Vous êtes sur la page 1sur 81

Sommaire

Prsentation de lEHCC
Prsentation de quelques sances
Analyse forensic
Attaques rseaux
Attaques de systmes
Attaques applicatives

Conclusion

Lide de la cration
Tout est parti dun constat : aujourd'hui, dans le monde de la scurit
des systmes dinformations, deux types de profils se ctoient.

Vue procdurale et
thorique de la
scurit.
Bonne pratique.

Vue densemble de la scurit.


Meilleure approche de la gestion des risques.
Meilleure matrise et meilleur pouvoir de
dcision face a lvolution des menaces
pesant sur les systmes dinformations
dentreprise.

Technophiles focaliss
sur des problmatiques
locales et des
quipements
spcifiques.
3

Une expertise ncessaire


Une perception et une apprciation des risques
plus raliste.
Avoir des consultants plus performants
trop de fonctionnel et plus assez de technique
technophile sans culture scurit

Besoin urgent de monter le niveau technique


dans la scurit pour rpondre aux nouvelles
menaces.
Prise de mauvaises dcisions, Danger
4

Connatre les attaques


pour savoir se dfendre
Utiliser les techniques offensives dans un but
dfensif
Etre en capacit dvaluer une menace
Avoir une meilleure rponse face aux incidents
Jouer avec les outils des assaillants, pas
seulement avec les contrles de scurit.

2013, lanne de la cration


LEthical Hacking Club du Clusir a t fond en
2013 dans le but de runir des passionns et
professionnels de la scurit autour dune pratique
et dune passion commune quest le hacking.
Lide tait de se perfectionner ou de dvelopper
certaines comptences dans diffrentes disciplines
telles que le forensic, le pentest, le reverse
engineering etc., en les abordant sous forme
datelier (Workshop) et en les remettant dans un
contexte entreprise.
6

Les parties prenantes


Public de professionnels averti et responsable.
Personnes engages dans la scurit
Managers et techniciens.

Public avec une thique de la scurit.


Personnes respectueuses de la lgislation et des
rgles de scurit dentreprise.

Lapproche
Groupe de travail collaboratif.
Dfinir une approche pragmatique de la
scurit.
Raccrocher la thorie la pratique.
Savoir appliquer, et appliquer son savoir dans le
contexte de lentreprise.

Enrichir ses connaissances grce au partage du


savoir-faire et des retours dexpriences.
8

La dmarche
Poser une problmatique relle que lon peut
retrouver dans le contexte de lentreprise.
Approche de la problmatique laide de
challenges techniques.
Dfinition dune dmarche globale pour aborder
ces challenges.
Dbriefing et capitalisation des solutions.
Partage du savoir-faire et des retours
dexpriences.
9

Synthse des thmes


abords durant lanne
Analyse
forensic

Attaque dune
application
Web

Attaque de
systmes

Elvation de
privilges

Vulnrabilits
rseaux

Exploitation
des failles
binaires
10

Analyse Forensic
Lart de linvestigation
Menace botnet
Attaque Web
Recherche de preuves
11

Menace botnet
Zoom sur les botnets
Rponse incident
Bilan de la sance

12

Rseau botnet ??
C&C
BOTMASTER

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT

BOT
13

Exemples dutilisation des bots


Ce ne sont ici que des exemples, l'utilisation des botnets tant trs large

Vol de donnes perso,


Identifiant, nCB

Interruption de service

Ranonnage, extorsion,
Fraude au click

Campagnes de spam

Phishing

Dtournement de fond
14

Parties prenantes
Mafia

CyberCyber-Criminel

Hacktivist

Principale motivation

15

Modle conomique
Commanditaire
Pas de comptences
MaaS
Malware as a Service

Louer
Service Botnet
Spamming
DDOS

Acheter
Malware
Botnet
Liste demails

Echanger

Vendre

Malware
Exploit (0day)
Service

Botnet
Exploit Kit
Crypter

Peu de connaissances
Install/Clic/Clic/Attack !

Dveloppeur
Tout le savoir faire est ici.
Creation, Fork, etc. 16

Les boutiques Blackmarket

17

Infection
Script

Exploit
Kit

Malware

(JS Obfuscation,
XSS)

Drive by
downlod
(Site pig)

Infection
Client

Etc.

Email (social engineering/spam : x techniques, Ebook pdf, Zip, lien malveillant ...)
Programme pig (freeware, crack/keygen, )
Cl USB contamine
Fausse mise jour de scurit
Et beaucoup dautres
18

Cycle de vie dun bot


Infection du client

Ralliement du client
aux autres bots

Information de sa
prsence au Botmaster

Rcupration du
Payload Module

Attente de
commande du C&C
(Serveur/Peer)

Excution de la
commande

Envoi des rsultats au


canal de comm. du
C&C

Chargement du
module Anti AV/FW

Scurisation du
nouveau bot

Suppression sur commande des


preuves et abandon du client

19

Techniques dvasion

Firewall / IDS : Nalerteront ni ne bloqueront un comportement a priori


lgitime.
Firewall Evasion
Requte HTTP Post (port 80, 443)
DNS Tunneling
Etc

Antivirus : To be good, you should be FUD !


Antivirus Evasion
Packer
Crypter(stub)
Malware polymorphique
20

Les risques
Vol de donnes / Espionnage
Keylogger
RAT (Remote Administration Tool)
Dtournement de fonds (Zeus)
Camouflage / Usurpation didentit
Utilisation de votre IP Publique (rebond)
Hbergement web / Relais spam
Utilisation des zombies en tant que serveur Web ou FTP (Illgale)
Utilisation de vos ressources
Brute-forcing
Minage de bitcoin
Contamination
Infection dautres clients. (via des Payload )
21

Rponse incident
Comment enrayer lattaque ?

Concrtement, quavons-nous fait au club ?

Identification

Analyse

Eradication

Analyse de log (Passive DNS)


Trouver la machine corrompue

Analyse du systme impact


Trouvez-moi ce malware !!

Reverse engineering du malware


Blocage des points dexfiltration
22

Bilan de la sance
Ce type dexercice nous montre plusieurs points importants respecter en entreprise
Un point sur les bonnes pratiques
Limportance de bannir les ouvertures de session en mode
administrateur.
La gestion des comptes administrateurs.
Masterisation poste, faiblesse des mots de passe

Protger ses systmes contre les fuites mmoire.

Gestion et stockage des crash dump

Qualifier les gratuiciels utiles lentreprise


23

Attaque Web
Dcrypter une attaque web

24

Dcrypter une attaque web


Le contexte : L'Intranet de
votre entreprise a t
compromis par une personne
en interne

La mission : A laide des logs


du serveur web vous devez :

Identifier l'adresse IP
du poste utilis pour
l'attaque

Identifier les pages


vulnrables

Identifier le type de
vulnrabilits exploites

Retrouver les identifiants


(login & mot de passe)
utiliss par l'attaquant
25

Recherche de
preuves
Dans la peau dun expert judiciaire

26

Recherche de preuves
Analyse de fichiers pcap
Le contexte : Un employ
est suspect de visionner
des vidos prohibes
passant sur des flux RTMP, il
est aussi suspect de
visionner et dchanger
des images sur des sites
suspects.
La mission : A laide de la
capture rseau fournie,
retrouver les informations
permettant de prouver ou
non sa culpabilit.

Reconstituer la
vido
Analyser un
protocole
inconnus (RTMP)
Comprendre son
fonctionnement
Re-visionner la
vido

Reconstituer les
pages web
visites
Analyser lactivit
dun utilisateur sur
le web
Lire le contenu des
pages visites

Rcuprer les
images
tlcharges
Analyse
stnographique
dune image
Retrouver les
donnes
contenues dans
cette image (LSB)
Chercher
linformation qui
nest pas visible
(Important pour un
expert judicaire)
27

Deux approches de lanalyse forensic

Analyser

Acqurir

Analyse de systmes, Investigation


Recherche de malware

Copie bit a bit, vol de pc


Dump mmoire, Vol dinformations

Logs

Anti-Forensic

Recherche dindices

Suppression des traces

Tracking de cybercriminel

Collecte dinformation

Localisation

Recherche dinformations, Exif, etc.


28

Vulnrabilits rseaux
LAN & WLAN
HTTPS - CRYPTO RSA

29

LAN & WLAN


Vulnrabilits rseaux

30

LAN - WLAN 1 & 2


Le contexte : Vous vous trouvez en prsence de captures rseau,
certaines seront chiffres, vous de rcuprer les informations
demandes.

LAN

WLAN 1

WLAN 2

Objectif: Dcouverte et prise en


main de Wireshark

Analyse du fichier (communication


rseau sans fil: IEEE 802.11)

Analyse du fichier
(Wireshark ou Pyrit)

Analyser le fichier et identifier le


protocole utilis.

Identifier lalgorithme de chiffrement


(WEP)

Dchiffrer le contenu du fichier


(casser la WPA - Aircrack-ng,
Cowpatty, Pyrit)

Rcuprer login et mot de passe

Casser la cl de chiffrement et
dcrypter le pcap
Analyser le pcap et trouver le fichier
chang puis lextraire.

Identifier sur quel site sest connect


lutilisateur et le navigateur utilis
Exporter et visualiser le contenu de la
page visite

Un zip protg...? Dcoder le


password et cest gagn !

31

LAN - WLAN 1 & 2


Objectif : Dmontrer la faiblesse de certains protocoles
Exploitations possibles
- Espionnage dans les lieux publics avec rcupration dinformations sensibles
- Usurpation didentit, attaque par rebond, MITM en entreprise.

Risques
- Atteinte la confidentialit des fichiers et des donnes.

Cause technique

Comment sen prmunir ?

- WEP Problme dimplmentation de


lalgorithme RC4 et IVS
- Protocole WPA Faiblesse au niveau du PSK
(Handshake)
- Protocoles verbeux non chiffrs (Telnet, FTP,
etc.)

- Proscrire le WEP (faible)


- Bonne complexit du mot de passe ou passer
au WPA2
- Sensibilisation des utilisateurs
- Selon le contexte, prfrer lutilisation de
protocoles scuriss SFTP, SSH, etc.

32

HTTPS - CRYPTO RSA


Vulnrabilits rseaux

33

HTTPS - CRYPTO RSA


Le contexte : Nous avons la capture dun change HTTPS, tout est
chiffr et nous navons pas la cl prive...
La dmarche :

Extraire le
certificat (clef
publique) de la
capture

Analyser les
informations du
certificat
(RSA 768 Bits)

Rgnrer la cl
prive

Utiliser la cl
prive
frachement
gnre pour
dchiffrer le flux
avec Wireshark

Rcuprer le
couple
login/password
de
l'administrateur

34

HTTPS - CRYPTO RSA


Exploitations possibles
- Rcupration dinformations sensibles
- Usurpation didentit, attaque par rebond, MITM en entreprise.

Risques
- Atteinte la confidentialit des fichiers et des donnes.

Cause technique
- Utilisation de cl faible

Comment sen prmunir ?


- Utilisation de cls 2048 Bits
- MAJ rgulire des CRL
- Tests dintrusion, contrle permanent
35

La scurit des systmes


Attaques offensives
Elvation de privilges

36

Attaque offensive
La scurit des systmes

37

Lattaque offensive
Hacker thique Versus Cybercriminel
Pre-engagement Interactions

VS

Stage 1: Recon

Intelligence Gathering

Stage 2: Lure

Threat Modeling

Stage 3: Redirect

Vulnerability Analysis

Stage 4: Exploit Kit

Exploitation

Stage 5: Dropper File

Post Exploitation

Stage 6: Call Home

Reporting

Stage 7: Data Theft

http://www.pentest-standard.org

Websense 2014 Threat Report

38

Attaque offensive dun systme


Objectifs lors de la sance
Mise disposition dune machine virtuelle vulnrable :
Vulnix modifi (OS Linux x32)
Initier aux diffrentes tapes dattaques dune cible, de la collecte
dinformations au contrle total du systme. Approche boite noire
Aucune information fournie sur la cible : adresse IP dcouvrir
Les principes dattaques abordes sappliquent nimporte quels
environnements et nimporte quels types de systmes.
Dbriefer sur les risques et changer sur les mthodes de scurisation
39

Dcouvrir quelques outils et


framework dattaques
A la porte de tout le monde !

40

Attaque offensive dun systme


Dmarche simplifie

Phase 1 : Dcouverte collecte


dinformations.
Adresse IP, Port ouvert, Service,
Informations, etc.

Phase 2 : Accder au serveur par


lune des trois entres possibles.
Le bon (r****n), la brute(h**a) et le truand
(n*s)

Phase 3 : Elvation de privilges.


Le bon (s*****s), la brute (g*b) et le truand
(b***h)

Phase 4 : Capturer le flag.


Chercher le fichier et rcuprer le flag.

Exfiltrer les
donnes

Collecte
dinformations
actives

Identifier les
points
dentres
possibles

Elever ses
privilges
(#root !)
Exploiter et
obtenir un
accs
utilisateur

41

Dcouvrir les attaques systmes


Se mettre dans la peau de lattaquant
- Apprendre identifier les
services disponibles sur un
serveur
- Identifier les diffrents points
dentres possibles sur le
systme (faiblesses
protocolaires, problme de
configuration, etc.)
- Exploiter et sintroduire dans
le systme dexploitation et
saccaparer les droits root

42

Attaque offensive dun systme


Comment sen protger ?
Hardening et
standardisation
Scanner de
vulnrabilits
Vrification de la
conformit
(SCCM, etc.)
GPO

Rduction de la
surface
dattaques
Dsactiver les
comptes non
ncessaires
User / Pass
unique par
serveur
Dsactiver les
services non
ncessaires
Patcher, mettre
jour
Limiter les
privilges

Monitorer et
loguer
Les fichiers et
leurs accs (ex:
Tripwire)
Les accs
systmes success
et chec, etc.
(SIEM, Syslog, )
Ltat du
systme (SCOM,
Nagios, Cacti,
etc.)

* Connatre les menaces pour les combattre


** Elments de protection et leurs limites (WAF, firewall, etc.)

Test dintrusion
Pentester
Test de dni de
service quand
cest possible

Autres
Utiliser des
protocoles
scuriss
Architecture ntiers

43

Attaque offensive dun systme


Exemples
Vol de donnes confidentiels sur un serveur supervis (fichier, registre, performance)
Dni de service
(BSOD)

Dump mmoire

Connexion au
serveur

Confiance des tiers


Ladministrateur, suit le processus standard de rsolution dincident (ITIL) pour exfiltrer sous le
nez de son client les donnes.

44

Llvation de privilges
Attaque sur les systmes

45

Llvation des privilges


Introduction

Analyse des vulnrabilits

Exploitation

Post Exploitation

Phase post-exploitation de lattaque.


Lattaquant a russi sintroduire dans le
systme avec des droits limits
(sans mot de passe en sa possession)

Comment partir de privilges restreints


(utilisateur), obtenir des privilges levs
(administrateur, root, system, ...) pour avoir
un contrle total sur le systme ?
46

Llvation des privilges


Objectifs de la sance
Mise disposition dune machine virtuelle vulnrable : Nebula (OS
Linux x32)
8 exercices pratiques o les utilisateurs disposent dun compte
daccs restreint.
Objectif : tenter dlever ses privilges localement sur le systme.
Certains des principes dattaques abords sappliquent aussi bien
aux environnements Linux quaux environnements Microsoft.
47

Llvation des privilges


Dmarche simplifie

Exfiltrer les
donnes
(flag)

lever ses
privilges

Avant

Exploiter la
vulnrabilit
identifie

Se
connecter
au systme

Analyser le
systme

Identifier un
point
dentre

Aprs

48

Llvation des privilges


Moralits : 9 points appris durant cette sance
1: Ne jamais laisser trainer
des binaires avec le bit setuid (sans bonnes raisons) !

2: Dans tous les scripts, il faut


absolument crire toutes les
commandes avec des
chemins absolus !

3: Ne jamais faire confiance


aux donnes pouvant
provenir de lutilisateur ! Les
filtrer !

4: Attention aux crontab de


root (ou dautres utilisateurs
privilgis)! Si la tche ne
ncessite pas les droits root,
il faut utiliser un utilisateur
ddi avec moins de
privilges).

5: Mfiez vous des liens


symboliques. Certains
composants peuvent tre
configurs pour ne pas les
suivre (ex: Apache httpd)

6: Attention aux cls prives


et autres donnes sensibles !
Protgez vos sauvegardes
au mme niveau que les
donnes elles-mmes !

7: Ne jamais laisser les


empreintes des mots de
passes accessibles tous
En profiter pour respecter
une politique de mots de
passe robuste.

8: Il est indispensable de
filtrer toutes les entres
utilisateurs ! Ils ne faut pas
leur faire confiance, ce sont
des filous.

9: Ne pas sauthentifier sur


des protocoles pour lesquels
les informations transitent en
clair sur le rseau, privilgier
des protocoles scuriss
comme SSH, HTTPS
49

Llvation des privilges


Capitalisation des connaissances
La sance a permis de mettre en avant :
Les consquences lies aux problmes de configuration.
De ne jamais faire confiance aux entres utilisateurs
on ne le dit jamais trop assez !!
Compte temporaire, stagiaire, poste de travail multi-utilisateur = un
pas dans votre systme dinformation.
Possibilit daccs aux profils, de rebond, etc.

Avez-vous dj pris le temps de faire analyser les souches


systmes permettant de dployer serveurs et postes utilisateurs ?
Mdp en clair dans les scripts (local, gpo)
Compte de services privilgis sur des milliers de serveurs
50

Llvation des privilges


Prconisations - Quelques unes !
Principe des moindres privilges
Uniquement les droits ncessaires et pas plus

Revenir aux principes de


bases et aux bonnes
pratiques

Sparation des tches


Disposer de deux comptes diffrents (user vs admin)

Patcher
Kernel (rarement effectu rapidement recompilation)

Gestion des configurations et conformits (KPI)


Travailler en profondeur, hardening de la souche dorigine + stratgies de scurits

Identifier et scuriser les donnes sensibles dans un endroits sr


Cl prive, etc.

Utiliser des protocoles scuriss


51

Llvation des privilges


Le saviez-vous ?
The simple way to mitigate over 90% of Critical Microsoft
Vulnerabilities

* http://learn.avecto.com/2013-microsoft-vulnerabilities-report

52

La scurit applicative
Les applications Web
Lexploitation des binaires (Linux x32)

53

LES APPLICATIONS WEB


La scurit applicative

54

Dcouvrir quelques attaques du top 10 OWASP


vulnrabilits les plus critiques

Apprendre et identifier les


vulnrabilits sur les sites et
applications web
Tester les techniques
dexploitation et dintrusion
Dbriefer sur les corrections
apporter et les mthodes de
protection permettant de
mieux scuriser les applications
web
55

Toujours dactualit
Flashback sur les derniers mois.

Ne parlons pas des fuites de donnes qui lgalement ne sont pas obliges dtre rendues publiques
56

Approche de la dmarche
Scanner de
vulnrabilits
Outillages

Click, click, Run


Dtectable

Outillages
personnalises
Exploitation manuelle
Scuriser de
manire
approprie

Identifier les
vulnrabilits

Dfinir les
risques
associs

Savoir les
exploiter

Capacit dterminer
les limites et les impacts
des outils utiliss
Furtivit
57

Identification vs Exploitation
Stage 1: Recon

Identification

Stage 2: Lure

Un popup !?
Un XSS

Stage 3: Redirect

Stage 4: Exploit Kit

Exploitation
Vol de cookie, Csrf
Botnet du pauvre :
Beef Framework

Stage 5: Dropper File

Stage 6: Call Home


Stage 7: Data Theft
Websense 2014 Threat Report

58

Les risques associs


Leffet papillon

Menaces gnriques
Disponibilit
Intgrit
Confidentialit

Quelques
euros de
correction

Milliers
deuros
voire plus

De la simple vulnrabilit
limpact business !

Risques business
Atteinte limage
Perte davance concurrentielle
Perte financire

Risques lgaux
LPM
Donnes personnelles, etc.

Etc.
59

Exemple du XSS
XSS, toujours premier

XSS
Information leakage

6%

7%

25%

11%

Authentification and Authorization


Session Management

13%
23%
15%

SQL Injection
CSRF

Source: Cenzic_Vulnerability_Report_2014.pdf

Other
60

Exemple: XSS
Exploitations possibles
- Dfacement dun site web Dni de service
Risques :
- Atteinte limage / Perte financire (Dfacement)
- Atteinte limage / Poursuites judiciaires (Phishing)

Cause technique

Comment sen prmunir ?

- Mauvais filtrage des donnes en sortie de


lapplication (affiches sur les pages web)

- Sensibilisation / formation des dev

* Toutes les donnes non sres (provenant


de lutilisateur) doivent tre scurises !

- Tests dintrusion, audits rguliers

- WAF, IPS,

61

Des vulnrabilits toujours prsentes


depuis plus de 10 ans ! Pourquoi ?
Pour nen citer que quelques unes !
Les dveloppements souvent axs sur laspect fonctionnel et non pas sur la
scurit
Problme dacculturation, les utilisateurs ne sont pas conscients des menaces
et des risques et nont que faire de la scurit tant quils ne sont pas impacts
personnellement
Stagiaire, alternant, utilisateur dveloppant une application pour se faciliter les
tches du quotidien et repris globalement par lentreprise - Quick dev. Hors
cadre, hors projet
Cycle de vie du dveloppement des applications inexistant.
Projet et dpassement de budget, ou retard de livraison On corrigera
aprs
ITIL Dveloppement, qualification, production pas toujours vraie, sparation
des tches encore moins (dv en production)
Pas de pentest, pas de revue de code au mieux avant toutes mises en
production, au pire seulement pour les applications les plus critiques

62

Quelques conseils
Dvelopper du code scuris
Guide de bonnes pratiques et de vrification OWASP
Microsoft Threat Modeling Tool 2014 (STRIDE)
Audit de code

Rduire la surface dattaque


Architecture rpartie (rduction de la surface dattaques), limiter les
permissions, chiffrer les donnes sensibles

Sensibiliser, acculturer
Dveloppeurs, techniciens, etc.
63

Comment se protger ?
Dtecter
Scanner de vulnrabilits
Bloquer
WAF - Web Application Firewall (techniques dvasion)
IPS
Identifier et corriger
Audit et revue de code
Test dintrusion
Reste ncessaire malgr la mise en place des points prcdents
Connatre les menaces pour les combattre
Elments de protection et leurs limites (WAF, firewall, etc.)

64

Dmonstration
Site web avec une forte affluence
Faille XSS
Exploitation dun hacker et utilisation dun outil simple comme
BeEF [Browser Exploitation Framework]
BeEF : le botnet du pauvre

THE BROWSER EXPLOITATION FRAMEWORK PROJET

65

Exploitation des binaires


EXPLOIT KIT, CVE, 0DAY

66

Les vulnrabilits applicatives


au centre de toutes les attentions
Les bulletins CVE ? Je connais !!
Use-after-free vulnerability in VGX.DLL in
Microsoft Internet Explorer 6 through 11 allows
remote attackers to execute arbitrary code or
cause a denial of service (memory corruption)
via unspecified vectors, as exploited in the wild
in April 2014.
Heap-based buffer overflow in the read_u32
function in Mozilla Firefox
Buffer overflow in Adobe Reader and Acrobat
9.x
Integer overflow in api.cc in Google V8
Microsoft Internet Explorer 11 allows remote
attackers to execute arbitrary code
Microsoft Internet Explorer 9 allows remote
attackers to cause a denial of service (memory
CVE-2014-4020
corruption)

On voit tous passer ces libells


Mais concrtement :
quest-ce que cest ?
cest grave ?
quel impact sur mon SI ?
CVE

OVAL
SCAP

CVSS

67

Exploitation des binaires


-

Comprendre les grands


principes des vulnrabilits sur
les binaires, les menaces
associs et leurs impacts sur le SI.

Rendre comprhensible un
domaine souvent abstrait pour
de nombreuses personnes grce
des exercices pratiques

Comprendre les attaques et les


mcanismes de protection au
niveau du systme et au niveau
des applications

Permettre de contextualiser les


CVSS et dagir de faon
appropris face aux menaces
sur le SI

68

Approche de la dmarche
Dfinir les risques
associs

Do you speak Tools ?


Bullshit !

Exploiter (passe
en clair,
shellcode, rcup
data)

Identifier les
vulnrabilits

Comprendre
comment
fonctionne la
mmoire, le
CPU et ses
registres

Dsassembler le
binaire (gdb,
peda)

No, I speak Assembly !


Its not your playground, dirty brat !

Comprendre le
fonctionnement
du programme

Seriously !? You killing me !


69

Pourquoi est-ce important ?


Savoir reconnatre les trous de scurit
Les bulletins CVE ? Jai dit, je connais !!!
Windows ?
De la daube ! Toujours
en train de planter

Et vos applications maisons ? O sont les CVE ?


Exploitation distance (net, dos, fuite de donnes, etc.)
Qui vous alertera dun 0day sur vos applications ?

Erreurs
applicatives

- Pas moi !

Arfff ! Un bug
corrigerPlus tard
peut tre
Un buffer overflow ?
Je contacte les parties
prenantes pour traiter
lincident
70

Pourquoi est-ce important ?


Comprendre les mcanismes de
protection et leurs limites
Dtection et protection
au niveau du code
Bonne pratique de
dveloppement, utilisation de
librairies scurises, api, revue
de code

Dtection et protection
au niveau de la
compilation
/GS options, canary, messages
derreurs, etc.

Dtection et protection
au niveau de lOS
Kernel patch, SELinux,
Execshield, ASLR, etc.

Dtection et protection
au niveau du processeur

Dtection et protection
au niveau de la mmoire

Dtection et protection
au niveau priphrique

NX/XD bit flag, Registres de


contrle (CR), Memory
Management Unit (MMU), etc.

Flag non-excutable, etc.

Antivirus, HIDS, IPS, etc.

Le dernier rempart
71

Les lments de protection priphriques


Ncessaires mais limits
HIDS
Les HIDS ne sont pas capable de se protger contre toutes les vulnrabilits . De
nombreuses techniques existent pour les bypasser.
Antivirus
Les antivirus ne peuvent pas se battre contre les malwares. De nombreux framework
existent pour rendre un malware FUD (metasploit, Veil framework, chiffrement avec stub,
obscurit de code, etc.)
IPS
Les IPS sappuient sur les signatures et peuvent tre bypasss facilement par diffrentes
techniques.
Dfense en profondeur
Bien que ces mcanismes ne protgent pas contre toutes les menaces , ils restent
cependant ncessaires et font partie des composantes de la dfense en profondeur.
72

Un exemple dapplication ?
Les 0days
Les 0days, nouvelles armes de destructions dacquisitions massives
Botnet, vol de donnes, argent, ransomware, etc.
Inclus maintenant dans Wassenaar
[Arrangement on the Arms Trade Treaty (ATT)]

Les systmes sont Secure Vulnerable By Design


Heartbleed, Internet Explorer non patch pendant 5 mois, beaucoup dautres
exemples
Volont gouvernementale ? Volont des grandes entreprises ?
US cybercrime laws being used to target security
researchers
Security researchers say they have been threatened with
indictment for their work investigating internet
vulnerabilities
US
TheComputer
Guardian Fraud and Abuse Act (CFAA)

I have a good joke for you !


A hilarious question from a member of the Clusir Club !

73

Le 0day en entreprise
Patching vs 0day
Les ractions sont diffrentes selon les entreprises, leurs organisations et selon les
personnes

Les
hyperactifs
2012 la fin du
monde

Les passifs
personne ne
nous veut de
mal, on a rien
dintressant

Les actifs
Trouver un bon
compromis

Heartbleed en a t le bon exemple !

74

Les lments de protection priphriques


EMET, mon complment sant pour lenvironnement Windows
Enhanced Mitigation Experience Toolkit
Outil officiel de Microsoft permettant dimplmenter des
mcanismes de protection supplmentaires.
EMET permet de protger le systme de nombreux types
dattaques de contournement des mcanismes de scurit (DEP,
SEHOP, NullPage, HeapSpray, EAF, ASLR, ROP, etc.)
EMET nest pas inclus par dfaut sur les OS et doit tre tlcharg.
Son installation pourrait avoir pour consquence de bloquer
lexcution dapplication lgitime non test par Microsoft.
Version actuelle 4.1 (version 5.0 beta )

75

EMET
Peut-il rellement me protger de la plupart des 0days ?

76

Demo : EMET vs 0day


Exemple du dernier 0day pour Internet Explorer
Demo Metasploit prise en main dune machine
(vido)
Les solutions EMET, best practices Principe du
moindre privilge

77

Reprenons !
Comment se protger ?
Application tierce

Application maison

Version supporte, patchs, suivre les


recommandations (pr-requis)

Sassurer que tous les types derreurs en entre


du programme ont t vrifies et
documentes (taille buffer, type, format, etc.)

Historique vuln - Temps entre une vuln et un


patch - Qualit du support

Ne pas afficher de message derreur systme


aux utilisateurs ou de commentaires dans les
binaires qui pourraient compromettre la scurit
de lapplication (string)

Audit de code

Formation

Revue de code

Formation lcriture de code scuris

Fuzzing sur les entres utilisateurs

Acculturer les experts dans leurs domaines

Bonne pratique
Idem WEB Dv/Prod
Sparation des tches :
Equipes diffrentes dv dploiement exploit

78

Les vulnrabilits applicatives


Conclusion
La majorit des attaques passe par le relais des vulnrabilit
applicatives.
70 % des attaques Gartner 2013

Les applications Web,


le vecteur dattaque le plus privilgi
etc.
LA SCURIT DU SI PASSE PAR LA SCURIT APPLICATIVES
79

Sources
http://www.tenouk.com/Bufferoverflowc/bufferoverflowvulexploitdemo4.html
http://www.sans.org/critical-security-controls
https://www.owasp.org/
http://www.wassenaar.org/
http://www.theguardian.com/technology/2014/may/29/us-cybercrime-laws-security-researchers
https://www.watsonhall.com/security/articles.pl
http://learn.avecto.com/2013-microsoft-vulnerabilities-report
x

80

Remerciements
Le petit mot de la fin
Un grand merci toute lquipe organisatrice sans qui tout cela
naurait pas pu tre possible.
Mohamed ETTOUMI : Ingnieur/Consultant Scurit
Romain DOROTHE : Ingnieur scurit/Pentester
Cdric CARTON : Ingnieur scurit
Jean Marc MOREL : Ingnieur scurit
Jacques SARAYDARYAN : Enseignant chercheur en Scurit (CPE)
81