http://www.secuobs.com L'observatoire de la securite Internet fr webmaster@secuobs.com MuDoS est un générateur générique permettant de réaliser des outils de Dénis de Service pour la plupart des cibles réseau. Une interface en ligne facilite par ailleurs la génération des fichiers de configuration JSON qui sont nécessaires à la construction de ces outils depuis un paquet PCAP. http://www.secuobs.com/news/21062009-mudos_denial_service_json_osi_pcap.shtml http://www.secuobs.com/news/21062009-mudos_denial_service_json_osi_pcap.shtml Origami est une plateforme en Ruby qui facilite l'analyse, la création et la modification de fichiers PDF malicieux. Elle permet notamment d'attacher des fichiers cachés et des codes Javascript, les fichiers en résultant échappent à la détection par la plupart des solutions antivirales du marché. http://www.secuobs.com/news/20062009-origami_pdf_virus_filtre_javascript.shtml http://www.secuobs.com/news/20062009-origami_pdf_virus_filtre_javascript.shtml Making The Web propose une nouvelle version d'un outil qui permet de subtiliser l'historique d'un navigateur Web afin de prendre connaissance des liens déjà visités par la victime. A noter que, contrairement à la première version, celle-ci ne nécessite aucune exécution de code Javascript. http://www.secuobs.com/news/19062009-sniff_browser_history_no_javascript.shtml http://www.secuobs.com/news/19062009-sniff_browser_history_no_javascript.shtml Slowloris permet de réaliser des attaques par Déni de Service via des requêtes HTTP partielles permettant d'exploiter une faille de conception dans l'implémentation du protocole HTTP de nombreux serveurs Web donc les branches 1.x et 2.x d'Apache http://www.secuobs.com/news/18062009-slowloris_http_partial_dos_apache.shtml http://www.secuobs.com/news/18062009-slowloris_http_partial_dos_apache.shtml Veiled est un preuve de concept permettant de se connecter, de créer et d'utiliser des réseaux de type Darknets à travers un simple navigateur Web supportant la technologie HTML 5. Il devrait ainsi offrir de la sécurité et de l'anonymat aux communications de ses utilisateurs. http://www.secuobs.com/news/16062009-veiled_darknet_anonyme_chiffrement.shtml http://www.secuobs.com/news/16062009-veiled_darknet_anonyme_chiffrement.shtml Les technologies de tatouages (ou watermarking) de médias permettent de remonter à la source d’une « fuite ». Mais les certitudes s’amenuisent au fur et à mesure qu’augmente le nombre de traîtres et la taille de leur communauté. Lors du SSTIC 2009, une présentation a fait le point sur cette problématique qui est de plus en plus d’actualité. http://www.secuobs.com/news/16062009-watermarking-collusion-sstic09.shtml http://www.secuobs.com/news/16062009-watermarking-collusion-sstic09.shtml L’outil Fuzzgrind, présenté lors du SSTIC 2009, permet de parcourir l’ensemble des branchements d’un exécutable, en s’appuyant sur Valgrind et STP http://www.secuobs.com/news/10062009-fuzzgrind-sstic09.shtml http://www.secuobs.com/news/10062009-fuzzgrind-sstic09.shtml Lors d’une présentation qui a eu lieu lors du SSTIC 2009, deux chercheurs ont démontré la possibilité de compromettre un système via l’insertion d’une carte au format PC Card basée sur un processeur FPGA. http://www.secuobs.com/news/08062009-pci-fpga-sstic09.shtml http://www.secuobs.com/news/08062009-pci-fpga-sstic09.shtml ARPFreeze permet d'éditer de façon simplifiée et persistante la table ARP statique des systèmes Microsoft Windows afin de lutter contre les attaques par empoisonnement de cache ARP qui sont utilisées pour réaliser les attaques dites de Man In The Middle. http://www.secuobs.com/news/08062009-arpfreeze_cache_poisonning_mitm.shtml http://www.secuobs.com/news/08062009-arpfreeze_cache_poisonning_mitm.shtml Lors de sa présentation au SANS, HD Moore a révélé les futures évolutions du projet Metasploit qui visent à en faire un standard du domaine, avec entre autres des possibilités d'intégration dans des solutions externes comme Netifera, Maltego ou OpenVAS. http://www.secuobs.com/news/07062009-metasploit_xmlrpc_machterpreter.shtml http://www.secuobs.com/news/07062009-metasploit_xmlrpc_machterpreter.shtml Le module Cloudburst CANVAS, basé sur les recherches de Kostya Kortchinsky, offre la possibilité d'exploiter un système hôte via une machine virtuelle et cela par l'intermédiaire d'une corruption de l'espace mémoire relatif à l'affichage graphique de la machine virtuelle en question. http://www.secuobs.com/news/05062009-cloudburst_vmware_framebuffer.shtml http://www.secuobs.com/news/05062009-cloudburst_vmware_framebuffer.shtml WEPBuster est un script PERL facilitant les audits automatisés et massifs de l'ensemble des points d'accès sans-fil disponibles. Il base son fonctionnement essentiellement sur les utilitaires de la suite Aircrack-NG pour obtenir les clés WEP relatives. http://www.secuobs.com/news/04062009-wepbuster_aircrack-ng_csrf_upnp.shtml http://www.secuobs.com/news/04062009-wepbuster_aircrack-ng_csrf_upnp.shtml RSTEG est une nouvelle méthode stéganographique hybride permettant d'inclure furtivement des stéganogrammes au sein de charges utiles relatives à des paquets réseau et cela via l'utilisation des mécanismes de retransmission présents dans le Protocole TCP. http://www.secuobs.com/news/04062009-rsteg_stegano_tcp_rto_frr_sack.shtml http://www.secuobs.com/news/04062009-rsteg_stegano_tcp_rto_frr_sack.shtml La nouvelle version beta1 de Visual C++ 2010, qui accompagne Visual Studio 2010, propose une protection /gs élargie avec l'évolution g++ dont les cookies s'appliquent à un plus grand nombre de fonctions susceptibles de comporter des vulnérabilités exploitables de type dépassement de mémoire tampon. http://www.secuobs.com/news/03062009-g++_gs_vc++_beta1_visual_studio.shtml http://www.secuobs.com/news/03062009-g++_gs_vc++_beta1_visual_studio.shtml Universelle et placée sous licence Open Source, Keykeriki est une solution matérielle et logicielle qui permet de démontrer les possibilités de capture et d'enregistrement des frappes clavier que les utilisateurs effectuent par l'intermédiaire d'équipements sans-fil. http://www.secuobs.com/news/03062009-keykeriki_sniffer_wireless_keyboard.shtml http://www.secuobs.com/news/03062009-keykeriki_sniffer_wireless_keyboard.shtml Le projet de loi « création et internet » devrait de nouveau être examiné par l'assemblée, suite à son rejet surprise par cette dernière au début du mois. Il manque toujours cruellement de dispositions favorisant la rémunération des artistes et des employés des filières artistiques. http://www.secuobs.com/news/27042009-hadopi-retour.shtml http://www.secuobs.com/news/27042009-hadopi-retour.shtml Webshag est destiné à l'audit de serveurs web, en se basant notamment sur Nikto et Nmap. Il permet aussi la découverte de pages et répertoires via un dictionnaire ou un outil de fuzzing de noms de fichiers. http://www.secuobs.com/news/24042009-webshag.shtml http://www.secuobs.com/news/24042009-webshag.shtml Une équipe de l'université de Bonn a mis en ligne une série d'outils, dont SCS, permettant de vérifier ou d'infirmer la présence du code malveillant Conficker sur un poste. Un outil de « vaccination » est également présent. http://www.secuobs.com/news/22042009-conficker-scan.shtml http://www.secuobs.com/news/22042009-conficker-scan.shtml Un PinTool vient d'être publié afin de bloquer automatiquement la détection SMM par le code Red Pill. Les PinTools utilisent le moteur Pin pour analyser des programmes en cours d'exécution et cela par le biais d'une injection dynamique de code au sein de leur espace d'adressage mémoire. http://www.secuobs.com/news/17042009-pintool_code_injection_red_pill_smm.shtml http://www.secuobs.com/news/17042009-pintool_code_injection_red_pill_smm.shtml Heyoka rend les tunnels DNS plus furtifs via un système interne de gestion avancée de l'usurpation des adresses ip sources. De plus il offre un gain considérable de performances avec 60 pour-cents de données stockées en plus par paquet DNS. http://www.secuobs.com/news/17042009-heyoka_dns_tunnel_furtif_rapide.shtml http://www.secuobs.com/news/17042009-heyoka_dns_tunnel_furtif_rapide.shtml Une nouvelle plateforme, à venir cette semaine, vise à implémenter une technique innovante qui facilite l'injection de Rootkits au sein du noyau Linux et cela de façon plus silencieuse que ce qu'implique généralement l'utilisation de Rootkits LKM lors de cette phase de l'exploitation. http://www.secuobs.com/news/15042009-dev_mem_rootkit_injection_linux_lkm.shtml http://www.secuobs.com/news/15042009-dev_mem_rootkit_injection_linux_lkm.shtml Le SkypeSkrayping permet de compromettre des comptes Skype afin d'écouter ou de rediriger les appels de la victime, la messagerie vocale est également concernée. L'automatisation massive de cette attaque pourrait permettre de mettre en place rapidement un Botnet VoIP pour effectuer du DDoS. http://www.secuobs.com/news/14042009-skypeskrayping_voip_botnet_spoofing.shtml http://www.secuobs.com/news/14042009-skypeskrayping_voip_botnet_spoofing.shtml EFIPW est un outil permettant de récupérer automatiquement le mot de passe défini dans les BIOS EFI qui sont utilisés au sein des ordinateurs de type Apple Macbook Pro fonctionnant sur des processeurs Intel Core Duo et Intel Core 2 Duo. http://www.secuobs.com/news/13042009-EFIPW_BIOS_Apple_Macbook_pro_Intel.shtml http://www.secuobs.com/news/13042009-EFIPW_BIOS_Apple_Macbook_pro_Intel.shtml Mise en difficulté par l'irruption surprise dans l'hémicycle de députés s'opposant au projet, et la non présence de nombreux représentants de la majorité, la ministre de la culture n'a pu que constater le rejet par l'assemblée du texte issu de la commission mixte paritaire. http://www.secuobs.com/news/10042009-hadopi-rejet.shtml http://www.secuobs.com/news/10042009-hadopi-rejet.shtml Outre des performances accrues, Nessus 4.0 propose un moteur de scan similaire pour tous les systèmes d'exploitation supportés. Entre autres, il est également possible d'appliquer des filtres pour personnaliser les résultats inclus dans les rapports de scan exportés depuis l'application cliente. http://www.secuobs.com/news/09042009-nessus_4_syn_wmi_xslt_tcp_nasl_pci.shtml http://www.secuobs.com/news/09042009-nessus_4_syn_wmi_xslt_tcp_nasl_pci.shtml Une suite d'outils sera bientôt disponible afin d'exploiter massivement VNC via une interface pseudo-RPC permettant d'exécuter à distance des commandes arbitraires par l'intermédiaire de scripts d'automatisation utilisant uniquement le protocole RFB. http://www.secuobs.com/news/09042009-vaaseline_vnc_rpc_rfb_clipboard_rdp.shtml http://www.secuobs.com/news/09042009-vaaseline_vnc_rpc_rfb_clipboard_rdp.shtml Alors que de (trop ?) nombreux observateurs attendaient une mise à jour du malware via HTTP, ce code malveillant a récemment été mis à jour via la méthode P2P. http://www.secuobs.com/news/09042009-conficker-e.shtml http://www.secuobs.com/news/09042009-conficker-e.shtml Les attaques théoriques à destination de technologies majeures (MD5 BPG, MPLS et Carrier-Ethernet) des grands réseaux devraient être implémentées dans des outils automatisés d'exploitation qui seront présentés lors de la prochaine Black Hat Europe. http://www.secuobs.com/news/08042009-md5_bgp_mpls_carrier_ethernet_ernw.shtml http://www.secuobs.com/news/08042009-md5_bgp_mpls_carrier_ethernet_ernw.shtml Trustwave aurait trouvé une technique peu onéreuse pour pénétrer les réseaux sans-fil 802.11 FHSS, pourtant réputés pour leur sécurité de par l'utilisation des sauts de fréquence. Cette technique se baserait sur l'utilisation conjointe d'une version modifiée de GNU Radio et d'USRP. http://www.secuobs.com/news/07042009-wifi_fhss_gnu_radio_usrp_trustwave.shtml http://www.secuobs.com/news/07042009-wifi_fhss_gnu_radio_usrp_trustwave.shtml DeDECTed sert à démontrer les écoutes et l'enregistrement des appels effectués via des téléphones DECT. Un module pour le support des scans de bases DECT dans Kismet-NewCore est également fourni, alors que les performances de l'utilisation des cartes Com-On-Air type 3 semblent s'améliorer. http://www.secuobs.com/news/07042009-dedected_com_on_air_kismet_dsaa_dsc.shtml http://www.secuobs.com/news/07042009-dedected_com_on_air_kismet_dsaa_dsc.shtml OAT permet de tester la sécurité des communications unifiées basées sur Microsoft Office Communication Server 2007. Attaques en ligne par dictionnaires, subtilisations de comptes actifs SIP, récupérations de contacts, Call Walking, SPIT VoIP et IM Flooding sont supportés. http://www.secuobs.com/news/05042009-oat_office_ocs_voip_sip_spit_flood.shtml http://www.secuobs.com/news/05042009-oat_office_ocs_voip_sip_spit_flood.shtml SIP Digest Leak permet de récupérer à distance le mot de passe d'un service VoIP via l'exploitation du protocole SIP de gestion de sessions sur les téléphones IP et les adaptateurs VoIP pour les analogiques. http://www.secuobs.com/news/03042009-proxy_sip_digest_leak_password_md5.shtml http://www.secuobs.com/news/03042009-proxy_sip_digest_leak_password_md5.shtml Nozzle est un projet Microsoft RiSE visant à permettre la réduction des taux de faux positifs lors de la détection temps réel d'attaques basées sur les techniques de Heap Spraying au niveau du Tas. http://www.secuobs.com/news/31032009-microsoft_nozzle_heap_spraying_tas.shtml http://www.secuobs.com/news/31032009-microsoft_nozzle_heap_spraying_tas.shtml Alors que l'examen de la loi Hadopi devrait reprendre ce lundi à l'assemblée nationale, comme prévu, de nouveaux développements sont apparus dans le débat : Abandon du projet similaire en Nouvelle Zélande, fuite de la liste des sites filtrés en Australie, nouveau vote du parlement européen ... http://www.secuobs.com/news/28032009-hadopi-filtrage.shtml http://www.secuobs.com/news/28032009-hadopi-filtrage.shtml Maude-NPA est une plateforme d'outils facilitant l'analyse semi-automatique des protocoles cryptographiques. Des exemples sont fournis dans le manuel d'utilisation avec les protocoles Needham-Schroeder à clé publique, eXclusive-OR et Diffie-Hellman. http://www.secuobs.com/news/27032009-maude_npa_nrl_dhsk_npsk_xor_crypto.shtml http://www.secuobs.com/news/27032009-maude_npa_nrl_dhsk_npsk_xor_crypto.shtml Une technique a été présentée à CanSecWest pour permettre à un Rootkit BIOS de persister au redémarrage, au formatage, à la réinstallation, au changement de disque et au flashage. Les impacts démontrés sont l'injection de code sous Microsoft Windows et l'accès à /etc/shadow sous OpenBSD. http://www.secuobs.com/news/24032009-rootkit_bios_persistant_flashrom.shtml http://www.secuobs.com/news/24032009-rootkit_bios_persistant_flashrom.shtml GreenSQL est un Proxy filtrant ayant pour objectif de sécuriser les serveurs MySQL contre les attaques par injection SQL. Il intégre différents modes opératoires comme l'apprentissage, la détection ou la prévention des intrusions. http://www.secuobs.com/news/23032009-greensql_mysql_injection_proxy.shtml http://www.secuobs.com/news/23032009-greensql_mysql_injection_proxy.shtml Microsoft vient de publier un outil gratuit !Exploitable qui facilite le travail des développeurs en termes d'analyse automatisée des fichiers DUMP et d'évaluation des risques liés aux dysfonctionnements des applications et des services. http://www.secuobs.com/news/23032009-exploitable_windbg_dump_audit_msec.shtml http://www.secuobs.com/news/23032009-exploitable_windbg_dump_audit_msec.shtml La 5ème édition du « Woodstock pour les hackers », organisé tous les quatre ans par de nombreux volontaires bénévoles, aura lieu du 13 au 16 août près de Vierhouten. http://www.secuobs.com/news/23032009-har2009.shtml http://www.secuobs.com/news/23032009-har2009.shtml Le projet Netfilter vient de publier la première version de sa nouvelle solution de filtrage Nftables pour les noyaux des systèmes d'exploitation de type GNU/Linux. Amené à remplacer Iptables dans un avenir proche, sa version Alpha offre déjà des performances de traitement similaires. http://www.secuobs.com/news/23032009-nftables_filtrage_linux_concat_git.shtml http://www.secuobs.com/news/23032009-nftables_filtrage_linux_concat_git.shtml Une nouvelle attaque vient d'être publiée par Invisible Things afin de permettre à un attaquant d'abuser du mode protégé SMM par empoisonnement de la mémoire cache des processeurs Intel et d'exécuter du code arbitraire avec les privilèges les plus hauts. http://www.secuobs.com/news/20032009-SMM_cache_poisoning_Intel_SMRAM.shtml http://www.secuobs.com/news/20032009-SMM_cache_poisoning_Intel_SMRAM.shtml L’examen du projet de loi « création et internet » a débuté à l’Assemblée Nationale, puis a été reporté à la fin du mois après deux jours de débat. La mobilisation des internautes, relayés par une équipe de députés est importante. http://www.secuobs.com/news/13032009-hadopi-assemblee-1er-round.shtml http://www.secuobs.com/news/13032009-hadopi-assemblee-1er-round.shtml Scrubbr est une solution gratuite d'automatisation pour la recherche et l'éradication des attaques de type Cross Site Scripting qui sont stockées dans les contenus persistants d'un site Web via la base de données qui lui est associée. http://www.secuobs.com/news/12032009-scrubbr_xss_suppression_automatique.shtml http://www.secuobs.com/news/12032009-scrubbr_xss_suppression_automatique.shtml SEAT (Search Engine Assessment Tool) est une solution furtive qui vise à faciliter les opérations anonymes de recherche interactive d'informations sensibles disponibles publiquement sur Internet. http://www.secuobs.com/news/09032009-seat_audit_data_mining.shtml http://www.secuobs.com/news/09032009-seat_audit_data_mining.shtml WarVox permet d'augmenter les performances du Wardialing en dissociant les scans, réalisés via des services VoIP, de l'identification des cibles. Dix mille lignes téléphoniques ont ainsi pu être traitées en seulement trois heures à l'aide de quarante lignes sortantes en concurrence et de deux fournisseurs VoIP. http://www.secuobs.com/news/08032009-warvox_wardialing_voip_iax_callerid.shtml http://www.secuobs.com/news/08032009-warvox_wardialing_voip_iax_callerid.shtml FAIR (Factor Analysis of Information Risk) est un cadre référence, placé sous licence Creative Commons, qui vise à fournir une standardisation des méthodes d'analyse aux professionnels de la gestion du risque lié à l'information. http://www.secuobs.com/news/07032009-fair_gestion_risque_information_cc.shtml http://www.secuobs.com/news/07032009-fair_gestion_risque_information_cc.shtml Une faille a été découverte dans le serveur DNS DJBDNS, considéré jusqu’alors comme étant quasi parfaitement sécurisé. http://www.secuobs.com/news/05032009-djbdns.shtml http://www.secuobs.com/news/05032009-djbdns.shtml RegRipper est une solution modulaire permettant d'extraire des informations spécifiques depuis les fichiers ruche des bases de registre Microsoft Windows et cela afin de faciliter leurs analyses et la recherche d'éventuelles évidences de compromission. http://www.secuobs.com/news/04032009-regripper_hive_bdr_forensic_regscan.shtml http://www.secuobs.com/news/04032009-regripper_hive_bdr_forensic_regscan.shtml The Middler, développé par le chercheur Jay Beale et doté d’une architecture modulaire, permet d’utiliser de manière automatisée des techniques de type man in the middle. http://www.secuobs.com/news/02032009-the-middler.shtml http://www.secuobs.com/news/02032009-the-middler.shtml CAINE est une solution Live[CD|USB] d'interopérabilité qui regroupe, en tant que modules, un grand nombre d'outils Open Source pour faciliter, via une interface graphique homogène, la collecte de données et la recherche légale de preuves numériques sur un ordinateur compromis. http://www.secuobs.com/news/02032009-caine_forensic_livecd_wintaylor.shtml http://www.secuobs.com/news/02032009-caine_forensic_livecd_wintaylor.shtml