Stéphane Bortzmeyer @bortzmeyer@mastodon.gougere.fr
Je parle surtout d'informatique / I talk mostly about computing.
Inscrit·e en avr. 2017
Maintenant, Mathieu Hartheiser et Maxence Duchet font le compte-rendu d'un cas vécu, la compromission d'un client « grand com(pte) ». (« Ils sont en pleine transformation digitale », soit, en français, ils n'avaient pas patché depuis dix mois alors que la vulnérabilité - CVE-2019-11510 - avait été détaillée à BlackHat.
Hop, cellule de crise constituée.
Ce serait la faute du groupe APT5.
Stéphane Bortzmeyer
a partagé
Je rappelle que ça sert a rien d'installer Avast contre le coronavirus !
Problème amusant, l'orateur ne connaissait pas de malware IOS XR pour tester sa méthode. Il a fallu en écrire un, pour vérifier ensuite qu'on pouvait le détecter. #CoRIIN2020
La tendance moderne, c'est plus d'attaquer les PC (c'est vieux) ni les ordiphones (c'est banal) mais les routeurs.
Solal Jacob explique comment analyser un routeur Cisco compromis. Donc, de l'IOS (XR) mais pas de l'iOS.
Bonjour, la démo, où on branche l'ordiphone sur #Tsurugi et où toutes les données sont aspirées…
Une des originalités de #Tsurugi est que le noyau Linux a été patché : il ne peut que lire, pas écrire, de manière à garantir qu'il ne modifie pas les systèmes qu'il analyse, ce qui est crucial en investigation.
#CoRIIN2020
Giovanni Rattaro présente maintenant #Tsurugi, un système d'exploitation pour l'investigation et l'analyse post-incident https://tsurugi-linux.org/
Dans la salle : « Il y a des liens très étroits entre les sociétés de cybersécurité privées et l'État dans tous les pays, pas juste en [censuré, TLP:Amber]. » Ah, c'est dur, l'analsye géopolitique.
#CoRIIN2020
Et c'est dommage car ça commence par un excellent troll. #CoRIIN2020
Stéphane Bortzmeyer
a partagé
Quand tu essaies de pas être méprisant mais que les circonstances le sont.
Je ne vais pas parler de la présentation « A year hunting in a bamboo forest » par Aranone Zarkan et Sébastien Larinier car elle est TLP:Amber. #CoRIIN2020
François Normand nous fait un amusant tour de tous les trucs rigolos trouvés sur #Pastebin
(Genre du Javascript/Powershell encodé en Base64)
#CoRIIN2020
Finalement, c'était un exposé très intéressant sur les avantages et inconvénients de la sous-traitance en matière de sécurité. J'en retiens que, dans certaines boites, vu leurs pratiques de sécurité, c'est encore le cloud qui est le moins vulnérable. Notamment, l'investigation est plus facile (mais pas forcément admissible devant le juge). #CoRIIN2020
Sur Microsoft Azure, la console peut vous prévenir « ce serveur a été compromis » mais il faut payer pour connaitre les détails. #abonnement #CoRIIN2020
Ne vous fatiguez pas à balayer vous-mêmes tous les "buckets" S3 ouverts, utilisez https://buckets.grayhatwarfare.com/ le Shodan de S3. #CoRIIN2020
Ah, un nouveau logo pour une vulnérabilité https://cacheoutattack.com/
En balayant les 19 658 bases de données MongoDB sur AWS, accessibles de partout, on voit que 8,;6 % ont été rançonchiffrées. #CoRIIN2020
Tiens, l'orateur raconte avoir analysé un #rançongiciel qui était écrit en bash, et lançait openssl.
(Philippe Baumgart et Fahim Hasnaoui, « Gestion d’Incidents et investigations en environnement Cloud ») #CoRIIN2020
« Dans le cloud, on n'a pas toujours le listing des assets. Les business units ne préviennent pas toujours le SOC et ça devient du shadow-iT. » Ah, ça devient sérieux. #CoRIIN2020
Je parle surtout d'informatique / I talk mostly about computing.
Inscrit·e en avr. 2017
