Mauvaise configuration sécurité

Présentation au sujet: "Mauvaise configuration sécurité"— Transcription de la présentation:

1 Mauvaise configuration sécurité

2 Vulnérabilités Beaucoup de serveur vulnérable bien longtemps après avoir eu un patch release Ou tous simplement être trop lâche pour changer les config d’un api/service

3 Qui sont affecte Énormément de personne
On crois que si la compagnie est grosse on as moins de chance que ca arrive , faux… Voir plus loin avec scada …

4 Exemple de bug si on update jamais nos plugins…
Serveur Web Hooo yeah le web en PHP avec des plugin Pas oublier de les updater

5 Suite de la diapo précédente ..
Yen as trop a linker Nouveau de hier :P Mon préféré Vas être plus simple , yen as des tonne si j’ai le temps car pas complètement related

6 Exemple d’une mauvaise configuration
SCADA Bind Les routeur ! Apache

7 Exemple d’une mauvaise configuration Suite…
Qui ne sais pas ces quoi scada ?

8 En gros les ingénieur de scada chez siemens as eu la brillante idée de hard coder un password dans le système donc les gens peuvent se connecter comme ils le veulent dans la console scada d’un virus Le mots de passe a circule pendant des année avant d’être découverts dans un virus ,le virus en question est plus communément appelé stuxnet. Pour plus d’info sur stuxnet qui est une merveille de codage ( un virus de 500k de gros ) (allez voir le site de Microsoft pour une analyse plus approfondie de comment il fonctionne et pareille il ne fait qu’effleurer ce virus qui as des plugin et de la crypto accoté )

9 Bind ! Bind est un serveur Dns , qui dans les année 2008 as eu un bug qui permettait de poisoner sa cache. Encore 5% serait encore plus ou moin vulnerable Un autre fail des gens qui ne config pas comme il faut leur serveur bind est d’accepter les request mais pas en local reports/latest.html 11,920,500 open resolvers.

10 Vos routeur Une exemple classique de ce que vous pouvez voir chez voisin paresseux

11 Apache Lui Ya plein de fun chose a dire

12 Apache Suite Mais comme hugo veut des exemple pas en réseau mas me limiter juste a un. Désactiver les erreur par default / faite vos page d’erreur vous-même , ses pas complique, rend votre site plus sérieux et vous évites de donner des info que vous voulez pas nécessairement que tout le monde sache Par default apache nous donne plein d’info le fun

13

14 Apache suite Ou deux Si vous pouvez aussi limiter l’Affichage des erreur php ca aide beaucoup contre le monde qui tente d’exploiter vos erreur Ces pas complique en plus… mais il faut le faire car par default php affiche tout Oubliez pas d’updater vos api une fois de temps en temps ( jquerry , ajax , etc … )

15 Assurez vous que si vous utiliser un
Assurez vous que si vous utiliser un .htaccess avec un http basic autentication de pas laisser apache afficher vos fichier .htpasswd Il y as une merveilleuse fonction de apache qui permet d’empêcher d’afficher des fichier que vous voulez pas , vous pouvez même le faire dans votre .htacces !

16 Exemple ! #ErrorDocument 500 "The server made a boo boo.“
error_reporting = E_ALL <files home.php> Deny from all </files> ErrorDocument 400 /errors/badrequest.html <FilesMatch ^((home|test|file)\.php$|mysecretfolder|asecretpicture\.jpe?g)$> </FilesMatch>

17 Comment éviter ces problème
Travailler avec l’équipe d‘IT ci vous en avez une , pour vous assurer que vos système sont a jours quand possible. faire des test fréquent sur vos système qui teste si tous agit correctement et que toutes vos config sont bien faite Des pentest et audit peuvent être de bon moyen pour trouver et régler ces faille Développer votre système en partant avec la sécurité en tète et pas se dire que notre système ne seras jamais connecte a internet , on sais tous que ca vas finir par arriver soit directement ou indirectement

18 Conclusion Rien de bien complique a éviter, tous simplement rester intelligent lorsque que l’on programme