Maintenant, Mathieu Hartheiser et Maxence Duchet font le compte-rendu d'un cas vécu, la compromission d'un client « grand com(pte) ». (« Ils sont en pleine transformation digitale », soit, en français, ils n'avaient pas patché depuis dix mois alors que la vulnérabilité - CVE-2019-11510 - avait été détaillée à BlackHat.

Hop, cellule de crise constituée.

Ce serait la faute du groupe APT5.

Je rappelle que ça sert a rien d'installer Avast contre le coronavirus !

Problème amusant, l'orateur ne connaissait pas de malware IOS XR pour tester sa méthode. Il a fallu en écrire un, pour vérifier ensuite qu'on pouvait le détecter.

La tendance moderne, c'est plus d'attaquer les PC (c'est vieux) ni les ordiphones (c'est banal) mais les routeurs.

Solal Jacob explique comment analyser un routeur Cisco compromis. Donc, de l'IOS (XR) mais pas de l'iOS.

Bonjour, la démo, où on branche l'ordiphone sur et où toutes les données sont aspirées…

Une des originalités de est que le noyau Linux a été patché : il ne peut que lire, pas écrire, de manière à garantir qu'il ne modifie pas les systèmes qu'il analyse, ce qui est crucial en investigation.

Giovanni Rattaro présente maintenant , un système d'exploitation pour l'investigation et l'analyse post-incident tsurugi-linux.org/

Dans la salle : « Il y a des liens très étroits entre les sociétés de cybersécurité privées et l'État dans tous les pays, pas juste en  [censuré, TLP:Amber]. » Ah, c'est dur, l'analsye géopolitique.

Quand tu essaies de pas être méprisant mais que les circonstances le sont.

Je ne vais pas parler de la présentation « A year hunting in a bamboo forest » par Aranone Zarkan et Sébastien Larinier car elle est TLP:Amber.

François Normand nous fait un amusant tour de tous les trucs rigolos trouvés sur
(Genre du Javascript/Powershell encodé en Base64)

Finalement, c'était un exposé très intéressant sur les avantages et inconvénients de la sous-traitance en matière de sécurité. J'en retiens que, dans certaines boites, vu leurs pratiques de sécurité, c'est encore le cloud qui est le moins vulnérable. Notamment, l'investigation est plus facile (mais pas forcément admissible devant le juge).

Sur Microsoft Azure, la console peut vous prévenir « ce serveur a été compromis » mais il faut payer pour connaitre les détails.

Ne vous fatiguez pas à balayer vous-mêmes tous les "buckets" S3 ouverts, utilisez buckets.grayhatwarfare.com/ le Shodan de S3.

En balayant les 19 658 bases de données MongoDB sur AWS, accessibles de partout, on voit que 8,;6 % ont été rançonchiffrées.

Tiens, l'orateur raconte avoir analysé un qui était écrit en bash, et lançait openssl.

(Philippe Baumgart et Fahim Hasnaoui, « Gestion d’Incidents et investigations en environnement Cloud »)

« Dans le cloud, on n'a pas toujours le listing des assets. Les business units ne préviennent pas toujours le SOC et ça devient du shadow-iT. » Ah, ça devient sérieux.

Afficher plus
Mastodon - Gougère Network

Mastodon est un réseau social utilisant des protocoles Web ouverts et des logiciels libres. Tout comme le courriel, il est décentralisé.