Voilà, il y a quelque temps je demandais si certains d'entre vous connaissez Palo Alto. J'ai eu l'occasion depuis de jouer avec ces petites bêbétes ... Il y a rien à dire le fonctionnement est très interessant, c'est ... comment dire ... une autre vision du firewalling. Mais je ne suis pas là pour faire non plus la pub de ce produit (oui je ne suis pas sponsorisé non plus), néanmoins si vous avez l'occasion de tester, faites le :).

Ce qui me fait écrire cet article c'est ma paranoïa latente :) En effet quand on voit ce que l'on peut faire avec cette bête on peut se dire que ça peut craindre pour la vie privé des utilisateurs (parfois, mais je fais confiance aux RSSI et aux Directions de nos chers entreprises pour ne pas se servir de cet outils pour espionner leurs employés ... hum ...).

Enfin bref rentrons au coeur du sujet : comme que ça fonctionne cette p'tite bête.

"Application visibility, application control and threat prevention is handled by three unique identification technologies, App-ID, User-ID, and Content-ID"

En gros on contrôle qui transfert quoi avec quel outils. Et c'est la que cet outil se distingue des autres, finit le firewalling en pensant aux ports, maintenant on pense en terme d'applications. De quoi se faire plaisir, surtout si on veut tout savoir des habitudes de nos chers utilisateurs.

(les screenshots qui vont suivre je les ai pris sur un boitier de test, afin de n'afficher aucune donnée utilisateur)

Allons donc voir dans l'application control center (ACC) [on dirait une organisation de l'armée US avec un nom pareil :)] :

Voilà on voit les différentes "applications" (le terme n'est pas juste mais bon) qui ont été utilisées. Allons plus loin (dans SSL qui n'apparaissait pas dans le premier screen désolé, la flemme de le refaire) :

L'on voit déjà que les informations se font de plus en plus précises ... vous me direz rien d'inquiétant, ça permet même de voir si un malin de fait pas de conneries sous couvert d'une connexion HTTPS. C'est pas faux, mais voyons un peu ce dont palo alto est capable :

Y ouais madame michu on peut bloquer le chat facebook ... ou bien l'espionner ! Sympa non ? En plus on peut même personnaliser les applications à surveiller. Plus besoin de sondes supplémentaires ! Tout est dans le firewall (enfin si on veut l'utiliser en firewall, car on peut tout simplement le mettre en mode transparent ... et hop une jolie sonde qui fait des beaux rapports, mieux que niksun je dois l'avouer) !

Sans oublier que ça tient la charge.

Bref je pourrais parler des heures de palo alto, en bien comme en mal. Mais je ne suis pas là pour faire la pub de ce produit non plus.

C'était juste un exemple parmis tant d'autres de produits qui me font psychoter parfois :D.

Sur ceux ...

Oui voilà bien une question que l'on peut se poser en ce moment, que faire face à notre liberté (numérique ou non !) qui se rétrécie de plus en plus chaque jour (ou du moins à chaque lois / décrets) ?

Peut-on fuir ? Oui certes j'y ai pensé en plus travailler à l'étranger peut toujours être plaisant. Mais bon laisser les amis, la famille et tout le reste juste parce qu'une bande ... BIP ... dans un hémicycle vote des lois dont ils ne comprennent pas les tenants et aboutissants (ou pire certains veulent certainement tout contrôler). Non finalement l'option de fuir ne me parait pas très interessante.

Alors il ne reste plus qu'à resister ... mais comment ?

DDoS, ou deface ? Non ça leur donnerait des prétextes pour faire des lois encore plus connes, et en plus le DDoS bon c'est un peu SK quand même (non ?).

Publier pour mettre à jour les conneries de leurs lois ... le laisse ça à d'autres, je ne suis ni juriste, ni assez bon auteur pour faire ça.

A titre personnel : bah TOR (que je n'ai jamais vraiment quitté d'ailleurs), FreeNet (que j'utilise très peu mais il va falloir remédier à ça) et un bon vieux VPN.

Maintenant pour les autres : essayer d'informer "les gens" sur ce qui se passe et faire découvrir les moyens pour se protéger du flicage qui vient peu à peu se mettre en place en France.

Bon rien de nouveau, je me mettais pas encore exprimé à titre personnel concernant tout ce qui se passe en ce moment, mais voilà maintenant c'est fait.

La question est maintenant ... et vous qu'est ce que vous allez faire ?

Sinon sur un autre registre DC3 Challenge est ouvert : pour ceux qui ne veulent pas s'inscrire comme l'année dernière j'upload petit à petit les étapes.

Voici un petit post pour vous souhaitez à toutes et à tous un joyeux noël (en retard d'un jour :)). J'espère qu'avec vos amis et/ou votre famille vous avez passé de très bon moments.

Bonne vacances pour ceux qui ont la chance d'y être, et sinon bon courage aux autres.

Voici quelques mirroirs que j'ai mis en place, malheureusement je ne peux pas participer à la mass mirroring party, donc ils sont mis à jour à la main (problème de BP et de trafic mensuel avec les hébergeurs) ,il va donc y avoir pas mal de retard, mais je vais essayer de faire au mieux.

Donc voilà les miroirs :

http://wikileaks.herve-godquin.fr

http://wikileaks-mirror.zihoster.com

https://wikileaks.hacking-france.eu

Miroirs DNS :

http://wikileaks.zihoster.com

http://wikileaks-dns.hacking-france.eu

Si vous désirez plus de miroirs :

http://etherpad.mozilla.org:9000/wikileaks

et si vous le pouvez participer au mass mirroring.

Si vous avez un petit espace, n'hésitez pas faites de même !

Je vous encourage aussi à lire le communiqué du groupe degenerescience concernant la censure de wikileaks.

Voilà enfin phrack 67 est en ligne : http://www.phrack.org/issues.html?issue=67

Au programme :

Dimanche dernier j'ai donc été faire un petit tour à la braderie de Lille, et surtout dans le village des logiciels libres. J'étais donc bien sur dans la partie réservée à DegenereScience Lille et, en plus de la bonne ambiance habituelle, quelques constats flippants ont pu être fait (du moins par moi, mais je pense que beaucoup d'autres partage mon avis) :

• Sans surprise la plus part des personnes qui ont eu envie de nous parler ont quand même une mauvaise image du mot hacker, et bien sur l'associent forcément au domaine de la sécurité informatique.
• Une grande partie des personnes rencontrées étaient surprise lorsque nous leur disions que la France allait se doter du système de censure le plus sévère de tout les pays "démocratiques" (au dessus de l'Australie donc), on a eu le droit à des "Ah bon ...", "C'est triste" et enfin ... "pourquoi y a pas eu de manifestations ?" et oui, une grève des RSSI/DSI parce que leurs boulots va devenir un enfer juridique (cf Intéressez vous au droit... avant que le droit ne s'intéresse à vous) et pour réver, une manifestation de simple citoyen qui intéressent à leurs droits (je sais il y en a eu, mais trop peu avec trop peu de personne au vu de l'enjeu).
• Bien sûr des préoccupation super importantes du style : "Ouais si je télécharge avec megaupload ça va ou pas ?" Mis à part que tu vas saturer les liens transatlantiques et donc permettre aux opérateurs de pouvoir mettre un net à deux vitesses, oui ça va.
• Point positif : des personnes motivées et intéressées par les projets de dgsc et par le mouvement hacker en général.

Bref, on voit que malheureusement beaucoup de personnes sont peu informées (d'ailleurs nos amis de wikimédia qui étaient à coté de nous ont eu aussi pu constater le manque de connaissances de certaines personnes quand au fonctionnement de wikipédia).

Mais sinon ça faisait plaisir, du bon son, des trucs sympatoches (l'imprimante 3D de hackable devices) et une bonne ambiance.

Rendez-vous l'année prochaine (j'espère pouvoir avoir le temps de visiter la braderie ce coup-ci quand même :)).

J'ai volontairement pas fait allusion aux divers Linuxien vs BSDiens qui ont pu apparaître durant la journée en question.

ou pas d'ailleurs, enfin trêve de trolls, bientôt j'ai fini les cours. Et oui c'est bien sympathique la formation continue mais pendant trois ans ça tue certaines choses, pour certains c'est la vie sociale, moi ayant fait le choix de garder ce minimum de chose qui me rattachait avec l'espèce humaine, ça a été ma présence online et ma participation à divers choses qui en a été bousculée (il suffit de regarder les archives de ce blog et voir la différence entre 2006 / 2007 et maintenant , il faut dire aussi que twitter et autres réseaux sociaux n'aident pas forcément un blog à vivre ;)) il y a même une personne, dont je terrais le nom, et qui durant une époque, tout comme moi, fréquentait le 2600Lille, qui m'a dit lors du social event du sstic : "tiens t'es encore en vie ?", ça veut tout dire.

Il est vrai que mis à part une présence (qui a dit idle ???) sur le chan SILC de dg-sc, quelques posts sur des forums par ci par là, je ne fais plus grand chose (on peut se demander ce que j'ai déjà fait aussi oui :P [mauvaises langues]).

Ce post fait peut-être nostalgique mais il faut me pardonner cela fait plusieurs jours que je suis atteint de renelatauphobie : j'ai toujours l'impression d'être poursuivi par rené la taupe, car j'entends toujours sa merde de chanson, au loin dans ma tête ... ça m'apprendra à allumer ma télé tiens !

Enfin bref, j'espère d'ici fin septembre / mi octobre pouvoir me remettre aux choses sérieuses que ce soit pour moi, ou pour des projets de gens biens :).

Je sens que ça va être agréable, après 3 ans de formation continue, d'avoir du temps pour geeker sur ce que l'on a envie (et surtout d'avoir tout ses samedis matin tranquille :D).

Voilà ... ça va bouger (sinon vous avez le droit de me jeter des cailloux à partir de mi-novembre :)).

Ah oui sinon vu qu'il y a eu un petit crash j'ai du tout re-uploadé et maintenant c'est bon TOUT le challenge DC3 est ici.

Tchuss et à bientôt sur SILC ...

Vous n'avez pas pu vous inscrire à tant pour le DC3 Challenge mais vous aimeriez bien vous amuser quand même un peu avant. Pas de problème les paranoiac thoughts (et moi :)) mettent à dispositions les épreuves (elles y seront toutes la semaine prochaine normalement).

Voici ou vous pourrez les trouver.

... du moins les actions basiques.

Vous l'aurez compris, je vais, rapidement, vous parler de DFF (digital forensic framework) un outil qui est fort bien fait et très pratique dans certaines circonstances. Mais qui a tout de même quelques défauts (j'y reviendrais après).

Mais commençons par les points qui "poutrent"

La prise en main est très rapide, c'est loin d'être moche et ça pour ce genre d'outil c'est important mine de rien. Bon ces points sont cools mais ça ne fait pas tout : est-ce que ça marche bien ? La réponse est oui grâce à ces outils intégrés on a une meilleure visibilité du travail (recherche plutôt) que l'on effectue.

J'avous que pour tout ce qui est "header reconstruction" ou identification de fichiers, DFF ça peut simplifier la tâche dans certains cas.

Et pour ce qui est plus complexe ?

Sincèrement pour ce que j'ai testé bah ça dépend au fait. Pour ce qui est l'analyse de registre Windows sérieusement je n'ai pas trouvé mon bonheur avec cet outil. Par contre pour de l'analyse de fichier, de partition etc ... ça simplifie grandement la vie.

De même je n'ai pas encore pu tester mais il semblerait qu'il soit possible de faire des scripts en python pour améliorer l'outil lorsque c'est nécéssaire.

Pour plus d'informations je vous invite à voir ici.

Donc voilà un petit retour après un petit test. Personnellement j'ai adopté cet outil, et dès que je verrais de nouvelles choses sympathique à faire avec je le ferais savoir ici.

Rien à voir mais ...

être en vacances ça fait plaisir quand même :).

Voilà le SSTIC c’est donc terminé hier, je vais donc faire un rapide retour sur cet évenement. Malheureusement je n’ai pas pu assister à celle du vendredi matin (tiens donc !), et à première vue concernant l’une très particulièrement c’est pas une mauvaise chose J.

M’enfin avant d’en venir sur quelques confs qui m’ont pas mal plus un petit mot d’abord sur l’ambiance : sérieusement j’avais un peu peur avant d’aller la bas de me retrouver dans un évenement « hype » « trop commercial », mais au final il n’en ai rien. Très bonne ambiance, des personnes qui connaissent à la fois le marché de la sécurité et la « scène » ça fait plaisir (je n’ai pas dis que c’était le cas pour tous, mais concernant la majorité des gens que j’ai rencontré c’était le cas), j’ai d’ailleurs eu la bonne surprise de voir quelqu’un que je voyais régulièrement aux 2600 Lille il fut une époque J.

Maintenant passons aux confs que j’ai plus qu’apréciée (ça veut pas dire que toutes les autres étaient de la merde, mais bon on a le droit d’avoir des préférences non ?) :

VirtDbg : Undébogueur noyau utilisant la technologie de virtualisation matérielle VT-x

Ce qui nous a été présenté c’est un débugueur noyau installant un hypervisieur via une carte équipé d’un FPGA et permettant ainsi d’injecter l’hyperviseur par le bus PCI et donc les accès DMA. L’avantage de cette technique et de pouvoir observer par exemple des malwares ayant des moyens de protection contre la virtualisation, ou des mécanismes internes à Windows 7 (DRM et PatchGuard). J’espère que le projet va avancer et aussi que la publication de l’article va bientôt être public afin que vous puissiez voir un peu la chose.

Analyse de l’éfficacité du service fourni par une IOMMU

Ce que j’ai adoré, c’est surtout la démonstration très visuelle, ça c’était cool. Après concernant l’étude en elle-même : il s’agissait au fait de montrer que les mécanismes de protection contre les attaques DMA de type IOMMU (techno Intel VT-d) sont bypassable (par usurpation d’identité d’un périphérique ou la modification de la structure des données en mémoire).

Quelques éléments en matière de sécurité des cartes réseau

Une conf un peu flippante sur une vulnérabilité qui touchait des cartes réseau Brodcom. En gros ça s’en prenait aux fonctionnalités d’administration à distance (ASF 2.0).

Et les deux conférences de Harald Welte à propos de OpenBSC et OsmocomBB : Je vous laisse chercher J.

Bon après ces trois jours très sympatiques : retour au « train train » quotidien.