Snort 2.8.6 « finale » vient de sortir… De nombreuses améliorations, notamment dans le traitement de http inspect, de la décompression gzip sur de nombreux paquets ainsi qu’un pré-processeur de « données sensibles ». Dans la foulée, il faut noter quelques modifications et mises à jour des bibliothèques de règles, signalées par Joel Esler dans les colonnes du Sans. Un nouvel outil de mise à jour des règles, Pulledpork, est également disponible sur GoogleCode.
Encore un peu de lecture cochonne (et de code porcin) avec un papier passionnant sur le nouvel environnement de détection « anti client-side attack » qui fit l’objet d’une présentation au HITB de Dubaï et d’un article sur le blog de l’équipe Snort. Cette approche de l’analyse du contenu dépasse et de très loin les fonctions de base d’un outil d’inspection du trafic réseau, puisqu’elle apporte à Snort non pas une simple fonction de détection de malware, mais la capacité de disséquer un élément nocif camouflé par différentes couches de compression et techniques d’évitement. Le code de ce projet baptisé NRT (Near Real Time Detection), sa présentation en détail et un article d’introduction sont également téléchargeables sur le site de l’éditeur.