Hackfest @ WAQ2011

658 vues

Publié le

Publié dans : Technologie, Business
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
658
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Hackfest @ WAQ2011

  1. 1. HackfestCommunication Sécurité Orienté Service Hackfest Communication, 2011 Creative Commons Attribution-NonCommercial-ShareAlike 2.5 Canada License
  2. 2. Qui sommes-nous?
  3. 3. Patrick Mathieu
  4. 4. Allô !• Mon expérience en sécurité/hacking?• Mon But dans la présentation • Comprendre les impacts de l’insécurité en entreprise et au gouvernement • Expliquer le cycle de développement sécuritaire• Le tout techniquement
  5. 5. Nicolas-Loïc Fortin
  6. 6. Hello !• Mon expérience en sécurité/hacking?• Buts de la présentation • Comprendre le fonctionnement de la sécurité d’entreprise appliqué au Web • Expliquer les éléments de sécurité haut niveau
  7. 7. Commençons!
  8. 8. index.php• Historique• Mythes• Les attaquants• Architecture et sécurisation• Confiance transitive• Techniques & cas réels• Exemples
  9. 9. Historique
  10. 10. Crypto moderne 76 19 et 7519 CC mab @ flickr (Flickr)
  11. 11. Crypto 8318
  12. 12. IDS 8619 CC ronkok (Flickr)
  13. 13. Anti-Virus 8719 CC SlipStreamJC (Flickr)
  14. 14. Firewall 1 9 19 à 88 19Page AAAA MM JJ | CONFIDENTIEL
  15. 15. SSLSSL49 19 CC Darwin Bell (Flickr)
  16. 16. Dev Infra1883 Principe de crypto1975 Crypto symétrique moderne1976 Crypto asymétrique1986 IDS1987 Antivirus1988 Firewall 1G (packet filter)1990 Firewall 2G (stateful)1991 Firewall 3G (application level)1994 SSL1995 CGI, Perl ?1997 ASP, JSP1998 EJB, J2EE, DCOM1999 SOAP, XML2001 REST, SOAP2003 Web 2.0
  17. 17. Page AAAA MM JJ | CONFIDENTIEL
  18. 18. Mythes CC Lee Nachtigal (Flickr)
  19. 19. Les mythes de la sécurité• Voici le principal élément à comprendre et à retenir: • Il n’y a pas de boîte magique...
  20. 20. CC ? (Flickr)
  21. 21. Chiffrement des données• l’utilisation du httpS (SSL)• Ne change rien! • Qu’un site Web soit chiffré ou non, notre navigateur Web télécharge toutes les informations.
  22. 22. Le firewall• Ne nous protège pas “réellement” des attaques• Un utilisateur peut tout de même visiter et télécharger des données depuis un site malicieux
  23. 23. Information disclosure• Qu’est-ce que c’est?• Toute faille, quel que soit son impact, doit être considérée et approfondie.• Faible risque, Mais, l’accumulation = risque++
  24. 24. Sécuriser l’élément à risque• Souvent, on sécurise seulement l’endroit considéré comme à risque• Toutefois, en verrouillant la porte de notre maison, on n’empêche pas quelqu’un d’entrer par la fenêtre... Fail • En informatique, c’est le même principe
  25. 25. À l’attaque! CC Mightyohm (Flickr)
  26. 26. Qui sont-ils?• Depuis plus de 10 ans• 80% des attaques s’exécutent à partir de l’intérieur • Erreurs humaines • Employés • Espionnage industriel (12 milliard*)• 2millions sécurité VS 78 millions de perte * http://www.lesaffaires.com/archives/generale/les-menaces-qui-pesent-sur-votre-entreprise/504041
  27. 27. Risques réels
  28. 28. Facilité d’exécuter une attaque• Outils gratuits disponibles• Facilité des nouvelles technologies• Aucun système n’est 100% sécuritaire• La sécurité est rarement intégrée dès le début d’un projet• Plusieurs attaques sont réalisables en mois de 10 minutes... (voir exemples)
  29. 29. C?
  30. 30. Architecture CC enfilm (Flickr)
  31. 31. CC ...-Wink-...l (Flickr)
  32. 32. bla bla bla bla bla bla bla bla bla bla bla bla blabla bla bla bla bla bla bla bla bla bla bla bla blabla bla bla bla bla bla bla bla bla bla bla bla blabla bla bla bla bla bla bla bla bla bla bla bla blabla bla bla bla bla bla bla bla bla bla bla bla blabla bla bla bla bla bla bla bla bla bla bla bla blabla bla bla bla bla bla bla bla bla bla bla bla blabla bla bla bla bla bla bla bla bla bla bla bla blabla bla bla bla bla bla bla bla bla bla bla bla blabla bla bla bla bla bla bla bla bla bla bla bla blabla bla bla bla bla bla bla bla bla bla bla bla bla
  33. 33. Qu’est-ce qu’un cadre normatif?• Un programmeur ne pense pas comme un analyste en sécurité• L’analyste en sécurité peut aider le programmeur et, par la suite, effectuer un audit de sécurité• Réduit le risque d’erreurs de base
  34. 34. One day Alice came to a fork in the road andsaw a Cheshire cat in a tree. Which road do Itake? she asked. Where do you want to go?was his response. I dont know, Aliceanswered. Then, said the cat, it doesntmatter.—Lewis Carroll
  35. 35. Les impacts CC spettacolopuro (Flickr)
  36. 36. Intégrité, confidentialité, disponibilié• Perte d’intégrité: • Modification du site Web (images porno, redirection, hameçonnage, etc.) • Modification des textes (textes diffamatoires, insultes, vulgarités) • Modification des données (données financières, médicales, etc.)• Perte confidentialité: • Documents confidentiels • Accès aux applications et aux données• Perte disponibilité: • Système hors fonction ou dysfonctionnel
  37. 37. Les impacts sur les données de mission • Perte d’intégrité, de disponibilité et condifentialité• Perte financières• Perte de clients, de fournisseurs, etc.• Perte de confiance• Dégradation de l’image publique de l’entreprise• ...
  38. 38. Gouvernance CC ? (Flickr)
  39. 39. C?
  40. 40. C?
  41. 41. C?
  42. 42. Doctrine CC Army.mil (Flickr)
  43. 43. Cycle de développement sécuritaire Analysele projet dès le départ Introduction de la sécurité dans Rédaction à partir du guide vert/dmr incluant les éléments de sécurité Formation et Conception sensibilisation Architecture et développement Cadre normatif de développement sécuritaireRéduction de certains risques de base VérificationRevalidation de toutes les mesures de sécurité Implantation la sécurité Implantation et validation de Tests de sécurité Maintenance Validation des éléments de sécurité Valider chaque correctif et nouveau module
  44. 44. Défense en profondeur CC Steve B Chamberlain (Flickr)
  45. 45. 3 tiersApplications Serveurs Données
  46. 46. Stratégie de zonage CC Julep67 (Flickr)
  47. 47. C?
  48. 48. classification données CC libraryman (Flickr)
  49. 49. Droit d’accès minimum CC Sebastian Niedlich (Grabthar) (Flickr)
  50. 50. Vérification CC ? (Flickr)
  51. 51. Confiance transitive CC Tojosan (Flickr)
  52. 52. Types d’attaques
  53. 53. SQL Injection
  54. 54. Tekniks
  55. 55. Mais où est le bug?• Cookie• Variable Get (victim.com/script.php? var=valeur)• Formulaire (POST)• Ajax (XMLHttpRequest)• ...
  56. 56. Fonctions sensibles• System(), Passthru(),...• mysql_query()• TOUS les intrants!• Upload• Canaux de communication (socket, fichier,s site web,...)
  57. 57. Information disclosure• Qu’est-ce que c’est? • Directory listing • Code source • Config par défaut • Extension (.bak, .old, ~bak, ~old, ...)• Faible risque Mais! Accumulation=risque++
  58. 58. ROBOTS.txt User-agent: *Disallow: /admin/Disallow: /App_Browsers/Disallow: /App_GlobalResources/Disallow: /App_Themes/Disallow: /bin/Disallow: /Controls/Disallow: /includes/Disallow: /jscripts/Disallow: /My Project/Disallow: /Templates/Disallow: /vbscripts/Disallow: /phpMyAdmin/Disallow: /intranet/
  59. 59. Protection Robots.txt Disallow: /search/si/* Disallow: /search/av/* Disallow: /search/ad/* Disallow: /search/re/* Disallow: /search/pr/*
  60. 60. Guess the UserName
  61. 61. Bak file
  62. 62. Google Hacking• GOTO Google.com• site:qc.ca• inurl:admin• site:facebook.com...
  63. 63. Default Config• /admin• /gestion• /manual• /cgi-bin• user: admin password: admin• install.php, cleandb.php, etc.
  64. 64. Possibilités de...:• Usurpation d’identité numérique• Usurpation d’identité physique• Contrôle à distance• Exécution à distance• Vol de données de mission• ...
  65. 65. ExemplesÀ ne pas faire ni essayer! CC Photomish Dan (Flickr)
  66. 66. SQLi ErrorRisque: Lecture/exécution de la base de données,information sur les serveursImpact:Vol et modification de données publiques etconfidentielles, attaque serveur
  67. 67. SQLi UnionRisque: Lecture/exécution de la base de donnéesImpact:Vol et modification de données publiques etconfidentielles
  68. 68. SQL ... gouv!Risque: Lecture/exécution de la base de données,information du serveurImpact:Vol et modification de données publiques etconfidentielles, attaques serveur
  69. 69. XSSRisque: Contrôle/exécution à distance, vol de donnéesImpact: Perte de confiance des utilisateurs, pertesfinancières
  70. 70. Admin,Yes I amRisque: Lecture, modification, ajout, suppresion dedonnéesImpact: Perte de confiance, pertes financières, atteinte àl’image, etc.
  71. 71. Wrong... ParametersRisque: Lecture informations confidentiellesImpact:Vol de données confidentielles, perte deconfiance
  72. 72. Oracle errorRisque: Lecture informations confidentiellesImpact:Vol de données confidentielles, perte deconfiance
  73. 73. Wrong... type (debug mode)Risque: Lecture informations confidentiellesImpact:Vol de données confidentielles, perte deconfiance
  74. 74. Remote inclusionRisque: Lecture informations confidentielles, contrôle totalImpact: Pertes...!
  75. 75. Password du serveur...!Risque: Contrôle et accès completImpact: Pertes...!
  76. 76. Section adminRisque: Information du systèmeImpact:Vecteur d’attaque
  77. 77. Pas trop mal...Risque: Information du systèmeImpact:Vecteur d’attaque
  78. 78. Tout ce qui a undébut a une fin...
  79. 79. Patrick R. Mathieupatrick@hackfest.ca
  80. 80. Nicolas-Loïc Fortinnicolasloic.fortin@hackfest.ca

×