vendredi 27 septembre 2013

Réagir à l'attaque informatique : quelle complexité ?

Source : carnal0wnage.attackresearch.com
L'inspiration de cet article est venu ailleurs alors que l'on m'interrogeait sur la signification du terme "APT" pour "Advanced Persistant Threat" et sa portée. L'acronyme, un peu comme "cyber", a fini par devenir un terme usuel dont le sens n'est pas très clair. On entend parfois n'importe quoi à son sujet comme l'individu qui s'exclame : "ah, j'ai reçu un pdf ...j'ai une APT"...

En premier lieu, il ne s'agit pas d'une maladie mais d'une tentative de synthèse pour un phénomène complexe. L'idée est de représenter les caractéristiques des attaques informatiques "modernes" en insistant sur leurs facettes :

- "Avancées" comme relativement complexes parfois dans leurs aspects techniques, fréquemment dans l'orchestration des actions et la malignité des techniques. On peut également y entendre la prise de contrôle "avancée" d'un réseau avec le gain de privilèges très élevés.

- "Persistantes" car bien souvent, il s'agit, une fois entrée, de durer et de persister en dépit des efforts des responsables légitimes pour vous déloger. La notion de persistance illustre aussi bien gagner le contrôle durablement et en profondeur d'une machine que de l'ensemble d'un réseau.

Pour ma part, c'est ainsi que je le comprends. Effectivement, bien souvent, et comme le rappelle les éléments publics de certaines affaires célèbres, "Bercy" ou "Areva", tout cela commence bien souvent par un acte individuel et anonyme qu'est l'ouverture d'un fichier délibérément piégé et rendu attractif.

Toutefois, pour le profane, le praticien SSI apparaît parfois un peu austère voire légèrement autiste. En bref, il n'est pas illogique de ne pas comprendre ce qu'il en est. En revanche, il est toujours intéressant de savoir quels en sont les enjeux et les solutions trouvées.

Il existe de nombreux soucis dans la gestion de telles attaques. Aujourd'hui, nous en retiendrons principalement un : la détection. Nous pourrons évoquer plus tard, l'assainissement ou la reconstruction ou encore l'amélioration post-incident.

La détection recouvre en réalité deux actions bien distinctes. La première serait l'alerte, c'est à dire la découverte d'une infection initiale ou encore le sentiment que "ça colle plus" ou que "Houston, on a un problème"...La seconde consiste à mesurer le profondeur du problème et à détecter l'ampleur de celui-ci.

L'alerte dépend de nombreux facteurs. Une bonne équipe SSI peut disposer de moyens de recueil d'infos et d'analyse permettant de matérialiser de tels problèmes. Avec de la chance, l'outil de l'attaque pourra faire réagir un ou plusieurs des outils de sécurité que vous pourriez avoir (proxy, IDS, firewall, antivirus). 

Par exemple, si le composant malveillant contacte une adresse connue à l'extérieur, celle-ci peut être repérée grâce à l'usage de liste noire dans un proxy. Ou encore si le motif des flux est repérable, il pourra être détecté par une sonde de détection d'intrusion. Parfois, c'est le comportement de vos équipements qui sera détecté par un autre acteur : "Allo, M. RSSI ? Oui... ? Je suis administrateur sécurité dans la société machin et l'un de vos serveurs est décidément très motivé pour scanner mes ports et trouver des failles !".

Mesurer l'ampleur de l'attaque dépend de plusieurs facteurs. Mais l'idée principale est les acteurs en présence ne disposent pas toujours d'une représentation des systèmes à l'état "sain". Autrement dit, c'est un peu chercher la fameuse aiguille dans la non moins fameuse botte de foin ! Prenons un exemple courant : vous rencontrez un homme très pâle : est-il malade ? est-il doté d'une telle constitution ? A-t-il mangé quelque chose de périmé ? Ou bien ressort-il d'une longue maladie ?

C'est un peu la même idée en fait car la comparaison avec un état sain nécessite de d'abord connaitre cet état : la préparation, et c'est évident, à subir de telles attaques est donc indispensable. Par exemple, lorsque l'analyse détient la liste des comptes dans un annuaire d'entreprise ou encore la liste des utilisateurs d'un serveur, comment pourra-t-il savoir si certains comptes sont illégitimes ? 

Ou bien encore, tel programme est-il légitime ? Tel exécutable est-il bien celui qu'il parait être ?

Les professionnels de la SSI ont bien fini par comprendre le problème car l'alerte et la détection de l'ampleur ont un point commun : il faut savoir ce que l'on cherche. Une des réponses a donc été les indicateurs de compromission (IoC) qui se traduit bien en anglais : Indicators of Compromise.

L'objectif est de fournir tant un moyen d'alertes que de mesure de l'ampleur en définissant, par référence à un cas connu, les modalités ou les "symptômes" de l'infection. Le rapport Mandiant et la société du même nom ont d'ailleurs développé un outil comprenant un format (un langage commun) permettant de lire et de créer de tels indicateurs.

Dans l'exemple cité en source, il est possible de télécharger la liste des IOCs de l'attaque en question et de les parcourir afin de définir des modalités adaptées de recherche de ces caractéristiques. Notez aussi l'outil Yara qui a plusieurs  modules dont l'objet est d'intégrer plusieurs types d'IOC (des séquences de caractères par exemple) pour les recherchez de manière systématique sur des fichiers et des arborescences. On peut même y ajouter des règles en demandant de rechercher telle règle OU telle autre ou bien celle-ci ET celle-là.

L'originalité et l'utilité des IOC est la multiplicité des informations et la combinaison de celles-ci que l'on peut faire. Par exemple, dans le cas cité ci-dessous, on trouve aussi bien : des empreintes de fichiers, des adresses IP en destination (utilisées peut-être pour l'exfiltration de données ou l'envoi de commandes) ou encore des chaines de caractères spécifiques. 

Celles-ci sont combinées pour tenir compte des versions et évolutions du malware. C'est typiquement l'usage du "OU" : la diversité des empreintes uniques (hash) de fichiers ne limite par la possibilité de détecter telle ou telle version.

Les IOCs ne sont pas la solution parfaite mais adossées à la réactivité de la communauté, elles constituent une réponse intéressante à ces problématiques d'APT que nous venons d'évoquer. Nul doute que d'autres idées viendront afin de progresser dans le traitement de ces sujets complexe mais au coeur de l'actualité en sécurité !

Source :



jeudi 19 septembre 2013

Irrévérencieusement vôtre !

Source : cybersecurite.fr
Soyons francs : cet article risque de ne pas plaire. Il faut bien parfois. Ce billet m'a été inspiré par un constat un beau matin alors que, comme chaque matin, je m'astreignais à dépiler la veille quotidienne. Or, ce fameux matin, en matière cyber, demeura la furieuse impression que plus rien n'était nouveau et que d'un article à l'autre, on réchauffait les mêmes vieilles idées.

Prenons cet article : son auteur évoque rapidement Snowden, la NSA, Vupen et l'achat de vulnérabilités et ce qui s'annonce comme des arguties juridiques sans fin. En quelques mots - et je suis persuadé que l'auteur peut, a déjà fait et fera mieux - c'est réchauffé, ennuyeux et vaguement faux.

Réchauffé car l'affaire Snowden a déjà été analysé de manière pertinente et moins et qu'il faudrait creuser de manière innovante pour en tirer tout ce qui pourrait être dit. Ennuyeux car on ne cesse de parler, voire de critiquer ou d'envier Vupen, qui fait un boulot techniquement remarquable et développe son modèle de manière ouverte (il suffit d'aller sur le site)...Faux car Snowden et les questions de NSA sont mélangés avec la SSI, la lutte informatique et les stratégiques ou tactiques en matière d'usage offensif de l'information.

De même, me sentant vaguement coupable de n'avoir pas assisté au 1er Symposium Académique national de recherche en cyberdéfense, l'allié Si-vis en a fait un agréable compte-rendu immédiatement rassurant : on n'a pas encore décroché la lune et je n'ai rien raté.

Les derniers ouvrages ou travaux qui m'ont été donné de lire présentent des dérives similaires. Les seules différences avec les bêtises que j'écrivais lors de mes études sont les références et certains événements qui, alors ne s'étaient pas encore produits. Le "cybercommand" fait encore recette sans parler de la RMA ou encore des stratégies cyber ou des tactiques "trucs"...

Ce constat s'explique par quelques raisons - qui ne sont que ma vision - : tout d'abord, ce domaine, qu'il soit abordé sous l'angle technique, sécurité informatique ou encore "opérationnel" demeure encore très secret. Que la NSA soit un sujet à la mode ne doit pas nous faire oublier que, selon M. Merchet, on aurait renforcé la protection du secret en France sur ces questions. Ce premier point explique donc que les commentateurs et analystes finissent par être "secs" toujours selon l'adage que ceux qui savent, en ces domaines, ne parleront que peu.

L'autre problème serait, pour moi, la méthode : il n'est pas possible de progresser sur ces sujets sans réfléchir de manière différente et sans se livrer à un travail de recherche complexe, long et surtout innovant. Le sujet présente une composante technique forte et ne pas s'y attarder est une "faute logique".

Tout n'est pas perdu cependant et puis conclure un tel article sans offrir des solutions serait peu courtois. Aussi, sur les questions de renseignement par exemple ou sur toutes activités dont le poids du secret est importante, les travaux de Zone d'intérêt, allié au grand mérite, me semblent le chemin à prendre ainsi qu'une source d'inspiration innovante.

N'oublions pas aussi les travaux de la chaire Cyberdéfense que j'évoquais récemment. A première vue, la notion de "chaire" ou encore l'association avec Saint-Cyr peut faire frémir. Et je dois bien avouer que je n'ai pas lu tous les articles. Mais j'ai participé à certains travaux et un des avantages est qu'aucune question n'est écartée et qu'une forte discipline scientifique est exigée.

Le second point clé est l'association des compétences : remarquez par exemple l'article rédigé par M. Paget que l'on connait plus volontiers pour ses travaux chez un éditeur anti-virus et qui a accepté de travailler sur l'hacktivisme.

Enfin, à mon sens, dans la catégorie des "exemples" figurent également bon nombre de blogs de nature plus techniques. S'il est vrai que les aspects techniques continuent de m'intéresser, je suis régulièrement surpris par leur capacité à innover, à se poser des défis et même parfois à oser poser un orteil sur le terrain réservé des analyses de nature plus "politique" ou "stratégiques"...

Concluons ici : il est temps d'innover et de rechercher d'autres manières de réfléchir et de proposer des idées. Limiter sa recherche et sa réflexion à un unique domaine est, en matière "cyber", le plus sur moyen de scléroser sa pensée. 

Vous voulez penser "cyber", penser comme un hacker et piratez-vous le cerveau :)

Sources : dans le texte



mercredi 18 septembre 2013

Chaire de Cybersécurité/Cyberdéfense - St Cyr & Sogeti/thales

Retrouvez en ligne les articles produits par la chaire cyberdéfense ainsi que ceux issus du colloque consacré à la Chine.




Notez en particulier la profusion d'articles ou d'interviews de personnalités, chercheurs ou autres, étrangers. Cela permet notamment d'avoir un aperçu de la manière dont ils approchent les sujets.

Bonne lecture !

Source : dans le texte