Maintenant, Mathieu Hartheiser et Maxence Duchet font le compte-rendu d'un cas vécu, la compromission d'un client « grand com(pte) ». (« Ils sont en pleine transformation digitale », soit, en français, ils n'avaient pas patché depuis dix mois alors que la vulnérabilité - CVE-2019-11510 - avait été détaillée à BlackHat.

Hop, cellule de crise constituée.

Ce serait la faute du groupe APT5.

#CoRIIN2020

Problème amusant, l'orateur ne connaissait pas de malware IOS XR pour tester sa méthode. Il a fallu en écrire un, pour vérifier ensuite qu'on pouvait le détecter. #CoRIIN2020

La tendance moderne, c'est plus d'attaquer les PC (c'est vieux) ni les ordiphones (c'est banal) mais les routeurs.

Solal Jacob explique comment analyser un routeur Cisco compromis. Donc, de l'IOS (XR) mais pas de l'iOS.

#CoRIIN2020 #QNX

Bonjour, la démo, où on branche l'ordiphone sur #Tsurugi et où toutes les données sont aspirées…

#CoRIIN2020

Une des originalités de #Tsurugi est que le noyau Linux a été patché : il ne peut que lire, pas écrire, de manière à garantir qu'il ne modifie pas les systèmes qu'il analyse, ce qui est crucial en investigation.
#CoRIIN2020

Giovanni Rattaro présente maintenant #Tsurugi, un système d'exploitation pour l'investigation et l'analyse post-incident https://tsurugi-linux.org/

#CoRIIN2020 #DFIR

Dans la salle : « Il y a des liens très étroits entre les sociétés de cybersécurité privées et l'État dans tous les pays, pas juste en  [censuré, TLP:Amber]. » Ah, c'est dur, l'analsye géopolitique.
#CoRIIN2020

Et c'est dommage car ça commence par un excellent troll. #CoRIIN2020

Je ne vais pas parler de la présentation « A year hunting in a bamboo forest » par Aranone Zarkan et Sébastien Larinier car elle est TLP:Amber. #CoRIIN2020

François Normand nous fait un amusant tour de tous les trucs rigolos trouvés sur #Pastebin
(Genre du Javascript/Powershell encodé en Base64)
#CoRIIN2020

@aeris Et en prime le type d'OVH qui parle en ce moment à #CoRIIN2020 dépase la durée impartie et retarde le déjeuner !

Finalement, c'était un exposé très intéressant sur les avantages et inconvénients de la sous-traitance en matière de sécurité. J'en retiens que, dans certaines boites, vu leurs pratiques de sécurité, c'est encore le cloud qui est le moins vulnérable. Notamment, l'investigation est plus facile (mais pas forcément admissible devant le juge). #CoRIIN2020

Sur Microsoft Azure, la console peut vous prévenir « ce serveur a été compromis » mais il faut payer pour connaitre les détails. #abonnement #CoRIIN2020

Ne vous fatiguez pas à balayer vous-mêmes tous les "buckets" S3 ouverts, utilisez https://buckets.grayhatwarfare.com/ le Shodan de S3. #CoRIIN2020

En balayant les 19 658 bases de données MongoDB sur AWS, accessibles de partout, on voit que 8,;6 % ont été rançonchiffrées. #CoRIIN2020

Tiens, l'orateur raconte avoir analysé un #rançongiciel qui était écrit en bash, et lançait openssl.

#Unix #CoRIIN2020

(Philippe Baumgart et Fahim Hasnaoui, « Gestion d’Incidents et investigations en environnement Cloud ») #CoRIIN2020

« Dans le cloud, on n'a pas toujours le listing des assets. Les business units ne préviennent pas toujours le SOC et ça devient du shadow-iT. » Ah, ça devient sérieux. #CoRIIN2020

L'oratrice recommande cette bibliothèque #Python, pour le data scientist qui analyse beaucoup de données. https://pandas.pydata.org/
#CoRIIN2020

« Certaines informations qu'on trouve sur le Web sont fausses » #CoRIIN2020