Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

boulot

  • Quand on s'ennuie au bureau

    Petite idée sympa quand on s'ennuie au bureau qui "change un peu" des nerfs :)

    Le fireball cannon :)

    A voir sur Paranoiac-Thoughts

    Ou le post original sur HackADay

     

    Bonne journée ...

  • GHOST - CVE-2015-0235 : Quelques liens

    Bonjour,

    Ceux qui bossent dans la SSI aujourd'hui ont certainement eu quelques questions de la part d'équipes techniques, ou pas, à propos de GHOST. Pour ceux qui ne suivent vraiment pas c'est un BoF qui touche la libC et qui est potentiellement exploitable à distance.

    Bon sur un point tout le monde est d'accord : il faut mettre à jour, de toute façon il faut tout le temps mettre à jour :) : je sais facile à dire.

    Mais bon après les débats se lancent : réellement un énorme danger cette vulnérabilité (en remote), vu que les méthodes d'exploitation sont quand même spécifiques [utilisation de fonctions obsolètes, bypass d'appel à d'autres fonctions ou à des mécanismes de résolutions, ...] ?

    Voici donc quelques liens qui vous permettront de vous faire votre petite idée sur la question :

    L'annonce de Qualys

    Le post sur FD

    Glibc Adventures: The Forgotten Chunks (merci d4n3ws)

    Quelques articles de Phrack.

     

    Normalement vous avez tout ce qu'il vous faut maintenant :).

     

    Have fun !

    Et bonne fin de journée.

     

  • L'importance de la recherche d'information

    Voilà encore un peu de lecture pour la nouvelle année :) C'est pas le genre de blog post qui va sauver la vie des auditeurs confirmés, mais pour ceux qui débutent ça peut bien aider :D, et sinon une piqure de rappel ça ne fait jamais de mal !

    Quelques slides trouvés grâce à d4n3ws, qui présentent les grandes fuites d'information (et vulnérabilités) pouvant être présentes sur les outils de développements. Il est vrai qu'on ne compte plus les .svn (et autres) perdus que l'on trouve pas mal sur certains serveurs web (en prod :p). Mais il ne faut pas non plus négliger les autres sources d'informations. Petite liste de choses que j'ai eu l'occasion de rencontrer récemment :

    • Wiki dev/admin prod exposé avec des mots de passe beaucoup trop simple;
    • Jenkins : de même exposé avec des mots de passe beaucoup trop simple;
    • Outils de gestion de bug à destination de développeurs internes exposé et non à jour;
    • Les jolis commentaires dans un xml qui devaient visiblement pas restés dans la version de production;
    • Un serveur de préprod exposé avec une archive ... contenant toutes les sources de l'application web :D;
    • J'en passe et des meilleures (les questions d'implémentations de certaines fonctions sur des forums diverses et variés par exemple) ...

    Bref quand on a un grand périmètre et peu de temps, oui 95% des audits donc, la recherche d'information ça sauve la vie parce qu'on a pas la chance de toujours tomber sur des JMX-consoles de vieux JBoss exposés sur d4 w3b :) (<= Même si ça m'est arrivé très récemment :)).

     

    Have fun !

     

  • Un peu de mouvement ;)

    Bonjour à toutes et à tous,

    Je ne sais pas pourquoi j'ai eu comme une petite envie de poster ici, ne serait-ce que parce que j'ai été réveillé par les "mouvements" de ces derniers jours :). En effet depuis hier soir on voit passer à toute les sauces la bien sympathique CVE-2014-0160 qui est fort bien décrie ici : http://heartbleed.com/.

    Déjà c'est très amusant car il semble que ce soit un bon exemple de full-disclosure, à moins que je me trompe, c'est toujours possible :). Mais moi c'est le genre de chose qui me fait plaisir, justement parce que même si c'est dangereux.

    Donc ça c'est le gros mouvement du moment, mais bon en même temps quand on constate l'état de la sécurité de certaines smartTV on se demande s'il y a besoin d'aller chercher si loin :).

    D'ailleurs j'ai en ce moment même sous mes yeux un petit produit de gestion de caméra de surveillance qui a certainement été codé par un stagiaire qui faisait des études de philosophie. Je ne parle même pas de l'intégration, un vrai désastre. Le point positif c'est que l'on aura encore du boulot pour les années à venir :).

    Mais bon je parlais de mouvement, effectivement on peut le dire, il y en a :

    • Bientôt le HES et on commence à avoir une bonne idée du programme;
    • En ce moment, pour ceux qui le peuvent, CFP pour la NSC et la NDH;
    • Sortie du dernier numéro de 2600.

    Ah oui et certaines news sortent à propos d'Apple et sont censées être surprenantes :) Si vous voulez un Pad suivez plutôt les conseils du nostalgeek !

    Allez voilà, j'ai fait revivre un peu ce blog, je peux retourner RT tous ce qui me plait maintenant !

  • Introduction à la sécurité dans le Cloud (entre autre)

    Bonjour à toutes et à tous,

    Je vais tenter ici de faire un petit article sur le cloud et la sécurité, oui j'en vois certain(e)s (là au fond) qui sont déjà prêt(e)s à partir :) mais mon boulot m'a pas mal fait bosser sur le sujet ces derniers temps, du coup je voulais faire un petit retour d'expérience (vraiment petit), et comme ça vous verrez aussi pourquoi je dis que mon boulot me donne un coup de vieux et n'a que très peu de technique :P (vous imaginez pas comment je suis content quand j'ai un peu de forensic ou un audit technique à faire :D). Mais bon la réflexion métier c'est pas mal non plus (si vous verrez).

    Revenons à nos moutons avec la sécurité dans le cloud computing (du point de vue du client). Par contre ne vous imaginez pas que je vais vous sortir mes livrables comme ça hein, juste quelques axes de réflexions.

    Disclamer : Cet article bien qu'expliquant des problématiques réelles est à prendre aussi avec de l'humour (surtout concernant les textes barrés :)).

    Déjà qu'est-ce que le cloud computing : vous vous dites il nous prend pour des cons, mais je vous assure ce n'est pas clair pour tout le monde, même dans une DSI :

    Donc le cloud computing c'est du bullshit ou on vous vend des choses que l'on savait déjà faire mais avec un bel emballage commercial ... euh non, sors de ce corps moi maléfique ! Plus sérieusement pour résumer le Cloud Computing c'est la capacité d'offrir un service (on va y revenir), à la demande, modulable, et normalement accessible de partout/tout le temps (on ne parlera pas du cas des clouds privés dans cet article).

    Alors je parlais de services, beaucoup d'entre vous (tou(te)s ?!?) ont déjà vu des acronymes comme IaaS, DaaS, STaaS, SaaS, PaaS ... bref *aaS. En soit peu importe le modèle de service, on peut en étudier que trois (oui les trois qui les contrôlent tous), tous les autres ne sont que des spécialisations de ces derniers. Il faut donc comprendre les termes :

    Le reste clairement n'est que du bullshit encore pire que les trois que je viens de citer du langage commercial.

    Et donc la sécurité dans le cloud comment on l'aborde ? Comme toujours en étudiant les menaces, les vulnérabilités et les risques ... mais aussi, comme on doit le faire avec toute externalisation, les rôles et responsabilités. C'est ce premier point que l'on va déjà aborder.

    Et pour commencer on va apporter un nouveau mot CSP : Cloud Service Provider : bref pour faire simple (et pas faire de superbe phrase à rallonge, parce que, on est pas au boulot ici) c'est l'hébergeur, celui-ci qui offre du service de Cloud Computing.

    Les rôles et responsabilité : Pour expliquer les rôles et responsabilités nous allons prendre un scénario avec des CSP multiples (vous allez comprendre très vite).

    Imaginons que vous preniez un abonnement à une application en mode SaaS. Et que cette application conserve des données à caractères personnelles (donc sensibles surtout du point de vue de l'image si vous vous les faites leaké).

    Bon vous allez me dire rien de très complexe là dedans, mais détrompez-vous, les rôles et responsabilités sont très complexes dans ce cas.

    Dans notre petit scénario, comme je l'avais dit, il y a des CSP multiples c'est à dire : que le CSP qui vous loue du SaaS, loue lui même du PaaS à un autre CSP, qui lui même loue du IaaS à un autre CSP (et on peut même imaginer que ce dernier CSP loue ces locaux à une autre entreprise, mais bon, on se contente du point de vue "cloud", vous voyez que c'est du bullshit :)).

    Donc regardons un peu ce que dit la CSA (non pas notre organisme de censure de l'audiovisuel, mais la Cloud Security Alliance ...) :

    Offres /

    Responsabilités

    IaaS PaaS SaaS
    Données Clients Clients Partagée
    Logiciels Clients Partagée Partagée
    Systèmes Clients Partagée  CSP
    Virtualisation Partagée  CSP  CSP
    Réseaux Partagée  CSP  CSP
    Physique CSP  CSP  CSP

    Ce tableau est bien sur une vue simplifiée du problème, mais cela donne un bon point de vue concernant le petit scénario qui nous concerne. En effet dans le cas de CSP multiplent les resposabilités ne sont pas toutes prises par la seule entreprise avec laquelle vous avez un contrat, alors, que faire en cas de problème ? Très bonne question ... et la reponse est ********************** (ou 42 au choix) :). Sans compter que VOUS mettez des données personnelles sur des services externes, donc votre responsabilité peut aussi être jouée sur ce coup là.

    On pourrait évoquer les problèmes liés aux données de paiements (mais la prochaine version de PCI devrait revenir la dessus). En clair si vous faites le choix de l'externalisation, mesurez bien les risques (et aussi les menaces) qui pèsent sur vous.

    Parlons justement des risques : globalement voici ce qui vous pend au nez :

    • Le service ferme -> Perte de données
    • Le service est piraté (et vous n'êtes pas forcément la cible, mais vous êtes touchés) -> Altération / perte de données
    • Un petit malware se balade sur le service de cloud -> Altération / Perte de données
    • Problème matériel -> Perte de données

    Alors d'ou viendrait le vrai problème : je sais pas au hasard une vulnérabilité dans un produit de type OpenStack ou autres, un attaque sur/via les outils de virtualisation (hyperviseur) ... en gros c'est tellement le bordel que l'on ne sait pas trop d'ou pourrait venir le coup :). D'ailleurs je compte bien pondre dans très peu de temps un bien meilleur article concernant la sécurité de la virtualisation (donc un peu plus technique que celui-ci).

    Quelques menaces/vulnérabilités et risques en vrac : 

    • Infrastructure mal dimensionnée (c'est arrivé au cloud nokia)
    • API mal protégé (51 incidents répertoriés par la CSA entre 2008 et 2012)
    • Un bon vieux comptes user ou opérateur qui se fait pirater (et on sait que ça arrive souvent)
    • Une bonne vielle catastrophe naturelle (ou pas)
    • ... je vous laisse imaginer/en chercher d'autres.
    Conclusions ?

    On ne le dira jamais assez, le cloud c'est le mal !, le passage au Cloud n'est pas une chose aussi facile que certains ont tendance à croire ! Car sur cet article je n'ai parlé que des préliminaires (oh oui c'est bon ça) après il faut penser à d'autres choses : comme les problématiques d'authentifications par exemple (oh tiens j'en vois d'autres au fond qui font la gueule !).

    Donc je vais arrêter là cet article, si vous avez des questions, ou pour en parler plus / échanger des idées, n'hésitez pas à me contacter par le moyen que vous voulez.

    Je reviendrai peut être un jour avec un autre article sur le sujet, mais normalement, je vais vous préparer un article un peu plus technique concernant la virtu un de ces quatre, donc comme d'habitude ça sera écrit sur un coin de table (comprendre rapidement) avec plein de fautes d'orthographe à l'intérieur :D.

    Sinon retrouvez d'autres lectures sur Paranoiac Thoughts (comme toujours).

  • Un p'tit blog post comme ça qui sert presque à rien ;)

    Bonsoir,

    Oui un petit blog post juste comme ça parce que ça fait plaisir d'être en vacances :). Et aussi pour faire quelques petits rappels concernant des petits projets qui me tiennent à coeur. Parce que on ne peut pas faire que parler du dernier 0day sur IE ou du petit fou rire qu'a pu provoquer Sophos avec comment dire ... son petit problème, ou bien savoir que pour une fois les Apple et Samsung Fans seront sur (à peu près) un pied d'égalité.

    Voici donc la piqûre de rappel

    Il est probable que l'émission Random revienne après ce que certains ont appelé "une pause estivale", d'autres y ont vu autre chose tout de même. Je rappel aussi que DegenreScience et son projet phrack-fr cherche toujours des traducteurs pour donner un coup de main (de nouveaux textes vont être traduits dans les jours qui viennent je le sens je sais pas pourquoi ;)).

    Vous aurez aussi remarqué que j'ai profité de ce "p'tit blog post" pour glisser plein de liens qui sont bien bien ... (oui status dg-sc, d4n3ws).

    Sinon (la piqûre de rappel est finie) ... il y a le CFP pour SSTIC 2013 qui est en ligne ... oui autre style, si vous voulez parler devant des gens de l'ANSSI et voir des conférences de gens de l'ANSSI c'est la bas qui faut aller (je troll bien sur y a pas que eux ... mais ils sont nombreux quand même). Et oui vous avez vu d'ailleurs cette agence a mis une pub de recrutement juste à la fin de la section Labo de Linux Mag pour faire croire voir (non croire au fait) qu'ils sont cools et tout.

    156896_1756051662990_4376304_n.jpg

    "De toute façon tant que ça paie ma BMW je m'en fous de pour qui je travaille" - ouï-dire - un mec qui était venu se perdre dans un 2600 un jour.

    Bon je m'arrète là sinon je vais partir en trop gros troll :) ...

    Tant que j'y pense un petit truc sympa pour ceux qui n'ont rien de prévu samedi : http://www.kisskissbankbank.com/fr/projects/open-bidouille-camp

    Have fun :)

  • Un CFP ... des traductions :)

    Bonjour à toutes et à tous,

    Voilà, un peu en retard, je viens de voir que un CFP avait été lancé pour Phrack 69 ... J'invite donc tout ceux qui ont le temps/motivation/moyen/idée à proposer leurs articles histoire que la "tragédie" (oui j'exagère :)) de l'attente du 68 ne se reproduise pas.

    Voici l'URL du CFP en question : http://www.phrack.org/cfp69.txt

    Mais certains/certaines d'entre vous ont certainement vu le truc venir ... Et oui je fais mon opportuniste afin de rappeler que la traduction de Phrack 68 n'est toujours pas finie (comment ça comme beaucoup d'autre) ... et donc "viendez" donner un coup de main aux gens de DegenereScience/Phrack-fr pour la traduction avant la sortie du 69.

    Pour plus d'informations : http://www.dg-sc.org/phrack-fr/

    Allez, have fun les ami(e)s ...

  • Bientôt fini ...

    ou pas d'ailleurs, enfin trêve de trolls, bientôt j'ai fini les cours. Et oui c'est bien sympathique la formation continue mais pendant trois ans ça tue certaines choses, pour certains c'est la vie sociale, moi ayant fait le choix de garder ce minimum de chose qui me rattachait avec l'espèce humaine, ça a été ma présence online et ma participation à divers choses qui en a été bousculée (il suffit de regarder les archives de ce blog et voir la différence entre 2006 / 2007 et maintenant , il faut dire aussi que twitter et autres réseaux sociaux n'aident pas forcément un blog à vivre ;)) il y a même une personne, dont je terrais le nom, et qui durant une époque, tout comme moi, fréquentait le 2600Lille, qui m'a dit lors du social event du sstic : "tiens t'es encore en vie ?", ça veut tout dire.

    Il est vrai que mis à part une présence (qui a dit idle ???) sur le chan SILC de dg-sc, quelques posts sur des forums par ci par là, je ne fais plus grand chose (on peut se demander ce que j'ai déjà fait aussi oui :P [mauvaises langues]).

    Ce post fait peut-être nostalgique mais il faut me pardonner cela fait plusieurs jours que je suis atteint de renelatauphobie : j'ai toujours l'impression d'être poursuivi par rené la taupe, car j'entends toujours sa merde de chanson, au loin dans ma tête ... ça m'apprendra à allumer ma télé tiens !

    Enfin bref, j'espère d'ici fin septembre / mi octobre pouvoir me remettre aux choses sérieuses que ce soit pour moi, ou pour des projets de gens biens :).

    Je sens que ça va être agréable, après 3 ans de formation continue, d'avoir du temps pour geeker sur ce que l'on a envie (et surtout d'avoir tout ses samedis matin tranquille :D).

     

    Voilà ... ça va bouger (sinon vous avez le droit de me jeter des cailloux à partir de mi-novembre :)).

     

    Ah oui sinon vu qu'il y a eu un petit crash j'ai du tout re-uploadé et maintenant c'est bon TOUT le challenge DC3 est ici.

    Tchuss et à bientôt sur SILC ...