Ghusse’s

Joyeuses fêtes + vacances

Joyeuses fêtes à tous !Pour ma part, après quelques jours en famille et en Bretagne, me voici reparti au ski pour une dixaine de jours. Attendez vous donc à un silence radio sur ce blog.Bye et à bientôt.

Sécurité des applications web

On ne parle maintenant plus de sites web : ils ont presque totalement disparu pour laisser la place à des applications web. On les trouve en entreprise, où on se retrouve presque à l’âge des mainframe : des applications centralisées où le poste client ne sert qu’à présenter l’information. C’est la mode, comme pour le grand public avec ce foisonnement d’applications web 2.0, blogs personnels et autres. D’aucuns diraient d’ailleurs que ces applications ont aussi leurs place en entreprise, mais c’est une autre histoire.

Les avantages des applications web sont multiples : pas de déploiement compliqué, pas de problèmes de réseau car toute l’information est transmise par HTTP, protection de la base de données qui n’est pas directement interrogeable, chiffrement possible des données en passant par SSL.

Cependant ce “nouveau” type d’applications vient avec tout un tas de nouvelles failles potentielles : injection SQL, XSS sous toutes ses formes, manipulation d’en-têtes HTTP ou de formulaires. La liste est longue et il est facile d’oublier de protéger une application.

Le blog hackers de microsoft évoque ces sujets avec une approche très intéressante au travers de cinq billets (en anglais).

1. Part 1 qui sert d’introduction. Un billet très intéressant sur la nécessité de contrôler les entrées dans tout type d’application. Input validation, est un élément primordial dans la sécurisation d’une application : en C par exemple, le problème de buffer overflow a souvent pour origine un mauvais contrôle des données reçues. C’est la même chose pour les applications web : la plupart des failles de sécurité ont pout origine une mauvaise validation des entrées.
2. Part 2 présente l’ensemble des données qui doivent passer au crible d’une validation avant d’être interprétées ou renvoyées à l’utilisateur. Un billet assez tourné vers le langage ASP, mais on peut facilement généraliser. Il faut ainsi contrôler : les résultats renvoyés par formulaire (GET et POST), les données reçues des cookies, les variables d’environnement du serveur (comme HTTP_REFERRER), et la signature des librairies utilisées (là ça va loin, mais c’est surtout que l’ASP permet de compiler du code, et de faire référence à des DLL).
3. Part 3 introduit la notion de politique de validation : doit-on s’appuyer sur une liste noire ou une liste blanche pour valider les entrées de l’application ? Quelle stratégie adopter ?
4. Part 4 nous montre des exemples de XSS, de scripts de validation souvent utilisés avec leurs faiblesses. Bref, quelles sont les erreurs à éviter lorsqu’on valide une entrée ?
5. Part 5 qui nous présente un tableau fort pratique pour ceux qui écriront des applications web. Pour chaque type de validation d’entrée, l’auteur nous livre les “best practicies“.

Bref, une petite série fort intéressante très centrée sur le développement web. Cependant, tout type d’application est concerné par des problèmes de validation d’entrée, et il peut être utile de survoler les principes généraux et les manières de s’assurer de la conformité d’une donnée.

Mots-clé : injection SQL, Sécurité, Web, XSS

La supercherie : une approche intéressante en sécurité informatique

Les DSI disposent à l’heure actuelle de plusieurs moyens pour assurer la sécurité d’un système d’information. Le premier type d’outil est incarné par le pare-feu ou l’antivirus. Le pare-feu est un dispositif qui permet de contrôler les échanges entre les entités au sein d’un réseau et l’extérieur. Un pare-feu est comme un poste de douane qui contrôle les papiers à la frontière, si vous ne passez pas par le poste ou si vous n’êtes pas interdit de territoire, vous rentrerez.

Le soucis qui commence à se poser, c’est que ces dispositifs doivent être souvent mis à jour avec de nouvelles règles. Car ne pas mettre à jour la liste des personnes interdites de territoire revient à rendre le filtrage inefficace, puisque les nouvelles menaces ne sont pas prises en compte. Et puis il a des menaces que l’on ne connait pas à priori, les attaques qui se font de l’intérieur, et les méchants planqués dans des camions.

Pour parer à ces problèmes, les informaticiens ont inventé des IDS — Intrusion Detection Systems. Plutôt que de se baser sur les papiers d’une personne (en continuant ma métaphore), ces systèmes contrôlent les comportements de ceux-ci. Dans le cas où des comportements suspects sont détectés, une alerte est levée. Viennent ensuite les IPS — Intrusion Prevention Systems — qui détectent mais empêchent aussi les comportements dangereux.

Au lieu de bloquer les tentatives d’intrusion, l’approche par supercherie consiste à fournir à l’attaquant un environnement sensé lui fournir des données erronées. C’est une approche située entre le IPS et le honeynet. Le premier vise à détecter et bloquer les attaques selon des scénarios prédéfinis. Le deuxième est un réseau (souvent virtuel, mais en tout cas séparé de l’infrastructure réelle) spécialement conçu pour présenter des failles aux éventuels hackers afin d’observer leurs attaques et leurs outils, et ainsi mettre à jour les règles des IPS.

L’avantage de cette démarche, c’est que les attaquants ne sont pas au courant que leurs attaques ont été stoppées. On peut alors observer leurs actions une fois qu’ils sont “entrés” pour prévenir de futures attaques.

Reste à savoir si cette approche peut être mise en place dans un environnement de production de manière efficace et à un coût modéré.

Sources :

• The matrix as a security model (ha.ckers.org)
• Security by deception with emulation (hackosis)

Mots-clé : honeynet, Informatique, IPS, Sécurité

On m’a fait les poches

Hier, rencontre dans un bar. Je m’installe à une table, pose mon manteau sur la chaise.

À un moment, je cherche mon portefeuille pour en sortir un papier (la carte d’accès aux murs d’escalade parisiens). Bizarre, il n’est pas dans la poche intérieure gauche, pas dans l’autre poche intérieure… Je le retrouve dans une des poches extérieures, très mal mis. Je m’étonne mais sans plus (quel con).

Après la discussion, direction le métro. Je fouille dans mes poches, prend ma carte orange… Ouuuups, où est mon coupon ?

Où est mon iPod ?

Franchement, ça me gonfle. Heureusement que je n’avais rien de valeur dans mon portefeuille : pas d’argent ni de carte bancaire. Mais mon iPod y est passé. Les mecs de derrière m’ont littéralement fait les poches de font en comble, et là, je suis vraiment énervé. On a toujours l’air très con dans ces moments là, complètement impuissant. Le gars qui a fait ça, je le hais.

Mots-clé : portefeuille., vol

Faille importante dans la dernière version de Wordpress

Edité le 11/12/2007 : cette alerte a baissé de niveau de gravité en passant à divulgation d’information. Après vérification, le problème associé au paramètre p n’est pas exploitable pour faire de l’injection SQL. Il permet “juste” à un attaquant d’obtenir de l’information sur votre configuration et votre serveur.

La dernière version de Wordpress (2.3.1) connaît apparemment une faille très grave de type injection SQL, c’est le site blogsecurity qui nous l’apprend, l’alerte d’origine se trouve à cette adresse.

Après vérification, ce problème semble bien réel. Un proof of concept peut être exécuté sur une installation en se rendant à une adresse du type :

http://localhost/path_to_wordpress/?feed=rss2&p=1

Il est possible d’utiliser le paramètre p pour exécuter du code SQL sur votre base de données, et ainsi écraser son contenu ou lire des données sensibles (par exemple les mots de passe des utilisateurs).

Normalement, si vous voulez essayer le POC, celà devrait vous envoyer un message d’insultes ressemblant à :

WordPress database error: [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'AND comment_approved = '1' ORDER BY comment_date_gmt DESC LIMIT 10' at line 1]
SELECT wp_comments.* FROM wp_comments WHERE comment_post_ID = AND comment_approved = '1' ORDER BY comment_date_gmt DESC LIMIT 10

Je vois déjà les petits malins qui essayent d’exploiter la faille sur mon blog, il faut savoir que j’ai protégé celui-ci avec un plugin qui permet d’effectuer des redirections automatiques.

En utilisant une règle du type expression régulière vous pouvez interdire l’accès aux URL dangereuses. Utilisez par exemple les règles suivantes :

.*feed=.*p=.*

.*p=.*feed=.*

En redirigeant ces adresses vers votre flux, dont l’adresse est certainement /feed.

Mots-clé : faille, injection, Sécurité, SQL, wordpress

Calvin en concert

Je suis allé hier au concert de Calvin Russell, au Trabendo, parc de la Vilette. Je comptais du même coup tester le 40d que m’a prêté Kant.

L’appareil fera l’objet d’un billet ultérieur parce qu’on ne m’a pas laissé entrer avec. Pfff, c’est quand même pas Johnny c’est Calvin !

Mis à part ma frustration du départ, le concert était plutôt bon. Le bonhomme de 59 ans, accompagné de deux guitaristes fulgurants, un bassiste et un batteur a donné le spectacle. Car Calvin nous revient avec un live qui pète le feu : si vous vous attendez à du blues tranquille, passez votre chemin. Beaucoup de nouveaux titres, quelques anciens. C’est amusant comme les vieux titres sont quand même les plus appréciés par le public, comme quoi j’ai pas tout à fait tort en préférant les vieux albums. Rien de mieux qu’un Soldier ou One Meat Ball pour réveiller la salle ralentir un peu le rythme.

Ce que je regrette un peu, c’est justement la fulgurance des deux gratteux. J’aime bien les titres posés, calmes, avec le son clair d’une guitare accompagnée d’une autre plus aventureuse mais somme toutes discrète. Hier, c’était plutôt gros son et solos interminables. Et quand vous avez deux guitaristes très doués, vous avez deux solos interminables par chanson. Heureusement que les grands classiques n’ont pas été trop dénaturés.

Mots-clé : blues, Calvin Russell, concert, musique

Mon arrière grand père

Lundi j’ai vécu une scène que je n’oublierai pas. Une image qui restera gravée. Une de celles qui vous prend aux tripes quand la beauté rejoint le symbole.

Lundi, mon arrière grand père a été inhumé. Je n’ai pas de souvenir particuliers avec cet homme d’un âge très avancé. Je suis juste venu, par respect pour lui et pour ceux qui restent. Ceux pour qui cet homme comptait beaucoup.

Lundi, au cimetière, un dernier hommage lui a été rendu par ses proches. Une main posée sur le vernis du bois. Une seconde à retenir sa respiration, un soupir. Et puis, alors que tous restaient là un peu en retrait, quatre hommes dans un même mouvement soulevèrent mon aïeul.

Ils s’en allèrent, seuls, le long de la minuscule allée.

Et nous tous qui restions là voyions cet homme partir vers le soleil.