Overblog
Suivre ce blog Administration + Créer mon blog
20 janvier 2012 5 20 /01 /janvier /2012 23:37

Je ne dois pas être le seul à l'avoir vu, l'opérateur en fait l'annonce sur son portail dès l'instant que l'on rentre dans la partie "webmail"...

 

pub_zimbra_210112.PNG

 

Mais le problème est que l'infra Zimbra en question ne semble pas elle aussi neuve :

conf-PHP_200112.PNG

 

 D'après le site éditeur de PHP, cette version 5.2 n'est plus supportée...

php_210111.PNG

Et évidemment, elle souffre de diverses failles de sécurité... que je ne détaillerai pas publiquement par principe !

Messieurs les admins et intégrateurs à Free, c'est à vous de jouer... 

 

Mise à jour 1 :

Je n'avais même pas songé à vérifier mais en fait l'URL d'accès à une boîte aux lettres chez Free est en HTTP !

Exemple :

http://imp.free.fr/horde/imp/mailbox.php?mailbox=INBOX&actionID=

acces_HTTP_210112.PNG 

Cela ne respecte pas les bonnes pratiques de sécurité pour les sites Internet... mais surtout, de nombreuses attaques sont possibles (empoisonnement ARP, détournement DNS, écoute simple, etc) ! 

Partager cet article
Repost0
14 janvier 2012 6 14 /01 /janvier /2012 13:24

An old-fashion IM bot, but this time over GTalk...

Here is the chat: 

 

loveflor3
hey whats up? 23/F here. youu?
moi
Sunny. Thx
loveflor3
hmm. have we chattted before?
moi
Yes
loveflor3
oh ok. l wasn't sure. anywayz.... whats up?
12:29
loveflor3
hello?
12:58
moi
yes
I'm having lunch
loveflor3
im Iikee so boreeddd.... there iss nothinggggg too do
moi
what's your name?
loveflor3
ohhh waiit! i have a greatt idea. have u eveer watched a sexyy girI Iike me striip Iive on a cam before?
moi
lol
loveflor3
wellIIl.... u couId watcch me strrip if u wouId Iike?
moi
no
loveflor3
yeah? okk weIl my cam is setuup through this webbsite so that i can't bee recorded so u have too signupp there.
it onIyy takes a minnute and it is freee. ok?
moi
we'll see
loveflor3
http://twurl.nl/yudz1w goo therre then up at thhe top of the paage cIlick on the goIldish JOIN FREE buttton.
The shortened URL will redirect the user to: 
https://www.becoquin .com/aff.php?dynamicpage=find2_fr&profiles=set1&a_aid=20cb8cf6&mundomreg=fr&data1=CD5407 
Wow, even HTTPS available! in order to make the user feel better?

capture_site_14012012.png
As you can see, the server runs NginX (but does not hide the version within the HTTP headers, sic), and is most likely be hosted in France...
On the other hand, WOT (Web Of Trust) does warn about it:

WOT_becoquin.com_14012012.png

 

Partager cet article
Repost0
8 janvier 2012 7 08 /01 /janvier /2012 21:20

A bit strange, isn't it, that alert from Certificate patrol? This came up while accessing Facebook with Firefox...

 

alert_certif_080112.jpg

 

alert2_certif_080112.jpg

 

Well, that would mean Facebook rolled back their HTTPS certificate, to re-use a former one, issued on November 2010... Why so? no real clue...

How are we (professionals) supposed to explain that to lambda users? :(

 

Anyway, I do suggest that more people use browsers add-ons like Certificate Patrol! 

Partager cet article
Repost0
8 janvier 2012 7 08 /01 /janvier /2012 20:49

Qui a dit que cela n'arrivait pas à tous les fournisseurs de service ? GMail ne fait pas exception à la règle.

 

GMail_HS_290411.JPG

 

Bien que le Copyright sur la page date de 2008, le message lui, date bien de 2011 ! (je n'avais pas eu l'occasion de le poster).

 

Attention donc à ceux qui veulent "mettre dans le nuage" leurs services informatiques : dans ce cas-là, certains métiers peuvent presque rentrer chez eux... :( 

Partager cet article
Repost0
8 janvier 2012 7 08 /01 /janvier /2012 20:34

Il y a peu, en démarrant la machine, Kaspersky a affiché des avertissements et la session ne se chargeait plus correctement (pas complètement).

 

Voici tout d'abord les infos de version du produit, pour savoir de quoi il est question :

 

info_KAV-copie-1.png

 

 

Ensuite, le message d'erreur proprement dit (apparu donc soudainement) :

 

KAV2011_err1.png

 

Il semblerait que KAV n'ait pas assez de droits pour se mettre à jour.... étrange !

Pourtant, même en lançant son interface avec un compte administrateur local, rien n'y fait.

 

 

Essayons alors en mode sans échec...!

 

KAV2011_err2.png

 

Le fait d'être en mode sans échec est visiblement un "danger", mais qu'importe, la mise à jour ne se fait toujours pas : le message d'erreur de bases corrompues revient.

 

Il faut en fait faire un retour arrière sur une version antérieure des signatures, redémarrer toujours en mode sans échec, puis relancer la mise à jour ! 

 

KAV2011_err3-copie-1.png

 

 

Moralité, si vous avez une présentation à faire ou un travail en mobilité, prévoyez 5 min pour faire un arrêt plus redémarrage de la machine, afin d'être sûr qu'elle redémarrera une fois sur place ! 

 

Partager cet article
Repost0
1 décembre 2011 4 01 /12 /décembre /2011 13:46

Warning.

If you access your Facebook profile, from your cellphone, without using the "facebook app", you'll most likely be redirected to: m.facebook.com.

 

The problem is that HTTP is being used when you send your email address and password over the network, and not HTTPS! Obvioulsy, this is a pretty bad mistake in security.

 

For instance, as I train my students to do it (within the lab), it is quite easy to steal a password that is being sent over HTTP, for example with an ARP spoofing attack (and Ettercap or other tools from BackTrack Linux). Let's say that you connect to Facebook using the mobile browser, while being connected to a WiFi... it is then quite simple to launch the spoofing attack!

 

Therefore I do recommend that people use the official Facebook App, and not the mobile browser, since AFAIK the app uses HTTPS to send credentials to Facebook!

HTH...

Partager cet article
Repost0
6 novembre 2011 7 06 /11 /novembre /2011 22:40

Just to say that the Opensource world does manage to provide tools being able to filter spams according to a sender's reputation.

 

Below a few (daily) stats that I have on a messaging server, running:

- Debian fully-patched

- SpamAssassin and Exim4 (with Razor, Pyzor, DCC, *RBL,...)

 TOP SPAM RULES FIRED ---------------------------------------------------------------------- RANK RULE NAME COUNT %OFMAIL %OFSPAM %OFHAM ---------------------------------------------------------------------- 1 BAYES_99 958 51.45 89.20 0.00 2 RCVD_IN_BRBL 921 51.93 85.75 5.84 3 DCC_CHECK 886 53.54 82.50 14.09 4 RAZOR2_CHECK 867 50.00 80.73 8.12 5 RAZOR2_CF_RANGE_E8_51_100 864 49.36 80.45 6.98 6 RAZOR2_CF_RANGE_51_100 864 49.36 80.45 6.98 7 DIGEST_MULTIPLE 852 47.31 79.33 3.68 8 RCVD_IN_XBL 769 41.35 71.60 0.13 9 RDNS_NONE 736 40.87 68.53 3.17 10 RCVD_IN_PBL 689 37.06 64.15 0.13 11 PYZOR_CHECK 625 34.00 58.19 1.02 12 HTML_MESSAGE 512 54.56 47.67 63.96 13 RCVD_IN_SORBS_WEB 479 25.94 44.60 0.51 14 RCVD_IN_BL_SPAMCOP_NET 466 25.24 43.39 0.51 

 

As we can see, lots among the top 14 of the triggered spam rules are "sender's reputation" related...!

 

And yes, the filtering efficiency is good.

BTW, congrats to the guys who worked on the Pyzor issue, for it hadn't properly worked for years...

Partager cet article
Repost0
6 novembre 2011 7 06 /11 /novembre /2011 21:12

 

Autre équipe Turque, autres motivations, autre victime...?

 

 

capture_page-accueil_annon.JPG

 

A première vue, rien à voir avec une publication satyrique sur une icône religieuse (cf. cas Charlie Hebdo : http://www.itespresso.fr/piratage-la-galere-de-charlie-hebdo-sur-internet-47804.html )...

 

Pourtant, avec :

- un Apache 2.2.14 (Unix) au lieu de 2.2.21  (cf. http://httpd.apache.org/security/vulnerabilities_22.html)

- un PHP 5.2.5 au lieu de 5.3.5, moins les rétro-ports (cf. www.php.net)

- un Joomla obsolète (generator content=Joomla! 1.5), au mot de passe faible pour le compte admin...  

tout était réuni pour permettre une intrusion (avec défacement) très facile.

 

Mais avec en outre plus de 200 sites hébergés sur le même serveur, le pauvre webmestre de celui-ci ne peut pas faire grand chose à lui tout seul, et  en aucun cas mettre à jour Apache/PHP/Joomla...! D'ailleurs, il n'a même pas d'accès SSH !

 

Puis-je recommander aux gens de Amen, de faire une petite passe de sécurisation sur leurs serveurs?

 

PS : on notera que des ressources extérieures au site sont appelées (par la page de défacement) :

- http://adkgaming.com/herzamankigibi.mp3   (pour le son)

-  http://www.deviantart.com/download/87945411/Turk_Bayragi___Wallpaper_by_LephistoDesign.jpg   (pour l'image)

Partager cet article
Repost0
5 octobre 2011 3 05 /10 /octobre /2011 23:57

I wanted to benchmark a little bit the level of protection that Trusteer offers for real. Trusteer is said to be a leader in Internet content security filtering. See (in French): http://lesbanquesenligne.fr/articles-banques-en-ligne/boursorama-lutte-contre-la-fraude-bancaire-avec-%C2%ABtrusteer%C2%BB/

So I looked for URL phishing reports. I knew a few dedicated portals, such as Phishtank, Netcraft... I decided to try this time Clean-MX.dehttp://support.clean-mx.de/clean-mx/phishing.php

One of the first links in the list is marked as targeting eBay. Alright, eBay is in the list of "trusted websites being watched by Trusteer".

Here is the Phishtank's report of the phish I picked up: 

http://www.phishtank.com/phish_detail.php?phish_id=1288180

The problem is that Trusteer did not alert me while accessing the malicious website, whereas Internet Explorer did prompt an alert (and the address bar remained red, good point).

test1_phish_ebay_061011.JPG

So, a well known phishing, publicly reported, targeting a "Trusteer's trusted website" would not be blocked nor at least trigger a warning by Trusteer... I find it a pity.

Partager cet article
Repost0
2 octobre 2011 7 02 /10 /octobre /2011 21:35

Je milite depuis pas mal de temps déjà pour que les sites de banque (au moins) engagent des actions afin de vérifier la sécurité des postes de leurs clients qui s'y connectent.

En effet, il est peu utile de "blinder" un serveur Web si le poste client qui s'y connecte est compromis (porte dérobée, enregistreur de frappes au clavier, code viral détournant les fonctions réseau, etc).

J'ai donc été doublement intéressé par l'initiative de banques comme Boursorama qui proposent un utilitaire pour "durcir" le navigateur : Trusteer.

Mais peu après avoir installé l'engin, voici le premier rapport qu'il me sort :

rapport1_trusteer_021011.JPG

"activation.trusteer.com" aurait un certificat invalide...

Que dois-je faire ? désinstaller le produit ? 
La suite, bientôt... 

 

============== Executive summary ==============

 

After having installed Trusteer, its first report told me that activation.trusteer.com had an invalid certificate...

Quite surprising, isn't it?


Partager cet article
Repost0