mars 1st, 2011

Excès d’XSS et exercices exquis (horoscope 3)

Posté on 01 Mar 2011 at 3:30

Mars (la guerre) qui entre en conjonction avec le signe de la Faille et du Malware sera bénéfique toute la première partie du mois pour les chasseurs de vulnérabilités et les amateurs de fuzzing. GNU Citizen leur apprend la renaissance du projet BeEF le Browser Exploitation Framework qui, comme son nom ne l’indique pas, a été totalement réécrit en Ruby… ce qui facilite par ailleurs son intégration dans Metasploit. C’est donc là une impressionnante collection d’exploits visant les clients http, sujet on ne peut plus à la mode.

Ludovic Courgnaud, pour sa part, rappelle l’existence de XSSFramework, encore une plateforme, mais destinée celle-ci à montrer les dangers des attaques XSS. Et, ho surprise, XSSF s’intègre dans Metasploit. Le sujet n’est pas très « grand public » et Ludovic Courgnaud parvient à expliquer avec des termes simples, sans jargon, les origines et les dangers des attaques en « cross site scripting ». Dangers grandissants avec la généralisation d’appareils mobiles « intelligents » s’appuyant sur des systèmes d’exploitation vulnérables. Tout çà est sur le blog de Conix, en Français, d’une limpidité remarquable : à imprimer et à utiliser dans le cadre des documents de « sensibilisation »… tant l’article lui-même que l’utilisation de XSSF. A noter que les attaques XSS feront également l’objet d’une communication de la part de Nicolas Grégoire à l’occasion des prochaines SSTIC. On attend du « lourd » en la matière.

Pentesting, forensique, on connaît la musique (horoscope 2)

Posté on 01 Mar 2011 at 2:45

Les natifs placés sous le signe du Test de Pénétration, ascendant forensique, vont avoir de la lecture. Security4All signale deux initiatives intéressantes : l’une est un « repository » collectionnant les signets de tout ce qui se fait dans le domaine du test de pénétration Open Source. Après quelques jours à peine, la liste est déjà conséquente. L’autre initiative est celle du Penetration Testing Execution Standard, une tentative d’approche méthodologique des tests de pénétration. Voilà qui nous permet au passage de rappeler la journée du Honeynet projet le 21 mars prochain à Paris, dans les locaux de l’Esiea.

Tempête dans un cube de silicium, après cette communication très discutée sur les différentes listes « sécu » : les logiciels d’effacement de disque dur les plus sophistiqués (ceux-là même qui sont bénis par le DOD et autres agences à trois lettres) laisseraient intacts quelques pourcents de données. Certains aspects de la communication sont ardus, techniques et très argumentés, d’autres font sourire, tel ce passage expliquant que les chercheurs ont tenté de « dégausser » leurs disques silicium avec un électroaimant. A la rigueur, une décharge EMP, mais un champ magnétique… probablement une interprétation des technologies FET ?

Le problème de l’effacement d’une mémoire flash (ssd ou clefs usb) se présente lorsque le matériel est déconditionné et revendu d’occasion (ou récupéré en fin de période de location/leasing), ou lorsque le disque concerné doit être « débriefé » après un retour de mission, afin de ne conserver aucune information essentielle. Si l’on souhaite écarter la solution quelque peu radicale de la destruction physique du support par broyage, atomisation, réduction par l’acide, estrapade, noyade dans du béton ou incinération par aluminothermie, le chiffrement peut constituer un première parade contre le risque de récupération encore que, comme le précise l’étude, tout ne soit pas parfait en ce domaine, surtout si l’on utilise les « integrated cipher tools » dont l’intégration n’est pas toujours parfaite. Chiffrement qui en outre, dans certaines circonstances, peut s’avérer problématique (passage de frontières notamment). N’oublions pas également que cette technique a longtemps été quasiment interdite en France par la DCSSI, sous prétexte que ceux qui avaient quelque chose à cacher avaient également quelque chose à se reprocher, logique fleurant bon le libéralisme éclairé et encore en usage dans bon nombre de pays. C’est là un sujet digne d’entretenir de longues conversations durant les soirées d’hiver, et de nourrir pour les 5 ans à venir les communications forensiques des prochaines BH, SSTIC, CCC et autres HITB.

Publicité

MORE_POSTS

Archives

mars 2011
lun mar mer jeu ven sam dim
« Fév   Avr »
 123456
78910111213
14151617181920
21222324252627
28293031