AbracadaVrac
Friday, 9. March 2007, 13:15:00
HD Moore, le développeur principal du framework Metasploit, a développé une version modifiée de Tor destinée à traquer les pédophiles utilisant ce réseau d'anonymisation à faible latence.
Son système se base sur des scripts Ruby qui surveillent les communications (donc ça implique que le serveur soit la node de sortie) et qui injectent son fameux Decloacking Engine dans les pages retournées par le site visité.
Les techniques utilisées pour détecter la véritable adresse IP de l'internaute sont connues depuis longtemps mais l'implémentation faite par HD Moore est particulièrement bien conçue.
Même si ça part d'une bonne intention (traquer les pédophiles utilisant le réseau Tor), la mise à disposition publique de Torment est assez critiquée car elle pourrait par exemple être utilisée par des régimes dictatoriaux pour s'attaquer aux cyber-dissidents.
En tout cas le sujet est vivement discuté sur la liste de diffusion Onion Routing.
En attendant, Tor continue à évoluer à la vitesse grand V, une seconde release candidate (version 0.1.2.10-rc) est disponible, on va donc bientôt pouvoir quitter la branche 0.1.1.*
On a des nouvelles concernant les attaques DDoS qui ont ciblées les serveurs DNS root en février dernier.
L'ICANN a écrit un très bon document sur le sujet (format pdf) qui explique de façon claire ce qu'il s'est passé et qu'elles ont été les conséquences.
On y apprend notamment que la charge est montée jusqu'à 1Gbps (giga bit par seconde ; il me semble avoir lu quelque part que le record observé sur Internet a été de 3Gbps), que les paquets provenaient majoritairement de Corée, et que les serveurs ont résistés principalement grâce à l'utilisation d'une technique de routage nommée Anycast.
Du très bon travail de la part de l'ICANN. Beaucoup de questions restent en suspens comme l'identité et le but des attaquants et les moyens utilisés (utilisation de Botnets bien connus ou exploitation d'une faille 0day, malware très discret...)
A propos de malwares, Commtouch nous fait une analyse très intéressante du Storm Worm.
Ce ver joue sur le temps de réactivité des sociétés éditrices d'antivirus.
Il s'est propagée par vagues successives avec à chaque fois un nombre impressionant de variantes.
Le nombre maximum de variantes détectés en une journée par Commtouch avoisinne 7900 !!
Chaque variante a une durée de vie de seulement quelques heures avant de disparaître d'elle même, rendant les éventuelles règles de détection des AVs obsolètes.
Le malware Nirbot fait aussi parler de lui... mais pas pour ses innovations techniques (ce qui ne l'empêche pas d'infecter des machines). Une analyse nous apprend qu'il contient des messages grossiers à l'attention des sociétés antivirales.
Ce qui est sûr c'est que ce n'est pas Microsoft, qui a annoncé qu'ils ne sortirait pas sa série de patchs de sécurité pour le mois de mars, qui va stopper la propagation des vers informatiques.
La distribution live orienté sécurité informatique Backtrack 2 est disponible.
Parmis les outils présents dans cette distro vous trouverez Wapiti
Quelques urls vite fait pour terminer...
Chez IBM:
Host multiple SSL sites on a single network card with IP aliasing
Save time with text editing one-liners
Techniques for memory debugging
ELF-Encrypter : un outil trouvé sur Sourceforge qui permet de crypter un exécutable ELF ou d'injecter du code
Breaking out of Jail with Microsoft Word
bbclone 4 dotclear : le plugin que j'utilise pour les stats (comme on me pose parfois la question). Il faudra que je mette à jour ma version...
Son système se base sur des scripts Ruby qui surveillent les communications (donc ça implique que le serveur soit la node de sortie) et qui injectent son fameux Decloacking Engine dans les pages retournées par le site visité.
Les techniques utilisées pour détecter la véritable adresse IP de l'internaute sont connues depuis longtemps mais l'implémentation faite par HD Moore est particulièrement bien conçue.
Même si ça part d'une bonne intention (traquer les pédophiles utilisant le réseau Tor), la mise à disposition publique de Torment est assez critiquée car elle pourrait par exemple être utilisée par des régimes dictatoriaux pour s'attaquer aux cyber-dissidents.
En tout cas le sujet est vivement discuté sur la liste de diffusion Onion Routing.
En attendant, Tor continue à évoluer à la vitesse grand V, une seconde release candidate (version 0.1.2.10-rc) est disponible, on va donc bientôt pouvoir quitter la branche 0.1.1.*
On a des nouvelles concernant les attaques DDoS qui ont ciblées les serveurs DNS root en février dernier.
L'ICANN a écrit un très bon document sur le sujet (format pdf) qui explique de façon claire ce qu'il s'est passé et qu'elles ont été les conséquences.
On y apprend notamment que la charge est montée jusqu'à 1Gbps (giga bit par seconde ; il me semble avoir lu quelque part que le record observé sur Internet a été de 3Gbps), que les paquets provenaient majoritairement de Corée, et que les serveurs ont résistés principalement grâce à l'utilisation d'une technique de routage nommée Anycast.
Du très bon travail de la part de l'ICANN. Beaucoup de questions restent en suspens comme l'identité et le but des attaquants et les moyens utilisés (utilisation de Botnets bien connus ou exploitation d'une faille 0day, malware très discret...)
A propos de malwares, Commtouch nous fait une analyse très intéressante du Storm Worm.
Ce ver joue sur le temps de réactivité des sociétés éditrices d'antivirus.
Il s'est propagée par vagues successives avec à chaque fois un nombre impressionant de variantes.
Le nombre maximum de variantes détectés en une journée par Commtouch avoisinne 7900 !!
Chaque variante a une durée de vie de seulement quelques heures avant de disparaître d'elle même, rendant les éventuelles règles de détection des AVs obsolètes.
Le malware Nirbot fait aussi parler de lui... mais pas pour ses innovations techniques (ce qui ne l'empêche pas d'infecter des machines). Une analyse nous apprend qu'il contient des messages grossiers à l'attention des sociétés antivirales.
Ce qui est sûr c'est que ce n'est pas Microsoft, qui a annoncé qu'ils ne sortirait pas sa série de patchs de sécurité pour le mois de mars, qui va stopper la propagation des vers informatiques.
La distribution live orienté sécurité informatique Backtrack 2 est disponible.
Parmis les outils présents dans cette distro vous trouverez Wapiti
Quelques urls vite fait pour terminer...
Chez IBM:
Host multiple SSL sites on a single network card with IP aliasing
Save time with text editing one-liners
Techniques for memory debugging
ELF-Encrypter : un outil trouvé sur Sourceforge qui permet de crypter un exécutable ELF ou d'injecter du code
Breaking out of Jail with Microsoft Word
bbclone 4 dotclear : le plugin que j'utilise pour les stats (comme on me pose parfois la question). Il faudra que je mette à jour ma version...
WIDGETIZE