Overblog
Suivre ce blog Administration + Créer mon blog
14 novembre 2012 3 14 /11 /novembre /2012 21:47

J'entends souvent dire que la notion de Centre Opérationnel de Sécurité (COS), ou Security Operational Center (SOC), est floue et que l'on peut y être un peu tout...

 

J'ai donc eu envie de donner ma vision de ce que pourrait être une équipe opérationnelle de sécurité. Cette vision n'est pas à considérer comme un état de l'art, comparé aux publications de l'ENISA sur le sujet ou encore le "CERT in a box".

 

Tout d'abord, les activités du COS :

- veille vulnérabilités SI

- veille technologique

- veille juridique NTIC

- inventaire des actifs du parc et leur association au responsable métier

- détection des incidents de sécurité : analyse des alertes, et surtout corrélation (proxies, pare-feu, antivirus, sondes NIDS/NIPS, stats de messagerie, stats télécom, stats des sites web inter / intranet, inventaires IP / systèmes d'expoitation / logiciels)

- traitement des incidents de sécurité

- gestion des crises SSI (notamment virales)

- rédaction de tableaux de bord SSI

- audit de sécurité / conformité

- gestion de dérogations sécurité "exceptionnelles"

- gestion de déprovisionnement des annuaires et des privilèges

 

 

Ensuite les membres constituant l'équipe (les proportions pourront évidemment varier selon les contextes et les besoins)

- plusieurs opérationnels "pur sécurité" (veille, traitement des incidents, inforensique, coordination opérationnelle)

- spécialiste réseau et architecture télécom opérateur

- spécialiste système d'exploitation Windows

- spécialiste système d'exploitation linux et Unix

- spécialiste développement Java, ASP.Net, PHP

- spécialiste droit NTIC : investigation, code pénal, Code du travail, droit des marques/APP, code de propriété intellectuelle,

- spécialiste des réglementations/homologations métier (ayant un lien avec la sécurité), et des contractualisations (prestas)

- veilleur technologique et sécurité

- auditeur / spécialiste en intrusion

 

 

Cette équipe devrait à mon sens être rattachée au RSSI, en tant que "bras armé". Elle pourrait également être partie intégrante d'un pôle sécurité plus global, pilotant la PSSI.

 

Cette équipe devrait potentiellement être sous astreinte 24h/24 si l'entreprise a des contraintes fortes de continuité de production.

 

Cette équipe devrait aussi être en liaison directe avec l'entité de contrôle interne (par essence, non SI), afin de pouvoir solliciter des mandats internes d'extraction de traces et surtout, de pouvoir décliner des opérations de contrôle métier au niveau SI (le volet SSI, donc).

 

Enfin, en considérant le pilotage de la sécurité par le risque, cette équipe devrait pouvoir solliciter en direct toute hiérarchie métier quand un défaut de conformité est décelé (incident de sécurité latent), afin de faire acter au métier les risques inhérents à la situation.

  • Si les risques peuvent être maîtrisés en local, sans devenir transverses, la hiérarchie métier concernée devrait acter les risques résiduels après mise en oeuvre du plan d'action sécurité.
  • Sinon, la cellule devrait être habilitée à solliciter la hiérarchie RSSI et DSI, afin de faire prendre en compte les risques transverses liés à la non conformité sécurité détectée.

 

 

J'espère que cela donnera de l'inspiration à certains pour mettre en oeuvre ce type de structure. Dernier point, je ne pense pas que l'on puisse espérer maintenir un parc sécurisé sans une équipe dont la fonction est proche du COS tel que je l'ai précédemment décrit...

 

Partager cet article

Repost0
1 novembre 2012 4 01 /11 /novembre /2012 13:23

Si vous avez la conscience de tenter de maintenir à jour votre OpenOffice, vous risquez de tomber sur un petit souci technique.

Les centres de téléchargement de OpenOffice.org ont-ils été compromis ? A priori non, mais pourtant, on pourrait légitimement le craindre.

 

Sur un OpenOffice 3.3, si vous lancez la vérification de mise à jour, vous vous verrez proposer la 3.4.1.

 

Cependant, petit problème au téléchargement depuis le "site officiel" :

 

certificat_openoffice.PNG

 

Il est plutôt compliqué d'expliquer un tel message d'erreur à des utilisateurs que l'on a déjà bien du mal à sensibiliser (et prêter attention aux messages de sécurité dans le navigateur)....

 

Ici, fort heureusement, ce n'est qu'une erreur d'administration de serveurs et certificats : le (futur ?) certificat HTTPS pour apache.org a été posé sur (l'ancien ?) serveur de téléchargement openoffice.org. Vous pouvez donc télécharger le fichier sans risque :)

 

Partager cet article

Repost0
28 octobre 2012 7 28 /10 /octobre /2012 17:57

Offrir des services Internet est bien, mais que ces derniers tiennent la charge en cas d'affluence, c'est mieux (pour ne pas dire indispensable ?).

Le problème est que si les services non numériques (ex: bornes/guichets de vente) ne peuvent eux non plus encaisser le flot, parce qu'ils ont été réduits suite à la mise en place du site justement, alors la situation s'aggrave.

 

Voici l'exemple du jour : ugc.fr, dans le contexte de la sortie du dernier James Bond 007 en date, Skyfall. En un mot, inutilisable.

 

Premier constat : 1h30 à tenter d'acheter un billet en ligne le lendemain de la sortie officielle. Plus de 15 tentatives de transaction bancaire, aucune n'ayant (à priori) réussi. Des requêtes qui arrivent en expiration de délai, et une navigation très lente à plus d'une minute par page...

 

Deuxième constat, les messages d'erreur, qui n'ont visiblement pas l'air de respecter les bonnes pratiques de sécurité :

Capture_ugc_CentOS_271012.PNG

 

Je ne suis pas sûr que cette version de Apache soit à jour...


Capture_ugc_page-inaccessible_271012.PNG

Le serveur HTTP ne semble même plus répondre... Le panier d'achats a-t-il été conservé ? à priori non, mais pourtant certaines données sont conservées (film, salle, numéro de carte de réduction, etc) en réactualisant les pages.

Seule chose rassurante : la saisie du numéro de carte bleue n'a pas été faite, donc il ne devrait pas y avoir paiement "non contrôlé". Heureusement. 

 

Mais ce sont aussi les sites partenaires qui ont du mal à suivre :

Capture_allocine_VBScript_271012.PNG

Afficher ce type de message d'erreur peut probablement faciliter une intrusion...

 

Pour finir, au-delà de tout discours marketing sur le sujet dont je me détache, je voudrais rappeler que CISCO a déclaré que la solution réelle contre le déni de service relevait du rêve, après plus de 20 ans de recherches :

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html

[citation]

Defense Mechanisms
From the beginning, all legitimate users have tried to respond against these threats. University communities and software corporations have proposed several methods against the DDoS threat. Despite the efforts, the solution remains a dream. The attackers manage to discover other weaknesses of the protocols and—what is worse—they exploit the defense mechanisms in order to develop attacks. 

 

Partager cet article

Repost0
28 octobre 2012 7 28 /10 /octobre /2012 17:44

Je ne posterai ici que des informations publiques, le reste est entre les mains des autorités ivoiriennes.

Photo sur MSN récupérée sur Internet, dont voici la source (donc en fait une actrice... ) :

 

photo_source_281012.PNG

 

Autre exemple :

recherche_photo_msn_extrait.jpg

 

Attention donc si vous tombez sur ce genre de personnes !

Partager cet article

Repost0
3 octobre 2012 3 03 /10 /octobre /2012 17:40

Les bonnes pratiques recommanderaient de ne pas faire de transaction sur le site Grandvoyageur de la SNCF, pour les cartes de réduction :

 

 

Capture_grandvoyageur_certificat_031012.PNG

 

Pourtant une campagne massive de publicité a été envoyée aux clients...

Partager cet article

Repost0
28 septembre 2012 5 28 /09 /septembre /2012 13:48

Avec ma plus grande considération pour mes confrères à Sophos, je voudrais lever une petite alerte concernant leur article :

http://nakedsecurity.sophos.com/2012/08/28/unpatched-java-exploit-spreads-like-wildfire/

 

Plus particulièrement, concernant la solution "protection via pare-feu de Windows". L'idée de base me semble pertinente : limiter l'accès réseau des composants de la machine virtuelle Java, ici vulnérable, pour réduire la surface d'exposition à des codes d'exploitation.

L'idée présentée dans l'article de Sophos est de mettre en oeuvre des règles dans le pare-feu de Windows, afin d'autoriser uniquement l'accès réseau intranet à la machine Java. Ceci réduit effectivement dans le principe, le seuil d'exposition de Java à des sites malveillants (ou légitimes mais compromis).

 

Cependant, quelques points :

 

1-  il faut avoir Vista, 7, ou 8, car le pare-feu Windows filtrant dans le sens sortant n'existait pas sous XP.

 

2- il faut avoir une politique de filtrage de flux en "liste blanche", c'est à dire que tout flux non explicitement déclaré dans les règles de pare-feu, serait refusé par défaut. Ceci est une règle assez "état de l'art" à mon avis, mais très dure à mettre en oeuvre dans la vraie vie. D'ailleurs, me semble-t-il, nombre d'entités ont simplement et purement désactivé le pare-feu de XP et 7, par GPO !

 

3- Déclarer l'intranet de l'entité dans règles pare-feu, par classes d'adresses, est possible. Mais pour des machines en mobilité, la connexion sur la Box ADSL de la maison se fait aussi sur des classes d'adresses privées (ex : 192.168.X.Y). Donc attention aux profils du pare-feu pour le déploiement de telles régles (profils de réseau privé / domaine).

 

4- J'arrive à mon plus gros point. La législation Française impose aux entreprises de disposer de traces des accès Internet de leurs employés. La technique la plus communément utilisée pour filtrer et générer ces traces, est la mise en oeuvre d'un mandataire (proxy). Or, ce dernier a... une adresse IP interne (pour l'accès depuis les machines clientes) !!  et au niveau TCP, quand on fait passer une connexion par un mandataire, la connexion entre le client et le mandataire se fait sur des IP de classes privées.

 

Exemple :

Client 192.168.1.10

Proxy : 192.168.1.253

Serveur HTTP demandé : 6.7.8.9

 

Le client demande l'accès au serveur HTTP dont l'IP est : 6.7.8.9, via le proxy.

La connexion entre le client et le proxy, qui prend à sa charge la session HTTP, correspond en fait à des sessions TCP entre 192.168.1.10 et 192.168.1.253, donc des IP privées. CQFD.

 

 

DONC, la mise en oeuvre du filtrage sur plages d'adresses telle que présentée par Sophos, ne marche pas si l'entité dispose de mandataires (proxies). Il faut penser à retirer les adresses des proxies de la liste des IP autorisées dans le pare-feu Windows pour la machine virtuelle Java.

 

J'ai fait, par curiosité, une reproduction, qui confirme mes craintes.

 

Évidemment, si je poste cet article aujourd'hui, c'est aussi en lien avec l'actualité sécurité pour Oracle : http://www.silicon.fr/faille-java-oracle-securite-78942.html  1.1 milliard de machines concernées par une nouvelle faille, touchant Java 1.5, 1.6, et 1.7.

 

Partager cet article

Repost0
18 septembre 2012 2 18 /09 /septembre /2012 21:58

Voici la liste des bulletins de sécurité pour Flash Player, en date du 18/09/12 :

 

liste_bulletins_180912.png

 

Le dernier bulletin en date, pointe donc sur :

http://www.adobe.com/support/security/bulletins/apsb12-19.html

 

dernier_bulletin_flash-player_180912.png

 

 

La dernière version recommandée d'un point de vue "correction de failles de sécurité" est donc censée être la : 11.4.402.265

 

Ca tombe bien, c'est celle que j'avais ce matin sur une machine d'usage courant :

detect_version-installee_180912.png

 

 

Et comme je n'ai pas redémarré la machine, la mise à jour de Flash Player (s'il devait y en avoir une) ne se fera pas en automatique.

 

Mais que vois-je ? une nouvelle version, la 278 serait disponible ???

 

Et effectivement, elle est disponible au téléchargement !

 

telechargement_flash-player_nouvelle-version180912.png

 

 

Mais mon dernier point ne sera sûrement pas des moindres... il se trouve que cette version, la 278, empêche d'exploiter (ie: injection de code arbitraire) la faille de sécurité actuellement utilisée dans des attaques, si l'on en croit la presse et les organismes de veille :

http://www.zdnet.fr/actualites/internet-explorer-touche-par-un-exploit-0-day-39782621.htm

(Tests faits sur XP SP3 / IE8, et Win 7 64 bits / IE9)

 

Mise  à jour 1:

 

Je voudrais préciser ce que j'entends par faille de sécurité Flash ici. Flash est une machine virtuelle, et est censé proposé un contexte d'exécution isolé par rapport à l'environnement utilisateur complet (géré par le système d'exploitation).

Comment se fait-il que l'on puisse contourner une fonction de sécurité (ASLR) mise en oeuvre au niveau système d'exploitation, par un balayage de la zone mémoire ("heap spraying") par Flash, et ensuite rendre la main à une commande hors Flash (car pure IE) ?

A mon sens, il est surprenant qu'un composant tiers, isolé, comme Flash, puisse permettre de réaliser des actions sur la mémoire du navigateur, pour ensuite pouvoir injecter le code d'exploitation adapté...

Et pour finir, la technique de parcours de la mémoire ("heap spraying") marche  pour des zones mémoire de quelques gigas maximum, 4Go par exemple. Mais l'ASLR sur un espace mémoire de plus de 4Go nécessitera au mieux beaucoup de temps, voire aboutira en erreur.

Voilà donc une nouvelle raison de ne pas avoir de Windows Vista/7 en 64 bits avec seulement 4Go de RAM : l'efficience de l'ASLR ! 

 

Mise à jour 2 :

 L'avis de sécurité Microsoft http://blogs.technet.com/b/srd/archive/2012/09/19/more-information-on-security-advisory-2757760-s-fix-it.aspx

indique :

 All real attacks we have seen are targeting only 32-bit versions of Internet Explorer and rely on third-party browser plugins to either perform efficient heap-spray in memory and/or to bypass the built-in mitigations of Windows Vista and 7 such as DEP and ASLR

Cela semble clair... 

 

Et la page officielle de Adobe ne mentionne même pas la version .278 de Flash Player :

http://helpx.adobe.com/flash-player/release-note/fp_114_air_34_release_notes.html 

Fixed Issues 
Netstream crashes intermittently on disconnect (3193417)
Issue with stopping live audio streaming on AIR Android (3188340)
drawWithQuality() does not render filters properly on Android devices (3224928)
Clipboard.generalClipboard.setData doesn't work on iOS (3226045)
Some FLV video content does not play in Flash Player on Windows (3187569)
Only right side audio playing in Flash Player based apps in Firefox on Windows (3289279)
Mouse Lock feature disabled after entering Full Screen Interactive mode (3174344)
[iOS5] TextFields with embedded fonts garbled on mobile devices (3161138)
First frame of some live streaming contents freezes (3207896)
Application icons for 50X50, 100X100, 1024X1024 are now supported for iOS applications in the Application Descriptor (3217144)
Applications using Native extensions sometimes crash on iOS when using certain external libraries.eg. Libxml2.dylib (3226974)
Some deviation is observed when a launch image of resolution 768 x 1004 or 1024 x 748 is packaged in a full-screen iPad application. (3230762). The new guidelines for using launch images can be referred to here
H264 videos on iOS crash when switching between two NetStreams attached to a StageVideo object (3206438)
Issue with CameraRoll.browseForImage() causes transparency loss resulting in white color (3291312)


Released versions

Flash Player Desktop (Windows® /Mac) 11.4.402.265
AIR (Windows® , Mac, Mobile) 3.4.0.2540

AIR SDK 3.4.0.2540

 

 

Mise à jour 3 :

 

Autre vérification, la version .278 est déclarée comme "safe" par Adobe, dans le registre Windows :

[HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayer\SafeVersions]
"6.0"=dword:ffffffff
"7.0"=dword:ffffffff
"8.0"=dword:ffffffff
"9.0"=dword:ffffffff
"10.0"=dword:00e6001e
"11.0"=dword:01920116

 

Ceci signifie que l'on ne peut plus installer une version antérieure (ex : la 265) après que Flash ait détecté cette nouvelle version et ait écrit l'info dans le regsitre ! Voici l'avertissement qui apparaît alors :

 

install_ancienne_version_flash_alerte_210912.jpg.png

L'installation est alors bloquée. Que signifie "most secure" alors, si cette dernière version ne corrige rien au niveau sécurité ? 

 

Partager cet article

Repost0
16 septembre 2012 7 16 /09 /septembre /2012 13:19

Configuration:

- Win 7 SP1 64 bits

- 1 compte utilisateur local courant, non administrateur

- 1 compte administrateur local

 

Firefox 14.0.0 indique une mise à jour disponible, la 14.0.1. En cliquant sur "accepter la mise à jour", Firefox redémarre mais il ne se passe rien (mise à jour non appliquée et aucun message d'erreur). Pourquoi l'UAC n'est pas déclenché pour solliciter l'utilisation d'un compte privilégié ?

En lançant Firefox avec le compte administrateur ("Exécuter en tant qu'administrateur"), aucune notification. En lançant manuellement la mise à jour 14.0.1, elle s'applique après redémarrage.

 

Et maintenant, une nouvelle mise à jour est indiquée disponible ! la procédure installe correctement la version 15.0.1.

 

Le problème est que si l'utilisateur n'y fait pas attention, Firefox reste "coincé" en version 14, et donc il conserve tous les problèmes pourtant corrigés (incluant failles de sécurité)...!

 

Partager cet article

Repost0
13 septembre 2012 4 13 /09 /septembre /2012 16:55

La capture d'écran parle toute seule à mon avis :

 

fausse_barre_IE_RFG_130912.png 

 

 

Ne pas cliquer sur tout ce qui bouge / clignote, comme toujours.

Partager cet article

Repost0
8 août 2012 3 08 /08 /août /2012 23:21

Sur une machine perso, sans prendre de risques particuliers...

 

Capture.PNG

 

 

Comment peut-on prétendre qu'on peut faire sans antivirus sur un poste, après ça ?

Partager cet article

Repost0