[Newsletter HSC] N°11 - Juillet 2005
newsletter at hsc-news.com
newsletter at hsc-news.com
Jeu 30 Juin 16:42:12 CEST 2005
========================================================================
HSC Newsletter -- N°011 -- Juillet 2005
========================================================================
"Le point de vue le plus simple est toujours le meilleur."
[ Charlie Chaplin ]
--[ Sommaire ]----------------------------------------------------------
1. Bilan de la Convention Sécurité
2. Formations HSC
3. Formations certifiantes "SecurityCertified"
4. Tutoriels à Tahiti
5. Agenda des interventions publiques
6. Nouveautés sur le web HSC
7. Veille en vulnérabilités HSC
8. La sécurité "au jour d'aujourd'hui" - H. Schauer
Compte-rendu de la conférence SSTIC 2005
--[ 1. Bilan de la Convention Sécurité ]--------------------------------
Merci aux 262 participants venus assister aux 18 conférences
sécurité animées par Hervé Schauer pour cette première édition de la
Convention Sécurité Management. Les transparents des présentations sont
disponibles sur :
http://www.hsc.fr/conferences/csm05_programme.html.fr#plan
Vous y trouverez les retours d'expérience des six responsables sécurité
venus témoigner, ainsi que les présentations des avocats et experts.
Rendez-vous l'an prochain les 14 et 15 juin 2006 dans un nouveau
lieu.
--[ 2. Formations HSC ]-------------------------------------------------
Des places sont disponibles sur les modules suivants :
- HSC Paris
Sécurité des réseaux TCP/IP : 12 & 13 septembre
Filtrage IP : 14 septembre
Détection d'intrusion avancée : 15 septembre
Sécurité des Transmissions : 16 septembre
Sécurité des réseaux sans fil : 30 septembre
Fonctionnement des PKI : 26 & 27 septembre
Sécurité Windows : 28 & 29 septembre
SCP HTI - Hardening the Infrastructure : 5 au 9 septembre
SCP NDC - Network Defense and Countermeasures : 19 au 23 septembre
- HSC Toulouse
Sécurité Unix & Linux : 6 & 7 septembre
Sécurité des réseaux TCP/IP : 10 & 11 octobre
Filtrage IP : 12 octobre
Détection d'intrusion avancée : 13 octobre
Sécurité des transmissions : 14 octobre
Sécurité des réseaux sans fil : 17 octobre
DNS : 20 octobre
Postfix et anti-spam : 21 octobre
Sécurité des serveurs web : 3 & 4 octobre
Fonctionnement des PKI : 18 & 19 octobre
Rappel : pour 4 jours de formation consécutifs commandés simultanément
par la même personne, le 5ème jour est offert (sauf SCP).
Retrouvez le détail de nos formations (plan pédagogique, agenda) et notre
catalogue en PDF sur http://www.hsc.fr/services/formations/index.html.fr
Retrouvez les tarifs et modalités d'inscription aux formations HSC dans la
newsletter n°8 : http://www.hsc-news.com/archives/2005/000021.html
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 3. Formations SecurityCertified ]----------------------------------
Pour la première fois en France, HSC propose des formations
certifiantes en sécurité. Ces formations techniques et complètes sont
indépendantes de tout fournisseur et vous permettent de tenter la
certification SCNP : Security Certified Network Professional, éditée
par la société américaine SecurityCertified :
http://www.securitycertified.net/
proposée dans plus de cinquante pays et reconnue dans le monde entier.
Pour cela il faut suivre deux formations d'une durée de 5 jours :
- SCP Hardening The Infrastructure (HTI) du 5 au 9 septembre 2005
- SCP Network Defense and Countermesures (NDC) du 19 au 23 septembre 2005
Les cours incluent des travaux pratiques : PC avec 3 systèmes
d'exploitation (Windows et Linux), routeurs Cisco, etc. En conséquence
le nombre de places est limité à 10 participants. Inscrivez-vous
rapidement.
Explications sur les formations certifiantes SecurityCertified :
http://www.hsc.fr/services/formations/formations_scp.html.fr
Plan détaillé du cours SCP Hardening The Infrastructure (HTI) :
http://www.hsc.fr/services/formations/scp_hti.html.fr
Plan détaillé du cours SCP Network Defense and Countermesures (NDC) :
http://www.hsc.fr/services/formations/scp_ndc.html.fr
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 4. Tutoriels à Tahiti ]---------------------------------------------
Pour la première fois, HSC propose deux jours de formation en sécurité
à Tahiti avec l'Office des Postes et Télécommunications - Polynésie
Française :
- 13 septembre 2005 : Tutoriel "Sécurité TCP/IP" par Thomas Seyrat
http://www.hsc.fr/conferences/opt05_securite_tcp-ip.html.fr
- 14 septembre 2005 : Tutoriel "La norme BS7799" par Alexandre Fernandez
http://www.hsc.fr/conferences/opt05_bs7799.html.fr
La plaquette est disponible sur :
http://psrt.opt.pf/documents/secu_programme.pdf
Téléchargez le bulletin d'inscription :
http://psrt.opt.pf/documents/secu_inscription.pdf
--[ 5. Agenda des interventions publiques ]-----------------------------
- 21 septembre 2005 : Forum Leonardo Finance - Investir dans la sécurité
"Quelles opportunités dans la Sécurité des Systèmes d'Information ?"
Hervé Schauer
http://www.leonardofinance.fr/
- 20 Octobre 2005 : Assises de la Sécurité - Monaco
"Retour sur investissement en sécurité" - Hervé Schauer
http://www.les-assises-de-la-securite.com/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
Retrouvez les supports de toutes nos interventions publiques sur
http://www.hsc.fr/ressources/presentations/
--[ 6. Nouveautés sur le web HSC ]--------------------------------------
- Présentation "Sessions nulles dans MSRPC : exploitation et protection"
http://www.hsc.fr/ressources/presentations/null_sessions/index.html.fr
- Présentation "Sécurité des bases de données et des ERP"
http://www.hsc.fr/ressources/presentations/csm05-bderp/index.html.fr
- Présentation "Pourquoi et comment lancer un projet 7799 ?"
http://www.hsc.fr/ressources/presentations/csm05-7799/index.html.fr
- Présentation "Sécurité de la Voix sur IP"
http://www.hsc.fr/ressources/presentations/csm05-voip/index.html.fr
- Présentation "Retour sur investissement en sécurité"
http://www.hsc.fr/ressources/presentations/csm05-rosi/index.html.fr
- Présentation "Phishing: social engineering et subterfuges"
http://www.hsc.fr/ressources/presentations/csm05-phishing/index.html.fr
- Présentation "Prévention d'intrusion : Nouveaux outils de consolidation
de la défense périmétrique"
http://www.hsc.fr/ressources/presentations/csm05-ips/index.html.fr
- Présentation "WPA/WPA2 : Une sécurité fiable pour le WiFi ?"
http://www.hsc.fr/ressources/presentations/ossir-wpa-wpa2/index.html.fr
- Brève "Windows remote administration tools overview"
http://www.hsc.fr/ressources/breves/win_remote_admin_tools.html.fr
- Article "Windows log files"
http://www.hsc.fr/ressources/articles/win_log_files/index.html.fr
--[ 7. Veille en vulnérabilités HSC ]-----------------------------------
15-06-2005 Vulnérabilité critique dans SMB (MS05-027)
23-06-2005 Fuite d'information dans les concentrateurs VPN Cisco
30-06-2005 Vulnérabilité dans la gestion RADIUS d'IOS
30-06-2005 Dénis de service sur l'antivirus ClamAV
30-06-2005 Problème de gestion des setuid/setgid dans Solaris 8,9,10
Présentation du service de veille en vulnérabilités d'HSC
http://www.hsc.fr/services/veille.html.fr
--[ 8. La sécurité "au jour d'aujourd'hui" - H. Schauer ]---------------
La SSTIC s'est déroulée à l'ESAT (École Supérieure et d'Application
des Transmissions) à Rennes du 1 au 3 juin. Symposium sur la sécurité
qui rappelle les conférences de pirates par le nombre de bornes WiFi
"pot de miel" et l'incendie officiellement inexpliqué de celles de
l'organisateur. Voici quelque extraits chronologiques de la conférence.
Henri Serres introduit la conférence. Il dirige la DCSSI et il est
également membre du conseil d'administration de France Telecom. Ses
services passent de 110 à 116 personnes en 2005. Il relativise
cependant car plus grave que la sécurité des systèmes d'information est
le risque d'épidémie de grippe aviaire.
Kostya Kortchinsky du CERT Renater présente sa démarche de découverte
de failles de sécurité dans Windows. Il faut plusieurs mois voire années
pour voir des corrections à partir de la date d'envoi de la faille de
sécurité à Microsoft. Cela explique qu'il a toujours en permanence une
vingtaine de bons 0days (faille de sécurité non publiée) en circulation
dans les milieux alternatifs, avec des exploitations privées. Une des
failles qu'il a transmise à Microsoft a donné lieu à un virus. Les
pirates n'utilisent pas des 0days au hasard mais uniquement sur des
machines qui le justifient.
Les techniques de découverte de failles sont nombreuses : fuzzing qui a
permis la découverte de la vulnérabilité iframe; des débogueurs comme
IDA Pro (qui permet d'écrire ses plug-ins pour automatiser) pour
vérifier que les exceptions sont attrapées; l'analyse statique pour la
détection des fonctions vulnérables (CharToOEM est un cas typique de
recopie de tampon dans la pile) et l'agencement de code à risque; et
BinDiff pour les analyses différentielles des versions corrigées et non
corrigées.
Par des exemples concrets Christian Harbulot de l'École De Guerre
Économique rappelle que les enjeux de la manipulation de l'information
ne sont jamais quantifiés mais sont au moins aussi importants que la
SSI. Les gens se font duper ou sont les victimes de la désinformation
et l'appareil juridique est peu opérant, lui-même victime.
Nicolas Fischbach (Colt) et Cédric Blancher (EADS) ont montré à quel
point les erreurs du passé ne servaient pas de leçon, par exemple
l'attaque LAND qui revient sous Windows XP, le fait que dans IPv6 en
plus des problèmes intrinsèques à IPv6 se retrouvaient la totalité des
bogues d'IPv4. Puis ils ont exposé des failles de protocoles réseau,
par exemple depuis que les câbles ethernet servent à alimenter les
équipements en courant électrique comme les téléphones en VoIP, et que
cela se demande dynamiquement avec le protocole CDP de Cisco, il est
possible d'envoyer du courant dans des équipements qui ne sont pas
prévus à cet effet et de faire un déni de service matériel.
Michel Morvan a présenté quelques failles de sécurité des téléphones
mobiles : problèmes de mise à jour du firmware, falsification de l'IMEI
(identifiant unique qui permet de lutter contre le vol), et des erreurs
d'implémentation par exemple dans l'interprétation des SMS ou l'oubli
de la demande de confirmation à l'utilisateur avant de faire un appel
téléphonique. Par contre, les virus pour téléphones mobiles sont des
preuves de concept de laboratoire qui fonctionnent mal, uniquement sur
quelques versions précises de certains téléphones, et servent à la
promotion de fournisseurs d'anti-virus.
Halvar Flake a exposé sa méthode de comparaison de logiciels sans le
source, en désassemblant le code exécutable et en le modélisant sous
forme graphique. En comparant un code avant et après application d'un
correctif de sécurité, cela lui permet de plus facilement déceler où
était la vulnérabilité qu'une analyse linéaire du code objet.
Gaël Delalleau a expliqué comment la mémoire était organisée d'un
système d'exploitation à un autre, d'une version à une autre, en
fonction du processeur et comment elle était gérée. Cela permet
d'apprécier les possibilités de dépassement et savoir comment s'y
prendre pour développer des logiciels d'exploitations des
vulnérabilités. Il souligne le peu d'intérêt des développeurs de noyaux
pour les mécanismes de protection, comme dans Linux 2.6 où il n'y a ni
gap, ni page de garde pour éviter la superposition de la pile et du
tas. Dans ce cas il faudra appliquer volontairement grsecurity
(http://www.grsecurity.net/) dans sa version pour le noyau 2.6 pour
avoir un mécanisme de protection.
Bruno Kerouanton a exposé en quoi consistait le terme "Secure" dans les
cartes mémoire Secure Digital (SD-Card), qui permettent "d'acheter la
musique en toute sécurité" d'après leur marketing. Il y a dans chaque
carte SD-Card une électronique avec un module de protection de
copyright, qui élève le prix de la carte, avec chiffrement, génération
de nombres aléatoires, gestion de certificats de type PKI avec
mécanisme de révocation, etc. Ces mécanismes non documentés ont été mis
au point et implémenté par le consortium 4C (IBM, Intel, Toshiba,
Matshushita) dans le but d'apporter des protections de type CPRM
(Content Protection Remouvable Media 4) et SDMI (Secure Digital Music
Initiative). Ainsi, il y a dans chaque carte et dans chaque lecteur MP3
à la fabrication une authentification unique sérialisée, et révocable à
la demande par le consortium, notamment en cas de tentatives
d'ingénierie inverse. La SD-Card n'est pas une simple carte mémoire
mais bel et bien un système embarqué complet comportant des fonctions
évoluées payées par l'acheteur mais dont il n'a pas connaissance. Le
consortium 4C a également déployé cette technologie CPRM sur d'autres
média tels que les DVD enregistrés et vierges, chacun d'entre eux
incluant la sérialisation dans une zone cachée, et chaque lecteur ou
graveur de DVD possédant un même module de protection. La révocation
des clefs invalides (sous-entendu pirates) se fera simplement par
distribution de nouveaux DVD enregistrés dans les canaux de
distribution classiques. A l'insu de l'usager, ceux-ci contiendront
outre le film, les certificats de révocation qui seront automatiquement
lus par les lecteurs. Les protocoles de transfert vidéo tels que DVI v2
et HDMI (High Definition Media Interface) présents sur les lecteurs DVD
et écrans/projecteurs de dernière génération possèdent dès à présent
eux aussi ce même mécanisme de PKI et de chiffrement du signal vidéo
entre les deux équipements, après authentification mutuelle via
certificats numériques.
Nicolas Grégoire a rappelé que lorsqu'un système d'authentification
utilise un clavier virtuel à l'écran pour éviter d'être victime de
l'écoute du clavier ou minimiser les risques d'hameçonnage, il était
toujours possible de réaliser une capture graphique pour subtiliser le
mot de passe de l'utilisateur à son insu.
Christophe Devine a présenté Aircrack, son outil d'attaque des réseaux
sans-fil, qui permet de rejouer des paquets et de faire des attaques
par dictionnaire sur WPA.
(http://www.cr0.net:8040/code/network/)
Cédric Blancher a présenté WifiTap, son outil d'injection de trafic
Wifi. Il permet de contourner PSPF de Cisco qui interdit les
communications entre stations associées en injectant des trames
ethernet en usurpant la borne.
(http://sid.rstack.org/index.php/Wifitap)
Eric Detoisien a présenté SSLug qui permet de réaliser les attaques de
l'intercepteur sur les postes de travail utilisant Internet Explorer.
(http://valgasu.rstack.org/tools/sslug.zip)
Nicolas Ruff (EADS) a rappelé que beaucoup d'implémentations de
Bluetooth avaient des erreurs de programmation et s'est fait appeler
par un des 3 téléphones vulnérables trouvé parmi ceux des participants.
Il conclue en rappelant que la pile Bluetooth de Microsoft est
vulnérable à un ping de la mort, et que si un jour quelqu'un trouve un
shellcode sur Windows CE, les assistants personnels WindowsCE seront
piratables par Bluetooth.
Maricela Pelegrin-Bomel, RSSI chez Bouygues telecom, a présenté son
organisation de la sécurité en militant pour l'emploi des femmes en
sécurité notamment pour faire passer le message et contrôler.
Renaud Deraison (Tenable) a énuméré toutes les méthodes permettant
d'attaquer Nessus (le faire ralentir, lui mentir, le faire planter,
forcer la consommation de bande passante, même renvoyer des paquets mal
formés pour pirater Nessus, etc) et montré que sa marge de manoeuvre
pour s'en protéger demeurait limitée.
La SSTIC permet à la profession d'avoir un très bon concentré des
menaces en cours et du degré d'expertise actuel. La prochaine édition
se déroulera toujours à Rennes du 31 mai au 2 juin 2006.
Voir aussi la synthèse de Bruno Kerouanton qui a sélectionné d'autres
aspects : http://bruno.kerouanton.net/papers/sstic05-bk-synthese.doc
Plus d'informations sur la liste de diffusion newsletter