Suivre ce blog Administration + Créer mon blog
17 septembre 2011 6 17 /09 /septembre /2011 21:44

Suivant régulièrement les évolutions des suites bureautiques "volatiles", leur système de mise à jour centralisé et realtivement réactif reste à mon avis une référence.

Cependant, ce soir, un message surprise est apparu pour la Liberkey :




Un certificat expiré en 2001 ? étrange.

L'avis d'Opéra sur le sujet est assez éloquent :

(1) Le nom du serveur "www.liberkey.com" ne correspond pas au nom du certificat "www.snakeoil.dom". Quelqu'un est peut être en train de vous espionner.

(2) Le certificat pour "www.snakeoil.dom" est signé par une autorité de certification inconnue "Snake Oil CA". Impossible de vérifier que ce certificat est valide

(3) Ce certificat pour "www.snakeoil.dom" a expiré 20/10/2001 19:21:00 GMT. Le webmaster devrait le mettre à jour 

Entre temps, est-ce que le système de mise à jour automatique de Liberkey a pu être détourné pour télécharger une charge virale ? tout est envisageable...

Partager cet article
7 septembre 2011 3 07 /09 /septembre /2011 22:08

As some people and I said earlier, a few Firefox extensions could be really useful regarding the Diginotar situation.


Here is what says Certificate Patrol after a few weeks of sleep (meaning not being used; until tonight):




There is a clear warning about the fact that the renewal wasn't due yet...


But, even worse, as you can see, the Calomel extension turns now to orange! here is what it says:




A weak symetric cypher, a weak hash, and a weak key length... well the certificate is said to be genuine this time, whereas it is most likely to be less secure that the former one?

Remember: the Calomel light used to be green about GMail...!


How could this be logical? I cannot assure the connection to GMail is more secure than during the DigiNotar operation!



Update 1 (8th of September):


Google API also running after a new certificate....



Also encrypted.google.com, the one you use when you ask for "Google secured search engine":



As you can see, Equifax provided the former certificate, but also the new one. This probably means Google doesn't want to take any risk, and changes every certificate; even if the Equifax' AC was not said to be compromised AFAIK.

BTW, keep in mind that the equifax.com domain was in the list of certificate-compromised websites.

See: https://isc.sans.edu/diary.html?storyid=11500&rss


And a last one: Google Analytics:


So Google apparently changes certificates even coming from its own AC... (Google Internet Authority).





What about Facebook? well, just have a look at the warning below, still coming from Cert Patrol:




Bye VeriSign!

Partager cet article
6 septembre 2011 2 06 /09 /septembre /2011 10:46

I've already posted something regarding my favourites Firefox extensions when it's about security. Let's point out here what would be useful to mitigate those AC / HTTPS certificates issues (see: http://blog.trendmicro.com/diginotar-iranians-the-real-target/):


- Certificate Patrol

- Calomel SSL

- CERT viewer plus

- SSL BlackList


I can tell I saw a "certificate change" for Google, a few days ago! (with Certificate Patrol).


And after that, yes, you may still want to use HTTPS Everywhere :)

Partager cet article
21 août 2011 7 21 /08 /août /2011 01:10

This article will aim to help a little bit the guys who try to understand/find tracks on a Tomtom GPS. The model being investigated is a Tomtom Rider 2, 2010.


First of all, extract the SD Card, and then plug it to a safe/secured computer.


At the root of the card, you'll find a file called settings.dat. You may open it using gVim. It contains the list of the cell phones that have been associated to the GPS (via Bluetooth connection).  

The syntax is quite simple, apart of a bit of garbage within the file: the phone name, and its MAC address (the separator is a simple comma).


Then the folder named "contacts" is quite interesting. It contains 3 files: called.txt, callers.txt, contacts.txt.

Those filenames are pretty relevant to the data the corresponding files contain. Furthermore, the data is in plain-text!

AFAIK, the "contacts.txt" file will only contain data if the cellphone contacts have been synchronized with the GPS (it does automatically offer synchronization the first time it's being associated via Bluetooth).


Then, depending on the principal map that has been used on the GPS, you'll find a folder named accordingly. For instance, here, the folder's name is "france".

Inside this folder, there are several files. One of them will probably be quite important to the analyst: MapSettings.cfg.

It contains the addresses that have been typed and triggered a roadmap calculation.

The file is in plain-text. It appears that the addresses are being chronologically printed.


Quite strange, at the end of the same file, there is the name and MAC address of the headset that has been used with the Tomtom (could be useful, who knows). Here it is: TomTom Headset (scala-rider),00:0A:9B:20:AE:99.


To those who may be interested, here is the whole list of files that are stored on the SD card:

liste fichiers GPS  SD card GPS files   


I hope this helps and will tell people how easy it is to find personal information about them... 



Partager cet article
14 août 2011 7 14 /08 /août /2011 19:45

While surfing on Twitter you may find such a profile... that may look interesting for a few guys :)



 As you can see, several posts dealing with men/women... and "being single"...


But what I find more interesting is the link, that is quite visible, just below the girl's name:



 This is in fact a redirection... pointing to: http://getiton.com/go/f49077.sub1281_&tpa=103758a9fb4001fb6a4add7cf4dd87


 Wow... even automatic translation to French! Verisign logo, to assure people it's safe to pay online, on this website...  


So, is the Twitter girl a real one, or a bot?... who knows. 


Partager cet article
14 juillet 2011 4 14 /07 /juillet /2011 00:24

For non French readers, executive summary follows.


Je vais présenter ici une liste d'extensions pour Firefox, qui permettent de protéger la navigation, et non pas d'auditer des sites ou applications.

Il y aura certainement des points communs avec Firecat, mais l'objectif n'est pas le même ici : le durcissement de la navigation.


- Netcraft toolbar : protection anti-hameçonnage

- Phishtank SiteChecker : idem que Netcraft


- Adblock Plus : protection anti-publicité (prendre les listes FR + USA)

- Search Engines Security : protection contre le détournement des moteurs de recherche

- Webreputation./org : pour évaluer une URL de façon communautaire

- WOT (Web Of Trust) : idem que Webreputation.org


- McAfee Secure URL Shortener....


- QuickJava : pour pouvoir bloquer à la demande : Java, Javascript, Flash, Silverlight, CSS... je le préfère à NoScript, vu qu'il est capable de bloquer plus de contenus actifs.

- CSFire : protection contre les CSRF (lien avec les tops OWASP)

- BetterPrivacy

- Calomel SSL Validation : pour vérifier/évaluer les certificats HTTPS

- Certificate Patrol : pour suivre les changements dans le magasin de certificats du navigateur

- HTTPS everywhere : forcer le HTTPS sur des sites proposant à la fois HTTP et HTTPS

- SSL BlackList


- Dr Web Antivirus Checker : pour pouvoir vérifier un fichier par simple clic droit.


- Browser Protect : contre le détournement des réglages du navigateur...





--------------------------------------- Executive summary ------------------------------------------


Here is a list of Firefox add-ons that I do recommend in order to harden the browser's security.


- Netcraft toolbar 

- Phishtank SiteChecker


- Adblock Plus 

- Search Engines Security 

- Webreputation./org 

- WOT 


- McAfee Secure URL Shortener....


- QuickJava 

- CSFire 

- BetterPrivacy

- Calomel SSL Validation 

- Certificate Patrol 

- HTTPS everywhere 

- SSL BlackList


- Dr Web Antivirus Checker 


- Browser Protect 

Partager cet article
11 juillet 2011 1 11 /07 /juillet /2011 23:10

NB: for non English speaking people, use a translator such as translate.google.com


Once I had (last!) received my invitation to Google+, I started to play around with it. I will not describe here my feeling about the concept by itself, but will go straight to the point: the privacy.


One of my contacts told me he could see some others contacts, on my Google+ profile, that he does not know, and that were said to be "In Philippe's circles"...


Wow, I realized he was seeing some of my contacts, personal and/or professional ones, and I did not say Yes for that first, to my knowledge...


At once, I went to Google+ settings (on the upper right corner), and then: "Profile and privacy":



It is true to say that Google offers a mean to understand how you own profile will be seen by others: just enter their name, and click Preview.


Then came the real issue: yes my contacts, mixed pro/perso, were visible to anybody, on my profile... Is there a particular setting for that? fortunately, yes!


Click on "edit profile", then on the area where your contacts are being displayed to others, on your own profile:





No, you do read right... by default, all your contacts will be prompted to "anyone on the web", and above all, your last activity (people adding you to circles), will also be there...


In a nutshell, I do recommend you to:

- either choose the circles of people you accept to be shown on your profile, or just disable the "show people"

- disable the "show people who have added you to circles", if you think you'll be part of confidential circles...


Partager cet article
23 juin 2011 4 23 /06 /juin /2011 00:24

For non-French speaking people, I suggest you to use http://translate.google.com/translate?js=n&prev=_t&hl=en&ie=UTF-8&layout=2&eotf=1&sl=fr&tl=en&u=http%3A%2F%2Fwww.ph-v.net%2Farticle-socialbox-de-facebook-et-la-securite-77526428.html



Ayant reçu l'invitation suivante, j'ai préféré ne pas la jeter aux indésirables et jouer le jeu :



J'ai donc cliqué sur le lien "de téléchargement". Au passage, je ne sais toujours pas qui, de mes contacts, m'a invité sur SocialBox...


Première surprise, un clic sur le lien m'amène sur l'avertissement Facebook suivant :



Je ne vois pas trop le lien avec l'application SocialBox, mais il semble qu'il faille rabaisser la sécurité de Facebook (ie désactiver le HTTPS) pour y accéder. Pas très rassurant. Je tente quand même...


Là, on me demande mon accord pour que l'application, que je n'ai pas vue, accède à mes données. Ok sur le principe, mais concrètement, je ne sais toujours pas où je vais...




Ok, je tente (toujours)...


J'arrive enfin au téléchargement de l'application. Tiens, un avertissement Adobe AIR apparaît. C'est du du Flash, porté à l'extérieur du navigateur.




On remarquera qu l'avertissement parle de SocialBox, avec sa version (1.96.23.air), mais surtout, que l'application est sur le nuage d'Amazon : s3.amazonaws.com. Donc, l'application n'est en soi pas hébergée par Facebook. Est-ce une application officielle ? difficile à dire en l'état.

Je vais donc pousser plus loin et faire "ouvrir".


A ce moment-là, la sécurité applicative AIR intervient. Un message me demande de confirmer que je veux installer l'application sur mon ordinateur :




Il apparaît donc qu'en fait, c'est Zoosk qui a signé l'application. Pas Facebook, pas Amazon. Comment faire le lien, comment être sûr qu'il s'agit bien d'une application légitime et officielle ?

Zoosk est plus connu pour son système de rencontres amoureuses proche de meetic...


Je tente encore en faisant "installer".


La, c'est une acceptation de la licence d'utilisation qui est nécessaire, la fameuse EULA. Tout en anglais, je me demande comment les non anglophones et non juristes, pourront s'y retrouver.

Mais toujours OK sur le principe.



Je vais donc accepter !


Bilan : ai-je installé une application officielle Facebook ? aucune idée réelle.

Cette application a demandé des accès à mon compte, que j'ai du valider avant d'apprendre qu'elle n'était pas signée par Facebook... mes données personnelles vont-elles être compromises ? je ne le sais.


Bref, en l'état, je ne peux recommander d'utiliser cette application ni ce mode de publication d'applications facebook !




Niveau protocolaire :


Quelques surprises, bonnes et mauvaises :


Les destinations des requêtes :

Non, il n'y a pas que Facebook...Voici une capture réalisée en lançant SocialBox, session préalablement fermée :



Le cache DNS local de la machine jouant, les réponses ne sont pas toutes visibles.


Voici la liste miniale des domaines qui semblent nécessaires :

- canary.msg.zoosk.com

- api.facebook.com

- www.google-analytics.com

- dodafhx8iz0gg.cloudfront.net

- login.socialbox.com

- chat.facebook.com

- graph.facebook.com

- www.facebook.com

- static.ak.fbcdn.net

- chat.facebook.com


Au passage, il est notable que l'authentification de session se fait avec login.socialbox.net. Facebook aurait donc mis un SSO entre leurs infrastructures et celles de socialbox.net ?



Le protocole de chat :

C'est du Jabber !

Port destination TCP 5222. Je doute qu'il soit ouvert sur les pare-feux des entreprises ayant une vraie architecture de filtrage des accès vers Internet... une charge en perspective pour les administrateurs réseau, les assistances utilisateurs, et les acteurs sécurité !


Mais surtout, le chat se fait en clair !



Comme on peut le voir, le mot "bye" a bien été envoyé au contact de la session Facebook.



L'authentification :

Est bien chiffrée en TLS v1, donc cela semble plutôt sérieux.

Elle se fait avec api.facebook.com au départ. Puis, avec login.socialbox.com.



Les autres requêtes :

En fait, la toute première requête pour ouvrir l'interface d'authentification, se fait vers canary.msg.zoosk.com.

Elle indique en "agent utilisateur" :

Mozilla/5.0 (Windows; U; fr-FR) AppleWebKit/531.9 (KHTML, like Gecko) AdobeAIR/2.7

Tiens, pourtant, Safari (pour Webkit ?) n'est pas installé sur la machine.



Après authentification, il semble que SocialBox envoie régulièrement ce qui pourrait être une signature de la configuration de l'utilisateur. Exemple de requête :

 GET /__utm.gif?utmwv=4.3as&utmn=2107487742&utmt=event&utme=5(login*login%20-%201.96.13)&utmcs=UTF-8&utmsr=1680x1050&utmsc=24-bit&utmul=fr&utmje=0&utmfl=10.3%20r181&utmhid=1232853870&utmr=-&utmp=&utmac=UA-20714458-3&utmcc=__utma

Eléments reconnaissables, par extrapolation :

- &utmfl=10.3 : Flash, effectivement en version 10.3 sur la machine

- &utmsr=1680x1050&utmsc=24-bit : configuration écran, 24 bits en 1680 par 1050...

- &utmcs=UTF-8 : encoage des caractères par défaut accepté sur le système ?

- &utme=5(login*login%20-%201.96.13) : version de l'application SocialBox, effectivement en 1.96.13


En fait, cette requête est envoyée à l'adresse IP :   qui est, comme l'indique le champ "host" de HTTP : www.google-analytics.com !

Ainsi donc, Facebook et/ou l'application SocialBox, feraient des statistiques d'audience via Google Analytics ?



Mise à jour 1 :


Il semble que Facebook ait adopté la logique de Google, pour le déploiement automatique et "forcé" des mises à jour de son application.


Ci-dessous, quelques exemples de notification :


Le 24/06/2011 :




Les notes de publication ne sont pas très bavardes...


Puis, le 01/07/11 :



A ce rythme-là, on sera en version 10 en moins de 6 mois... mais quels sont réellement les changements apportés à l'application ? cela semble opaque.


Le 23/07/11:




Toujours aucune info sur les modifications apportées à l'application... par contre, les privilèges administrateur sont encore nécessaires pour l'installation...





Côté antivirus


42 moteurs antiviraux différents (en version ligne de commande) ne disent rien pour la version 2.108.5 de SocialBox :

Antivirus Version Last update Result
AhnLab-V3 2011.07.02.00 2011.07.01 -
AntiVir 2011.07.01 -
Antiy-AVL 2011.07.01 -
Avast 4.8.1351.0 2011.07.01 -
Avast5 5.0.677.0 2011.07.01 -
AVG 2011.07.01 -
BitDefender 7.2 2011.07.01 -
CAT-QuickHeal 11.00 2011.07.01 -
ClamAV 2011.07.01 -
Commtouch 2011.07.01 -
Comodo 9244 2011.07.01 -
DrWeb 2011.07.01 -
eSafe 2011.06.29 -
eTrust-Vet 36.1.8421 2011.07.01 -
F-Prot 2011.07.01 -
F-Secure 9.0.16440.0 2011.07.01 -
Fortinet 2011.07.01 -
GData 22 2011.07.01 -
Ikarus T3. 2011.07.01 -
Jiangmin 13.0.900 2011.07.01 -
K7AntiVirus 9.107.4863 2011.07.01 -
Kaspersky 2011.07.01 -
McAfee 5.400.0.1158 2011.07.01 -
McAfee-GW-Edition 2010.1D 2011.07.01 -
Microsoft 1.7000 2011.07.01 -
NOD32 6258 2011.07.01 -
Norman 6.07.10 2011.07.01 -
nProtect 2011-07-01.01 2011.07.01 -
Panda 2011.07.01 -
PCTools 2011.07.01 -
Prevx 3.0 2011.07.01 -
Rising 2011.07.01 -
Sophos 4.67.0 2011.07.01 -
SUPERAntiSpyware 2011.07.01 -
Symantec 20111.1.0.186 2011.07.01 -
TheHacker 2011.07.01 -
TrendMicro 2011.07.01 -
TrendMicro-HouseCall 2011.07.01 -
VBA32 2011.07.01 -
VIPRE 9743 2011.07.01 -
ViRobot 2011.7.1.4544 2011.07.01 -
VirusBuster 2011.07.01 -
MD5: b8489a7be4650d393ee07510bf941190
SHA1: 17becc34c4e3ab8557f82671d692d3c2ad7f9ab7
SHA256: 6f4dfc366db28de862036e92076f1ab275f1d61b14825bc41362689ac06a69fa
File size: 142848 bytes
Scan date: 2011-07-01 20:47:38 (UTC)



Toutefois, pour Microsoft Windows Defender, socialbox.exe semblerait suspect, et "devrait leur être envoyé", afin d'améliorer l'efficacité du programme :




Espérons que le support Microsoft est bien dimensionné, car il risque de recevoir une pluie de fichiers "socialbox.exe" !


NB : du coup, il me semble intéressant de noter que SocialBox a été déplacé sur le disque, il est passé de users\username\appdata\roaming\socialbox, à  program files (x86)\sociabox

Partager cet article
21 juin 2011 2 21 /06 /juin /2011 01:35

Lors d'une simple mise à jour d'un pilote graphique NVidia, j'ai trouvé intéressant le fait qu'une installation imprévue de Kaspersky s'active, et aille même jusqu'à bloquer la procédure en cours pour Nvidia.




La version affichée comme devant s'installer est la Pourtant, comme l'indique la capture d'écran, la version déjà installée est justement la !

Donc, Kaspersky lance une ré-installation forcée. Elle court-circuite la procédure de Nvidia, puisque tant que Kaspersky n'est pas réinstallé au moins en partie, l'utilitaire d'installation Nvidia se trouve comme bloqué...


Ceci confirme bien l'interaction très forte à présent entre Kaspersky et les pilotes graphiques.


Par conséquent, demain, en cas de problème avec la carte graphique (performances, voire crash), que faut-il regarder ?

- problème matériel (classique)

- bogue du jeu/de l'application graphique

- problème de pilote constructeur

- ou... conflit avec Kaspersky ? (bien moins évident à première vue...)



Pire, la réinstallation de Kaspersky déclenche l'avertissement de Windows 7 qui demande si l'on veut bien faire confiance à KAV :




C'est un peu étonnant pour un produit de sécurité, AMHA.


A ceux que cela peut aider...

Partager cet article
6 juin 2011 1 06 /06 /juin /2011 00:31

Voici l'avertissement que j'ai eu en me connectant ce soir à l'interface d'administration du blog :



Cela me semble un peu surprenant sachant que la machine est un Windows 7, avec IE 9 (version 9.0.8112.16421), et tous les correctifs...


Il est donc d'autant plus nécessaire d'avoir divers navigateurs sur la même machine : car dans ce cas, malgré l'utilisation de IE 9, certaines fonctions nécessaires d'administration du blog ne fonctionnaient plus (mode de compatibilité ou non).


Je ne peux que recommander d'avoir sous la main Opéra, voire Chromium !

Partager cet article