Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

sécurité

  • Phrack 69

    Phrack 69 est sortie les ami(e)s :

    http://phrack.org/issues/69/1.html

  • Rafale 19

    Le zine Rafale "le survivant" vient de sortir son numéro 19 :)

    Vous le retrouverez sur le site officiel du zine.

     

  • Quelques news/liens et autres

    Un petit blog post en vrac, comme d'habitude, avec quelques petits liens :

    Déjà une "nouvelle" qui fait assez plaisir à savoir la sortie de Rafale #18 :) De quoi redonner de l'espoir à tout les projets en attente/pause/survie ... ça faisait en effet plus de trois ans qu'un Rafale n'était pas publié. Mais c'est maintenant chose faite !

    On a pu aussi voir récemment quelques articles sur le DyLib Hijacking [PDF] ... je vous laisse découvrir mais si vous connaissez le DDL Hijacking ce ne sera pas une grosse surprise pour vous.

    On voit aussi pas mal d'articles sur le bypass d'AV, on peut dire que c'est toujours l'échec pour ce genre de produit. J'ai eu récemment l'occasion de "jouer avec" fud@india un joli ransomware qui, je n'en doute pas, aurait pu faire plus de dégâts si les bonnes réactions n'avaient pas été prises ! Ca a été l'occasion de me remettre un peu au forensic et au RE ;) Ca change un peu du conseil, du PCI-DSS et du pentest d'application web, généralement, moisies !

    Encore une petite chose sympathique : pour ceux qui ne sont pas des cryptofans voici une belle petite présentation d'AES-128 [SWF].

    Sinon je ne sais pas si vous avez entendu parler de Monero mais si oui ... un quelconque retour sur la chose ?

    Sinon selon la ToDo arrivent normalement bientôt :

    • Pour PT : un p'tit PANBuster maison, deux applis web surprises ;)
    • Peut-être un petit retour d'expérience sur l'externalisation du MCO et d'un SoC quant on est pas mature :)

    En attendant amusez-vous bien !

  • GHOST - CVE-2015-0235 : Quelques liens

    Bonjour,

    Ceux qui bossent dans la SSI aujourd'hui ont certainement eu quelques questions de la part d'équipes techniques, ou pas, à propos de GHOST. Pour ceux qui ne suivent vraiment pas c'est un BoF qui touche la libC et qui est potentiellement exploitable à distance.

    Bon sur un point tout le monde est d'accord : il faut mettre à jour, de toute façon il faut tout le temps mettre à jour :) : je sais facile à dire.

    Mais bon après les débats se lancent : réellement un énorme danger cette vulnérabilité (en remote), vu que les méthodes d'exploitation sont quand même spécifiques [utilisation de fonctions obsolètes, bypass d'appel à d'autres fonctions ou à des mécanismes de résolutions, ...] ?

    Voici donc quelques liens qui vous permettront de vous faire votre petite idée sur la question :

    L'annonce de Qualys

    Le post sur FD

    Glibc Adventures: The Forgotten Chunks (merci d4n3ws)

    Quelques articles de Phrack.

     

    Normalement vous avez tout ce qu'il vous faut maintenant :).

     

    Have fun !

    Et bonne fin de journée.

     

  • L'importance de la recherche d'information

    Voilà encore un peu de lecture pour la nouvelle année :) C'est pas le genre de blog post qui va sauver la vie des auditeurs confirmés, mais pour ceux qui débutent ça peut bien aider :D, et sinon une piqure de rappel ça ne fait jamais de mal !

    Quelques slides trouvés grâce à d4n3ws, qui présentent les grandes fuites d'information (et vulnérabilités) pouvant être présentes sur les outils de développements. Il est vrai qu'on ne compte plus les .svn (et autres) perdus que l'on trouve pas mal sur certains serveurs web (en prod :p). Mais il ne faut pas non plus négliger les autres sources d'informations. Petite liste de choses que j'ai eu l'occasion de rencontrer récemment :

    • Wiki dev/admin prod exposé avec des mots de passe beaucoup trop simple;
    • Jenkins : de même exposé avec des mots de passe beaucoup trop simple;
    • Outils de gestion de bug à destination de développeurs internes exposé et non à jour;
    • Les jolis commentaires dans un xml qui devaient visiblement pas restés dans la version de production;
    • Un serveur de préprod exposé avec une archive ... contenant toutes les sources de l'application web :D;
    • J'en passe et des meilleures (les questions d'implémentations de certaines fonctions sur des forums diverses et variés par exemple) ...

    Bref quand on a un grand périmètre et peu de temps, oui 95% des audits donc, la recherche d'information ça sauve la vie parce qu'on a pas la chance de toujours tomber sur des JMX-consoles de vieux JBoss exposés sur d4 w3b :) (<= Même si ça m'est arrivé très récemment :)).

     

    Have fun !

     

  • Quelques saines lectures & vidéos (ou pas d'ailleurs)

    Bientôt la nouvelle année qui approche et il faut bien se préparer à la reprise "d'après fêtes" :) Donc pour cela voici quelques petites choses qui me semblent assez intéressantes qui pourront vous permettre de reprendre en douceur après le 1er Janvier :).

    La présentation de Renaud Lifchitz à la NSC : Quantum computing in practice & applications to cryptography.

    Quelques documents sur les APT, oui je sais ça fait peur, vu que tous les commerciaux de la sécurité utilisent ce mot pour vendre mais là c'est assez sérieux :) : que vous pourrez donc trouver ici.

    Les vidéos des talks du 31c3 que j'ai signalé sur le blog des PTc'est d'ailleurs ça qui m'a donné envie de poster ici :) : que vous trouverez quant à elles ici.

     

    Voilà ça fait déjà un assez bon programme ! Sur ceux je vous souhaites encore d'excellentes fêtes de fin d'année. Rendez-vous en 2015 donc peut-être au FIC, à la HackInParis et très certainement au HackitoErgoSum. Sinon l'oiseau bleu hien, ou le prochain blog post ... mais là ça sera peut-être en 2016 :D, il faut que je regarde d'ailleurs comment c'est possible qu'il y ai encore 200 visiteurs par mois ici de temps en temps 0o.

    Have fun !

  • Un peu de mouvement ;)

    Bonjour à toutes et à tous,

    Je ne sais pas pourquoi j'ai eu comme une petite envie de poster ici, ne serait-ce que parce que j'ai été réveillé par les "mouvements" de ces derniers jours :). En effet depuis hier soir on voit passer à toute les sauces la bien sympathique CVE-2014-0160 qui est fort bien décrie ici : http://heartbleed.com/.

    Déjà c'est très amusant car il semble que ce soit un bon exemple de full-disclosure, à moins que je me trompe, c'est toujours possible :). Mais moi c'est le genre de chose qui me fait plaisir, justement parce que même si c'est dangereux.

    Donc ça c'est le gros mouvement du moment, mais bon en même temps quand on constate l'état de la sécurité de certaines smartTV on se demande s'il y a besoin d'aller chercher si loin :).

    D'ailleurs j'ai en ce moment même sous mes yeux un petit produit de gestion de caméra de surveillance qui a certainement été codé par un stagiaire qui faisait des études de philosophie. Je ne parle même pas de l'intégration, un vrai désastre. Le point positif c'est que l'on aura encore du boulot pour les années à venir :).

    Mais bon je parlais de mouvement, effectivement on peut le dire, il y en a :

    • Bientôt le HES et on commence à avoir une bonne idée du programme;
    • En ce moment, pour ceux qui le peuvent, CFP pour la NSC et la NDH;
    • Sortie du dernier numéro de 2600.

    Ah oui et certaines news sortent à propos d'Apple et sont censées être surprenantes :) Si vous voulez un Pad suivez plutôt les conseils du nostalgeek !

    Allez voilà, j'ai fait revivre un peu ce blog, je peux retourner RT tous ce qui me plait maintenant !

  • BruCon 2013

    Juste un petit post pour signaler que je serais, normalement, à la BruCon 2013. Je vais essayer de m’efforcer de faire deux blogposts sur le sujet : un par jour de conférence donc ...

    En espérant vous y voir !

  • Introduction à la sécurité dans le Cloud (entre autre)

    Bonjour à toutes et à tous,

    Je vais tenter ici de faire un petit article sur le cloud et la sécurité, oui j'en vois certain(e)s (là au fond) qui sont déjà prêt(e)s à partir :) mais mon boulot m'a pas mal fait bosser sur le sujet ces derniers temps, du coup je voulais faire un petit retour d'expérience (vraiment petit), et comme ça vous verrez aussi pourquoi je dis que mon boulot me donne un coup de vieux et n'a que très peu de technique :P (vous imaginez pas comment je suis content quand j'ai un peu de forensic ou un audit technique à faire :D). Mais bon la réflexion métier c'est pas mal non plus (si vous verrez).

    Revenons à nos moutons avec la sécurité dans le cloud computing (du point de vue du client). Par contre ne vous imaginez pas que je vais vous sortir mes livrables comme ça hein, juste quelques axes de réflexions.

    Disclamer : Cet article bien qu'expliquant des problématiques réelles est à prendre aussi avec de l'humour (surtout concernant les textes barrés :)).

    Déjà qu'est-ce que le cloud computing : vous vous dites il nous prend pour des cons, mais je vous assure ce n'est pas clair pour tout le monde, même dans une DSI :

    Donc le cloud computing c'est du bullshit ou on vous vend des choses que l'on savait déjà faire mais avec un bel emballage commercial ... euh non, sors de ce corps moi maléfique ! Plus sérieusement pour résumer le Cloud Computing c'est la capacité d'offrir un service (on va y revenir), à la demande, modulable, et normalement accessible de partout/tout le temps (on ne parlera pas du cas des clouds privés dans cet article).

    Alors je parlais de services, beaucoup d'entre vous (tou(te)s ?!?) ont déjà vu des acronymes comme IaaS, DaaS, STaaS, SaaS, PaaS ... bref *aaS. En soit peu importe le modèle de service, on peut en étudier que trois (oui les trois qui les contrôlent tous), tous les autres ne sont que des spécialisations de ces derniers. Il faut donc comprendre les termes :

    Le reste clairement n'est que du bullshit encore pire que les trois que je viens de citer du langage commercial.

    Et donc la sécurité dans le cloud comment on l'aborde ? Comme toujours en étudiant les menaces, les vulnérabilités et les risques ... mais aussi, comme on doit le faire avec toute externalisation, les rôles et responsabilités. C'est ce premier point que l'on va déjà aborder.

    Et pour commencer on va apporter un nouveau mot CSP : Cloud Service Provider : bref pour faire simple (et pas faire de superbe phrase à rallonge, parce que, on est pas au boulot ici) c'est l'hébergeur, celui-ci qui offre du service de Cloud Computing.

    Les rôles et responsabilité : Pour expliquer les rôles et responsabilités nous allons prendre un scénario avec des CSP multiples (vous allez comprendre très vite).

    Imaginons que vous preniez un abonnement à une application en mode SaaS. Et que cette application conserve des données à caractères personnelles (donc sensibles surtout du point de vue de l'image si vous vous les faites leaké).

    Bon vous allez me dire rien de très complexe là dedans, mais détrompez-vous, les rôles et responsabilités sont très complexes dans ce cas.

    Dans notre petit scénario, comme je l'avais dit, il y a des CSP multiples c'est à dire : que le CSP qui vous loue du SaaS, loue lui même du PaaS à un autre CSP, qui lui même loue du IaaS à un autre CSP (et on peut même imaginer que ce dernier CSP loue ces locaux à une autre entreprise, mais bon, on se contente du point de vue "cloud", vous voyez que c'est du bullshit :)).

    Donc regardons un peu ce que dit la CSA (non pas notre organisme de censure de l'audiovisuel, mais la Cloud Security Alliance ...) :

    Offres /

    Responsabilités

    IaaS PaaS SaaS
    Données Clients Clients Partagée
    Logiciels Clients Partagée Partagée
    Systèmes Clients Partagée  CSP
    Virtualisation Partagée  CSP  CSP
    Réseaux Partagée  CSP  CSP
    Physique CSP  CSP  CSP

    Ce tableau est bien sur une vue simplifiée du problème, mais cela donne un bon point de vue concernant le petit scénario qui nous concerne. En effet dans le cas de CSP multiplent les resposabilités ne sont pas toutes prises par la seule entreprise avec laquelle vous avez un contrat, alors, que faire en cas de problème ? Très bonne question ... et la reponse est ********************** (ou 42 au choix) :). Sans compter que VOUS mettez des données personnelles sur des services externes, donc votre responsabilité peut aussi être jouée sur ce coup là.

    On pourrait évoquer les problèmes liés aux données de paiements (mais la prochaine version de PCI devrait revenir la dessus). En clair si vous faites le choix de l'externalisation, mesurez bien les risques (et aussi les menaces) qui pèsent sur vous.

    Parlons justement des risques : globalement voici ce qui vous pend au nez :

    • Le service ferme -> Perte de données
    • Le service est piraté (et vous n'êtes pas forcément la cible, mais vous êtes touchés) -> Altération / perte de données
    • Un petit malware se balade sur le service de cloud -> Altération / Perte de données
    • Problème matériel -> Perte de données

    Alors d'ou viendrait le vrai problème : je sais pas au hasard une vulnérabilité dans un produit de type OpenStack ou autres, un attaque sur/via les outils de virtualisation (hyperviseur) ... en gros c'est tellement le bordel que l'on ne sait pas trop d'ou pourrait venir le coup :). D'ailleurs je compte bien pondre dans très peu de temps un bien meilleur article concernant la sécurité de la virtualisation (donc un peu plus technique que celui-ci).

    Quelques menaces/vulnérabilités et risques en vrac : 

    • Infrastructure mal dimensionnée (c'est arrivé au cloud nokia)
    • API mal protégé (51 incidents répertoriés par la CSA entre 2008 et 2012)
    • Un bon vieux comptes user ou opérateur qui se fait pirater (et on sait que ça arrive souvent)
    • Une bonne vielle catastrophe naturelle (ou pas)
    • ... je vous laisse imaginer/en chercher d'autres.
    Conclusions ?

    On ne le dira jamais assez, le cloud c'est le mal !, le passage au Cloud n'est pas une chose aussi facile que certains ont tendance à croire ! Car sur cet article je n'ai parlé que des préliminaires (oh oui c'est bon ça) après il faut penser à d'autres choses : comme les problématiques d'authentifications par exemple (oh tiens j'en vois d'autres au fond qui font la gueule !).

    Donc je vais arrêter là cet article, si vous avez des questions, ou pour en parler plus / échanger des idées, n'hésitez pas à me contacter par le moyen que vous voulez.

    Je reviendrai peut être un jour avec un autre article sur le sujet, mais normalement, je vais vous préparer un article un peu plus technique concernant la virtu un de ces quatre, donc comme d'habitude ça sera écrit sur un coin de table (comprendre rapidement) avec plein de fautes d'orthographe à l'intérieur :D.

    Sinon retrouvez d'autres lectures sur Paranoiac Thoughts (comme toujours).

  • Tract de rentrée de DenegereScience Lille

    Bonsoir,

     

    Voilà juste pour faire partager le tract de rentrée de DegenereScience Lille, mais que vous soyez le Lille ou d'ailleurs n'hésitez pas :)

    Le tract se trouve ici : https://lille.dg-sc.org/tracts/2012/tract-2012.pdf

     

    Bonne soirée à toutes et à tous.