IOSec HTTP Anti Flood Security Gateway Module est un module écrit en PHP et .NET permettant d'améliorer la sécurité de votre site contre le flood HTTP et attaques par brute force.

Tous les outils de type crawling/scanning et de flood HTTP peuvent être détectés et bloqués par ce module via un .htacess, iptables et autres.

Son fonctionnement est assez simple, vous avez juste à inclure le fichier iosec.php dans n'importe quelle fichier PHP que vous voulez protéger. Les créateurs de ce script ont fait une page de test si vous voulez voir ce que ça donne.

Le NAS Seagate BlackArmor est vulnérable du fait que le mot de passe administrateur peut être réinitialisé par n'importe qui ayant accès à celui-ci et via une URL particulière.

La gamme BlackArmor est un périphérique réseau conçu pour les petites et moyennes entreprises offrant un moyen de stockage et de sauvegarde pour les PCs Windows et systèmes Mac OS X allant de 1To à 12To de capacité.

Le problème, documenté par US-CERT, est que si vous connaissez l'adresse IP du NAS et que vous accédez à cette adresse :

http://adresse-ip-du-nas/d41d8cd98f00b204e9800998ecf8427e.php

Vous aurez la possibilité de réinitialiser le mot de passe administrateur du périphérique. Il n'y a pas de solution à cette faille mais l'US-CERT conseille à tous ceux ayant ce périphérique de limiter l'accès à l'interface web. Seagate a été notifié du problème mais n'a toujours pas fournit de nouvelle version du firmware qui a été mis à jour pour la dernière fois le 17 Février 2011.

Donc en attendant limitez l'accès à l'interface web et inscrivez-vous à la page de mise à jour du firmware pour être notifié lors de la sortie d'une nouvelle version.

Bon ce n'est pas vraiment le LOL du jour mais j'avais envie de mettre cette image qui illustre assez bien la situation. Ce sont des chercheurs de l'Université du Michigan qui ont réussi à modifier le trafic de données mobiles. Ils ont injecté des paquets TCP dans des connexions tierces ce qui leur permet d'effectuer des manipulations telles que l'exécution de Javascript supplémentaire ou la lecture d'une vidéo Youtube lorsque l'utilisateur visite un site web.

L'attaque est décrite dans un document de 15 pages tout de même. Pour injecter des paquets de données, le pirate doit connaître le numéro de séquence TCP du dernier paquet envoyé par le client et celui-ci peut faire jusqu'à 4 octets de long! Mais les chercheurs ont découvert que le pare-feu utilisé par les opérateurs mobiles et/ou constructeurs de smartphones leur donnent un bon coup de main pour trouver cette information.

Le pare-feu en question vérifie le numéro de séquence de tous les paquets TCP entrants et sortants et laisse passer seulement ceux qui ont un numéro de séquence dans une plage utilisée par le client. Tous les autres paquets sont bloqués. Selon les chercheurs, il est relativement facile de déterminer la gamme actuellement utilisée par le client. Un pirate peut alors simplement essayer tous les numéros de séquence au sein de ce bloc.

Deviner les numéros de séquence TCP est un vieux problème. A l'époque, les numéros de séquence étaient toujours incrémentés d'une valeur prévisible, donc bon pas top. Il y a quelques temps, cela a été modifié de sorte que le nombre initial soit sélectionné au hasard. Avec 4,3 milliards de numéros disponibles, c'est presque impossible.

Ici ils ont modifié la connexion d'un smartphone avec une application spéciale

Un des scénarios d'attaque décrits par les chercheurs consiste à modifier le trafic du réseau sur le smartphone en utilisant une application dédiée. Dans l'exemple de la vidéo ci-dessus, en visitant Facebook, le navigateur du smartphone pourrait être utilisé pour afficher une page de phishing.

Sur 150 opérateurs réseaux testés, prés d'un tiers utilisent un pare-feu qui permet de deviner les numéros de séquence assez facilement en utilisant cette technique. L'attaque peut également être utilisée sur d'autres réseaux utilisant ce type de pare-feu. En principe et en supposant qu'il n'y a pas de chiffrement, l'attaque peut être effectuée sur un PC. Mais bon la lecture directe des paquets de données n'est généralement pas possible.

Petit clin d'oeil avec l'utilisation de Nmap dans Die Hard 4

Presque 3 ans après la dernière version majeure de Nmap, la version 6.0 du scanner réseau open source a été publié. Pour ceux qui ne le savent pas, Nmap est un utilitaire très populaire pour scanner et mapper des plages réseau afin d'extraire des informations sur les systèmes connectés au réseau ainsi que sa topologie. Dans cette version 6.0, les développeurs ont ajouté un support complet d'IPv6 tout en améliorant le moteur de script Nmap dont le web scanning, l'interface de mapping et les performances du scan ainsi que l'ajout d'un nouvel outil appelé Nping.

Nmap a eu le support de base IPv6 depuis 2002 mais avec la pénurie des adresses IPv4, les développeurs de Nmap ont passé quelques mois a rendre l'IPv6 full-support sur leur produit ainsi que l'ajout du nouveau IPv6 OS detection system , host discovery et raw packet port scanning.

Le système Nmap Scripting Engine (NSE) pour automatiser les tâches réseau avec les scripts Lua a "explosé en popularité et capacité" disent les développeurs. Le nombre de scripts est passé de 59 à 348!

Les fonctions de scan web dans Nmap ont été améliorées avec l'ajout de nouvelles techniques pour effectuer diverses tâches HTTP, incluant un brute force d'authentification et un spider. Il y a maintenant 54 scripts pour scanner des serveurs web alors qu'auparavant il n'y en avait que 6. La bibliothèque HTTP supporte maintenant le pipelining et met en cache les réponses (pour éviter les demandes multiples lorsqu'un certain nombre de scripts sont en cours d'exécution).

Mappeur de la topologie réseau dans Zenmap

Nmap 6.0 inclut également un nouvelle outil avec une interface en ligne de commande pour la génération des paquets réseau, l'analyse de la réponse et la mesure du temps de réponse avec Nping qui peut générer des paquets réseau. Nping est un outil polyvalent qui peut être utilisé comme son nom l'indique pour pinger un serveur afin de voir si il est actif mais aussi de générer des paquets raw (brutes) pour tester un réseau, faire de l'ARP poisoning, DoS ou traceroute.

Je conseille à tous ceux qui utilisent ce formidable outil de faire la mise à jour, ça en vaut la peine
Si vous voulez plus d'infos, allez lire la release notes.

Le Rogue Application Remover d'ESET vient juste de sortir hier et ce programme entièrement gratuit a été conçu pour supprimer les malwares présents sur un système Windows ainsi que les changements que ceux-ci auraient fait à votre système.

Selon ESET, cette application se concentre principalement sur "les applications malveillantes qui affectent le système d'exploitation d'une manière négative" et que les produits d'ESET peuvent avoir des difficultés à enlever complètement.

Cette application peut être lancée juste après son téléchargement et ne nécessite pas d'installation mais il faudra l'exécuter en tant qu'administrateur. Elle ne nécessite pas forcément une connexion Internet pour analyser votre système mais sera limitée dans son champs d'action pour la détection de malwares.

Vous pouvez télécharger la version 32-bit ou 64-bit gratuitement sur le site d'ESET. Le seul petit soucis c'est qu'il n'y a pas de logs assez verbeux au cas où une application malveillante est détectée.

Il y a aussi des versions standalone sur la même page de téléchargement pour plusieurs type de malwares tels que : Bubnix, Conficker, Daonol, Filecoder.AA, Filecoder.AE, Filecoder.Q, Filecoder.R, IRCBot.ANR, Mebroot, Merond.O, Necurs.A, Olmarik, OlmarikTdl4/Olmasco, Rovnix.A, Sirefef/ZeroAccess, SpyEye, Trustezeb.A, Zimuse.

www.ghacks.net