Les réseaux industriels : découvrir leur fonctionnement, comprendre leurs vulnérabilités !

Pris dans la tourmente médiatique, entre Bygmalion/UMP, la coupe du monde de foot et le FN arrivant en tête aux élections européennes, vous n'avez néanmoins pas pu passer à côté de l'événement de l'année.

Une vulnérabilité de déréférencement de pointeur a été corrigée en fin d'année par le bulletin MS13-081. Elle affecte les systèmes Windows 7 SP1 et 2008 R2 et nous permet d'élever nos privilèges à travers le module noyau win32k. Cette vulnérabilité a été corrigée par le KB2876284, cet article décrit comment réaliser un exploit à travers les informations données par Endgame [ENDG] et l'excellent article de Matias d'Immunity [IMMU]. La vulnérabilité réside dans win32k et son exploitation repose sur la gestion, par ce module noyau, des objets dits « utilisateurs ». À ce titre, nous étudierons dans un premier temps les mécanismes impliqués, la raison de la vulnérabilité puis comment la déclencher. Finalement, nous décrirons les étapes nécessaires à une élévation de privilèges.

Les bases de données sont un élément critique et complexe du système d'information, contenant souvent des données métier sensibles. De fait, un soin tout particulier doit être apporté à leur sécurisation. Il est également fondamental pour un pentesteur de connaître les angles d'attaque et vulnérabilités de ces systèmes. Cet article se concentre sur les versions 10g et 11g de la très populaire famille des bases de données Oracle. Il liste des grandes attaques possibles sur ces systèmes et présente l'outil ODAT (Oracle Database Attacking Tool) permettant d'automatiser ces attaques.

Cet article décrit une opération dans laquelle des milliers de serveurs Linux ont été compromis par le vol d’informations d’authentification SSH. Les opérateurs utilisent cette infrastructure depuis au moins 2011 pour infecter des visiteurs de sites Internet, les rediriger vers des publicités ou encore envoyer des pourriels. Nous commencerons par décrire l’opération de façon globale pour ensuite nous focaliser sur le composant qui réalise le vol d’information SSH sur les serveurs, puis sur celui qui redirige les visiteurs de sites web.

Anciennement construites à base de technologies conventionnelles de type relais, câblages en point à point, boutons, voyants, les installations industrielles intègrent depuis le début des années 1980 de plus en plus de composants numériques interconnectés créant ainsi un véritable SI Industriel capable d'améliorer l'allocation des ressources et d'adapter rapidement la production aux variations du marché.Cette adoption du numérique a rendu les installations industrielles vulnérables aux cyberattaques avec des conséquences pouvant être d'une ampleur plus grave que sur un SI traditionnel : dommages environnementaux irréversibles, perte définitive de l'outil de production et dans le pire des cas des pertes humaines.

La première exigence des systèmes industriels est la sûreté de fonctionnement, c'est-à-dire la disponibilité et la fiabilité des opérations, la maîtrise des pannes dangereuses, etc. L’utilisation croissante des TIC dans ces systèmes a nécessité l’élaboration de processus de développement et d’assurance particuliers, formalisés dans des référentiels aujourd’hui reconnus. La cybersécurité est alors un nouvel enjeu qui vient bousculer ce cadre et pose la question de sa concomitance avec la sûreté. L’objet de cet article est d’appréhender les interactions entre ces deux exigences, en analysant leurs similitudes et différences, avant de discuter de leur intégration.

Trois approches complémentaires sont nécessaires pour sécuriser une installation industrielle : - organiser la sécurité via un système de management de la sécurité ; - mettre en place une architecture adaptée ; - mettre en œuvre des mesures techniques. Cet article aborde l'approche architecturale, en théorie et en pratique.

Bien que la sécurité fasse petit à petit son entrée dans les SI industriels, le test d’intrusion en est bien souvent exclu. Et pourtant, il y a de quoi faire…Des équipements peu sécurisés, interconnectés sans précautions particulières, administrés par des personnes n’ayant pas forcément des compétences en sécurité : voici un cocktail détonnant pour le résultat d’un pentest. Cependant, la méthodologie et la boîte à outils de l’auditeur doivent s’adapter pour être efficaces.

La faille « heartbleed », permettant de voler des données dans la mémoire de serveurs TLS, a fait couler déjà beaucoup d'encre, par son aspect critique. Cet article concerne une autre faille d'implémentation de certains serveurs utilisant libcrypto, comme stunnel (mode fork) ou libssh, qui permet dans certaines conditions d'extraire la clef privée du serveur, et porte les charmants noms de CVE-2014-0017 et CVE-2014-0016.

Analyser un ordinateur lors d'un audit est souvent une tâche longue et fastidieuse. Cette analyse devient problématique quand elle s'applique à un parc informatique conséquent dont les configurations sont parfois très hétéroclites. Cet article a pour objectif de présenter SCAP (Secure Content Automation Protocol), un protocole standardisé d'expression de tests permettant d'automatiser le relevé de configuration d'un ou plusieurs systèmes et d'appliquer les correctifs nécessaires par rapport à un référentiel donné.

Les « gros » proxys web d'entreprise proposent souvent une fonctionnalité d'analyse et de catégorisation d'URL en temps réel. Quand et comment est faite cette analyse ? Quelles informations sont utilisées ? Quel niveau de protection est assuré par ce mécanisme ? Cet article va étudier le fonctionnement de l'offre WebPulse proposée dans les Blue Coat ProxySG, et répondre à la plupart de ces interrogations.