Phishing et detection
Le
Ludovic Maitre
Bonjour,
Je viens de decouvrir le terme phishing et ce qu'il recouvre (ayant
failli etre victime d'un site qui se faisait passer pour ebay j'en ai
fais un miroir), et en lisant les pages html je m'apercois qu'il y a
enormement de liens vers des sites reels de ebay
(ebaystatic.com,pages.ebay.com/help/policies/privacy-policy.html).
La question que je me pose vu que j'ai deja analyse des logs de serveur
web (ah ca oui j'en ai analyse), c'est pourquoi est ce que ebay ne
detecte pas tout ces sites et/ou ne les mets pas hors d'etat de nuire.
En effet si on a un format de logs combine pour apache en general le
referrer du hit est indique, et donc en analysant les logs de ebay.com
par exemple on devrait pouvoir reperer les serveurs des assaillants.
Par exemple a partir de ce site pirate j'ai ete consulter les conditions
generales de ventes d'ebay* (): le site a du etre marque comme referrer
non? Et il doit etre assez simple (quoique, dans mon cas le nom de
repertoire commence par . ) de verifier si les sites qui font du deep
linking sur ces pages sont des sites pirates non ?
Mais peut etre que ebay et les autres sites webs victimes sont:
- dans des configurations trop compliquees pour faire ce genre d'analyse
(cluster, beaucoup de hit)
- deja au courant de l'identite des sites pirates mais ne peuvent pas
agir (enfin en l'occurrence le "mien" est situe aux USA, c'est une
Fedora qui a ete pourrie "apparemment", ils doivent pouvoir agir).
Le site "phishé": http://216.117.143.43/.eBay.alert./
--
Cordialement,
Ludo
-
http://www.ubik-products.com
Je viens de decouvrir le terme phishing et ce qu'il recouvre (ayant
failli etre victime d'un site qui se faisait passer pour ebay j'en ai
fais un miroir), et en lisant les pages html je m'apercois qu'il y a
enormement de liens vers des sites reels de ebay
(ebaystatic.com,pages.ebay.com/help/policies/privacy-policy.html).
La question que je me pose vu que j'ai deja analyse des logs de serveur
web (ah ca oui j'en ai analyse), c'est pourquoi est ce que ebay ne
detecte pas tout ces sites et/ou ne les mets pas hors d'etat de nuire.
En effet si on a un format de logs combine pour apache en general le
referrer du hit est indique, et donc en analysant les logs de ebay.com
par exemple on devrait pouvoir reperer les serveurs des assaillants.
Par exemple a partir de ce site pirate j'ai ete consulter les conditions
generales de ventes d'ebay* (): le site a du etre marque comme referrer
non? Et il doit etre assez simple (quoique, dans mon cas le nom de
repertoire commence par . ) de verifier si les sites qui font du deep
linking sur ces pages sont des sites pirates non ?
Mais peut etre que ebay et les autres sites webs victimes sont:
- dans des configurations trop compliquees pour faire ce genre d'analyse
(cluster, beaucoup de hit)
- deja au courant de l'identite des sites pirates mais ne peuvent pas
agir (enfin en l'occurrence le "mien" est situe aux USA, c'est une
Fedora qui a ete pourrie "apparemment", ils doivent pouvoir agir).
Le site "phishé": http://216.117.143.43/.eBay.alert./
--
Cordialement,
Ludo
-
http://www.ubik-products.com
Poser une question
Le sujet a été abordé sur Bugtraq cette semaine.
Pour les détails, voir le thread commençant ici :
http://seclists.org/lists/bugtraq/2.../0442.html
La "loi naturelle d'évolution des attaques" (une théorie perso ;-) dit
d'ailleurs que ce type de défense ne peut servir que quelques fois, à
moins d'avoir affaire en face à des idiots.
Et je doute fortement que les gars situés derrière ces phishings soient
des idiots. Il suffit pour s'en convaincre d'étudier leur méthodologie
(par exemple pour le choix des machines hébergeant les faux sites) ainsi
que leur faculté à faire évoluer *très* vite (de l'ordre de la
journée) leurs outils en riposte à des nouvelles défenses.
Nicob
Ce n'est pas forcément faisable. Cf le thread
une filiale d'ebay.
--
Le grand site de la philosophie animale :
sur Ebay. Donc, qu'est-ce qui différencie un site qui fait du phishing d'un
site qui balance un simple lien sur Ebay ??? Rien...
Florent
les sites utilisent des noms de repertoires commencant par un '.' "a la
Warez" pour echapper aux ls. J'ai recu encore un autre site (je les
reportes a chaque fois mais ne fait le miroir a chaque fois ca a l'air
d'etre exactement le meme site, aussi planque dans un repertoire cache).
Apres je dis pas il faut une validation humaine pour les cas qui n'ont
pas ete ecarte parce que le refferer a l'air sain (= ne contient pas de
repertoire cache).
Effectivement, les tactiques de propagation n'evolueront mais ca
empechera deja les pirates de se planquer dans des repertoires caches -
ce qui est le BA-BA d'accord mais visiblement tout le monde ne regarde
pas (alors qu'un pont petit chkrootkit les remonte tout seul).
Apres validation on peut par exemple decider de blacklister les serveurs
compromis, par exemple au moyen de rewrite rulez et d'un fichier qui
contient les noms/adresses de serveurs phishes, ce qui casse les images
et permet aux clients d'identifier plus facilement l'arnaque.
D'un autre cote je dis ca mais ca n'est sans doute pas de la tarte a
mettre en place, avec un existant au niveau config. D'un autre cote
encore vous croyez que la liste de serveur pirates qui font du phishing
est si longue que ca penaliserait les performances de verifier les
referrer ?
J'ai lu la description de modsecurity, je ne sais absolument pas ce
qu'il y a dedans et ce que ca vaut mais c'est peut etre un bon endroit
ou implementer ca si on ne veut pas rewrite rules. N'etant pas expert en
developpement de modules apache je ne sais pas si les filtres de Apache
2 sont faciles a developper ou s'il est plus simple d'etendre
modsecurity ou un autre module du meme style.
J'ai lu les excellents threads sur le sujet, et je suis bien d'accord
que ca peut evoluer tres vite, mais ne rien faire ne serait pas mieux.
En tout cas le sujet m'interesse,
--
Cordialement,
---
Ludo
----
http://www.ubik-products.com
leur trafic.
Nous on avait un jeu hébergé sur un de mes sites, et il a été mis sur
d'autres sites. Du coup, on avait 25% de notre trafic qui partait en
pologne, sans raison... Donc, on a effectivement fait un système de
vérification du referrer, mais avant cela, ça ne nous serrait jamais venu à
l'idée.
Ils ont un site, ils ne sont pas responsables des préjudices créés par
les gens qui se font passer pour eux, et ils n'en subissent sans doute
aucune conséquence, donc y'a peu de chance pour qu'ils mettent des moyens en
place.
D'autre part, sur un site aussi enorme, reprogrammer une partie du
script, ça doit coûter trés cher. Apprement ils fonctionnent sur des
machines SUN avec des cgi-bin, ça signifie que ça ne se fait pas en deux
tours de tourne-vis.
Florent