Un analyseur de trames avec des super-pouvoirs !

Dans une infrastructure il est souvent nécessaire d'utiliser une sonde pour analyser le trafic circulant sur le réseau. En général c'est un bon serveur avec de gros disques et un tcpdump, un Wireshark ou autre. Un coup de ntop là dessus et on en parle plus.
Mais voici une nouvelle bête. Son nom ? NetWitness Investigator Software v8.6.4.9. Quelques données ? Alors au programme :

• Capture Ethernet ou Wireless
• 25 instances en simultanées de 1 GB chacune
  
• Analyse possible jusqu'au niveau 7 du modèle OSI
• Support IPv6
• Import / Export au format pcap
• Déchiffrage SSL avec le certificat
• Résumés et tableaux interactifs
• Hash des fichiers PCAP pour l'export
• Des tutoriaux sur YouTube :)
  
• ...

Voilà un peu la bête. Bon il y a quelques inconvénients quand même, ça ne serait pas drôle sinon :

• Version gratuite que sous Windows (Linux en version commerciale)
  
• Il faut une configuration assez musclée (Dual-core 2GHz, 2GHz de RAM)
• IE 6.x ou 7.x

Je vous laisse vous faire votre propre idée sur Soft... :)

Les liens :
Source : SecuObs
NetWitness : le site
NetWitness Investigator Software : download
Tutoriaux : YouTube
Un blog en parle : TaoSecurity

Baby, one more time ... !

Et hop après le 067, je demande le 068 ! Je suis mauvaise langue, il devait forcément arriver, mais pas aussi tôt dans la saison !

Je parle bien évidement d'une nouvelle faille Microsoft, la ms08-068. D'après ce que j'ai pu lire, je dirais que celle vulnérabilité est moins critique que sa petite sœur. Néanmoins un code d'exploitation est déjà disponible.

Pour en savoir plus, je vous conseille le très bon article de HD Moore sur le blog de Metasploit expliquant le pourquoi du comment de cette faille et quels sont les "critères" de réussites ou de soulagement (ça dépend du point de vue).

Bon ben comme d'hab, Patchez dès que vous pouvez ... :)

Les liens:
Article HD Moore - ici
SecurityFocus - ici
Blog Microsoft - ici

Détendons-nous avant le WE !

Allez, un petit jeu de mots de geek pour bien terminer la semaine (Merci Jérôme).

What did C:/DARTHVADER said to C:/DARTHVADER/LUKESKYWALKER ?

I'm your folder !

En tout cas mieux vaut tar que gz ...

Si avec ça je ne passe pas un bon we ... :)

La bataille fait rage !

Bon vu les précédents posts, j'avais connaissance du blog sécurité d'Orange mais c'est en faisant une recherche basique que je suis tombé sur le blog sécurité de NeufBox - SFR.

Au vu des archives, celui de SFR est plus jeune de 3 mois. Orange voulait-il lui aussi avoir la mainmise sur la sécurité ... ?

Allez, choisissez votre couleur : rouge ou oran... (aahh non pas de marque ! lol). Et puis bonne lecture :)

lien : Blog NeufBox, Blog Orange

Le rootkit qui fait beaucoup peur.

Rustock.C. Ce nom ne vous dit peut être rien et pourtant il vaudrait mieux ! lol. A la conférence de sécurité Hack.lu, Frank Boldewin a fait une présentation sur ce rootkit qui donne beaucoup de fils à retordre aux analystes. Pour la protection de ce malware nous avons au programme :

• Anti-debugging
• de l'ofuscation de code
• des moteurs polymorphiques et métamorphique (Morpheus, c'est toi ? :op )
• et du nettoyage de mémoire.

Tout ça pour que ce petit rootkit ne livre pas tous ses secrets. Mon dieu que ça fait peur. Je ne vais pas fermer l'œil de la nuit !

Sources : SecuObs.com
Présentation de Frank Boldewin : reconstructer.org (PDF)

Un ver dans la pomme ? Non, dans la fenêtre !

Et c'est parti pour la "ver party" ! Selon vnunet, la vulnérabilité ms08-067 publiée récemment, serait exploitée par un ver.

Voici son nom par éditeur :
- Symantec : W32.Wecorl, W32.Wecorl!inf, W32.Kernelbot.A
- F-Secure : Exploit.Win32.MS08-067.g, Rootkit.Win32.KernelBot.dg, Trojan-Dropper.Win32.Agent.yhi
- Kaspersky : Exploit.Win32.MS08-067.g
- Microsoft : Exploit:Win32/MS08067.gen!A
- Sophos : Mal/Generic-A
- McAfee : KerBot!37E73FFB

Si ce n'est pas encore fait, PATCHEZ !!!

Sources : vnunet.fr, vnunet.com