Article

Cette année, la Hack.lu se déroulera du 16 au 18 octobre à l’hôtel Alvisse Parc au Luxembourg. Deux consultants de BSSI y sont présents et vous font vivre l’évènement avec des conférences ayant particulièrement marqué les esprits.

What the fax ?!

(Par Eyal Itkin, Yaniv Balmas)

Le fax est une technologie qui existe depuis maintenant presque 40 ans. Et pourtant celle-ci est encore largement utilisée par les entreprises, bien que jugée obsolète. Une simple recherche sur Google nous permet de nous rendre compte à quel point le fax est encore d’actualité. Il suffit de chercher « contact us » « fax » et Google nous renvoie près de 500 millions de résultats :

BSSI_Hack.lu_WTF

Cependant, les fax utilisés ne sont plus de simples machines ayant pour seul but d’imprimer des fax. Il s’agit désormais de machines « tout-en-un » (imprimante, scanner, fax, etc.). Ce qui en fait des machines connectées à internet, ainsi qu’au réseau interne des entreprises et particuliers.

Afin de trouver des vulnérabilités, les chercheurs ont procédé à de la rétro-ingénierie d’une machine HP OfficeJet. Les firmwares de toutes les machines HP sont disponibles sur le serveur FTP ftp://ftp.hp.com/pub/, facilitant la tâche des chercheurs.

Il se trouve que le fax dispose d’une bibliothèque JavaScript vulnérable, utilisée pour l’auto configuration du proxy. La vulnérabilité a pour nom Devil’s Ivy (2017), et permet d’exécuter du code à distance.

Afin de contourner les protections du système d’exploitation, les chercheurs ont essayé de trouver un moyen de débugger un exploit sur l’imprimante. Cependant, ils n’ont pas pu en trouver un et en ont ainsi développé leur propre débugger (https://github.com/CheckPointSW/Scout).

Enfin, lors de leurs recherches, ils se sont rendu compte que le protocole T30 permet un débordement de tampon de 4ko lors de l’envoi d’une image en couleur en format PNG.

Ils ont ainsi démontré l’exploitation d’une machine HP OfficeJet, ainsi que la compromission d’une machine Windows via le même réseau. Ces vulnérabilités (CVE-2018-5924 et CVE-2018-5925) affectent près de 300 modèles de machines différentes.

Ainsi, afin d’éviter ce genre d’attaque, il est recommandé de compartimenter l’imprimante (segmentation réseau), ou de ne pas activer le fax s’il n’y a pas de besoin (diminution de la surface d’attaque).

Vidéo de la conférence : https://www.youtube.com/watch?v=qLCE8spVX9Q

Risk Assessment Optimization with MONARC

(par Fabien Mathey)

Fabien Mathey a présenté lors de cette conférence les grandes lignes d’une démarche classique à suivre pendant une analyse de risques, ainsi que les fonctionnalités de l’outil MONARC, qui permet d’optimiser ce processus.

Fabien a commencé par présenter les challenges qui ont poussé à la réflexion et au développement d’un tel projet. Il s’agit de problématiques qui remontent quelques années avant 2012 :

  • L’analyse de risque est généralement non adaptée aux PME
  • Les rapports et documentations à l’issue d’une analyse changent constamment
  • Des problématiques liées au temps et l’argent pour réaliser ce type de missions peuvent exister
  • L’absence d’experts internes pour traiter ce type de missions

Au fil des années, les entreprises ont rapidement réalisé que les mêmes challenges vont souvent être rencontrés lors d’une analyse de risque :

  • Presque toutes les entreprises seront exposées aux mêmes menaces basiques (vol de mot de passe faible, compromission d’une machine non verrouillée, etc.) même si elles sont conformes à certaines normes et bonnes pratiques de sécurité
  • Les mêmes problématiques liées au temps, à l’argent et à l’expertise vont persister.

Fabien a ensuite présenté le projet MONARC. Il s’agit d’un outil permettant d’automatiser la démarche d’une analyse de risque, allant de l’identification des actifs d’un périmètre jusqu’à l’implémentation du plan de traitement des risques associés à l’actif.

Le projet fonctionne suivant le modèle en 4 temps PDCA (Plan, Do, Check, Act), couvre tous les scénarios de risques liés à un périmètre donné, et permet de définir les recommandations associées.

BSSI - PDCA

Ce projet permettrait à un professionnel de gagner du temps par rapport aux risques basiques. Ces risques pourraient être complétés par la suite avec d’autres risques identifiés selon le cas traité. La valeur ajoutée est la génération du rapport final, de façon rapide et personnalisée, et qui serait également exportable au format CSV.

Pour plus d’informations sur ce projet, le code source est disponible sur le dépôt GitHub : https://github.com/monarc-project/MonarcAppFO

Il est également possible de suivre des formations gratuites sur l’utilisation de l’outil sur le site : https://monarc.lu/trainings

Real world Threat Intelligence: examining threats that users face in the wild

(par Elle McKenna)

Elle McKenna (a.k.a. @ElleArmageddon) a découvert le monde de la sécurité de l’information après avoir travaillé dans le domaine des interventions médicales d’urgence, un métier qui lui a permis de développer des compétences en triage et gestion des incidents. Elle a également organisé des groupes de travail afin de former des activistes à la sécurité de l’information.

L’identification du problème, selon Elle, est la première étape d’une mission de « threat intelligence« . Dans le monde des interventions médicales, cette étape consiste à parler avec le patient, identifier ses symptômes, poser les bonnes questions notamment sur les conditions du patient (historique médical) et sur la possibilité d’avoir déjà traité ce cas médical auparavant.

En supposant que le patient est une personne qui a été victime d’une attaque dans le domaine de la sécurité de l’information, Elle a fait l’analogie avec la première étape d’une intervention médicale. Cette étape consiste donc à :

  • Parler avec la cible
  • Identifier l’impact de la menace sur sa vie au quotidien
  • Poser les bonnes questions, notamment sur l’existence d’autres menaces éventuelles dont la personne serait la cible ainsi que sur la possibilité d’avoir déjà rencontré ce type d’attaque auparavant.

La conférencière a également précisé que, tout comme dans le domaine médical, il ne faut pas donner des recommandations en sécurité qui pourraient nuire davantage à la sécurité de la cible dans certains cas.

Elle a ensuite abordé les différents profils de personnes et entités pouvant présenter une menace à un individu :

  • Des « stalkers », généralement des personnes persistantes opérant de façon maladroite
  • Les membres de la famille surprotecteurs
  • Des chefs et responsables fouineurs dans la vie de leurs employés
  • Un partenaire violent
  • Un État répressif
  • Des adversaires politiques

Les recommandations en cas de présence de menaces de la part de ces entités, seraient de :

  • S’assurer que la cible bénéficie d’un système de soutien et d’assistance (amis, collègues, famille)
  • Aider la cible dans sa démarche de création d’un espace et environnement plus sécurisés
  • Mitiger les risques sans lever de suspicions auprès de la cible
  • Réduire les traces que peuvent utiliser les attaquants en réalisant de l’OSINT (bloquer les comptes sur les réseaux sociaux, supprimer des photos suspicieuses, etc.)

Une victime de menaces provenant d’adversaires politiques aurait toutefois besoin d’une protection additionnelle qui serait celle d’assurer la sécurité de ses proches en plus de sa personne.

Finalement, Elle a présenté d’autres mesures plus simples qui peuvent prévenir ces attaques :

  • Être à l’écoute des utilisateurs et identifier leurs besoins et problèmes
  • Chercher des détails sur le cas de la cible avant de recommander des outils et méthodologies
  • Traiter les individus avec respect et dignité

Ecrire un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Catégories
Twitter

TeamViewer bans your ID if you will try to connect with the wrong password and close the connection 10 times, but if you don't finalization a connection (on the screen "Cancel" button), you can brute 4-digit PIN-code.
cmd "C:\PF\TeamViewer\TeamViewer.exe" -i %ID% -P %PIN%

Le 26/09 l'EBG remettra à l'ensemble de la communauté le livre blanc "Cybersécurité et Confiance Numérique" réalisé en partenariat avec @AFNOR, @Certigna et @CESIN_France Pour vous inscrire à la conference @ebg https://t.co/fWQSZHf7Jy … #cybersécurité #EBG

BSSI continue son développement et recherche des compétences en cybersécurité sur Paris et Toulouse. https://t.co/hj4uJ53EVM

La Californie possède sa version du RGPD. #rgpd #privacy #europefirst https://t.co/CtJilpW0z3

Load More...

© 2017 Blog BSSI, inc. All rights reserved.