[Newsletter HSC] N°61 - Septembre 2009
Newsletter d'information de HSC
newsletter at hsc-news.com
Mar 1 Sep 15:44:09 CEST 2009
========================================================================
HSC Newsletter -- N°061 -- septembre 2009
========================================================================
"Le sage ne s'afflige jamais des maux présents,
mais emploie le présent pour en prévenir d'autres."
[William Shakespeare]
--[ Sommaire ]----------------------------------------------------------
1. Editorial
2. Le saviez vous ? La question
3. Compte-rendu de BlackHat USA 2009
4. Audit de votre "Plan de continuité et de maintien Grippe A"
5. HSC aux Assises de la Sécurité à Monaco
6. Nouvelle formation : "Juridique de la SSI"
7. Appel a Communication : GSdays Journées Francophones de la Sécurité
8. Agenda des interventions publiques
9. Veille en vulnérabilités HSC
10. Nouveau web "www.hsc-formation.fr"
11. Nouveau : E-Learning ISO27001 et PHP
12. Prochaines formations HSC
13. Actualité des associations : Club 27001, Club PCA et OSSIR
14. Le saviez vous ? La réponse
--[ 1. Editorial - Hervé Schauer ]--------------------------------------
HSC a cru vivre un instant de célébrité cet été, en recevant une
injonction début août de la directrice juridique d'un prestigieux groupe
de presse international. Cette directrice habituée à s'affronter aux gens
riches et célèbres s'est intéressée à un support de cours HSC : l'injonction
nous demande de supprimer dans le support de cours d'une formation HSC un
acronyme d'une de leurs marques qui est utilisé dans un exemple, bien que
le développé de l'acronyme soit différent et original.
Je me suis excusé pour l'auteur de l'exemple en disant qu'il était
parfois difficile à des informaticiens sans imagination d'inventer des
noms fictifs qui ne ressemblent à rien dans les exemples de formation.
J'ai changé l'acronyme. J'avais repris l'exemple dans une de mes
présentations, là je l'ai effacé.
C'est le RSSI, qui a transmis à sa direction juridique, le fait que
dans le support de cours HSC un acronyme utilisé dans un exemple pouvait
faire confusion avec l'acronyme marque du groupe de presse. Au-delà du
folklore du droit des marques, particulièrement dans le cas des acronymes
qui ont de multiples significations comme "HSC", c'est le rôle du RSSI
qui se pose.
HSC rencontre des RSSI plutôt maîtrise d'oeuvre à la DSI, RSSI
opérationnels, et des RSSI plutôt maîtrise d'ouvrage, rattachés à une
direction des risques ou une direction apparentée. C'est cette dernière
situation qui m'a semblé la plus efficace dans une majorité d'organisations
d'entreprises, mais chaque situation est particulière et l'historique des
organismes comme des individus demeure primordial. Par simplification je
dénomme ces deux tendances RSSI MOE et RSSI MOA.
Le RSSI MOA rédige la PSSI, pilote l'organisation de son processus
SSI, idéalement en amélioration continue avec un SMSI, gère les risques
en sécurité de l'information, obtient les budgets des dispositifs de sécurité
coûteux pour son RSSI MOE auprès de la DG, sensibilise et communique.
Le RSSI MOA est donc un exemple pour l'ensemble du personnel, il est
l'exemple en SSI, comme le PDG ou des responsables métiers le sont dans
leurs domaines. Le RSSI MOA prend du recul, il sert l'entreprise, il est au
service des métiers, il doit se concentrer sur l'essentiel et doit
montrer aux autres les objectifs réels et efficaces de la sécurité.
Il est le meilleur interpréteur des activités primordiales
pour l'entreprise et sa direction. Il est promoteur du business.
Le RSSI MOE choisit l'anti-virus, contrôle les configurations de
firewalls, gère la centralisation des journaux, surveille les journaux
de sécurité et/ou gère les incidents de sécurité liés à l'informatique.
Etant plus proche des opérationnels de la DSI il doit savoir justifier
auprès d'eux les dispositifs de sécurité et les aider à les exploiter.
Je ne sais pas où se place le RSSI qui a attaché de l'importance à
l'usage d'un acronyme dans un support de formation HSC au point de
transmettre à sa direction juridique, et de se voir ainsi en "employé modèle"
qui applique les politiques de l'entreprise. Cependant il me semble que
ce n'est peut-être pas l'exemple qui permettra aux RSSI de montrer où est
l'essentiel. Beaucoup de RSSI font l'objet de railleries au sein des
équipes informatique et des métiers. Ils ont parfois du mal à l'accepter
quand nous essayons de leur dire. Il me semble préférable de montrer
l'exemple en jouant la transparence, c'est ce qui apporte la confiance
dans l'entreprise. Pourquoi n'est-il pas préférable d'aller directement dire
les choses aux personnes concernées ? Il ne s'agit pas de contourner les
voies hiérarchiques ni les services spécialisés mais de faire preuve de la
diplomatie qui permettra d'asseoir sa position.
Le RSSI est fait du business de son entreprise, et est celui qui écoute
et communique. Pour que cela soit un succès il faut essayer d'inspirer
confiance et pas méfiance à toutes les parties prenantes.
Dans une institution financière, il pensera en banquier ; dans un centre
hospitalier, il se sentira professionnel de santé.
--[ 2. Le saviez vous ? La question ]-----------------------------------
Sous Windows, les événements de sécurité sont journalisés dans le
journal eventlog "Security". Les politiques d'audit sécurité définissent
quels événements sont journalisés dans ce journal. Ces politiques peuvent
être configurées pour que soient générés des événements de réussite
(Success) et/ou d'échec (Failure) ou aucun événement (No Auditing).
Par défaut, sur les systèmes clients Windows, toutes les catégories d'audit
sont définies à "No auditing" (voir dans les consoles mmc secpol.msc ou
gpedit.msc : Security Settings > Local Policies > Audit Policy).
Sous Windows 2000 et Windows XP, aucun événement n'est généré. Mais, sous
Windows Vista et 7, des événements sont bien générés.
Pourquoi ?
Réponse au paragraphe 14.
--[ 3. Compte-rendu de BlackHat USA 2009 ]------------------------------
par Christophe Alladoum et Julien Raeis
Black Hat USA 2009 s'est tenu au Caesars Palace à Las Vegas, du 25 au 30
juillet 2009. Parmis les grands thèmes de cette année, on retrouvait notamment
la virtualisation et le "cloud computing" (mot fourre-tout très à la mode),
Metasploit, l'exploitation de failles très bas niveau et les faiblesses autour
de SSL.
Jeff Moss a introduit la conférence en présentant un projet de "réseau
social Black Hat" qui devrait voir le jour dans l'année, ainsi que le
déplacement de Black Hat Europe, qui n'aura plus lieu à Amsterdam, mais à
Barcelone à compter de 2010.
John McDonald et Chris Valasek (IBM ISS X-Force) ont ouvert le bal en
relatant des nouvelles techniques d'exploitation du tas sur Windows. Le
détail du fonctionnement de celui-ci sur Windows (notamment les derniers,
XP et Vista) a pris une importante place : géré par un système de liste
doublement chaînée, indiquant l'état de chaque bloc. La recherche de blocs
libres se fait par parcours de chaque chaîne, et l'allocation suit une
procédure en fonction de la taille à allouer dans le tas. McDonald et Valasek
ont exposé quelques techniques pour contourner l'apparition du "heap cookie"
dans Windows XP SP2. Ils ont dévoilé trois types d'attaques : la réécriture
d'un bloc de la "Lookaside List Link" (LAL), permettant une exécution de code
arbitraire ; par "Bitmap Flipping Attack", dans le cas où l'on contrôle le
registre EDI, et que l'on sait l'exécution d'une instruction "inc [EDI]",
alors en trompant le FreeListBitmap, on peut forcer l'exécution de code ;
enfin, en modifiant le bloc FreeList[0]. Une nouvelle technique intéressante
expliquée fut l'attaque par désynchronisation "Heap Cache/FreeList" : en
faisant déborder la taille d'un bloc de la liste FreeList[0], on crée une
incohérence dans le "Heap Cache" qui fera toujours retourner à la fonction
de recherche de blocs libres à la même adresse. D'autres techniques
d'exploitation intéressantes ont été expliquées, dont le "Bitmap XOR
Attack", mais il s'est avéré que celles-ci n'étaient exploitables que dans
un nombre de cas restreints.
Felix 'FX' Lindner réouvre le dossier de l'exploitation de vulnérabilités dans
les équipements réseau. Il répertorie d'abord quelques obstacles qu'il a pu
rencontrer lors de l'écriture de codes d'exploitation, en particulier sur les
équipements Cisco. En effet, seulement 14 vulnérabilités ont été répertoriées
par Cisco en 2008, et ni Juniper, ni Nortel ne publient quoi que ce soit, ce
qui réduit déjà grandement le champ d'action.
Il évoque ensuite les différents vecteurs d'attaques sur les équipements :
services réseau (HTTP, TFTP, FTP, SNMP, etc.), IPv6, la VoIP (très complexe et
souvent activée par défaut), clients réseau divers (telnet, ssh, tftp, DNS) et
enfin l'inspection de paquets IPv6 notamment.
D'un point de vue architecture, les routeurs Cisco peuvent soit utiliser un
noyau Linux 2.4 (Cisco 65xx et 72xx), où dans ce cas les attaques sur les
systèmes Linux classiques sont valides, ou bien utiliser le système IOS de
Cisco. Ce dernier est exécuté comme un binaire ELF directement en mode
superviseur sur le processeur, sans procédé de séparation de la mémoire (IOS
utilise uniquement des threads et non des processus distincts). En
conséquence, IOS ne prévoit aucun mécanisme de récupération en cas de
corruption de la mémoire ou d'exception et l'équipement redémarrera s'il est
soumis à ce genre de problème.
En conclusion, FX nous montre comment il a réussi à écrire des codes
d'exploitation fiables sur des images Cisco diverses en se basant notamment
sur la ROMMON ou en trouvant des similarités entre plusieurs images IOS.
Pas de nouveautés pour la conférence de Michael Eddington, mais quelques
rappels à l'ordre pour la conception d'un outil de fuzzing personnalisé.
Auteur du projet Peach, il a d'abord rappelé le but du fuzzing, mettant
l'accent sur la reproductibilité du plantage. Si, selon lui, un
fuzzer générique ne peut exister, la manière d'injecter des données peut se
faire de façon "stupide", facile à coder mais imprévisible et difficile à
reproduire ou "intelligente", injectant des données valides mais aléatoires.
Il a défini un certain nombre de phases (5) qu'il convient de respecter pour
créer un fuzzer. La fin de la conférence a exposé un panel de fuzzers
disponible (libres ou non) et leur inscription dans ces phases a été jugée.
Andrea Barisani et Daniele Bianco nous ont ensuite pésenté leur attaque
d'écoute des frappes au clavier en utilisant des rayons laser. Les techniques
actuelles exploitent généralement les fuites électro-magnétiques des claviers,
comme présenté à SSTIC cette année.
Les fuites électromagnétiques des claviers PS/2 sont souvent la conséquence
d'un blindage médiocre, menant à des fuites vers la prise de terre. Le
principe de l'attaque est alors de mesurer ces dernières, puis de
différencier un signal dans la bande passante de 10 à 16.7 kHz
par l'intermédiaire d'un filtre passe-bande. Il est ainsi possible "d'écouter"
un clavier jusqu'à 20 mètres de distance, tout ça pour moins de 150 dollars.
Cette attaque ne fonctionne malheureusement pas avec les claviers USB, ces
derniers étant beaucoup plus bruyants que leurs homologues PS/2.
La seconde attaque présentée par Andrea et Daniele concerne les émanations
acoustiques des claviers. Ces dernières sont mesurées grâce à un microphone
laser pointé directement sur l'ordinateur (portable) de la cible. Cette
attaque marche aussi bien de jour que de nuit. Le principe ici est de
différencier les signaux reçus et de les classer. Ensuite, une analyse du
résultat permet, à l'aide d'un dictionnaire, de déduire à quel caractère
correspond tel ou tel signal, puis de reconstituer les mots et enfin les
phrases entières.
L'attaque semble fonctionnelle, mais peu fiable car demandant des conditions
de réalisation complexes et plusieurs interventions manuelles, notamment lors
de la différentiation des signaux. D'ailleurs aucune démonstration ne nous a
été montrée lors de la conférence alors que le public l'attendait.
La conférence donnée par Eduardo Vela et David Lindsay présentait
différentes méthodes ingénieuses de contournement de filtres XSS, pour des
filtres situés côté client (NoScript sur FF, embarqué sur IE8) ou serveur
(Apache mod_security, php_ids). Après avoir rappelé très brièvement le
principe des XSS, leur portée et leur principe de filtrage, ils ont
directement abordé les techniques de contournement, les plus basiques pour
commencer, exploitant des règles de la norme HTML (<img/src="mypic.jpg">),
l'utilisation de la balise <object> si la balise <script> est filtrée ou
l'exploitation de la balise <isindex> (dépréciée dans la norme mais toujours
implémentée dans les navigateurs). JavaScript n'est pas en reste : l'accès à
document.cookie par exemple peut également se faire par d'autres moyens
(document['cookie'], with(document)...). Certains clients Web implémentent
aussi la possibilité d'exécuter des fonctions sans utiliser de parenthèses
(""+{toString:alert}+""+{valueOf:alert}). HTML5 va encore complexifier les
règles de filtrage, car il permettra, par exemple l'insertion d'attributs
dans le tag de fermeture. Mais l'essentiel de l'approche des orateurs est
basée sur le formatage des caractères en Unicode. Les filtres existants ont
été détaillés, principalement autour de 4 technologies (mod_security, php_ids,
IE8 et NoScript), pour démontrer qu'il est possible de contourner ces règles.
Par exemple, mod_security peut être défait grâce à l'encodage Unicode : si
<img src="x:gif" onerror="alert(0)">
sera filtré, il n'en est pas de même pour
<img src="x:gif" onerror="window['al\u0065rt'](0)">.
PHP-IDS, quant à lui, essaie d'être exhaustif, mais au détriment de nombreux
faux positifs et d'une consommation CPU excessive.
Moxie Marlinspike a présenté quelques attaques très intéressantes sur SSL.
Après un retour sur la validation d'un certificat X.509 à la fois au niveau
client et au niveau serveur, il revient sur son outil sslsniff (publié en
2002) qui réalisait de l'interception SSL en générant des certificats valides
à la volée, mais signés par une autorité de certification non-reconnue par le
navigateur. Cette approche nécessite une intervention de l'utilisateur, et n'a
plus réellement le succès escompté, notamment à cause des mesures drastiques
contre les certificats non-reconnus dans Firefox 3 par exemple.
Moxie Marlinspike a ensuite introduit son autre outil, sslstrip. La plupart
des connexions en HTTPS se font par le biais d'un lien ou d'une redirection
HTTP. SSLStrip fonctionne sur ce principe et intercepte les requêtes HTTPS,
renvoie la page en HTTP au navigateur, avec le contenu de la page HTTPS, sans
la couche de chiffrement.
Marlinspike s'est ensuite intéressé en détail à la structure des certificats
X.509 et des requêtes de signature de certificats (CSR). Une demande pour un
domaine précis (www.hsc.fr par exemple), sera traitée comme une demande pour
le domaine parent (hsc.fr). L'identité du détenteur de ce domaine est validée
le plus souvent automatiquement, grâce aux informations contenues dans les
bases Whois. Une fois le certificat signé, sa partie identifiante est le plus
souvent le champ "CommonName" (CN) du "DistinguishedName" (DN). Ce champ est
défini comme une chaîne de caractères de type Pascal (longueur + chaîne) et
non une chaîne de type C (terminée par un '\0'). La différence fondamentale
est qu'en Pascal, aucun caractère n'a de signification particulière ; ainsi,
'\0' est un caractère parmi d'autres. Cependant, les implémentations,
notamment les navigateurs, utilisent des bibliothèques de fonctions qui
réalisent des traitements de chaînes de caractères C. En conséquence, faire
une demande de certificat pour un domaine du type 'www.paypal.com\0.hsc.fr'
générera une demande de validation auprès du contact enregistré pour le
domaine 'hsc.fr', pour le sous-domaine 'www.paypal.com\0'. Seulement, les
navigateurs ne verront qu'un certificat pour le domaine 'www.paypal.com' et le
valideront.
De nombreuses implémentations se sont retrouvées vulnérables : navigateurs
web, clients mail, messagerie instantanée, VPNs SSL, etc. Moxie rajoute qu'il
est même possible, afin de rendre plus générique l'attaque, d'utiliser un
certificat du type '*\0.hsc.fr'. Enfin, il montre également comment contourner
les mécanismes de révocation de certificats, et notamment ceux reposant sur le
protocole OCSP, ainsi que les mécanismes de mise à jour des navigateurs et
autres clients de messagerie.
Dan Kaminsky, lors de sa très attendue et tout aussi controversée conférence
annuelle, a soulevé le problème de l'authentification des utilisateurs, et la
difficulté à choisir des mots de passe forts. L'instauration d'une PKI ne
résout pas forcément le problème, car les certificats X.509 utilisent des
algorithmes de hachage pour assurer l'intégrité, qui ont été cassés (cf.
Lenstra et Sotirov au CCC 2008). Kaminsky montre ensuite que MD2, bien que
jugé faible depuis 15 ans, est toujours implémenté dans les navigateurs
modernes et devrait en disparaître.
Il discute ensuite d'une attaque consistant à placer 3 CommonNames dans une
requête de certificat : 'www.attaquant.com', 'www.banque.com' et '*'. OpenSSL
utilisera le premier, Internet Explorer le deuxième, et Netscape/Firefox le
troisième, l'ordre n'étant pas défini dans la RFC.
Dan Kaminsky conclut en précisant que la base de toutes ces attaques est
le DNS, et que la solution est d'utiliser DNSSEC et de placer les empreintes de
ces certificats dans des enregistrements DNS signés.
Paul Vixie, Chris Lee et Andrew Fried (ISC) ont montré comment le "Data
Mining" pouvait être utilisé dans le but d'une attaque informatique. Dans le
cas d'une infection "standard", la victime récupère un fichier vérolé qui
pourra servir à collecter des informations sur elles et sur son entourage.
Dans le cadre d'une intrusion de masse (type Conficker), on cherchera à
stocker ces informations en base et les croiser ; on utilise alors du "Data
Mining". Même si l'utilisation du Data Mining peut être utile dans le cadre
d'une attaque à grande échelle, le problème majeur de cette technique est son
coût, car elle nécessite la mise en place d'une infrastructure.
Après avoir présenté l'an dernier des rootkits dits "Ring -1" (comprendre :
utilisant les capacités de virtualisation des processeurs), l'équipe
d'Invisible Things Labs nous introduit cette année les rootkits "Ring -3".
Ces derniers exploitent les fonctionnalités des chipsets, et notamment AMT
("Active Management Technology") d'Intel présente dans les chipsets
compatibles avec vPro.
AMT n'est pas activé par défaut, mais du code reste exécuté même s'il est
désactivé. Il est alors possible de le "hooker" pour en détourner le
fonctionnement, puis injecter du code arbitraire en utilisant les
fonctionnalités de "remapping" de la mémoire sur les chipsets Q35 d'Intel.
Gros bémol pour cette présentation qui présente une attaque qui, bien
qu'agissant à un niveau très bas sur le système et donc permettant d'avoir des
privilèges élevés, n'est valable que sur un sous-ensemble restreint de systèmes
(équipés du chipset Q35 d'Intel).
Zane Lackey et Luis Miras se sont intéressés au hacking des SMS (et de
l'ensemble des messages MMS, EMS, etc.) sur les réseaux GSM. Le système de
messagerie est intéressant car il ne permet pas que d'envoyer et recevoir
du contenu, mais aussi de modifier la configuration du téléphone. Pour
pouvoir forger des SMS, ils se sont intéressés au problème d'encodage pour
l'envoi, effectué avec l'outil PDUSpy, couplé à une version modifiée de
PySimReader pour analyser les PDU. Niveau réception, l'étude de différentes
vulnérabilités a été effectuée : notamment dans le parsing de l'UDH sur
Android, et dans le CommCenter de l'iPhone (2.x et 3.0), aboutissant à un
plantage. Les messages OTA (Over-The-Air), qui permettent de configurer à
distance un téléphone, ne stipulent ni l'expéditeur ni les modifications
apportées. Ils ont développé un code d'exploitation (non-public), T.A.F.T,
exploitant une faiblesse d'architecture GSM, permettant de forger ses propres
MMS OTA.
L'équipe d'Invisible Things Labs revient avec une deuxième présentation, cette
fois-ci à propos des attaques sur les BIOS Intel. Celle-ci débute par un
retour en arrière sur les méthodes pour reflasher un BIOS : infection de
tables ACPI, patches des BIOS en recalculant les sommes de contrôle pour ceux
qui ne sont pas signés, etc.
Les chipsets Intel récents, notamment les Q45, disposent d'un registre
supplémentaire, appelé "Flash configuration lock-down" (FLOCKDN) dont le but
est d'interdire toute opération de modification du BIOS ou des registres
associés (notamment BIOSWE, "Bios Write Enable", qui peut activer l'écriture).
Les programmes modifiant les BIOS depuis les systèmes d'exploitation ne font
en fait que prévoir une mise à jour lors du prochain redémarrage.
Les images des BIOS étant signées, comment mettre à jour sa propre image ? Le
code du BIOS vérifiant la signature, il est nécessaire de découvrir une
vulnérabilité dans celui-ci, suffisamment tôt dans le traitement pour pouvoir
contourner la vérification de la signature numérique. ITL a découvert une
vulnérabilité dans une fonction de décompression de l'image des mises à jour
des BIOS Intel, et plus particulièrement dans la fonctionnalité permettant
d'insérer une image (format BMP ou JPG) au démarrage de l'ordinateur. Cette
image ne fait pas partie du périmètre signé numériquement, et peut donc être
générée arbitrairement par un attaquant. L'exploitation de la vulnérabilité
permet ensuite de modifier l'image du BIOS pour y injecter du code malveillant
par exemple, exploitant ensuite la SMM et la routine de traitement de la SMI
pour exécuter du code en mode superviseur.
Chris Weber a effectué une courte présentation sur l'interprétation des
caractères Unicode dans les applications et protocoles récents. Après avoir
fait un bref historique de l'Unicode, il a surtout développé les problèmes
sous- jacents à son implémentation : en effet, certaines applications peuvent
avoir un comportement imprévu (problème d'affichage, DoS) lors de l'insertion
de caractères "exotiques" (UTF-16, UTF-32). Un autre comportement sera plutôt
d'interpréter ces caractères par approximation, le transformant en un ou
plusieurs caractères UTF-7 ou UTF-8, pouvant mener à des buffer overflows.
Enfin, cette présentation s'est finie sur quelques bonnes pratiques
d'implémentation d'UTF dans les applications, reprise du guide de l'ICANN.
Matt Conover, nous présente le dernier produit de sécurité Symantec des
infrastructures VMware : SADE ("SteAlthy Deployment and Execution")
Il évoque d'abord qu'à l'heure actuelle, en entreprise, chaque employé
dispose de sa station de travail, généralement faisant partie d'un domaine
Active Directory. Sur chacun de ces postes, un ou plusieurs agents sont
déployés afin de garantir des fonctionnalités sur le poste (anti-virus,
applications métier, etc.). Comment tout mettre à jour partout ? Comment
garantir l'évolution future ?
Le fait d'avoir un agent sur chaque machine pour réaliser la même tâche (un
scan anti-virus par exemple) est un véritable gaspillage de ressources :
chaque machine va utiliser des cycles CPU pour réaliser les mêmes scans. De
plus, de nombreuses failles ont émaillé les anti-virus ces dernières années,
et leurs agents sont devenus une cible des logiciels malveillants.
Conover explique alors que l'une des solutions serait d'éliminer les agents
présents sur les machines des utilisateurs en utilisant des machines
virtuelles, et en réalisant des mises à jour et des scans depuis l'hyperviseur
ou une autre machine virtuelle. Ainsi il ne subsisterait plus qu'une seule
opération globale, et moins de ressources seraient gaspillées.
De plus, les logiciels malveillants, auraient beaucoup plus de mal à
désactiver les agents, ceux-ci ayant disparu du système d'exploitation.
SADE transforme le parc ainsi : les stations de travail deviennent des
machines virtuelles, tournant toutes sous le même hyperviseur. Les agents sont
stockés dans un site central, et n'existent dans les machines virtuelles, que
quand une action est nécessaire de leur part.
Pour fonctionner ainsi, le produit utilise l'API VMSafe de VMware, permettant
à une machine virtuelle dite "de sécurité" de lire et d'écrire dans la mémoire
d'autres machines virtuelles, en passant des appels directement à
l'hyperviseur. L'anti-virus tourne ainsi depuis une autre machine virtuelle,
et va exécuter un programme en espace utilisateur sur les stations de travail.
Une présentation intéressante, mais très commerciale, introduisant des
fonctionnalités attendues de VMSafe.
Kevin Mahaffey, Anthony Lineberry et John Hering se sont également
intéressés à la sécurité autour des mobiles, remarquant qu'ils sont assez
peu pris en compte dans les politiques de sécurité, alors qu'ils présentent
de nombreux avantages pour un attaquant (fonctionnalités de plus en plus
haut niveau, connexion persistante, installation d'applications tierces). Ils
ont développé leur propre outil de fuzzing qu'ils ont présenté, FuzzIt. Il
s'agit d'un fuzzer Ruby, très similaire à Scapy, pour bruteforcer les
protocoles l2cap et gsm_sms. De cette façon, un 0-day a été découvert et
présenté, exploitant une mauvaise interprétation du champ "Data Type" du
protocole SDP de l'iPhone. L'accent a été mis sur le temps de résolution de ce
bug : 4 mois à compter du rapport. Une vulnérabilité peut coûter très cher à
un fabriquant !
Viennent ensuite Joe Grand, Jacob Appelbaum et Chris Tarnovsky qui ont étudié
plusieurs systèmes de parcmètres à travers les Etats-Unis, et notamment ceux
de la ville de San Francisco. D'une manière générale, les parcmètres se
divisent en deux catégories : ceux associés individuellement à une place de
parking, et ceux couvrant une zone de stationnement. Les parcmètres purement
mécaniques ont été remplacés par ces systèmes hybrides au début des années 90,
puis des systèmes entièrement électroniques depuis quelques années.
Détourner le comportement de ces équipements pourrait avoir plusieurs
implications : stationnement gratuit, mise à défaut du paiement de
stationnement d'autrui, atteinte à la vie privée, etc.
L'interface présentée aux utilisateurs se résume à quelques boutons, une fente
pour insérer des pièces, une carte bancaire ou une carte à puce. Du côté de
l'administration, on peut rajouter un port infrarouge, parfois des accès sans
fil (Radio et GPRS), ou des accès via un port série. Toutes ces interfaces
sont situées à l'extérieur de l'appareil, car même un administrateur ne doit
pas avoir accès à l'argent.
Après avoir acheté des parcmètres sur eBay, les orateurs ont expliqué qu'ils
les ont démembrés, puis ont décapé la puce responsable du traitement pour en
comprendre la logique. Au final ils ont réussi à générer des cartes à puce de
type "Yes Card", leur permettant d'obtenir des crédits illimités sur
l'ensemble du parc de la ville de San Francisco.
Cette dernière a déjà dépensé plus de $35 million pour remplacer les 23 000
équipements mécaniques par des modèles hybrides, et compte maintenant acheter
320 000 équipements supplémentaires, entièrement électroniques... et donc
vulnérables.
Jesse Burns (ISEC Partners) a exploré les caractéristiques du nouveau
système de Google, Android. Android est bâti sur un noyau Linux, et possède
ses caractéristiques, notamment par la gestion des groupes/utilisateurs et
permissions. Chaque application est parfaitement isolée des autres et ses
accès sont définis par ses groupes (Internet, email, bluetooth...) et ses
permissions (ex : android.permissions.READ_CONTACT). Android ajoute deux
nouveaux modes sur Linux : le "binder", interface servant à gérer de
façon simple les IPC ; et "ashmem", une zone mémoire partagée pouvant être
réaffectée en cas de pénurie. Burns a passé en revue les outils Android utiles
à sa dissection (logcat, les outils Linux classiques, le
ManifestExplorer, ...), puis s'est penché sur le système de packaging Java
pour chacune des applications. L'installation d'une application est
configurée par des fichiers Manifest au format XML qui définit les
permissions, et peut dans certains cas dévoiler des mots de passe applicatifs.
Deux outils, Intent Sniffer et Intent Fuzzing, ont été notamment bien
présentés de par leur utilité pour surveiller et fuzzer les applications
Android. Cependant, Jesse Burns a bien souligné que l'impact du fuzzing était
très limité par la machine virtuelle Java.
Kostya Kortchinsky (Immunity Inc.) nous présente ensuite la façon dont il a
réussi à exploiter la vulnérabilité de sortie d'isolation qui a touché VMware
à la fin de l'année 2008.
Jusqu'à présent, les sorties d'isolation touchaient les dossiers partagés de
VMware Workstation, ou d'autres hyperviseurs comme Xen ou Virtual Server.
En combinant plusieurs vulnérabilités découvertes dans le code qui émule les
cartes graphiques, Kostya a réussi à exécuter du code arbitraire depuis
l'invité dans l'hôte.
Tout d'abord, il a été capable de lire de façon arbitraire la mémoire de
l'hôte en exploitant une commande non-documentée de VMware.
Ensuite, il a réussi à écrire de façon arbitraire dans la mémoire de l'hôte en
exploitant, de façon similaire, une fonction Direct3D (présente par défaut
dans VMware Workstation 6.5 et ESX 4.0 RC même si l'accélération 3D est
désactivée). Son code d'exploitation (CLOUDBURST) nécessite au préalable des
droits d'administration dans une machine virtuelle Windows et permet
d'exécuter du code arbitraire en espace noyau directement dans l'hôte.
Il conclut très justement en disant que VMware (et la virtualisation en
général) n'est pas une couche de sécurité supplémentaire, mais juste une autre
couche où découvrir des vulnérabilités.
--[ 4. Audit de "Plan de continuité et de maintien Grippe A" ]----------
Le mois dernier, HSC vous a proposé son offre de services : Plan
de Continuité et du Maintien des Capacités Opérationnelles Grippe A : PCMCO.
Ce mois-ci, nous mettons l'accent sur l'audit de votre plan, c'est
la phase CHECK, qui est désormais à l'ordre du jour : votre plan est en
phase de finalisation, vous attendez que le nombre de malades atteigne le
seuil critique où la cellule de management du plan de continuité va devoir
statuer sur le déclenchement des procédures de crise.
Mais, êtes vous rassuré sur la capacité de réaction de votre système
d'information. Vous sentez vous prêt ?
CHECK :
Objectif : Vérifier que l'organisme est prêt, vérifier que les
procédures exceptionnelles n'ont pas de conséquences en terme de
sécurité de l'information.
HSC propose les missions d'assistance suivantes sous la forme de tests
d'intrusion et d'audits :
- A l'issue de la rédaction d'un PCMCO, audit de vérification que rien
n'a été oublié, que rien n'est incohérent, que tout est réalisable,
et que les dates n'ont pas été déjà dépassées.
- A l'issue de la mise en oeuvre des projets découlant du PCMCO, vérifier
par la réalisation d'exercices si les procédures fonctionnent, si les
utilisateurs maîtrisent les actions de secours, si le niveau de sécurité
est maintenu. Les résultats sont accompagnés de préconisations pour
améliorer le déclenchement du PCMCO et son déroulement.
- Après le déclenchement du PCMCO, HSC propose de vérifier que les
activités exceptionnelles sont réalisées en toute sécurité particulièrement
sur les plate-formes d'accès pour le télétravail. De même il sera
nécessaire d'identifier rapidement que les administrateurs de remplacement
n'ont pas créé de failles sur les éléments de l'infrastructure serveurs
et réseaux du fait de leur non expérience.
- A la fin de la période de crise, alors que le retour à la normale est
prononcé, il faut vérifier que les procédures de retour arrière sont
bien toutes exécutées : suppression des droits exceptionnels des
utilisateurs, retrait des accès VPN...
ACT :
Objectif : analyser le déroulement des opérations du PCMCO, en tirer
des enseignements pour l'améliorer.
HSC propose les missions d'assistance suivantes :
- Etudier les activités qui auront eu lieu depuis le déclenchement et le
comportement du système d'information pour identifier les potentiels
incidents ou erreurs commises et leurs raisons.
- Consolider les résultats des audits après le retour arrière pour valider
le retour à la normale.
- Mettre à jour le PCMCO selon les résultats des analyses précédentes.
Pour en savoir plus : http://www.hsc.fr/services/pcmco.html.fr
ou contactez Matthieu Hentzien : sales at hsc.fr -- +33 141 409 705
--[ 5. HSC aux Assises de la Sécurité à Monaco ]-------------------------
HSC sera présent pour la première fois aux Assises de la sécurité 2009
les 7, 8 et 9 octobre prochains à Monaco. Matthieu Hentzien et Lynda
Benchikh seront à votre disposition pour vos projets de prestations, de
formation et de e-learning. Retrouvez-nous sur le stand n° 67, situé dans
l'espace Pôle Santé, en descendant vers le fond de l'exposition, dans
la salle à droite.
HSC assiste les établissements de santé, leurs fournisseurs, les
institutions et les groupements professionnels dans l'initialisation et
l'accompagnement de leur SSI. HSC élabore des politiques de sécurité,
assiste à l'appréciation des risques, complète les procédures, sensibilise
les acteurs concernés, et audite la sécurité, pour des hôpitaux, la
télémédecine, le secteur de la recherche et les infogéreurs. Par exemple
HSC assiste les hébergeurs pour l'obtention de l'agrément des hébergeurs
des données de santé à caractère personnel (PAHDS).
Bien entendu, tous les secteurs d'activité et tous les RSSI seront
accueillis sur notre stand par Matthieu Hentzien et Lynda Benchikh.
Venez nombreux.
http://www.lesassisesdelasecurite.com/Accueil/Partenaire/hsc.aspx
--[ 6. Nouvelle formation : "Juridique de la SSI" ]-----------------------
Combien de temps conserver ses journaux et quelles sont les personnes
autorisées à les manipuler ? Quelle est la responsabilité pénale ou
civile du RSSI ou de l'administrateur système ? Comment réagir face à
une menace de plainte en diffamation et comment exonérer la
responsabilité du prestataire technique ? Comment caractériser et
prouver une intrusion dans son système d'information et le montant des
dommages ? Quelles sont les limites de la cybersurveillance ? Comment
déboguer la messagerie sans violer le secret des correspondances ?
Comment assurer la protection des secrets de l'organisation avec une
informatique mobile et concernée par le respect de la vie privée ?
Les questions juridiques que se posent la plupart des responsables
techniques ou organisationnels de la SSI tiennent en dix lignes, mais
les réponses dépendent du contexte de chacun. Or, après une période de
flou réel ayant donné lieu à plusieurs idées reçues, les dernières
années ont considérablement précisé et fiabilisé les cadres légaux et
juridiques autour de la SSI. Depuis plusieurs années, les consultants
HSC ont confronté les attentes de leurs clients aux textes légaux et aux
décisions juridiques dans ce domaine.
Cette formation de deux journées est à destination de toutes les
personnes du métier de la SSI qui sont amenées à prendre des décisions à
leur niveau : administrateurs systèmes et réseaux, astreintes
opérationnelles, maîtrises d'oeuvre de la SSI, RSSI, chefs de projet et
responsables de comptes. Conçue par des non-juristes pour être
directement applicable sur le terrain, cette formation s'appuie sur des
formations universitaires juridiques, une veille juridique permanente de
la SSI, et la participation à plusieurs groupes de travail et
associations juridico-techniques.
Elle décrit en langage concret les notions de "STAD", "données à
caractère personnel" ou de "création de contenu", et pointe du doigt les
idées reçues. Après le rappel des fondamentaux juridiques français et
des conditions de transferts de responsabilités, elle aborde des thèmes
tels que la vie privée sur le lieu de travail, le statut de l'adresse
IP, les bonnes pratiques de journalisation pour pouvoir constituer un
bon dossier de preuves dans le respect de la licéité, les régimes des
opérateurs, des hébergeurs et des éditeurs, la propriété intellectuelle
et les noms de domaines et les limites de la compétence territoriale des
juridictions françaises sur internet.
La formation est ponctuée d'exercices de réflexion incitant à la
recherche personnelle des possibilités de réponses juridiques et de jeux
de rôles inspirés de faits réels. Elle ne demande pas de préalable
juridique, mais une expérience opérationnelle de la SSI et de l'exercice
des responsabilités est souhaitée afin d'assurer la richesse et
l'efficacité des exercices.
Durée : 2 jours
Formateur : Raphaël Marichez
Première session à Paris les 30 novembre et 1er décembre 2009.
http://www.hsc-formation.fr/formations//juridique.html.fr
--[ 7. Appel à communication pour le colloque des "GSdays" ]------------
Les GSdays est une nouvelle manifestation organisée par le magazine
GlobalSecurityMag, qui prend le créneau auparavant occupé par le salon
Infosecurity qui a disparu. Les GSdays se dérouleront le 1er décembre
2009, au Palais des Arts et des Congrès d'Issy-les-Moulineaux.
Les thèmes retenus pour le colloque de 8h30 à 18h00 sont :
o Les attaques aujourd'hui :
- Les navigateurs : XSS, CSRF, etc.
- Les OS
- Les technologies sans-fil : Wifi, RFID, etc.
- Les terminaux mobiles
- Le matériel : mémoire, interface FireWire, ACPI, etc.
- Les systèmes SCADA
o L'évolution des moyens de protection
- Sur le Web : WAF, etc.
- DLP
- L'ouverture des SI et la dépérimétrisation
o Les aspects organisationels et humains
- Ingénierie sociale
- Les limites de la technologie
- Les nouveaux usages du SI : les réseaux sociaux et les applications
en ligne
- La gestion des risques opérationnels
- La gestion des risques de pandémie
- Pourquoi et comment sécuriser l'information ?
- La doctrine SSI ou comment convaincre son entreprise d'investir dans
un projet de sécurité
- Comment sécuriser une architecture complexe dans un environnement
hétérogène ?
- Le sentiment de sécurité est-il préférable à l'insécurité ?
Les présentations attendues devront proposer une vision technique
ou scientifique. Les présentations à des fins commerciales ou la présentation
d'un produit ne seront pas acceptées.
Peu de conférences francophones s'adressent dans le même espace à la
communauté technique (administrateurs, experts techniques) et à un public
de managers (RSSI, DSI). Les conférences seront donc proposées sous les deux
aspects, avec des démonstrations d'attaques. Les "GS Days" ont pour
objectif d'informer et de démontrer à la communauté SSI la réalité des
menaces actuelles, leur simplicité de mise en oeuvre et leurs impacts sur
la sécurité de l'information.
Les conférences seront d'un format de 35 minutes plus 5 minutes réservées
à des questions.
Le comité de programme qui a pour objectif la sélection des conférenciers
et du contenu technique du colloque est assuré par Global Security Mag,
organisateur, avec Olivier Guérin (CLUSIF), Philippe Humeau (NBS),
Olivier Revenu (EdelWeb), Hervé Schauer (HSC) et Paul Such (SCRT).
Pour en savoir plus : http://www.gsdays.fr/
--[ 8. Agenda des interventions publiques ]-----------------------------
- 8 septembre 2009 : OSSIR Paris
"Compte-rendu de la conférence Blackhat USA 2009" - Christophe Alladoum
et Julien Raeis
http://www.ossir.org/
- 24 septembre 2009 : CLUSIR Est - Strasbourg
La sécurité de l'entreprise "étendue" - Raphaël Marichez
http://www.clusir-est.org/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 9. Veille en vulnérabilités HSC ]-----------------------------------
1432 12-08-2009 Multiples vulnérabilités dans les produits Microsoft
1433 14-08-2009 Vulnérabilité dans les noyaux linux
1434 20-08-2009 Vulnérabilité dans CIsco FWSM
--[ 10. Nouveau web "www.hsc-formation.fr" ]----------------------------
HSC a lancé en juillet son nouveau site web dédié à la formation :
http://www.hsc-formation.fr/
Plus de clarté et lisibilité ! Ce site regroupe les offres de
formation et de e-learning. Le site web d'HSC www.hsc.fr, demeure le
site principal et expose l'offre de conseil, d'audit technique et
organisationnel, de tests d'intrusions et d'accompagnement en SSI.
--[ 11. Nouveau : e-learning ISO27001 et PHP ]--------------------------
HSC propose deux formations en e-learning :
* E-learning ISO 27001
Pour ceux impliqués dans la mise en oeuvre d'un SMSI.
Temps total : 8 heures
http://www.hsc-formation.fr/e-learning/iso_27001.html.fr
* E-learning Programmation sécurisée en PHP
Pour ceux impliqués dans le développement d'applications web en PHP
Temps total : 11 heures
http://www.hsc-formation.fr/e-learning/programmation_php.html.fr
Démonstration disponible sur :
http://www.hsc-formation.fr/e-learning/ordi_php.swf
Les e-learnings HSC sont entièrement développés en Flash. Ils incluent
pour chaque module des activités d'enseignement, d'apprentissage et de
validation des acquis.
Rendez-vous sur http://www.hsc-formation.fr/
Pour tout renseignement et pour vous inscrire, contactez Adrien Pasquier :
elearning at hsc.fr -- +33 141 409 703
--[ 12. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
Essentiels de l'ISO 27001 ............ : 3 et 4 septembre
ISO 27001 Lead Implementer .......... : 7 au 11 septembre (C)
Gestion des identités et des accès .. : 16 au 18 septembre
ISO 27001 Lead Auditor .............. : 21 au 25 septembre (C)(G)
ISO 27005 Risk Manager .............. : 28 au 30 septembre (G)
Mesures de sécurité ISO 27002 ........ : 1 et 2 octobre
Formation RSSI ....................... : 5 au 9 octobre (G)
Réalisation pratique des Tests d'Intrusion : 12 au 16 octobre(*)(C)(G)
ISO 27001 Lead Implementer .......... : 19 au 23 octobre (C) (G)
Gérer la sécurité du SI avec les tiers : 26 au 28 octobre
DNS par la pratique .................. : 26 octobre (*)
Postfix par la pratique ............. : 27 octobre (*)
Lutte contre le spam par la pratique . : 28 octobre (*)
Fonctionnement des PKI ............... : 29 octobre
Sécurité de la VoIP .................. : 30 octobre
Sécurité des réseaux et des transmissions : 2 au 4 novembre
Sécurité des serveurs et applications web : 5 et 6 novembre
Sécurité Unix et Linux ............... : 9 et 10 novembre
Sécurité Windows ..................... : 12 et 13 novembre
Réalisation pratique des Tests d'Intrusion : 16 au 20 novembre (*) (G)
Certification ISO 27001 .............. : 16 novembre
Mutualisation ISO 27001/autres référentiels : 17 novembre
Sécurité du WiFi et des réseaux sans fil : 18 novembre
Indicateurs et tableaux de bord SSI .. : 20 novembre
Juridique de la SSI ................. : 30 novembre & 1 décembre
Essentiels de PCI-DSS ................ : 1er décembre
(*) : formations pratiques avec un ordinateur par stagiaire
(C) : formations complètes au niveau des pré-inscriptions
(G) : information importante : en cas de déclenchement du niveau 5B ou 6
du plan national de pandémie grippale, certaines "mesures barrières de
freinage et de limitation d'extension de la maladie" risquent d'empêcher le
déroulement normal des formations (interruption des transports collectifs,
restriction des actvités professionnelles...). Dans ce cas, les personnes
inscrites ou pré-inscrites aux sessions de formation impactées se verront
proposer des places prioritaires sur des sessions de remplacement planifiées
aux mois de décembre et de janvier :
ISO 27001 Lead Auditor : surcharge du 14 au 18 décembre, puis en janvier
ISO 27001 Lead Implementer : surcharge 7 au 12 décembre, puis en janvier
ISO 27005 Risk Manager : 21 au 23 décembre
Formation RSSI : sur 4 jours du 21 au 24 décembre, ou en janvier
Réalisation pratique des Tests d'Intrusion : sur 4 jours, 21 au 24 décembre
- Genève (Suisse)
ISO 27001 Lead Auditor .............. : 9 au 13 novembre
- Luxembourg
ISO 27001 Lead Implementer .......... : 12 au 16 octobre
ISO 27001 Lead Auditor .............. : fin 2009
ISO 27005 Risk Manager .............. : 19 au 21 mai 2010
- Lyon
ISO 27001 Lead Implementer ........... : 21 au 25 juin 2010
- Marseille
ISO 27005 Risk Manager .............. : 29 au 31 mars 2010
- Nantes
ISO 27005 Risk Manager .............. : 16 au 18 septembre (C)
- Strasbourg
ISO 27001 Lead Implementer .......... : 22 au 26 février 2010
- Toulouse
ISO 27005 Information Security Risk Manager : 16 au 18 novembre
ISO 27001 Lead Auditor .............. : 1 au 5 mars 2010
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc-formation.fr/
--[ 13. Actualité des associations : Club 27001, Club PCA et OSSIR ]-----
o Club 27001 (http://www.club-27001.fr/)
.........................................................................
. Conférence annuelle du Club le jeudi 19 novembre 2009, inscrivez-vous
. en même temps que vous adhérez au club.
. Réservez votre journée du jeudi 19 novembre 2009 !
.........................................................................
. Le Club 27001 ouvre les adhésions avec les cotisations.
Prix par an, entreprises : 270 euros, individuels : 27 euros
Le bulletin d'adhésion est disponible sur le site du club :
http://www.club-27001.fr/ressources/Cotisation_Club-27001.pdf
. Prochaine réunion à Paris jeudi 17 septembre 2009
Les animateurs sont en attente de propositions de présentations.
. Prochaine réunion à Toulouse le 18 septembre 2009
Les animateurs sont en attente de propositions de présentations.
. Création d'un club 27001 à Marseille, première réunion annoncée
prochainement.
o Club PCA (http://www.clubpca.eu/)
. Publication du « Lexique structuré de la Continuité d'Activité »
http://www.clubpca.eu/xoops/partage/LIVRE-BLANC-CCA.pdf
o OSSIR (http://www.ossir.org/)
. Nouveau site web ! Visitez le nouveau site web de l'OSSIR :
http://www.ossir.org/
. Prochaine réunion à Paris le mardi 8 septembre à l'ISEP salle 24
- Verdasys Digital Guardian, par Stephan Mesguich, Verdasys
- Compte-rendu de la conférence BlackHat USA 2009 par Christophe
Alladoum et Julien Raeis, HSC
. Réunion suivante le mardi 13 octobre
- Protection des données par Pascal Beaulieu, Varonis
- Retour d'expérience sur le déploiement de biométrie à grande
échelle par Sylvain Maret, e-Xpert Solutions
. Prochaine réunion à Toulouse le 22 septembre
Les animateurs sont en attente de propositions de présentations.
. Prochaines réunions à Lyon et Rennes annoncées bientôt
--[ 14. Le saviez vous ? La réponse ]------------------------------------
Avec Windows Vista, Microsoft a introduit des nouveautés dans
l'infrastructure eventlog. Une d'entre elles est la création de
sous-catégories d'audit.
La commande suivante permet de lister ces sous-catégories :
C:\> auditpol /list /subcategory:*
Microsoft a configuré spécifiquement certaines de ces sous-catégories pour
que des événements importants soient générés.
La commande suivante permet d'afficher la configuration des sous-catégories :
C:\> auditpol /get /subcategory:*
Par exemple, voici la configuration des sous-catégories de la catégorie
"System" :
C:\> auditpol /get /category:System
System audit policy
Category/Subcategory Setting
System
Security System Extension No Auditing
System Integrity Success and Failure
IPsec Driver No Auditing
Other System Events Success and Failure
Security State Change Success
Plus d'informations sur la liste de diffusion newsletter