[Newsletter HSC] N°84 - Aout 2011
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 1 Aou 17:42:02 CEST 2011
========================================================================
HSC Newsletter -- N°084 -- août 2011
========================================================================
« Better to be a pirate than to join the navy »
[ Steve Jobs ]
--[ Sommaire ]----------------------------------------------------------
1. Éditorial - Raphaël Marichez
2. Compte-rendu d'Infiltrate 2011
3. Lauréat du prix de l'Innovation des Assises de la Sécurité : Brainwave
4. Appel à communication GS DAYS 2012
5. Encore plus de formations techniques 'SANS Institute' avec HSC
6. Offres d'emploi : consultants & stagiaires techniques & orga
7. Agenda des interventions publiques
8. Prochaines formations HSC
9. HSC partenaire des Assises de la Sécurité à Monaco
10. Actualité des associations : Club 27001 et OSSIR
--[ 1. Éditorial - Raphaël Marichez ]-----------------------------------
De l'organisation de la sécurité
L'organisation de la SSI, au sens "noble", devrait consister à fournir aux
dirigeants une stratégie d'entreprise en matière de SSI, ayant pour vocation
l'amélioration de la performance de l'organisation telle que recherchée par la
direction.
Dans les faits, l'organisation de la SSI est réduite à l'élaboration de
documents, de "politiques" ou de "directives" sans qu'on sache même exactement
ce que recouvrent ces termes. Pourquoi cette divergence ?
J'ai rencontré quelques vrais stratèges de la sécurité, qui sont capables
d'anticiper les réactions d'une structure collective. Or la plupart des
consultants peuvent tout-au-plus recopier plus ou moins des modèles déjà
observés. En cinq années chez HSC j'ai rencontré de nombreuses situations :
des organisations qui fonctionnent et d'autres qui ne fonctionnent pas, des
créations de postes RSSI intelligentes et d'autres qui vont dans le mur, des
"transversalités" de la SSI qui se heurtent à la hiérarchie et d'autres qui
s'intègrent à la culture d'entreprise. Cela fait-il de moi un "consultant en
organisation de la SSI" ? Être témoin de ces quelques expériences ne
représente à mon avis que l'infime commencement du métier de consultant en
organisation de la SSI.
La vision commune du conseil en organisation de la SSI ne correspond pas du
tout à ce qu'on pourrait attendre du conseil en organisation tout court (ou
"conseil en stratégie") dans sa version SSI. Souvent, le consultant SSI ne
découvre la réussite ou l'échec d'une organisation de la SSI que un an après
son passage, au lieu d'anticiper ce résultat. Les pires des consultants
cherchent évidemment à vendre du papier pour le principe de produire du
papier, activité qui ne comporte aucun risque d'échec et présente de
formidables opportunités de factorisation. Quelques-uns se placent au-dessus
du lot mais ne sont pas souvent bien employés par leurs clients.
Le conseil en organisation SSI, comme tout conseil en organisation, doit être
commandité par une direction générale de l'entité ou une structure
équivalente. En effet, l'objectif propre du DSI ou du RSSI ne coïncide jamais
exactement avec celui de l'organisme employeur : volonté de prouver la
nécessité de la fonction SSI, volonté d'augmenter son budget, volonté de
limiter sa responsabilité en réalisant audit sur audit afin de montrer un état
des lieux catastrophique, volonté de montrer des indicateurs bidons en faisant
réaliser des tests d'intrusion qui n'intrusent pas (cf newsletter de mars
2009), etc... ce sont tous des objectifs parfaitement légitimes du point de
vue du RSSI mais qui font rarement avancer la performance de l'organisme
employeur. L'amélioration objective de la sécurité elle-même ne correspond pas
nécessairement à l'amélioration de la performance de l'organisation,
lorsqu'elle engendre des frictions ou des coûts non justifiés par le gain de
sécurité. Le conseil en organisation de la SSI doit se situer au-dessus de la
fonction SSI car il est amené à moduler voire chambouler les missions de la
fonction SSI selon le contexte local.
Nous pouvons déjà distinguer la sécurité dite "organisationnelle" qui ne
consiste, grosso-modo, qu'à formaliser le bon sens commun au moyen de vocables
savants présentés avec de jolies couleurs ; de l'organisation de la sécurité
qui est quasiment inexistante aujourd'hui, sauf dans les ministères et
quelques groupes internationaux. Il existe bien quelques schémas
d'organisation connus qui fonctionnent et s'adaptent à de grosses structures,
comme l'organisation fondée sur l'IGI 1300 dans les ministères, encore faut-il
dans chaque entité décliner les grands modèles en fonction du métier et de la
culture de l'entité.
Le domaine de la sécurité des systèmes d'information est un domaine
d'expertise, ce qui semble justifier que la direction générale confie
entièrement la gestion de ce domaine à une personne désignée comme experte, de
sorte que les utilisateurs et les dirigeants se déchargent de la SSI sur cet
expert et son équipe. C'est une erreur, mais pardonnable par le très jeune âge
de la SSI qui manque encore de recul pour que ses grands principes (l'hygiène
de base...) puissent être appréhendés simplement.
Cette erreur a pour conséquence le gâchis de moyens humains et financiers
considérables via des missions et des projets inutiles, non parce qu'ils ne
produisent rien, mais parce qu'ils ne produisent rien qui sera mis en
application avec un résultat positif. En effet, du fait que la SSI est un
domaine d'expertise qui ne peut donc pas être remis en question par des
non-spécialistes, certaines dérives existent, touchant tout aussi bien les
consultants que leurs clients :
- Des consultants, surtout en début de carrière, se "spécialisent" en
organisation de la SSI car ils ne maîtrisent pas les rouages fondamentaux de
la SSI (propriété des protocoles réseaux, sécurité des OS et des applicatifs,
bases de la cryptographie). Ce n'est pas toujours de leur faute, c'est surtout
le business, donc leurs employeurs (souvent des SSII) et par transitivité la
médiocrité des formations universitaires en SSI (portées par l'intérêt pour ce
type de profil) qui sont souvent à l'origine de la dégradation des capacités
de ces diplômés mal utilisés.
- Des consultants en SSI "traditionnelle" s'improvisent consultant en
organisation, avant de découvrir au bout de quelques années qu'ils n'avaient
pas alors le recul et l'expérience suffisants pour juger de l'efficacité d'une
organisation, et, a fortiori, proposer une meilleure organisation dans
l'intérêt de l'organisme client. Mais comme il n'existe aucun moyen connu
d'évaluer la qualité réelle du travail produit, les apparences sont sauvées
grâce à du conseil SSI, parfois de bon niveau, mais qui n'est en aucun cas du
conseil en organisation, et se limite souvent à de simples bonnes pratiques de
sécurité non-technique (gestion des mots de passe, des incidents, des audits
de fournisseurs, séparation des rôles sensibles...). Dans ce domaine,
l'ancienneté professionnelle du consultant et sa capacité à vulgariser la SSI
priment sur son expertise technique : on est malheureusement en plein dans les
apparences.
- La niche d'expertise dans laquelle s'inscrit le marché du conseil en SSI ne
permet de toute façon pas de vendre des missions correctement calibrées qui
permettraient au consultant de s'imprégner des rouages humains et structurels
existant au sein de l'organisme client : une phase de plusieurs jours
d'observation et d'assimilation des méthodes de travail ne se résume pas à des
interviews sur une check-list rédigée par un "expert" et dont la sortie se
résume (par exemple) à une suite d'assertions oui/non devant chaque case de
l'ISO 27002, même si c'est très pratique. De toute façon, ce genre de missions
d'organisation n'est pas demandé par les clients RSSI mais par les directions
générales, ce qui rend ces missions très rares.
Cela dit, quelques missions récentes d'audit/conseil confiées à HSC étaient
placées sous le visa de la direction générale, en toute indépendance du RSSI
et même du DSI, avec possibilité de remettre en cause la structure chargée de
la SSI. L'espoir est donc permis.
Il existe sûrement d'autres critiques à formuler à l'encontre du marché actuel
du conseil en sécurité "organisationnelle". Souhaitons que le futur proche
fasse éclore le vrai métier du consultant en stratégie, appliquée à la SSI.
Nous en avons besoin pour limiter les absurdités telles que : les audits de
complaisance, la fabrication coûteuse de documents qui seront périmés dès leur
livraison, ou simplement déconnectés de la réalité comme maintes analyses du
risque et politiques de sécurité, la mise en oeuvre de SMSI ISO 27001 "clé en
main" et donc éphémères, la mise en oeuvre de solutions de sécurité jamais
utilisées, etc.
--[ 2. Compte-rendu d'Infiltrate 2011 ]-------------------------------------
La conférence Infiltrate, organisée par Immunity, s'est déroulée du 16 au 17
avril à Miami. S'il fallait résumer ce week-end en trois mots, ce serait :
technique, offensif et fun ! Les différentes présentations étaient, en effet,
un savant mélange d'humour et de techniques d'exploitations extrêmement
détaillées. Infiltrate était composée d'une unique session de 13
présentations, répartie sur les deux jours.
Une salle était dédiée aux démonstrations de deux outils d'Immunity.
- D'un coté la nouvelle mouture de Silica, qui contrairement aux anciennes
versions, n'est plus intégrée dans un ordiphone. Elle fonctionne dans une
machine virtuelle complètement intégrée et est fournie avec deux antennes pour
une plus grande facilité de déploiement et plus d'efficacité.
- De l'autre coté était présenté WebSiege, un framework intégrant tous les
outils nécessaires à un test d'intrusion web, du balayage réseau à la
génération du rapport. Bien que ne remplaçant pas un auditeur expérimenté, cet
outil promet de faire gagner un temps non négligeable sur les parties
automatisables de cette activité. Une intégration avec Canvas, le framework
d'exploitation d'Immunity, était prévue sous peu.
Keynote - Creating Strategic Surprise in Information Security
=============================================================
Nico Waisman, Immunity
======================
Nicolas Waisman commence par un résumé de son parcours et de
l'évolution du milieu de la sécurité en 10 ans. Il rappelle que lorsqu'il a
commencé tout le monde disait déjà que tout avait été fait et qu'il ne restait
rien à découvrir en sécurité.
Il explique ensuite sa vision du développement de code d'exploitations. Pour
lui, tout a commencé en travaillant avec Dave Aitel, qui lui a demandé de
travailler sous Windows, alors qu'il venait du monde Unix. Pour comprendre son
nouvel environnement, il a dû reverser de nombreuses parties du code de
Windows jusqu'à en comprendre parfaitement le fonctionnement. Pour s'en
assurer et s'aider dans sa tâche, il a développé Immunity Debugger.
Il rappelle que le développement de code d'exploitation est difficile, qu'il
demande de l'investissement, du temps, de la patience et de la persévérance.
Il conclut en donnant sa vision sur le futur de la sécurité. Pour lui,
l'exploitation devenant de plus en plus complexe, il est nécessaire de former
des équipes polyvalentes.
Rock'm Sock'm Robots: Exploiting the Android Attack Surface
===========================================================
Bas Alberts & Massimiliano Oldani, Immunity
===========================================
Bas et Massimiliano ont présenté les recherches qu'ils ont effectuées
sur l'exploitation en environnement Android. Leur étude du sujet a commencé du
fait de la volonté de Dave Aitel de pousser ses employés à changer
périodiquement de technologie pour progresser sur divers domaines. Ils
présentent ensuite un tour d'horizon du marché. Étonnamment, la version la plus
répandue, est la 2.2, qui n'est pas la version la plus à jour. L'explication
de cette répartition est le modèle de mises à jours d'Android, poussées par le
fournisseur d'accès et non gérées par l'utilisateur. Ils font ensuite un
rappel sur le modèle de sécurité d'Android, ainsi que les protections
matérielles et logicielles mises en places et comparent à Linux, système
d'exploitation sur lequel est basé Android.
Une fois les bases nécessaires pour comprendre le fonctionnement d'Android,
ils présentent divers exploits disponibles publiquement : KillingInTheNameOf,
exploid, RageAgainstTheCage et Zimperlich. Ces codes d'exploitation sont
disponibles à l'adresse suivante : http://stealth.openwall.net/xSports. Après
une rapide explication de leur fonctionnement, ils montrent comment, en
utilisant CVE-2010-1807, ils ont pu compromettre le téléphone de Dave et passer
root, via une faille spécifique du téléphone. Les deux bases de données
intéressantes qu'il ont pu découvrir, sur un téléphone Android sont
/data/system.acccounts.db et
/data/data/com/android.providers.telephony/databases/mmssms.db. Ces dernières
contenant entre autre la clé unique du comptes Twitter de Dave, ils ont pu
l'utiliser pour poster via ce dernier.
Ils expliquent ensuite les différentes solutions envisageables pour intégrer
une porte dérobée sur un téléphone sous Android. Au niveau applicatif, le plus
simple reste l'installation d'une application avec toutes les permissions. Les
'Intents' (évènements déclenchables à distance) permettent de communiquer avec
l'application même si cette dernière n'est pas en fonctionnement. Pour plus de
furtivité, il suffit de ne pas renseigner les informations <activity> dans le
fichier Manifest.xml de l'application. Ce faisant, cette dernière n'apparaît
pas dans la liste des applications. Au niveau utilisateur, il est possible de
modifier un des services exécutés en temps qu'utilisateur root, ou bien,
déployer une application enregistrant un déclencheur sur la réception
d'évènements particulier, utilisés par la porte dérobée (les SMS par exemple)
et transmettre les commandes à un programme SUID root pour les exécuter. Il
est possible d'acceder à /dev/mem ou /dev/kmem ou d'utiliser les modules (LKM)
pour interagir directement avec le noyau.
La présentation s'est finie par une démonstration de la compromission et
l'exploitation de la porte dérobée sur les téléphones de Dave Aitel et Kostya
Kortchinsky. La porte dérobée permettait d'exécuter des commandes via l'envoi
de SMS lorsque ces derniers commencent par une séquences de caractères
prédéfinis (ici: xxx:run@).
Modern Heap Exploitation using the Low Fragmentation Heap
=========================================================
Chris Valasek & Ryan Smith, Accuvant LABS
==========================================
Cette présentation résume les travaux effectués par Chris Valasek sur le
nouvel allocateur mémoire de Windows, le low fragmentation heap allocator. Ce
dernier, comme de nombreux changements dans Windows, est apparu avec Windows
Vista. Cette présentation étant un résumé d'un papier très complet, tenter de
la résumer ne lui rendrait pas justice. Le papier de recherche, est
actuellement la meilleure source d'information disponible sur le LFH, il est
disponible à l'adresse suivante :
http://illmatics.com/Understanding_the_LFH.pdf
Les présentateurs, bien qu'abordant un sujet très technique et complexe à
expliquer pour quelqu'un n'ayant jamais manipulé le LFH allocator ont réussi a
rester très clair et à donner envie de lire leur document de recherche pour en
apprendre plus.
The Listening
=============
Esteban Guillardoy, Immunity
=============================
Esteban Guillardo présente une porte dérobée développée pour
Thunderbird. À l'origine de ce développement, un de leur collègue était parti
du bureau sans verrouiller sa session. Ses collègues ont donc voulu en
profiter pour installer une porte dérobée. La cible la plus intéressante pour
une compromission, sur le portable qu'ils avaient à disposition, était
Thunderbird.
Pour se faire, ils ont développé une extension Mozilla pour Thunderbird,
intégrant la porte dérobée. L'avantage de créer une extension est qu'ensuite,
cette dernière peut être déployé sur n'importe quelle plate-forme supportée
par Thunderbird. Ensuite, il est relativement facile d'exécuter des commandes
depuis une extension Thunderbird et la seule difficulté se trouve dans la
discrétion de l'extension et des mails échangés entre la porte dérobée et
l'attaquant.
Pour l'échange de message, la porte dérobée analyse tous mails reçus par
Thunderbird et analyse les images jointes. Si ces images contiennent un
message stéganographié, ce dernier est extrait et déchiffré, puis le mail est
supprimé avant d'arriver et d'être traité plus avant par Thunderbird. Les
commandes sont ensuite exécutées et renvoyées dans un message chiffré et lui
aussi camouflé par stéganographie dans une image.
La présentation contient bon nombre d'informations intéressantes sur le
développement d'extensions Mozilla et les points d'intérêts lorsque l'on
souhaite qu'elles restent les plus discrètes possibles.
State spaces and exploitation
=============================
Thomas Dullien (a.k.a Halvar Flake), Zynamics
=============================================
Halvar Flake introduit le concept de "Weird Machine". Ce concept définit
les programmes comme des machines à états avec laquelle chaque interaction va
produire un changement d'état. Lors d'une corruption mémoire, le changement
d'état devient imprévu et le nombre d'états possibles explose. Chaque nouvelle
interaction va faire transiter la machine à état d'un état invalide vers un
nouvel état invalide. La majorité de ces transitions conduisent à un crash de
l'application. L'exploitation d'une faille correspond donc à :
- Programmation de la Weird Machine ;
- Atteinte d'un état violant les contraintes de sécurité ;
- Contrôle d'EIP pour transformer la "Weird Machine" en code natif.
Les "Weird Machines" sont donc dépendantes de l'application, de l'état initial
de cette dernière et sont difficiles à contrôler. Un risque subsiste toujours,
l'état du tas n'étant pas déterminable au préalable. Halvar Flake démontre
ensuite l'applicabilité du concept au contournement de DEP + ASLR.
How to FAIL at Fuzzing
======================
Ben Nagy, Coseinc
=================
Très certainement la présentation la plus drôle de toute la
conférence. Ben Nagy fait un retour d'expérience sur ce qu'il ne faut pas
faire lors du développement d'un outil de fuzzing. Il parle de son expérience
et de toutes les erreurs qu'il a pu faire.
1) Distribuer les phases de fuzzing entre tous les contributeurs
- Nécessite de collecter toutes les informations en cas de crash
- Nécessite une instrumentalisation sans failles.
2) Écrire son fuzzer et penser que c'est le meilleur
- Nombreux 'hacks' et 'fixme' dans le code
- Pas de documentation
- Moins efficace que ceux déjà existants (Spike dans son cas)
- Donner des cours payant pour expliquer comment se servir du fuzzer
- C'est donc la preuve qu'il ne marche pas ou n'est pas assez documenté
3) Fiabilité
- Effectuer au moins un million de tests avant de penser que le fuzzing est
véritablement fonctionnel. Une centaine de cas ne suffisent jamais quand
on fait du fuzzing. Et on ne veut pas passer son temps à trier les faux
positifs.
4) Corruption
- Beaucoup de travail pour s'assurer que le type de problème que l'on
traite est bien celui que l'on cherche
5) Faire les mauvais choix
- Faire une preuve de concept pour vérifier si ça fonctionne...
- Généralement le début d'une longue liste d'échecs
6) 0x41 ?
- Ne pas se limiter au minimum
- Éviter le fuzzing à la Charlie Miller
- De nombreux cas qu'une multitude de 'A' ne valideront pas
7) Sur-excitation
8) Perdre son temps
- Écrire la v2 de son fuzzer pendant qu'un test est en cours
- Écrire du code plus propre
Don't Give Credit: Hacking Arcade Machines
==========================================
Ronald Huizer, Immunity
=======================
Ronald Huizer présente son attaque sur la machine "In The Groove 2"
(ITG2), pour obtenir des crédits et ne plus payer pour jouer à ce type de
borne d'arcade. La présentation a commencé par la description de la borne, et
l'explication du choix de celle-ci : Immunity dispose d'une de ces bornes dans
ses bureaux.
Il décrit la seule méthode d'attaque qui ne soit pas visible sur ce type de
machines (n'impliquant pas de démonter un panneau, déplacer la machine ou
autre), l'insertion d'un dongle USB contenant des sauvegardes du profile du
joueur et contenus additionnels. Pour le développement de son attaque, Ronald
a utilisé la version PC de ITG2, plus simple pour les phases de tests et de
debug. Il a pu s'appuyer sur le travail du projet de ré-implémentation d'ITG2,
OpenITG, pour simplifier les phases de reverse et de debug. De cette façon, il
a découvert une faille dans le parseur XML, dans la fonction
XNode::LoadAttributes(). De là, il pouvait faire exécuter du code lua au
parseur, à condition que le code soit signé. La machine, pouvant ajouter des
données sur les tokens des joueurs, dispose donc de la clé privée. Il lui a
donc fallut extraire les clés, en premier lieu de la version, puis, faire de
même avec la version arcarde (les deux n'étant pas compatibles), en démontant
cette fois ci la borne.
La présentation se finit par une démonstration de l'insertion de la clé USB
contenant l'exploit pour ITG2, qui ajoute 10 crédits sur la machine
d'Immunity.
Présentation amusante avec plein de sprites de vieux jeux et un concours à
celui qui trouvera le plus de références pour ces derniers.
Bypassing Windows services protections
======================================
Cesar Cerrudo, Argeniss
=======================
Cesar Cerrudo, CEO d'Argeniss commence par des rappels sur le
durcissement des services, basé sur la réduction des privilèges de ces
derniers, puis des rappels sur « l'impersonation » et les « tokens ».
Il présente ensuite les différentes protections mises en place sur les
services Windows sous 7, Vista et 2008 ainsi que les solutions pour les
contourner.
Protection : Isolation de la Session 0
Objectif : Protège des « Shatter attacks »
Contournement : Pas de connus
Protection : Réduction des privilèges
Objectif : Réduire les privilèges d'un attaquant en cas de compromission
Contournement : Possible grâce à « l'impersonation »
Protection : SID unique par service
Objectif : Réduire l'accès aux processus exécutés sous la même identité
pour éviter l'élévation de privilège
Contournement : Les clés de registres et les fichiers partagés réduisent
l'efficacité de cette protection.
Tous les processus ne sont pas correctement protégés
Protection : Réduction des privilèges en écriture via les tokens
Objectif : Réduire les possibilités d'un attaquant après compromission
Contournement : Peu de services impactés.
Possibilité d'attendre qu'un administrateur se connecte pour
utiliser « l'impersonation »
Protection : Restrictions sur les accès réseaux
Objectif : Restreindre l'attaquant à accepter ou créer des connexions
Contournement : Les WSH peuvent être désactivées par le compte
« Local service »
Contournement possible par des processus créés indirectement
La présentation se termine par l'analyse du fait que les protections apportées
aux services sous Windows sont « simplement » contournables et qu'elles
n'apportent qu'une étape de plus à franchir lors d'une compromission.
Modern Kernel Pool Exploitation: Attacks and Techniques
=======================================================
Tarjei Mandt, Norman
====================
Tarjei Mandt présente ses recherches sur les 'kernel pools'. De la même
façon que la présentation sur le 'low fragmentation heap', cette dernière
résumait un énorme travail d'analyse et d'ingéniérie inverse et ne pourrait
être plus résumée. Je vous renvoie donc à ses transparents pour plus de
détails sur les 'kernel pools' et leurs différences entre Vista et 7 :
http://immunityinc.com/infiltrate/presentations/kernelpool_infiltrate2011.pdf
Infiltrating PHP
================
Ryan Austin & Sean Arries, Terremark
====================================
Présentation assez décevante en deux parties.
La première partie présente un outil "hypothétique" pour simplifier
l'exploitation en augmentant la surface d'attaque (requêtes DNS inverses,
google hacking, etc), qui ne fait finalement que lister les outils dont tout
consultant en sécurité dispose déjà.
La seconde partie présente des failles dans PHP qui ont déjà été présentées
mais n'étaient pas nécessairement très connues.
Cette présentation était d'un niveau technique bien moins élevé que les autres
et s'est trouvé décevante par son manque d'innovation.
Attacking the Webkit heap
=========================
Sean Heelan & Agustin Gianni, Immunity
======================================
L'allocateur mémoire de Webkit, basé sur TCMalloc, est multi plate-
forme et optimisé pour les performances. Webkit est utilisé par Chrome,
Safari, Android, Kindle, Blackberry et bien d'autres, donc, un exploit
contre l'allocateur mémoire de ce dernier est lui aussi multi-plateforme et
exploitable sur de nombreux logiciels. Sean et Agustin détaillent ensuite en
détail le fonctionnement de l'allocateur mémoire ainsi que les différentes
structures le composant, telles que les spans, les ThreadCache, le
CentralCache, ...
Le reste de la présentation détaille l'exploitation de TCMalloc via la
corruption de la mémoire. Ils expliquent qu'il est possible d'exploiter des
attaques basiques du tas, comme la libération de pointeurs invalides, les
double free, insertion dans la FreeList du ThreadCache, insertion dans la
liste des objets libérés des Span et l'écrasement de métadonnées des span.
Ils finissent leur présentation en abordant le développement de primitives
d'exploitation, se basant sur trois pré-requis : l'allocation et la libération
de mémoire ainsi que la corruption du contenu de chunks mémoires alloués par
TCMalloc.
- Allocation : L'utilisation de la fonction 'unescape' est nécessaire, pour
contourner le concept de 'ropes', gérant les chaînes de caractères dans
WebKit. Grâce à unescape, il est possible de contrôler l'intégralité de la
mémoire allouée par WebKit, de plus, il est possible d'obtenir des blocs
mémoires contigüs, n'étant pas séparés par les metadonnées des 'spans'
(alloués séparément).
- Libération : Le garbage collector empêche un appel direct à une fonction de
type 'free'. Pour contourner ce problème, la fonction 'unescape' est ici
aussi utilisée. 'unescape' envoie la chaîne décodée au StringBuilder,
déclenchant ainsi une allocation de la nouvelle chaine de caractère en
utilisant la formule suivante : new_size = prev_size + (prev_size >> 2) + 1,
et libérant l'ancienne chaine de caractères. Pour libérer un bloc mémoire,
il faut donc appeler la fonction 'unescape' avec une chaine de taille
supérieure. Cette technique génère néanmoins du 'bruit' sur le tas, qu'il
faut prendre en compte.
Fun with the LDT: Fast & Generic Shellcode Detection
====================================================
Georg Wicherski, McAfee
=======================
Seule conférence sur la détection et la prévention d'exploitation et
non sur l'aspect offensif de la sécurité. Georg présente libscizzle, sa
bibliothèque de détection de shellcode, développée autour de la libcpu.
Il fait un rappel sur les shellcodes 32 bits (ROP, délimiteur classiques :
\x00, \r\n, \u2026, les codes « packés » : Stub + décodeur + code chiffré).
Il présente ensuite des techniques utilisées pour supprimer la dépendance à
l'adressage en mémoire du shellcode, via une séquence "GetPC". Les séquences
GetPC sont entre autres :
- call $+5, pop r32 (approche traditionnelle)
- fnop, fnsetenv [esp+0x0c], pop r32
- SEH : Indépendants de l'architecture
- En 64 bits, adressage relatif par rapport à RIP
xor [rip+n], key (mais actuellement, surtout du 32 bits)
Il donne son avis sur les techniques de détection de shellcode actuelles et
notamment l'analyse statique et l'analyse statistique qui ne détectent que le
morceau de code effectuant le décodage et tendent à retourner beaucoup de faux
positifs et faux négatifs. Comme première solution, il propose la détection
des séquences GetPC, l'émulation via la libemu du shellcode, la construction
d'un arbre des points de départs possibles en effectuant un désassemblage
inverse et finalement l'émulation x86 logicielle pour éliminer les faux
positifs.
Pour améliorer ce processus, Georg a développé la libscizzle, permettant
l'identification des séquences GetPC potentielles. Cette librairie détermine
le point d'entrée autour de la séquence par force brute puis utilise
l'exécution matérielle dans une sandbox, pour vérifier l'exactitude de la
séquence. Il continue en présentant une amélioration, consistant à utiliser la
LDT pour cloisonner le code analysé. Ce qui lui permet d'exécuter des blocs
« suspects » dans un segment différent et d'émuler toutes les instructions sauf
les « backward short jumps ». Cette solution permet de gagner un facteur 10
par rapport à la solution utilisant la libemu. De son expérience (tests sur
des shellcodes connus, honeypots, CTF Defcon et Rucon), il n'a pas pu
constater de faux positifs ni de faux négatifs.
TBA Kernel Fun
==============
Jon Oberheide & Dan Rosenberg, Duo Security & Virtual Security Research
=======================================================================
Jon Oberheide et Dan Rosenberg commencent leur présentation par une revue
de la sécurité du noyau Linux sur les 10 dernières années. Ils continuent sur
une présentation de grsecurity/PaX et de leurs mécanismes pour empêcher
l'exploitation de vulnérabilités du noyau.
Ils introduisent ensuite le stackjacking, une technique visant à contourner
les protections mises en place par grsecurity/PaX en exploitant des primitives
d'exploitation standard.
Pour mettre en place le stackjacking, Jon et Dan proposent de prendre comme
pré-requis, des contraintes fortes (GRKERNSEC_HIGH, KERNEXEC, UDEREF,
MODHARDEN ainsi que la disposition aléatoire des zones text/data en espace
noyau, l'impossibilité d'introduire du code dans l'espace mémoire du noyau et
l'impossibilité de modifier le flot d'exécution). Comme primitives, ils
supposent disposer d'une écriture arbitraire en mémoire ainsi que d'une fuite
d'information de l'espace mémoire de la pile noyau.
Ils procèdent ensuite à la découverte de l'adresse de base de la pile en
utilisant un pointeur présent dans la structure de la pile, pointant vers un
élément de cette même pile. Cette phase pouvant être automatisée, ils ont
développé une librairie, libkstack, effectuant cette analyse de la pile noyau.
Pour devenir root, il leur suffit ensuite de modifier les valeurs des
structures cred et real_cred dans la task_struct de thread_info
(thread_info->task_struct->creds). Pour accéder à ces creds, il est donc
nécessaire de lire l'adresse de base de la pile, pour trouver la task_struct,
lire la task_struct pour découvrir la structure creds et finalement écrire
dans creds pour positionner les valeurs uids / gids / cap et finalement lancer
un shell root. Dan et Jon ont chacun découvert une méthode pour accéder aux
structures creds.
- La méthode rosengrope :
Dans le noyau vanilla, positionner addr_limit (thread_info->addr_limit) à la
valeur KERNEL_DS, permet d'obtenir un accès arbitraire en lecture et écriture
à la mémoire du noyau. PAX_UDEREF mettant en place la segmentation au niveau
noyau, un appel à set_fs(KERNEL_DS), n'est plus suffisant. %gs, contenant les
informations sur le segment est rechargé lors d'un changement de contexte, en
fonction d'addr_limit. Pour exploiter cela, la technique rosengrope effectue
une boucle infinie sur un appel système write et attend que le thread soit mis
en pause par l'ordonnanceur juste avant un appel à copy_from_user. Si ce cas
se produit, lors de la reprise de l'exécution du thread, %gs va être rechargé
avec la valeur __KERNEL_DS et l'adresse cible sera copiée dans le descripteur
de fichier. Si cela fonctionne, un accès en lecture et donc la suite de
l'exploitation est possible.
- La méthode Obergrope
Plutôt que d'attaquer la structure thread_info, cette technique s'attaque
directement aux frames des kstacks. Pour cela, le processus se fork et le fils
envoie au père les informations requises sur sa kstack. Le processus père
modifie la kstack pendant que le fil exécute un appel système. Il y a donc une
course entre le processus père et le noyau. Il faut toutefois s'assurer de
pouvoir gagner la course. Pour cela le fils doit faire un appel système le
mettant en pause et validant les conditions suivantes : place un registre sur
la pile, passe un temps prédéfini en sommeil, replace la valeur sur la pile
dans le registre, utilise ensuite cette valeur comme source pour l'appel à
copy_to_user(). L'appel système validant ces pré-requis est compat_sys_waitid
et reste constant sur plusieurs versions de noyau.
Cette présentation a été d'abord faite à Hackito Ergo Sum, une semaine avant
Infiltrate et à conduit à la correction de grsecurity/PaX pour se protéger du
StackJacking. Pour plus d'informations sur la correction mise en place par
Brad Spengler et Pax Team sur le blog de de grsecurity/PaX :
http://forums.grsecurity.net/viewtopic.php?f=7&t=2596
Les transparents des présentations sont disponibles sur le site d'Immunity :
- http://www.immunitysec.com/infiltrate/schedule.html
Les transparents du compte-rendu fait à l'OSSIR sont disponibles chez HSC :
- http://www.hsc.fr/ressources/presentations/ossir-infiltrate-2011/
--[ 3. Lauréat du prix de l'Innovation des Assises de la Sécurité : Brainwave ]
Le jury récompense Brainwave et sa solution de contrôle des identités et
des accès Brainwave Identity GRC. Brainwave développe une solution logicielle
permettant de gérer les risques opérationnels liés aux habilitations des
utilisateurs sur le SI et de contrôler la conformité des habilitations
à sa politique.
Ouvert aux entreprises européennes créées depuis moins de 3 ans, le Prix
de l'Innovation des Assises de la Sécurité, animé par Hervé Schauer,
récompense depuis 6 ans les meilleurs projets du domaine de la sécurité des
systèmes d'information. Il permet à une jeune entreprise de bénéficier d'un
accès aux Assises de la Sécurité afin de démontrer son produit ou son
service, avec la remise du prix en séance plénière le jeudi 6 octobre 2011.
Le jury s'est basé sur le caractère innovant de la solution présentée et
son intérêt pour les responsables de la sécurité des systèmes d'information.
Créée en juillet 2009, Brainwave est spécialisée dans la gestion de la
conformité des habilitations, comme son prédécesseur français Kleverware.
Les fondateurs de Brainwave bénéficient d'une longue expérience dans le
domaine de la Gestion des Identités (IAM) après avoir occupé différents
postes chez des éditeurs ou intégrateurs de logiciels.
Le caractère innovant de la solution réside dans une application nouvelle
des principes de l'informatique décisionnelle (Business Intelligence) aux
données d'identité et d'accès. La solution consolide et historise au sein
d'un 'Grand Livre' les données relatives aux affectations des utilisateurs
de l'ensemble du SI : applications, bases de données, permissions sur toutes
les ressources du système d'information, y compris les serveurs de fichiers,
les accès physiques, ou les applications infogérées. Un moteur d'analyse
automatise les contrôles de sécurité, de conformité et de cohérence.
Ce logiciel répond aux besoins des RSSI, mais aussi des responsables du
contrôle interne ou des enquêteurs inforensiques grâce à l'historique des
droits d'accès conservés.
Brainwave : http://www.brainwave.fr/
Prix de l'innovation des Assises de la Sécurité :
http://www.lesassisesdelasecurite.com/Accueil/Prix.aspx
--[ 4. Appel à communication GS DAYS 2012 ]-----------------------------
La 4ème édition des GS Days se déroulera le 3 avril 2012 à
l'espace Saint-Partin à Paris. L'objectif des GS Days, Journées francophones
de la sécurité, est d'établir le dialogue entre le monde de la technique
(administrateurs, experts sécurité), les RSSI, DSI et les décideurs. Ce
colloque, exclusivement en français, propose, dans un même espace, plusieurs
cycles de conférences et de démonstrations d'attaques informatique, sous un
angle technique, organisationnel et juridique.
Quelques exemples de thèmes sur lesquels nous attendons des soumissions :
o Les attaques aujourd'hui sur :
- Les Web Services et les navigateurs : XSS, CSRF, etc.
- Les technologies sans-fil : Wifi, RFID, etc.
- Les terminaux mobiles
- Les bases de données ?
o L'évolution des moyens de protection :
- Sur le Web : WAF, etc.
- Test d'intrusion : les bonnes pratiques ?
- Quels outils et quels paramétrages adapter : IDS/IPS, firewall ?
o Les aspects organisationnels et humains
- Les hommes (ingénierie sociale)
- La guerre de l'information et l'hacktivisme
- Les nouveaux usages du SI : réseaux sociaux, applications en ligne...
- Pourquoi et comment sécuriser l'information ?
o Les thèmes juridiques :
- Le SI : Droit, devoir et obligations
- Comment se protéger des risques liés à l'usage des réseaux sociaux
- La fraude et les transactions bancaires
- Le droit peut-il quelque chose en cas de fuite d'information ?
Les présentations attendues devront proposer une vision technique ou
scientifique. Les présentations à fin commerciale ou la présentation d'un
produit ne seront pas acceptées. Cependant, les propositions présentant une
analyse technique de la sécurité d'un produit, un comparatif fondé sur des
tests scientifiques, et les retours d'expérience avec un aspect
technologique, seront examinées avec attention.
Chaque soumission d'une à deux pages avec un résumé de moins de 15 lignes
précisera le titre de la communication et sa catégorie, les noms et prénoms
du ou des auteurs et leur affiliation, une liste de mots clés et l'adresse
de courrier électronique d'au moins un des auteurs.
Le format des conférences sera de 50 minutes dont 5 à 10 minutes de questions.
Le comité de programme qui sélectionnera les conférenciers et le contenu
du colloque à partir des soumissions reçues est composé de Marc Jacob et
Emmanuelle Lamandé (Global Security Mag, organisateur), Eric Doyen (Generali),
Emmanuel Garnier (Systalians), Olivier Guérin (CLUSIF), Philippe Humeau (NBS),
Diane Mullenex (Cabinet Ichay et Mullenex), Olivier Revenu (EdelWeb), Hervé
Schauer (HSC) et Paul Such (SCRT).
- Date limite de soumission : 15 décembre 2011
Envoi des soumissions par courriel à Marc.Jacob at globalsecuritymag.com
- Notification aux auteurs : 10 janvier 2012
- Envoi des présentations définitives : 12 mars 2012
- Conférence : 3 avril 2012
Pour en savoir plus : http://www.gsdays.fr/
--[ 5. Encore plus de formations techniques 'SANS Institute' avec HSC ]-
Hervé Schauer Consultants est centre de formation agréé du SANS Institute
depuis janvier 2011 et les consultants HSC sont devenus instructeurs du SANS
Institute (SANS "Mentor"). Le SANS Institute (www.sans.org) propose les
formations et les certifications 'GIAC' (www.giac.org) qui ont les niveaux
techniques les plus élevés au monde en sécurité informatique. HSC proposera
progressivement la totalité du programme des formations SANS.
HSC dispense depuis janvier 1989 des formations techniques en sécurité, a
l'expérience des formations avec travaux pratiques (ordinateurs fournis par
HSC) et envoi entre 4 et 10 consultants par an à suivre des formations SANS
Institute chaque année depuis 1998 sans discontinuer.
Les formations du SANS Institute assurées par HSC sont toujours délivrées par
au moins deux consultants. Elles sont toujours délivrées par des consultants
HSC qui ont entièrement suivi les formations du SANS Institute qu'ils
redonnent, en plus évidemment d'avoir la certification GIAC et d'être
instructeurs SANS.
Voici notre planning des sessions de formations SANS Institute, toutes
disponibles en intra-entreprise, et pour les plus demandées les dates des
sessions inter-entreprises.
o Sécurité des réseaux et des systèmes
- Security Essentials - SEC401 : 6 au 10 février 2012, 1 au 5 octobre 2012
- Sécuriser Windows - SEC505 : 10 au 14 octobre 2011,
21 au 25 mai 2012, 3 au 7 décembre 2012
http://www.hsc-formation.fr/formations/securiser_windows.html.fr
- Sécuriser Unix&Linux - SEC506 : 4 au 8 juin 2012, 10 au 14 décembre 2012
o Inforensique
- Computer Forensic Investigations - Windows In-Depth - FOR408
18 au 22 juin 2012, 5 au 9 novembre 2012
- Analyse Inforensique avancée et réponse aux incidents clients - FOR508
24 au 28 octobre 2011, 10 au 14 septembre 2012
http://www.hsc-formation.fr/formations/forensic.html.fr
- Network Forensics - FOR558
- Mobile Device Forensics - FOR563
o Tests d'intrusion
- Tests d'intrusion applicatifs et hacking éthique - SEC542
12 au 16 mars 2012, 8 au 12 octobre
http://www.hsc-formation.fr/formations/webapp_pentest_and_ethical_hacking.html.fr
- Network Penetration Testing and Ethical Hacking - SEC560
26 au 30 septembre 2011, 23 au 27 janvier 2012, 25 au 29 juin 2012
http://www.hsc-formation.fr/formations/ethical_hacking.html.fr
- Tests d'intrusion avancés, exploits, hacking éthique - SEC660
26 au 30 mars 2012
http://www.hsc-formation.fr/formations/test-d-intrusion-avance.html.fr
o Sécurité dans les développements
- Durcissement des applications web - DEV522
2 au 6 avril 2012, 19 au 23 novembre 2012
http://www.hsc-formation.fr/formations/defending_webapp_security_essentials.html.fr
- Secure Coding in Java/JEE : Developing Defensible Applications - DEV541
- Securing Coding in C and C++ - DEV543
- Secure Coding in .NET : Developing Defensible Applications - DEV544
--[ 6. Offres d'emploi ]------------------------------------------------
HSC recrute des stagiaires et des consultants en sécurité des systèmes
d'information, aussi bien en sécurité technique qu'en sécurité fonctionnelle
organisationnelle et juridique. HSC recherche particulièrement des
consultants expérimentés. Vous vous lassez des régies et des missions
longues ? N'hésitez pas, profitez de votre expérience pour postuler.
Pour les aspects techniques de la sécurité, afin :
- D'auditer la sécurité d'infrastructures et d'applications variées
- De faire des tests d'intrusion artisanaux qui intrusent
- De procéder à des enquêtes et des analyses post-incident
- Plus généralement de participer aux projets techniques en sécurité
Pour les aspects fonctionnels, organisationnels et juridique de la sécurité,
afin :
- D'accompagner aux démarches de gouvernance de la SSI, notamment lors de
la mise en place de SMSI suivant la norme ISO 27001
- De réaliser ou d'assister dans la gestion des risques de sécurité de
l'information (ISO 27005, EBIOS, etc)
- D'élaborer des procédures et documents synthétiques et pragmatiques
(politiques, chartes, etc)
- Plus généralement, de participer aux projets utilisant les normes de la
série ISO27K pour répondre aux attentes des clients.
Les qualités recherchées sont les suivantes :
- Bonne qualité de rédaction en français
- Bon contact humain
- Maîtrise de l'informatique et des technologies de l'information,
notamment la technique pour les candidats techniques et compréhension
des enjeux du pilotage de la SSI par les risques pour les candidats
organisationnels
- Discrétion et capacité à travailler sur des projets sensibles, des
infrastructures vitales, etc
- Compréhension du modèle économique de l'activité d'expertise
- Passion pour la sécurité
Les qualités suivantes seront un plus apprécié :
- Adaptabilité au contexte d'un client
- Autonomie
- Bonne expression à l'oral
- Maîtrise de l'état d'esprit pour la fourniture de services à valeurs
ajoutées
Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC, aussi
bien sur les normes ISO 27001 et ISO 27005 ou le juridique de la SSI, qu'aux
tests d'intrusion, l'inforensique, ou la sécurité Windows et la sécurité des
applications web. Cela représente pour chaque nouveau consultant de 2 à 6
semaines de formations suivies dans le cadre de sa prise de fonction.
HSC recherche également des stagiaires en fin d'étude pour des stages de
pré-embauche pour des postes de consultants, soit au sein de l'équipe
technique, soit au sein de l'équipe organisationnelle.
Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2). Si vous
souhaitez proposer votre candidature, nous vous remercions d'envoyer votre CV
en texte ascii par courrier électronique à cv at hsc.fr.
--[ 7. Agenda des interventions publiques ]-----------------------------
- 13 septembre 2011 - OSSIR Paris
"Compte-rendu des conférences BlackHat et Defcon" - Benjamin Arnault et
Renaud Dubourguais
http://www.ossir.org/paris/supports/liste-2011.shtml
- 20 septembre 2011 - Netfocus - Lyon
"Que faut-il faire avant de mettre votre nouvelle offre (application) en
ligne sur le WEB ?" - Jean-Baptiste Aviat
http://netfocus.baptie.com/themes/hawaii/events/ViewEvent.aspx?evId=1294102d-7430-481b-b00f-c2d03dffa90f&sc=
- 29 septembre 2011 - OzSSI SudEst - Lyon
"Panorama des normes SSI" - Hervé Schauer
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 8. Prochaines formations HSC ]--------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27001 Lead Implementer .......... : 5 au 9 septembre (#)
ISO 27001 Lead Auditor .............. : 12 au 16 septembre (#)(C)
ISO 27005 Risk Manager .............. : 19 au 21 septembre (#)
Formation DNSSEC ..................... : 20 et 21 septembre
Risk Manager Avancé ................. : 22 et 23 septembre
Essentiel de la série ISO27001 ...... : 22 et 23 septembre
PenTesting/Ethical Hacking(SANS SEC560/GPEN): 26 au 30 septembre (*)(#)
ISO 27001 Lead Auditor .............. : 3 au 7 octobre (#)
Information Security Foundations .... : 3 et 4 octobre (#)
Gestion des identités et des accès .. : 5 au 7 octobre
Sécurité des serveurs et applications web : 5 au 7 octobre (*)
Sécuriser Windows (SANS SEC505 / GIAC GCWN) : 10 au 14 octobre (*)(#)
Formation RSSI ...................... : 10 au 14 octobre
Analyse inforensique (SANS FOR508 / GCFA) : 24 au 28 octobre (*)(#)
Fondamentaux techniques de la SSI ... : 24 et 25 octobre
Correspondant Informatique et Libertés : 26 et 27 octobre
Essentiel de PCI-DSS ................ : 28 octobre
Sécurité Unix et Linux .............. : 7 et 8 novembre (*)
Indicateurs & tableaux de bord SSI/ISO27004 : 10 novembre
Sécurité du WiFi .................... : 28 et 29 novembre (*)
Juridique de la SSI ................. : 1 et 2 décembre
Mesures de sécurité ISO 27002 ........ : 19 et 20 décembre
Web App PenTesting (SANS SEC542/GIAC GWAPT) : 12 au 16 mars 2012 (*)(#)
(*) : formations avec travaux pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
(C) : session de formation complète
- Luxembourg
ISO 27001 Lead Implementer .......... : 26 au 30 septembre (#)
ISO 27005 Risk Manager .............. : 28 au 30 novembre (#)
ISO 27001 Lead Auditor .............. : 13 au 17 février 2012 (#)
ISO 27005 Risk Manager .............. : 9 au 11 mai 2012 (#)
ISO 27001 Lead Implementer .......... : 24 au 28 sept. 2012 (#)
- Bordeaux
Correspondant Informatique et Libertés : avril 2012
- Clermont-Ferrand
Correspondant Informatique et Libertés : 8 et 9 décembre 2011
- Lille
Correspondant Informatique et Libertés : 13 et 14 février 2012
- Limoges
Correspondant Informatique et Libertés : 17 et 18 octobre 2011
- Lyon
Correspondant Informatique et Libertés : avril 2012
- Marseille
Correspondant Informatique et Libertés : 20 et 21 mars 2012
- Montpellier
Correspondant Informatique et Libertés : 6 et 7 septembre 2012
- Nantes
Correspondant Informatique et Libertés : 10 et 11 octobre 2011
- Nice
ISO 27005 Risk Manager .............. : 25 au 27 juin 2012 (#)
Risk Manager Avancé ................. : 28 et 29 juin 2012
Correspondant Informatique et Libertés : 22 et 23 novembre 2012
- Poitiers
Correspondant Informatique et Libertés : 17 et 18 novembre 2011
Correspondant Informatique et Libertés : 14 et 15 novembre 2012
- Rennes
Correspondant Informatique et Libertés : 11 et 12 juin 2012
- Strasbourg
Correspondant Informatique et Libertés . : 12 et 13 avril 2012
- Toulouse
Correspondant Informatique et Libertés . : 3 et 4 octobre 2011
ISO 27005 Risk Manager .............. : 27 au 29 mars 2012 (#)
Risk Manager Avancé ................. : 30 et 31 mars 2012
ISO 27001 Lead Implementer .......... : 21 au 25 mai 2012 (#)
(#) : formations certifiantes
Pour tout renseignement, et pour vous inscrire pour toutes les villes
contactez Lynda Benchikh : formations at hsc.fr -- +33 141 409 704
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer, HSC
est allé donner des formations inter-entreprises à Marseille, Nice, Niort,
Papeete et Rennes spécialement à la demande des entreprises locales.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue en PDF sur http://www.hsc-formation.fr/
--[ 9. HSC partenaire des Assises de la Sécurité à Monaco ]---------------
HSC sera à nouveau présent aux Assises de la sécurité 2011 du 5 au
8 octobre prochains à Monaco. Matthieu Hentzien, Elisabeth Manca, Thomas
Seyrat, Lynda Benchikh et Kaouther Naoua seront à votre disposition pour
vos projets de prestations d'audit, conseil et formation.
Pensez à prendre rendez-vous "one-2-one" avec Matthieu Hentzien.
Retrouvez-nous sur le stand situé dans l'espace Pôle Collectivités
Territoriales.
http://www.les-assises-de-la-securite.com/Portals/4/secured/partner.asp?f_id_comp=413
--[ 10. Actualité des associations : Club 27001 et OSSIR ]----------------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris jeudi 20 octobre
- "Retour d'expérience des pratiques de certification ISO 27001"
par Philippe Bourdale et/ou Thierry Jagu, et/ou Marcel
Schipman (Afnor Certification), intervenants en cours de
confirmation
- seconde présentation en cours de confirmation
- Point divers
. Réunion suivante à Paris le jeudi 19 janvier 2012 à 14h00
- Programme en cours d'élaboration
. Conférence annuelle du club le mardi 3 avril 2012 à Paris
*** Réservez votre date ***
. Prochaine réunion à Toulouse à la rentrée
. Prochaines à Marseille, Rennes et Lyon annoncées sur
www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
sur les liste de Toulouse, Marseille, etc, sur www.club-27001.fr
pour avoir l'activité du Club 27001 en région.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris le mardi 13 septembre à 14h00
- Supervision réseau avec ZNeTS par Thierry Descombes (IN2P3)
- "Compte-rendu des conférences BlackHat & Defcon" par Benjanmin
Arnault et Renaud Dubourguais (HSC)
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris le mardi 11 octobre
- "Intégration de TLS-SRP (RFC 5054) dans mod_ssl" par Peter Sylvester
(EdelWeb)
- "Certifications de personnes et certifications d'entreprises" par
Thierry Chenu (Dassault Aviation)
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris le mardi 8 novembre
. Prochaine réunion à Lyon annoncée prochainement
. Prochaine réunion à Rennes à la rentrée
. Prochaine réunion à Toulouse le mardi 13 septembre
- Programme en cours d'élaboration
. Réunion suivante à Toulouse le mardi 8 novembre
Plus d'informations sur la liste de diffusion newsletter