Le blog sécurité de Philippe Vialle / Phil Vialle's blog

This article will aim to help a little bit the guys who try to understand/find tracks on a Tomtom GPS. The model being investigated is a Tomtom Rider 2, 2010.

First of all, extract the SD Card, and then plug it to a safe/secured computer.

At the root of the card, you'll find a file called settings.dat. You may open it using gVim. It contains the list of the cell phones that have been associated to the GPS (via Bluetooth connection).  

The syntax is quite simple, apart of a bit of garbage within the file: the phone name, and its MAC address (the separator is a simple comma).

Then the folder named "contacts" is quite interesting. It contains 3 files: called.txt, callers.txt, contacts.txt.

Those filenames are pretty relevant to the data the corresponding files contain. Furthermore, the data is in plain-text!

AFAIK, the "contacts.txt" file will only contain data if the cellphone contacts have been synchronized with the GPS (it does automatically offer synchronization the first time it's being associated via Bluetooth).

Then, depending on the principal map that has been used on the GPS, you'll find a folder named accordingly. For instance, here, the folder's name is "france".

Inside this folder, there are several files. One of them will probably be quite important to the analyst: MapSettings.cfg.

It contains the addresses that have been typed and triggered a roadmap calculation.

The file is in plain-text. It appears that the addresses are being chronologically printed.

Quite strange, at the end of the same file, there is the name and MAC address of the headset that has been used with the Tomtom (could be useful, who knows). Here it is: TomTom Headset (scala-rider),00:0A:9B:20:AE:99.

To those who may be interested, here is the whole list of files that are stored on the SD card:

  SD card GPS files   

I hope this helps and will tell people how easy it is to find personal information about them... 

Cette fois-ci, j'ai préféré ne pas évaluer l'efficience de solutions de sécurité à l'instant T où la menace atteignait le poste, mais quelques temps après...

Voici le courriel, assez bien fait d'ailleurs :

 Thunderbird 64 (Miramar) avait alerté sur un risque de "scam" pour ce courriel.

Mais que donnent les protections pour l'utilisateur, niveau navigateur, 6 jours donc après avoir reçu le courriel ?

- Internet Explorer 9 : OK, avertissement

- Opéra 11.50 : OK, avertissement

- Netcraft : OK, avertissement

- Firefox 5 : aucune alerte

- Safari 5 : aucune alerte

- Chrome 13 : aucune alerte

- WOT : aucune alerte

- Webutation : aucune alerte...

Pour Safari :

Pour Chrome :

Et le plus intéressant, FIrefox 64 bits 4.0b12pre (avec WOT, Webutation, Netcraft...)

Webutation, encore plus explicite ("tout va bien") :

 Heureusement, Netcraft réagit :

------------------------------------------------------------------

Et maintenant, si je tente de faire marcher la duperie jusqu'au bout ?

Remplissons le formulaire, adresse email et mot de passe, et validons...

Firebug indique clairement où part le mot de passe :

La page qui suit l'envoi frauduleux des identifiants utilisateur, est assez intéressante !

Serait-ce lié à la campagne actuelle de fraude à la fausse facture ?

Au niveau réseau, le traffic est lui-aussi assez révélateur :

   Diverses requêtes vers maghegy.com n'aboutissnet pas... pourtant le kit de hameçonnage semble marcher globalement.  

Il est notable que l'image avec tous les logso bancaires (certainement pour rassurer l'utilisateur, comme de "faux partenariats" : http://nsa25.casimages.com/img/2011/04/09//110409011725248635.jpg :

Le serveur hébergeant cette image est chez OVH...

D'autres éléments (notamment images) sont récupérées ailleurs que chez Orange.fr... exemple pour le bonhomme orange :  http://img.woopic.com/common/g8/img/new_user_welcome.gif  

Jouons le jeu jusqu'au bout... je remplis donc le formulaire. Etrange, il m'est demandé à la fois mon numéro de carte ET mon numéro de compte !

On notera que le formulaire est tellement bien fait que je ne peux lui rentrer des numéros complètement fantaisistes :

 En fait, c'est le vérificateur de Luhn qui est appliqué... (cf. http://www.thetaoofmakingmoney.com/2007/04/12/324.html)

Donc pour leurer le contrôle, je prends l'exemple 4552 7204 1234 5677.

Finalement, quand le formulaire est accepté, un clic sur "Valider" envoie une requête POST toujours vers le même domaine :

 Les données du formulaire sont bien visibles, et c'est la page "xeon.php" qui récupère le tout.

De manière assez classique, mais déjà éprouvée, cette requête POST est suivie d'une redirection vers le VRAI site  Orange (id.orange.fr). 

Et enfin, si l'on tente d'accéder à la racine de l'environnement de hameçonnage, la réponse HTML du serveur est étudiée pour renvoyer une vraie-fausse page Webmail Orange :

 <html> <script type="text/javascript"> echo = "logins2.html?-http/webmail1e.orange.fr/webmail/fr_FR/inbox.html?w=0&FromSubmit\
 =true?rpsnv=11&ct=1258553363&rver=6.0.5285.0&wp=MBI&wreply=http:%2F" self.location.replace(echo); window.location = echo; </script> </html> 

------------------------------------------------------------------------------------------------------

Et à propos du serveur, me direz-vous ? 

Un vieux réflexe m'amène à tenter un nmap -O --osscan-guess. Le résultat est plutôt intriguant :

Starting Nmap 5.51 ( http://nmap.org ) at 2011-08-20 00:01 Paris, Madrid (heure dÆÚtÚ)
Nmap scan report for maghegy.com (46.252.201.1)
Host is up (0.040s latency).
rDNS record for 46.252.201.1: n1nlhg286c1286.shr.prod.ams1.secureserver.net
Not shown: 986 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
443/tcp open https
50000/tcp closed ibm-db2
50001/tcp closed unknown
50002/tcp closed iiimsf
50003/tcp closed unknown
50006/tcp closed unknown
50300/tcp closed unknown
50389/tcp closed unknown
50500/tcp closed unknown
50636/tcp closed unknown
50800/tcp closed unknown
Device type: general purpose|WAP|firewall|phone|printer
Running (JUST GUESSING): OpenBSD 4.X (95%), Linux 2.6.X|2.4.X (91%), Linksys Linux 2.4.X (91%), HID embedded (90%), Nokia Linux 2.6.X (89%), Netgear embedded (88%), Asus Linux 2.6.X (87%), Epson embedded (87%)
Aggressive OS guesses: OpenBSD 4.3 (95%), Linux 2.6.18-8.el5 (Red Hat Enterprise  Linux 5) (91%), Linux 2.6.20 (91%), Linux 2.6.20 (Ubuntu, x86_64) (91%), Linux 2.6.22 (91%), Linux 2.6.22 (Ubuntu, x86) (91%), OpenWrt White Russian 0.9 (Linux  2.4.30) (91%), OpenWrt 0.9 - 7.09 (Linux 2.4.30 - 2.4.34) (91%), OpenWrt Kamikaze 7.09 (Linux 2.6.22) (91%), HID EdgePlus Solo ES400 firewall (90%)
No exact OS matches for host (test conditions non-ideal).

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 17.80 seconds

BSD, linux, point d'accès WiFI ?... le tout hébergé sur un prod.ams1.secureserver.net ? késako... (WTH? ;) certains comprendront).

Et toujours lancé sur Nmap, la détection de services me fait hausser les sourcils : 

PORT STATE SERVICE VERSION
21/tcp open ftp Pure-FTPd
22/tcp open ssh OpenSSH 5.1 (protocol 2.0)
80/tcp open http Apache httpd
443/tcp open http Apache httpd

OpenSSH 5.1 ? même sur des machines dites sécurisées, je ne le croise presque jamais...!

Du coup, je vais tenter une identification par signature : HTTPrecon.

 Bingo, Apache 2.2.8 ! 

J'ai vu pire, mais c'est déjà une première porte d'entrée suceptible d'avoir compromis le serveur. Nessus tourne... 

Je m'attendais à tout autre chose en lisant le sujet du courriel...
Subject: La photo de votre profil est belle
From: "Lacie Peterson" <news@affiliate-promoter.com>

Le corps du courriel est simple, sans faute, plutôt convaincant :

Une fois que l'on clique sur le lien, à priori pas de charge virale (presque décevant...) mais par contre, jolie surprise pour le site :

Effectivement, je dois bien avoir un profil qui traîne sur ce site (rires).

Pourquoi ai-je reçu ce courriel ? il semble que l'antispam se soit emmêlé les pinceaux :

 1.0 LR_URI_NUMERIC_ENDING URI: Ends in a number of at least 4 digits 1.5 HTML_IMAGE_ONLY_20 BODY: HTML: images with 1600-2000 bytes of words 0.1 HTML_MESSAGE BODY: HTML included in message -2.0 BAYES_00 BODY: Bayesian spam probability is 0 to 1% [score: 0.0000] 1.5 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level above 50% [cf: 100] 0.5 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/) 1.0 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50% 

Aïe, il semble que ce soit le Bayésien qui ai tout fait capoter... il a carrément viré dans le "confiance", et donc a appliqué le score en conséquence.  Par contre, Razor montre qu'il est toujours pertinent, et inflige un score de 3 à lui tout seul...

Enfin, le reste des entêtes semble révélateur :

Return-Path: <agent@ukrs238777.pur3.net>

Received: from smtp.server.com ([unix socket]) by hermes.reseau (Cyrus-Debian) with LMTPA;

Sat, 06 Aug 2011 18:26:45 +0200 X-Sieve: CMU Sieve 2.2

Received: from mta17311.pur3.net ([83.138.173.11]) by smtp.server.com with esmtp (Exim 4.69)(envelope-from <agent@ukrs238777.pur3.net>) id 1Qpjhy-0005fS-Nb for philippe.vialle@server.com;

Sat, 06 Aug 2011 18:26:45 +0200

Received: from localhost (127.0.0.1) by mta17310.pur3.net (PowerMTA(TM) v3.5r16) id h7llk40s4tkn for <philippe.vialle@server.com>;

Sat, 6 Aug 2011 17:26:05 +0100 (envelope-from <agent@ukrs238777.pur3.net>)

Subject: La photo de votre profil est belle

MIME-Version: 1.0

Content-Type: multipart/alternative; boundary="alternative_40dbada43dc5a2b347364ec8c576e434"

Content-Transfer-Encoding: 7bit

From: "Lacie Peterson" <news@affiliate-promoter.com>

Reply-To: "Lacie Peterson" <news@affiliate-promoter.com>

X-MailId: {~P91270321946634197420386293013~}

To: philippe.vialle@server.com

Date: Sat, 06 Aug 2011 17:26:05 +0100

Message-ID: <0.0.D8.50D.1CC54558A43966A.0@mta17310.pur3.net>


Tout de même, l'adresse IP du MTA est dans au moins 5 listes noires (cf. http://ip-blacklist.e-dns.org/83.138.173.11) :

Par contre, selon CISCO, la réputation sécurité de ce même serveur est "bonne" ! http://www.senderbase.org/senderbase_queries/rep_lookup?search_name=83.138.173.11&action%3ASearch=Search

De même chez McAfee : http://www.mcafee.com/threat-intelligence/ip/default.aspx?ip=83.138.173.11

That trick was really about to get me...

The bot would realy make you believe it is your Facebook contact talking to you, but it is not...

I sent the URL to VirusTotal, here are the results: nothing to worry about...

https://www.virustotal.com/url-scan/report.html?id=57e229513f552a0ba3775213d1d6b8c6-1311622558#

Even the "downloaded file" analysis does not show any alert:

https://www.virustotal.com/file-scan/report.html?id=c91712143eefa0f98daec77036d6a22a2c1633556bfdbe895392ed8b559ad00a-1311630321

And the reason is quite simple... there is neither automatic file download, nor drive-by-download. Once again, the user will be lured to download himself the "latest Flash player version"...

Pretty well done, uh? But this is not youtube...

What I find pretty outstanding, is the fact that the "fake youtube" website did grab the Facebook victims's username, and furthermore, fake comments from the victim's contacts are also being displayed below the (fake) video!

Please note that the URL is a single IP address, no domain name! According to Netcraft, the server is being hosted in Bulgaria: http://toolbar.netcraft.com/site_report?url=http://213.231.133.56 

So, in order to view the video, the user is supposed to click on the link. I serves a Flash-Player.exe file, hosted on the same HTTP server.

And this time, the AV scans do tell us something interesting:

https://www.virustotal.com/file-scan/report.html?id=7a9578ad75913564178f1e5c5be2fade4abb20835ff9ec82eb0716ce7a151c7d-1311629984#

Unfortunately, the URL itself does not trigger so many security systems:

- Internet Explorer (with Trend Micro Browser Guard): no alert

- Firefox 5: no alert

- Chrome 12.0.742: no alert 

- Safari 5: no alert.

- Webreputation: "domain not reachable"... 

In fact, most of these results are summarized within the VT's "URL analysis tool" report.

While investigating the threat, I noticed they apparently use a stealth system: you can't request access to the domain several times, even using different browsers, of you're gonna be blocked.

This works over HTTP, while the ping (ICMP) still responds.

For non French readers, executive summary follows.

Je vais présenter ici une liste d'extensions pour Firefox, qui permettent de protéger la navigation, et non pas d'auditer des sites ou applications.

Il y aura certainement des points communs avec Firecat, mais l'objectif n'est pas le même ici : le durcissement de la navigation.

- Netcraft toolbar : protection anti-hameçonnage

- Phishtank SiteChecker : idem que Netcraft

- Adblock Plus : protection anti-publicité (prendre les listes FR + USA)

- Search Engines Security : protection contre le détournement des moteurs de recherche

- Webreputation./org : pour évaluer une URL de façon communautaire

- WOT (Web Of Trust) : idem que Webreputation.org

- McAfee Secure URL Shortener....

- QuickJava : pour pouvoir bloquer à la demande : Java, Javascript, Flash, Silverlight, CSS... je le préfère à NoScript, vu qu'il est capable de bloquer plus de contenus actifs.

- CSFire : protection contre les CSRF (lien avec les tops OWASP)

- BetterPrivacy

- Calomel SSL Validation : pour vérifier/évaluer les certificats HTTPS

- Certificate Patrol : pour suivre les changements dans le magasin de certificats du navigateur

- HTTPS everywhere : forcer le HTTPS sur des sites proposant à la fois HTTP et HTTPS

- SSL BlackList

- Dr Web Antivirus Checker : pour pouvoir vérifier un fichier par simple clic droit.

- Browser Protect : contre le détournement des réglages du navigateur...

--------------------------------------- Executive summary ------------------------------------------

Here is a list of Firefox add-ons that I do recommend in order to harden the browser's security.

- Netcraft toolbar 

- Phishtank SiteChecker

- Adblock Plus 

- Search Engines Security 

- Webreputation./org 

- WOT 

- McAfee Secure URL Shortener....

- QuickJava 

- CSFire 

- BetterPrivacy

- Calomel SSL Validation 

- Certificate Patrol 

- HTTPS everywhere 

- SSL BlackList

- Dr Web Antivirus Checker 

- Browser Protect