De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH

[gruik]

j'ai vu passer ce lien il y a quelque minutes heures : http://travaux.ovh.net/?do=details&id=8998

avis à tous les HACKERS et autres warlordz en herbe, vous qui ne rêvez que de gloire et de femmes lassives à vos pieds tandis que leurs maris vantent votre skill immodéré, voici donc un bel exemple de comment ca se passe dans la vie réelle chez les w8h8 ("whitehats", pour ceux du fond)

évidement il faut savoir lire entre les lignes, comme souvent et comme souvent c'est un exercice ô combien difficile pour les jeunes bovins que nous sommes, on nous explique donc que le H4ck3R (le vilain) a réussi à pirater la boite mail d'un admin système OVH, de là déjà les mieux plus calibrés d'entre vous commencent je le vois à cogiter ferme, ça veut dire que l'attaquant a du bien préparer son coup, mener sa phase préliminaire de récolte d'infos sur une période possiblement plus longue que le simple "tiain é ci je meu tapé www3-6.disney.com/admin lol ?" suivi d'un nmap, on peut également en déduire que le gars est pas un branquignole complet pour monter ce type d'attaque, c'est qu'il a à la fois des compétences techniques, mais aussi une certaine intelligence dans ce domaine et de la suite dans les idées, ce que confirme la suite dans laquelle on apprend que depuis ce mail il a réussi à accéder le vpn perso de l'admin, de là il a réussi a compromettre un autre admin responsable du backoffice etc.
notez qu'à ce stade, si vous ne voyez toujours pas la beauté de la chose vous avez 2 choix : vous arretez de troller désormais et vous bossez 2x plus votre HTML/CSS et son copain C/C++, soit vous vous mettez au tricot

du point de vue des w8h8, on peut raisonnablement penser que ça doit être la guerre chez eux, les sysadmins avec leur fail2ban vengeur et le tripwire vindicatif prêt à en découdre, la cellule sécu portée à ébullition et le RSSI en mode caca mou, un incident unique pour les remuer tous et dans les ténèbres les lier, il a du s'en dire des choses interessantes, tout ce que nous autres pauvres hères pouvons lire c'est que désormais chaque employé va avoir son propre dongle crypto pour accèder au S.I. d'une part, et quelques spéculations sur les objectifs soupçonnés du vilain, en l'occurence la base de données clients europe (aka piratage indus en bonne et due forme), soit rebondir a nouveau vers le serveur de livraison canadien, avec l'explication du risque qui en est donnée c'est à dire que le pirate ai dès lors accès à l'ensemble des serveurs dédiés OVH, jolies perspectives que ce soit pour un état ou une "cyber-mafia" quelconque (mais est-ce que ça existe vraiment ?)

d'un point de vue technique on apprend néanmoins que les passwords chez eux sont stockés en sha512 salted, ce qui est plutôt très bien (qui peut en dire autant ? dans sa boite ou sur sa propre machine perso ? hein comment ça on est toujours au md5 sur la plupart des applis ?), même si (...) empiriquement ça reste possible à casser, même si en pratique même md5 ça peut s’avérer encore très difficile et laborieux pour peu qu'on ait la bonne stratégie de mots de passe derrière etc., il n’empêche que ça rassure énormément le quidam moyen, et le client encore plus évidement
et par là enfin on en arrive à la communication, oui car le w8h8 communique, ça fait partie de ses prérogatives de w8h8 de mettre de l'ordre dans le SI, dire aux totos vengeurs sur quoi ils doivent mettre l'accent pour plus que ça se reproduise, et rassurer le client, ici OVH rassure l'internaute directement comme à son habitude, y compris Mme Michu à coups de "on a eu un souci, on s'en est rendu compte, c'est maîtrisé on gère, et on ne va pas en rester là on va pas seulement boucher les trous on va aussi mettre des pointes sur les créneaux, aménager des meurtrières et creuser des douves autour comme spécifié par la norme ISO-1337..."

alors voila, me direz-vous pourquoi un post aussi long pour dire si peu de choses, et bien d'abord parceque, et ensuite de manière à.

<junky> huhu
<junky> tu racontes ta vie

ça m'arrive et je le déplore, mais que voulez-vous...

ce qui est certain c'est que du coté des whitehats, ça devait être assez bandant (pour l'avoir déjà vécu) à vivre un incident pareil, surtout si on la chance d'être au coeur de l'action (cellule sécurité de l'entreprise ou à une échelle différente sysadmin pour acter sur le terrain etc.), on en viendrait presque à souhaiter que ça arrive un peu plus souvent :p

l'autre chose, c'est que l'attaquant en question, même si l'on a que très peu d'infos, a dores et déjà un profil qui n'est pas anodin, loin du "h4x0r" de LFI ponceur de RoP, c'est aussi un gars qui connait parfaitement les réseaux, le fonctionnement d'une entreprise et les limites des moyens/ressources alloués à la sécurité des SI, il est probable que les gens chez OVH aient des infos bien plus croustillantes encore (ce qu'ils semblent indiquer à la fin), j'espère juste qu'on aura des détails un jour...

[InstinctHack]

and ?

[gruik]

and ?

tricot :d

[Junky]

Je suis vraiment très loin de tt comprendre ce qui va me mener a rejoindre Khaled sur le tricot (/kiss), mais une question me vient qd mm a l'esprit.

Le faite qu'OVH répondre de cette manière a tt ses client, et explique le pourquoi du comment est-ce arrivé est une bonne chose. Mais la ou je veut en venir est:

Ne se tire t'il pas une balle dans le pied en annoçant les possibles parades qu'il vont mettre en place ?

Immédiatement suite à ce hack, nous avons modifié
les règles de sécurité en interne:
- les mots de passe de tous les employés ont
été régénérés sur tous les types d'accès.
- nous avons mis en place un nouveau VPN
dans une salle sécurisée PCI-DSS avec
accès très restreints
- la consultation des emails internes n'est
désormais possible qu'à partir du bureau/VPN
- tous les salariés passent sur 3 niveaux de
vérification:
- l'ip source
- le mot de passe
- le token hardware personnel (YubiKey)

Même si ceci ne donne pas une réelle information, elle pourrai donner certaines bases pour un futur attaquant?

Je me trompe peu être, mais a la place d'OVH je n'aurait pas répondu ceci.


Junky.

[0pc0deFR]

Ce qui est inquiétant c'est que le hacker a réussi à accéder à la boite mail de l'admin certainement à coup de SE ou à coup de backdoor sur sa machine car une vuln sur le serveur mail aurait permis d'accéder directement aux infos des sys admin et donc aurait simplifier l'attaque.

Dans le cas d'un SE c'est un manque d'informations/formations au sein de OVH
Dans le cas de la backdoor faut être un bon admin pour surfer avec sa machine de manière à choper un backdoor et ensuite ce connecter à sa boite mail du travail.

[gruik]

Le faite qu'OVH répondre de cette manière (...) Ne se tire t'il pas une balle dans le pied en annoçant les possibles parades qu'il vont mettre en place ?

ben... oui et non
je peux me tromper mais j'y vois une question de "responsabilité", au sens économique du terme, je m'explique; si à l'avenir OVH se fait à nouveau pirater, admettons à cause d'une faille dans les yubikeys, si c'est un 0day OVH pouvait pas savoir, c'est pas son boulot de sécuriser les produits qu'il achète, si c'était la faille était connue depuis 3 ans, OVH aurait du investir pour changer ses dongles, c'est l'attitude responsable à laquelle on s'attend

et de l'autre coté, annoncer ce qui s'est passé, ce qui va être fait etc. c'est là aussi une façon de jouer la transparence et d'avoir une attitude responsable qui fricote avec la notion de "full disclosure" chère aux aficionados de la sécurité, chose importante pour une grosse entreprise dont l'un des soucis principaux est devenu au fil des années la fameuse "e-réputation", tout ça se tient dans une logique économique néanmoins, le propos n'est à mon avis pas celui de quelques "valeurs morales" à la sauce OVH

Ce qui est inquiétant c'est que le hacker a réussi à accéder à la boite mail de l'admin certainement à coup de SE ou à coup de backdoor sur sa machine car une vuln sur le serveur mail aurait permis d'accéder directement aux infos des sys admin et donc aurait simplifier l'attaque.

Dans le cas d'un SE c'est un manque d'informations/formations au sein de OVH
Dans le cas de la backdoor faut être un bon admin pour surfer avec sa machine de manière à choper un backdoor et ensuite ce connecter à sa boite mail du travail.

c'est pas faux... je revois encore le responsable sysadmin nous dire "vous utilisez pas votre boite gmail hein, y'en a un qui s'est fait gauler on lui a cloué les boules au dessus de son ecran pour en faire un sapin fraicheur etc."... ou quelque chose du même genre mais à mon avis ça doit arriver plus souvent qu'on pense, "je suis sysadmin donc je connais l'informatique, je connais l'informatique donc la sécu j'en fais mon affaire" (note que ça marche en sens inverse également, j'ai vu des pentesters se prendre pour des sysadmins avec le succès d'un roti de veau lors d'un repas végétarien)
idée un-peu-con-mais-ptet-pas-en-fait : tu veux un accès au vpn de ta boite, de manière à pouvoir faire du télétravail et notament consulter les mails du boulot depuis chez toi, la cellule sécurité te fait parvenir les certificats pour le vpn... par la poste ? (en fait le pôle sécu n'a probablement rien à voir là dedans, principe de la patate chaude, ils t'envoient les certificats sur ta boite mail boulot, et charge au destinataire de les rappatrier de manière sécurisée chez eux, cqfd )

au final le problème est celui des accès externes à l'entreprise et des postes informatiques non-maîtrisés, c'est nécéssaire et néanmoins y'a aucun moyen pour l'entreprise pour s'assurer que ledit poste n'a pas été compromis...

[0pc0deFR]

au final le problème est celui des accès externes à l'entreprise et des postes informatiques non-maîtrisés, c'est nécéssaire et néanmoins y'a aucun moyen pour l'entreprise pour s'assurer que ledit poste n'a pas été compromis...

Tout à fait d'accord d'où l'intérêt de séparer travail et vie privée. Pour l'exemple, j'ai une machine windows qui ne me sert qu'à de l'analyse de code statique et quelques bricoles sous windows et pour le pro, le reste c'est sur une machine Linux et quand besoin est j’exécute sur machine virtuelle (exécuté du Windows en virtuelle sur du Linux hôte permet de prévenir les éventuels escalation hôte).

Ceci dit ça doit être le cas aussi chez les pentesters de se faire compromettre aussi car la mentalité humaine dit "c'est mon job, je sais ce que je fais donc je suis pas obligé de me sécu à fond".

Une question me vient aussi, quelle est l'utilité d'avoir des sys admin qui sont autorisés à se connecter à leur boite mail de l’extérieur alors que chez OVH ils ne sont pas amenés à travailler sur l’extérieur.

[Junky]

Donc finalement si je comprend bien:

On explique le système de mise en place des corrections afin d'avoir une "transparence" vis à vis du client tout en "aiguillant" un futur attaquant,

et

On nous parle de sécu, que les boites mails perso c'est le mal mais la cellule sécurité ne fait rien pour diffuser/distribuer les certificats de connection des VPN pour les usager de façon "plus scred" et comme tu dis si bien gruik:

principe de la patate chaude

Donc on pourrait presque en déduire, c'est déjà arrivé, ça viens de se reproduire, et ça se reproduira car finalement il n'y a pas forcément de responsable déclaré et donc peu de solutions/résolutions mise en place vraiment concrètes.
Quand bien même on pose des solutions, on les explique gentillement et avec une précision se qui a pour effet "d'annulé" celle-ci finalement.

J'ai presque envie de dire , c'est le chien qui se mord la queue.

Junky

[gruik]

Ceci dit ça doit être le cas aussi chez les pentesters de se faire compromettre aussi car la mentalité humaine dit "c'est mon job, je sais ce que je fais donc je suis pas obligé de me sécu à fond".

je pense même que ce sont les pires, avis perso

Une question me vient aussi, quelle est l'utilité d'avoir des sys admin qui sont autorisés à se connecter à leur boite mail de l’extérieur alors que chez OVH ils ne sont pas amenés à travailler sur l’extérieur.

ben le télétravail, les astreintes (pas forcément obligé de se déplacer en pleine nuit quand ça sonne si ça peut être réglé en 5min à distance), pour le moins

[0pc0deFR]

Une boite comme OVH je pense qu'ils ont des équipes qui tourne H24 avec des admins sys présents sur site à toute heure non?

[gruik]

j'ai encore jamais vu d'entreprise embaucher des gens en nocturne explicitement en général t'as plutot un fonctionnement d'astreintes tournante avec tes collègues sysadmins, les seuls à bosser en nocturne à la limite c'est les gardiens, mais je me trompe peut-être faut voir...

[Junky]

j'ai encore jamais vu d'entreprise embaucher des gens en nocturne explicitement en général t'as plutot un fonctionnement d'astreintes tournante avec tes collègues sysadmins, les seuls à bosser en nocturne à la limite c'est les gardiens, mais je me trompe peut-être faut voir...

Si j'ai déjà vu des cas. Je sais qu'a une époque Agarik recrutait sur des plages horaires 7/7 24/24.
Mais de mémoire sa remonte un petit peu de tps.

*Horaires aménagés
Agarik a mis en place un fonctionnement en 24*7. Sur 30 semaines vous travaillez :
- 12 semaines consécutives en horaires de jour (à définir en fonction de vos préférences)
- 6 semaines consécutives en horaires de jour, incluant des week-ends
- 6 semaines consécutives en soirée (15h-23h ou 16h-minuit)
- 6 semaines consécutives la nuit (23h-7h ou minuit-8h)