dimanche 13 mai 2007

Les ActiveX sont à la mode ...

J'ai encore reçu un mail avec du contenu actif aujourd'hui ! Cette fois-ci, il s'agit d'un spam[1] envoyé par une marque de lunettes de soleil bien connue.

Le contenu se présente sous la forme d'un clip vidéo, lu via un player Java "propriétaire".

Pour fonctionner, l'application nécessite une "clé" et une "vidéo" dans un format a priori peu connu, le ".VCS". A première vue, ce fichier consiste en une simple archive d'images JPEG (un JPEG animé, quoi).

Difficile d'en dire plus, puisque l'applet est protégée par un obfuscateur Java appelé DashO.

Encore une fois, cet éditeur se situe bien en deça des "bonnes pratiques" en matière de sécurité, compte-tenu du nombre de malwares qui se font passer pour un codec vidéo !

[1] Enfin à moitié seulement, il parait que j'ai donné mon email à un "partenaire" une fois ... partenaire qui compte 11 million "d'utilisateurs".

mardi 8 mai 2007

Maintenant que les jeux sont faits ...

On peut dire que cette élection présidentielle 2007 n'aura pas donné l'exemple en matière de sécurité sur Internet !

  • Typosquatting : chirac.com
  • Phishing : www.programme-bayrou.org (malheureusement plus en ligne, mais l'idée était rigolote : une fausse page d'erreur, adaptée au navigateur utilisé !)
  • Défacement : Wikipedia (lire l'histoire sur 01net, si vous ne la connaissez pas)
  • Autres tentatives de communication en ligne : DiscoSarko, Sarkonautes (là j'ai du mal à voir la stratégie ... je ne dois pas être expert en marketing du 12/25 ans !)
En tout cas, s'il y a bien une chose sur laquelle les candidats sont d'accord, c'est que le logiciel libre a de l'avenir !

C:\> telnet www.sarkozy.fr 80
HEAD / HTTP/1.0
Server: Apache/1.3.37 (Unix) PHP/4.4.5

C:\> telnet www.desirsdavenir.com 80
HEAD / HTTP/1.0
Server: Apache/1.3.33 (Debian GNU/Linux) PHP/4.4.6-0.dotdeb.2 with Suhosin-Patch


On notera que malgré un risque de piratage a priori plus faible, la candidate de gauche est mieux protégée que son concurrent ... à moins que la protection ne soit basée sur le facteur humain dans le deuxième cas :) Ca serait la moindre des choses, quand on fait tourner une boutique en ligne en PHP !

Le plus drôle reste à venir :

C:\> nslookup sarkozy.fr

Réponse ne faisant pas autorité :
Nom : sarkozy.fr
Address: 217.174.208.116

C:\> nslookup desirsdavenir.com

Réponse ne faisant pas autorité :
Nom : desirsdavenir.com
Address: 217.174.222.107


Proches comme adresses n'est-ce pas ? Effectivement, les 2 sites sont sous la responsabilité du même hébergeur (à savoir Agarik) !

C:\> whois 217.174.208.116

% Information related to '217.174.208.0/24AS16128'
route: 217.174.208.0/24
descr: AGarik Network
origin: AS16128

C:\> whois 217.174.222.107

% Information related to '217.174.216.0/21AS16128'
route: 217.174.216.0/21
descr: AGARIK Network
origin: AS16128


Une technique pour éviter les dénis de service par des militants zélés ? ;)

En tout cas l'UMP prévoit l'avenir, car ils possèdent au moins 2 netblocks :

C:\> whois 217.174.208.116
% Information related to '217.174.208.96 - 217.174.208.127'
inetnum: 217.174.208.96 - 217.174.208.127
netname: UMP-BLOCK2
[...]
inetnum: 217.174.219.176 - 217.174.219.191
netname: UMP-BLOCK1

Un coup de reverse DNS nous montre que tout est déjà prêt pour les prochaines élections !

Nom : www.u-m-p.org
Address: 217.174.219.177
Nom : www1.u-m-p.org
Address: 217.174.219.178
Nom : www2.u-m-p.org
Address: 217.174.219.179
Nom : bo.ump-legislatives2007.fr
Address: 217.174.219.180
Nom : www.nicolassarkozy2007.com
Address: 217.174.219.181
Nom : ump-legislatives2007.org
Address: 217.174.219.182
Nom : service-internet.u-m-p.org
Address: 217.174.219.183
Nom : sarkozy.fr
Address: 217.174.219.184
Nom : umpsend.u-m-p.org
Address: 217.174.219.185
Nom : videos-ump.fr
Address: 217.174.219.186
Nom : www3.u-m-p.org
Address: 217.174.219.188
Nom : www5.u-m-p.org
Address: 217.174.219.189
Nom : www4.u-m-p.org
Address: 217.174.219.190

Ce que confirme une recherche de virtual host par adresse IP :
217.174.219.177
217.174.219.178
217.174.219.181
217.174.219.182

samedi 5 mai 2007

Ceci n'est pas une attaque gratuite

Comme chacun sait, les vacances sont le moment idéal pour rattraper son retard. Voici donc quelques perles relevées dans mes nombreuses lectures :

Hackers Magazine n°17

L'auteur fait la liste des plugins FireFox les plus utiles. Il cite FireFTP, capture d'écran à l'appui (désolé pour la qualité du scan, l'image d'origine est toute petite).


Vu la légalité douteuse des fichiers partagés, l'auteur ne semble pas savoir que la réponse "66,246,167,248" à la commande "PASV" nous donne son adresse IP ... Le serveur en question se trouve chez Site5 (un hébergeur américain), et visiblement n'a pas vocation à faire autre chose que du FTP. Mais que fait la police ?

Passons maintenant à mon favori ... Hakin9 04/2007

Commençons petit par l'article sur OCS Inventory. Il s'agit a priori d'un bon produit d'administration ; le problème étant à mon sens que dans un magazine dont le sous-titre est "Hard Core IT Security Magazine", on attend un peu plus que "installer XAMPP sous Windows puis l'application PHP et vous êtes bons, même si l'installation sous Linux est plus sûre".

Je n'ai pas audité le code PHP, mais déjà le login/mot de passe par défaut est admin/admin. A bon entendeur ...

Le meilleur reste à venir : Hakin9 se lance dans le test de produits. Ce mois-ci : les firewalls personnels. Pour donner une idée de la méthode utilisée, 4 lecteurs du magazine (en l'occurence 4 étudiants) donnent leur avis sur un produit qu'ils ont acheté ...

Résultat des courses :

  1. Look'n'stop : 18/20
  2. Look'n'stop : 17/20
  3. Outpost 3.5 : 20/20 (rien que ça ! Je vous rassure, ça ne correspond pas à la moyenne des critères individuels pour ce produit)
  4. Norton Internet Security 2007 : 17/20
Wow ! Avec des arguments aussi élaborés que "le produit se met automatiquement à jour" (bizarre pour un firewall non ?) et "ce produit répond parfaitement à mes attentes", me voilà rassuré !

Un panel de produits minimaliste ; aucun mot sur la configuration de test (ces logiciels sont-ils compatibles Vista ?) et les techniques de protection utilisées (blacklist d'attaques connues, hooking userland ou kernelland, etc.) ; tout ça me semble un peu léger.

Précisons que la société Agnitum, éditrice du logiciel Outpost, est fortement liée à la société ESET, qui fait sa publicité en 4ème de couverture du magazine !

jeudi 3 mai 2007

Administration et Open Source : c'est pas gagné ...

Je parle bien sûr de l'administration française, pas de l'administration des réseaux informatiques :)

Comme beaucoup de contribuables 2.0, j'ai reçu ce mail hier :


Sauf qu'il semble y avoir un petit problème de sécurité :


En regardant le source du message, je ne peux pas en croire mes yeux (j'ai légèrement modifié le code pour passer les filtres de Blogger) :

[...]
Received: from mail.dgi.minefi.gouv.fr (mta3-milter-pas2.dgi.minefi.gouv.fr [145.242.2.164])
by lmin06.st1.spray.net (Postfix) with ESMTP id 7D04B340E4
for ; Thu, 3 May 2007 06:05:46 +0000 (GMT)
Received: from mail.dgi.minefi.gouv.fr (localhost.localdomain [127.0.0.1])
by localhost (Postfix) with SMTP id A96735E4C4E
for ; Thu, 3 May 2007 08:05:45 +0200 (CEST)
Received: from E59A-60.eole.dgi (e59a-60.eole.dgi [10.153.67.60])
by mail.dgi.minefi.gouv.fr (Postfix) with ESMTP id EC9365E4C43
for ; Thu, 3 May 2007 08:05:44 +0200 (CEST)
Received: from E59B-60.eole.dgi (unknown [10.153.68.60])
by E59A-60.eole.dgi (Postfix) with ESMTP id CF7561362C4
for ; Thu, 3 May 2007 08:05:44 +0200 (CEST)

Received: from localhost.localdomain (unknown [10.153.67.42])
by E59B-60.eole.dgi (Postfix) with ESMTP id AC2733BA66
for ; Thu, 3 May 2007 08:05:44 +0200 (CEST)


Date: Thu, 3 May 2007 06:05:44 UT

Subject: Impôts sur le revenu : Déclaration par internet
From: direction-generale-des-impots@dgi.finances.gouv.fr
X-Mailer: MIME::Lite::HTML 1.21
[...]
xmlns:v="urn:schemas-microsoft-com:vml"
xmlns:o="urn:schemas-microsoft-com:office:office"
xmlns:w="urn:schemas-microsoft-com:office:word"
xmlns:st1="urn:schemas-microsoft-com:office:smarttags"
[...]
meta name="ProgId" content="Word.Document"
meta name="Generator" content="Microsoft Word 11"
meta name="Originator" content="Microsoft Word 11"
[...]
o:mainfile href="2007_02_mel_abonnés_fidélisation_Vdepcomv=2.htm"
o:File HRef="image001.png"
o:File HRef="image002.jpg"
o:File HRef="image005.wmz"
o:File HRef="image006.gif"
o:File HRef="header.htm"
o:File HRef="filelist.xml"
[...]
o:documentproperties
o:author GRU
o:lastauthor dgi
o:revision 3
o:totaltime 0
o:lastprinted 2007-03-16T17:17:00Z
o:created 2007-04-18T15:23:00Z
o:lastsaved 2007-04-18T15:27:00Z
o:pages 1
o:words 355
o:characters 1955
o:lines 16
o:paragraphs 4
o:characterswithspaces 2306
o:version 11.5606
[...]

object classid="clsid:38481807-CA0E-42D2-BF39-B33AF135CC4D" id=ieooui
[...]


Pour résumer :

  • Ce mail a été rédigé avec Microsoft Office 2007 en format XML natif, ce qui explique sa taille incroyable (1455 lignes de code source, pour une trentaine de lignes de texte utile).
  • Les propriétés du document n'ont pas été supprimées avant envoi, d'où la fuite d'information sur l'auteur et la configuration Office.
  • Le mail contient des références à des contrôles ActiveX (ici le contrôle SmartTags). Si ces contrôles sont présents sur le poste du destinataire, et que sa configuration de sécurité est laxiste, ils seront exécutés.
  • Le mail contient des images aux formats PNG, JPG, WMZ, GIF et VML. Quant on connait le nombre de failles trouvées dans les décodeurs Microsoft pour ces formats, ça fait peur. Surtout le format WMZ qui est du WMF compressé : non seulement il serait possible d'exécuter du code sur les machines non à jour du patch MS06-001, mais en plus la compression ZIP risque d'empêcher l'analyse par les antivirus (j'espère que non, mais sait-on jamais ;).
  • Le mail n'est pas signé, alors que la DGI possède un certificat de confiance.
A mon avis, peut mieux faire !