Nos services

mercredi 21 décembre 2016

Sécurisation des courriels : les pièces jointes

De nombreux administrateurs ont pour croyance que leurs utilisateurs ne peuvent pas recevoir des programmes malveillants par emails car leurs solutions anti-spam interdisent (seulement 😭) la réception des fichiers se terminant avec l’extension « .exe ».

Ce qu’ils ne savent pas, c’est que des programmes malveillants peuvent utiliser d’autres extensions pour passer à travers leurs règles anti-spam :

  • .PIF
  • .APPLICATION
  • .COM 
  • .SCR 
  • .JAR
  • .BAT
  • .JS 
  • .PS1
  • .LNK
  • .DOCM
Et beaucoup plus encore…

Vous l’avez compris, il est important d’essayer de supprimer toutes pièces jointes disposant d’une extension pouvant faire courir un risque à votre entreprise.

Dépendamment des activités de vos utilisateurs un certain nombre de ces extensions ne pourront pas être bloquées. Par exemple, les fichiers MS Office contenant des macros sont souvent utilisés par des utilisateurs faisant de l’analyse financière (.DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, . SLDM).

Dans ce cas, il est recommandé de configurer des exceptions dans vos solutions anti-spam afin de n’autoriser que certains utilisateurs à recevoir ces fichiers potentiellement dangereux.

A noter que filtrer des fichiers disposant d’extension dangereuses ne vous protège pas des fichiers portant une extension non « dangereuse » (comme les .PDF) mais conçus pour exploiter des vulnérabilités présentes dans les logiciels permettant leur ouverture (Adobe Acrobat Reader dans le cas des fichiers .PDF).

Si vous désirez un niveau de sécurité encore plus haut, plusieurs options sont disponibles sur le marché :

Au niveau des solutions anti-spam :

Certaines options « premium » de solutions anti-spam proposent d’analyser le comportement des pièces jointes aux emails dans une machine virtuelle. Si le comportement d’une pièce jointe est suspect (modifications des configurations de l’ordinateur, communications avec internet) la pièce jointe sera identifiée comme malicieuse et ne sera pas remise aux destinataires.

Au niveau des postes de travail :

  • Interdiction pour les non administrateurs de démarrer des programmes permettant l’interprétation de scripts : Wscript.exe, Cscript.exe, Powershell.exe, Mshta.exe, etc. (à l’aide de SRP ou Applocker). Attention cependant à ne rien casser en bloquant ces programmes!
  • Interdiction d’exécuter des programmes inconnus sur les ordinateurs (à l’aide d’antivirus permettant de définir les programmes ayant le droit d’être exécutés sur les postes de travail)
  • Exécution des programmes de messagerie (exemples : Outlook, Lotus note, etc.) dans une machine virtuelle (Application Sandboxing). Si une pièce jointe s’avère malicieuse (exemple : virus de type Cryptolocker) son impact sera contenu dans une machine virtuelle. Votre ordinateur et vos données seront préservés.

Pour aller plus loin :

Liste d’extensions à se méfier :
http://www.howtogeek.com/137270/50-file-extensions-that-are-potentially-dangerous-on-windows/

Comment bloquer des extensions dangereuses dans office 365 :
http://blogs.perficient.com/microsoft/2016/06/office-365-have-you-enabled-common-attachment-blocking/

https://technet.microsoft.com/en-us/library/dn950026(v=exchg.150).aspx


Des questions concernant cet article ?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel :

info@oppidumsecurity.com


Ou nous parler via notre site internet :



https://oppidumsecurity.com/

mardi 22 novembre 2016

Comment détecter un programme malveillant sur votre ordinateur?


Lorsqu’on réalise des opérations sensibles sur internet (consultation de sites bancaires, trading, commerce, etc.), il est primordial de s’assurer que son ordinateur est libre de tout programmes malveillants.

Des antivirus existent pour détecter certains programmes malveillants, cependant ils sont la plupart du temps inefficaces car ils n’ont pas été conçus pour détecter et stopper des programmes créés spécialement pour espionner votre société (programmes malveillants dits « zero day » qui sont de facto inconnus des solutions anti-virus).

Le seul moyen de détecter ces programmes spécialement conçus pour vous espionner est de se mettre dans la peau d’un analyste en sécurité et d’analyser chaque programme exécuté sur vos ordinateurs avec un regard critique.

Les programmes malveillants présents sur votre ordinateur peuvent être découverts de plusieurs manières. Nous vous présentons ci-dessous quelques techniques d’investigation permettant de détecter des programmes malveillants exécutés sur vos ordinateurs. La liste de ces techniques n’est toutefois pas exhaustive. 


Détection et analyse des programmes inconnus :

Votre ordinateur exécute chaque jour des centaines de programmes. Ces programmes sont pour la plupart reconnus comme étant « sans risque » et de source « sures ». C’est le cas par exemple des programmes conçus par Microsoft ou bien par Symantec, etc.

Il s’agit de programmes qui ont été « signés » électroniquement par des éditeurs de logiciels reconnus et/ou des programmes pour lesquels l’emprunte (hash) est connue et validée comme étant « sans risque » par les solutions antivirus :






Un programme malveillant a rarement ces caractéristiques. Il convient donc d’ignorer ces programmes « connus » au début de l’analyse afin de concentrer les efforts d’analyse sur les programmes « inconnus » qui ont de plus grandes chances d’être malveillants.

En enlevant les programmes validés « sans risque » et/ou signés par des d’éditeurs réputés, nous sommes en mesure de réduire notre analyse aux programmes « inconnus » exécutés sur nos ordinateurs :




Chaque programme « inconnu » devra être analysé de manière à détecter si son comportement est normal ou suspect. C’est ce que nous allons faire maintenant.

Analyse du contenu des scripts inconnus :

Voici un script VBS « inconnu » exécuté sur un ordinateur :




Est-ce que ce script est légitime ? Une analyse du code peut nous éclairer.



Analyse du comportement des programmes inconnus :

Programme « inconnu » exécuté sur un ordinateur : 




Est-ce que ses caractéristiques et comportements sont suspects ? 




Dans le doute il est important de faire des recherches sur internet et de s’informer auprès des personnes ayant configurés l’ordinateur.


Analyse des programmes connus mais ayant un comportement étrange :

Analyse de l’utilisation des programmes d’administration Microsoft :

Des programmes d’administration Microsoft connus tels que Powershell.exe, cmd.exe, ftp.exe, etc. peuvent être abusés par des hackers pour passer au travers des solutions antivirus. En effet, l’utilisation des outils d’administration Windows ne peut pas être interdite par des solutions anti-virus. Bloquer ces programmes casserait des fonctionnalités.

Par exemple, Powershell.exe peut être utilisé de manière malicieuse par un hacker afin d’exécuter des programmes malveillants en mémoire, voler des mots de passe :




Il convient d’analyser l’utilisation qui est faite de ces programmes sur votre ordinateur afin de s’assurer qu’aucune activité malicieuse n’a été réalisée avec.

Analyse des programmes uniquement présents en mémoire :

Est-ce que vos programmes bureautiques ou d’administration (navigateur web, Word, Excel, Putty.exe, etc.) exécutent des librairies chargées dynamiquement en mémoire ?

Cela peut être le signe qu’un de vos programmes a été exploité ou bien que vous vous êtes fait piégé et avez installé un programme d’apparence légitime mais contenant une porte dérobée (backdoor).

En effet, plusieurs techniques d’attaques permettent de charger directement en mémoire des programmes malicieux afin d’échapper aux solutions antivirus.

Ici Putty.exe (Client SSH dans lequel une backdoor « meterpreter » a été installée) exécute des librairies malicieuses directement en mémoire : 




Une analyse du comportement des librairies uniquement présentes en mémoire permet de détecter ces attaques qui se déroulent uniquement en mémoire :




Détection des mécanismes de persistance :

Un hacker concevra ses programmes malveillants afin qu’ils puissent s’exécuter chaque matin lorsque l’ordinateur est allumé.

Pour détecter les programmes malveillants s’exécutant automatiquement lors du démarrage d’un ordinateur, il convient d’observer tous les programmes exécutés sur l’ordinateur via ces fonctionnalités Windows : Autoruns, services, tâches programmées, évènements WMI, etc.




Il sera ensuite important d'analyser chaque programme lancé automatiquement avec les techniques décrites précédemment.

Conclusion

Nous vous avons présenté un certain nombre de techniques permettant à un analyste en sécurité de détecter des programmes malicieux ou des hackers sur vos ordinateurs Windows. Cette liste n’est pas exhaustive mais est un bon début.

Ces mêmes techniques d’analyses existent pour les systèmes d’opérations Linux, MAC, Android, etc.


Pour aller plus loin :


Hunt Down and Kill Malware with Sysinternals Tools :

http://www.windowsecurity.com/articles-tutorials/viruses_trojans_malware/Hunt-Down-Kill-Malware-Sysinternals-Tools-Part1.html

http://www.windowsecurity.com/articles-tutorials/viruses_trojans_malware/Hunt-Down-Kill-Malware-Sysinternals-Tools-Part2.html

http://www.windowsecurity.com/articles-tutorials/viruses_trojans_malware/Hunt-Down-Kill-Malware-Sysinternals-Tools-Part3.html

https://www.rsaconference.com/writable/presentations/file_upload/hta-t07r-license-to-kill-malware-hunting-with-the-sysinternals-tools_final.pdf

Detecting Malware-Free Intrusions and Advanced Cyber Threats with Anomaly Detection and "Behavioral MD5" of Endpoint Processes :

http://info.prelert.com/blog/detecting-malware-free-intrusions-and-advanced-cyber-threats-with-anomaly-detection-and-behavioral-md5-of-endpoint-processes

Understanding Fileless Malware Infections

https://heimdalsecurity.com/blog/fileless-malware-infections-guide/

Memory-Only Malware: Look Mom, No Files!  :

http://www.infosecisland.com/blogview/7571-Memory-Only-Malware-Look-Mom-No-Files.html



Des questions concernant cet article ?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel :

info@oppidumsecurity.com


Ou nous parler via notre site internet :



https://oppidumsecurity.com/

jeudi 8 septembre 2016

Avez-vous été piraté?

Il est souvent aisé pour un hacker de contourner les défenses communément rencontrées en entreprise (anti-spam, anti-virus). En effet, la plupart des réseaux d’entreprises ne sont pas conçus ni gérés pour détecter et stopper les attaques dites ciblées qui sont orchestrées par des humains.

Si votre entreprise ne dispose que de technologies et procédures désuètes pour se protéger (pas d’IPS, pas de HIDS, pas de renforcement des configurations, pas d’équipe de sécurité dédiée, etc.), il est fort probable que des hackers aient déjà élu domicile au sein même de votre réseau.

Pour détecter et éradiquer ces menaces, il vous faudra mettre en œuvre des solutions de sécurité capables de vous aider 
à repérer ce qui est suspect au sein de votre environnement informatique :


Anomalies relatives au trafic réseau interne et internet


  • Est-ce qu’un serveur se connecte à une IP internet inconnue ?
  • Est-ce qu’un ordinateur réalise un grand nombre de requêtes DNS ?
  • Est-ce qu’un système communique avec une IP identifiée comme malicieuse par une des nombreuses bases de données répertoriant les menaces (threat intelligence) ?
  • Etc.




L’analyse du trafic réseau permet de détecter des menaces


Anomalies relatives aux logs d’authentification et logs transactionnels :


  • Est-ce qu’une adresse IP russe se connecte au VPN avec les identifiants d’un employé Français ?
  • Est-ce qu’un administrateur se connecte la nuit pour administrer des serveurs critiques ?
  • Est-ce qu’un technicien informatique se connecte à l’ordinateur de votre PDG ?
  • Est-ce que de nombreux achats e-commerce ont été réalisés à partir d’une même IP mais avec des cartes de crédit différentes ?
  • Etc.


L’analyse des logs d’authentification permet de détecter des comportements suspects. Ici un utilisateur connecté au réseau d’entreprise à partir de deux pays.

Anomalies relatives aux configurations et comportements de vos systèmes :

  • Est-ce que des programmes suspects sont automatiquement exécutés lors du démarrage d’un système ?
  • Est-ce que des programmes bureautiques (Word, Outlook, Excel, PDF, etc.) ont subitement un comportement anormal sur un ordinateur ?
  • Est-ce que des utilisateurs normaux exécutent sur leurs ordinateurs des commandes normalement utilisées par des administrateurs (powershell.exe, ping.exe, net.exe, etc.) ?
  • Est-ce que des comptes locaux ont été créés pour conserver des accès ?
  • Etc.





L’analyse des comportements des ordinateurs permet de détecter des attaques ne pouvant être détectées par des antivirus traditionnels. Ici un document PDF est exploité par un hacker afin d’exécuter des commandes malicieuses.

Vous pouvez faire appel à des sociétés de sécurité telles qu’Oppidum sécurité pour savoir si votre entreprise a été compromise par des menaces persistantes avancées (APT).

Si vous désirez détecter ces menaces de manière continue nous vous conseillons d’acheter et opérationnaliser des technologies capables de vous aider à détecter des caractéristiques suspectes au seins même de vos trafics réseaux, logs et systèmes.

A titre d’information, voici plusieurs solutions capables de vous aider à détecter des menaces persistantes avancées (liste non exhaustive) :

Analyse du trafic réseau :


http://www.cisco.com/c/en/us/products/security/ngips/index.html

https://www.fidelissecurity.com/

https://www.rsa.com/en-us/products-services/threat-detection-and-response/netwitness-logs-and-packets

http://www-03.ibm.com/software/products/fr/qradar-siem

https://logrhythm.com/fr/

Analyse des logs :


https://www.rsa.com/en-us/products-services/threat-detection-and-response/netwitness-logs-and-packets

http://www-03.ibm.com/software/products/fr/qradar-siem

https://logrhythm.com/fr/

http://www.splunk.com/fr_fr

https://www.rapid7.com/products/insightidr/

Analyse des systèmes :


https://www.carbonblack.com/products/cb-response/

https://www.tanium.com/

https://www.crowdstrike.com/

http://www.countertack.com/

http://france.emc.com/security/rsa-ecat.htm


Des questions concernant cet article ?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel :

info@oppidumsecurity.com

Ou nous parler via notre site internet :


https://oppidumsecurity.com/

samedi 20 août 2016

Testez la sécurité de vos applications

Les applications web et mobiles, de par leur complexité et les budgets restreints alloués à leur développement, contiennent souvent un grand nombre de vulnérabilités. 

C’est donc naturellement qu’elles sont les cibles privilégiées des hackers.



Types de vulnérabilité classés par fréquence d’observation - Selon une analyse des vulnérabilités découvertes en 2015 par la firme de sécurité White Hat security.

Si vous souhaitez sécuriser vos applications critiques, nous vous conseillons de tester leur sécurité tout au long de leurs cycles de vie : développement, test, production.

Pour réaliser ces tests, il existe plusieurs outils et méthodes adaptés à ces cycles ainsi qu’à vos challenges :

- Audit de code source automatisé (SAST - Static Application Security Testing)

- Audit dynamique automatisé (DAST - Dynamic Application Security Testing)

- Test d’intrusion réalisé par un « hacker éthique »

Dans cet article, nous vous expliquerons leurs points forts, leurs limites ainsi que les raisons pour lesquelles des audits automatisés SAST et DAST ne peuvent pas se substituer à des tests d’intrusions réalisés par un hacker éthique.



Audits SAST et DAST de l’application Webgoat écrite en .NET

Audit de code source automatisé (SAST)


L’audit du code source (SAST) de vos applications est important si vous souhaitez détecter et corriger leurs vulnérabilités pendant la phase de développement : plus tôt une vulnérabilité est découverte et moins elle sera couteuse à corriger.

Un audit SAST est non intrusif par nature. Vous pouvez donc scanner en toute sécurité vos applications les plus critiques sans risque d’impacter leur performance.

Un tel audit vous permet de détecter un grand nombre de vulnérabilités présentes dans le code source de vos applications



Exemple de vulnérabilité de type « Path manipulation » découverte par un audit « SAST » :


Un hacker peut se servir de cette vulnérabilité pour consulter le contenu de n’importe quel fichier présent sur le serveur hébergeant cette application : fichiers de configuration, documents confidentiels, etc.






Un audit SAST est particulièrement intéressant car il vous indique l’emplacement exact d’une vulnérabilité dans le code source :




Si la lecture du code source est complexe, vous pouvez consulter une vue simplifiée représentant l’exécution dynamique de votre application :


Audit dynamique avec scanner de vulnérabilité (DAST)


Un audit dynamique (DAST) consiste à se servir d’un scanner pour interagir avec l’application comme un hacker le ferait sur internet : en envoyant un grand nombre de requêtes malicieuses vers l’application auditée afin d’y trouver des failles.

Un scanner de vulnérabilité DAST permet de détecter un certain nombre de vulnérabilités pouvant être découvertes lors d’un audit de code source (SAST) sans pour autant atteindre la même efficacité.

Là ou un scanner de vulnérabilité DAST se démarque c’est dans sa capacité à découvrir des problèmes de configuration relatifs au serveur web sur lequel est installée l’application.



Un audit DAST est intrusif par nature. Il peut détériorer votre application. Il est donc préférable de scanner dynamiquement une application dans un environnement de pré production.

Si vous ne disposez pas d’un environnement de pré production, nous vous conseillons de réaliser un scan DAST léger couplé à un audit de code source (SAST). 

De cette manière vous découvrirez un maximum de vulnérabilités sans pour autant impacter votre application.

Exemple de vulnérabilité de type « Web Server Misconfiguration: Unprotected File » découverte par un audit « DAST » :


Un hacker peut se servir de cette configuration non sécurisée du serveur web pour consulter le code source d’une sauvegarde de l’application archivée sur le serveur :







Test d’intrusion


Les audits de code source (SAST) et les audits dynamiques (DAST) automatisés vous permettront de détecter un grand nombre de vulnérabilités. Cependant, il est important de noter que ces solutions ne pourront pas remplacer l’intelligence humaine. 

Des tests d’intrusion manuels réalisés par un hacker éthique vous permettront de découvrir des vulnérabilités inhérentes à la logique « métier » de vos applications et  ainsi que d’autres vulnérabilités plus difficilement détectables par des solutions automatisées.

Enfin, un testeur d’intrusion sera capable d’exploiter plusieurs vulnérabilités en chaine afin d’obtenir des résultats parfois impressionnant.

Un tel test permet de comprendre la dynamique qu’entretiennent des vulnérabilités entre elles afin de dresser un portrait réaliste de la sécurité de vos applications.



L’homme et la machine : plus fort ensemble 

Quels tests réaliser ?

Si votre budget vous le permet nous vous conseillons de réaliser ces 3 types de tests à la fois.

De cette manière vous obtiendrez une grande assurance que vos applications critiques sont dépourvues de vulnérabilités.

Si vous ne pouvez pas vous offrir ces 3 tests, nous vous conseillons de réaliser des tests d’intrusion manuels et de mettre en place un web application firewall pour protéger votre application. 

En effet, les web application firewalls sont capables de détecter et de stopper l’exploitation de la plupart des vulnérabilités pouvant être découvertes lors d’audits automatisés de code source (SAST) et d’audits automatisés dynamiques (DAST).

Pour aller plus loin

Statistiques des vulnérabilités découvertes par la firme de sécurité WhiteHat security

https://info.whitehatsec.com/rs/whitehatsecurity/images/2015-Stats-Report.pdf

DAST et SAST : définition selon Gartner :

http://www.gartner.com/it-glossary/dynamic-application-security-testing-dast/

http://www.gartner.com/it-glossary/static-application-security-testing-sast/

Nombreuses ressources pour sécuriser vos applications et serveurs web:

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

https://geekflare.com/apache-web-server-hardening-security/

http://www.tecmint.com/apache-security-tips/

https://benchmarks.cisecurity.org/downloads/browse/?category=benchmarks.servers.web.iis

Scanners de vulnérabilités gratuits :

https://cirt.net/Nikto2

https://github.com/Dionach/CMSmap

http://www.arachni-scanner.com/

http://w3af.org/


Des questions concernant cet article?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde. 

Vous pouvez aussi nous joindre à ce courriel :

info@oppidumsecurity.com


Ou nous parler via notre site internet :



https://oppidumsecurity.com/

jeudi 4 août 2016

Sécurisez vos communications internet lorsque vous êtes en déplacement

Lorsqu’on voyage il est pratique de se connecter aux wifi gratuits mis à notre disposition dans les hôtels, les aéroports, les cafés…

Cependant, lorsque nous nous connectons à un wifi, il est important de nous rappeler que nos communications peuvent être interceptées par l’administrateur du réseau ou par un hacker connecté sur le même réseau.

Nous vous présentons ci-dessous quelques conseils à suivre pour utiliser une connexion wifi en toute sécurité (par ordre d’efficacité) :


1- Ne vous connectez jamais de manière automatique aux points d’accès wifi







2- Utilisez une connexion VPN pour consulter internet. Des services VPN peuvent facilement être installés sur vos ordinateurs et mobiles. En un clic, vous rendrez vos communications confidentielles grâce au VPN. Un hacker présent sur le même réseau que vous sera alors dans l’incapacité d'intercepter vos communications.




3- Évitez de consulter des sites importants : sites de vos banques, boites emails, etc.

4- Ne consultez que des sites protégés par HTTPS. HTTPS assurera la confidentialité de vos communications avec ces sites.





5- A la moindre alerte de votre navigateur, déconnectez-vous du réseau wifi. Cela peut être le signe qu’un hacker essaie d’espionner vos communications.





Si vous ne suivez pas ces règles sachez que vos communications pourront être interceptées par des hackers. 

Ces derniers pourront alors espionner vos communications et prendre le contrôle temporaire ou définitif de vos comptes, ordinateurs et mobiles.



Pour aller plus loin :



http://arstechnica.com/security/2015/06/even-with-a-vpn-open-wi-fi-exposes-users/

http://www.cio.com/article/3101859/wi-fi/the-dangerous-cost-of-free-wi-fi.html


Des questions concernant cet article?


N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.


Vous pouvez aussi nous joindre à ce courriel :


info@oppidumsecurity.com



Ou nous parler via notre site internet :


https://oppidumsecurity.com/

mardi 2 août 2016

Boostez la sécurité de vos sites internet avec un web application firewall

Dans l’article « Monitorez la sécurité de vos serveurs en temps réel » nous vous avions informé qu’un site internet peut devenir la cible des hackers et ce dès les premières minutes de sa mise en ligne.

Dans cet article, nous analyserons ensemble des attaques réelles dans le but d’identifier des actions simples que vous pouvez prendre pour protéger vos sites faces aux menaces les plus communément rencontrées sur internet.

Pour ce faire, nous allons analyser une semaine de statistiques d’attaques générées par le « web application firewall » qui inspecte le trafic des sites internet de nos clients :



Le web application firewall analyse le trafic envoyé vers les sites internet de nos clients.
Les requêtes identifiées comme malicieuses sont automatiquement bloquées.


Origines des attaques et contre-mesures :

Attaques

Nous observons que les attaques détectées et bloquées par le web application firewall proviennent majoritairement de l’Ukraine et de la Russie.


Contre-mesures

Notre client ne faisant pas de commerce avec ces pays, il serait approprié de bloquer tout trafic en provenance de ces pays.

Cette contre-mesure diminuerait de 87.19% les risques de hack de ses sites internet.

Types d’attaques et contre-mesures :

Attaques

Nous constatons que la plupart des « attaques » proviennent de « robots » scannant l’internet à des fins commerciales (moteurs de recherche, agrégateurs d’information) ou criminelles (recherches d’informations sensibles, de vulnérabilités, publications de spams, etc.)






Pour assouvir votre curiosité nous vous présentons ci-dessous quelques-uns de ces robots en action.

Robots connus par nos "sources d'intelligence" et catalogués comme « Robots spameurs » :




Robots tentant d’exploiter une vulnérabilité de type « SQL injection » afin de publier des messages de « spam » :





Robots scannant l’internet à la recherche de sites internet hébergeant une porte dérobée (backdoor) nommée SFX.php :




Contre-mesures :

Une manière de se protéger de ces robots « hackers » est de vous assurer que vos sites et serveurs web sont dépourvus de toutes vulnérabilités et qu’aucune information sensible (informations personnelles, arborescences de répertoires, interfaces d’administration, etc.) ne soit consultable par des utilisateurs non authentifiés.

Malheureusement, cette recommandation est utopiste car nous savons que des vulnérabilités peuvent être découvertes à tout moment dans des composants utilisés par vos sites et serveurs web.

Les hackers attaqueront ces vulnérabilités dès leurs publications avant même que vous n’ayez eu le temps de tester et de mettre en place des correctifs.



Liste des vulnérabilités du CMS WordPress rendues publiques entre 2004 et 2016 : 222 vulnérabilités

Pour vous défendre face à ces attaques nous vous conseillons donc d’être avant tout proactif (détecter et stopper les attaques) plutôt que réactif (auditer et corriger les vulnérabilités).

Pour atteindre cet objectif, l’installation d’un Web application firewall permettant de bloquer les requêtes malicieuses à destination de vos sites internet est fortement conseillée.

Ce dernier protégera vos sites et ce même si les correctifs de sécurité n’ont pas été installés (Virtual Patching).

Vous aurez alors du temps pour tester et installer les correctifs nécessaires pour assurer votre sécurité.

Pour plus d’informations :


Quelques web applications firewall disponibles sur le marché :

http://www.tomsitpro.com/articles/web-application-firewall-guide,2-988-2.html (solutions à installer dans une DMZ)

http://www.fromdev.com/2011/07/opensource-web-application-firewall-waf.html (open source)

https://www.cloudflare.com/ (cloud Saas)

https://www.incapsula.com/ (cloud Saas)

Listes de diffusion pour se tenir informé des vulnérabilités découvertes

http://www.cvedetails.com/

https://www.us-cert.gov/ncas

Scanners de vulnérabilités gratuits :



Des questions concernant cet article?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde. 


Vous pouvez aussi nous joindre à ce courriel :

info@oppidumsecurity.com


Ou nous parler via notre site internet :



https://oppidumsecurity.com/

mercredi 22 juin 2016

Comment choisir son antivirus?

C'est un fait bien connu, les hackers et virus informatiques ont fait leur apparition dans notre quotidien dès les premiers balbutiements d'internet.

Mon premier contact avec un hacker était en 2000. Je venais de télécharger un «logiciel » me permettant de regarder un film sur internet (l’erreur du débutant!). Après son installation, un hacker était venu me parler par l'intermédiaire d'une petite fenêtre de « Tchat ».

« Dieu », comme il aimait se faire appeler, avait pris le contrôle de mon ordinateur par l’intermédiaire d’un virus camouflé dans le logiciel que je venais d’installer.

Intrigué, j’ai demandé à « Dieu » comment il avait fait pour prendre le contrôle de mon ordinateur alors que j’avais un antivirus d’installé. Il me répondit que sont virus était indétectable car mon antivirus ne le connaissait pas.

C'est sur ces mots que « Dieu » décida de me laisser tranquille. Il ne voulait pas détruire mon ordinateur. Il réservait ce sort à d'autres personnes moins « sympas ».

Cette première rencontre il y a 16 ans avec un hacker avait été plutôt plaisante.

Malheureusement de nos jours, avec l’explosion des banques en ligne et du e-commerce, les hackers préfèrent rester silencieux car ce qui les intéressent ce sont vos informations bancaires : Trop souvent c'est votre banque qui vous informera que vous avez fait l'objet d'un hack.

Dans ces conditions, comment  faire confiance à son antivirus? 
Comment choisir et configurer l’antivirus qui vous apportera le plus de sécurité?

Bien comprendre les différentes fonctionnalités mises à votre disposition par les éditeurs d'antivirus vous permettra de choisir l'antivirus qui vous apportera le plus haut niveau de sécurité tout en minimisant l'impact qu'il aura sur vos activités (toute sécurité a une contrepartie : pertes de fonctionnalités, efforts de configuration, fausses alertes, etc.)

Dans cet article, nous vous présenterons les fonctionnalités proposées par les éditeurs et vous expliquerons leurs avantages et inconvénients.

Comment fonctionne un antivirus?

Un antivirus doit en premier lieu empêcher une infection de se produire. Si l'infection est innévitables, l'antivirus doit être en mesure de détecter les activités malicieuses du virus et/ou réduire son impact sur votre système. Dès détection d’un virus, l'antivirus doit être capable de le supprimer entièrement de votre ordinateur et vous présenter les informations nécessaires pour que vous puissiez évaluer l’impact du virus sur votre parc informatique. Enfin, l'antivirus doit  être en mesure de vous protéger où que vous soyez : bureau, hôtel, chez vous, etc.

Un antivirus doit empêcher un virus d'infecter votre ordinateur :

Les antivirus doivent avant tout détecter et stopper les virus avant qu'ils ne puissent s'exécuter sur votre ordinateur. Pour ce faire, plusieurs techniques sont proposées par les solutions du marché :

   Détection des virus connus : Les antivirus surveilles la liste des sites internet que vous consultez ainsi que les fichiers que vous téléchargez. Si un site ou un fichier est connu comme étant malicieux, votre antivirus vous interdira la visite du site ou l'exécution du fichier. Trop souvent, seule cette fonctionnalité est activée dans les entreprises. D’où l’inefficacité « perçue » des solutions antivirus.
   Avantages : les virus sont détectés avant leurs exécutions. Pas de faux positif : l'antivirus ne "casse" pas les fonctionnalités de vos applications. Peu de maintenance de la part des administrateurs.
   Inconvénients : l'antivirus empêche l'exécution des virus connus uniquement (en moyenne 30 à 40% des virus rencontrés sont des virus connus par les éditeurs d'antivirus)

   Listes blanches : L'antivirus connaît les programmes autorisés par votre administrateur. Si un programme est inconnu son exécution est refusée.
   Avantages : Extrêmement efficace. Les virus n'ayant de facto jamais été autorisé par vos administrateurs, ils ne pourront pas contaminer vos systèmes.
  Inconvénients : Les antivirus se servant de listes blanches peuvent nécessiter une implication élevée de la part de vos administrateurs. En effet, c’est à eux de définir les exécutables qui peuvent être exécutés en toute sécurité sur vos systèmes.

   Sandboxing : Les antivirus peuvent exécuter les programmes ayant un fort risque d'être exploités (navigateurs web, suite office, etc.) dans des machines virtuelles ou « sandbox ». Si un de ces logiciels se fait exploiter (exemple: exploitation du plugin java d'internet explorer), le virus ne pourra réaliser de changement permanant sur vos systèmes. Le virus sera isolé de votre ordinateur et ne pourra interagir qu'avec la machine virtuelle.
   Avantages : En exploitant un logiciel exécuté dans une machine virtuelle, le hacker n'aura pas de main prise sur votre système. La fermeture de l’application exploitée signifie la fin de la contamination : le virus ne peut persister sur votre système.
  Inconvénients : Les solutions de « sandboxing » requièrent quelques changements dans les habitudes des utilisateurs finaux. D'autre part, une isolation complète avec les systèmes connectés à l'ordinateur (dossiers partagés, etc.) n'est pas toujours assurée. Il faut donc bien comprendre les limites des solutions de « sandboxing ».

   Anti-exploit : Les hackers se servent parfois de vulnérabilités dans Java, internet explorer, flash, etc. pour prendre le contrôle de votre ordinateur. Les solutions d'anti-exploit permettent de rendre plus difficile l'exploitation de ces failles logicielles.
   Avantages : Si votre ordinateur dispose de logiciels vulnérables, les fonctionnalités d'anti exploitation augmentent le niveau de difficulté d’exploitation de ces vulnérabilités.
   Inconvénients : Dans certains cas des solutions d'anti-exploitation peuvent faire « planter » certaines applications développées « maison » ou dites « legacy ».


Un antivirus doit détecter les comportements malicieux et réduire leurs impacts :

    Analyse comportementale des programmes exécutés : Si un virus est exécuté sur votre système, ce dernier essaiera sans nul doute de réaliser des modifications sur votre ordinateur afin d’en garder le contrôle, voler des données, enregistrer les touches que vous tapez, etc. Les solutions antivirus peuvent intégrer des modules d’analyse comportementale afin de détecter et stopper les programmes/virus ayant un comportement suspect.
   Avantages : Votre antivirus sera dans une certaine mesure capable de détecter des virus inconnus dit « Zero day ».
   nconvénients : Des faux positifs peuvent avoir lieu. Des programmes légitimes peuvent cesser de fonctionner s’ils sont perçus comme potentiellement malicieux par votre antivirus.

   Protection des processus sensibles : Si un virus est exécuté sur votre ordinateur, ce dernier essaiera sans nul doute d’enregistrer les touches que vous tapez dans vos navigateurs web (cela afin de voler vos informations bancaires, mots de passe, etc.). Certaines solutions antivirus proposent des fonctionnalités permettant de vous protéger contre ce type d’attaque en contrôlant quels exécutables peuvent interagir avec des processus et programmes susceptibles de contenir des informations sensibles (mots de passe, etc.)

   Protection des dossiers sensibles : Certaines solutions antivirus proposent des fonctionnalités permettant de contrôler quels exécutables ou programmes peuvent consulter le contenu d’un dossier sensible.
   Avantages : Si un virus est exécuté sur votre ordinateur, ce virus ne pourra pas voler les informations sensibles contenues dans les dossiers protégés.
   Inconvénients : La configuration d’une telle fonctionnalité demande un effort de maintenance de la part de vos administrateurs. En effet, à eux de définir les dossiers à protéger ainsi que les programmes qui pourront consulter leurs contenus.

•    Host-based Firewall "application aware" : Si un virus est exécuté sur votre ordinateur, ce dernier essaiera sans nul doute d’exfiltrer des données vers internet. Des solutions antivirus peuvent vous aider à définir les processus/programmes autorisés à communiquer sur internet.
   Avantages : Si un virus est exécuté sur votre ordinateur, ce virus ne pourra pas communiquer directement sur internet. S’il souhaite communiquer sur internet il devra réaliser des actions qui augmenteront ses risques d’être détectés lors d’une analyse comportementale.
   Inconvénients : La configuration d’une telle fonctionnalité demande un effort de maintenance de la part de vos administrateurs. En effet, à eux de définir quels programmes/processus peuvent communiquer vers internet.

  Intégration avec d’autres systèmes : L’intégration de votre solution antivirus avec d’autres systèmes de sécurité comme des firewalls ou Network Access control (NAC) permettra l’isolation rapide et automatisée d’un ordinateur compromis.
   Avantages : Si un ordinateur est contaminé, votre solution antivirus pourra donner l’ordre à vos firewalls et solutions NAC d’isoler cet ordinateur du reste de votre environnement. Cela afin d’éviter tout risque de contamination en chaine et de fuite d’information.
   Inconvénients : Une telle synergie demande l’achat de solutions firewalls et NAC compatibles avec votre solution antivirus. 


Un antivirus doit vous aider à supprimer les virus de vos ordinateurs :

   Nettoyage de la source : La plupart des antivirus se contentent de mettre en quarantaine l’exécutable de départ d’un virus.

   Nettoyage complet : Certaines solutions antivirus plus avancées vous permettront de mettre en quarantaine l’exécutable de départ ainsi que de corriger tous les dégâts causés par le virus sur votre ordinateur (décryption des fichiers, suppression des clés de registres et des tâches programmées malicieuses, etc.).

Un antivirus doit vous aider à évaluer l’impact du virus sur votre parc informatique:

   Logs des changements réalisés par des programmes malicieux : Certaines solutions antivirus enregistreront toutes les actions réalisées par un programme inconnu. Si le programme est reconnu comme malicieux quelques jours après son lancement, la solution antivirus sera capable de présenter aux administrateurs les actions réalisées par le programme malicieux. 


Un antivirus doit vous protéger où que vous soyez :

   Encryption des données : en cas de perte de votre ordinateur, l’encryption de vos données est primordiale. Certaines solutions antivirus peuvent complémenter des solutions déjà présentes dans Windows ou MAC OS X.

   Gestionnaires de mots de passe : des solutions antivirus peuvent intégrer des modules de gestion des mots de passe afin d’aider vos usagers à utiliser des mots de passe complexes en toute sécurité.

   Contrôle et destruction à distance : en cas de perte d’un ordinateur il peut être pratique de détruire son contenu à distance, de le situer sur une carte, d'activer sa caméra.

  Console de gestion antivirus « cloud » : il est important de conserver une visibilité sur la sécurité de vos ordinateurs présents en dehors des limites de votre réseau interne. L’utilisation d’une console de gestion antivirus dans le « cloud » vous apporte la garantie que vos ordinateurs sont protégés avec des signatures antivirus et des configurations à jour quelque soit leurs localisations: à l’hôtel, au bureau, etc.

  Gestion des vulnérabilités et patching : Certaines solutions antivirus peuvent vous aider à patcher les logiciels vulnérables installés sur vos ordinateurs.


Vous l’avez compris, l'antivirus idéal devrait avoir toutes les caractéristiques présentées ci-dessus, mais un tel antivirus n'existe malheureusement pas.

Dès lors, il vous faudra choisir l'antivirus vous proposant le plus de mécanismes de protections possibles à un prix qui soit acceptable par votre entreprise.

Si vous ne trouvez pas l'antivirus parfait, essayez de combiner plusieurs antivirus ensemble afin d'obtenir les fonctionnalités requises (attention aux compatibilités!). Cela peut coûter cher, mais vaut grandement la peine pour sécuriser les ordinateurs de vos usagers « VIP ».

Pour finir cet article, nous souhaitons vous rappeler qu'une solution « magique », 100% sécurisante et déployable en 3 jours sur 10 000+ systèmes n’existe pas à ce jour. Le choix d’une solution antivirus et sa configuration doit être le fruit d’une réflexion approfondie. 


Des questions concernant cet article?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com


Ou nous parler via notre site internet :



https://oppidumsecurity.com/

vendredi 27 mai 2016

La sécurité d'une forêt Active Directory est égale à la sécurité de son domaine le moins sécurisé

De nombreux administrateurs de forêt Active Directory pensent que chaque domaine dans une forêt est une entité indépendante d’un point de vue la sécurité.

Cela est faux : la compromission d’un seul domaine dans une forêt Active Directory revient à dire que tous les domaines de la forêt sont compromis.




Les sous domaines dans une forêt ont été conçus par Microsoft pour faciliter la délégation des tâches administratives entre différents administrateurs et non pas pour isoler des domaines de niveaux de sécurité différents.

Il est donc important de bien réfléchir avant d’intégrer un nouveau domaine dans une forêt Active Directory.

Si vous désirez interagir avec un domaine qui n’est pas encore sécurisé, il est préférable, à la place, de créer une simple relation d'approbation (Trust Relationship) entre votre forêt et le nouveau domaine.

De cette manière la compromission du nouveau domaine dont la sécurité est faible ne remettra pas en cause la sécurité de votre forêt.

Pour plus d’informations :

Microsoft indique que la sécurité d’une foret Active Directory dépend directement de la sécurité de chacun de ses domaines :

https://technet.microsoft.com/en-us/library/cc755979(v=ws.10).aspx

HarmJ0y vous prouve « par les armes » que la compromission d’un sous domaine signifie la compromission de l’ensemble des domaines d’une forêt :

http://www.harmj0y.net/blog/redteaming/the-trustpocalypse/




Des questions concernant cet article?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel : 


info@oppidumsecurity.com



Ou nous parler via notre site internet :


https://oppidumsecurity.com/