Présentation : Erwan, votre serviteur.
Je vais juste faire un compte-rendu rapide, j'espère qu'Erwan en fera un billet plus complet.
Aujourd'hui lorsque l'on arrive à accéder aux données d'un manière non limitée d'une base via une SQL injection, on est assez satisfait. Le pen-testeur, s'arrêtera certainement à ce niveau et n'ira pas plus loin dans son analyse. Seulement les services d'Oracle (orienté Web Services) nous offrent des fonctionnalités avancées. Il est donc possible via une SQL injection de transformer la base oracle en proxy Web (notemment grâce aux instructions PL/SQL contenues dans le paquetage UTL-HTTP). L'avantage de transformer une base Oracle en proxy et de pouvoir pénétrer un peu plus en profondeur un réseau d'entreprise et pourquoi pas accéder à d'autres services qui normalement ne devraient pas être accessibles depuis l'extérieur. Les possibilités restent assez grandes, il est même possible d'espérer connaître un peu plus la structure du réseau de l'entreprise. Ces possibilités utilisent des vulnérabilités connues des bases Oracle, il est donc aujourd'hui plus que conseillé de mettre à jour ses bases Oracle, on est jamais à l'abri d'une injection SQL provenant d'une application Web.
jeudi 2 juillet 2009
Compte rendu de OSSIRB du 16 juin 2009 - Analyse du contenu pédophile dans le réseau eDonkey
Suite à une petite présentation aux rumps de SSTiC, Guillaume Valadon revient nous présenter un peu plus en détail son étude sur le contenu pédophile dans le réseau eDonkey. Ce qu'il faut retenir de cette étude :
- eDonkey est un réseau centralisé, ou les clients viennent se connecter à des serveurs (les serveurs aussi sont interconnectés), et viennent aussi lancer des recherches sur les fichiers voulus.
- Une approche de cette étude consiste à récolter des milliers de logs (plusieurs gigas) d'un serveur, pour observer le comportement des utilisateurs, notemment sur leurs recherches et sur leur façon de partager les fichiers.
- Une approche "faux client" permettant d'arroser le réseau eDonkey de faux fichiers ou de partager des fichiers déjà existant sur le réseau. (pour raison d'éthique et de droit, le contenu des fichiers envoyés seront soit vide, soit généré aléatoirement).
- La désignation de mots clés sur des recherches visant à récupérer du contenu pédophile.
Bref, l'étude monte ainsi le comportement utilisateur et aussi pourrai servir à identifier les personnes recherchant exclusivement ce type de contenu. L'étude va plus loin avec la notion de communauté (sur le contenu recherché) et permet de montrer aussi que le contenu pédophile recherché désigne essentiellement des enfants âgés de 12/13 ans, et qu'il y a aussi beaucoup de recherche pour des adolescents aux alentour de 18 ans.
- eDonkey est un réseau centralisé, ou les clients viennent se connecter à des serveurs (les serveurs aussi sont interconnectés), et viennent aussi lancer des recherches sur les fichiers voulus.
- Une approche de cette étude consiste à récolter des milliers de logs (plusieurs gigas) d'un serveur, pour observer le comportement des utilisateurs, notemment sur leurs recherches et sur leur façon de partager les fichiers.
- Une approche "faux client" permettant d'arroser le réseau eDonkey de faux fichiers ou de partager des fichiers déjà existant sur le réseau. (pour raison d'éthique et de droit, le contenu des fichiers envoyés seront soit vide, soit généré aléatoirement).
- La désignation de mots clés sur des recherches visant à récupérer du contenu pédophile.
Bref, l'étude monte ainsi le comportement utilisateur et aussi pourrai servir à identifier les personnes recherchant exclusivement ce type de contenu. L'étude va plus loin avec la notion de communauté (sur le contenu recherché) et permet de montrer aussi que le contenu pédophile recherché désigne essentiellement des enfants âgés de 12/13 ans, et qu'il y a aussi beaucoup de recherche pour des adolescents aux alentour de 18 ans.
SSTiC 09 - L'humain le maillon fort
Présentateur : Dominique Chandesris
Alors que l'on ne cesse de répéter que l'humain est toujours le maillon faible de la sécurité, voila une présentation hautement philosophique qui se targue de nous démontrer le contraire. Et c'est qu'il y a véritablement de bonnes réflexions la dedans. En effet l'effet de "communauté sécurité", la force intérieure de celle-ci amène inévitablement des changements et certainement aussi des améliorations. C'est par ce travail que l'on arrive à modifier des comportements et même à éduquer des utilisateurs. Bref je n'en dirais pas plus car après c'est une belle bibliographie qui nous est présentée... et j'avoue que suivre le fil de sa pensée il faut parfois bien s'accrocher.
Alors que l'on ne cesse de répéter que l'humain est toujours le maillon faible de la sécurité, voila une présentation hautement philosophique qui se targue de nous démontrer le contraire. Et c'est qu'il y a véritablement de bonnes réflexions la dedans. En effet l'effet de "communauté sécurité", la force intérieure de celle-ci amène inévitablement des changements et certainement aussi des améliorations. C'est par ce travail que l'on arrive à modifier des comportements et même à éduquer des utilisateurs. Bref je n'en dirais pas plus car après c'est une belle bibliographie qui nous est présentée... et j'avoue que suivre le fil de sa pensée il faut parfois bien s'accrocher.
SSTiC 09 - Emanations Compromettantes Electromagnétiques des Claviers Filaires et Sans-Fil
Auteurs : Martin Vuagnoux et Sylvain Pasini
Voila la présentation la plus intéressante de l'après-midi, non seulement parce qu'elle est bien construite, mais aussi parce que le contenu est très intéressant. Le présentateur commence par un historique concernant les recherches sur les émanations électromagnétiques, on y apprend par exemple que pendant la seconde guerre mondiale les premières écoutes électromagnétiques ont eu lieu notemment pour décoder les transmissions stratégiques chiffrées. Le plus intéressant est la méthode utilisée par les chercheurs dans cette nouvelle approche, l'utilisation d'un oscilloscope et d'une antenne à haut gain permet de vérifier que lorsque l'on tape sur son clavier il existe des impulsions électromagnétiques visibles. Après il fallait trouver un moyen d'attribuer les touches du clavier à certaines impulsions électromagnétiques... Bref on arrive ainsi à un résultat plutôt convainquant. Pour les moyens utilisés je vous renvoi aux actes de SSTiC.
Voila la présentation la plus intéressante de l'après-midi, non seulement parce qu'elle est bien construite, mais aussi parce que le contenu est très intéressant. Le présentateur commence par un historique concernant les recherches sur les émanations électromagnétiques, on y apprend par exemple que pendant la seconde guerre mondiale les premières écoutes électromagnétiques ont eu lieu notemment pour décoder les transmissions stratégiques chiffrées. Le plus intéressant est la méthode utilisée par les chercheurs dans cette nouvelle approche, l'utilisation d'un oscilloscope et d'une antenne à haut gain permet de vérifier que lorsque l'on tape sur son clavier il existe des impulsions électromagnétiques visibles. Après il fallait trouver un moyen d'attribuer les touches du clavier à certaines impulsions électromagnétiques... Bref on arrive ainsi à un résultat plutôt convainquant. Pour les moyens utilisés je vous renvoi aux actes de SSTiC.
SSTiC 09 - Calcul sur cartes graphiques, cryptographie et sécurité
Présentateur : Antoine Joux
Certainement la deuxième présentation la plus intéressante de l'après-midi. En effet la plus intéressante est celle qui va suivre. Une présentation assez simple, qui n'entre pas dans les aspects mathématiques de la cryptographie et de la cryptanalyse. En clair les cartes graphiques ne sont pas plus performantes pour chiffrer des données, le processeur reste suffisant, et les communications via le bus interne du PC est certainement un élément limitant. Mais par contre coté attaque le GPU devient intéressant en terme de parallélisation des calculs par la méthode ECM. La fin de la présentation nous montre des exemples d'optimisations de calculs avec CUDA (SDK de NVidia permettant de programmer des calculs sur carte graphique).
Certainement la deuxième présentation la plus intéressante de l'après-midi. En effet la plus intéressante est celle qui va suivre. Une présentation assez simple, qui n'entre pas dans les aspects mathématiques de la cryptographie et de la cryptanalyse. En clair les cartes graphiques ne sont pas plus performantes pour chiffrer des données, le processeur reste suffisant, et les communications via le bus interne du PC est certainement un élément limitant. Mais par contre coté attaque le GPU devient intéressant en terme de parallélisation des calculs par la méthode ECM. La fin de la présentation nous montre des exemples d'optimisations de calculs avec CUDA (SDK de NVidia permettant de programmer des calculs sur carte graphique).
SSTiC 09 - Analyse dynamique depuis l'espace noyau avec Kolumbo
Présentateur : Julien Defossez
En clair Kolumbo est un programme permettant d'intercepter les appels systèmes. Ces appels systèmes permettent l'accès à la mémoire, à des fichiers, à des périphériques et donc de tracer le programme exécuté. Kolumbo possède en outre des modes permettant de contrer les mécanismes de protection utilisés par les programmes malveillants : le chiffrement des binaires (car utilisé en mode noyau), des mécanismes anti-trace.
En clair Kolumbo est un programme permettant d'intercepter les appels systèmes. Ces appels systèmes permettent l'accès à la mémoire, à des fichiers, à des périphériques et donc de tracer le programme exécuté. Kolumbo possède en outre des modes permettant de contrer les mécanismes de protection utilisés par les programmes malveillants : le chiffrement des binaires (car utilisé en mode noyau), des mécanismes anti-trace.
mardi 30 juin 2009
SSTiC 09 - IPMorph : Unification de la mystification de la prise d'empreinte
Présentateur : Guillaume Prigeant
Je n'avais pas fait de CRR de cette présentation faite à l'OSSIRB, car je ne la trouvais pas si intéressante que ça. C'est effectivement une sorte de base de données de tous les outils permettant de faire de la prise d'empreinte (Nmap, SinFP, p0f, Xprobe2 et Ring2), et grâce à un mode proxy, permettre de faire dire tout et son contraire sur la prise d'empreinte. Exemple : une debian 4.0 devient un Windows 95, etc. Une jolie présentation néanmoins, nous permettant de voir toutes les possibilités de PPT.
Je n'avais pas fait de CRR de cette présentation faite à l'OSSIRB, car je ne la trouvais pas si intéressante que ça. C'est effectivement une sorte de base de données de tous les outils permettant de faire de la prise d'empreinte (Nmap, SinFP, p0f, Xprobe2 et Ring2), et grâce à un mode proxy, permettre de faire dire tout et son contraire sur la prise d'empreinte. Exemple : une debian 4.0 devient un Windows 95, etc. Une jolie présentation néanmoins, nous permettant de voir toutes les possibilités de PPT.
Inscription à :
Messages (Atom)
