Blog - Sécurité informatique, entre autres ...

Intrusion physique et sensibilisation.

2010-11-23T09:53:00.004+01:00

Je suis tombé sur cette vidéo d'Action Discrète, le groupe de journaliste de CANAL+.
http://www.canalplus.fr/c-divertissement/pid1780-action-discrete.html?vid=397186

Il est assez stupéfiant de voir avec quelle facilité ces personnes entrent dans les locaux des grands journaux et se baladent dans les bureaux sans être inquiétés.

Il est encore plus impressionnant de voir qu'ils arrivent à s'installer sur des postes à la place des utilisateurs, à brancher des clés USB et à copier des données sans que personne n'oppose une réelle résistance.

Enfin, ces personnes repartent comme elles sont venues, aucun agent de sécurité pour les arrêter ou les questionner sur leur venue.

Bref, une belle démonstration sur l'importance de la sensibilisation des utilisateurs aux intrusions physiques quelles que soient leurs formes (plombier ou père noël :) ).

Sécurisation du mobile.

2010-07-23T09:18:00.003+02:00

Voici une petite application sympa permettant de protéger votre mobile.

On va être clair tout de suite : l'iPhone n'est pas supporté. Mais bon il y a sûrement une application pour ça. :) OS supportés : Symbian, Windows Mobile et Android.

Je tiens cette petite news du site PenTestIT (site). L'application en question est développée par F-Secure, elle s'appelle Anti Theft for Mobile et c'est gratuit ! :)

Petite vidéo explicative de l'application : http://www.youtube.com/watch?v=8DntSjpgRPo

J'ai pu l'installer sur un Nokia. Installation simple et rapide. On a juste besoin d'une connexion DATA pour activer l'appli, de définir un code de sécurité et un numéro de téléphone de confiance pour l'envoi de SMS.

Donc une application à tester à moindre coût pour ceux qui souhaitent aller plus loin que le code de sécurité intégré au mobile.

Les liens:
- La page de l'appli - lien
- La datasheet (PDF) - lien

Mon blog est malveillant !

2010-03-29T14:13:00.015+02:00

Et voilà ce qui arrive lorsqu'on ne blogge pas depuis longtemps... Mais bon c'est à l'insu de mon plein gré, bien évidement.

Bref je me connecte comme d'habitude à mon blog pour voir un peu les news dans ma blog liste (et puis en plus je me génère un trafic énorme ! hé hé) :)

Et là une belle petite page apparaît :

Mon site distribuant des malwares... on aura tout vu...

Le problème vient en fait de ma Blog List. Ce petit Gadget va chercher les derniers billets écrits et dans cette liste il y en a un qui s'est fait attaquer.

En cliquant sur "Pourquoi je suis bloqué" on apprend qui est le site en cause :

En faisant quelques recherches sur Google on arrive à avoir plus d'infos : http://www.google.fr/search?hl=fr&q=site:maxdig.net&start=10&sa=N

Il semblerait que le portfolio soit à l'origine du problème.

Et que l'accès à l'administration du site soit condamné :

A ce moment même le blog en question a été supprimé de ma blog list.

En tout cas, ce gaget "Blog list" est un formidable support pour propagation de malware. Très bonne initiative du site http://www.stopbadware.org/ avec la coopération de ces partenaires : Google, Paypal et Mozilla (Microsoft ? non... pas encore :).

Très bon point pour Google qui propose un solution pour retirer ce blocage. Par contre je m'interroge sur le fait que une de leur IP est dans le top 3 des adresses IP bloquées. Un faux-positif ?

Contrairement à Google, Bing n'affiche aucune alerte ni aucun avertissement vers le site en question.

Par contre en utilisant IE8, un nouveau message apparait nous proposant d'installer un antivirus.

Il faut annuler cette action pour enfin avoir un avertissement de IE8 :

Donc très mauvais point pour le couple IE8 + Bing.

Au final une action conjointe entre tous les acteurs du Web serait le bienvenu :
- Moteur de recherche : énorme visibilité sur le trafic mondial
- Navigateur Web : première protection utilisateur "simple" évitant la navigation sur des sites frauduleux/malicieux
- Équipementier de filtrage (proxy) : Mise à jour dynamique des listes noires sur le même schéma que les RBL (lien). Protection avancée de l'utilisateur et du SI de l'entreprise.

Un nouveau thème pour le ~~Could~~ Cloud Computing ? :)

Gestion des messages d'erreur.

2009-11-20T12:38:00.004+01:00

Après les classiques pages 403 ou 404 que tout le monde à déjà vu:

Not Found

The requested URL /JeNeSaisPasQuoi/ was not found on this server.

Apache/2.2.3 (Debian) PHP/4.4.4-8+etch4 Server at www.mon-site.fr Port 80

Je viens de trouver encore mieux au niveau de MySQL: l'affichage de la requête réalisée:

Pratique pour le débogage mais un peu trop bavard pour un environnement de production.

Chapitre à ajouter lors de la recette de l'environnement: Vérifier les messages d'erreur.

D'ailleurs, je crois que le Testing Guide de l'OWASP en parle très bien ici et ici...

Tool: Web fingerprinting.

2009-11-19T09:30:00.007+01:00

Vu sur le blog de PenTestIT, un petit outil sur Windows pour fingerprint de serveurs Web: AppPrint. Pour la détermination de la bannière du serveur, il utilise les mêmes méthodes que Httprin t, avec son classique "GET /antidisestablishmentarianism HTTP/1.0".

Le petit truc en plus du soft c'est sa capacité à tester les technos J2EE et Ajax:

Bien évidement, comme tout ce qui est automatisation, cet outil ne remplace pas une vrai vérification "à la mano". Cela dégrossi juste un peu le travail.
C'est téléchargeable ici.

Les WTF du jour.

2009-11-10T09:16:00.010+01:00

Hier, petit du d'œil dans mes flux RSS: CheckPoint 2010 téléchargeable gratuitement la journée du 10/11 (lien: Silicon). Génial.

Ce matin donc RDV sur cette fameuse page. M'attendant à End-Point (lien) avec VPN, chiffrement de disque, etc... et bien il s'agit en fait de ZoneAlarm Pro (lien), le pare-feux personnel. Mauvaise lecture de l'article de ma part (sûrement à cause de l'excitation), mais bon why not.

Je regarde un peu ce qu'il fait de bien et là je vois une fonctionnalité qui attire mon œil (juste un): Protection contre le vol d'identité. Le descriptif me laisse perplexe:

Cliquons sur ces deux petits chevrons pour avoir plus d'infos:
Tout s'explique ! Cela vérifie vos comptes bancaires mais bon seulement au États-Unis. (WTF n°1)

Bon après tout, téléchargeons ce pare-feux pour voir ce qu'il donne. Et là stupeur pour ce téléchargement gratuit, Checkpoint nous demande des informations bancaires (WTF n°2):
La phrase "Ne vous inquiétez pas ! Il s'agit vraiment d'un cadeau gratuit !" fait penser aux tentatives de phishing rassurant Madame Michu pour qu'elle entre bien sa carte bancaire.

Au final ça m'a fait tellement peur que je ne l'ai pas téléchargé. Ce sera peut être pour une prochaine fois. :)

Etudes sur les mots de passe.

2009-10-07T22:23:00.005+02:00

Voici deux analyses intéressantes concernant des listes de mots de passe qui ce sont retrouvé dans la nature. L'une est la récente concernant Hotmail, l'autre est sur MySpace en 2007.

- Statistics from 10,000 leaked Hotmail passwords: lien
- A brief analysis of 40,000 leaked MySpace passwords: lien

En avant pour l'affinage des dictionnaires... :)

Mots de passe dans la nature.

2009-10-06T10:36:00.002+02:00

Voici la petite info "sympa" du jour: 10 000 mots de passe de Hotmail ce sont retrouvés dans la nature.

Et bien un petit changement de mot de passe s'impose. A vos générateurs ! :)

Les liens:
Article sur ZDnet
Article sur Neowin
Article de la BBC
Communiqué de Microsoft

Moi aussi je la veux !

2009-07-29T14:07:00.004+02:00

Afin d'assurer une partie du financement de ses initiatives en faveur du logiciel libre, la Linux Fondation a eu une idée surprenante : proposer une carte bancaire estampillée de la mascotte Linux.
Source: ZDnet

L'accessoire ultime pour un Geek éprouvant des envies d'achats ! Je veux cette Tux Platinum ! lol

Voici pour vous informer:
Linux Foundation
CardPartner

La soustraction selon la SCNF.

2009-06-29T08:58:00.005+02:00

Lorsque vous annulez des billets, la SNCF vous recrédite le montant sur votre compte moins un petit quelque chose (le coût de "tu n'avais qu'à pas te tromper"). Cela dit, je pense que pendant les périodes de grève, un stage de rattrapage sur les opérations mathématiques ne serait pas du luxe...

Merci la SNCF.

Google Patch Management.

2009-04-22T10:27:00.002+02:00

En ce moment, je suis en pleine procédure "Patch Management" et je suis allé faire un tour sur le site de Shavlik voir ce qu'il y avait de beau ... Et là je suis tombé sur ça : Le Shavlik Patch Google® Gadget. Une appli Google pour scanner et déployer des patchs.

On arrête vraiment pas le progrès. :)

Site Shavlik: lien

Liens Conficker

2009-04-01T09:27:00.002+02:00

En ce jour soi-disant apocalyptique (en fait pas tant que ça selon F-Secure), voici un site qui regroupe les principales publications techniques sur Conficker.

Dans ces liens je rajoute celui du The Honey Project - Know Your Enemy : Containing Conficker paru le 30 mars.

Et petite news : la version 4.85 Beta 5 de nmap permet la détection des machines infectées par Conficker. lien

Objectif du jour : Terminer la lecture des publications avant la fin du scan. Et attention, on ne scanne pas une plage IP de classe A ! :)

"Super Green !!!"

2009-03-25T09:22:00.003+01:00

Je viens de prendre connaissance d'un produit Open-Source sympathique : GreenSQL. Ce n'est pas un soft pour rendre les requêtes SQL moins consommatrices de CO² et bénéficier d'un bonus gouvernementale, mais c'est un proxy MySQL pour filtrer les requêtes et se protéger des injections. Je vous invite un faire un petit tour dans la partie demo pour voir de quoi il retourne. Plusieurs paramétrages au niveau de la protection sont possibles : mode apprentissage, bloquant, non bloquant, etc.

Concernant l'intégration, les équipes de GreenSQL suggèrent une installation du proxy sur le serveur SQL. Pour une infrastructure existante, comme le proxy n'est pas transparent, déporter le soft va nécessiter un nouveau plan d'adressage IP.

Dans le cas où une haute dispo existe déjà sur le serveur MySQL, installer le soft sur la même machine que le serveur MySQL, éviterait de réinstaller la HA sur le proxy.

A vous de peser avantages / inconvénients des types d'installation.

Je vais laisser aux doigts experts et avisés le soin de tester un petit peu "d'évasion" sur le produit ;)

C'est donc une solution paliative aux appliances non Open-Source telles qu'Imperva. Peut-être un projet à soumettre à votre Direction en temps de crise ... :)

Les liens :
Source : SecuObs
Le produit : GreenSQL

On ne peut même plus jouer tranquille.

2009-02-24T14:27:00.002+01:00

Je viens de tomber sur un article sur silicon.fr: Le réseau Xbox Live utilisé pour des attaques DoS et Javascript ?

Vous êtes tanquillement en train de jouer (en fait en train de tuer des autres joueurs... lol) et paf on vient pirater votre Xbox... Ça n'a peut être aucun lien, mais est-ce c'est parce que la Xbox est estampillée Microsoft que des gens malveillants s'attaquent à elle ?

Si ça se trouve, d'ici peu, dans les WebCast sécurité de Microsoft qui ont lieu chaque mois pour les bulletins de sécurité, il y aura un chapitre Xbox. Et puis la création d'un outil 'X'MSRT ! Who knows... :)

Note pour plus tard: Ajouter l'équipement "Xbox" dans mon périmètre de veille et mettre a jour ma procédure de Patch Management. :)

D'où viens tu, que fais tu ?

2009-02-03T16:21:00.002+01:00

Ils auraient délocalisé leurs bureaux et font ISP ??? La crise a vraiment touché tout le monde ! :o)

Quoooi ? On a plus le droit de rigoler le mardi ? lol

En voilà un beau cadeau pour la Saint Valentin !

2009-02-03T15:04:00.004+01:00

Bon hormis la probable recrudescence de spam sur ce thème, j'ai une pensée pour ceux qui n'auraient pas d'idée de cadeaux pour la 14 février prochain... (quoi vous aviez oublié ??? :) ). Pour ce cadeau, seul un CD-R et un graveur suffit : il s'agit de la Debian 5.0. Et ça c'est du cadeau qui est utile et qui fait plaisir ! lol

Bon allez trêve de galégades. C'est donc le week-end du 14 février que Debian compte sortir sa nouvelle version baptisée Lenny qui devrait contenir plus de 28 100 paquets.

Mon dieu aurai-je assez de mes deux bras pour offrir tous ces paquets... ? :)

Source: silicon.fr
Debian Release Update: lien

Qui a mordu à l'hameçon ?

2009-02-03T11:12:00.003+01:00

Le Departement of Justice americain (DoJ) a voulu tester le "niveau de sécurité" de ces employés en leur envoyant un mail concernant leur retraite qui les invitait à cliquer sur un lien. Cette petite expérience a été plus loin que prévue... L'article sur 01net.

Il aurait quand même été judicieux de prévenir l'organisme usurpé.

Méfier-vous de votre Neufbox...

2009-01-26T11:32:00.002+01:00

Un article est paru sur 01net concernant un petit problème d'indiscrétion avec le Media Center de la Neufbox de SFR. "Apparemment" il serait possible de jeter un coup d'oeil aux fichiers d'un voisin Neufbox... Pas plus de détails pour le moment... :( Personne a une Neufbox sous le coude ???

Article : 01net

And the winner is ...

2008-12-10T13:25:00.000+01:00

Comme tous les mois, à l'approche de la publication Microsoft, la "sécurosphère" est en ébullition. Que va-t-il falloir patcher ce mois-ci ? Au total 8 bulletins dont 6 critiques. La liste ici. On va dire que c'est un menu "habituel" (certes certaines habitudes devraient se perdre... :) ).

Mais ce mois-ci... Surprise du chef : une faille 0-day sur IE7. Et comme c'est du 0-day, les patchs sortis aujourd'hui, notamment le MS08-073, ne corrigent pas la faille. Et pour accompagner cela des PoC (Proof of Concept) ont été lachées dans la nature.

Que fait cette petite bête ? Elle exploite une mauvaise gestion du XML pour injecter du code malicieu dans la mémoire.

Le SANS Institute nous en dit un plus en nous conseillant un navigateur alternatif et Secunia nous conseille de ne cliquer que sur des liens "Trusted".

Et si vous testiez Firefox ? :)

D'autres sources :
eEye Digital Security - Research - lien
Blog - ZDNet - lien
McAfee Avert Labs Blog - lien

Update du 11/12 : Un décorticage de la faille a été réalisé par le CERT-LEXSI. Leur blog.

Sécurité par obfuscation.

2008-12-03T18:40:00.000+01:00

Toujours en mission loin de ma contrée, je réside encore à l'hôtel. Et les soirées sont longues et froides en cette saison... Ce joli petit hôtel possède du WiFi... Non sécurisé, certes mais qui nécessite un login/mdp pour naviguer sur le Web. Regardons ça de plus près...

Déjà on m'annonce au début du séjour que le mdp de connexion change tous les jours. Et on me donne un papier avec marqué dessus : client / Edf45sEr. Voici donc le login/mdp. Brute-force ? Non c'est moyen bof bof. Cherchons moins long.

Alors connectons-nous à ce Wifi. Tentative de connexion à mon ami Google... Un bel écran de connexion apparaît :

Et dans l'url, une floppée de paramètres :
https://192.168.2.1/cgi-bin/hotspotlogin.cgi?res=notyet&uamip=192.168.2.1&uamport=3990&challenge=3c1d263bd4ac9a9dcaaf25e62d416650&userurl=&nasid=etap&mac=00-AA-DE-8B-78-A4

On y voit adresse MAC, un port et d'autres infos. Bon et qu'est qui se cache à la racine du site ?
Aahhh zut, je n'arrive pas à me connecter au localhost ... :) Et bien remplaçons-le pas l'adresse IP ... ;)

Et ben tiens, sur quoi je tombe ... La console d'administration des utilisateurs. Avec le couple login/mdp pour le compte "client".

Et si on regardait la liste des autres utilisateurs... Ah ben y'a un compte admin ... Bravo le veau ! :)

Donc le login et mdp de connexion peuvent être trouvé dès que l'on est connecté au réseau WiFi. Pas glop :( lol

Conclusion :
La sécurité par obfuscation à ces limites et c'est très très limite comme stratégie de sécurité... Vous cachez encore vos clefs sous le pot de fleur de l'entrée vous ? Et ben là c'est pareil...

En grattant un peu plus, on s'aperçoit que c'est un apache qui fait tourner le service... il aurait été très judicieux de séparer la partie authentification client de la partie administration et d'en restreindre l'accès avec un paramètre du genre "Allow from localhost". En espérant qu'un écran soit branché ... :)

Un analyseur de trames avec des super-pouvoirs !

2008-11-18T10:43:00.000+01:00

Dans une infrastructure il est souvent nécessaire d'utiliser une sonde pour analyser le trafic circulant sur le réseau. En général c'est un bon serveur avec de gros disques et un tcpdump, un Wireshark ou autre. Un coup de ntop là dessus et on en parle plus.
Mais voici une nouvelle bête. Son nom ? NetWitness Investigator Software v8.6.4.9. Quelques données ? Alors au programme :

Capture Ethernet ou Wireless
25 instances en simultanées de 1 GB chacune
Analyse possible jusqu'au niveau 7 du modèle OSI
Support IPv6
Import / Export au format pcap
Déchiffrage SSL avec le certificat
Résumés et tableaux interactifs
Hash des fichiers PCAP pour l'export
Des tutoriaux sur YouTube :)
...

Voilà un peu la bête. Bon il y a quelques inconvénients quand même, ça ne serait pas drôle sinon :

Version gratuite que sous Windows (Linux en version commerciale)
Il faut une configuration assez musclée (Dual-core 2GHz, 2GHz de RAM)
IE 6.x ou 7.x

Je vous laisse vous faire votre propre idée sur Soft... :)

Les liens :
Source : SecuObs
NetWitness : le site
NetWitness Investigator Software : download
Tutoriaux : YouTube
Un blog en parle : TaoSecurity

Baby, one more time ... !

2008-11-12T11:14:00.000+01:00

Et hop après le 067, je demande le 068 ! Je suis mauvaise langue, il devait forcément arriver, mais pas aussi tôt dans la saison !

Je parle bien évidement d'une nouvelle faille Microsoft, la ms08-068. D'après ce que j'ai pu lire, je dirais que celle vulnérabilité est moins critique que sa petite sœur. Néanmoins un code d'exploitation est déjà disponible.

Pour en savoir plus, je vous conseille le très bon article de HD Moore sur le blog de Metasploit expliquant le pourquoi du comment de cette faille et quels sont les "critères" de réussites ou de soulagement (ça dépend du point de vue).

Bon ben comme d'hab, Patchez dès que vous pouvez ... :)

Les liens:
Article HD Moore - ici
SecurityFocus - ici
Blog Microsoft - ici

Détendons-nous avant le WE !

2008-11-07T12:55:00.000+01:00

Allez, un petit jeu de mots de geek pour bien terminer la semaine (Merci Jérôme).

What did C:/DARTHVADER said to C:/DARTHVADER/LUKESKYWALKER ?

I'm your folder !

En tout cas mieux vaut tar que gz ...

Si avec ça je ne passe pas un bon we ... :)

La bataille fait rage !

2008-11-06T09:23:00.000+01:00

Bon vu les précédents posts, j'avais connaissance du blog sécurité d'Orange mais c'est en faisant une recherche basique que je suis tombé sur le blog sécurité de NeufBox - SFR.

Au vu des archives, celui de SFR est plus jeune de 3 mois. Orange voulait-il lui aussi avoir la mainmise sur la sécurité ... ?

Allez, choisissez votre couleur : rouge ou oran... (aahh non pas de marque ! lol). Et puis bonne lecture :)

lien : Blog NeufBox, Blog Orange

Le rootkit qui fait beaucoup peur.

2008-11-05T18:09:00.000+01:00

Rustock.C. Ce nom ne vous dit peut être rien et pourtant il vaudrait mieux ! lol. A la conférence de sécurité Hack.lu, Frank Boldewin a fait une présentation sur ce rootkit qui donne beaucoup de fils à retordre aux analystes. Pour la protection de ce malware nous avons au programme :

Anti-debugging
de l'ofuscation de code
des moteurs polymorphiques et métamorphique (Morpheus, c'est toi ? :op )
et du nettoyage de mémoire.

Tout ça pour que ce petit rootkit ne livre pas tous ses secrets. Mon dieu que ça fait peur. Je ne vais pas fermer l'œil de la nuit !

Sources : SecuObs.com
Présentation de Frank Boldewin : reconstructer.org (PDF)

Un ver dans la pomme ? Non, dans la fenêtre !

2008-11-05T17:33:00.000+01:00

Et c'est parti pour la "ver party" ! Selon vnunet, la vulnérabilité ms08-067 publiée récemment, serait exploitée par un ver.

Voici son nom par éditeur :
- Symantec : W32.Wecorl, W32.Wecorl!inf, W32.Kernelbot.A
- F-Secure : Exploit.Win32.MS08-067.g, Rootkit.Win32.KernelBot.dg, Trojan-Dropper.Win32.Agent.yhi
- Kaspersky : Exploit.Win32.MS08-067.g
- Microsoft : Exploit:Win32/MS08067.gen!A
- Sophos : Mal/Generic-A
- McAfee : KerBot!37E73FFB

Si ce n'est pas encore fait, PATCHEZ !!!

Sources : vnunet.fr, vnunet.com

Quand Orange veut nous aider ... (suite)

2008-10-24T10:30:00.001+02:00

Premier épisode: http://localh0st.blogspot.com/2008/10/quand-orange-veut-nous-aidez.html

Suite à ce billet j'avais contacté une personne de chez Orange et voici la cause et la solution:
http://www.blogs.orange-business.com/securite/2008/10/compromission-d.html#comments

Petit hic, on trouve bien la case "Se souvenir de moi", par contre on ne trouve pas la case "Oublie-moi !" Il y a peut être une idée à creuser là dessous... :)

Armez vos patchs, Visez, Appliquez !!!

2008-10-24T09:36:00.000+02:00

C'est le branle-bas de combat chez Microsoft. A tel point que qu'ils publient un patch hors du cycle normal et qui porte le doux nom de "MS08-067". La faille permettrait l'exécution de code à distance avec les droits SYSTEM, par l'envoi de requêtes RPC sur les ports 135 et 445.

La découverte de cette faille, vient de l'analyse de code malveillant circulant depuis deux semaines et elle pourrait être exploitée par l'intermédiaire d'un ver.

Ah oui, j'allais oublier, les 0.S. impactés sont:

Windows 2000 SP4
Windows 2003 SP1 et SP2
Windows XP SP2 et SP3

En bref, la majorité des O.S. utilisés,. Si c'est pas une bonne nouvelle ça...

Un plan d'action ? Et bien en parallèle, fermeture des ports concernés (135 et 445) s'ils ne sont pas utilisés, principalement sur les équipements frontaux, et déclenchement de la procédure de déploiment de correctifs en situation critique.

Qui a dit "Super, c'est bientôt le week-end !" ???

Petits conseils personnels: Débranchez tous les câbles réseaux et allez brûler un cierge... lol

Lien Microsoft: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Les chercheurs de failles...

2008-10-14T19:48:00.000+02:00

Voici des petites recherches "explicites" qui ont mené à mon site... :

Comme si des personnes cherchaient à exploiter des failles sur des sites précis ... Peut-être se reconnaîtront-ils... Mmmmmhhhhhh et si ça se trouve, j'ai même leurs adresses IP ... :)

Quand Orange veut nous aider ...

2008-10-14T19:01:00.000+02:00

Je suis actuellement en déplacement pour une mission et j'ai dû prendre un hôtel pour des raisons plus "pratiques" dirons-nous. Comme la plupart des hôtels, celui-ci propose le WiFi gratuit avec un superlogin et un superpass à enter via une interface Web. Bref. Après des heures et des heures de navigation, il me vient l'idée d'aller voir l'état de mon forfait mobile sur le site de Orange. Et là surprise...
Je suis connecté sous le compte de l'hôtel. C'est pas top ça, car on a accès aux factures, au mails, etc. Des informations supposées "personnelles".

Y'a plus qu'a prévenir Mister Orange et voir ce qu'il est possible de faire...

Donc si vous avez une LiveBox, méfiez-vous de l'auto-identification au site Orange !!!

Il faudrait peut-être que je leur en parle ... http://blogs.orange-business.com/securite/ :)

Soyons vigilant avec les prestataires.

2008-10-10T11:24:00.000+02:00

L'entreprise pétrolière Shell vient de demander à ses employés d'être particulièrement regardants sur le travail des prestataires IT. Dernièrement, Shell s'est aperçu qu'un contractant avait volé des informations relatives à la sécurité sociale de ses employés depuis une base de données de l'entreprise aux Etats-Unis. 4 numéros de sécurité sociale avaient déjà été utilisés quand Shell s'est aperçu du vol.

Source de l'article sur JournalDuNet

Eee PC - Un virus embarqué par défaut.

2008-10-10T11:10:00.000+02:00

Asus vient de reconnaître que certains de ses ordinateurs à bas coût de bureau Eee Box avaient été vendus avec un virus. C'est la partition D: du disque dur de la machine qui contient le virus recycled.exe en fichier caché. Le virus s'exécute quand l'utilisateur tente de lire la partition, et contamine ensuite l'espace C:. A noter que la dernière mise à jour de l'outil de détection de malware de Microsoft supprime ce virus. Pour Asus, cette erreur ne touche que le marché japonais mais d'autres sources indépendantes parlent d'une contagion mondiale.

Source de l'article sur JournalDuNet

Méfiez-vous de vos Webcam...

2008-10-10T11:04:00.000+02:00

Une faille dans le Flash Player d'Adobe permettrait l'allumage du micro et de la Webcam à distance... Big Brother is watching you ! :)

Lien de l'article sur 01net

Les news du moment ...

2008-10-05T14:42:00.000+02:00

L'outil de hacking, Neosploit, revient sur le devant de la scène en s'attaquant à des grands sites français: article sur VNUnet

Intrusion informatique dans une usine de missiles coréenne: article sur JournalDuNet

Le captcha de Gmail et Hotmail proies des pirates: article sur JournalDuNet

CheckPoint Tips...

2008-09-17T09:55:00.000+02:00

Voici quelques astuces toutes simples pour CheckPoint sur SecurePlatform (SPLAT). La combinaison des deux premières astuces permet de faire de la Secure Copy (SCP). La dernière astuce concerne le changement d'heure.

Création des scpusers

#touch /etc/scpusers
#vi /etc/scpusers (y ajouter votre utilisateur admin)
#sshd restart

Se connecter directement en mode expert

#chsh -s /bin/bash admin

Changement d'heure

Cette dernière astuce concerne la mise à l'heure des équipements, mais pas seulement. La subtilité réside dans les "Daylight Saving Time" ou DST (non non, rien à voir ... :) ). En français dans le texte, c'est le passage automatique de heure d'été à heure d'hiver et inversement proportionnel.

Vous pouvez parfaitement scripter les commandes qui suivent.

##Vérification heure
'date'

##Supression time zone
rm /etc/localtime

##Reconfiguration time zone
ln -s /usr/share/zoneinfo/Europe/Paris /etc/localtime

##Mise à jour heure
ntpdate votre_ntp_serveur

##Vérification heure
'date'

Néanmoins une petite mise en garde s'impose si votre équipement gère des VPN. Je n'ai pas encore eu l'occasion de tester le comportement des tunnels après un changement d'heure.

La sécurité avec ... des mécapoulets !?

2008-09-10T23:35:00.000+02:00

Quand Microsoft veut promouvoir la méthode SDL (Security Development Lifecycle), elle le fait de façon vraiment originale ...

Lien Youtube:
http://www.youtube.com/watch?v=1IdlZ3IyKsc

Plus d'infos sur le site de Microsoft, à cet adresse:
http://www.microsoft.com/france/technet/securite/sdl.mspx

Est-ce que les Mecapoulets feront leur effet, on le saura après ! :)

Microsoft aurait-il une dent contre les Hackers ? Mais les poulets n'ont pas de dents .....!? :)

Vulnérabilité pour Joomla 1.5.x

2008-08-16T10:53:00.000+02:00

Et voici un exploit récemment publié par un site (tellement connu que je ne le nommerai pas) concernant une faille du logiciel CMS Joomla.

Malheureusement certains sites en ont déjà fait les frais comme celui de l'UNESCO ou encore des espaces du ministère de la culture selon le site silicon.fr.

Heureusement le site de l'éditeur propose une mise à jour vers la version 1.5.6 afin de combler la vulnérabilité.

En tout cas un bon point pour la réactivité de Joolma... Parution de l'exploit le 12/08, parution du correctif le 13/08.

Et que faisiez-vous pendant l'été? Vous chantiez? Et bien patchez maintenant ! :)

Les Etats-Unis autorisent leurs douanes à fouiller tout ordinateur portable

2008-08-13T14:52:00.000+02:00

Les États-Unis viennent officiellement de donner l'autorisation aux agents des douanes de saisir n'importe quel appareil électronique pour raison de sécurité nationale. Lorsque les patrons des grandes entreprises françaises seront donc amenés à franchir la frontière américaine dans les aéroports, ils pourront donc se voir confisquer ordinateurs portables, baladeurs numériques, disques durs portables, clés USB, téléphones portables ou tout autre support de stockage numérique. Ces appareils pourront être examinés et leurs données stockées. Un coup dur en matière de protection de l'information sensible des entreprises nationales, mais aussi pour le respect des libertés individuelles.

Tous à vos outils de cryptage !!!

Source de l'article: JournatduNet

BackTrack 3 - Mouse Wheel Scrolling

2008-07-20T11:24:00.000+02:00

La Backtrack 3 est sortie récemment est forcément je l'ai téléchargé :) . Bien sur j'ai téléchargé l'ISO mais lorsqu'on fonctionne sous Windows, redémarrer pour booter sur le CD ou l'OS installé n'est forcément très pratique.

C'est pour ça que je me suis tourné vers la version VMware. Mais un petit soucis d'utilisation est apparu... La molette de la souris ne fonctionnait pas... Comme on dit: "Y'a pas mort d'homme, mais ça fait chié !" :).

Après avoir exploré la toile, j'ai trouvé la solution, sur le forum de The Ethical Hacker, qui est de changer un paramètre dans le fichier de configuration du serveur X.

/etc/X11/xorg.conf

Dans la section "souris"...

Avant:

  Option "Protocol"  "ps/2"

Après:

  Option "Protocol"  "IMPS/2"

Et voilà une petite mollette qui refonctionne :). Merci les Hackers Ethiques.

L'empreinte digitale ... Pas "secure"

2008-07-10T10:54:00.000+02:00

Le paiement par empreinte digitale à encore des progrès à faire...

Article de Réseaux-Télécoms.net

CheckPoint R65 with Messaging Security

2008-07-09T20:00:00.000+02:00

Voici un petit épisode vécu il y a quelques jours. Les problèmes ne sont pas toujours là où on le croit...

Domaine d'activité:
Finances

Mission:
Intégration d'un Cluster de firewall CheckPoint frontaux (entre WAN et LAN) en fonctionnement Actif/Passif.

Contraines:
Intégration en HNO (Heures non ouvrées) car coupure oblige.
3 prestataires différents - dont un suédois - (IKEA PoWa lol).
Coupure acceptable de 7h à 12h (retour arrière compris).

Au DataCenter:
7h - Début des hostilités
9h - Le Cluster fonctionne avec le LAN - Pas avec les routeurs frontières :(
10h - Le Cluster fonctionne enfin avec les routeurs - ** Toujours vérifier les câbles déjà en place... Tous les switch ne gèrent pas les croisés...
10h30 -WAN <---> LAN opérationnel - Mais pas le VLan d'administration :(
11h - Administration OK - Le Cluster est au niveau application, les tables de routage (niveau 3) ne se répliquent pas...
12h - Début des tests préliminaires - OK

Au siège:
15h - Début du transfert de compétences - Et là le cauchemar commence .....!

Installons le logiciel d'administration sur le poste de la personne en charge des firewalls. L'installation se fait sans problème. Connectons-nous au Cluster...

"Error Loading Objects." ---> Sueurs froides !!!

Ni une, ni deux, je teste avec mon PC... Ça fonctionne... c'est déjà ça.

Recherchons les causes possibles (par dichotomie, bien sûre ! lol):
1- Mauvaise install
2- PC avec une solution de protection
3- GPO restrictive du domaine
4- Versions Java, IE, activeX et autre ...

Les actions:
1- Résintall = Problème identique
2- Désactivation de la protection = Problème identique
3- Installation et excécution en admin = Problème identique
4- Versions identique sur mon PC = Problème identique

Reste la solution Ultime! La machine virtuelle, propre de tout logiciel ou élément perturbateur...
Et ........... = Problème identique

19h - Le dénouement !

Resituons. Version du Soft "NGX R65 with Messaging Security", la version de base c'est la "NGX R65" et s'il y avait des dépendances ... ?

Et en effet, pour faire fonctionner correctement la dernière version il faut installer la version de base qui est normalement inclue dans la version R65 with MS. Chose que l'on peut lire nulle part, même pas sur le UserCenter de CheckPoint...

Donc tout est bien qui fini bien... Ils vécurent heureux et eurent beaucoup de connexions...

Pour résumer:
- Vérifier les câbles déjà présents
- Vérifier les routes
- Vérifier les dépendances connues entre les versions
- Et rien ne vaut les tests en situation réelle...

Nomades + Données = Cryptage !!!

2008-06-19T11:49:00.000+02:00

Voici encore un exemple, du manque de prise de conscience la sécurité des postes nomades. Principalement concernant la protection d'accès aux données sensibles.

http://securite.reseaux-telecoms.net/actualites/lire-premiers-litiges-autour-de-la-signature-de-contrats-en-ligne-18370.html

Et il n'est pas le seul ...

CCSE R65 Training - Done.

2008-06-18T20:37:00.000+02:00

Et voici le CCSE R65 de Check Point également "Done". La formation s'est déroulée sur deux jours avec au menu: migration, VPN site à site, VPN avec clients nomades et haute dispo avec ClusterXL.

J'ai trouvé ces deux jours un peu plus théorique que la précédente formation mais beaucoup intéressants... Avec un formateur ayant huit années d'expériences derrière lui, j'ai enfin pu rassasier ma soif de trucs et astuces et autres conseils introuvables dans les livres.

Je conseille ces deux formations à des personnes désireuses d'approfondir leur connaissances sur la techno VPN-1. Par contre il est préférable d'avoir déjà joué avec la bête avant ou d'avoir des notions dessus, sinon vous risquez d'être un peu perdu...

CCSA R65 Training - Done.

2008-06-13T00:21:00.000+02:00

Et voilà trois jours passés à suivre la formation CCSA R65 de Check Point dans les locaux de Westcon Security. Le contenu semblait assez complet pour renforcer mes modestes connaissances sur le produit. Mais au final c'est bien mais pas démentiel.

Je dirai que cette formation est destinée aux personnes n'ayant pas ou très peu de connaissances sur le produit de Check Point. Le livre de cours fourni est assez bien fait avec de bons aspects théoriques et de la pratique réalisée sous forme de "labs" en fin de chapitre et assistée par le formateur.

Néanmoins le livre et les labs ne font pas tout. Le formateur manquait cruellement d'expérience, n'apportant aucun truc et astuce ou anecdote croustillante que l'on aime tant. Ajouté à cela, la durée de cette formation par rapport à la densité du cours est quelque peu "over-sized". Historiquement la formation CCSA R60 s'étalait sur deux jours avec plus de chapitre. Actuellement la CCSA R65 est sur trois jours mais avec moins de chapitre à aborder ce qui la rend assez molle...

Au moins ça m'a permis de tester en profondeur les différentes fonctionnalités du VPN-1 Power (filtrage, NAT, SmartDefense, ContentInspection, Qos, ...).

J'attire l'attention sur un fonctionnalité qui m'a surpris de par son absence par défaut: le blocage d'une adresse IP détectée comme faisant un scan de port.
Dixit le formateur: "Suite à la détection du scan il faut associer l'évènement à une alerte personnalisée qui va appeler un script de blocage...... que tu dois coder." Chose surprenante lorsque l'on sait qu'il est possible de faire ça avec un iptables et un snort-inline... Je vais fouiner là-dessus pour éclaircir la chose ...

Suite du programme: CCSE R65 les deux jours suivants :) .

Metasploit ... piraté !?

2008-06-05T13:56:00.000+02:00

Les visiteurs du site Metasploit, spécialisé dans les tests d'intrusion, ont eu la surprise en début de semaine de se voir redirigés vers une page Web les informant du piratage de la plate-forme. Les responsables de Metasploit indiquent que leur moteur de tests n'a pas été touché par cette attaque. Les pirates se sont contentés d'infecter un serveur présent chez le même fournisseur d'hébergement en vue d'empoisonner le protocole de résolution d'adresse.

Source: Journal du net

Cain, HTTPS et MITM, une vrai histoire d'amour.

2008-05-24T15:36:00.000+02:00

Vu que le we était quelque peu moyen niveau météo, rien ne vaut un peu de lecture. Je parcours le dernier hors-série de Hacking et sur le CD présent avec le magazine, il y a une vidéo présentant l'attaque Man-in-the-Middle avec Cain&Abel. Sachant comment cela fonctionne au niveau des protocoles non cryptés (http, ftp, telnet, ...) je me suis demandé comment ça réagissait avec le protocole https sur la récupération des trames en clair mais aussi comment le Web browser réagissait face à l'usurpation d'identité (prochainement je ferais des tests avec sftp et ssh).

Et c'est parti pour la mise en place ... 2 PC (un gentil, un méchant) et ma box Internet. Le gentil PC tourne sous Windows avec IE7, Firefow2.0 et 0pera9.5.
Le méchant lance sont ARP poisoning pour rediriger les flux.
(Gentil) <------->(Méchant)<-------->(Box)<----->(Web)

Trafic en clair
Hormis le changement dans le cache ARP aucun autre changement de comportement n'est à noter. Les mots de passe des communications non cryptées sont interceptés sans aucune difficulté.

Trafic crypté
Concrètement, Cain réalise un faux certificat pour se faire passer pour le site distant et conserver l'url en "https://". Allons faire un tour sur https://gmail.com

Avec Firefox

Bon clairement avec Firefox, l'utilisateur ne peut se connecter au site. L'accès lui est refusé, c'est clair c'est net. Et aucune option ne peut contourner le blocage.

Avec IE7

Hormis le message habituel "Etes-vous sûr de vouloir continuer?" et la barre d'adresse en rouge, aucun autre avertissement n'est à noter. L'utilisateur se connecte quand même au site.

Avec Opéra

Une boîte de dialogue apparait pour prévenir que le site en question n'est pas connu (gmail...? personne connait...???). Mais il est quand même possible de se connecter au site Web.

Conclusion
Ce test a été réaliser sur un site "connu" et reconnu par une entité tiers. Lors d'une tentative de connexion à un site qui n'est pas authentifié par un tiers les messages sont identiques hormis pour Firefox qui cette fois demande une validation de l'utilisateur. Donc impossible de savoir si vous subissez une attaque type MITM.

En gros le vainqueur face à ce type d'attaque est Firefox.

Concernant une éventuelle protection contre ce genre d'attaque, entrer en "dur" l'association IP <-> MAC peut être une solution. Sinon en cas d'un cache dynamique, la mise en place d'un test de différence sur les entrées ARP signalant tout changement peut être une bonne technique. Bien évidement ces deux solutions fonctionnent si l'adresse MAC du "méchant" diffère de celle de la "box".
Next step: avec sftp et ssh.

Alapage ... ? Pas la bonne.....

2008-05-23T18:37:00.000+02:00

*** Alerte phishing ***
Des courriers prétendant venir de Alapage.com sont envoyés pour inviter les utilisateurs à entrer différentes données personnelles (données bancaires) suite à un dysfonctionnement.

Comme diraient certains: Méfiez-vous des imitations .... :)

Source: 01net.com

Et la palme revient à ...

2008-05-20T09:26:00.000+02:00

Interview du DSI en charge du SI du Festival de Cannes.

lien: Silicon.fr

Capri, c'est fini ........

2008-05-16T14:42:00.000+02:00

O'Reilly France n'est plus. La filiale française du célèbre éditeur a cessé son activité, suite au désistement d'Oreilly Media. Cette fermeture a deux causes essentielles : la crise américaine, qui fait rage, et le différentiel entre la valeur de l'euro et celle du dollar, qui pèse de plus en plus sur le géant américain. [...]

la maison mère aura jugé que la progression des ventes n'était pas satisfaisante. Résultat, les dix personnes de cette filiale se retrouvent sur le carreau, sans compter les multiples auteurs français qui produisaient des livres en version originale. La fin d'une épopée.

Source: Silicon

Les attaques du jour > CNN, Bank of Ireland & DHS

2008-04-29T22:35:00.000+02:00

Site de CNN - Source: journaldunet.com

La chaîne de télévision internationale CNN, a été l'objet d'une attaque en déni de services qui a perturbé son site Web et en a rendu l'affichage impossible pour de nombreux utilisateurs. Cette attaque en déni de services, en provenance d'Asie, a impacté principalement les utilisateurs de cette zone géographique. Des mesures de filtrage ont été prises pour stopper cette attaque.

Banque d'Irlande - Source: journaldunet.com

La Bank of Ireland vient d'annoncer que 4 ordinateurs portables contenant des informations personnelles de 10 000 clients avaient été dérobés, il y a neuf mois, en juin 2007. Les dirigeants de la banque craignent que les données soient utilisées de manière malveillante. En effet, les données n'étaient pas cryptées. Les employés de la banque vont désormais crypter leurs données, et une amende pourrait être infligée à la banque pour négligence.

Department of Homeland Security - Source: journaldunet.com

De nombreux sites Web sont actuellement la cible d'attaque par injection SQL. C'est désormais également le cas du site du département américain de la sécurité nationale, une agence gouvernementale en charge notamment de la sécurité contre les attaques informatiques. L'infection du site permet de rediriger les internautes vers d'autres pages qui tenteront alors d'installer des programmes malveillants. Plus de 500 000 pages Web seraient ainsi infectées.

(Disque dur + Personnal Data) * USA = FAILURE

2008-04-29T21:33:00.000+02:00

Suite à une affaire de pédophilie, sachez que si vous aller aux USA, votre disque dur est susceptible d'être "parcouru" par les douaniers américains, sans pour autant avoir des preuves sur une quelconque culpabilité.

Donc si vous avez des données confidentielles (fichiers clients, infos bancaires, liste de mots de passe, etc.) évitez de les laisser dessus, car même si vous les cryptez, et bien l'aimable douanier peut confisquer votre petit disque dur pour "présomption" de détention de données interdites.

Moralité:

Laissez sur le support uniquement les données nécessaires et non sensibles
Préférez d'un accès distant à vos données, type VPN ou envoyez vous un mail avec toutes vos données nécessaires en pièce jointe.

Les États-Unis, pour un monde plus sûr ............ Bien évidement.

Tester-moi, Tester-moi

2008-04-22T22:12:00.000+02:00

Voici déjà un petit mois que Security Compass a mis en ligne deux petites extensions pour Firefox orientées "Application Security Testing": XSS-Me et SQL Inject-Me. Comme leur nom l'indique, elles servent à tester les failles XSS et les injections SQL. Malgré des "faux positifs" elles permettent d'automatiser les tâches mais en aucun cas, ces deux extensions ne remplaceront l'expérience d'un PenTester.

A utiliser en connaissance de cause et avec suffisamment de recul pour distinguer le vrai du faux (positif... :p).

Links:
Security Compass
darknet.org.uk

Starting block ...

2008-04-02T20:41:00.000+02:00

Et c'est parti pour le bloggage ...
Alors c'est orienté sécurité informatique mais bon on est jamais à l'abri d'un dérapage ...

Bonne continuation !