La sécurité n’est pas qu’une affaire de méthodes et de certifications, c’est aussi un état d’esprit, une manière d’appréhender les choses… J’y reviendrai prochainement.
Posts Tagged ‘sécurité’
Sur la sécurité…
Saturday, December 10th, 2011Conférence sur l’infoguerre / guerre de l’information
Friday, March 18th, 2011Tout comme l’année précédente, j’aurai le plaisir d’animer une conférence sur la guerre de l’information (sous le feu de la guerre de l’information…) au sein du Groupe 4, notamment auprès des promos ISMP (Institut Supérieur en Management Projet) et 4IM (Ecole Alternance Informatique et Manager), ce mardi 22 mars 2011, où j’enseigne notamment la sécurité informatique (techniques d’intrusions, social engineering) ou encore dans les domaines télécoms et réseaux (tcp/ip, mpls, hdlc, datacenter, hébergement, serveurs, etc…).
L’infoguerre, ou la guerre de l’information, c’est plus précisément une guerre menée à petite, moyenne ou grande échelle, où l’ensemble des armes, méthodes, techniques et actions, utilisent comme moyen principal l’information et/ou les médias qui la transporte et la diffuse.
Elle peut notamment concerner l’acquisition, la manipulation et la gestion de d’information et de sa perception (perception management), la dégradation, la destruction ou la manipulation des systèmes d’acquisition, de stockage, de diffusion, et de traitement de l’information, via des procédés électroniques, informatiques ou physiques.
Christophe Casalegno
http://twitter.com/Brain_0verride
Le titre de 4IM/4MM du Groupe 4 est maintenant certifié par l’état
Sunday, February 20th, 2011Le Groupe 4, groupe de formation initiale et continue aux métiers de la double compétence: Management et Technique, vient d’annoncer la certification par l’état des titres 4IM et 4MM (“Chef de Projet Système d’Information” Titre de niveau I – inscription RNCP suivant J.O. du 22/12/2010, code nsf 326p).
Si je profite d’une tribune sur mon blog pour l’annoncer, c’est que j’ai le plaisir d’enseigner dans cette école depuis maintenant 2 années consécutives, et plus précisément auprès de l’Institut Supérieur en Management de Projet et de l’Institut International d’Ingéniérie Informatique et de Management dans les domaines du réseau, de la sécurité, du social engineering et de la guerre de l’information.
Plusieurs choses m’ont séduit dans cette école : tout d’abord la passion de son équipe dirigeante, des enseignants, et des élèves bien entendu. Enfin, cette école représente le type de formation que je recherchais mais qui n’existait pas il y a 15 ou 20 ans. Une école ouverte 24/24, les SIM games, la semaine de speed coding, des enseignants issus du milieu de l’entreprise : tous les ingrédients nécessaires pour entretenir la passion et acquérir les compétences nécessaires aux métiers d’avenirs des ingénieurs-managers.
Trouver les personnes ayant à la fois la compétence du manager et la compréhension de la technique, n’est pas une tâche facile, et cela, de nombreux entrepreneurs auto-didactes comme moi le savent très bien, et la reconnaissance par l’état de cette formation n’est pour moi qu’une juste récompense pour le Groupe 4.
Pour plus d’informations sur cette certification : Groupe 4 : Le titre de 4IM/4MM est maintenant certifié par l’état
Le site officiel du Groupe 4 : www.groupe4.fr
Christophe Casalegno
http://twitter.com/Brain_0verride
Sortie de BrainCnx 0.1
Tuesday, November 2nd, 2010BrainCnx est un petit script écrit en perl, permettant de traiter un fichier de sortie de la commande netstat et d’afficher le nombre de connexions par adresse ip cliente. BrainCnx peut s’utiliser pour afficher le nombre de connexions pour chaque adresse ip ou bien uniquement les adresses ip affichant un nombre de connexions > x. Ce script est particulièrement utile pour détecter un nombre de connexions anormal généré par une même adresse.
Utilisation : perl braincnx.pl [nombre minimum de connexions]
Exemple : netstat -tanpu > cnx.txt && perl braincnx.pl 20 cnx.txt
IP : 192.168.43.171 -> 42
IP : 192.168.206.14 -> 36
IP : 192.168.139.170 -> 46
IP : 192.168.113.211 -> 36
Télécharger BrainCnx : BrainCnx version 0.1
Christophe Casalegno
http://twitter.com/Brain_0verride
force_bind version 0.4 dans les bacs
Thursday, October 28th, 2010force_bind est un outil écrit par Catali(ux) M. BOIE (catab at embedromix dot ro) en langage C et sous license GPLv3, qui permet de forcer un binaire qui ne dispose pas cette fonction, à ‘écouter sur un port et une adresse ip particulière. Force_bind fonctionne avec ipv4 et ipv6. La syntaxe de force_bind est très simple comme le montre les exemples suivants :
1. FORCE_BIND_ADDRESS=127.0.0.1 FORCE_BIND_PORT=33 LD_PRELOAD=${LD_PRELOAD}:/usr/lib/force_bind.so your_program # force binding to 127.0.0.1/33.
2. FORCE_BIND_ADDRESS=127.0.0.2 LD_PRELOAD=${LD_PRELOAD}:/usr/lib/force_bind.so your_program # force binding to 127.0.0.2
Pour plus d’informations : http://kernel.embedromix.ro/us/
Christophe Casalegno
http://twitter.com/Brain_0verride
Passer un appel sur un Iphone verrouillé via la commande vocale.
Wednesday, October 27th, 2010Alors que j’étais entrain de lire sur pcinpact un article intitulé “Une faille permet de passer des appels sur un iPhone verrouillé“, je m’apprêtais à essayer la démonstration sur le mien (Iphone 4 avec ios 4.18B117). Dès le début voici une des indications données : “Vous verrouillez l’appareil et, depuis l’écran de contrôle, vous pressez le bouton permettant de passer un numéro d’urgence.”.
[ Mise à jour : cela fonctionne également avec les Iphone 3GS ]
Or il se trouve que si j’ai souvent vu mon enfant de presque 2 ans arriver à cette option, je ne sais pas quel est le bouton à presser pour y arriver moi même. Je décide donc de presser le bouton du milieu en dessous l’écran et de laisser mon doigt appuyer sur ce dernier. Au bout de 4 secondes de pression, l’Iphone (qui est toujours verrouillé) passe alors en “Commande Vocale“. Je marmonne alors un mot de stupéfaction devant l’appareil, s’affiche alors le nom d’un de mes contacts, et l’Iphone me demande lequel des numéros de l’interlocuteur je veux appeler.. j’en choisis un, cela fonctionne.
 |
 |
 |
 |
||
Vérifications faites quelques minutes plus tard il est possible de composer n’importe quel numéro de téléphone, il suffit de dire “composer” suivi du numéro à appeler. De plus il est également possible d’utiliser plusieurs autres fonctions de l’Iphone dans ce mode… A suivre…
Christophe Casalegno
http://twitter.com/Brain_0verride
La nouvelle version de clamAV est sortie (0.93.3)
Tuesday, September 21st, 2010ClamAV (Clam Antivirus), est un antivirus libre sous license GPL particulièrement adapté au filtrage des emails où à une utilisation “serveur”. ClamAV est composé d’un démon (programme résident) multi-threadé, d’un scanner en ligne de commande et d’un système de mises à jour automatique de ses bases de signatures. Le noyau de ClamAV est également disponible sous forme d’une bibliothèque partagée. La dernière version corrige notamment des problèmes avec le parseur PDF et la libray bzip2 interne.
L’url du site de ClamAV : http://www.clamav.net
PostgreSQL version 9.0 dans les bacs
Monday, September 20th, 2010PostgreSQL, le célèbre système libre de gestion de base de données relationnelle et objet (SGBDRO) vient de sortir dans sa version 9.0. PostgreSQL intègre plusieurs centaines de nouvelles améliorations dont : la réplication, une gestion des droits améliorés, de nouveaux types de requêtes, une option when sur les Triggers, une meilleure gestion de la sécurité et bien plus encore.
Pour en savoir plus : http://www.postgresql.org
rspamd version 0.3.2
Thursday, September 16th, 2010Rspamd est un système anti-spam sous license BSD, conçu pour fonctionner plus rapidement que son cousin SpamAssassin via l’utilisation d’un modèle d’évènements et l’optimisation d’expressions régulières. La dernière version fixe plusieurs problèmes (notamment avec le stat file replication ainsi qu’avec les algorithmes d’apprentissage) et apporte son lot de nouveautés et d’améliorations des fonctions existantes parmi lesquelles : ajout de la classification bayesienne et post-processing Lua filters.
Rappelons que Rspamd intègre également la gestion des expressions régulières permettant de filtrer différentes parties du message, des fonctions intégrées d’analyse de message, un filtre SURBL, système de plugin Perl et Lua, support de statistiques (OSB/Winnow), la compatibilité avec spamassassin et bien d’autres choses.
Le site de rspamd : http://bitbucket.org/vstakhov/rspamd/wiki/Home
Sortie de justsniffer 0.5.8
Wednesday, September 15th, 2010justniffer est un sniffer de packets TCP en ligne de commande, capable de capturer, ré-assembler et ré-ordonner ces derniers. Il est particulièrement adapté à l’écoute du trafic HTTP et peut notamment être utilisé pour effectuer des mesures de performances de services réseaux. De plus, cette petite merveille est scriptable et peut enregistrer tout le trafic http capturé ( images, javascript, css et html..) sous forme de fichiers.
Très simple d’utilisation, il est particulièrement utile pour debugguer des problèmes de serveurs (http, smtp, pop, imap, ftp, etc…) La version 0.5.8 corrige un bug dans Ubuntu 10.04 .
Le site de justsniffer : http://justniffer.sourceforge.net/
Exemple d’utilisation :
justniffer -i eth0 -r -p “port 25″
capture smtp traffic (usually using tcp port 25)
220 plecno.com ESMTP Postfix (Ubuntu)
EHLO unknown.localnet
250-plecno.com
250-PIPELINING
250-SIZE
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM: SIZE=1079
RCPT TO:
DATA
250 2.1.0 Ok
250 2.1.5 Ok
354 End data with .
From: Oreste Notelli
Organization: Plecno
To: oreste.notelli@gmail.com
Subject: test
Date: Wed, 22 Apr 2009 22:46:16 +0200
User-Agent: KMail/1.11.2 (Linux/2.6.27-8-generic; KDE/4.2.2; i686; ; )
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”Boundary-00=_ZI47J3FTNXn+25g”
Content-Transfer-Encoding: 7bit
Content-Disposition: inline
Message-Id: <200904222246.17292.oreste.notelli@plecno.com>
–Boundary-00=_ZI47J3FTNXn+25g
Content-Type: text/plain;
charset=”us-ascii”
Content-Transfer-Encoding: 7bit
test
–Boundary-00=_ZI47J3FTNXn+25g
Content-Type: text/html;
charset=”us-ascii”
Content-Transfer-Encoding: 7bit
test
–Boundary-00=_ZI47J3FTNXn+25g–
.
250 2.0.0 Ok: queued as 33E7235C21A
QUIT
221 2.0.0 Bye
Faille DNS : beaucoup de bruit… pour pas grand chose.
Sunday, August 17th, 2008Il y a quelques semaines, la presse s’emparait avec l’engouement médiatique habituel, de la récente “nouvelle” vulnérabilité dns, découverte par Dan Kaminsky. Cette faille, présentée comme la nouvelle épée de Damocles de ce monde numérique, pourrait mettre en danger le web tout entier. Oui mais…
Cette histoire me rappelle, l’autrement différente mais comparable attaque qui avait eu lieu contre les serveurs “racine” (Root Servers) sur lesquels repose en partie le fonctionnement de traduction d’adresses offert par le système DNS. Il y avait eu autant de bruit… pour pas grand chose encore : on pouvait “arrêter internet”. Oui et ? Et rien justement ; le fonctionnement d’Internet, dans son ensemble, repose sur une colonne vertébrale à la solidité plus proche du verre que du carbone. Ce n’est pas nouveau, et il existe des moyens beaucoup plus efficaces que de s’adresser aux serveurs racines pour en perturber le fonctionnement…
A la lecture des nombreux articles parlant de cette nouvelle vulnérabilité DNS, on y apprend qu’il s’agit simplement de l’application d’une technique de cache poisonning DNS. C’est une attaque en effet efficace… utilisée depuis plus de 10 ans, dans le cadre par exemple, de tests d’intrusion, ou expliquée dans le cadre de cours que j’ai eu l’occasion de dispenser pour un Opérateur Historique ou certains de nos ministères…
En effet, le protocole DNS a toujours été vulnérable aux attaques de type cache poisonning, ce n’est pas nouveau, même si son exploitation a, visiblement, été facilitée. C’est d’ailleurs l’une des raisons de la création du protocole DNSSEC, qui résoud en grande partie le problème sur le fond. Ce problème, comme de nombreuses autres vulnérabilités, est inhérent au fonctionnement et à la conception du réseau Internet et de la suite de protocoles TCP/IP, ni plus, ni moins. Cette “vulnérabilité”, représente surtout un risque pour l’utilisateur final mal renseigné, mais, dans la pratique, pas beaucoup plus qu’un virus ou un ver s’amusant à modifier les fichiers hosts des utilisateurs, avec un effet similaire.
Quoi de neuf là dedans ? A vrai dire, pas grand chose. Du réchauffé, de chez réchauffé, sans odeur et sans saveur, comme d’habitude dirons-nous : c’est ce qui se pratique depuis des lustres par les “médiatechnologues” de la sécurité. Alors que de nombreux routeurs composants le backbone internet utilisent encore des piles tcp/ip avec des numéros de séquence totalement prédictibles, qu’il est possible d’hijacker n’importe quelle connexion utilisant un protocole standard (ftp, email, web…), d’accéder de manière non autorisée au courrier électronique, le falsifier à la volée, ou encore récupérer en quelques clics dans un navigateur des banques de données complètes contenant des millions de logins et de passwords, et d’informations bancaires (numéro de CB, date d’expiration, nom du porteur…), cette faille DNS amène t’elle vraiment le chaos annoncé ?
La réponse est non, bien entendu. Pourquoi ? Tout simplement parce que 100% des systèmes d’information sont piratables, et ce depuis toujours, et le resteront probablement encore pendant quelques décennies. Les raisons en sont toutes simples : les ordinateurs sont “pensés” par des humains imparfaits, fabriqués par des machines conçues imparfaitement (d’ailleurs *tous* les processeurs sont buggués), sur lesquels on installe des système d’exploitation également imparfaits, tournant sur des langages eux mêmes imparfaits… La chaîne est encore longue, pour arriver jusqu’à l’applicatif utilisateur… et l’utilisateur lui même.
Le problème n’est donc pas de savoir si un système est piratable : il l’est par sa conception même *systématiquement*, il ne s’agit que d’une question de temps et de moyens, tout comme dans le cas d’un coffre fort par exemple. On ferait mieux de se préoccuper d’une vulnérabilité beaucoup plus importante et affectant aujourd’hui les systèmes les mieux protégés, sur lequels il reste possible d’agir, et, exploitable avec des moyens minimums : le facteur humain… Aujourd’hui encore, et pour longtemps je pense, la plus grande vulnérabilité reste située entre la chaise… et le clavier.
