Sécurité Le Sharkfest'10 vient de se terminer

Posté par . Modéré par Florent Zara.
15
18
juin
2010
Sécurité
Le Sharkfest est un événement annuel qui se déroule aux États-Unis, centré sur l'incontournable Wireshark. Anciennement connu sous le nom d'Ethereal, c'est un « packet sniffer » libre (GPLv2) multi-plates-formes (Linux, Solaris, FreeBSD, Windows, Mac OS X). Véritable couteau suisse de l'analyse de protocole (il en reconnait pas loin de 800), ses utilisations sont multiples : des plus légitimes dépannage, analyse réseau, développement et rétro-ingénierie de protocoles , au plus controversées comme le piratage (au même titre que tout autre logiciel - P2P - ou couteau de cuisine)

Le dernier en date Sharkfest - troisième du nom - s'est déroulé du 14 au 17 Juin 2010 sur le campus de l'université de Stanford à Palo Alto, CA. Les quelques sessions ci-dessous, tirées des programmes officiels, donnent la teneur des échanges :
  • Scripting and Extending Nmap and Wireshark with Lua ;
  • Visibility into the DMZ Network with Wireshark ;
  • Advanced Threat Intelligence and Session Analysis.
Gageons que les présentations seront bientôt disponibles. En attendant, les impatients pourront se plonger dans la lecture des présentations - pas toujours dans un format ouvert d'ailleurs - des deux années précédentes.

Linux latrace, le traceur qui instrumente le chargeur dynamique

Posté par . Modéré par Nÿco.
Tags :
20
17
juin
2010
Linux
Le chargeur dynamique ld.so projette en mémoire les bibliothèques partagées référencées par un binaire. Pour ceux qui ont déjà décroché, lancez un terminal, et
ldd /bin/bash
listera les bibliothèques dont bash dépend.

Quel est l'intérêt de pouvoir instrumenter les opérations du chargeur dynamique me direz-vous ? Cela permet - entre autres - de tracer l'appel et le retour de fonctions appartenant aux bibliothèques partagées. La signature des fonctions permet de détailler le nombre et le type des arguments ainsi que le type de la valeur de retour. Les amateurs de ltrace apprécieront la similitude.

La différence entre les deux outils provient du fait que latrace utilise une interface inexploitée du chargeur dynamique nommée rtld-audit, disponible sur les libc dont la version est supérieure ou égale à 2.4. Cette dernière est inspirée par l'interface d'audit de Solaris. Là où ltrace échoue à tracer des applications multithreadées, latrace s'en sort haut la main.

La dernière version de latrace, la 0.5.9, date de mai 2010. Latrace est sous licence GPLv3. Si vous vous retrouvez un jour bloqué par ltrace, pensez à latrace !

Technologie ØMQ, la messagerie inter-applications « nouvelle vague »

Posté par . Modéré par patrick_g.
Tags :
18
16
juin
2010
Technologie
AMQP, ou Advanced Message Queuing Protocol, est un protocole standard ouvert pour les MOM, ou Message Oriented Middleware. Pour résumer, c'est un protocole de message entre serveurs offrant des mécanismes de files d'attente, de routage (point à point et par diffusion/abonnement), de fiabilité, et de sécurité. Citons les implémentations OpenAMQ (en C, sous GPLv3) ou RabbitMQ (en erlang, sous MPL).

Le sujet n'est pas nouveau, mais iMatix considère ce standard comme dépassé et en propose un nouveau, ØMQ ou ZeroMQ, avec une implémentation de qualité : légèreté, facilité d'intégration et performances. iMatix a pendant un temps développé OpenAMQ, mais soutient et développe désormais le projet ØMQ.

Que vous utilisiez Ruby, Python ou C n'est pas un problème, les bindings existent déjà. Vous pouvez vous en rendre compte en consultant le livre de recettes. La bibliothèque est elle-même développée en C++, sous licence LGPL.

Le transport des messages entre les nœuds est assuré par différents biais selon la disponibilité des moyens : TCP/IP, PGM, InfiniBand ou encore socket Unix dans le cas de communications internes. L'interface proposée permet d'implémenter de façon concise les principaux usages de messagerie inter-applications : requête/réponse, abonnement/notification, éventuellement avec restriction à un sujet particulier. L'utilisation de fonctions avancées comme le zero-copy ou le scatter-gather est rendue possible dans les dernières versions de la bibliothèque.

Internet Ostinato, un complément idéal à Wireshark

Posté par . Modéré par patrick_g.
Tags :
24
16
avr.
2010
Internet
Vénérable est le grand Wireshark. Que ce soit pour déverminer un softphone, appréhender un problème de DNS ou encore plus prosaïquement collecter les mots de passe de ses collègues, il est la référence de la capture et de l'analyse de traces réseau. Deux armes manquent cependant à l'arsenal - massif - de celui-ci : la modification de trames et leur rejeu.

Ostinato se propose de combler ces deux manques. Il permet de créer des paquets et d'en modifier les couches de niveau 2, 3 et 4, dont les instances les plus connus sont Ethernet, IPv4 et TCP/UDP. Il est bon de rappeler que netdude offre des fonctionnalités comparables.

Une fois manufacturés avec soin et amour, les paquets sont prêts à être injectés dans le réseau. Un ensemble de drones se chargent d'injecter les paquets.

Ostinato est composé d'une interface graphique qui permet de préparer les paquets et de contrôler les drones, et d'un ou plusieurs drones. L'interface est en Qt. Le code source est sous licence GPLv3. Le projet est jeune mais suscite l'intérêt d'Aaron Turner, créateur entre autres de tcpreplay.