ZeNiTHaR'z BLoG
Il existe moins bien mais c’est plus cher !
ZeroWine & les malwares
13/03/09
Et bien non ce n’est pas un nouvel épisode de Martine. C’est une distribution linux configurée pour l’analyse de malware Windows.
Elle s’exécute au travers de QEmu. Il suffit delancer la machine virtuelle, et de se connecter via le navigateur. Un formulaire vous propose d’uploader votre malware. Il va l’exécuter avec Wine (Windows Emulator) pour en ressortir la trace d’execution.
Vous pourrez par la suite effectuer un analyse forensic du malware sur votre Linux. Vraiment pas mal pour dé-packer les executables, il identifie la signature du packer utilisé, et propose même un dump de la mémoire du processus (contenant potentiellement le malware décompressé pour execution).
Disponible ici
BackTrack 4 is unleashed ! Watch the dog !
13/03/09
Halte aux paraskevidékatriaphobe ! Savez vous que BackTrack 4 est sortie ? Sinon je vous l’annonce !
En plus du changement de version, il y a aussi un changement de distribution de base, avant BackTrack était une variante gonflée (comme vahiné) de Slax, qui était une version modulaire et portable (dans le sens USB) de Slackware.
Elle est basée aujourd’hui sur une debian un peu modifiée, pour les audits de sécurité (intégration des modules d’injection 802.11x, etc…). Attention, j’ai bien dit les audits !
Disponible à cette addresse : Blog backtrack
De ActiveMQ vers XMPP : mais pourquoi j’y ai pas pensé plus tôt ?
24/02/09
Suite à des projets personnels et professionnels, j’ai été confronté à une problématique de communication inter-processus (temps réel ou pas !). Ces agents devaient effectuer un traitement bien spécifique sur l’information qui transitait sur le bus de distribution du message.
Je travaille sur un système de monitoring multiple ressources, multisites, et surtout multiple-évènements. J’utilisais comme transport sur mon bus d’évènement une file Apache ActiveMQ, cependant je me suis retrouvé dans le cas où je devais programmer des fonctions de monitoring inter-agents.
Chaque agent expose sa présence à la connexion au bus. C’est le manager qui surveille le système à l’aide de messages envoyés via un bus de contrôle.
Pour en revenir à nos moutons, pourquoi parler de XMPP ? Tout simplement parce que c’est un protocole tellement simple : seulement 3 types de messages (synchrone, asynchrone, présence). Que ce protocole possède des spécifications ouvertes : il est à l’origine du protocole Jabber.
Après analyse, je me suis aperçu que j’avais codé exactement le comportement de XMPP (les trois types de message), alors je me suis dis pourquoi pas tout migrer sur du XMPP ? [Et c'est à ce moment que quelqu'un me dit toujours que je suis un grand malade !] Ce que j’ai fait. Aujourd’hui la technologie apporte les solutions à des problèmes bien précis, et j’avoue je me régale toujours à détourner les fonctionnalités de ces technologies pour résoudre mes problèmes.
Problématiques :
- Comment distribuer les messages à un agent en particulier ?
- Comment distribuer les messages à un groupe d’agent ?
- Comment connaître l’état d’un agent ?
- Comment savoir si un agent est connecté au système ?
Voici les problématiques que j’ai résolu via l’utilisation du protocole XMPP comme bus de communication.
1. Comment distribuer les messages à un agent en particulier ?
Les messages émis sur le bus sont nominatifs, c-à-d qu’ils ont une source et une destination.
2. Comment distribuer les messages à un groupe d’agent ?
Les messages peuvent être transmis à des groupes de contacts (buddy), ou il est possible de simuler un “broadcast” de message via l’utilisation d’un salon privé de conférence, espèce de canal IRC mais pour Jabber.
3. Comment connaître l’état d’un agent ?
L’état de l’agent (disponible, occupé, etc…) correspond à l’information de statut associée à la présence du contact sur le réseau.
4. Comment savoir si un agent est connecté au système ?
Le protocole XMPP gère les présences des agents sur le réseau. A la connexion d’un agent, celui ci informe tous les autres de sa présence.
Quels sont les avantages ?
- Le système est bcp plus réactif, les messages sont visibles dans un protocole exploitable par tous les agents capables de comprendre le XMPP. Il sera possible de créer des agents dans différents langages.
- Le système permet des communications multi-sites, en effet XMPP permet le routage des messages inter-serveurs (voir fonctionnement Jabber entre 2 domaines différents).
- Il n’est pas nécessaire d’avoir un serveur de file d’attente sur la machine.
- Protocole ouvert et extensible, tout peut être transporté dans le flux XML.
Quels sont les inconvénients ?
- Il est nécessaire d’installer un serveur Jabber (Openfire ou eJabberd). Personnellement j’utilise eJabberd, qui possède des fonctionnalités de clustering plutôt impressionnante. D’ailleurs faudrait que je jette un oeil sur ce langage Erlang.
- Nécessite la connaissance du protocole XMPP un minimum, alors qu’avec les MQ (MessageQueue) traditionnelle c’est transparent.
- Interaction avec un client Jabber traditionnel : peut être aussi un avantage, mais moi je vois une possibilité de détournement, (boh c’est le consultant sécu qui parle là !)
- Il est possible que par l’utilisation du XML comme descripteur du protocole on obtienne une surcharge d’informations inutiles dans les messages.
Tiens j'ai une idée ! 
Quelques idées sur le papier numérique :
Il serait agréable d’avoir un standard de communication permettant d’agréger de manière simple et unique tout les protocoles réseaux. Jabber contient le concept de passerelle permettant de “traduire” du MSN en XMPP.
Pourquoi ne pas faire une passerelle SNMP / XMPP, CMMI / XMPP pour les protocoles d’interrogations des devices. Il existe déja du XMLRPC over XMPP et du SOAP over XMPP, ce qui montre bien que XMPP est un protocole de transport tout comme le HTTP.
Je serais d’avis de travailler dans le sens de réduire la taille d’un paquet XMPP, en le passant en octet comme avec l’EBML utilisé pour le conteneur numérique Matrovska (MKV). Cependant cherche-t-on a avoir un protocole rapide ou plutôt facile d’utilisation et surtout facile à implémenter (Un parseur XML suffit et en avant Guingamp !). Il me semble avoir entendu parlé du XMPP en utilisant du YAML, qui est un langage qui se base sur les tabulations plutot que le couple de balise ouverture/fermeture. Il n’y a pas de fermeture de balise, il suffit de revenir d’un cran pour fermer le contexte en cours.
Voila je termine ce long post qui je pense doit être le plus long que mon blog n’ai jamais eut ! A vous les commentaires !
Joyeux noël et bonne année 2009 !
23/12/08
On va se répéter mais : joyeux noël et bonne année à tous ! Cette fois je fais le réveillon dans la famille de ma copine puis on redescends chez moi pour faire Noël ! Soit 500 km dans la journée …
Bon c’est comme ça !
Nouveaux jeux de société.
7/12/08
J’ai fait l’acquisition durant le TGS (Toulouse Game Show) 2008, de deux nouveaux jeux de plateau qui j’avoue nous ont plus que bien occupé l’après-midi.
Un jeu rapide de dé le Wazabi, et un jeu de plateau “l’age de pierre“, viennent compléter notre collection de jeux (Risk, Colons de catanes, Aventuriers du rails edition europe). Et surtout pour me détrôner de mon status de maitre invaincu aux colons de catanes ^^ (malgrés multes tentatives, handicaps, association de malfaiteurs, etc …).
Je vous les conseille grandement.
Une commande pour les contrôler tous !
13/11/08
It has been a long time, that i was searching a solution to execute a command on multiple SSH server simultaneously. This is UbuntuGeek who gave me the solution.Cela fait plusieurs temps que je cherche un moyen d’exécuter une commande SSH sur plusieurs serveurs à la fois, et c’est UbuntuGeek qui m’a donné la solution.
Au travers d’un des trois outils :
- PSSh : Parallel SSH
- Cluster SSH
- Multixterm
Dis moi ce que tu lis !
12/11/08
Suite à l’article de Korben, chaine de post dans lequel on énonce nos lectures (papiers dans mon cas!).
Je lis plus les informations au format numérique par soucis d’écologie, et d’indexation d’informations : c’est difficile le CTRL+f dans un bouquin de 900 pages papier.
- MISC : Très bon magazine orienté sécurité des systèmes d’informations. Panel très large d’articles (réseaux, applicatifs, technologies, …).
- Hackin9 : Autre magazine orienté sécurité, plus bidouille je trouve qu’il n’a pas trop d’influence commerciales (hormis les pages de pub pour les autres magazines de la société d’édition).
- Programmez ! : magazine généraliste sur les technologies actuelles, plutôt orienté développeur.
En route vers OpenSUSE 11.1
6/11/08
openSUSE 11.1 est la prochaine version qui incorporera de nouvelles fonctionnalités issues de la communauté ainsi que des développements internes. Elle sera disponible pour les plateformes x86, x86-64 et PPC.
J’ai ma ligne, mais pas de Freebox !
28/10/08
Je viens de recevoir mon avis d’activation de ligne : hourra enfin !
Cependant, je n’ai pas reçu de Freebox, donc voici comment vous connecter au réseau Free sans avoir la freeboite.
J’ai récupéré du fond de mes placards mon bon vieux Netgear DG834Gv2, que j’ai flashé en passant (firmware 3.01.32). Pour ceux qui ne connaissent pas la procédure, je vous invite à consulter un très bon site à ce sujet [Tutorial DG834G].
Sortie de Damn Vulnerable Linux 1.5
13/10/08
Infectious Desease (Community Edition) is now final. We fixed several bugs and added some more development tools. Now included Lazarus IDE for Free Pascal, ArgoUML, BlueJ to teach Java. As well we updated the Firefox plugins and the Metasploit Database. We will inform now the Mirrors and will release finally to public in 1-2 weeks. From now on we will concentrate on training, videos and extension packages.
Je ne l’ai pas encore testé, on verra ce soir ^^
La suite >
