20 janvier 2012
5
20
/01
/janvier
/2012
23:37
Je ne dois pas être le seul à l'avoir vu, l'opérateur en fait l'annonce sur son portail dès l'instant que l'on rentre dans la partie "webmail"...
Mais le problème est que l'infra Zimbra en question ne semble pas elle aussi neuve :
D'après le site éditeur de PHP, cette version 5.2 n'est plus supportée...
Et évidemment, elle souffre de diverses failles de sécurité... que je ne détaillerai pas publiquement par principe !
Messieurs les admins et intégrateurs à Free, c'est à vous de jouer...
Mise à jour 1 :
Je n'avais même pas songé à vérifier mais en fait l'URL d'accès à une boîte aux lettres chez Free est en HTTP !
Exemple :
http://imp.free.fr/horde/imp/mailbox.php?mailbox=INBOX&actionID=
Cela ne respecte pas les bonnes pratiques de sécurité pour les sites Internet... mais surtout, de nombreuses attaques sont possibles (empoisonnement ARP, détournement DNS, écoute simple, etc) !
Published by Philippe V.
-
dans
Veille sécurité
14 janvier 2012
6
14
/01
/janvier
/2012
13:24
An old-fashion IM bot, but this time over GTalk...
Here is the chat:
hey whats up? 23/F here. youu?
hmm. have we chattted before?
oh ok. l wasn't sure. anywayz.... whats up?
im Iikee so boreeddd.... there iss nothinggggg too do
ohhh waiit! i have a greatt idea. have u eveer watched a sexyy girI Iike me striip Iive on a cam before?
wellIIl.... u couId watcch me strrip if u wouId Iike?
yeah? okk weIl my cam is setuup through this webbsite so that i can't bee recorded so u have too signupp there.
it onIyy takes a minnute and it is freee. ok?
The shortened URL will redirect the user to:
https://www.becoquin .com/aff.php?dynamicpage=find2_fr&profiles=set1&a_aid=20cb8cf6&mundomreg=fr&data1=CD5407
Wow, even HTTPS available! in order to make the user feel better?
As you can see, the server runs NginX (but does not hide the version within the HTTP headers, sic), and is most likely be hosted in France...
On the other hand, WOT (Web Of Trust) does warn about it:
Published by Philippe V.
-
dans
Veille sécurité
8 janvier 2012
7
08
/01
/janvier
/2012
21:20
A bit strange, isn't it, that alert from Certificate patrol? This came up while accessing Facebook with Firefox...
Well, that would mean Facebook rolled back their HTTPS certificate, to re-use a former one, issued on November 2010... Why so? no real clue...
How are we (professionals) supposed to explain that to lambda users? :(
Anyway, I do suggest that more people use browsers add-ons like Certificate Patrol!
Published by Philippe V.
-
dans
Veille sécurité
8 janvier 2012
7
08
/01
/janvier
/2012
20:49
Qui a dit que cela n'arrivait pas à tous les fournisseurs de service ? GMail ne fait pas exception à la règle.
Bien que le Copyright sur la page date de 2008, le message lui, date bien de 2011 ! (je n'avais pas eu l'occasion de le poster).
Attention donc à ceux qui veulent "mettre dans le nuage" leurs services informatiques : dans ce cas-là, certains métiers peuvent presque rentrer chez eux... :(
Published by Philippe V.
-
dans
Veille sécurité
8 janvier 2012
7
08
/01
/janvier
/2012
20:34
Il y a peu, en démarrant la machine, Kaspersky a affiché des avertissements et la session ne se chargeait plus correctement (pas complètement).
Voici tout d'abord les infos de version du produit, pour savoir de quoi il est question :
Ensuite, le message d'erreur proprement dit (apparu donc soudainement) :
Il semblerait que KAV n'ait pas assez de droits pour se mettre à jour.... étrange !
Pourtant, même en lançant son interface avec un compte administrateur local, rien n'y fait.
Essayons alors en mode sans échec...!
Le fait d'être en mode sans échec est visiblement un "danger", mais qu'importe, la mise à jour ne se fait toujours pas : le message d'erreur de bases corrompues revient.
Il faut en fait faire un retour arrière sur une version antérieure des signatures, redémarrer toujours en mode sans échec, puis relancer la mise à jour !
Moralité, si vous avez une présentation à faire ou un travail en mobilité, prévoyez 5 min pour faire un arrêt plus redémarrage de la machine, afin d'être sûr qu'elle redémarrera une fois sur place !
Published by Philippe V.
-
dans
Veille sécurité
1 décembre 2011
4
01
/12
/décembre
/2011
13:46
Warning.
If you access your Facebook profile, from your cellphone, without using the "facebook app", you'll most likely be redirected to: m.facebook.com.
The problem is that HTTP is being used when you send your email address and password over the network, and not HTTPS! Obvioulsy, this is a pretty bad mistake in security.
For instance, as I train my students to do it (within the lab), it is quite easy to steal a password that is being sent over HTTP, for example with an ARP spoofing attack (and Ettercap or other tools from BackTrack Linux). Let's say that you connect to Facebook using the mobile browser, while being connected to a WiFi... it is then quite simple to launch the spoofing attack!
Therefore I do recommend that people use the official Facebook App, and not the mobile browser, since AFAIK the app uses HTTPS to send credentials to Facebook!
HTH...
Published by Philippe V.
-
dans
Veille sécurité
6 novembre 2011
7
06
/11
/novembre
/2011
22:40
Just to say that the Opensource world does manage to provide tools being able to filter spams according to a sender's reputation.
Below a few (daily) stats that I have on a messaging server, running:
- Debian fully-patched
- SpamAssassin and Exim4 (with Razor, Pyzor, DCC, *RBL,...)
TOP SPAM RULES FIRED ---------------------------------------------------------------------- RANK RULE NAME COUNT %OFMAIL %OFSPAM %OFHAM ---------------------------------------------------------------------- 1 BAYES_99 958 51.45 89.20 0.00 2 RCVD_IN_BRBL 921 51.93 85.75 5.84 3 DCC_CHECK 886 53.54 82.50 14.09 4 RAZOR2_CHECK 867 50.00 80.73 8.12 5 RAZOR2_CF_RANGE_E8_51_100 864 49.36 80.45 6.98 6 RAZOR2_CF_RANGE_51_100 864 49.36 80.45 6.98 7 DIGEST_MULTIPLE 852 47.31 79.33 3.68 8 RCVD_IN_XBL 769 41.35 71.60 0.13 9 RDNS_NONE 736 40.87 68.53 3.17 10 RCVD_IN_PBL 689 37.06 64.15 0.13 11 PYZOR_CHECK 625 34.00 58.19 1.02 12 HTML_MESSAGE 512 54.56 47.67 63.96 13 RCVD_IN_SORBS_WEB 479 25.94 44.60 0.51 14 RCVD_IN_BL_SPAMCOP_NET 466 25.24 43.39 0.51
As we can see, lots among the top 14 of the triggered spam rules are "sender's reputation" related...!
And yes, the filtering efficiency is good.
BTW, congrats to the guys who worked on the Pyzor issue, for it hadn't properly worked for years...
Published by Philippe V.
-
dans
Veille sécurité
6 novembre 2011
7
06
/11
/novembre
/2011
21:12
Autre équipe Turque, autres motivations, autre victime...?
A première vue, rien à voir avec une publication satyrique sur une icône religieuse (cf. cas Charlie Hebdo : http://www.itespresso.fr/piratage-la-galere-de-charlie-hebdo-sur-internet-47804.html )...
Pourtant, avec :
- un Apache 2.2.14 (Unix) au lieu de 2.2.21 (cf. http://httpd.apache.org/security/vulnerabilities_22.html)
- un PHP 5.2.5 au lieu de 5.3.5, moins les rétro-ports (cf. www.php.net)
- un Joomla obsolète (generator content=Joomla! 1.5), au mot de passe faible pour le compte admin...
tout était réuni pour permettre une intrusion (avec défacement) très facile.
Mais avec en outre plus de 200 sites hébergés sur le même serveur, le pauvre webmestre de celui-ci ne peut pas faire grand chose à lui tout seul, et en aucun cas mettre à jour Apache/PHP/Joomla...! D'ailleurs, il n'a même pas d'accès SSH !
Puis-je recommander aux gens de Amen, de faire une petite passe de sécurisation sur leurs serveurs?
PS : on notera que des ressources extérieures au site sont appelées (par la page de défacement) :
- http://adkgaming.com/herzamankigibi.mp3 (pour le son)
- http://www.deviantart.com/download/87945411/Turk_Bayragi___Wallpaper_by_LephistoDesign.jpg (pour l'image)
Published by Philippe V.
-
dans
Veille sécurité
5 octobre 2011
3
05
/10
/octobre
/2011
23:57
I wanted to benchmark a little bit the level of protection that Trusteer offers for real. Trusteer is said to be a leader in Internet content security filtering. See (in French): http://lesbanquesenligne.fr/articles-banques-en-ligne/boursorama-lutte-contre-la-fraude-bancaire-avec-%C2%ABtrusteer%C2%BB/
So I looked for URL phishing reports. I knew a few dedicated portals, such as Phishtank, Netcraft... I decided to try this time Clean-MX.de: http://support.clean-mx.de/clean-mx/phishing.php
One of the first links in the list is marked as targeting eBay. Alright, eBay is in the list of "trusted websites being watched by Trusteer".
Here is the Phishtank's report of the phish I picked up:
http://www.phishtank.com/phish_detail.php?phish_id=1288180
The problem is that Trusteer did not alert me while accessing the malicious website, whereas Internet Explorer did prompt an alert (and the address bar remained red, good point).
So, a well known phishing, publicly reported, targeting a "Trusteer's trusted website" would not be blocked nor at least trigger a warning by Trusteer... I find it a pity.
Published by Philippe V.
-
dans
Veille sécurité
2 octobre 2011
7
02
/10
/octobre
/2011
21:35
Je milite depuis pas mal de temps déjà pour que les sites de banque (au moins) engagent des actions afin de vérifier la sécurité des postes de leurs clients qui s'y connectent.
En effet, il est peu utile de "blinder" un serveur Web si le poste client qui s'y connecte est compromis (porte dérobée, enregistreur de frappes au clavier, code viral détournant les fonctions réseau, etc).
J'ai donc été doublement intéressé par l'initiative de banques comme Boursorama qui proposent un utilitaire pour "durcir" le navigateur : Trusteer.
Mais peu après avoir installé l'engin, voici le premier rapport qu'il me sort :
"activation.trusteer.com" aurait un certificat invalide...
Que dois-je faire ? désinstaller le produit ?
La suite, bientôt...
============== Executive summary ==============
After having installed Trusteer, its first report told me that activation.trusteer.com had an invalid certificate...
Quite surprising, isn't it?
Published by Philippe V.
-
dans
Veille sécurité
