Archive

Archive for April, 2011

Cours “Techniques de recherche, d’investigation et de camouflage sur Internet” 5 mai à Québec dans le cadre du Colloque Sécurisanté

April 29th, 2011 No comments

Techniques de recherche, d’investigation et de camouflage sur Internet

-

C’est avec un immense plaisir que je donnerai la formation “Techniques de recherche, d’investigation et de camouflage sur Internet” le 5 mai prochain en partenariat avec le Colloque Sécurisanté 2011 et AFI Expertise.

Il reste encore des places de disponibles mais faites vite!!!

Description du cours

Le cours « Techniques de recherche, d’investigation et de camouflage sur Internet » est une formation de niveau de base/intermédiaire d’une durée d’un jour. Il ne s’agi pas d’un cours de piratage ou de hacking nécessitant des connaissances techniques particulières, mais plutôt d’une formation s’adressant à une clientèle de niveau intermédiaire désirant parfaire ses techniques afin d’effectuer diverses recherches et investigations sur Internet tout en camouflant ses traces et en protégeant son identité.

Ce cours débute par un survol de l’architecture d’Internet, des composantes réseaux comme les routeurs, les coupe-feu, les serveurs proxy, etc… Il couvre par la suite avec des notions comme le protocole TCP/IP, les services tels que DHCP, DNS, WHOIS, Nslookup, etc… Ceci à pour bût de faire une mise à niveau rapide afin de s’assurer que tout les étudiants soient sur la même page et pour qu’ils puissent avoir une meilleure compréhension générale du fonctionnement des réseaux et d’Internet.

Ensuite, le volet recherche et enquête aborde les réseaux sociaux comme par exemple Facebook, Twitter ou LinkedIn. Il traite également des fureteurs Internet (ex : Internet Explorer, Firefox), des moteurs de recherches tels que Google et de certains outils et sites Web permettant de trouver de l’information publiquement disponible sur Internet. Les courriels, les forums de discussions et le clavardage sont également adressés dans ce module.

La section sur la protection d’identité explique comment et surtout pourquoi il est important de protéger et parfois de cacher sont identité sur le Web. Elle traite également de cas réels.

Le chapitre sur le camouflage explique comment cacher ses traces et rester le plus anonyme possible sur Internet, et tout spécialement lors d’une enquête. Elle explique l’utilisation de serveurs proxy anonymes et de machines virtuelles dans le but de cacher sa provenance et son identité.

Le dernier module est constitué d’une simulation d’enquête sur des cibles réelles cachée sur Internet et qui sont prévues à cet effet. Le but de l’exercice est de mettre en pratique les notions apprises durant le cours.

Qui devrait assister à cette formation?

– Les enquêteurs privés ou autre

– Les forces de l’ordre et services de police

– Personnel des ressources humaines

– Quiconque ayant à effectuer des investiguations sur Internet

– Personnel en technologie de l’information

Ce cours est également disponible sur demande peut être personnalisé et adapté selon les différents besoins. Pour plus de renseignements ou pour toutes autres demandes vous pouvez me contacter par courriel à [email protected] ou par téléphone au 418-955-2355.

SANS SEC504: Hacker Techniques, Exploit & Incident Handling en français à Québec du 25 mai au 1 juin 2011.

April 13th, 2011 No comments

SEC504: Hacker Techniques, Exploit & Incident Handling

En français à Québec du 25 mai au 1 juin


Description du cours

Afin qu’une organisation soit en mesure de lutter, adéquatement, contre les cyberattaques, le personnel en charge de la gestion des systèmes et de la sécurité informatique doit, indéniablement, connaître le fonctionnement des attaques perpétrées, pour établir des mécanismes de défense appropriés.C’est la raison pour laquelle la formation offerte par le SANS intitulée : Sécurité 504, Techniques de piratage, exploit et gestion d’incident « Security 504, Hacker Techniques, Exploits and Incident Handling » se retrouve au deuxième rang, des cours les plus populaires du SANS. Cette formation se distingue, principalement, par son caractère unique, surpassant le niveau de cours des autres organisations. En effet, le SANS enseigne l’utilisation des outils d’attaque (comme d’autres le font), mais également la manière d’arrêter ces offensives (ce que d’autres ne font pas). Le cours SEC 504, vous permettra d’apprendre à contrer efficacement les attaques, en vous aidant à comprendre en détail les tactiques et stratégies utilisées par les pirates informatiques. Il vous permettra, également, d’acquérir l’expérience pratique, à travers les exercices de recherche de vulnérabilité et de découvertes d’intrusions, vous dotant, également, d’un plan de gestion d’incident adéquat.

Ce cours traite des plus récents vecteurs d’attaques jusqu’aux attaques les plus classiques, toujours d’actualités. Plutôt que de limiter l’enseignement à quelques exemples ou trucs d’attaque, ce cours inclut un processus de gestion des incidents, ayant fait ses preuves au fil du temps. Afin d’apprendre à vous préparer contre les attaques et à y répondre efficacement, ce cours fourni une description détaillée des multiples façons avec lesquelles, les attaquants s’y prennent pour compromettre les systèmes informatiques. Les différents ateliers pratiques, vous aideront à comprendre les méthodes utilisées pour détecter les failles de sécurité, avant que les pirates ne s’en chargent à votre place. De plus, ce cours explore certaines questions juridiques liées à la gestion des incidents, y compris la surveillance des employés, la collaboration avec les forces de l’ordre et la manutention des éléments de preuve.

Le cours, lorsque donné en format mentorat, est constitué de 10 sessions hebdomadaires et est divisé en 7 sections :

• Introduction au SANS et orientation vers la certification du GIAC

• Gestion d’incident étape par étape et investigation de crime informatique

• Exploits informatiques et réseaux, partie 1

• Exploits informatiques et réseaux, partie 2

• Exploits informatiques et réseaux, partie 3

• Exploits informatiques et réseaux, partie 4

• Part 6: Atelier d’outils de piratage

Ce cours s’adresse particulièrement aux personnes faisant parti d’une équipe de gestion d’incident. Il s’adresse également, de façon générale, aux praticiens en sécurité, aux administrateurs de systèmes et aux architectes de sécurité. Il permet de comprendre la conception, la construction et l’exploitation de leurs systèmes, de manière à prévenir, à détecter, et à répondre aux attaques. Le cours SEC 504, vous aidera dans la préparation de la certification du GIAC Certified Incident Handler.

La description complète du cours est disponible en anglais sur le site Web du SANS.

Ce court vidéo (en anglais) donne un bref aperçue de la formation SEC504.

← Calendrier des formations

Les « Advanced Persistent Threat » (APT) : Une nouvelle génération d’attaque qui frappe fort!

April 7th, 2011 1 comment

Récemment, la compagnie RSA, notamment connue pour ses jetons SecurID, ses faits « hacker ». En effet, le grand patron de RSA, Art Coviello, expliquait dans une lettre ouverte que la compagnie avait été victime d’une attaque de type « Advanced Persistent Threat » (APT). Toutefois, le niveau de détails des informations divulguées dans le communiqué concernant l’attaque resta vague

Suite à cette annonce, vous devinerez que la machine à rumeurs s’est enclenchée à pleine vapeur et que les blogues de sécurité se sont mis à regorger de « posts » à cet effet… Une des craintes principale reliée à cette attaque était que l’ensemble de tous les « seeds » des jetons SecurID ait été volé.

Selon certaines sources, l’intrusion ou l’extrusion, dépendamment comment on voit les choses, aurait été réussie à l’aide de courriels de type « Spear Phising » ou si vous préférer, d’hameçonnage ciblé. Cette attaque ciblait un groupe spécifique d’individus travaillant pour RSA. Ils auraient reçu un courriel ayant comme sujet «2011 Recruitment Plan». Ce dernier s’étant retrouvé dans le « spam folder », un des employés l’a ressorti pour l’ouvrir. Le courriel contenait un attachement qui était un document Excel ayant pour nom : « 2011 Recruitment plan.xls ». Hmmm Intéressant! Le chiffrier Excel contenait un zero-day exploit qui installait un backdoor sur le poste de la victime via une faille dans Flash de Adobe (CVE-2011-0609). Il est à noter que Adobe a maintenant corrigé la faille. Le backdoor en question était une variante de l’outil de gestion à distance Poison Ivy. Devinez ce qui arriva lors que l’employé en question cliqua sur l’attachement… Il n’en fallait pas plus pour donner aux pirates l’accès au réseau de RSA. L’autre portion du défi était de réussir à se faire un chemin jusqu’à la « voûte » contenant les seeds, ce qui semble avoir été réalisé avec succès! Il est a noté que les employés ciblés n’étaient pas ce qu’on appel des « High Value Target » (Cible de grande valeur), mais bien des employées plus bas dans la « chaine alimentaire » de RSA. Cela n’a toutefois pas empêché les attaquants de se frayer un chemin jusqu’à la caverne d’Alibaba!

Mais qu’est-ce qu’un « seed »?

Chaque jeton SecurID est provisionné avec un “seed” unique. Ce seed est en fait la clé qui, lorsque combinée à un algorithme développé par RSA, sert à générer le code unique (token code) qui change habituellement aux 60 secondes. Pour s’authentifier avec un jeton SecurID, il faut avoir 1) le nom d’utilisateur, 2) le NIP, 3) le token code.

Comme le nom d’utilisateur et le NIP peuvent être récupérés de différentes façons ( Key logger, fichier de mots de passe, Post It (Ouach!) etc…) la seule protection qui reste est le token code qui change toutes les 60 secondes et qui ne peut être réutilisé à l’intérieur de la même minute afin de contrer les « replay attacks ». Ce type d’attaque consiste à « sniffer » ou, si vous préférer, à intercepter une connexion contenant dans ce cas-ci : 1) le nom d’utilisateur, 2) le NIP, 3) le token code et à réutiliser le tout afin de se faire passer pour l’utilisateur légitime du jeton SecurID.

Or, le problème avec un vol de seeds, est que la personne qui les détient peut les importer dans un outil comme CAIN, qui est en mesure de calculer le token code d’un jeton à partir de son seed. Donc si quelqu’un vole les seeds et qu’il réussit à compromettre le poste d’une victime, il lui serait possible d’obtenir le username et le NIP de sa victime (tel que mentionné ci-haut) pour éventuellement atteindre un ou des systèmes (s) utilisant une authentification forte avec un jeton SecurID. En résumé, l’attaquant n’aurait pas besoin du jeton SecurID pour s’authentifier. Je tiens à préciser qu’il est également possible de voler les seeds directement sur le serveur RSA d’une entreprise. Alors si un attaquant réussit à compromettre votre serveur RSA (si vous en avez un), il pourrait éventuellement voler les seeds pour les utiliser contre vous par la suite. Cette attaque est donc possible que RSA se soit fait « hacker » ou non. Tout ceci est bien beau, mais jusqu’ici, il n’y rien de bien nouveau.

Advanced Persistent Threat (APT)

Si je prends une chance de traduire le terme « Advanced Persistent Threat » (APT) en français, cela donne quelque chose comme « Menace Persistente Avancée » (MPA). Mais qu’est-ce qu’une APT? En fait, l’attaque qu’à subit RSA (décrite ci-haut) en est un bon exemple. Il s’agit d’une combinaison de plusieurs éléments. Par exemple, un attaquant peut utiliser un technique de « Spear Phising » ou si vous préférer, d’hameçonnage ciblé ou encore d’harponnage (au sens figuré bien sur ;-). Cette technique consiste à envoyer un courriel à quelqu’un ou à un groupe ciblé (et non au hasard comme le fait le spam de masse). L’attaquant prend bien soin de s’assurer que le sujet du courriel sera d’intérêt pour sa victime. Dans mon cas, un bon exemple serait si quelqu’un m’envoyait un courriel avec le sujet « Bière gratuite !»… ;-) L’idée est de tenter de rendre le courriel suffisamment crédible et intéressant afin que le destinataire l’ouvre et le lise. Une fois le courriel ouvert, l’attaquant doit convaincre la victime de cliquer sur un lien ou sur un attachement ayant un contenu malicieux. Par exemple, ce contenu peut être un zero-day exploit (je ne sais pas pourquoi je pense à Adobe… ;-). Il peut s’agir d’un backdoor ayant été encodé de façon à ne pas être détecté par les antivirus. Ou encore, d’un lien pointant vers un javascript malicieux qui une fois exécuté par le fureteur sur le poste (via une attaque de XSS ou autre) permettra à l’attaquant d’exécuté du code arbitraire afin de prendre contrôle du poste àa distance, etc… Je crois que vous comprenez l’idée.

Un autre des éléments constituant une APT est qu’une fois qu’un poste est compromis, ce dernier sert de relai à l’attaquant afin de lui permettre de compromettre le reste du réseau. C’est en quelque sorte sa porte d’entrée sur le réseau de sa victime. Prenons par exemple le scénario du poste ayant été compromis par un backdoor via une attaque de spear phising. Dans ce cas, c’est le backdoor qui initie une connexion en sortie via un protocole habituellement permis comme HTTPS par exemple. Cette façon de faire permet de contourner plusieurs mécanismes de défense tels que les serveurs Proxy, les Coupe-feu ou les IDS. Une fois la connexion en sortie établie, l’atta vers le poste de l’attaquant, ce dernier à tout le loisir de contrôler à distance le poste de sa victime afin de tenter de se frayer un chemin sur le réseau à partir de l’intérieur même du réseau. Il est également possible qu’un attaquant « vive » pour une période prolongée sur le réseau de sa victime, de là le mot « persistant ».


L’humain

Selon vous, quel est le point faible dans tout cet étalage de technologies et d’attaques les plus sophistiquées les unes que les autres? L’humain, tout simplement. En fait, les chances de succès d’une attaque de type APT sont très minces si l’attaquant ne parvient pas à « exploiter » l’humain. Les entreprises auront beau investir des fortunes afin de se doter des meilleures technologies en sécurité, mais si les employés, l’humain, est laisser de côté lors de l’élaboration de la stratégie globale de sécurité, c’est perdu d’avance.

Nous ne sommes pas la NASA

J’entends trop souvent les fameuses phrases :

1) « Nous ne sommes pas la NASA… » ;
2) « Nous ne nous sommes jamais fait hacker »;
3) « Mais qui voudrait s’en prendre à nous? »

Si vous faites parti ce ceux qui pensez cela, laissez-moi vous posez quelques questions:

1) Si vous répondez que vous n’êtes pas la NASA lorsque vous propose d’améliorer votre sécurité, êtes-vous en train de dire qu’elle n’est pas « si importante » que cela? Que ça ne vous fera rien de faire la première page du journal suite à une brèche importante, de perdre votre crédibilité ou la confiance de vos clients? Alors si non, pourquoi avez-vous investi dans des solutions sécurité comme des antivirus, des coupe-feu, etc… ?

Si le bût était de vous protéger, l’attaque qu’à subit RSA qui contournait tous ces mécanismes de défense ne devrait-elle pas vous faire penser différemment? Après tout, la sensibilisation ne coûte pas si cher que ça et peut s’avérer très efficace.

2) Soyons sérieux et disons les vraies affaires. La question n’est pas de savoir « Si » nous nous sommes fait hacker, mais plutôt « quand » ou « combien de fois ». Si des compagnies importantes comme Microsoft, Google, RSA, Adobe, Juniper, DuPont, Walt Disney, Sony, Johnson & Johnson, General Electric, etc… possédant d’importants moyens de sécurité, se sont faire « hacker », je me demande sérieusement comment est-il possible pour quelqu’un d’affirmer avec certitude: « Nous ne nous sommes jamais fait hacker ». Ce n’est pas parce que nous ne savons pas que quelque chose s’est produit, que ce n’est jamais arrivé… Un vrai bon « hack » ne parrait pas et ne laisse pas de traces… Êtes-vous toujours aussi certain de ne jamais avoir été « hacké »?

3) À la question : « Mais qui voudrait s’en prendre à nous? », je répondrais : La terre entière! Il faut savoir que de nos jours, un des principaux vecteurs d’attaque est le Web. Qui ne surf pas sur Internet aujourd’hui? Or plusieurs sites Web distribuent du code malveillant à l’issue des internautes. Et je ne parle pas seulement des sites Web louches, mais également de sites légitimes connus ayant été compromis afin de rejoindre le plus grand nombre de victimes potentielles possibles. Juste à penser au site Web de Lenovo qui en octobre dernier distribuait un backdoor ou encore à d’autres sites légitimes qui distribuent du malware de différentes façons. Tout ce code malveillant peut être utiliser pour compromettre des postes au hasard. Il ne faut pas se limiter à penser que seuls vos « ennemis » ou vos compétiteurs tenterons de vous attaquer. Dites-vous qu’un « hack » ou qu’une attaque est comme la maladie et peut frapper sans discernement.

En conclusion

J’aimerais terminer en vous disant que l’humain doit maintenant faire partie de la stratégie globale de sécurité et qu’il faut cesser de faire l’autruche en se disant que tout est beau parce que nous avons investis dans des solutions xyz. Il n’y a rien de pire que d’avoir un faux sentiment de sécurité. Comprenez-moi bien, je ne dis pas que ce n’est pas bon, mais bien que maintenant, ce n’est plus suffisant.

– Michel

Powered by Netfirms