[Newsletter HSC] N°37 - Septembre 2007
Newsletter d'information de HSC
newsletter at hsc-news.com
Mar 4 Sep 14:00:40 CEST 2007
========================================================================
HSC Newsletter -- N°037 -- septembre 2007
========================================================================
"L'école devrait toujours avoir pour but de donner à ses élèves une
personnalité harmonieuse, et non de les former en spécialiste."
[Albert Einstein]
--[ Sommaire ]----------------------------------------------------------
1. Nouveauté : formation "Conduite pratique des Tests d'Intrusion"
2. Formations ISO 27001 à Bruxelles et Rennes
3. Prochaines formations HSC
4. Agenda des interventions publiques
5. HSC à Infosecurity France 2007
6. Appel à communication conférence "SMSI et normes ISO 27001"
7. Club 27001
8. Nouveautés du web HSC
9. Veille en vulnérabilités HSC
10. La conférence Blackhat 2007 - L. Nyffenegger & J. Poggi
11. La sécurité "au jour d'aujourd'hui" - S. Milani
L'âge d'or des Tests d'Intrusion externes est-il de retour ?
12. La sécurité "au jour d'aujourd'hui" - R. Marichez
Une rentrée bien remplie pour la messagerie électronique
--[ 1. Formation "Conduite pratique des Tests d'Intrusion" ]------------
HSC lance en janvier 2008 une formation de 5 jours, assortie de travaux
pratiques, enseignant la méthodologie et les techniques les plus efficaces
pour réaliser un test d'intrusion.
Certains clients furent surpris quand, en 1995, HSC a proposé pour la
première fois d'évaluer de manière réaliste la sécurité de leurs
systèmes informatiques par une approche intrusive. Aujourd'hui,
l'intérêt des tests d'intrusion n'est plus à démontrer :
- Ils permettent de découvrir des vulnérabilités majeures (et parfois
triviales à exploiter) que les scanners de vulnérabilités ne voient pas
toujours.
- Ils montrent comment un attaquant peut progresser au sein du réseau
cible, en tirant parti de vulnérabilités dans des systèmes peu protégés
pour compromettre par rebond des systèmes critiques.
- Par rapport à un audit de configuration, ils mettent plus facilement
l'accent sur les vulnérabilités réellement exploitables par les attaquants.
- Ils sont le moyen le plus convaincant de mettre la sécurité d'un
système informatique "à l'épreuve des faits" et permettent d'obtenir
des résultats auxquels les directions générales sont sensibles.
- Enfin, ils permettent de répondre aux exigences de nombreuses normes
qui recommandent ou imposent d'en réaliser régulièrement (par exemple
les chapitres A.15.2.2 et A.12.6.1 de la norme ISO 27001 ou le
standard PCI de Visa).
La formation proposée par HSC permet à chaque stagiaire d'apprendre et
de mettre en pratique les techniques d'intrusion les plus récentes sur
les principales technologies du marché (systèmes d'exploitation, bases
de données, applications Web, etc.). La formation se veut pragmatique :
chaque stagiaire dispose d'un ordinateur pour réaliser les travaux
pratiques utilisant les techniques enseignées sur des plates-formes de
tests du laboratoire HSC.
Cette formation s'adresse :
- aux experts en sécurité, consultants ou auditeurs internes dont le
rôle est de vérifier la sécurité des systèmes informatiques ;
- aux administrateurs systèmes ou réseaux, chefs de projets, ou
responsables sécurité voulant mieux comprendre les techniques des
attaquants pour ainsi mieux sécuriser leurs systèmes.
La première session aura lieu à Paris du 21 au 25 janvier 2008.
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 2. Formations ISO 27001 à Bruxelles et Rennes ]---------------------
Profitez et faites profiter des premières formations HSC à Bruxelles
et Rennes. Il est toujours beaucoup moins coûteux d'assister à des
formations dans sa ville. Ces formations se déroulent dans un hôtel du
centre ville, facilement accessible. Elles sont sanctionnées par une
certification reconnue dans le monde entier, délivrée par LSTI, organisme
de certification accrédité par le COFRAC.
- Bruxelles
ISO 27001 Lead Implementer ........ : 1 au 5 octobre
ou Responsable d'implémentation ISO 27001
- Rennes
ISO 27001 Lead Auditor ............ : 26 au 30 novembre
ou Responsable d'audit ISO 27001
Les tarifs sont identiques à ceux de Paris et toutes les réductions, pour
le suivi de plusieurs formations ou l'inscription de plusieurs participants,
s'appliquent à ces formations.
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 3. Prochaines formations HSC ]--------------------------------------
Des places sont disponibles sur les modules suivants :
- Paris
Sécurité Internet/Intranet ........ : 13 et 14 septembre
ISO 27001 Lead Auditor ............ : 17 au 21 septembre
Sécurité des réseaux et des transmissions : 24 au 26 septembre
Sécurité des serveurs et applications web : 27 et 28 septembre
Sécurité Unix et Linux ............ : 1 et 2 octobre
Sécurité Windows .................. : 3 et 4 octobre
Sécurité des réseaux sans fil ..... : 5 octobre
DNS ............................... : 8 octobre
Postfix ............................ : 9 octobre
Lutte contre le spam .............. : 10 octobre
ISO 27001 Lead Auditor ............ : 15 au 19 octobre
Session accessible aux qualiticiens
Responsable d'implémentation ISO 27001 : 22 au 26 octobre
ISO 27001 Lead Auditor ............ : 5 au 9 novembre
Réalisation pratique des Tests d'Intrusion: 21 au 25 janvier 2008
- Bruxelles
Responsable d'implémentation ISO 27001 : 1 au 5 octobre
- Genève
Sécurité des réseaux sans fil ..... : 15 novembre
Sécurité de la VoIP ............... : 29 novembre
- Luxembourg
ISO 27001 Lead Auditor ............ : 24 au 28 septembre
Responsable d'implémentation ISO 27001 : 12 au 16 novembre
- Lyon
ISO 27001 Lead Auditor ............ : 3 au 7 décembre
- Rennes
ISO 27001 Lead Auditor ............ : 26 au 30 novembre
- Toulouse
ISO 27001 Lead Auditor ............ : 4 au 8 février 2008
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Christian Schiltz :
seminars at pt-consulting.lu -- +352 621 266 286 -- Fax : +352 40 24 34
http://www.ptc.lu/
Pour les formations à Genève contactez Aurélie Pernet :
sales at idsa.ch -- +41 22 879 8550 -- Fax : + 41 22 793 8632
http://www.idsa.ch/
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations certifiantes).
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc.fr/services/formations/index.html.fr
--[ 4. Agenda des interventions publiques ]-----------------------------
- 11 septembre 2007 : OSSIR - Paris
"Compte-rendu des conférences Blackhat et Defcon 2007"
Louis Nyffenegger et Jérôme Poggi
http://www.ossir.org/
- 20 septembre 2007 : Club 27001 - Paris
"Présentation du brouillon de norme ISO 27005 sur l'appréciation des
risques" - Hervé Schauer
http://www.club-27001.fr/reunions.html
- 28 septembre 2007 : Groupe Clusir-Est - Strasbourg
"Sécurité des bases de données" - Louis Nyffenegger
http://www.clusir-est.fr/
- 11 octobre 2007 : Les Assises de la sécurité 2007 - Monaco
Remise du second prix de l'Innovation par Hervé Schauer à Livo
Technologies - Hervé Schauer
http://www.lesassisesdelasecurite.com/
- 12 octobre 2007 à 16h15 : Les Assises de la sécurité 2007 - Monaco
Animation de l'atelier du Club 27001 - Hervé Schauer et Mauro Israel
http://www.lesassisesdelasecurite.com/
- 2 novembre 2007 : VoIP state of the art : technical, economic & legal
issues organisé par le centre ISIS (Interdisciplinary Studies in
Information Security) de l'EPFL (Ecole Polytechnique Fédérale de
Lausanne) en collaboration avec le réseau de compétences de l'HES-SO,
(Hautes Ecoles Spécialisées de la Suisse Occidentale) - Lausanne,
Suisse
"VoIP : révolution ou dévolution ?" - Hervé Schauer
http://ic.epfl.ch/page62546-en.html
- 8 novembre 2007 : Conférence Droit de l'informatique et des nouvelles
technologies par le cabinet Alain Bensoussan Avocats, organisé par
Publi-News - Paris
"Management de la sécurité" - Hervé Schauer
http://lien.dolist.net/id.asp?l=56226-5008136-70393-807-0
- 21 novembre 2007 : Tutoriel organisé dans le cadre d'Infosecurity
France 2007 par Reed Exhibition - CNIT, Paris La Défense
"Sécurité de la voix sur IP" - Guillaume Lehembre et Olivier Dembour
http://www.hsc.fr/conferences/reed2007_securite_voip.html.fr
- 21 novembre 2007 : Conférence "SMSI et normes ISO 27001" organisée dans
le cadre d'Infosecurity France 2007 par le Club 27001
Animation par Hervé Schauer et Eric Doyen
- 22 novembre 2007 : Tutoriel organisé dans le cadre d'Infosecurity
France 2007 par Reed Exhibition - CNIT, Paris La Défense
"Sécurité des Webservices" - Louis Nyffenegger
http://www.hsc.fr/conferences/reed2007_securite_webservices.html.fr
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 5. HSC à Infosecurity France 2007 ]--------------------------------
HSC sera présent pour la seconde fois à Infosecurity France 2007 au
CNIT Paris La Défense sur son stand E.3 (anciennement le Salon de la
Sécurité Informatique, cf. http://www.infosecurity.com.fr/).
- Un consultant HSC et le responsable commercial étudieront vos projets.
- Profitez d'une offre exclusive salon : réduction de 10% sur le
catalogue 2007 des formations commandées sur place.
- Un tirage au sort permettra aux professionnels de la SSI de
gagner des lots exceptionnels.
Comme chaque année, HSC propose 2 tutoriels en exclusivité :
-> "Sécurité de la Voix sur IP" le 21 novembre
http://www.hsc.fr/conferences/reed2007_securite_voip.html
Ce tutoriel d'une journée présentera les aspects sécurité des
différents protocoles sans revenir sur les bases protocolaires.
Il abordera les risques de certains softphones très répandus.
De bonnes pratiques en vigueur seront détaillées afin d'implémenter
des architectures sécurisées, des attaques VoIP pratiques et
réalisables seront décrites tout comme les moyens de s'en protéger.
Ces exemples d'attaques s'appuieront sur l'expérience de tests
d'intrusion effectués par HSC.
-> "Sécurité des Webservices" le 22 novembre
http://www.hsc.fr/conferences/reed2007_securite_webservices.html
Exceptionnel ! Comprenez de manière exhaustive et concrète les
mécanismes qui sont derrière "SOA" ou webservices, et leurs
implications pour la sécurité. Le sujet sera traité de manière
indépendante des fournisseurs, en détaillant les technologies
une par une avec des exemples et des démonstrations.
Organisateur : Reed Exhibitions
Prix pour chaque tutoriel : 650 euros HT
Contact pour vous inscrire : Sandrine.Jean at reedexpo.fr
Tél : +33 (0)147 566 545 -- Fax : +33 (0)147 566 547
--[ 6. Appel à communication conférence "SMSI et normes ISO 27001" ]----
Dans le cadre d'Infosecurity France (http://www.infosecurity.com.fr/)
à Paris-la-Défense, le Club 27001 (http://www.club-27001.fr/) organise
le 21 novembre 2007 sa première conférence annuelle autour des normes
ISO 27001.
Voici les thèmes sur lesquels nous attendons des propositions, sans que
ceux-ci ne soient exhaustifs :
- Retours d'expérience dans l'utilisation des normes
. Mise en oeuvre d'une des normes
. Usage sans certification
. Organisations certifiées
. Retours d'expérience à l'étranger
- Mise en oeuvre d'un SMSI
. ISO 27003, reprise de l'existant
. Comment engager la direction générale
. Mise en place d'audits internes
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
ISO 20000-1 / ITIL, BS25599, CobiT, SoX, Bâle II, LSF, RGE de la DGME, etc
. Mutualisation, opposition, complémentarité, déclencheur, ...
- Appréciation des risques pour un SMSI
. ISO 27005
. Place des méthodologies existantes (EBIOS, Mehari, Octave, ...)
. Implication des métiers
. Calcul du risque
- Construction d'indicateurs ou de métriques pour un SMSI
. ISO 27004
. Liens avec d'autres référentiels
- Audits de SMSI
. Expérience d'auditeurs et d'audités
- Applications sectorielles :
ISO 27011 (Telecommunications), ISO 27799 (Santé), ...
. Utilité et usage du référentiel appliqué à un métier
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
Les propositions doivent faire part d'un retour d'expérience pratique
et ne doivent pas être la présentation d'une offre de service, d'un
produit ou plus généralement d'une solution commerciale. Le comité de
programme sera sensible à l'aspect pratique des propositions. La durée
des interventions sera de 30 à 45 minutes.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page de l'intervention avec un plan de celle-ci
Calendrier
- 7 septembre 2007 : date limite de réception des soumissions
- 21 septembre 2007 : notification aux auteurs
- 6 octobre 2007 : publication du programme
- 16 novembre 2007 : réception des présentations
- 21 novembre 2007 : conférence
Le comité de programme est composé des membres suivants du Club 27001 :
- Nicolas Andreu, Devoteam
- Gérôme Billois, Solucom
- Yann Bourja, Atos Origin
- Eric Doyen, Crédit Immobilier
- Stéphane Geyres, Ernst & Young
- Mauro Israel, Consultant
- Thierry Jardin, Unilog Management
- Jean-François Louapre, AG2R
- Anne Mur, Edelweb/On'X
- Dominique Pourcellié, CNAM-TS
- Charles-Alexandre Sabourdin , Fontaine Consultants
- Hervé Schauer, HSC
Pour en savoir plus, consultez www.club-27001.fr
--[ 7. Club 27001 ]----------------------------------------------------
La prochaine réunion du Club 27001 à Paris sera le jeudi 20 septembre
2007 à 14h00, chez Solucom. Le programme est le suivant :
- "Dérivatifs de la méthode EBIOS pour l'élaboration de politiques
sectorielles de sécurité, dans le cadre de la mise en oeuvre d'un
SMSI" par Francois Zamora, Orange-France Telecom
- "Présentation du brouillon de norme ISO 27005 sur l'appréciation
des risques" par Hervé Schauer, HSC
Entrée libre avec inscription préalable obligatoire en envoyant un
message à reunion at club-27001.fr pour pouvoir participer à cette
réunion.
La réunion suivante sera remplacée par la conférence organisée par
le Club 27001 du mercredi 21 novembre 2007 à Paris dans le cadre du
salon Infosecurity France. Réservez votre date.
Pour toutes les informations, lieux de réunion, programmes détaillés,
consultez http://www.club-27001.fr/ .
--[ 8. Nouveautés du web HSC ]-----------------------------------------
- Article "Évolution des attaques de type Cross Site Request Forgery"
par Louis Nyffenegger et Renaud Feil
http://www.hsc.fr/ressources/articles/sstic07_csrf/index.html.fr
- Article "À l'insu de mon plein gré" Louis Nyffenegger
http://www.hsc.fr/ressources/articles/hakin9_edito_CSRF/index.html.fr
- Article "La gestion de risque pour la série de normes ISO 2700x"
par Hervé Schauer
http://www.hsc.fr/ressources/articles/risque_iso2700x/index.html.fr
- Ouvrage "Wireless Networking Wi-Fi and WiMAX", ISBN 81-314-0821-3, chapitre
Wi-Fi security WEP, WPA and WPA2, ISBN 81-314-0821-3 - Guillaume Lehembre
http://www.hsc.fr/presse/publications.html.fr#ouvrages
--[ 9. Veille en vulnérabilités HSC ]-----------------------------------
1301 09-08-2007 Multiples vulnérabilités sur les équipements VoIP de
Cisco
1302 09-08-2007 Multiples vulnérabilités CISCO IPv6, NHRP et SCP
1303 10-08-2007 Exécution de code arbitraire a distance sur HP
OpenView
1304 13-08-2007 Multiples vulnérabilités locales avec élévation de
privilège dans plusieurs commandes AIX 5
1306 16-08-2007 Multiples vulnérabilités dans Microsoft Windows
1305 13-08-2007 Vulnérabilités avec possibilité de compromission
distante dans les anti-virus Symantec
1307 16-08-2007 Vulnérabilités dans le client Cisco VPN
1308 20-08-2007 Multiples vulnérabilités dans IBM DB2
1309 21-08-2007 Débordement de pile dans EMC Legato Networker
--[ 10. La conférence Blackhat 2007 - L. Nyffenegger & J.Poggi ]--------
Comme chaque année, la grand-messe de la sécurité informatique a eu
lieu à Las Vegas : Blackhat USA 2007. La semaine a commencé par les
"Trainings" (sessions de formation) et a été suivie des "Briefings"
(conférences). Cette année pas moins de 8 présentations étaient réalisées
simultanément dans les grandes salles de bal de l'hôtel Caesar Palace.
La première journée a débuté dans la salle "Kernel Down", par la
présentation sur l'exploitation de la vulnérabilité IPv6-OpenBSD
d'Alfredo Ortega (Core Security). Cette vulnérabilité a été le théâtre d'une
houleuse suite de messages entre Core Security et l'équipe d'OpenBSD sur
la possibilité d'exploitation de ce problème. En effet, l'équipe
d'OpenBSD avait tout d'abord déclaré cette vulnérabilité comme un simple
déni de service, permettant de générer une boucle infinie du noyau et a
pendant longtemps refusé de reconnaître la moindre possibilité
d'exploitation. Après avoir expliqué comment rentrer dans la partie de
code vulnérable en envoyant des paquets ICMPv6, Alfredo Ortega a expliqué
comment il était possible d'exploiter cette faille. Tout l'attrait de
cette conférence portait en effet sur comment, malgré toutes les
protections présentes sur OpenBSD, les développeurs de Core Impact ont
réussi à prendre la main sur le système. Leur exploitation consiste
en la modification d'un appel système, afin de rechercher un processus
ayant des droits d'administration (root). Le code d'exploitation "s'insère"
ensuite dans ce processsus afin de prendre le contrôle de la machine.
Cette conférence s'est clôturée sur un effet d'annonce sur la possibilité
d'une troisième vulnérabilité exploitable sur le système OpenBSD, toujours
sur la partie IPv6 du noyau, au niveau du traitement des en-têtes de
routage ("routing-headers"). L'équipe de Core Security continue à
travailler sur l'exploitation de cette vulnérabilité.
Une des premières présentations de la journée était celle de David
Litchfield (NGS Software) et auteur du site http://www.databasesecurity.com/
Il a rappelé que l'étude après incident des bases données ne dispose pas
d'outil d'analyse même pas pour les logiciels Oracle. Ceux-ci sont
périodiquement ciblés par des correctifs de sécurité couvrant souvent
plus de 50 failles mais dans le monde de la production, les instances
Oracle ne sont que trop peu souvent mises à jours. Il existe donc une
multitude de possibilités de compromettre une base Oracle. Il est donc
nécessaire de connaître parfaitement les possibilité de journalisation
et quels sont les fichiers, zones mémoire et structures disque où retrouver
de l'information. Tout cela a été détaillé lors de cette conférence, et D.
Litchfield a annoncé la prochaine sortie de F.E.D.S (Forensic Examiners
Database Scalpel) un outil d'aide à la recherche d'information après
incident.
Kevvie Fowler, d'Emergis, à lui aussi présenté l'analyse post-incident,
mais sur les bases Microsoft SQL Server. Les mêmes conclusions en sont
ressorties que lors de la conférence de D. Litchfield : peu d'outils,
complexité des structures, informations réparties dans plusieurs fichiers,
journaux, et surtout les informations les plus intéressantes sont uniquement
présentes en mémoire. Il faut donc avoir une copie de la mémoire avant l'arrêt
du serveur. De plus il a insisté sur le fait qu'une analyse de la donnée
morte est énormément moins productive que sur un système vivant.
Dans leur conférence "Hacking Intranet Websites from the outside",
Jeremiah Grossman et Robert Hansen ont réalisé un rappel sur toutes les
attaques réalisables grâce à un navigateur à l'insu de l'utilisateur :
Cross Site Request Forgeries, Scan de port, récupération de l'historique,
en donnant à chaque fois des exemples d'exploitation avec ou sans Javascript,
montrant ainsi que la désactivation du Javascript n'est pas suffisante comme
méthode de prévention.
Durant sa conférence sur la sécurité des webservices (déjà réalisée
à Syscan), Brad Hill (iSEC Partners) a rappelé que la complexité est
bien trop souvent l'ennemie de la sécurité et ainsi que WS-security
présente, de par sa complexité, des vulnérabilités comme il a pu en
publier récemment sur les implémentations de Sun. Il a rappelé que dans
la plupart des cas l'utilisation de SSL suffit à sécuriser un webservice
et permet de moins exposer celui-ci à Internet : dans le cas de
WS-security, le service sera toujours accessible par des clients non
authentifiés et l'authentification ne se fera qu'au moment de la
réception du message, alors qu'avec une authentification SSL client, un
client non authentifié n'aura aucune information sur le service.
Ensuite, HD Moore et Valsmith ont réalisé une présentation sur un
retour d'expérience de leurs tests d'intrusion avec pour principal objectif
de montrer que la plupart du temps, il n'est pas nécessaire d'exploiter une
vulnérabilité pour prendre la main sur le système. Ainsi, après quelques
présentations sur des problèmes que l'on retrouve souvent lors de tests
d'intrusion, ils ont montré comment voler les empreintes d'un utilisateur
sans aucune vulnérabilité mais uniquement en faisant une attaque du singe
intercepteur ("Man-in-the-Middle") grâce à la création d'un relais ("proxy")
WPAD. Malheureusement, aucune information n'a été révélée sur les futures
possibilités de l'outil Metasploit.
Une conférence très attendue était "IsGameOver(), anyone ?" réalisée
par Joanna Rutkowska et Alexander Tereshkin. Cette présentation a été
découpée en deux parties, une sur la possibilité ou non de charger des
modules malveillants dans le noyau Vista et l'autre sur le fameux "rootkit"
qui avait fait sensation l'an dernier : BluePill. L'année passé, une
méthode avait été présentée, permettant de charger un pilote de périphérique
("driver") non-signé en utilisant l'écriture des pages sur les disques dans
Vista 64 bits, par l'intermédiaire du fichier d'échange. Cependant cette
vulnérabilité a depuis été corrigée par Microsoft. La question était donc,
est-il toujours possible d'insérer un module malveillant dans le noyau
Vista ? La réponse est oui. Joanna a ainsi présenté deux méthodes pour
charger un tel module, tout d'abord par l'utilisation de pilotes
vulnérables : deux pilotes vulnérables (ATI et NVIDIA) ont pu être utilisés
pour charger un troisième module ; le "shellcode" utilisé pour exploiter
la vulnérabilité embarque alors un chargeur de pilotes, ce qui permet de
facilement charger d'autres modules sans pour autant que celui-ci soit
signé. Bien sûr, si l'un de ces pilotes n'est pas présent, il est toujours
possible de l'installer (car ce pilote-là est signé) et de l'exploiter
ensuite pour charger le code d'exploitation ("rootkit"). La deuxième
technique de chargement consiste juste à utiliser la voie légale, avoir
la possibilité de signer un pilote ne requiert en effet que quelques
télécopies et $250. Ainsi, la compagnie de Joanna (Invisible Things Labs)
a pu acheter un de ces certificats sans aucune vérification. Une personne
malveillante pourra ainsi, pour $250 uniquement, installer des "rootkits"
noyau.
La deuxième partie de la présentation portait sur la détection de
BluePill. En effet, le grand thème de conférence du moment est comment
détecter simplement BluePill, le fameux rootkit utilisant la virtualisation
matérielle. Après avoir démonté la quasi-totalité des techniques
(différences de temps, taux d'erreurs dans le cache, utilisation d'un
serveur NTP externe, ...), Joanna a avoué que la technique présentée par
Barbosa à Syscan 2007 (2 semaines auparavant) permettait ("pour le moment",
elle recherche encore une solution) de détecter ce rootkit sur des
processeurs multi-core. Ainsi, en lançant plusieurs processus simultanément
et en utilisant plusieurs techniques permettant de mettre en avant des
différences de temps entre un processus subissant l'effet de l'hyperviseur
(le rootkit) et un processus ne subissant pas cet effet, il est possible
de détecter un système "Bluepillé" d'un système sain.
iSEC Partners à présenté une bonne conférence sur les vulnérabilités
des outils d'analyse post-incident tels que SleuthKit et Encase (de la
société Guidance). Leur travail a été de tester la robustesse de ces deux
produits en utilisant des fuzzers. Leurs recherches ont démontré que ces
deux produits (les plus utilisés) souffraient de failles pouvant
compromettre le poste de l'enquêteur, cacher des informations, et
corrompre l'analyse. iSEC Partners a proposé des correctifs pour SleuthKit
(actuellement présents dans la version 2.09). En revanche, pour Encase, cela
a été plus difficile, d'autant plus que la société Guidance a réfuté
certaines des failles. Mais le plus important à été la démonstration que la
fonctionnalité d'étude à distance du produit EEE (Encase Enterprise Edition)
ne pouvait pas garantir avec certitude que les données analysées étaient les
bonnes et pas celles d'un autre système mis pour tromper l'expert.
Cette conférence a été assez humoristique, car lors de cette présentation,
nous avons pu observer les enquêteurs utilisant EEE s'agiter et réaliser la
portée de ces révélations.
La conférence sur l'exploitation des signaux RDS, un peu dans l'esprit
"Old-school hacking", réalisée par Andrea Barisani et Daniele Bianco a
permis de mettre en avant les lacunes en terme de sécurité de ce système.
Ils ont réussi à injecter des données erronées dans les signaux RDS
et ainsi faire afficher des informations à un système de navigation ou
modifier l'itinéraire fourni par celui-ci. Ce type de falsification peut
d'ailleurs affecter un grand nombre de systèmes grâce à une antenne, d'un
diamètre de deux mètres, ramenée expressément d'Italie (le "Sterilizer").
Scott Tender a réalisé une intervention sur la recherche de
vulnérabilités, en particulier dans les applications Web, après avoir
montré que même la plus petite application présente trop de branchements
("if... else"), rendant la couverture de tous les cas impossible. Il a
alors montré comment il est possible d'appliquer des algorithmes
génétiques pour choisir quels tests doivent être réalisés afin de trouver
le plus rapidement possible des vulnérabilités et ce en évitant les faux
positifs. Le principal problème est ensuite d'automatiser la détection
de la vulnérabilité : pour cela, leur technique consiste à rechercher
des messages d'erreur ou à comparer le résultat d'une requête classique
et d'une requête avec l'exploitation testée. Une technique très
prometteuse même si l'absence d'implémentation laisse un peu sur sa faim.
Les Fuzzers étaient particulièrement à l'honneur cette année entre
utilisateurs et détracteurs.
Pedram Amini et Aaron Portnoy ont présenté leur Framework de fuzz Sulley,
développé en Python. La principale limitation d'un Fuzzer est le manque
de possibilité de gérer des états et de retrouver comment une suite
d'événements permet de trouver une vulnérabilité ; Sulley permet de gérer
ce type de scénario.
Un avantage aussi est l'automatisation de la gestion d'une machine
virtuelle : Sulley permet de relancer automatiquement une machine virtuelle
grâce à l'utilisation de l'API VMware. Un outil très prometteur qui permet
à ses auteurs de partir en week-end en découvrant des vulnérabilités.
Comme beaucoup l'on écrit cette nouvelle édition de BlackHat a un
peu déçu par le manque de nouveautés et par certaines "célébrités" qui
réutilisent trop souvent les mêmes présentations. Cependant, des conférences
comme celle de Joanna Rutkowska ne sont réalisées qu'à BlackHat et d'autres
sont d'une telle qualité que BlackHat reste une référence dans le monde
de la sécurité.
--[ 11. La sécurité "au jour d'aujourd'hui" - Stéphane Milani ]---------
L'âge d'or des Tests d'Intrusion externes est-il de retour ?
Un test d'intrusion externe (TI) [1], c'est-à-dire depuis Internet,
est une prestation technique entièrement réalisée depuis l'extérieur
du réseau et visant à simuler une situation réelle d'attaque. Le but
étant de compromettre, depuis l'extérieur, la sécurité d'un système
d'information, aux moyens d'une "intelligence humaine", ou plus
rarement mettre en situation une équipe d'exploitation pour tester
ses réactions.
Les tests réalisés par HSC sont entièrement manuels et se déroulent
de la façon suivante :
- recherche d'informations ;
- identification des machines et des services ;
- vérification des autorisations reçues du client ;
- recherche de vulnérabilités ;
- exploitation de failles applicatives ;
- compromission d'une machine et attaque par rebond.
Alors qu'il était coutume de dire que la majorité des vulnérabilités
découvertes et exploitées étaient passées du niveau système au niveau
applicatif (XSS, injections SQL, etc.), HSC constate depuis 1 an le
retour d'erreurs de configurations et de la possibilité d'obtenir des
shells sur ces machines, ceci pouvant résulter au "rootage" complet
des machines (prise de contrôle avec des droits d'administration).
Loin de l'exploitation de 0-days, qui ne sont pas utilisés lors
d'un TI, la compromission des machines est possible simplement du fait
d'erreurs de configuration et par manque de certaines règles de base
nécessaires à l'administration de tels systèmes. Les erreurs les plus
courantes étant : des systèmes pas à jour, des possibilités de parcours
de l'arborescence (directory transversal), des interfaces de configuration
accessibles depuis Internet, des logins et mots de passe par défaut,
du WebDAV sans authentification, des relais HTTP en entrée (relais
inverses) mal configurés, des possibilités de dupliquer les bases de
données, etc.
Des méthodologies et des modèles conceptuels ouverts, tels que
ceux de l'ISSAF, de l'OSSTMM, de l'OWASP, de VulnerabilityAssessment,
ou privés, permettent une bonne base de départ pour un TI mais les
résultats ne doivent pas s'arrêter là. Fournir un simple tableau de
résultats est insuffisant et correspond finalement à un test de
vulnérabilités et non à un TI qui illustre réellement l'imagination
d'un utilisateur malveillant et son degré de malignité. Un attaquant
désirant réellement s'introduire dans un Système d'Information (SI)
profitera d'un ensemble d'erreurs qui, mis dans un ordre précis,
constituera son ou ses scénarios d'attaque. La compromission d'un SI
depuis l'extérieur est rarement le fait d'une seule erreur de
configuration ou d'une seule vulnérabilité mais d'un tout qui regroupé
et assemblé dans un ordre précis permettra l'intrusion. Un TI se doit
donc d'illustrer le ou les différents scénarios possibles d'attaques
(TIMTOWTDI) et même si la méthodologie reste sensiblement la même,
la découverte des failles et leurs éventuelles exploitations restent
des cas uniques qui ne sont pas automatisables.
Les conséquences d'une compromission pour un hébergeur mutualisé,
par exemple, s'imposent d'elles-mêmes mais cela pousse à aller plus
loin et à s'interroger sur les conséquences d'une attaque réussie sur
un réseau de contrôle industriel de type SCADA.
Les systèmes de supervision, de contrôle et d'acquisition des
données (SCADA - Supervisory Control and Data Acquisition) ont
récemment été rendus à nouveau populaires auprès du grand public par
un "blockbuster" américain, 4ème du nom et où le héros se bat contre
des terroristes informatiques attaquant les différentes infrastructures
essentielles d'un pays. Ce film fait dans le grand spectacle mais fait
finalement prendre conscience des risques d'interdépendances entre les
réseaux et du "tout IP". Les secteurs névralgiques de ces infrastructures
que sont les transports, les systèmes de distribution de l'énergie
électrique, les réseaux de stockage et de distribution de l'eau, les
services d'égouts, le transport du gaz naturel, etc. expriment la
nécessité pour un pays de veiller à leur sécurité et de les protéger.
Ces attaques sont certes très sophistiquées à réaliser depuis l'extérieur
mais nul n'est à l'abri d'une erreur de configuration ou d'une
vulnérabilité non corrigée et permettant à un attaquant d'avoir accès
au réseau interne et d'atteindre ensuite le réseau des systèmes de
contrôles (HMI, bases de données, contrôleurs, etc.).
Les USA prennent notamment en compte ces risques très aux sérieux
et ont créé, via le DHS (Department of Homeland Security), le programme
CSSP (Control Systems Security Program) afin de protéger les systèmes
de contrôle dans les infrastructures critiques de leur pays :
http://www.us-cert.gov/control_systems/
Le MS-ISAC (Multi-State Information Sharing and Analysis Center) fournit
également des mécanismes pour élever le niveau de sécurité de ces
infrastructures : http://www.msisac.org/scada/
Afin d'évaluer la sécurité de leurs produits/matériels, les fabricants
de systèmes SCADA peuvent utiliser des "fuzzers" SCADA, du type "Sulley
Fuzzer", afin de trouver de nouvelles vulnérabilités. Les utilisateurs
peuvent rechercher des vulnérabilités publiques, via des plugins Nessus
par exemple, sur les protocoles Modbus, DNP3, OPC et ICCP :
http://www.digitalbond.com/index.php/2006/12/12/scada-plugins-for-nessus-are-released/
Ces différents protocoles pouvant fonctionner au-dessus de TCP/IP,
les équipes de sécurité informatiques doivent donc travailler de concert
avec les équipes sécurité des systèmes de contrôles afin de sécuriser les
réseaux SCADA et déployer une architecture correcte permettant de se
prémunir des attaques. De manière générale, les mêmes règles de sécurité
que les réseaux d'entreprise doivent être appliquées sur les réseaux des
systèmes de contrôles. L'institut SANS fournit notamment des modèles
qui peuvent être une bonne base de départ pour l'application de
politiques de sécurité sur ces réseaux :
http://www.sans.org/resources/policies/
Les points les plus importants à prendre en compte, au niveau du
réseau des systèmes de contrôle, étant certainement les suivants : les
accès des fournisseurs, les RTU (Remote Terminal Unit), les connexions
depuis le réseau d'entreprise, une segmentation du réseau, plusieurs DMZ,
des règles de pare-feu entre les segments réseaux qui soient correctement
configurées y compris pour le trafic sortant.
Le but ici, dans ce contexte de FUD, n'est pas de crier au loup mais
de sensibiliser à nouveau et de considérer ces risques avec sérieux.
Ce petit exposé se termine par une citation qui est issue de "L'Art
de la guerre" de Sun Tzu et qui se prête très bien aux TI :
"Se rendre invincible dépend de soi, rendre à coup sûr l'ennemi
vulnérable dépend de lui-même."
[1] http://www.hsc.fr/services/ti.html
--[ 12. La sécurité "au jour d'aujourd'hui" - Raphaël Marichez]---------
Une rentrée bien remplie pour la messagerie électronique
Plus que jamais, cette rentrée 2007 est l'occasion de passer des heures
à dépiler sa boîte aux lettres électronique. Et plus que jamais, la rentrée
2007 nous invite à redécouvrir la touche "indésirable" pour de nombreux
messages.
Comme chaque été, les veilleurs en vulnérabilités s'attendaient à une
recrudescence du nombre de vers et de chevaux de Troie. L'été est en effet la
période propice au déploiement des derniers vers et chevaux de Troie. Vacances
de tous y compris des administrateurs systèmes, les mises à jour de sécurité
et les tests de mise en production sont repoussés, voire inexistants... Avec
pour juillet et août, 22 avis de sécurité HSC touchant les produits des
abonnés au service de veille, l'été 2007 n'a pourtant rien eu d'exceptionnel.
Las, les spammeurs ont bien compris la stratégie de leurs confrères. Les
solutions anti-spam nécessitant une remise en cause perpétuelle, l'été 2007
leur est est apparu comme une aubaine. Et, il faut bien l'admettre, les
spammeurs ont admirablement transformé l'essai. Du jamais vu de mémoire de
relais de messagerie. Les efforts conjugués des éditeurs de vers et des
spammeurs ont fait du dégât. En trois mois, les tentatives d'envois de mail
ont triplé voire quadruplé (voir les statistiques [1] d'un serveur de trafic
moyen d'environ 30.000 mails acceptés par jour - qui montre ici l'efficacité
de son greylisting conditionnel).
Ces trois derniers mois ont également vu apparaître les dernières
innovations. Après l'arrivée massive de pièces jointes applicatives (RTF,
PDF, PDF déguisés en FDF : PDF avec des formulaires modifiables, classeurs
Excel, documents Word, documents compressés...), les spammeurs semblent
avoir dégainé l'artillerie lourde en août, en coopération avec les éditeurs
de chevaux de Troie. En réalité il s'agit simplement d'analyse de marché.
Plus besoin de vulnérabilité logicielle. Grâce au nombre d'internautes et de
spams, c'est la vulnérabilité humaine qui est visée. Un clic sur un lien
malveillant sur 1 million de spams envoyés et le contrat est rempli : vous
remettez les clés de votre poste de travail à l'un des réseaux mondiaux
collaboratifs (botnets).
Dans vos boîtes aux lettres, dès la rentrée, l'hameçonnage (phishing)
contre le site monster.com a connu une arrivée très remarquée par la
critique littéraire, avec des conséquences graves sur la confidentialité des
données personnelles. De quoi faire réfléchir avant de laisser ses
coordonnées sur les sites de mises en relations. Les cartes postales
virtuelles ("e-cards", "greetings cards") vous redirigent dorénavant vers
l'installation d'un exécutable, mais on regrette un manque d'action et
d'effets spéciaux. L'invitation à se connecter à un compte sécurisé alléchant
n'a eu qu'un succès d'estime : l'intrigue était certainement trop complexe. La
palme d'or de l'ingénierie sociale récompensera vraisemblablement le choix de
la simplicité : le spam ultracourt proposant de découvrir la dernière vidéo
YouTube à la mode est bluffant. Bien sûr, pas de vidéo, mais le débit montant
de la connexion réseau de la victime risque d'être rapidement saturé. Le seul
regret, comme toujours, est l'absence d'intérêt des auteurs pour le public
francophone.
Le contenu des spams n'est pourtant pas révolutionnaire : le succès
provient de la technique de propagation. On parle désormais de "storm worm".
Ce n'est pas le ver des sables qui déclenche les tempêtes de Dune, mais
bien le ver informatique qui se réplique à grande vitesse. Les adresses
utilisées évoluent : du listage d'un carnet d'adresses récupéré sur un poste
infecté, on passe à la tentative par force brute. Le temps n'est plus un
problème lorsque l'on dispose d'une force de frappe moderne. Ce choix
aveugle de la cible s'accompagne d'un effet secondaire : là où les
internautes français recevaient majoritairement du spam francophone, les
spammeurs inondent aujourd'hui n'importe quel pays. L'accalmie
franco-française de ce début 2007 (visible sur le graphe [1] de janvier à
mai, mais non détectée par les spécialistes américains ou britanniques comme
Sophos), grâce au blocage en sortie du port SMTP chez Free et Wanadoo,
n'aura été que de courte durée.
Un beau lundi matin, nous découvrons plusieurs nouveaux amis qui veulent
tous nous faire découvrir une vidéo de YouTube ou qui nous font l'honneur de
partager leurs souvenirs de vacances via une carte postale virtuelle. Oh,
les techniques de lutte n'ont pas à évoluer : que les spams soient image,
PDF, ou carte postale, les bases d'empreintes se révèlent toujours
efficaces... pourvu qu'elles soient à jour. Et c'est là le hic. Les
alarmistes qui ont crié au loup lors de l'arrivée des spams PDF n'ont pas de
raison de s'arrêter. La solution est davantage pragmatique mais demande
de nouvelles procédures : mettre à jour ses anti-spams régulièrement.
Le filtre anti-spam faisait déjà partie intégrante du système
d'information. De plus en plus, il deviendra un élément actif au même titre
que l'anti-virus ou le contrôleur de domaine : mal configuré, il diminuera
l'efficacité de l'entreprise, parfois sans même que les utilisateurs n'en
aient conscience. Laissé à l'abandon, il s'avèrera inutile sous une échéance
de quelques mois voire de quelques semaines. Où l'on découvre que le moteur
d'anti-virus ClamAV peut aussi servir à filtrer des hameçonnages (phishing)
ou des spams PDF... [2] Mais la décision de modifier le pouvoir filtrant
d'un élément sensible du S.I. n'est pas à prendre à la légère. Pour les
quelques mails dangereux qui traverseront immanquablement le filtre et qui
exploiteront les faiblesses humaines, la formation et la sensibilisation
deviennent indispensables.
Que nous réserve cette rentrée ? Certainement de nombreux et désagréables
effets secondaires dus à la panique des services informatiques. Les filtrages
vont évoluer dans de nombreuses directions à la fois pendant quelques
semaines, et sans nul doute certains généreront des faux positifs en nombre
(blocage des PDF ou des messages contenant des logos d'entreprise...). Des
solutions magiques (mécanismes de challenge-response le plus souvent) sont
régulièrement proposées mais auraient des effets désastreux à grande échelle.
S'il y a une chose à faire dans ces conditions, c'est bien de ne pas
réinventer la roue : d'autres personnes plus chevronnées se sont certainement
déjà posé les mêmes questions. La difficulté majeure réside dans la
définition du spam et du non-spam : seul l'utilisateur est compétent pour
juger de ce qui est un spam, aussi chaque organisation aura besoin d'un
réglage qui lui est spécifique. Et si vous semblez être à l'abri des spams,
demandez-vous si vous recevez bien tous les messages de vos partenaires...
Depuis ses débuts, HSC apporte sa contribution à la lutte anti-spam. La
formation technique Postfix HSC [3] étoffe sa partie anti-spam dès la
session d'octobre 2007, en montrant les différentes techniques qui se
cachent derrière chaque appellation, leur intégration à Postfix, leurs
avan tages, inconvénients, et leur efficacité d'après le retour d'expérience
HSC.
[1] http://www.hsc.fr/~marichez/mail.php.png
[2] http://sanesecurity.blogspot.com/
[3] http://www.hsc.fr/services/formations/postfix.html.fr
Plus d'informations sur la liste de diffusion newsletter