internet passe par un proxy mais il est paramétré dans tous les navigateurs (dont IE)...

Ce n'est pas la première fois que je constate ce type de plantages lors de la mise à jour de Java en automatique.

Voici qui devait expliquer au moins en partie pourquoi le parc Java dans le grand public, mais aussi en PME, migre très mal tout seul vers des versions à jour...

A vos gestions de parc, donc...

 

Partager cet article

Repost0
2 juin 2013 7 02 /06 /juin /2013 21:52

En regardant l'émission Capital sur M6, concernant l'espionnage dans le cadre du travail (sujet toujours intéressant... :) ) j'ai repéré qu'il était question apparemment de l'outil Revealer Keylogger.

 

J'ai voulu vérifier... et effectivement, un logiciel éponyme existe : http://www.logixoft.com/fr-fr/index On remarquera que la version payante propose des fonctions supplémentaires (http://www.logixoft.com/fr-fr/free-keylogger-download), proches du rootkit dans le principe : invisibilité dans le Gestionnaire des tâches, invisibilité dans l'Explorateur Windows (et non pas "sur le disque", à mon avis...), invisibilité dans les modules de démarrage (à vérifier quand même avec un Autoruns, mais soit).

 

Un doute me prend quant à la détection antivirale... Ouf, au moins, Windows Defender sous Windows 7 le détecte en natif ! (malheureusement, sous XP, par exemple, cela ne se produira pas par défaut).

Capture_Revealer-keylogger_020613.PNG

 

Voici ce que VirusTotal dit (https://www.virustotal.com/fr/file/f20f231ce7c5ec7a0c0ac285f50e4cffe5846a2b3ad77bbe1e8eaff7739faad0/analysis/1370203333/) :

 

SHA256: f20f231ce7c5ec7a0c0ac285f50e4cffe5846a2b3ad77bbe1e8eaff7739faad0
SHA1: 733aa0eccffb0ededda09670db209418e2a7c65c
MD5: 053b89c5eb2200969bc027c58f49bd74
Taille du fichier : 403.6 KB ( 413248 bytes )
Nom du fichier : rvlkl.exe
Type du fichier : Win32 EXE
Ratio de détection : 6 / 45
Date d'analyse :

2013-06-02 20:02:13 UTC (il y a 1 minute)  

 

Agnitum   20130602
AhnLab-V3   20130602
AntiVir   20130602
Antiy-AVL   20130602
Avast   20130602
AVG   20130602
BitDefender   20130602
ByteHero   20130529
CAT-QuickHeal   20130531
ClamAV   20130602
Commtouch   20130601
Comodo   20130602
DrWeb   20130602
Emsisoft Win64/KeyLogger.RevealerKeylogger.AMN (A) 20130602
eSafe   20130530
ESET-NOD32 a variant of Win64/KeyLogger.RevealerKeylogger.NAA 20130602
F-Prot   20130601
F-Secure   20130602
Fortinet   20130602
GData   20130602
Ikarus   20130602
Jiangmin   20130602
K7AntiVirus   20130531
K7GW   20130531
Kaspersky   20130602
Kingsoft   20130506
Malwarebytes Keylogger.Logixoft 20130602
McAfee   20130602
McAfee-GW-Edition   20130602
Microsoft MonitoringTool:Win32/RevealerKeylogger 20130602
MicroWorld-eScan   20130602
NANO-Antivirus   20130602
Norman   20130602
nProtect   20130602
Panda Suspicious file 20130602
PCTools   20130521
Rising   20130531
Sophos   20130602
SUPERAntiSpyware   20130602
Symantec   20130602
TheHacker   20130601
TotalDefense   20130602
TrendMicro   20130602
TrendMicro-HouseCall TROJ_GEN.F47V0526 20130602
VBA32   20130531
VIPRE   20130602
ViRobot   20130602

 

 

En d'autres termes, des solutions antivirus très courantes en entreprise, comme McAfee, Symantec, Sophos, et même Trend dans une certaine mesure, ne voient rien... D'autres solutions, répandues dans le grand public, comme AVAST ou Antivir, ne voient rien non plus :( Autrement dit, la discrétion peut être réelle pour une personne non sensibilisée (voire même à l'insu des administrateurs du parc, qui feront confiance à l'antivirus de la machine !). 

 

Pour ceux qui ont un doute, je recommanderais de lancer un scan avec par exemple Windows Defender Offline (http://windows.microsoft.com/fr-fr/windows/what-is-windows-defender-offline), ou le CD de ESET.

 

Merci néanmoins à Capital pour avoir tenté de sensibiliser le public sur le sujet, et avec des cas visiblement réalistes !

 

 

Partager cet article

Repost0
23 mai 2013 4 23 /05 /mai /2013 23:32

Mes antennes m'ont alerté...


Voici une capture d'écran de la communication envoyée par le Club à ses membres (les fameux GM ;) ), pour indiquer que leur mot de passe a été changé (de force...! ) et qu'ils doivent en spécifier un nouveau pour remplacer celui temporaire (fourni dans le courriel)...

annonce_changement_MdP_230513.PNG

 

Cela ressemble étrangement à une action suite à une suspicion d'intrusion... par précuaution voire par nécessité.

Je n'ai pas trouvé trace d'annonce d'un tel incident... si quelqu'un a l'info, je suis preneur :)

Partager cet article

Repost0
23 mai 2013 4 23 /05 /mai /2013 00:47

Just sharing my thoughts and experience here... hope that will help some folks.

 

Main missions of the SOC are in bold.

 

 

"watch"

  • External:
  • Technology watch: new softwares, new OS, new languages, new protocol specs
  • Security watch: new attacks, new threats, what to expect, new tools
  • Legal watch: what no to do, how to do things, copyright/trademark cunterfeit issues, PII, jus soli issues, regulations

 

  • Internal:
  • Software & hardware inventories updates and improvements
  • Security instructions: patch deployment requests (could be linked to RFC)
  • Security trainings delivery, education.

 

 

Incident Response:

  • Detection: from stats, internal data capture (honeypot, netw trace, etc) , and directly from security administrators reports. Correlation
  • Cases handling; investigation instruction supply (on the behalf of the internal control/police dept), analysis/forensics
  • Confidentiality loop enforcement
  • Court of law procedure / pure internal procedure specific due care (choice to be made)
  • Feedbacks to management, business

 

 

Security crisis:

  • Alert VIP/management when an incident is either production critical, or concerns several internal entities (transverse)
  • Secucity crisis management (operations, roles/missions dispatch, coordination, reportings)

 

 

Reportings:

  • AV/proxies/NIPS detections stats
  • Sec fixes deployment stats
  • Global current trend of ongoing security incidents
  • Major security incidents status/sum-up
  • Users accounts activity report (passwords activity, provisionning sum-up)
  • Inventories correlation/cross: IP (network), AD, park management, IAM, etc.

 

 

Operational security support to projects

  • Assistance: help in understanding the current security policy, help in finding relevant solutions that are compliant with sec policy, help with risk assessment
  • Make sure remaining risks are associated to relevant management.
  • Supply of security best practices docs: procedures, admin guides, etc.

 

Security policy exemption management:

  • Analyse the need and risk for a claimant not to be compliant with internal security policy
  • Raise the case, then, to management, to have them make a decision
  • Ask management about situations that are not covered by current internal security policy

 

Identity management support

  • Check accounts are properly disabled then deleted
  • Check traceability capability, according to needs and policy compliancy
  • Monitor the deprovisioning of high privileges

Partager cet article

Repost0
16 mai 2013 4 16 /05 /mai /2013 01:25

J'aurais cru, moi le premier, que les infolettres venant de gens comme PayPal seraient plutôt sérieuses...

En tout cas, au moins liées à leur activité de services bancaires en ligne...

Hé bien, voici la preuve que tout peut arriver : Paypal fait de la pub pour des sites de rencontres en ligne (ici Meetic...) !

Capture_MSG_Gmail_160513.PNG

 

Certains vont répondre tout de suite que l'émetteur Paypal a ici été usurpé... hé bien à priori non :

 

 Received: by 10.194.153.72 with SMTP id ve8csp2769wjb; Wed, 15 May 2013 01:53:17 -0700 (PDT) X-Received: by 10.220.52.201 with SMTP id j9mr24052064vcg.33.1368607997274; Wed, 15 May 2013 01:53:17 -0700 (PDT) Return-Path: <RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com> Received: from outbound.emea.e.paypal.com (outbound.emea.e.paypal.com. [96.47.30.227]) by mx.google.com with ESMTP id os3si951902vcb.69.2013.05.15.01.53.16 for <XXXXX@gmail.com>; Wed, 15 May 2013 01:53:17 -0700 (PDT) Received-SPF: pass (google.com: domain of RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com designates 96.47.30.227 as permitted sender) client-ip=96.47.30.227; Authentication-Results: mx.google.com; spf=pass (google.com: domain of RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com designates 96.47.30.227 as permitted sender) smtp.mail=RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com; dkim=pass header.i=@e.paypal.fr; dmarc=pass (p=REJECT dis=none) d=paypal.fr Return-Path: <RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com> DKIM-Signature: v=1; a=rsa-sha1; d=e.paypal.fr; s=ED-DKIM-V3; c=simple/simple; q=dns/txt; i=@e.paypal.fr; t=1368607995; h=From; bh=lT6qneSqHLFrPLClv6MyVug2Iug=; b=FP21dpxcNnVVOM4p7KfRR4DMaGMGlxQ8Hv+zjXB2s46GH4EeAyWtgBM0mp9RKaRE BBA5Vpl07bVG4fEEl3WGyYS2Lh0yJ+2E/kfSi4TyJGhGtWLRv2Ni+XZaTdOsSc0H /joiX+e1/V1Hah3uFhZNxmX48bAxs/qIufcffNF/y2U=; Received: from [127.0.0.1] ([127.0.0.1:44281]) by bm1-08.bo3.e-dialog.com (envelope-from <RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com>) (ecelerity 2.2.2.45 r(34222M)) with ECSTREAM id E9/EC-28505-BFC43915; Wed, 15 May 2013 04:53:15 -0400 Date: Wed, 15 May 2013 04:53:15 -0400 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: quoted-printable MIME-Version: 1.0 From: "PayPal" <paypal@e.paypal.fr> Reply-To: "PayPal" <noreply@e.paypal.fr> To: XXXXXXX@gmail.com Subject: =?UTF-8?B?RMOpY291dnJleiBNZWV0aWMgc3VyIHZvdHJlIG1vYmlsZQ==?= Message-Id: <17595-81-RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@e-dialog.com> X-Mail-From: RPUMVFW-2O8T06-SUH4E9-BNCID5-SPN59L-H-M2-20130515-8f06e8b6227465@emea.e.paypal.com 
 

Partager cet article

Repost0
6 mai 2013 1 06 /05 /mai /2013 01:12

A ceux qui se poseraient des questions sur pourquoi voit-on Google Chrome apparaître comme un champignon sur les machines...

Et à ceux qui croient qu'installer un antivirus avec toutes les options par défaut est forcément le meilleur choix...

 

Voici AVAST, installant (de force...?) Google Chrome, sur les machines, lors de l'installation de la protection antivirus...

Quel est le rapport entre l'antivirus et l'installation d'un autre navigateur ? pas compris. Cet antivirus, peut importe lequel, a lui-même ses propres failles de sécurité, donc des correctifs à installer dans le temps. 

Quel est le rapport entre la barre d'outils Google dans Internet Explorer, et la sécurité antivirus ? je ne sais pas trop.

Quel est le gain sécurité en changeant de force le navigateur par défaut, pour activer Google Chrome à la place ? je ne sais pas non plus.

 

install_avast_chrome.PNG

 

Moralité :

- si vous pensiez installer AVAST sur un parc de PME par exemple, attention (au-delà des éventuels problèmes de licence) : AVAST changera de façon forte la configuration de la machine. IE aura une nouvelle barre d'outil (Google), et le navigateur par défaut sera changé en Chrome. Cela peut avoir des impacts applicatifs non négligeables.

- antivirus gratuit n'est pas toujours si gratuit que cela : AVAST était historiquement dans le "Google pack", et je pense que le partenariat court toujours, sinon pourquoi (aussi) installer la barre d'outil Google dans Internet Explorer ?

NB : Security Essentials peut être installé sur un parc de 10 machines max en PME, en plus de l'utilisation grand public. Et il ne change rien au reste de la configuration système...

Partager cet article

Repost0