pour ma culture, quelqu'un présent ici a t'il déjà vu une attaque
qui utilisait des URL en rot13?
J'analyse quelques logs, et je tombe sur une immensité de ce genre
d'URL encodées en rot13, exemple:
lnubb.pbz/c
lnubb.pbz/cu
lnubb.pbz/cubgbf
oybz.pbz.yo
jbbqynaqonax.pbz
et beaucoup d'autres URL complètes comme:
uggc://ptv.ertvfgengvba.fhfcrafvba.xjvx.gb/jf2/vaqrk.cuc
uggc://vef-gnk.sov.or/freire/bayvar/sbezf/ershaq/0,,vq=96596,00.ugzy
uggc://jjj.knatn.pbz/fvtava.nfck
Pourquoi je poste sur fr.comp.securite? Car la majorite des URL ont
des liens avec des sites de registration d'email, de banque ou
assimilé, donc je soupçonne une fraude quelquepart.
Par contre, tout ce que je vois là m'a l'air mort comme liens, c'est
pour cette raison que je poste ici pour savoir si ça rappelle quelque
chose à quelqu'un. J'ai googlé un peu, mais je ne vois rien de
très probant la dessus. Si un ancien du groupe se souvient avoir
vu ce genre de choses, ça m'intéresse.
pour ma culture, quelqu'un présent ici a t'il déjà vu une attaque qui utilisait des URL en rot13?
Pour réponse, ça n'est pas une attaque,
Je m'en serais douté, tout comme toi dans ton premier article d'ailleurs.
c'est google.
Là je ne comprends pas. Pour notre culture personnelle, tu pourrais expliquer de quoi il s'agissait ?
Kevin Denis
On 2008-03-17, Olivier Miakinen <om+ wrote:
c'est google.
Là je ne comprends pas. Pour notre culture personnelle, tu pourrais expliquer de quoi il s'agissait ?
Firefox propose l'extension de google "safe browsing".
Cette extension est un service proposé par google et disponible ici par le biais de http://sb.google.com/safebrowsing/update qui donne les dernières mises à jour d'une liste de sites web contrefaits, de malfaçons, ou de site référencés comme phisher. La syntaxe est la suivante: http://sb.google.com/safebrowsing/update?version=goog-white-domain:1:1 Pour avoir la liste des domaines whitelistés par google depuis le numéro 1.
Firefox télécharge et stocke cette liste de sites dans le fichier urlclassifier2.sqlite, situé dans le profil de l'user.
Ce profil est effectivement (comme son nom l'indique) une base de données sqlite: $ sqlite3 urlclassifier2.sqlite SQLite version 3.5.6 Enter ".help" for instructions sqlite> .schema CREATE TABLE 'goog_black_enchash' (key TEXT PRIMARY KEY, value TEXT); CREATE TABLE 'goog_black_url' (key TEXT PRIMARY KEY, value TEXT); CREATE TABLE 'goog_white_domain' (key TEXT PRIMARY KEY, value TEXT); CREATE TABLE 'goog_white_url' (key TEXT PRIMARY KEY, value TEXT); sqlite> select key from goog_black_url limit 3; uggc://1.fubccvatcbegny24.vasb/fxvaf/fxva_6/ptv-ova/hcqngr.ugz uggc://100xz.wc/1/ uggc://100xz.wc/ufop.cuc sqlite> .quit
Or donc, je retrouve bien la liste de mes URL ROT13-encodées.
J'ai donc ma réponse sur la raison d'être de trouver dans la mémoire d'une machine une quantité extremement grande d'URL encodées en ROT13. Firefox était démarré, et devait donc activement vérifier les URL. Ceci provient donc de l'option "safe browsing", qui est un service google.
Suite a ces infos, je me suis posé une question: pourquoi donc ces URL sont-elles codées en ROT13?
Une rapide recherche à l'aide de google codesearch m'amène à un fichier source appelé nsUrlClassifierDBService.cpp, dont un commentaire a attiré mon attention: // We use ROT13 versions of keys to avoid antivirus utilities from // flagging us as a virus. nsCString keyROT13(key); Rot13Line(keyROT13);
Suite à ça, j'ai la réponse à mes questions: -Les URL en ROT13 proviennent bien de google -Les URL sont majoritairement hors service, puisque dans l'intervalle, le site de phishing a du tomber. Il ne s'agit donc pas d'une vieille attaque. -Il n'y a qu'un rapport lointain avec la sécurité, et surement pas en rapport avec ce groupe. -- Kevin
On 2008-03-17, Olivier Miakinen <om+news@miakinen.net> wrote:
c'est google.
Là je ne comprends pas. Pour notre culture personnelle, tu pourrais
expliquer de quoi il s'agissait ?
Firefox propose l'extension de google "safe browsing".
Cette extension est un service proposé par google et disponible ici par
le biais de http://sb.google.com/safebrowsing/update qui donne les
dernières mises à jour d'une liste de sites web contrefaits, de malfaçons,
ou de site référencés comme phisher. La syntaxe est la suivante:
http://sb.google.com/safebrowsing/update?version=goog-white-domain:1:1
Pour avoir la liste des domaines whitelistés par google depuis le
numéro 1.
Firefox télécharge et stocke cette liste de sites dans le
fichier urlclassifier2.sqlite, situé dans le profil de l'user.
Ce profil est effectivement (comme son nom l'indique) une base
de données sqlite:
$ sqlite3 urlclassifier2.sqlite
SQLite version 3.5.6
Enter ".help" for instructions
sqlite> .schema
CREATE TABLE 'goog_black_enchash' (key TEXT PRIMARY KEY, value TEXT);
CREATE TABLE 'goog_black_url' (key TEXT PRIMARY KEY, value TEXT);
CREATE TABLE 'goog_white_domain' (key TEXT PRIMARY KEY, value TEXT);
CREATE TABLE 'goog_white_url' (key TEXT PRIMARY KEY, value TEXT);
sqlite> select key from goog_black_url limit 3;
uggc://1.fubccvatcbegny24.vasb/fxvaf/fxva_6/ptv-ova/hcqngr.ugz
uggc://100xz.wc/1/
uggc://100xz.wc/ufop.cuc
sqlite> .quit
Or donc, je retrouve bien la liste de mes URL ROT13-encodées.
J'ai donc ma réponse sur la raison d'être de trouver dans la mémoire
d'une machine une quantité extremement grande d'URL encodées en ROT13.
Firefox était démarré, et devait donc activement vérifier les URL.
Ceci provient donc de l'option "safe browsing", qui est un service
google.
Suite a ces infos, je me suis posé une question:
pourquoi donc ces URL sont-elles codées en ROT13?
Une rapide recherche à l'aide de google codesearch m'amène à un fichier
source appelé nsUrlClassifierDBService.cpp, dont un commentaire a
attiré mon attention:
// We use ROT13 versions of keys to avoid antivirus utilities from
// flagging us as a virus.
nsCString keyROT13(key);
Rot13Line(keyROT13);
Suite à ça, j'ai la réponse à mes questions:
-Les URL en ROT13 proviennent bien de google
-Les URL sont majoritairement hors service, puisque dans l'intervalle,
le site de phishing a du tomber. Il ne s'agit donc pas d'une vieille
attaque.
-Il n'y a qu'un rapport lointain avec la sécurité, et surement pas en
rapport avec ce groupe.
--
Kevin
Là je ne comprends pas. Pour notre culture personnelle, tu pourrais expliquer de quoi il s'agissait ?
Firefox propose l'extension de google "safe browsing".
Cette extension est un service proposé par google et disponible ici par le biais de http://sb.google.com/safebrowsing/update qui donne les dernières mises à jour d'une liste de sites web contrefaits, de malfaçons, ou de site référencés comme phisher. La syntaxe est la suivante: http://sb.google.com/safebrowsing/update?version=goog-white-domain:1:1 Pour avoir la liste des domaines whitelistés par google depuis le numéro 1.
Firefox télécharge et stocke cette liste de sites dans le fichier urlclassifier2.sqlite, situé dans le profil de l'user.
Ce profil est effectivement (comme son nom l'indique) une base de données sqlite: $ sqlite3 urlclassifier2.sqlite SQLite version 3.5.6 Enter ".help" for instructions sqlite> .schema CREATE TABLE 'goog_black_enchash' (key TEXT PRIMARY KEY, value TEXT); CREATE TABLE 'goog_black_url' (key TEXT PRIMARY KEY, value TEXT); CREATE TABLE 'goog_white_domain' (key TEXT PRIMARY KEY, value TEXT); CREATE TABLE 'goog_white_url' (key TEXT PRIMARY KEY, value TEXT); sqlite> select key from goog_black_url limit 3; uggc://1.fubccvatcbegny24.vasb/fxvaf/fxva_6/ptv-ova/hcqngr.ugz uggc://100xz.wc/1/ uggc://100xz.wc/ufop.cuc sqlite> .quit
Or donc, je retrouve bien la liste de mes URL ROT13-encodées.
J'ai donc ma réponse sur la raison d'être de trouver dans la mémoire d'une machine une quantité extremement grande d'URL encodées en ROT13. Firefox était démarré, et devait donc activement vérifier les URL. Ceci provient donc de l'option "safe browsing", qui est un service google.
Suite a ces infos, je me suis posé une question: pourquoi donc ces URL sont-elles codées en ROT13?
Une rapide recherche à l'aide de google codesearch m'amène à un fichier source appelé nsUrlClassifierDBService.cpp, dont un commentaire a attiré mon attention: // We use ROT13 versions of keys to avoid antivirus utilities from // flagging us as a virus. nsCString keyROT13(key); Rot13Line(keyROT13);
Suite à ça, j'ai la réponse à mes questions: -Les URL en ROT13 proviennent bien de google -Les URL sont majoritairement hors service, puisque dans l'intervalle, le site de phishing a du tomber. Il ne s'agit donc pas d'une vieille attaque. -Il n'y a qu'un rapport lointain avec la sécurité, et surement pas en rapport avec ce groupe. -- Kevin
Olivier Miakinen
Le 17/03/2008 14:38, Kevin Denis m'a répondu :
Firefox propose l'extension de google "safe browsing".
[...]
Suite à ça, j'ai la réponse à mes questions: -Les URL en ROT13 proviennent bien de google -Les URL sont majoritairement hors service, puisque dans l'intervalle, le site de phishing a du tomber. Il ne s'agit donc pas d'une vieille attaque. -Il n'y a qu'un rapport lointain avec la sécurité, et surement pas en rapport avec ce groupe.
Merci pour toutes ces explications, c'est très clair.
Le 17/03/2008 14:38, Kevin Denis m'a répondu :
Firefox propose l'extension de google "safe browsing".
[...]
Suite à ça, j'ai la réponse à mes questions:
-Les URL en ROT13 proviennent bien de google
-Les URL sont majoritairement hors service, puisque dans l'intervalle,
le site de phishing a du tomber. Il ne s'agit donc pas d'une vieille
attaque.
-Il n'y a qu'un rapport lointain avec la sécurité, et surement pas en
rapport avec ce groupe.
Merci pour toutes ces explications, c'est très clair.
Firefox propose l'extension de google "safe browsing".
[...]
Suite à ça, j'ai la réponse à mes questions: -Les URL en ROT13 proviennent bien de google -Les URL sont majoritairement hors service, puisque dans l'intervalle, le site de phishing a du tomber. Il ne s'agit donc pas d'une vieille attaque. -Il n'y a qu'un rapport lointain avec la sécurité, et surement pas en rapport avec ce groupe.
Merci pour toutes ces explications, c'est très clair.
