Retour d’expérience de Pentest de Positive Technologies

Bonjour à tous, aujourd’hui je vous partage de la bonne lecture de retour d’expérience de Pentest qu’un collègue m’a fait suivre (merci Phiphi). Il s’agit d’un bilan de pentests réalisés par la société Positive Technologies en 2020 que vous pourrez lire ici :

https://www.ptsecurity.com/ww-en/analytics/external-pentests-results-2020/

Si c’est trop long pour vous (titre), après avoir rappelé ce qu’est un pentest, comment ça fonctionne, à quoi ça sert, qui en fait, et pourquoi ; ils attaquent un peu des statistiques de leurs résultats et comment ils sont rentrés dans les SI dans les grandes lignes.

Bon à l’ouest rien de nouveau, hein :

  • l’intrusion est réussie dans 9 cas sur 10 ;
  • il faut en moyenne 4 jours pour rentrer dans un SI ;
  • dans 7 cas sur 10, il ne faut pas de compétences particulières ;
  • les applications web sont la porte d’entrée n°1.

On a pas forcément accès à ce genre de document facilement et toutes les sociétés de sécurité ne communiquent pas forcément la-dessus.

Du coup, c’est super intéressant pour ceux qui travaillent dans le défensif, vous avez une liste des éléments couramment regardés par les pentesteurs : corrigez-les en interne avant de faire appels à leur service, … Lire la suite

Le Pentest physique, C’est quoi ?

Salut à tous, aujourd’hui je vous propose une vidéo (à la fin de l’article) sur le PenTest Physique. Il s’agit d’une intervention faite au wild west hacking fest 2017. Dans les trucs à retenir :

  • L’états d’esprit d’un pentest en informatique et d’un pentest physique sont exactement les mêmes.
  • Personne ne crochète des serrures, si un attaquant doit en arriver là c’est plutôt un bon signe.
  • Les clé standards : c’est le mal.
  • Ne faite pas de câlins à un inconnu, même s’il est sympa… et encore plus si vous avez votre carte d’accès sur vous…
  • Personne ne se méfie du gars qui répare les ascenseurs, en particulier s’il a un badge et un paperboard.
  • On peut troller les hotlines des d’urgence des ascenseurs (mais ne le faites pas, c’est comme les services de secours, hein).
  • Comme en informatique, tous les outils qui vont bien existent.
  • Ne laissez pas trainez vos clés sur une voiturette de golf…

Bref, tout ça pour vous (re)dire que s’il est utile de se toucher la nouille toute la journée sur d’éventuelles zero-day et de patcher vos serveurs à tout bout de champs. Si votre salle machine a une issue de secours avec une porte … Lire la suite

Spiderfoot, un outil pour votre OSINT

Bonjour à tous, aujourd’hui je vous parle rapidement d’un outil que je ne connaissais pas pour faire de l’OSINT : Spiderfoot. Spiderfoot est un outil assez rigolo de recherche en source ouverte (OSINT) qui permet de bien préparer ses prestations, ses redteam & pentests ou simplement stalker les collègues ;-). C’est pratique aussi pour repérer l’informatique grise ou simplement faire de la veille.

L’installation de Spiderfoot se fait tout simplement sur une Debian avec python 3, et même si le projet ne propose pas d’image docker officielle tout prête, ça reste possible et on en trouve aussi sur le docker hub faites par la communauté. Bref pas d’excuses !

Après l’étape relou c’est de créer tout les comptes de vos bot et API : google bing, linkedin, twitter, facebook et compagnie pour pouvoir allez récupérer les informations accessibles qu’aux abonnés sur les plateforme. Mais une fois que c’est fait : vous récupérerez une IHM comme celle-ci pour configurer vos scans. Notez qu’il est possible de régler la discrétion du scan 🙂

Spiderfoot search

Et ensuite les résultats comme ça au bout d’un moent:

Spiderfoot results

Voilà, je vous laisse tester Spiderfoot du coup, c’est bien marrant et pratique et pas si long à mettre … Lire la suite

Exemple de schéma d’infrastructure : nouveau serveur !

Salut à tous, geekeries.org et systemsec.fr grossissent doucement, et j’ai finalement été obligé d’upgrader le serveur ! Je me suis dit que c’était une belle occasion de vous donner un exemple de schéma d’infrastructure (à mon goût) qui fonctionne bien de mon expérience.

Long story short : Le précédent serveur était au taquet sur la RAM et le CPU en semaine. Ça explique les coupures de connexions au(x) site(s) que vous avez pu rencontrer depuis quelques temps (désolé pour le désagrément). Du coup, j’ai fais ma migration ce weekend (qui a débordé sur le début de semaine)…d’où les indisponibilité du site que vous avez pu avoir. C’était pour la bonne cause !

Il faut dire qu’il commence à y avoir du monde qui passe sur le serveur. Vous ne voyez que la partie émergée de l’iceberg avec geekeries.org et systemsec. Mais en fait il y a quand même du monde qui tourne derrière : FTP, outil de phishing , Nextcloud, Guacamole, Watchtower, Splunk, Torrents, Fail2ban, Backup, Redis, Docker, Firewall, IPS, etc.

D’ailleurs pour la partie Docker qui est très présente dans le schéma, je vous recommande ma série d’article sur le sujet :

Lire la suite