présentation powerpoint - ossir · 2017-12-14 · digital security le pentesteur la production des...

36
_______ _______ _______ _______ _ | \ / | \__ __/ ( ____ ) ( ____ ) ( ___ ) ( \ | ) ( | ) ( | ( ) | | ( ) | | ( ) | | ( | | | | | | | (____) | | (____) | | (___) | | | ( ( ) ) | | | ___) | ___) | ___ | | | \ \_/ / | | | (\ ( | ( \ ( | ( ) | | | \ / ___) (___ | ) \ \__ | ) \ \__ | ) ( | | (____/\ \_/ \_______/ | / \__/ | / \__/ | / \| (______/ OSSIR – 12/12/2017 Stéphane Jourdois / Romain Castel

Upload: others

Post on 16-Jul-2020

5 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

_______ _______ _______ _______ _| \ / | \__ __/ ( ____ ) ( ____ ) ( ___ ) ( \| ) ( | ) ( | ( ) | | ( ) | | ( ) | | (| | | | | | | (____) | | (____) | | (___) | | |( ( ) ) | | | ___) | ___) | ___ | | |\ \_/ / | | | (\ ( | ( \ ( | ( ) | | |

\ / ___) (___ | ) \ \__ | ) \ \__ | ) ( | | (____/\\_/ \_______/ | / \__/ | / \__/ | / \ | (______/

OSSIR – 12/12/2017

Stéphane Jourdois / Romain Castel

Page 2: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Digital Security est structurée autour de2 expertises, portées par6 prestationsdifférentes

EXPERTISES

Sécurité du SI

Sécurité des objets connectés (IoT)

PRESTATIONS

Audit Conseil Formations

Services CERT

Intégration & Projet

Sécurité Opérationnelle

2 Dec 2017 OSSIR

Page 3: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

COMMANDITAIRE

PENTESTER

LIVRABLES

RESPONSABLE DE MISSION

Le test d’intrusion

Dec 2017 OSSIRP. 3

Les objectifs Le point de jonction

Page 4: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.

Dec 2017 OSSIRP. 4

Page 5: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.

Dec 2017 OSSIRP. 5

Page 6: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.

Dec 2017 OSSIRP. 6

Page 7: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.

Dec 2017 OSSIRP. 7

Page 8: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.

Dec 2017 OSSIRP. 8

Page 9: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.

Dec 2017 OSSIRP. 9

Page 10: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Les moments d’une mission

Dec 2017 OSSIRP. 10

Le cadrage

Les tests

La formalisation

La restitution

Page 11: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Démo

Dec 2017 OSSIRP. 11

Page 12: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security Dec 2017 OSSIRP. 12

Cahier des charges

VIRRAL

Outil en ligne de commande

Multi-plateformes

Un fichier d’entrée unique

Plusieurs fichiers de

sortie :

pdf, xlsx, pptx…

Limiter la duplication des

entrées

Page 13: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

L’introduction des documents

Les constats

La synthèse managériale

Les informations de la mission

Dec 2017 OSSIR

Les informations des documents

P. 13

La définition des informations nécessaires

Page 14: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Ressource concernée

Impact technique sur le périmètre

Description du constat

Identifiant

Note

Dec 2017 OSSIRP. 14

La définition d’un Constat

Page 15: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Le fichier d’entrée en trois parties

Dec 2017 OSSIRP. 15

Page 16: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Proof of concept Très peu d’optimisation du temps !

AvecDes includes {

dans des includes {dans des includes{

Dec 2017 OSSIR

et

P. 16

Version 0.1

Page 17: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Version 1.0

Dec 2017 OSSIRP. 17

Templates,Conf.

VIRRAL

Constats

pdfXlsxPptx…

XE

/

/

Page 18: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Version 1.0

Dec 2017 OSSIRP. 18

Core

Graphiques

Métriques

Parseur

Templating

Page 19: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Le moteur

Dec 2017 OSSIRP. 19

Page 20: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Le moteur

Dec 2017 OSSIRP. 20

Page 21: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Notre système de gradationSeverite.pyIf Impact*Menace <3: return 1

If Impact*Menace <9 : return 2

If Impact*Menace <12 : return 3

else return 4

Menace.pyIf ((Pop == 1 and Diff == 1 or Diff ==2 )) or (Pop == 2 and Diff == 1)

or ((Pop == 1 and Diff == 3) or (Pop == 2 and Diff == 2 or Diff ==3))

or (Pop == 3 and Diff == 2 or Diff == 1)) or ((Pop >= 3 and Diff == 4)

or (Pop == 3 and Diff == 3) or (Pop == 4 and Diff == 2)

or (Pop == 4 and Diff >= 3)) )), return 1

If ((Pop == 1 and Diff == 3) or (Pop == 2 and Diff == 2 or Diff ==3))

or (Pop == 3 and Diff == 2 or Diff == 1)) or ((Pop >= 3 and Diff == 4)

or (Pop == 3 and Diff == 3) or (Pop == 4 and Diff == 2)

or (Pop == 4 and Diff >= 3)), return 2

If (((Pop == 3 or Pop == 4) and Diff == 4) or (Pop == 3 and Diff == 3)

or (Pop == 4 and Diff == 2) or (Pop == 4 and Diff >= 3)), return 3

Else if (Pop > 3 and Diff >= 3) return 4

Priorité.pyIf Complexité*Sévérité max < 5 : return 1

If Complexité*Sévérité max < 10 : return 2

else return 3

≈ Impact x Menace

≈ Population x Difficulté d’exploitation

≈ Complexité x Sévérité Max.

Dec 2017 OSSIRP. 21

Page 22: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Notre système de gradationSeverite.py Priorite.py

Menace.py

Dec 2017 OSSIRP. 22

Page 23: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Vues des systèmes de gradation

Dec 2017 OSSIRP. 23

Page 24: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Développement des systèmes de gradation

Dec 2017 OSSIRP. 24

Page 25: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Développement des systèmes de gradation

Dec 2017 OSSIRP. 25

Page 26: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

L’interconnexion avec une base de connaissances

Dec 2017 OSSIR

Objectif faciliter la relecture

Faire en sorte que les vulnérabilités soient toujours de la même

qualité d’un pentesteur à un autre

Laisser des libertés

P. 26

Page 27: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security Dec 2017 OSSIRP. 27

L’interconnexion avec une base de connaissances

Page 28: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security Dec 2017 OSSIRP. 28

L’interconnexion avec une base de connaissances

Page 29: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security Dec 2017 OSSIRP. 29

L’interconnexion avec une base de connaissances

Page 30: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security Dec 2017 OSSIRP. 30

L’interconnexion avec une base de connaissances

Page 31: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Démo

Dec 2017 OSSIRP. 31

Page 32: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Les plug-ins

Dec 2017 OSSIR

Testssl

Pipal

P. 32

Page 33: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security Dec 2017 OSSIR

Une interface graphique

Nessus

L’avenir

Un système de graph souple

Modification du format d’entrée pour supprimer le latex résiduel

P. 33

Page 34: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Nos objectifs aujourd’hui

Pas un projet libre… pour l’instant au moins

Prise de contact avec des acteurs du domaine

Recherche de « partenaires » intéressés :

Auditeurs

Commanditaires

Mutualisation de l’effort

Dec 2017 OSSIRP. 34

Page 35: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security Dec 2017 OSSIRP. 35

Page 36: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de

Digital Security

Digital Security - Econocom

@iotcert

www.digitalsecurity.fr

Contact

Stéphane JOURDOISDirecteur Technique

Tél. : +33 [0] 1 70 83 85 52e-mail : [email protected]

Contact

Romain CASTELConsultant sécurité sénior

Tél. : +33 [0] 1 70 83 85 57e-mail : [email protected]