Zatoichi, le samouraï aveugle

kyzdra

16 juil. 2008 — 2 min read

La sécurité : les gens en prennent conscience. Ils savent que leurs applications / services / machines sont vulnérables et qu’il faut trouver les failles et les corriger… Mais ils n’ont aucune idée de comment commencer :

Pen-test ?
Audit de code ?
Formation ?
Sécurité organisationnelle ?

Il est vrai qu’à voir les offres de sécurité, il y a de quoi être perdu. Franchement le point de départ est pourtant simple, suite à la prise de conscience, il faut se donner les moyens d’avoir de la visibilité sur ce qui se passe dans son SI, voir les application planter, les systèmes se comporter anormalement, recueillir les traces et prendre le temps de les analyser pour comprendre ce qui se passe et l’améliorer.

Beaucoup mettent en place des super outils partout partout, ils sont armés jusqu’aux dents et se prennent pour Zatoichi… mais ils n’en ont pas le niveau et ils ne voient pas venir l’attaquant. Pire, telle une victime de Ken le survivant, ils sont corrompus, mais ils ne le savent pas encore.

LISEZ vos LOGS, je ne vous parle pas de mettre en place un système de corrélation mais simplement d’avoir des logs stockés quelque part, que vous pouvez consulter à loisir, voir défiler sur un écran, recevoir par e-mail… et ensuite chercher pourquoi tel ou tel message d’erreur est apparu. Cela demande un peu de temps et de ressource, mais sans ça… vous ne verrez rien venir. A quoi bon bâtir des murailles si c’est pour les laisser sans surveillance.

Je vous renvoie donc à l’article de Linux Mag HS n°37 sur syslog-ng, et vous invite à installer un serveur central syslog-ng, pour ces messieux sous Windows jetez un oeuil à NTsyslog ou Snare. Pour vos applis Web, utilisez le système de log intégré dans votre API, et tout remontera via syslog 😉

Cela demande quelques bouts de scripts / configuration à droite à gauche dans votre SI mais vous en apprendrez beaucoup, et vous pourrez remonter les bugs a vos développeurs/fournisseurs, voir votre site web crasher suite à une requête malformée, vos services segfaulter, bref réaliser le chemin à parcourir pour gouverner votre SI et ne plus être à la merci de l’inconnu.

Franchement c’est un vieil adage, c’est l’invention de l’eau chaude… mais c’est un bon début. Et concrètement comment vous faites ? bah… Google est votre ami 😉 ce n’est pas les tutos
qui manquent.

SSTIC 2023 - J3

Analyse statique de code avec Semgrep SemGrep est un outil d’analyse de code source capable de tourner sur n’importe quel langage. Le parsing est basé sur tree-sitter, le parser produit un AST, et l’outil travaille directement sur l’AST. On peut faire du pattern matching et de

SSTIC 2023 - J2

Vulnérabilités dans le protocole RemotePlay Steam est l’application de jeu la plus populaire sur PC, avec une très grosse surface d’attaque. Elle fait l’objet d’un BugBounty sur HackerOne. Le RemotePlay est un protocole non documenté sans rapports de vulns publics. Il permet dans son mode « together

SSTIC 2023 - J1

20 ans de SSTIC ! ça ne nous rajeunit pas… 15 years of oss-security @solardiz L’orateur est l’un des premiers à publier sur le re15 years of oss-security @solardizturn-into-libc et un des contributeurs à John the ripper, et le fondateur de la communauté openwall. Le vulnerability disclosure à fait

Streamer Audio : Volumio

Introduction Aujourd’hui il y a plein de manières de diffuser de la musique dans son salon. La première source à laquelle je pense est très certainement la TV connectée. Les services de musique ont pour la plupart lancé des applications sur les TV connectées. Et cet article peut s’

Read more

SSTIC 2023 - J3

SSTIC 2023 - J2

SSTIC 2023 - J1

Streamer Audio : Volumio