Gestion des vulnérabilités dans le cas de Shellshock

563 vues

Publié le

La gestion des vulnérabilités avec le cas d'usage Shellshock. Utilisation de SaltStack et de Docker dans ce contexte.

Publié dans : Logiciels
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
563
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
18
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Gestion des vulnérabilités dans le cas de Shellshock

  1. 1. Gestion des vulnerabilites et con
  2. 2. gurations Cas particuliers appliques a ShellShock J. Moreau/J.M. Misert Clusir-Est 5 novembre 2014 J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  3. 3. gurations 5 novembre 2014 1 / 50
  4. 4. Presentation Clusir-Est Plan 1 Presentation Clusir-Est 2 Attaques et vulnerabilites 3 Standards pour les vulnerabilites : CVE et CVSS 4 Gestion des vulnerabilites a la Banque Postale 5 Le cas de Shellshock 6 Gestion de con
  5. 5. gurations avec SaltStack 7 Les conteneurs Docker, un complement a ESX, KVM, HyperV, ... J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  6. 6. gurations 5 novembre 2014 2 / 50
  7. 7. Presentation Clusir-Est L'association Clusir-Est Une association loi 1901 a but non lucratif et non commercial. Le but est de developper toute action propre a une meilleure approche et ma^trise des risques du SI. Le Clusir-Est n'est pas une sous-entite du Clusif : L'association mene des actions dans le respect du code d'ethique des metiers de la securite des SI de
  8. 8. ni par le Clusif. Les membres choisissent les themes a aborder (via echanges et/ou sondages) J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  9. 9. gurations 5 novembre 2014 3 / 50
  10. 10. Presentation Clusir-Est Les autres Clusir Les Clusirs travaillent avec le Clusif et echangent pour l'organisation. Participations a certains groupes de travail du Clusif. J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  11. 11. gurations 5 novembre 2014 4 / 50
  12. 12. Presentation Clusir-Est Les journees Clusir-Est entre 2006 et 2009 Les journees d'echanges 2006 : 26/01/06 - Reunion de Lancement 30/03/06 - Charte Cybersurveillance C.I.L 28/06/06 - Analyse de risques et Pilotage 26/09/06 - Mobilite Malware 06/12/06 - Plan de Continuite des Activites Les manifestations 2006 : 13/04/06 - Panorama Cybercriminalite du CLUSIF 16/05/06 - Panorama Cybercriminalite du CLUSIF Les journees d'echanges 2007 : 06/02/07 - Computer Forensics et Assemblee generale 27/03/07 - Certi
  13. 13. cation Securite 21/06/07 - Audit de Securite 28/09/07 - Haute Disponibilite - Virtualisation Les manifestations 2007 : 15/05/07 - Panorama Cybercriminalite du CLUSIF Les journees d'echanges 2008 : 22/01/08 - Securite physique et Assemblee generale 27/05/08 - L'incident et la reponse juridique 02/10/08 - Ateliers thematiques 04/12/08 - La fuite d'information Les manifestations 2008 : 15/05/08 - Panorama Cybercriminalite du CLUSIF 03/06/08 - Les routes de l'innovation Les journees d'echanges 2009 : 05/02/09 - Assemblee generale, CIL et menaces 25/06/09 - Protection de l'environnement de travail 24/09/09 - Securite de l'entreprise etendue 15/12/09 - IT Gouvernance et SMSI Les manifestations 2009 : 25/05/09 - Panorama Cybercriminalite du CLUSIF 26/11/09 - Forum du Rhin superieur sur les cybermenaces J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  14. 14. gurations 5 novembre 2014 5 / 50
  15. 15. Presentation Clusir-Est Les journees Clusir-Est entre 2010 et 2013 Les journees d'echanges 2010 : 02/02/10 - Assemblee generale Les manifestations 2010 : 01/03/10 - Panorama Cybercriminalite du CLUSIF Les journees d'echanges 2011 : 22/02/11 - Assemblee generale 22/09/11 - Tables rondes 15/12/11 - Synthese sur les menaces et le management SSI Les manifestations 2011 : 19/04/11 - Panorama Cybercriminalite du CLUSIF 04/10/11 - Petit-dejeuner cybercriminalite Les journees d'echanges 2012 : 02/02/12 - Assemblee generale 25/04/12 - Securite dans la virtualisation et le Cloud 14/06/12 - Visite du LHS et etat de l'art 06/10/12 - Les evolutions juridiques 04/12/12 - Mobilite/BYOD et evolutions des normes SSI Les manifestations 2012 : 23/03/12 - La SSI au coeur de l'IE 19/06/12 - La securite des SI des PME 04/10/12 - IT Tour 2012 06/11/12 - Forum du Rhin superieur sur les cybermenaces Les journees d'echanges 2013 : 07/02/13 - Assemblee generale 06/06/13 - La securite dans les projets IT 26/09/13 - Contr^oler le niveau de securite de son SI 05/12/13 - Sensibilisation et formation a la SSI Les manifestations 2013 : 18/04/13 - Panorama Cybercriminalite du CLUSIF 30/05/13 - Panorama Cybercriminalite du CLUSIF 10/10/13 - IT Tour 2013 24/10/13 - De le cybercriminalite aux pratiques de securite 28/11/13 - COGITO 2013 J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  16. 16. gurations 5 novembre 2014 6 / 50
  17. 17. Presentation Clusir-Est Logisitique d'accueil et moyens de communications Pour la logistique : Les membres sont solicites pour heberger une journee (pas de location). Pour la communication et les echanges : Site Web : http://clusir-est.org Le site possede une zone privee uniquement pour les membres Groupe LinkedIn : Clusir-Est Twitter : @clusirest Google agenda Mail : contact sur clusir-est.org Liste de diusion : 1 pour le bureau, 1 pour les membres J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  18. 18. gurations 5 novembre 2014 7 / 50
  19. 19. Presentation Clusir-Est Adhesion au Clusir-Est Les modalites : L'association est a but non lucratif. Les seuls moyens
  20. 20. nanciers proviennent des cotisations versees par ses adherents Adhesion : 100 euros annuellement (quelle que soit la periode de l'annee) reduction de 50% accordee pour le 2eme (et suivant) adherent d'une societe deja adherente les membres du bureau payent leur cotisation J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  21. 21. gurations 5 novembre 2014 8 / 50
  22. 22. Presentation Clusir-Est Membres du Clusir-Est Bureau : Jean-Marc Misert (Banque Postale) : President Johan Moreau (IRCAD) : Vice-President Eric Weis (Univ. de Lorraine) : Tresorier Ludovic Merissonne (Cora Informatique) : Membre du bureau Yannick Narbey (Vitalia) : Membre du bureau Bruno Barge (Lohr) : Membre du bureau Stephane Nagel (Haganis) : Membre du bureau Nombre de membres : 2006 - 24 2007 - 33 2008 - 36 2009 - 34 2010 - 33 2011 - 22 2012 - 28 2013 - 30 2014 - 33 J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  23. 23. gurations 5 novembre 2014 9 / 50
  24. 24. Attaques et vulnerabilites Plan 1 Presentation Clusir-Est 2 Attaques et vulnerabilites 3 Standards pour les vulnerabilites : CVE et CVSS 4 Gestion des vulnerabilites a la Banque Postale 5 Le cas de Shellshock 6 Gestion de con
  25. 25. gurations avec SaltStack 7 Les conteneurs Docker, un complement a ESX, KVM, HyperV, ... J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  26. 26. gurations 5 novembre 2014 10 / 50
  27. 27. Attaques et vulnerabilites Principes generaux Pour parler attaques et vulnerabilites il est necessaire de connaitre son systeme d'information (ISO 27001 1 ) EBIOS 2 ou ISO27005 vont aider sur l'analyse de risques ISO27035 de
  28. 28. nit la gestion des incidents de securite Evenement de securite : Occurance identi
  29. 29. ee de l'etat d'un service, d'un systeme ou d'un reseau indiquant une faille possible dans la PSSI ou un echec des mesures de securite ou encore une situation inconnue et pouvant relever de la securite. Incident de securite : Un ou plusieurs evenements lies a la securite de l'information indesirables ou inattendus presentant une probabilite forte de compromettre les activites de l'organisation et de menacer la securite de l'information. 1 http://en.wikipedia.org/wiki/ISO/IEC_27000-series 2 http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/ J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  30. 30. gurations 5 novembre 2014 11 / 50
  31. 31. Attaques et vulnerabilites Principes generaux Un vecteur d'attaque va ^etre utilise sur votre SI virus, ver, malware, faille, erreur humaine, ... Une vulnerabilite ou evenement va ^etre exploitee faille reseau, os, applicative, base de donnees, humaine, ... Un impact ou incident va toucher un metier disponibilite, integrite, con
  32. 32. dentialite, ... Cette presentation va discuter des vulnerabilites et impacts dans un context pro-actif (veille, CERT3 , CSIRT, ...) 3 http://fr.wikipedia.org/wiki/Computer_Emergency_Response_Team J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  33. 33. gurations 5 novembre 2014 12 / 50
  34. 34. Standards pour les vulnerabilites : CVE et CVSS Plan 1 Presentation Clusir-Est 2 Attaques et vulnerabilites 3 Standards pour les vulnerabilites : CVE et CVSS 4 Gestion des vulnerabilites a la Banque Postale 5 Le cas de Shellshock 6 Gestion de con
  35. 35. gurations avec SaltStack 7 Les conteneurs Docker, un complement a ESX, KVM, HyperV, ... J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  36. 36. gurations 5 novembre 2014 13 / 50
  37. 37. Standards pour les vulnerabilites : CVE et CVSS CVE : Common Vulnerability and Exposures Gere par le MITRE 4 Dictionnaire pour le nommage des vulnerabilites (initie en 1999) Structure du type CVE-AAAA-XXXX : AAAA : annee/XXXX : id incremental Par exemple : CVE-2014-7169 National Vulnerability Database (NVD) via le NIST5 Declinaison speci
  38. 38. que au Malware : CME6 Qualite d'un SI (au regard des CVE) : OVAL 7 Le langage est reconnu, utilise dans de nombreux outils, par les CERT et donc predominant pour la veille en SSI. Des extensions sont proposees. 4 http://cve.mitre.org 5 http://nvd.nist.org 6 http://cme.mitre.org 7 http://oval.mitre.org J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  39. 39. gurations 5 novembre 2014 14 / 50
  40. 40. Standards pour les vulnerabilites : CVE et CVSS CVSS : Common Vulnerability Scoring System Gere par le FIRST 8 Systeme de notation (initie en 2005) Algorithme public disponible sur le site du NIST 9 Permet d'evaluer la dangerosite d'une vulnerabilite La note donnee varie de 0 a 10 et est basee sur : score de base score temporel score environnemental CVSS est maintenant largement employe par les constructeurs et editeurs. 8 http://www.first.org/cvss 9 http://nvd.nist.gov/cvsseq2.htm J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  41. 41. gurations 5 novembre 2014 15 / 50
  42. 42. Standards pour les vulnerabilites : CVE et CVSS CVSS : Calcul du score de base Le score de base repose sur deux metriques l'exploitabilite de la vulnerabilite l'impact que peut avoir l'exploitation de la vulnerabilite Pour l'exploitabilite (facon d'exploiter) : Le vecteur d'acces : la vulnerabilite peut ^etre exploitee depuis Internet, depuis un reseau adjacent, ou requiert un acces local ? La complexite d'acces : est-il simple, moderement complexe ou tres complexe d'acceder au composant vulnerable ? Les pre-requis d'authenti
  43. 43. cation : est-il possible d'acceder de facon anonyme au composant vulnerable pour exploiter la faille ? Ou y'a-t-il un, ou plusieurs niveaux d'authenti
  44. 44. cation ? Pour l'impact : L'impact sur la con
  45. 45. dentialite : est-il complet, partiel ou inexistant ? L'impact sur la disponibilite : est-il complet, partiel ou inexistant ? L'impact sur l'integrite : est-il complet, partiel ou inexistant ? J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  46. 46. gurations 5 novembre 2014 16 / 50
  47. 47. Standards pour les vulnerabilites : CVE et CVSS CVSS : Ecriture du vecteur d'acces Exemple : vulnerabilite sur serveur Web, donnant acces a des bannieres detaillees, donnant des indications sur des versions de produits vulnerables : AV :N/AC :L/Au :N /C :P/I :N/A :N L'exploitabilite : Vecteur d'acces : Internet (Access Vector : Network) Complexite d'acces : Faible (Access Complexity : Low) Authenti
  48. 48. cation : Aucune (Authentication : None) L'impact ne porte que sur la con
  49. 49. dentialite et l'atteinte que partielle : Impact sur la Con
  50. 50. dentialite : Partiel (Con
  51. 51. dentiality Impact : Partial) Impact sur l'Integrite : Aucun (Integrity Impact : None) Impact sur la Disponibilite : Aucun (Availability Impact : None) J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  52. 52. gurations 5 novembre 2014 17 / 50
  53. 53. Standards pour les vulnerabilites : CVE et CVSS CVSS : calcul du score temporel et environnemental 3 criteres pour le score temporel : L'exploitabilite (facilite d'exploitation de la vulnerabilite) : existe-t-il un code public permettant d'exploiter la vulnerabilite, est-il fonctionnel, est-ce une PoC, a-t-on un doute sur son existence ? L'existence de contre-mesures : sont-elles disponibles, n'existe-t-il que des solutions palliatives, ou un correctif non-ociel ? L'existence m^eme de la vulnerabilite : a-t-elle ete con
  54. 54. rmee, ou n'a-t-on que des soupcons ? 5 criteres pour le calcul du score environnemental : Le potentiel de dommage collateral lie a la vulnerabilite (Aucun, Faible, Faible a Moyen, Moyen a Eleve, Eleve) Le nombre de systemes vulnerables dans l'environnement cible (Aucun, Faible, Moyen, Eleve) Le niveau d'exigence en termes de con
  55. 55. dentialite (Faible, Moyen, Eleve) Le niveau d'exigence en termes d'integrite (Faible, Moyen, Eleve) Le niveau d'exigence en termes de disponibilite (Faible, Moyen, Eleve) J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  56. 56. gurations 5 novembre 2014 18 / 50
  57. 57. Standards pour les vulnerabilites : CVE et CVSS CVSS en conclusion J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  58. 58. gurations 5 novembre 2014 19 / 50
  59. 59. Standards pour les vulnerabilites : CVE et CVSS CVSS : Outil en ligne 10 10 http://nvd.nist.gov/cvss.cfm?calculatorversion=2 J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  60. 60. gurations 5 novembre 2014 20 / 50
  61. 61. Gestion des vulnerabilites a la Banque Postale Plan 1 Presentation Clusir-Est 2 Attaques et vulnerabilites 3 Standards pour les vulnerabilites : CVE et CVSS 4 Gestion des vulnerabilites a la Banque Postale 5 Le cas de Shellshock 6 Gestion de con
  62. 62. gurations avec SaltStack 7 Les conteneurs Docker, un complement a ESX, KVM, HyperV, ... J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  63. 63. gurations 5 novembre 2014 21 / 50
  64. 64. Gestion des vulnerabilites a la Banque Postale Chapitre non diuse Chapitre non diuse J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  65. 65. gurations 5 novembre 2014 22 / 50
  66. 66. Le cas de Shellshock Plan 1 Presentation Clusir-Est 2 Attaques et vulnerabilites 3 Standards pour les vulnerabilites : CVE et CVSS 4 Gestion des vulnerabilites a la Banque Postale 5 Le cas de Shellshock 6 Gestion de con
  67. 67. gurations avec SaltStack 7 Les conteneurs Docker, un complement a ESX, KVM, HyperV, ... J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  68. 68. gurations 5 novembre 2014 23 / 50
  69. 69. Le cas de Shellshock Shellshock CVE et CVSS La vulnerabilite Shellshock 11 a ete identi
  70. 70. ee dans bash - 25/09/2014. Elle est exploitee dans la nature. Un attaquant distant pourrait l'exploiter a
  71. 71. n d'executer du code arbitraire : CVE-2014-[6271j6277j6278j7169j7186j7187] Criticite : CVSS de base=10 - CVSS temporel=8,7 = PRIORITAIRE 11 http://en.wikipedia.org/wiki/Shellshock_%28software_bug%29 J. Moreau/J.M. Misert (Clusir-Est) Gestion des vulnerabilites et con
  72. 72. gurations 5 novembre 2014 24 / 50
  73. 73. Le cas de Shellshock ShellShock est-ce grave ? 12 13 Attaques via les navigateurs : Code Listing 1{ Ent^ete HTTP infectee par shellshock language target = 0.0.0.0/0 port = 80 banners = true http

×