SINFP, UNIFICATION DE LA PRISE D'EMPREINTE ACTIVE ET PASSIVE DES SYSTÈMES D'EXPLOITATION par Patrice
AUFFRET
(Thomson)
Résumé
Depuis l'omniprésence des pare-feux utilisant de la translation d'adresses et
de ports (NAT/PAT), l'inspection d'états, ou encore la normalisation de trames, les approches actuelles à la prise d'empreinte des systèmes d'exploitation montrent leurs faiblesses. C'est à partir de ce constat que l'outil SinFP fut développé, tentant ainsi de contourner les limitations des outils actuels. SinFP implémente de toutes nouvelles méthodes, comme l'utilisation de signatures acquises activement lors de prises d'empreinte passives. De plus, SinFP est le premier outil à faire de la prise d'empreinte sur IPv6 (en mode actif et passif). Grâce à son algorithme de recherche de correspondance, il devient presque inutile d'ajouter de nouvelles signatures dans la base. En effet, son algorithme heuristique le rend très robuste face à des signatures qui ont été modifiées par des dispositifs de filtrage et/ou routage en coupure, ou bien par une personnalisation de la pile TCP/IP.
Biographie
Patrice Auffret (aka GomoR) est un ingénieur sécurité spécialisé dans les protocoles réseau. Il est à l'origine de nombreux modules Perl en rapport avec ce domaine (Net::Packet, Net::Frame, Net::SinFP). Il a écrit quelques articles dans le magazine MISC sur la prise d'empreinte des systèmes d'exploitation, et est également intervenu sur les vulnérabilités du protocole OSPF lors de la conférence IT Underground 2007.