Les articles de MISC N°70

Yes we scan ! Comme certainement beaucoup de lecteurs de MISC, j’ai suivi le feuilleton des péripéties estivales d’Edward Snowden avec beaucoup de gourmandise. Depuis la fin de la saga Harry Potter, jamais je n’avais eu plus hâte de découvrir les nouveaux épisodes d’une série.
En mars, Tavis Ormandi découvre un bug dans le noyau Windows. Sa particularité est qu'il impacte toutes les versions du système (de Windows 8 à NT4). Un mois plus tard, une élévation de privilèges basée sur ce bug est rendue publique. La vulnérabilité sera finalement corrigée en juillet.
Dans le cadre des tests de sécurité en boite noire sur les applications Web, les failles « DOM-based XSS » sont plus difficiles à découvrir que les classiques « Reflected XSS » et « Persistent XSS ». Cet article rappelle les principes de ce type de failles, et détaille le mode de fonctionnement d'un outil performant dans la découverte des « DOM-based XSS », DOMinatorPro développé par Stefano Di Paola.
DFF (Digital Forensics Framework) est un outil permettant d'effectuer des analyses forensiques à partir de périphériques, images de disques ou fichiers. En plus des reconstructions des différentes couches logiques (volumes, système de fichiers) il est possible d'ajouter des fonctionnalités et d'automatiser des tâches en Python.
« Premature optimization is the root of all evil »Donald KnuthDepuis quelques années, la création d'applications performantes et capables de tirer partie de la capacité de calcul de une à plusieurs (milliers de) machines, traitant et créant des quantités d'informations de plus en plus importantes, est devenue un problème auquel de plus en plus d'industriels et divers corps de métiers font face. Cela va du traditionnel calcul scientifique, au domaine de la finance ou encore de la « buisness intelligence ».
La première partie de cette article nous a montré, entre autres, les avantages et inconvénients dont disposent les processeurs multi-coeurs modernes. Nous allons voir ici quels sont les autres moyens permettant de rendre une application scalable. Nous nous intéresserons aux performances de toutes ces technologies, et aux applications possibles au domaine de la sécurité informatique.
Cet article présente le concept de modélisation des comportements des systèmes et utilisateurs et montre en quoi il complémente les techniques à base de signatures pour détecter les menaces persistantes et avancées 
Le routage fait partie des éléments critiques de la disponibilité des réseaux. Le niveau de protection du routage a été souvent discuté et différentes pistes de renforcement de sa sécurité ont été étudiées. Nous décrirons succinctement le protocole BGP utilisé pour les échanges de routes sur Internet, puis nous détaillerons les mécanismes déjà mis en œuvre ainsi que les diverses approches sécuritaires étudiées.
Prelude se présente comme une solution universelle de «  Security Information and Event Management » (SIEM). L'objectif de cet article est de vous présenter la solution Prelude, ainsi que sa mise en place en entreprise. Les avantages et les inconvénients de Prelude seront également discutés.
Le polymorphisme est une technique d'obfuscation de shellcodes rendant obsolètes les techniques de détection basées sur de la simple recherche de motif (pattern matching). Cet article décrit un certain nombre de solutions de contournement issues du monde de la recherche.