Swiss Security Hackademy

Le DNS Flag Day arrive !

QUE SE PASSE-T-IL ACTUELLEMENT ?
Le protocole DNS dans sa version actuelle est lent et souffre de l'impossibilité de déployer de nouvelles fonctionnalités. Ceci est causé par l’implémentation actuelle de l’EDNS. Pour remédier à ces problèmes, les éditeurs de logiciels DNS ainsi que les grands fournisseurs DNS publics vont supprimer certaines solutions de contournement à compter du 1er février 2019.

EDNS
En anglais il s’agit d’Extension mechanisms for DNS (EDNS), c'est à dire une extension du protocole DNS qui permet d'augmenter la taille de certains paramètres. A l’heure actuelle, aucun code ne peut être ajouté dans l’en-tête DNS. L'identification d'une requête étendue est réalisée grâce à un pseudo code défini nommé RR. Les clients EDNS incluent ce RR pour indiquer qu'ils prennent en charge cette extension. Si le serveur ne prend pas en charge cette extension, ce RR sera ignoré, ce qui procure la rétrocompatibilité.

QUE VA-T-IL SE PASSER LE 1ER FÉVRIER 2019 ?
À compter du 1er février 2019, un traitement EDNS plus strict sera réalisé par les principaux fournisseurs DNS et ils désactiveront officiellement les solutions de contournement. Plus précisément, les versions suivantes introduisent cette modification :
• BIND 9.13.3 (development) and 9.14.0 (production)
• Knot Resolver already implemented stricter EDNS handling in all current versions
• PowerDNS Recursor 4.2.0
• Unbound 1.9.0

Il s’agit principalement de la mise à jour de ces composants-ci. Il est néanmoins très important de se conformer aux normes qui vont entrer en vigueur.
Pour tester si votre domaine DNS est conforme aux nouvelles implémentations il est possible d’effectuer un test via le lien suivant : https://ednscomp.isc.org/ednscomp
Le résultat résumé des tests ednscomp doit de préférence être un message vert. Tout est OK.

Sources :
• https://dnsflagday.net
• https://ednscomp.isc.org/ednscomp
• https://devcentral.f5.com/articles/lightboard-lessons-be-readydns-flag-day-is-coming-33222

• 

  Wojciech Myszkorowski

  Security Engineer

• Catégorie : Post-IT

  Date : 31 janvier 2019

  Mise à jour : 4 février 2019

Workspace One UEM – IMPORTANT : Changement de comportement pour Android 9 (Pie)

Google a annoncé un changement dans le mode de fonctionnement de la gestion mobile à partir de Android 9 (Pie). A partir de cette version, l'enrôlement des smartphones Android devra passer par un profil "Android Enterprise" (aussi connu sous le nom "Android for Work"). Les premiers API dé-commissionnés par Google dans la version arrivant début 2019 sont les suivants :
- USES_POLICY_DISABLE_CAMERA
- USES_POLICY_DISABLE_KEYGUARD_FEATURES
- USES_POLICY_EXPIRE_PASSWORD
- USES_POLICY_LIMIT_PASSWORD

Cela signifie par exemple, que les restrictions concernant l'appareil photo, ou le mot de passe ne pourront plus être gérées par Workspace One UEM sur les terminaux mis à jour en Android 9 (Pie).

Quelle est la marche à suivre ?
- Si possible, ne pas mettre à jour en Android 9 (Pie) dans l'immédiat, et avertir vos utilisateurs BYOD de ne pas mettre à jour leurs terminaux personnels (même si VMWare indique que la mise à jour ne provoque pas de désenrôlement).
- Préparer la console et les profils nécessaires au nouveau mode d'enrôlement (créer des nouveaux profils "Android" reprenant les paramètres des profils existants "Android Legacy").
- Pour tous les nouveaux enrôlements Android : utiliser le nouveau mode d'enrôlement Android Enterprise.
- Pour les déploiements BYOD existants : il faudra prévoir un ré-enrôlement de tous les appareils concernés avec un "Work Profile". Ou alors accepter le fait que les paramètres dépréciés par Google ne seront plus gérables par la solution EMM et attendre le renouvellement du smartphone. Les versions suivantes d'Android vont très probablement impliquer la dépréciation d'autres paramètres.
- Pour les déploiements CORPORATE existant : la solution BYOD peut être suffisante en fonction de vos exigences sécurité et fonctionnelles. Sinon l'approche "Work Managed" permet de prendre le contrôle total du terminal (plus intrusif donc). Dans tous les cas un ré-enrôlement est nécessaire.

Il faudra gérer ce changement comme un projet, et nous restons à votre disposition pour vous accompagner dans cette migration.

En attendant n'hésitez pas à consulter les liens ci-dessous qui pointent vers des ressources importantes de VMWare et Google sur le sujet.

• 

  Yoann Le Corvic

  Senior Security Engineer  / CISM

• Catégorie : Post-IT

  Date : 7 janvier 2019

  Mise à jour : 7 janvier 2019

Important news about AV and URL update servers [action required]

For all customers of Clearswift - Secure Email Gateway

In order to increase the capacity and performance of AV and URL lookup Clearswift will deploy new update servers in preparation for the next Gateway release due soon.

If you have locked down access to these servers by IP address on your firewalls, then you must change your firewall settings to allow communication with these new servers. These new servers will be available from 25th October 2018

Both sets of update servers will run in parallel for a period of time, but the old servers will be decommissioned on November 22nd 2018.

A new set of Ports and Protocols documents can be found here for SEG

Starting October 25th 2018

Until November 22nd 2018

If you need some assistance please contact e-Xpert Solution team

SOURCE

• 

  Pierre-Aymeric LEMARIE

  Support Security Engineer

• Catégorie : Post-IT

  Date : 6 novembre 2018

  Mise à jour : 6 novembre 2018

Automatisation : Ansible et les modules F5

Le rythme auquel les applications sont développées et déployées continue d'accélérer, apportant des avantages tangibles aux entreprises et à leurs clients.

Pour aller de l’avant, les entreprises utilisent des modèles tels que"DevOps" pour améliorer les processus internes et l'automatisation pour accélérer l'execution des workflow de déploiements de services. Alors que le DevOps et l'automatisation sont de plus en plus courant pour les serveurs, la véritable automatisation des réseaux demeure difficile à réaliser pour la plupart.

La structure d'automatisation d'Ansible inclut un support natif pour les périphériques réseau existants et ouverts. Ce framework sépare le Playbook du moteur Ansible, permettant à vos automatismes Ansible de couvrir tous vos équipements réseaux.

Les administrateurs des produits F5 peuvent automatiser et orchestrer les configurations et déploiements avec la solution Ansible via une série d'intégrations avec les modules appelés API F5 BIG-IP. Ces modules tirent parti du support complet de l'API REST iControl implémentée sur les plateformes F5 BIG-IP.

Les modules F5 Ansible permettent la plupart des cas d'utilisation courants, tels que :
- Automatisation des configurations de base : DNS, NTP, syslog, …
- Automatisation des paramètres réseau (VLAN, Self-Ips, route domain, …)
- Déploiement automatisé d'applications.
- Gestion des objets Virtual Servers, Pools, Moniteurs, etc.

Pour plus d’informations veuillez cliquer sur les liens ci-dessous :
- F5 Support Policy
- Ansible - List of Network Modules

• 

  Youssef

  Senior Security Engineer  

• Catégorie : Post-IT

  Date : 6 août 2018

  Mise à jour : 8 août 2018

Chrome 68 : Les sites HTTP sont marqués « Not secure »

Google étant un fervent défenseur de l'Internet sécurisé et chiffré, il va un pas en avant dans sa démarche de promotion du chiffrement des sites web.

Après avoir décidé d'impacter négativement le ranking SEO des sites HTTP, le géant du web a décidé de marquer les sites non chiffrés par la mention "Not secure" dans la barre de navigation du browser.

A partir de Chrome 70, les sites HTTPs n'auront plus le droit à une mention "Secure" puisque Google considère qu'HTTPs est la nouvelle norme.

• 

  Yann Desmarest

  Innovation Center Manager

• Catégorie : Post-IT

  Date : 4 août 2018

  Mise à jour : 6 août 2018

Rate Limiting basé sur les Access Tokens

La mise en place d'une fonction de Rate Limiting permet de réduire les risques d'abus d'utilisation des APIs. En utilisant OAuth 2.0 pour gérer les autorisations d'accès, nous avons l'opportunité de définir un rate limit par ACCESS TOKEN délivré.

Si un client effectue trop de requêtes sur l'API, il reçoit alors une réponse "429 Too much requests" avec le contenu JSON ci-dessous :

{ 
    "x-rate-limit-limit": 1000,
    "x-rate-limit-remaining": 0,
    "x-rate-limit-reset": 100
}

Dans l'exemple ci-dessus, le client a épuisé son quota de 1000 requêtes et doit attendre 100 secondes avant de pouvoir effectuer de nouveau des requêtes.

En s'appuyant sur la solution F5 BIG-IP et les iRules, nous avons conçu un service de Rate Limit pour les APIs protégées avec OAuth 2.0. Le code source est disponible sur le site devcentral.f5.com

• 

  Yann Desmarest

  Innovation Center Manager

• Catégorie : Post-IT

  Date : 13 juillet 2018

  Mise à jour : 13 juillet 2018

RGPD sonne-t-il le glas de WHOIS?

Tout le monde connait Whois : une base décentralisée recensant des informations concernant les propriétaires des noms de domaine. Très utile pour les responsables sécurité afin d'identifier les point de contacts liés à un domaine :
- le contact "abuse" (en cas d'attaques/spam/phishing provenant d'un domaine par exemple)
- les contacts techniques et administratifs responsables d'un domaine.

Sauf que ( RGPD ) est passé par là, et les nouvelles exigences ont un impact sur ce service.

L'EPAG, bureau d'enregistrement allemand, a décidé de ne plus collecter les contacts administratifs et techniques car il considère que la collecte n'est pas conforme à RGPD.

L'ICANN a insisté en déposant un injonction aux tribunaux Allemands pour forcer l'EPAG a maintenir la collecte. Demande rejetée par le tribunal de Bonn, donnant raison à l'EPAG, et confirmant que la collecte sous sa forme actuelle n'est pas conforme à RGPD. L'ICANN a fait appel....

A suivre car si la décision est confirmée, c'est l'avenir de ce service historique d'Internet qui est incertain !

• 

  Yoann Le Corvic

  Senior Security Engineer  / CISM

• Catégorie : Post-IT

  Date : 11 juillet 2018

  Mise à jour : 11 juillet 2018

Faille au niveau des e-mails chiffrés, les pirates lisent vos mails secrets !

La faille EFAIL permet à un attaquant de lire le contenu d’un email préalablement chiffré. Cette vulnérabilité se situe au niveau de l’implémentation des protocoles OpenPGP et S/MIME. Certains des clients de messagerie prenant en charge ces standards sont vulnérables aux attaques de type « Direct Exfiltration » et "CBC/CFB Gadget".

Orange : Soyez très vigilants !
Type d'alerte : Faille de sécurité et atteinte à la confidentialité des données.
Prérequis d'intervention : Expert en intégration de solutions de chiffrement et administrateur système en charge des mises à jour.

Comment ça marche ?
- Le pirate a accès à un email chiffré (dans le cadre d’une attaque tierce),
- Le pirate envoie un email contenant une charge malicieuse,
- La victime ouvre l’email,
- L’ouverture déclenche le contenu malveillant,
- Le mail est renvoyé en clair à l’attaquant.

Concrètement le pirate injecte un élément HTML de type image qui une fois restitué par le client de messagerie, envoie le texte en clair en forgeant une requête HTTP vers le site de l'attaquant.

Dans l’attaque de type « Direct Exfiltration », certains clients de messagerie électronique, qui n'isolent pas les différentes parties MIME d'un message, permettent aux pirates d'englober un message chiffré entre deux blocs MIME en clair. Une fois déchiffrée et restituée par le client de messagerie, les données sont renvoyées à l’attaquant.

Conseil de nos experts !
Les vulnérabilités révélées sous le nom EFAIL affectent les implémentations et le fonctionnement des différents clients de messagerie. Pour minimiser le risque, nous vous conseillons les étapes suivantes :
- Désactiver le rendu du contenu HTML dans les e-mails,
- Désactiver le déchiffrement automatique des e-mails,
- Appliquer les patchs de sécurité visant à corriger ces vulnérabilités dans les clients de messagerie,
- Utiliser des solutions externes comme TotemoMail pour réaliser le déchiffrement des e-mails, cette solution n’étant pas affectée.

• 

  Michael Molho

  Senior Security Engineer

• Catégorie : Post-IT

  Date : 8 juillet 2018

  Mise à jour : 10 juillet 2018

Qu’est ce qu’un WAF ?

Le WAF est un acronyme pour Web Application Firewall (ou Pare-feu Applicatif en Francais). C’est une solution de sécurité informatique permettant de protéger les applications web et se présentant sous forme d’appliance ou de machine virtuelle.

Leur rôle est d’analyser les flux HTTP et HTTPs pour bloquer les tentatives d’attaques sur les applications. Dans l’architecture réseau, le WAF est positionné entre les utilisateurs et les serveurs hébergeant les applications.

Il intègre très souvent des protections contre :

- Les menaces du Top 10 OWASP,
- Les dénis de service applicatifs,
- Les robots,
- Les Brute Forces.

Certaines solutions fournissent également des tableaux de bords permettant de contrôler le niveau de conformité des politiques de sécurité implémentées avec des standards comme PCI par exemple.

• 

  Yann Desmarest

  Innovation Center Manager

• Catégorie : Post-IT

  Date : 15 avril 2018

  Mise à jour : 10 juillet 2018

Qu’est ce qu’un Deni de Service ?

Le Déni de service aussi appelé DoS (pour Denial of Service) est un type d’attaque informatique qui vise à rendre un service ou un réseau inaccessible. Il existe plusieurs catégories de dénis de service :

- Volumétrique : L’attaquant envoi un grand nombre de données vers sa cible pour saturer la bande passante réseau. Il est très facile à lancer et des compétences techniques pointues ne sont pas nécessaires. C’est le type de DoS le plus couramment utilisé. Le record du monde est actuellement détenu par Github qui a subit une attaque de près de 1.35 Tbps.

- Protocole : Avec ce type d’attaque, le pirate exploite des faiblesses sur les protocoles. L’attaquant va par exemple générer un très grand nombre de sessions TCP pour saturer les tables de sessions des équipements réseaux ou des Firewalls. L’attaque SYN Flood fait parti de cette catégorie.

- Applicatif : L’attaquant exploite une vulnérabilité ou une faiblesse sur le l’application jusqu'à saturer les ressources CPU, RAM, Disque, … sur la cible. Ce type d’attaque requiert bien souvent des compétences plus avancées et une bonne connaissance de l’environnement constituant la cible.

Le déni de service fait des milliers de victimes par année. Le botnet Mirai est un exemple concret de systèmes malicieux permettant de lancer des attaques DoS de très grande ampleur.

• 

  Yann Desmarest

  Innovation Center Manager

• Catégorie : Post-IT

  Date : 5 février 2018

  Mise à jour : 10 juillet 2018