Tests d'intrusion : l'ultime rempart contre les pirates

Comment mettre en place les tests d'intrusion ? Selon quelle méthodologie ? Jusqu'où peuvent-ils aller ? Auditeurs et audités livrent leurs conseils.

 Le déroulement du test d'intrusion, en trois grandes étapes

S'étant lancé, à la fin des années 90, dans la commercialisation d'une offre de tests d'intrusion, avec l'idée de mieux les professionnaliser, Hervé Troalic dégage trois étapes fondamentales dans ce type de démarche.

1) Prise d'empreinte

Elle doit bien sûr s'effectuer sur le périmètre convenu avec l'audité. Il y a une liste d'IP/ URL, dont l'audit ne pourra pas sortir. Il s'agit à la fois de scanner et connaître les systèmes (OS) utilisés et les ports ouverts, mais aussi l'environnement, pour en faire une topographie. Et pour cela, Google, ou le social engineering, peuvent être une mine d'or. "Nous avons déjà trouvé via Google un communiqué de presse expliquant en détails toute la refonte et l'architecture d'un réseau", se souvient Hervé Troalic.

Si certains outils existent pour cette première étape, il faut aussi savoir faire preuve d'esprit de déduction : il y a souvent beaucoup de filtres entre la cible et les audités. Cela peut induire en erreur. "Les résultats doivent être corrélés, et ils ne sont pas toujours d'une extrême précision. Mais, cela donne une idée de la sécurisation du client", explique Hervé Troalic.

"Les outils de scan ne donnent pas toujours des renseignements fiables, certaines informations peuvent être cachées. Les entreprises pourraient induire les pirates en erreur, mais dans la réalité, c'est assez rare. Les équipes sont trop souvent sous-dimensionnée", rappelle le consultant.   

2) Recherche de vulnérabilités

La cartographie réalisée permettra de connaître les logiciels utilisés, et leur version. Il n'est donc pas rare de trouver un programme vulnérable, ou non patché. En général chacun effectue une veille, et dispose de sources pour connaître les vulnérabilités exploitables. Certaines sont publiques, d'autres commercialisées. "Chaque auditeur a ses sources", explique Hervé Troalic. Certains exploitspeuvent ainsi être récupérés, prêts à être testés.

3) Agencement des tests

Il s'agit ensuite de tester la mise en œuvre des exploits pour réellement apprécier la dangerosité de la menace. En général, c'est l'enchainement de vulnérabilités unitaires qui conduit à une compromission grave. "C'est un peu comme si, pour pénétrer dans la salle des serveurs, il fallait d'abord rentrer dans l'immeuble sans badge, puis ne pas se faire repérer par les gardiens, puis, enfin, dernière vulnérabilité à trouver et à exploiter, ouvrir la porte de la salle sans avoir le digicode", compare Hervé Troalic.

Cependant, tout dépend du mandat. Certaines entreprises laisseront aller jusqu'au bout du test, c'est-à-dire par exemple faire réellement sortir du réseau les données les plus sensibles de l'entreprises, d'autres en revanche demanderont aux auditeurs de donner leur avis sur la faisabilité d'une attaque ou d'une intrusion en fonction des failles détectées, sans demander à ce qu'elles soient réellement exploitées.

En revanche, Hervé Troalic n'estime pas nécessaire de pousser l'ingénierie sociale jusqu'à piéger les salariés de la société auditée. "C'est trop facile. Il est toujours possible de les duper. Les conclusions des audits seraient toujours les mêmes", conclut-il.

Article complet : journaldunet.com/solutions/securite

La sécurité Agile est la clé pour arrêter les infractions de haut-profil actuelles

La sécurité doit évoluer pour mieux répondre à la nouvelle réalité d'un environnement dynamique et en évolution rapide.

Cette année a été l'une des plus dommageables - et embarrassante - les périodes dans les annales de sécurité de l'information. Un déluge d'attaques de sécurité de haut niveau sur les géants commerciaux et de consommation couplé à coups dévastateurs sur les éditeurs de sécurité ont elles-mêmes exposées les technologies, services et processus dont nous dépendons pour nos défenses. Avec des approches traditionnelles de la sécurité de l’information, la plupart des organismes de sécurité n’a pas la chance de protéger adéquatement leur infrastructure IT.

Des outils de sécurité traditionnels ont été conçus pour un environnement stable et évolue lentement. Ils n'ont pas été construits pour faire face aux changements rapides des ressources, des utilisateurs, applications et systèmes trop commun dans la plupart des organisations d'aujourd'hui. Ils n'étaient pas construits pour réagir rapidement aux attaques évolutives. Il y avait près de 300 millions de nouveaux morceaux de codes malveillants observés en 2010, et les données recueillies par les chercheurs de Sourcefire indique près de 75% de ces attaques étaient jamais seulement vu sur un seul système. Ces attaques rapidement modifiables conduisent à des cycles de vie de menaces de quelques heures à peine, laissant les défenses statiques plus loin et plus loin derrière.

Comme l'expérience du monde réel montre, des outils de sécurité statiques perdent rapidement contact avec l'environnement qu'ils sont censés protéger. La sécurité doit évoluer pour mieux répondre à la nouvelle réalité d'un environnement dynamique et en évolution rapide. La sécurité doit mûrir et, en un mot, devenir «agile».

La sécurité agile réussit à offrir une protection efficace parce que c'est un processus continu de quatre éléments essentiels:

• Voir : Agilité exigences de clarté, mais trop souvent la sécurité traditionnelle est aveugle aux conditions changeantes et de nouvelles attaques. Agile solutions de sécurité de fournir un accès rapide à une ampleur sans précédent et la profondeur de l'information, ce qui donne une visibilité sur les actifs sur le réseau, les systèmes d'exploitation, applications, services, protocoles, les utilisateurs, le comportement du réseau ainsi que les attaques réseau et les logiciels malveillants.

• Apprendre : Visibilité génère des données. Etre capable de prendre des décisions efficaces en réponse à ces données nécessite un apprentissage rapide. Apprendre implique l'application de l'intelligence, généré à la fois localement et collectivement par l'ensemble de la communauté, afin de gagner en perspective. Agile solutions de sécurité en corrélation des événements avec des connaissances comme un moyen essentiel pour la compréhension et la prise de décision; permettant réponses hiérarchisées, automatisé, et éclairé.

• Adapter : La seule constante est le changement réel. Le changement des réseaux, le changement des objectifs, des attaques - et même les motivations attaquant- le changement. Et comment la plupart des solutions de sécurité de répondre à ce dynamisme? Ils ne changent pas. Du moins pas sans un effort considérable, et généralement à un rythme qui ne laisse ressources ouvertes pour exploiter avec succès. Agile solutions de sécurité doivent avoir la capacité d'évoluer et de modifier automatiquement les défenses de fournir une protection en dépit des changements constants.

• Loi : La responsabilité ultime de tout système de sécurité est de protéger les actifs et les données sensibles. Les attaques malveillantes doit être bloqué avec succès. Politiques - applications autorisées, des dispositifs pris en charge, activité interdite - doivent être appliquées. Événements suspects ou à fort impact doivent être priorisés et communiqués aux analystes. Agile solutions de sécurité doit être capable de répondre avec souplesse aux événements de sécurité, de hiérarchiser les risques, et de distribuer rapidement des renseignements sur les menaces et fournir la protection la plus rapide possible…

Article complet : http://www.securityweek.com/agile-security-key-stopping-today%E2%80%99s-high-profile-breaches

Les cybercriminels trouvent de nouvelles façons de déguiser le spam

Il fut un temps où les pièces jointes malveillantes venaient dans les emails avec des photos érotiques de jeunes filles qui «veulent vous rencontrer», ou «des photos scandaleuses» de célébrités. Maintenant, les cybercriminels déguisent leurs messages pour les faire ressembler à des notifications officielles ou une correspondance d'affaires.

En particulier, les spammeurs vous envoient maintenant des notifications de faux pour les services postaux comme UPS, FedEx et DHL déclarant qu'ils étaient incapables de livrer un colis et que le destinataire doit le ramasser au bureau immédiatement, ou que l’adresse du destinataire n’a pas été rempli correctement. Les messages contiennent un fichier archive ZIP qui contient prétendument les formulaires nécessaires pour collecter les colis. En réalité les pièces jointes contiennent divers types de programmes malveillants. «Ces changements dans la manière dont les courriels malveillants sont envoyés sont liées au fait que la plupart des utilisateurs ne s'attendent pas à trouver des malwares dans les emails d'entreprise», explique Maria Namestnikova, analyste de spam senior chez Kaspersky Lab. «Les photos érotiques de jeunes filles» en attente de vous rencontrer peut être trouvé partout sur ​​Internet, tandis que des documents internes d'une entreprise sont plus susceptibles d’attirer l’attention d’un utilisateur d'Internet. Après tout, combien de personnes vont dormir à poings fermés après avoir supprimer un courriel qui semble provenir de la police demandant au destinataire d'imprimer les détails d'une infraction de conduite et l'envoyer à une cour municipale?

Quoi de neuf?

Plusieurs nouveaux trucs pour propager des codes malveillants ont été enregistrées en Août, alors qu'ils étaient tous basés sur la même idée: Plus un courriel est mystérieux, moins de texte il y a, plus de chance ont a de susciter la curiosité du destinataire. Kaspersky Lab a identifié trois types de spams utilisant cette technique:

   · Le premier groupe contenait le mot «modifications» et la date dans la ligne objet. Le corps de l'email a seulement un couple de mots tels que "Comme promis" ou "Voir les pièces jointes"

    ·  Le deuxième groupe avait une ligne d'objet qui lisent ce soit "fin de l'instruction Juillet requis" ou "Fin de la Déclaration de Juillet". Le corps de l'email a expliqué que, comme l'avait demandé, l'expéditeur se verrait de transférer les comptes en suspens pour une date particulière qui a été généralement spécifié;

    · Le troisième groupe affichait à  la ligne d'objet "comptes internes de la Société ATFT» et contenait un message indiquant que les comptes étaient internes 2010 dans les pièces jointes, et a exprimé sa gratitude pour le soutien dans "la mise en place de ce processus".

Pouvait s'y attendre, la grande majorité des pièces jointes contenues dans ces messages des programmes malveillants.

Statistiques

En août, les fichiers malveillants ont été trouvés dans 5,9% de tous les emails - soit une hausse de 1,2% par rapport à Juillet. Ce chiffre a augmenté d'un tiers au cours des deux derniers mois. Cela est typique pour les mois d'été, car les spammeurs ont généralement moins de commandes de leurs clients pendant la saison des vacances, et les engrenages basculer vers envois avec les programmes d'affiliation qui sont plus lucratifs. Les notations des pays basés sur le nombre de détections antivirus email montrent que les utilisateurs sont confrontés à des e-mails malveillants les plus fréquemment aux États-Unis (10,1%) suivie par la Russie (8,96%), au Royaume-Uni (7,36%), Allemagne (5,45%) et l'Inde (5,1%). Pendant ce temps, le pourcentage de courriels d'hameçonnage dans le trafic total de courrier par rapport à Juillet a très légèrement augmenté et s'élevait à 0,03%. Le quatuor des organisations ciblées par les phishers - PayPal, eBay, Habbo et Facebook - est resté inchangé par rapport au mois précédent. A noter également la baisse de l’intérêt des hameçonneurs pour des jeux en ligne…

Source : net-security.org

Sécuriser les environnements virtuels et réduire les risques malwares

Rapid7 a annoncé que la nouvelle version de sa solution de gestion des vulnérabilités, Nexpose 5.0, traitera des défis de la sécurité complexe présentés par l'adoption à grande échelle des technologies de virtualisation  et l'augmentation rapide des logiciels malveillants.

Nexpose 5.0 va introduire la technologie Real Risk que met à profit Rapid7 Malware Exposure, en identifiant les vulnérabilités sont actuellement exploitées par des logiciels malveillants, et de faire des scores de risque utilisés pour l'assainissement une priorité encore plus significative et contextuelle pour les équipes de sécurité. Nexpose 5.0 est la première solution de gestion vulnérabilité à offrir découverte continue des machines virtuelles dans leurs environnements dynamiques, en s'assurant qu'ils sont inclus dans les efforts de numérisation, priorisation et l'assainissement. La métadonnée de gestion de virtualisation est utilisée pour découvrir et suivre les actifs dans leur infrastructure virtualisée, donnant aux défenseurs une mise à jour et vue précise des véritables risques à travers l'ensemble de leurs infrastructures physiques et virtualisés. Les modifications de l'état des machines virtuelles sont automatiquement mis à jour car ils sont migrés vers de nouveaux hôtes ou allumés et éteints. Une fois découverts, ces biens peuvent être classés par les facteurs spécifiques qui sont importants pour la sécurité et professionnels opérationnels et Nexpose mettra à jour dynamique les utilisateurs, si aucun de ces facteurs clés changent dans les actifs de sorte qu'ils puissent être convenablement re-classifiés. Ces capacités pour la gestion de la virtualisation seront d'abord disponibles pour VMware vCenter Server. Nexpose 5.0 introduit Nexpose Real Risk, un système d'intelligence des risques d'exposition qui ajoute Malware Exposure, permettant aux défenseurs d’affecter des kits logiciels malveillants en intelligence des risques. Cela donne un coup de pouce aux défenseurs identifiant de manière proactive les vulnérabilités qui représentent le plus grand risque et de hiérarchiser leur assainissement pour la plus grande productivité et une amélioration de la posture de sécurité.

Source : net-security.org

Le piratage de cartes bancaires passe au web 2.0

Il y a de ces sites dont la longévité laisse rêveur. Et pourtant, le "Private Collider System", place de marché en ligne de cartes bancaires volées (en bonne place sur Google, mais on évitera d'en divulguer l'adresse), est disponible depuis mars 2010. Ce qui rend ce site original, c'est que l'inscription y est possible sans aucune cooptation : d'habitude, il est nécessaire de montrer patte blanche avant de pouvoir entrer sur ce type de plateformes ; mais ici, rien de tout cela, le site est disponible au premier quidam venu, sans avoir besoin de recommandation particulière, ni de disposer d'une réputation bien établie. Autrement dit, une place de marché qui s'adresse (aussi) aux débutants (on vous déconseille quand même d'y faire un tour...).

Le site, hébergé en Ukraine, offre à la vente plusieurs milliers de cartes bancaires, provenant de sources diverses et variées. Les cartes sont à vendre sous deux formes : soit sous forme d'informations textuelles (volées par exemple par phishing ou via un malware bancaire), soit sous forme dedumpz -- les fichiers binaires permettant de graver la piste magnétique d'une véritable carte plastique, la plupart du temps issus de l'espionnage des distributeurs de billets (le skimming). Les cartes proviennent de nombreux pays d'Europe, du Royaume-Uni, d'Italie, de France, mais aussi des Etats-Unis, de Chine,  etc. On trouve même une poignée de cartes bancaires volées en Afghanistan, au Pakistan et dans plusieurs pays d'Afrique... Des cartes bancaires d'entreprises se trouvent également à vendre.

Les cartes proviennent de deux sources : les données sont soit de première main, lorsque l'administrateur du site ou un de ses complices a volé lui-même les cartes ; soit de seconde main, lorsqu'il s'agit de la revente de cartes acquises auprès d'un tiers. Si dans le premier cas, le vendeur garantit au moins 50% de validité des cartes volées, dans le second cas en revanche, les cartes seraient valides à moins de 30% seulement. Les transactions sont réglées avec les systèmes de monnaie virtuelle Liberty Reserve et Webmoney, très prisés des pirates pour leur opacité absolue et l'absence de traçabilité des fonds échangés.

Source : zdnet.fr/blogs

Android Market sur le web : une réussite marketing, une catastrophe sécuritaire

 Google vient de procéder au lancement de la version web de l'Android Market. Si le lancement de cette nouvelle plateforme est déjà plébiscité par la presse spécialisée, en revanche en matière de sécurité, son arrivée fait froid dans le dos : il est désormais possible, via une interface web de pousser une application sur son téléphone. Et ce, sans aucune interaction avec le téléphone. L'application demande toujours ses autorisations d'accès, mais ne le fait plus que sur le web.

Vous me direz, qu'est-ce que ça change, puisqu'il est toujours nécessaire d'autoriser l'application avant son installation ? En fait cela change tout, puisqu'il est désormais possible d'utiliser des comptes Gmail compromis (puisque compte Gmail = compte Google = compte Android Market = compte couplé avec le téléphone) pour pousser sur le téléphone de son propriétaire n'importe quelle application disponible sur l'Android Market, sans son consentement. Et comme tout le processus d'installation est déporté sur le web, le propriétaire du téléphone ne verra rien, ni demande d'autorisation à accéder aux ressources du téléphone, ni notification pendant l'installation de l'application. Sauf s'il tient son téléphone en main à ce moment précis, il pourra voir en haut à gauche de son écran un mini-icône de quelques pixels de large signalant le téléchargement en cours d'une application -- et a posteriori, il pourra voir une nouvelle application installée, mais le mal aura déjà été fait. Tout l'intérêt étant alors de pousser silencieusement sur le téléphone une application malveillante, un logiciel espion, un application qui envoie des SMS surtaxés, etc. Or, l'Android Market regorge déjà d'applications de surveillance ambivalentes, dont l'usage peut être facilement détourné pour en faire un vrai malware (rappelons que toute application de surveillance à l'insu de la personne surveillée est illégale, malgré les discours qui tentent de légitimer de tels usages, comme la surveillance de ses enfants ou de son conjoint).

Il s'agit bel et bien d'une dégradation importante de la sécurité d'Android : tout le modèle de sécurité des smartphones tenait justement sur le caractère indispensable du consentement explicite de l'utilisateur avant d'installer une application et de lui donner les autorisations demandées ; mais désormais, la sécurité d'un téléphone Android est indexée sur le niveau de sécurité du PC de son propriétaire, qui est peut-être déjà infesté par un virus -- comme c'est déjà le cas pour plusieurs millions d'internautes français. De plus, les mots de passe d'accès à des comptes Google font l'objet depuis longtemps d'une économie souterraine, des criminels se revendant au marché noir des comptes piratés volés par phishing ou par pharming. Il est probable que la cote de ces comptes grimpe rapidement suite à l'apparition de cette nouvelle fonctionnalité...

Source : zdnet.fr/blogs

Plus de 500 certificats SSL dérobés à une autorité de certification

DigiNotar aurait-il minimisé les conséquences de l’attaque dont elle a été la cible en juillet ? Utilisateur des certificats de l’autorité, l’Etat néerlandais a déclaré qu’il ne pouvait plus garantir la sécurité de ses sites Internet. Les principaux navigateurs vont révoquer tous les certificats de DigiNotar.

Le bilan de l’intrusion informatique dans les systèmes de l’autorité de certification néerlandaise DigiNotar est manifestement plus négatif que les premières informations ne le laissaient présager.

Si l’alerte a d’abord porté sur un faux certificat SSL pour Google.com, Vasco, maison mère de DigiNotar, reconnaissait que d’autres certificats concernant d’autres domaines avaient également été générés frauduleusement.

DigiNotar incapable d'évaluer l'ampleur du piratage

Vasco ne chiffrait cependant pas l’ampleur du piratage de sa filiale. Selon un développeur de Mozilla, Gervase Markham, impliqué dans le développement de contre-mesures dans Firefox, ce sont désormais 531 certificats frauduleux qui ont été identifiés (bilan non définitif...).

Pire, plusieurs administrations sensibles, dont différents services secrets étrangers, sont directement concernées. Le ou les pirates auraient ainsi émis des certificats pour des domaines appartenant à la CIA, au MI6 ou encore au Mossad.

L’attaque informatique est prise très au sérieux par les autorités hollandaises. L’authentification sur leurs sites Internet dépend en effet de certificats de DigiNotar. Le gouvernement néerlandais a déclaré ne pouvoir garantir la sécurité de ses propres sites Internet.

Il a donc demandé aux citoyens hollandais de ne pas se connecter sur les sites de l’administration jusqu’à ce que de nouveaux certificats soient émis, cette fois par une autre autorité de certification (les contrats avec DigiNotar sont rompus).

Mises à jour pour Firefox, Chrome et Windows, sauf XP

Quant à l’origine iranienne de l’attaque, elle n’est pas attestée répond, avec des précautions diplomatiques, le ministre de l’intérieur hollandais, Piet Hein Donner. Cette source possible avait été évoquée par Google après la détection d’attaques dirigées contre des utilisateurs iraniens de Gmail grâce à un faux certificat Google.

Une thèse qui pourrait être étayée, mais non confirmée, par la création de certificats frauduleux pour des sites d’agences de renseignement. Ces dernières sont cependant loin d’être les seules concernées.

Parmi les certificats SSL dérobés, plusieurs portent sur des sites et services en ligne très populaires, dont Microsoft, et en particulier le domaine pour la mise à jour automatique (Windows Update), Yahoo, Skype, Facebook et Twitter.

Pour prévenir les attaques basées sur l’exploitation de ces certificats, plusieurs navigateurs (dont Firefox et Chrome) vont révoquer l’ensemble des certificats émis par DigiNotar en black-listant l'autorité. La semaine dernière, ce sont déjà plus de 200 certificats de cette même autorité de certification qui ont été bloqués.

Sur son blog sécurité, Microsoft indique qu’une mise à jour de Windows (Vista et versions suivantes) bloquant les certificats frauduleux pour microsoft.com et windowsupdate.com a été diffusée le 29 août. L’éditeur travaille à un correctif pour Windows XP et Server 2003.

Source : zdnet.fr/actualites