c'est bien un faux positif. désolé de ne pas avoir vérifié avant.
Comme dirai l'autre le user est le premier virus du system..
Il agit de facon stupide et ses réactions peuvent etre imprévisible ou bugger.
y'a un blême ..
j'execute jamais wine en tant que root (à moins que ca mets échapper)
-rw-r--r-- 1 root root 462848 2004-09-30 07:45 /usr/lib/win32/vp31vfw.dll
je vais regarder si le pacquage n'est pas véroler à la base après tout on sait jamais.
X.X.X.X est la persone a qui je veux envoyé le stream
Y.Y.Y.Y est son ip de sous rezo
les minuscules sont le numéro de ports
le gateway doit rediriger le flux arrivant en X.X.X.X:xxxx sur Y.Y.Y.Y:yyyy
C'est un stream unicast bon ce qui est pas super c'est que c'est la personne qui recoit le stream qui doit ouvrir ses ports...
Et puis pour l'émetteur, il emet même quand la personne ne lit pas.
Sinon petite amélioriation par rapport au delay.
Toujours le même appel ;)
Juste pour préciser que pour l'udp j'ai essayé avec un pote à plusieurs reprise. Etant donné que je fait mes études à l'étranger, j'ai fait pas mal de teste avec l'udp.. mais en vain. Donc j'aimerai savoir si quelqu'un avait réussi à faire fonctionner vlc avec la contrainte des passerelles (une redirection de ports d'un des deux gateway est obligatoire)
C'est moi ou c'est une incitation ? Enfin même s'il y a de plus en plus de blog avec des liens pour la music libre .. enfin pas besoin de faire une dessin je pense.
C'est litigieux ca me refais penser aux pubs des FAI.
Je vois donc en étant derrière des passerelles (NAT) ou routeurs l'unicast à tres peu de chance de passer :( est ce que je me trompe ? Y'a t'il une astuce ?
Honnetement à part la phase de partitionnement qui est toujours délicate pour quelqu'un qui n'en a jamais fait.. le reste ca roule tout seul.
Honnetement je suis drogué à synaptic.
Et puis si tu as besoin d'aide tu as déjà trouvé les personnes à qui t'adresser.
Ferme les yeux (pas trop quand même) et fonce ;)
Dis toi que tu feras toujours 2 3 bétises (..) stupides (..) mais petit a petit ta connaissance grandira ;)
NB elles sont pas belles mets (..) c tout joli (..) oki je connais le chemin ->[::] :)
Nan ce mail vient du serveur pop.ifrance.com sur mon compte. Comme je n'étais pas sur de la source proposé par evolution et que sur ce serveur pop je ne delete pas mes mails j'ai fait un telnet pour obtenir la source exacte du message.
Après réflection, il s'agit peut être d'un antivirus sur les serveurs de ifrance. Ce qui me parait tres tres étrange c'est que je n'ai ni ip, ni mail, ni heure de transmission.
Donc le problème ne vient pas d'évolution (ni de mon localhost)
Mais je me demandais comment c'était possible d'envoyer ce genre de mail totalement corrompu.
Ca ma surtout fait un choc de recevoir un mail sans aucune info.
La petite faiblesse de snort je trouve est comme celle des antivirus.
Elle detectera une attaque que parce qu'une expression reguliere correspond.
Le problème sera toujours le même avec des nouvelles attaques, et on observe une course à l'armement (c'est pas de moi).
Comme il s'agit d'un projet de recherche, je voulais savoir les techniques existantes, leur faiblesse, et ouvrir sur une nouvelle approche, ainsi que de simuler la technique (comprendre un logiciel en version alpha donnant des résultat probant)
Je tiens à tous vous remercier tous pour vos idées, et liens ca m'aide énormément pour ma recherche.
Ben étant donné que je vais "chercher" je vais peut être en proposer une.
Le but de ce post étant de savoir si des solutions existent déjà ;)
Par contre comme tu l'as si bien dit le plus dur sera de créer des centaines de règle pour plein de protocoles. ( La solution la plus rapide et viable, je pense, serait de créer un agent qui établirai des règles de transmissions grace à de l'IA. Mais bon ceci est un autre problème :) )
Oui c'est bien un proxy/firewall client side qui est le sujet de mon journal. C'est en constatant ce manque que je poste a se sujet ici, pour voir si aucune solution projet à de près ou de loin une solution à ce problème (qui est assez énorme vu le rapport client/serveur)
Oui c'est vrai je l'envisageais pas sous cette forme.
Etant donné que Man in the middle me semble t'il ne doit pas être envisageable sur ssl (sinon a quoi sert le protocole ssl :) )
Le proxy/firewall ne pourrait voir que les abus du à l'utilisation sur le protocole SSL. A moins d'envisager que le proxy demande lui meme le certificat ssl et regenere un certificat ssl vers le client (en spécifiant tout), mais bon ca devient vite l'horreur à gérer.
Coté SSL, à la base si tu utilises SSL c'est que le serveur est trusted.
Lorsque tu vas sur un serveur irc il est légitime de pouvoir communiquer en SSL.
Mais si tu viens a parler en privée en dcc avec une personne X ou Y, sont elles trustable ?
De plus si tu heberges le proxy sur ton ordi ( trusted ) on peut imaginer une encapsulation SSL vers le serveur.
Coté piratage d'application: citons les bot irc, et en ce moment sans pouvoir etre sur à 50% mais d'apres des retour d'utilisitateur de msn messenger, un trojan ou vers semblerait se propager via msn messenger (l'activité suspect etait que l'application messenger soit lancer via une application externe quicktime/explorer/rundll32.exe) ralentissement de la machine+écran bleu.
ICQ il y a maintenant 4ans avait quelques petite faiblesse.
Winamp à une faille qui permet via une url d'uploader un fichier ds le cache de l'explorateur () ou executer du code arbitraire ( http://www.techworld.com/security/news/index.cfm?NewsID=1343(...) ) .. enfin des trucs comme ca y'en a plein;
Le fait que toi même tu avoues que ce genre de piratage ne soit pas courant montre bien une faiblesse dans la sécurité des workstations actuel; (va faire un tour ds les scripts kiddies)
Je sais que pour le moment y a plein de "si" mais c'est la phase réflexion ;)
Merci.
Je viens de parcourir le projet et je trouve assez extraordinaire (sans aucune ironie) de pouvoir protéger le client avec juste une seul expression, ex:
pour ftp :
^220[\x09-\x0d -~]*ftp
Je vais me pencher de plus pres sur ce projet.
La méthode que je voudrais employer serait plus dans le suivie des transactions du protocole ( je sais tres tres long)
le site du revendeur et SAV est : http://www.traveler-service.com/(...)
un site avec le dl du drivers pour windows se trouve ici : www.cgm-france.com
le sav du revendeur est accessible via un numero de telephone disponible sur le topic du forum hardware..
le constructeur est basé en allemagne et se nomme SUPRA
( si qqn les connait.. un mail notamment serai pas mal)
Je les ai contacté cette après-midi .. et le nom de leur chipset ou tout informations sur le mode webcam est
.. TOP SECRET ..
J'ai donc sniffé les communications du devices sous windows XP
le fichier log se trouve a cette adresse: http://lilliput.free.fr/dc3080.log(...)
Voici le log de l'installeur des drivers sous windows:
[^] # Re: No leech please...
Posté par ~ lilliput (site web personnel) . En réponse au journal hotliner, un dur métier :D. Évalué à 2.
ctrl + t ( pour un nouvel onglet )
coller l'adresse et ca marche .. est ce la bonne vidéo ?
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: en tout cas
Posté par ~ lilliput (site web personnel) . En réponse au journal Liquid War: le jeu indéscriptible. Évalué à 2.
c meme recommandé :)
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Faux positif
Posté par ~ lilliput (site web personnel) . En réponse au journal wine & virus. Évalué à 7.
Comme dirai l'autre le user est le premier virus du system..
Il agit de facon stupide et ses réactions peuvent etre imprévisible ou bugger.
Je suis mon virus dans ma matrice ;)
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
# Faux positif
Posté par ~ lilliput (site web personnel) . En réponse au journal wine & virus. Évalué à 2.
clamav me dit que c ok.
je vais tester fprot de ce pas.
l'anti-virus utilisé etait aegis-virus-scanner
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: ben...
Posté par ~ lilliput (site web personnel) . En réponse au journal wine & virus. Évalué à 4.
Je vais envoyer un mail à l'auteur
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: ben...
Posté par ~ lilliput (site web personnel) . En réponse au journal wine & virus. Évalué à 2.
j'execute jamais wine en tant que root (à moins que ca mets échapper)
-rw-r--r-- 1 root root 462848 2004-09-30 07:45 /usr/lib/win32/vp31vfw.dll
je vais regarder si le pacquage n'est pas véroler à la base après tout on sait jamais.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
# Solution pour l'usb
Posté par ~ lilliput (site web personnel) . En réponse au journal Webcam Streaming: vlc et Jabber. Évalué à 1.
X.X.X.X est la persone a qui je veux envoyé le stream
Y.Y.Y.Y est son ip de sous rezo
les minuscules sont le numéro de ports
le gateway doit rediriger le flux arrivant en X.X.X.X:xxxx sur Y.Y.Y.Y:yyyy
émeteur
vlc v4l:/dev/video0:size=320x240 --sout '#transcode{vcodec=mp4v,scale=1,vb=120}:std{access=udp,mux=ts,url=X.X.X.X:xxxx}' -v --noaudio --sout-udp-ttl 50
récepteur
vlc udp://@Y.Y.Y.Y:yyyy
C'est un stream unicast bon ce qui est pas super c'est que c'est la personne qui recoit le stream qui doit ouvrir ses ports...
Et puis pour l'émetteur, il emet même quand la personne ne lit pas.
Sinon petite amélioriation par rapport au delay.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: priorites
Posté par ~ lilliput (site web personnel) . En réponse au journal Pourquoi le patch bootsplash n'est pas intégré au noyau 2.6 ?. Évalué à 1.
comme quoi une fois le noyeau patché c'est pas si dur ;)
just a changer le link /etc/bootsplash/themes/current sur le thème que l'on souhaite utiliser
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Doc un peu floue > vision mal adaptée ?
Posté par ~ lilliput (site web personnel) . En réponse au journal Webcam Streaming: vlc et Jabber. Évalué à 1.
Juste pour préciser que pour l'udp j'ai essayé avec un pote à plusieurs reprise. Etant donné que je fait mes études à l'étranger, j'ai fait pas mal de teste avec l'udp.. mais en vain. Donc j'aimerai savoir si quelqu'un avait réussi à faire fonctionner vlc avec la contrainte des passerelles (une redirection de ports d'un des deux gateway est obligatoire)
Merci d'avance
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: YH 920 GS
Posté par ~ lilliput (site web personnel) . En réponse au journal Lecteur Ogg Samsung YP-ST5Z. Évalué à 3.
"Format de lecture MP3 ou WMA/OGG : Standards de compression audio destinés aux ordinateurs, très répandus sur internet et beaucoup moins gourmand en mémoire que le standards CD audio."
C'est moi ou c'est une incitation ? Enfin même s'il y a de plus en plus de blog avec des liens pour la music libre .. enfin pas besoin de faire une dessin je pense.
C'est litigieux ca me refais penser aux pubs des FAI.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: J'ai la réponse !!!
Posté par ~ lilliput (site web personnel) . En réponse au journal Pourquoi le patch bootsplash n'est pas intégré au noyau 2.6 ?. Évalué à 1.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Doc un peu floue > vision mal adaptée ?
Posté par ~ lilliput (site web personnel) . En réponse au journal Webcam Streaming: vlc et Jabber. Évalué à 1.
quand au RTSP j'ai pas compris l'exemple
vlc -vvv input_stream --sout '#rtp{dst=192.168.0.12,port=1234,sdp=http://server.example.org:8080/test.sdp(...)}'
http://server.example.org:8080/test.sdp(...) ca correspond a http://IP_LOCAL:PORT/fichier_virtuel.sdp(...) lien que je dois donner a mon correspondant c ca ?
est ce toujours de l'udp ?
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: J'ai la réponse !!!
Posté par ~ lilliput (site web personnel) . En réponse au journal Pourquoi le patch bootsplash n'est pas intégré au noyau 2.6 ?. Évalué à 2.
On m'a déjà dit tiens tu as un vieux pc qui tourne encore sous DOS..
no comment.
no troll.
Que du vécu.
Par contre mes collocs sont jaloux de mon bootsplash ;)
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: En créer un ????
Posté par ~ lilliput (site web personnel) . En réponse au journal La valse des Live CD .... Évalué à 1.
Honnetement je suis drogué à synaptic.
Et puis si tu as besoin d'aide tu as déjà trouvé les personnes à qui t'adresser.
Ferme les yeux (pas trop quand même) et fonce ;)
Dis toi que tu feras toujours 2 3 bétises (..) stupides (..) mais petit a petit ta connaissance grandira ;)
NB elles sont pas belles mets (..) c tout joli (..) oki je connais le chemin ->[::] :)
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Evolution .. mail bizarre ..
Posté par ~ lilliput (site web personnel) . En réponse au message Evolution .. mail bizarre ... Évalué à 1.
Après réflection, il s'agit peut être d'un antivirus sur les serveurs de ifrance. Ce qui me parait tres tres étrange c'est que je n'ai ni ip, ni mail, ni heure de transmission.
Donc le problème ne vient pas d'évolution (ni de mon localhost)
Mais je me demandais comment c'était possible d'envoyer ce genre de mail totalement corrompu.
Ca ma surtout fait un choc de recevoir un mail sans aucune info.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Snort ?
Posté par ~ lilliput (site web personnel) . En réponse au journal Recherche: Proxy applicatif. Évalué à 1.
Elle detectera une attaque que parce qu'une expression reguliere correspond.
Le problème sera toujours le même avec des nouvelles attaques, et on observe une course à l'armement (c'est pas de moi).
Comme il s'agit d'un projet de recherche, je voulais savoir les techniques existantes, leur faiblesse, et ouvrir sur une nouvelle approche, ainsi que de simuler la technique (comprendre un logiciel en version alpha donnant des résultat probant)
Je tiens à tous vous remercier tous pour vos idées, et liens ca m'aide énormément pour ma recherche.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Un proxy est toujours applicatif!!!
Posté par ~ lilliput (site web personnel) . En réponse au journal Recherche: Proxy applicatif. Évalué à 1.
Le but de ce post étant de savoir si des solutions existent déjà ;)
Par contre comme tu l'as si bien dit le plus dur sera de créer des centaines de règle pour plein de protocoles. ( La solution la plus rapide et viable, je pense, serait de créer un agent qui établirai des règles de transmissions grace à de l'IA. Mais bon ceci est un autre problème :) )
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Un proxy est toujours applicatif!!!
Posté par ~ lilliput (site web personnel) . En réponse au journal Recherche: Proxy applicatif. Évalué à 1.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Et la sécurité ?
Posté par ~ lilliput (site web personnel) . En réponse au journal Recherche: Proxy applicatif. Évalué à 1.
Etant donné que Man in the middle me semble t'il ne doit pas être envisageable sur ssl (sinon a quoi sert le protocole ssl :) )
Le proxy/firewall ne pourrait voir que les abus du à l'utilisation sur le protocole SSL. A moins d'envisager que le proxy demande lui meme le certificat ssl et regenere un certificat ssl vers le client (en spécifiant tout), mais bon ca devient vite l'horreur à gérer.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: fireflier
Posté par ~ lilliput (site web personnel) . En réponse au journal Recherche: Proxy applicatif. Évalué à 1.
Mais le coté filtering by application est pas mal
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: en une url ...
Posté par ~ lilliput (site web personnel) . En réponse au journal Recherche: Proxy applicatif. Évalué à 1.
bon je vais regarder du coté de Lex/Yacc pour la grammaire des protocoles
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Et la sécurité ?
Posté par ~ lilliput (site web personnel) . En réponse au journal Recherche: Proxy applicatif. Évalué à 2.
Lorsque tu vas sur un serveur irc il est légitime de pouvoir communiquer en SSL.
Mais si tu viens a parler en privée en dcc avec une personne X ou Y, sont elles trustable ?
De plus si tu heberges le proxy sur ton ordi ( trusted ) on peut imaginer une encapsulation SSL vers le serveur.
Coté piratage d'application: citons les bot irc, et en ce moment sans pouvoir etre sur à 50% mais d'apres des retour d'utilisitateur de msn messenger, un trojan ou vers semblerait se propager via msn messenger (l'activité suspect etait que l'application messenger soit lancer via une application externe quicktime/explorer/rundll32.exe) ralentissement de la machine+écran bleu.
ICQ il y a maintenant 4ans avait quelques petite faiblesse.
Winamp à une faille qui permet via une url d'uploader un fichier ds le cache de l'explorateur () ou executer du code arbitraire ( http://www.techworld.com/security/news/index.cfm?NewsID=1343(...) ) .. enfin des trucs comme ca y'en a plein;
Le fait que toi même tu avoues que ce genre de piratage ne soit pas courant montre bien une faiblesse dans la sécurité des workstations actuel; (va faire un tour ds les scripts kiddies)
Je sais que pour le moment y a plein de "si" mais c'est la phase réflexion ;)
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: en une url ...
Posté par ~ lilliput (site web personnel) . En réponse au journal Recherche: Proxy applicatif. Évalué à 1.
Je viens de parcourir le projet et je trouve assez extraordinaire (sans aucune ironie) de pouvoir protéger le client avec juste une seul expression, ex:
pour ftp :
^220[\x09-\x0d -~]*ftp
Je vais me pencher de plus pres sur ce projet.
La méthode que je voudrais employer serait plus dans le suivie des transactions du protocole ( je sais tres tres long)
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: suite des infos ..;
Posté par ~ lilliput (site web personnel) . En réponse au message Appareil photo/webcam Traveller DC - 3080 (Aldi). Évalué à 1.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
# suite des infos ..;
Posté par ~ lilliput (site web personnel) . En réponse au message Appareil photo/webcam Traveller DC - 3080 (Aldi). Évalué à 1.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk