ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...Cyber Security Alliance
La sécurité informatique et en particulier la sécurité des applications web est un sujet abordé le plus souvent par l’expertise technique.
Cette expertise requise pour gérer au quotidien les menaces web est assez élevée et est souvent dispersée au sein de l’entreprise.
Cependant, il existe au quotidien énormément de domaines dans lesquels la sécurité et l’analyse des risques ne repose pas sur cette expertise mais sur une analyse contextuelle.
Nous verrons comment ce genre d’analyse peut s’adapter, via de nouveaux moteurs de détections d’intrusions, aux applications web et peut permettre d’analyser et comprendre une menace sans se baser sur des éléments techniques.
Guide du promoteur de projets de e-commerceKhabbab HADHRI
Guide du promoteur de projet de commerce électronique:
-Cadre juridique et réglementaire,
- Étapes de création d'entreprise,
- Procédures d'intégration des plate formes de paiement SPS-SMT, E-dinar-POSTE
- Certificat électronique ANCE
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...Cyber Security Alliance
La sécurité informatique et en particulier la sécurité des applications web est un sujet abordé le plus souvent par l’expertise technique.
Cette expertise requise pour gérer au quotidien les menaces web est assez élevée et est souvent dispersée au sein de l’entreprise.
Cependant, il existe au quotidien énormément de domaines dans lesquels la sécurité et l’analyse des risques ne repose pas sur cette expertise mais sur une analyse contextuelle.
Nous verrons comment ce genre d’analyse peut s’adapter, via de nouveaux moteurs de détections d’intrusions, aux applications web et peut permettre d’analyser et comprendre une menace sans se baser sur des éléments techniques.
Guide du promoteur de projets de e-commerceKhabbab HADHRI
Guide du promoteur de projet de commerce électronique:
-Cadre juridique et réglementaire,
- Étapes de création d'entreprise,
- Procédures d'intégration des plate formes de paiement SPS-SMT, E-dinar-POSTE
- Certificat électronique ANCE
De par l’envergure internationale du CERN, les utilisateurs, plusieurs milliers, sont répartis un peu partout dans le monde, accédant régulièrement à leurs comptes à distance. Depuis un cyber-café, un réseau WiFi non-sécurisé, un institut (ou une université) compromis, …
Pour les attaquants, les occasions de capturer les mots de passe sont nombreuses ! L’intérêt de mots de passe forts devient très limité si ceux-ci peuvent être capturés et réutilisés facilement par des tierces personnes.
L’authentification multi-facteurs permet justement de contrer ceci, en demandant plusieurs éléments aux utilisateurs : typiquement quelque chose qu’ils connaissent (eg. un mot de passe) et quelque chose qu’ils possèdent (eg. un jeton hardware). Même si cette méthode permet de renforcer considérablement l’authentification, la solution parfaite n’existe pas, et l’étude des différents cas d’utilisations qui devront être supportés est donc primordiale.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Remi Mollon
De plus en plus l’évaluation de la sécurité des architectures logicielles et infrastructures se déporte vers la sécurité des Applications développées pour les mobiles.
La spécificité de ce type d’applications est sa mise à disposition dans des sites de promotions ou de vente non maitrisés par les Entreprises.
Par conséquent l’évaluation de la sécurité de l’application doit s’adapter et entrevoir d’autres Métriques et d’autres investigations.
Nous proposons ici d’illustrer par l’exemple une approche d’évaluation de la sécurité des applications mobiles en tenant compte des Aspects techniques mais aussi des problématiques de gouvernance associés à ces applications.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Emmanuel Chol
Présentation de Michel Frenkiel président de Mobilegov
Augmentation de capital réservée aux investisseurs qualifiés janvier février 2009
www.financial-video.com
Intrusions et gestion d’incidents informatiquemichelcusin
Avec le nombre croissant d’attaques informatique faisant rage à l’échelle mondiale, les gouvernements ainsi que les petites comme les grandes entreprises n’y échappent pas. Les groupes de pirates informatiques tels que Anonymous et LulzSec, pour ne nommer que ceux-ci, font la loi dans le cyber espace. Ils sont très bien organisés et revendiquent des attaques très dévastatrices qui figurent parmi les plus médiatisées. Ils défient publiquement les autorités, les gouvernements et tous ceux qui semblent se mettre en travers de leur chemin. Rien ne semble les arrêter. Une fois introduits dans les systèmes de leurs victimes, ils s’adonnent notamment au pillage d’information confidentielle et la publient ensuite sur Internet.
Les gouvernements étrangers sont, eux aussi, très actifs. Que ce soit à des fins stratégiques, politiques ou économiques, ces derniers ne ménagent aucun efforts pour parvenir à leurs fins. Contrairement à certains groupes de pirates informatiques, ils travaillent dans l’ombre. Ils ne cherchent pas à faire de coup d’éclat, mais plutôt à obtenir des résultats.
Mais peu importe qui ils sont et ce qu’ils cherchent à faire, les mêmes questions se posent: comment font-ils pour s’introduire dans nos systèmes? Comment pouvons-nous protéger nos infrastructures contre ces attaques qui sont souvent invisibles et qui surviennent la plupart du temps à notre insu?
Certaines pistes de solutions à ce fleau s’offrent à nous. Nous devons réagir, mais surtout, agir de façon proactive si nous ne voulons pas perdre la guerre. Il est crucial de découvrir nos failles avant que les pirates ne le fassent. Mais malgré tous nos efforts, il est clair que tôt ou tard, nous aurons à faire face à de multiples scenarios d’attaques et d’intrusions. La question n’est pas “si” mais plutôt “quand” cela arrivera. Nous devons donc nous préparer à y faire face.
Voici donc la présentation que j’ai fait lors du séminaire sur les intrusions et gestion d’incidents informatique à ActionTI le 23 novembre 2011. Elle explore diverses techniques employées par les pirates ainsi que certains outils qu’ils utilisent. Elle explique comment les pirates s’y prennent pour trouver les failles de sécurité et comment ils les exploitent afin de prendre le contrôle de nos infrastructures. Nous verrons également comment ils réussissent à garder l’accès aux systèmes qu’ils ont compromis et comment ils tentent de cacher leurs traces.
De par l’envergure internationale du CERN, les utilisateurs, plusieurs milliers, sont répartis un peu partout dans le monde, accédant régulièrement à leurs comptes à distance. Depuis un cyber-café, un réseau WiFi non-sécurisé, un institut (ou une université) compromis, …
Pour les attaquants, les occasions de capturer les mots de passe sont nombreuses ! L’intérêt de mots de passe forts devient très limité si ceux-ci peuvent être capturés et réutilisés facilement par des tierces personnes.
L’authentification multi-facteurs permet justement de contrer ceci, en demandant plusieurs éléments aux utilisateurs : typiquement quelque chose qu’ils connaissent (eg. un mot de passe) et quelque chose qu’ils possèdent (eg. un jeton hardware). Même si cette méthode permet de renforcer considérablement l’authentification, la solution parfaite n’existe pas, et l’étude des différents cas d’utilisations qui devront être supportés est donc primordiale.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Remi Mollon
De plus en plus l’évaluation de la sécurité des architectures logicielles et infrastructures se déporte vers la sécurité des Applications développées pour les mobiles.
La spécificité de ce type d’applications est sa mise à disposition dans des sites de promotions ou de vente non maitrisés par les Entreprises.
Par conséquent l’évaluation de la sécurité de l’application doit s’adapter et entrevoir d’autres Métriques et d’autres investigations.
Nous proposons ici d’illustrer par l’exemple une approche d’évaluation de la sécurité des applications mobiles en tenant compte des Aspects techniques mais aussi des problématiques de gouvernance associés à ces applications.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Emmanuel Chol
Présentation de Michel Frenkiel président de Mobilegov
Augmentation de capital réservée aux investisseurs qualifiés janvier février 2009
www.financial-video.com
Intrusions et gestion d’incidents informatiquemichelcusin
Avec le nombre croissant d’attaques informatique faisant rage à l’échelle mondiale, les gouvernements ainsi que les petites comme les grandes entreprises n’y échappent pas. Les groupes de pirates informatiques tels que Anonymous et LulzSec, pour ne nommer que ceux-ci, font la loi dans le cyber espace. Ils sont très bien organisés et revendiquent des attaques très dévastatrices qui figurent parmi les plus médiatisées. Ils défient publiquement les autorités, les gouvernements et tous ceux qui semblent se mettre en travers de leur chemin. Rien ne semble les arrêter. Une fois introduits dans les systèmes de leurs victimes, ils s’adonnent notamment au pillage d’information confidentielle et la publient ensuite sur Internet.
Les gouvernements étrangers sont, eux aussi, très actifs. Que ce soit à des fins stratégiques, politiques ou économiques, ces derniers ne ménagent aucun efforts pour parvenir à leurs fins. Contrairement à certains groupes de pirates informatiques, ils travaillent dans l’ombre. Ils ne cherchent pas à faire de coup d’éclat, mais plutôt à obtenir des résultats.
Mais peu importe qui ils sont et ce qu’ils cherchent à faire, les mêmes questions se posent: comment font-ils pour s’introduire dans nos systèmes? Comment pouvons-nous protéger nos infrastructures contre ces attaques qui sont souvent invisibles et qui surviennent la plupart du temps à notre insu?
Certaines pistes de solutions à ce fleau s’offrent à nous. Nous devons réagir, mais surtout, agir de façon proactive si nous ne voulons pas perdre la guerre. Il est crucial de découvrir nos failles avant que les pirates ne le fassent. Mais malgré tous nos efforts, il est clair que tôt ou tard, nous aurons à faire face à de multiples scenarios d’attaques et d’intrusions. La question n’est pas “si” mais plutôt “quand” cela arrivera. Nous devons donc nous préparer à y faire face.
Voici donc la présentation que j’ai fait lors du séminaire sur les intrusions et gestion d’incidents informatique à ActionTI le 23 novembre 2011. Elle explore diverses techniques employées par les pirates ainsi que certains outils qu’ils utilisent. Elle explique comment les pirates s’y prennent pour trouver les failles de sécurité et comment ils les exploitent afin de prendre le contrôle de nos infrastructures. Nous verrons également comment ils réussissent à garder l’accès aux systèmes qu’ils ont compromis et comment ils tentent de cacher leurs traces.
JavaScript controls our lives – we use it to zoom in and out of a map, to automatically schedule doctor appointments and toplay online games. But have we ever properly considered thesecurity state of this scripting language? Before dismissing the (in)security posture of JavaScript on the grounds of a client-side problem, consider the impact ofJavaScript vulnerability exploitation to the enterprise: from stealing serverside data to infecting users with malware. Hackers are beginning to recognize this new playground and are quicklyadding JavaScript exploitation tools to their Web attack arsenal.
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
1. Quelles limites pour
les applications de eBanking?
(Avez-vous peur des fantômes?)
présentation pour APPSEC
Sébastien Bischof
Jean-Marc Bost
27.10.2011
Application Security Forum
Western Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bains
http://appsec-forum.ch
2. Avez-vous peur des fantômes?
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 2
3. ETH(ical) Hacking sur SF1
Impossible de
dissocier les
données de la
transaction et
l’OTP!
GC5 6 NN 7W
4 EZ 7 8 9
Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking:
"Le système de ****** avec son lecteur de carte est à considérer comme sûr,
parce qu’il exige une confirmation de transaction pour effectuer un virement vers
un compte inconnu."
27.10.2011 Application Security Forum - Western Switzerland - 2011 3
4. L’ETH(ical) MITC = Man Inside The Computer
27.10.2011 Application Security Forum - Western Switzerland - 2011 4
5. Seule, la victime peut confirmer la transaction
Confirmation?
27.10.2011 Application Security Forum - Western Switzerland - 2011 5
6. Avez-vous peur des fantômes?
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 6
7. L’infection par «troyens» est une réalité
Selon Microsoft, 5% des PC Windows sont infectés
(source «Safety Scanner», May 2011)
Au moins 25%, selon Pandalab, avec une majorité de Troyens
(source «ActiveScan», Q2 2011)
La Suisse affiche le 2ème taux
d’infection le plus bas…
… mais à presque 30%
Le troyen est plébiscité
par les hackers
“42 new malware strains created every minute»
27.10.2011 Application Security Forum - Western Switzerland - 2011 7
8. Au début, il y a eu le MITM (Man In The Middle)…
2006
MITM
• site intermédiaire
• pollution DNS
• etc …
2007
27.10.2011 Application Security Forum - Western Switzerland - 2011 8
9. … puis le MITB (Malware In the Browser)…
2007
MITB
• Anserin
• Mebroot
• Silentbanker
2008
27.10.2011 Application Security Forum - Western Switzerland - 2011 9
10. … puis le MI (Malware Inside)
2009
MI
• Zeus
• Ares
• SpyEye
2011
27.10.2011 Application Security Forum - Western Switzerland - 2011 10
11. L’efficacité de Zeus et SpyEye en chiffres
– 2009: 1.5 Millions de Spam d’infection vers facebook
– Juin 2009: 74’000 comptes FTP détournés par Zeus
– 2010: au moins 6 millions de £ on été détournées par un gang
de 19 personnes en Angleterre
– Oct. 2010: 70 millions US $ par Zeus
– 3.6 millions de PC infectés aux USA par Zeus
– 2011: 3,2 millions US $ détournés par un jeune russe en 6 mois
avec Zeus et SpyEye
27.10.2011 Application Security Forum - Western Switzerland - 2011 11
12. Le eBanking n’est pas la seule cible
D’autres sites web peuvent
faire l’objet de vols de:
- mots de passe
- adresses emails
- cookies
- cartes de crédit
- …
et même sans les cibler!
27.10.2011 Application Security Forum - Western Switzerland - 2011 12
13. Le eBanking n’est pas la seule cible
Facebook
Google mail Jeu en ligne
Microsoft
Hot mail
Windows live
McAfee
27.10.2011 Application Security Forum - Western Switzerland - 2011 13
14. Le eBanking n’est pas la seule cible
Les copies d’écran et
même les captures vidéos
permettent de :
- espionner les claviers
virtuels
- se tenir au courant des
modifications
- espionner la vie privée
- …
toujours sans cibler un site
particulier!
27.10.2011 Application Security Forum - Western Switzerland - 2011 14
15. Le eBanking n’est pas la seule cible
… et les connexions ftp
27.10.2011 Application Security Forum - Western Switzerland - 2011 15
16. Avez-vous peur des fantômes?
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 16
17. MI = Man (ou Malware) Inside
27.10.2011 Application Security Forum - Western Switzerland - 2011 17
18. Une transaction dans un formulaire
27.10.2011 Application Security Forum - Western Switzerland - 2011 18
19. La transaction détournée par le MI
What You Sign
Is Not-)
What You See ?
456 FRA 666 666
Merci, parfait
pour ma
transaction! -)
27.10.2011 Application Security Forum - Western Switzerland - 2011 19
20. Ce qui devrait se passer…
Memory
GUI
POST
CPT0123456789
TCP9876543210
5000
27.10.2011 Application Security Forum - Western Switzerland - 2011 20
21. Ce qui se passe!
Memory
GUI
POST
CPT0123456789
456FRA666666
5000
27.10.2011 Application Security Forum - Western Switzerland - 2011 21
22. Ce qui devrait se passer…
Memory
GUI
FORM
CPT0123456789
456FRA666666
5000
27.10.2011 Application Security Forum - Western Switzerland - 2011 22
23. Ce qui se passe!
Memory
GUI
FORM
CPT0123456789
456FRA666666
5000
27.10.2011 Application Security Forum - Western Switzerland - 2011 23
24. Zeus contrôle le browser par injection
Le malware
contrôle le PC
requête
DLL
réponse
MI DLL
27.10.2011 Application Security Forum - Western Switzerland - 2011 24
25. … et pas que le browser
Firefox
Firefox crash
reporter
Mise à jour
Java
27.10.2011 Application Security Forum - Western Switzerland - 2011 25
26. Avez-vous peur des fantômes?
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 26
27. Une conception très « professionnelle »
Injection Je suis:
• Multifonctions
• Configurable Commander & Controller
• Evolutif
• Furtif
• Résilient
Collection Configuration
Le taux de détection de
SpyEye par les antivirus de
25% [abuse.ch] Victime
Maintenance
27.10.2011 Application Security Forum - Western Switzerland - 2011 27
28. Il n’est pas toujours facile de les trouver
Propriétés d’un Rootkit:
La furtivité
– Stabilité
– Pas de traces
La persistance pour survivre
aux redémarrages
La prise de contrôle d’un
ordinateur
Peut cacher ses canaux de
communication
27.10.2011 Application Security Forum - Western Switzerland - 2011 28
29. Ils peuvent se manifester à tout moment
Vue du disque Vue globale
27.10.2011 Application Security Forum - Western Switzerland - 2011 29
30. Exemple: Bootkit
Vue du disque Vue globale
Il existe des utilitaires
pour flasher le bios
depuis un système en
cours d’exécution
Altération
27.10.2011 Application Security Forum - Western Switzerland - 2011 30
31. Et n’importe où!
Le système travaille avec une représentation virtuelle du hardware sur lequel il
est exécuté
Les programmes exécutés se fient aux informations que leur donne le système.
Vision du système
Représentation en
mémoire
Process1 Process2 Process
Réalité physique
Et si l’on changeait la vision du système ?
27.10.2011 Application Security Forum - Western Switzerland - 2011 31
32. Exemple: DKOM
Les processus sont
représentés en mémoire par
une structure (EPROCESS)
DKOM peut, par exemple,
cacher un processus de cette
liste
Process1 Process2 Process
(idem pour les autres
ressources système)
27.10.2011 Application Security Forum - Western Switzerland - 2011 32
33. Et si on les combinait ?
Malware exécuté avant le système
d’exploitation
Le système peut être démarré avec le plus
bas niveau de sécurité
Les routines malicieuses sont démarrées
avant le système
Le malware contrôle la vision du système
Difficile à détecter et à s’en débarrasser
Le système est littéralement hanté
27.10.2011 Application Security Forum - Western Switzerland - 2011 33
34. Avez-vous peur des fantômes?
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 34
35. Démonstration
Token USB :
– Lecteur de carte à puce intégré
– Authentification mutuelle
– Système de mises à jour
– …
+ browser intégré (safeBrowser):
– Évite les injections « à la Zeus » en
fournissant ses propres librairies
– Empêche l’exécution du browser
normal et des librairies système
correspondantes
Mais…
27.10.2011 Application Security Forum - Western Switzerland - 2011 35
36. Tunnel entre les 2 browsers MS API?
safeBrowser
Browser du PC
FORM
CPT0123456789
456FRA666666
5000
Parsing output
remoteThread
27.10.2011 Application Security Forum - Western Switzerland - 2011 36
37. Tunnel entre les 2 browsers MS API?
safeBrowser
Browser du PC
POST
CPT0123456789
456FRA666666
5000
Windows API
remoteThread
27.10.2011 Application Security Forum - Western Switzerland - 2011 37
38. Avez-vous peur des fantômes?
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 38
39. Une pincée de «Social Engineering» en plus
On peut faire faire ce qu’on veut si on contrôle la vision de l’internaute
27.10.2011 Application Security Forum - Western Switzerland - 2011 39
40. ZITMO = Zeus + “Social Engineering”
(SPITMO avec SpyEye)
2008: OWASP recommande le SMS
…the use of a second factor such as a mobile phone is an excellent low cost alternative…
…is actually stronger than most two factor authentication fobs…
…a single weakness in this model - mobile phone registration and updating
2010: Zeus attaque le SMS
#2
Origine
incertaine
#3
#1
Texte en
Numéro
clair
publique
27.10.2011 Application Security Forum - Western Switzerland - 2011 40
41. Revenons aux conclusions de l’ETH(ical) hacking
Impossible de
dissocier les
données de la
transaction et
l’OTP!
GC5 6 NN 7W
4 EZ 7 8 9
« Selon la déclaration de spécialistes de l’EPF sur la sécurité de ******
e-banking: "Le système de ****** avec son lecteur de carte est à considérer
comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un
virement vers un compte inconnu." »
27.10.2011 Application Security Forum - Western Switzerland - 2011 41
42. Ce cas est-il à l’abris du «Social Engineering»?
!?
GC5 6 NN 7W
4 EZ 7 8 9
« Ne répondez en aucun cas à une demande de confirmation d’une série de
numéros ou de signes – même si la demande semble provenir de ****** »
27.10.2011 Application Security Forum - Western Switzerland - 2011 42
43. Probablement pas…
What You Sign
Is
What You See Le compte à créditer est enregistré sous la
But… référence 456 FRA 666 666 par la banque du
destinataire.
Nous vous prions de rentrer les 6 derniers
chiffres de ce numéro de référence dans
votre calculette puis de rentrer le code de
sécurité que vous obtenez ci-dessous pour
définitivement valider votre transaction.
« Ne répondez en aucun cas à une demande de confirmation d’une série de
numéros ou de signes – même si la demande semble provenir de ****** »
27.10.2011 Application Security Forum - Western Switzerland - 2011 43
44. WYSIWYS or not WYSIWYS
That is the Question
27.10.2011 Application Security Forum - Western Switzerland - 2011 44
45. … des questions?
Pour nous contacter:
Sébastien Bischof Jean-Marc Bost
sebastien.bischof@elca.ch Jean-marc.bost@elca.ch
Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City
SLIDES A TELECHARGER PROCHAINEMENT:
http://slideshare.net/ASF-WS
46. Explications de la démo - Architecture
27.10.2011 Application Security Forum - Western Switzerland - 2011 46
47. Exemple: SpyEye
SpyEye est une boîte à outils
– Avec un kit de génération de chevaux de Troie
– Et une interface de contrôle Web
Mais il utilise aussi des mécanismes de
rootkit.
• Pour se cacher
– Il cache ses fichiers en altérant les fonctions du
système
• Pour persister
– Il ajoute une entrée dans le registre
Le taux de détection de SpyEye par les
antivirus de 25% selon www.abuse.ch
27.10.2011 Application Security Forum - Western Switzerland - 2011 47
48. Ce qui devrait se passer…
SafeBrowser
Firefox du PC
27.10.2011 Application Security Forum - Western Switzerland - 2011 48