Archives de catégorie : Informations

Protection de la messagerie par SPF et DKIM

Deux techniques assez efficaces utilisées sur les serveurs de messagerie pour renforcer sa protection vis à vis de tout ce qui s’apparente à du SPAM.

SPF – Sender Policy Framework

Le principe

Lorsqu’un mail va être envoyé par un serveur SMTP A vers un serveur SMTP B, le serveur A va commencer sa séquence de commandes SMTP habituelles type « helo », puis « mail from: toto@mondomaine.org » auprès du serveur B.

Le rôle de serveur B (et de la fonctionnalité SPF) va être de vérifier si le serveur A est bien autorisé à envoyer un mail sous le nom du domaine mondomaine.org. Pour faire cette vérification Serveur B va interroger le DNS qui gère le domaine mondomaine.org, et notamment la présence d’un champ TXT qui commence par « v=spf1 ».

Cet enregistrement DNS SPF peut être précisé la ou les adresses IP autorisées à envoyer des mails pour le compte du domaine mondomaine.org alors l’enregistrement aura la forme « v=spf1 ip4:109.234.161.30/32 -all »  ou « v=spf1 ip4:109.234.161.30 -all« => Seule l’IP (format v4 !) 109.234.161.30.

Partant de ce principe, il serait possible de lister dans le champ SPF les n serveurs SMTP qui envoient des mails pour le compte du domaine mondomaine.org, ce qui donnerait « v=spf1 ip4:109.234.161.30 ip:111.234.116.1167 -all » auquel cas on autorise les 2 IP du champ.

Quand c’est possible, une manière simple de configurer ce champ est d’exploiter la présence des champs MX ; normalement le domaine de messagerie contient au moins 2 IP déclarées dans les enregistrements MX du domaine, il suffit alors préciser dans le champ SPF que les serveurs SMTP déclarés dans les champs MX sont « autorisés » , ce qui donnerait simplement : « v=spf1 mx:mondomaine.org -all » ou encore plus simple « v=spf1 mx -all »

Il est aussi possible (et parfois nécessaire) de combiner les options de test, notamment lorsque vous n’êtes pas gestionnaire de l’émetteur de mail de votre domaine (cas d’un domaine parqué chez un hébergeur qui fournit une messagerie clé en main comme OVH, Gandi, o2switch ou Office365), ou que votre système de messagerie comprend des passerelles émettrices distinctes etc… . Les serveurs qui envoient des mails pour votre domaine sont parfois distincts des serveurs qui les reçoivent (<> MX).

En ce cas, il suffit de préciser par exemple : « v=spf1 ip4:109.234.161.30/32 include:spf.protection.outlook.com include:mx.ovh.com » . On autorise à la fois une plage de 256 IP , l’envoi des mails depuis Office365 et OVH pour le compte du domaine mondomaine.org.

A noter qu’une longueur excessive du champ SPF peut ne pas être lue par tous les serveurs SMTP, et du coup toutes les conditions ne sont pas traitées donc les mails peuvent être rejetés anormalement.

Options SPF

Si l’enregistrement est de la forme « v=spf1 ip4:10.0.0.148/32 ~all » , le mail est accepté mais marqué dans son entête comme non conforme SPF ce qui laisse l’outil de messagerie (serveur ou client) agir pour le classer comme SPAM potentiel. Avec « … -all« le mail est purement rejeté.

-all => rejette le mail si il n’est pas conforme aux critères précédents (enregistrement MX ou IP)

~all => accepte le mail mais le marque dans son entête SMTP, en laissant la possibilité au client de messagerie (Outlook, Thunderbird,…) ou serveur (Domino, Exchange,…) de le marquer comme indésirables ou non,  à la de l’administrateur ou l’utilisateur.

include => permet d’inclure un domaine externe au domaine courant (par exemple si il faut autoriser un tiers comme mx.ovh.com).

+ => selon certaines version SPF, il peut être recommandé de faire précéder chaque condition par un + afin que les critères soient tous pris en compte du premier au dernier, ce qui donnerait par exemple « v=spf1 +ip4:109.234.161.30/32 +include:spf.protection.outlook.com +include:mx.ovh.com »

Vérifier le bon paramétrage SPF

La première chose est de tester la présence de l’enregistrement SPF avec DIG « dig TXT mondomaine.org » ou NSLOOKUP « nslookup -type=TXT mondomaine.org »

La seconde est de vérifier l’interprétation du champ SPF  avec :

http://www.kitterman.com/spf/validate.html

https://mxtoolbox.com/spf.aspx

ou encore https://www.mail-tester.com/

DKIM – Domain Keys Identified Mail

Principe

Cette technique est plus avancée que SPF car elle utilise un système cryptographique pour valider l’authenticité et l’intégrité (partielle) du mail envoyé.

Côté serveur d’envoi de mails : le serveur de mail (A) va disposer d’une clé privée pour signer tous les mails envoyés sur internet. Chaque mail contiendra alors dans l’entete SMTP le champ « DKIM-Signature » avec notamment la signature sur le contenu du mail :

« DKIM-Signature v=1; a=rsa-sha256; c=relaxed/relaxed; d=TEST.onmicrosoft.com; s=selector1-TEST-onmicrosoft-com; h=From:To:Date:Subject:Message-ID:Content-Type:MIME-Version; bh=0+yZl+O+5j+9zxhyuFJNecLjWjl/UNkbPS1zLzoDW5s=; b=Jt4uYq2EDtdOQdVe6B4G6VgPPM++JAa4K4UeJ5tQHKJyzwNeI1tHQR/cELwOd2f47ecMDvJkgUZSY6edY8+NWBzdNwrN4ZCOC1xKH1RSIX/Vi4PNgV2LwUFYsCmxnFFzeKv8CGVMeWGPRpTj48dBGjwecrVr6EUKWggtT9eZo9I= »

Le champ précise les champs du mails qui ont fait l’objet de la signature, dans l’exemple ci-dessus la signature porte sur l’émetteur, le destinataire, la date, l’objet, l’ID du message et son type.

Lorsque le serveur A envoi ce mail à un serveur B, le serveur B peut alors détecter le champ DKIM dans l’entete SMTP ; en ce cas, le serveur B interrogera la zone DNS du domaine émetteur pour chercher la clé publique dans le champ TXT  du DNS qui ressemble à cela :

« v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtEC6GaaDSq5/92jozjayuKRY3+KSq6Cg9LpAaRW0cSJp9d8rTWfPhA8HPD9tkBhBtwgxQ++I0Wu5Aj/bPqAfJ8kIu8thrhyZbx/uah0SizN5lEXLWS ….. »

A partir de cette clé publique, le serveur B pourra vérifier que la signature du mail corresponde.

Si la signature est vérifiée OK avec la clé publique, alors le mail sera accepté et réputé intégre sur les champs signés ; si la signature est invalide, soit par ce que le mail a été modifié par un outils antivirus/antispam après l’envoi du mail par le serveur A, soit parce que le mail a été envoyé par un autre serveur alors ce mail pourra être rejeté selon la politique du serveur de messagerie B.

L’utilisation de DKIM suppose que le serveur émetteur sache intégrer une signature DKIM dans les messages SMTP sortants, et que le serveur de réception (serveur de mail ou moteur antispam) soit en mesure d’interroger le contenu DNS du domaine émetteur pour chaque mail reçu.

Quelques outils web qui permettent de vérifier la bonne implémentation de DKIM/SPF et plus généralement d’évaluer la configuration de votre domaine de messagerie :

https://internet.nl/mail/

https://ssi.economie.gouv.fr/

https://www.mail-tester.com/

https://mxtoolbox.com/spf.aspx

Ransomware & Cryptolocker – limiter les dégâts en entreprise

Locky puis … puis …. puis WannaCry … puis (not)Petya

Des malware particulièrement dangereux se propagent dans nombre d’entreprises de taille différente, de secteur d’activité, dans nombre de pays ; leur but est d’infecter un premier PC de la société, puis par ce biais de chiffrer tous les fichiers bureautiques que le malware va rencontrer aussi bien sur le poste local et que sur les partages des serveurs de fichiers.  Une fois les dizaines de fichiers chiffrés, la société est condamnée à restaurer ses fichiers… à payer…. ou avec un peu de chance à utiliser l’un des outils proposés par certains éditeurs d’Antivirus (cf point 3).

Attention : Petya ne permet aucune récupération (même avec paiement), il semble que l’objectif soit de rendre inaccesiblement les données (au niveau de la partition et des fichiers), il se classe donc moins dans la catégorie des ransomwares que des destructeurs.

Tous ces malwares ne sont pas à mettre dans le même sac et n’ont pas les mêmes objectifs : mais tous justifient de respecter quelques règles d’hygiène en terme de sécurité informatique pour s’en prémunir efficacement.

1 – Fonctionnement d’un cryptolocker / ransomware

Comment l’utilisateur contribue à infecter son poste de travail et surtout les serveurs de sa société ?

  • un mail assez bien rédigé est envoyé à l’utilisateur, le mail contient soit une pièce jointe, soit un lien URL.
  • le mail est souvent envoyé en rafale à un nombre important de collaborateurs supposant qu’il s’en trouvera bien pour ouvrir la pièce jointe.
  • pour les 2 vecteurs de propagation (mail ou URL), la charge active est rarement détectée par les antivirus voire jamais les premières heures de l’attaque. Il faut souvent attendre 12 heures pour commencer à voir les premiers antivirus se mettre à jour.
  • dès qu’un poste informatique est infecté, le malware va chercher tous les lecteurs réseaux accessibles en écriture puis chiffrer tous les fichiers en les renommant avec une extension particulière (par exemple *.locky ou dernièrement *.wcry)
  • même si l’utilisateur n’est pas admin de son poste Windows, l’infection fonctionne correctement.
  • Les ransomwares rencontrés (janvier 2016) se limitent à se connecter aux lecteurs réseaux des postes de travail. Il faut prévoir que progressivement ces malware iront chercher les partages réseau (même sans lecteur réseau connecté) et mieux encore, les partages administratifs ou cachés (avec le $).  Depuis début mars 2016, ces mêmes logiciels savent se propager non seulement sur les lecteurs réseaux, mais aussi sur les partages réseaux des serveurs de fichiers.

L’infection d’un poste de votre entreprise voire de vos serveurs est un scénario hautement probable voire inévitable….

…Autant vous y préparer au mieux.

 

2 – La prévention

En quelques points rapides :

  • 1 – Maintenez votre parc de PC et Serveurs avec les dernières mises à jour !!!WannaCry ne se propage que sur des Windows non à jour avec le patch MS017-10, Petya fait de même mais peut aussi utiliser les comptes windows locaux pour se propager sur les autres postes.
  • 2 – Assurez vous d’avoir des sauvegardes fonctionnelles et régulières de vos serveurs de fichiers.
  • 3 – Assurez-vous de tester régulièrement vos sauvegardes du point 1
  • 4 – Activer les Clichés Instantanés de Windows , plusieurs fois par 24h si vous avez assez d’espace  sur vos stockages. La restauration des versions précédentes, en cas d’infection sera particulièrement efficace et rapide.
  • 5 – Filtrer tous vos mails internet entrants contenant scripts (type js, js dans du ZIP, macro dans les XLS, DOC, PPT, PDF) – exemple de Petya
  • 6 – Rejetez les mails internet envoyés depuis votre domaine interne en vérifiant que tous les procédés d’obfsucation soient détectés dans la rédaction du domaine source.
  • 7 – Vérifiez que le contrôle des mails entrant se fasse bien sur le  type MIME et SMTP.
  • 8  – A partir de Windows 2008R2, activez la fonctionnalité de filtrage d’extension de fichier. Cette fonctionnalité doit être installée et permet de bloquer la création de nouveaux fichiers avec une extension définie, et/ou de générer une alerte mail auprès des sysadmins dès qu’un fichier avec une extension non désirée apparait sur le serveur de fichiers (par exemple *.locky ou *.wcry). L’article ici détaille les opérations pour un exemple avec LOCKY. mais c’est très simple de l’adapter à WannaCry
  • 9 – si votre parc de PC est en Windows 7 Entreprise , activez APPLOCKER : pour Petya, interdire PSExec a un effet immédiat.
  • 10 – Ne naviguez pas sur internet ou ne consultez pas vos mails avec un compte utilisateur privilégié (ou administrateur) : exemple avec Petya se sert du compte Admin pour se propager.
  • 11 – Sensibilisez, Sensibilisez, et recommencer, à sensibiliser vos utilisateurs. Comme pour les sauvegardes : ce point est primordial.

Ne comptez pas sur les seuls « antivirus, antispam et firewall  » pour vous protéger efficacement.  Les points ci-dessous seront un parfait début, à compléter par le trio.

Une plaquette de prévention éditée par l’ANSSI en 4 points à respecter en entreprise : https://www.ssi.gouv.fr/uploads/2016/06/20160819_flyers_eben_a4_v10.pdf

 

3 – Touchés  ?

La question est de savoir comment vous allez avoir l’information qu’un PC du parc est infecté (au moins 1…). Vous vous en rendez compte par une alerte sur un serveur de fichiers ou par un utilisateur.

Dans l’ordre, il faudra stopper la propagation du chiffrage, identifier quels postes sont infectés et mettre de côté vos dernières sauvegardes pour ne pas qu’elles soient ré-écrasées par une sauvegarde corrompue.

Immédiatement : éteignez le serveur identifié puis tous les serveurs de fichiers de votre parc ayant un partage réseau (ou sur lesquels les postes informatiques ont un lecteur réseau).  Cette seule opération vise à stopper le cryptage des fichiers, cela va très vite : en 1 heure, un PC infecté peut chiffrer près de 40 000 fichiers d’un seul serveur.

Reste à identifier le ou les PC ayant causés ces infections :

  • demandez à l’ensemble des utilisateurs de se manifester, si ils pensent avoir cliqué sur un lien ou une pièce jointe mais que rien ne s’est produit  : cela aide, certains utilisateurs se manifesteront et cela permettra rapidement d’isoler ces postes du réseau puis de les soumettre à une analyse complète à partir d’ISO antivirus proposé par les éditeurs.. le temps que les définitions soient mises à jour.
  • redémarrez le premier serveur détecté, hors réseau, puis en tant qu’admin du serveur  et après avoir affiché tous les systèmes / cachés des volumes du serveur, recherchez tous les fichiers ayant été infectés. Un DIR *.locky /S  > C:\temp\diag-date-heure.txt permettra de faire un premier journal des fichiers infectés. Ce journal texte vous indiquera quels sont les premiers fichiers infectés (date et heure). Mieux encore, il est possible que certains fichiers infectés n’auront été accessibles que par un utilisateur (lecteur  individuel) ou une poignée d’utilisateurs ce qui vous permettra très vite d’isoler les postes des personnes identifiées.
  • Faites de même avec l’ensemble des autres serveurs de fichiers pour vous assurer de ne pas avoir laissé un poste infecté.
  • Si le fichier chiffré contient une extension non filtré par le serveur de fichiers, ajoutez cette extension au filtre (passif ou actif).
  • Identifiez la source potentielle d’infection (mail ou URL) par l’utilisateur puis soumettez le fichier infecté à www.virustotal.com .

Rappel précieux, les conseils de l’ANSSI : https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel-2/

+ un lien spécifique pour Petya : http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-012/CERTFR-2017-ALE-012.html

 

4 – Remise en route

Lors que les PC infectés semblent avoir été identifiés, que les filtres sur les serveurs de fichiers sont effectifs et correspondent à l’attaque actuelle, remettez les serveurs sur le réseau progressivement en vérifiant (par la commande Dir /s *.locky) si de nouveaux fichiers apparaissent ou pas.

Restaurez les répertoires touchés via les clichés instantanés ou par les backups.

Ne remettez les postes soupçonnés sur le réseau que lorsque vous avez en main un antivirus à jour qui détecte la charge active.

Des outils gratuits pour retrouver vos fichiers chiffrés.

Kaspersky propose 6 décrypteurs de fichiers – https://noransom.kaspersky.com/

AVAST propose 15 outils pour des variantes différentes  – https://www.avast.com/ransomware-decryption-tools

AVG contribue également avec 5 outils – http://www.avg.com/fr-fr/ransomware-decryption-tools

TrendMicro propose une console unique qui intervient sur bon nombre de variantes de Ransomware – https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor

A cette heure, il n’existe pas d’outils pour les fichiers chiffrés par WannaCrypt.

Dans tous les cas, ne téléchargez ou n’exécutez jamais un outil magique déchiffreur sur un autre site qu’un éditeur d’antivirus, sans quoi vous risquez de vous retrouver avec d’autres problèmes.

Quelques liens utiles :

http://korben.info/locky-quil-y-a-a-savoir-malware-moment.html

 

Alerte sécurité : Nouvelle vague d’attaque virale de type « ransomware » à l’aide du virus Locky

Locky Ransomware

http://www.ssi.gouv.fr/en-cas-dincident/

PETYA :

 

Charte Informatique

Charte Informatique ou

Charte des Systèmes ou d’Information

 

Le principe d’une telle charte :
  • Rappeler aux salariés le contexte légal liés aux Technologies de l’Information
  • Exprimer auprès des salariés les limites spécifiques au contexte de l’entreprise avec transparence.
  • Lister les bonnes pratiques, les précautions d’hygiène de l’usage du système d’information au cœur de l’entreprise.
  • Protéger à la fois l’employeur et les salariés de l’entreprise, vis-à-vis des responsabilités respectives
  • Evoluer au gré de l’évolution de l’entreprise, des lois, et des services du système d’information.
Applicabilité :

Pour qu’elle soit pleinement applicable donc opposable au salarié ou exploitable en cas de conflit, la charte informatique doit être :

  • Soumise à l’avis des membres du Comité d’Entreprise,
  • Faire l’objet d’un dépôt au greffe du conseil de prud’hommes
  • Transmise à l’Inspection du Travail accompagné de l’avis du CE.
  • soit signée par chaque collaborateur (ce qui peut s’avérer simple au début deviendra complexe à gérer lorsque celle-ci évoluera), soit intégrée ou annexée au règlement intérieur (ce qui peut sembler un peu plus long mais plus facile à faire évoluer.
  • Communiquée à tous les salariés concernés et mis à disposition (affichage, lien intranet,..)

 

Contenu d’une charte :

La charte va être présentée au CE, lue par les salariés : elle doit être la plus succincte possible, claire, avec des termes compréhensibles par tous les salariés. Attention aux chartes de plus de 10 pages…

Voici les thèmes principaux à aborder.

Usage Professionnel

Les comptes utilisateur / politique des mots de passe :

Un compte utilisateur est théoriquement nominatif : les salariés ne doivent pas communiquer leur compte+mot de passe.

Le choix du mot de passe peut (doit) être imposé par une stratégie du SI sur la longueur, la complexité etc.. La stratégie doit être présentée et expliquée, ainsi que les règles de choix de mot de passe complexes.  De même les conditions de divulgation du mot de passe doit être claire (exemple vis-à-vis d’un service Support).

Courrier électronique

Rappeler les limites sur les pièces jointes, le nombre de destinataires simultanés ainsi que les recommandations sur les mailings, l’écriture en majuscule, l’usage de canaux de communications alternatifs (téléphone, chat, visio,…)…

 

Usage d’internet (et filtrage)

La navigation sur internet peut être « libre » depuis l’entreprise mais un filtrage doit être imposé vis à vis des sites web à caractère illégal. Si l’entreprise a une politique de filtrage supplémentaire (drive Google/Microsoft/Apple/Dropbox, jeux en ligne,…) la nature du filtrage doit être exposée ici.

Pour le reste, il s’agit évoquer le respect du droit (auteur, terrorisme,…).

 

Droit à la Déconnexion

En vigueur depuis janvier 2017, les salariés ont droit à la déconnexion informatique. Il s’agira de rappeler les devoirs des managers, des règles de déconnexion automatique (en fonction des horaires), des bonnes pratiques.

 

Sauvegarde et protection des données professionnelles

Les salariés doivent être sensibilisés à la valeur des données qu’ils manipulent et stockent. Ces données doivent être protégées (niveau de confidentialité ?), soumises à des obligations de chiffrage ou stockées dans des emplacements  protégés et sauvegardés (par opposition aux supports USB par exemple).

 

Publication sur internet et réseaux sociaux

Publier sur un blog professionnel, sur un espace Internet du site web de l’entreprise peut engager le directeur de la publication : une attention particulière doit être apportée aux collaborateurs qui sont en charge du contenu des sites webs.

Ce paragraphe peut être également l’occasion de préciser la latitude proposée par la Communication quant à l’usage des réseaux sociaux sous en-tête de l’entreprise ou au nom de celle-ci.

 

Téléphonie fixe et mobile

 en cours…

 

Les Super Utilisateurs

en cours…

 

Usage à titre extra Professionnel

Cet usage est autorisé dans le cadre légal, l’employeur doit en revanche en définir ses propres contours et permettre  au salarié de savoir si son propre usage à titre personnel des ressources de l’entreprise serait répréhensible ou pas. Cela concerne aussi bien l’usage de la téléphonie fixe, mobile, de la navigation internet, de la messagerie, du stockage de fichiers personnels (et des conditions de stockage).

 

Audit, journalisation, traitement des données personnelles

Par souci de transparence : il est primordial d’indiquer quelles sont les données collectées lorsque les salariés surfent, lorsqu’ils envoient/reçoivent des mails, etc… Il est également utile de rappeler les conditions d’accès aux données professionnelles des salariés par l’IT et les restrictions d’accès pour des données identifiées comme privées ou personnelles ou confidentielles.

En complément, des audits de sécurité, des recherches liés à dysfonctionnements peuvent être déclenchés et nécessiter des accès aux boites aux lettres, aux journaux d’activité, aux postes de travail,… Les salariés doivent en être informés et idéalement comprendre pourquoi cela peut être nécessaire.

La partie « traitement des données personnelles » vise à décrire la situation de l’entreprise vis à vis du règlement européen (sans pour autant faire doublon avec le registre CIL). Il faut indiquer combien de temps les données sont conservées, pour quels usages, quelle nature des données et comment s’informer davantage auprès du CIL (ou DPO).

 

Annexe

Un rappel des textes légaux en vigueur.

 

Quelques liens utiles :

Watchguard

Droits Finances

Olfeo

Journal du Net

Pour finir et si vous avez des doutes : faites vous accompagner par un Avocat pour la validation de la charte Informatique de votre entreprise.

 

Données Personnelles

Cette page est destinée à collecter toutes les actions possibles pour vous permettre de limiter la diffusion de vos données personnelles.

Si vous avez vu ce reportage, vous comprendrez mieux l’intérêt d’être vigilant aux données que vous laissez sur internet et ailleurs…

Il y a en Europe et France plus particulièrement, une législation de plus en plus protectrice des données personnelles ; mais il y a ici la théorie qui se trouve souvent en contradiction avec la réalité des pratiques des entreprises.

Voici une liste non exhaustive de techniques pour vous aider à limiter la diffusion de vos données personnelles, son traitement,  et sa réutilisation par des tiers.

Cette liste se construit progressivement…

Les techniques présentées permettent aussi de réduire le croisement du volume de vos données entre toutes les bases des différents tiers : le croisement et le groupement de vos données va se faire sur des points clés comme le trio Prénom/Nom/Date de naissance, comme le couple @email+Nom de famille, etc…

Certains sites web utilisent également vos informations de connexion (adresse IP, cookies, etc..) pour vous identifier malgré vous la première fois que vous venez chez eux (site de voyage par exemple) , ainsi lorsque vous revenez les voir pour le même objet (comme pour un voyage) c’est que vous êtes intéressés par ce que propose le site : ces sites webs vous reconnaissent et adaptent le contenu à votre navigation (quand certains n’ajustent pas le tarifs à la hausse).

 

1 – Les formulaires

Pour des jeux, des cartes de fidélité ou autres : sites webs ou commerces peut vous demander nom , prénom, date de naissance, adresse email, adresse postale,…

En premier lieu, chaque formulaire doit disposer d’une case à cocher vous demandant l’autorisation de communiquer vos informations personnelles à des tiers :

  • depuis 2015, la liste de ces tiers doit être précisée.
  • la case ne doit pas être cochée par défaut.

Si cette case à cocher n’existe pas, fuyez ou limitez -vous à renseigner autant que possible des éléments erronés.

Date de naissance : sauf à avoir l’obligation légale de fournir votre véritable date de naissance (et non seulement votre âge) comme pour des services interdits aux mineurs (jeux d’argent, services,…), mettez une fausse date (faux jour, ou faux mois) à chaque fois qu’on vous oblige à donner cette information.

Nom de famille : dans certains cas (pas de livraison, pas d’inscription à un organisme officiel ou administratif), vous pouvez faire une erreur dans l’orthographe de votre nom de famille.

Bref, à chaque fois qu’on vous demande une information personnelle qui ne vous semble pas pertinente au regard du service auquel vous vous inscrivez : « trompez » vous ! Cela limitera votre « profilage » et compliquera l’analyse de vos données personnelles.

2 – Les Emails et le SPAM

Ne renseignez jamais votre véritable adresse email mais une adresse jetable ou temporaire ou sous forme d’alias jetable.

Quelques options s’offrent à vous :

  • Créez une adresse jetable, utilisable 1 fois, le temps de valider un mail d’inscription et pour la communication de données non confidentielles  :
  • Achetez un domaine à votre nom (en .com, .org, .fr, .eu) et vous pourrez ensuite créer autant d’adresse email poubelle que vous pourrez rediriger vers votre véritable adresse perso. Ce choix vous permettra de ne pas avoir à mettre vos emails dans les mains des grands opérateurs internet (google, free, orange) qui se basent sur vos mails pour vous faire apparaitre de la pub :
    • www.gandi.net (15€/an + possibilité de stocker jusque 5 boites aux lettres perso)
  • Créez des alias ou redirecteurs depuis des adresses jetables ou poubelles vers votre adresse mail perso.

 

3 – Le navigateur internet

Hors Piste

Dans Internet Explorer, Edge, Chrome et Firefox, vous avez des options pour demander aux sites de ne pas vous tracer ou de ne pas vous pister : activez-les.

Ex sous Firefox : il faut aller dans le menu Outils/options/ Vie Privée et cocher cette case :

Capture

Navigation Privée.

Chaque navigateur permet également de naviguer en mode privé : toutes les opérations effectuées en mode privé (sites visités, cookies, formulaires, etc….) disparaissent de votre ordinateur (seulement de lui) dès que vous quittez le mode privé.

L’accès au mode Privé  (ou Navigation Inprivate ou Navigation privée) se fait en pressant les touches Maj + Ctrl + P

Mieux : réglez le navigateur pour être toujours en mode navigation privée

Trop de pub

Certains sites pratiques l’excès de pub à tout va sur une simple page, ce qui  peut amener aux conséquences suivantes  :

  • un trafic réseau supplémentaire qui pourrait être alloué à vos propres besoins
  • propagation de bannières de publicités contenant des chevaux de Troie
  • ciblage marketing très personnalisé sur la base de vos navigations internet précédentes…

Quelques possibilités pour réduire ces risques :

  • installez un add-on pour bloquer dans votre navigateur autant que possible les trop invasives/indiscètes publicités . Il existe uBlock et d’autres alternatives comme AdBlock Edge  ou ADBlockPlus )
  • chez Free, votre Box dispose d’une fonction AntiPublicité que vous pouvez activer sur votre portail internet.

Pensez-vous à laisser votre bloqueur de pub désactivé pour les sites que vous fréquentez régulièrement.

4 – Comptes et mots de passe

Réseaux sociaux, comptes email, comptes clients etc… autant de compte et de mot de passe à retenir. La solution de facilité est de mettre le même mot de passe partout…. évitez.

  • Assurez-vous de bien spécifier un mot de passe différent sur chacun de vos comptes
  • Testez la solidité de votre mot de passe ici chez Microsoft  ou ici (sans divulguer votre mot de passe)
  • Stockez vos mots de passe et comptes dans un outil gratuit sécurisé comme PasswordSafe ou KeePass
  • Déconnectez-vous de vos espaces personnels (google ou facebook) lorsque vous avez terminé. Si vous restez « connecté », vous prenez le risque d’être pisté nominativement dans tout ce que vous faites par la société chez qui vous avez un compte mais aussi par leurs « partenaires » et donc la quasi totalité des sites webs courants.

Si vous avez un doute ou même sans en avoir : vous pouvez vérifier sur ce site https://haveibeenpwned.com/ si votre adresse email n’est pas inscrite dans la liste des sites web qui se sont fait voler leurs données.

 

5 – Choix du navigateur internet

Sans prendre en compte les questions de sécurité du navigateur de stabilité, de performance, d’ergonomie mais juste sur le terrain de la collecte des données personnelles, le navigateur web qui respecte le mieux vos données personnelles à ce jour reste Firefox.

Idéalement , privilégiez la version Firefox+Qwant : https://www.qwant.com/firefoxqwant/download

Cet assemblage de Firefox et Qwant vous permet de disposer du top en matière de protection de données personnelles (http://korben.info/telechargez-firefox-qwant-preserver-vie-privee-ligne.html )

 

6 – Vos droits d’accès/d’opposition/suppression auprès des sociétés.

 

7 – SMS

Vous recevez des SMS d’une société sans jamais vous êtes inscrits dans cette société : transférez votre SMS au 33700 et suivez les consignes.

C’est gratuit.

 

8 – Téléphone

Depuis le 1 juin 2016, vous pouvez inscrire votre numéro de téléphone sur une liste nationale de refus de démarchage téléphonique. C’est gratuit

Vous remplissez un formulaire en ligne, vous confirmez votre inscription en cliquant sur le mail reçu et voila.

https://www.bloctel.gouv.fr

Un bémol, cela ne vous protège pas contre les instituts de sondage, associations à but non lucratifs etc… Juste contre les appels à vocation commerciale.

 

8 – Applications mobiles

Prenons l’exemple des applications Android qui demandent très souvent l’autorisation d’accéder  à une quantité impressionnante de votre téléphone pour pouvoir fonctionner. Exemple Twitter :

sketch-1457196426623-1

Pour Twitter via votre Android, l’application aurait besoin d’accéder à vos SMS, vos Photos, votre caméra, micro, information Wifi, et tous vos contacts….Mais pas quand vous utilisez Twitter avec un simple navigateur ?

Fuyez ces applications : on trouve souvent l’équivalent dans le monde OpenSource sinon renoncez.

Quelques exemples d’applications équivalentes :

Pour Twitter   => Twidere ou TweetLane

Pour lire vos mails => K-9 Mail

Pour saisir des notes => TomDroid

Pour suivre votre activité sportive => Running

Pour la gestion de fichiers et dossiers => OL File Manager

Pour naviguer sur internet => Tint Browser ou FireFox

Pour la lecture de fichiers multimédia => VLC ou Vanilla Music

Pour vous informer => franceinfo

Idem pour les mises à jour : certaines mises à jour d’application nécessitent de nouveaux droits d’accès largement plus étendus. Soyez vigilants à ces demandes supplémentaires rarement justifiées.

 

9 – Moteurs de recherche

Votre moteur de recherche par défaut ou imposé, journalise toutes vos activités sur le web : les mots clés, les sites consultés. Et si vous avez ouvert une session (type gmail ou google+ ou Bing ou Live ou…) les informations de navigation via ces moteurs de recherche sont directement rattachées à votre nom.

Quelques moteurs de recherche efficaces et respectueux que vous devez mettre comme moteur de recherche par défaut dans votre navigateur :

10 –  Plus loin avec un peu de technique

Serveurs DNS

Les serveurs DNS sont les équipement sur internet qui se charge de convertir vos demandes d’accès internet (www.truc.fr par exemple) vers une adresse IP, numéro unique sur internet qui désigne un serveur (web par exemple).

Les FAI ou opérateurs internet proposent les leurs, c’est pratique et automatique mais cela leur permet d’identifier, de suivre et de connaitre de manière exhaustive l’ensemble des sites que vous visitez, leur fréquence, etc… Accessoirement, c’est aussi un moyen de vous détourner vers d’autres serveurs (en vous renvoyant une autre adresse IP, donc vers un autre serveur).

Une solution simple consiste à utiliser d’autres serveurs DNS dans la configuration de votre poste : les serveurs DNS libres sont listés ici https://www.opennicproject.org/

Vu sur SebSauvage, d’autres serveurs DNS libres sont aussi disponibles ici https://www.fdn.fr/actions/dns/

Infos complémentaires :

 

VPN

 

 

SSTIC 2014

 

Symposium sur la sécurité des technologies de l’information et des communications

Quelques notes prises lors des conférences exceptionnelles du SSTIC Edition 2014

Site des organisateurs : http://www.sstic.org

Les actes / slides / vidéos / ppt sont tous accessibles ici  : https://www.sstic.org/2014/actes/   C’est aussi ce qui en fait une conférence de qualité.

 

 

Analyse de la sécurité d’active directory :

1 – utilisation de chemins de contrôle.

Présentation d’un principe qui vise à établir la relation de droits (ace, acl, gpo, passwords, groupes,…) entre les objets d’un AD, en considérant la transitivité des relations, de manière à établir un graphe le plus large possible. Le but étant d’identifier, notamment par rapport à un groupe tel admin du domaine, quels sont les objets qui peuvent être ou sont membres du groupe. Exemple :  Un utilisateur ayant des droits sur des GPO qui s’appliquent à  des groupes dont admins du domaine revient à lier dans le graphe, l’utilisateur à la possibilité d’être admin du domaine.

2 – Analyse de la sécurité d’un AD avec BTA

Le principe : obtenir une copie de l’AD (ntdis.dit) , de manière à en extraire toutes les tables pour les intégrer dans une base type MongoDB. Une fois constituée, cette base peut être interrogée par des Miners  : bout de codes chargés d’effectuer des requêtes sur les tables afin de sortir des éléments utiles pour un audit  ; exemple, tous les SID d’un groupe spécifique, tous les comptes non logués depuis x jours ,….

 

Kerberos contre-attaque :

Brillante démonstration sur les vulnérabilités de Kerberos. La démo portait sur l’implémentation Microsoft dans un AD2012

  • Un outil obtient une copie du ticket Kerberos TGT depuis un poste client Windows, ce ticket est ouvert, modifié (en ajoutant notamment des SID de groupes privilégiés), réinjectés dans le  cache kerberos du poste de travail et immédiatement, l’accès à une ressource (un CD) devient possible. Le CD nous identifie alors comme membre des groupes.
  • Cette injection depuis le poste de travail ne laisse pas de traces dans les logs Windows des serveurs, ne modifie pas en dur l’appartenance aux groupes dans l’AD. La modification du ticket TGT n’est valable que le temps de la session, depuis le poste .

 

Analyse de la sécurité des modems des terminaux mobiles.

  • Mise en place d’un banc de test  radio sur 2G/3G/LTE.
  • Niveau de la 2G : crypto faible, outils openbt dispo
  • Niveau 3G : sécurité plutôt bonne
  • Niveau LTE(4G) : crypto bonne (128/256 bits) mais peu d’études de sécurité.
  • Procédures de découverte des antennes environnantes non sécurisées avec le terminal.
  • Tests sur les syntaxes des messages, déclenchement de corruptions de mémoire. Test sur les protocoles pour contourner les procédures de sécurité du mobile (comme abaissement du niveau de la sécurité).

=> Au final, toutes les marques présentent des failles ; problème car si les marques corrigent sur les mobiles récents,  rarement si mobile > 1 an.

  • Bug/vuln détectée au moment de l’authentification 3G
  • LTE : connexion LTE sans contrôle d’intégrité, permet l’attachement d’un mobile à un faux réseau LTE. Le faux réseau peut en + demander au mobile d’abaisser son niveau de sécurité (vuln sur certains mobiles) à la manière d’un Man In the Middle.

 

Hooker

  • Modèle de sécurité des applications android
  • Exemple avec RATP :
    • Est-ce que les ressources demandées le sont légitimement et que fait l’appli des ces ressouces ?
    • RATP  demande accès à tous les contacts.
  • Analyse statique : androguard
  • Analyse dynamique : solution 1 : une rom spécifique (droid box). Solution2 : modifier l’apk avant qu’elle ne soit installer (api monitor ou fino) Solution 3 : app hooking.
  • Analyse mixte : online scanner
  • Hooker : application qui analyse une application pour rassembler un maximum d’informations sur l’application. Etape 1 : anroguard, étape 2 : analyse dynamique  avec Substrate => injecte code dans process Zygote dnc permet d’hooker les accès aux informations personnelles, ouvrir des sockets, et contrer les fonctions d’anti émulation. Intégration des résultats à Kiana pour interface web, histogramme.

Macroanalyse: automatisation et paralellisation de la micro analyse.

Tests effectués avec 1000 applis du slideme market et 1000 appli du android market.

Sur 1000, 477 demandent des permissions d’accès internet et 404 les utilisent.

Les urls de pub sont les plus sollicitées. Ports 80 en tète puis 443 puis des ports comme 1130, 5122,305,5220

 

Forensics sur iOS

Terminaux souvent peu ou pas sécurisés

Menaces pour l’utilisateur,  l’entreprise, les données.

Framework iphonedata protection en opensource sur v4 ios.

IPhone backup analyser 2

Celebrite ufed (commercial).

Liste d’outils limitées pour les ios v5. Archi de la sécurité d’un iphone : une NAND reliée au processeur via un crypto processeur.. Mécanismes de secure boot, sandbox, signature du code, protection des données users (fichiers) plus mesures complémentaires.

L’analyse passe par une capture physique via vulnérabilité bootrom, boot sur un système alternatif pour monter un sshd et un ramdisk : cela permet de retrouver toutes les versions des fichiers effacés.

Acquisition logique : possible via les services itunes USB du mobile via demande d’appairage puis activation du service de lecture de fichier (AFC) => permet l’accès aux donnes backup, fichiers, media, configuration.

Acquisition logique : nécessite accord utilisateur, permet de récupérer les données mais pas celles effacées.

Le Jailbreak serait une possibilité pour accès complet au terminal :  car permet de désactiver les fonctions de sécurité. (incompatible avec le concept de conservation de preuves).

Utilisation du service apple mobileimagemounter : service utilisé pour monter des images ignées pour développement. Service vulnérable  dans la version 6 Ios.

 

 

Analyse de sécurité des box adsl

  • Nommées aussi IAD (internet acess device).
  • Plusieurs chemins d’attaque déjà présentés , à distance ou en local. 3eme cas présenté : boucle locale entre modem et dslam.
  • Boucle locale constituée de cuivre . Attaque qui consistes à s’insérer dans le circuit cuivre : émuler un dslam qui rediscute avec un modem local qui rediscute avec le dslam original..idem Man In The Middle. Le dslam+ modem reproduit  tiennent dans une boite équivalent PC. La liaison local entre modem et dslam se fait via ethernet =>utilisation possible de wireshark qui permet une capture du trafic : certaines boxes utilisent le http pour la configuration ou la mise à jour de la box..
  • Expérience de ne pas de se reconnecter avec le dslam original, mais avec un serveur qui fait ppp, dns, htttp  pour simuler un dslam le plus complet => on obtient une  box finale avec voyant qui passent au vert.. Les config de box capturées sont repoussées vers la box , après modif du contenu (ouverture ssh, désactivation des mises à jour, ajout de softphone,…). d’autres idées d’exploitation possibles (appels surtaxés, proxy, botnet,…)
  • Contre mesure possibles : https, observation de l’atténuation du canal sur boucle locale.

 

 

Securité des ordivisions

Tests, évaluation effectuée sur 2 modèles de même constructeur.

Ordivision = smart tv.

Présence d’un secure boot. Une prise UART (type jack) qui sert à avoir des informations sur les process, en cours (mode console).. Détection d’une lib UPNP v1.4, donc vulnérable au CVE2012-5956. toujours pas corrigé en 2014. Exploitation possible de la vulnérabilité pour obtenir un shell en root.. Permet de constater que les images de mise à jour sont signés , clé publique différente pour chaque modele de tv.

Découverte d’un service DirerctFB : alternative au serveur X Windows = port TCP ouvert sans filtrage ni authentification (cve existants).

Conséquences de ces vulnérabilités : prise de contrôle des ordivision, des caméra intégrées aux TV, au micro, aux abonnements,…

 

La radio qui venait du froid.

Etude des claviers fil, souris sans fil…

Techniques décortiquées : nrf24L01+. Disponible publiquement, bidirectionnel 2.4 ghz, présent partout dans pleins d’équipements.

Comment écouter les communications.  Différentes solutions :

1 – Rtlsdr = 20$ mais ne capture pas des frequences > à 2 Ghz.

2 – Usrp = 600$ jusque 6 ghz..; trop cher.

3 – HackRF = 300$ mais en précommande seulement (opensource). Jusque 6 Ghz. Et trop cher.

4 – en 210, une solution présentée à CanSecWest 2010 pour 200$.  Methode Keykeriki  permet de démoduler en permanence, le flux d’un nrf24L01+. La puce de démodulation est une A7125,le proc de capture est un ARM à 100 Mhz. … trop cher.

5 – autre solution moins chère : PuceA7125 (3€) + puce nrf2401 (3€) + arduino + pc + analyseur logique contrefait. Code source sur http://s/github.com/cogiceo

6 – puce nrf2401 3€ + un goodfet (40€) + PC. Le goodfet sert d’interface entre pc et puce nrf2401. Cette solution utilise la puce en mode promiscouis à 2Mb/s.

7 –  puce nrf2401 + arduino (10 €) + pc.

Résultat des captures et analyses : Logitech communique en chiffrement AES. Mais Microsoft ? Sécurisé avec un XOR. La clé du XOR est l’adresse de destination. (constaté en 2010).

Démonstration : capture et interception des touches d’un clavier Microsoft de juin2014 à plus de 15 mètres.

 

Attaques USB

  • Etudes de différentes attaques  avec approche par fuzzing
  • Principe USB avec controleur (jusque 127 périphériques) ;  modele maitre esclave : le périphérique ne prend jamais l’initiative d’envoyer des données au maitre.
  • Approche par fuzzing via Qemu (afin de capturer le trafic USB). Avantage = snapshot, accès code source vm avec qemu + Parallélisation possible . Inconvénient = pas possible de virtualiser tous les systèmes., bugs d’implémentations usb selon les virtualisations.
  • Utilisation avec  Facedancer : adapateur USB qui capture le trafic, mais pas de support USB3, limité à 3 endpoints.
  • Outil développé  basé sur le facedancer : l’outil extrait le PCAP capturé,
  • Outil basé sur un opensource UAM: résultat obtenus avec Windows 8.1 = Crash trouvé dans usbstor.sys. Pistes possibles avec la nouvelle ile usb3 développé nouvellement sous windows 8.

 

Bootkit

  • Rootkit = logiciel malveillant. Problème car sous Winx64, signature obligatoire des drivers.. Solution  = compromettre le système de démarrage.
  • Premier rootkit en 2005.
  • Boot process = bios puis mbr puis vbr (volume boot record) puis boot mgr puis winload (kernel minimaliste, options de démarrage, pagination, chargement de clés de registre, ntoskernel, hal.dll et drivers de type service ‘ boot start’.
  • Les premiers bootkit découverts en 2010 (tdl4, turla, gapz, xpaj, cidox,…).
  • 4 type d’infection : mbr, table de partition,ipl (initialisation programme loader) ou ebp.
  • Opensesource : stonedbootkit, vbbootki, dreamboot.
  • Utilisation des hooks pour arriver au chargement dans ntsokernel.exe. Problème car ces binaires sont basés sur des signatures windows. A chaque nouvelle version de windows, trouver de nouvelles signatures , nouveaux offset,…donc complexe.
  • Projet Reboot : PoC qui  prend la main du boot jusqu’au chargement du kernel , jusqu’ à charger un driver non signé. Sans recherche de signature ou de hook.
  • Démonstration : injection d’un driver dans le process de boot, qui modifie la DLL GINA afin qu’elle accepte n’importe quel mot de passe…

 

Test d’intégrité des machines virtuelles

Hypothèse d’avoir une des  VM qui soit malveillantes dans un environnement VMM dans le cloud, cas où des clients concurrents sont hébergés dans le même cloud.

Approche envisagée : installation d’un hyperviseur intermédiaire entre l’hyperviseur et les vms.

Autre approche , utilisation des couches matérielles : utilisation d’une carte PCIe dédiée.

  • Obtention de l’empreinte de l’hyperviseur pour en vérifier l’intérgité.
  • la carte PCIe possède un FCPGA, un port USB et un port Ethernet pour connexion avec une machine distante de confiance.

 

Securité des systèmes Mainframes

  • Architecture similaire depuis 50 ans (comptabilité binaire), notamment sur system zEntreprise.
  • Contient un hyperviseur : processeur ressource manager qui permet d’avoir des partitions ou VM. (zOS, zLinux,zVSE, ZPTF,…)
  • Constitué d’un kernel, de sous systèmes réseau / stockage / E/S. puis couches applications (serveur appli, base de données, sécurité, automatisation, management).

Le contrôle d’accès est gérée par u module RACF  qui s’appuie sur SAF (situé dans le kernel).

Problèmes : mots de passe limité à 8 caractères, non sensible à la casse, basé sur DES , parfois les bases de données de RACF sont accessibles en lecture => contient les mots  de passe des users…

 

Scan de port en masse

Problème : distribution et passage à l’échelle d’un scan individuel.

Pas d’interface web avec les outils  (nmap, zmap, masscan,…)

Objectif: récupérer toutes les infos de niveau 7 (textes, images, clés, etc,…)

Solution : distribution sur plusieurs sondes, plusieurs pays installées comme webservice.

Nmap ne suffit pas : zmap et masscan fonctionnent en mode asynchrone mais nécessitent un cœur de réseau et ne sont pas criptable.

Proposition de scanner sur une liste d’IP générée de manière non contiguë pour éviter les absues.

Idées de pousser des blocs de 4 IP aux services de scans..

Performances : 12 Millions de scan simultanés.

Dev de NODESCAN : moteur asynchrone de niveau 7 , support du python pour scripting. Beta disopnible.

Tests effectués avec plages IP française (environ 90 M dip  ou Espagne (30 M d’IP). Scan Espagne = 1 journée.

Résultat : détection de FTP uniques nombreux = le fournisseur internet, affiche le nom du client dans la bannière (service de la box).

Slides sur quarkslab.com/en-resources#conferences

 

CryptoCoding.

Les bugs crypto  ont des conséquences pires que les bugs de soft, car permettent une révélation de documents perso ou confidentiels.. Ex HeartBleed.

Type de bug : répétition de ligne goto fail (présent dans implémentations Apple).

Les bug crypto sont moins analysés, moins connus, moins d’expert, moins d’outils.

Openssl : supporte une quantité très large de protocoles , sur quasiment tous les systèmes (du Win 16b, CE au Linux, etc…)

Exemples de problèmes dans le code Openssl :

Des if (0), bcp de  variables mal nommées (exemple payload plutôt que longueur payload, les RFC ne correspondent pas à l’ordre du code Openssl. Bcp de commentaires alarmistes (fix me,…).

Openssl priorise la vitesse, la portabilité, les fonctionnalités plutôt souvent best effort, dirty tricks.

Ce qui est moins prioritaire : documentation, security, robustesse, consistance (nommage des variables, cohérence).

Pour développement de la crypto : maitriser les algo de crypto, les bonnes pratiques, software engineer, software optimisation, langage de dev, etc…

Alternatives à openssl possibles mais toutes présentes des failles. l’opensource a un avantage de présenter moins de backdoor, un niveau de confiance significatif.

LibreSSL : fork d’openssl en supprimant toutes les implémentations anciennes mais appuyée sur BSD, donc si portage sur autre OS, libraires autres que BSD qui peuvent présenter des vulnérabilités.

Comment écrire du code crypto secure :

  • 10 règles  (power of ten » + google ou nacl.cr.yp.to/internals.html)
  • Mise en œuvre de règles  ou d’un standard : https://cryptocoding.net => avec des règles simples et des contre exemples.
    • Le secret doit rester secret
    • Comparer les strings à temps constant.
    • Eviter les  potentiels timing leaks.
    • Se méfier des compilateurs intelligents « uiq optimisient » au détriment de la securité.
    • Nettoyer les mémoires  (stacke, dump, fichiers d’hibernation,….).

Evocation de la fonction Random qui es souvent une faiblesse.

  • Exemple de faille sur netscape en 19996
  • Recommandation d’utiliser dev/urandom sous linux.// Cryptgenrandom sous Windows.
  • 12 règles proposées sur le wiki.

 

Proxy PKCS11 filtrant

Echanges via PKCS11 – CAML Crush :

Le projet : permettre un échange de clé public/privée entre 2 indiviidus via une solution sécurisée en proposant des API.

La clé ne sort pas du conteneur sécurisé mais un lien vers cette clé est envoyée au correspondant (un handle).

Le standard est obligatoire pour échanger les clés, mais il existe des faiblesses.

Caml Crush : se propose de se placer en coupure des requêtes PKCS11. Entre une application et un middleware.

 

Martine monte un CERT

93% des entreprises du CAC40 sont pwned.

Décision d’EADS de créer un CERT Airbus : parties de la feuille blanche, communauté fermée (cercles privés, maillist privée,…)

Cert Airbus group : régalien, toutes divisions internes, cert industriel, veille, alertes gov, incidents.

Martine et les APT : (advanced persistent threat => Bataille marketing..

Schéma classique :

1 – waterhole, spear, phishing, mdp.

2 – installation de RAT, découverte de l’environnement,

3 – compromission du DC,

5 – recherche d’info ,

6 exfiltration via HTTP

Constats effectués sur les intrusions ou tentatives :

  • Mode bourrin / site de C&C dans le top 10 des logs/hits des accès internet / apparaitre dans les logs ? /
  • l’humain est au clavier : supporthack niveau 1, 2, 3, logique dans l’attaque/ êtres humains donc qualité et défauts.
  • Pillage organisé via un dir/R puis rar pour s’envoyer le résultat des file server.
  • Recherche d’un pc vulnérable (serveur plutôt que laptop).
  • Ciblage d’un ingénieur, des sys admin.

Découverte d’un incident : rarement en interne, plutôt via des alertes gouvernementales, ou par des concurrents.

Les attaques sont souvent par secteur d’activité

Identifier l’ampleur de l’incident : chantier système, réseau, communication.

Forensic non adapté car 10, 20 , 30, x centaines de  machines compromises. Gros problème de passage à l’échelle.

Projet de dev d’un agent collecteur de marqueurs (md5, mutex, services, processus,…)

Aucun outil open source  pour déploiement massif, failsafe, maitrise, léger.

Selon présentaation, Sondes réseaux comme IDS morts

Solution d’effectuer une collecte de toutes les données, tous les journaux.

Nécessite une transparence totale en équipe. Reporting./ documentation précise sur les actions à mener en cas d’incidents.

23 CERT en France, 8 en France. LA France à la traine ????

Organisme d’accréditation le FIRST.

 

Quarkspwdump

 

Rumpsessions

Inscriptions (450 places) vendues en 8 min

Soumissions =>plus de contraintes sur le volume des sousmissions = volume des actes les plus importants du sstic avec 570 pages

Serveur ARM basse consommation : => base Netgear à moins de 100 €.

Security défenseive => suricata 2.0 branchement facile vers logstah ou splunk. Ou kibana (dashboard). Dev du script pour blocage auto selon conditions. => création de SELKS en iSO (stamus network)

Parsifal => parseur sur githbu (formats decrits : ssl, dns, mrt,  kerbveros. Possibilité ajouter une fonction de decryptage  AES.

SSTICY => boite a outils pour challenge.

Exflitration de données via ultrasons emis et réceptionné par un pc/mboile.

Mind your langage => présentation complète sur le site de l’agence. Toutes les particularités des langages. Sur le site ssi.gouv.fr

Private meeting  avec outlook => analyse des droits sur les rdv marqués privés.  Une propriété privé n’est valable que pour l’affichage sous outlook,  un powershell permet d ‘afficher le rdv sans tag privé. Le WS est dans le MSDN.

Le BGA =>challenge de dumper un BGA sans le dessouder = passage au rayonx  pour repérer les pins de la NAND. , isolation des pistes, soudures en direct sur la carte

 

Arreter le DDOS sur une plateforme d’affiliation :

réponse = blackhole + proxy LB.

Analyse : repèrage dans les logs

réaction : investigation IP = fail (car ip espagnol)

Reaction bis : envoyer un cookies et le traquer. (à chaque fois qu’il fait un get @ip) et affichage d’une pub  fictive pour le tracer. Action par mail du service marketing expliquant que le problème est résolu : cela fait revenir l’attaquant pour tester si son attaque marche toujours => Pseudo trouvé, puis email puis compte client.

 

 

Traitement des données personnelles US

18 sociétés US ont été évaluées par l’ EFF (Electronic Frontier Fondation) sur le comportement de celles-ci vis à vis des données personnelles de leurs « clients ». Cette évaluation s’est fait selon quatre critères :

  • lorsque la société prévient le client (si le cadre légal le permet)  si le gouvernement US fait une requête sur les données personnelles détenues par la société.
  • Transparence sur le transfert de données personnelles au gouvernement, mise à disposition de statistiques publiques sur ces transferts de données.
  • Lutte pour la protection des données personnelles au sein des tribunaux
  • Lutte pour la protection des données personnelles au sein du Congrès US.

Bien que cette analyse s’applique plus particulièrement au contexte US, notons tout de même que la première société hors US  particulièrement bien notée est LinkedIn puis Google ; à l’inverse de Microsoft, MySpace, Yahoo et pire encore Skype.

Source

Top 10 des Vulnérabilités de Serveurs Web Applicatifs en 2010

La version précédente datait de 2007. L’OWASP nous livre en 2010 sa version actualisée des 10 risques critiques sur les applications Web :

    • Injection (notamment SQL)
    • Cross Scripting (XSS)
    • Violation de Gestion d’authentification et de Session
    • Référence directe non sécurisée à un autre objet
    • Falsification de requête intersite (CSRF)
    • Fuite d’information et Traitement d’erreur incorrect
    • Stockage Cryptographique non Sécurisé
    • Manque de Restriction d’Accès URL
    • Communications non Sécurisées
    • Redirections et transferts non validés

Document original

Idem en version française

A lire avec intérêt !