[Newsletter HSC] N°33 - Mai 2007
Newsletter d'information de HSC
newsletter at hsc-news.com
Jeu 3 Mai 11:46:27 CEST 2007
========================================================================
HSC Newsletter -- N°033 -- mai 2007
========================================================================
"Le centre est immobile : la roue avance, son centre ne bouge pas."
[Jacques Chaban-Delmas]
--[ Sommaire ]----------------------------------------------------------
1. Partenariat avec PTC au Luxembourg
2. Prochaines formations HSC
3. Agenda des interventions publiques
4. Tutoriels à Alger
5. Tutoriels à Ouagadougou
6. 4ièmes Rencontres Sécurité / SecurIT 2007
7. Club ISO 27001
7. JSSI de l'OSSIR
8. Nouveautés du web HSC
9. Veille en vulnérabilités HSC
10. Conférence Black Hat Europe 2007 - Julien Raeis
11. La sécurité "au jour d'aujourd'hui" - Hervé Schauer
Veille en vulnérabilités
--[ 1. Partenariat avec PTC au Luxembourg ]-----------------------------
La société P&T Consulting (PTC) va organiser et commercialiser à
Luxembourg les formations certifiantes HSC ISO 27001 Lead Auditor, ISO
27001 Lead Implementer (ou Responsable d'implémentation ISO 27001)
et sécurité des réseaux sans fil.
P&T Consulting (PTC) est une société de services et de technologies
basée à Luxembourg et experte dans les processus de conseil, de
développement et d'intégration des nouvelles technologies de l'information
et de la communication. Elle est détenue majoritairement par l'Entreprise
des Postes et Télécommunications du Luxembourg (l'EPT), et par
l'investisseur lyonnais WilBri investissements.
Les prochaines formations organisées par PTC à Luxembourg :
ISO 27001 Lead Auditor ............ : 24 au 28 septembre
Responsable d'implémentation ISO 27001 : 12 au 16 novembre
Programme complet et plan des formations disponible sur www.ptc.lu
Pour vous inscrire, contactez Christian Schiltz : seminars at pt-consulting.lu
Téléphone : +352 621 266 286 ---- Télécopie : +352 40 24 34
--[ 2. Prochaines formations HSC ]--------------------------------------
Des places sont disponibles sur les modules suivants :
- Paris
Essentiel de la série des normes ISO27001 : 11 mai
Responsable d'implémentation ISO 27001 : 21 au 25 mai
ISO 27001 Lead Auditor .............. : 4 au 8 juin
DNS ............................... : 11 juin
Postfix et anti-spam .............. : 12 juin
Sécurité Internet/Intranet ........ : 13 et 14 juin
Fonctionnement des PKI .............. : 15 juin
Sécurité de la Voix sur IP ........ : 18 juin
ISO 27001 Lead Auditor .............. : 18 au 22 juin
Responsable d'implémentation ISO 27001 : 25 au 29 juin
ISO 27001 Lead Auditor .............. : 2 au 6 juillet
- Toulouse
ISO 27001 Lead Auditor ............ : 4 au 8 février 2008
- Rennes
ISO 27001 Lead Auditor ............ : 10 au 14 septembre
- Strasbourg
Essentiel de la série des normes ISO27001 : 11 juin
- Lyon
ISO 27001 Lead Auditor ............ : 2 au 7 décembre
- Luxembourg
ISO 27001 Lead Auditor ............ : 24 au 28 septembre
Responsable d'implémentation ISO 27001 : 12 au 16 novembre
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
Pour les formations sécurité des réseaux sans fil à Genève contactez
Aurélie Pernet, sales at idsa.ch
Tél : +41 22 879 8550 -- Fax : + 41 22 793 8632
http://www.idsa.ch/
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations certifiantes).
Retrouvez le détail de nos formations (plan pédagogique, agenda) sur
http://www.hsc.fr/services/formations/index.html.fr
--[ 3. Agenda des interventions publiques ]-----------------------------
- 15 mai 2007 : Groupe méthodes du Clusif - Paris
"La norme ISO 27005 (Analyse de risques)" - Hervé Schauer
- 15 mai 2007 : Club EBIOS - Paris
"La norme ISO 27005 (Analyse de risques)" - Hervé Schauer
- 22 mai 2007 : Journées de la Sécurité des Systèmes d'Information
organisées par l'OSSIR - Paris
"Web 2.0 : plus d'ergonomie... et moins de sécurité ?" - Renaud Feil
http://www.ossir.org/jssi/jssi2007/
- 22 mai 2007 : Journées Logiciels libres et sécurité
organisées par le CETRIL - IBM, tour Descartes, Paris La Défense
"Détection de machines Linux compromises" - Louis Nyffenegger
- 23 et 24 mai 2007 : Eurosec 2007 - Paris
"Comment se préparer à l'audit ISO 27001 ?" - Alexandre Fernandez
Table ronde : "La certification des entreprises est-elle une source
d'économie ?" - Hervé Schauer
- 30 mai 2007 et 1er juin 2007 : Symposium sur la sécurité des technologies
de l'information et des communications 2007 (SSTIC'07) - Rennes
"Découverte de réseaux IPv6" - Nicolas Collignon
"Evolution des attaques de type 'Cross Site Request Forgery' - Renaud
Feil et Louis Nyffenegger
http://www.sstic.org/
- 7 juin 2007 : CISO Executive Summit 2007 organisé par MIS Training
Institute - Nice, Hotel Negresco
"ISMS and ITIL" - Hervé Schauer
http://www.mistieurope.com/default.asp?Page=65&ProductID=6180
- 21 juin 2007 : 4èmes Rencontres Sécurité 2007 organisées par WEA - Paris
Introduction et animation de la journée - Hervé Schauer
http://www.rencontresecurite.com/
- 5 juillet 2007 : CSO Interchange organisé par Qualys - Lille
ITIL et ISO 27001 - Alexandre Fernandez
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 4. Tutoriels à Alger ]----------------------------------------------
NT2S (www.nt2s.com) organise des formations à la sécurité assurées
par HSC à l'hôtel Sofitel d'Alger (Algérie).
- "Sécurité des serveurs et applications web" - Olivier Dembour
29 et 30 mai
http://www.hsc.fr/conferences/NT2S06_securite_web.html.fr
- "Sécurité Windows" - Benjamin Arnault
26 et 27 juin
http://www.hsc.fr/conferences/NT2S06_securite_windows.html.fr
- "Mise en oeuvre des normes ISO 27001 et ISO27002" - Hervé Schauer
16 et 17 juillet
http://www.hsc.fr/conferences/NT2S07_iso27001.html.fr
La norme ISO 27001 est le nouveau numéro de l'ISO17799
Organisateur : NT2S (http://www.nt2s.com/)
Prix de chaque formation : 57 000 dinars
Contact : Sofiane Saadi, nt2s at yahoo.fr -- Tel : +213 21 67 86 14
--[ 5. Tutoriels à Ouagadougou ]----------------------------------------
REFLEX (www.reflex.bf) organise deux tutoriels assurés par HSC à
l'hôtel Splendid de Ouagadougou (Burkina Faso).
- "Sécurité Windows" - Benjamin Arnault
2 au 4 juillet 2007
Prix : 395 000 FCFA HT
http://www.hsc.fr/conferences/Reflex06_securite_windows.html.fr
- "Sécurité des réseaux sans fil" - Jérôme Poggi
5 et 6 juillet 2007
Prix : 265 000 FCFA HT
http://www.hsc.fr/conferences/Reflex06_securite_sansfil.html.fr
Ouagadougou est accessible depuis Abidjan, Bamako, Bobo-Dioulasso,
Cotonou, Dakar, Lomé et Niamey. Profitez-en.
Organisateur et inscriptions : REFLEX (http://www.reflex.bf/)
Contact : Zeziman Millogo, reflex at fasonet.bf
Tél : +226 50 33 17 80 ou +226 33 52 33 -- Fax : +226 50 33 17 80
Retrouvez l'agenda de nos tutoriels sur
http://www.hsc.fr/conferences/index.html.fr
--[ 6. 4èmes Rencontres Sécurité le 21 juin ]---------------------------
8h45 : Introduction
Hervé Schauer, Hervé Schauer Consultants
9h15 : Mesurer les risques pour mieux maîtriser la sécurité globale du SI
Jean-Claude Hujeux, Atos Origin
9h45 : La technologie threatseeker, Dominique Loiselet, Websense
10h15 : Virus, spyware, spam, phishing, etc : évolution des menaces
Michel Lanaspèze, Sophos
10h50 : Pause café
11h10 : Sécurité des communications intersites et multi-sites
Robin Ferrière, Nerim
11h40 : Administration & Supervision de la Sécurité
Philippe Birot, UBIqube
12h10 : Spam image, dénis de service, PC zombies, spywares, etc
Sébastien Commérot, Ironport
12h45 : Cocktail déjeunatoire
14h00 : Sessions techniques
Lieu : Paris Coeur Défense, niveau -1, métro La Défense. Entrée gratuite.
Inscription obligatoire sur http://www.rencontresecurite.com/register.php
--[ 7. Club ISO 27001 ]-------------------------------------------------
Attention : changement des dates de réunions du club !
Le club ISO 27001 ouvre un groupe à Toulouse animé par Anne Mur
(On'X Edelweb) et Dominique Pourcellie (CNAM-TS) : première réunion le
vendredi 1er juin à 14 heures.
À l'issu de la dernière réunion, un groupe de travail sur la
mutualisation ITIL / ISO 27001 va être lancé.
Programme de la prochaine réunion du groupe à Paris le jeudi 14
juin 2007 :
- Olivier Lemoine (ADISTAR, www.adistar.com) présentera son
expérience suite à leur certification ISO 27001 obtenue récemment
- Thierry Jardin (Unilog Management) présentera son expérience
d'implémentation d'un SMSI certifiable 27001 en utilisant les
projets des normes ISO 27003, ISO 27004 et ISO 270005
Entrée libre avec inscription préalable obligatoire en envoyant un
message à reunion at club-iso27001.fr pour pouvoir participer à cette
réunion.
Pour toutes les informations, lieux de réunion, programmes détaillés,
consultez http://www.club-iso27001.fr
--[ 8. Programme de la JSSI de l'OSSIR le 22 mai ]----------------------
La journée de la Sécurité des Systèmes d'Information organisée par
l'OSSIR, aura lieu le mardi 22 mai 2007 à Paris à la FIAP Jean Monnet,
30 rue Cabanis 75014 Paris (http://www.fiap.asso.fr/guide/plan_acces.htm)
sur le thème : "Le SI 2.0 : une évolution ou un bouleversement... pour
la sécurité ?"
Le programme est le suivant :
8h30 : Accueil des participants et café offert
9h10 : Bienvenue dans le Web 2.0, Nicolas Ruff, EADS
10h40 : L'impact du Web 2.0 sur les aspects juridiques, Eric Barbry, avocat
11h40 : Table Ronde, animée par Michel Miqueu (CNES), Nouveaux services,
nouvelles (ir)responsabilités ?
14h00 : Le Web 2.0 : plus d'ergonomie... et moins de sécurité ?, Renaud
Feil, Hervé Schauer Consultants
14h40 : L'opérateur passe au 2.0: la sécurité des réseaux de nouvelle
génération, Nicolas Fischbach, COLT
15h50 : Blogs, un concentré de problèmes à l'usage de tous ?, Cédric
Blancher, EADS
16h30 : Passé l'injection, Ajax entre en action, Philippe Humeau, NBS
17h10 : Clôture de la journée et discussions
Inscription : 75 euros, et 15 euros pour les adhérents de l'OSSIR.
L'inscription est validée après réception du règlement ou du bon de
commande par courrier postal adressé à l'OSSIR, 45 rue d'Ulm, 75230 Paris
cedex 05, en prévenant de votre envoi à jssi at ossir.org
L'OSSIR ne peut pas être jointe par télécopie ou par téléphone.
Le programme détaillé est disponible sur :
http://www.ossir.org/jssi2007/programme-jssi2007.html
--[ 9. Nouveautés du web HSC ]------------------------------------------
- "La prolifération des Botnets" par Guillaume Lehembre
Editorial du numéro 5/2007 (24) de Hakin9, publié en mai 2007.
http://www.hsc.fr/ressources/articles/hakin9_edito_botnets/
- Brève "Installation et fonctionnement de mod_security2" par Louis
Nyffenegger
http://www.hsc.fr/ressources/breves/modsecurity2.html
- "ISO 27001, la norme de demain ? Quel rôle dans notre stratégie en
sécurité des systèmes d'information ?" par Hervé Schauer
Présentation effectuée à la conférence Netfocus à Lille, le 26 avril
2007.
http://www.hsc.fr/ressources/presentations/netfocus07-iso27/index.html
--[ 10. Veille en vulnérabilités HSC ]----------------------------------
1258 02-04-2007 Vulnerabilité 0day dans la gestion des curseurs animés
1259 10-04-2007 Exécution distante de code dans CA BrightStor ARCserve
Backup
1260 10-04-2007 Multiples vulnérabilités dans les produits IBM Tivoli
1261 10-04-2007 Multiple vulnérabilités dans les produits Kaspersky
Anti-Virus et Internet Security Suite
1262 10-04-2007 Multiples vulnérabilités dans la bibliothèque SAP RFC
1263 11-04-2007 Vulnérabilités critiques dans le serveur Microsoft
Content Management - MS07-018 (KB925939)
1264 11-04-2007 Multiples vulnérabilités dans Microsoft Windows
(MS07-017, 019, 020, 021, 022)
1265 13-04-2007 Vulnérabilité dans les RPC du serveur DNS Windows
(KB935964)
1266 13-04-2007 Exécution de code arbitraire dans Aircrack-NG
1267 13-04-2007 Multiples vulnérabilités dans Cisco Wireless LAN
Controller, Cisco Wireless Control System et Cisco
Lightweight Access Points
1268 17-04-2007 37 vulnérabilités corrigées par Oracle
1270 23-04-2007 Elevation locale de privilèges dans les produits
Check Point Zone Labs
1269 20-04-2007 Exécution distante de code arbitraire dans IBM Tivoli
Monitoring Express
1271 25-04-2007 Multiples vulnérabilités dans Asterisk
--[ 11. Conférence Black Hat Europe 2007 - Julien Raeis ]---------------
La septième édition de Black Hat Europe s'est tenue les 29 et 30
mars derniers à Amsterdam. Durant ces deux jours, des conférenciers se
sont succédé sur quatre thèmes différents répartis en deux sessions
parallèles : couche matérielle, infrastructure et IDS, attaque et
défense, et sécurité applicative. Jeff Moss, fondateur des conférences
Black Hat, a ouvert le bal en soulignant une hausse significative à la
fois du nombre d'inscrits, mais aussi du nombre de propositions de
présentations. Il a par ailleurs indiqué que l'édition 2008 de Black
Hat Europe pourrait se voir adjoindre une troisième session en parallèle
des deux premières, et donc proposer 50% de présentations en plus. Selon
ses propres termes : "Knowledge is spreading" ("le savoir se répand").
Cette année, la "keynote" d'introduction a été préparée et présentée par
Roger Cumming, directeur du CPNI (Centre for the Protection of National
Infrastructure), équivalent du CERTA outre-Manche. Il insiste sur le
fait que les menaces qui pèsent sur les États ont bien changé : après la
Seconde Guerre mondiale, les britanniques craignaient les attaques
nucléaires russes, puis les attentats terroristes de l'IRA. Maintenant,
la sécurité nationale est en grande partie régie par la sécurité des
réseaux électroniques. Pour le CNPI, la meilleure façon de garantir une
bonne protection est d'allier prévention et répression. Ceci est
réalisé à la fois par des mesures de détection (d'anomalies par exemple),
mais aussi par des réponses rapides et formalisées, en faisant appel à
de nombreux spécialistes, qu'ils viennent indifféremment du privé ou du
public.
Grand habitué des conférences de par le monde, et notamment de Black Hat,
Adam Laurie (The Bunker Secure Hosting Ltd.) a à nouveau pu montrer ses
talents d'orateur sur un sujet décidemment à la mode : les RFID. Ces
circuits électroniques ont en effet bien commencé à envahir notre
quotidien à travers de nombreuses applications pratiques : remplacement
des codes barres dans les supermarchés, puces d'identification pour les
animaux, gestion des droits d'accès pour les transports en commun (dont le
pass Navigo en France), et surtout passeports électroniques. C'est donc
par le biais d'un ordinateur sous Linux, de matériel acheté sur Internet
pour environ 200 euros, et d'un logiciel développé en Python (disponible
en téléchargement sur http://rfidiot.org/) qu'Adam Laurie a fait la
démonstration d'un copieur de puces RFID, capable de clôner à peu près
n'importe lequel de ces systèmes, dont le passeport électronique, sans
intervention d'un quelconque fer à souder. Il a par ailleurs souligné que
les industriels utilisant des puces RFID ne devraient pas entièrement
s'adosser à la sécurité offerte par le matériel, puisque celle-ci est déjà
en partie contournable, mais aussi bien penser leur propre implémentation
de la sécurité, au niveau protocolaire et cryptographique.
Philippe Langlois présente ensuite un outil de scan de ports des réseaux
SCTP : SCTPScan. Après une brève introduction concernant la sécurité des
réseaux téléphoniques, rappelant l'époque des "Beige Boxes" et autres
"Blue Boxes", Philippe Langlois nous décrit l'utilisation de SCTP,
protocole de transport sur IP, utilisé pour faire la liaison entre le
monde TCP/IP et le monde SS7. Avec l'arrivée de SIGTRAN, les opérateurs
télécom vont sans aucun doute utiliser de plus en plus SCTP, d'où
l'importance de disposer d'outils permettant rapidement d'obtenir des
diagnostics en cas de soucis ou d'attaque. SCTPScan est disponible en
téléchargement sur http://sctp.tstf.net/index.php/SCTPscan, contrairement
aux outils équivalents des sociétés de conseil et d'expertise en sécurité
comme HSC qui n'ont pas été publiés.
Sans doute les auteurs de la conférence la plus appréciée de Black
Hat Europe 2007, Vipin et Nitin Kumar (NVLabs) ont présenté leur propre
version de Boot Root (outil développé par Derek Soeder et Ryan Permeh de
eEye Security et présenté à Black Hat 2005), nommée VBootKit, et
permettant de compromettre un système utilisant Windows Vista. VBootKit
intercepte l'interruption 13h, destinée aux accès disques, et à chaque
étape de la chaîne de démarrage sécurisée de Windows Vista, va
désactiver toutes les protections jusqu'à aller installer un rootkit dans
le noyau du système d'exploitation de Microsoft.
Cette technique nécessite, bien entendu, que la machine puisse être
redémarrée et accédée physiquement et qu'un système de démarrage
alternatif y soit installé (un CD-ROM par exemple), mais elle permet de
façon rapide d'obtenir des droits SYSTEM sur une machine équipée de
Vista. À noter qu'aucune vulnérabilité de Windows Vista n'a été ici
démontrée, et que cette technique existait déjà auparavant. D'ailleurs,
Microsoft y a déjà répondu avec l'utilisation couplée de son système
BitLocker et des puces TPM, installées dans de nombreux ordinateurs
aujourd'hui. Une version pour Windows 2000/XP/2003 de BootKit est
téléchargeable librement sur http://www.nvlabs.in/?q=node/14.
Dans un registre similaire, Sun Bing a fait part de ses avancées dans le
développement d'un rootkit (nommé VMBR, nouvelle version de SubVirt),
faisant usage des technologies de virtualisation désormais parties
intégrantes des derniers processeurs Intel et AMD. À la différence de
Joanna Rutkowska, qui elle travaille sur la détection de tels rootkits,
Sun Bing désire se concentrer sur des techniques d'attaque, pour prouver
qu'il est bien possible de cacher complètement à un système qu'il est
virtualisé, en élisant le rootkit au rang d'hyperviseur de virtualisation.
Il a par ailleurs démontré que sa solution fonctionnait également avec des
logiciels de paravirtualisation tels que ceux de VMware.
Joel Eriksson, Karl Janmar et Christer Öberg (BitSec), ont ensuite
présenté leurs techniques d'exploitation de failles noyau, sous FreeBSD,
NetBSD et Windows (faille GDI, corrigée avec MS07-017). L'intérêt
d'exploiter des failles au niveau du noyau des systèmes d'exploitation
est double : cela permet à la fois d'exécuter du code de façon
privilégiée, mais aussi la plupart du temps de passer outre les diverses
protections offertes pour contrer l'exécution des codes malveillants. La
première des trois démonstrations exploite une vulnérabilité dans la
couche 802.11 de FreeBSD. En envoyant des paquets de type "Beacons",
façonnés correctement et sous condition de l'utilisation de WPA, il est
possible de générer un dépassement de pile dans le noyau de FreeBSD 6.0
et ainsi d'exécuter du code à distance, sans la moindre intervention de
la machine cible. Ce type de vulnérabilité n'est pas sans rappeler les
diverses failles présentées au cours des derniers mois dans les pilotes
des cartes Wi-Fi. Joel Eriksson a ensuite fait la démonstration de
l'exploitation d'une faille locale dans le noyau Windows (XP et 2000),
corrigée très récemment par Microsoft après trois années sans mise à
jour. Cette faille était pourtant utilisée dans la nature par quelques
vers, notamment en Asie, afin de gagner des privilèges pour exécuter la
charge utile.
Pour clôturer la première journée de conférences, Ollie Whitehouse
(Symantec), a réalisé une étude des mécanismes de protection de la pile
sous Windows Vista (/GS et ASLR). Après avoir rappelé que ces techniques
ont été longues à voir le jour dans les systèmes Microsoft, et non sans
heurts, Ollie Whitehouse souligne que l'implémentation faite dans Vista
est plutôt de bonne facture, notamment au niveau du rendu aléatoire du
tas, sans pour autant être exempte de biais. En effet, certaines fonctions
n'assurent pas une répartition uniforme des adresses qu'elles retournent
dans l'ensemble de l'espace d'adressage (c'est le cas pour HeapAlloc() par
exemple), permettant ainsi, avec une probabilité assez élevée notamment
sur les systèmes 32 bits, de les deviner. Aussi, pour activer ces
protections, il faut que les binaires aient été spécifiquement construits
avec les options adéquates, ce qui est le cas pour la plupart des
exécutables et bibliothèques fournies par Microsoft, mais beaucoup plus
rare dans le cadre de programmes provenant de tierces parties.
La deuxième journée a commencé par une intervention de David Litchfield,
qui présente une nouvelle classe de vulnérabilités et une nouvelle méthode
d'attaque dans les systèmes Oracle, utilisant des curseurs. Les curseurs
sont des sortes de pointeurs vers des informations ou des requêtes dans
une base de données. Ceux-ci sont identifiés par des numéros unique sous
Oracle, et peuvent être utilisés, en faisant référence à ce nombre, tant
qu'ils ne sont pas fermés (au sens descripteur de fichier du terme). Sous
Oracle, les procédures PL/SQL sont exécutées avec les privilèges du
créateur de la procédure, et non pas avec ceux de l'exécutant (principe
inverse du bit setuid sous Unix). Ce comportement peut ainsi permettre la
compromission d'un système Oracle si une procédure tournant sous des
privilèges élevés (SYS ou SYSTEM par exemple), vient à être exécutée par
un utilisateur non privilégié. Le principe de l'attaque est alors
d'intercepter le numéro d'un curseur non fermé, utilisé par une procédure
PL/SQL définie par un utilisateur privilégié. Seule technique de défense :
créer un trigger interceptant certaines instructions (DDL) provenant
d'utilisateurs non privilégiés et les interdire.
Mariano Nunez di Croce (CYBSEC) a ensuite démontré de nombreuses failles
dans SAP et notamment dans SAP RFC (Remote Function Calls) qui est au
coeur des communications entre les composants des systèmes SAP. Exploitant
diverses techniques éprouvées (Man-in-the-middle, utilisation de
paramètres non documentés, réglages et mots de passe par défaut, etc.),
Mariano Nunez di Croce présente son outil sapyto, destiné aux tests
d'intrusion d'infrastructures SAP. Utilisant le contexte d'un utilisateur
R/3, il est ainsi possible d'attaquer les serveur R/3 ou les passerelles
SAP en utilisant des fonctions tout à fait légitimes, mais détournées de
leur utilisation principale, et ainsi exécuter des instructions sur les
serveurs SAP. À noter aussi que de nombreuses failles de conception
entourent les vulnérabilités montrées par Mariano Nunez di Croce, comme la
possibilité de se faire passer pour une passerelle SAP sans avoir besoin
de s'authentifier auparavant, ou le fait de pouvoir rediriger le trafic et
le modifier à la volée au passage.
Toujours dans le domaine des bases de données et des applicatifs lourds,
Cesar Cerrudo et Esteban Martinez Fayo (Argeniss) ont créé une porte
dérobée et un rootkit pour Oracle et Microsoft SQL Server. Insistant sur
le fait que les données représentent de plus en plus d'intérêt pour les
pirates, et notamment du fait de leur valeur au marché noir, il est très
important d'y porter une attention toute particulière du point de vue de
la sécurité. Sur les deux systèmes de gestion de bases de données ciblés,
le principe est le même : après avoir obtenu des droits privilégiés au
moyen d'un code d'exploitation, l'attaquant installe une porte dérobée
permettant la connexion à distance (vers la machine de l'attaquant par
exemple, afin de contourner les pare-feu de périmètre) ainsi que
l'exécution de commandes sur le système sous-jacent. Puis le rootkit est
installé, cachant alors la présence de la porte dérobée dans la liste des
processus Oracle, ainsi que celle des connexions distantes.
Dans un tout autre genre, l'équipe francophone du projet ERESI propose une
architecture de débogage complète pour Linux, incluant un debogueur
scriptable, un désassembleur, et un module permettant de générer des
graphes d'appels et de flux d'exécution pour les binaires étudiés. Le
langage de script développé pour l'occasion permet l'injection de code
dans le processus analysé afin, par exemple, de réaliser des opérations de
fuzzing, sans besoin de ré-exécuter sans cesse le programme cible. De plus,
il est possible de donner des types à des instructions, ou de créer ses
propres symboles, afin de faciliter le plus possible l'analyse et le
débogage d'un exécutable.
Enfin, Kostya Kortchinsky (ImmunitySec.) revient sur les difficultés
d'écrire des codes d'exploitation universels sur les systèmes Windows. En
effet, ceux-ci sont disponibles dans de nombreuses langues (plus de 40 à
l'heure actuelle) et chaque version de patch rend le système différent,
nécessitant alors un code d'exploitation adapté au contexte. Au moyen des
diverses traductions fournies par Microsoft pour son système
d'exploitation, notamment dans les réponses à certaines requêtes MSRPC, il
est alors possible de déterminer avec une bonne probabilité la langue du
système cible, et ainsi utiliser automatiquement la bonne version du code
d'exploitation. Cependant, certaines traductions posent problème : les
réponses des versions arabes, hébraïques et anglaises de nombreux messages
sont souvent identiques empêchant alors toute exécution automatique de
code.
--[ 11. La sécurité "au jour d'aujourd'hui" - H. Schauer ]--------------
Veille en vulnérabilités
L'application des correctifs de sécurité est une des règles les plus
efficaces pour éviter les incidents de sécurité. L'oubli ou le non respect
de cette règle est le principal problème dans de nombreux environnements.
La première étape consiste à être informé de ce qui est utile, sans être
noyé par une masse de messages. Ce qu'il faut n'est pas l'exhaustivité,
c'est l'information utile, celle qui demande une action de la part des
exploitants, celle qui impose l'application du correctif de sécurité,
donc des avis adaptés à son environnement et à sa réalité, et le strict
nécessaire.
Un avis clairement indiqué par une lecture instantanée et simple :
- le degré de gravité ;
- le système d'exploitation ou l'application concerné ;
- la description du problème ;
- la parade ;
- le risque induit par cette vulnérabilité ;
- l'existence ou non d'une exploitation connue ;
- l'avis original.
De nombreux rapports montrent des failles nouvelles, des '0day',
des attaques ciblées et une industrialisation des attaques : voir
les éditoriaux de Guillaume Lehembre dans Hakin 9 ou le rapport suisse
de la centrale d'enregistrement et d'analyse pour la sûreté de
l'information MELANI. Dans ce contexte, sachez revenir aux bases de
la sécurité, et industrialiser la collecte et l'application des avis
de sécurité, comme l'indique la mesure de sécurité A.12.6.1 de l'ISO
27001, au meilleur coût financier et humain, avec un traitement
simple et pragmatique.
Les éditoriaux dans Hakin 9 : http://www.hsc.fr/presse/publications.html.fr
Le rapport de la centrale d'enregistrement et d'analyse MELANI :
http://www.melani.admin.ch/dokumentation/00123/00124/01019/index.html?lang=fr
Le service de veille d'HSC : http://www.hsc.fr/services/veille.html.fr
Plus d'informations sur la liste de diffusion newsletter