Cedric PERNET - Forensics, Malware & Cybercrime

Aller au contenu | Aller au menu | Aller à la recherche

mardi 11 mars 2014

Incidents de sécurité : qui sont les « responders » ?

Une interview de votre serviteur vient d'être publiée, à propos des "incident handlers" ou "incident responders" ... Ca se passe ici, et merci à Jérôme Saiz :-)

jeudi 12 décembre 2013

BOTCONF 2013 : A real success !

The french computer security landscape is not very known for its ability to communicate and organize huge computer security events. This might change, seeing the recent BOTCONF conference, which was held on the 5-6th December 2013 in Nantes, France. This conference had been awaited by the whole french computer security community for quite long and I can tell you it was worth waiting for.

BOTCONF is the "1st Botnet Fighting Conference" as it describes itself. The schedule for the conference, published some time before the actual conference, was already quite a nasty bit of a teaser, showing awesome presentation titles.

I have to say I have not been disappointed by the content, which I will describe later. It was very good, and showing how international the conference was. Yet the best part of BOTCONF was probably the social networking around it. As the official @botconf Twitter account mentioned, there were 23 countries at BOTCONF. Be it the pauses between presentations, the lunch, the official dinner, everything was done so that everyone would spend all their time together and talk. It was a great occasion to meet a lot of partners and friends, in a very nice place.

The organizing committee of this conference is the International botnets fighting alliance / Alliance internationale de lutte contre les botnets (AILB-IBFA), a not for profit organization registered in France and lead by Eric Freyssinet (@ericfreyss).

Just to say a quick word about the organization: it's been amazing. Some of you might know the pain and work it takes to organize such an event, yet the BOTCONF organizers have done it like they had done it fifteen times before. They even managed to stream most of the presentations in real time, which was very nice for all the people who could not attend the event. Congratulations dudes, you have done a great job !

Now for the content of the presentations. I will be very short, almost all of the material has been published on the schedule page of the event.

  • Preliminary results from the European antibotnet pilot action ACDC. Integrating industry, research and operational networks into detecting and mitigating botnets
This presentation was done by Ulrich Seldeslachts, Managing Director of LSEC. The presentation was about the ACDC project, a collaboration of 28 partners in 14 European member states. For those about to Rock, ACDC stands for "Advanced Cyber Defence Centre". The goal of ACDC is to integrate the industry, research centers and operational networks together to improve the fight against botnets, from the detection to the mitigation. More information about this project can be found here and here.

As my good friend @xme mentioned in his excellent blog post about the event, "The biggest message passed to the audience was: “We need your help!”"

  • Advanced Techniques in Modern Banking Trojans
This presentation was done by Thomas Siebert, Manager System Security Research from GDATA.
Thomas showed us how a banking trojan worked and how it could bypass two factor authentication. Bankpatch trojan was shown as an example, together with Feodo+SmsSpy and URLZone. Next focus was put on browser hijacking techniques, on 64bits systems and on Chrome hooking difficulties. BankGuard, an antihook solution from GDATA was also exposed. Thomas finished his speech by talking about more recent C&C structures: BankPatch, ZeuS P2P (GameOver) and Tor trojans.

  • Spam and All Things Salty: Spambot v2013
Presentation done by Jessa Dela Torre, Senior Threat Researcher at TREND Micro.
Jessa's goal here was to provide us with information about spam campaigns which uses various compromised CMS (mostly Joomla and Wordpress, very few Drupal) as a way to send spam. On most of these compromised servers, some C99shell or WSO panels were found, to ease tasks for the cybercriminals. Since mid-April 2013, Jessa found approx. 240 000 compromised websites, each sending an average of 1497 spam on a single date.

  • Distributed Malware Proxy Networks
Presentation done by Nick Summerlin (iSIGHT Partners) & Brad Porter (Internet Identity).
They reminded us that cybercriminals do use a lot of proxies to protect their identity and anonymity on Internet. Different proxy networks (Kol, Mango, Fluxxy as they named it) were shown, as well as ways to detect them.

  • Legal limits of proactive actions: Coreflood botnet example (short talk)

Presentation done by Oğuz Kaan Pehlivan about the legal difficulties of fighting botnets. Example taken is the Coreflood case. While cybercriminals do not follow any rules except theirs, security researchers and all the botnet fighters must act according to the law, which makes it much more difficult, often on the edge between legal and not legal.

  • Back to life, back to correlation (short talk)

Presentation done by Vasileios Friligkos, Security consultant at Intrinsec. This short talk was about detecting botnets by using certain indicators of compromise (IOC). The goal is to stop relying on usual signatures to focus on behavioral anomalies. To do this, one needs to collect a lot of data (from the network, from the hosts) and have efficient ways to analyze it. A very interesting talk which would have deserved much more time at BOTCONF.

  • Using cyber intelligence to detect and localize botnets (short talk)
Presentation done by Enrico Branca. Enrico started by saying that he didn't trust Python low level libraries and coded his own, with two friends. Then he would use it to do some heavy analysis on legitimate traffic from Internet to find botnets and malware activity.

  • Zombies in your browser
Presentation done by Himanshu Sharma and Prakhar Prasad. As the name says, this presentation was about cybercriminals abusing browsers to do their dirty deeds. A focus was made on add-ons, reminding us that we should always be very careful when adding new plugins to our favorite browser. Some demos ended the talk.

  • Spatial Statistics as a Metric for Detecting Botnet C2 Servers
Presentation done by Etienne Stalmans, Security Analyst at SensePost. I have to say I found this presentation fantastic. The goal for the researcher was to find an accurate, lightweight, fast way for detecting botnet traffic, without prior knowledge. Focusing on fast-fluxed botnets, he showed something very simple yet very clever: fast-fluxed C&Cs have domain resolution leading to several A records, but they're "geographically speaking" very far. Usual "legitimate fast-flux domains" do have IP addresses which are usually very close, or in the same country. Botnet herders do not care about this, and this can be detected easily. The author also showed other classifiers, which you can read about in his slides and paper.

  • The Home and CDorked campaigns : Widespread Malicious Modification of Webservers for Mass Malware Distribution
This presentation was done by Sébastien Duquette, malware researcher at ESET Canada. Sébastien showed us two "mass malware infection" attacks known as "Home" and "CDorked" campaigns. This presentation was very interesting and reminds us that attackers compromise more and more of Linux web servers to spread malware.

  • Malware Calling (short talk)
This short talk was given by Tomasz Bukowski, Maciej Kotowicz and Lukasz Siewierski from the CERT.pl team. Their talk was about PowerZeuS, the famous trojan. At the time of writing, the slides and paper presenting this work have not been put online, but you can read this paper from these researchers.

  • DisAss (short talk)
This short talk was done by Ivan Fontarensky, security expert and reverse engineer at CASSIDIAN CyberSecurity. The goal was to announce the release of one of his software into the open-source world. DisAss is a framework dedicated to automate various reverse engineering tasks. It makes it easier to extract interesting data from malware.

  • Efficient Program Exploration by Input Fuzzing (short talk)
Short talk given by Thanh Dinh Ta, CNRS-INRIA researcher. The goal here was to fuzz malware in order to find all their hidden features. While it might sound very interesting, the slides showed far too much assembly code and lost a lot of people in the crowd.

  • The power of a team work – Management of Dissecting a Fast Flux Botnet, OP-Kelihos “Unleashed” (short talk)
This presentation was done by Hendrik Adrian and Dhia Mahjoub from the famous @MalwareMustDie team (pictures?). MalwareMustDie has done a hell of a job on Kelihos botnet and obtained great results, which they wanted to share with the community at BOTCONF (pictures?). They showed the technical aspects of the Kelihos botnet (pictures?), before switching to their investigation and the disclosure of a lot of information about its author. (pictures?) Hendrik and Dhia showed us that such a team work can bring awesome results, and more efforts like this one should be done in the future ! (pictures?)
The presentation was breathtaking, it could have been longer and... well... MalwareMustDie tshirts are excellent ;-)

  • Perdix: a framework for realtime behavioral evaluation of security threats in cloud computing environment
Presentation done by Julien Lavesque from ITrust. Based on the observation that behavorial analysis is nearly impossible in the cloud, ITrust decided to develop a framework to collect and analyze cloud data. Some examples have been shown, where the solution could detect one phpBB vulnerability, one IRC communication, one data exfiltration, and some network scanning.

  • Participatory Honeypots: A Paradigm Shift in the Fight Against Mobile Botnets
This presentation was done by Pasquale Stirparo (European Commission). Pasquale started by reminding us that malware on smartphone is mostly on Android (79% of all mobile malware) and grows fast (1K new samples a day). Pasquale then showed differences between "normal" and mobile botnets, and underlined several problems with the mobile botnets (SMS is still a huge infection vector and we cannot block SMS, most mobile phones are up 24/7 so it can be used for DDoS/spam, etc.). Therefore, it is a good idea to build a participatory honeypot to share good information about these threats.

  •  My name is Hunter, Ponmocup Hunter

This presentation was done by Tom Ueltschi, Cyber Security Expert at Swiss Post. Tom provided us with a great presentation of all his work around the malware named Ponmocup. By the way, speaking of naming, Tom showed us that malware naming from various antivirus companies was tough on this malware family. Tom's presentation from BOTCONF is not available at the time of writing but you can find a very close version here. This presentation has been very interesting and could have lasted for longer. Tom is a great speaker and we really enjoyed his humble way of presenting his results. Tom spoke about the way he started investigating on that malware family, before diving in the technical details on the malware and investigating it.

  • Reputation-based Life-course Trajectories of Illicit Forum Members
Presentation done by David Décary-Hétu, Senior scientist and lecturer at University of Lausanne, Switzerland. This presentation aimed to provide a new understanding of how individuals accumulate reputation by looking at an illicit forum where participants talk about botnets and buy/sell botnet-related services. To do so, David has collected data on forum members as well as their reputation level over a period of several months. The final goal would be to to create tools that would identify key players in the online criminal underground before they have reached their full potential.

  • APT1: Technical Backstage
Presentation done by Paul Rascagneres (malware.lu). This presentation was about Paul's recent works around the Poison Ivy malware family. To make it short, Paul scanned some suspicious IP ranges for indications of Poison Ivy C&C and compromised them for research purposes. He did so by finding a vulnerability and developing an exploit for it. He also found another RAT (Remote Administration Tool) called Terminator while he was investigating. It is just a pity he was trapped in a Virtual Machine in the end, we would have loved knowing more about the attackers's environment and tools.

  • Europol and European law enforcement action against botnets
Presentation done by Jaap van Oss from the European Cybercrime Centre (EC3).The goal here is to build a cross-border coordination, between providers, researchers, law enforcement, experts, on active cybercriminal groups (their roles, modus-operandi, events, etc).

  • A General-purpose Laboratory for Large-scale Botnet Experiments
Presentation done by Thomas Barabosch from Fraunhofer. Thomas showed us the results of his researches on creating a large laboratory for botnet experiments. To be short, he showed us the lab he built to create a botnet made of 1500 virtual Windows XP machines.

  • DNS Resolution Traffic Analysis Applied to Bot Detection
Presentation done by Ronan Mouchoux. This presentation has been very impressive. Ronan showed two tools: MalwareTrap, which is made of a serie of scripts to detect, alert, and build statistics about infections, and DomainTrap. DomainTrap is amazing: it allows to detect botnet C&Cs in DNS logs, as long as the domain name has been generated by a DGA (Domain Generation Algorithm). Based on the idea that DGA domain names are human unreadable and human unpronounceable, Ronan build up a solution to raise alerts in these cases, with the help of some additional mathematics. Very clever.

  • Exploit Krawler: New Weapon againt Exploits Kits
This presentation was done by Sébastien Larinier and Guillaume Arcas, both working at Sekoia. They showed us the framework they have built to detect exploit kits and their behavior, and download the malware associated to it. They showed the limits of a manual collecting method (run a VM, launch a vulnerable browser, go to the infecting URL, etc.) and decided to build an automated tool to do that, based on several virtual machines.

  • BladeRunner: Adventures in Tracking Botnets
Presentation done by Jason Jones from Arbor Networks. Jason discussed the monitoring mechanisms they have, and showed botnet family case-studies, highlighting results they have obtained from their system. Jason concludes by offering a toolkit which allows others to conduct similar investigations (code not available at the time of writing).

  • The hunter becomes the hunted – analyzing network traffic to track down botnets
Presentation done by Thomas Chopitea, Incident Handler at CERT Societe Generale. Thomas showed his tool named Malcom to the crowd. The goal of this tool is to find actionable intelligence, optimize time spent on the case, and have a good visualization tool. The tool is available online.

This concludes my quick write-up about the BOTCONF conference. Sorry for the delay, I've been quite busy these days. Once again, I want to thank and salute all of the organization staff. They have done a great job, and I bet everyone who's been there will probably go to the next edition of this event.

At last, I would like to send a particular warm hello and thank you to all the people I've met there. It was a great pleasure seeing you guys. Hope we will meet again at next BOTCONF, which, as the rumor spreads, will probably be held in another part of France ;-)

... And please allow me sending a special greeting to the SECURITY DRUNKYARDS. You know who you are ;-)

jeudi 3 octobre 2013

Sensibilisation des employés au Spear Phishing: le fail assuré.

On entend souvent parler, lorsqu'est évoqué le sujet des attaques de type "APT", de "spear phishing".

Alors le spear phishing, c'est quoi ?

Dans un contexte général, le spear phishing consiste à cibler précisément une personne et lui envoyer un contenu e-mail personnalisé, pour maximiser les chances que cette personne ouvre le courriel et tombe dans le piège tendu par l'attaquant (généralement, une infection par malware).

Imaginez qu'une personne veuille prendre le contrôle de votre ordinateur. Elle sait que vous êtes relativement sensible à la sécurité informatique et que vous n'ouvrez pas n'importe quel e-mail. Par contre, vous êtes passionné de guitare et collectionneur. C'est en tout cas ce que dit votre profil Viadeo (partie "mes centres d'intérêts") et/ou votre profil Copains d'avant. En plus, vous avez indiqué que vous habitiez à Nogent sur Tartiflette, petite commune perdue quelque part en France.

Votre attaquant sait que vous n'ouvrirez jamais un mail générique de type "Livraison UPS", "Réduction de malade chez RueduCommerce" ou encore "On ne se connait pas mais tu es le droïde de ma vie je m'appelle Marvin écris-moi vite bisous".

Par contre, quelles sont honnêtement les chances que vous ouvriez un mail intitulé "Nouveau magasin de guitares vintage - ouverture imminente à Nogent sur Tartiflette" ? Pire, quelles sont les chances pour que vous l'ouvriez, s'il vient d'un de vos proches, et contient juste un message "t'as vu, y'a un nouveau magasin de grattes qui va ouvrir près de chez nous" accompagné d'un PDF ?

Je dirais que les probabilités sont assez hautes, largement plus en tout cas que pour un contenu générique. Evidemment, la pièce jointe ou le lien contiendra un malware, et ce sera le début de la fin pour votre ordinateur et peut-être votre compte bancaire, ou vos données sensibles.

Le spear phishing ciblant les particuliers est relativement rare pour le moment, d'autres méthodes de phishing plus traditionnelles continuant à être efficace et permettant de jouer sur l'effet de masse. Je pense à ces grosses campagnes de phishing de différentes banques que vous voyez passer régulièrement, qui continuent à bien fonctionner avec certains utilisateurs crédules.

Du point de vue de l'attaquant, le spear phishing nécessite un déploiement d'efforts non négligeables et surtout du temps, afin de bien cibler la victime. Des formes de ce que j'appellerais du "semi spear phishing" existent néanmoins. Pour poursuivre sur notre exemple précédent, on pourrait imaginer que vous soyiez inscrit sur un forum de collectionneurs de guitare. L'attaquant pourrait compromettre le forum, récupérer toute sa base de donnée, et par conséquent toutes les adresses e-mail des membres, puis envoyer un e-mail alléchant parlant de vente de guitares vintage à tout le monde. Le taux de clic sur sa pièce jointe infectée devrait grandement le satisfaire... Et vous feriez probablement partie des grands gagnants.

En entreprise, les choses sont différentes. Un mail vous parlant de guitare devrait naturellement éveiller votre suspicion, étant donné que vous ne recevez que des e-mails professionels (en théorie).

Le spear phishing en entreprise consiste donc à infecter un ou des employés en leur envoyant un contenu qui semble être professionel et cohérent. Le but de la manoeuvre, lors d'une attaque de type APT, est d'entrer dans l'entreprise. Peu importe l'employé infecté, à partir du moment où son poste sera compromis l'attaquant disposera de la capacité de rebondir de là pour compromettre d'autres machines.


En tant qu'employé, il est fortement recommandé de:

* Ne pas croire que la protection de l'entreprise (après tout, il y a deux anti-virus, des filtres pour les navigations Internet, des firewalls, des antispams etc.) va tout faire à la place de l'utilisateur, et qu'un virus ne peut pas arriver par mail. Les attaquants, même d'un faible niveau technique, sont tout à fait capables de contourner tout cela.

* Ne pas ouvrir de mail qui proviennent de personnes inconnues. Si le doute persiste et que le mail est déjà ouvert, veiller à ne pas ouvrir les pièces jointes contenues dans ce mails et ne pas cliquer sur un éventuel lien contenu dans ce mail.

* Ne surtout jamais répondre à aucun mail de ce genre (cela pourrait donner des informations sur le système d'information à l'attaquant, telles que l'antispam utilisé, l'anti-virus, la version du serveur de mail, etc.)

* Se maintenir sur le qui-vive. Un attaquant peut très bien faire croire qu'un e-mail provient d'un collègue de travail. En cas de doute, il convient de confirmer la légitimité de ce mail avec l'émetteur (par téléphone ou rencontre, pas par mail) avant d'ouvrir la ou les pièces jointes.


Même s'il semble venir d'une personne connue du destinataire, voici des éléments qui devraient inciter à la suspicion:

- L' utilisation de phrases/tournures inhabituelles de la part de l'émetteur.
- L'absence de signature de mail, alors que l'émetteur en ajoute toujours une.
- Le sujet de l'e-mail. Est-ce crédible de mailer quelqu'un pour le motif invoqué ?
- Le ressenti par rapport au contenu. Ce mail a-t-il été envoyé dans le seul but d'ouvrir une pièce jointe ou de cliquer sur un lien ?

Vous l'aurez compris, plus les attaquants en savent sur vous et vos collègues, plus ils auront de chances de créer un e-mail crédible et vous le faire ouvrir. Parmi les techniques "habituelles" utilisées par les attaquants lors d'APT, on peut citer les e-mails contenant des noms de projets en cours, des propositions de réunion, des demandes de consultation de documents, des informations sur des concurrents, des opportunités à saisir, etc.

En matière d'APT, le Spear Phishing constitue la méthode la plus utilisée actuellement par les attaquants pour compromettre certains postes de travail d'entreprises et pouvoir compromettre tout le réseau, avant de dérober de l'information sensible. Le spear phishing est utilisé dans 91% des APT (étude Trend Micro)

L'attaque par spear phishing est efficace, et facile à mettre en oeuvre. Pour les RSSI, il convient donc de sensibiliser régulièrement les employés sur ce risque, quitte à procéder de temps en temps à des simulations réelles.

Un employé sensibilisé est un maillon de moins pouvant constituer une infection initiale lors d'une APT. Cependant, plusieurs groupes de personnes extérieures à l'entreprise, qui n'ont aucune notion de sécurité informatique, viennent semer le doute dans l'esprit de ces employés sensibilisés: les marketeux, les commerciaux, les chasseurs de tête, les meneurs d'études, les statisticiens, etc.

Ces gens n'ont aucun scrupule à envoyer des spam par milliers, à destination de personnes qui ne leur ont rien demandé. Leurs e-mails n'usurpent pas l'identité d'autres employés, mais ils contiennent de quoi semer le doute dans l'esprit d'un utilisateur averti.

J'en prends pour exemple un e-mail, reçu par votre serviteur cette semaine sur son adresse e-mail professionnelle (j'en ai anonymisé certaines parties avec des x):

De : Rachel xxxxx survey@areyounet.com
Envoyé : mercredi 2 octobre 2013 10:43
À : Pernet, Cedric
Objet : Enquête sur l'équipement mobile des ingénieurs et techniciens sur le terrain


Je mène actuellement une grande enquête au niveau national sur l'équipement mobile des ingénieurs et techniciens sur le terrain. Pour mener à bien cette opération, je travaille en partenariat avec xxxxx, acteur majeur sur le marché français.

Répondre au questionnaire vous prendra moins de 4 minutes.

Grâce à vos réponses nous pourrons faire un état des lieux de l'équipement mobile des entreprises et avoir une tendance des besoins et des investissements à venir.

Accéder au questionnaire

Je vous remercie par avance du temps que vous y consacrerez.

Bien cordialement,

Rachel xxxxxx
Etudes & Statistiques

Si vous souhaitez ne plus répondre à nos enquêtes, rendez-vous ici

Je dois bien avouer qu'à la lecture de cet e-mail, je me suis demandé si j'étais ciblé par une attaque. Le contexte semble idéal et propice: une personne inconnue, un contenu sans fautes d'orthographes, bien rédigé, qui me demande juste de cliquer sur un lien externe, pour aller en plus lui fournir des informations sur moi ou mon entreprise. Le seul hic, c'est que le contenu est générique et a dû être envoyé à de nombreuses personnes, ce qui ne cadre pas avec un spear phishing traditionnel.

J'ai néanmoins pris quelques minutes pour investiguer et vérifier la légitimité de cette campagne honteuse : "areyounet.com" est bien une entreprise déclarée au Registre du Commerce et des Sociétés, "spécialiste dans les solutions d'enquêtes en ligne et sur mobiles".

Les informations demandées dans leur questionnaire en ligne peuvent être utiles à un attaquant:

- Nombre de salariés de mon entreprise
- Secteur d'activité
- Quelle est ma fonction exacte au sein de l'entreprise ?
- Combien d'ingénieurs/techniciens sur le terrain ?
- etc.

Bref, ce qui m'énerve ici, outre le fait de recevoir ce genre de spam détestable sur ma boite mail professionnelle (il contient du tracking en plus) , est de me dire que cela sème la confusion dans l'esprit des utilisateurs et entretient l'idée qu'il est normal de recevoir des e-mails extérieurs et d'y répondre.

Comment voulez-vous, après cela, réussir à prévenir le spear phishing en entreprise ?

lundi 16 mai 2011

Manque de confidentialité sur les services de partage de fichiers

"Exposing the Lack of Privacy in File Hosting Services".

C'est sous ce titre que vient d'être publiée une étude ma foi bien intéressante sur le sujet des "hébergeurs de fichiers". Mais si, vous savez, les "rapidshare" et autres sites qui vous permettent de partager des gros fichiers avec vos amis, votre famille, mais aussi vos collègues de travail ?

Pour donner une définition rapide, il s'agit de sites qui vous proposent d'héberger (de façon continue ou temporaire) des fichiers volumineux afin de les partager. Le principe est simple : vous envoyez le fichier par le biais du site, qui vous retourne un lien unique qui pointe vers le fichier concerné. Du genre http://superserveurdepartagedefichiers.com/ddfeab3245ae34/

La confidentialité est censée être assurée par le fait que ce lien unique vers votre fichier n'est connu que de vous. Libre à vous de le transmettre aux collègues avec qui vous voulez le partager, ou de le mettre sur un forum/autre site s'il s'agit d'un document public que vous voulez distribuer en masse.

Seulement voilà, il existe différents niveaux de qualité pour ce type de site, et la majorité d'entre eux présentent diverses failles qui permettent à un tiers d'accéder aux documents que vous croyiez inatteignables.

Revenons donc à cette étude, qui est je crois la première sur le sujet, et qui porte sur 100 services de partage de fichier différents, dont je vous recommande chaudement la lecture.

J'en retiens :

* Etude de la confidentialité des données

- 12 services parmi les 100 contiennent des moteurs de recherche sur les données qu'ils hébergent. Ils ont été exclus de l'étude.

- Sur 88 services, il y en a 34 (soit 38,6%) qui génèrent un identifiant de façon séquentielle. Ainsi, il suffit de changer l'url d'un fichier pour en obtenir un autre. (exemple: http://vulnerable.com/9996, http://vulnerable.com/9997, etc.) Par contre, 14 de ces 34 services nécessitent quand même l'association avec le bon nom de fichier. (ex:http://site-o ne.com/9996/foo.pdf)

- Un robot développé par les chercheurs, fonctionnant sur ces services ne fournissant qu'une génération séquentielle d'url, a pu télécharger 310 735 fichiers uniques en 30 jours. Ces fichiers ont été recherchés (sur la base de leur nom) sur Bing : 54,16% n'étaient pas connus, et donc supposés privés. (Je ne lancerais pas de troll sur le choix du moteur de recherche...)

- Les fichiers réputés "privés" sont principalement des images (27 000 environ), puis des archives de type ZIP (13 000 environ), puis du PDF,Word,Excel,Powerpoint... ce qui tend à laisser penser que malgré un usage personnel important, le partage de documents professionnels est monnaie courante sur ce type de service.

- Les 54 services qui fournissent un identifiant "non séquentiel" sont très variables au niveau du nombre de caractères utilisés pour générer les liens. Ainsi, en brute-forçant des sites ne proposant qu'un lien constitué de 6 caractères numériques, les chercheurs ont trouvé 728 fichiers en 617 169 tentatives. D'autres services heureusement proposent des identifiants beaucoup plus robustes, constitués d'au moins 12 caractères alphanumériques. Je note au passage qu'on peut tranquillement faire du brute-force à partir de la même adresse IP, sur une durée de 5 jours, d'une même machine, pour obtenir des fichiers, sans être blacklisté. (encore une fois,ce n'est pas valable pour tous les services de partage de fichier, seulement pour les moins robustes)

* Vulnérabilités

13% des services utilisent le même soft, disponible publiquement, et présentant un certain nombre d'erreurs d'implémentation et de design.

* "Honey Files"

Les chercheurs ont créé un certain nombre de fichiers HTML,PDF, et DOC se connectant sur un serveur appartenant aux auteurs, permettant d'étudier les accès à ces fichiers. Ils ont ensuite été uploadés sur les services de partage de fichiers, quatre fois par jour. Ces fichiers avaient des titres évocateurs faisant référence à de la fraude "intéressante" : promesses de numéros de cartes bancaires, d'identifiants Paypal, etc.

- En un mois, 80 adresses IP différentes ont accédés à ces fichiers sur 7 services différents. La répartition géographique n'est pas inintéressante d'ailleurs... 50% d'adresses IP russes, 24% d'adresses IP ukrainiennes ...

- Sur les 7 services desquels des fichiers ont été téléchargés, 1 disposait d'une fonctionnalité de catalogue, 2 disposaient d'une option de recherche, les 4 restant ne disposant à priori d'aucun moyen de découverte par mot clef. A noter que l'un de ces services utilisait quand même une fonctionnalité de recherche, mais par le biais d'un tiers.

Je passe sur la partie contre-mesures de l'étude, moins passionnante ... Et tient également à signaler que je ne me suis pas relu ... Désolé donc pour les erreurs/fautes de ce post ;-)

vendredi 26 février 2010

Papa est là !

Autant vous prévenir, si vous ne connaissez pas le fonctionnement de Twitter, vous pouvez éviter de lire ce billet... Ce warning étant écrit, je peux démarrer.

Il y a deux jours a été publié un billet en anglais sur l'excellent blog de Sucuri, qui fait partie des centaines de blogs de sécurité informatique que je lis régulièrement.

Pour résumer très rapidement, le chercheur nous indique qu'il est hébergé chez GoDaddy aux USA (l'un des plus gros ISP là-bas), qu'il n'a qu'un honeypot SSH derrière son port 22, et qu'il utilise un/des autres ports pour accéder à ses serveurs en SSH. Alors qu'il farfouillait en bon paranoïaque dans ses journaux de connexion, il découvre avec stupéfaction et horreur qu'une adresse IP inconnue a accédé à son honeypot en utilisant le véritable mot de passe qu'il utilise pour son vrai serveur SSH. Pire, deux mots de passe sont utilisés : ses deux derniers mots de passe.

Les pensées du chercheur à ce moment précis doivent être à peu près : "Panique à bord, mon dieu mon dieu on m'a rooté je suis foutu, les carottes sont /quit (elle est de moi, je la revendique celle-là!), c'est la fin du monde !" (hello au passage à ericvo)

Après quelques recherches, il se rend compte que l'adresse IP attaquante provient de chez GoDaddy, et reçoit à peu près au même moment un mail de GoDaddy l'informant que son serveur web est peut-être infecté par du malware. Et là, en toute quiétude, l'ISP lui dit que les mots de passe dont il dispose dans ses fichiers n'est plus bon et qu'il a besoin de l'accès root (administrateur) pour vérifier ça, sous peine de suspension de compte.

Plutôt inquiétant de voir que (propos de l'auteur)

  • GoDaddy a essayé d'accéder à son SSH sans lui en parler.
  • GoDaddy voulait son accès root.
  • GoDaddy disposait de ses deux derniers mots de passe en clair.

L'histoire ne se finit pas ici. Le chercheur a eu un contact par téléphone avec le CSO (Chief Security Officer) de GoDaddy, qui lui a expliqué un certain nombre de choses :

  • GoDaddy prend les problèmes de malware très au sérieux et intervient lorsque nécessaire sur les serveurs, en mode 24/7.
  • GoDaddy essaye de régler le problème en se loggant sur le serveur.
  • Les mots de passe sont stockés chez eux sous forme chiffrée. Les process internes GoDaddy font que le mot de passe ne peut être récupéré qu'après ouverture d'un ticket d'incident, motivé et écrit, uniquement par l'équipe sécurité de GoDaddy.
  • Ce mode de fonctionnement est apprécié de la plupart des clients (comprendre ceux qui n'ont pas de notion de sécurité)

Au final, pas de malware, l'activité suspecte était dûe au honeypot du chercheur, et il a pu s'expliquer et régler le problème avec GoDaddy sans avoir à communiquer son accès root. L'ISP s'est excusé, et informera ce user de toute prochaine intervention *avant* de faire quoi que ce soit.

Je n'apporterais que très peu de commentaires à propos de ce "fait divers" de sécu :

  • Il est hors de question de donner son accès root à son fournisseur
  • Il peut être bon de signaler à son hébergeur qu'on fait tourner un honeypot, pour peu de pouvoir remonter cette information aux personnes compétentes (gros doute ici quand même...)

Mais ce n'est pas la fin de l'histoire, et le plus amusant reste à venir. Car ce chercheur n'a pas été mis en contact avec un CSO tout puissant suite à un contact avec le support : il a été contacté directement par le CSO. Pourquoi ? Comment ? La réponse est présente sur Twitter.

Le lendemain, je lisais l'update sur le blog. Il est dit : "it reached the ears of the GoDaddy people".

En fait, GoDaddy, comme beaucoup d'entreprises conscientes de la nécessité de surveiller leur image, exerce une surveillance sur Twitter. Et le post blog de sucuri, qui a été largement retweeté, a été rapidement détecté par GoDaddy, qui ont décidé de contacter l'auteur du blog. Je faisais partie de ces gens qui ont retweeté l'article le jour même, et j'ai eu la surprise le lendemain de découvrir un message sur Twitter qui m'était adressé et qui venait du compte officiel Twitter de GoDaddy, je cite:

-- @cedricpernet Just FYI, the author posted an update to his blog. It clarifies a lot. We hope you'll read that too. http://fwd4.me/GxT --

Je me suis empressé de faire quelques recherches, et me suis rendu compte que l'article initial de sucuri avait été retweeté par 130 autres personnes, et que le même message que j'avais reçu avait été tweeté à ces 130 personnes.

Du beau boulot, en termes de communication. GoDaddy non seulement surveille les tweets qui parlent d'eux, mais en plus ils réagissent lorsqu'un incident d'image les impacte, et de façon plutôt pro et efficace. Les réactions ne se sont pas faites attendre sur Twitter : tout le monde a twitté le lien vers l'update, souvent avec un petit commentaire du genre "bravo GoDaddy pour la transparence" ...

Voilà un bel exemple de contre-attaque d'image basé sur un incident de sécurité informatique, ou comment renverser la vapeur et se faire mousser gratuitement sur une base initialement négative.

Chapeau bas, GoPapa ! :-)

Et enfin, je dédie ce post blog à un ami très GUMOristique, sans qui ma vie professionnelle ne serait pas ce qu'elle est :-p

lundi 7 septembre 2009

0wn3d...Or not !

Recently I attended the SANS GCIH (GIAC Certified Incident Handler) courses in London. I don't want to make too much advertise for it, it is not the goal of this post but anyway, it's a great course and I had a great time there.

Of course, when you're in a room full of other people learning about compromising computers, you expect strange things to happen on the wireless network.

And something strange happened to me during the second day of the course : my computer couldn't connect anymore to the network. I tried to figure out what was happening but couldn't find any problem.

The machine was an XP SP3, fully patched. I'm not using Windows usually (except at work), but it was better for the course. Anyway, I switched to an Ubuntu and had the same trouble : no connection.

Since it was the end of the day, I got back to my hotel and came back early the next morning, to try to fix the problem. I talked about it with someone from the SANS staff, Tomasz, and he told me he had noticed a strange behaviour from one machine, which was sending a hell of a weird trafic, almost taking all the bandwidth. The machine had quickly been blacklisted on the wireless network, according to its MAC address. And guess what ? The MAC address was my wifi card's one.

Well of course, as an incident handler, I immediately thought : hell, I've been compromised. After telling the SANS dudes I had not been running anything special on my machine and not knowing what was up, we decided to have a look at the trafic sent by my machine. It was sending packets on the network like crazy, but there were only two kind of packets : "BROWSER Election Requests", and "Local Master Announcement" ...


This was definitely not the behaviour of a malicious attacker or malware. For a moment I thought it was a hardware problem with my network card, but under Ubuntu there was no such behaviour.

Anyway, I ended the GCIH course using my Ubuntu, with an XP under VirtualBox.

I left the course on the saturday afternoon, after the capture the flag event (which was really great btw), but I told Tomasz that I would keep in touch, and would investigate the machine later on.

I didn't touch the machine for some weeks (you know this feeling, when you've always got something else to do and can't fight it...) and then I decided I would look at it quickly : I made a full dd of the Windows partition, and decided not to follow the usual forensics rules and just boot the machine. After all, it was mine, and I had a dd in case I would have time to do real forensics on it.

Together with my friend David Bizeul, who was interested in the case, I had put the machine on a hub with another machine, running a network sniffer. The results were the same than before : the machine started to send these crazy packets again, eating a good 25% of the bandwidth I had (10M).

A quick jump in command line, to see more about the activity, immediately proved something was definitely wrong :


All of my UDP ports (except the 256 first ones) were opened, by a unique process.

Now what was the process exactly ? Look here :


My machine was not infected by a malware. It was not compromised. You guessed it right, it was just an incompatibility problem between VMware Player and my hardware,which is from an Asus 1000H (eeepc).

The version I was using :


End of the story... I still wanted to blog about it because it could happen to a lot of other people using the same hardware, and to give a clear answer to my SANS friends about this machine, which had been a curiosity... I'm taking this occasion to say hi to the great people from the SANS : Tomasz Miklas, Terry Neal, Pieter Danhieux... And hi to Ben, and all the nice people I met in London :-)

See ya ! :-)

lundi 8 juin 2009

SSTIC 2009

Bonjour à tous,

Tout d'abord, merci à Cédric de me laisser quelques pages sur son blog.

Je travaille actuellement dans une structure CERT d'un établissement bancaire français. Nous nous occupons entre autres de réponse à incidents de sécurité informatique et de lutte contre la cybercriminalité. Dans le cadre de ma mission, j'ai eu l'occasion d'assister à l'édition 2009 du SSTIC.

Ceci est le compte-rendu de ma première participation à cette manifestation. L'impression générale que j'ai eue de cet évènement est très positive. L'ambiance était très bonne, et j'ai eu l'occasion de pouvoir échanger avec des gens venant d'industries différentes. J'ai notamment beaucoup apprécié le social event.

Evoluant d'habitude dans un environnement peu technique (en tout cas beaucoup moins que la plupart des participants de ce Symposium), je ne pense pas pouvoir faire aussi bien que d'autres blogueurs bien connus, à moins de reprendre le contenu des actes. Pour cette raison, la suite de cet article présentera les conférences qui m'ont le plus marqué au cours de l'édition 2009 du SSTIC.

Merci de votre indulgence et bonne lecture.

La conférence d'ouverture a été présentée par M. Pascal Andrei, directeur de la sûreté aérienne chez Airbus. Elle a été l'occasion de découvrir une vue métier sur la sécurité informatique dans un environnement aérien. Notamment, la différence entre la sécurité (safety) et la sûreté (security) a été évoquée. La sécurité concerne la conception d'appareils, le développement de composants. En résumé, il s'agit de s'assurer de la fiabilité des appareils, démarche en cours depuis plus de 30 ans chez Airbus. La Sûreté (security) est quand à elle plus récente. Elle distingue la sécurité physique (bombes, passagers clandestins, etc.) et la sécurité informatique. Cette dernière a été un sujet de préoccupation plus récent, qui à coïncidé avec l'entré de composants logiciels dans les systèmes embarqués ainsi que l'informatique de divertissement. Au passage, des connexions à Internet ont été mises à disposition dans l'A380. Les équipements connectés sont bien entendu isolés du reste de l'infrastructure critique. Cette conférence a aussi été l'occasion d'évoquer l'évolution des contraintes de sécurité informatique imposées aux compagnies aériennes en général et à Airbus en particulier. Ainsi, il n'y avait que peu de contraintes sur les appareils conçus avant l'A380. Puis des pentests ont étés mis en place, ainsi que la création d'un CERT interne, dont le but est de surveiller les vulnérabilités pouvant impacter l'infrastructure informatique. Il est aussi question de l'adoption de normes telles que ISO 27000. De manière générale, Les problématiques de sécurité semblent être prises très au sérieux chez Airbus.

Data tainting

Cette conférence, présentée par Florent Marceau du CERT LEXSI, a évoqué une technique d'automatisation d'analyse de code malveillant mettant en œuvre du data tainting. Le principe est de marquer et tracer les données manipulées par un code malveillant lors de son exécution sur une machine victime. Ce traçage s'applique également aux données chargées d'un serveur éventuellement contacté dans le cadre de l'attaque. On peut ainsi contourner les techniques de chiffrements employées par la plupart des malware modernes. En pratique, le code malveillant est soumis à une machine virtuelle pour être analysé. En moyenne, une analyse prend une dizaine de minutes (dans le cas où aucun système de détection de machine virtuelle n'est mis en œuvre par le code malveillant). LEXSI peut ainsi parvenir à analyser entre 2000 et 2500 binaires suspicieux par jour. Un autre challenge à l'analyse est les stimuli qui déclenchent l'activation d'actions malveillantes.


Symantec a ensuite présenté son projet WOMBAT. Le but est d'obtenir une meilleure compréhension des menaces qui pèsent sur Internet. L'implémentation de WOMBAT consiste en une multitude de senseurs qui ont 2 fonctionnalités principales: identifier les attaques connues dont ils sont la cible et identifier les nouvelles attaques. Les données ainsi collectées sont transmises à un serveur qui procède à l'analyse. Une fois qu'un chemin d'attaque est identifié, il est diffusé à toutes les sondes WOMBAT du réseau. La présentation était émaillée de nombreux graphes et données statistiques.

ACPI et routine de traitement SMI

La démonstration de l'exploitation de failles ACPI et SMI a été très visuelle. Nous avons vu M. Loïc Duflot de la DCSSI obtenir un accès root à une machine en débranchant et rebranchant plusieurs fois le câble d'alimentation de son laptop. Le but était de mettre en évidence deux types de failles. La faille ACPI qui permet à un attaquant de modifier les routines de gestion de la batterie en réécrivant les tables ACPI. La deuxième exploitation présentée était un accès à la routine SMI. L'attaque se produit par une compromission du BIOS.

Questions sur l'utilité de ISO 27001

Alexandre Fernandez-Toro de HSC a dressé un bilan de l'implémentation de la norme ISO 27001. ISO 27001 ne constitue pas un nouveau "nirvana" de la sécurité mais a eu le mérite d'établir un référentiel des bonnes pratiques de sécurité. Ce qui est certifié n'est pas un niveau de sécurité, mais un processus d'amélioration continue de la sécurité. Chercher la certification "pour la certification" n'est pas utile. Il est plus intéressant de voir ISO 27001 comme un modèle vers lequel tendre et de se faire certifier sur opportunité. Présentation intéressante et vivante.

Traçage des traitres en multimédia

Sujet d'actualité évoquant le watermarking (tatouage digital). Le but est d'identifier le ou les utilisateurs à l'origine de la dissémination de copies pirates d'un fichier multimédia. Un fichier multimédia est tatoué différemment pour chaque utilisateur. Le tatouage permet d'identifier quel utilisateur est à l'origine de la fuite. Dans le cas où plusieurs fraudeurs entrent en jeu, il est possible d'identifier les fraudeurs avec un certain degré de probabilité.

Le vol d'information n'existe pas

Il n'est pas reconnu juridiquement. En revanche, la divulgation peut faire l'objet de sanctions. Pour l'entreprise, il est possible de se protéger par le contrat de travail (obligation de loyauté), une politique de classification des documents, une charte utilisateur et une politique de gestion des tiers.

Pourquoi la sécurité est un échec

D'après Nicolas Ruff, la sécurité est un échec. La faute à de mauvaises décisions techniques et organisationnelles, des marchés captifs et un buzz non mérité sur certaines applis de sécurité. La présentation était conviviale et mettait en relief certaines opinions assez partagées dans le monde de la sécurité.

Macaron, une porte dérobée pour toutes les applications JavaEE

Une présentation d'Atos a démontré l'installation d'une backdoor dans une application J2EE via l'insertion d'un jar malveillant dans une Web Archive. Le but était de mettre en évidence un trou dans les procédures d'audit standard. Si la vérification du code est effectuée, il n'y a en général pas de vérification des binaires compilés. Cela met aussi le doigt le champ beaucoup plus large de la sécurité des applications J2EE en général.

Émanation compromettantes électromagnétiques des claviers filaires et sans-fil

La conférence sur la détection des émanations électromagnétiques des claviers a mis en évidence qu'il est possible de détecter les entrées tapées sur un clavier en se basant sur les interférences électromagnétiques produites lors de l'utilisation des touches. Cette technique pourrait permettre d'espionner les entrées clavier à l'aide d'une antenne dans un périmètre de 20 mètres autour de la source. Des recherches sont toujours en cours pour tenter d'étendre le périmètre.

A noter les présentations rumps de Philippe Lagadec de l’OTAN sur la cybersécurité et de Bruno Kerouanton sur la communication.
Pour conclure, ce SSTIC 2009 a été pour moi une très bonne expérience. J’espère la renouveler en 2010.
Vincent Ferran-Lacome

mercredi 10 décembre 2008

Nouvelles vagues d'attaques par bruteforce SSH

Les attaques par bruteforce SSH existent depuis des années. Il s'agit tout simplement pour un attaquant de trouver un serveur SSH à attaquer (souvent par un scan de plages complètes d'adresses IP) et d'essayer d'obtenir un accès SSH. Pour cela, l'attaquant tente de trouver un identifiant et un mot de passe valide.

Ce type d'attaque laisse d'énormes traces dans les logs. On y voit clairement des tentatives de connexion avec des noms d'utilisateurs bien connus (guest, root, etc.) ou sortis d'une liste (alex, mike, etc.). De nombreuses tentatives infructueuses sont ainsi constatées, l'attaquant essayant souvent plusieurs dizaines de mots de passe courants (toto, frodo, starwars, barneystinson etc.).

Habituellement, une seule adresse IP était utilisée à ces fins. Il était très facile de faire bannir une adresse IP qui essayait de se logger sur plusieurs comptes, ou qui tentait de se connecter plus de x fois sur un compte.

Or depuis la semaine dernière, et même si je pense que la technique existe depuis beaucoup plus longtemps que ça, certains chercheurs en sécurité informatique s'inquiètent de voir apparaitre des tentatives d'attaque par bruteforce SSH provenant de botnets. (La synthèse d'Arbor Networks est bien rédigée, je vous laisse la lire, elle reprend d'autres posts également)

Ainsi, l'attaquant peut utiliser des centaines d'adresses IP différentes pour essayer de trouver un accès valide. Chaque IP ne sera vue qu'une ou deux fois, et ne sera pas bannie.

Afin de contrer ces attaques, il semble donc judicieux d'établir des règles strictes sur les accès:

  • verrouiller les comptes après X tentatives d'accès infructueux (je conseille 3 < X < 5);
  • ne pas autoriser les accès distants pour "root";
  • utiliser de préférences un port exotique pour votre serveur SSH;
  • faut-il encore le préciser, déployez une politique stricte de mots de passe : plus de 7 caractères, majuscules-minuscules-nombres-caractères spéciaux obligatoires;
  • dans le cas où vous êtes le seul à vous connecter à ce serveur, n'autoriser que les connexions à partir de vos adresses IP si possible.

lundi 24 mars 2008

New QEmu detection method found in a malware

I decided to translate a post from my colleague Fabien Perigaud, from french to english. The original post in french is here.

I wanted to share this great post with foreign readers, because this topic is always of high interest for me, as I am a heavy virtual machine user... Please apologize for the bad translation, I'm dead tired and will not re-read it I guess :-p

There it goes :

"In the world of malware, the race between malware author and anti-virus companies is famous, the first ones trying to make their creation the most invisible against the second one's solutions.
Before the so-called malware can be detected as malicious by an anti-virus product, he undergoes a strong analysis, so that his behaviour is understood. That way, a signature can be extracted of it, to allow detection, and to have a way of cleaning the infected machines.
Malware developers have got to counter the analysis tools, the first one being the virtual machine, which allows to launch the malware without any fear, because the system can be restored in its previous state in few seconds.
A new caught malware, spreading via a malicious Flash banner found on many web sites, has shown us a new method of virtual machine detection, impacting QEmu (and probably Virtual PC, and VMware without hardware acceleration).
The packer used by the malware, not identified at the time of writing, executes the "asin" function after having decrypted a part of itself. This function is part of the msvcrt library. This function will return in EAX register a different value according to the value of the Control Word register from the FPU (Typically, a 0 value will be given to EAX if FCW is not equal to 0x27F).
The FCW register undergoes some operations equivalent to a logical AND with a 0x23F mask, at the loading of the msvcrt.dll library (FPU register init). According to Intel's specs, the 6th bit of the FCW register is marked as reserved, and it has been discovered it was fixed to 1 on physical machines.

On a physical machine, FCW will therefore have the value 0x27F after the loading of the library. Unfortunately, QEmu's full emulation mode (without using kqemu) doesn't set the 6th bit to 1 ; the register takes the value of 0x23F, provoking a different result to EAX after it gets out of the asin function.
According to this value of EAX, the malware will initialise or not the variable of its decrypting loop, provoking its own crash if not set properly (writing on an unauthorized memory zone), preventing any analysis.

We can expect more and more malware use this kind of detection method, preventing this way automated analysis based on virtual machines. So the race goes on..."

jeudi 27 septembre 2007

Faille chez Adobe...

Plutôt qu'un bête copié/collé, je vous redirige vers mon article original ici ;-)

EDIT: voici un lien vers l'article de 01net sur le sujet, dans lequel je suis cité.

mercredi 6 juin 2007

0-day "gray" market

Years ago, when a geek (usually a researcher or hacker) was discovering a vulnerability in the security of an OS or on some major application, his first move was to claim loud he had found it.
He was doing so by posting a lot on dedicated newsgroups, on some forum, and sometimes even in some newspaper.
He was therefore making his reputation (ans usually ego) grow higher. One time out of two, he was then mailing the owner of the product (or OS) about that new vulnerability.

By the way, a newly found vulnerability which is not yet patched or corrected is called a "0-day".

Things have changed nowadays, and the discovery of a new 0-day brings the inventor to some choices:

- Claiming the discovery, as it had always been done.
- Keeping it for himself, and often coding exploits to use it in some ways (usually malicious), until some other people finds it and patches it.
- Spreading it to a small community exchanging 0-days. (even more malicious)
- Selling it.

Of course, why should these countless hours not be paid ?
Selling it on auction websites is generally a bad idea, but an interesting vulnerability can also be sold to criminal organizations, who would exploit it quickly to spread new malware, or to the government.

I won't develop more, because there's an amazing paper around, written by Charles Miller.

Believe me, it is very very interesting. Have a good time reading it ;-)

mercredi 23 mai 2007

Isn't it wonderful ?

Here is a very interesting article from silicon.com ...

This article's about the preliminary approval from the Internet Engineering Task Force to the DKIM (DomainKeys Identified Mail) project.

Names such as Cisco, Yahoo, PGP Corporation and Sendmail are behind it, and this new system should be a good step in illegitimate spam fighting. Not perfect, but still a step.

The main principle is that mailers would include a digital signature (using public key cryptography supposedly being unforgeable) to prove they are the true senders.

Imho, this system is far from being perfect, but it still is one good step...

dimanche 20 mai 2007

Hail to King Jose ! :-)

Well, I'm the kind of dude to admire a lot of people ... People like Gordon Matthew Sumner, Mark Knopfler, Anathema, Matthieu Chedid, and so many others...

But not only am I an admirer of many musicians, I also have a fetish for Amiga demo coders like Dan (hi mate), Azathoth, Celebrandil, Mr Gurk, Promax, Slayer, Blacky (plop), Revolution (hi), Tec, Metallion, Chaos, Mahoney & Kaktus, Unknown, and also for PC demo coders like Ryg, Chaos (again), Keops (plop), Navis, BoyC ...
Not to mention my kink for good Amiga and PC musicians like Frederic Motte (hi), Clawz, Audiomonster, Heatbeat, XTD, Monty (hi old mate), Romeo Knight, and so many others...

Now concerning IT security, I also feel some big respect for some people, like Jose Nazario, when I read his excellent paper about Reverse Engineering Malicious Javascript, and when I see everything he does for the IT security community...

And by the way, thanks a lot to Sid for his french report about Cansecwest 2007 ...

mercredi 18 avril 2007

Antispam .clear & captcha

Hop, j'étais très peu embêté par les spams de blog jusqu'à présent, mais depuis une semaine j'en reçois de plus en plus...

Il était donc temps d' utiliser une solution antispam pour Dotclear ...

Après un peu de googling, j'ai opté pour Spamclear qui en est à sa version 2.1 au moment où j'écris.

L'installation ne nécessite rien de particulier, tout juste une ligne de code à ajouter dans un script PHP afin de protéger les trackbacks en plus...
spamclear a été développé par Mahdi BEN HAMIDA.

Si nécessaire, je reposterais pour commenter ce petit plugin qui m'a l'air pas mal...

Finalement ce seul plugin ne suffisait pas ... J'ai donc rajouté un plugin captcha (Disponible ici)

dimanche 15 avril 2007

Did you see my profile ? A comment ...

There has recently been a huge amount of "friendly networking systems" as I call them ...
You all know about them, when you get mails from old-forgotten friends who found traces of you on the net, and are inviting you to join www.ohmygodhowdidwelivewithoutkeepingtouchforsuchalongtime.com or such...
Either you refuse the invitation, smiling nastily as you immediately forget about this old guy you were hating in your student years, or you are a good pal and accepting the invitation, you connect yourself to the site and start filling personnal infos about you.

Now how much of your private life do you want to share with perfect unknown people on Internet ? Most of these networking sites are showing your profile, including the picture of your face, your current job, your interests, your friends, and whatever you can think of, completely freely.
And most can be accessed with Google searches...
Most adult people are taking care and complaining about the "MySpace" kiddies community. Most parents are asking their kids not to say too much about themselves on Internet, and not to reveal all their lives there. To give such lesson to a kid is great, but what should we think about those parents when they are filling all forms they find and give such a lot fo details about themselves on a networking site ?

Now the danger is there.I can pretend to be an old friend of yours. I can do it easily just by reading your details, seeing your picture, and having good social engineering skills.

Now if you're a nice woman, I could get a date with you, you would probably accept an invitation "to remember good old past"...
If you're a person I have reasons to dislike or hate, I could make you fall into any kind of traps.
Now if you're a person not interested at all in computer security, I could probably make you click anywhere, or lead you to any malicious site, maybe already knowing what anti-virus/firewall you run at home...See what I mean ?

Danger is everywhere... You just have to be aware of it.

And here is an article from Symantec about facebooks that you could also read ;-)

vendredi 6 avril 2007


Here is a very interesting article about some kind of new use of Cascading Style Sheets...

The article is written by Nick Sullivan ...

I guess there's quite nothing to add to the article, I just wanted to post a link so that people who are reading this blog will be aware of this kind of stuff...

jeudi 29 mars 2007

Search Engine Poisoning...

There's been quite a lot of talks during the last months about "Search Engine Poisoning" ... This topic is quite hot, since it can impact quite any Internet user who's got an unprotected or not up to date system...

Here is a good article about Search Engine Poisoning, from Patrick Comiotto and Nicolas Brulez (Websense)

Its reading is very interesting, and quite funny at some points. ("dead code")

Do you think this kind of article could get some people paranoïd ? ;-)

mercredi 28 mars 2007

Drive-by Pharming...

Here is an article from Zulfikar Ramzan (Symantec) about "drive-by pharming"

The theory behind this name is easy to understand : a user having a broadband router with generic passwords goes to a malicious web page, which manages to change the DNS settings of the router.
If the password has been changed, the user should be safe and not victimized.
If the user still has the generic password on his router, then his DNS settings can be changed, and the pharming starts...

Now it reminds me of a funny (or should I say silly?) story.
I had problems with my personnal Internet connection some time ago. It wasn't a problem on my side, it all came from my ISP, who also provides me with a broadband router (Livebox, not to mention it...)
I wasn't home, my girlfriend called the hotline of this ISP. She explained the problem, and the technician (should I use another word and be mean? Hmmm tempting...) answered they had to check some parameters together.
Here's the talk they had as she told me later on:

Technician: ok, open your Internet Explorer...
Girlfriend: ok, I'm opening Firefox...
Technician: well...hmmm... hmmm... (feeling uneasy) ok... enter "xxx.xxx.xxx.xxx"
Girlfriend: ok, I see a box asking me for my login and password.
Technician: good. Type twice "admin".
Girlfriend: no, this won't work.
Technician: why ??
Girlfriend: Because my boyfriend changed the password.
Technician: ????? why the hell did he do that ?????
Girlfriend: (astonished) well... hmmm... to have some kind of... security ?"

I was grinning when she told me about this call... In the end, my parameters were right, the problem was on the line itself...I won't comment more and say what I think about this kind of "technicians"... ;-)

mardi 13 mars 2007

Prenez le bus...

Voici un article de SecuObs qui nous explique que notre Firewire pourrait bien nous balancer un méchant retour de flammes en pleine face... En effet, sous certaines configurations, du code malveillant pourrait bien arriver sur vos machines par ce biais, selon l'article de Ludovic Blin.
Et un grand bravo à Adam Boileau pour son ingéniosité...

samedi 10 mars 2007

Le social engineering a de beaux jours devant lui...

J'utilise parfois à mauvais escient l'expression "plus rien ne m'étonne".
A mauvais escient, parce qu'évidemment, je suis fréquemment étonné par de nombreuses choses, et heureusement.
Mais revenons-en à nos moutons, ou plutôt dans le cas précis, à nos *pigeons* ...

Voici un article nous expliquant qu'un escroc a réussi à se faire verser pas mal d'argent, en démarchant des dames célibataires sur divers sites de rencontres.

Rien de bouleversant, on imagine très bien qu'il doit exister différentes méthodes pour arnaquer les gens sur ce genre de site.

Par contre, se faire donner 150 000 $ par une femme, en la faisant croire que c'est pour acheter une ferme en commun, c'est fortiche...

Envoyez-moi chacun 5 euros par pitié, mes chats ont une maladie très rare qui fait qu'ils ne peuvent manger que des truffes... :-P

- page 1 de 2