DEP / NX SEHOP ASLR PINNING EMET

How to determine that hardware DEP is available and configured on your computer

New NX APIs added to Windows Vista SP1, Windows XP SP3 and Windows Server 2008

How to enable Structured Exception Handling Overwrite Protection (SEHOP) in Windows operating systems

SEHOP per-process opt-in support in Windows 7 – Security Research & Defense

http://msdn.microsoft.com/en-us/library/bb430720.aspx

http://www.cs.bu.edu/fac/goldbe/teaching/HW55813/vulNmit.pdf

Data Execution Prevention (DEP)

Structured Exception Handler Overwrite Protection (SEHOP)

http://unifiedsecurity.wordpress.com/

Preventing the Exploitation of Structured Exception Handler (SEH) Overwrites with SEHOP

Address Space Layout Randomization (ASLR)

Certificat Trust (Pinning)

http://blogs.technet.com/b/srd/archive/2013/06/17/emet-4-0-now-available-for-download.aspx

http://blogs.technet.com/b/srd/archive/2012/05/15/introducing-emet-v3.aspx

http://blogs.technet.com/b/srd/archive/2010/09/02/enhanced-mitigation-experience-toolkit-emet-v2-0-0.aspx

http://esec-lab.sogeti.com/post/Bypassing-ASLR-and-DEP-on-Adobe-Reader-X

 

Journal des changements NTFS USNJRNL

http://forensicsfromthesausagefactory.blogspot.co.uk/2010/08/usn-change-journal.html

http://www.microsoft.com/msj/0999/journal/journal.aspx

http://msdn.microsoft.com/en-us/library/windows/desktop/aa363801(v=vs.85).aspx

http://msdn.microsoft.com/en-us/library/ff469400.aspx

http://msdn.microsoft.com/en-us/library/windows/desktop/aa363877(v=vs.85).aspx

http://inform.pucp.edu.pe/~inf232/Ntfs/ntfs_doc_v0.5/files/usnjrnl.html

http://msdn.microsoft.com/en-us/library/windows/desktop/aa365732(v=vs.85).aspx

https://tzworks.net/prototype_page.php?proto_id=5

http://msdn.microsoft.com/en-us/library/windows/desktop/aa363997(v=vs.85).aspx

http://msdn.microsoft.com/en-us/library/windows/desktop/aa363803(v=vs.85).aspx

 

Forensics Android

https://github.com/saidelike/android-work/tree/master/bf_password

https://github.com/saidelike/android-work/tree/master/img_edit

https://github.com/saidelike/android-work/tree/master/hboot_sign

https://github.com/saidelike/android-work/tree/master/read_emmc

http://esec-lab.sogeti.com/post/Forensics-on-Android-phones-and-security-measures

http://esec-lab.sogeti.com/post/HTC-unlock-internals

https://viaforensics.com/mobile-security/droid-gaining-access-android-user-data.html

http://pof.eslack.org/2012/07/30/fortifying-a-galaxy-nexus-with-stock-ish-image-and-root-access/

http://nelenkov.blogspot.co.uk/2012/08/changing-androids-disk-encryption.html

http://developer.android.com/sdk/index.html

http://developer.android.com/about/dashboards/index.html

http://source.android.com/

http://fr.wikipedia.org/wiki/Liste_des_t%C3%A9l%C3%A9phones_sous_Android

http://en.wikipedia.org/wiki/Comparison_of_Android_devices

http://rere.qmqm.pl/~mirq/JESD84-A44.pdf

http://www.htcdev.com/bootloader

http://www.clockworkmod.com/

https://github.com/CyanogenMod

http://androidxref.com/

http://androidfirmwares.net/Guide/Details/2

http://code.google.com/p/android/issues/detail?id=29468

Parades anti-CryptoLocker

Ce n’est pas nouveau mais ça fait toujours autant mal.

Le chantage au cryptage de disque dur revient en force ces derniers jours avec CryptoLocker:

Principe de CryptoLocker

CryptoLocker est un programme qui est apparu en septembre 2013. Ce malware chiffre certains de vos fichiers en utilisant des clefs RSA et AES.

Le cryptage concerne certains fichiers du disque dur, ainsi que ceux des partages réseaux si ceux-ci sont mappés avec une lettre réseau (G:, H:, etc.). Les partages réseaux accessibles uniquement en UNC ne sont pas concernés.

Lorsqu’il a fini de crypter vos fichiers, il affiche un écran qui vous invite à payer une rançon entre 100 $ et 300 $ afin de déchiffrer les fichiers. L’écran affiche aussi une minuterie indiquant que vous avez 4 jours pour payer la rançon. Si vous ne payez pas avant ce délai, votre clé de déchiffrement sera supprimée et vous n’aurez plus aucun moyen pour déchiffrer vos fichiers. La rançon doit être payée à l’aide de Bitcoins.

Une fois que vous avez envoyé le paiement, le programme déchiffre les fichiers qu’il a chiffrés.

Compte-tenu du chiffrage fort et de l’implémentation, il n’existe pas de solutions efficaces pour déchiffrer les fichiers cryptés par CryptoLocker à l’aide d’un logiciel du commerce, à ce jour.

Vous refusez de céder au chantage

Si vous ne voulez pas payer, vous avez une autre solution:

  1. Supprimer le malware
  2. Repartir d’une sauvegarde
  3. Utiliser un point de restauration

Vous pouvez récupérer vos données d’une sauvegarde manuelle, ou d’un cliché instantané si la restauration du système est active. La restauration à partir d’un cliché instantané est simplifiée avec l’outil gratuit ShadowExplorer.

Pour connaître la liste des fichiers chiffrés par le malware, vous pouvez utiliser http://download.bleepingcomputer.com/grinler/ListCrilock.exe. Pour en savoir plus, consultez l’article CryptoLocker Ransomware Information Guide and FAQ.

Lorsque vous faites des sauvegardes, pensez à les échelonner: sauvegardes quotidiennes, hebdomadaires, mensuels (fin de mois), annuels (fin d’année).

Idéalement, doublez-les: les disques durs externes sont de moins en moins chers.

Prévention de CryptoLocker

Ce malware se propage sous forme d’une pièce jointe au format Zip attaché à un email. Le fichier Zip contient un exécutable avec l’icône PDF pour faire croire à un fichier Acrobat PDF.

Si vous avez le moindre doute avec une pièce jointe, passez-la au crible de VirusTotal. Même si vous ne pouvez pas compter sur les seuls résultats de VirusTotal, cela permet d’avoir un filtre supplémentaire.

L’outil, gratuit pour les particuliers, CryptoPrevent vous aidera à éviter à vous faire contaminer. Cet outil vous évite d’être contaminé par CryptoLocker en interdisant son exécution à partir de ses emplacements préférés. Son éditeur Foolish IT propose aussi un service payant facultatif de mise à jour automatique de CryptoPrevent.

Les entreprises peuvent s’appuyer sur Cryptolocker Prevention Kit pour protéger leurs domaines.

Comment supprimer la Bibliothèque de remise dans SharePoint ?

La fonctionnalité de site Organisateur de contenu crée des règles basées sur des métadonnées qui transfèrent le contenu de la bibliothèque, intitulé Bibliothèque de remise, dans la bibliothèque appropriée.

Au moment de l’activation de cette fonctionnalité dans SharePoint 2010, la bibliothèque de remise (« DropOff Library ») est automatiquement créée si elle n’existe pas déjà.

Si vous désactivez la fonctionnalité Organisateur de contenu, cette bibliothèque n’est pas supprimée automatiquement.

Par ailleurs, vous ne trouverez pas l’option Supprimer le composant bibliothèque de documents dans les paramètres de la bibliothèque de remise créée par la fonctionnalité de site Organisateur de contenu.

Malgré tout, il est possible de la supprimer.

Suppression de la Bibliothèque de remise

Pour cela, ouvrez une session sur un serveur frontal SharePoint puis téléchargez et installez SharePoint Manager 2010 du site CodePlex.

Ouvrez SharePoint Manager 2010: patientez car il prend plusieurs secondes avant de récupérer la configuration de votre ferme. Ensuite, parcourez l’arborescence jusqu’à trouver la bibliothèque puis définissez la propriété AllowDeletion à vrai:

Paramètre d'autorisation de suppression de la Bibliothèque de remise

Enregistrez vos modifications:

Menu de suppression de la Bibliothèque de remise

Retournez dans les paramètres de la bibliothèque, vous verrez le lien de suppression de la bibliothèque:

Menu de suppression de la Bibliothèque de remise

Si vous cliquez sur le lien de suppression et que vous confirmiez l’opération, la Bibliothèque de remise est bien supprimée.

HTML5 JavaScript CSS3

https://developer.mozilla.org/en-US/docs/Web/API

http://html5please.com/

http://caniuse.com/

https://github.com/necolas/normalize.css

http://html5boilerplate.com/

https://developers.google.com/chrome-developer-tools/

https://developer.mozilla.org/en-US/docs/Tools

http://devtoolsecrets.com/

http://www.modern.ie/fr-fr

http://yeoman.io/

http://www.paulirish.com/2012/box-sizing-border-box-ftw/

http://fr.learnlayout.com/

http://learn.shayhowe.com/advanced-html-css

http://lea.verou.me/css3-gradients/#intro

http://lab.hakim.se/ladda/

http://twbs.github.io/bootstrap/

http://www.smacss.com/

http://google-styleguide.googlecode.com/svn/trunk/

http://mobitest.me/

http://www.gridpak.com/

http://bradfrost.github.io/this-is-responsive/

http://tympanus.net/Development/PageTransitions/

http://html5pattern.com/

http://www.wufoo.com/html5/

http://responsejs.com/

http://dataurl.net/#dataurlmaker

http://fortawesome.github.io/Font-Awesome/

http://www.icnfnt.com/#/

http://www.igvita.com/2012/09/12/web-fonts-performance-making-pretty-fast/

http://appcachefacts.info/

http://flailingmonkey.com/application-cache-not-a-douchebag

https://github.com/jamesgpearce/confess

https://developers.google.com/chrome/whitepapers/storage

http://webdevchecklist.com/

http://platform.html5.org/

http://philippe.im/

Challenges sécurité informatique / Capture The Flag

http://www.microsoft.com/security/msrc/report/bountyprograms.aspx

Une liste de challenges de hacking / sécurité informatique

http://www.rssil.org/

http://www.segmentationfault.fr/securite-informatique/resume-dc18-ctf-quals/

https://www.sstic.org/

http://www.hackinparis.com/

http://www.nuitduhack.com/

http://www.insomnihack.ch/

https://www.defcon.org/html/links/dc-ctf.html

https://stripe.com/blog/capture-the-flag-20 (terminé)