INDEX CONNECTING BUSINESS & T ECHNOLOGY

Transcription

1 Veille Technologique Sécurité INDEX 2009 CONNECTING BUSINESS & T ECHNOLOGY DEVOTEAM BU Sécurité Pour tous renseignements: 1, rue GALVANI offre de veille Massy Palaiseau Informations vts-info@veille.apogee-com.fr DEVOTEAM Solutions - Tous droits réservés

2 ACTUALITES SECURITE BACKTRACK 4 BETA DISPONIBLE Février 4 CHROME OS DEVOILE Novembre 4 CLUSIF - BOT ET BOTNETS Septembre 6 CLUSIF SECURITE DES APPLICATIONS WEB Octobre 3 COFEE SELON MICROSOFT Novembre 2 CONFICKER OU DU BON USAGE DES PROBABILITES Avril 3 CRYPTOGRAPHIE QUANTIQUE Septembre 2 DES OBLIGATIONS LIEES A LA FUTURE LOI HADOPI Mars 3 EBAY ET LA SECURITE Août 3 ENISA LES CERT EUROPEENS Décembre 3 FAIRE DU CITOYEN UN «HOMO NUMERICUS» LIBRE ET ECLAIRE Juin 5 FRAME 4 - MD:PRO Septembre 4 GOOGLE, STREET VIEW ET INFORMATIONS SENSIBLES Avril 5 KIT FAMILIAL DE LA SECURITE EN LIGNE Novembre 4 L INFECTION DU SI DES HOPITAUX DE LONDRES AURAIT PU ETRE EVITEE Février 3 LA FIN DU DOMAIN TASTING Août 3 LE DNS HELPER SERVICE COMCAST Juillet 5 LE BON USAGE DE LA CRYPTOGRAPHIE PAR L IMAGE Mai 5 LE GTLD.GOV EST DESORMAIS SIGNE DNSSEC Mars 2 LE PROJET ZONE-ROOT ARCHIVE Juillet 2 LES EXTENSIONS INVISIBLES DE FIREFOX Décembre 2 LES SI DE CERTAINS HOPITAUX ANGLAIS TOUCHES PAR CONFICKER Février 3 MCCOLO, UN AN APRES Novembre 5 METASPLOIT, UNE SOURCE D INSPIRATION Avril 6 MINIX, UNE ALTERNATIVE SEDUISANTE ET FIABLE POUR LES SYSTEMES EMBARQUES Février 2 NIST UN RAPPORT SUR LES RESULTATS DU PREMIER TOUR DE LA COMPETITION SHA-3 Octobre 3 NSA DEUX PDA SECURISES ET CERTIFIES Janvier 2 SANS INSTITUTE 12 CONSEILS POUR LA PROTECTION DES APPLICATIONS WEB Avril 3 SEAGATE QUAND UNE LIAISON SERIE S AVERE UTILE Janvier 3 SUR LA TRAVERSEE DES FRONTIERES Juillet 3 SUR LE RECYCLAGE DES SUPPORTS DE DONNEES Mai 3 TCP, UDP ET LES SOCKETS: VERS UNE SPECIFICATION FORMELLE DES SERVICES Mars 4 TRAITEMENTS UNICODE, ENCORE ET TOUJOURS Septembre 6 UN DEFAUT DANS LA LOGIQUE DE DIFFUSION DES CORRECTIFS MICROSOFT? Mai 4 UN EMPLOYE DE FANNIE MAE SUR LE DEPART ACCUSE D AVOIR PIEGE LE SI Février 3 UN HISTORIQUE DES PROCEDES DE PROTECTION DES EXECUTABLES Juillet 4 UNE ANALYSE DE CODE ILLUSTREE Août 5 UNE ECHELLE DE NOTATION DES INCIDENTS DE SECURITE Juin 3 UNE NOUVELLE ATTAQUE CONTRE AES Août 4 39 Veille Technologique Sécurité Index 2009 Page 2/8

3 ANALYSES ET COMMENTAIRES ATTAQUES HONEYNET KYE CONTAINING CONFICKER TO TAME A MALWARE Avril 8 CNRS SUR LES TRACES DE VLAD Avril 8 CORE ST UN ENVIRONNEMENT DE SIMULATION D ATTAQUES Mars 8 3 ETUDES SC IEME TOP 500 Novembre 7 ENISA ATM CRIME: OVERVIEW OF THE EUROPEAN SITUATION Septembre 9 MIT ATTAQUE DES ENVIRONNEMENTS DE CLOUD COMPUTING Septembre 8 ENISA CARTES D IDENTITE ELECTRONIQUES ET INTERNET Novembre 12 - CRYPTOGRAPHIE - UN WIKI SUR LES PROBLEMES COMPLEXES Octobre 6 - DE LA SYMPATHIE DES GENERATEURS ALEATOIRES Septembre 11 AFNIC DNS : TYPES D'ATTAQUES ET TECHNIQUES DE SECURISATION Juin 6 ENISA FONCTIONNALITES DES CARTES D IDENTITE ELECTRONIQUES Juillet 7 MICROSOFT GAZELLE Avril 5 CNPI HARDWARE KEYLOGGERS Juin 5 CAIDA INTERNET-SCALE IP ALIAS RESOLUTION TECHNIQUES Octobre 5 - LA PREUVE FORMELLE DE LA VALIDITE D UN CODE Octobre 4 DCSSI MICROSOFT WINDOWS VISTA ET LE WIFI Janvier 4 ENISA RESILIENCE FEATURES OF IPV6, DNSSEC AND MPLS DEPLOYMENT SCENARIOS Janvier 4 CNRS RETOUR D EXPERIENCE SUR ZONECENTRAL Octobre 4 UCAM SECURITE ET LOGIQUE REPROGRAMMABLE Décembre 4 ECRYPT SECURITE PHYSIQUE DES DISPOSITIFS SANS CONTACTS Septembre 12 ENISA SUR LA DISTRIBUTION QUANTIQUE DE CLEFS Novembre 9 ENISA SUR LES RISQUES LIES AU CLOUD COMPUTING Novembre 9 - UNE ETUDE COMPARATIVE DES PERFORMANCES DES ANTI-VIRUS Novembre 8 20 CONFERENCES BlackHAT EU.NET Framework Rootkits Mai 6 25C3 All your base(s) are belong to us Janvier 12 25C3 An Introduction to new Stream Cipher Designs Janvier 9 ESEC Analyse d'un botnet venu du froid Février 6 ACSAC 2008 Analysing the Performance of Security Solutions to Reduce Vulnerability Janvier 6 OWASP US Application security metrics from the organization on down to the vulnerabilities Décembre 7 RFID09 Cloning MiFare Classic Rail and Building Passes, Anywhere, Anytime Juillet 10 BlackHAT US Cloudburst: Hacking 3D (and Breaking Out of VMware) Août 10 SSTIC09 Compromission physique par le bus PCI Juin 7 OWASP US Defend Yourself: Integrating Real Time Defenses Into Online Applications Décembre 8 OWASP US DISA's Application Security and Development STIG: How OWASP Can Help You Décembre 6 SSTIC09 Émanations compromettantes électromagnétiques des claviers filaires & sans fil Juin 8 25C3 FAIFA: A first open source PLC tool Janvier 10 BlackHAT EU Hijacking Mobile Data Connections Mai 6 OWASP PL HTTP Parameter Pollution Mai 10 OWASP PL I thought you were my friend! Mai 9 ACSAC 2008 Instruction Set for Enhancing the Performance of Symmetric-Key Cryptography Janvier 5 Veille Technologique Sécurité Index 2009 Page 3/8

4 BlackHAT US Internet Special Ops Août 6 SSTIC09 Le traçage des Traîtres Juin 9 ESEC Les Hébergeurs BulletProof Février 5 25C3 Locating Mobile Phones using SS7 Janvier 11 BlackHAT US MD5 Chosen-Prefix Collisions on GPUs Août 7 25C3 MD5 considered harmful today - Creating a rogue CA Certificate Janvier 9 RFID09 Mifare Classic troubles Juillet 8 BlackHAT US Mo' Money Mo' Problems: Making A LOT More Money on the Web Août 8 BlackHAT US More Tricks For Defeating SSL Août 9 OWASP PL Open SAMM - Software Assurance Maturity Model Mai 12 ESEC Origami malicieux en PDF Février 6 OWASP US OWASP Live CD: An open environment for Web Application Security Décembre 6 OWASP US OWASP ModSecurity Core Rule Set Project Décembre 7 RFID09 PATHCHECKER: An RFID application for tracing products in Supply-chains Juillet 8 ACSAC 2008 Practical Applications of Bloom filters to the NIST RDS and hard drive triage Janvier 7 BlackHAT US Rapid Enterprise Triaging: How to run a compromised net and keep data safe Août 7 BlackHAT US Reversing and Exploiting an Apple Firmware Update Août 11 BlackHAT US Router Exploitation Août 11 25C3 Security and anonymity vulnerabilities in Tor Janvier 10 ACSAC 2008 Soft-Timer Driven Transient Kernel Control Flow Attacks and Defense Janvier 6 BlackHAT EU Tactical Fingerprinting using metadata, hidden information & flown lost data Mai 7 OWASP PL The Bank in the Browser Mai 9 BlackHAT US Unraveling Unicode: A Bag of Tricks for Bug Hunting Août 11 ACSAC 2008 VICI Virtual Machine Introspection for Cognitive Immunity Janvier 8 RFID09 When Compromised Readers Meet RFID Juillet LOGICIELS NETSETMAN Janvier 12 MANDIANT HIGHLIGHTER Février 7 MOBALIVECD Février 8 NIRSOFT ALTERNATESTREAMVIEW Mars 9 METASPLOIT LLC - WARVOX Mars 10 NIRSOFT - SEARCHMYFILES Avril 12 PRISE EN MAIN DE SNORT 3 BETA 3 Avril 13 VISTA VISTA WIRELESS POWER TOOLS Mai 13 INSECURE.ORG NMAP 5.00 Juillet 11 OARC DNS REPLY SIZE TEST SERVER Juillet 12 PSMENU V3 BETA1 Août 12 NIRSOFT BLUE SCREEN VIEW Août 12 MICROSOFT - ANTI-XSS LIBRARY V3.1 Septembre 14 OUTILLAGES ANTIVIRUS Novembre 13 ISC AFTR Décembre 9 15 MAGAZINES ENISA A Threat Case Study: Rogue Security Software Janvier 14 ENISA An Update on WARPs Janvier 14 HNS N 20 Building a bootable Backtrack 4 thumb drive with persistent changes & Nessus Mars 8 HNS N 21 Establish your social media presence with security in mind Juin 10 HNS N 22 How "fake stuff" can make you more secure Septembre 16 HNS N 20 Improving Network Discovery Mechanisms Mars 7 ENISA Information Sharing Exchanges Juillet 14 ENISA La protection des infrastructures critiques Octobre 8 ENISA La résilience des réseaux de communication Mai 14 ENISA la résilience et le partage de l information Octobre 7 ENISA La sensibilisation et les problèmes de l usager final Octobre 9 ENISA Les compétences et les certifications Octobre 9 Veille Technologique Sécurité Index 2009 Page 4/8

5 ENISA Les risques émergents et futurs Octobre 8 HNS N 22 Making clouds secure Septembre 16 HNS N 21 Malicious PDF: Get owned without opening Juin 9 HNS N 23 Microsoft's security patches year in review: A malware researcher's perspective Décembre 10 HNS N 23 Mobile spam: An old challenge in a new guise Décembre 13 ENISA Privacy Juillet 15 HNS N 20 Scott Anderson on the Chinese underground Mars 6 HNS N 21 Secure development principles Juin 11 ENISA Security of Wireless Networks Juillet 16 ENISA Strategie and Business Risk Juillet 15 ENISA Telecommunications Network Security Initiatives in the ITU-T Janvier 13 HNS N 20 The year that Internet security Failed Mars 6 HNS N 22 Using real-time events to drive your network scans Septembre 15 HNS N 23 Why out-of-band transactions verification is critical to protecting online banking Décembre Veille Technologique Sécurité Index 2009 Page 5/8

6 METHODOLOGIE ET STANDARDS METHODES FORTIFY BSI-MM - BUILDING SECURITY IN MATURITY MODEL Mars 15 SEI CERT RESILIENCY MANAGEMENT MODEL Juillet 18 ENISA COMMENT AMELIORER LA SENSIBILISATION A LA SECURITE DE L INFORMATION Novembre 16 NSA GUIDES DE SECURITE Avril 14 NIST IR7511 / SCAP VALIDATION PROGRAM TEST REQUIREMENTS Mai 16 NIST IR7517 / CMSS - COMMON MISUSE SCORING SYSTEM Mars 12 NIST IR7564 / DIRECTIONS IN SECURITY METRICS RESEARCH Mars 14 NIST IR7564 / DIRECTIONS IN SECURITY METRICS RESEARCH Avril 14 NIST IR7581 / SYSTEM AND NETWORK SECURITY ACRONYMS AND ABBREVIATIONS Août 14 OWASP LA PROCHAINE TOP TEN LIST Novembre 16 ENISA OUTILS D ACCOMPAGNEMENT AU FONCTIONNEMENT D UN CERT NATIONAL Décembre 14 ICO PRIVACY IMPACT ASSESSMENT HANDBOOK V2.0 Juin 12 - QUELQUES METHODES D ANALYSE DE RISQUES Janvier 15 NIST SP / GUIDE TO ADOPTING AND USING SCAP Mai 17 OWASP TESTING GUIDE V3 Janvier 16 CEPD UN GLOSSAIRE DES TERMES EN MATIERE DE PROTECTION DES DONNEES Février 10 F.COHEN UN VADE-MECUM INTERACTIF Février RECOMMANDATIONS ANSSI CATALOGUE DES PRODUITS QUALIFIES MISE A JOUR Octobre 15 ANSSI CATALOGUE DES PRODUITS QUALIFIES MISE A JOUR Septembre 19 DCSSI CATALOGUE DES PRODUITS QUALIFIES MISE A JOUR Juin 13 ANSSI CERTIFICATION CSPN DU LOGICIEL NETFILTER Septembre 19 ANSSI CERTIFICATION CSPN DU LOGICIEL VCS-TOOAL Octobre 11 MICROSOFT DOMAIN NAME SYSTEM SECURITY EXTENSIONS Mars 22 ECRYPT ESTREAM PORTFOLIO: MISE A JOUR ANNUELLE Octobre 11 SCIE GUIDE DES BONNES PRATIQUES EN MATIERE D INTELLIGENCE ECONOMIQUE Avril 18 NIST IR7621 / SMALL BUSINESS INFORMATION SECURITY: THE FUNDAMENTALS Septembre 20 NIST IR7628 / SMART GRID CYBER SECURITY STRATEGY AND REQUIREMENTS Octobre 13 NIST IR7657 / PRIVILEGE MANAGEMENT Novembre 19 GOUV.FR LE GUIDE PRATIQUE DU CHEF D ENTREPRISE FACE AU RISQUE NUMERIQUE Avril 19 CCI LE GUIDE SYNTHETIQUE DE LA SECURITE ÉCONOMIQUE Juin 13 CLUSIF LES METRIQUES DANS LE CADRE DE LA SERIE Mai 19 MITRE MAKING SECURITY MEASURABLE Mars 20 SEI MAKING THE BUSINESS CASE FOR SOFTWARE ASSURANCE Mai 20 CERTA NOTE SUR LA GESTION DES JOURNAUX D EVENEMENTS Janvier 18 CERTA NOTE SUR LES MESURES DE PREVENTION RELATIVES A LA MESSAGERIE Avril 16 CERTA NOTE SUR LES RISQUES ASSOCIES AUX CLEFS USB Janvier 19 CERTA NOTE SUR LES SYSTEMES ET LOGICIELS OBSOLETES Juillet 19 ECRYPT RECOMMANDATIONS 2008/2009 SUR LA TAILLE DES CLEFS Septembre 18 SANS SANS LES 20 POINTS DE CONTROLE CRITIQUES V2.1 Août 14 NSA SECURING FIBRE CHANNEL STORAGE AREA NETWORKS Avril 17 CNPI SECURITY CONSIDERATIONS FOR SERVER VIRTUALISATION Janvier 20 CSA SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V2.1 Décembre 15 NSA SECURITY TIPS FOR PERSONALLY-MANAGED APPLE IPHONES Décembre 17 NIST SP800-16R1 / INFORMATION SECURITY TRAINING REQUIREMENTS Mars 19 NIST SP800-38E / THE XTS-AES MODE FOR CONFIDENTIALITY Août 15 NIST SP800-46R1 / GUIDE TO ENTERPRISE TELEWORK AND REMOTE ACCESS SECURITY Juin 16 NIST SP800-53R3 / SECURITY CONTROLS FOR FIS & ORGANIZATIONS Juin 14 NIST SP800-81R1 / SECURE DOMAIN NAME SYSTEM (DNS) DEPLOYMENT GUIDE Mars 17 Veille Technologique Sécurité Index 2009 Page 6/8

7 NIST SP / GUIDE TO ENTERPRISE PASSWORD MANAGEMENT Avril 15 NIST SP / THE TECHNICAL SPECIFICATION FOR SCAP Novembre 18 NIST SP / GUIDE TO SECURITY FOR WIMAX TECHNOLOGIES Octobre 12 CERT-CC UN GUIDE POUR LA PREVENTION DES MENACES INTERNES Février STANDARDS IETF DRAFT-IETF-6MAN-IANA-ROUTING-HEADER-00 Octobre 18 IETF IETF-GONT-TCP-SECURITY / SECURITY ASSESSMENT OF TCP Février 14 ISO ISO 27000:2009 OVERVIEW & VOCABULARY Juin 17 IETF RFC5408 / IBE ARCHITECTURE Janvier 21 IETF RFC5411 / A HITCHHIKER'S GUIDE TO THE SESSION INITIATION PROTOCOL Février 13 IETF RFC5598 / ARCHITECTURE 21 Juillet 21 IETF RFC5424 / THE SYSLOG PROTOCOL Mars 24 IETF RFC5426 / SYSLOG UDP TRANSPORT Mars 25 IETF RFC5625 / DNS PROXY IMPLEMENTATION GUIDELINES Septembre 21 IETF RFC5635 / RTBH FILTERING WITH URPF Septembre 22 IETF RFC5702 / USE OF SHA-2 ALGORITHMS WITH RSA IN DNSSEC Novembre Veille Technologique Sécurité Index 2009 Page 7/8

8