Persifal, ou comment écrire des parsers résistants (par O. Levillain)

Cette présentation courte veut combler le problème des parsers de protocoles comme ceux intégrés à Wireshark ou Scapy.

Au lieu d'écrire des fichiers complexes pour parser un protocole simple, Persifal utilise des fichier OCaml concis. On a donc a définir simplement une structure qui réprésente le protocole et le framework Persifal va intégrer le tout et créer un parser complet.

nftables (bien plus que iptables/pf) (par E. Leblond)

Cette dernière présentation courte a été donnée par un des membres de la coreteam d'iptables. C'est donc un bonhomme qui maitrise bien le firewall-ing!

Il nous a présenté nftables, le futur remplacant d'iptables, qui est actuellement développé activement par l'équipe d'iptables. Le but ? Supprimer le fonctionnement un peu archaïque de l'ajout ou de la modification des règles (syntaxe pas très claire et mise à jour des règles chargées dans le noyau trop coûteuse).

Ici, la nouvelle syntaxe sera beaucoup plus sexy, la mise à jour des règles dans le noyau sera faite via Netlink, qui est un système qui envoie des messages au noyau, qui se charge de gérer les règles dans son coin.

Et bien sûr, une rétro-compatibilité avec Netfiler/iptables sera assurée!

Un Quick and Dirty Howto est aussi disponible.

Original post of Quack1.Votez pour ce billet sur Planet Libre.

Aujourd'hui a débuté la 11ème édition du SSTIC 2013. L'évènement a débuté à 9h ce matin par la validation de mon inscription, et la réception du petit goodies bag, plutôt léger (un MISC Mag., un autocollant SSTIC 2013, un livre contenant l'ensemble des whitepapers, et un porte-badge SSTIC).

C'était pas moins de 10 conférences que nous avons pu voir aujourd'hui. Je vais faire un petit résumé de chacune, soit ici, soit dans un article séparé si j'ai trop de choses à dire ;-)

Innovations en crypto symétrique (par J. Daemen)

Mise a plat de graphes de flot de contrôle et exécution symbolique (par E. Vanderbéken)

J'ai un peu moins compris cette conf' parce que c'est un peu moins ce qui m'intéresse, mais je vais essayer de dire les choses simplement.

Un programme peut être représenté comme un graphe, qui donne les liens et la suite d'exécution entre chaque portion de code. Sauf que pour masquer les malware, des packers vont modifier le binaire pour brouiller les liens jusqu'à rendre le code incompréhensible.

Le but de la conférence est de montrer une technique qui permet de débrouiller le code en remettant à plat le graphe de flot selon des nouvelles techniques d'analyse du code.

Polyglottes binaires et implications (par A. Albertini)

J'ai adoré cette présentation, même si je ne pourrais pas tout détailler ici.

Le but est de montrer qu'il est possible de créer un fichier d'un type donné (ici un pdf) et d'incorporer dans ce fichier des portions de code PE (format d'exécutable Windows), d'Html, de code Java, etc... Et tout ceci en ayant un fichier final valide.

Pour plus de détail (ce serait trop long ici), voir le site de l'auteur corkami.com ou pour le PDF version Linux ici

Recompilation dynamique de codes binaires hostiles (par S. Josse)

Là encore je n'ai pas tout compris, mais en gros le but est d'avoir un logiciel qui est capable d'unpacker, analyser et comprendre automatiquement le fonctionnement d'un malware, puis de ré-écrire le binaire pour l'exécuter dans un environnement virtualisé (QEMU).

Présentations courtes

Compromission d'un terminal sécurisé via l'interface carte à puces (par G. Vinet)

Une conférence très technique et pointue sur la carte à puce. Malheureusement pas trop mon délire...

Attaques applicatives via périphériques USB modifiés : infection virale et fuite d'informations (par B. Badrignans)

Cette présentation était très intéressante. On nous a montré ici qu'on pouvait créer un périphérique USB custom qui se fait passer pour autre chose que ce qu'il est réellement. Par exemple, un clavier USB qui contient un petit disque avec un malware. Le clavier va donc ensuite pouvoir taper une commande sur l'OS pour executer le malware qu'il contient dès son branchement.

Red October (par N. Brulez)

Nicolas Brulez, Principal Malware Researcher chez Kaspersky Labs est revenu sur Red October, l'attaque par malware survenue entre 2007 et 2013 sur de nombreux systèmes diplomatiques ou gouvernementaux internationaux.

De nombreux articles sur le sujet sont disponibles sur le Net, j'aurais retenu que les attaques commençaient par du physique et des attaques (très connues, pas de 0 day) sur des fichiers Word ou Excel. Les malwares contenaient de nombreux modules permettant d'infecter des mobiles, de récupérer des mots de passe, des infos sur les routeurs Cisco, ...

Je retiendrais enfin les techniques utilisées par Kaspersky pour obtenir des infos sur les serveurs C&C ou les malwares. Les attaquants avaient fait des fautes de frappes dans les noms de domaine qu'ils avaient enregistrés pour être contacté par les malwares, ou tout simplement qu'ils n'avaient pas été renouvelés. Ils ont ainsi pu ré-acheter ces NDD pour obtenir des informations sur les données et requêtes que les virus clients envoyaient aux serveurs.

L'embarqué entre confiance et défiance (par A. Francillon)

La conférence était un peu confuse, mais ça m'a permis de voir que sur à peu près tous les périphériques embarqués (tels que des puces 3G, des puces de disques dur ou même de clé de voiture sans contact) n'étaient pas très sécurisés et qu'avec quelques manips on pouvait modifier le firmware installé ou simplement bypasser les protections (non existantes bien souvent).

Original post of Quack1.Votez pour ce billet sur Planet Libre.

Au hasard de mes pérégrinations sur le net, je suis tombé sur un script PHP que je trouve très utile et bien fait: LBCRSS.

Il s’agit d’un générateur de flux RSS pour le célèbre site de petite annonce Le Bon Coin. En effet quand on recherche un objet à acheter sur le bon coin on peut passer à côté d’une bonne affaire si on ne recherche pas régulièrement l’objet désiré. Ici c’est très simple on formule une requête sur le Bon Coin (par exemple un gps garmin 310 XT) et automatiquement le script LBC RSS génère un flux RSS à jour avec les dernières annonces qui contiennent l’objet recherché! Utile et très efficace pour ne plus rater une bonne affaire

À l’utilisation c’est très simple.

Tout d’abord, on se connecte sur le site du bon coin, rubrique « Offre », puis on remplit avec la recherche désirée, la catégorie, la zone géographique à rechercher, puis on clique sur Chercher:

Ensuite on copie l’URL affichée par le navigateur (ici avec Chrome):

On lance le script php LBC RSS, puis on rentre l’adresse de recherche, on peut spécifier une gamme de prix et même limiter la recherche sur certaine ville:

On clique ensuite sur enregistrer, le script nous génère un flux RSS. Il n’y a plus qu’à utiliser l’adresse fournie avec votre lecteur RSS préféré pour profiter du résultat:

Voici ce que ça donne avec RSS Bandit par exemple:

 

Amusez-vous bien!

Original post of Inrepublica.fr.Votez pour ce billet sur Planet Libre.

La BCE a publié les agrégats monétaires pour M1,M2 et M3 €.

Evolution de M1 M2 & M3 € Juin 2013

Et l’évolution du bilan de la BCE :

Original post of Stéphane Laborde.Votez pour ce billet sur Planet Libre.

Pour des besoins personnels j’ai codé un petit script en Perl (toujours sous licence beerware) afin de pouvoir scanner un répertoire IMAP avec la puissance de SpamAssassin à distance. ça s’avère très pratique :

• Quand on ne maîtrise pas le serveur de messagerie ;
• Qu’il n’y a pas d’anti-spam (ou un anti-spam tout pourrit) ;
• Que votre serveur est trop “petit” (en terme de ressource) pour accueillir un SpamAssassin ;

Des solutions anti-spam déporté existait ici ou là et même là mais elle ne me satisferaient pas pleinement.. Du coup j’ai pris mes petits doigts et c’est partie…

Commentaire

Petit commentaire sur le code (visible dans ma bébé forge) :

1. Je n’ai pas trouvé mieux que la base sqlite pour dire “hey toi je t’ai déjà scanner je passe mon chemin” Ma première idée était de créer un flags IMAP personnalisé (genre “SpamChecked”) d’après ce que j’ai lu ça n’est pas permis dans le protocole IMAP standard… c’est moche…
2. (Une amélioration à penser) Il faudrait pouvoir stocker le mot de passe en crypté.. le hic est qu’il faut que ça soit réversible pour le servir au serveur IMAP (?) là si quelqu’un à des idées je suis preneur…

Utilisation

Installer les lib perl dépendante :

Sous Ubuntu/Debian :

$ aptitude install libmail-imapclient-perl libmail-spamassassin-perl  libdbi-perl libdbd-sqlite3-perl

Sinon pour les perl compilé ou autres systèmes :

$ cpan -i Mail::SpamAssassin Mail::IMAPClient DBI

Télécharger  :

$  cd /opt
$ wget http://forge.zici.fr/p/imapspamscan/source/download/master/ -O imapSpamScan.zip
$ unzip imapSpamScan.zip
$ mv imapspamscan-master imapSpamScan
$ chmod +x imapSpamScan/imapSpamScan.pl

La commande à mettre au lancement de votre poste (dans /etc/xdg/autostart.. ou /etc/rc.local ou .bashrc ou … ou …)

$ /opt/imapSpamScan/imapSpamScan.pl --daemon --imapsrv=serveur.a.scanner.fr --imapuser=brad --imappassword=pitt --db=~/.config/imapSpamScan.db

Original post of David Mercereau.Votez pour ce billet sur Planet Libre.