Résumé de la réunion du groupe Paris de l’OSSIR du 11 décembre 2012

Résumé de la réunion du groupe Paris de l’OSSIR du 11 décembre 2012

La dernière réunion de l’OSSIR s’est déroulée le 11 décembre 2012 dans les locaux de l’INRIA et a réuni environ 35 personnes.

Les sujets suivants ont été présentés :

  • « Advanced SQL Injection Techniques », par Guillaume Loizeau (McAfee)
  • « Fighting back malware with IOC & YARA », par Saâd Kadhi (Hapsis)
  • La revue d’actualité de Nicolas Ruff

Advanced SQL Injection Techniques (Guillaume Loizeau)

Cette présentation fait suite au rachat de la société Sentrigo en avril 2011 par McAfee qui était spécialisée dans la sécurité des bases de données.

Cette présentation a balayé les techniques d’exploitation d’injections de code SQL simples, les injections en aveugle (blind injection), et autres techniques d’exploitation avancées de système de gestion de bases de données. L’actualité, au travers de vols de données médiatisées, a permis d’introduire assez facilement ces techniques, et les exemples ne manquent pas : Sony, Yahoo, RockYou, Heartland Payment Systems, etc.

Les techniques les plus complexes, utilisant des fonctionnalités avancées spécifiques aux SGBD telles qu’Oracle ou MSSQL, comme l’ouverture de sockets, l’exécution de commandes système, ou encore l’envoi d’emails, restent spectaculaires.

Guillaume a terminé sa présentation par un rappel des techniques permettant de se protéger contre ce type de failles :

  • Valider les entrées utilisateurs avant de les utiliser au sein de requêtes SQL
  • Utiliser des requêtes SQL paramétrées
  • Supprimer l’affichage des erreurs SQL
  • Utiliser un framework de développement adapté à l’interaction sécurisée avec les SGBD
  • Minimiser les privilèges de l’utilisateur exécutant le SGBD, et les privilèges de l’utilisateur se connectant au SGBD
  • Etc.

Finalement, pas grand chose de nouveau techniquement parlant, et une n-ième présentation à l’aube de 2013 sur les SQLi nous amène plus à penser que la sécurité est un échec plus qu’autre chose.

On notera la belle performance d’un commercial parlant de technique : sans (ou peu ?) d‘erreurs techniques !

SLIDES

Fighting back malware with IOC & YARA (Saâd Kadhi)

Après une longue introduction, appelant à la controverse, sur les « APT » (Advanced Persistant Threat), le « Spear Phishing », et l’échec des antivirus actuels face aux malwares les plus récents, Saâd a rappelé que les APT ne sont, en réalité, « que » des attaques ciblées telles qu’on les connait depuis de nombreuses années. Il a mis l’accent sur le buzz médiatique autour des APT, et a cherché à définir les APT plus en termes d’aptitudes qu’en terme de complexité d’une attaque, comme cela est souvent présenté dans les médias. Pour cela, il est revenu sur plusieurs « APT » fortement médiatisées : Aramco et Shamoon, RSA, Coca-Cola, ou encore de l’état de Caroline du Sud. Il a aussi rappelé que l’attribution des attaques est toujours particulièrement difficile à définir.

Cette première partie s’est enfin conclue sur un rappel des techniques les plus efficaces pour lutter contre les APT :

  • Ne plus penser qu’en terme d’IT
  • Bien connaître son environnement
  • Bien connaître le métier de l’entreprise
  • Et ne pas tomber dans le panneau des solutions anti-APT

La présentation s’est ensuite concentrée sur deux outils à connaître pour lutter contre les APT en entreprise : l’utilitaire YARA et les IOC (Indicator Of Compromise).

YARA est un projet Open Source créé par un chercheur travaillant pour VirusTotal, société récemment rachetée par Google. Cet outil permet d’identifier les fichiers correspondant à une ou plusieurs signatures « home-made ». L’idée est de décrire les malwares par un ensemble de singularités techniques telles qu’un nom de domaine avec lequel le malware communique, l’appel à certaines fonctions Windows, ou encore certaines propriétés des exécutables (date de compilation, éditeur, points d’entrée, etc). Les règles sont organisées par blocs. L’idée derrière ce projet est de fournir aux internautes un moteur d’analyse de fichiers souple et efficace pouvant être utilisé afin de créer une sorte de moteur d’antivirus capable de détecter les fichiers correspondant aux signatures qu’ils auront créées au préalable. Un projet baptisé Yara-Editor a d’ailleurs récemment fait surface pour simplifier la création de signatures Yara. Yara est particulièrement flexible. L’outil peut être utilisé tel quel, mais peut aussi être intégré au sein de programme tiers via les librairies Yara-python et Yara-ruby. Il a par exemple été intégré au sein de Volatility (plugin yarascan) pour identifier les processus correspondant à une signature donnée dans une image mémoire.

Les IOC, initiative de la société Mandiant, sont une collection de singularités techniques, groupées logiquement qui permettent d’identifier un artefact forensic (malware, RAT, backdoor, etc). Ceux-ci sont représentés sous la forme d’un schéma XML et sont aujourd’hui essentiellement utilisés par la solution commerciale Mandiant Intelligent Response. Mandiant fournit gratuitement deux outils pour d’une part, écrire et comparer des IOC (IOC Editor), et d’autre part pour identifier les fichiers correspondant à un IOC (IOC Finder). Contrairement à Yara, le projet OpenIOC mené par Mandiant n’est qu’une façon de représenter des signatures, et non une librairie réutilisable au sein de programmes tiers.

Aujourd’hui, aucune base de signatures consolidées YARA ou IOC n’existe. Ce type d’information reste des « trésors de guerre » pour ceux qui les possèdent (Mandiant, TrustWave.).

SLIDES

Revue d’actualité (Nicolas Ruff)

Enfin, la réunion s’est terminée par la revue de l’actualité du mois écoulé par Nicolas Ruff avec comme toujours, la publication de correctifs, les découvertes de failles de sécurité et les informations diverses autour de la sécurité.

SLIDES

Enfin, rendez-vous le mardi 8 janvier prochain pour la prochaine réunion du groupe Paris de l’OSSIR.


Cert-XMCO