vendredi 3 avril 2015

Disponbilité de EMET 5.2 - Enhanced Mitigation Experience Toolkit

EMET  (Enhanced Mitigation Experience Toolkit) est disponible dans version 5.2.

Il s'agit d'un utilitaire Microsoft gratuit qui empêche l'exploitation des vulnérabilités logicielles grâce à l'utilisation de technologies de réduction des risques pour la sécurité.
Ces technologies fonctionnent comme des obstacles et des protections spéciales, que l'auteur d'une attaque doit mettre en échec pour pouvoir exploiter les vulnérabilités logicielles.
Ces technologies de réduction des risques pour la sécurité ne garantissent pas que des vulnérabilités ne puissent pas être exploitées. Toutefois, elles font en sorte que l'exploitation soit aussi difficile que possible.
EMET 4.0 et versions ultérieures fournissent également une fonctionnalité d'épinglage de certificat SSL/TLS configurable appelée Certificat de confiance. Cette fonctionnalité a pour but de détecter les attaques d'interception qui exploitent l'infrastructure à clé publique (PKI).

Pour voir les nouveautés, c'est par ici :
Nouveautés EMET 5.2

Lien de téléchargement :
EMET

A noter : 
  • "Opt-In" indique que la fonctionnalité n'est pas activée pour toutes les applications, seulement pour celles ou la fonctionnalité a été activée manuellement.
  • "Opt-Out" indique que la fonctionnalité est activée pour toutes les applications, sauf pour celles ou la fonctionnalité a été désactivée manuellement.
Note du blog Security Research and Defense du Technet:
3/16/2015 UPDATE: We have received reports of certain customers experiencing issues with EMET 5.2 in conjunction with Internet Explorer 11 on Windows 8.1. We recommend customers that downloaded EMET 5.2 before March 16th, 2015 to download it again via the link below, and to uninstall the previous EMET 5.2 before installing the new one.
Lire la suite »

mercredi 18 février 2015

Clusif - Panorama de la Cybercriminalité 2014


Bien le bonjour,

Mise à disposition par le Clusif du Panorama de la Cybercriminalité - Année 2014

Disponible à cette adresse
Clusif du Panorama de la Cybercriminalité - Année 2014

Bonne lecture
Guillaume
Lire la suite »

samedi 7 avril 2012

Renforcer la sécurité de SSH


Voici une base de paramètres pour améliorer la sécurité de SSH basée sur la version 5.5p1-6+squeeze1 (Debian).
Certaines options peuvent déjà être par défaut selon la version du serveur SSH installée.
La configuration est bien sûr à tester et à adapter à vos besoins (RTFM et STFW sont vos amis).
Liste complète fournie par "man sshd_config" et "man ssh_config"

Côté serveur SSH :
vim /etc/ssh/sshd_config


#N’utiliser que le SSH v2, la version 1 contient des failles.
Protocol 2

#Durée autorisée pour rentrer le login et le mot de passe.
#Définir une valeur faible, une valeur trop haute pourrait faciliter une attaque DOS.
LoginGraceTime 60

#Changer le port défaut par exemple 1022. Utilisez -p 1022 pour vous connecter ensuite.
Port 1022

#Spécifier l’adresse de votre interface
ListenAddress XXX.XXX.XXX.XXX

#Déconnecter au bout de 5 min d’inactivité
ClientAliveInterval 300
ClientAliveCountMax 0

#Les requêtes tcpkeepalive ne sont pas chiffrées et peuvent être spoofées
TCPKeepAlive no

#Restreindre l’accès à des utilisateurs et/ou groupes (voir aussi DenyUsers et DenyGroups)
AllowUsers user1, user2
AllowGroups ssh-users

#Refuser root
PermitRootLogin no

#Désactiver les mots de passé vides (par défaut à no)
PermitEmptyPasswords no

#Afficher un message d’avertissement à la connexion
Banner /etc/ssh/ssh_banner

#Vérification des droits et du propriétaire des fichiers de l’utilisateur ssh_keys…
#Par défaut StrictModes yes
StrictModes yes

#Utiliser l’authentification pas clé publique et désactiver l’authentification par mot de passe
#Nécessite bien entendu, la mise en place de l'authentification par clé publique au préalable
PubkeyAuthentication yes
PasswordAuthentication no


# Désactiver le mode de compatibilité RSH
IgnoreRhosts yes
HostbasedAuthentication no

#Configurer /etc/hosts.allow pour n’autoriser votre réseau ou les IP nécessaires
sshd:192.168.1.
#Configurer /etc/hosts.deny pour refuser tout le reste
sshd:ALL

#Nombre de tentative d’authentification par connexion
MaxAuthTries 3

#Désactiver le forwarding
AllowTcpForwarding no
X11Forwarding no

#Journaux
SyslogFacility AUTHPRIV

#Réduire les informations de version renvoyées
#Par défaut
#OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)
#Après :
#OpenSSH 5.5p1 (protocol 2.0)
DebianBanner no



Côté client :
vim /etc/ssh/ssh_config


#Vérifie l’ip et le nom du server pour éviter du spoofing DNS.
HashKnownHosts yes

#Renégocier la clé tous les 1Gb de données échangées.
RekeyLimit 1G


Lire la suite »

vendredi 20 janvier 2012

Mot de passe Windows 7 perdu

Ce n’est pas une nouveauté, mais pour ceux qui ne connaissent pas ça peut économiser une réinstallation et tout ça en moins de 10min.

Il suffit simplement d’un Live CD, linux dans mon cas et de démarrer dessus.
La technique est simple et fonctionne aussi sur Vista normalement.
Il permet de réinitialiser un mot de passe oublié, de créer un compte, d’activer le compte administrateur local…

Le principe est de remplacer l’exécutable Utilman.exe, qui gère les options d’ergonomie, options disponibles dès l’ouverture de session via cet icone bleu image, par l’invite de commande cmd.exe.
Ainsi en cliquant sur l’icône des options d’ergonomie, l’invite de commande se lance et dispose de droits permettant un certain nombre d’opérations d’administration.
Partant du principe que les lecteurs de se blog ont un minimum de bases en informatique, je ne détaillerais pas comment booter sur un cd, lire un fdisk etc…

#Selon le livecd, vous risquez de devoir mettre sudo devant les commande suivantes.

#Afficher la liste des partitions pour savoir quelle partition est celle contenant le système Windows
fdisk –l
#Monter la partition Windows (dans le cas présent 1ere partition du 1er disque dur)
mount –t ntfs-3g /dev/sda1 /mnt
#Se déplacer dans le dossier system32 de la partition Windows
#Attention les majuscules sont importantes
cd /mnt/Windows/System32
#Renommer Utilman.exe
mv Utilman.exe Utilman.exe.bak
#Copier cmd.exe sous le nom Utilman.exe
cp cmd.exe Utilman.exe
#Redémarrer
init 6

Il suffit ensuite de cliquer sur l’icone bleu d’option d’ergonomie pour voir afficher le prompt de l’invite de commande.

Petit rappel des commandes utiles dans le cas présent :
#Afficher la liste des utilisateurs
net user
#Réinitialiser le mots de passe oublié
net user nom_utilisateur *
#Activer le compte administrateur local éventuellement
net user administrateur /active:yes

Une fois terminé, vous pouvez vous connecter avec le mot de passe ainsi modifié.
Pensez à remplacer le Utilman.exe par le Utilman.exe.bak d’origine pour remettre les choses dans leur état initial.
Lire la suite »

lundi 29 août 2011

Introduction au mécanisme de hash en cryptographie

Voici, un billet présentant les fonctions de hachage en cryptographie

Le hachage (hash) est un moyen de vérifier l'intégrité de l'information et donc prouvé que les données transmises n’ont pas été modifiées entre la source et la destination. Les fonctions de hachage permettent de créer une empreinte électronique (fingerprint ou message digest).

Les mécanismes les plus courants pour la vérification de l’intégrité d’un message sont Message Digest 5 (MD5), Secure Hash Algorithm (SHA-1, SHA-256, SHA-384 et SHA-512), Message Authentication Code (MAC) et Keyed-Hash Message Authentication Code (HMAC).

Le chiffrement assure l'intégrité de manière intrinsèque puisque si un bloc de texte chiffré a été modifié, le bloc ne sera pas déchiffré correctement. La signature numérique fournit également l'intégrité, car elle utilise des fonctions de hachage.

integrite_mecanisme_hash

Figure 1 : Les mécanismes assurant l'intégrité

Les empreintes électroniques ou hachages doivent être uniques. Cette unicité est nécessaire parce que deux documents qui sont très semblables ont besoin de créer des hachages complètement différent pour aider à protéger les fichiers d’une falsification.

Une propriété souhaitable de toute fonction de hachage cryptographique est l'effet avalanche. L'objectif est qu’un tout petit changement en entrée doit entraîner un changement important en sortie. Si un attaquant venait à modifier un bit dans le fichier, l’empreinte électronique doit changer d’au moins 50 % de ses bits. Cela empêche un attaquant de comparer deux hachages similaires et de déterminer que ses valeurs proches de hachage signifient que les fichiers sont deux fichiers similaires.

Une fonction de hachage doit avoir les propriétés suivantes :
• Compression : La valeur de hachage a une longueur fixe quel que soit la taille du message.
• Efficacité : Il est relativement facile à calculer pour un message donné.
• Sens-unique : Il est mathématiquement impossible d’inverser le hachage.
• Forte résistance aux collisions : « Impossibilité » d’obtenir deux haches identiques à partir de deux différents messages.

Une fonction de hachage est une « fonction de hachage forte» si elle satisfait toutes les propriétés ci-dessus.

verification_integrite_hash

Figure 2 : Processus de vérification d'intégrité

Lire la suite »

mercredi 29 juin 2011

Le Troyen qui fait réinstaller Windows

Il est des infections qui méritent un peu plus qu’un entrefilet dans une base de signatures. C’est le cas de l’équidé Win32/Popureb.E qu’a analysé avec attention Monsieur Chun Feng du Microsoft Security Research Center, et qui vaut à cette infection tout un billet avec dump à l’appui. Un cheval dont les méthodes d’attaques semblent relativement « bourrines », puisque son imbrication dans le noyau semble résister à toute tentative d’élimination par des moyens conventionnels.
Plus d'information sur l'article : Le Troyen qui fait réinstaller Windows
Lire la suite »

mardi 28 juin 2011

Les stratégies de sécurité des entreprises souvent obsolètes

Selon une étude sponsorisée par l'éditeur Fortinet, davantage d'entreprises françaises que dans le reste de l'Europe n'ont pas de stratégie en sécurité ou ne l'ont pas réévaluée depuis au moins trois ans. Pourtant les menaces ont beaucoup évolué.
Plus d'information sur l'article : Les stratégies de sécurité des entreprises souvent obsolètes
Lire la suite »

jeudi 20 janvier 2011

Les experts de la gendarmerie passent au logiciel libre

Au diapason de la gendarmerie qui adopte les logiciels libres étape par étape, son labo de recherche criminelle, l'IRCGN, adopte de même l'open source. "Nous avons tout intérêt à partager nos outils avec les autres forces de police", explique aux Echos son responsable SI.
Plus d'information sur l'article : Les experts de la gendarmerie passent au logiciel libre
Lire la suite »

dimanche 12 décembre 2010

Protection des mots de passe Cisco

Bonjour à tous ceux qui suivent le blog!
Comme vous avez pu le constater, très peu d'actualités ici depuis quelques temps mais ça devrait revenir doucement à la normale.

Un petit billet, sur la protection des mots de passe sur les équipements Cisco, lié à une petite mésaventure.
J'avais tout simplement perdu le mot de passe telnet d'un switch Cisco. Merci au fait que les mots de passe telnet, console et auxiliaire soient, dans mon cas, cryptés via le "service password-encrytion" et que le cryptage utilisé dans ce cas soit réversible. Il m'a suffit d'aller sur la sauvegarde de la configuration, de passer sur internet avec une recherche du style : decrypt 7 cisco. Et là plein d'utilitaires online pour decrypter le mots de passe.

J'en profite pour faire un petit rappel sur les recommandations Cisco en matière de mot de passe :
  • Utiliser un mot de passe d'au moins 10 caractères. On peut exécuter la commande "security password min-length 10" pour s'assurer que cette recommandation soit respectée.
  • Utiliser des caractères alphanumériques (minuscule et majuscule), caractères spéciaux. Un espace est un caractère spécial valide sauf s'il est utilisé au tout début du mot de passe, dans ce cas il est ignoré.
  • Le mot de passe ne devrait pas être un mot commun que l'ont peut trouver dans un dictionnaire.
  • Créer une politique qui définit quand les mots de passes doivent être changés.
  • Utiliser la commande "enable secret" plutôt que "enable password". La première crypte le mot de passe (MD5) ne permettant pas ainsi de lire le mot de passe à l'œil nu dans la configuration, tandis que la deuxième laisse le mot de passe en clair. La commande "enable password" n'est à utiliser que si l'IOS ne supporte pas la commande "enable secret".
  • Les mots de passe telnet, console et auxiliaires sont stockés en clair dans la configuration. Il est nécessaire d'utiliser la commande "service password-encryption" pour qu'ils soient cryptés. Le service utilise un algorithme de cryptage propre à Cisco basé sur "le chiffre de vigenere". Ce cryptage est facilement réversible comme indiqué au début du billet.
Note : L'encryption MD5 est désignée par un 5 par Cisco. L'encryption propriétaire à Cisco est désignée quand à elle par un 7. Il existe aussi une encryption "6", plus d'informations encrypt pre-shared key.

Le cryptage MD5 n'est pas en reste puisqu'en faisant une recherche "md5 decrypt" vous trouverez un panel de site vous proposant de "décrypter" le hash MD5 de votre mot de passe.
Lire la suite »

lundi 16 août 2010

Cursor Jacking - Proof of concept

Cursor Jacking est une attaque de type ClickJacking qui a pour particularité de "créer" un décalage entre l'endroit où vous semblez cliquer et l'endroit où vous cliquez réellement. De ce fait, un pirate pourrait vous faire, en théorie, cliquer n'importe où dans une page web.

Informations et démonstration sur static.vulnerability.fr
Lire la suite »

mercredi 21 juillet 2010

Lancer un malware sans toucher a la base de registre

Nick Harbour, dans un article publié sur M-unition, s’intéresse aux différentes méthodes permettant de lancer un exécutable sans toucher ni à la base de registre, ni au répertoire de démarrage, ni aux autres méthodes conventionnelles connues à ce jour.

Le principe de son « lanceur de malware » est assez subtil : il repose sur l’ordre de recherche et d’exécution des dll appelées par un programme.

Lire l'article complet : Lancer un malware sans toucher à la BDR : le DLL-Hell frappe encore
Lire la suite »

lundi 19 juillet 2010

Nouvelle faille de sécurité Windows toutes versions

Dans un bulletin de sécurité publié le 16 juillet, Microsoft confirme l'existence d'une vulnérabilité non corrigée de son système d'exploitation Windows. D'après les premières informations communiquées, la faille se situe au niveau du composant Windows Shell et découle d'une erreur dans le traitement des fichiers de raccourci en .LNK.

Selon Microsoft, cette vulnérabilité affecte les différentes versions de l'OS, à savoir 2000, Windows XP (dont le SP2 qui n'est plus supporté et ne bénéficiera dont pas d'un correctif), Vista, Seven, Server 2003 et 2008.

lire l'article complet : Découverte d'une faille de sécurité affectant toutes les versions de Windows
Lire la suite »

mercredi 26 mai 2010

Le Tabnabbing un nouveau type d'attaques par Phishing

Le Tabnabbing est un nouveau type d'attaques par Phishing visant à modifier le contenu d'un onglet déjà ouvert et cela après une période définie d'inactivité. Elle part du principe que la vigilance est moindre dès lors que des actions malicieuses interviennent sur un onglet ouvert préalablement.
Un chercheur vient d'exposer un nouveau type d'attaque par Phishing autorisant son instigateur à se servir d'un script qui va s'exécuter dans le but de modifier, après un certain laps de temps, le contenu de la page dont il est issu. Cette technique est bien entendu dépendante du fait que la victime navigue au préalable sur un site contrôlé par l'attaquant et que le script en question puisse être exécuté.

Lire l'article complet : Le Tabnabbing un nouveau type d'attaques par Phishing
Lire la suite »

jeudi 13 mai 2010

IAWACS 2010 PWN2KILL, ils en parlent

La deuxième édition du concours IAWACS (International Alternative Workshop on Aggressive Computing and Security) a eu lieu à Paris, à l'ESIEA, le week end dernier.

L'objectif était de passer outre la protection du logiciel antivirus dans un environnement Windows 7 en mode utilisateur, sans connexion internet et avec les applications communes installées (Suite Microsoft, Suite OpenOffice, Pdf reader...).

Les résultats sont très loin d'être glorieux pour les antivirus. Voici une liste d'articles sur le sujet :

iAWACS 2010 : les antivirus déjoués en masse
iAwacs 2010 ou la défaite par K.O. des antivirus
Challenge iAWACS 2010 : comment les antivirus sont tombés
iAwacs 2010, la sécurité informatique est un sport de combat
iAwacs 2010, sécurité sans obscurité
iAwacs 2010 : des virus et des hommes
iAwacs 2010, sur les traces des perversions polymorphes
Bilan iAWACS 2010 : les outils de sécurité tombent, il faut revoir les politiques de sécurité
Challenge PWN2KILL : les antivirus pas assez efficaces
Quinze antivirus mis en échec par des étudiants en informatique
le marketing des antivirus contesté lors du concours Pwn2kill
Lire la suite »