Home

u - Free

Contents

1. I Edit View Manage Rules Policy artMap SmartWorkflow Search Window Help Check Point L a X h amp 7 amp Bw x Sd B SmartDashboard L An EPI RIEN FFE Firewall RES NAT cd PS EQ Anti Spam amp Mat LR Anti Virus amp URL Filtering R SSL VPN IPSec VPN il Qos Network Objects B Check Point m me SOURCE DESTINATION VPN SERVICE ACTION TRACK INSTALL ON El Nodes E Networks lux dropper Rules 1 3 E Groups G Administration Pare Feu Rules 4 10 E 1 5 Address Ranges f Administration des quipements r seaux Rules 11 13 4 42 Dynamic Objects E R solution de Noms DNS Rules 14 15 H E Security Zone Objects S Win AD TE D N18 DNS UDP domain udp ix N AD TCP domain R 0001 DNS E RES E x Any Traffic ied p accept Log Policy Targets E D R AD Tg D N18 DNS E S Win AD UP domain udp T D N AD Ti S Ab CFT Tt domain tcp NET Agences itinerants R 0002 DNS D R AD 4 Any Traffic QD accept Log Policy Targets s BC R FW D N Spv_AD E Aux NIP Rules 16 18 EX R 0004 NTP S Win AD E D N AD_Racine x Any Traffic UP ntp udp QD accept Log Policy Targets R 0100 NTP S BC D N18 NTP nonAD x Any Traffic OP ntp udp QD accept Log Policy Targets NET Agences itinerants EX R 0005 NTP fg RFW S Win AD x Any Traffic UDP ntp udp QD accept Log Policy Targets R Switch 3 Hux Active Directory AD Rules 19 28 D N AD NET Agences_itinerants R 0006 AD D R AD T S Win AD x Any Tra
2. B Quarantaine Utilisez cette t che pour afficher le contenu de la zone de quarantaine Cg El ments sauvegard s Utilisez cette t che pour afficher les Fichiers de sauvegarde avant le nettoyage Symantec AntiVirus Corporate Edition E ga Afficher G Statistiques d analyse en temp Analyses programm es Quarantaine El ments sauvegard s d El ments r par s E Ry Analyser EJ analyser une disquette Analyser l ordinateur E s Configurer B io Historiques Historique des virus Historique d analyses 5 Journal des v nements Ce Analyses au d marrage C Analyses personnalis es Analyses programm es H Obtention de l Aide 0 A E El ments r par s Utilisez cette t che pour afficher les fichiers automatiquement nettoy s SUPAERO 3 me ann e S curit informatique 2011 2012 264 Console Antivirus TE em Center consnleline TE em Center Hi rarchie d sme Symantec f laj x ff Console Fen tre D c E E elx Action Affichage Favoris Outils Uo gt ele sx oe Le 53 d Bs Lg Arbre Favoris E Console Root a administrateur Aucun 12 11 2003 rev 1 8 00 0 9374 4 1 0 15 my Symantec System Center E ea administrateur 11 18 2003 10 58 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 41 Hi rarchie du syst me Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15
3. lt admin gt SUPAERO 3 me ann e S curit informatique 2011 2012 Save Help Refresh NA 15 O x Cisco Systems EJ Bj 15 54 58 UTC Wed Apr 02 2003 185 Il 1 irew a CheckPoint F Ex amp 62 90 111 145 Policy Editor Standard File Edit View Manage Rules Policy Topology Search Window Help igi xi H9 X8 9 amp amp A m RT EE SEHR E seupve BiseupExraet Eg 85122 21 SL RAL QR GR EX S REI Security Standard E Address Translation Standard FE Desktop Security Standard TIE ERA 26 36 ll eo D Koi BB EEE v 8 8 DJ Ou i DL D w SS as A Y NO SOURCE DESTINATION SERVICE ACTION TRACK INSTALL ON TIME COMMENT ee Any SIP gtp default o accept a None Policy Targets Any 1 North GGSN 1 4b Roaming P 1 North GGSN 2 GIP gtp default D accept Log Policy Targets Any LL South GGSN LL Roaming P 2 LI South GGSN GIP Eoaea o accept Log Policy Targets Any E M brise Ll North GGSN 1 SIP gto defaut Encrypt E None Policy Targets amp Any LE Roaming_P_1 a 4r Roaming P 3 LL APN DNS H dns D accept l None Policy Targets x Any LE Roaming P 2 LI Ll APN DNS North SGSN D A AL North GGSN 1 Roaming P 1 10 10 10 0 rr a be North Gn LL T Le me ui North GGSN 2 icd GRX Gp sababi esr 3 IP backbone South SGSN So
4. Synth se Tableau de bord Rendre compte e de la mise en place des r gles e de l efficacit des m canismes de s curit et de leur rentabilit e du niveau de vuln rabilit et de risque des agressions e Evaluer le niveau de maturit SUPAERO 3 me ann e S curit informatique 2011 2012 68 Plan 1 2 e G n ralit s Propri t s de s curit e Attaques e Mise en uvre dans les organisations e Fonctionnement de la s curit dans une entreprise e Suivi des alertes de s curit e D finition d un sch ma directeur s curit e M canismes de protection g n raux Cryptographie e Politiques de s curit formelles e Crit res d valuation normalis s SUPAERO 3 me ann e S curit informatique 2011 2012 69 Terminologie Cryptologie cryptographie cryptanalyse e Cryptographie kpvmtoc cach crire des messages incompr hensibles par des tiers e Cryptanalyse d couvrir le s secret s d crypter e A ne pas confondre avec st ganographie OTEYAVOS couvert encre sympathique filigranes tatouages e Chiffre chiffrement pas chiffrage ni cryptage d chiffrement clair cryptogramme SUPAERO 3 me ann e S curit informatique 2011 2012 70 Pr ambule 1 2 e C est un des domaines des math matiques qui a connu les avanc es les plus consid rables de la fin du 20 si cle e y a rarement des preuves math matiques g n rales de
5. amp Q AG Adresse amp http www cert org www cert org a an i ication MN Options ET C0 interes Coordination Center CERTI React to Today s Problems m Incidents amp Fixes Coordination Center CERT CC is a center of Internet security expertise located at Advisories m Security Practices the Software Engineering Institute a amp Incident Notes advisories incident notes UR federally funded research and development center operated by Carnegie Mellon CA ZIIZ ivability amegi Poen Buffer Overflow in Windows Workstation Service a University JESUS Analysis M Years of Service Multiple Vilnerablitee in Microsoft Windows an n Training amp 1988 2003 Education CA 2003 26 Multiple Vulnerabilities in SSL TLS Implementations October 17 2003 CERT Contact Updated CERT CC Statistics information Statistics have been added for the third quarter of 2003 ak Vulnerability vulnerability notes database E ZZ October 2 2003 Notes Meetthecertice State of the Practice of Computer Security Incident Response Teams New and Notable Vulnerabilities This report summarizes research results from a pilot survey and other sources Multiple vulnerabilities in X 400 products Multiple vulnerabilities in S MIME products CERT CC Overview Multiple vulnerabilities in Microsoft products and Intuder Trends September 30 2003 Microsoft Windows DCOM RPC vulnerability Digital Millenium Copyrigh
6. e clefs de 56 bits 8 bits de parit e blocs de 64 bits e AES 2000 e clefs de 128 192 et 256 bits e blocs de 128 bits SUPAERO 3 me ann e S curit informatique 2011 2012 74 Chiffres clef publique Kc Kg e Connaissant Kc il est impossible de trouver Kd e Kd est priv seul celui qui connait Kd peut d chiffrer e Kc est public tout le monde peut chiffrer r pertoire de cl s publiques e Ex RSA 1976 e Appuy probablement sur le probleme de la factorisation des grands nombres ed 1 mod p 1 g 1 Kc pq e Kd p q dj Ex El Gamal 1985 e Bas sur la difficult du calcul du logarithme discret dans un champs fini e y g modp Kc x Kd lyg pj SUPAERO 3 me ann e S curit informatique 2011 2012 75 ou exclusif un chiffre embarrassant C Mek etM C eK e Aucune s curit e Calculer C e C pour K2 1 2 et compter les octets identiques L indice de coincidence indique la longueur de la clef n en octets CoC 4 MeM j limine la clef e On retrouve le message en exploitant les redondances du message d origine 1 3 bit d information par octet en anglais ASCII par exemple e Cryptanalyse en quelques minutes NB C est un chiffre polyalphab tique de Vigenere 1523 1596 SUPAERO 3 me ann e S curit informatique 2011 2012 76 One time pad un chiffre parfait e La clef est une suite de bits al atoire aussi longue que le message et l algorith
7. i e A 9 c D gt E z z LL Marqueurs Alertes g n r es identifi s SUPAERO 3 me ann e S curit informatique 2011 2012 220 Mise en oeuvre e Sondes e Observation du trafic e Positionnement Probl me des environnements commut s mirroring vs taps e Sondes syst me Nombre des signatures et impact CPU e Pertinence des signatures e Consolidation des alertes e Collecteurs e Protocole d change s curis e Format d change IDMEF SUPAERO 3 me ann e S curit informatique 2011 2012 221 Architectures envisageables Brin r seau surveill Sonde r seau Serveur Sonde syst me Collecteur interm diaire Sonde r seau p Collecteur interm diaire Brin r seau surveill Collecteur central SGBD Poste de travail IHM Administrateur SUPAERO 3 me ann e S curit informatique 2011 2012 222 sf RealSecure Console i ICE x File View Window Help EIA sre s u fella Je Ready Ui View View HTTP 1153 Asp Dot localhost FTP Root 208 21 2 92 208 21 2 38 FTP_Root localhost HTTP lI53 Asp Dot 208 21 2 92 208 21 0 11 URL index asp TueJ H A FTP Pass FTP User 1 HTTP Get AA Windows Null Session I Netbios Session Granted TV Netbios Session Request AA POP Password A POP User 1 Rexec localhost FTP User 208 21 292 208 21 2 38 USER mark localhost FTP User 208 221 292 X 208 21 2 38 USER root localhost
8. ip 10 0 0 0 24 user foo bar src kids ip 10 0 1 0 24 dest porn domainlist porn domains urllist porn urls acl grownups pass all kids pass porn all default pass none redirect http info foo bar cgi blocked clientaddr 9ea amp clientname 9en amp clientuser i amp clientgroup s amp targetgroup t amp url Y ou SUPAERO 3 me ann e S curit informatique 2011 2012 281 Filtrage d URL e Les offres commerciales incluent la classification des sites e Exemple WebSense E Bloqu par Websense Microsoft Internet Explorer 10 xl Fichier Edition Affichage Favoris Outils Il amp o fat 4 Adresse http 15871 cgi bin blockpage cgi ws session 3791681735 s C W EBSENSE Enterprise L acc s cette page Web est interdit pour le moment Raison La cat gorie Shopping de Websense est filtr e URL http www fnac fr Options Cliquez sur informations suppl mentaires pour en savoir plus sur la ligne de conduite concernant votre acc s Internet Cliquez sur Page pr c dente ou utilisez le bouton de fr k Page pr c dente retour en arri re de votre navigateur pour retourner la page pr c dente E Termin Internet SUPAERO 3 me ann e S curit informatique 2011 2012 DNS e S curiser les changes entre les serveurs eux m mes e Contr ler correctement les clients e Emettre efficacement les requ tes
9. 1 AE Acces NelBIDS thare Everyone iscan 1 Critical Kep Permasions S oftwere sMicsosoft Windows NTNDuner Critica Key Permsssione Software 4 icnocatt windows Cured Giticd Key Peamasin Software Mimos Wide Cured Va Cricel Key Permissions Software WM innosolt Windows Cumenfe DCDM Cod wittabie Appld 1 DCOM Config Witable 00020001 0000 0000 C DCDM Contig Witable 00022601 0000 0000 0000 000000000 DCOM Config Wirtable BETF756 5536 11 01 8726000047857 DCOM Config Witable 22060080 1201 21101 S96 000CO4FD7 DCOM Contig Wittebie 275050 50 FFSTICFASE 1 OUAADOEE DCOM Config Witable G2950F 20 REE 11d1 0707 00C0MFO SX DCDM Cordig witabie 100565000 SDF4 11D1 4281 00704FCA DCOM Config w stsbie 10 3330450 5630 1101 DD 2 004004 DCOM Cortig Witabie 103 34821 9075 1014 8030 005001 DCOM Config sable 0537 8520 585F 1 10 1 500 200440044 DCOM Config Witable 105979063058 3F 1101 90020044 0045 DCDM Config stable 0537B540 5ESF 11D1 5D02 00AAD045 DCOM Punts MobSync 1 DCDM Run s Remote Debug Manager For Java 1 qguesfolsnk pw Guest 1 Ipfragmenfleazsenblbo 1 LM security 1 MaeniceOrreePrres 1 State ati Doce BackdooBuge BeckdooCow BachdooF ons BeckdootWetal BackdooRat Backdoor SochetsDeT ioe Hiipl ndexzerveshspSousce Officenconfudemrfccees Boden opes BackdoceHoatl onisol Netecape Seren Daector BeckdooS rat BeckdooS nda BeckdoorRersoleS tom Beckdoorietdemon kurke nodro WitodFathDiecleue GratelsPrcet Fwi
10. 2011 2012 208 SSL TLS IPSEC IKE HTTPS Utiliser des certificats plut t que des mots de passe pour les tunnels VPN e G n rer si besoin ces certificats via openssl r duire la gestion de clefs au minimum X 509 e Ce genre d action est toutefois pr paratoire la compr hension d autres notions e Comment d livrer des certificats tous les utilisateurs e Comment garantir un niveau de s curit e Pour quoi faire acc s nomade relev de comptes bancaires d claration de revenu et puis SUPAERO 3 me ann e S curit informatique 2011 2012 209 Plan 2 2 Protection utilis es dans la pratique e Protection r seau et firewall e Systemes d authentification Chiffrement de flux et VPN Digressions RaZ OpenBSD 1984 e Surveiller analyser et g rer e D tection d intrusion e Audit tests d intrusion e Administration exploitation et suivi de la s curit Observation et surveillance e Protection des applications usuelles SUPAERO 3 me ann e S curit informatique 2011 2012 210 Digressions e How to Own the Internet in your spare time e puis faire un RaZ i OpenBSD http www openbsd org security html e pas l par contre e 1984 e et l impact sur la vie r elle SUPAERO 3 me ann e S curit informatique 2011 2012 211 Plan 2 2 e Protection utilis es dans la pratique e Protection r seau et firewall e Syst mes d authentification Ch
11. ANSSI does cryptanalysis research n summer 2011 the Department of Transport launched a call for proposals with respect to cars cyber security e Summer 2012 WiFi linked vehicle test mu aos TEE on EE grum NN Hackers interests Latest hackers security conferences ie DEFCON amp BlackHat 201 1 Home automation security especially X10 over CPL systems Car alarms Insulin pumps Autonomous WiFi GSM sniffing drone DEFCON 2012 NFOs anti forensics gen Keith Alexander SUPAERO 3 me ann e S curit informatique 2011 2012 39 Recent programmer comment World writable memory on Samsung Android phones Posted Dec 17 2012 20 13 UTC Mon by mikov subscriber 433179 Link My experience from most places nobody cares nobody reviews If a problem is discovered later we will fix it later why worry now and delay the release What dev mem Enough with this mumbo jumbo we have a release to make and management bonuses to earn In fact people who do care and worry about esoteric things like security or good design or code quality are universally viewed as trouble makers or ivory tower idiots both by management and most of the engineers Tt is an uphill battle even to do what used to be the baseline 10 15 years ago Commercial software engineering now is no different from accounting The glory days are gone It is all downhill from now on http Iwn net Articles 529496
12. B Norton Antivirus 1 El Logged Out Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 m Symantec AntiVirus 1 el administrateur Logge Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 Groupes el o Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 2a jm oos e Logged Out Aucun 12 11 2003 ev 19 8 00 0 9374 4 1 0 15 B8 Symantec Central Quarantine el v Logged Out Aucun 12 11 2003 rev 19 8 00 0 9374 41 0 15 8 Service and Support gj um administrateur Logge Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 Logged Out Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 iei T Aucun 12 11 2003 rev 19 6 00 0 9374 4 1 0 15 e Logged Out Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 CT Administrateur Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 el e va Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 el tiim Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 ei _ lt Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 ma Logged Out Aucun 12 11 2003 rev 19 8 00 0 9374 41 0 15 ET 10 31 2003 17 01 12 11 2003 rev 19 6 00 0 9374 4 1 0 15 ICT w administrateur Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 CT D Unknown Logged Out Aucun 12 11 2003 rev 19 8 00 0 9374 41 0 15 eli Logged Out Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 ET _ Logged Out 10 14 2003 14 52 12 11
13. R 0115 ADMOCS LL R16 WSUS TSPWIN013 8 D N AD Racine x Any Traffic Flux_AD QD accept Log Policy Targets TE D N AD Racine TCP idap E D N01 AD UDP UDP LDAP 389 D R12 AD TCP Kerberos v5 TC D N04 AD x Any Traffic OP Kerberos v5 UD D accept Log Policy Targets TE D N03 AD TE D N18 AD E D NO6 AD D N18 PKI Racine TCP idap D N18 Mocs TCP Kerberos v5 TC T D N1 amp TSLIC YDP Kerberos vS UD TE D N18 SHPT UDE UDP LDAP 389 TCP RPC 135 P R 0107 VPNSSL Hl D N18 PK_Racine S Win AD x Any Traffic TCP Ntds 5001 QD accept Log Policy Targets ICP RPC Dyn 49152 LDAP UOP UDP LDAP 389 ICP Kerberos v5 TC UDP Kerberos v5 UD TCP microsoft ds ICP nbsession 778 R 0069 WEBAUTH NET Region PA R 0109 AUTH H S Win AD x Any Traffic QD accept Log Policy Targets PI R 0129 Adm E D N Adm S Win AD x Any Traffic QD accept Log Policy Targets R 0140 RMAD_NAT IONAL D N AD_Racine fi S Win AD x Any Traffic Tee RMAD 3843 QD accept Log Policy Targets 3 n a For Help press F1 50 128 147 1 Read Write NUM SSS D mp H ee ae OT ui SUPAERO 3 me ann e S curit informatique 2011 2012 189 Il 1 irew a CheckPoint F EX E View Query Navigate Tools Window Help Check Point Em GEB B oR SmartView Trackers Bb Network amp Endpoint Ghe Active Bg Management El N
14. e Organiser pr cis ment la diffusion de l information g r e notamment en pr sence de translation d adresses SUPAERO 3 me ann e S curit informatique 2011 2012 283 194 56 3 68 Serveur DNS Serveur DNS Serveur DNS test fr Externe 1 Externe 2 Secondaire 192 168 66 1 Serveur DNS 3 test fr i Secondaire 192 165 69 1 Serveur DNS lestfr iaei Primaire 10 59 1 3 Serveur DNS LEE gt Requ tes it ratives miele recat Interne Poste de travail Transferts de zones Client gt Requ tes r cursives SUPAERO 3 me ann e S curit informatique 2011 2012 284 DNS et BIND e BIND 8 e BIND 9 Possibilit s d authentification forte e Echanges entre serveurs e Administration e ransferts de zone incr mentaux e DNSSEC SUPAERO 3 me ann e S curit informatique 2011 2012 285 BIND9 1 e Limiter les transferts de e M me sur un secondaire zones zone test fr zone test fr type slave type master masters 192 168 69 1 file etc bind db test fr file etc bind bak db test fr allow transfer allow transfer 192 168 66 1 194 56 3 68 or none hs 5 r SUPAERO 3 me ann e S curit informatique 2011 2012 286 BIND 9 2 e Contr ler les acces aux zones g r es requ tes directes autres serveurs requ tes it ratives pour les clients finaux We allow only recursive queries from the internal nameserver and self a
15. ident regex regular expression pattern matching on the user s name src_as source client Autonomous System number dst as destination server Autonomous System number eproxy auth user authentication via external processes proxy auth regex user authentication via external processes snmp community SNMP community string matching maxconn a limit on the maximum number of connections from a single client IP address ereq mime type regular expression pattern matching on the request content type header earp Ethernet MAC address matching erep mime type regular expression pattern matching on the reply downloaded content content type header This is only usable in the http reply access directive not http access eexternal lookup via external acl helper defined by external acl type Note The information here is current for version 2 5 SUPAERO 3 me ann e S curit informatique 2011 2012 278 Squid Access lists types There are a number of different access lists http_access Allows HTTP clients browsers to access the HTTP port This is the primary access control list http_reply_access Allows HTTP clients browsers to receive the reply to their request This further restricts permissions given by http_access and is primarily intended to be used together with the rep_mime_type acl type for blocking different content types icp_access Allows neighbor caches to query your cache with ICP
16. 11 45 01 2d 6h Om 41s 1 3 2003 11 27 11 43 28 8d 22h 10m 9s 1 3 2003 11 27 11 43 28 7d 12h 50m 58s 1 3 EX M E fax zZ SPOOLER GRO 2003 11 27 11 43 27 44d 23h 26m 51s 1 3 Aio M 2003 11 27 11 44 06 1d 21h 51m 40s 1 3 DNS ok 1 seconds response time Address es is are 216 109 118 64 DISK OK 423189 kB 94 free on dev sda2 HTTP ok HTTP 1 200 OK 0 020 second response time HTTP ok HTTP 1 1 200 OK 0 071 second response time Certificate will expire on 10 05 2004 09 0 Uptime 1292697 Threads 2 Questions 9382279 Slow queries 2 Opens 187 Flush tables 1 Open tables 64 Queries per second avg 7 258 NTP OK Offset 0 000013 secs jitter 0 113 msec peer is stratum 1 SSH OK OpenSSH_ Debian protocol 20 PGSQL ok database template1 0 sec HTTP ok HTTP 1 0 200 Document follows 1 649 second response time Certificate will expire on 09 03 2008 09 5 DNS ok 1 seconds response time Address es is are 216 109 118 68 Process w3proxy exe exists PID 5620 Process spoolsv exe exists PID 536 Process spoolsv exe exists PID 3396 DNS ok 0 seconds response time Address es is are Alert History 216 109 118 66 Alert Summary TP ext 2003 11 27 11 41 23 3d 10h 29m 25s 1 3 NTP OK Offset 0 000403 secs jitter 10 010 msec peer is Notifications Le stratum 0 Event Log SMTP B 2003 11 27 11 43 17 Sd 21h 32M 55s 1 3 SMTP OK 0 second response time Configuration ef PNG ef GR 2003
17. 13 11 2003 09 43 05 13 11 2003 08 52 35 13 11 2003 08 37 01 13 11 2003 08 34 00 13 11 2003 08 32 12 13 11 2003 08 28 54 13 11 2003 08 13 07 13 11 2003 08 03 33 12 11 2003 15 21 39 12 11 2003 12 18 02 12 11 2003 12 08 21 12 11 2003 09 21 21 12 11 2003 08 21 21 10 11 2003 16 18 41 10 11 2003 15 18 40 09 11 2003 16 15 02 09 11 2003 16 15 02 08 11 2003 13 13 32 06 11 2003 08 03 13 nsi1112003 09 11 15 Client supprim Client supprim Client supprim Fichier de d finitions t l c Client supprim Client supprim Client supprim Client supprim Client supprim Client supprim Client supprim Client supprim Client supprim Client supprim Fichier de d finitions envoy au serveur Fichier de d finitions envoy au serveur Client supprim Fichier de d finitions envoy au serveur Fichier de d finitions envoy au serveur Fichier de d finitions envoy au serveur Fichier de d finitions envoy au serveur Fichier de d finitions t l charg Client supprim Fichier de d finitions envoy au serveur Fichier de d finitions envoy au serveur Client supprim Client supprim Client supprim Client supprim Client supprim Client supprim Client supprim Fichier de d finitions t l charg Fichier de d finitions envnv aii serveur harg Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateu
18. 22 2008 Expires On 12 24 2009 Fingerprints SHA1 Fingerprint MD5 Fingerprint C6 1A DF 18 40 26 57 64 B7 7C 80 D1 09 27 34 19 95 C8 t FA 22 38 F2 02 31 75 16 57 BD 98 3C A6 6D 6B 31 F glashdotte P Certificate Hierarchy VUTN USERFirst Hardware 7PositiveSSL CA Certificate Fields 7www mozilla com 7 Certificate Version Serial Number Certificate Signature Algorithm Issuer 7 Validity Not Before Not After 7 Subject Public Key Info Field Value CN www mozilla com PositiveSSL Domain Control Validated Source Eddy Nigg StartCom https blog startcom org p 145 NO questions asked no verification checks done no control eement presented nothing SUPAERO 3 me ann e S curit informatique 2011 2012 close 28 Buffer Overflow Un exemple e Fonctionnement d un appel de fonction C e Sauvegarde des registres g n raux sur la pile e Calcul de l adresse de retour et sauvegarde sur la pile Empilement des parametres d appel de la fonction Les variables locales et les tableaux sont galement stock s sur la pile e L ordre exact d pend du contexte mais l id e g n rale est toujours la m me SUPAERO 3 me ann e S curit informatique 2011 2012 29 Disposition de la pile SUPAERO 3 me ann e S curit informatique 2011 2012 30 Contrived example VOLO Tu unction char SET 4 char burfer bo s etropyUbDurrer SEL 3 LE
19. Attacks categories e Elements of cryptography e Introduction to mandatory security policies Embedded systems and security e Specificities Physical attacks SPA DPA e TPM Software development and security Security requirements and process e Static verification and software development tools e Common criteria ISO 15408 SUPAERO 3 me ann e S curit informatique 2011 2012 98 Problem to address with respect to security requirements definition e Best ROI when done at application design phase e When considered at all they tend to be e general lists of security features password firewalls antivirus etc e implementation mechanisms security requirements e intented to satisfy unstated requirements e authenticated access etc Exist in a section by themselves copied from a generic set no elicitation or analysis process no adaptation to the target e Significant attention is given to what the system should do little is given to what it should not do in req eng Priority is not given to security wrt ease of use for example SUPAERO 3 me ann e S curit informatique 2011 2012 99 Note on security updates e How can we manage software vulnerabilities e Wait until they are exploited by an attacker e Quickly provide a patch that should correct the problem without introducing another one e Whine because system administrators do not install patches fast enough e Astonishingly it is ver
20. BTW Cyanogen fix http review cyanogenmod org c 28568 SUPAERO 3 me ann e S curit informatique 2011 2012 40 Une derni re moins r cente The final step simply adds a second Trojan horse to the one that already exists The second pattern is aimed at the C compiler The replacement code is a self reproducing program that inserts both Trojan horses in the compiler First we compile the modified source with the normal C compiler to produce a bugged binary We install this binary as the official C We can now remove the bugs from the source of the compiler and the new binary will reinsert the bugs whenever it is compiled Of course the login command will remain bugged with no trace in source anywhere SUPAERO 3 me ann e S curit informatique 2011 2012 41 Morale You cant trust code that you did not totally create yourself Especially code from companies that employ people like him Ken Thomson Reflections on Trusting Trust Turing award lecture in Communications of the ACM vol 27 no 8 pp 761 763 August 1984 SUPAERO 3 me ann e S curit informatique 2011 2012 42 Plan 1 2 e G n ralit s Propri t s de s curit e Attaques Mise en ceuvre dans les organisations Fonctionnement de la s curit dans une entreprise e Suivi des alertes de s curit e D finition d un sch ma directeur s curit e M canismes de protection g n r
21. FTP Pass 208 21 292 208 21 238 PASS hello localhost HTTP_Get 208 21 292 208 21 0 11 URL index z2e IHM ISS RealSecure X Source J Destination X Engine Engine Location Policy Engine Status Event Channel Status Engine DB Progress localhost 127 001 TestMax MWOOD Fri Jun 19 08 27 21 1998 Active Established ID20xe7220028 LL SUPAERO 3 me ann e S curit informatique 2011 2012 223 SID Message Signature Summary Impact Signatures Snort 1 1800 VIRUS Klez Incoming alert tcp EXTERNAL_NET any gt 8MTP SERVERS 25 msg VIRUS Klez Incoming flow to_server established dsize 120 content MIME content VGhpcyBwcem9 classtypemisc activity sid 1800 rev 3 This event is generated when an incoming email containing the Klez worm is detected system compromise and further infection of target hosts Detailed Information W 32 Klez h MM exploits the vulnerability in Microsoft Internet Explorer ver 5 01 or 5 5 without SP2 Affected Systems Attack Scenarios Fase of Attack False Positives False Negatives Corrective Action Contributors SUPAERO enabling it to execute email attachments Once executed it can unload several processes including Anti virus programs The worm is able to propagate over the network by copying itself to network shares assuming sufficient permissions exist Target filenames are chosen randomly and can hav
22. Hrs ue mide E Responses Current 183 93 m Average 183 57 m Maximum 237 85 m UDP MIB Overall UDP Bl No name Current 0 00 Maximum 2 04 m Statistics El Traps sent Current 0 00 Average 9 00 Maximum 0 00 ij Host Serveur W2K 04 L i Host Serveur W2K 06 SUPAERO 3 me ann e S curit informat EE SNMP Exemples Routeur Cisco 1721 Traffic Sed 1001944 1 4341130 140 bits per second Fri Sat Sun Mon Tue Wed Bl Inbound Current 52 26 k Average 12 87 k Maximum 155 36 k E Outbound Current 79 71 k Average 20 39 k Maximum 167 13 k Serveur W2K 04 CPU Utilization CPUO 1001033 E E n L o pm L e Week 44 Week 45 Week 46 Week 47 Bl CPU Utilization Current 0 Average 6 Maximum 58 SUPAERO 3 me ann e S curit informatique 2011 2012 259 Serveur W2K 06 TCP Current Connections 1001944 400 SNMP Exemples I301 4341130 number 100 Week 44 Week 45 Week 46 Week 47 Bl TCP Connections Current 384 42 Average 95 88 Max 366 11 Serveur W2K 01 RD ICMP Inbound Activity 1001044 1301 d o rn v E o m e i L 12 00 14 00 16 00 18 00 20 00 22 00 00 00 02 00 04 00 06 00 08 00 10 00 Bl Errors Current 0 00 Average 0 00 Maximum 0 00 O Dest Unreach Current 10 24 m Average 14 68 m Maximum abe les Bl Echo Request Current 207 16 m Average 121 04 m Maximum 277 37 m E Echo Rep
23. MAT VO TO 4 lenght of str gt 16 bytes char s Je ne fais pas moins de 16 caract res function s SUPAERO 3 me ann e S curit informatique 2011 2012 31 Vuln rabilit de ce type de code e Le r sultat n est pas toujours pr visible e On crit dans des zones m moires non pr vues pour cela e Avons nous cras l adresse de retour Avec des valeurs d entr es choisies tr s soigneusement on peut fixer le point de retour de la suite du programme Cela peut se situer dans du code contr l par l utilisateur si celui ci r ussi la faire rentrer en m moire e Sinon on se d brouille autrement SUPAERO 3 me ann e S curit informatique 2011 2012 32 Format strings Int XUmoctuconcoocere SET 4 LpXcrYpm sSDpeoUb SUE j e Que se passe t il quand str s s s s s e Le plus probable une erreur fatale e Sinon impression du contenu de la m moire e NB forme correcte FOCIE S CdoU C ese SET SUPAERO 3 me ann e S curit informatique 2011 2012 33 Pr vention e Attention en crivant dans des tampons m moire e Le contr le de la longueur des entr es est obligatoire e Ne jamais utiliser de trucs en C e Strcpy et strcat sont interdits e Utiliser strlcpy et stricat e Si VOUS en disposez SUPAERO 3 me ann e S curit informatique 2011 2012 34 Hacking ROx Buffer overflows exemple SSL exemple Format strings exemple
24. Mod le de PSSI diffus par la DCSSI mer SUPAERO 3 me ann e S curit informatique 2011 2012 61 Caract ristiques d une bonne PSSI e Realiste e Applicable e Vision long terme e Clart et concision e Bas e sur des r les ou des profils e D finition claire des domaines de responsabilit et d autorit e jour revue p riodiquement Communiqu e tout le personnel SUPAERO 3 me ann e S curit informatique 2011 2012 62 Sp cifications e Sp cifications de s curit e Clauses contractuelles e Charte deontologique et utilisateurs finaux administrateurs etc e Composants r seau e Systemes e Collecte des traces et cybersurveillance e Syst mes d authentification Application X Y Y etc e Donn es A B C D etc SUPAERO 3 me ann e S curit informatique 2011 2012 63 Documents op rationnels e Guides de configuration Points de contr les e D clin s pr cis ment par e Syst me d exploitation SunOS 4 AIX 4 5 Solaris 2 6 2 7 2 9 RedHat 6 7 Debian 2 2 3 0 OpenBSD 3 3 3 4 etc e Logiciel iPlanet Apache 1 3 2 IIS 4 5 6 etc e Equipement Routeurs Cisco 36xx Nortell 2430 5430 e Couvre des l ments de configuration ou de v rification concrets echo 0 gt proc sys net ipv4 ip forward Linux procfs echo 1 gt proc sys net ipv4 icmp echo ignore broadcasts net inet ip forwarding 0 Open BSD sysctl conf vm swapencrypt
25. Organisational Unit OU Information Systems Issued By Serial Number 63 4D CE 1C 61 9F FB 6B 26 1E 05 AD 5B A9 85 86 Common Name CN www paypal com Organization O PayPal Inc Issued By Organizational Unit OU lt Not Part Of Certificate Common Name CN VeriSign Class 3 Extended Validation SSL SGC CA Valid ee d 2m Mirco 4 ion 5 1 2008 rganisational Unit OU VeriSign Trust Netwo Expires On 5 2 2009 Validity Fingerprints i Issued On 5 1 2008 SHA 1 Fingerprint 32 72 D2 6C BC 34 96 82 6C 57 70 CD 03 8E 24 D6 6E 0F 6D 9D Expires On 5 2 2009 MDS Fingerprint CB 57 BS DF F6 DD 05 C8 FE 9E ED CO ES 90 BF AD Fingerprints SHA Fingerprint 4 25 F6 7 E D2 C9 AC D6 DE F6 53 DA 79 5E 01 C5 17 B3 75 2D MD5 Fingerprint 22 B7 78 93 7D BA 56 8B 84 BD F9 A9 74 70 07 00 I Source Eddy Nigg StartCom https blog startcom org p 125 SUPAERO 3 me ann e S curit informatique 2011 2012 27 D livrance des certificats il Details General Details This certificate has been verified for the following uses SSL Server Certificate Issued To Common Name CN www mozilla com Organization O lt Not Part Of Certificate gt Organizational Unit OU Domain Control Validated Serial Number 5C 11 84 7B BF 87 91 55 75 98 53 49 6B A7 7F A4 Issued By Common Name CN PositiveSSL CA Organization O Comodo CA Limited Organizational Unit OU lt Not Part Of Certificate gt Validity Issued On 12
26. R16 V3 08 R 0006 AD 28Jan2013 23 59 03 e TFPSOO1 M domain udp 50 135 10 18 R16 AD TSPWO04 15 15 R16 V3 08 R 0002 DNS 28 an2013 23 59 03 e TFPSOO1 LE domain udp 50 135 10 18 R16 AD TSPWOO4 15 15 R16_V3 08 R 0002 DNS 28Jan2013 23 59 03 TFPSOO1 T ldap 50 135 110 10 R16 AD TSPWO04 19 19 R16 V3 08 R 0006 AD 28Jan2013 23 59 03 e TFPS001 LE microsoft ds 50 135 10 18 R16 AD TSPW004 19 19 R16 V3 08 R 0006 AD m J b Total records in file 2475338 Track Logs Read Write NUM SUPAERO 3 me ann e S curit informatique 2011 2012 190 Il 1 irew a CheckPoint F EX ES Securty Web Services Security SB Address Translation Web Services Security ven Manager HD QoS web_Services_Seourty wed Access http BusinessCustomerWebSite BusinessApps Going to Contractors_Gateway Allow only during business hours Apply rule to Business_Partners Restrict access to SOAP SCHEME 1 SUPAERO 3 me ann e S curit informatique 2011 2012 191 Comment g rer une autorisation dans la pratique e Une application e vic c saco e http mafreebox freebox fr freeboxtv playlist m3u on comprend mieux e Ne marche pas Un num ro de porte e Premier pas ortalo hurricane ping c 1 mafreebox freebox fr PING freeplayer freebox fr 212 27 38 253 56 84 bytes of data 64 bytes from freeplayer freebox fr 212 27 38 253 icmp seq 1 tt1 64 tim
27. SUPAERO 3 me ann e S curit informatique 2011 2012 112 Now real programming prereq include lt stdio h gt void copie char s char ch 8 BBBBBBBB strcpy ch s int main int argc char argv copie argv 1 return O AAAAAAAAAAAA system adr exit adr shlibc adr Bash a out perl e print A x12 0xb7ee1990 Oxb7ed7260 Oxb7fccOaf sh 3 1 SUPAERO 3 me ann e S curit informatique 2011 2012 113 Now real programming Number One buffer overflow with string functions strcpy path getenv HOME strcat path strcat path foorc len strlen path strcat strcpy e no verification on buffer size dangerous do not use strncat strncpy e leave strings non terminated very difficult to use correctly stricat stricpy e May truncate strings but probably easier to use http homepages laas fr matthieu cours mh prog defensive paf SUPAERO 3 me ann e S curit informatique 2011 2012 str n l cpy cat practical usage STRCAT 3 Linux Programmer s Manual STRCAT 3 NAME strcat strncat concatenate two strings SYNOPSIS include lt string h gt char strcat char dest const char src char strncat char dest const char src size t n No strlcat on Linux so from the BSDs more precisely OpenBSD size t strlcpy char dst const char src size t dstsize size t strlcat char dst const char src size t dstsiz
28. client Cr ation d un utilisateur pour le serveur 5 Nessusd Host flocahost OOO nessus adduser e Authentification par certificat ou mot New session setup Port 1241 de passe Configuration vi usr local etc nessus nessusd conf B BEES D marrage du d mon f nessusd D Password T OU etc init d nessusd start Lancer le client Start the scan Load report Quit SUPAERO 3 me ann e S curit informatique 2011 2012 240 Nessus 2 E Nessus Setup E Nessus Setup Nessusd host Plugins Prefs scan options Target selection user KB credits Nessusd host Plugins Prefs Scan options Target selection user KB Credits Plugin selection Plugins preferences CGI abuses mr NNTP account FTP m NNTP password sent in clear Gain a shell remotely nm Denial of Service r FTP account anonymous Backdoors E s windows User management r FTP password sent in clear EU Remote file access m SNMP E FTP writeable directory incoming Default Unix Accounts nm RPC m v POP2 account Enable all Enable all but dangerous plugins Disable all Upload plugin POP2 password sent in clear 1 Enable dependencies at runtime Filter POP3 account POPS password sent in clear Unchecked Buffer in XP Redirector G810577 DCE Services Enumeration IMAP account Unchecked Buffer in PPTP Implementation Could Enable DOS Attacks The messenger service is running
29. des m thodes utilisables pour la corr lation e Prise en compte d information de cartographie e Integration de notions de groupement puis de fusion dans des outils existants SUPAERO 3 me ann e S curit informatique 2011 2012 231 Les tapes du diagnostic Alertes Clusters d alertes Groupement Alertes globales Sc nario d alertes Base Corr lation d alertes Reconnaissance d intention Collecte des alertes Y Vision globale Base de donn es d attaques Cuppens et a 2002 SUPAERO 3 me ann e S curit informatique 2011 2012 232 Sc nario non lin aire exemple 7 Alt ration de parametres Vol effectif de privileges E RAS O Non d tect e Inobservable Acquisition d information Fi SUPAERO 3 me ann e S curit 2011 2012 233 Exemple de corr lation A66 rpcinfo A70 finger A163 mount ll manque une alerte pour reconna tre le sc nario complet A165 rlogin SUPAERO 3 me ann e S curit informatique 2011 2012 234 G n ration d hypoth se gt On cherche une attaque appropri e finger rhost Cr ation d une alerte en tant qu instance de cette attaque Initialisation des champs de l alerte gr ce aux r gles de corr lation A163 V164 gt Tentative de corr lation des deux derni res alertes SUPAERO 3 me ann e S curit informatique 2011 2012 235 R sultat de la g
30. e M canismes de protection g n raux e Cryptographie e Politiques de s curit formelles e Crit res d valuation normalis s e Principes de conception et d utilisation SUPAERO 3 me ann e S curit informatique 2011 2012 S curit et Malveillances e Protection d un syst me vis vis d un adversaire security vs safety engl SUPAERO 3 me ann e S curit informatique 2011 2012 Un large p rim tre d action e Actions non techniques e Connaissance des e Habilitation des personnes agressions e D l gation crite e Attaques e Contrats e Vuln rabilit s Audit e Sensibilisation Formation Tests d intrusion Enseignement e Gestion des risques et e Protection valuation e R seau e Systeme e Applications e Surveillance e D tection d intrusion Observation SUPAERO 3 me ann e S curit informatique 2011 2012 Technologies concr tes e Firewall e D tection d intrusion e Systemes d authentification e VPN e Protection des applications e Administration e Utilitaires s curit int grit chiffrement etc e Observation et surveillance r seau SUPAERO 3 me ann e S curit informatique 2011 2012 Plan 1 2 e G n ralit s Propri t s de s curit e Attaques e Mise en uvre dans les organisations e Fonctionnement de la s curit dans une entreprise e Suivi des alertes de s curit e D finition d un sch ma directeur s curit
31. e Novell Baies de disques Routeurs Switches PC Windows Macintosh Robots Sauvegardes Imprimantes Boitiers caches Boitiers firewall l ments logiciels e Antivirus e SGBD IDS SUPAERO 3 me ann e S curit informatique 2011 2012 251 Correctifs et mises jours e Contraintes ne pas perturber le fonctionnement normal e R agir notamment des alertes de s curit e Faciliter les d ploiements patches Windows Update SMS e Lien avec les autres elements du poste de travail OU des serveurs SUPAERO 3 me ann e S curit informatique 2011 2012 252 Prise en main distance e Unix Debian GNU Linux testing unstable login ortalo e Telnet RSH versus SSH SR Linux 2 4 1 Tue Aug 26 20 36 53 BST 2003 GNU Linux The programs included with the Debian GNU Linux system are free softuare the exact distribution terms for each program are described in the o individual files in usr share doc copyright Debian GNU Linux comes with ABSOLUTELY NO WARRANTY to the extent permitted by applicable lav You have new mail e Windows DX e Terminal Server e VNC amp co vl Done corses eee mn m orsa Eo from D marrer 4 SUPAERO 3 me ann e S curit informatique 2011 2012 253 Syst mes embarqu s e s agit souvent des quipements associ s a l infrastructure r seau LAN e FTP est largement r pandu se a jour des OS
32. enable 1 SUPAERO 3 me ann e S curit informatique 2011 2012 64 Face au cycle de vie d un projet Besoin d taill prendre en compte la PSSI tude a Sp cifications s curit Appel d offres Developpement Int gration Validation Exploitation e Maintenance Suivi Surveillance D mant lement Quid Petit tuyau www dban org lt gt Configuration Contr le s curit SUPAERO 3 me ann e S curit informatique 2011 2012 Darik s Boot And Nuke 65 Positionnement par rapport aux diff rents projets des entreprises e Projets SSI e Associ s a l infrastructure de s curit elle m me e Jonction avec les autres projets d infrastructure e Assistance aux projets e Apporter des comp tences e Int grer la d marche s curit aux projets e Clauses contractuelles e Validation et contr le des projets e Identifier des vuln rabilit s et des risques r siduels e Accorder des autorisations d ouverture SUPAERO 3 me ann e S curit informatique 2011 2012 66 Veille Suivi e Veille technologique e Alertes CERT cf ci avant e Alertes des constructeurs e Nouvelles vuln rabilit s e Nouvelles techniques de protection e Suivi de la s curit e Contr les r guliers des vuln rabilit s e Suivi des pr conisations e Validation de certaines configurations e g pr sence des antivirus SUPAERO 3 me ann e S curit informatique 2011 2012 67
33. la m moire contr le l ouverture des fichiers etc autorisation Difficile pour les r gles du type il est obligatoire de ou il est recommand de actions automatiques gestion de ressources SUPAERO 3 me ann e S curit informatique 2011 2012 152 Plan 1 2 e G n ralit s Propri t s de s curit e Attaques e Mise en uvre dans les organisations e Fonctionnement de la s curit dans une entreprise e Suivi des alertes de s curit e D finition d un sch ma directeur s curit e M canismes de protection g n raux e Cryptographie e Politiques de s curit formelles Crit res d valuation normalis s SUPAERO 3 me ann e S curit informatique 2011 2012 153 Les Crit res e Historique TCSEC Trusted Computer System Evaluation Criteria DoD 1985 Livre orange et TNI Trusted Network Interpretation of the TCSEC Livre rouge e ITSEC Information Technology Security Evaluation Criteria EEC 1991 e JCSEC CICPEC e CC Common Criteria norme ISO depuis 2000 SUPAERO 3 me ann e S curit informatique 2011 2012 154 Le livre orange niveaux D Protection minimale u s curit discr tionnair Protection discr tionnal audit labels Protection obligatoire protection structur e domaines de s curit Protection v rifi e v rification SUPAERO 3 me ann e S curit informatique 2011 201
34. la plage 32000 33999 e Ca marche hurricane dmesg grep 212 hurricane iptraf hurricane CE Root Console No 7 Konsole Session Edit View Bookmarks Settings Help lMRoot Console No 5 sliRoot Console No 6 il Root Console No 7 a sel e Au fait la docume SUPAERO 3 me ann e S curit informatique 2011 2012 195 Plan 2 2 e Protection utilis es dans la pratique e Protection r seau et firewall e Systemes d authentification e Chiffrement de flux et VPN e Digressions RaZ OpenBSD 1984 e Surveiller analyser et g rer e D tection d intrusion e Audit tests d intrusion e Administration exploitation et suivi de la s curit Observation et surveillance e Protection des applications usuelles SUPAERO 3 me ann e S curit informatique 2011 2012 196 Authentification e Codes d acces Sesame ouvre toi e Num ros pistes ISO codes barres RFID etc e Nom d utilisateur mot de passe e Clef publiques clefs priv s RSA DSA pour SSH IKE etc e Authentification forte des utilisateurs e S Key e Mots de passe jetables e Cartes puce et token e etles applications SUPAERO 3 me ann e S curit informatique 2011 2012 197 M thodes d authentification e Authentification locale e danger divulgation du mot de passe en clair chiffrement sp cifique e D fi r ponse e defi al a r ponse al a 1 e Mots de pas
35. miss_access Allows certain clients to forward cache misses through your cache This further restricts permissions given by http_access and is primarily intended to be used for Ng sibling relations by denying siblings from forwarding cache misses through your cache no cache Defines responses that should not be cached redirector access Controls which requests are sent through the redirector pool ident lookup access Controls which requests need an Ident lookup always direct Controls which requests should always be forwarded directly to origin servers never direct Controls which requests should never be forwarded directly to origin servers snmp access Controls SNMP client access to the cache broken posts Defines requests for which squid appends an extra CRLF after POST message bodies as required by some broken origin servers cache peer access Controls which requests can be forwarded to a given neighbor peer SUPAERO 3 me ann e S curit informatique 2011 2012 279 oquidGuard 1 www squidguard org e Un redirecteur pour Squid e Recherche efficace pour des listes de grandes tailles 2100 000 entr es e Definition de listes de contr le d acces e Prise en compte des plages horaires e Propose des listes noires d URL et de sites et un robot SUPAERO 3 me ann e S curit informatique 2011 2012 oquidGuard 2 e Exemple logdir usr local squidGuard log dbhome usr local squidGuard db src grownups
36. n ration d hypoth ses A66 rpcinfo A70 finger A163 mount V164 rhost A165 rlogin SUPAERO 3 me ann e S curit informatique 2011 2012 236 Plan 2 2 e Protection utilis es dans la pratique e Protection r seau et firewall e Systemes d authentification Chiffrement de flux et VPN e Digressions R Z OpenBSD 1984 e Surveiller analyser et g rer e D tection d intrusion e Audit tests d intrusion e Administration exploitation et suivi de la s curit Observation et surveillance e Protection des applications usuelles SUPAERO 3 me ann e S curit informatique 2011 2012 237 Tests d intrusion externes Une prestation assez r pandue e Avantages e Ind pendance des acteurs Bien d limit e Inconv nients e Ponctuelle e Limit e au p rim tre accessible Internet infrastructure s curit e D corr l e de la politique de s curit e Similaire une simulation d attaque SUPAERO 3 me ann e S curit informatique 2011 2012 238 Outils d audit e Analyse active des vuln rabilit s pr sentes e Plus ou moins agressif e Automatisation d un test d intrusion e SUIVI e Principaux produits existant Nessus free software e ISS Internet Scanner SUPAERO 3 me ann e S curit informatique 2011 2012 239 Nessusd host Plugins Prefs Scan options Target selection User KB Credits Compilation et ou installation serveur
37. que 2 messages diff rents M et M aient la m me empreinte H M H M est 1 2 Connaissant M il est facile de calculer H M e Connaissant M il est impossible de trouver M ZM tel que H M H M e Exemples MD5 SHA 1 SHA 256 DES en mode CBC e Typiquement on d coupe M en blocs m4 m my h F cte m ha F hy m gt Ny F h m H M SUPAERO 3 me ann e S curit informatique 2011 2012 91 Application int grit Communications contre interception et modification transmettre le message et l empreinte par des canaux ind pendants e Fichiers d tection de modifications e Exemples Tripwire Samhain e Sur une machine de confiance calculer les empreintes des fichiers stables OS programmes configuration et les stocker de mani re prot g e e P riodiquement ou en cas de doute recalculer les empreintes et les comparer sur une machine de confiance SUPAERO 3 me ann e S curit informatique 2011 2012 92 Signature int grit e Ks clef de signature Kv clef de v rification e Signatures sym triques Ks Kv e Exemple dernier bloc DES CBC e Signataire et v rificateur doivent se faire confiance e La signature n est pas valable devant un juge e Signatures asym triques Ks Kv e Hachage puis chiffrement empreinte Ks Kc Kv Kd e V rifiable par des tiers Il faut tre s r de ce que l on signe Peuvent servir s curiser les r pertoires de clefs publiqu
38. reliability and language skills are required I highly recommend hiring her If you d like to discuss her attributes in more detail please don t hesitate to contact me Sincerely http www cits rub de MD5Collisions Julius Caesar ortalo hurricane md5sum letter of rec ps order ps a25f7 f0b29ee003968c860738533a4b9 letter of rec ps a25f7f0b29ee0503968c860738533a4b9 order ps ortalo hurricane SUPAERO 3 me ann e S curit informatique 2011 2012 95 Sch mas seuil e Stocker K sous la forme d un ensemble de valeurs Ki images telles que e S images permettent de reconstruire le secret S est le seuil e S 1 images n apportent aucune information e Si on sait g n rer N images avec N gt S alors on tol re de perdre jusqu N S images e Exemple d id e e Si l on connait S n 1 point d un polyn me P de degr n on sait recalculer les coefficients a du polyn me n 1 quations n 1 inconnues e Passer dans un corps de Galois modulo q avec q premier SUPAERO 3 me ann e S curit informatique 2011 2012 96 Autres sujets non abord s e Steganographie e Cryptanalyse e Watermarking tatouage e G n rateurs al atoires e G n ration de nombres premiers e crous key escrow e Vote e Horodatage e Destruction e Protocoles SUPAERO 3 me ann e S curit informatique 2011 2012 97 Overall presentation 1 2 e Fast paced computer security walkthrough e Security properties e
39. seaux et QoS par exemple e Surveillance syst me e Ev nements anormaux SUPAERO 3 me ann e S curit informatique 2011 2012 257 SNMP IF MIB HOST MIB etc www mibdepot com ET SNMP UCD SNMP IETF isco 3Com Nortell IBM etc RRDTool MRTG Cacti HPoV Tivoli etc Requ tes sur UDP 161 et UDP 162 E cacti Microsoft Internet Explorer Mf x e Fichier Edition Affichage Favoris Outils Il e Quuacqd EJ e Adresse E http Tcactilaraph view php actiontree amp tree idei amp leaf id 39Bgraph template i settings e etNext TEE Tree Default Tree gt Host Serveur W2K O1 a m Dafauit Tree Graph Template SNMP MIB SNMP Activity S t i5 Host Proxy Internet managed viewpoint e El Serveurs W2K Serveur W2K 01 SNMP Activity managed viewpoint amp j Host Serveur W2K 01 SR ONE X re AD re Host MIB CPU Itiliz ati e Response m bits sec IP MIB ICMP Inbound Activity IP MIB ICMP e r Outbound Activit o akiki NE Sat Ss a REGERE REEF E S 2 EIUS FE A EE GE BER Pers ap 12 00 14 00 16 00 18 00 20 00 22 00 00 00 02 00 04 00 06 00 08 00 10 00 s hd EM El Get Current 117 20 m Average 116 82 m Maximum 151 15 m dude eu El GetNext Current 66 88 m Average 66 75 m Maximum 86 49 m Connections ElBad Community Current 0 00 Maximum 0 00 TCP MIB TCP Bl Bad uses Current 0 00 Maximum 0 00 Samen sune E Set Current 0 00 Average 0 00 Maximum 0 00
40. solidit dans ce domaine e Les chiffres se cassent e L implementation est tr s d licate elle casse aussi e Il y a peu d experts et m me sans doute de connaisseurs e C est difficile et souvent contre intuitif e exemple chiffrer deux fois peut tre dangereux SUPAERO 3 me ann e S curit informatique 2011 2012 71 Pr ambule 2 2 e La lev e de la main mise des militaires sur ce domaine est r cente et non v rifiable Les difficult s th oriques sont doubl es de difficult s r elles d impl mentation e exemple g n rateurs al atoires g n ration des clefs protection des clefs remplissage des blocs vides etc notamment au niveau de la mise en oeuvre mat rielle SUPAERO 3 me ann e S curit informatique 2011 2012 72 Chiffrement confidentialit Clef de chiffrement Clef de d chiffrement Kc Kd M texte clair C cryptogramme M texte clair e Notation chiffrement C M ke d chiffrement M C ky Confidentialit e Sans connaitre Kd il doit tre impossible de retrouver M e doit tre impossible de trouver Kd m me connaissant C et M attaque par clair connu doit tre impossible de trouver Kd m me connaissant C en choisissant M attaque par clair choisi SUPAERO 3 me ann e S curit informatique 2011 2012 73 Chiffres sym triques Kc Kd K e Tous les chiffres connus jusqu en 1976 e Exemples DES 1976
41. 1 2012 gt change de donn es
42. 1 2012 273 Apache 1 3 6 e etc ohpgroupware apache conf Alias phpgroupware usr share phpgroupware Exemple de fichier lt Directory usr share phpgroupware gt Options FollowSymLinks de configuration AllowOverride None secondaire order allow deny allow from all Directoryindex index html index php IfModule mod_php3 c gt php3_magic_quotes_gpc On php3 track vars On php3 include path etc phpgroupware lt IfModule gt IfModule mod php4 c php flag magic quotes gpc On php flag track vars On php flag session save path var tmp phpgroupware php value include path etc phpgroupware IffModule lt Directory gt SUPAERO 3 me ann e S curit informatique 2011 2012 274 Apache 1 3 7 e Virtual hosts VirtualHost example Almost any Apache directive may go into a VirtualHost container lt VirtualHost ip address of host some_domain com gt ServerAdmin webmaster host some_domain com DocumentRoot www docs host some domain com ServerName host some_domain com ErrorLog logs host some_domain com error log CustomLog logs host some domain com access log common lt VirtualHost gt e Consulter la documentation e N oubliez pas Apache SSL SUPAERO 3 me ann e S curit informatique 2011 2012 275 Le proxy Web Le relais le plus utilis dans un syst me d information e Couple a du filtrage d URL n cessairement e Liaison souhaitable avec l authentification du pos
43. 11 27 11 41 02 O 2h 34m 31s 15 PING OK Packet loss 0 RTA 47 64 ms xl eg Intranet local E SUPAERO 3 me ann e S curit informatique 2011 2012 261 Plan 2 2 e Protection utilis es dans la pratique e Protection r seau et firewall e Syst mes d authentification Chiffrement de flux et VPN Digressions R Z OpenBSD 1984 e Surveiller analyser et g rer e D tection d intrusion e Audit tests d intrusion e Administration exploitation et suivi de la s curit Observation et surveillance Protection des applications usuelles SUPAERO 3 me ann e S curit informatique 2011 2012 262 Plan d taill Protection des applications usuelles SUPAERO Poste de travail antivirus Messagerie Flux HTTP entrant antivirus Serveur HTTP Flux HTTP sortant filtrage d URL Services Internet e et HTTPS Services Internet e Pro Portal WebSphere SOAP amp co Signature et messagerie S MIME OpenPGP DNS et DNSSEC Routage IP OSPF RIP BGP Infrastructure SSI PKI X 509 LDAP etc 3 me ann e S curit informatique 2011 2012 263 Antivirus sur le poste ENsymantec AntiVirus Corporate Edition Analyser Edition Afficher Symantec AntiVirus Corporate Edition 63 Afficher Ch Analyser EJ analyser une disquette Analyser l ordinateur 5 Configurer i Historiques CE Analyses au d marrage F Analyses personnalis es S An
44. 194 111 80 1 1002 2 WEB IIgffmd exe access Ye 07 20 13 59 34 81 53 64 165 187 170 459 amp VQyY S 193 54 194 111 80 1 1002 2 WB IIS cmd exe access 07 20 13 594 45 219711 64 165 187 170 4601 gt 19 54 194 111 80 1 1 1002 WEB IIS cmd exe access 07 2044 5 59 35 607048 64 165 187 170 4603 gt 193 54 Q44 111 80 gt 1002 2 WEB IIS cmd exe access 07 20 13 59 35 607048 64 165 187 170 4603 gt 193 54 194 111 80 SUPAERO 3 me ann e S curit informatique 2011 2012 229 s mantique trop pauvre Mxemple alertes g n r es par Dragon 1 TAR6 2 WEB IIS CodeRed v2 root exe access L 07 20 13 2 291193 64 165 187 170 4515 gt 194854 194 111 80 1 1002 2 B IIS cmd exe access 07 20 13 59 33 0989882 64 165 187 170 453 193 54 194 111 80 1 1002 07204854 Attaque Nimada de 64 165 187 170 1 1002 MR vers 193 54 194 111 1 1288 ea 193 54 194 111 non vuln rable 07 20 13 59 34 814953 64 165 187 170 459Q gt 193 54 194 111 80 1 1002 2 WB IIS cmd exe access 07 20 13 594 6 219711 64 165 187 170 4601 gt 19 54 194 111 80 1 1 109 2 WEB IIS cmd exe access 07 20 5 59 35 607048 64 165 187 170 4603 gt 193 54 Q84 111 80 pr 1002 2 WEB IIS cmd exe access 07 20 13 59 35 607048 64 165 187 170 4603 gt 193 54 194 111 80 SUPAERO 3 me ann e S curit informatique 2011 2012 230 Corr lation d alertes e D veloppement
45. 2 155 Le livre orange crit res 1 2 e Doctrine de s curit Assurance Contr le d acc s op rationnelle discr tionnaire e Architecture du e R utilisation d objet syst me e Labels e int grit du syst me e Contr le d acc s e Analyse des canaux obligatoire cach s Responsabilit e Gestion d une Identification et installation authentification Heprise s re e Cheminement s r e Audit SUPAERO 3 me ann e S curit informatique 2011 2012 156 Le livre orange crit res 2 2 e Assurance du cycle de vie Essai de la s curit e Specification et verification e Gestion de la configuration e Distribution sure SUPAERO 3 me ann e S curit informatique 2011 2012 e Documentation Guide l utilisateur Manuel d installation s re Documentation des essais Documentation sur le concept de s curit 157 ITSEC Crit res e Classe de fonctionnalit e Assurance de conformit E1 E6 e Assurance d efficacit e Construction e Pertinence de la fonctionnalit e Coh sion de la fonctionnalit e R sistance des m canismes e Estimation de la vuln rabilit de construction e Exploitation e Facilit d emploi e Estimation de la vuln rabilit en exploitation SUPAERO 3 me ann e S curit informatique 2011 2012 158 Nice quote on criteria e CC ISO 15408 Common Criteria For the most part the protection profiles define away
46. 2003 rev 19 8 00 0 9374 4 1 0 15 CT Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 CT Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 ET Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 gli 7 Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 ICT o 11 12 2003 12 27 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 eli 09 01 2003 14 24 12 11 2003 rev 19 6 00 0 9374 4 1 0 15 T lt Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 CT Unknown Logged Out Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 ET 5 Logged Out Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 eli Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 CT e Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 eli a Aucun 12 11 2003 rev 19 8 00 0 9374 4 1 0 15 durun 1210 2003 rew 19 R NN N 9374 41 sal b SUPAERO 3 me ann e S curit informatique 2011 2012 265 2 IVIFUS Console Ant SUPAERO 3 me ann e S curit informatique 2011 2012 Journal des v nements xj EST Tous les l ments Q B e g amp g g g g g g g g d d d 2 da 2 da d da g g g g g g du Gh 20 11 2003 10 50 12 20 11 2003 09 54 48 20 11 2003 08 46 48 20 11 200 19 11 2003 09 43 05 19 11 2003 09 25 23 19 11 2003 08 43 04 18 11 2003 08 25 12 17 11 2003 09 34 42 15 11 2003 15 29 27 15 11 2003 12 29 27 14 11 2003 15 26 32 13 11 2003 15 58 42 13 11 2003 11 22 34
47. 2519 Access Rules Translation Rules VPN ISCO C Access Rules C AAA Rules C Filter Rules I m Source Destination interfaca Host Network Host Network E any any inside A outbound 1 any yoko outside A 10 20 0 5 any outside F 7 1O x 2 Cisco Systems Help Hosts Networks System Properties Lise the Rules menu the toolbar or the right mouse button to add edit or delete access amp or filter rules Show Detail ER Log Level Interval ip Implicit o service group Flux_ 4 Informational 15 sec Exemple Ebo X Allow traffic Deny traffic Apply Reset Advanced admin NA 15 A e 15 52 28 UTC Wed Apr 02 2003 SUPAERO 3 me ann e S curit informatique 2011 2012 183 Cisco PIX Device Manager 3 0 10 2 2 252 Beta Release B 1 E oj x File Rules Search Options Tools Wizards Help Cisco Systems Hg e Home A Configuration Monitoring Refresh eet Help FEFUN PIX O LE E U APAP E OS ale Access Rules Translation Rules VPN Hosts Networks System Properties V Categories para Syslog Interfaces Failover Specify your syslog server s and logging parameters Make sure logging is enabled in Logging Logging Setup under the EF A Routing System Properties tab RIP Static Route Syslog Servers Proxy ARPs Y OSPF IP Address ProtocoliPort EE Y DHCP Se
48. 3eme ann e S curit des Syst mes Informatiques SUPAERO Rodolphe Ortalo RSSI CARSAT Midi Pyr n es rodolphe ortalo free fr rodolphe ortalo carsat mp fr http rodolphe ortalo free fr ssi html Pr sentation du cours 1 2 e G n ralit s Propri t s de s curit e Attaques Mise en ceuvre dans les organisations e Fonctionnement de la s curit dans une entreprise e Suivi des alertes de s curit e D finition d un sch ma directeur s curit e M canismes de protection g n raux Cryptographie e Politiques de s curit formelles Crit res d valuation normalis s e S curit et d veloppement SUPAERO 3 me ann e S curit informatique 2011 2012 Pr sentation du cours 2 2 e Protection utilis es dans la pratique Protection r seau et firewall e Syst mes d authentification Chiffrement de flux et VPN Digressions R Z OpenBSD 1984 e Surveiller analyser et g rer e D tection d intrusion e Audit tests d intrusion e Administration exploitation et suivi de la s curit Observation et surveillance e Protection des applications usuelles SUPAERO 3 me ann e S curit informatique 2011 2012 Plan 1 2 e G n ralit s Propri t s de s curit e Attaques e Mise en uvre dans les organisations e Fonctionnement de la s curit dans une entreprise e Suivi des alertes de s curit e D finition d un sch ma directeur s curit
49. 6 3918 e Correction de Id so patch e Nettoyage de l environnement e Exploitable e Correction de la commande file patch e D bordement de pile e CVE 2007 1536 SUPAERO 3 me ann e S curit informatique 2011 2012 130 Exemples d attaques Essais r p titifs brute force script expect e Interactions script syst me et bug patch programme C Programme Windows injection DLL e Fichier image http www determina com security research vulnerabilities ani header html SUPAERO 3 me ann e S curit informatique 2011 2012 131 Curseur ANIm sous Windows 1 3 CVE 2007 0038 CVE 2005 0416 bis struct ANIChunk char tag 4 ASCII tag DWORD size length of data in bytes char data size variable sized data int LoadCursorIconFromFileMap struct MappedFile file struct ANIChunk chunk struct ANIHeader header 36 byte structure read the first 8 bytes of the chunk ReadTag file amp chunk if chunk tag anih d if chunk size 36 added in MS05 002 return 0 read chunk size bytes of data into the header struct ReadChunk file amp chunk amp header SUPAERO 3 me ann e S curit informatique 2011 2012 132 Curseur ANIm sous Windows 2 3 CVE 2007 0038 CVE 2005 0416 bis int LoadAnilcon struct MappedFile file struct ANIChunk chunk struct ANIHeader header 36 byte structure while 1 read the first 8 bytes of th
50. 92 e r les e RBAC 1996 SUPAERO 3 me ann e S curit informatique 2011 2012 141 Politique multiniveau de Bell LaPadula 1975 niveau d habilitation des sujets h s e niveau de classification des objets c o interdire les fuites d information d un objet vers un objet de niveau inf rieur interdire tout sujet d obtenir des information d un objet de niveau sup rieur son habilitation Tres secret lt Secret Confidentiel Non classifi PRE criture NC SUPAERO 3 me ann e S curit informatique 2011 2012 142 Modele de Bell LaPadula e classification c ensemble totalement ordonn e compartiment C ensemble de cat gories e n cl C n a cl C n n e clxcl et CSC treillis e propri t simple VseS VocO readeM s o c o h s e propri t x Vse S V 0 0 e reade M s o writee M s o c o c o SUPAERO 3 me ann e S curit informatique 2011 2012 143 Inconv nients de BLP et Politique de Biba e Inconv nients e L information se d grade constamment par surclassification ou on introduit des proc dures de d classification hors mod le e Le mod le ne repr sente pas tous les flux d information et ne prend pas en compte les canaux cach s e Politique de Biba e duale de BLP pour assurer l int grit e droits modifier observer invoquer e inconv nient similaire le niveau d int grit de l information se d grade constamment SUP
51. AERO 3 me ann e S curit informatique 2011 2012 88 change de clefs sym triques e Exemple Alice g n re al atoirement une cl de session K sym trique et la chiffre avec la cl publique de Bob e Exemple Diffie Hellmann Alice g n re al atoirement n grand nombre premier tel que n 1 2 soit aussi premier et choisit g g n rateur d un sous groupe q de n typiquement g 2 g n 1 2 x cl secrete d Alice est tel que log n lt x lt q Alice calcule K4 g mod n et transmet n g K4 Bob 2 Bob g n re al atoirement y cl secr te de Bob calcule Kp g mod n et transmet Kp Alice 3 Alice et Bob peuvent alors calculer s par ment une cl de session K Kg mod n K mod n g mod n SUPAERO 3 me ann e S curit informatique 2011 2012 89 Inconv nients des chiffres clef publique e Calculs complexes e lents 1 Mb s e clef longue 1024 ou 2048 bits sauf avec des courbes elliptiques 160 bits e Probl mes sp cifiques e Integrite des r pertoires de cl s publiques e Dur e de vie des cl s e Revocation N cessit de partager des cl s priv es e Limitation des algorithmes ex chiffrer un petit M par RSA SUPAERO 3 me ann e S curit informatique 2011 2012 90 Fonctions de hachage empreinte e One way hash function H L empreinte H M est de taille fixe n ex 128 bits quelle que soit la longueur de M e La probabilit
52. AERO 3 me ann e S curit informatique 2011 2012 144 Politiques de contr le d interface Modele ensemble S de sujets ensemble I de commandes ou op rations ensemble d tats 2 du syst me o tat initial un ensemble Out dont les l ments sont les sorties visibles par un utilisateur out E x So Outdo Xx SxIo X trace suite ordonn e de commandes w traces S x 7 w 5 tat atteint en partant de c C vga Q1 Yo Up un Yi scjen Ui RUD Loup ead u highin u lowout u lowin u SUPAERO 3 me ann e S curit informatique 2011 2012 145 Non interf rence Goguen amp Meseguer 1982 e purge S x traces gt S purge u purge u hist command u PUrge u hist command u sih u z h u purge u hist sih u lt h u propri t V u 6 V wetraces V ceT out u w c u out u purge u W c u e assez proche de l intuition mais aussi tres forte SUPAERO 3 me ann e S curit informatique 2011 2012 146 Non interf rence amp co e Proche de l intuition vs BLP e interdit les canaux cach s e autorise des op rations sans interf rence e Limitations e interdit l utilisation de canaux cryptographiques m me parfaits e applicable seulement aux syst mes d terministes e Non d ductibilit Sutherland 1986 puis Non interf rence g n ralis e McCullough 1987 visent les syst mes non d terministes e La restriction McCullough 1990 vise pr s
53. CE smtp LL Public FTP Sen s Remote VPN Dx Allow encrypted access to the Ic ES M Met Behind Dyr Local_Intranet_ ZEE http Encrypt Log MSN m intranet server Net Behind Dyr Allow encrypted access to the rt Local Net m penete Shere caer bius Log pa a S Uei Any intranet server TCP Encrypt E mail traffic with Remot RIBERA Ez Email Server pop 3 Encrypt Log Policy Targets Any ypt 4 Net Behind Dyr ICE smtp E LL Local Net LI Emai Server TCE pop 3 D accept Log LE Local Gateway Any Allow E mail retrieval from Local EJ Any LI Emai Server ICE smtp D accept Log LE Local Gateway Any Nie conss Io Mal server LL Email Server Any ICE smtp accept Log LE Local_Gateway Any Allow outgoing Mail traffic CE web Server TCE http Allow access to public Web and IPM x An s iust acce Lo i Local Gatewa An E i LI Public FTP Serv ICP ftp e s Le y y servers it LL Local Net Any Internet Service o accept Log LE Local Gateway Any Allow selective outgoing traffic EJ LL Remote Net Any Internet Service o accept Log ow Remote Cluster Any Allow selective outgoing traffic i Disallow all other traffic and E Any Any Any Drop 1 Alert Policy Targets Any Zendan siert if encountered For Help press F1 local Read write NUM SUPAERO 3 me ann e S curit informatique 2011 2012 187 Il 1 irewa CheckPoint F Ex 4 50 128 147 Check Point SmartDashboard R16 V3 08
54. Cain v2 5 beta33 by mao SUPAERO 3 me ann e S curit informatique 2011 2012 fe UserName LanMan Password NT Password LanMan Hash NT Hash Dict Pos Administrateur 312172 Pass Sec 99F7AEFB8 06F50D5 2801899 81 E funwe Configuration Dialog Fr E test F326 132 0 Sniffer APR Arp Poison Routing pe Dictionary Options Brute Force Options Traceroute r Dictionary file C Program Files C m Variants for each word IV Reverse PASSWORD DROWSSAP IV Lowercase PASSWORD password Uppercase Password PASSWORD v Case permutations Pass pAss paSs pasS PaSs PASS A Flash IV Two numbers Hybrid Brute seems En Emus ue GS iR NT Hashes r i IV Resume previous session 19 8 BT E 5 1 gt 35 984 425 984 c john 16 r Loaded 1 pas xt DES 24 32 4K15 gt 10 pass S http lasecpc13 epfl ch ntcrack 202 Un bon mot de passe e Utiliser une phrase citation relativement longue et peut tre personnelle e S lectionner les lettres premi re deuxi me derni re eonpetelq tre ou ne pas tre telle est la question uupcrlepep tnhieotete SUPAERO 3 me ann e S curit informatique 2011 2012 203 Plan 2 2 e Protection utilis es dans la pratique e Protection r seau et firewall e Systemes d authentification Chiffrement de flux et VPN
55. DOC Macro Component Fichier Macro Nettoy 25 09 2003 09 00 03 TFTP1244 W32 Blaster Worm Fichier Supprim 25 09 2003 08 59 23 TFTP1192 W32 Blaster Worm Fichier Supprim 25 09 2003 08 58 36 TFTP784 W32 Blaster Worm Fichier Supprim 25 09 2003 08 58 30 TFTP384 W32 Blaster Worm Fichier Supprim 25 09 2003 08 57 45 TFTP828 W32 Blaster Worm Fichier Supprim 25 09 2003 08 57 18 TFTP988 W32 Blaster Worm Fichier Supprim 25 09 2003 08 56 33 TFTP1128 W32 Blaster Worm Fichier Supprim 25 09 2003 08 56 02 TFTP1252 W32 Blaster Worm Fichier Supprim 25 09 2003 08 55 52 TFTP452 W32 Blaster Worm Fichier Supprim 25 09 2003 08 55 43 TFTP400 W32 Blaster Worm Fichier Supprim 25 09 2003 08 55 27 TFTP692 W32 Blaster Worm Fichier Supprim 25 09 2003 08 54 37 TFTP628 W32 Blaster Worm Fichier Supprim 25 09 2003 08 53 53 TFTP732 W32 Blaster Worm Fichier Supprim 25 09 2003 08 52 55 TFTP1380 W32 Blaster Worm Fichier Supprim 25 09 2003 08 52 44 TFTP396 W32 Blaster Worm Fichier Supprim 25 09 2003 08 52 42 TFTP1272 W32 Blaster Worm Fichier Supprim j j x X j j j x Es Es Es Es Es Es Es Es x x P SUPAERO 3 me ann e S curit informatique 2011 2012 267 Serveur Web e Serveur HTTP et serveur HTTPS e S lection des utilisateurs e Plages d adresses e Certificats e Selection des destinations e Chemin d acc s Type d extension e Ma trise des extensions dynamiques e Contr le du proc
56. Forme directe d une attaque g n rale codebook based Le choix du dictionnaire est important pr noms acronymes SUPAERO 3 me ann e S curit informatique 2011 2012 201 4 C TEMP passwd9 Ic LOphtCrack LEID E File Edit Tools Window Help Words Done 26872 26872 100 Brute Force ACXEBHC 12 245 done 14h45m remaining Des outils LanMan Hash NT Hash a P2233 16 09FD72EC9D0E8509118645FQAE7FAD79 0000000000000000 P2233 17 764BB37A413E8F5A7C3113B4A1A5E3A0 D23F37350872C540 sisess 22272720 BCSDEFAESSFC3F0E613E9293942509F0 A567D54239B238 F sisess 79279778 718538BD5372CBF37584248B8D2CSFS9E 7014304530672098 sisess8 22777720 7T32EB4F2073588FEEB8AA26A841AB6FA 324E 300CFE9F 99771 sisess9 PIMALOBY Pim loBy 8532F52058554822B734E26100D89D4C 57137012FA4BOFBC icvilla x ACA22DB7FA34TF DAAD38435B51404EE E14B8103859F5954 iBi xi If File Configure Tools elp D amp e6 v 9o e9st5ummmuaogoon c dj Protected Storage L LSA Secrets 9 Network EJ Sniffer E4 Cracker e Traceroute i id LM amp NT Hashes id NTLMy2 Hashes PWL files MA Cisco 105 MD5 Hashes MI Cisco PIX MDS Hashes Qp APOP MDS Hashes amp CRAM MDS Hashes p OSPF MDS Hashes P RIPv2 MDS5 Hashes Pp VRRP HMAC Hashes VNC 3DES md MD2 Hashes md MD4 Hashes md MDS Hashes SHA SHA 1 Hashes RIPEMD 160 Hashes 3 KerbS PreAuth Hashes MSN Hashes amp Radius Key Hashes
57. IMAP password sent in clear Microsoft s SQL TCP IP listener is running SM accounti PE SMB Registry is the remote host a PDC BDC SMB Registry value of SFCDisable SMB password sent in clear Es Unchecked Buffer in Decompression Functions Q329046 WM TIMER Message Handler Privilege Elevation G328310 DANONE Telnet Client NTLM Authentication Vulnerability SNMP community sent in clear Onenina Group Policy Files fQ3160691 Start the scan Load report Quit Start the scan Load report Quit SUPAERO 3 me ann e S curit informatique 2011 2012 241 Nessus 3 E Nessus Setup B Nessus Setup Nessusd host Plugins Prefs Scan options Target selection User KB Credits Nessusd host Plugins Prefs Target selection User KB Credits Target selection rScan options Target s 10 163 156 0 10 163 1 56 254 Read file Port range i71 500 I Perform a DNS zone transfer i Consider unscanned ports as closed gigas inie cosain Number of hosts to test at the same time fi 0 _j Save empty sessions Number of checks to perform at the same time 10 previous SEPSIERST Path to the CGls cgi bin scripts i Do a reverse lookup on the IP before testing it l Optimize the test J Safe checks _1 Designate hosts by their MAC address J Detached scan Send results ta this email address gj Continuous scan Delay between
58. MENT HAS BEE AFTER US MOLESTING POLICI EZING OUR BANK ACCOUNTS AND EVEN MY ELDEST SON RIGHT OW IS IN DETENTION MY FAMILY ACCOUNT I TZERLAND WORTH US 22 000 000 00 AND 120 000 000 00 DUTCH MARK HAS BEEN CONFISCATED BY THE GOVERNMENT H ERNMENT IS INTERROGATING HI MY SON OHAMMED ABOUT OUR ASSET AND SOME VITAL DOCUMENTS IT WAS I H RSE OF HESE AFTER THE BURIAL RITE AND CUSTOMS HAT OUR LAWYER SAW YOUR AME AND ADDRESS FRO H LICATION OF HE NIGERIAN BUSINESS PROMOTION AGENCY THIS IS WHY I AM USING THIS OPPORTUNITY TO SOLICIT FO ERATION AND ASSISTANCE TO HELP ME AS A VERY SINCERE RESPONSIBLE PERSON I HAVE ALL THE TRUST IN YO I KNOW THAT YOU WILL NOT SIT ON THIS MONEY Q I Ein OOZZE E D Q o J ti GWE rPKEVOAQNY LP OGWG lt HOO KONDO Hy ud Zoc I HAVE SUCCEEDED IN CARRYING HE FOUR METAL BOXES OUT OF THE COUNTRY WITH THE AID OF SOME TOP GOVERNMENT OFFICIAL WHO STILL SHOW SYMPATHY TO MY FAMILY TO A NEIGHBOURING COUNTRY ACCRA GHANA TO BE PRECISE I PRAY YOU WOULD HELP US IN GETTING THIS MONEY RANSFERRED OVER TO YOUR COUNTRY EACH OF THESE ETAL BOXES C
59. ONTAINS US 5 000 000 00 FIVE MILLION UNITED STATES DOLLARS ONLY AND TOGETHER THESE FOUR BOXES CONTAI US20 000 000 00 TWENTY MILLION UNITED STATESDOLLARS ONLY THIS IS ACTUALLY WHAT WE HAVE MOVED TO GHANA THEREFORE I NEED AN URGENT HELP FRO YOU AS A MAN OF GOD TO HELP GET HIS MONEY IN ACCRA GHANA TO YOUR COUNTRY THIS MONEY AFTER GETTING TO YOUR COUNTRY WOULD BE SHARED ACCORDING TO THE PERCENTAGE AGREED BY BOTH OF US PLEASE NOTE THA HIS MATTER IS STRICTLY CONFIDENTIAL AS THE GOVERNMENT WHICH MY LATE HUSBAND WAS PART OF IS STILL UNDER SURVAILLANCE TO PROBE US YOU CAN CONTAC ME HROUGH MY FAMILY LAWYER AS INDICATED ABOVE AND ALSO TO LIAISE WITH HIM TOWARDS THE EFFECTIVE COMPLETION OF THIS TRANSACTION ON TEL FAX NO xxx x xxxxxxx AS HE HAS THE MANDATE OF THE FAMILY TO HANDLE THIS TRANSACTION THANKS AND BEST REGARD RS MARIAM ABACHA Parfois recel et blanchiment d argent http www joewein de sw spam htm SUPAERO 3 me ann e S
60. P domain udp 501351012 R16 AD TSPWOO4 15 15 R16 V3 08 R 0002 DNS Client Errors 24 28Jan2013 23 59 02 e TFPSOO1 M domain udp 501351012 R16 AD TSPWOO4 15 15 R16 V308 R 0002 DNS All Endpoint Security Events 25 28Jan2013 23 59 02 I microsoft ds 501351012 R16 AD TSPWO04 19 19 R16 V3 08 R 0006 AD Compliance 26 28Jan2013 23 59 02 B E W domain udp N18 DNS AKPY230 R16 Citrix TSPTSE23 235 235 R16 V3 08 R 9099 DFT Fa Custom 2 28Jan2013 23 59 02 BH TFPS001 E we ntp udp 50 135 244 R16 AD TSTWINOO1 18 18 R16 V3 08 R 0005 NTP 28 28 an2013 23 59 02 I TFPS001 T idap 501352411 R16 AD TSPWO04 19 19 R16 V3 08 R 0006 AD 29 28Jan2013 23 59 02 e TFPS001 E We domain udp N18 DNS AKPY230 R16 CFT TSPWINO 235 235 R16 V3 08 R 9999 DFT 30 28 an2013 23 59 02 e TFPS001 we sip 50 128 159 220 50 146 100 104 182 182 R16_V3 08 31 28Jan2013 23 59 02 e TFPS001 12 RAw o100 R16 CRF WINM9 50 135 200 121 235 235 R16 V3 08 R 9099 DFT 32 28Jan2013 23 59 03 e TFPS001 LE idap 50135313 R16 AD TSPWO04 19 19 R16 V308 R 0006 AD 3 28Jan2013 23 59 03 e TFPSOO1 LE idap 501351114 R16 AD TSPWO04 19 19 R16 V3 08 R 0006 AD 34 28 an2013 23 59 03 S TFPSOO1 T idap 50 135 320 R16 AD TSPWO04 19 19 R16 V3 08 R 0006 AD 35 28Jan2013 23 59 03 e TFPSOO1 we HTTP 8080 R16 Proxy TSPK001 50 144 100 41 68 68 R16 V308 R 0042 SURF 28Jan2013 23 59 03 TFPSOO1 12 idap 50135810 R16 AD TSPWO04 19 19
61. UPAERO 3 me ann e S curit informatique 2011 2012 80 BP AAA ad 99 e ee Bc E qe I4 Electronic Frontier Foundation DES Cracker Deep Crack 5 jours s iw ts at z gu s E i Emm ninii gi pm LU 4 SUPAERO 3 me ann e S curit informatique 2011 2012 81 Modes de fonctionnement des chiffres sym triques M My Mo M C C Co Cp e ECB Electronic Codebook e Ci Milk e Mi Cilk e CBC Cipher Block Chaining e Ci Mi Ci jk e Mi Ci 4 e Cilk e IV sorte de Mo e Stream ciphers e CFB Cipher Feedback Mode e OFB Output Feedback Mode SUPAERO 3 me ann e S curit informatique 2011 2012 82 Avantages des chiffres sym triques e Rapides e 1 Gb s par hard e 100 Mb s par soft Clefs courtes e typiquement 80 bits pour r sister aux attaques brutales aujourd hui e Pratiques pour chiffrer des fichiers personnels pas de clef partager SUPAERO 3 me ann e S curit informatique 2011 2012 83 Probl mes des chiffres sym triques En communication la clef secr te est partag e e l metteur et le r cepteur doivent se faire confiance et garder soigneusement la clef secr te Comment distribuer ou renouveler la cl e Chiffrer la nouvelle cl de session avec l ancienne e Chiffrer la cl de session avec une cl sp cifique de chaque mat riel site de confiance r pertoire e Utilis
62. UT ethl SRC 81 56 84 23 DST 212 27 38 253 LEN 52 TOS 0x00 PREC 0x00 TTL 64 ID 22929 DF PROTO TCP SPT 1082 DPT 554 SEQ 2534727009 ACK 0 WINDOW 5840 RES 0x00 SYN URGP 0 OPT 020405B40101040201030300 On autorise TCP 554 sortant DROPPED IN ethl OUT MAC 00 50 bf 29 e7 88 00 07 ch 05 ec fc 08 00 SRC 212 27 38 253 DST 81 56 84 23 LEN 1356 TOS 0x00 PREC 0xEO TTL 57 ID 18727 DF PROTO UDP SPT 32803 DPT 1044 LEN 1336 DROPPED IN ethl OUT MAC 00 50 bf 29 e7 88 00 07 ch 05 ec fc 08 00 SRC 212 27 38 253 DST 81 56 84 23 LEN 1356 TOS 0x00 PREC 0xEO TTL 57 ID 18982 DF PROTO UDP SPT 32803 DPT 1044 LEN 1336 e La liste de diffusion arrive e On autorise UDP entrant gt 1025 hurricane dmesg grep 212 DROPPED IN OUT ethl SRC 81 56 84 23 DST 212 27 38 253 LEN 80 TOS 0x00 PREC 0x00 TTL 64 ID 6 DF PROTO UDP SPT 1065 DPT 32769 LEN 60 DROPPED IN OUT ethl SRC 81 56 84 23 DST 212 27 38 253 LEN 44 TOS 0x00 PREC 0x00 TTL 64 ID 7 DF PROTO UDP SPT 1065 DPT 32769 LEN 24 e liens une mission sur les dinosaures SUPAERO 3 me ann e S curit informatique 2011 2012 194 Les chaines d filent toutes seules hurricane dmesg grep 212 DROPPED IN OUT ethi SRC 81 56 84 23 DST 212 27 38 253 LEN 80 TOS 0x00 PREC 0x00 TTL 64 ID 6 DF PROTO UDP SPT 1065 DPT 32769 LEN 60 DROPPED IN OUT ethl SRC 81 56 84 23 DST 212 27 38 253 LEN 44 TOS 0x00 PREC 0x00 TTL 64 ID 7 DF PROTO UDP SPT 1065 DPT 32769 LEN 24 e On autorise l UDP sortant vers
63. WEB IIS CodeRed v2 root exe access 1 1 Signature alert tcp EXTERNAL_NET any gt HTTP_SERVERS HTTP PORTS msg WEB IIS CodeRed v2 root exe access flow to server established uricontent root exe nocase classtype web application attack 07 20 1 reference url www cert org advisories CA 2001 19 html sid 1256 rev 7 1 1002 2 WEB IIS cmd exe access 07 20 13 59 33 969027 64 165 187 170 4582 gt 193 54 194 111 80 1 1288 2 WEB FRONTPAGE vti bin access 07 20 13 59 34 434017 64 165 187 170 4587 gt 193 54 194 111 80 1 1002 2 WEB IIS cmd exe access 07 20 13 59 34 817953 64 165 187 170 4593 gt 193 54 194 111 80 1 100 on WEB IIS cmd exe access M H alert tcp EXTERNAL_NET any gt HTTP SERVERS HTTP PORTS msg WEB IIS cmd exe access 07 20 1 flow to server established content cmd exe nocase classtype web application attack sid 1002 rewv 5 SUPAERO 3 me ann e S curit informatique 2011 2012 228 Granularit trop fine Wembple alertes g n r es par Dragon 1 12 6 2 WEB IIS CodeRed v2 root exe access L 07 20 13 2 291193 64 165 187 170 4515 gt 1954 194 111 80 1 1002 2 B IIS cmd exe access 07 20 13 59 33 03 882 64 165 187 170 453 193 54 194 111 80 1121002 07204854 Attaque Nimada de 64 165 187 170 1 1002 11288 vers 193 54 194 111 07 20 13 59 34 434017 647165 187 1 Q 4587 gt 193 54
64. alyses programm es Fichier Configurer Historiques Symantec AntiVirus Corporal Symantec Antivirus prot g informatiques S lectionne effectuer une op ration Informations g n rales Serveur parent T Groupe Fe E E Quarantaine D l ments Afficher Tous les virus Nom du virus Cibles Informations SillyC 190 Programmes Imprimer SillyC 190 B Programmes 5 SillyC 190 B 2 Programmes Aide SillyC 192 Programmes SillyC 192 b Programmes Rechercher SillyC 193 B Programmes SillyC 193 C Programmes Giver SillyC 195 b Programmes SillyC 195 C Programmes SilyC 197 Programmes SilyC 197 c Programmes SillyC 197 d Programmes SillyC 199 Programmes SillyC 200 Programmes x 65530 virus affich s Date de d finitions 12 11 2003 Obtention de l Aide Versions diy programme E B ni xi Symantec AntiVirus Corporate Edition Fichier Edition Afficher Analyser Configurer Historiques RS Afficher a Statistiques d analyse en temps r el du syst me de fichiers Utilisez cette t che pour g rer les statistiques d analyse en temps r el Pj Analyses programm es Utilisez cette t che pour afficher les analyses programm es pour cet ordinateur 8 00 3374 41 0 15 2 11 2003 rev 13
65. anced Networking Blade E URL Filtering Blade 12 28 an2013 23 59 00 S TFPSOO1 Z MP domain udp 50 135 101 18 R16 AD TSPW004 15 15 R16_V3 08 R 0002 DNS dB Anti Spam amp Email Security Bo 13 28Jan2013 23 59 00 e TFPSOO1 I idap 5013510118 R16 AD TSPWO04 19 19 R16 V308 R 0006 AD B 14 28 an2013 23 59 00 e TFPSOO1 1 idap 50 135 24 21 R16 AD TSPW004 19 19 R16_V3 08 R 0006 AD Sh UTM Edge 15 28Jan2013 23 59 01 e TFPS001 LE ntp udp 501351311 R16 AD TVPWO12 18 18 R16 V3 08 R 0005 NTP Firewall Blade 16 Z28lan2013 23 59 01 BEF TFPSOOL domain udp RI6 AD TSPWOO4 NIS ADR QASPW 14 14 R16 V308 R 0001 DNS oe 17 28Jan2013 23 59 01 e TFPS001 LE domain udp R16 Proxy TSPKOO1 R16 AD TVPWO12 15 15 R16 V308 R 0002 DNS EI Endpoint Security Blades 18 28Jan2013 23 59 01 EE TFPS001 1 domain udp N18 ADR QASPW R16 CFT TSPWINO 235 235 R16_V3 08 R 9999 DFT Firewall Events 19 28Jan2013 23 59 01 TFPS001 I Idap 50 135 14 30 R16 AD TSPW004 19 19 R16_V3 08 R 0006 AD Blocked Programs 20 28Jan2013 23 59 01 e TFPS001 1 HTTP 8080 R16 Proxy TSPKOO1 50 144 100 41 68 68 R16 V3 08 R 0042 SURF Anti spyware A 28Jan2013 23 59 02 S TFPS001 LE domain udp 50135122 R16 AD TSPWOO4 15 15 R16 V308 R 0002 DNS SmartDefense 2 28 an2013 23 59 02 e TFPSOO1 E I idap 50135122 R16 AD TSPWO04 19 19 R16 V3 08 R 0006 AD f Antivirus 23 28 an2013 23 59 02 S TFPSOO1 E L
66. ateur et un comptable e disponibilit si la carte et le PIN sont valides le distributeur de billet doit fournir l argent dans les 30 secondes e R gles de s curit exemples e un fichier ne peut tre lu que par les utilisateurs autoris s par le propri taire du fichier un message de type ch que de de 1000 n est valide que s il est sign par P1 et T2 et que les signatures sont valides l insertion d une carte lance automatiquement l action SUPAERO 3 me ann e S curit informatique 2011 2012 150 Coh rence d une politique e La politique est coh rente si partant d un tat quelconque ou les objectifs sont satisfaits il n est pas possible d atteindre en respectant les r gles un tat o ils ne sont plus satisfaits e Int r ts d un mod le formel e D crire de mani re pr cise les objectifs et les r gles Prouver des propri t s sur la politique coh rence compl tude et sur son impl mentation par le syst me informatique SUPAERO 3 me ann e S curit informatique 2011 2012 Logique d ontique une logique modale P O F 0 9 151 Politique protection et contr le d acc s Les r gles doivent tre mises en oeuvre par des m canismes mat riels logiciels e Facile imaginer pour les r gles du type il est permis de ou il est interdit de m canismes de protection instructions privil gi es contr le d acc s
67. aux e Cryptographie e Politiques de s curit formelles e Crit res d valuation normalis s SUPAERO 3 me ann e S curit informatique 2011 2012 43 Environnement de la SSI e Internes ou associ s e Service tudes e Service exploitation e Sous traitants Organismes nationaux Tutelles e CE DP e Service juridique e Externes et ind pendants Justice ANSSI www ssi gouv fr CNIL www cnil fr CERT CC www cert org US CERT www us cert gov CERTA www certa ssi gouv fr CESTI OCLCTIC http www interieur gouv fr rubriques c c3 police nationale c3312 oclctic SUPAERO 3 me ann e S curit informatique 2011 2012 44 Organisation dans une entreprise e Un responsable RSSI e Comit de s curit informatique e Groupes de travail Mise en place de l organisation SSI Sensibilisation des utilisateurs Audit et gestion des risques Autorisation et actions de s curit op rationnelle ourveillance et contr le Veille technologique projet e Gestion de crise SUPAERO 3 me ann e S curit informatique 2011 2012 45 Fonctions du RSSI Cigref 2001 D finition de la politique de s curit Analyse de risques Sensibilisation et formation aux enjeux de la s curit tude des moyens et pr conisations e Audit et contr le e Veille technologique et prospective R les de conseil d assistance d information de formation et d alerte Si possible ind pendant de la dire
68. bps YPN Status Traffic Status IKE Tunnels 0 IPSec Tunnels 0 Connections Usage System Resources Status CPU CPU Usage percent 0 B TCP 0 BUDPF 0 Total 0 15 50 08 M Menus Usage MB Outside Interface Traffic Usage Kbps Memory MB Input Kbps 0 E Output Kbps 16 Used 15 681 Free 16 319 Total 32 lt admin gt NA 15 A 15 50 08 UTC Wed Apr 02 2003 SUPAERO 3 me ann e S curit informatique 2011 2012 181 PIX ISCO C Exemple Cisco PIX Device Manager 3 0 10 2 2 252 Beta Release x Bl xl File Rules Search Options Tools Wizards Help Home A Configuration Cisco SYSTEMS Monitoring EH Refresh Save Help hax XIxH E xgs Access Rules Translation Rules VPN Hosts Networks System Properties Select Interface inside zl Hosts Networks Hosts Networks Groups Add edit or delete Hosts Networks for this interface Add edit or delete Hosts Networks Groups for this interface EG inside any 98 10 2 5 35 Za 10 20 0 0 B yoko 10 20 0 5 Ba inside 10 20 0 252 Add Add Edit Delete Delete i EE Apply Reset lt admin gt NA 15 B 15 55 48 UTC Wed Apr 02 2003 SUPAERO 3 me ann e S curit informatique 2011 2012 182 Cisco PIX Device Manager 3 0 10 2 2 252 Beta Release File Rules Search Options Tools Wizards Help PIX 3 3 TAE i2 Home uj Configuration Monitoring Refresh e BBB FTI XixG 2
69. cl ns rzo 192 168 66 1 10 59 1 3 127 0 0 1 We also allow the admin station to do queries here directly acl admin 192 168 65 1 allow query any or slaves ns allow recursion ns rzo admin SUPAERO 3 me ann e S curit informatique 2011 2012 287 BIND 9 2 e Fonctionner en mode relais pur options Allowed forwarders only the DMZ nameservers forwarders 192 168 69 1 192 168 66 1 h We always forward forward only SUPAERO 3 me ann e S curit informatique 2011 2012 288 PGP et la confiance e Un protocole OpenPGP RFC 2440 Deux principales impl mentations PGP et GnuPG e Le conteneur contient un bi clef un ensemble de signatures et des informations administratives e Signer une clef e Cela signifie que vous avez pu v rifier directement l identit du d tenteur de la clef publique par exemple l aide d une empreinte de cette clef communiqu e en personne et d une carte d identit e Cela ne signifie rien d autre Pour signer ou chiffrer des fichiers et des messages rust permet de limiter la transitivit et indiquer ceux qui ne d finissent pas signer une clef comme vous SUPAERO 3 me ann e S curit informatique 2011 2012 289 PKI Autorit s de certification Protection des flux SCP SSL Certification Authentification mutuelle SUPAERO 3 me ann e S curit informatique 201
70. cours Set fee arce B th tate te Mee a backup c Administration Collecte des logs Gestion des r gles Ex DMZ 2 IHM i priv e int rieur R seau local Poste de travail Poste de travail IHM Administrateur Editeur Web SGBD Donn es internes SUPAERO 3 me ann e S curit informatique 2011 2012 175 Haute disponibilit oad balancing Internet ext rieur seabed eee hie ee tit Switch L4 X eee DMZ 1 Proxy Serveur Web bli service P helais HTTP Frontal PU ique Relais DNS yall E 3 Administration SGBD Web Collecte des logs m EL E BD partielle Gestion des r gles iu id S IHM admin int rieur R seau local Poste de travail IHM Administrateur Editeur Web SGBD Donn es internes SUPAERO 3 me ann e S curit informatique 2011 2012 176 Diversification et haute disponibilit avec quilibrage de charge pour un grand nombre de DMZ mises en oeuvre via des VLAN 802 1q C est possible Mais est ce souhaitable SUPAERO 3 me ann e S curit informatique 2011 2012 177 Translation d adresses NAT Multiplexage N IP gt P IP NAT Multiplexage N IP TCP gt P IP TCP PAT Association N IP N IP static NAT Internet ext rieur int rieur R seau local Poste de travail Poste de travail Serveur interne Administrateur Utilisateur SUPAERO 3 me ann e S curit informatique 2011 2012 178 Translat
71. ction informatique SUPAERO 3 me ann e S curit informatique 2011 2012 46 Diff rents documents e Analyse des risques e Politique de s curit PSSI e Sp cifications de s curit e Guides de configuration ou de recette s curit e Synthese Suivi alertes filtrage violations e Tableau de bord ou audit contr le interne SUPAERO 3 me ann e S curit informatique 2011 2012 47 Analyse des risques Identifier les biens et leur valeur 2 Attribuer des priorit s aux biens 3 D terminer la vuln rabilit aux menaces et les dommages potentiels 4 Attribuer des priorit s l impact des menaces 5 S lectionner des mesures de protections rentables SUPAERO 3 me ann e S curit informatique 2011 2012 48 Le point de vue d un informaticien incomp tent en mati re de droit sur la L gislation e La protection des informations nominatives est forte et obligatoire en France CNIL e L utilisation du chiffrement est sujette contr le strict en France DCSSI Toutes les l gislations et conventions s appliquent au systeme d information Lois d crets ordonnances circulaires e Secret m dical secret bancaire secret professionnel Droit du travail convention collectives r glements int rieurs e Droit commercial contrats e La signature num rique est en attente de jurisprudence La preuve num rique galement Si apr s MD5 SHA 1 tombe aussi
72. curit informatique 2011 2012 24 Exemple Cross Site Scripting http www cert org advisories CA 2000 02 html Un pirate cr e un script cach dans un message ex HTML tags SCRIPT et SCRIPT e Il l enregistre sur un serveur innocent ex blog forum e La victime lit le message avec un browser configur pour permettre l ex cution de scripts La victime peut aussi s auto scripter ex par phishing A HREF http example com comment cgi mycomment lt SCRIPT gt malicious Code SCR PT Click here lt A gt SUPAERO 3 me ann e S curit informatique 2011 2012 25 Falsification d empreintes digitales Objectif tromper un lecteur d empreinte de PC e Mat riel e Verre propre e Vapeur de Colle cyanocrylate e Appareil photo num rique e PC imprimante laser transparent e Colle bois http www ccc de biometrie fingerabdruck_kopieren xml language en e Et c est la une m thode sophistiqu e par opposition a la pate a modeler la bu e SUPAERO 3 me ann e S curit informatique 2011 2012 26 Pr sentation et certificats Certificate Viewer www paypal com 7 E Could not verify this certificate for unknown reasons This certificate has been verified for the following uses Is i To SSL Server Certificate Common Name CN www paypal com Issued To nt cs Common Name CN mumgaralien Serial Numt 48 F6 91 CD ras 0 PayPal Inc
73. curity problems are simple bugs e here is no security plugin e No ROI for security e But shorter test cycles Less bugs so less time spent fixing them e And usually better efficiency SUPAERO 3 me ann e S curit informatique 2011 2012 127 Practical recommendations e Most code should be simple and boring Easier to audit e Already formatted Clever code is almost always wrong e Fix a bug everywhere Even automate for checking it Check return codes e Design your APIs right Understand semantics e File descriptors e Inheritance over fork Access rights only checked on open e Signal handlers are complex e Simple rule only set volatile atomic flags in them SUPAERO 3 me ann e S curit informatique 2011 2012 128 Practical recommendations e Most security issues come from abstraction layers violation audit these cases e Hidden variables e Concurrency Overflows e Flow control on error All user input must be checked Positive checks e Everything not static is like user input Be careful with optimizations e here is no secure language or environment e Java does not suffer from simple buffer overflows but has integer overflows logic errors etc SUPAERO 3 me ann e S curit informatique 2011 2012 129 Exemples de patch bug e Origine OpenBSD 2006 2007 e Correction du serveur httpd patch e Absence de nettoyage d un header HTTP Expect Possibilit de XSS e CVE 200
74. e SUPAERO 3 me ann e S curit informatique 2011 2012 No strlcat on Linux 115 strncat is difficult to use strncpy path homedir sizeof path 1 path sizeof path 1 O strncat path sizeof path strlen path 1 strncat path foorc sizeof path strlen path 1 len strlen path Note on Linux g_strlcpy and g strlcat exist in glib 2 0 Note on BSD see next slide Yeah Additional note C11 has removed gets was deprecated in C99 replaced by gets s SUPAERO 3 me ann e S curit informatique 2011 2012 116 stri look better Strlcpy path homedir sizeof path stricat path sizeof path stricat path foorc sizeof path len strlen path e May truncate but no overflow e Add checks for non testing code stricpy path homedir sizeof path if len gt sizeof path return ENAMETOOLONG stricat path sizeof path if len gt sizeof path return ENAMETOOLONG stricat path foorc sizeof path suPAER IER am Slaepf path ketm E NAMETOOLONG 117 lan eaetrlaan nath C11 Annex K ISO IEC 9899 2011 e C11 Ann K Bounds checking interfaces defines alternative versions of standard string handling functions from Microsoft e strcpy_s strcat s strncpy_s and strncat s e je errno t strcpy s char restrict s1 rsize t simax const char restrict s2 e See a
75. e Netfilter e PFilter Linux Solaris e OpenBSD pf e FreeBSD of SUPAERO 3 me ann e S curit informatique 2011 2012 163 Relais proxy e Associ des protocoles particuliers e HTTP e FTP Telnet e X11 e SOCKS e H 323 amp co e Principaux int r ts e Prendre en charge des protocoles compliqu s comme FTP actif passif e Ajouter une autre authentification si possible transparente e Contr ler la validit protocolaire e Permettre un filtrage des commandes e Transparent proxying couplage noyau et proxy SUPAERO 3 me ann e S curit informatique 2011 2012 164 Aspects architecturaux e Principes de fonctionnement e niveaux de s curit et zones DMZ e Administration e Relais Diversification e Environnement r els Cheswick and S M Bellovin Firewalls and Internet security AddisonWesley 1994 SUPAERO 3 me ann e S curit informatique 2011 2012 165 Diode Internet ext rieur int rieur Poste de travail Serveur interne Administrateur SUPAERO 3 me ann e S curit informatique 2011 2012 166 Poste de travail Utilisateur R seau local DMZ Version historique Internet ext rieur DMZ int rieur Poste de travail Serveur interne Administrateur SUPAERO 3 me ann e S curit informatique 2011 2012 167 Poste de travail Utilisateur R seau local DMZ Situation actuelle Internet ext ri
76. e 1 16 ms freeplayer freebox fr ping statistics 1 packets transmitted 1 received 0 packet loss time Oms rtt min avg max mdev 1 168 1 168 1 168 0 000 ms ortalo hurricane tethereal i ethl host 212 27 38 253 rien SUPAERO 3 me ann e S curit informatique 2011 2012 192 e Determiner toutes les sources et destinations impliqu es e IP et 212 27 38 253 hmm e Approche exp rimentale rep rer les checs les uns apr s les autres tout en contr lant le trafic r seau DROPPED IN OUT ethl1 SRCz81 56 84 23 DST 212 27 38 253 LEN 52 TOS 0x00 PREC 0x00 TTL 64 ID 48783 DF PROTO TCP SPT 1047 DPT 80 SEQ 1610765695 ACK 0 WINDOW 5840 RES 0x00 SYN URGP 0 OPT 020405B40101040201030300 DROPPED IN OUT ethl SRC 81 56 84 23 DST 212 27 38 253 LEN 52 TOS 0x00 PREC 0x00 TTL 64 ID 48784 DF PROTO TCP SPT 1047 DPT 80 SEQ 1610765695 ACK 0 WINDOW 5840 RES 0x00 SYN URGP 0 OPT 020405B40101040201030300 DROPPED IN OUT ethl SRC 81 56 84 23 DST 212 27 38 253 LEN 52 TOS 0x00 PREC 0x00 TTL 64 ID 1506 DF PROTO TCP SPT 1048 DPT 80 SEQ 1611201085 ACK 0 WINDOW 5840 RES 0x00 SYN URGP 0 OPT 020405B40101040201030300 SUPAERO 3 me ann e S curit informatique 2011 2012 193 e On r autorise HTTP DROPPED IN OUT ethl SRC 81 56 84 23 DST 212 27 38 253 LEN 52 TOS 0x00 PREC 0x00 TTL 64 ID 22928 DF PROTO TCP SPT 1082 DPT 554 SEQ 2534727009 ACK 0 WINDOW 5840 RES 0x00 SYN URGP 0 OPT 020405B40101040201030300 DROPPED IN O
77. e Digressions R Z OpenBSD 1984 e Surveiller analyser et g rer e D tection d intrusion e Audit tests d intrusion e Administration exploitation et suivi de la s curit Observation et surveillance e Protection des applications usuelles SUPAERO 3 me ann e S curit informatique 2011 2012 204 VPN e IPSEC IKE e Site site gateway lt gateway hosts lt hosts e Client a site nomade host lt gateway e SSH e SSL OpenVPN e Clients VPN personnels authentification de l utilisateur e Exemples de solutions commerciales SUPAERO 3 me ann e S curit informatique 2011 2012 205 CheckPoint VPN 1 Ex SUPAERO 3 me ann e S curit informatique 2011 2012 206 CheckPoint VPN 1 Ex y local Check Point Policy Editor VPN Manager File Edit View Manage Rules Policy Topology Search Window Help H9 X amp 9 amp amp AE Eg xx E E6 Setup VPN ell Setup Extranet 5 Certificates sm Se E l a ES t al Al No AA ops me Wiz D S S E la E amp faa GoS Standard FC Desktop Security Standard web Access VPN Communities EH Security Standard HEJ Address Translation Standard VPN Manager A Intranet pm p d Pe Haya mara A Comm with_Contractor PS ae Pars Pe Dallas_intemal_servers Comm with Contractor Dallas intemal servers M
78. e M canismes de protection g n raux e Cryptographie e Politiques de s curit formelles e Crit res d valuation normalis s SUPAERO 3 me ann e S curit informatique 2011 2012 Propri t s de base Confidentialit e Propri t d une information de ne pas tre r v l e des utilisateurs non autoris s la conna tre e emp cher les utilisateurs de lire une information confidentielle sauf s ils y sont autoris s e emp cher les utilisateurs autoris s lire une information confidentielle de la divulguer des utilisateurs non autoris s SUPAERO 3 me ann e S curit informatique 2011 2012 Propri t s de base Int grit e Propri t d une information d tre exacte e emp cher une modification cr ation ou destruction indue de l information incorrecte ou par des utilisateurs non autoris s e faire en sorte qu aucun utilisateur ne puisse emp cher une modification l gitime SUPAERO 3 me ann e S curit informatique 2011 2012 10 Propri t s de base Disponibilit e Propri t d une information d tre accessible quand on en a besoin e fournir l acc s l information pour que les utilisateurs autoris s puissent la lire ou la modifier e faire en sorte qu aucun utilisateur ne puisse emp cher les utilisateurs autoris s d acc der l information SUPAERO 3 me ann e S curit informatique 2011 2012 11 L information e Donn es Saisies g n r e
79. e Virus e Repudiation e Ver e Inference e Deni de service e D guisement e et attaques complexes SUPAERO 3 me ann e S curit informatique 2011 2012 20 B n fices envisageables e Gains financiers Utilisation de num ros de cartes de cr dit Chantage extorsion de fonds espionnage industriel Connexion des lignes t l phoniques payantes Acc s des comptes banques paypal FAI op rateurs t l phoniques hotspots retraites Vente d adresses e mails ex 28 000 pour 92 M AOL Services payants ex porno films pirat s spammers click fraud relais de publicit ex 60 K avec 0 4 Mpc Location de botnets 2004 IRC botz4sale gt Correction des failles pour prot ger ses revenus SUPAERO 3 me ann e S curit informatique 2011 2012 21 Exemple de phishing Nous poursuivons le perfectionnement de notre site web Comme vous le savez certainement Banque AGF vous offre un m canisme id al pour une gestion optimis e de votre argent au quotidien Perfectionnement de Banque AGF en ligne Cher Client Chaque jour nous travaillons pour am liorer notre syst me et nous voulons vous communiquer les r sultats de nos efforts e Maintenant lorsque le solde de votre compte d passe 750 l exc dent est automatiquement transf r sur votre Compte sur Livret pour vous rapporter des int r ts en restant disponible tout moment Si vous n avez pas de con
80. e chunk ReadTag file amp chunk switch chunk tag case seq case LIST case rate case anih read chunk size bytes of data into the header struct ReadChunk file amp chunk amp header SUPAERO 3 me ann e S curit informatique 2011 2012 133 Curseur ANIm sous Windows 3 3 CVE 2007 0038 CVE 2005 0416 bis e LoadCursorlconFromFileMap appelle LoadAnilcon LoadCursorlconFromFileMap ne valide que le premier fragment anih e Un fichier ANI 00000000 52 49 46 46 90 00 00 00 41 43 4F 4E 61 6E 69 68 RIFF ACONanih 00000010 24 00 00 00 24 00 00 00 02 00 00 00 00 00 00 00 SR 9 apace ds Sh ahs ea 00000020 00 00 00 00 00 00 00 00 00 00 00 00 QUOC MOT gug Sree SB MUR ENS des 00000030 00 00 00 00 01 00 00 00 61 6E 69 68 58 00 00100 nigedrsss anihX 00000040 41 41 41 4 41 41 41 4 41 41 41 4 41 41 41 4 AAAAAAAAAAAAAAAA 00000050 41 41 41 4 41 41 41 4 41 41 4 41 41 41 41 4 AAAAAAAAAAAAAAAA 00000060 00 41 41 4 41 41 41 4 41 41 4 4 41 41 41 4 AAAAAAAAAAAAAAA 00000070 41 41 41 4 41 41 41 4 41 41 4 4 00 00 00 00 AAAAAAAAAAAA 00000080 00 00 00 00 00 00 00 00 00 00 00 00 O0 O0 LOOO Hs EE UE EDS 00000090 42 42 42 42 43 43 43 43 BBBBCCCC e NB Evite les protections contre les d bordements du compilateur Vista GS centr es sur les tableaux et non les struct Bug si
81. e single or double file extensions Microsoft Internet Explorer ver 5 01 or 5 5 without SP2 This virus can be considered a blended threat It mass mails itself to email addresses found on the local system then exploits a known vulnerability spreads via network shares infects executables on the local system Simple This is worm activity Certain binary file email attachments can trigger this alert None known Apply the appropriate vendor suppled patches Block incoming attachments with bat exe pif and scr extensions sourcefire Research Team Brian Caswell lt bmc sourcefire com gt 3 me ann e S curit informatique 2011 2012 224 signatures Snort 2 SID _ 2251 Message NETBIOS DCERPC Remote Activation bind attempt Signature alert tcp SEXTERNAL NET any gt HOME NET 135 msg NETBIOS DCERPC Remote Activation bind attempt content 05 distance within 1 content 0b distance 1 within 1 byte test 1 amp 1 0 relative content B8 44 9F 4D 1C 7D CF 11 86 1E 00 20 AF 6E 7C 57 distance 29 within 16 reference cve CAN 2003 0352 classtypeattempted admin referenceurl www microsoft com technet security bulletin TVIS03 D26 asp reference cve CAN 2003 0715 sid 2251 rev 1 Summary This event is generated when an attempt is made to exploit a known vulnerablity in Microsoft RPCSS service for RPC Impact Denial of Service Possible execution of arbitrary code leading to unau
82. embarqu s switch Cisco e Sauvegarde des configurations e HTTP et HTTPS galement IHM e SNMP est support de mani re h t rog ne e SSH apparait sur les quipements r seau quipements personnels ou PME et SUPAERO 3 me ann e S curit informatique 2011 2012 Plan 2 2 e Protection utilis es dans la pratique e Protection r seau et firewall e Syst mes d authentification Chiffrement de flux et VPN e Digressions R Z OpenBSD 1984 e Surveiller analyser et g rer e D tection d intrusion e Audit tests d intrusion e Administration exploitation et suivi de la s curit Observation et surveillance e Protection des applications usuelles SUPAERO 3 me ann e S curit informatique 2011 2012 255 Centralisation des traces e Solutions propri taires e Syslog e CNIL innection LOG nection database phpgroupware LOG connection LOG connection autho 3 database prelude LOG nection LOG connection se PING PING OK 5 wuw data CMD php4 dropped 0 DOW Plugin timed out ALERT Hu li SERVICE ALERT PING WARNING T 1 PING WARNING RON Z4687 mail CMD if x fi SERVICE ALERT PING CRITICAL FT 2 PING CRITICAL SERVICE ALERT gt PING WARNING FT 1 PING WARNING P SUPAERO 3 me ann e S curit informatique 2011 2012 256 Observation et Surveillance e Monitoring r seau quipements de s curit e Autres quipements r
83. er un syst me a cl publique Diffie Hellmann e Crypto quantique e Pigeon voyageur SUPAERO 3 me ann e S curit informatique 2011 2012 84 RSA e Clef publique e n produit de deux grands nombres premiers p et q p et q doivent rester secrets e e premier avec p 1 q 1 e Clef priv e e d e mod p 1 q 1 e Chiffrement e c Me mod n e D chiffrement m ca mod n SUPAERO 3 me ann e S curit informatique 2011 2012 85 El Gamal signature e Clef publique e p premier g lt P e y gx mod p e Clef priv e e X p e Signature e k choisi au hasard premier avec p 1 e a b a gk mod p et M xa kb mod p 1 e V rification e Valide si yaab mod p gM mod p SUPAERO 3 me ann e S curit informatique 2011 2012 86 El Gamal chiffrement e Clef publique e p premier g lt p e y gx mod p e Clef priv e e X p e Chiffrement e k choisi au hasard premier avec p 1 e C a b a gk mod pet b y M mod p e D chiffrement e M b ax mod p SUPAERO 3 me ann e S curit informatique 2011 2012 87 Avantages des chiffres clef publique e Pas de confiance mutuelle entre metteur et r cepteur e Gestion de cl facile e R pertoire public de cl s publiques ou distribution entre pairs La cl priv e ne doit jamais tre transmise e Permettent des utilisations nouvelles distribution de cl s sym triques signatures certificats SUP
84. erver la propriete en cas de composition de deux systemes SUPAERO 3 me ann e S curit informatique 2011 2012 147 Politiques de contr le de flux Bieber amp Cuppens 1992 d Ausbourg 1994 e o t entr es sorties ou points internes et temps e d pendance causale ot o t avec t lt t e c ne de causalit cone o t o t o t o t e c ne de d pendance dep o t ot o t o t e Si s connait une sortie x il peut inf rer cone x e sis connait une entr e x il peut inf rer dep x confidentialit int grit U cone x Obs c R XE O U cone x Alt cW X EA SUPAERO 3 me ann e S curit informatique 2011 2012 148 Politiques sp cifiques e Politique d int grit de Clark et Wilson e donn es contraintes CDI et non contraintes UDI e validation des proc dures de traitement TP proc dure s de v rification d int grit IVP e gestion des relation entre donn es et proc dures e Muraille de Chine ou Brewer Nash tude de classes de conflits d int r ts e dans un contexte dynamiques e donn es m dicales e recommandations e roles SUPAERO 3 me ann e S curit informatique 2011 2012 149 Politique de s curit e Objectifs de s curit exemples e confidentialit le dossier m dical ne peut tre consult que par le patient ou son m decin traitant e int grit un cheque de plus de 1000 doit tre valid par un ordonn
85. es e Chaque entr e du r pertoire est sign e par une autorit de certification Les cl s des AC sont structur es dans un r pertoire en arbre SUPAERO 3 me ann e S curit informatique 2011 2012 93 L poque contemporaine e 2004 e Il y a de s rieux doutes th oriques sur MD5 classes de collisions e y a des possibilit s d extrapolation sur SHA 1 e 2005 e MD5 n est plus consid r e de confiance e llyades doutes th oriques sur SHA 1 collisions en nombre e 2006 e Des rumeurs entourent SHA 1 les calculs sont en cours e 2007 11 02 NIST hash function competition SHA 3 e 2010 12 10 5 finalistes SUPAERO 3 me ann e S curit informatique 2011 2012 94 Julius Caesar Julius Caesar Via Appia 1 Via Appia 1 Rome The Roman Empire Rome The Roman Empire May 22 2005 May 22 2005 To Whom it May Concem Order Alice Falbala fulfilled all the requirements of the Roman Empire Alice Falbala is given full access to all confidential and secret intern position She was excellent at translating roman into her gaul information about GAUL native language learned very rapidly and worked with considerable independence and confidence Her basic work habits such as punctuality interpersonal deportment Sincerely communication skills and completing assigned and self determined I Il llent goals were all excellen Julius Caesar I recommend Alice for challenging positions in which creativity
86. es DMZ 2 j dd priv e int rieur R seau local Poste de travail Poste de travail SGBD IHM Administrateur Editeur Web Donn es internes SUPAERO 3 me ann e S curit informatique 2011 2012 172 7 interfaces ext rieur Internet Serveur Web DMZ 1 Frontal publique os d services Relais HTTP Serveur DNS Relais DNS Re Tuc o Administration 1 1 PEE priv e Collecte des logs Gestion des r gles IHM Eu PPP DMZ 3 MM iae ME NE Modem nomades admin int rieur R seau local Poste de travail Poste de travail Serveur interne SGBD IHM Administrateur Editeur Web Relais HTTP Donn es internes Serveur DNS SUPAERO 3 me ann e S curit informatique 2011 2012 173 Diversification Internet ext rieur Firewall onstructeur A Relais HTTP Relais DNS Administration Collecte des logs Gestion des r gles int rieur Serveur Web DMZ 1 Frontal publique Serveur DNS BD partielle priv e RAS DMZ 3 Serveur PPP Modem nomades R seau local Poste de travail Poste de travail Serveur interne SGBD IHM Administrateur Editeur Web Relais HTTP Donn es internes Serveur DNS 17 SUPAERO 3 me ann e S curit informatique 2011 2012 4 Haute disponibilit failover Internet exterieur DMZ 3 Proxy Serveur Web ar 1 service P helais HTTP Frontal PU ique Relais DNS Firewall Primaire Firewall FW EMO Be Pee oe SN eee RICH Se
87. essus serveur e Confinement e Lien avec le syst me de fichiers SUPAERO 3 me ann e S curit informatique 2011 2012 268 Apache 1 3 1 e Configuration r seau fondamentale Listen 3000 Debian 3 1 Listen 12 34 56 78 80 BindAddress Port 80 e Extensions modules LoadModule cgi module usr lib apache 1 3 mod cgi so LoadModule asis module usr lib apache 1 3 mod asis so LoadModule alias module usr lib apache 1 3 mod alias so LoadModule access module usr lib apache 1 3 mod access so LoadModule php4 module usr lib apache 1 3 libphp4 so e Processus User www data Group www data SUPAERO 3 me ann e S curit informatique 2011 2012 269 Apache 1 3 2 e Configuration conditionnelle lt lfModule mod status c gt ExtendedStatus On IfModule e Configuration modulaire Include etc phpmyadmin apache conf Include etc phpgroupware apache conf Directives de contexte Directory et lt DirectoryMatch gt Files et lt FilesMatch gt Location et lt LocationMatch gt lt VirtualHost gt SUPAERO 3 me ann e S curit informatique 2011 2012 270 Apache 1 3 3 Contr le des chemins d acc s fichiers Directory gt Options SymLinkslfOwnerMatch AllowOverride None lt Directory gt lt Directory var www gt Options Indexes Includes FollowSymLinks MultiViews AllowOverride None Order allow deny Allow from all lt Directory gt SUPAERO 3 me ann e S curit i
88. etwork amp Endpoint Queries E MES g F 4 A B S Predefined No Y Date Y Time Y Y T Origin Y Y Y Y Service Y Source Y Destination Y Rule Y Curr Rule Y Rule Na i All Records 1 28Jan2013 23 59 00 H TFPSO01 Ell Network Security Blades 2 28Jan2013 23 59 00 e TFPS001 B We domain udp 50135 518 R16 AD TSPWOO4 15 15 R16 V3 08 R 0002 DNS Firewall 1 GX Blade 3 28 an2013 23 59 00 e TFPS001 M domain udp 50 135 518 R16 AD TSPWO04 15 15 R16 V3 08 R 0002 DNS IPS Blade 4 28 an2013 23 59 00 e TFPS001 E I idap 50135414 R16 AD TSPWO04 19 19 R16 V3 08 R 0006 AD amp Anti Virus amp Anti Malware Blad 5 28Jan2013 23 59 00 e TFPSOO1 E B Idap 50 135 10 20 R16 AD TSPWO04 19 19 R16 V3 08 R 0006 AD SSL VPN Blade 6 28 an2013 23 59 00 TFPSOO1 Le microsoft ds 50135 518 RIG FIC SRVFIC2 53 53 RI6 V308 R 0053 FIC i 7 28 an2013 23 59 00 TFPS001 B 2 Idap 50 135 26 10 R16 AD TSPW004 19 19 R16_V3 08 R 0006 AD a 8 28 an2013 23 59 00 EE TFPS001 I idap 50135418 R16 AD TSPWO04 19 19 R16 V308 R 0006 AD Ig posse rig 9 28Jan2013 23 59 00 e TFPSOO1 Ub domain udp R16 AD TSPWO04 NIS ADR QAVPW 14 14 R16 V3 08 R 0001 DNS 3 Identity Logging 10 28Jan2013 23 59 00 e TFPSOO1 n scom 5723 R16 AD TSTWINOO1 N10 SCOM RMS 82 82 RI6 V308 R 0125 SC n 28 an2013 23 59 00 EP TFPS001 1 HTTP 8080 R16 Proxy TSPK001 50 145 48 52 68 68 R16 V3 08 R 0042 SURF i Adv
89. eur uL Serveur public DMZ Poste de travail Serveur interne Administrateur SUPAERO 3 me ann e S curit informatique 2011 2012 168 Poste de travail Utilisateur R seau local Administration ext rieur Internet Serveur Web Frontal Administration BD partielle D MZ Collecte des logs Gestion des r gles Poste de travail Poste de travail SGBD IHM Administrateur Editeur Web Donn es internes R seau local int rieur SUPAERO 3 me ann e S curit informatique 2011 2012 169 2 DMZ 5 interfaces ext rieur Internet DMZ 1 publique Administration Collecte deslogs eters Coe ee re neo eee ee Gestion des r gles E DMZ 2 is priv e int rieur R seau local Poste de travail Poste de travail SGBD IHM Administrateur Editeur Web Donn es internes SUPAERO 3 me ann e S curit informatique 2011 2012 170 Autre usage d une DMZ ext rieur Internet Proxy Relais HTTP Administration Relais DNS DMZ Collecte des logs ina Gestion des r gles IHM Poste de travail Poste de travail SGBD IHM Administrateur Editeur Web Donn es internes Reseau local SUPAERO 3 me ann e S curit informatique 2011 2012 171 int rieur 3 DMZ 6 interfaces ext rieur Internet me 3 Serveur Web DMZ 1 services publique Relais DNS 7 Administration SGBD Web Collecte des logs BD partielle TD Gestion des r gl
90. exemple e Etc Lisez Phrack e Une autre r f rence plus acad mique How to Own the Internet in your Spare Time Staniford Paxson Weaver 11 Usenix Security Symposium 2002 SUPAERO 3 me ann e S curit informatique 2011 2012 35 Actualit s 2010 e Stuxnet e Phishing visant la CAF e Les tats d mes de Linux e Google part de Chine e GSM et la s curit SUPAERO 3 me ann e S curit informatique 2011 2012 Some news 2010 2011 with 2012 update New or significant failures Compromised abused Comodo DigiNotar or doubtful Internet certification authorities Business as usual or bankruptcy e Intrusion at Bercy G20 organization e nothing e Sony PlayStation Network Personal data of 77 millions users stolen Welcome back package class action running STARS Stuxnet Very specific worm targeting critical industrial control systems NYT reports combined U S Israeli de UA operation running under two different presidents Q SUPAERO 3 me ann e S curit informatique 2011 2012 37 Some news 2010 2011 State communication La s curit dans le cyberspace un enjeu strat gique Lettre du Secr taire G n ral de la D fense et de la S curit Nationale SGDSN fin 2010 Communication du Premier ministre relative la protection des syst mes d information au Conseil des ministres du 25 mai 2011 ANSSI hires gets a new building and plays Antigone
91. ffic T amp Flux AD D accept Log Policy Targets D N Spv_AD E D N AD T Flux AD D R AD VOE dhcp rep localmo NET Agences itinerants UDP bootp El R 0007 AD S Win AD a Any Traffic D accept Log Policy Targets P HE For Help press F1 50 128 147 1 Read Write NUM SUPAERO 3 me ann e S curit informatique 2011 2012 Il 1 irewa CheckPoint F Ex Z 50 128 147 1 Check Point SmartDashboard R16_V3 08 ect SmartMap SmartWorkflow Window EH amp m amp Lee x Wu dg B mme 0 0 x l ER S 1 BEE Firewall T3 NAT fa IPs E30 Anti Spam amp Mail ER Anti Virus amp URL Filtering X SSL vpn IPSec VPN Bg Qos cal Network Objects El Check Point mj me SOURCE DESTINATION VPN SERVICE ACTION TRACK INSTALL ON E Networks Hora ae api Ef NET Agences_itinerants UDP bootp E Address Ranges ral Dynamic Objects EH Security Zone Objects View Manage Rules Policy Search Help Weal Check Point SmartDashboard Desktop F E R 0007 AD S Win AD x Any Traffic QD accept Log Policy Targets n R 0060 AD D R10 Proxy T S Win Heb x Any Traffic Tt HTTP 9180 accept Log Policy Targets R 0104 RDP D N AD Racine S Win AD x Any Traffic ICE RDP 3389 QD accept Log Policy Targets N e
92. iffrement de flux et VPN e Digressions R Z OpenBSD 1984 e Surveiller analyser et g rer e D tection d intrusion e Audit tests d intrusion e Administration exploitation et suivi de la s curit Observation et surveillance e Protection des applications usuelles SUPAERO 3 me ann e S curit informatique 2011 2012 212 Plan d taill e D tection d intrusion e Terminologie Approches tudi es et tendances Mise en oeuvre Architecture oolutions r seau e RealSecure e Snort e Prelude IDS Traitement des alertes probl mes corr lation SUPAERO 3 me ann e S curit informatique 2011 2012 213 Vuln rabilit s Attaques Alertes e Vuln rabilit s gt Grande vari t buffer overflow CGI droits d acc s permissifs interception de sessions r seaux transferts de privil ges social engineering cryptanalyse etc e Attaque gt Exploitation d une vuln rabilit Attaque l mentaire ou sc nario d intrusion Action malveillante ou suspecte e Alertes Message r sultant de la d tection d une attaque gt IDMEF XML Intrusion Detection Message Exchange Format d fini par l IETF IDWG SUPAERO 3 me ann e S curit informatique 2011 2012 214 G n ration d alertes efficacit Fas Vrai n gatif amp Faux positif d attaque Attaque en cours Faux n gatif Vrai positif SUPAERO 3 me ann e S curit informatique 2011 2012 215 app
93. ile Ticketing e Mobile Payment e Software use User available predefined software use policies e Proving platform and or application integrity to end user User data protection and privacy SUPAERO 3 me ann e S curit informatique 2011 2012 109 Not a use case but e An interesting idea e Cloaking Malware with the Trusted Platform Module A Dunn O Hofmann B Waters E Witchel University of Texas at Austin e Use the TPM to hide the payload ie the target of a malicious software e Provide a way to counter malware analysis e Sort of Secure software download but for the bad guys Remember that today attackers usually know computer security better than you do SUPAERO 3 me ann e S curit informatique 2011 2012 110 References e DHS Build Security In e https buildsecurityin us cert gov e The Addison Wesley Software Security Series http www softwaresecurityengineering com series e CERT CC http www cert org e Smashing the Stack for Fun and Profit e Aleph One Phrack Magazine 7 49 1996 File 14 of 16 OpenBSD http www openbsd org papers SUPAERO 3 me ann e S curit informatique 2011 2012 111 Some real programming e Presentation based on work from real programmers in the neighbourhood e First sources e Matthieu Herrb amp lots of OpenBSD good programming examples e Vincent Nicomette and Eric Alata for some details
94. ion d adresses compl ments e Le multiplexage est surtout naturel vis vis du protocole orient connexion TCP partir du port source e est galement possible sur UDP dans le cas des protocoles impliquant requ te puis r ponse par ex DNS etc peut aussi tre introduit pour ICMP SUPAERO 3 me ann e S curit informatique 2011 2012 179 Firewall fonctionnement interne e Tables g r es e Tables d tat e Tables de translation e Traces e Fonctions de normalisation des paquets e Analyses et fonctions avanc es e Substitution des num ros de s quence e Inspection voire suivi protocolaire en mode noyau e Redirection vers des proxy en mode utilisateur SUPAERO 3 me ann e S curit informatique 2011 2012 180 PIX ISCO C Exemple Cisco PIX Device Manager 3 0 10 2 2 252 Beta Release oj x File Options Tools Wizards Help Cisco Systems eee 7 Monit EJ 2 o C Home a Configuration 4 Monitoring Refresh ee Help FEN Device Information Interface Status noanamae M PRE eco coss IP AddressiMask Current Kbps PIX Version amp 3 1 PDM Version 3 0 0 141 10 20 0 252 24 Q up 0 Device Type PIX 515E Total Memory 32 MB 10 22 2526 Qup 16 License Restricted R Total Flash 16MB Licensed Features Encryption DES Inside Hosts Unlimited Failover Disabled IKE Peers Unlimited URL Filtering Enabled Mas Physical 3 Interfaces Select an interface to view inside and outside K
95. kept secure and private secure and private First Name SS Last Names SS Address 1 e Address 2 optional City State Zip S or 9 digits Country U S A Qutside the U S T Home Telephone Kent Private Kept Private Work Telephone optional Your Email Address and Password Enter the e mail address and password which you use to login to PayPal Email Address SSSS S S Password Credit Verification Enter the credit card information which you use with PayPal Please make sure that you have entered this information correctly as your account will not be re activated if it is wrong Cardholder s Name Credit Card Number f ma a Expiration Date 01 January z 2002 Zip Postal Code 5 or 9 digits Security Code On the back of your card locate the final 3 digit number M Help finding Card Verification Number Help finding Card Verification Number Using Amex Using Amex Additional Security Info In order to fully validate your account we ask that you fill in some extra security information We assure you this information is kept confidential Social Security Number Date of Birth LE mm dd vyyy Mother s Maiden Name UUU Issuing Bank EL ABA Number EL bank branch number Account Type amp Checking C Savings Routing Number if This is the number located between the Y symbols Account Pin 4 digit number must enter Account Number m Typically come
96. l attente pourrait durer SUPAERO 3 me ann e S curit informatique 2011 2012 49 Les actions concr tes du RSSI www cert org WWW US cert gov www certa ssi gouv fr e Param trage du firewall e Animation du comit de s curit et des groupes de travail e Documentation PSSI guides etc e Interaction avec les organismes ext rieurs e Suivi des tests d intrusion gestion des autorisations Traitement du risque ou simple gestion SUPAERO 3 me ann e S curit informatique 2011 2012 50 L Agence Nationale de la S curit des Syst mes d Information en 201 1 Des volutions int ressantes http www ssi gouv fr fr anssi publications discours de patrick pailloux lors de la conference de cloture des assises de la html lien local SUPAERO 3 me ann e S curit informatique 2011 2012 51 Plan 1 2 e G n ralit s Propri t s de s curit e Attaques e Mise en uvre dans les organisations e Fonctionnement de la s curit dans une entreprise e Suivi des alertes de s curit e D finition d un sch ma directeur s curit e M canismes de protection g n raux e Cryptographie e Politiques de s curit formelles e Crit res d valuation normalis s SUPAERO 3 me ann e S curit informatique 2011 2012 52 Le CERT Computer Emergency Response Team CERT Coordination Center Microsoft Internet Explorer Fichier Edition Affichage Favors Outs
97. localhostfadh FwiGetopohossth NetBurPro BockdooChpacabes rsBadSeqCheck Suet C heck ZonefeiCheck Tiscerte S Ja 1 10 1005 S8 Jan 19 101017 S8 Ja 1 10 1013 S9 Jan 19 10 10 20 Sa Je 19 101022 9 Je 19 101023 S Je 19 10 11 08 S Jen 19 101113 Sa Jan 19 10 11 15 Sat Jen 19 10 11 13 Sa Jen 19 10 1113 Sat Jen 19 10 11 21 S8 Je 18 1011 24 Set Jen 19 10 11 25 Set Jen 19 10 11 27 Set Jen 19 10 11 26 Set Jen 19 10 11 30 Set Jen 19 10 11 33 Set Jen 19 101 1 34 S8 Jan 19 1011 36 Seton 19 1011 37 Sat Jen 19 1011 33 Sat Jen 19 10 11 40 Set Jen 19 10 11 42 Set Jen 19 10 11 54 Sek Jen 19 10 12 06 SetJen 19 101207 S Properties F Status O Vunenbiites Whseres fi Accounts Distabace Grecio cannot be secured Pith spool response server bound The APC Packet Server wer successfully stated ard rdiskred ized propery The APC Packet Server could not be stated because the ARP gateway could not be deseiened Disabling al ran packet operations ISNT Seve igeresskepke 1 Hosts SUPAERO 3 me ann e S curit informatique 2011 2012 246 Mots de passe utilis s e Etendre l audit vers l observation du niveau de vuln rabilit des mots de passe e Attention la protection des r sultats est probablement pr f rable de ne pas diffuser les r sultats e Associer ces r sultats aux r gles de gestion e Politique de pr conisation e Sensibilisation e R gles automatiques eg Arbre a Stra
98. lso ISO IEC TR24731 1 1999 and ISO IEC TR24731 2 2010 NM Gen Wehatatau informatique 2011 2012 118 Fichier Edition Affichage Favoris Outils Favors Sg STE gt E roD dh v Pager S curit Quis Compliant Solution Runtime The following compliant solution will not overflow its buffer void complain const char msg errno t err static const char prefix static const char suffix char buf BUFSIZ Error An err strcpy s buf sizeof buf prefix if err e handle error err strcat s buf sizeof buf msg if err e handle error J err strcat s buf sizeof buf suffix if err e handle error J fputs buf stderr Compliant Solution Partial Compile Time The following compliant solution performs some of the checking at compile time using a static assertion See DCL03 C Use a static assertion to test the value of a constant expression Internet Mode prot g activ ing cert org www securecod Raw C11 example from https Time of check time of use e How to create a temp file in tmp without overwriting an existing file Generate random file name name mktemp tmp tmp XXXXXXXXXX verify file does not exist if stat name amp statbuf 0 return EEXISTS Q ok open it fd open name O_RDWR e Opens a possible race condition with a concurre
99. ly Current 39 57 m Average 44 17 m Maximum 64 87 m O Shown Total Current 4 56 m Average 1 88 m Maximum 13 04 m Bl Total In Current 261 53 m Average 181 76 m Maximum 1730 SUPAERO 3 me ann e S curit informatique 2011 2012 260 ourveillance syst me exemple Internet Explorer 1 18 x 6243 amp http tspsecur nagios Fichier Edition Affichage Favoris Outils 4da Adresse PING OK Packet loss 0 RTA 88 49 ms Nagios Home Documentation Tactical Overview Service Detail Host Detail Status Overview Status Summary Status Grid Status Map 3 D Status Map Service Problems Host Problems Network Outages Comments Downtime Process Info Performance Info Scheduling Queue Reporting Trends Availability Alert Histogram 2 BR 2003 11 27 11 40 47 0d 3h 24m 51s 1 3 ep Oe 2003 11 27 11 40 47 2d 4h20m21s 1 3 fdev sda Free on 2003 11 27 11 41 20 72d 2h 22m 37s 1 3 Space EE 2000 11 27 11 43 15 72d 2h 23m 36s 1 3 HTTPS GRO 2003 11 27 11 43 26 52d 2h 4m 34s 15 HTTPS Certificate CE 2003 11 27 07 22 10 52d 1h 42m 42s 1 2 MySQL local 2003 11 27 11 43 15 72d 2h 25m 26s 1 3 TP 2003 11 27 11 44 28 Od 6h 56m 11s 1 3 OpenSSH 2003 11 27 11 43 13 72d 2h 25m 25s 1 3 PostgreSQL 2003 11 27 11 44 58 17d 10h 31m 25s 1 3 2003 11 27 11 41 20 52d 1h 58m 32s 1 3 SEM 2003 11 27 07 28 43 52d 2h 4m 9s 1 2 2003 11 27
100. mat strings printf s ch or printf ch What happens when you give x to printf e printf gets its next argument from the stack e When user input is passed to such functions it can generate this kind of situations e This kind of situation may allow to access areas of memory for reading sometimes for writing SUPAERO 3 me ann e S curit informatique 2011 2012 124 Example include lt stdio h gt int main char secret polichinelle static char input 100 0 Printf Enter your name scanf s input printf Hello printf input printf n printf Enter your password scanf s input if strcmp entree secret 0 printf OK n else printf Error n return 0 joo nae 3 me ann e S curit informatique 2011 2012 125 Example e Normal use of the program bash a out Enter your name Jack Hello Jack Enter your password ripper Error e Abuse of the program bash a out Enter your name p s Hello 0x08049760polichinelle e Allows to walk the stack and access internal program data SUPAERO 3 me ann e S curit informatique 2011 2012 126 Practical recommendations e Design first Often broken and insecure by design e Obscurity does not help e Exploits against closed source may be just as easy as against open source e Obfuscation primarily works for people writing code not crackers Quality is security e Most se
101. me est le ou exclusif e Ci Mi Mie Kj e Mj Ci Cie Ki e D apr s la th orie de l information Shannon c est un chiffre incassable si la clef n est jamais r utilis e Peu pratique e Envisageable SUPAERO 3 me ann e S curit informatique 2011 2012 77 DES Data Encryption Standard 1975 e Historique e Une base issue d IBM Des am liorations de la NSA Le premier algorithme control par la NSA rendu public par l organisme de standardisation e Bloc de 64 bits Clef de 56 bits 8 bits ex parit e Conception orient e vers une mise en uvre hardware e 3DES am lioration g n rique r pandue Clef de 112 bits e normes efforts publics de cryptologie e Beaucoup de variantes ex key dependent S boxes SUPAERO 3 me ann e S curit informatique 2011 2012 78 Plaintext 64 bits Key 64 bits DES Subkey 1 Chiffre de p Feistel Subkey 2 m gt 48 bits Key for 16 rounds schedule Subkey 15 48 bits IP Initial permutation FP Final permutation PC Permuted choice rn Ciphertext 64 bits http en wikipedia org wiki Data Encryption Standard SUPAERO 3 me ann e S curit informatique 2011 2012 79 Half Block 32 bits Subkey 48 bits D E S Elec fale eal 70 di ub db Ha nib Hil DJ E Expansion 32 bits 48 bits e Key mixing 951 58 Substitution S boxes 6 bits 4 bits P Permutation P box 32 bits S
102. n sectarisme groupe de hackers exploits e Vandalisme montrer sa force punir web defacing virus Vers e Politique id ologie ex CCC e Vengeance e Profit espionnage extorsion de fonds concurrence d loyale crime organis e Guerre informatique terrorisme e Sensibilisation lobbying Protection abusive ex SONY SUPAERO 3 me ann e S curit informatique 2011 2012 17 Qui sont les intrus 5 1 Externe e 2 Utilisateur amp 3 Utilisateur 80 des fraudes sont autoris es Authentification Autorisation VU m amp Authentification Autorisation amp Authentification amp Autorisation SUPAERO 3 me ann e S curit informatique 2011 2012 18 Caract riser des attaquants ITSEM 1993 3 3 29 32 86 C 28 34 e comp tence e profane e personne comp tente e expert e ressources temps quelques minutes quelques jours e quelques mois e quipement e sans quipement e quipement disponible e quipement sp cial e opportunit s e collusion e seul e avec un utilisateur e avec un administrateur e chance e d tection Niveau de r sistance a l mentaire a moyenne a lev e SUPAERO 3 me ann e S curit informatique 2011 2012 19 Des classes d attaques e Ecoute passive Portes d rob es e Interception Bombe logique e Canaux cach s e Cheval de Troie e Cryptanalyse
103. nearly all of the interesting threats that most systems face today in Fedora and CAPP Iwn net 10 dec 2008 SUPAERO 3 me ann e S curit informatique 2011 2012 159 Plan 2 2 e Protection utilis es dans la pratique e Protection r seau et firewall e Syst mes d authentification Chiffrement de flux et VPN e Digressions R Z OpenBSD 1984 e Surveiller analyser et g rer e D tection d intrusion e Audit tests d intrusion e Administration exploitation et suivi de la s curit Observation et surveillance e Protection des applications usuelles SUPAERO 3 me ann e S curit informatique 2011 2012 160 Protection r seau et Firewall Principes de fonctionnements e Firewall avec suivi d tat Firewall proxy e Equipements commerciaux e Solutions logicielles e Equipements int gr s hardware amp software e Firewall personnel solutions open source Filtres reseaux e Switches intelligents VLAN L4 e Routeurs ACLs anti spoofing etc SUPAERO 3 me ann e S curit informatique 2011 2012 161 Solutions commerciales e Leaders FireWall 1 CheckPoint le PIX Cisco e WatchGuard e Challengers Francais e Netscreen Netasq e Cyberguard e Netwall Evidian Bull e M gt Wall Matranet Arkoon SA Server Microsoft e IOS FW Cisco SUPAERO 3 me ann e S curit informatique 2011 2012 162 Solutions open source e Linux IP Tabl
104. nformatique lt Directory home public_html gt AllowOverride Filelnfo AuthConfig Limit Options MultiViews Indexes SymLinkslfOwnerMatch IncludesNoExec lt Limit GET POST OPTIONS PROPFIND gt Order allow deny Allow from all lt Limit gt lt Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK gt Order deny allow Deny from all lt Limit gt lt Directory gt 2011 2012 271 Apache 1 3 e Contr le des noms de fichiers Files ht gt Order allow deny Deny from all lt Files gt SUPAERO 3 me ann e S curit informatique 4 e A v rifier If the perl module is installed this will be enabled IfModule mod perl c Alias perl var www perl Location perl gt SetHandler perl script PerlHandler Apache Registry Options ExecCGl lt Location gt IfModule 2011 2012 272 Apache 1 3 5 e Contr le des chemins d acc s URL Alias doc usr share doc Location doc gt order deny allow deny from all allow from 127 0 0 0 255 0 0 0 allow from AA BB CC 0 255 255 XX 0 Options Indexes FollowSymLinks MultiViews lt Location gt For Prelude PIWI Alias piwi home xxxx prelude piwi ScriptAlias piwi home xxxx prelude piwi lt DirectoryMatch home xxxx prelude piwi gt order allow deny allow from all Options ExecCGl AddHandler cgi script pl Directoryindex index pl DirectoryMatch SUPAERO 3 me ann e S curit informatique 201
105. nt process e mktemp deprecated in POSIX 1 2011 SUPAERO 3 me ann e S curit informatique 2011 2012 120 Options e Use mkstemp to replace both system calls fd mkstemp tmp tmp XXXXXXXXXX e Use O CREAT O EXCL open flags that trigger an error if the file already exists fd open name O CREAT O EXCL e Note the difference between fopen and open return types FILE vs int or streams vs file descriptors SUPAERO 3 me ann e S curit informatique 2011 2012 121 Arithmetic overflows n getIntFromUser if n lt 0 n sizeof struct item gt BUFMAX return EINVAL e f nis big enough the condition will not be true Use n getIntFromUser if n lt 0 n gt BUFMAX sizeof struct item return EINVAL SUPAERO 3 me ann e S curit informatique 2011 2012 122 Arithmetic overflows n getIntFromUser if n lt 0 return EINVAL data struct item malloc n sizeof struct item if data NULL return ENOMEM e f nis big enough overflow occurs and a small memory allocation is done e opening the path to a memory overflow e Use calloc data struct item calloc n sizeof struct item SUPAERO 3 me ann e S curit informatique 2011 2012 123 Format strings issues e Many standard display functions use a format for printing printf sprintf fprintf e Two variants exist with and without for
106. ploitation of Microsoft RPC Vulnerabilities Current Activity Archive SUPAERO 3 me ann e S curit informatique 2011 2012 54 Les avis et notes du CERT e Avis exemples e CERT Advisory CA 2003 28 Microsoft e CERT Advisory CA 2003 26 SSL TLS e Base de vuln rabilit s CERT VU 567620 de CA 2003 28 et Microsoft MS03 049 htip www kb cert org vuls id 56 7620 e CA 2003 26 est associ a 6 vuln rabilit s CERT VU 936868 Oracle et r plique http www kb cert org vuls id 936868 e Avis constructeurs et autres http www debian org security 2004 dsa 419 Tous les avis SUPAERO 3 me ann e S curit informatique 2011 2012 55 Fiche CERT Principaux l ments e itle Overview e Systems affected e Description e Impact e Solution e References e Credit Vendor Info Other Info SUPAERO 3 me ann e S curit informatique 2011 2012 56 La s rie Blaster t 2003 e CERT VU 568148 CERT Advisory CA 2003 16 e Microsoft MS03 026 e CERT Advisory CA 2003 19 e CERT Advisory CA 2003 20 e CERT Current Activity Blaster SUPAERO 3 me ann e S curit informatique 2011 2012 57 L actualit plus r cente e CERTA hier e Page principale e La derni re blague de Windows e Back to SSL conception e eic SUPAERO 3 me ann e S curit informatique 2011 2012 58 Plan 1 2 e G n ralit s Propri t s de s curit e Atta
107. practices or risks lists e Fuels paranoia and ready made useless tools e Does not help target real assets e Management rarely wants to decide e Sometimes does not end well morally speaking e For example product lifetime optimization SUPAERO R adih rentlyiviewpoint based 106 Threats and use case examples e Trusted Computing Group e Mobile phone TPM use case scenarios e Name Goal e Threats e Platform integrity e Ensure that device possess and run only authorized operating system s and hardware Logic of device firmware modified Device hardware modified Device functions in a manner other than intended by the manufacturer Device modified to broadcast false identification IMEI SUPAERO 3 me ann e S curit informatique 2011 2012 107 Threats and goals examples e Device authentication e Assist user authentication e Prove identity of device itself e Identity spoofing to get unauthorized access to services e Identity no longer bound to the device e Theft of device Device tracking e Robust DRM implementation e Service and content providers need assurance that the device DRM is robust e SIMLock Device personalisation e Ensure that a mobile device remains locked ona particular network SUPAERO 3 me ann e S curit informatique 2011 2012 108 Last use case examples for info e Secure software download e Secure channel between device and UICC UMTS Integrated Circuit Card e Mob
108. ques e Mise en uvre dans les organisations e Fonctionnement de la s curit dans une entreprise e Suivi des alertes de s curit e D finition d un sch ma directeur s curit e M canismes de protection g n raux e Cryptographie e Politiques de s curit formelles e Crit res d valuation normalis s Principes de conception et d utilisation SUPAERO 3 me ann e S curit informatique 2011 2012 59 Sch ma directeur SSI Ensemble documentaire constitu par PSSI Politique de s curit du syst d info Sp cifications ou r glements de s curit par domaine r seau syst me SGBD d veloppement march s etc Guides pratiques et ou points de validation e AIX 5 x W2K Server SP4 IOS 12 x Apache 1 2 etc Dossiers de s curit des applications paye achats compta m tier 1 m tier 2 etc Gestion des risques audit suivi Tableau de bord Plan d action SUPAERO 3 me ann e S curit informatique 2011 2012 60 PSSI e Structure e Domaines d application Organisation et responsabilit s Communications _ Int gration et interactions de la vos lations SSI e Vie priv e e Achats de mat riels e Messagerie e Maintenance e Audit e SSI et projets e SSI et exploitation e Objectifs de s curit de FOLGEN m e Communications e R gles g n rales de s curit Identification e Gestion des risques e Authentification e Surveillance e Contr le d acc s Disponibilit
109. r Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur Administrateur crm Syst me Syst me Syst me Syst me Syst me Syst me Syst me Syst me Syst me Syst me Syst me Syst me Programme de t Programme de t Syst me Programme de t Programme de t Programme de t Programme de t Programme de t Syst me Programme de t Programme de t Syst me Syst me Syst me Syst me Syst me Syst me Syst me Programme de t Pranramme de F Programme de t Console Antivirus 3 Historique des virus ix Tous nents Bg amp gt X t Date Nom du fichier Nomdu virus Type de virus Op ration effect 20 11 2003 23 32 25 EuroConverter ZIP Fichier compress D plac 20 11 2003 23 32 25 EuroConverter Setup exe W95 Hybris worm Fichier Fichier D plac 20 11 2003 23 32 13 add on euro acces zip Fichier compress D plac 20 11 2003 23 32 13 Setup exe W95 Hybris worm Fichier Fichier D plac 15 10 2003 09 06 47 RECUP2 DOC Macro Component Fichier Macro Nettoy 15 10 2003 08 55 33 RECUP2
110. re 2005 04 38 35 HNEC R pondre no reply paypal com d Safe Way to Pay Dear valued PayPal member It has come to our attention that your PayPal9 account information needs to be updated as part of our continuing commitment to protect your account and to reduce the instance of fraud on our website If you could please take 5 10 minutes out of your online experience and update your personal records you will not run into any future problems with the online service However failure to update your records will result in account suspension Once you have updated your account records your PayPal session will not be interrupted and will continue as normal To update your PayPal records click on the following link http www com cgi bin webscr cem login run http 61 56 224 108 cgi bin index php Thank You 9 PayPal UPDATE TEAM RFA Accounts Management As outlined in our User Agreement PayPal will periodically send you information about site changes and enhancements Sl TIWECBLOYJFNPOLTYVKULKXJERUNLYISWDTDIR Fle Edt View Favortes Took Heb Hed Gooch Groes Goede Gi GOS Address hito 24 436 54 876 x PayPal Sign Up Log In Help Welcome Send Money Request Money Shop Personal Account Verification 3usti Page Personal Business International Sign Up Your Profile Information This will be processed by PayPal Your information will be
111. rmatique 2011 2012 137 Politiques discr tionnaires et obligatoires e Politique discr tionnaire e chaque objet o est associ un sujet s pr cis son propri taire qui manipule les droits d acces sa discr tion e le propri taire peut librement d finir et transmettre ces droits lui m me ou un autre utilisateur e Politique obligatoire e r gles discr tionnaires droit d acc s e plus r gles incontournables habilitation SUPAERO 3 me ann e S curit informatique 2011 2012 138 Matrice de contr le d acc s Lampson 1971 e Machine tats tat 5 O M Oensemble d objets e S ensemble de sujets ScO M s o est l ensemble des droits que le sujet s possede sur l objet o les droits sont pris dans un ensemble fini A SUPAERO 3 me ann e S curit informatique 2011 2012 139 Mod le HRU 1976 Commandes de modification command X1 Xo Xy if a M s o and a EM s 0 and and a meM s m o m then op opz ODn end alEA Opi create a into M s o delete a from M s o create subject s destroy subject s create object o destroy object o e Probl me de protection Qo sur pour a e ind cidable dans le cas g n ral e d cidable pour les syst mes mono op ration n 1 SUPAERO 3 me ann e S curit informatique 2011 2012 140 Autres mod les d riv s e Take Grant 1976 e algorithme de d cision de complexit lin aire e SPM et TAM 1988 19
112. roche behavior based comportementale anomaly detection 7 knowledge based approche par sc nario detection m thode de d tection comportement alertes passif apres d tection r action actif audits systeme source des paquets r seau donnees er audits applicatifs alertes des senseurs m canisme de state based d tection transition based continue Debar Dacier Wespi 1998 fr quence SUPAERO 3 d Utilisation athe KS RBque m Techniques utilisables e Approche par sc nario e Systemes experts ES e Analyse de signatures SA e R seaux de Petri PN e Approche comportementale e Statistiques ST e Systemes experts ES e R seaux neuronaux NN e Approche immunologique UII SUPAERO 3 me ann e S curit informatique 2011 2012 217 Beaucoup de techniques ont t explor es E OTTIDOI temena m EE ER ee EE EN BA IS Securenet Consortium Stalker S Network Associates Inc WebStalker CyberCop Server U C Santa Barbara UCSB Tendances actuelles e Une seule technique par outil en g n ral L approche par signatures se g n ralise e R alisation plus simple e Performances L approche comportementale est peu utilis e par les outils commerciaux La r action apparait SUPAERO 3 me ann e S curit informatique 2011 2012 219 Analyse multi v nements N A TA A A ep S e D Q Q versus ni c ab A A
113. rvices outside 102545 UDP 514 EF Administration EF A Logging Logging Setup PDM Logging Syslog Others EF AAA URL Filtering Auto Update amp Intrusion Detection EF Advanced EF Multicast History Metrics C Facility LOCAL4 20 Level Debugging x Include Timestamp Exemple Number of messages that are allowed to be queued when syslog server is busy 0 means unlimited 512 E dit Delete Apply Reset Advanced lt admin gt NA 15 B e 15 56 18 UTC Wed Apr 02 2003 SUPAERO 3 me ann e S curit informatique 2011 2012 184 PIX ISCO C Exemple Cisco PIX Device Manager 3 0 10 2 2 252 Beta Release File Rules Search Options Tools Wizards Help e Home a Configuration Monitoring Categories PDM Log m DEE Bl Telnet Sessions Bil Secure Shell Sessions Authenticated Users 8 User Licenses II DHCP Client PPPoE Client BI VPN Connection Status EFESJVPN Statistics IKE S s PSec VPNs 2TP PPTP EHESJVPN Connection Graphs LE IPSec Tunnels f t L2TP PPTP EE System Graphs Blocks g CPU Failover E Memory EMN Connection Graphs Xlates PA Perfmon 42 Miscellaneous Graphs La IDS EE Interface Graphs inside E3 outside gt PDM HTTPS Sessions Refresh Currently Connected PDM HTTPS Sessions SessiniD IP Address 10 2 5 45 10 2 4 39
114. s Target port lt re open sensor tree 23 results for those filters First Prev Classification Impact Completion Source Destination Class Timestamp SIMPLE Windows Event ID n Prelude 2003 10 31 560 security FAILURE Beet Marton aM One Audio LML HIDS 16 46 50 SIMPLE Windows Event ID Prelude 2003 10 31 560 security FAILURE user dl polae LEA LML HIDS 16 45 59 SSH Remote user logging user succeeded 50 128 146 178 127 0 0 122 tcp ssh re seda SSH Remote user logging user succeeded 50 128 146 178 127 0 0 122 tcp ssh pend Rip n Prelude 2003 10 31 Root login admin succeeded unknown 127 0 0 1 LML HIDS 16 35 27 l S Intranet local SUPAERO 3 me ann e S curit informatique 2011 2012 Limites actuelles de la d tection d intrusion e Faible taux de d tection e Faux n gatifs e rop d alertes Fausses alertes Faux positifs e Plusieurs milliers d alertes g n r es en une semaine e niveau de granularit d une alerte est trop faible e Pas de vision globale e Difficile de d tecter une attaque distribu e Difficile de d tecter les attaques nouvelles e C est un avantage des approches comportementales SUPAERO 3 me ann e S curit informatique 2011 2012 227 Granularit trop fine Exemple alertes g n r es par Dragon 1 1256 2 WEB IIS CodeRed v2 root exe access 07 20 13 59 32 291193 64 165 187 170 4515 gt 193 54 194 111 80 LETS SID 1256 O7 20 1 Message
115. s stock es transmises affich es e M ta donn es associ es aux donn es et utilis es par les services de manipulation e identit s noms adresses utilisateur machine processus p riph riques etc temps date de l op ration e droits d acc s e etc SUPAERO 3 me ann e S curit informatique 2011 2012 Autres propri t s e Anonymat confidentialit de l identit d un utilisateur Protection de la vie priv e confidentialit de donn es personnelles identit de l utilisateur e Authenticit d un message int grit du contenu identit de l metteur date e Authenticit d un document int grit du contenu identit du cr ateur date e Authenticit d un utilisateur int grit de l identit e Auditabilit disponibilit de qui quoi quand o d une action e Non r pudiation d origine disponibilit de identit de l metteur int grit du contenu e Non r pudiation de r ception disponibilit de identit du r cepteur int grit du contenu e Protection de la propri t intellectuelle confidentialit du contenu int grit du contenant SUPAERO 3 me ann e S curit informatique 2011 2012 13 Besoins de s curit selon les secteurs e D fense gouvernement confidentialit gt int grit disponibilit e Finance int grit gt disponibilit gt confidentialit e Au
116. s before the m symbol Its exact location and number of digits varies from bank to bank Use the image below to enter your account number and routing number U S Check Sample me 4Bii SWua 0012 ieSbATuMDl m 521155uu85 a 0012 3456874803 M By clicking Continue I agree to be bound by PayPal s User Agreement User Agreement SignUp About Us Accounts Fees Privacy Security Center User Agreement an eBay company Copyright 2002 PayPal All rights reserved Information about FDIC pass through insuranc 23 Exemple de scam Jg EAR SIR el RGENT AND CONFIDENTIAL BUSINESS PROPOSAL MARIAM ABACHA WIDOW OF THE LATE NIGERIAN HEAD OF STATE GEN SANI ABACHA AFTER HE DEATH OF MY HUSBA DIED MYSTERIOUSLY AS A RESULT OF CARDIAC ARREST I WAS INFORMED BY OUR LAWYER BELLO GAMBARI THAT BAND WHO AT THAT IME WAS THE PRESIDENT OF IGERIA CALLED HIM AND CONDUCTED HIM ROUND HIS APARTMENT AN ED HIM FOUR METAL BOXES CONTAINING MONEY ALL IN FOREIGN EXCHANGE AND HE EQUALLY MADE HIM BELIEVE THAT THOSI S ARE FOR ONWARD TRANSFER TO HIS OVERSEAS COUNTERPART FOR PERSONAL INVESTMENT K UU iw E Uo mzxH Lt Oo T zi Q THE LINE Y HUSBAND DIED AND SINCE THEN THE NIGERIAN GOVERN
117. se cases 6 Security requirements Gary McGraw s 7 Security operations Touch points SUPAERO 3 me ann e S curit informatique 2011 2012 103 Risk analysis 1 Identify assets and their value 2 Define assets priority 3 ldentify vulnerabilities threats and potential damages 4 Define threats priority 5 Optimize counter measures selection e nherently qualitative human expert opinion e Applicable to organization system project e Several methods available e MARION MEHARI EBIOS etc e HAZOP FMEA 15031000 etc SUPAERO 3 me ann e S curit informatique 2011 2012 104 Pros my view Identification of assets and their relative values Assets value offers an opportunity to budget realistically for protection Is understandable by end users Quite easier than assembly language exploits or cryptographic hash functions e Risk management alternatives e Transfer insurance state etc e Acceptance life is deadly after all e Reduction work work work work e Avoidance just do it the other way e Management could express clear priorities SUPAERO 3 me ann e S curit informatique 2011 2012 105 Cons my view Threat determination is an oracle problem e May be used to demonstrate that any risk is already managed e Some forgotten successes of risk management e Lehman Brothers financial risk exposure e Greek debt control e Qualitative also means manipulable Relies a lot on best
118. se jetables e Syst mes cartes puce cl sym trique e Kiille UK se e Authentification zero knowledge SUPAERO 3 me ann e S curit informatique 2011 2012 198 Le mot de passe e C est toujours la technique reine e Elle combine l identifiant le nom d utilisateur et l authentifiant mot de passe secret e Cet authentifiant est stock disposition du systeme d authentification e sous forme obscurcie e sous forme chiffr e e sous une forme chiffr e r sistante e parfois en clair e Ne pas confondre avec un e passphrase SUPAERO 3 me ann e S curit informatique 2011 2012 199 Un bon mot de passe e Personnel sp cifique chaque individu e Fiable durablement m moris e Resistant qui ne soit pas facile deviner pour un tiers SUPAERO 3 me ann e S curit informatique 2011 2012 200 L attaque des mots de passe e Demander l utilisateur e Dans la poubelle ou sous le clavier e Ala source Cheval de Troie enregistreur clavier e Inversion du codage e Attaque par dictionnaire password cracking N cessite le vol de la forme stock e chiffr e Essais successifs par rapport un dictionnaire pr tabli Prise en compte de r gles de combinaison simples l envers ajout d un ou deux chiffres La recherche exhaustive est accessibles sur les alphanum riques avec une longueur limit e 6 en g n ral Surtout int ressant sur un ensemble de comptes
119. t we only enumerated users name whose ID is between 1000 and 1020 for performance reasons This gives extra knowledge to an attacker which is not a good thing Administrator account name Administrator id 500 Guest account name Guest id 501 TsInternetUser id 1000 NetShowServices id 1001 NetShow Administrators id 1002 IUSR_GABBO id 1003 IWAM GABBO id 1004 DHCP Users id 1005 10 163 156 205 DHCP Administrators id 1006 WINS Users id 1007 Risk factor Medium Solution filter incoming connections this port CVE CVE 2000 1200 BID 353 The host SID can be obtained remotely Its value is GABBO 5 21 642925246 1563965344 2146661 395 An attacker can use it to obtain the list of the local users of this host amp Solution filter the ports 137 to 139 and 445 Save report Close window SUPAERO 3 me ann e S curit informatique 2011 2012 244 Nessus 6 e Plusieurs formats de sortie e Interne NBE NSR e HTML 2 e ASCII e LaTeX e Consulter la page D monstration Renaud Deraison et al 1998 2004 SUPAERO 3 me ann e S curit informatique 2011 2012 245 ISS Internet Wireless System Database Scanner DEIN EDUC RTE on om Dm 8 Aa Ww 4 41 6 4 amp 8 j 1 3 amp amp Bu Ea amp E BALES 4 adrr nblank pw A dmenictrabor 1 O eni m NtSpoofed_pcPort
120. t gies de s curit IP sur Ordinate DIE SUPAERO 3 me ann e S curit informatique 2011 2012 Plan 2 2 e Protection utilis es dans la pratique e Protection r seau et firewall e Syst mes d authentification Chiffrement de flux et VPN Digressions R Z OpenBSD 1984 e Surveiller analyser et g rer e D tection d intrusion e Audit tests d intrusion Administration exploitation et suivi de la s curit Observation et surveillance e Protection des applications usuelles SUPAERO 3 me ann e S curit informatique 2011 2012 248 Administration e Configuration coh rente de nombreux l ments Correctifs automatiques Mise jours TFTP etc Prise en main distante e SSH e VNC Patrol etc e Deport des traces syslog SUPAERO 3 me ann e S curit informatique 2011 2012 Organisation Fonctions e Administration syst me Administration services e Monde Unix d infrastructure e Monde Windows DHCP Active Directory e Administration BD e DNS Administrateurs e Sauvegardes applications e Gestion des postes de Administration r seau travail e Commutation LAN e Configurations types fabrication Mise disposition e D pannage incidents e Routage WAN e Administration s curit SUPAERO 3 me ann e S curit informatique 2011 2012 250 Des l ments diff rents Serveurs e UNIX e Solaris e Linux e AIX e Windows
121. t Act DMCA Comments and Testimony CERT Annual Asenior member of the technical staff atthe CERT Coordination Center submitted all vulnerability notes Reports comments to the Library of Congress Copyright Office and presented testimony at the subsequent Rulemaking Hearing Latest Version Publications by Current Activity Thu Nov 13 16 26 05 EST 2003 CERT CC Staff W32 Swen A Worm WIES MiS2 Sobig F Worm Kcu d New amp Home W32 Welchia Worm i W32 Blaster Worm eS Article Y Exploitation of Microsoft RPC Vulnerabilities Use Care When Reading Email with Attachments Current Activity Archive m ge TT mee SUPAERO 3 me ann e S curit informatique 2011 2012 53 React to Today s Advi P ri N Cl D al e S amp dt Notes advisories incident Nu CA 2003 28 informations Buffer Overflow in Windows Workstation Senice 7 CA 2003 27 diffus es Multiple Vulnerabilities in Microsoft Windows and Exchange CA 2003 26 Multiple Vulnerabilities in SSL TLS Implementations Vulnerability Notes vulnerability notes database New and Notable Vulnerabilities Multiple vulnerabilities in X 400 products Multiple vulnerabilities in S MIME products Multiple vulnerabilities in Microsoft products Microsoft Windows DCOM RPC vulnerability all vulnerability notes Latest Version Current Activity Thu Nov 13 16 26 05 EST 2003 WIZ Swen A Worm W32 Sobig F Worm W32 Welchia Worm W32 Blaster Worm Ex
122. te de travail e Fonction de cache SUPAERO 3 me ann e S curit informatique 2011 2012 oquid R gles de contr le d acces www squid cache org e Deux composants e l ments ACL elements e R gles access lists rules e Combinaison acl type allow deny ac acl acl type allow deny acl acl Exemples utiles acl all src 0 0 http access deny all acl myclients src 1 2 3 0 24 http access allow myclients SUPAERO 3 me ann e S curit informatique 2011 2012 277 oquid ACL elements Squid knows about the following types of ACL elements esrc source client IP addresses dst destination server IP addresses myip the local IP address of a client s connection srcdomain source client domain name dstdomain destination server domain name srcdom regex source client regular expression pattern matching edstdom_regex destination server regular expression pattern matching etime time of day and day of week url regex URL regular expression pattern matching eurlpath_regex URL path regular expression pattern matching leaves out the protocol and hostname e port destination server port number e myport local port number that client connected to e proto transfer protocol http ftp etc method HTTP request method get post etc browser regular expression pattern matching on the request s user agent header ident string matching on the user s name
123. thorized remote administrative access Detailed Information vulnerability exists in Microsoft RPCSS Service that handles RPC DCOM requests such that execution of arbitrary code or a Denial of Service condition can be issued against a host by sending malformed data via RPC The Distributed Component Object Model DCOM handles DCOM requests sent by clients to a server using RPC A malformed request to the host running the RPCSS service may result in a buffer overflow condition that will present the attacker with the opportunity to execute arbitrary code with the privileges of the local system account Alternatively the attacker could also cause the RPC service to stop answering RPC requests and thus cause a Denial of Service condition to occur Affected Systems Windows NT 4 0 Workstation and Server Windows NT 4 0 Terminal Server Edition Windows 2000 Windows XP TTT Anne SUPAERO 3 me ann e S curit informatique 2011 2012 225 ES Prelude IDS Web Front End Filter builder guest Microsoft Internet Explorer Fichier Edition Affichage Favoris Outils a 2 A CA Adresse http tspsecur piwi Filters pl priv_name 8trigger 8pe Alert List HeartBeat Top 20 Attackers Top 20 Attacks Statistics Filter Factory Edit current filter None v Load filter Severity filter Sort by Results per page iv high edi a in kai group by key 9 timestamp Group by Classification Source address Target addres
124. trat d assurance avec Banque AGF il est temps d y penser car vous b n ficierez de conditions privil gi es en passant par notre banque distance D couvrez la gamme Privalis maintenant Banque AGF vous pr sente l occasion de donner vie vos projets les cr dits auto et immobiliers sont d sormais disponibles 24h 24 et 7j 7 Pour les abonn s de Banque AGF distance les pr ts Reflexis commencent 2 90 TEG fixe Etez vous n ophite en bourse Banque AGF en ligne vous pr sente un guide complet qui vous permettra de comprendre les m canismes boursiers ainsi que les termes sp cifiques Vous saurez la diff rence entre les actions nominatives et les bons de souscription et pourrez m me acheter des actions en ligne de votre domicile De plus nous avons une offre sp ciale pour ceux qui travaillent en situation de mobilit externe c est dire avec des assistants num riques personnels PDA ou des t l phones portables multifonctions D s aujourd hui vous pouvez consultez vos comptes en utilisant ces appareils Pour pouvoir profiter de toutes les nouvelles options veillez confirmer vos donn es en passant par le lien en bas de cette page Veuillez agr er l assurance de notre consid ration distingu e Banque AGF 2005 Banque AGF SUPAERO 3 me ann e S curit informatique 2011 2012 22 Exemple de phishin De PayPal lt account access paypal com gt Objet Update Your PayPal Account Date 15 novemb
125. tres industrie administrations m decine ca d pend l Il faut d finir les besoins sp cifiques de l application Politique de s curit SUPAERO 3 me ann e S curit informatique 2011 2012 Axes d action th oriques e Pr vention La pr vention des fautes vise emp cher l occurrence ou l introduction de fautes e Tolerance e La tol rance aux fautes correspond un ensemble de moyens destin s a assurer qu un systeme remplit sa fonction en d pit des fautes e Elimination e L limination des fautes vise r duire le nombre ou la s v rit des fautes e Pr vision e La pr vision des fautes vise l estimation de la pr sence la cr ation et les cons quences des fautes SUPAERO 3 me ann e S curit informatique 2011 2012 15 Plan 1 2 e G n ralit s Propri t s de s curit e Attaques e Mise en uvre dans les organisations e Fonctionnement de la s curit dans une entreprise e Suivi des alertes de s curit e D finition d un sch ma directeur s curit e M canismes de protection g n raux e Cryptographie e Politiques de s curit formelles e Crit res d valuation normalis s SUPAERO 3 me ann e S curit informatique 2011 2012 Les attaquants et leurs motivations e Jeu explorer les limites prouver et tendre ses connaissances d couvrir de nouvelles failles am liorer la s curit hackers pirates crackers en fait e Emulatio
126. tu dans un code tol rant les exceptions SUPAERO 3 me ann e S curit informatique 2011 2012 134 Fun with NULL pointers e Linux 2 6 30 kernel local root exploit e Brad Spengler e cheddar_bay tgz e htto lwn net Articles 341 773 e Jonathan Corbet LWN net 20 amp 21 juillet 2009 e Part 1 http lwn net Articles 342330 e Part 2 http Iwn net Articles 342420 e Comments from various readers SUPAERO 3 me ann e S curit informatique 2011 2012 135 Plan 1 2 e G n ralit s Propri t s de s curit e Attaques e Mise en uvre dans les organisations e Fonctionnement de la s curit dans une entreprise e Suivi des alertes de s curit e D finition d un sch ma directeur s curit e M canismes de protection g n raux e Cryptographie e Politiques de s curit formelles e Crit res d valuation normalis s SUPAERO 3 me ann e S curit informatique 2011 2012 136 Politiques et mod les de s curit La politique de s curit e est l ensemble des lois r gles et pratiques qui r gissent la facon dont l information sensibles et les autres ressources sont g r es prot g es et distribu es l int rieur d un syst me sp cifique ITSEC 1991 e physique administrative logique e Mod le de s curit e Formalisme ou repr sentation math matique e Partition entre entit s actives sujets s passives objets o SUPAERO 3 me ann e S curit info
127. two scans Port scanner tcp connect scan Nmap scan for LaBrea tarpitted hosts SI Chan imum Restore session Delete session Start the scan Load report Quit Start the scan Load report Quit SUPAERO 3 me ann e S curit informatique 2011 2012 242 Nessus 4 E Scanning network from localhost 10 163 155 6 Attack e Portscan Stop 10 163 155 3 Attack L Portscan Stop 10 163 155 4 Attack L Portscan Stop 10 163 155 2 Attack L Portscan Stop 100 163 156 205 Attack Portscan Stop 10 163 156 16 Attack L Portscan Stop 10 163 156 10 Attack L Portscan Stop 10 163 156 9 Attack a Portscan Stop 10 163 156 1 Attack Stop the whole test SUPAERO 3 me ann e S curit informatique 2011 2012 243 W w w w w w S Nessus E Nessus NG Report 1 Severity unknown 1035 tcp Security Wal unknown 1028 tcp Security Note snmp 151 udp Q Security Hole smtp 25 tcp qotd 17 udp qotd 17 tcp printer 515 tcp nntps S63 tcp nntp 113 tcp netinfo 1033 tcp nethios ssn 139 tcp netbios ns 137 udp nameserver 42 tcp 10 163 156 1 D ms term serv 3389 tcp 10 163 155 3 10 163 156 10 10 163 156 16 The host SID could be used to enumerate the names of the local users of this hos
128. uth Gn 7 LI South G GGSN Li For Help press F1 62 90 111 145 Read Write Num A Start ae us SUPAERO 3 me ann e S curit informatique 2011 2012 Elsababi amp vivi C ACH Doc 862 90 1 XnView zigo S Captain M logs for amp 562 90 1 IS Inbox St Rationa RARE Ima Tue 12 Feb 18 24 ra Ex 186 Il 1 irewa CheckPoint F Ex r local Policy Editor Standard File Edit View Manage Rules Policy Topology Search Window Help 181 x Uo XO shea Rd m uso RR EA setup VPN Bisetup Extranet al 4 gl d 53 Security Standard 1E Address Translation Standard HA QoS Standar 5 amp amp amp x X Es Desktop Security Standard SOURCE DESTINATION SERVICE ACTION TRACK INSTALL ON TIME Any 2 LocalMachine Any 8 Drop 1 Alert LE Dynamic Addre Any ealth the DA LL Remote Net a Protect the Enterprise networks 1 DMZ net An Reject Alert Policy Targets An A npe 47 Local Net T Qe g oe y the DMZ El Email_Server TEP pop 3 VPN for selected Enterprise empl El Local Intranet S ICP http accessing servers via the Interne Sales Any Li Remote Intranet ICP ftp Client Encrypt Log Policy Targets Any Web Server I
129. y Intranet Remote Access Co zi she My Intranet K Remote Access y z AC Remote Access Community s E l Extranet Berli Integrity MDS cl MyExtranet London_G AEVRenegotistionTime 3600 x amp Partner ateway E Dallas G ateway cluster ZW Dallas G ateway Communi ty mW IB Tokyo Ga Paris Ga teway teway 4 La For Help press F1 local Read wiite 7 SUPAERO 3 me ann e S curit informatique 2011 2012 207 IPSEC et X AUTH e Extension non standard e Sorte d insertion d une authentification de l utilisateur par mot de passe la RADIUS entre les deux phases IKE Cisco Systems VPN Client Connection Status General Statistics Client IP address 10 1 100 1 Server IP address 172 17 63 213 Encryption 56 bit DES Authentication HMAC MD5 Transparent Tunneling Inactive Tunnel Port 0 Compression None Authenticating user User Authentication for Tacweb x Local LAN access Disabled The server has requested the information Personal Firewall None 2 specified below to complete the user Firewall Policy None authentication Username Note Stateful Firewall Always On status is not represented above To view this status fida right click on the system tray icon If checked this functionality is enabled Password Time connected 00 04 26 Save Password Notifications Reset Disconnect Cancel SUPAERO 3 me ann e S curit informatique
130. y popular e All serious editors do that Users feel more secure still Improving security Using Extensible Lightweight Static Analysis David Evans and David Larochelle EEE Software January February 2002 SUPAERO 3 me ann e S curit informatique 2011 2012 100 In other words e It is not enough to apply patches to secure a system e Also you cannot rely only on firewalls or antivirus or IT security tools Security objectives of a piece of software should be identified Security implies a change in point of view e e g it must not work e unavailable is better than destroyed e which computer is saved first SUPAERO 3 me ann e S curit informatique 2011 2012 101 Another view on project lifecycle Detailed needs Security policy consideration Specs cur nd Security specification Contracts e Development Integration Validation Exploitation Monitoring Management Maintenance M Quid Disposal 4 Security validation configuration SUPAERO 3 me ann e S curit informatique 2011 2012 102 SECURITY EXTERNAL CODE REVIEW PENETRATION REQUIREMENTS REVIEW TOOLS TESTING ABUSE RISK RISK BASED RISK SECURITY CASES ANALYSIS SECURITY TESTS ANALYSIS OPERATIONS zn FEEDBACK FROM REQUINEMEMTS co TESTS AND AND USE CASES TEST RESULTS THE FIELD 1 Code review 2 Architectural risk analysis 3 Penetration testing 4 Risk based security tests 5 Abu

Download Pdf Manuals

Related Search

Related Contents

User`s Manual - Curlin, Inc.    Pastourelle N°129    MANUAL DE USUARIO - Icon Heath & Fitness  V7 Corporate Folio Cover with adjustable stand, black  Manuel d`utilisation application mobile AndroIUT  Manuel SCN 800  Computer Gear 27-4010 power distribution unit PDU  Lirio by Philips Ceiling light 40548/48/LI  

Copyright © All rights reserved. Failed to retrieve file