Conférence #59 - Quand les Chinois essaient de passer par la fenêtre.

Securité 40 mn en_US Professionnel Confirmé

Introduction de la conférence

Cette présentation a pour but de montrer comment l'utilisation combinée de plusieurs outils de sécurité permet de détecter les spécificités de certaines attaques. Elle montrera notamment en détail la démarche ayant permis d'arriver à la conclusion qu'une méthode d'attaque sur le protocole SSH semble être uniquement utilisée sur le territoire chinois pour tenter de prendre le contrôle sur des serveurs partout dans le monde. Les outils principaux utilisés dans l'étude sont la sonde de détection d'intrusion Suricata, le démon de journalisation de Netfilter ulogd et l'outil de gestion de logs logstash.

À propos du conférencier

Biographie

Eric Leblond est un membre actif de la communauté open source et sécurité. Il fait notamment partie de la coreteam Netfilter où il travaille principalement sur les interactions entre le noyau et l’espace utilisateur. Il est aussi le mainteneur de ulogd2, le démon de journalisation de Netfilter. Il participe au développement de l’IDS/IPS Suricata depuis 2009 et il est actuellement financé par l’OISF pour ce travail. Il est aussi l’un des fondateurs de la société Stamus Networks qui propose des solutions de sécurité basée sur Suricata.

Description de la conférence

La présentation débutera par une courte présentation de Suricata, ulogd et logstash avant de se focaliser sur leur interconnexion. Suricata 2.0 et ulogd 2.0.4 sont en effet capables de sortir l'ensemble de leurs journaux au format JSON. Cela rend la connexion au système de gestion de logs logstash vraiment trivial. Puis la présentation montrera les capacités résultantes par le biais de quelques démonstrations. Enfin, elle présentera une analyse complète partant de la détection d'une famille de paquets étranges pour aboutir à la description d'une méthode d'attaque par brute force sur SSH qui semble être utilisée uniquement en Chine.

Programme

  • mardi 8/7 à 11:10 | 31 SC002 - 43.632778;3.862760

Documents liés


amarok apache archlinux arduino bitcoin blender creativecommons cernohl debian chamilo drupal elphel eZ Publish fedoraproject firefox gentoo gimp gnome gnu freebsd freeguppy gnuhealth haiku imagemagick inkscape jabber jenkins joomla kde knoppix lea-linux libreoffice linux mageia mandriva moodle mozilla openarena openbsd Open Street Map opensuse perl php pidgin plone postgresql python ruby rudder scribus spip thunderbird tomcat tryton typo3 ubuntu vlc wikipedia wordpress xfce xonotic