Intrusion physique et sensibilisation.

Je suis tombé sur cette vidéo d'Action Discrète, le groupe de journaliste de CANAL+.
http://www.canalplus.fr/c-divertissement/pid1780-action-discrete.html?vid=397186

Il est assez stupéfiant de voir avec quelle facilité ces personnes entrent dans les locaux des grands journaux et se baladent dans les bureaux sans être inquiétés.

Il est encore plus impressionnant de voir qu'ils arrivent à s'installer sur des postes à la place des utilisateurs, à brancher des clés USB et à copier des données sans que personne n'oppose une réelle résistance.

Enfin, ces personnes repartent comme elles sont venues, aucun agent de sécurité pour les arrêter ou les questionner sur leur venue.

Bref, une belle démonstration sur l'importance de la sensibilisation des utilisateurs aux intrusions physiques quelles que soient leurs formes (plombier ou père noël :) ).

Sécurisation du mobile.

Voici une petite application sympa permettant de protéger votre mobile.

On va être clair tout de suite : l'iPhone n'est pas supporté. Mais bon il y a sûrement une application pour ça. :) OS supportés : Symbian, Windows Mobile et Android.

Je tiens cette petite news du site PenTestIT (site). L'application en question est développée par F-Secure, elle s'appelle Anti Theft for Mobile et c'est gratuit ! :)

Petite vidéo explicative de l'application : http://www.youtube.com/watch?v=8DntSjpgRPo

J'ai pu l'installer sur un Nokia. Installation simple et rapide. On a juste besoin d'une connexion DATA pour activer l'appli, de définir un code de sécurité et un numéro de téléphone de confiance pour l'envoi de SMS.

Donc une application à tester à moindre coût pour ceux qui souhaitent aller plus loin que le code de sécurité intégré au mobile.

Les liens:
- La page de l'appli - lien
- La datasheet (PDF) - lien

Mon blog est malveillant !

Et voilà ce qui arrive lorsqu'on ne blogge pas depuis longtemps... Mais bon c'est à l'insu de mon plein gré, bien évidement.

Bref je me connecte comme d'habitude à mon blog pour voir un peu les news dans ma blog liste (et puis en plus je me génère un trafic énorme ! hé hé) :)

Et là une belle petite page apparaît :

Mon site distribuant des malwares... on aura tout vu...

Le problème vient en fait de ma Blog List. Ce petit Gadget va chercher les derniers billets écrits et dans cette liste il y en a un qui s'est fait attaquer.

En cliquant sur "Pourquoi je suis bloqué" on apprend qui est le site en cause :


En faisant quelques recherches sur Google on arrive à avoir plus d'infos : http://www.google.fr/search?hl=fr&q=site:maxdig.net&start=10&sa=N

Il semblerait que le portfolio soit à l'origine du problème.


Et que l'accès à l'administration du site soit condamné :


A ce moment même le blog en question a été supprimé de ma blog list.

En tout cas, ce gaget "Blog list" est un formidable support pour propagation de malware. Très bonne initiative du site http://www.stopbadware.org/ avec la coopération de ces partenaires : Google, Paypal et Mozilla (Microsoft ? non... pas encore :).

Très bon point pour Google qui propose un solution pour retirer ce blocage. Par contre je m'interroge sur le fait que une de leur IP est dans le top 3 des adresses IP bloquées. Un faux-positif ?


Contrairement à Google, Bing n'affiche aucune alerte ni aucun avertissement vers le site en question.



Par contre en utilisant IE8, un nouveau message apparait nous proposant d'installer un antivirus.


Il faut annuler cette action pour enfin avoir un avertissement de IE8 :

Donc très mauvais point pour le couple IE8 + Bing.


Au final une action conjointe entre tous les acteurs du Web serait le bienvenu :
- Moteur de recherche : énorme visibilité sur le trafic mondial
- Navigateur Web : première protection utilisateur "simple" évitant la navigation sur des sites frauduleux/malicieux
- Équipementier de filtrage (proxy) : Mise à jour dynamique des listes noires sur le même schéma que les RBL (lien). Protection avancée de l'utilisateur et du SI de l'entreprise.

Un nouveau thème pour le Could Cloud Computing ? :)

Gestion des messages d'erreur.

Après les classiques pages 403 ou 404 que tout le monde à déjà vu:

Not Found

The requested URL /JeNeSaisPasQuoi/ was not found on this server.

---

Apache/2.2.3 (Debian) PHP/4.4.4-8+etch4 Server at www.mon-site.fr Port 80

Je viens de trouver encore mieux au niveau de MySQL: l'affichage de la requête réalisée:

Pratique pour le débogage mais un peu trop bavard pour un environnement de production.

Chapitre à ajouter lors de la recette de l'environnement: Vérifier les messages d'erreur.

D'ailleurs, je crois que le Testing Guide de l'OWASP en parle très bien ici et ici...

Tool: Web fingerprinting.

Vu sur le blog de PenTestIT, un petit outil sur Windows pour fingerprint de serveurs Web: AppPrint. Pour la détermination de la bannière du serveur, il utilise les mêmes méthodes que Httprint, avec son classique "GET /antidisestablishmentarianism HTTP/1.0".

Le petit truc en plus du soft c'est sa capacité à tester les technos J2EE et Ajax:


Bien évidement, comme tout ce qui est automatisation, cet outil ne remplace pas une vrai vérification "à la mano". Cela dégrossi juste un peu le travail.
C'est téléchargeable ici.

Les WTF du jour.

Hier, petit du d'œil dans mes flux RSS: CheckPoint 2010 téléchargeable gratuitement la journée du 10/11 (lien: Silicon). Génial.

Ce matin donc RDV sur cette fameuse page. M'attendant à End-Point (lien) avec VPN, chiffrement de disque, etc... et bien il s'agit en fait de ZoneAlarm Pro (lien), le pare-feux personnel. Mauvaise lecture de l'article de ma part (sûrement à cause de l'excitation), mais bon why not.


Je regarde un peu ce qu'il fait de bien et là je vois une fonctionnalité qui attire mon œil (juste un): Protection contre le vol d'identité. Le descriptif me laisse perplexe:

Cliquons sur ces deux petits chevrons pour avoir plus d'infos:
Tout s'explique ! Cela vérifie vos comptes bancaires mais bon seulement au États-Unis. (WTF n°1)

Bon après tout, téléchargeons ce pare-feux pour voir ce qu'il donne. Et là stupeur pour ce téléchargement gratuit, Checkpoint nous demande des informations bancaires (WTF n°2):
La phrase "Ne vous inquiétez pas ! Il s'agit vraiment d'un cadeau gratuit !" fait penser aux tentatives de phishing rassurant Madame Michu pour qu'elle entre bien sa carte bancaire.

Au final ça m'a fait tellement peur que je ne l'ai pas téléchargé. Ce sera peut être pour une prochaine fois. :)

Etudes sur les mots de passe.

Voici deux analyses intéressantes concernant des listes de mots de passe qui ce sont retrouvé dans la nature. L'une est la récente concernant Hotmail, l'autre est sur MySpace en 2007.

- Statistics from 10,000 leaked Hotmail passwords: lien
- A brief analysis of 40,000 leaked MySpace passwords: lien

En avant pour l'affinage des dictionnaires... :)

Mots de passe dans la nature.

Voici la petite info "sympa" du jour: 10 000 mots de passe de Hotmail ce sont retrouvés dans la nature.

Et bien un petit changement de mot de passe s'impose. A vos générateurs ! :)

Les liens:
Article sur ZDnet
Article sur Neowin
Article de la BBC
Communiqué de Microsoft

Moi aussi je la veux !

Afin d'assurer une partie du financement de ses initiatives en faveur du logiciel libre, la Linux Fondation a eu une idée surprenante : proposer une carte bancaire estampillée de la mascotte Linux.
Source: ZDnet


L'accessoire ultime pour un Geek éprouvant des envies d'achats ! Je veux cette Tux Platinum ! lol

Voici pour vous informer:
Linux Foundation
CardPartner

La soustraction selon la SCNF.

Lorsque vous annulez des billets, la SNCF vous recrédite le montant sur votre compte moins un petit quelque chose (le coût de "tu n'avais qu'à pas te tromper"). Cela dit, je pense que pendant les périodes de grève, un stage de rattrapage sur les opérations mathématiques ne serait pas du luxe...

Merci la SNCF.

Google Patch Management.

En ce moment, je suis en pleine procédure "Patch Management" et je suis allé faire un tour sur le site de Shavlik voir ce qu'il y avait de beau ... Et là je suis tombé sur ça : Le Shavlik Patch Google® Gadget. Une appli Google pour scanner et déployer des patchs.

On arrête vraiment pas le progrès. :)

Site Shavlik: lien

Liens Conficker

En ce jour soi-disant apocalyptique (en fait pas tant que ça selon F-Secure), voici un site qui regroupe les principales publications techniques sur Conficker.

Dans ces liens je rajoute celui du The Honey Project - Know Your Enemy : Containing Conficker paru le 30 mars.

Et petite news : la version 4.85 Beta 5 de nmap permet la détection des machines infectées par Conficker. lien

Objectif du jour : Terminer la lecture des publications avant la fin du scan. Et attention, on ne scanne pas une plage IP de classe A ! :)

"Super Green !!!"

Je viens de prendre connaissance d'un produit Open-Source sympathique : GreenSQL. Ce n'est pas un soft pour rendre les requêtes SQL moins consommatrices de CO² et bénéficier d'un bonus gouvernementale, mais c'est un proxy MySQL pour filtrer les requêtes et se protéger des injections. Je vous invite un faire un petit tour dans la partie demo pour voir de quoi il retourne. Plusieurs paramétrages au niveau de la protection sont possibles : mode apprentissage, bloquant, non bloquant, etc.

Concernant l'intégration, les équipes de GreenSQL suggèrent une installation du proxy sur le serveur SQL. Pour une infrastructure existante, comme le proxy n'est pas transparent, déporter le soft va nécessiter un nouveau plan d'adressage IP.

Dans le cas où une haute dispo existe déjà sur le serveur MySQL, installer le soft sur la même machine que le serveur MySQL, éviterait de réinstaller la HA sur le proxy.

A vous de peser avantages / inconvénients des types d'installation.

Je vais laisser aux doigts experts et avisés le soin de tester un petit peu "d'évasion" sur le produit ;)

C'est donc une solution paliative aux appliances non Open-Source telles qu'Imperva. Peut-être un projet à soumettre à votre Direction en temps de crise ... :)

Les liens :
Source : SecuObs
Le produit : GreenSQL

On ne peut même plus jouer tranquille.

Je viens de tomber sur un article sur silicon.fr: Le réseau Xbox Live utilisé pour des attaques DoS et Javascript ?

Vous êtes tanquillement en train de jouer (en fait en train de tuer des autres joueurs... lol) et paf on vient pirater votre Xbox... Ça n'a peut être aucun lien, mais est-ce c'est parce que la Xbox est estampillée Microsoft que des gens malveillants s'attaquent à elle ?

Si ça se trouve, d'ici peu, dans les WebCast sécurité de Microsoft qui ont lieu chaque mois pour les bulletins de sécurité, il y aura un chapitre Xbox. Et puis la création d'un outil 'X'MSRT ! Who knows... :)

Note pour plus tard: Ajouter l'équipement "Xbox" dans mon périmètre de veille et mettre a jour ma procédure de Patch Management. :)

D'où viens tu, que fais tu ?

Ils auraient délocalisé leurs bureaux et font ISP ??? La crise a vraiment touché tout le monde ! :o)

Quoooi ? On a plus le droit de rigoler le mardi ? lol

En voilà un beau cadeau pour la Saint Valentin !

Bon hormis la probable recrudescence de spam sur ce thème, j'ai une pensée pour ceux qui n'auraient pas d'idée de cadeaux pour la 14 février prochain... (quoi vous aviez oublié ??? :) ). Pour ce cadeau, seul un CD-R et un graveur suffit : il s'agit de la Debian 5.0. Et ça c'est du cadeau qui est utile et qui fait plaisir ! lol

Bon allez trêve de galégades. C'est donc le week-end du 14 février que Debian compte sortir sa nouvelle version baptisée Lenny qui devrait contenir plus de 28 100 paquets.

Mon dieu aurai-je assez de mes deux bras pour offrir tous ces paquets... ? :)

Source: silicon.fr
Debian Release Update: lien

Qui a mordu à l'hameçon ?

Le Departement of Justice americain (DoJ) a voulu tester le "niveau de sécurité" de ces employés en leur envoyant un mail concernant leur retraite qui les invitait à cliquer sur un lien. Cette petite expérience a été plus loin que prévue... L'article sur 01net.

Il aurait quand même été judicieux de prévenir l'organisme usurpé.

Méfier-vous de votre Neufbox...

Un article est paru sur 01net concernant un petit problème d'indiscrétion avec le Media Center de la Neufbox de SFR. "Apparemment" il serait possible de jeter un coup d'oeil aux fichiers d'un voisin Neufbox... Pas plus de détails pour le moment... :( Personne a une Neufbox sous le coude ???

Article : 01net

And the winner is ...

Comme tous les mois, à l'approche de la publication Microsoft, la "sécurosphère" est en ébullition. Que va-t-il falloir patcher ce mois-ci ? Au total 8 bulletins dont 6 critiques. La liste ici. On va dire que c'est un menu "habituel" (certes certaines habitudes devraient se perdre... :) ).

Mais ce mois-ci... Surprise du chef : une faille 0-day sur IE7. Et comme c'est du 0-day, les patchs sortis aujourd'hui, notamment le MS08-073, ne corrigent pas la faille. Et pour accompagner cela des PoC (Proof of Concept) ont été lachées dans la nature.

Que fait cette petite bête ? Elle exploite une mauvaise gestion du XML pour injecter du code malicieu dans la mémoire.

Le SANS Institute nous en dit un plus en nous conseillant un navigateur alternatif et Secunia nous conseille de ne cliquer que sur des liens "Trusted".

Et si vous testiez Firefox ? :)

D'autres sources :
eEye Digital Security - Research - lien
Blog - ZDNet - lien
McAfee Avert Labs Blog - lien


Update du 11/12 : Un décorticage de la faille a été réalisé par le CERT-LEXSI. Leur blog.

Sécurité par obfuscation.

Toujours en mission loin de ma contrée, je réside encore à l'hôtel. Et les soirées sont longues et froides en cette saison... Ce joli petit hôtel possède du WiFi... Non sécurisé, certes mais qui nécessite un login/mdp pour naviguer sur le Web. Regardons ça de plus près...

Déjà on m'annonce au début du séjour que le mdp de connexion change tous les jours. Et on me donne un papier avec marqué dessus : client / Edf45sEr. Voici donc le login/mdp. Brute-force ? Non c'est moyen bof bof. Cherchons moins long.

Alors connectons-nous à ce Wifi. Tentative de connexion à mon ami Google... Un bel écran de connexion apparaît :

Et dans l'url, une floppée de paramètres :
https://192.168.2.1/cgi-bin/hotspotlogin.cgi?res=notyet&uamip=192.168.2.1&uamport=3990&challenge=3c1d263bd4ac9a9dcaaf25e62d416650&userurl=&nasid=etap&mac=00-AA-DE-8B-78-A4

On y voit adresse MAC, un port et d'autres infos. Bon et qu'est qui se cache à la racine du site ?
Aahhh zut, je n'arrive pas à me connecter au localhost ... :) Et bien remplaçons-le pas l'adresse IP ... ;)


Et ben tiens, sur quoi je tombe ... La console d'administration des utilisateurs. Avec le couple login/mdp pour le compte "client".


Et si on regardait la liste des autres utilisateurs... Ah ben y'a un compte admin ... Bravo le veau ! :)


Donc le login et mdp de connexion peuvent être trouvé dès que l'on est connecté au réseau WiFi. Pas glop :( lol

Conclusion :
La sécurité par obfuscation à ces limites et c'est très très limite comme stratégie de sécurité... Vous cachez encore vos clefs sous le pot de fleur de l'entrée vous ? Et ben là c'est pareil...

En grattant un peu plus, on s'aperçoit que c'est un apache qui fait tourner le service... il aurait été très judicieux de séparer la partie authentification client de la partie administration et d'en restreindre l'accès avec un paramètre du genre "Allow from localhost". En espérant qu'un écran soit branché ... :)

Un analyseur de trames avec des super-pouvoirs !

Dans une infrastructure il est souvent nécessaire d'utiliser une sonde pour analyser le trafic circulant sur le réseau. En général c'est un bon serveur avec de gros disques et un tcpdump, un Wireshark ou autre. Un coup de ntop là dessus et on en parle plus.
Mais voici une nouvelle bête. Son nom ? NetWitness Investigator Software v8.6.4.9. Quelques données ? Alors au programme :

• Capture Ethernet ou Wireless
• 25 instances en simultanées de 1 GB chacune
  
• Analyse possible jusqu'au niveau 7 du modèle OSI
• Support IPv6
• Import / Export au format pcap
• Déchiffrage SSL avec le certificat
• Résumés et tableaux interactifs
• Hash des fichiers PCAP pour l'export
• Des tutoriaux sur YouTube :)
  
• ...

Voilà un peu la bête. Bon il y a quelques inconvénients quand même, ça ne serait pas drôle sinon :

• Version gratuite que sous Windows (Linux en version commerciale)
  
• Il faut une configuration assez musclée (Dual-core 2GHz, 2GHz de RAM)
• IE 6.x ou 7.x

Je vous laisse vous faire votre propre idée sur Soft... :)

Les liens :
Source : SecuObs
NetWitness : le site
NetWitness Investigator Software : download
Tutoriaux : YouTube
Un blog en parle : TaoSecurity

Baby, one more time ... !

Et hop après le 067, je demande le 068 ! Je suis mauvaise langue, il devait forcément arriver, mais pas aussi tôt dans la saison !

Je parle bien évidement d'une nouvelle faille Microsoft, la ms08-068. D'après ce que j'ai pu lire, je dirais que celle vulnérabilité est moins critique que sa petite sœur. Néanmoins un code d'exploitation est déjà disponible.

Pour en savoir plus, je vous conseille le très bon article de HD Moore sur le blog de Metasploit expliquant le pourquoi du comment de cette faille et quels sont les "critères" de réussites ou de soulagement (ça dépend du point de vue).

Bon ben comme d'hab, Patchez dès que vous pouvez ... :)

Les liens:
Article HD Moore - ici
SecurityFocus - ici
Blog Microsoft - ici

Détendons-nous avant le WE !

Allez, un petit jeu de mots de geek pour bien terminer la semaine (Merci Jérôme).

What did C:/DARTHVADER said to C:/DARTHVADER/LUKESKYWALKER ?

I'm your folder !

En tout cas mieux vaut tar que gz ...

Si avec ça je ne passe pas un bon we ... :)

La bataille fait rage !

Bon vu les précédents posts, j'avais connaissance du blog sécurité d'Orange mais c'est en faisant une recherche basique que je suis tombé sur le blog sécurité de NeufBox - SFR.

Au vu des archives, celui de SFR est plus jeune de 3 mois. Orange voulait-il lui aussi avoir la mainmise sur la sécurité ... ?

Allez, choisissez votre couleur : rouge ou oran... (aahh non pas de marque ! lol). Et puis bonne lecture :)

lien : Blog NeufBox, Blog Orange

Le rootkit qui fait beaucoup peur.

Rustock.C. Ce nom ne vous dit peut être rien et pourtant il vaudrait mieux ! lol. A la conférence de sécurité Hack.lu, Frank Boldewin a fait une présentation sur ce rootkit qui donne beaucoup de fils à retordre aux analystes. Pour la protection de ce malware nous avons au programme :

• Anti-debugging
• de l'ofuscation de code
• des moteurs polymorphiques et métamorphique (Morpheus, c'est toi ? :op )
• et du nettoyage de mémoire.

Tout ça pour que ce petit rootkit ne livre pas tous ses secrets. Mon dieu que ça fait peur. Je ne vais pas fermer l'œil de la nuit !

Sources : SecuObs.com
Présentation de Frank Boldewin : reconstructer.org (PDF)

Un ver dans la pomme ? Non, dans la fenêtre !

Et c'est parti pour la "ver party" ! Selon vnunet, la vulnérabilité ms08-067 publiée récemment, serait exploitée par un ver.

Voici son nom par éditeur :
- Symantec : W32.Wecorl, W32.Wecorl!inf, W32.Kernelbot.A
- F-Secure : Exploit.Win32.MS08-067.g, Rootkit.Win32.KernelBot.dg, Trojan-Dropper.Win32.Agent.yhi
- Kaspersky : Exploit.Win32.MS08-067.g
- Microsoft : Exploit:Win32/MS08067.gen!A
- Sophos : Mal/Generic-A
- McAfee : KerBot!37E73FFB

Si ce n'est pas encore fait, PATCHEZ !!!

Sources : vnunet.fr, vnunet.com

Quand Orange veut nous aider ... (suite)

Premier épisode: http://localh0st.blogspot.com/2008/10/quand-orange-veut-nous-aidez.html

Suite à ce billet j'avais contacté une personne de chez Orange et voici la cause et la solution:
http://www.blogs.orange-business.com/securite/2008/10/compromission-d.html#comments

Petit hic, on trouve bien la case "Se souvenir de moi", par contre on ne trouve pas la case "Oublie-moi !" Il y a peut être une idée à creuser là dessous... :)

Armez vos patchs, Visez, Appliquez !!!

C'est le branle-bas de combat chez Microsoft. A tel point que qu'ils publient un patch hors du cycle normal et qui porte le doux nom de "MS08-067". La faille permettrait l'exécution de code à distance avec les droits SYSTEM, par l'envoi de requêtes RPC sur les ports 135 et 445.

La découverte de cette faille, vient de l'analyse de code malveillant circulant depuis deux semaines et elle pourrait être exploitée par l'intermédiaire d'un ver.

Ah oui, j'allais oublier, les 0.S. impactés sont:

• Windows 2000 SP4
• Windows 2003 SP1 et SP2
  
• Windows XP SP2 et SP3

En bref, la majorité des O.S. utilisés,. Si c'est pas une bonne nouvelle ça...

Un plan d'action ? Et bien en parallèle, fermeture des ports concernés (135 et 445) s'ils ne sont pas utilisés, principalement sur les équipements frontaux, et déclenchement de la procédure de déploiment de correctifs en situation critique.

Qui a dit "Super, c'est bientôt le week-end !" ???

Petits conseils personnels: Débranchez tous les câbles réseaux et allez brûler un cierge... lol


Lien Microsoft: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Les chercheurs de failles...

Voici des petites recherches "explicites" qui ont mené à mon site... :

Comme si des personnes cherchaient à exploiter des failles sur des sites précis ... Peut-être se reconnaîtront-ils... Mmmmmhhhhhh et si ça se trouve, j'ai même leurs adresses IP ... :)

Quand Orange veut nous aider ...

Je suis actuellement en déplacement pour une mission et j'ai dû prendre un hôtel pour des raisons plus "pratiques" dirons-nous. Comme la plupart des hôtels, celui-ci propose le WiFi gratuit avec un superlogin et un superpass à enter via une interface Web. Bref. Après des heures et des heures de navigation, il me vient l'idée d'aller voir l'état de mon forfait mobile sur le site de Orange. Et là surprise...
Je suis connecté sous le compte de l'hôtel. C'est pas top ça, car on a accès aux factures, au mails, etc. Des informations supposées "personnelles".

Y'a plus qu'a prévenir Mister Orange et voir ce qu'il est possible de faire...

Donc si vous avez une LiveBox, méfiez-vous de l'auto-identification au site Orange !!!

Il faudrait peut-être que je leur en parle ... http://blogs.orange-business.com/securite/ :)