Mise en garde Mozilla sur 2 extensions

[calimo]

C'est l'opposition classique binaire / source.
Tant que tu as accès au code source, c'est à peu près bon : un programmeur peut regarder ce qui se passe dans le code. Dans une extension c'est le cas des fichiers javascript, xul, html, etc.
Mais dès que des fichiers ont été compilés (comme l'a dit teoli2003 C/C++/Fortran, etc), tu n'as plus le code source, donc quelque chose qui n'est plus compréhensible par un être humain. À ce moment là, l'auteur peut avoir inséré ce qu'il veut, tu n'as aucun contrôle (tu peux essayer de désassembler, mais c'est très compliqué et ça ne résoudra pas vraiment le problème).

[calimo]

Dans un article de Mozilla, j'ai lu que la seule mesure prise était d'ajouter des détecteurs de malware supplémentaire.

Donc voué à l'échec.

1) Sur AMO (ou EGO d'ailleurs), indiquer clairement lorsqu'une extension possède une partie binaire, et les risques inhérents.

Pour EGO, c'est totalement inutile pour les extensions hébergées ailleurs. Mais pour celles dont on héberge le xpi, c'est quelque chose qu'on pourrait peut-être mettre en place également… en sachant qu'on n'a pas l'infrastructure pour compiler ce qui doit l'être ! Au début on essayait d'indiquer la licence de l'extension (open source ou non), mais je ne suis pas sûr que ce soit suivi scrupuleusement par tous les éditeurs.

Edit: citation inutile supprimée.

[bigbernie]

Eh oui donc.
Le reverse engineering c'est trop fort pour moi.
Lorsque j'avais les mains dans le cambouis c'etait il y a longtemps. Lorsque par exemple j'etais provider pour un groupe Amiga. C'etait avant Dadvsi et Cie au moment ou l'on pouvait bidouiller et tripoter tout ce que l'on voulait et distribuer ça quasi officiellement par des annonces dans les revues.
Tous les petits vieux ont connu ça, les colis de disquettes.
Mais avec l'Amiga il y avait beaucoup de mode texte et du Dos Amiga.
Avec des notions interessantes de l'assembleur 68.000 et aussi du basic GFA c'etait tout bon.
Il n'y avait pas d'Internet et de patches dans le temps, il fallait faire le boulot soi meme.

Mais avec le PC je n'ai pas suivi. Il y a eu le web et la tendance a profiter des patches des autres. Invitation a la fainéantise donc. Je suis largue donc. Volontairement. Par flemme. Trouver le boulot tout fait. Quelle honte ! Et ma nullite s'etend aussi a Mozilla. Je ne vais jamais dedans. Alors qu'avec Atari et Amiga ça chauffait dur.
Je me souviens meme du premier dispositif anti copie lorsque les OS etaient sur K7 audio.
Salut les pépes. L'anticopie consistait dans la vitesse de duplication de la bande. Vitese que les magnetos ne pouvaient pas faire. Donc...magneto a vitesse variable en lineaire. Tout etait simple dans le temps.

Le debogage de Windows ça va encore, les petites manips registre vs les sharewares ça passe aussi mais la decompilation en reverse alors la non. Il me faudrait 2/3 ans de programmation intensive pour y arriver. J'ecrase devant les petits genies de 14 a 17 ans qui sont les bienfaiteurs de l'humanite. Sans oublier saint Mitnick, saint Poulsen, saint Levin et saint Geo Hot qui a exorcise la Ps3. Je leur baise les pieds.

Le reverse engineering donc je n'approche pas.

Bonne continuation.

[ra-mon]

Salut,

Pour en revenir un peu au sujet, on pourrait aussi se demander pourquoi l'anti-malware de Firefox, basé sur une gigantesque liste noire gracieusement offerte par... Google, n'a pas bloqué AMO pendant les quelques mois durant lesquels qu'il distribuait les choses en question
Parce que c'est quand même l'occasion rêvée de le voir entrer en action pour contrer une infection d'un système via Firefox, non ?
Pensez-vous que les sites Mozilla sont en liste blanche ?

@+
--
Pierre

[teoli2003]

Je me demande si tout ces machins de détection fonctionne sur des sites en https. Je pense qu'ils sont tous inopérants dans ces cas-là.

[jpj]

Bonsoir,

… on pourrait aussi se demander pourquoi l'anti-malware de Firefox, basé sur une gigantesque liste noire gracieusement offerte par... Google, n'a pas bloqué AMO

Si j'ai bien suivi, il n'y a pas d'anti-malware dans Firefox, juste la vérification que l'adresse demandée ne se trouve pas dans cette base fournie par Google. Base de donnée de site malveillants qui, me semble-t-il (Pierre me corrigera si ce n'est pas le cas), est également utilisée par Opera mais en ligne au lieu d'être téléchargée et utilisée en local.

Sinon, cette liste établie par Google recense-t-elle les sites malveillants, c'est-à-dire des sites dont le code contient des scripts dangereux, ou des sites proposant en téléchargement des logiciels vérolés. Il me semble que c'est la première option. Je ne vois d'ailleurs pas Google télécharger et vérifier tous les binaires disponible sur le net. Ce serait un travail monstrueux et beaucoup de grands sites de téléchargement se retrouveraient en liste noir. Rares sont ceux qui ne proposent pas involontairement des trucs douteux, sans même parler des MegaUpload, RapideShare et autres.

[bigbernie]

Bonsoir.

Et les anti virus de qualite ( comme Kaspersky par exemple mais il y en a d'autres) je suppose qu'ils sont suffisamment efficace pour detecter tout ça.
Lorsque ça fonctionne selon la methode par signature + heuristique + analyse de forme regexp. Le tout ensemble.

Bien entendu ce sont les newbee et il y en aura toujours qui se font veroler a chaque fois ou presque par defaut de protection ou de mises a jour. Ca fait 10 ans que je n'ai rien chope. Et je suis un grand amateur de sites a risques. Surtout Z et parfois X. Je fouine dans les endroits les plus bizarres et rien ne passe.
Chez moi tout est au maximum possible.

Concernant ces extensions je n'allais pas les telecharger et m'en servir pour voir si ça passe ou pas les protections. Il y a des specialistes qui font ça en infectant leurs machines test.
Un malware connu, c'est a dire non zero day doit etre arrete par un bon antivirus des qu'il commence a s'executer...enfin ça semble logique et...efficace sinon je serais mort plusieurs fois depuis longtemps.
Bonne nuit.

[ra-mon]

Je me demande si tout ces machins de détection fonctionne sur des sites en https. Je pense qu'ils sont tous inopérants dans ces cas-là.

Rien dans http://research.google.com/archive/provos-2008a.pdf ne semble explicitement exclure les sites sécurisés (enfin, les https...)
Coté client, la corrélation de l'url visitée avec la liste noire ne prend pas en compte l'en tête : The scheme, username, password, and port are disregarded.

Si j'ai bien suivi, il n'y a pas d'anti-malware dans Firefox

On nous aurait menti ?

juste la vérification que l'adresse demandée ne se trouve pas dans cette base fournie par Google.

Un anti-virus à signatures ne procède pas autrement, finalement
Mais, en fait, Google ne fournit en fait pas grand chose. Quand on dit « liste noire » c'est en fait très exagéré
Ce n'est qu'une base de donnée contenant des hachis de bouts d'url, un genre de grand mystère...
Et même lorsque ça arrive à déclencher une détection coté client, le serveur de Google n'enverra que les hachages complets des url pouvant correspondre...

Base de donnée de site malveillants qui, me semble-t-il (Pierre me corrigera si ce n'est pas le cas), est également utilisée par Opera mais en ligne au lieu d'être téléchargée et utilisée en local.

Oui, Opera propose le même principe de listes noires, mais coté serveur et alimentées pas uniquement (mais peut-être un peu aussi, pas sûr...) par Google (phishtank, netcraft, hautesecure devenu TRUSTe...)

Il me semble que c'est la première option.

Il me semble surtout que c'est très difficile à déterminer...
Car si l'API de Google est bien documentée pour profiter de ses services, il n'y a pas grand chose à se mettre sous la dent pour savoir comment sont élaborées les listes noires, hormis le white-paper en pdf déjà cité.

Je ne vois d'ailleurs pas Google télécharger et vérifier tous les binaires disponible sur le net. Ce serait un travail monstrueux

Google explique qu'il ne télécharge pas tous les binaires.
Ils feraient déjà une pré-sélection d'url sur des critères pas super clairs. Ensuite, ils soumettent ces url à des IE pas à jour tournant dans des MV Windows en espérant repérer des affolements significatifs au niveau système de fichier, processus ou BdR...
Donc, en gros, une machine à fabriquer des faux positifs pour des utilisateurs de FIrefox (surtout sous Linux ou OSX) mais qui, dans le cas présent, aurait pu être pertinente. En effet, les seules traces des extensions douteuses que j'ai pu trouver (la Sothink Web Video machin chose v4) étaient bien diffusées sous forme d'exécutable pour Windows à installer auraient pu rentrer dans les critères de détection de Google...

beaucoup de grands sites de téléchargement se retrouveraient en liste noir.

Tu as déjà entendu parler ou rencontré un site bloqué par Firefox qui était vraiment un site permettant l'infection automatisée d'un système par le biais de Firefox ?

Chez moi tout est au maximum possible.

Chez moi tout est au minimum et il ne se passe pas grand chose non plus, malheureusement pour moi qui aime bien casser mes jouets

Un malware connu, c'est a dire non zero day doit etre arrete par un bon antivirus des qu'il commence a s'executer...

Les antivirus essayent même maintenant de les repérer avant qu'ils s'exécutent, on arrête pas le progrès...
Mais on devrait quand même pas avoir besoin d'un antivirus pour jouer avec Firefox. Même sous Windows. C'était bon pour des vieux IE moisis, les antivirus, non ?

@+
--
Pierre

[jpj]

On nous aurait menti ?

Disons que "on" a une vison un peu large d'un anti-malware (ou d'un antivirus). Amha, ce devrait être à minima un algorithme capable de détecter des signatures dans des morceaux de binaire et, de préférence, capable de voir des éléments de code douteux, même s'ils ne sont pas référencés dans une base de signature. La simple vérification de l'inscription d'une url dans un "annuaire", c'est un peu court pour parler d'anti-malware.

Un anti-virus à signatures ne procède pas autrement, finalement

Ils sont tous "à signatures" mais la quasi totalité incluent également une détection heuristique (qui, je te l'accorde, permet quelques gags amusants).

Ils feraient déjà une pré-sélection d'url sur des critères pas super clairs. Ensuite, ils soumettent ces url à des IE pas à jour tournant dans des MV Windows en espérant repérer des affolements significatifs au niveau système de fichier, processus ou BdR...

Tu as déjà entendu parler ou rencontré un site bloqué par Firefox qui était vraiment un site permettant l'infection automatisée d'un système par le biais de Firefox ?

Il s'agit donc bien de repérer d'abord des sites web contenant du code malveillant destiner à infecter le PC par la simple visite (JavaScript, ActiveX, etc.). Non de détecter les sites hébergeant des binaires à télécharger et exécuter et dont certains pourraient être malveillants.
Ce site, par exemple, n'est pas bloqué et pourtant sur Google ou même sur Geckozone…
Et la plupart des sites qui mettent des freewares en téléchargement devraient aussi être bloqués, vu le pourcentage de logiciels plus ou moins vérolés qu'ils proposent sans savoir ce qu'ils contiennent vraiment.

[ra-mon]

La simple vérification de l'inscription d'une url dans un "annuaire", c'est un peu court pour parler d'anti-malware.

Google explique bien qu'il faut relativiser la portée de son service
In your end-user visible warning, you may not lead users to believe that the page in question is, without a doubt, a phishing page or a page that distributes malware. When you refer to the page being identified or the potential risks it may pose to users, you must qualify the warning using terms such as: suspected, potentially, possible, likely, may be.
Je n'ai pas plus confiance que toi dans ce genre de système, quel que soit le navigateur utilisé mais le blocage d'AMO par Google aurait vraiment été le cas idéal pour nous montrer que nous avons un peu tord

EDIT : Accessoirement, Firefox (enfin, SafeBrowsing) ne bloque pas l'accès à http://www.newfirefoxonline.com/ qui semble pourtant diffuser une version un poil chargée de Firefox, d'après http://threatcenter.blogspot.com/2010/0 ... dware.html

@+
--
Pierre

[calimo]

Je pense que Google ne liste de toutes façons que les sites qui installent automatiquement du malware. Pas ceux sur lesquels on peut les télécharger… donc effectivement l'utilité est limitée. Visiter AMO si l'on ne télécharge et installe aucune extension reste en effet parfaitement inoffensif.

Ce qui est plus utile c'est la fonctionnalité d'avertissement à la contrefaçon. Il m'est arrivé de recevoir des mails avec liens vers un site bloqué. Pour moi ce n'est pas très utile (je pense savoir ce que je fais), mais pour certains utilisateurs naïfs c'est sans doute pertinent. Il m'est aussi arrivé de rapporter de tels sites (parfois ils sont effectivement bloqués, d'autres non)

Mais je suis d'accord pour dire que ce serait mieux si le processus était un peu plus transparent.

[jpj]

EDIT : Accessoirement, Firefox (enfin, SafeBrowsing) ne bloque pas l'accès à http://www.newfirefoxonline.com/ qui semble pourtant diffuser une version un poil chargée de Firefox, d'après http://threatcenter.blogspot.com/2010/0 ... dware.html

J'ai téléchargé deux fichiers d'installation depuis newfirefoxonline et ils était tous les deux corrects (Firefox en-US 3.6 – SHA1 beea34881a76615a58e179b17667684d516f7f41).

En revanche, le site d'origine du téléchargement change à chaque fois :
h**p://ftp.jaist.ac.jp/pub/mozilla.org/firefox/releases/3.6/win32/en-US/ (miroir ne contenant que du libre : Linux, OOo, BSD, etc.)
h**p://victoria.acc.umu.se/pub/mozilla.org/firefox/releases/3.6/win32/en-US/ (Debian, Ubuntu, Mozilla)
h**p://hyperion.zih.tu-dresden.de/moz/firefox/releases/3.6/win32/en-US/ (Debian, /moz/ n'est pas affiché dans la racine)
h**p://pj-mirror01.mozilla.org/pub/mozilla.org/firefox/releases/3.6/win32/en-US/ (ne contient que du Mozilla)
h**p://mirrors.xmission.com/mozilla.org/firefox/releases/3.6/win32/ (Linux et autre libre)
h**p://mirror.informatik.uni-mannheim.de/pub/mirrors/mozilla.org/firefox/releases/3.6/win32/en-US/ (Linux et Mozilla)
S'agit-il de miroirs normalement utilisés par Mozilla ?
Si c'est le cas, un des serveurs a pu être compromis ou "piraté". Si ce n'est pas le cas, c'est la roulette russe.

Ou alors, il y a déjà eu une "explication franche et sincère" entre Mozilla et newfirefoxonline et ce dernier a réparé son "erreur".

[Benoit]

En revanche, le site d'origine du téléchargement change à chaque fois

Ça c'est normal, c'est le principe des sites miroirs.

De plus les binaires win32 sont signés par la Fondation Mozilla, on peut donc voir s'ils ont été modifiés ou non.

[teoli2003]

Pour info, le cheval de Troie découvert dans l'une des extensions s'est avéré être un faux-positif. Pas l'autre.

http://blog.mozilla.com/addons/2010/02/ ... ity-issue/