15 juin 2018

Retours sur le SSTIC – 16e édition – Jour 2

SSTIC

Machines virtuelles protégées

(Par Jean Baptiste Galet)

Jean Baptiste Galet a commencé par poser une problématique sur les moyens qu’il faut utiliser pour protéger une machine virtuelle sensible (administration réseau, stockage ou sauvegarde) d’un attaquant déjà positionné au niveau de l’hyperviseur ou du serveur physique de la victime.

D’après l’orateur, les objectifs de cette protection sont les suivants :

  • Disposer d’un hyperviseur de confiance
  • Obtenir une séquence de démarrage intègre de la VM, grâce à la combinaison des fonctionnalités « secure boot » et « trusted boot », le chiffrement « full disk » basé sur le TPM, ainsi que l’attestation à distance du bon démarrage de la machine via le TPM et les journaux UEFI.
  • Assurer la confidentialité des données par du chiffrement (disques durs, snapshots, trafic lors des migrations entre hyperviseurs)
  • Protéger la mémoire vive
  • Limiter les accès à la machine

Pour illustrer ces objectifs, deux grandes solutions ont été étudiées lors de cette présentation, à savoir : la virtualisation sur VMWare et la virtualisation sur Hyper-V.

La première solution VMWare 6.5 propose deux principales fonctionnalités de sécurité pour répondre aux objectifs cités :

  • ESXI secure trustedbootVM Encryption: assure la confidentialité des données au travers du chiffrement de disques virtuels, de snapshots et de données de configurations sensibles (TPM)
  • Encrypted vMotion: assure le chiffrement applicatif entre hyperviseurs, avec la génération d’une clé éphémère à chaque migration de machines virtuelles

La version VMWare 6.7, quant à elle, introduit de nouvelles fonctionnalités :

  • La capacité de réaliser des attestations à distance sur des ESXi
  • Les TPM virtuels et le support de VBS pour Microsoft

Quant à Hyper-V, Jean Baptiste a commencé par rappeler les deux fonctionnalités qui ont vu le jour avec le système d’exploitation Windows 10 Entreprise à savoir « Credential Guard » et « Device Guard ». Ces fonctionnalités permettent respectivement d’empêcher la récupération des données d’authentification en clair de LSASS en les isolant de manière sécurisée, ainsi que de protéger la machine hôte de l’exécution de codes malveillants non signés en se basant sur une politique créée par l’utilisateur.

Pour conclure, il souligne que les deux solutions de virtualisation avec VMWare et Hyper-V restent perfectibles et complexes à mettre en œuvre, et dont il faut poursuivre les travaux afin de répondre à l’intégralité des objectifs de la sécurité des machines virtuelles.

Pycrate : tester les systèmes télécoms et cellulaires avec Python

(Par Benoit Michau)

Benoit Michaud, membre de l’ANSSI, nous a présenté comment tester les systèmes télécoms et cellulaires grâce à python.

Pour ce faire, il a développé une bibliothèque permettant d’interagir avec de l’ASN.1. Ce système de sérialisation est un standard international spécifiant une structure de données dans le secteur des télécommunications et des réseaux.

L’idée de Benoit est venue lorsqu’il s’est rendu compte de l’état actuel des bibliothèques open source. D’après lui, celles-ci sont soit incomplètes (asn1c, erlang), ou ne font pas le travail qu’il souhaitait.

La solution a donc été d’écrire un compilateur, ainsi qu’un moteur d’encodage ASN.1. Ceci n’est donc pas une application en soi. Néanmoins, cela permet de faciliter le développement d’outils utilisant ce standard. L’orateur donne notamment l’exemple d’un cœur de réseau mobile 3G (femtocells), 4G (eNodeBs), et rend aussi possible le test de différents protocoles spécifiques aux réseaux mobiles (SS7, TCAP, MAP).

En somme, ce projet disponible sur GitHub facilite grandement la tâche des audits des environnements télécoms.

Lien du projet : https://github.com/anssi.fr/pycrate

ProbeManager: Outil centralisé de gestion de sondes IDS

(Par Matthieu Treussart)

Au cours de cette présentation de 15 minutes, Jean Baptiste a présenté un outil de gestion de sonde réseau qu’il a développé.

L’outil en question est un outil open source « Probe Manager » qui centralise le management des IDS comme Suricata.

Les objectifs de l’outil est de faciliter :

  • Le déploiement et la mise à jour des sondes
  • L’automatisation et la configuration des sondes (via une API notamment)
  • Le monitoring des sondes

L’auteur a ensuite présenté les mécanismes de déploiement de l’outil qui se fait principalement via SSH.

Actuellement l’outil est compatible avec Suricata, Bro et OSSEC prochainement.

La présentation s’est terminée par une présentation de l’interface d’administration de l’outil et un exemple d’intégration d’une sonde avec l’outil en question.

Les rumps

Le SSTIC ne serait pas vraiment le SSTIC sans ses rumps ! Au total, c’était une vingtaine de présentations de 4 minutes chacune ou le public a le droit d’interrompre à tout moment le speaker.

Exercice délicat ou se mêlent SSTIC QUIZ, qualité du rétrojecteur, les problèmes d’iOT, le piratage de machine à café ou encore comment répondre à un CFP. On y trouve de tout dans une ambiance bonne enfant ou les trolls et les fonds d’écran licorne se croisent.

Le Social event

Enfin, cette deuxième journée du SSTIC est annuellement marquée par le Social event. Celui-ci a permis de partager sur les présentations des deux premiers jours ou encore retrouver de vieilles connaissances.

BSSI-Centre-Congres

 

Régis Senet

Régis Senet :
Consultant BSSI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *