Mot-clé - modsecurity

Fil des billets - Fil des commentaires

mercredi 13 juin 2007

Réunion OSSIR du 12 juin 2007


Une fois n'est pas coutume, je vais parler un peu de la réunion d'hier du groupe SUR (Sécurité Unix et Réseau) de l'OSSIR (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux) ...

Pour rappel, l'OSSIR se réunit à peu près une fois par mois, en deux dates distinctes, l'une pour le groupe Windows, et l'autre pour le groupe SUR.
Les réunions se déroulent en fonction des opportunités de disponibilités de salles proposées en général par des adhérents de l'OSSIR.

Hier donc, c'était à EPITA

Les deux sujets abordés étaient "Spam Images" et "Mise au point d'un filtre HTTP avec filtrage par liste blanche et apprentissage".

Spam Images
Louis Nyffenegger - Hervé Schauer Consultants

Cette présentation, que vous pouvez trouver ici, s'est révélée très intéressante. Pour m'être déjà un peu intéressé moi-même à ce type de spam, je m'attendais un peu à m'ennuyer, mais pas du tout. Louis (que j'ai déjà eu l'occasion d'entendre concernant la détection de rootkits sous Linux) est un très bon orateur, et ses réflexions se sont révélées très à-propos.

J'ai notamment appris, et je ne l'aurai pas soupçonné, une information mathématique "amusante" mais surtout très utile que je vous expose ici :
Prenez deux spams contenant la même image.
Sauvegardez ces deux images "identiques" sur votre système, et lancez un calcul de hash MD5 dessus.
Evidemment, vous obtenez un hash MD5 différent, tout simplement parce que les spammers utilisent plusieurs techniques très simples pour que les images de chaque mail ne soient pas "exactement" semblables, afin de contre-carrer une bête blacklist de hash MD5 quelconque.
Maintenant, reprenez ces deux images, réduisez-les en 40*40 ar exemple, et refaites un calcul de hash MD5.
Vous obtenez un hash identique.
Je n'ai pas le détail des tests effectués... Evidemment le taux de réussite doit être variable en fonction de la méthode utilisée par le spammer pour créer ses images, du format de l'image (je me pose la question par rapport à la compression de jpg par exemple), etc... mais il serait intéressant d'étudier plus avant cette méthode d'identification d'images...

Mise au point d'un filtre HTTP avec filtrage par liste blanche et apprentissage
Vincent Deffontaines - INL

Là encore, un orateur sympa et très compétent, puisque capable de nous tenir en haleine devant un simple tty pour sa démo, qui n'a pas souffert de l'"effet démo" pour notre plus grand plaisir...

Tout le monde connait Apache, et certains de ses modules, mais connaissiez-vous ModSecurity ?
Ce module possède de nombreux avantages, et notamment de pouvoir logger beaucoup plus de choses que dans votre access.log habituel ... Et de gérer votre trafic web par des règles de filtrage.
Il existe des convertisseurs de vos règles snort en règles modsecurity, mais finalement, rien n'existait pour avoir un vrai learning-mode modsecurity du trafic web et créer ainsi des règles de filtrage efficaces, selon le principe des white-lists.

Après avoir présenté modsecurity, Vincent nous présente donc un nouveau produit INL, Ouadjet, capable de générer des règles de filtrage en un format XML à partir de trafic web, modifiables à la main, et ce autant sur vos requêtes GET que sur vos requêtes POST. (Eh oui, c'est merveilleux)

Cet XML est ensuite convertible en format modsecurity ... Plus qu'à ajouter les nouvelles règles de filtrage, redémarrer le serveur Apache... Et le tour est joué :-)

Décidément, beaucoup de talents chez cette jeune société française qui se bat élégamment pour le libre ;-)

Add-on: le lien vers la présentation de Vincent est ici.