INDEX CONNECTING BUSINESS & T ECHNOLOGY

Transcription

1 Veille Technologique Sécurité INDEX 2011 CONNECTING BUSINESS & T ECHNOLOGY CERT-DEVOTEAM Pour tous renseignements: 1, rue GALVANI Offre de veille Massy Palaiseau Informations vts-info@cert-devoteam.com CERT-DEVOTEAM - Tous droits reserves

2 ACTUALITES SECURITE TITRE SOURCE MOIS P. 37IEME TOP 500 ISC JUN 2 38IEME TOP 500 ISC NOV 5 ANONYMOUS, LULZSEC ET TEAMPOISON SONT DANS UN BATEAU, LUZSEC TOMBE A L EAU... JUI 2 APPRENDS A RESTER NET SUR LE WEB CNIL FEV 2 AUDIT DES AUTORITES DE CERTIFICATION GOUVERNEMENTALES ANSSI NOV 3 BIOMETRIE COMPORTEMENTALE CNIL AOU 2 DIVULGATION DE VULNERABILITES ET SYSTEMES DE GESTION INDUSTRIELLE SCADA MAR 2 FILTRAGE ET INTERNET AU BUREAU: ENJEUX ET CADRE JURIDIQUE OLFEO OCT 3 FR APPEL A PROJET TECHNOLOGIES DE SECURITE ET RESILIENCE DES RESEAUX - AOU 2 GESTION DES INCIDENTS DE SECURITE DU SYSTEME D'INFORMATION CLUSIF MAI 3 GUIDE PRATIQUE A L ATTENTION DES AVOCATS CNIL NOV 2 IPV6, PASSEPORT POUR L INTERNET DU FUTUR AFNIC MAI 2 KEELOG CODE SOURCE PUBLIE - MAR 6 LA LETTRE INNOVATION & PROSPECTIVES CNIL OCT 2 LA PROTECTION DE LA VIE PRIVEE ENTRE AU PROGRAMME DE L'EDUCATION CIVIQUE SENAT MAI 4 LA VERITABLE HISTOIRE DE STUXNET WIRED JUI 3 MESURES DE RENFORCEMENTS DE LA CYBERSECURITE - MAI 5 MISE A JOUR DE LA FEUILLE DE ROUTE POUR LA SECURISATION DES RESEAUX D ENERGIE DOE SEP 2 RENFORCEMENT DES OBLIGATIONS DES ISP - SEP 2 SIGNATURE DU.COM DNSSEC FEV 2 SMARTPHONE UNE UTILISATION DETOURNEE DU CAPTEUR DE DEPLACEMENT - AOU 3 TESTER SA MATURITE EN MATIERE D IE - OCT 2 THE LULZ BOAT - JUN 2 UN CATALOGUE DE CLEFS SSL ET SSH - JANV 2 UN RAPPORT SUR LES RESULTATS DU SECOND TOUR DE LA COMPETITION SHA-3 NIST MAR 3 VULNERABILITE DES TERMINAUX DE PAIEMENT EMV MAR 5 ARTICLES: 25 Veille Technologique Sécurité Index 2010 Page 2/8

3 ANALYSES ET COMMENTAIRES ETUDES TITRE SOURCE MOIS P. 100 BOGUES EN 100 JOURS ICS OCT 4 ANDROID: AUTHENTIFICATION ET REJEU - MAI 6 CRYPTOGRAPHIE SECURE COMPUTATION FRAMEWORK - JUN 4 DON T BUMP, SHAKE ON IT CYLAB JUI 6 EFFICACITE DES OUTILS DE PROTECTION CONTRE LA PUBLICITE CMU NOV 7 EN QUETE DE LA CYBERPAIX ITU/WSF AVR 2 ETUDE DE LA SECURITE DES PROTOCOLES HTTPS, TLS ET SSL EFF NOV 6 EXTRACTION DES CLEFS DE CHIFFREMENT DES FPGA VIRTEX-II XILINX AOU 4 IDENTIFICATION DES PHRASES DANS DES FLUX CHIFFRE VOIP MAR 10 LE DEFI CAN YOU CRACK IT GCHQ DEC 2 LE FUTUR DES RESEAUX ELECTRIQUES MIT DEC 4 NETWORK MONITORING FOR WEB-BASED THREATS SEI FEV 5 PROTECTING PRIVATE WEB CONTENT FROM EMBEDDED SCRIPTS UVA JUI 4 RECHERCHE DE DOMAINES MALICIEUX PAR ANALYSE DNS PASSIVE EXPOSURE JANV 3 SHA-3 RAPPORT DE SYNTHESE INTERMEDIAIRE ECRYPT AOU 6 SUR LA REUTILISATION DES MOTS DE PASSE UCAM FEV 4 UNE ANALYSE DES TECHNIQUES DE VOL D INFORMATIONS EN INTERNE SEI MAR 8 UNE NOUVELLE APPROCHE DE L ANALYSE STATIQUE DU COMPORTEMENT D UN CODE SEI MAR 9 ARTICLES: 18 CONFERENCES TITRE CONF MOIS P. 3G MOBILE/PACKET CORE SECURITY AND ENGINEERING CHALLENGES NANOG 51 FEV 6 A BOTMASTER'S PERSPECTIVE OF COORDINATING LARGE-SCALE SPAM CAMPAIGNS USENIX LEET MAR 4 A MILLION LITTLE TRACKING DEVICES: TURNING EMBEDDED DEVICES INTO WEAPONS SOURCE MAI 7 A SECURITY ANALYSIS OF THE APCO PROJECT 25 TWO-WAY RADIO SYSTEM USENIX SEC SEP 4 AN EXPERIMENTAL STUDY ON THE MEASUREMENT OF DATA SENSITIVITY BADGERS MAR 8 ANDROID GEOLOCATION USING GSM NETWORK: WHERE WAS WALDROID? 27C3 JANV 6 ATTACKING ORACLE WEB APPLICATIONS WITH METASPLOIT SOURCE MAI 11 ATTACKING THE GPRS ROAMING EXCHANGE (GRX) HITB KUL OCT 6 AUTOMATIC IDENTIFICATION OF CRYPTOGRAPHIC PRIMITIVES IN SOFTWARE 27C3 JANV 8 BANKING FRAUD EVOLUTION: NEW TECHNIQUES IN REAL FRAUD CASES SOURCE JUI 7 BEYOND AUTORUN: EXPLOITING SOFTWARE VULNERABILITIES WITH REMOVABLE STORAGE BLACKHAT DC JANV 10 BEYOND INFORMATION WARFARE THE HISTORY OF THE FUTURE OF HACKING NDH JUI 10 BIT-SQUATTING DEFCON19 SEP 9 BRINGING SEXY BACK: DEFENSIVE MEASURES THAT ACTUALLY WORK SOURCE MAI 9 CHECKMATE WITH DENIAL OF SERVICE BLACKHAT DC JANV 9 COMPREHENSIVE EXPERIMENTAL ANALYSES OF AUTOMOTIVE ATTACK SURFACES USENIX SEC SEP 7 DECONSTRUCTING COLDFUSION CANSECWEST MAR 8 DEFYING LOGIC - THEORY, DESIGN, IMPLEMENTATION OF COMPLEX SYSTEMS FOR TESTING SOURCE JUI 8 DNS QUERY SENT BY HEAVY USERS AND DNS PREFETCH EFFECT NANOG 51 FEV 7 DYMANIC CRYPTOGRAPHIC TRAPDOORS CANSECWEST MAR 8 ENGINEERING & OPERATION OF A LARGE-SCALE EMBEDDED DEVICE VULNERABILITY SCANNER BADGERS MAR 8 EXPLOITING SMART-PHONE USB CONNECTIVITY FOR FUN AND PROFIT BLACKHAT DC JANV 11 FUEL FORPWNAGE: EXPLOIT KITS SOURCE MAI 11 GETTING F***** ON THE RIVER DEFCON19 SEP 9 GRAPE: GENERATIVE RULE-BASED GENERIC STATEFUL FUZZING CANSECWEST MAR 7 HACKING ANDROID FOR FUN AND PROFIT NDH JUI 10 LEGAL ISSUES ASSOCIATED WITH DATA COLLECTION & SHARING BADGERS MAR 10 NEWS KEY RECOVERY ATTACKS ON RC4/WEP 27C3 JANV 8 ON THE EFFECTS OF REGISTRAR-LEVEL INTERVENTION USENIX LEET MAR 5 PACKETS IN PACKETS: ORSONWELLES IN-BAND SIGNALING ATTACKS FOR MODERN RADIOS HITB - KUL OCT 5 PILLAGING DVCS REPOS FOR FUN AND PROFIT DEFCON19 SEP 12 POPPING SHELL ON A(NDROID)RM DEVICES BLACKHAT DC JANV 12 Veille Technologique Sécurité Index 2010 Page 3/8

4 PRACTICAL ATTACKS AGAINST 3G/4G TELECOMMUNICATION NETWORKS HITB - KUL OCT 7 RECENT ADVANCES IN IPV6 INSECURITIES 27C3 JANV 6 RECONSTRUCTING HASH REVERSAL BASED PROOF OF WORK SCHEMES USENIX LEET MAR 3 RUNNING YOUR OWN GSM STACK ON A PHONE: INTRODUCING PROJECT OSMOCOMBB 27C3 JANV 5 SIXTH ANNUAL INFRASTRUCTURE SECURITY REPORT NANOG 51 FEV 7 SMS OF DEATH: FROM ANALYZING TO ATTACKING MOBILE PHONES ON A LARGE SCALE USENIX SEC SEP 5 SMS-O-DEATH 27C3 JANV 6 STEAL EVERYTHING, KILL EVERYONE, CAUSE TOTAL FINANCIAL RUIN NDH JUI 10 THE BASEBAND APOCALYPSE: ALL YOUR BASEBAND ARE BELONG TO US 27C3 JANV 6 THE LAW OF WEB APPLICATION CANSECWEST MAR 7 THE REAL COST OF SOFTWARE REMEDIATION SOURCE MAI 9 THREE GENERATIONS OF DOS ATTACKS DEFCON19 SEP 8 TRACKING THE TRACKERS: HOW OUR BROWSING HISTORY IS LEAKING INTO THE CLOUD DEFCON19 SEP 11 WHO SHOULD THE SECURITY TEAM HIRE NEXT? SOURCE JUI 8 WIDEBAND GSM SNIFFING 27C3 JANV 4 ARTICLES: 42 CONFERENCE MOIS P. ACM DRWS 2011 AOU 20 ACSAC 2011 DEC 18 APPSEC USA 2011 NOV 18 BADGERS 2011 AVR 19 BLACKHAT ABU DHABI 2010 JANV 19 BLACKHAT DC 2011 JANV 19 BLACKHAT EU 2011 MAR 22 BLACKHAT USA 2011 AOU 15 BRUCON 2011 OCT 17 CANSECWEST 2011 AVR 17 CCC 27IEME CHAOS COMMUNICATION CONGRESS JANV 19 CERT FLOCON 2011 JANV 19 CHESS 2011 NOV 19 CMU - SOUPS 2011 JUI 22 COMPUTER SECURITY CONGRESS 2011 DEC 19 COOPERATION AGAINST CYBERCRIME AVR 20 DEFCON 19 SEP 22 DERBYCON 2011 OCT 18 DNS-OARC FALL 2011 NOV 20 DPM 2011 NOV 20 EICAR 2011 JUN 16 ESORICS 2011 NOV 20 ETSI SMART GRID WORKSHOP AVR 20 EUROPKI 2011 NOV 21 FOSE 2011 DNSSEC AOU 19 FSE2011 AVR 18 HACK.LU 2011 OCT 17 HACKITO-2011 AVR 21 HACKTIVITY 2011 NOV 22 HITB - AMS 2011 MAI 27 HITB - KUL 2011 OCT 19 IWSP 2011 MAR 22 JRES 2011 NOV 22 METRICON 5.5 AVR 19 NANOG 51 FEV 20 NANOG 52 JUN 19 NANOG 53 NOV 23 NIST NON-INVASIVE ATTACK TESTING WORKSHOP OCT 20 NUIT DU HACK 2011 JUI 21 OCTOPUS COOPERATION AGAINST CYBERCRIME NOV 24 OWASP APPSEC 2011 JUN 16 PACSEC 2011 DEC 19 PASSWORD^11 JUN 17 PHNEUTRAL 2011 JUN 17 PHREAKNIC 15 NOV 25 RECON 2010 FEV 22 RFIDSEC 2011 JUI 22 RUXCON 2011 DEC 20 SATIN 2011 AVR 18 SHMOOCON 2011 FEV 21 SIGCOMM 2011 SEP 24 SIGCOMM2011 NOV 25 SOURCE BOSTON 2011 MAI 25 Veille Technologique Sécurité Index 2010 Page 4/8

5 SOURCE SEATTLE 2011 JUI 22 SOURCE 2011 BARCELONE NOV 26 SSTIC 2011 JUN 18 TERENA - TNC2011 JUN 19 TROOPERS 11 MAI 26 US-CERT GFIRST 2011 SEP 21 USENIX CSET 11 AOU 18 USENIX HOTSEC'11 AOU 19 USENIX LEET2011 AVR 19 USENIX SEC 11 AOU 17 USENIX WEBAPPS 11 JUN 22 USENIX WOOT'11 AOU 18 VB 2011 OCT 19 W2SP 2011 MAI 27 WEIS 2011 JUN 18 ARTICLES: 65 LOGICIELS TITRE MOIS P. IATAC CATALOGUE DES PARE-FEUX 7IEME EDITION AOU 8 IMMMUNITY - PYRETIC JANV 13 MICROSOFT WINDOWS DEFENDER OFFLINE DEC 5 MICROSOFT WINDOWS OFFICE MITIGATION TOOLS 11 AVR 11 NIRSOFT - FIREFOXDOWNLOADSVIEW ET DRIVELETTERVIEW MAR 11 PROCESSHACKER MAR 13 SANS SIFT2.1 AOU 6 SEI CERT BASIC FUZZING FRAMEWORK 2 MAR 14 WEBLABYRINTH MAI 12 WINDOWS OSPY MAR 12 ARTICLES: 10 MAGAZINES TITRE MAGAZINE MOIS P. MANAGERS ARE FROM MARS, INFORMATION SECURITY PROFESSIONALS ARE FROM VENUS HNS MAR 16 VIRTUAL MACHINES: ADDED PLANNING TO THE FORENSIC ACQUISITION PROCESS HNS MAR 16 ARTICLES: 2 NUMERO EDITEUR MOIS P. (IN)SECURE MAG N 29 HNS MAR 29 (IN)SECURE MAG N 30 HNS JUN 26 (IN)SECURE MAG N 31 HNS SEP 31 (IN)SECURE MAG N 32 HNS DEC 20 EQR ENISA MAI 14 SECURITE DE L INFORMATION N 11 CNRS AVR 26 Veille Technologique Sécurité Index 2010 Page 5/8

6 METHODOLOGIE ET STANDARDS METHODES TITRE SOURCE MOIS P. BOTNETS: DETECTION, ANALYSE, ERADICATION ET PROTECTION ENISA AVR 13 CVRF - THE COMMON VULNERABILITY REPORTING FRAMEWORK V1.0 - MAI 15 CWRAF COMMON WEAKNESS RISK ANALYSIS FRAMEWORK MITRE JUN 7 DEVELOPPEMENT ET IMPLEMENTATION D APPLICATIONS WEB SURES CNPI AOU 9 GUIDE DE RETABLISSEMENT A LA SUITE D UNE INFECTION PAR UN LOGICIEL MALVEILLANT CCRIC NOV 10 IOS HARDENING GUIDE DSD DEC 7 IR 7788 RISK ANALYSIS OF ENTERPRISE NETWORKS USING PROBABILISTIC ATTACK GRAPHS NIST OCT 8 IR 7802 TRUST MODEL FOR SECURITY AUTOMATION DATA (TMSAD) VERSION 1.0 NIST OCT 9 MEASURES FOR MANAGING OPERATIONAL RESILIENCE SEI AOU 9 PAQUETAGE FICHES IRM SG JUI 12 PTES - PENTEST STANDARD - MAI 15 SMARTPHONE SECURE DEVELOPMENT GUIDELINES - DEC 7 SP GUIDE FOR CONDUCTING RISK ASSESSMENTS NIST SEP 14 STANDARDS-BASED AUTOMATED REMEDIATION SPECIAL REPORT RELEASED SEI JUI 12 UNE MODELISATION DU VOL D INFORMATIONS EN INTERNE SEI JUN 6 UNE TAXONOMIE DES RISQUES OPERATIONNELS SEI JANV 16 ARTICLES: 16 RECOMMANDATIONS TITRE SOURCE MOIS P. AGREMENT DES SOLUTIONS BULL GLOBULL ET THALES ECHINOPS ANSSI SEP 15 BONNES PRATIQUES DE SECURISATION D UN RESEAU RESIDENTIEL NSA AVR 15 CATALOGUES DES PRODUITS QUALIFIES ET DES PRODUITS CERTIFIES MISE A JOUR ANSSI SEP 16 CERTIFICATIONS CSPN DE DEUX NOUVEAUX COFFRES DE JEUX EN LIGNE ANSSI MAI 17 CERTIFICATIONS CSPN DE GNUPG ET WINPT 12 ANSSI JUN 12 CERTIFICATIONS CSPN DE L ENVIRONNEMENT FISS ET DU COFFRE K.EEP ANSSI NOV 16 CERTIFICATIONS CSPN DE L ENVIRONNEMENT LINSECURE ANSSI DEC 12 CERTIFICATIONS CSPN DU LOGICIEL MIDDLEWARE IAS ECC ANSSI JUI 15 CERTIFICATIONS CSPN DU LOGICIEL MIDDLEWARE IAS ECC ANSSI AOU 10 CERTIFICATIONS CSPN KEYPASS, MODSECURITY ET IAS-ECC ANSSI AVR 14 DEUX FICHES D INFORMATIONS A L ATTENTION DES EMPLOYES ET DES PARENTS ENISA JANV 15 EXIGENCES DE SECURITE APPLICABLES AUX DISPOSITIFS BLUETOOTH NSA AVR 15 GERER SES RESEAUX NSA SEP 17 IR-7275 SPECIFICATION FOR THE XCCDF V1.2 NIST AOU 11 IR-7695 CPE NAMING SPECIFICATION ET IR-7696 CPE NAME MATCHING SPECIFICATION NIST MAI 19 IR-7697 CPE DICTIONARY SPEC, IR-7698 CPE APPLICABILITY LANGUAGE SPECIFICATION NIST JUN 11 IR-7831 COMMON REMEDIATION ENUMERATION (CRE) VERSION 1.0 NIST DEC 10 LES FONCTIONS DE SECURISATION DISPONIBLES SOUS WINDOWS 7 NSA MAI 22 LIGNES DIRECTRICES POUR L ETABLISSEMENT DE CERTS NATIONAUX NIST FEV 16 RECOMMANDATION POUR L ETABLISSEMENT DE RESEAUX DE COMMUNICATION RESILIENTS NIST FEV 13 RECOMMANDATIONS 2010/2011 SUR LA TAILLE DES CLEFS ECRYPT II OCT 11 RECOMMANDATIONS POUR PREVENIR LES INTRUSIONS US-CERT JUI 16 RENFORCEMENT DE L AUTHENTIFICATION NSA SEP 17 SECURISATION DE BIND 9 NSA OCT 14 SECURISER LES IPHONES ET IPAD PERSONNELS NSA MAR 18 SECURITE ET RESILIENCE DANS LES CLOUD GOUVERNEMENTAUX NIST FEV 15 SP , SP ET SP SUR L USAGE DU CLOUD PAR LE GOUVERNEMENT US NIST NOV 10 SP REV1 GUIDE TO BLUETOOTH SECURITY NIST OCT 12 SP RECOMMENDATION FOR CRYPTOGRAPHIC KEY GENERATION NIST AOU 13 SP GUIDELINES ON SECURITY AND PRIVACY IN PUBLIC CLOUD COMPUTING NIST FEV 9 SP NIST DEFINITION OF CLOUD COMPUTING NIST FEV 9 SP CLOUD COMPUTING SYNOPSIS AND RECOMMENDATIONS NIST MAI 18 SP BIOS PROTECTION GUIDELINES NIST FEV 11 SP GUIDELINES FOR SECURING WIRELESS LOCAL AREA NETWORKS (WLANS) NIST OCT 13 Veille Technologique Sécurité Index 2010 Page 6/8

7 SP BIOS INTEGRITY MEASUREMENT GUIDELINES NIST DEC 13 SP GUIDE TO INDUSTRIAL CONTROL SYSTEMS (ICS) SECURITY NIST JUN 9 SUR LA PREVENTION DES MENACES SOPHISTIQUEES ET PERSISTANTES CCRIC / DSD DEC 8 SUR LA PROTECTION DES COMPTES PRIVILEGIES NSA OCT 15 ARTICLES: 35 STANDARDS TITRE N P. DRAFT GUIDELINES FOR EXTENSIONS TO IODEF FOR MANAGED INCIDENT LIGHTWEIGHT EXCHANGE JUI 19 DRAFT-LODDERSTEDT-OAUTH-SECURITY FEV 17 ETSI - SECURISATION DE L ARCHIVAGE DES DONNEES NUMERIQUES JUN 13 ITU - SERIES X1200 ET X1500 SUR LA CYBER SECURITE MAI 22 RFC 6056 / RECOMMENDATIONS FOR TRANSPORT-PROTOCOL PORT RANDOMIZATION (BCP156) JANV 17 RFC 6101 / THE SECURE SOCKETS LAYER (SSL) PROTOCOL VERSION 3.0 AOU 13 RFC 6149 / RFC 6150 / MD2/MD4 TO HISTORIC STATUS MAR 20 RFC 6158 / RADIUS DESIGN GUIDELINES MAR 18 RFC 6176 / PROHIBITING SECURE SOCKETS LAYER (SSL) VERSION 2.0 MAR 19 RFC 6274 / SECURITY ASSESSMENT OF THE INTERNET PROTOCOL VERSION 4 JUI 17 RFC 6365 / INTERNATIONALIZATION TERMINOLOGY SEP 19 RFC 6455 / WEBSOCKETS DEC 14 ARTICLES: 12 Veille Technologique Sécurité Index 2010 Page 7/8

8