sPROXY

Un article très intéressant, écrit par Renaud Bidou, CTO de Deny All, et publié aujourd'hui par O1 Net. Entreprises, décrit l'évolution des attaques par cross-site scripting (XSS), et comment cette technique est de plus en plus utilisée par les hackers pour duper les utilisateurs du Web et alimenter leurs réseaux de botnets. Merci à la rédaction de 01 Net Entreprises pour leur confiance. L'article se trouve ici : http://pro.01net.com/editorial/534784/cross-site-scripting-attention-aux-degats/

Eléments de réponse de Deny All, le spécialiste européen de la sécurité applicative

Retour sur les attaques :
Depuis quelques semaines, la société Sony est la cible de cyber attaques aux conséquences graves pour les utilisateurs du Sony Playstation Network et de Sony Online Entertainment, soit près de 100 millions de personnes. D’après le Financial Times, 23 000 numéros de cartes bancaires auraient été dérobés, et un certain nombre seraient déjà en vente sur les réseaux malveillants !
 

La nature probable de ces attaques :
Sony n’a divulgué que très peu d’informations sur les méthodes utilisées par les hackers. Sur la base des informations diffusées, le Centre de Recherche de Deny All (DARC) émet les hypothèses suivantes :lire la suite (Français)
 

Les récents hacks de Facebook montrent à merveille comment il est possible qu'une telle applications Web visible et (espérons-le) des plus sécurisées puisse être tout simplement être compromise en devinant les login / mots de passe des utilisateurs. Le fait est que les intrus n'exploitent plus les vulnérabilités techniques, mais celles logiques. Permettre à un «utilisateur» d'effectuer des milliers de tentatives d'authentification en quelques secondes n'a rien à voir avec la qualité du code. Il s'agit d'une absence de détection, d'un comportement anormal qui ne peut être celui d'un homme.
Dans un tel cas les techniques de détection classiques ne sont plus efficaces. En effet, ils comptent principalement sur ce qu'on appelle des «patterns» ou «signatures» qui se trouvent ou non dans certaines parties de la demande. Recherche de patterns et toutes les variantes actuelles se sont révélées être à peu près efficaces pour prévenir l'exploitation des vulnérabilités techniques, aussi longtemps que leur mise en œuvre est appropriée. Mais dans le cas de faille logique il n'y a rien de spécifique à «signer», car les demandes sont tout à fait légitimes du point de vue du protocole et de l'application.
Par conséquent, une gamme complète d'attaques reste indétectable (et donc impossible à arrêter) avec les vieilles et bonnes techniques habituelles. Les flots de requetes qui bloqueraient une application, le téléchargement intégral d'un site web par des robots et brute forces essayant de deviner les mots de passe ont un accès grand ouvert vers les applications.

À un certain niveau, la sécurité pourrait être forcée par l'application elle-même. La mise en place de seuils de fréquence de connexion, de mécanismes de suivi de cookie ou de capcha pourraient éviter efficacement aux outils automatisés d'accéder à l'application. Mais il y aurait alors aussi un impact sur l'expérience des utilisateurs, depuis l'ajout d'étapes gênantes dans la navigation sur le site au quotidien jusqu'à un complet rejet de la connection pour une raison ou une autre. En outre, il exige des concepteurs d'applications d'être à la pointe des techniques actuelles d'attaques logiques et efficaces dans les méthodes de blocage; loin, si loin de leur préoccupation quotidienne.
 

Lire la suite de l'article de Renaud Bidou, Directeur Technique de DenyAll

Lors des 10 ans des Assises renaud Bidou a réalisé une conférence sur le thème "extension du domaine de la lutte", ou comment la sécurité du poste de l'internaute devient la nouvelle responsabilité du RSSI.
 

La conférence de Renaud Bidou a été illustrée par de nombreuses démonstrations, néanmoins si vous souhaitez revoir les slides principaux de cette présentation, cliquez ici.

Avec le succès des sites de commerce en ligne, le paiement à distance est entré dans les moeurs. Le taux des fraudes réalisées lors du règlement d'achats sur Internet reste pourtant 15 fois supérieur à celui constaté lors des paiements en face-à-face. La banque de France, qui est chargée par la loi "d'assurer la sécurité des moyens de paiement" s'est donc attaquée au problème. Elle a demandé en 2010 à toutes les banques d'améliorer la sécurité des paiements en ligne.

Afin d'aider les banques à répondre à cette exigence, Deny All à lancé : Client Sanitization, un module qui crée alors une « bulle de protection » au niveau du navigateur, évitant ainsi aux keyloggers (logiciels espions) et autres chevaux de Troie, éventuellement présents sur l’ordinateur du client ou du salarié, d’enregistrer les données de l’internaute ou encore par exemple de compromettre une transaction financière.
Cette option trouve son intérêt dans de nombreux secteurs : les banques, les sites de E-commerce ou encore les sites de jeux en ligne !!

Plus d'information, lisez le Communiqué de Presse ou contactez nous

Deny All entame l’année 2010 sous l’angle de l’innovation avec le lancement du WAF de Nouvelle Génération : la version 4.0 de sa solution phare rWeb

Deny All, leader européen de la protection et de l’accélération des applications Web, XML et FTP, annonce la dernière version de sa solution de sécurité pour les applications Web/XML avec de nombreuses nouveautés au niveau de l’interface, de la sécurité des performances et de l’administration.

Deux avancées technologiques majeures

► Un outil entièrement dédié aux Web Services :
La plupart des Firewall Applicatifs Web (WAF) protège les couches dites « classiques » (HTTP, SMTP…) et donc, la protection des Web Services est négligée. Aujourd’hui, rWeb est la seule solution sur le marché à offrir un module intégré, entièrement dédié aux Web Services. Très simple d’utilisation, il accroît fortement la couverture fonctionnelle par rapport à la version précédente (3.8).

► La sécurité des applications Web étendue au poste client :
Deny All innove en étendant la sécurité au poste client, par le biais d’une nouvelle fonctionnalité dans rWeb baptisée Client Sanitization. Celle-ci offre une « bulle de protection » au niveau du navigateur, évitant ainsi par exemple aux keyloggers (logiciels espions) et autres chevaux de Troie d’enregistrer les données de l’internaute ou encore de compromettre une transaction financière.
 

Vincent Rasneur a gagné le concours organisé par Hex-Rays, l'éditeur du logiciel de reverse engineering IDA. C'est un concours de très haut niveau alors vraiment BRAVO Vincent !
 

http://www.hex-rays.com/contest2009/
 

"Nous sommes heureux d'annoncer les résultats dupremier concours de plugin Hex-Rays ! Les fichiers soumis sont très intéressants. Nous sommes sûrs que vous aussi, vous les trouverez utiles afin d'accroître votre productivité.

Alors que nous n'avions pas de difficultés à déterminer le premier gagnant, la deuxième place n'était pas si évidente, les deux candidats étaient très bons. En fin de compte nous n'avons pas choisi, mais avons décidé que la troisième place méritait le prix aussi. En fait, nous estimons que toutes les propositions sont bonnes et méritent un prix, mais le nombre de places gagnantes est toujours limitée. Nous serons probablement mieux préparés pour la prochaine fois.

ous tenons à remercier tous les participants pour leurs propositions. Beaucoup d'entre eux présentent de nouvelles façons d'utiliser et d'étendre le programme IDA. Voir ci-dessous vous même ;-)

Sans plus tarder, laissez-nous annoncer les gagnants. Ce sont :

   1. Vincent Rasneur de DenyAll avec le DWARF plugin
   2. Marian Radu de Microsoft avec le Adobe Flash disassembler
   3. Jan Newger avec le IDAStealth plugin

Félicitations aux gagnants !

IT(ea)-Time Tables Rondes:
 

   Backdoor Browser? Vulnerabilité des Applications Web

Participants : Mr. Stefan Strobel de Cirosec, Mr. Dr. Bruce Sams de OPTIMAbit GmbH et Mr. Thomas Kohl de Deny All  --> voir la video (en Allemand)

   Web Application Firewall, une façon simple d'atteindre un haut niveau de securité

Intervenant : ”. Mr. Ingmar Ludemann --> voir la video (en Allemand)

The DARC (Deny All Research Center), division of Deny All which focuses on threat analysis and mitigation, performed a technical analysis of the tool and the concept of the attack.
Therefore all Deny All customers can now be protected from this attack and any variant based on the same technique.
This is the first release of a patch for an Apache-based products against this attack.

You can read the Press release.
 

SIC (Seguridad en Informática y Comunicaciones) est, depuis 1992, le magazine sur la sécurité de l'information et des systèmes de sécurité le plus lu en Espagne. Destiné aux Directeurs Informatiques, aux DSI et aux autres profils gérant la sécurité de l'information, ce magazine des éditions CODA est un outil pour la cohésion de ses lecteurs en espagnol.
Laboratoire SIC est la section du magazine où les matériels / logiciels ou outils de sécurité sont identifiés, examinés, analysés et évalués.

En Juin, notre produit phare rWeb 3.8 a été évaluée et les résultats de l'essai [pour la White List] ont conduit à des valeurs très satisfaisante de l'ordre de 98,2%. Et les résultats des essais ont été excellents avec la «Black List».

Vous pouvez lire l'article en espagnol.