Voici un petit outil très sympathique pour agrémenter vos rapports d'audit sécu réseau. Il permet entre autre de visualiser les résultats d'un scan nmap exporté au format xml, la classe quoi...
Et ça me permet de vous prévenir qu'une nouvelle version d'nmap sortira dans quelques jours avec une nouvelle option fort amusante la détection de l'uptime
jeudi 16 juillet 2009
vendredi 10 juillet 2009
Signer ses mails avec GMail et GnuPG
Voila une façon assez simple pour signer, chiffrer et déchiffrer ses mails avec GMail (sous Firefox) :
- Il faut installer GnuPG accessible à cet adresse : GnuPG download page.
- Il faut télécharger ce module complémentaire pour Firefox : FireGPG.
Après il suffit de redémarrer Firefox et de suivre les indications. Vous pouvez par exemple créer les clés GPG pour GMail directement à partir de FireGPG.
Pour aller plus loin et exporter la clé publique et privée, il faut passer par la ligne de commande :
Publique : gpg --export --armor monemail@gmail.com > monemail@gmail.com.pub.gpg
Privée : gpg --export-secret-key --armor monemail@gmail.com > monemail@gmail.secret.gpg
Pour afficher le fingerprint de la signature :
gpg --fingerprint monemail@gmail.com
Voici le fingerprint de ma signature : 0B82 5A90 8AE7 05D0 6F4F 9C94 B9FE 5EBB 7593 F488, et la clé publique.
- Il faut installer GnuPG accessible à cet adresse : GnuPG download page.
- Il faut télécharger ce module complémentaire pour Firefox : FireGPG.
Après il suffit de redémarrer Firefox et de suivre les indications. Vous pouvez par exemple créer les clés GPG pour GMail directement à partir de FireGPG.
Pour aller plus loin et exporter la clé publique et privée, il faut passer par la ligne de commande :
Publique : gpg --export --armor monemail@gmail.com > monemail@gmail.com.pub.gpg
Privée : gpg --export-secret-key --armor monemail@gmail.com > monemail@gmail.secret.gpg
Pour afficher le fingerprint de la signature :
gpg --fingerprint monemail@gmail.com
Voici le fingerprint de ma signature : 0B82 5A90 8AE7 05D0 6F4F 9C94 B9FE 5EBB 7593 F488, et la clé publique.
jeudi 2 juillet 2009
Compte rendu de OSSIRB du 16 juin 2009 - Oracle : a new hop
Présentation : Erwan, votre serviteur.
Je vais juste faire un compte-rendu rapide, j'espère qu'Erwan en fera un billet plus complet.
Aujourd'hui lorsque l'on arrive à accéder aux données d'un manière non limitée d'une base via une SQL injection, on est assez satisfait. Le pen-testeur, s'arrêtera certainement à ce niveau et n'ira pas plus loin dans son analyse. Seulement les services d'Oracle (orienté Web Services) nous offrent des fonctionnalités avancées. Il est donc possible via une SQL injection de transformer la base oracle en proxy Web (notemment grâce aux instructions PL/SQL contenues dans le paquetage UTL-HTTP). L'avantage de transformer une base Oracle en proxy et de pouvoir pénétrer un peu plus en profondeur un réseau d'entreprise et pourquoi pas accéder à d'autres services qui normalement ne devraient pas être accessibles depuis l'extérieur. Les possibilités restent assez grandes, il est même possible d'espérer connaître un peu plus la structure du réseau de l'entreprise. Ces possibilités utilisent des vulnérabilités connues des bases Oracle, il est donc aujourd'hui plus que conseillé de mettre à jour ses bases Oracle, on est jamais à l'abri d'une injection SQL provenant d'une application Web.
Je vais juste faire un compte-rendu rapide, j'espère qu'Erwan en fera un billet plus complet.
Aujourd'hui lorsque l'on arrive à accéder aux données d'un manière non limitée d'une base via une SQL injection, on est assez satisfait. Le pen-testeur, s'arrêtera certainement à ce niveau et n'ira pas plus loin dans son analyse. Seulement les services d'Oracle (orienté Web Services) nous offrent des fonctionnalités avancées. Il est donc possible via une SQL injection de transformer la base oracle en proxy Web (notemment grâce aux instructions PL/SQL contenues dans le paquetage UTL-HTTP). L'avantage de transformer une base Oracle en proxy et de pouvoir pénétrer un peu plus en profondeur un réseau d'entreprise et pourquoi pas accéder à d'autres services qui normalement ne devraient pas être accessibles depuis l'extérieur. Les possibilités restent assez grandes, il est même possible d'espérer connaître un peu plus la structure du réseau de l'entreprise. Ces possibilités utilisent des vulnérabilités connues des bases Oracle, il est donc aujourd'hui plus que conseillé de mettre à jour ses bases Oracle, on est jamais à l'abri d'une injection SQL provenant d'une application Web.
Compte rendu de OSSIRB du 16 juin 2009 - Analyse du contenu pédophile dans le réseau eDonkey
Suite à une petite présentation aux rumps de SSTiC, Guillaume Valadon revient nous présenter un peu plus en détail son étude sur le contenu pédophile dans le réseau eDonkey. Ce qu'il faut retenir de cette étude :
- eDonkey est un réseau centralisé, ou les clients viennent se connecter à des serveurs (les serveurs aussi sont interconnectés), et viennent aussi lancer des recherches sur les fichiers voulus.
- Une approche de cette étude consiste à récolter des milliers de logs (plusieurs gigas) d'un serveur, pour observer le comportement des utilisateurs, notemment sur leurs recherches et sur leur façon de partager les fichiers.
- Une approche "faux client" permettant d'arroser le réseau eDonkey de faux fichiers ou de partager des fichiers déjà existant sur le réseau. (pour raison d'éthique et de droit, le contenu des fichiers envoyés seront soit vide, soit généré aléatoirement).
- La désignation de mots clés sur des recherches visant à récupérer du contenu pédophile.
Bref, l'étude monte ainsi le comportement utilisateur et aussi pourrai servir à identifier les personnes recherchant exclusivement ce type de contenu. L'étude va plus loin avec la notion de communauté (sur le contenu recherché) et permet de montrer aussi que le contenu pédophile recherché désigne essentiellement des enfants âgés de 12/13 ans, et qu'il y a aussi beaucoup de recherche pour des adolescents aux alentour de 18 ans.
- eDonkey est un réseau centralisé, ou les clients viennent se connecter à des serveurs (les serveurs aussi sont interconnectés), et viennent aussi lancer des recherches sur les fichiers voulus.
- Une approche de cette étude consiste à récolter des milliers de logs (plusieurs gigas) d'un serveur, pour observer le comportement des utilisateurs, notemment sur leurs recherches et sur leur façon de partager les fichiers.
- Une approche "faux client" permettant d'arroser le réseau eDonkey de faux fichiers ou de partager des fichiers déjà existant sur le réseau. (pour raison d'éthique et de droit, le contenu des fichiers envoyés seront soit vide, soit généré aléatoirement).
- La désignation de mots clés sur des recherches visant à récupérer du contenu pédophile.
Bref, l'étude monte ainsi le comportement utilisateur et aussi pourrai servir à identifier les personnes recherchant exclusivement ce type de contenu. L'étude va plus loin avec la notion de communauté (sur le contenu recherché) et permet de montrer aussi que le contenu pédophile recherché désigne essentiellement des enfants âgés de 12/13 ans, et qu'il y a aussi beaucoup de recherche pour des adolescents aux alentour de 18 ans.
SSTiC 09 - L'humain le maillon fort
Présentateur : Dominique Chandesris
Alors que l'on ne cesse de répéter que l'humain est toujours le maillon faible de la sécurité, voila une présentation hautement philosophique qui se targue de nous démontrer le contraire. Et c'est qu'il y a véritablement de bonnes réflexions la dedans. En effet l'effet de "communauté sécurité", la force intérieure de celle-ci amène inévitablement des changements et certainement aussi des améliorations. C'est par ce travail que l'on arrive à modifier des comportements et même à éduquer des utilisateurs. Bref je n'en dirais pas plus car après c'est une belle bibliographie qui nous est présentée... et j'avoue que suivre le fil de sa pensée il faut parfois bien s'accrocher.
Alors que l'on ne cesse de répéter que l'humain est toujours le maillon faible de la sécurité, voila une présentation hautement philosophique qui se targue de nous démontrer le contraire. Et c'est qu'il y a véritablement de bonnes réflexions la dedans. En effet l'effet de "communauté sécurité", la force intérieure de celle-ci amène inévitablement des changements et certainement aussi des améliorations. C'est par ce travail que l'on arrive à modifier des comportements et même à éduquer des utilisateurs. Bref je n'en dirais pas plus car après c'est une belle bibliographie qui nous est présentée... et j'avoue que suivre le fil de sa pensée il faut parfois bien s'accrocher.
SSTiC 09 - Emanations Compromettantes Electromagnétiques des Claviers Filaires et Sans-Fil
Auteurs : Martin Vuagnoux et Sylvain Pasini
Voila la présentation la plus intéressante de l'après-midi, non seulement parce qu'elle est bien construite, mais aussi parce que le contenu est très intéressant. Le présentateur commence par un historique concernant les recherches sur les émanations électromagnétiques, on y apprend par exemple que pendant la seconde guerre mondiale les premières écoutes électromagnétiques ont eu lieu notemment pour décoder les transmissions stratégiques chiffrées. Le plus intéressant est la méthode utilisée par les chercheurs dans cette nouvelle approche, l'utilisation d'un oscilloscope et d'une antenne à haut gain permet de vérifier que lorsque l'on tape sur son clavier il existe des impulsions électromagnétiques visibles. Après il fallait trouver un moyen d'attribuer les touches du clavier à certaines impulsions électromagnétiques... Bref on arrive ainsi à un résultat plutôt convainquant. Pour les moyens utilisés je vous renvoi aux actes de SSTiC.
Voila la présentation la plus intéressante de l'après-midi, non seulement parce qu'elle est bien construite, mais aussi parce que le contenu est très intéressant. Le présentateur commence par un historique concernant les recherches sur les émanations électromagnétiques, on y apprend par exemple que pendant la seconde guerre mondiale les premières écoutes électromagnétiques ont eu lieu notemment pour décoder les transmissions stratégiques chiffrées. Le plus intéressant est la méthode utilisée par les chercheurs dans cette nouvelle approche, l'utilisation d'un oscilloscope et d'une antenne à haut gain permet de vérifier que lorsque l'on tape sur son clavier il existe des impulsions électromagnétiques visibles. Après il fallait trouver un moyen d'attribuer les touches du clavier à certaines impulsions électromagnétiques... Bref on arrive ainsi à un résultat plutôt convainquant. Pour les moyens utilisés je vous renvoi aux actes de SSTiC.
SSTiC 09 - Calcul sur cartes graphiques, cryptographie et sécurité
Présentateur : Antoine Joux
Certainement la deuxième présentation la plus intéressante de l'après-midi. En effet la plus intéressante est celle qui va suivre. Une présentation assez simple, qui n'entre pas dans les aspects mathématiques de la cryptographie et de la cryptanalyse. En clair les cartes graphiques ne sont pas plus performantes pour chiffrer des données, le processeur reste suffisant, et les communications via le bus interne du PC est certainement un élément limitant. Mais par contre coté attaque le GPU devient intéressant en terme de parallélisation des calculs par la méthode ECM. La fin de la présentation nous montre des exemples d'optimisations de calculs avec CUDA (SDK de NVidia permettant de programmer des calculs sur carte graphique).
Certainement la deuxième présentation la plus intéressante de l'après-midi. En effet la plus intéressante est celle qui va suivre. Une présentation assez simple, qui n'entre pas dans les aspects mathématiques de la cryptographie et de la cryptanalyse. En clair les cartes graphiques ne sont pas plus performantes pour chiffrer des données, le processeur reste suffisant, et les communications via le bus interne du PC est certainement un élément limitant. Mais par contre coté attaque le GPU devient intéressant en terme de parallélisation des calculs par la méthode ECM. La fin de la présentation nous montre des exemples d'optimisations de calculs avec CUDA (SDK de NVidia permettant de programmer des calculs sur carte graphique).
SSTiC 09 - Analyse dynamique depuis l'espace noyau avec Kolumbo
Présentateur : Julien Defossez
En clair Kolumbo est un programme permettant d'intercepter les appels systèmes. Ces appels systèmes permettent l'accès à la mémoire, à des fichiers, à des périphériques et donc de tracer le programme exécuté. Kolumbo possède en outre des modes permettant de contrer les mécanismes de protection utilisés par les programmes malveillants : le chiffrement des binaires (car utilisé en mode noyau), des mécanismes anti-trace.
En clair Kolumbo est un programme permettant d'intercepter les appels systèmes. Ces appels systèmes permettent l'accès à la mémoire, à des fichiers, à des périphériques et donc de tracer le programme exécuté. Kolumbo possède en outre des modes permettant de contrer les mécanismes de protection utilisés par les programmes malveillants : le chiffrement des binaires (car utilisé en mode noyau), des mécanismes anti-trace.
Inscription à :
Messages (Atom)