jp.gaulier.info/blog

Dernier jour, dernière fatigue de SSTIC pour cette année, avec pour une fois, un social event bien négocié.

Lire la suite

Compte rendu de la deuxième journée, après une courte nuit afin de produire un support propre pour ma rump. Note pour plus tard, penser à me faire un thème personnel pour beamer.

Lire la suite

La critique est facile, mais l'art est difficile. Je dis plus cela quant au calembour qui me sert de titre qu'au contenu de cet excellent SSTIC'08, sixième mouture du genre. Pour résumer, s'il en est, du bon, du très bon, de la fatigue, des contacts, des projets, du bon et encore du bon. Un poil moins fatigué à la sortie des confs. C'est quand la prochaine ?

Lire la suite

Je ne sais pas si le SSTIC sera une bonne cuvée cette année, mais j'en attends beaucoup de choses. Ce qui est intéressant de noter, en tous cas, c'est le jeu des chaises musicales, qui chaque année se réduit. Là, il fallait être sur les starting blocs :

Le début de la course, avec un petit problème sur le caddie de diamond qui sera réglé moins de deux heures plus tard (12h18) :

Subject: Inscriptions SSTIC 2008
Date: Tue, 15 Apr 2008 10:21:01 +0200

Un petit mail, à peine vingt-quatre heures après, pour faire part des 250 premières places vendues, avec social event :

Subject: Infos Inscriptions SSTIC08
Date: Wed, 16 Apr 2008 11:18:04 +0200

Allez, ça fait deux jours, faut pas abuser, même une administration aurait eu le temps de commander un aller-retour pour Hong Kong :

Subject: Inscriptions SSTIC08 - C'est fini...
Date: Thu, 17 Apr 2008 19:35:07 +0200

Il y a deux leçons à tirer de cela :

• le SSTIC est un événement très prisé, tout le monde ne peut pas y assister et c'est l'endroit où l'on se doit d'être dans notre métier
• à quand un SSTIC d'hiver ?

Toujours pour rester dans les annonces chaudes, maître ès Ruff nous pointe un papier des plus intéressant. En indien (et oui, il faut se mettre à l'heure de la mondialisation !) dans le texte :

In our experiments, we generate exploits from a patch in only a few minutes. Modern threats such as the Slammer worm have empirically demonstrated that once an exploit is available, most vulnerable hosts can be compromised in minutes.

Ma little traduction :

Durant nos expériences, nous avons [automatiquement] généré des exploits à partir d'un patch de sécurité en seulement quelques minutes. Les menaces modernes telles que le ver Slammer ont démontré de manière empirique que dès qu'un exploit est disponible, la plupart des hôtes vulnérables peuvent être compromis en quelques minutes.

La mafia n'a plus qu'à bien se tenir, les script kiddies arrivent.

Pour ceux qui sont assoiffés de connaissance, le papier en question est disponible sur le site de David Brumley

Pour rappel, les inscriptions pour la JSSI de l'OSSIR sont toujours ouvertes !

EDIT : ne trouvez-vous pas que ce communiqué de presse pour la JSSI est absolument fabuleux ?

Ca y est, les inscriptions sont enfin ouvertes ! Et pour ma part, j'ai déjà réservé mon billet pour les trois jours à Rennes avec Social Event inclus.

Tout ce que l'on sait pour le moment, c'est que ça se déroule à Rennes et que les repas du midi seront pris au RU. Il y a fort à parier que l'on se retrouve de nouveau cette année dans un amphi de Beaulieu.

Pour ma part, les conférences me mettent en appétit, avec tout particulièrement :

Jour 1

• la keynote de maître Marcus "ès" Ranum
• le Social Engineering en audit présenté par Michel IWOCHEWITSCH
• l'expertise judiciaire sur les téléphones mobiles. Samuel Dralet nous ayant déjà parlé un peu de la question lors de sa conférence sur les autopsies à l'OSSIRB.
• le speech de mister moutane.
• piège d'un banker

Jour 2

• Sécurité Physique
• Déprotection semi-automatique de binaires
• analyse binaire au niveau noyau
• les speechs de pappy & Eric Filiol, Sid et Marie B. parce qu'ils le valent bien
• comme d'habitude, une grande impatience sur les rumps, avec peut être une petite surprise cette année.

Jour 3

• Walk on the wild side, du rétiaire
• SinFP, ne serait-ce que parce que c'est Patrice et que c'est un Breton !
• voyage au coeur de la mémoire
• dynamic malware analyses for dummies, parce que je me sens bien parmi les dummies pour le coup.

Ca fait un bien fout rien que de penser que l'on va enfin se retrouver dans un environnement cohérent, contrairement au reste de l'année où... Non, je ne préfère rien dire.

Notez que je n'ai inscrit ici que les confs qui paraissent me passionner, mais je pourrai avoir de bonnes surprises... ou pas !

Allez, les inscriptions à SSTIC, c'est par là

La nouvelle Journée Sécurité des Systèmes d'Information, organisée comme chaque année par l'OSSIR, est de retour. Cette année, le thème choisi porte sur l'anonymat, la vie privée et la gestion de l'identité. C'est un thème on ne peut plus d'actualité, puisque après la fureur du web 2.0, on commence à se poser de réelles questions sur le problème : 'mais au fait, à qui viens-je de donner mes informations et les droits d'exploitations ?".

Pour ma part, c'est très présent en tous cas, car il n'y a pas dix minutes, j'ai rédigé un long mail à quelques copains expliquant pourquoi je n'utiliserai pas fesse-book. En effet, des conditions générales d'utilisation, les fameuses CGUs, traduites à la va comme je te pousse par des pseudo étudiants ou lycéens (non, pitié, ne me dîtes pas que c'est le travail d'un pro !) feraient pousser des champignons en plein milieu du béton de Tchernobyl.

Cette année, on aura beaucoup parlé d'anonymat et de liberté, entre autre avec les JO de Pékin. On pensera également à l'histoire de noeud Tor qui avait permis à un chercheur en sécurité de malencontreusement tomber sur des données confidentielles.

Au programme donc, on fera un petit tour en médecine, on se frottera à un opérateur mobile, on passera par les gentils petites fourmis de MENESR avant de se finir par un bon coup de droit. Non, il n'y a pas à dire, un bon concentré pour ressortir au fait de ce qui va encore longuement marquer les conversations cette année.

Alors, en attendant SSTIC qui ne devrait plus tarder à ouvrir ses inscriptions (au plus tard dans deux semaines d'après des sources proches du dossier), n'hésitez pas à venir vous faire du bien à la JSSI.

EDIT : le G29 (les CNIL européenne pour faire court) vient d'adopter un texte qui oblige les moteurs de recherche à anonymiser les données collecter au bout de six mois maximum (13 à 18 mois actuellement). Comme quoi, ce sujet est vraiment d'actualité ;)

Nous avons le privilège de recevoir le président de l'OSSIR en notre belle contrée bretonne. Il fera un retour sur les failles de 2007. Nous enchaînerons toujours sur 2007 avec Hervé Troalic qui s'attachera plus particulièrement aux attaques des applications web. Ça promet de beaux débats. N'hésitez surtout pas à vous joindre à nous, l'entrée est libre et gratuite. Quelqu'un a t-il suggéré que la sortie soit payante ? ;-)

Le programme et la localisation, c'est sur la page de l'OSSIR Bretagne

PS : rien à voir avec l'OSSIR, quoi que, il semblerait que j'ai enfin réussi à me motiver sur l'avancement de la doc de scapy

L'Observatoire de la Sécurité des Systèmes d'Information et des Réseaux, OSSIR pour les intimes, est une association que je côtoie depuis de nombreuses années. On croise entre autre au détour des mailing-lists de nombreuses discussions sur mon sujet favori, la sécurité informatique. En avril dernier, je rencontre un certain nombre de personnes ayant le même domaine de prédilection que moi. À partir de cette rencontre, de quelques mails et d'un peu d'organisation est né l'OSSIR Bretagne.

Du fait de mon implication et de mon envie de participer à l'évolution de l'OSSIR, j'ai l'honneur de faire parti du conseil d'administration suite au vote de l'assemblée générale de mardi 8 janvier. J'espère être digne de la confiance que les membres m'ont accordé et pouvoir aider à la croissance de l'association.

L'OSSIR (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux) ouvre une nouvelle branche régionale. Après le succès Toulousain qui en efface presque son cassoulet (ou pas), l'association a accepté de me confier ainsi qu'à quelques compères, la responsabilité de l'ouverture et du maintien de la branche régionale Bretonne. Au menu, veille technologique sur la sécurité et échange d'idées (voire de cartes...). Pour la première, ce n'est pas moins que Maître Es Ruff et une cinglante histoire sur la sécurité du web 2.0, du moins je présume, ainsi que la dynamique équipe de NuFW, la société INL, qui nous parleront de Netfilter et de son utilisation en userland.

Évidemment, je ne m'attends pas à ce que le sstic soit réunit, d'autant plus que la Rstack sera loin d'être complète, mais je trouve l'initiative sympatique (évidemment !). Au fur et à mesure de l'avancée de cette branche régionale, nous espérons que de nombreux conférenciers locaux viendront soutenir nos rangs et rappeler qu'il n'y a pas qu'à la capitale que les choses se passent.

La rencontre aura lieu le 16 octobre à partir de 14h15 et se terminera autour de 17h. Nous nous retrouverons à l'adresse suivante :
SII
2 allée Antoine Becquerel
35700 RENNES
02.99.12.57.10

L'entrée est totalement libre et gratuite. Cependant, pour des questions d'organisation, nous vous demandons de bien vouloir nous retourner un mail afin de nous assurer que nous disposerons de suffisamment de place pour vous accueillir.

Je dois ce fabuleux titre à maître Nicolas es Ruff, qui a su agrémenter la journée par un mail matinal sur la liste de l'OSSIR. Quel pouvait bien être le contenu ? Tout simplement l'annonce qui devrait faire pas mal de bruit dans les semaines à venir, dans le petit monde de la sécurité informatique, faire la joie des script kiddies et trembler les RSSI. Ah oui, j'oubliai, il y a un mec (ou une nana, ne soyons pas sexiste), chez sun, qui a dû perdre son travail, aujourd'hui. Accordons-lui une minute de nuisance.

Que se passe-t-il ?

Un développement foireux dans deux outils extrêmement utilisés : le démon telnetd et l'utilitaire login.

Le premier est un serveur énormément usité autrefois et qui a encore des adeptes (si, si, j'ai des preuves) qui permet la connexion à distance. Le deuxième permet de démarrer une session sur le système. Le tout mis ensemble n'est rien d'autre qu'un splendide accès à distance, sans mot de passe, en tant que root.

Comment cela est-il possible ?

Voici le code source des deux logiciels incriminés :

/usr/src/cmd/cmd-inet/usr.sbin/in.telnetd.c

3199 } else /* default, no auth. info available, login does it all */ {
3200 (void) execl(LOGIN_PROGRAM, "login",
3201 "-p", "-h", host, "-d", slavename,
3202 getenv("USER"), 0);
3203 }

/usr/src/cmd/login/login.c

1397 break;
1398
1399 case 'f':
1400 /*
1401 * Must be root to bypass authentication
1402 * otherwise we exit() as punishment for trying.
1403 */
1404 if (getuid() != 0 || geteuid() != 0) {
1405 audit_error = ADT_FAIL_VALUE_AUTH_BYPASS;
1406
1407 login_exit(1); /* sigh */
1408 /*NOTREACHED*/
1409 }
1410 /* save fflag user name for future use */
1411SCPYL(user_name, optarg);
1412 fflag = B_TRUE;

Dans le code de login, on voit une option -f qui permet de ne pas réaliser l'authentification. Dans le code de telnetd, on note que l'implémentation de la variable user ne reçoit aucune vérification. De ce fait, si on emploie la combinaison de l'un et l'autre, on en déduit une connexion aisée.

La faute à qui ?

La faute à l'implémentation de kerberos, dans telnetd, la faute à la non vérification de la variable passée, la faute à l'autorisation de connexion sans vérification.

Et la suite ?

Tout d'abord, Open Solaris devrait rapidement fournir un code correctif et se mordre les doigts, puisque cette faille avait déjà fait ses preuve sur AIX ... en 1994. C'est un sacré coup pour l'image de marque. Quoi qu'il en soit, c'est aussi parce que le code source est disponible que cette faille a pu être trouvée, donc encore une fois, merci le logiciel libre.

Maintenant, il y a deux choses qui peuvent arriver. La première, c'est que tous les jeunes informaticiens, en mal de sensation, vont essayer cette faille et devenir root sur des systèmes distants. Cela pose évidemment un problème aux structures qui ont 1) de l'OpenSolaris, 2) du telnet. On notera cependant, que 1) n'est pas encore une évidence et que 2) ne devrait plus l'être. Mais la sécurité, c'est comme l'histoire de Don Quichotte et des moulins... Il devrait y avoir une suite de deface et de perte d'accès.

L'autre chose qu'il pourrait arriver, c'est que des admins consciencieux installent des systèmes dit "pot de miel" avec un service telnetd et analysent le comportement des pirates. Mais voyons, qui pourrait être aussi tordu ? ...

Merci, en tous les cas, du moins pour g0re, voilà au moins un exploit[able] :p

Une tribune sur le net fait état des "IT en danger". Voilà ma réaction.

La presse informatique. Je ne pourrai pas en faire un roman, mais peut être bien une tribune pour dire tout le mal que je pense de mes confrères faisant des articles à propos de la sécurité informatique. C'est toujours d'un ton très alarmiste, pour la simple et bonne raison que cela fait vendre. Cependant, c'est avant tout sur les rédacteurs en chef qu'il faudrait taper, car ils ne laissent bien sûr passer que des sujets attrayants ou aguicheurs. Voilà pour le titre. Les "IT en dangers", ça fait vraiment fin du monde.

Lire la suite

Naissance du CERT

Au commencement, il y avait ARPANET. Une masse informe et vide basée sur TCP/IP. Puis les informaticiens créèrent le courrier électronique pour communiquer avec leurs semblables. L'informaticien était le roi du monde virtuel et tout se passait bien. Il pouvait tout faire sauf toucher au fruit de la sécurité informatique...

En 1988, alors que le réseau fonctionne correctement, un étudiant de Cornell lâche un ver qui se propage à la vitesse de l'éclair sur une toile encore réservée à l'élite. Celui-ci exploite un certain nombre de failles UNIX et fait tomber le réseau pendant plusieurs jours. Il s'avère obligatoire de mettre en place une équipe de réaction rapide pour réparer cet incident. Suite à ce capharnaüm, la DARPA décide de monter une structure permanente qui veillera au bien être d'Internet, en assurant à la centralisation des incidents de sécurité et la mise en place d'une base de vulnérabilités. C'est le CERT-CC.

En 1990, le FIRST a été créé, devant le développement grandissant du nombre d'équipes des CERT dans le monde, afin d'améliorer les processus de communication et d'information au sein des équipes.

Les tâches premières d'un CERT

Centralisation des demandes d'assistance sur incidents de sécurité (attaques)

• réception des demandes,
• analyse des symptômes,
• corrélation éventuelle des incidents ;

Traitement des alertes et réaction aux attaques informatiques

• analyse technique,
• échange d'informations avec d'autres CERTs,
• contribution à des études techniques spécifiques ;

Former et maintenir une base de donnée des vulnérabilités ;

Diffusion d'informations :

• a priori, sur les risques d'incident,
• le cas échéant sur les conséquences ;

Coordination éventuelle avec les autres entités (hors du domaine d'action) :

• centres de compétence réseaux,
• opérateurs et FAI,
• CERTs nationaux et internationaux ;

Les CERTs en France et en Europe

• CERTA : CERT de l'administration française
• CERT-IST : CERT de l'industrie, des services et du tertiaire né sous l'impulsion de Alcatel, FT, CNES et ELF
• CERT-Renater : CERT de la communauté Enseignement/Recherche

le FIRST est l'organisme mondial qui regroupe les CERTs. Le TF-CSIRT a le même rôle en Europe. Ces deux organismes se connaissent et travaillent conjointement depuis 1993. Cependant, votre appartenance à l'une des listes n'entraîne pas forcément votre présence dans l'autre. Ces organismes, c'est également une équipe qui entretien les buts suivants :

• fournir un forum d'échange et de savoirs,
• mettre en place des services pilotes pour la communauté des CSIRT européens,
• promouvoir des procédures et standards communs pour la réponse aux incidents de sécurité,
• assister la mise en place de nouveaux CSIRT et à l'entraînement des équipes de ces organismes.