mars, 2012

RSA Conference, San Francisco : Pwnie Express est typiquement le genre d’outil qui fait peur aux gens bienpensants et qui réjouit les responsables sécurité praticiens du pentesting. Physiquement parlant, Pwnie n’est rien d’autre qu’un femto-ordinateur SheevaPlug dans lequel a été installé un Metasploit complet, avec Fastrack, Kismet, Aircrack NG, Karma, Nmap, ettercap, Medusa… et bien d’autres. Comme tout cela pourrait presque faire bailler d’ennui un übergeek (qui a bien entendu « déjà fait çà sur un WRT entre deux épisodes de The IT Crowd »), diverses extensions sont venues enrichir cet ordinateur miniature : quelques clefs USB « longue portée et forte puissance » (probablement homologuées dans quelque pays très éloigné), une carte 3G, une extension mémoire de 16 Go pour accueillir des logs généreux et riches d’enseignement… et l’on a fait le tour de la Pwn Plug Elite.

Outre le fait que la PwnPlug (autrement dit la Sheevaplug) ressemble plus à un gros bloc secteur époque « régulation série » qu’à un véritable ordinateur, elle peut être utilisée discrètement, sans trop attirer l’attention. Elle peut surtout être expédiée par colis postal et branchée par le client d’un service d’analyse en sécurité « as a service », laissant à l’expert pentesteur le choix de travailler à distance et ainsi d’analyser plusieurs sites en même temps.

Notons au passage que la Pwnplug est truffée de scripts agressifs destinés à forcer des accès SSH 3G, http, SSL, DNS, ICMP…

RSA Conference, San Francisco : Pindrop Security était, cette année, l’un des participants remarqués de l’Innovation Sandbox durant la RSA Conference 2012. Alors que les principaux participants étalaient des offres Cloud (outils d’administration, de filtrage et autres compléments de sécurité) Pindrop ne montrait que l’écran d’administration de son outil d’authentification de ligne téléphonique.

Techniquement parlant, l’outil de Pindrop effectue une série de mesures capables de caractériser une ligne téléphonique depuis le terminal du correspondant concerné : bande passante, dynamique, trous de réponses en fréquence (notchs), analyse dans le domaine temporel, niveau d’écho, temps de réponse moyen… près de 170 points particuliers dressent ainsi une sorte de profil de la ligne et l’associe au numéro de téléphone client. L’analyse elle-même ne prend qu’une quinzaine de secondes, et ses résultats sont stockés dans une base de données. Par la suite, tout appel semblant provenir du correspondant en question seront comparés au profil spectral de la ligne, et pourront constituer un « second facteur » intéressant dans le cadre d’une procédure d’authentification.

A qui s’adresse cette technologie ? Aux banques et compagnies financières, aux administrations, aux call-centers techniques… chaque fois qu’il est nécessaire d’établir avec certitude que l’on a bien affaire à l’appareil avec un correspondant précis. Si le doute était peu permis à l’époque bénie des lignes 100% terrestres, la chose devient bien plus complexe sur une ligne VoIP, plus simple à détourner qu’un antique S63 branché sur un véritable conjoncteur mural, lui-même directement raccordé sur un boîtier d’abonné.

Ce procédé ne doit pas être confondu avec une technique similaire, qui consiste à dresser un profil spectral de la voix, et qui peut être assimilé à une forme d’identification biométrique. Dans le cas de Pindrop, il s’agit d’une reconnaissance de l’équipement télécom utilisé, non de la personne située au bout de la ligne.

RSA Conference, San Francisco : LogLogic, tous les grands comptes connaissent, ou presque. Il s’agit d’un outil de récolte, de normalisation et de « reporting » de cahiers d’évènement (logs), capable de traiter près de 150 000 objets par seconde. D’un usage relativement répandu en France, il intéresse principalement les spécialistes sécurité qui, avec le secours de scripts, peuvent trier, détecter des « suites » remarquables, isoler des évènements anormaux et surtout conserver la trace d’activités précises qui pourront éventuellement servir dans le cadre d’une recherche de preuve ou d’une analyse forensique. « C’est là l’usage le plus fréquent que nous puissions avoir dans le domaine de la sécurité : les détections d’activités liées à une infection, les statistiques d’un log de messagerie sur un niveau de spam, les résultats d’un pic anormal dans les moyennes de consultation d’une base de données, un usage abusif d’une ressource particulière dénotant un éventuel vol d’informations… ces signaux d’alarme constituent presque une seconde ligne de défense après les premières protections périmétriques,explique Mandeep Khera, VP Exécutif de l’entreprise. Mais il faut avouer que, le plus souvent, l’usage « par défaut » de notre gestionnaire de logs, c’est l’optimisation des outils IT, la notification des taux de charge »

D’autres usages sont en cours de développement. Avec l’accroissement des offres « cloud », notamment des clouds privés, l’on a vu LogLogic franchir une nouvelle évolution. Mais, explique M.Khera, cela n’a été qu’un premier pas. Depuis déjà quelques temps, des MSSP offrent développements et services à façon autour de nos produits. Des développements qui, jusqu’à présent, ne concernaient que des grands comptes, clients historiques des services Cloud. Puis nous nous sommes retrouvés directement liés à l’analyse et au contrôle des architectures Cloud, principalement VMware. Aujourd’hui, l’on voit s’amorcer une nouvelle phase, qui concerne non plus les possesseurs de Cloud (les prestataires de services hébergés) mais les clients de ces services. Des entreprises de moyenne, voir petite envergure, qui peuvent bénéficier d’une offre LogLogic offerte « à façon » par leur prestataire de service/hébergeur. Une sorte de « log as a service » vendu au détail. »