Aller au contenu

Le fil des geeks informatiques

Johnnieboy

Par Johnnieboy,
dans Sports et loisirs

Messages recommandés

Noob

Noob

Posté
Posté

A mon avis Komodia Redirector ne vient pas avec un certificat déjà prêt à être utilisé, il est généré pour chaque utilisateur certainement.

Ceux qui ont fait ce soft doivent à peu prêt savoir ce qu'ils font, par contre c'est tout à fait possible que dans leur base de clients il y en ai d'autres qui ont choisi le même mot de passe.

Ils auront un certificats différents mais avec le même mot de passe, donc pas exploitable tel quel.

Par contre je pense que komodia va finir en tête des dictionnaires pour casser des certificats.

 

Lien vers le commentaire
Poil à gratter

Poil à gratter

Posté
Posté

A mon avis Komodia Redirector ne vient pas avec un certificat déjà prêt à être utilisé, il est généré pour chaque utilisateur certainement.

Ceux qui ont fait ce soft doivent à peu prêt savoir ce qu'ils font, par contre c'est tout à fait possible que dans leur base de clients il y en ai d'autres qui ont choisi le même mot de passe.

Ils auront un certificats différents mais avec le même mot de passe, donc pas exploitable tel quel.

Par contre je pense que komodia va finir en tête des dictionnaires pour casser des certificats.

Mouais, ça a l'air d'être une one-man-company, très certainement quelqu'un de compétent, mais peut-être quelqu'un de débordé et qui à utilisé des expédients. Et le site en général n'inspire pas vraiment confiance niveau réalisation, surtout pour ce genre de sujet sensible. Genre quand même dans la section contact:

"contact us for a quote (due to the vast amount of spam we receive, please write “request for quote” in the subject so your mail won’t be tagged accidentally as spam)."

Euh, qui reçoit encore des spams de nos jours?

 

 Bon, maintenant que c'est rendu maintream, je pense qu'on aura le fin mot de l'histoire, wait & see.

 

Ha non si c'était que ça, on chercherait plutôt un coupable chez Lenovo seulement et les conséquences seraient risibles.

Pas sûr de comprendre ce que tu veux dire par là. Ce que j'avais compris c'était qu'il y avait le générateur avec sa clé privée (et un mot de passe pourri comme on l'a vu ensuite), ET des faux certificats déjà installés, en particulier BofA. Or je pouvais comprendre qu'ils veuillent contourner le SSL - surtout que son usage se généralise - mais alors le certificat de BofA, je trouvais ça vraiment bizarre. Bon maintenant grâce à toi tout s'explique :)

 

Du coup, comme mon desktop c'est un Medion, je viens de vérifier, au cas où ;) Même si j'avais déjà viré le crapware dès réception, et je n'avais pas RottenFish.

Lien vers le commentaire
Noob

Noob

Posté
Posté

And I was wrong:

http://marcrogers.org/2015/02/19/will-the-madness-never-end-komodia-ssl-certificates-are-everywhere/

Le problème viendrait bien de Komodia qui apparemment a réutilisé le même mot de passe partout.

Et comme la génération des certificats se fait via un SDK à eux, j'imagine qu'on va retrouvé le certificat en question dans plein de produits et qu'ils seront tous super simple à trouver avec la même technique que pour Superfish.

 

moultgrolol en perspective donc.

Pour tout ceux qui ont soit un logiciel de contrôle parental ou un Lenovo ou qui pour d'autres raison pensent pouvoir être affectés, il faut aller là https://filippo.io/Badfish/.

 

Lien vers le commentaire
Poil à gratter

Poil à gratter

Posté
Posté

Dans le même genre, en bien pire:

 

https://firstlook.org/theintercept/2015/02/19/great-sim-heist/

 

Donc si je résume:

- ils ont nitraté la sécurité des routeurs/switches en ajoutant des backdoors

- ils ont inséré du code malveillant dans des firmwares de BIOS ou disques durs, sans doute d'autres trucs

- maintenant on apprend qu'ils ont chourave les clés d'encryption des GSM

 

Quel métier formidable ils ont ces gens!

Lien vers le commentaire
neuneu2k

neuneu2k

Posté
Posté

Pour le certificat racine local, c'est une procédure normale quand on souhaite intercepter localement des flux SSL, c'est à la fois utile pour les développeurs, et nécéssaire pour les antivirus (et moins intrusif et plus fiable que d'aller injecter du code dans le netcode de toutes les applications qui font du HTTP !), le problème de fond n'est pas d'avoir du MITM sur le desktop mais.

 

1: Du MITM par défaut, pour des features au mieux douteuses (c'est de l'adware, autrement dit, de la valeur négative pour le client)

2: DE NE PAS GENERER LE CERTIFICAT UNE FOIS PAR MACHINE, MAIS DE LE METTRE DANS L'IMAGE DE PREINSTALLATION

 

Le mot de passe du certificat, c'est un sujet mineur, un détail négligable, on devrait s'en foutre vu que le certificat n'est sensé etre QUE local à la machine, il pourrait ne pas avoir de mot de passe du tout, ça serait pareil, si ces tocards de premièr ordre n'avaient pas fait l'erreur impardonnable du point 2.

 

 

 

 

Lien vers le commentaire
Noob

Noob

Posté
Posté

Tout à fait, je rajoutais juste qu'en plus de cette façon grotesque de les installer, Komodia a semble-t-il utiliser le même mot de passe pour générer tout les certificats utilisés par ses clients. Chaque client de Komodia n'a qu'un seul certificat que tous ses utilisateurs/clients respectifs partagent.

Et tous ces clients Komodia ont leurs certificats cryptés avec le même mot de passe, :lol: et comme ils ont tous le même SDK à la base la même technique qui a permis de trouver et décrypter le certificat de Superfish en RAM peut s'appliquer avec tous les autres.

C'est vraiment épique en fait comme façon de faire.

Lien vers le commentaire
neuneu2k

neuneu2k

Posté
Posté

Et tous ces clients Komodia ont leurs certificats cryptés avec le même mot de passe, :lol: et comme ils ont tous le même SDK à la base la même technique qui a permis de trouver et décrypter le certificat de Superfish en RAM peut s'appliquer avec tous les autres.

 

Bien sur, mais pour acceder au certificat, il faut déjà un accès suffisant à la machine pour etre capable de faire bien pire de toute façon, on est du coté ou ce n'est pas crypté quand on est local user de toute façon, SSL est une techno de transport, quand on controle l'endpoint, on s'en fout du transport !

 

Donc le mot de passe commun n'est un problème que si le certificat n'est pas machine-local, mais réutilisable pour une machine tierce ou on n'a pas d'accès local user.

Lien vers le commentaire
Noob

Noob

Posté
Posté

Dans le cas où on a un certificat par machine oui, mais là justement non, pour accéder au certificat il suffit d'exécuter le programme utilisant le SDK de Komodia sur une machine de test.

Je suis d'accord avec toi, dans l'ordre des menaces c'est bien la réutilisation des certificats le problème, mais là on permet encore juste une couverture encore plus large de la menace.

Lien vers le commentaire
Jesrad

Jesrad

Posté
Posté

Sans déconner. Maintenant que le certificat privé est cracké et dans la nature n'importe qui peut signer n'importe quel exécutable pour leurs clients, et truander leurs connexions "sécurisées". Non seulement ils ont violé les lois fédérales US qui criminalisent la circonvention des moyens de sécurisation des communications, mais en plus ils deviennent de facto complices de tous les cybercrimes touchant leurs clients par ce moyen.

Les mecs, franchement, les mecs, n'importe quel développeur aurait pu vous le dire, et votre département juridique aurait du être consulté. Par ce que là les hurlements de ces derniers doivent être montés de 3 ou 4 octaves au moins.

Lien vers le commentaire
neuneu2k

neuneu2k

Posté
Posté

De fait, malgré que j'installe systématiquement une version "nue" OEM de windows (payée, et oui !) sur tout ordinateur que j'achete, meme si il à un OS "gratuit", lenovo est barré pour un moment de ma liste d'achats potentiel rien que pour ça.

 

Cela dit, prendre les disques d'installation de tous les grands constructeurs grand-public et chercher des 0-day dans tout le crapware qu'ils ajoutent en "bonus" à l'OS est probablement une voie de recherche fructueuse pour se faire un botnet avec nettement moins d'efforts qu'il n'en faut pour exploiter les produits microsoft eux memes.

 

 

 

 

Lien vers le commentaire
Poil à gratter

Poil à gratter

Posté
Posté

Sans déconner. Maintenant que le certificat privé est cracké et dans la nature n'importe qui peut signer n'importe quel exécutable pour leurs clients, et truander leurs connexions "sécurisées". Non seulement ils ont violé les lois fédérales US qui criminalisent la circonvention des moyens de sécurisation des communications, mais en plus ils deviennent de facto complices de tous les cybercrimes touchant leurs clients par ce moyen.

Les mecs, franchement, les mecs, n'importe quel développeur aurait pu vous le dire, et votre département juridique aurait du être consulté. Par ce que là les hurlements de ces derniers doivent être montés de 3 ou 4 octaves au moins.

+1 Il y a du y avoir quelques gueulantes de poussées dans les bureaux de Lenovo...

 

De fait, malgré que j'installe systématiquement une version "nue" OEM de windows (payée, et oui !) sur tout ordinateur que j'achete, meme si il à un OS "gratuit", lenovo est barré pour un moment de ma liste d'achats potentiel rien que pour ça.

 

Cela dit, prendre les disques d'installation de tous les grands constructeurs grand-public et chercher des 0-day dans tout le crapware qu'ils ajoutent en "bonus" à l'OS est probablement une voie de recherche fructueuse pour se faire un botnet avec nettement moins d'efforts qu'il n'en faut pour exploiter les produits microsoft eux memes.

De fait MS à quand même fait des progrés niveau sécurité et la plupart des attaques que je connais utilisent plutôt des logiciels tiers comme vecteur. Typiquement la grosse daube Flash. Dans le total des zero-days listés par Google, Adobe était en bonne position avec je crois 37 failles pour seulement quelques produits (á comparer avec tout un OS...). Ils ont quand même un track record de merde avec leur bloatware. On ne va même pas évoquer le cas du plug-in Java...

 

Sinon tout un mythe s'effondre: neuneu2k utilise Windows! Moi qui pensait que tu utilisais un OS codé en malgache pour échapper à toute détection :) 

 

Du coup à part avoir un Windows "vanilla", tu recommandes quoi de particulier pour sécuriser une machine Windows 8?

Lien vers le commentaire
Theor

Theor

Posté
Posté

Pour moi, installer EMET, utiliser des VM pour les tâches dangereuses comme le surf, et si possible conteneuriser ses applications avec ThinApp ou équivalent. C'est ce que je fais pour Office, notamment.

 

Et évidemment, favoriser les logiciels libres.

Lien vers le commentaire
Noob

Noob

Posté
Posté

Pour en revenir à Superfish, en fait c'est même encore pire.

Apparemment le client https de Superfish/komodia qui contact le site à la place du navigateur ne vérifie pas (ou alors mal) les certificats.

 

Donc n'importe quels certificats bidons fonctionneraient si ce machin est installer. (enfin pas n'importe lequel, seulement ceux dont le champ alternate contient bien le domaine à valider :lol: )

https://blog.filippo.io/komodia-superfish-ssl-validation-is-broken/

Je crois qu'on a fait le tour du sujet là, pas vraiment possible d'aller plus loin dans le fail.

Lien vers le commentaire
Lancelot

Lancelot

Posté
Posté

Il y a moyen de désactiver définitivement l'horrible traduction automatique qui s'active parfois pour les pages en anglais ?

Je suppose que ça se base sur ma localisation, mais comment faire en sorte que ça ne soit jamais pris en compte ?

Lien vers le commentaire
Poil à gratter

Poil à gratter

Posté
Posté

Pour en revenir à Superfish, en fait c'est même encore pire.

Apparemment le client https de Superfish/komodia qui contact le site à la place du navigateur ne vérifie pas (ou alors mal) les certificats.

 

Donc n'importe quels certificats bidons fonctionneraient si ce machin est installer. (enfin pas n'importe lequel, seulement ceux dont le champ alternate contient bien le domaine à valider :lol: )

https://blog.filippo.io/komodia-superfish-ssl-validation-is-broken/

Je crois qu'on a fait le tour du sujet là, pas vraiment possible d'aller plus loin dans le fail.

Oh il y a bien quelqu'un qui va nous trouver un remote exploit sur le soft de Komodia..... :facepalm:

 

Il y a moyen de désactiver définitivement l'horrible traduction automatique qui s'active parfois pour les pages en anglais ?

Je suppose que ça se base sur ma localisation, mais comment faire en sorte que ça ne soit jamais pris en compte ?

Quelle traduction automatique, dans quel contexte? 

Lien vers le commentaire
Poil à gratter

Poil à gratter

Posté
Posté

Pour moi, installer EMET, utiliser des VM pour les tâches dangereuses comme le surf, et si possible conteneuriser ses applications avec ThinApp ou équivalent. C'est ce que je fais pour Office, notamment.

 

Et évidemment, favoriser les logiciels libres.

Intéressant ce ThinApp mais ça a l'air plutôt reservé aux entreprises, non? Et EMET il me semble que tu l'avais déjà mentionné, mais ça me paraît faire double emploi avec Malwarebytes Pro.

 

Un exemple : http://vidto.me/yc7s1moq9885.html

En haut à droite j'ai marqué "ouverture s'inscrivent mot de passe oublié ?", ce qui est de toute évidence une mauvaise google trad de la page de base.

Hmmm, un peu chelou ce site, j'aurais pas trop confiance niveau malware :)  Je pensais que tu parlais de la traduction automatique de Chrome.

Là je ne vois pas trop, il faudrait faire une analyse du code: j'ai regardé vite fait le source et c'est directement dans la page, donc à priori pas du google traduction à la volée. Du google/bing il y aurait une iframe en haut de la page qui indique que c'est une traduction. Théoriquement ils pourraient aussi faire une traduction en utilisant l'API, mais je n'y crois pas trop. On dirait juste qu'ils ont collé une mauvaise traduction dans la page.

Lien vers le commentaire
Lancelot

Lancelot

Posté
Posté

Hmmm, un peu chelou ce site, j'aurais pas trop confiance niveau malware :)

Ouaip le streaming c'est plus ce que c'était depuis la fin de megaupload... Enfin je ne vois pas les 3/4 des merdes derrière adblock et noscript.

 

Là je ne vois pas trop, il faudrait faire une analyse du code: j'ai regardé vite fait le source et c'est directement dans la page, donc à priori pas du google traduction à la volée. Du google/bing il y aurait une iframe en haut de la page qui indique que c'est une traduction. Théoriquement ils pourraient aussi faire une traduction en utilisant l'API, mais je n'y crois pas trop. On dirait juste qu'ils ont collé une mauvaise traduction dans la page.

Donc dans ce cas particulier c'est en français mal traduit pour tout le monde ? Ça me dépasse.

Et pour les trucs faits à la volée via google il y a un moyen de l'empêcher (je veux dire en dehors du cas par cas) ?

Lien vers le commentaire
Malky

Malky

Posté
Posté

Intéressant ce ThinApp mais ça a l'air plutôt reservé aux entreprises, non? Et EMET il me semble que tu l'avais déjà mentionné, mais ça me paraît faire double emploi avec Malwarebytes Pro.

Hmmm, un peu chelou ce site, j'aurais pas trop confiance niveau malware :) Je pensais que tu parlais de la traduction automatique de Chrome.

Là je ne vois pas trop, il faudrait faire une analyse du code: j'ai regardé vite fait le source et c'est directement dans la page, donc à priori pas du google traduction à la volée. Du google/bing il y aurait une iframe en haut de la page qui indique que c'est une traduction. Théoriquement ils pourraient aussi faire une traduction en utilisant l'API, mais je n'y crois pas trop. On dirait juste qu'ils ont collé une mauvaise traduction dans la page.

Y’a des sites qui proposent de la traduction via gougeul, une fois que tu as choisi la langue ça se fait automatiquement (ex : http://www.sportwaffen-schneider.de ). C’est pas impossible qu’un site détecte ta langue par ton ip et qu’il fasse la traduction automatiquement.
Lien vers le commentaire
Theor

Theor

Posté
Posté

Intéressant ce ThinApp mais ça a l'air plutôt reservé aux entreprises, non? Et EMET il me semble que tu l'avais déjà mentionné, mais ça me paraît faire double emploi avec Malwarebytes Pro.

 

EMET serait un équivalent Windows de AppArmor, pas du tout de MalwareBytes, donc non ils ne font pas doublon. EMET surveille les appels du programme et les tue s'il détecte certains comportements étranges propres aux exploits, tandis que MB Pro fait de la vérification par signature à la manière d'un antivirus. Le programme a déjà été contourné mais ces techniques sont réservées à l'élite, la quasi totalité ne passent pas EMET. Evidemment, ça implique une vigilance utilisateur, aucun programme de sécurité ne peut rien contre un utilisateur qui accepte les prompts UAC sans se poser de question.

 

ThinApp est une techno VMWare donc oui il faut une licence par poste. Je l'utilise surtout pour Office et les navigateurs web. On me glisse dans mon oreillette qu'il y aurait moyen de faire autrement pour la licence, mais je ne voudrais inciter à quoi que ce soit d'illégal. Les conteneurs sont bien entendu à créer dans une VM vierge réinitialisée à la fin de chaque nouvelle création (disque système indépendant et non persistant). Il existe également une option pour que les conteneurs soient non persistant, ça permet de relancer le programme à son état vierge à chaque nouveau lancement.

 

Un autre truc bien pratique sous Windows, c'est Cygwin (ou Babun, ou MSYS2). Mine de rien, ça permet d'éviter l'installation d'un paquet de crapware genre téléchargeur, éditeur hexa, monteur d'image ou sshfs, recherche grep dans des fichiers ou des PDF, renommeur en batch, création et copie d'ISO avec dd et j'en passe. Cygwin est la pile software que j'emploie le plus fréquemment sous Windows. Là aussi, pour faire propre, à installer dans un VHD et à monter dans C:\cygwin ou un disque racine. Automatiser le montage au démarrage avec un script diskpart.

Lien vers le commentaire
Poil à gratter

Poil à gratter

Posté
Posté

Ouaip le streaming c'est plus ce que c'était depuis la fin de megaupload... Enfin je ne vois pas les 3/4 des merdes derrière adblock et noscript.

 

Donc dans ce cas particulier c'est en français mal traduit pour tout le monde ? Ça me dépasse.

Et pour les trucs faits à la volée via google il y a un moyen de l'empêcher (je veux dire en dehors du cas par cas) ?

 

 

Y’a des sites qui proposent de la traduction via gougeul, une fois que tu as choisi la langue ça se fait automatiquement (ex : http://www.sportwaffen-schneider.de ). C’est pas impossible qu’un site détecte ta langue par ton ip et qu’il fasse la traduction automatiquement.

 

 

Ça me fait ça sur Coursera.

Ok, à mon avis on a tous des browsers un peu trafiqués, et on ne voit pas tous la même chose. Mais j'ignorais que certains sites faisaient de la traduction à la volée. Alors je dirais qu'ils doivent utiliser le "Accept-Language" du navigateur. Donc je ne sais pas ce que tu utilises comme navigateur Lancelot, mais essaie de passer en "en" ou "en-US" et ça devrait repasser en anglais. En tous cas ce n'est pas basé sur l'IP :)

 

EMET serait un équivalent Windows de AppArmor, pas du tout de MalwareBytes, donc non ils ne font pas doublon. EMET surveille les appels du programme et les tue s'il détecte certains comportements étranges propres aux exploits, tandis que MB Pro fait de la vérification par signature à la manière d'un antivirus. Le programme a déjà été contourné mais ces techniques sont réservées à l'élite, la quasi totalité ne passent pas EMET. Evidemment, ça implique une vigilance utilisateur, aucun programme de sécurité ne peut rien contre un utilisateur qui accepte les prompts UAC sans se poser de question.

 

ThinApp est une techno VMWare donc oui il faut une licence par poste. Je l'utilise surtout pour Office et les navigateurs web. On me glisse dans mon oreillette qu'il y aurait moyen de faire autrement pour la licence, mais je ne voudrais inciter à quoi que ce soit d'illégal. Les conteneurs sont bien entendu à créer dans une VM vierge réinitialisée à la fin de chaque nouvelle création (disque système indépendant et non persistant). Il existe également une option pour que les conteneurs soient non persistant, ça permet de relancer le programme à son état vierge à chaque nouveau lancement.

 

Un autre truc bien pratique sous Windows, c'est Cygwin (ou Babun, ou MSYS2). Mine de rien, ça permet d'éviter l'installation d'un paquet de crapware genre téléchargeur, éditeur hexa, monteur d'image ou sshfs, recherche grep dans des fichiers ou des PDF, renommeur en batch, création et copie d'ISO avec dd et j'en passe. Cygwin est la pile software que j'emploie le plus fréquemment sous Windows. Là aussi, pour faire propre, à installer dans un VHD et à monter dans C:\cygwin ou un disque racine. Automatiser le montage au démarrage avec un script diskpart.

Merci Theor. Je regarderais EMET, ça me semble effectivement un bon complément. ThinApp (ou équivalent grand public) je ne sais pas trop, ça me paraît un peu lourd. 

 

Sinon Cygwin je n'aime plus trop car pour le peu de ligne de commande que je fais j'utilise Powershell, et c"est déjà bien puissant, IMO plus puissant que Bash. Au pire, je vais écrire un script Groovy si j'ai besoin d'un truc pêchu et/ou que je ne sais pas faire en PS. Mais bon, 90% de mon travail se fait dans IntelliJ...

Lien vers le commentaire

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
Aller sur la liste des sujets
×
×
  • Créer...