securite

Les articles taggés securite

malwr-logo

Début de semaine, j’avais présenté un système d’analyse de virus à héberger soi-même qui s’appelait Cuckoo (Disponible web-link ici). Cette solution étant à risque, elle n’était conseillée que pour les utilisateurs avertis. Cette fois-ci, la solution est pour tous et plus sûre.

Tout utilisateur d’un ordinateur (ou autre équipement informatique connecté à internet) à dû au moins une fois se retrouver face à un fichier qui semble être légitime mais sans pouvoir en être certain. Que faire alors ? L’ouvrir malgré tout et prendre le risque ou le supprimer à jamais et perdre cette donnée si elle était réellement ce qu’elle affirmait être ?

Il existe une alternative. Nommée Malwr, cette plateforme web vous propose d’analyser et de vérifier pour vous ce fichier suspect. Pour cela, il suffit de lui envoyer le fichier et d’attendre le résultat et tout ceci, sans prendre le risque d’infecter votre machine. Il prendra aussi le temps d’importer les résultats obtenus par tel ou tel antivirus pour ordinateur.

Mieux encore, si vous n’avez pas téléchargé ce fichier suspect (et eu donc le bon réflexe), il est possible d’effectuer une recherche dans la base de donnée de Malwr sur le nom de ce fichier et de voir si d’autres personnes l’auraient reçu et/ou déjà analysé.

malwr-search

Il est possible de faire des recherches simples avec un nom, une adresse IP, une signature, etc… comme des recherches plus poussées qui contiennent des exclusions (par exemple).

Le site est assez fiable et est rapidement mis à jour. Chaque analyse utilisateur étant enregistrée et stockée. Attention toutefois que ces analyses peuvent être sujettes à des (très) rares erreurs; comme tout système. Elles vous donneront une vue précise et fiable presque chaque fois, mais cela ne veux pas dire qu’elles seront exacte à 100% non plus. Face à ce genre de fichiers, il faut toujours rester prudent malgré tout.

web-link Lien vers le site

—–

D’un avis personnel, je trouve que Malwr est la grande base de données pour ce genre de comparaison. C’est également celle que j’utilise le plus souvent.

Si vous n’êtes pas vraiment fan de cette interface, parfois pouvant paraître un peu absurde, il existe d’autres plateformes ayant à peu près la même fonction primaire. Parmi celles-ci, figure VirusTotal, qui doit être certainement la plus connue. Elle fourni une interface beaucoup plus légère, plus accessible et plus claire.

Virustotal_2

Comme pour Malwr, une comparaison auprès des différents antivirus est aussi faite pour retourner un résultat plus fiable.

Ce sont deux bonnes plateformes dans ce domaines. Les uns préféreront Malwr, les autres VirusTotal.

Pour tester VirusTotal web-link C’est par ici !

cuckoo

Attention, cet article s’adresse à des personnes averties et qui ont de bonnes connaissances en informatique. La manipulation et l’analyse de virus informatique étant très risquée, elle est fortement déconseillée aux personnes novices.

La pratique de l’analyse de virus informatique requiert de nombreuses régles de sécurité d’environnement et de pratique afin de ne pas être soi-même infecté et exposé à cette menace. Un de ces pratiques est la mise en place de Sandbox. C’est dans ce domaine que Cuckoo va intervenir.

Cuckoo est un environnement de création, de gestion et d’analyse de sandbox (ou bac à sable). Il fourni une plateforme fiable avec une interface centralisée pour la récolte des résultats sous toutes ses formes possibles. Une fois mis en place, il suffit d’envoyer le package voulu via cette interface et cuckoo exécute l’analyse.

cuckoo-sendpackage

Cuckoo va donc créer une nouvelle machine virtuelle, qui sera détruite par la suite, et exécuter le virus à l’intérieur de celle-ci pour en livrer tous ses secrets. Les résultats sont plus que complets, sont précis et vont vraiment loin dans l’analyse de l’état de la machine. Il est même possible d’en ressortir les résultats du trafic réseau détecté.

cuckoo-network

Une fois l’analyse terminée, Cuckoo vous en informe et les résultats sont disponibles à la consultation. Cependant, suivant la puissance de la machine hébergeant le système, ces analyses peuvent prendre plus ou moins de temps; le système étant assez gourmand niveau ressources.

Il est aussi possible de comparer des résultats, dans le but de, par exemple, différencier plusieurs versions d’un même virus. Ou du moins, qui voudrait se faire passer pour un autre virus.

cuckoo-compare

Dans cet exemple, on remarque que, malgré que ces deux virus semblent être similaires, leurs actions sont très différentes.

Une panoplie d’autres analyses et rapports, tels que capture de la mémoire, modification des fichiers, IO systèmes, signature et code du virus, etc…, sont aussi disponibles.

Le projet est OpenSource et disponible web-link sur leur site

logout

Si il ne fallait penser qu’à une seule et unique chose lors de l’utilisation d’un PC public ou de celui d’une connaissance, ce serai bien le fait de se déconnecter des sites visités. Cela vous évitera des publications inopinées sur votre sur Facebook (on l’a tous fait…) en votre nom par cette connaissance ou au pire, dans le cas d’un PC public, de vous faire voler vos comptes.

Alors, si vous êtes un grand emprunteur d’ordinateurs ou smartphones ou allez simplement souvent sur du matériel informatique dans des espaces publics, gardez ce site en tête : SuperLogout.

SuperLogout est un site qui, lorsqu’il est appelé par son adresse URL, va vous déconnecter automatiquement de toute une série de sites afin de ne laisser aucune connexions actives lors de votre départ.

superlogout-account-2-1200x565

Dans cette liste, on retrouve des sites de vente (Amazon, eBay, Steam,…), des réseaux sociaux (Youtube, Github, Soundcloud,…) ainsi que des fournisseurs emails et bien d’autres.

Attention, il semblerait que depuis peu, la déconnexion ne fonctionne plus avec les services de Facebook ! Veuillez bien vérifier à vous déconnecter manuellement. Et allons plus loin en précisant qu’une erreur est toujours possible et qu’il vaut mieux vérifier que les sessions sont bien fermées pour chaque site visité.

Bien entendu, si vous en avez les droits/la possibilité, un petit “CTRL+SHIFT+DEL” fera apparaître une fenêtre pour nettoyer le cache et supprimer cookies et connexions actives directement depuis le navigateur utilisé. Ceci est très pratique dans le cas d’un ordinateur public, cela sera certainement moins drôle sur l’ordinateur de votre connaissance qui perdre des données non sauvées.

Évidement, ce lien peut aussi servir comme bonne blague sachant qu’il n’y a pas de confirmation avant la déconnexion.

Pour tester SuperLogout et vous déconnecter, web-link cliquez-ici !

TS-Logo

C’est bien connu, on ne sait pas vraiment ce qui traîne sur internet en matière de virus et autres spywares (logiciels espions). Cependant, moins visible, un ordinateur accédant à internet reçois une quantité phénoménale d’attaques directes à l’encontre de certains services. Ces attaques sont automatisées et proviennent de botnets un peu partout dans le monde et peuvent faire pas mal de dégâts en cas de protection insuffisante.

Afin de mieux connaître ces attaques, je vous invite à découvrir MHN (Modern Honeypot Network) développé par Threatstream, une société spécialisée dans la gestion des menaces numériques.

Modern Honeypot Network nécessite au moins deux équipements; une station d’analyse qui sortira les rapports et une station qui va recevoir toutes les attaques (nommée “HoneyPot” car elle attire les attaques et les garde en mémoire). Pour ma part, ce sont deux Raspberry Pi B+ qui ont servi de test. Remarque, il est indispensable d’isoler votre station de HoneyPotting afin d’éviter tout débordements sur votre réseau.

Une fois l’installation terminée et les stations mises en place, il vous suffit d’ouvrir tout le trafic sur votre (vos) stations de Honeypotting afin de le capturer. Par la suite, en rejoignant l’adresse IP de la station d’analyse, vous retrouverez vos résultats sur un portail web.

mhn-dash

Dans cet exemple, il s’agit du Dashboard, la page d’accueil par défaut, qui reprend un bref résumé des attaquants les plus fréquents ainsi que les ports/services les plus souvent visés.

D’autres rapports plus précis sont disponibles avec possibilités de consulter un listing complet des données brutes, si vous désirez retraiter les informations par un script par exemple. Toutes ces informations étant stockées dans une base de données, on peut directement les attaquer par des requêtes. Pour les fans de la localisation, une vue est disponible sous forme d’une carte reprenant les pays de provenance des attaques.

modern honeypot network map

Il faut évidement garder en tête que cette localisation peut-être faussée assez facilement mais cela donne un petit aperçu bien sympathique.

Niveau installation, elle est très simple. Il vous suffit de configurer les sondes, vos honeypots, dans l’interface web de la station d’analyse en précisant le type d’équipement, le système d’exploitation utilisé et d’autres données propres à la sonde (nom, localisation, notes,…). La station d’analyse générera un code à exécuter sur le Honeypot et le reste est automatisé.

Le code du projet se trouve sur web-link cette page Github

enpass

En ce qui concerne le domaine des gestionnaires de mots de passe, Keepass (voir article web-link ici) est presque un incontournable en entreprise. Cependant, il pourrait arriver que l’on recherche une alternative pour l’une ou l’autre raison.

Je vous propose donc de découvrir Enpass !

Enpass est un gestionnaire de mots de passes et portefeuille numérique. A l’inverse d’un gestionnaire cloud type Dashlane (voir article web-link ici), 1password ou LastPass, Enpass stocke les informations en local et ne nécessité pas de compte en ligne externe. Il est toute fois possible, comme Keepass, de synchroniser vos données via votre cloud préféré (Dropbox, Google Drive, OneCloud,…). L’interface est plus intuitive et se rapproche d’un Dashlane.

splash

Certes, à la vue de celle-ci, Enpass se justifierait plus dans un environnement privé personnel qu’au sein d’une équipe dans une entreprise mais cela pourrait ne pas être dérangeant pour tout le monde.

Côté sécurité, on est sur quelque chose d’assez solide. D’une part car toutes les données reste en local (par défaut) et ne sont pas rattachées à un compte en ligne. D’autre part car vos données sont cryptées dans un bloc en AES-256 et vous êtes le seul à détenir la clé (le mot de passe maître). Ceci est aussi à prendre en compte lors d’un choix pour la synchronisation cloud avec votre fournisseur favori.

Si il existe une version Desktop, il existe aussi des versions mobiles (j’avais un peu vendu la mèche un peu plus haut…).

enpass-mobile

Comme pour Dashlane, on est sur une interface toujours très simple et épurée.

Et pour finir sur un bon point, Enpass est quasi-entièrement gratuit. La version Desktop (Windows/Mac/Linux) est gratuite en illimité, la version mobile est limitée à 20 entrées différentes dans la base de données. Au delà de cela, une licence à vie sera nécessaire pour 9.99$ (soit un peu moins de 9€).

Toutes les informations sont web-link sur leur site