Shellshock : petit recap sur la faille !

La nouvelle crée la frayeur depuis peu dans la scène Tech, particulièrement chez les Spécialistes en Sécurité de l’Information et les Administrateurs d’Infrastructures. Sous le nom de code « Shellshock », cette faille affecte l’interpréteur de commande Bash (Bourne Again SHell) embarqué sur les systèmes Linux, Unix et sous Mac OSX aussi. Certaines versions de shell limités comme Busybox pourraient ne pas être affectées, mais cela reste encore à confirmer. Elle permet à un utilisateur distant (potentiellement malveillant) d’exécuter des actions aléatoires (donc à son gré) dans le shell de l’utilisateur.

Au moment d’édition de cet article, il n’existe pas encore de correctif complet face à ce bug. Toutefois, les Dev des principales distributions Linux/Unix et du programme incriminé ont déjà proposé des correctifs partiels que je vous invite vivement à appliquer en faisant une mise à jour de votre Système d’Exploitation et du programme « bash ».

shellshock-bug

Un ver informatique exploitant cette faille de sécurité pour créer un botnet été découvert  et selon FireEye, l’impact de ce bug couvrirait environ 20 à 50 % des serveurs web de part l’Internet (pour ne citer que le coté « web »). Notons sous les OS Windows, le bug affecte uniquement les hôtes sur lesquels un interpréteur bash (via Cygwin par exemple) à été installé. De plus, outre l’exécution des script CGI (pour les services web), d’autres services réseaux comme le DHCP et SSH peuvent être utilisés comme canal pour prendre le contrôle d’un hôte présentant cette faille.

Coté détection d’incidents de Sécurité (IDS), quelques scripts de Bro sont déjà disponibles permettant de détecter les tentatives d’exploitation de la faille sur vos assets et par la suite les bloquer par la suite.

Une recherche sur Twitter avec les hashtags #Shellshock et #bashbug vous permettra de rester informés des dernières évolutions concernant cette faille et ses divers aspects.

La faille : CVE-2014-6271 

Systèmes d’exploitation cibles : Linux, Unix et Mac OS X

Portée : Exploitation de l’hôte vulnérable à distance via des requêtes forgées, pas besoin d’accès physique.

Correctifs à Déployer : Mise à jour de l’OS et de l’application bash

Détecter les hôtes portant la faille : basiquement, il suffit d’exécuter la ligne de script bash suivante sur un hôte (sans les << et >>) :

<< « env x='() { :;}; echo vulnerable’ bash -c « echo this is a test » >>.
Si votre hôte est vulnérable, le message suivant s’affichera :
<< vulnerable
this is a test  >>.
Sinon, vous obtiendrez plutôt :

<<  bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
this is a test >>.
De plus quelques Scanners de Vulnérabilités du marché ont été mis à jour pour la détecter.

Mise à Jour 1 du 26 Sept. : Une autre version du même bug reférencée sous le nom de code « Shellshock 2 » (CVE-7169 ) a fait son apparition et de ce fait, il est important d’appliquer de nouveau les correctifs de sécurité publiés pour cette dernière. Plus de détails par ici :

Pic Shellshock 2 by @bortzmeyer

 

Liens utiles :

[ErrataRob] http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html [Troyhunt] http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html

[LinuxFR] https://linuxfr.org/users/tankey/journaux/mets-a-jour-ton-bash-maintenant 

[Shellshock Worm] http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3505

[Rapid7] https://community.rapid7.com/community/infosec/blog/2014/09/25/bash-ing-into-your-network-investigating-cve-2014-6271 

[Exploitation] Avec Metasploit Framework 

Publicités

Project Sonar : from #ScanAllTheThings to #GrepAllTheThings… here we go !

« Unity is strength ! » is with these words that I summarize initiative launched by the holders of this project.

There’s a few years, scan the Internet in its majority* was a challenge for which he had to bring adequate resources, not to mention special (bandwidth, storage space, equipment … ).
These days , with the development of tools, techniques, and lower infrastructure costs, the challenge is smaller. Indeed, the news of theses last months reveals that it is now possible to scan the entire Internet to IP version 4 (see  0.0.0.0/0 ) on a specific communication port in less than an hour [1] or less. [2]
Over time several projects in this direction have emerged, among them in 2012 and we got the « Internet Census«  project whose the process of research is pretty debatable but whom gave results of great value to the Tech community (the valuable datasets nearly 9 terabytes of raw data !)

worldmap_lowres

The Project Sonar aims to establish a repository of all the data from different scans done on the Internet by various researchers around the world , in order to make the results of their work benefits to all .In addition, the project does not stop there because it is possible for others researchers to avoid the tedious job of scanning and just focus only on exploitation of data from differents scans performed by others researchers. Thus, the project takes its essence !
Already now the data of scans done as part of this project and related projects are available on the online platform created for this purpose, a single address for all : https://scans.io/

Apart from facilitating the task for researchers and to maximize the use of data provided by these datasets, I find that this approach avoids that at any time the public interfaces of everyone are scanned, with in some situations can cause latencies or denials of service.

Working for some time on a project about mapping objects and services connected and their vulnerabilities in the African’s countries, this project falls like a godsend for me considerably eases my job !

A big up to the Rapid7s Team and all project partners and affiliated researchers !

Note that far beyond the purely technical aspect , the initiative intended to update several vulnerabilities in our infrastructures and protect themselves as the most frequently involved are not aware of any vulnerability that they  « host » and even if they are aware , they are doing nothing.

More details on the Sonar project here : Welcome To Project Sonar
On methods and tools to use for scans and best practice recommendations , the following link is quite instructive : #ScanAllTheThings

For information, the following link provides a solution set on foot by a researcher in order to facilitate the use of datasets provided by products Sonar Project [3] Reversedns FunnelCloud

*Majority of scan because it does not include (yet) addresses in IPv6 , but no doubt it is only a matter of time. Furthermore, some organizations have made requests to the researchers to exclude their IP ranges from scans.

[1] ZMap

[2] Masscan

[3] Rapid7 – Reverse DNS

Valdes T. Nzalli

Microsoft’s Law Enforcement Requests Report 2013

Il y’a de cela quelques jours, dans sa politique de transparence avec l’utilisation des données utilisateur que l’entreprise traite, Microsoft a publié son rapport semestriel pour les six premiers mois de l’année 2013, récapitulant l’ensemble des requêtes émises par les Agences d’Etat dans le cadre de procédures judiciaires en cours contre l’un ou l’autre des abonnés des services de la firme.

Microsoft_Law_Enforcement_Request_Report

De part ce rapport il advient que 5 pays, à savoir la France, les Etats-Unis d’Amérique, la Turquie, l’Allemagne et l’Angleterre, à eux seul ont émis près de 73% de l’ensemble des requêtes reçues par les services de Microsoft.

Ce qui m’intéresse particulièrement dans ce rapport ce sont les requêtes d’informations émises depuis des pays d’Afrique. Et là le moins qu’on puisse dire c’est qu’il n’y à pas affluence. Les seuls recensés dans le rapport sont la Tanzanie et l’Afrique du Sud, sur un ensemble de plus de 60 pays ayant émis des requêtes !

Ceci me pousse à me poser des questions sur les opérations de nos services judiciaires et de sécurité ici en Afrique. Ce faible tôt de demande d’information serait-il dû  à la non intégration de ces mécanismes dans nos procédures d’enquêtes ? Que dire de nos Agences Nationales de Sécurité Numérique qui très probablement un jour ou l’autre ont eu et auront besoin d’avoir accès à certains détails sur les activités privées en ligne d’un individu (bien entendu, muni d’un mandat judiciaire) afin d’établir, ou pas, sa complicité dans un acte malveillant ou de démanteler un réseau de (cyber)criminels ?

Les détails sur le rapport en question se trouvent par ici

Valdes T. Nzalli

Les utilisateurs du réseau Tor en Afrique

Au détour d’un article sur la montée spectaculaire du nombre d’utilisateurs du réseau d’anonymisation Tor survenu il y’a quelques jours (lien) je me suis demandé quelles pouvaient bien êtres les tendances d’utilisation de ce réseau dans les pays d’Afrique. Fort heureusement, les gestionnaires de ce projet mettent gratuitement en ligne des outils de monitoring de l’activité sur le réseau pour que toute personnes qui le désire bien puisse s’en servir. Pour ceux qui se demandent de quoi est ce qu’il s’agit, un tour par ici ne serait pas de trop : Tor, quésako ?  Il m’a ainsi été possible de constater par exemple ces différentes statistiques d’utilisation :

– L’Algérie : direct-users-2013-01-01-off-2013-08-30-dz

– Le Cameroun : direct-users-2013-01-01-off-2013-08-30-cm

La Cote d’Ivoire :  direct-users-2013-01-01-off-2013-08-30-ci

– L’Ethiopie :  direct-users-2013-01-01-off-2013-08-30-et

– l’Egypte : direct-users-2013-01-01-off-2013-08-30-eg

– Le Gabon : direct-users-2013-01-01-off-2013-08-30-ga

– La Guinée Equatoriale : direct-users-2013-01-01-off-2013-08-30-gq

– le Nigéria : direct-users-2013-01-01-off-2013-08-30-ng

le Sénégal : direct-users-2013-01-01-off-2013-08-30-sn

– L’Afrique du Sud : direct-users-2013-01-01-off-2013-08-30-za

Vous avez certainement remarqué cette croissance brusque survenue au cours du mois de d’Août dans plusieurs pays tels que l’Afrique du Sud, l’Algérie, l’Egypte, le Sénégal. durant cette même période on constate une croissance certes fortes, mais de moindre amplitude comparé aux premières citées dans les pays tels que le Cameroun, la Cote d’Ivoire, le Nigéria, la Guinée Equatoriale et l’Ethiopie.

A titre indicatif, rappelons qu’il s’agit là des utilisateurs directement connectés au réseau sans passer par une passerelle (des relais non publics) Tor. Toujours sur la même page, du site des métriques, il est possible d’avoir les statistiques spécifiques des utilisateurs passant par des Tor Bridge. Pour ces derniers, au Cameroun on à la courbe suivante :

bridge-users-2013-01-01-2013-08-30-cm

Vous aussi, vous pouvez avoir les statistiques d’usages en fonction des pays et des critères qui vous intéressent, pour ce faire c’est par ici : https://metrics.torproject.org/

Sur près de la moitié des pays mentionnés, on remarque une certaine augmentation du nombre d’utilisateurs du réseau vers mi-Juin 2013, serait ce en rapport avec les révélations sur le dossier PRISM ?

Valdes T. Nzalli

Free Offensive Security Course

off_sec_banner3

Dans le cadre de notre programme de vulgarisation des supports de formation dans le but de renforcer les compétences techniques du maximum de personnes sur la scène locale, nous vous proposons ce programme de formation issu de l’Université d’Etat de Floride, aux Etats Unis. Ce programme a été mis sur pied par deux éminents enseignants à savoir le Professeur Xiuwen Liu et le Professeur W. Owen Redwood. Cette formation a été dispensée au cours du printemps derniers et ses initiateurs ont promis de la mettre continuellement à jour pour une autre session dans la même Université l’année prochaine.

La formation, intitulée « Offensive Security » est disponible en langue anglaise et s’étend sur une période officielle de 15 semaines en moyenne, mais bien sûr, en fonction de vos aptitudes et affinités, rien ne vous empêche de suivre le programme complet en plus ou moins de temps que celui prévu.

Les motivations ayant poussé à la conception de ce cours, telles que données par ses auteurs sont :
“The vision of this class is to fill the common gaps left by most University level security courses, by giving students a deep technical perspective of how things are attacked and hacked. The motivation of teaching such subject material was twofold: primarily to produce skilled students geared to become penetration testers and/or incident responders; and secondarily to hopefully raise the bar for security courses (as there is a real dearth of skilled security professionals coming out of college)”

Ce qui répond grandement à notre besoin car plusieurs ici au Cameroun (et dans d’autres pays) ont eu à faire des cours à l’Université, généralement très concentrés sur les aspects théoriques de la cyber sécurité, ce qui est bien des fois insuffisant pour une insertion professionnelle réussie. Ce programme a donc en partie, pour objectif de combler ce vide et permettre de produire des Professionnels de la Cybersécurite capables de comprendre et d’appliquer les techniques de haut niveau pour résoudre des problèmes techniques potentiellement complexes.

Les supports de cours sont fournis sous forme de présentation téléchargeable au format de votre choix (PDF, PPTX, ODT,…). En plus pour chaque module de cours est disponible une vidéo d’une dure d’environ 1 heure de temps retraçant en « live » la présentation. A la fin de certains modules des exercices sont fournis afin d’évaluer les apprenants. Pour les étudiants de la dites institution, un projet de fin de cours est même disponible. Le programme détaillé de la formation est accessible par ici : Offensive Security Class Syllabus.

Course Objectives :
Upon successful completion of this course of study, the student will:

  •  Know how to identify software flaws discovered through binary and source code auditing
  • Know how to reverse engineer x86 binaries
  • Know how to exploit software flaws (such as injection flaws, buffer overflows)
  • Know how to perform network and host enumeration, as well as OS and service fingerprinting
  • Know how to perform network vulnerability analysis, penetration and post exploitation
  • Know how to effectively report and communicate all of the above flaws”

Tous les supports de formation ainsi que les exercices et les informations complémentaires sont disponibles sur le site de ses concepteurs à cette adresse : Offensive Security Class Website. Notons par ailleurs qu’il vous est possible de télécharger directement le fichier torrent contenant uniquement l’ensemble de toutes les vidéos de la formation (sans les diaporamas et les exercices)

Note : Les supports de cours étant essentiellement en anglais il est nécessaire d’avoir un certain niveau de compréhension de la langue pour pouvoir les suivre. Par ailleurs, nous vous conseillons de travailler avec ces supports en formant des groupes (amis, collègues, club Info/Sec) afin de vous motiver d’avantage et de vous entraider lors de l’apprentissage.

Valdes T. Nzalli

PRISM : Au delà du Scandale !

Dans mon dernier billet je vous parlais du « scandale » actuel occasionné par la publication de documents classés « top secret » de la NSA par un ancien employé de son sous traitant Booz Allen Hamilton dénommé Edouard Snowden. Actuellement toujours dans sa quête d’un asile politique et du moyens de jouir de l’asile qui lui est proposé en Amérique Latine, son sort reste pour le moins incertain. [1]

Loin du débat autour des raisons et frontières de l’espionnage électronique (qui n’est qu’un pan du phénomène), loin de la polémique autour de la méthode utilisée par Snowden pour divulguer l’information, loin des récupérations politiques et du tapage médiatique occasionnés par ce dossier, quelques détails semblent tout de même assez instructifs et révélateurs : le « comment » de l’exfiltration de ces données normalement gardées sous haute surveillance (électronique et physique) !

Dans le principe général de sécurité périmétrique on a plus tendance à traiter tout ce qui est hors du réseau comme élément (potentiellement) « hostile » tandis que ceux à l’intérieur jouissent facilement de plus de privilèges et d’une certaine relation confiance. Mais voilà que faire lorsque le mal se trouve plutôt à l’intérieur ?! Ce phénomène est représenté par l’appellation, en anglais,  « Insider Threat » !

Le scandale occasionné par les révélations sur l’affaire PRISM est un cas pratique d’Insider Threat. Les mesures de sécurité de nos entreprises prennent-elles suffisamment en compte la protection contre les menaces (fraude, malversation, déstabilisation,…) internes ?! Quels sont les mécanismes qui sont mis en œuvre pour prévenir, détecter et limiter leur impact ?!

Dans le même ordre d’idée la gestion des utilisateurs avec privilèges élevés pose aussi problème ; Comment s’assurer qu’un utilisateur, avec ses droits d’accès élevés, à l’exemple des Administrateurs systèmes et réseaux, n’est pas entrain d’en profiter pour bypasser certaines mesures de sécurité et mettre la main sur des données hautement sensibles tant pour l’entreprise que pour ses partenaires et même de l’Etat, comme ce fut le cas ? Et que dire de tous ces Patrons, chefs d’entreprises et autres Managers (pas toujours réputés pour savoir protéger les identifiants) qui ont généralement (du moins dans la plupart des PME) un accès total à TOUT dans l’entreprise que ce soit technique, financier ou managérial, au cas où leur credentials seraient compromis (et rassurez vous, ça arrive bien des fois ) à l’exemple de Snowden qui a cloné les accès d’une personne hiérarchiquement mieux placée pour avoir accès à ces informations, que faire face à ce type de situation ?! [2]

C’est dans ce genre de scénario qu’interviennent les solutions de gestion d’identité et d’accès (IAM = Identity and Access Management). Grosso-modo, elles permettent de gérer qui a droit à quoi ainsi que les limites d’usage de ce droit. Ce serait bien naïf de penser qu’une boite du calibre de la NSA ne possède pas de solution d’IAM. Toutefois, leur Système Informatique bien qu’étant bien outillé, hautement sécurisé et tout a quand même permis à un individu d’accéder, à plusieurs reprises, sans attirer l’attention de personne, à certains dossiers très sensibles, sous la cape d’une autre personne (ID Theft. Il a certes utilisé les accès d’un utilisateur avec privilège mais n’empêche que l’accès à toute donnée plus ou moins sensible dans un Système d’Information qui se respecte doit TOUJOURS être journalisé et les logs sauvegardés de façon non altérable. [3]

C’est assez curieux qu’une agence dont l’une des missions principales est de TOUT collecter sur TOUT pour ensuite analyser n’ait pas appliqué la même formule pour ses affaires internes, pas assez en tout cas. Il y’a quelque temps le Général Keith Alexander, patron de la NSA, à l’issu de ce scandale à annoncé qu’ils allaient mettre sur pieds un nouveau procédé nécessitant la combinaison de deux personnes (au lieu d’un seul comme c’est le cas actuellement) afin d’avoir accès à des données critiques. Comme l’ont relevé plusieurs Experts du domaine, c’est peux être bien (mieux que rien en tout cas) dans un début mais que faire en cas de complicité des deux ou de menaces (chantage et autres) du second membre du binôme ? D’où la nécessité de trouver une solution pérenne pour ce genre de problématique.

A mon avis, quelque soit la solution, elle devra prendre en compte le fait de déjà limiter le nombre d’intervenants potentiels car moins il y’a de personnes pouvant avoir accès plus le risque de fuite est réduit. A notre tour, dans nos entreprises quelles sont les personnes pouvant avoir accès aux informations sensibles ?! De quel type de privilège d’accès jouissent ces personnes ?! Pouvons nous avec exactitude savoir qui à eu accès à quoi ? quand ? depuis où ? et quel type d’accès (copy, ecriture, modification, suppression, …) est ce que la personne à eu ? Quid des dispositifs de DLP (Data Leak Prevention) ? Avons nous des moyens de monitorer toute l’activité de nos utilisateur (ou du moins celle en relation avec les données sensibles) ? Pareil pour les logs de nos applications, sont-ils eux aussi archivés et analysés ?

Quelques piste qui réduiront considérablement les risques de fuite de données interne :

  • Identifier les données sensibles ainsi que leur(s) emplacement(s)
  • Elaborer les process : c’est à dire définir qui à droit à quoi, quand et depuis quel Poste / Segment du réseau / Type de connexion / Adresse / ..
  • Implémenter une solution d’Identity and Access Management permettant d’appliquer les workflows de l’entreprise (tel que défini dans le précédent point) et une gestion plus flexibles des droits et accès.
  • Journaliser, Monitorer et Analyser (Applicatifs, Systèmes, Réseaux,…): cette étape est doublement utile, premièrement dans la détection d’un incident éventuel, et deuxièmement en cas d’enquête ou de reconstitution des faits. [4]

Nul besoin de préciser ici qu’avoir un personnel compétent et régulièrement recyclé est de rigueur. Soyons clair, ceci ne nous mettra pas à 100 % à l’abri des risques de fuite de données, mais nous épargnera d’un quantité considérable de risques potentiels ; car rappelons-le une fois de plus, la Sécurité des Systèmes d’Informations, loin d’être un produit en soi, est avant tout une démarche marquée par plusieurs jalons.

Valdes T. Nzalli

Liens utiles :

[1] Je m’appelle Edouard Snowden, j’ai voulu un monde juste !
[2] Insider Threat Sheet (PDF)
[3] Network Security Fundamentals: Monitor Everything
[4] Six tips for building a successful SIEM strategy

Réseaux Sociaux et Sécurité avec les étudiants de la FGI, Douala

Dans le cadre de ses activités de sensibilisation du public sur l’usage de manière sécurisée des Technologies de l’information et de la Communication, il s’est tenu le 10 Mai dernier dans l’enceinte de la Faculté de Génie Industriel (FGI) raccordée à l’Université de Douala un atelier de 2 heures et demi sur le thème « Réseaux Sociaux et Sécurité ». Cet atelier est le fruit d’un concours d’efforts volontaires ayant vu la participation du Club Informatique de la FGI dans la planification et la coordination ainsi que l’Administration de l’Université de Douala pour avoir permis que cette rencontre ait lieu dans son enceinte.

Vous trouverez ci-dessous la présentation passée ce jour. Lors de l’atelier, une question posée était de savoir comment protéger sa boite mail, comment savoir si quelqu’un d’autre a eu accès à sa boite et que faire en cas de piratage de son compte, le lien suivant est un précédent billet assez détaillé sur le sujet : Et si on parlait de nos boites mails?

Il est à noter que ce genre de rencontres vont s’étendre dans les établissements scolaires avec le temps et nous appelons ainsi les différents Clubs Informatique/Sécurité des dits établissements à bien vouloir rentrer en contact avec nous pour planification, ceci par mail (contact@camcybersec.cm) ou tout simplement en utilisant le formulaire de contact présent sur le site de l’Association : http://www.camcybersec.cm/contact/

La presentation est disponible en téléchargement direct par ici :  CamCyberSec_FGI_reseaux_sociaux_et_securite_version_1.1

et directement consultable en ligne par ici sur mon espace Slideshare.

Valdes T. Nzalli