[Newsletter HSC] N°85 - Septembre 2011
Newsletter d'information de HSC
newsletter at hsc-news.com
Jeu 1 Sep 11:24:17 CEST 2011
========================================================================
HSC Newsletter -- N°085 -- septembre 2011
========================================================================
« Si nous étions en dictature, les choses seraient plus simples - du
moment que ce serait moi le dictateur. »
[George W. Bush]
--[ Sommaire ]----------------------------------------------------------
1. Éditorial - Stéphane Milani
2. Le saviez-vous ? La question
3. Nouvelle formation : "Référentiel Général de Sécurité (RGS)"
4. Encore plus de formations techniques 'SANS Institute' avec HSC
5. HSC partenaire des Assises de la Sécurité à Monaco
6. Compte-rendu des conférences BlackHat et DEFCON 2011
7. Appel à communication 5ème conférence "SMSI et normes ISO 27001"
8. Appel à communication GS DAYS 2012
9. Offres d'emploi : consultants & stagiaires techniques & orga
10. Agenda des interventions publiques
11. Prochaines formations HSC
12. Actualité des associations : Club 27001 et OSSIR
13. Le saviez-vous ? La réponse
--[ 1. Éditorial - Stéphane Milani ]------------------------------------
Pour une lutte informatique offensive... dans le privé.
L'actualité récente de la sécurité informatique a rendu publique le fait
qu'un grand nombre d'entreprises internationales avaient été piratées et que
des fuites de données importantes avaient été faites [1].
Aussi, une publication anonyme sur le site Pastebin et listant environ 850
noms de domaine utilisés comme canal de commande et de contrôle par des
attaquants [2][3] confirme que le nombre d'entreprises compromises est très
important. Une partie de ces domaines était déjà connue publiquement du fait
qu'ils avaient fuités en février 2011 dans les courriels de HBGary [4].
Le message sur Pastebin indique que ces domaines ont été utilisés par les
attaquants pour cibler essentiellement des entreprises américaines et
canadiennes, pour certaines depuis 5 ans. Aussi, il semblerait que chaque sous
domaine corresponde à une entreprise compromise, ce qui fait donc une
possibilité de 850 organismes/entreprises piratées.
Les adresses IP derrières chaque nom de domaine changent régulièrement et ne
sont bien sûr pas celles des attaquants mais des machines sur Internet
préalablement compromises par les attaquants.
Partie cachée de l'iceberg ?
HSC intervient régulièrement lors d'analyses post-intrusion et confirme ce
type d'attaques sur des entreprises françaises, toutefois aucun de ces noms de
domaines ne corrèle avec nos propres informations.
Les méthodes employées par les attaquants pour compromettre les entreprises
depuis Internet sont ici classiques (vulnérabilités Web, webshells, rebond sur
le réseau interne du fait de filtrage réseau laxiste, fichiers .pdf
malfaisants, etc.) puis ils obtiennent les pleins privilèges sur le réseau des
entreprises piratées (obtention des privilèges Administrateur du domaine
Windows, compromission des VPNs, des systèmes Unix/Linux, voire des
équipements Cisco, etc.).
Le but principal de ces attaques étant d'obtenir des données confidentielles,
des informations classées secrètes, des éléments contractuels, des données
relevant de la propriété intellectuelle ou des fichiers nominatifs. Toutes
ces données sont ensuite centralisées en un point précis du réseau compromis
puis exfiltrées vers une machine sur Internet contrôlée par les attaquants.
Plusieurs Giga de données ont ainsi été récupérés par les attaquants pour
chaque entreprise piratée.
Par ailleurs, les attaquants se laissent ici plusieurs portes d'entrée afin de
pouvoir revenir au cas où l'une d'elles serait découverte et bloquée. Aussi,
plusieurs mois peuvent passer avant que les entreprises ne découvrent
l'intrusion et les fuites de données.
Ces attaques ne sont pas forcément sophistiquées mais plutôt bien préparées et
organisées. Aussi, aucune volonté de cacher les outils utilisés (webshells,
relais TCP, backdoors, keyloggers, outils pour effectuer des tunnels, outils
d'extraction des empreintes de mots de passe, exploits, etc.) ne semble
présente. Les outils sont par ailleurs essentiellement publics et trouvables
aisément sur des sites web et des forums spécialisés d'un pays
étranger. Toutefois, aucun anti-virus ne semble posséder la signature qui
aurait permis leur détection...
Le principal problème pouvant se poser ici lors d'une analyse inforensique
étant de pouvoir remonter l'origine des attaques. En effet, les outils
utilisés par les attaquants sont donc essentiellement publics et n'indiquent
aucunement quelle peut être la source de l'attaque. Aussi, les machines
utilisées par les attaquants pour le C&C et pour stocker les données
exfiltrées sont elles-mêmes déjà piratées et n'appartiennent pas aux
attaquants. Les entreprises piratées ne peuvent dont pas remonter les sources,
car les machines servant de C&C ne leurs appartiennent pas et sont situées
dans des pays étrangers.
Lutte Informatique Offensive (LIO)
Afin de pouvoir compléter l'analyse inforensique, la solution la plus
efficace serait d'effectuer une phase offensive afin de tenter de remonter
vers les sources initiales des attaques, c'est-à-dire effectuer une
compromission des machines piratées sur Internet et utilisées par les
attaquants, récupérer les outils déposés afin d'analyser leur mode de
fonctionnement et comprendre le mode opératoire des attaquants, voir ensuite
d'où viennent les connexions sur ces machines et remonter ainsi de suite vers
ces machines.
La lutte informatique offensive (LIO), terme popularisé notamment par le Livre
Blanc de la Défense Nationale [5] et par le rapport de M. Roger ROMANI pour
le Sénat "Cyberdéfense : un nouvel enjeu de sécurité nationale" [6], est
spécifique aux armées (Ministère de la Défense).
Il s'agit des moyens nécessaires, afin d'être à même de :
- mener une riposte proportionnée en cas d'agression ;
- neutraliser, dans le cadre d'une opération militaire, les systèmes
d'information et de commandement de l'adversaire afin de le paralyser
ou d'atteindre ses centres de décisions.
Cette lutte informatique offensive est faite par le Ministère de la Défense
(État-major des armées) et par des services spécialisés.
Cette phase offensive doit cependant être limitée par un usage strictement
encadré, l'attaque devant bien-sûr être caractérisée de façon à ne pas
répondre de manière disproportionnée à une attaque involontaire. Aussi, des
innocents ayant eu leurs machines piratées et utilisées lors des attaques
pourraient donc également être victime de dommages collatéraux.
Quid du privé ?
La LIO n'est donc possible, stricto sensu, que dans le domaine des armées.
Mais qu'en est-il des entreprises privées, des grands groupes industriels ou
des PME-PMI et que peuvent faire celles-ci afin de répondre à une attaque
ciblée ? Y a-t'il seulement une manière officielle, avec les problèmes
inhérents au domaine du droit et entrainant des délais non compatibles avec
l'urgence de la situation ? Ou bien seule une manière officieuse permettrait
de répondre à ce besoin dans l'urgence ? Les réponses que peuvent fournir les
entreprises du privé face à une attaque en règle, un ennemi invisible et non
clairement identifié sont pour le moins floues.
Les entreprises du privé doivent toutefois avoir les moyens d'effectuer cette
LIO afin de comprendre l'attaque à laquelle elles sont confrontées et/ou
anticiper les futures. Ceci pourrait éventuellement passer par un partenariat
public/privé mais rien ne semble clairement défini pour l'instant.
Peut-être que l'OSSIR, le CLUSIF, l'INHESJ, CDSE, le CIGREF ou encore l'ISO
détiennent-ils la réponse ?
Perdu d'avance face à une attaque ciblée ?
Il ne faut cependant pas se voiler la face. Si quelqu'un (groupe étatique,
entreprise concurrente, etc.) veut pirater une entreprise, il exploitera
inexorablement et sans réserve les moindres faiblesses identifiées. Aussi,
contrairement à une prestation de tests d'intrusion classique, un attaquant
réel n'est pas limité dans le temps, et ne travaille pas sur un périmètre
strictement borné. Les entreprises qui disposent de sites non maitrisés car
dispatchés partout dans le monde sont ainsi particulièrement vulnérables. Les
différents scénarios de menace possibles seront donc TOUS utilisés par les
attaquants, peu importe la vraisemblance, et lorsqu'un scénario n'est plus
possible, ils en utiliseront un autre.
Une veille offensive peut permettre d'anticiper, par la détection de
signaux faibles, la manifestation d'une future attaque. Mais ne nous y
trompons pas, une lutte informatique défensive est primordiale face à
l'offensive.
[1] http://blogs.mcafee.com/mcafee-labs/revealed-operation-shady-rat
[2] http://pastebin.com/yKSQd5Z5
[3] http://risky.biz/RSADump
[4] http://hbgary.anonleaks.ch/greg_hbgary_com/26996.html
[5] http://www.livreblancdefenseetsecurite.gouv.fr
[6] http://www.senat.fr/notice-rapport/2007/r07-449-notice.html
--[ 2. Le saviez-vous ? La question ]-----------------------------------
Au retour des vacances, nombreux sont ceux d'entre nous qui auront pris
des photos depuis un ordiphone Apple. Mais une question se pose, ces images
relevant de la vie privée sont-elles vraiment en sécurité ?
Réponse au paragraphe 13.
--[ 3. Nouvelle formation : "Référentiel Général de Sécurité (RGS)" ]---
Le référentiel général de sécurité (RGS) s'impose aux autorités
administratives comme défini dans l'ordonnance 2005-1516 [1]. Il impose la
mise en place d'un niveau de sécurité des systèmes d'information adapté à
l'autorité administrative. Pour cela plusieurs étapes sont nécessaires comme
la définition d'une politique de sécurité, la réalisation de l'appréciation
des risques et l'homologation des systèmes.
La formation "RGS" d'HSC présente en un jour le RGS et les obligations ou
recommandations issues du référentiel, ainsi que les moyens de les mettre en
oeuvre. Cette formation s'adresse à toute personne ayant la nécessité de
connaître et comprendre le RGS et plus particulièrement, les responsables de
mise en conformité au RGS au sein des autorités administratives ainsi que des
fournisseurs de services à une autorité administrative.
Première session à Paris le 28 mars 2012.
Objectifs, formateurs, public visé et pré-requis, pédagogie et plan du cours :
http://www.hsc-formation.fr/formations/rgs.html.fr
[1] : http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=EEAC0AD8BB6FDBA496016604250C6039.tpdjo02v_2?idArticle=LEGIARTI000006317133&cidTexte=LEGITEXT000006052816&dateTexte=20110803).
--[ 4. Encore plus de formations techniques 'SANS Institute' avec HSC ]-
Hervé Schauer Consultants est centre de formation agréé du SANS Institute
depuis janvier 2011 et les consultants HSC sont devenus instructeurs du SANS
Institute (SANS "Mentor"). Le SANS Institute (www.sans.org) propose les
formations et les certifications 'GIAC' (www.giac.org) qui ont les niveaux
techniques les plus élevés au monde en sécurité informatique. HSC proposera
progressivement la totalité du programme des formations SANS.
HSC dispense depuis janvier 1989 des formations techniques en sécurité, a
l'expérience des formations avec travaux pratiques (ordinateurs fournis par
HSC) et envoi entre 4 et 10 consultants suivre des formations SANS Institute
chaque année depuis 1998 sans discontinuer.
Les formations du SANS Institute assurées par HSC sont toujours délivrées par
au moins deux consultants, qui ont entièrement suivi les formations du SANS
Institute qu'ils redonnent, en plus d'être certifiés GIAC.
Voici notre planning des sessions de formations SANS Institute, toutes
disponibles en intra-entreprise, et pour les plus demandées les dates des
sessions inter-entreprises.
o Sécurité des réseaux et des systèmes
- Security Essentials - SEC401 : 6 au 10 février 2012, 1 au 5 octobre 2012
http://www.hsc-formation.fr/formations/sec401_security_essentials.html.fr
- Sécuriser Windows - SEC505 : 10 au 14 octobre 2011,
21 au 25 mai 2012, 3 au 7 décembre 2012
http://www.hsc-formation.fr/formations/sec505_securiser_windows.html.fr
- Sécuriser Unix&Linux - SEC506 : 4 au 8 juin 2012, 10 au 14 décembre 2012
http://www.hsc-formation.fr/formations/sec506_securiser_linux_unix.html.fr
o Inforensique
- Computer Forensic Investigations - Windows In-Depth - FOR408
18 au 22 juin 2012, 5 au 9 novembre 2012
http://www.hsc-formation.fr/formations/for408_computer_forensic_investigations_windows.html.fr
- Analyse Inforensique avancée et réponse aux incidents clients - FOR508
24 au 28 octobre 2011, 10 au 14 septembre 2012
http://www.hsc-formation.fr/formations/for508_forensic.html.fr
- Network Forensics - FOR558
http://www.hsc-formation.fr/formations/for558_network_forensics.html.fr
- Mobile Device Forensics - FOR563
http://www.hsc-formation.fr/formations/for563_mobile_device_forensics.html.fr
o Tests d'intrusion
- Tests d'intrusion applicatifs et hacking éthique - SEC542
12 au 16 mars 2012, 8 au 12 octobre 2012
http://www.hsc-formation.fr/formations/sec542_webapp_pentest_and_ethical_hacking.html.fr
- Network Penetration Testing and Ethical Hacking - SEC560
26-30 septembre 2011, 14-18 novembre, 23-27 janvier 2012, 25-29 juin
http://www.hsc-formation.fr/formations/sec560_ethical_hacking.html.fr
- Tests d'intrusion avancés, exploits, hacking éthique - SEC660
26 au 30 mars 2012
http://www.hsc-formation.fr/formations/sec660_test-d-intrusion-avance.html.fr
o Sécurité dans les développements
- Durcissement des applications web - DEV522
2 au 6 avril 2012, 19 au 23 novembre 2012
http://www.hsc-formation.fr/formations/dev522_defending_webapp_security_essentials.html.fr
- Secure Coding in Java/JEE : Developing Defensible Applications - DEV541
http://www.hsc-formation.fr/formations/dev541_secure_coding_in_Java.html.fr
- Securing Coding in C and C++ - DEV543
http://www.hsc-formation.fr/formations/dev543_secure_coding_in_C.html.fr
- Secure Coding in .NET : Developing Defensible Applications - DEV544
http://www.hsc-formation.fr/formations/dev544_secure_coding_in_NET.html.fr
--[ 5. HSC partenaire des Assises de la Sécurité à Monaco ]---------------
HSC sera à nouveau présent aux Assises de la sécurité 2011 du 5 au 8
octobre prochains à Monaco. Matthieu Hentzien, Thomas Seyrat, Lynda Benchikh
et Kaouther Naoua seront à votre disposition pour vos projets de prestations
d'audit, conseil et formation.
Pour prendre rendez-vous en tête à tête avec Matthieu Hentzien, contactez
Elodie Helvin-Bourhfella : Elodie.Helvin at hsc.fr -- +33 141 409 700
Le stand HSC situé dans l'espace 'Pôle Collectivités Territoriales'
(http://www.les-assises-de-la-securite.com/Accueil/Collectivites.aspx)
un nouvel espace créé pour la première fois aux Assises.
Retrouvez-nous à Monaco !
http://www.les-assises-de-la-securite.com/Portals/4/secured/partner.asp?f_id_comp=413
--[ 6. Compte-rendu des conférences BlackHat et DEFCON 2011 ]-------------
par Benjamin Arnault et Renaud Dubourguais
Black Hat USA 2011 s'est tenu au Caesars Palace à Las Vegas, du 30 juillet
au 4 août 2011 et Defcon pour la première fois à l'hotel Rio du 4 au 7 août
2011.
Parmi les grands thèmes de cette année, on retrouvait notamment android, les
bases de données, Metasploit, l'exploitation de failles avec ROP et
l'inforensique.
"Hacking Google Chrome OS"
Matt Johansen & Kyle Osborn
===========================
Cette conférence a mis l'accent sur la fragilité de l'OS développé par
Google. Le système n'étant en réalité qu'un simple navigateur web auquel
l'utilisateur final peut ajouter de nouvelles fonctionnalités via des
"extensions", les orateurs ont particulièrement insisté sur l'utilisation
d'extensions vulnérables à des attaques web classiques (XSS, CSRF, etc.). Le
cloisonnement entre les onglets du navigateur (un ou plusieurs par extension)
étant quasi-nul, un XSS dans une extension peut donc permettre de rebondir
aisément sur une autre.
D'autre part, bien que les permissions demandées par les extensions soient
indiquées avant l'installation, il est très rare que celles-ci attirent
l'attention de l'utilisateur. Partant de ce postulat, l'impact de
l'exploitation d'une extension vulnérable voire malfaisante est immédiat :
récupération de données personnelles, création d'un botnet, injection de code
JS au sein des pages web consultées (Facebook, Twitter, sites bancaires), etc.
Les orateurs concluent sur une démonstration montrant, via une extension
malfaisante, la récupération des mots de passe stockés dans l'application
LastPass avec la possibilité de les envoyer sur un serveur distant.
"Physical Memory for cache"
Jamie Butler & Justin Murdock
=============================
Les études inforensiques s'appuient sur l'analyse des disques (fixes et
amovibles) et de la mémoire. L'analyse de la mémoire est une méthode très
performante pour identifier les informations pertinentes par "triage". Par
ailleurs, l'augmentation de la taille des disques durs est un argument en
faveur de l'attrait de l'étude de la mémoire. Aujourd'hui, l'étude
inforensique de la mémoire traditionnelle s'intéresse à la récupération de
binaires, l'analyse des descripteurs d'adresse virtuelles (VAD) et la
recherche des blocs EPROCESS. Ceci permet d'aboutir à un arbre VAD complet.
Cependant, cette approche ne permet pas de récupérer toutes les données liées
au binaire. En effet, les exécutables et bibliothèques dynamiques sont des
fichiers mappés en mémoire, dont une partie peut se trouver en cache.
Jamie Butler & Justin Murdock évoquent une méthode permettant de récupérer
plus de données d'un processus en utilisant le cache. La VAD contient un
pointeur vers une zone de contrôle qui elle-même contient plusieurs pointeurs
dont un vers les données en cache. Dans le cache, se trouvent également des
clés de registre et des fichiers comme des PDF, par exemple.
Afin de réaliser un triage plus efficace, l'approche de liste blanche pour
les processus en mémoire permet d'exclure des fichiers sains et donc limiter
l'espace de recherche des processus malfaisants. Pour cela, l'outil Memoryze
2.0 est présenté permettant de réaliser le contrôle de signatures "MemD5" de
processus en mémoire.
"ARM Exploitation ROPmap"
Long Le & Thanh Nguyen
=========================
Cette présentation avait pour objectif de présenter l'outil ROPmap étendant
les possibilités de l'outil RopeMe et visant à faciliter, voire automatiser la
génération de charges utiles ROP pour les architectures ARM.
Le fonctionnement de cette extension reste simple mais n'en est pas moins
complexe à implémenter. Les orateurs ont notamment défini un méta-langage
compris et interprété par l'extension qui se charge ensuite de rechercher via
les fonctions de RopeMe les différents gadgets associés au sein des binaires
et bibliothèques ARM. Un travail conséquent a notamment été mené par les
conférenciers concernant la reconnaissance des gadgets utiles au sein de
binaires compilés pour des architectures ARM. Au terme de la recherche, la
charge utile est générée et prête à être utilisée au sein d'un code
d'exploitation.
"Exploiting Siemens Simatic S7 PLCs"
Dillon Beresford
====================================
Dillon Beresford s'est intéressé à la sécurité des équipements PLC Siemens
Simatic S7-300, 400 et 1200. Ces équipements de contrôle de commandes sont
utilisés dans des environnements industriels souvent sensibles.
L'étude met en évidence de nombreux problèmes de sécurité, tant au niveau de
la conception que de l'implémentation : absence d'authentification,
communications en clair, structure par couches ... les années 80. Après écoute
des communications, le rejeu de paquets est possible simplement. La
vulnérabilité la plus intéressante est la possibilité de lire dans la mémoire
(obtention d'identifiants et de mots de passe) mais aussi d'y écrire et cela
sans restriction particulière. L'écriture permet de contrôler complètement le
PLC : arrêt du CPU, modification de configuration, obtention d'invite de
commande ...
Dillon Beresford a présenté des modules Metasploit permettant la récolte
d'information, dump de mémoire, contrôle du PLC ...
"Covert post-exploitation forensics with Metasploit"
Robert McGrew
====================================================
Lors d'enquêtes inforensiques, l'expert est amené à inspecter les disques
d'une machine. Cela sous-entend de disposer d'un accès physique à la machine
afin d'accéder directement au système de fichiers ou de réaliser une image
disque pour l'examiner ultérieurement. Ainsi, le possesseur de la machine est
au courant de l'investigation et pourrait faire disparaître des informations
avant de fournir la machine.
Afin de remédier à ce problème, Robert McGrew propose une approche différente
: accéder à la machine par le réseau sans que le possesseur ne soit au courant
de l'investigation. Techniquement, cela implique un accès distant aux systèmes
de fichiers par le réseau. Un module post-exploitation meterpreter utilisant
Railgun est présenté. Il permet d'accéder à tout système de fichiers Windows
distant sur une machine Linux. Le seul pré-requis est l'obtention d'une invite
meterpreter sur la machine cible. Le module réalise des appels de l'API
Windows pour créer un périphérique local /dev/nbd0. Le système de fichiers est
montable localement ou sur un système Windows distant par le biais du iSCSI.
Robert McGrew précise que le point faible de cette méthode est la vitesse.
Il faudrait une implémentation iSCSI en ruby !
"Sophail : A critical analysis of Sophos Antivirus"
Tavis Ormandy
===================================================
Un des logiciels antivirus les plus utilisés en entreprise : Sophos Antivirus
a été étudié par Tavis Ormandy. Il s'est intéressé aux aspects sécurité du
produit : détection et atténuation des menaces ainsi que le chiffrement.
Les conclusions mettent en évidence un certain nombre de faiblesses : Les
signatures employées s'appuient sur le CRC32 et les fichiers de signatures sont
chiffrés au moyen de XOR et d'une clé présente dans le fichier. Le service de
protection contre les débordements de tampon ne fonctionne que sur les
versions de Windows antérieures à Windows Vista alors qu'il est annoncé comme
fonctionnel pour toute version. L'implémentation de la vérification des
chaînes d'exceptions SEHOP est plus mauvaise que la version de référence. Elle
peut être contournée par un retour en libc, malgré la présence d'une
protection Sophos contre ce type de retour. Le chiffrement SPMAA est faible et
mal utilisé, il en résulte un simple obscurcissement. Sophos travaille
actuellement sur une nouvelle version du SMPAA et sur une implémentation de
signatures SSL. L'émulation de code natif s'appuie sur un simple émulateur x86
dont beaucoup de fonctionnalités sont inopérantes. Les appels systèmes sont
codés en dur, ce sont ceux de Windows Server 2003 SP1. Les eclateurs natifs
sont pour la plupart obsolètes et inutiles. Enfin, le support des archives
n'est pas de qualité homogène : parfois étrange ou inopérant.
"Hacking and forensicating an Oracle Database Server"
David Litchfield
=====================================================
Après avoir fait un rapide récapitulatif des différentes méthodes de
compromission d'une base de données Oracle, David Litchfield a présenté les
outils d'analyse inforensique Oracle développés par ses soins et dénommés
V3rity. Ils constituent à l'heure actuelle les tous premiers outils
réellement dédiés à cette tâche et sont disponibles gratuitement.
Après un important travail d'analyse des formats très disparates des
différents fichiers journaux Oracle, les outils ont été publiés fin 2010 et
fournissent un important panel de fonctionnalités permettant entre autres :
- une uniformisation de l'ensemble des journaux Oracle au format XML
facilitant ainsi une analyse post-incident ;
- une analyse de ces données XML à l'aide de filtres, recherches, etc. et
cela via un outil entièrement graphique.
Une démonstration très convaincante a été réalisée au terme de la
présentation montrant à quel point il est maintenant simple d'établir le
schéma d'une attaque visant les serveurs Oracle.
Seule une version Windows est actuellement disponible et supporte Oracle 9i,
10g et 11g. Pour plus d'informations: http://www.v3rity.com/v3rity.php
"A crushing blow at the heart of SAP J2EE Engine"
Alexander Polyakov
=================================================
SAP, progiciel utilisé par de nombreuses entreprises, s'appuie sur la
technologie J2EE pour automatiser certaines tâches et proposer des moyens
d'administration à distance s'appuyant sur J2EE. Alexander Polyakov s'est
intéressé à la sécurité de SAP associé à J2EE.
L'accès à une interface d'administration web SAP basée sur J2EE permet
d'obtenir des informations sur l'application (version, noyau, utilisateur,
journaux ...). La quantité d'informations dépend de la présence de mises à jour
SAP. Des vulnérabilités permettant de attaques de type XSS, SMBRelay et CSRF
ont également été découvertes. La protection CSRF SAP peut être contournée par
un attaquant via la SOAPAPI.
Le protocole SPML permet de manipuler les objets. Un attaquant peut
l'utiliser pour prendre la main sur un serveur en exploitant un XSS qui
exécute des appels SPML. Il peut également réaliser des appels directs non
authentifiés aux servlets pour réaliser des actions d'administration.
Alexander Polyakov s'est intéressé à la méthode d'attaque "Verb Tampering"
qui permet d'exécuter des requêtes avec le verbe http HEAD au lieu de GET.
Ceci peut être utilisé pour réaliser un déni de service, permettre de créer un
relais SMB ou ajouter un utilisateur dans un groupe. Il suffit de deux
requêtes pour prendre la main sur un serveur SAP.
Pour pallier à ces vulnérabilités, il convient de contrôler le fichier
web.xml. Un outil permettant la vérification du fichier est présenté.
"Chip & PIN are definitely broken"
Andrea Barisani, Adam Lauri, Zac Franken, Daniele Bianco
========================================================
Après un récapitulatif de l'état de l'art des attaques par écrémage
('skimming') consistant à copier la bande magnétique des cartes bancaires et à
récupérer les codes PIN par un mécanisme de vidéosurveillance sur un DAB
piégé, les conférenciers ont frappé un grand coup en montrant qu'il était
également possible de réaliser la même opération par lecture de la puce en
tant qu'intercepteur.
Un outil d'écrémage est alors présenté. Celui-ci, mesurant seulement quelques
millimètres d'épaisseur, s'insère dans le lecteur de cartes à puce des DAB.
Une attaque par MITM s'opère alors (l'outil se trouve en interception entre le
lecteur du DAB et la carte de la victime). Toutes les données stockées sur la
carte peuvent alors être lues. Du point de vue de la victime, l'attaque est
totalement invisible.
Les dernières versions du standard EMV imposent néanmoins la mise en place de
mécanismes de chiffrement entre la carte et le DAB pour l'authentification par
code PIN. Cependant, l'authentification en clair est toujours supportée. Par
une attaque dite "CVM downgrade" (CVM est la liste des algorithmes de
chiffrement supportés), les conférenciers ont montré qu'il était alors
toujours possible de forcer la mise en place d'une authentification en clair.
Il est alors simple de récupérer le code PIN de la victime lors de
l'interception du flux entre la carte et le DAB.
La faille a été remontée par les auteurs à MasterCard qui a répondu que les
corrections à apporter étaient trop importantes. Seuls quelques pays ont
interdit l'authentification en clair au sein de la liste CVM se mettant ainsi
en désaccord avec le standard EMV actuel.
"Jugaad - Linux Thread Injection Kit"
Aseem "@" Jakhar
=====================================
Cette conférence avait pour objectif de présenter l'outil Jugaad permettant
l'injection de code en mémoire au sein d'un processus sous Linux. Cette
technique se différencie d'une injection de bibliothèque classique dans le
sens ou aucun code n'est écrit sur disque. Pour cela, l'auteur utilise les
fonctionnalités offertes par la fonction ptrace(). Cet outil vient remettre au
goût du jour cette très ancienne technique présentée notamment il y a 4 ans au
SSTIC 2006 par Nicolas Bareil.
"Server-Side Javascript Injection: Attacking NoSQL and Node.js"
Bryan Sullivan
===============================================================
Bryan Sullivan a présenté les menaces pesant sur la nouvelle tendance qu'est
l'exécution de code Javascript côté serveur (SSJS). Nous pouvons notamment
retrouver cette technologie dans les bases de données NoSQL telle que MongoDB
par exemple. Un panel des vulnérabilités possibles est alors dressé et
l'auteur insiste particulièrement sur les injections de codes Javascript
pouvant notamment amener à l'exécution de commandes systèmes arbitraires
(fonction supportée par Node.js notamment) et la récupération de fichiers
arbitraires sur le serveur.
Aucune nouveauté en termes de vulnérabilités par rapport à des serveurs web
classiques, mais cette conférence a néanmoins permis de montrer que cette
technologie ne fournissait pas de meilleurs mécanismes de sécurité que
d'autres et que la prise en compte de la sécurité lors des développements
reste essentielle.
Dans une deuxième partie de présentation, Bryan Sullivan a abordé les bases
NoSQL en montrant que ce type de bases de données ne réduisait en rien les
possibilités d'injections. La plupart des bases NoSQL ne proposent aucune
authentification lors d'un accès à l'interface d'administration. L'auteur a
alors montré que par des attaques CSRF, un attaquant pouvait utiliser le
navigateur d'une victime pour récupérer les données d'une base NoSQL interne
et cela depuis Internet. La consultation d'une page malfaisante spécialement
conçue permet cette opération.
"Virtunoid: Breaking out of KVM"
Nelson Elhage
================================
Nelson Elhage a présenté un code d'exploitation de la vulnérabilité
CVE-2011-1751. Après un rapide rappel de l'architecture de KVM composée de 3
éléments principaux (kvm.ko, kvm_intel.ko ou kvm_amd.ko et qemu-kvm), Nelson
Elhage a détaillé une méthode d'exploitation de la vulnérabilité de type
use-after-free permettant de prendre le contrôle de la machine hôte depuis une
machine virtuelle KVM.
L'originalité de ce code d'exploitation est le contournement de l'ASLR par le
calcul en mémoire d'adresses de référence en utilisant le mécanisme
d'allocation mémoire des machines virtuelles par KVM.
Le code d'exploitation a été publié depuis la conférence.
"Cellular Privacy: A Forensic Analysis of Android Network Traffic"
Eric Fulton
==================================================================
Aujourd'hui, de nombreuses informations sont présentes sur les ordiphones :
enregistrement de conversations, historiques, clés privées, courriels,
identifiants et mots de passe, localisation ... Les applications malfaisantes
exfiltrent ces données ; mais quid des autres.
Eric Fulton a écouté le trafic de plusieurs applications afin de déterminer
quelles informations étaient exfiltrées. Zynga, Facebook et même le site
google.com ajoutent des données aux requêtes des utilisateurs. Le nom de
l'opérateur, type de téléphone, version d'android, langue, résolution de
l'écran, identifiant du téléphone sont des données exfiltrées.
Une simple requête sur google.com et la liste des points d'accès Wi-Fi autour
de vous, la position de votre téléphone, l'adresse IP et la durée d'allumage
du téléphone sont envoyés à Google !
Retour sur le CTF Defcon 2011
=============================
Le CTF - Capture The Flag - de cette année n'a pas connu de problèmes majeurs
et s'est déroulé dans les règles de l'art (démarrage avec près d'1h30 de
retard). L'équipe française, alias "Les Routards", a de nouveau concouru et a
terminé 2e pour la quatrième fois consécutive... Néanmoins, cette année a été
particulièrement serrée, seulement quelques centaines de points séparaient
"Les Routards" des premiers. Sans de multiples pénalités données aux Routards
pour avoir envoyé trop rapidement des clés sur les serveurs des organisateurs
(provoquant un léger déni de service), la première place était à leur portée.
--[ 7. Appel à communication 5ème conférence "SMSI et normes ISO 27001" ]
Le Club 27001 (http://www.club-27001.fr/), association à but non lucratif,
organise à Paris le mardi 3 avril 2012 sa cinquième conférence annuelle autour
des usages des normes ISO 2700X. Cette conférence se déroulera à l'espace
Saint-Martin dans le cadre des GS-DAYS (www.gsdays.fr).
La conférence annuelle du Club 27001 privilégie les retours d'expérience dans
l'utilisation des normes de la série ISO 27000, qu'il s'agisse de la mise en
oeuvre d'une des normes, leur usage y compris sans certification, les
difficultés rencontrées et les intérêts perçus.
Voici les thèmes sur lesquels nous attendons des propositions, sans que
ceux-ci soient exhaustifs :
- Mise en oeuvre d'un SMSI
. Retour d'expérience
. Reprise de l'existant
. Comment engager sa direction générale
. Comment surmonter la peur du SMSI
- Management des risques en sécurité de l'information
. Retour d'expérience de mise en oeuvre de l'ISO 27005
. Technique d'entretien et d'implication des métiers
. Échelles et calcul du risque
. Interactions avec les autres gestions des risques : opérationnels,
industriels, CHSCT, financiers, etc
. Usage de l'ISO 27005 dans les projets, les systèmes embarqués, etc
. Cohabitation d'ISO27005 avec EBIOS, Mehari et RiskIT
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
. Gouvernance de la SSI, de la sécurité en général, de l'IT, du management
des risques
. Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc) avec
ISO 27001
. Mutualisation, opposition, complémentarité, déclencheur, etc
. Cohabitation ISO27001 et ISO 20000-1 / ITIL (services informatiques)
. Coordination entre SSI (ISO 27001) et continuité d'activité
(ISO 22301 / ISO 27031 / ISO 27013 / BS25599)
. CobiT (audit informatique, contrôle interne)
. Utilisations d'ISO 27001 dans le cadre d'autres référenciels :
RGS, PCI-DSS, SoX, Bâle II/Solvency II, hébergeur données de santé,
ARJEL, etc
- Audits internes
. Mise en place d'audits internes pour le SMSI
. Mutilisation des audits internes ISO 27001 (avec ISO 9001, etc)
. Utilisation de l'ISO 19011 et ISO 27006
- Indicateurs, métriques et tableaux de bord
. Retours d'expérience
. Usage de l'ISO 27004
. Liens avec d'autres référentiels (TBSSI, etc)
- Certification ISO27001 et audits de SMSI
. Retour d'expérience des accréditeurs, des organismes de certification,
des auditeurs et des audités
. Contrôle de l'appréciation des risques
. Interprétations de la Déclaration d'Applicabilité
- Applications sectorielles de l'ISO 27001 : télécommunications, santé, etc
. Utilité et usage du référentiel appliqué à un métier (27011, 27799, etc)
. Complémentarité avec le référentiel métier (WLA, etc)
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
. A quoi servent les certifications individuelles ?
Les propositions doivent faire part d'un retour d'expérience pratique, et
ne doivent pas être la présentation d'une offre de service, d'un produit ou
plus généralement d'une solution commerciale. Le comité de programme sera
sensible à l'aspect pratique des propositions. Cependant, les
propositions présentant une analyse ou un comparatif fondé sur des tests
scientifiques pourraient être acceptées.
Les présentations feront de 35 à 45 minutes et seront en français ou en
anglais.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page maximum de l'intervention avec un plan de celle-ci
Calendrier
- 15 novembre 2011 : date limite de réception des soumissions
- 15 janvier 2012 : notification aux auteurs et
publication du pré-programme
- 15 février 2012 : publication du programme définitif
- 15 mars 2012 : réception des présentations
- 3 avril 2012 : conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, soit :
- Claire Albouy-Cossard, CNAMTS
- Bertrand Augé, Kleverware, trésorier
- Gérôme Billois, Solucom
- Dominique Ciupa, Edelweb
- Guillaume Corbillé, Laser, trésorier-adjoint
- Eric Doyen, Générali, président
- Emmanuel Garnier, Systalians, vice-président
- Loic Guézo, IBM
- Freddy Milesi, Sekoia
- Anne Mur, Edelweb, secrétaire-adjointe
- Hervé Schauer, HSC, secrétaire
- Jérôme Vivier, SNCF
--[ 8. Appel à communication GS DAYS 2012 ]-----------------------------
La 4ème édition des GS Days se déroulera le 3 avril 2012 à l'espace
Saint-Partin à Paris. L'objectif des GS Days, Journées francophones de la
sécurité, est d'établir le dialogue entre le monde de la technique
(administrateurs, experts sécurité), les RSSI, DSI et les décideurs. Ce
colloque, exclusivement en français, propose, dans un même espace, plusieurs
cycles de conférences et de démonstrations d'attaque informatique, sous un
angle technique, organisationnel et juridique.
Quelques exemples de thèmes sur lesquels nous attendons des soumissions :
o Les attaques aujourd'hui sur :
- Les Web Services et les navigateurs : XSS, CSRF, etc.
- Les technologies sans-fil : Wifi, RFID, etc.
- Les terminaux mobiles
- Les bases de données?
o L'évolution des moyens de protection :
- Sur le Web : WAF, etc.
- Test d'intrusion : les bonnes pratiques?
- Quels outils et quels paramétrages adaptés : IDS/IPS, firewall?
o Les aspects organisationnels et humains
- Les hommes (ingénierie sociale)
- La guerre de l'information et l'hacktivisme
- Les nouveaux usages du SI : réseaux sociaux, applications en ligne...
- Pourquoi et comment sécuriser l'information ?
o Les thèmes juridiques :
- Le SI : Droit, devoir et obligations
- Comment se protéger des risques liés à l'usage des réseaux sociaux
- La fraude et les transactions bancaires
- Le droit peut-il quelque chose en cas de fuite d'information ? ?
Les présentations attendues devront proposer une vision technique ou
scientifique. Les présentations à fin commerciale ou la présentation d'un
produit ne seront pas acceptées. Cependant, les propositions présentant une
analyse technique de la sécurité d'un produit, un comparatif fondé sur des
tests scientifiques, et les retours d'expérience avec un aspect technologique,
seront examinées avec attention.
Chaque soumission d'une à deux pages avec un résumé de moins de 15 lignes
précisera le titre de la communication et sa catégorie, les noms et prénoms du
ou des auteurs et leur affiliation, une liste de mots clés et l'adresse de
courrier électronique d'au moins un des auteurs.
Le format des conférences sera de 50 minutes dont 5 à 10 minutes de questions.
Le comité de programme qui sélectionnera les conférenciers et le contenu du
colloque à partir des soumissions reçues est composé de Marc Jacob et
Emmanuelle Lamandé (Global Security Mag, organisateur), Eric Doyen (Generali),
Emmanuel Garnier (Systalians), Olivier Guérin (CLUSIF), Philippe Humeau (NBS),
Diane Mullenex (Cabinet Ichay et Mullenex), Olivier Revenu (EdelWeb), Hervé
Schauer (HSC) et Paul Such (SCRT).
- Date limite de soumission : 15 décembre 2011
Envoi des soumissions par courriel à Marc.Jacob at globalsecuritymag.com
- Notification aux auteurs : 10 janvier 2012
- Envoi des présentations définitives : 12 mars 2012
- Conférence : 3 avril 2012
Pour en savoir plus : http://www.gsdays.fr/
--[ 9. Offres d'emploi ]------------------------------------------------
HSC recrute des stagiaires et des consultants en sécurité des systèmes
d'information, aussi bien en sécurité technique qu'en sécurité fonctionnelle
organisationnelle et juridique.
+----------------------------------------------------------------------------+
| HSC recherche particulièrement des consultants expérimentés (3 à 5 ans) |
| sur l'ISO27001, la gestion des risques SSI et les aspects organisationnels |
| de la SSI. Vous vous lassez des régies et des missions longues ? N'hésitez |
| pas, profitez de votre expérience pour postuler et faire de l'expertise. |
+----------------------------------------------------------------------------+
Pour les aspects techniques de la sécurité, afin :
- D'auditer la sécurité d'infrastructures et d'applications variées
- De faire des tests d'intrusion artisanaux qui intrusent
- De procéder à des enquêtes inforensiques et des analyses post-incident
- Plus généralement de participer aux projets techniques en sécurité
Pour les aspects fonctionnels, organisationnels et juridique de la sécurité,
afin :
- D'accompagner aux démarches de gouvernance de la SSI, notamment lors de
la mise en place de SMSI suivant la norme ISO 27001
- De réaliser ou d'assister dans la gestion des risques de sécurité de
l'information (ISO 27005 et EBIOS)
- D'élaborer des procédures et documents synthétiques et pragmatiques
(politiques, chartes, etc)
- Plus généralement, de participer aux projets utilisant les normes de la
série ISO27K pour répondre aux attentes des clients.
Les qualités recherchées sont les suivantes :
- Bonne qualité de rédaction en français
- Bon contact humain
- Maîtrise de l'informatique et des technologies de l'information,
notamment la technique pour les candidats techniques et la compréhension
des enjeux du pilotage de la SSI par les risques pour les candidats
organisationnels
- Discrétion et capacité à travailler sur des projets sensibles, des
infrastructures vitales, etc
- Compréhension du modèle économique de l'activité d'expertise
- Passion pour la sécurité
Les qualités suivantes seront un plus apprécié :
- Adaptabilité au contexte d'un client
- Autonomie
- Bonne expression à l'oral
- Maîtrise de l'état d'esprit pour la fourniture de services à valeurs
ajoutées
Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC, aussi
bien sur les normes ISO 27001 et ISO 27005 ou le juridique de la SSI, qu'aux
tests d'intrusion, l'inforensique, ou la sécurité Windows et la sécurité des
applications web. Cela représente pour chaque nouveau consultant de 2 à 6
semaines de formations suivies dans le cadre de sa prise de fonction.
HSC recherche également des stagiaires en fin d'étude pour des stages de
pré-embauche pour des postes de consultants, soit au sein de l'équipe
technique, soit au sein de l'équipe organisationnelle et juridique.
Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2). Si vous
souhaitez proposer votre candidature, nous vous remercions d'envoyer votre CV
en texte ascii par courrier électronique à cv at hsc.fr.
--[ 10. Agenda des interventions publiques ]----------------------------
- 13 septembre 2011 - OSSIR Paris
"Compte-rendu des conférences BlackHat et DEFCON" - Benjamin Arnault et
Renaud Dubourguais
http://www.ossir.org/paris/supports/liste-2011.shtml
- 20 septembre 2011 - Netfocus - Lyon, Hôtel Hilton
"Que faut-il faire avant de mettre votre nouvelle offre (application) en
ligne sur le WEB ?" - Jean-Baptiste Aviat
http://netfocus.baptie.com/themes/hawaii/events/ViewEvent.aspx?evId=1294102d-7430-481b-b00f-c2d03dffa90f&sc=
- 29 septembre 2011 - OzSSI SudEst - Lyon, DRRF Rhône-Alpes/Auvergne
"Panorama des normes SSI" - Hervé Schauer
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 11. Prochaines formations HSC ]-------------------------------------
Attention ! Les sessions de formations ISO27001 LA et LI d'octobre sont
complètes, inscrivez-vous vite en septembre où il reste de la place. La
session ISO27005 RM de novembre est complète. Inscrivez-vous en septembre ou
octobre.
Nos prochaines formations sont les suivantes :
- Paris
ISO 27001 Lead Implementer .......... : 5 au 9 septembre (#)
ISO 27001 Lead Auditor .............. : 12 au 16 septembre (#)
ISO 27005 Risk Manager .............. : 19 au 21 septembre (#)
Risk Manager Avancé ................. : 22 et 23 septembre
Essentiel de la série ISO27001 ...... : 22 et 23 septembre
PenTesting/Ethical Hacking(SANS SEC560/GPEN): 26 au 30 septembre (*)(#)
ISO 27001 Lead Auditor .............. : 3 au 7 octobre (#)(C)
Information Security Foundations .... : 3 et 4 octobre (#)
Gestion des identités et des accès .. : 5 au 7 octobre
Sécurité des serveurs et applications web : 5 au 7 octobre (*)
Sécuriser Windows (SANS SEC505 / GIAC GCWN) : 10 au 14 octobre (*)(#)
Formation RSSI ...................... : 10 au 14 octobre
ISO 27001 Lead Implementer .......... : 17 au 21 octobre (#)(C)
ISO 27005 Risk Manager .............. : 19 au 21 octobre (#)
Analyse inforensique (SANS FOR508 / GCFA) : 24 au 28 octobre (*)(#)
Fondamentaux techniques de la SSI ... : 24 et 25 octobre
Correspondant Informatique et Libertés : 26 et 27 octobre
Essentiel de PCI-DSS ................ : 28 octobre
Sécurité Unix et Linux .............. : 7 et 8 novembre (*)
ISO 27005 Risk Manager .............. : 7 au 8 novembre (#)(C)
Indicateurs & tableaux de bord SSI/ISO27004 : 10 novembre
PenTesting/Ethical Hacking(SANS SEC560/GPEN): 14 au 18 novembre (*)(#)
Formation DNSSEC ..................... : fin novembre
Sécurité du WiFi .................... : 28 et 29 novembre (*)
Juridique de la SSI ................. : 1 et 2 décembre
Mesures de sécurité ISO 27002 ........ : 19 et 20 décembre
Essentiels de la sécurité (SANS SEC401) : 6 au 10 février 2012 (*)
Web App PenTesting (SANS SEC542/GIAC GWAPT) : 12 au 16 mars 2012 (*)(#)
Essentiel du RGS .................... : 28 mars 2012
(*) : formations avec travaux pratiques avec un ordinateur par stagiaire
(#) : formations certifiantes
(C) : session de formation complète
- Luxembourg
ISO 27005 Risk Manager .............. : 28 au 30 novembre (#)
ISO 27001 Lead Auditor .............. : 13 au 17 février 2012 (#)
ISO 27005 Risk Manager .............. : 9 au 11 mai 2012 (#)
ISO 27001 Lead Implementer .......... : 24 au 28 sept. 2012 (#)
- Bordeaux
Correspondant Informatique et Libertés : avril 2012
- Clermont-Ferrand
Correspondant Informatique et Libertés : 8 et 9 décembre 2011
- Lille
Correspondant Informatique et Libertés : 13 et 14 février 2012
- Limoges
Correspondant Informatique et Libertés : 17 et 18 octobre 2011
- Lyon
Correspondant Informatique et Libertés : avril 2012
- Marseille
Correspondant Informatique et Libertés : 20 et 21 mars 2012
- Montpellier
Correspondant Informatique et Libertés : 6 et 7 septembre 2012
- Nantes
Correspondant Informatique et Libertés : 10 et 11 octobre 2011
- Nice
ISO 27005 Risk Manager .............. : 25 au 27 juin 2012 (#)
Risk Manager Avancé ................. : 28 et 29 juin 2012
Correspondant Informatique et Libertés : 22 et 23 novembre 2012
- Poitiers
Correspondant Informatique et Libertés : 17 et 18 novembre 2011
Correspondant Informatique et Libertés : 14 et 15 novembre 2012
- Rennes
Correspondant Informatique et Libertés : 11 et 12 juin 2012
- Strasbourg
Correspondant Informatique et Libertés . : 12 et 13 avril 2012
- Toulouse
ISO 27005 Risk Manager .............. : 27 au 29 mars 2012 (#)
Risk Manager Avancé ................. : 30 et 31 mars 2012
ISO 27001 Lead Implementer .......... : 21 au 25 mai 2012 (#)
Correspondant Informatique et Libertés . : avril 2012
(#) : formations certifiantes
Pour tout renseignement, et pour vous inscrire pour toutes les villes
contactez Lynda Benchikh : formations at hsc.fr -- +33 141 409 704
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue en PDF sur http://www.hsc-formation.fr/
--[ 12. Actualité des associations : Club 27001 et OSSIR ]----------------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris jeudi 20 octobre
- "Retour d'expérience des pratiques de certification ISO 27001"
par Philippe Bourdale et/ou Thierry Jagu, et/ou Marcel
Schipman (Afnor Certification), intervenants en cours de
confirmation
- seconde présentation en cours de confirmation
- Point divers
. Réunion suivante à Paris le jeudi 19 janvier 2012 à 14h00
- Programme en cours d'élaboration
. Conférence annuelle du club le mardi 3 avril 2012 à Paris
*** Réservez votre date ***
Appel à communication publié au paragraphe 7.
. Prochaine réunion à Toulouse annoncée prochainement
. Prochaines à Marseille, Rennes et Lyon annoncées sur
www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
sur les liste de Toulouse, Marseille, etc, sur www.club-27001.fr
pour avoir l'activité du Club 27001 en région.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris le mardi 13 septembre à 14h00 à Jussieu,
salle 1005 au 10ième étage de la tour Zamansky
- Supervision réseau avec ZNeTS par Thierry Descombes (IN2P3)
- "Compte-rendu des conférences BlackHat & DEFCON" par Benjanmin
Arnault et Renaud Dubourguais (HSC)
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris le mardi 11 octobre
- "Intégration de TLS-SRP (RFC 5054) dans mod_ssl" par Peter Sylvester
(EdelWeb)
- "Certifications de personnes et certifications d'entreprises" par
Thierry Chenu (Dassault Aviation)
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris le mardi 8 novembre
- Sentinelis par Ange Ferrari (SecuNeo)
. Prochaine réunion à Lyon annoncée prochainement
. Prochaine réunion à Rennes à la rentrée
. Prochaine réunion à Toulouse le mardi 13 septembre
- Programme en cours d'élaboration
. Réunion suivante à Toulouse le mardi 8 novembre
--[ 13. Le saviez-vous ? La réponse ]------------------------------------
1. La solution simple: le câble USB
La solution qui vient tout de suite lorsque l'on souhaite récupérer des
données d'un iPhone est d'y brancher un câble et de monter ce dernier comme
un périphérique de stockage mobile :
# ifuse /mnt/iphone/
Please disable the password protection on your device and try again. The
device does not allow pairing as long as a password has been set. You can
enable it again after the connection succeeded.
Le fait que l'iPhone soit verrouillé avec un mot de passe empêche ifuse de
monter la partition de données de ce dernier. En utilisant wireshark et un
script maison, on obtient les informations suivantes :
$ ########################################################################
$ ruby ipcap2icanread.rb 02_ifuse_sur_iphone_non_deverrouille.pcap
host -> iphone(22.4) #12 Label : ifuse Request : QueryType
iphone(22.85) -> host #16 Request : QueryType Result : Success Type :
com.apple.mobile.lockdown
host -> iphone(22.4) #18 Label : ifuse Key : DevicePublicKey Request :
GetValue
iphone(22.85) -> host #22 Key : DevicePublicKey Request : GetValue Result :
Success Value : <TL;DR>
host -> iphone(22.4) #28 Label : ifuse PairRecord : DeviceCertificate:
<TL;DR> HostCertificate : <TL;DR> HostID :
EE771513-BA78-1358-3D7A-20CB65CCF6C4 RootCertificate : <TL;DR> Request : Pair
iphone(22.85) -> host #32 Error : PasswordProtected Request : Pair Result :
Failure
host -> iphone(22.4) #36 Label : ifuse Key : DevicePublicKey Request :
GetValue
iphone(22.85) -> host #40 Key : DevicePublicKey Request : GetValue Result :
Success Value : <TL;DR>
host -> iphone(22.4) #42 Label : ifuse PairRecord : DeviceCertificate:
<TL;DR> HostCertificate : <TL;DR> HostID :
EE771513-BA78-1358-3D7A-20CB65CCF6C4 RootCertificate : <TL;DR> Request :
ValidatePair
iphone(22.85) -> host #46 Error : InvalidHostID Request : ValidatePair Result
: Failure
host -> iphone(22.4) #48 Label : ifuse Key : DevicePublicKey Request :
GetValue
iphone(22.85) -> host #52 Key : DevicePublicKey Request : GetValue Result :
Success Value : <TL;DR>
host -> iphone(22.4) #54 Label : ifuse PairRecord : DeviceCertificate:
<TL;DR> HostCertificate : <TL;DR> HostID :
EE771513-BA78-1358-3D7A-20CB65CCF6C4 RootCertificate : <TL;DR> Request : Pair
iphone(22.85) -> host #58 Error : PasswordProtected Request : Pair Result :
Failure
host -> iphone(22.4) #60 Label : ifuse Request : Goodbye
iphone(22.85) -> host #64 Request : Goodbye Result : Success
$ ########################################################################
On peut voir dans l'échange des frames 42 et 46 que l'hôte présente ses
certificats (DeviceCertificate:, HostCertificate et RootCertificate) et que
l'iPhone lui répond ne pas les connaître (InvalidHostID). iFuse retente une
identification, et l'iPhone lui retourne alors une seconde erreur
(PasswordProtected) indiquant qu'il n'ajoutera pas le système dans sa liste
blanche de systèmes autorisés.
Si l'iPhone avait été déverrouillé ou l'hôte autorisé, voilà ce qui se serait
produit :
# ifuse /mnt/iphone/
# ls /mnt/iphone/DCIM/100APPLE/
IMG_0001.JPG IMG_0144.JPG IMG_0265.JPG IMG_0375.JPG IMG_0489.JPG
IMG_0002.JPG IMG_0145.JPG IMG_0266.JPG IMG_0376.JPG IMG_0490.JPG
IMG_0003.JPG IMG_0146.JPG IMG_0267.JPG IMG_0377.JPG IMG_0491.PNG
IMG_0005.JPG IMG_0147.JPG IMG_0268.JPG IMG_0378.JPG IMG_0492.JPG
IMG_0008.JPG IMG_0148.JPG IMG_0269.JPG IMG_0379.JPG IMG_0493.JPG
[...]
Bien entendu, sans code de verrouillage, il est aussi possible de faire un
envoi par courriel, MMS ou autre.
Sur iPhone, l'accès aux photos (et beaucoup d'autres informations) est donc
protégé par le mot de passe de verrouillage de l'écran.
2. L'application malfaisante
Le code nécessaire en Objective-C pour interagir avec les photos et les vidéos
stockées dans un iPhone ressemble au suivant :
#import <Foundation/Foundation.h>
#import <AssetsLibrary/AssetsLibrary.h>
@implementation PhotoGallery
- (void)getImageAndVideos{
void (^assetEnumerator)(struct ALAsset *, NSUInteger, BOOL *) = \
^(ALAsset *result, NSUInteger index, BOOL *stop) {
if(result != NULL) {
NSLog(@"See Asset: %@", result);
[[result valueForProperty:ALAssetPropertyURLs] \
enumerateKeysAndObjectsUsingBlock:^(id key, id obj, BOOL *stop) {
ALAssetRepresentation *resRep = [result defaultRepresentation];
/* INSERT HERE YOUR PHOTO/VIDEO EXTRACTION CODE */
}];
}
};
void (^assetGroupEnumerator)(struct ALAssetsGroup *, BOOL *) = \
^(ALAssetsGroup *group, BOOL *stop) {
if(group != nil) {
[group enumerateAssetsUsingBlock:assetEnumerator];
}
};
ALAssetsLibrary *library = [[ALAssetsLibrary alloc] init];
[library enumerateGroupsWithTypes:ALAssetsGroupAll
usingBlock:assetGroupEnumerator
failureBlock: ^(NSError *error) {
}];
}
@end
Toutefois, l'interaction avec le contenu des photos/vidéos nécessitera que
l'application ait accès au service de localisation. Cette restriction de l'iOS
est dûe à la présence de données de localisation dans les entêtes des images.
C'est tout du moins la raison avancée par Apple.
Ce code peut bien évidemment se cacher dans n'importe quelle application pour
iPhone. L'envoi des photos et vidéos a peu de chances de passer les
vérifications faites par Apple avant distribution dans l'AppStore. Mais rien
n'empêche une personne malveillante d'ajouter ce code dans une application
pour iPhones jailbreakés ou dans un développement spécifique inter-entreprise.
Cela laisse à réfléchir quant à accepter ou non de laisser une application
quelconque avoir accès au service de localisation.
3. Le jailbreak
Une autre solution, plus intrusive, consiste à jailbreaker le téléphone pour
avoir un accès plus complet aux données de ce dernier.
Une fois jailbreaké, le téléphone ne donnera - par défaut - pas plus accès aux
données via le port USB. En effet, le mot de passe sera toujours actif et le
scénario #1 sera identique. Il est toutefois possible d'intégrer au jailbreak
un démon SSH, qui sera accessible via l'interface ethernet présentée par
l'iPhone au travers du câble USB.
Voilà alors ce que l'on pourra observer :
$ dmesg
[...]
[351519.774327] usb 2-2: udev 36, busnum 2, minor = 163
[351519.774333] usb 2-2: New USB device found, idVendor=05ac, idProduct=1297
[351519.774338] usb 2-2: New USB device strings: Mfr=1, Product=2,
SerialNumber=3
[351519.774342] usb 2-2: Product: iPhone
[351519.774346] usb 2-2: Manufacturer: Apple Inc.
[351519.774350] usb 2-2: SerialNumber: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
[351519.774467] usb 2-2: usb_probe_device
[351519.774471] usb 2-2: configuration #1 chosen from 4 choices
[351519.775334] usb 2-2: adding 2-2:1.0 (config #1, interface 0)
[351519.775401] drivers/usb/core/inode.c: creating file '036'
[351519.775421] hub 2-0:1.0: state 7 ports 6 chg 0000 evt 0004
[351519.800119] usb 2-2: unregistering interface 2-2:1.0
[351519.800174] usb 2-2: usb_disable_device nuking non-ep0 URBs
[351519.801199] usb 2-2: adding 2-2:4.0 (config #4, interface 0)
[351519.801264] usb 2-2: adding 2-2:4.1 (config #4, interface 1)
[351519.801312] usb 2-2: adding 2-2:4.2 (config #4, interface 2)
[351519.801351] ipheth 2-2:4.2: usb_probe_interface
[351519.801354] ipheth 2-2:4.2: usb_probe_interface - got id
[351519.811456] ipheth 2-2:4.2: Apple iPhone USB Ethernet device attached
L'iPhone met donc à disposition une interface ipeth qui peut être utilisée de
la façon suivante :
$ ./itunnel 4444 2>&1 >/dev/null & ; ssh -p 4444 root at 127.0.0.1
[1] 11584
get_iPhone() success
root at 127.0.0.1's password: alpine
iPhone:~ root# ls /private/var/mobile/Media/DCIM/100APPLE/
IMG_0001.JPG IMG_0144.JPG IMG_0265.JPG IMG_0375.JPG IMG_0489.JPG
IMG_0002.JPG IMG_0145.JPG IMG_0266.JPG IMG_0376.JPG IMG_0490.JPG
IMG_0003.JPG IMG_0146.JPG IMG_0267.JPG IMG_0377.JPG IMG_0491.PNG
IMG_0005.JPG IMG_0147.JPG IMG_0268.JPG IMG_0378.JPG IMG_0492.JPG
IMG_0008.JPG IMG_0148.JPG IMG_0269.JPG IMG_0379.JPG IMG_0493.JPG
[...]
L'ouverture de la session SSH fonctionnera si l'utilisateur n'a pas changé le
mot de passe par défaut (alpine) ou si l'attaquant a découvert le mot de
passe.
L'accès aux photos et vidéos n'est pas protégé via le mot de passe. En
disposant d'un accès au système de fichiers, il est donc possible de récupérer
sans restriction le contenu multimédia :
$ ./itunnel 4444 2>&1 >/dev/null & ; scp -P 4444 \
> 'root at 127.0.0.1:/private/var/mobile/Media/DCIM/100APPLE/*' ./
[1] 10127
get_iPhone() success
root at 127.0.0.1's password: alpine
IMG_0002.JPG 0% 0 0.0KB/s 0.0KB/s --:-- ETA
Il est possible de se protéger de ce type d'attaque en modifiant le mot de
passe des comptes 'mobile' et 'root'.
Cette protection pourra être contournée s'il existe un jailbreak offline pour
le téléphone en question. Les utilitaires (type redSn0w) réalisant ce
jailbreak peuvent être modifiés par l'attaquant pour réinitialiser le mot de
passe root, ou même inclure directement un service permettant d'espionner
l'utilisateur.
--- Guillaume Thiaux, Jean-Baptiste Aviat
Plus d'informations sur la liste de diffusion newsletter