
Résumé de la réunion du groupe Paris de l’OSSIR du 11 décembre 2012
La dernière réunion de l’OSSIR s’est déroulée le 11 décembre 2012 dans les locaux de l’INRIA et a réuni environ 35 personnes.
Les sujets suivants ont été présentés :
- « Advanced SQL Injection Techniques », par Guillaume Loizeau (McAfee)
- « Fighting back malware with IOC & YARA », par Saâd Kadhi (Hapsis)
- La revue d’actualité de Nicolas Ruff
Advanced SQL Injection Techniques (Guillaume Loizeau)
Cette présentation fait suite au rachat de la société Sentrigo en avril 2011 par McAfee qui était spécialisée dans la sécurité des bases de données.
Cette présentation a balayé les techniques d’exploitation d’injections de code SQL simples, les injections en aveugle (blind injection), et autres techniques d’exploitation avancées de système de gestion de bases de données. L’actualité, au travers de vols de données médiatisées, a permis d’introduire assez facilement ces techniques, et les exemples ne manquent pas : Sony, Yahoo, RockYou, Heartland Payment Systems, etc.
Les techniques les plus complexes, utilisant des fonctionnalités avancées spécifiques aux SGBD telles qu’Oracle ou MSSQL, comme l’ouverture de sockets, l’exécution de commandes système, ou encore l’envoi d’emails, restent spectaculaires.
Guillaume a terminé sa présentation par un rappel des techniques permettant de se protéger contre ce type de failles :
- Valider les entrées utilisateurs avant de les utiliser au sein de requêtes SQL
- Utiliser des requêtes SQL paramétrées
- Supprimer l’affichage des erreurs SQL
- Utiliser un framework de développement adapté à l’interaction sécurisée avec les SGBD
- Minimiser les privilèges de l’utilisateur exécutant le SGBD, et les privilèges de l’utilisateur se connectant au SGBD
- Etc.
Finalement, pas grand chose de nouveau techniquement parlant, et une n-ième présentation à l’aube de 2013 sur les SQLi nous amène plus à penser que la sécurité est un échec plus qu’autre chose.
On notera la belle performance d’un commercial parlant de technique : sans (ou peu ?) d‘erreurs techniques !
SLIDES
Fighting back malware with IOC & YARA (Saâd Kadhi)
Après une longue introduction, appelant à la controverse, sur les « APT » (Advanced Persistant Threat), le « Spear Phishing », et l’échec des antivirus actuels face aux malwares les plus récents, Saâd a rappelé que les APT ne sont, en réalité, « que » des attaques ciblées telles qu’on les connait depuis de nombreuses années. Il a mis l’accent sur le buzz médiatique autour des APT, et a cherché à définir les APT plus en termes d’aptitudes qu’en terme de complexité d’une attaque, comme cela est souvent présenté dans les médias. Pour cela, il est revenu sur plusieurs « APT » fortement médiatisées : Aramco et Shamoon, RSA, Coca-Cola, ou encore de l’état de Caroline du Sud. Il a aussi rappelé que l’attribution des attaques est toujours particulièrement difficile à définir.
Cette première partie s’est enfin conclue sur un rappel des techniques les plus efficaces pour lutter contre les APT :
- Ne plus penser qu’en terme d’IT
- Bien connaître son environnement
- Bien connaître le métier de l’entreprise
- Et ne pas tomber dans le panneau des solutions anti-APT
La présentation s’est ensuite concentrée sur deux outils à connaître pour lutter contre les APT en entreprise : l’utilitaire YARA et les IOC (Indicator Of Compromise).
YARA est un projet Open Source créé par un chercheur travaillant pour VirusTotal, société récemment rachetée par Google. Cet outil permet d’identifier les fichiers correspondant à une ou plusieurs signatures « home-made ». L’idée est de décrire les malwares par un ensemble de singularités techniques telles qu’un nom de domaine avec lequel le malware communique, l’appel à certaines fonctions Windows, ou encore certaines propriétés des exécutables (date de compilation, éditeur, points d’entrée, etc). Les règles sont organisées par blocs. L’idée derrière ce projet est de fournir aux internautes un moteur d’analyse de fichiers souple et efficace pouvant être utilisé afin de créer une sorte de moteur d’antivirus capable de détecter les fichiers correspondant aux signatures qu’ils auront créées au préalable. Un projet baptisé Yara-Editor a d’ailleurs récemment fait surface pour simplifier la création de signatures Yara. Yara est particulièrement flexible. L’outil peut être utilisé tel quel, mais peut aussi être intégré au sein de programme tiers via les librairies Yara-python et Yara-ruby. Il a par exemple été intégré au sein de Volatility (plugin yarascan) pour identifier les processus correspondant à une signature donnée dans une image mémoire.
Les IOC, initiative de la société Mandiant, sont une collection de singularités techniques, groupées logiquement qui permettent d’identifier un artefact forensic (malware, RAT, backdoor, etc). Ceux-ci sont représentés sous la forme d’un schéma XML et sont aujourd’hui essentiellement utilisés par la solution commerciale Mandiant Intelligent Response. Mandiant fournit gratuitement deux outils pour d’une part, écrire et comparer des IOC (IOC Editor), et d’autre part pour identifier les fichiers correspondant à un IOC (IOC Finder). Contrairement à Yara, le projet OpenIOC mené par Mandiant n’est qu’une façon de représenter des signatures, et non une librairie réutilisable au sein de programmes tiers.
Aujourd’hui, aucune base de signatures consolidées YARA ou IOC n’existe. Ce type d’information reste des « trésors de guerre » pour ceux qui les possèdent (Mandiant, TrustWave.).
SLIDES
Revue d’actualité (Nicolas Ruff)
Enfin, la réunion s’est terminée par la revue de l’actualité du mois écoulé par Nicolas Ruff avec comme toujours, la publication de correctifs, les découvertes de failles de sécurité et les informations diverses autour de la sécurité.
- Faille dans le support NTFS exploitable depuis une clé USB
- Il est possible d’exploiter des failles dans le noyau Windows 8 en chargeant un driver Windows 7 bogué et signé par Microsoft
- Vulnérabilité sur Skype
- Moins de 500 jours avant la fin de support Windows XP
- Après DNSChanger, Microsoft est autorisé à opérer un botnet Zeus pendant 2 ans
- Le gestionnaire de noms de domaine roumain RoTLD a bien été piraté
- Une faille au sein du générateur d’aléa de PHP permet de retrouver le seed à partir d’un PHPSESSID
- La communauté SNMP est définie « en dur » dans les imprimantes Samsung (« s!a@m#n$p%c »), alors que le matériel est certifié Critères Communs
- La librairie OWASP PHP CSRF Guard ne remplie pas son rôle
- 80% des malwares arrivent par des sites « légitimes »
- Android plus souvent attaqué par des malwares que les PC sous Windows
- Des chercheurs prennent le contrôle du botnet TDSS
- MoneyGram a été condamné à $100m d’amende pour fraude
- Une banque américaine a été condamnée à rembourser un client car le « login / mot de passe » n’a pas été jugé comme une mesure de sécurité suffisante
- Le projet français de « réserve citoyenne cyber » fait ses débuts
- D’après l’article de l’Express sur la cyber-sécurité française, l’état français aurait acheté un « 0day » pour 160,000 €
- La Bourse parisienne se prépare à répondre à des incidents de sécurité en réalisant une simulation d’attaque
- L’ANSSI peut désormais inspecter les opérateurs télécom à sa guise
- L’ANSSI publie « Politique de certification concernant les autorités de certification racines gouvernementales«
- Le Royaume-Uni lance un programme de cyber-sécurité ambitieux incluant des « cyber réservistes »
- Le projet européen de protection des données à caractère personnel s’appliquera sans transposition
- Deux chercheurs présentent une attaque « générique » contre tous les block ciphers
- Un chercheur présente un solution pour optimiser de 20% les attaques contre SHA-1 lors de la conférence Passwords^12
- Le Patriot Act s’applique aux sociétés américaines sans contrainte de territorialité des données
- BitCoin Central devient une banque à part entière grâce au Crédit Mutuel
- La carte d’identité biométrique sera bientôt requise pour accéder à Internet en Iran
SLIDES
Enfin, rendez-vous le mardi 8 janvier prochain pour la prochaine réunion du groupe Paris de l’OSSIR.