The Fappening

Des centaines de photos (intimes) volées et publiées sur internet. Dans cet épisode les questions suivantes seront abordées : quel a été le mode opératoire des cyberdélinquants ? Comment limiter les risques ?

Vos commentaires sur notre page facebook ou sur blogpost

De l’évolution du métier de RSSI

Episode boule de cristal : Dans ce format les experts de NolimitSecu se penchent sur un sujet et font leurs prédictions  !

Les RSSI doivent faire face à des problématiques de plus en complexes. Dans ce contexte, comment va évoluer ce métier ?

 

 

 

Vos commentaires sur notre page facebook ou sur blogpost

Compte-rendu de la nuit du hack 2014

En préambule, il convient de rappeler qu’un hacker est avant tout une personne douée de compétences qui lui permettent d’améliorer un mécanisme, d’optimiser un processus, de contourner une limitation, etc …

Un hacker n’est donc pas nécessairement un cyber-délinquant comme on a tendance à le croire.

La nuit du hack est un évènement atypique qui permet aux hackers de se retrouver et de partager leurs connaissances.

Nicolas et Jeff ont participé à cet évènement. Dans ce podcast, Ils nous font part de leur retour d’expérience  :

 

 

Compte-rendu de SSTIC 2014

Comme chaque année depuis 2003, la conférence SSTIC vient de se terminer à Rennes.
Cette édition s’inscrit dans la continuité des précédentes, avec toujours un contenu technique de très haute qualité. Cette année apporte également son lot de nouveautés:

  • Les actes au format ePub (en plus du traditionnel PDF).
  • Le streaming en direct de la conférence. On peut espérer que les vidéos seront prochainement disponibles en ligne, car elles ont été archivées !

Difficile de résumer 3 jours de conférence et d’échanges informels (probablement la partie la plus dense de l’évènement !) en quelques lignes. D’autant que cette année, toutes les conférences étaient globalement très opérationnelles et pédagogiques, avec du contenu exclusif (ce qui est plutôt rare dans les conférences de sécurité).

Windows et Active Directory sous les feux de la rampe

Active Directory a incontestablement dominé la première matinée, avec la présentation croisée de deux outils d’investigation Open Source: BTA (développé par Airbus Group Innovations – ex. EADS Innovation Works) et un outil de l’ANSSI qui sera prochainement disponible.

Le premier outil permet de scripter en Python la recherche de backdoors « connues » (comme les modifications de l’objet AdminSDHolder présentées l’année dernière à SSTIC). C’est une sorte de Sysinternals Autoruns de l’Active Directory – il extrait l’information utile mais ne dispense pas d’une analyse humaine.

Le deuxième outil permet d’établir les chemins implicites permettant d’arriver à un objet donné (en général un compte Admin de Domaine). Il est facile de vérifier « à la main » si un compte est membre du groupe « Admins du Domaine ». Par contre comment identifier un compte qui peut modifier une GPO appliquée au poste de travail d’un administrateur de domaine ? Voire des scénarios plus compliqués ?

Ces deux outils sont parfaitement complémentaires l’un de l’autre. De plus ils fonctionnent « offline » sur une copie de la base Active Directory, donc sans impact sur la production.

Kerberos is dead, baby

Une présentation d’Aurélien Bordes sur l’implémentation Kerberos de Microsoft a fini d’achever la première matinée. Le rôle de 3 comptes Windows bien souvent délaissés par les pentesters a été explicité:

  • Le mot de passe du compte « krbtgt » est le secret principal du domaine ; il permet de falsifier un TGT (Ticket Granting Ticket) et donc de créer des tickets de service pour n’importe quelle ressource avec n’importe quel droit. Pas de chance: ce mot de passe ne change jamais !
  • Le mot de passe du compte machine (de la forme « MACHINE$ ») permet de falsifier un ticket de service valable sur cette machine sous n’importe quelle identité avec n’importe quel droit.
  • Le mot de passe permettant d’établir les relations d’approbation inter-domaines (de la forme « DOMAINE$ » permet également de falsifier des tickets pour le domaine cible.

Les conclusions sont sans appel:

  • La frontière de sécurité est la forêt, pas le domaine.
  • En cas de compromission, il est nécessaire de changer tous les mots de passe deux fois. Y compris le compte « krbtgt » et tous les comptes machines. Bon courage !

Vivement une implémentation de ces attaques dans Mimikatz !

Rump sessions

Difficile de résumer une trentaine de rump sessions (présentations de moins de 3 minutes) tant l’information était concentrée. S’il ne faut en retenir que trois:

  • Démo de l’ANSSI sur la transmission de données entre un iPhone et un PC sur un canal ultrason.
  • Aurélien Bordes a démontré que les entrées de calendrier Exchange marquées comme « privées » … ne le sont pas vraiment. Et c’est documenté dans MSDN.
  • Aurélien Francillon a reparlé de ses travaux sur les backdoors dans les disques durs … pour dire que la NSA avait déjà industrialisé la technique en 2008 ! Il a également présenté son programme de recherche systématique des backdoors dans les firmwares – qui a découvert la même backdoor dans le firmware de plusieurs caméras IP provenant de constructeurs différents !

Compte-rendus publics

Voilà, pour ceux qui veulent en savoir plus, il existe de nombreux compte-rendus publics très exhaustifs. On peut citer par exemple:

http://securite.intrinsec.com/2014/06/05/sstic-2014-premiere-journee/

http://securite.intrinsec.com/2014/06/06/sstic-2014-deuxieme-journee/

http://securite.intrinsec.com/2014/06/10/sstic-2014-troisieme-journee/

http://www.n0secure.org/2014/06/sstic-2014.html

http://www.n0secure.org/2014/06/sstic-2014-jour-2.html

http://www.n0secure.org/2014/06/sstic-2014-jour-3.html

http://www.n0secure.org/2014/06/sstic-2014-le-bilan.html
http://quack1.me/sstic_2014_0.html

A l’année prochaine !

Vos commentaires sur notre page facebook ou sur blogpost

Armageddon XP

NoLimitSecu, nouveau podcast francophone sur la sécurité

NoLimitSecu est un nouveau Podcast francophone dédié à la sécurité. Le premier épisode porte sur la fin des patchs de sécurité pour Windows XP. Premier podcast d’une longue série. NoLimitSecu c’est un podcast fait par des personnes ayant les mains dans le cambouis.

Armageddon XP : oui ou non ?

Le support de Windows XP arrive à sa fin… Cette version “mythique” de Microsoft Windows va laisser la place à un Windows 7 ou 8 (ou mieux) être remplacée par un système Linux ou autre OS libre…

Pour ceux qui ne peuvent (ou ne veulent) pas migrer et qui devront rester sous XP encore un certain temps, est-ce que c’est la fin des haricots ? Leur système deviendra-t-il ; par manque de patchs de la part de crosoft ; un vrai havre de paix pour toute la vérole numérique que l’Internet propose en standard ?

 

En fait, point de “Armageddon XP” ! La fin des patchs de sécurité sous Windows XP ne devrait pas être la fin du monde… si bien sûr vous prenez quelques précautions.
NotLimitSecu vous explique pourquoi et comment conserver votre XP dans un état de “propreté” pour encore quelque temps… En attendant de passer à autre chose… Of course !

Au niveau du système d’exploitation : SP2 et patchs dispo

Il est essentiel que le Service Pack 2 (SP2) au moins, soit installé. Cela doit être le cas mais vérifier ne fera pas de mal. Le SP2 est particulièrement important car celui-ci apporte des protections essentielles pour protéger le système contre les attaques de type « buffer overflow » et autres trucs sanglants du même genre… Of course, le SP3 fera l’affaire ! 🙂

 

Bien sûr, installer tous les patchs de sécurité de disponibles… même si il n’y en aura pas de nouveaux, ça ne fera pas de mal ! Sur une vielle machine n’ayant pas vu de patchs depuis quelques temps, ça sera long et les reboots nécessaires… mais, bon fait y passer… No choice !

Focus sur le navigateur Internet : exit Internet Explorer

Un système XP avec un SP2 est un système qui tient quand même bien la route en terme de sécurité…. merci à Crosoft et à leur programme SDLC (Security Development Lifecycle). En fait, c’est rarement le système d’exploitation qui est la cible d’attaques. Ce sont les applications, avec en 1er le navigateur Internet et les plugins qui vont autour (un « kudo » à Java qui se fait la part belle des failles avec son pôte Adobe Acrobat Reader).

 

Coté navigateur, le passage vers Chrome devrait être la règle… Une autre alternative étant un Firefox avec des exentions comme NoScript… Cette dernière option étant assez discutée car bloquer tout le contenu actif par défaut ça le fait moyennement… surtout dans le contexte des HTML5 & co. L’important c’est de mettre à la poubelle Internet Explorer qui va devenir de plus en plus pourri et rempli de failles car plus de patchs…

Mettre à jour ses extensions et applications

Mettre à jour les extensions « plugins » de son navigateur est ESSENTIEL. Ca la très grande majorité des attaques passent via celles-ci. Pour ceux qui veulent se faciliter la vie, qu’ils utilisent un outil comme Personal Software Inspector (PSI) de Secunia. Avec PSI, savoir quelles applications sont à jour ou pas devient un jeu d’enfant.

Installer EMET, le HIPS de Crosoft

Pour améliorer de façon sensible la sécurité d’un système XP, il faut y installer EMET de Microsoft. EMET (Enhanced Mitigation Experience Toolkit) est un HIPS (Host Intrusion Prevention System).

EMET permet de renforcer le niveau du système contre une miriade de techniques d’attaque. Ca marche plutôt bien (
bien que pas infaillible) et il sait se faire assez discret et efficace. Un système sur lequel EMET a été installé sera donc plus résistant, plus difficile à compromettre.

Un synthèse pour les plus pressés

Si vous n’avez pas le choix de conserver votre machine sous Windows XP, il y a 4 trucs à faire pour éviter de se faire trouer comme un jeune blanc bec :
  • Installer obligatoirement le SP2 (ou le SP3) et tous les patchs crosoft dispo
  • Installer Microsoft EMET
  • Passer sur navigateur comme Chrome ou un Firefox avec ses extensions de paranos.
  • Mettre à jour ses applications en se faisant aider par un outil comme Secunia PSI.

Pas uniquement la faute à Crosoft

Bon, ce n’est pas compliqué mais pas à la portée du premier newbie (quoi que) et encore moins faisable par une personne non spécialisée en info. Le nombre de machines sous XP hébergeant des botnets et autres saloperies devrait donc aller en croissant. Mais il ne faudra pas jeter la pierre (uniquement) sur Microsoft…. car avec si ces quelques conseils étaient suivis, alors nous devrions pas avoir d’ « Armageddon XP ». Encore une fois le problème est entre la chaise et la clavier…

And you ?

Et vous, quel est vôtre avis sur la question ? Est-ce qu’un système sous XP c’est Armageddon à tous les coûts ? D’autres conseils ? Pas d’accord avec nous ? on vous écoute…