mercredi 3 juin 2009

[SSTIC 2009] Day 1

Premier jour de conf pour l'édition 2009. On retrouve les mêmes, les meilleurs et ... les meilleurs ;) De bonnes confs en perspective. Alors malgré un passage obligé à la crêperie et au pub, je ne pouvais pas manquer de faire quelques commentaires sur mon blog ;)


Matinée

Bon, pour les 3 confs du matin, je vais résumer mieux que sur tous les autres blogs SSI, si si ! Écoutez : "Suite à un problème d'aiguillage à Massy, le train partira avec 20 minutes de retard + 50 minutes de retard car nous prendrons les voies classiques à la place des voies TGV" ...

Après-midi :

Projet WOMBAT :

L'après midi commence avec une conférence intitulée "Le point de vue d'un WOMBAT sur les attaques Internet" par M. DACIER, SYMANTEC.
Alors avant de commencer faut savoir qu'il cherche à recruter dans le sud de la France (mouais, bah il fait beau même en Bretagne ! ;)) et qu'il recherche des ressources pour y installer des "sensors". On explique tout ça :
La présentation se découpe en 3 parties :
  • La collecte d'information ;
  • L'analyse de l'information et l'enrichissement des données ;
  • Les menaces causées par l'attaque.
On connaît les honeypots (ou "pots de miel") mais ici, c'est juste une des sources utilisées pour la collecte d'infos. En effet, ils utilisent aussi les crawlers et des flux externes. Les honeypots sont basés sur SGNET, la nouvelle génération de ce type de solution. SYMANTEC demande à des partenaires d'installer sur leur(s) machine(s) un "sensor" qui est une "entité logicielle" légère. Le but est que ces "sensors" soient les plus nombreux et les mieux répartis possibles dans le monde pour des résultats d'autant plus pertinents. Plus précisément, ces sensors disposent d'un automate à états finis (constitué des chemins d'attaque connus).
Afin que les personnes de la communauté WOMBAT récupère les données, ils disponsent d'une passerelle qui sert notamment de proxy anonymiseur pour ses partenaires qui envoient leurs données.
On arrive à la deuxième étape où on effectue une analyse des codes malicieux. On l'enrichit de données si on en dispose déjà. On retrouve deux cas d'attaque :
  • les attaques connues qui seront facilement traitées et répertoriées ;
  • les attaques non connues qui nécessitent d'analyser le shellcode de l'attaque (+ long !).
Malheureusement, la tendance étant à l'attaque ciblée, on se rend compte que les attaques non connues et spécifiques prennent de plus en plus d'importance.
Enfin, troisième étape : l'étude des menaces. On a vu de beaux graphiques et ça a l'air de fournir vraiment des résultats. En tout cas, de donner des éléments de réponses sur les caractéristiques des attaques en cours ou à venir. Par exemple, on a une vue sur les sources et cibles des attaques, leur mode opératoire, etc. et tout plein de stats.
Le projet est initialement prévu sur 3 ans et donc pas encore terminé. C'est pourquoi on attend d'autres résultats. Mais l'idée de départ et les moyens mis à disposition semblent être bons et prometteurs. Seulement, il faut que les données collectées soient :
  • plus nombreuses ;
  • pertinentes et arriver à trier les bonnes données malgré la quantité croissante ;
  • trouver un moyen d'automatiser l'analyse de code malicieux pour les attaques non connues.
Donc, à suivre !

Les attaques physiques :

Alors des projets tout à fait louables se déroulent pour la mise en place de l'informatique de confiance. Très bien sauf que Loïc DUFLOT, speaker de la conférence "Quelles limites pour l'informatique de confiance", commence par nous montrer qu'en débranchant et en rebranchant 5 fois de suite le câble d'alimentation de sa machine, il passe root à partir d'un compte démo non privilégié ! Là, on commence à se demander ce qu'il se passe et tout devient plus clair dans la suite. Le problème, c'est que le BIOS n'est pas considéré à sa juste valeur. Malheureusement, on sait déjà les dégâts que cela peut faire. Outre le reboot de la machine par exemple avec un média amorçable, nous nous attaquons à un sujet plus complexe mais dont le résultat est sans équivoque. Alors pour résumer, L. DUFLOT va s'appuyer sur les routines de traitement de la SMI (System Management Interface) et les tables ACPI (Advanced Configuration and Power Interface). Les routines d'interruption ont des droits privilégiés et c'est de là que va venir l'escalade de privilèges. La démarche consiste à injecter un rootkit qui se lancera une fois qu'on actionnera telle routine physique (ex : débrancher le câble d'alimentation).
Dans le même ordre d'idée, la dernière conf de la journée, "Compromission physique par le bus PCI" de Christophe Devine et Guillaume Vissian nous fournit un POC d'accès DMA à l'aide d'une carte PCI ou Cardbus. Là encore, le résultat est au rendez-vous. Cette présentation venait à point dans la continuité de celle de Damien Aumaître, l'année dernière, sur l'accès DMA mais via le port firewire cette fois.

ISO 27001 :

Déjà, de l'orga au SSTIC ! ça fait plaisir aussi :) L'approche de la conférence, c'est de voir de manière objective (ou presque ;) à quoi sert l'ISO 27001 avec un retour d'expérience du speaker, Alexandre Fernandez-Toro. L'exposé était découpé en 5 questions :
  • A quoi ça sert [l'ISO 27001] ?
  • Est-ce que ça améliore vraiment la sécurité des systèmes d'information ?
  • Comment reconnaître les compagnies qui veulent être certifiées pour le tampon et celles qui le souhaitent pour s'assurer qu'elles appliquent les bonnes pratiques en termes de SSI ?
  • Quels sont les domaines impactés ?
  • A quoi ça sert vraiment [l'ISO 27001] ?
C'était intéressant d'avoir un tel retour d'expérience et de se dire plusieurs fois, "ça j'ai vu". Notamment, le cas des entreprises qui rédigent les documents et effectuent les enregistrements juste avant l'audit. J'ai vu un cas où la boîte avait fait en sorte de retarder l'audit de 6 mois. Comme de par hasard, il y a eu un plein de choses mises en place les 6 derniers mois ... que c'est bizarre ! Non ? Regardons ce qu'il y avait eu de fait avant les 6 mois ... euh ... Je tiens un bon cas 1, un bon vainqueur même :)
La conclusion de la conférence, c'est que l'ISO 27001 apporte réellement une sécurité mais pas de la façon à laquelle on pourrait s'attendre a priori : La norme apporte vraiment aux compagnies qui ont déjà la volonté de faire de la sécurité. C'est un travail à long terme et c'est seulement ainsi que des résultats concrets pourront être obtenus. En l'occurrence, la norme permettra de rationnaliser, transversaliser et mutualiser la SSI de la compagnie. En fait, c'est déjà pas mal !
Regardez les failles que vous trouvez dans un test d'intrusion interne. Si vous creusez, vous vous rendez compte qu'il y a toujours une cause organisationnelle derrière : la machine n'est assignée à aucun administrateur, les administrateurs en charges sont 2 pour 8278182718105 machines, etc ... On comprend pourquoi la machine n'est pas patchée depuis X mois (qui a dit années ???) quand bien même on a un WSUS correctement installé. Par exemple, la transversalité permettra de couvrir la totalité du SI et évitera qu'une machine ne soit administrée ... que par elle-même !

Aucun commentaire:

Locations of visitors to this page