Présentation du 30/10/2012 Giving security a new meaning 1
SOMMAIRE 1. Introduction 2. Qu est ce que CerberHost? 3. Implémentation technique 4. Cas Client : Charlie Hebdo 5. Roadmap 6. Tarification 7. Th3 Xm@s ch@ll3ng3 2
1 - Introduction 3
Introduction : un réel besoin «Ca n est que du Web!» Les Webhacks 2012: Zappos, Sony, RSA, LinkedIn, MySQL, Orange, le Figaro, FDJ Mai 2012: sites gouvernementaux dans 5 pays (FR inclu) compromis Premier semestre 2012 : 40 Millions de login/pass perdus Grands comptes, les Webhacks sont derrière 54% des intrusions TJX a perdu 45 Millions de cartes bleues sur une injection SQL! 4
Introduction : un réel besoin «Ca n est que du Web!» Un taux de réussite inquiétant en pentest Plus d un million de «deface» par an En moyenne, un site de retail est en risque 328 jours par an 98% des données volées le sont par des externes et dans 94% des cas, cela impliquait des compromissions de serveurs 75% des cyber attacks sont faites au niveau web 5
Introduction : un réel besoin Les offres existantes Cas N 1 : Rien Cas N 2 : Certificat SSL et sauvegardes Cas N 3 : Mise à jour, sauvegardes, antivirus, Https Cas N 4 : Firewalling, IDS, Rproxy «Tout le monde en CLOUD, externalisons, ça sera mieux que chez nous!» 6
Introduction : un réel besoin 7
2 Qu est ce que CerberHost? 8
Qu est ce que CerberHost? Nous avons conçu CerberHost pour Protéger ces 54% d entreprises qui se font pirater par leurs sites Couvrir 61% du marché Web (LAMP) Garder la flexibilité de l approche Cloud Cette offre regroupe Des processus Humains De l infrastructure physique (redondante) Des logiciels existants (Netfilter, fail2ban, Pax/Grsec, inodemon, etc.) Des logiciels créés sur mesures pour combler les lacunes 9
La fusion de nos deux savoir faire Le pôle infogérance (2004) Le pôle sécurité (1999) Hébergement (>2000 sites à ce jour) Infogérance (SN 1/2/3) 2 datacenters (& 2 fibres Interlan à 6 Gb/s) 5000 cores, 10 To de RAM, 50 To de NAS Test d intrusion (Plus de 450 à ce jour) Audits de sécurité Ingénierie sociale Accompagnement & conseil Création & publication de NAXSI 10
Philosophie de l offre 1. Intégration des best practices 2. Intégrations des éléments existants 3. Création des éléments nécessaires 4. Assemblage 5. Validation, audit, certification (27001 / PCI) 6. Industrialisation 11
Philosophie de l offre Peu importe le code Peu importe l équipe exploitante Peu importe le framework Peu importe les failles existantes ou non 12
3 Implémentation technique 13
Implémentation technique Management, motivating wages, no offshoring, Training, Procedures 24x7 team, positions doubled, Background check, logged operations NAXSI Fail 2 Ban Password policy Patch management Reqlimit MySQL Sniffer Grsec / PAX Fail2ban DNSSec ZEND server (*) D.D.O.S Clearance Facility (*) IP reputation System Firewalling (Netfilter) Isolated VLANs & filtering GEOIP / Bad packets filtering Grsec / PAX ExecVKiller InodeMon Dual datacenter, dual powerlines Booster / Extend to Cloud Clustering 14
Protections physiques 2 Datacenters ISO 9001 Double fibre Interlan (chemins différenciés) 2 liens télécom indépendants par site Doublement de tous les éléménts actifs Double alimentation par éléments 15
Protections globales (infrastructure) Firewall : Netfilter (IPSET, Tarpit) Système de réputation d IP Reverse Proxy & Waf : NginX + NAXSI + Reqlimit DNSSec Firewalling InterVLAN DDOS : Arbor Networks en tête (1T 2013) 16
Protections locales (serveur) Mysql Sniffer InodeMon ExecVKiller GRSEC PAX Fail2Ban Zend Server (*) Antivirus (**) (*) En option (**) sur les serveurs de Medias 17
Protection Anti D.O.S & D.D.O.S Types Countre-mesures Méthodes D.O.S Applicatif Ralentissement Reqlimit + Fail2ban D.O.S réseau Drop Tarpit si TCP Arbor Networks sinon D.D.O.S Drop Arbor Networks Avec Anti-DDOS Sans Anti-DDOS Blackholing 18
Logs & Monitoring Niveau Point surveillé Type de monitoring Accès Disponibilité Infrastructure & Réseau Sondes Externes SMS/Web/iOS/Android Système Linux (Kernel & Daemons) System Rsyslogd + Grsec Shell Réseau Réseau TCPdump simplifié Shell Injections SQL Application MySQL Sniffer* Web/iOS/Android File upload Application InodeMon* Web/iOS/Android Exécution de Code Application ExecVkiller* Web/iOS/Android Webshell Application Zend** Web/iOS/Android WAF Application NAXSI* Web/iOS/Android Archive sur un an Trafic complet (timestamp, IP source, port dest, protocole) Logs centralisés Consultables en ligne et bientôt sur mobile 19
Procédures & Humains Risques Humains Négligence, abandon Erreur humaine Indisponibilité Corruption Ingénierie Sociale Contre mesure Management, salaires motivants, pas de sous-traitance Formation & procédure Équipe 24x7, toutes les positions sont doublées Vérification du background, opérations loggées Formation, procédures Risques / Poste Faille de sécurité sur un composant Oublie d une procédure ou d un patch Maintien des procédures opérationnelles ISO27001 Maintien des procédures opérationnelles PCI/DSS Eviter les risques en amont & chevaux de Troie Compromission Procédure & contre mesure Gestion de cycles de MAJ & Veille Test d intrusion mensuel Audit Annuel PCI : Pentest Externe trimestriel Audit pré production Isolation du sous réseau et recherches 20
Focus : Cerberhost blocking a File Upload Coût du traitement +1,8% de CPU pour filtrer les GET & POST (Rproxy) Quelques serveurs supplémentaires (pour nous) Au final, ~20 ms pour un rendu de page Soit +1,3% de temps de chargement en moyenne 21
Counter measures Attaque Couche Protection(s) Logging Applicative Denial of Service (DOS) Applicative Fail2ban, Nginx reqlimit Harvesting & Botting Applicative NAXSI, Nginx reqlimit, fail2ban Injection SQL Applicative NAXSI SQL Sniffer Détournement de session Applicative NAXSI Cross Site Scripting (XSS) Applicative NAXSI Déni de service Distribué Applicatif Applicative NAXSI, Nginx reqlimit, fail2ban Web, Ajax Worms Applicative NAXSI Directory Traversal Applicative NAXSI Brute force des login/pass d application Web Applicative NAXSI, fail2ban File Upload Applicative NAXSI InodeMon Webshells Applicative ExecVKiller ExecVKiller, InodeMon Limitations des commandes sensibles Applicative Zend (*) Déni de service (réseau) Réseau Tarpit, Rproxy, Ipset, Reqlimit Déni de Service distribué Réseau Arbor Networks nettoyant 90 Gbps (**) Empoisonnement DNS Système DNS Sec Ver Système PAX Brute force des accès (ssh, sftp, back office, etc) Système Fail2ban Exécution de code & injection de commandes Système ExecVKiller, PAX, Zend (*) ExecVKiller Privilege escalation Système Grsec / PAX Virus / Virii Système Antivirus (*) Overflow, exploit, «zero day» Système Grsec / PAX 22
4 Cas client : Charlie Hebdo 23
Cas client : Charlie Hebdo Charlie se fait des «amis» 24
Cas client : Charlie Hebdo 25
Cas client : Charlie Hebdo Attaques Scans de ports : 7057 Attaquants Web : 2259 Bruteforce SSH : 684 D.D.O.S Participants D.D.O.S : > 10 000 D.D.O.S en pic : > 3 Gbps de BP D.D.O.S en small UDP & big ICMP D.O.S en TCP (3306) 26
5 Roadmap 27
Roadmap Date Evolutions CerberHost Décembre 2012 T1 2013 T1 2013 T1 2013 T1 2013 T1 2013 T2 2013 T3 2013 Challenge Surveillance des Hash MD5 des fichiers Two factor authentication Anti DDOS Fin des Audits (HSC & Edelweb) Console sur mobile LIWY : surveillance de (IRC/FB/Twitter/ ) CerberHost pour les plateformes Java 28
6 Tarification 29
Exemple de tarification CerberHost : Les types d instances WEB : Pour vos services HTTP/HTTPS DB : Pour vos services MYSQL / NOSQL / MongoDB MEDIAS : Pour vos Media server et CDN BACK : pour vos backoffice, API, Webservices, etc. 30
Exemple de tarification VPS CerberHost VPS1 (1 core, 2 Go de RAM, 1 Mbps de BP,10 Go disque) : 275 VPS2 (2 cores, 4 Go, 2 Mbps BP, 10 Go) : 375 VPS4 (4 cores, 8 Go, 4 Mbps BP, 40 Go) : 520 VPS8 (8 cores,16 Go, 8 Mbps BP, 50 Go) : 800 Lame (hardware) dédiée (12 cores) : 1 200 Lame (hardware) dédiée (24 cores) : 1 500 (tarif mensuel) 31
Exemple de tarification Options CerberHost Test de charge Zend Server Anti DDOS Veille sécurité sur les frameworks Création de règles NAXSI «sur mesures» Pack emergency response A confirmer,1 trimestre 2013 : Anti DDOS : 70 / Mbps consommés au 95% 32
7 Xm@s ch@ll3ng3 33
Xmas Challenge 34
Th3 Xm@s ch@ll3ng3 Le challenge 5 000 et un article sur notre blog au premier testeur qui récupère un fichier dans le compte root ou une table de base de données Sur enregistrement (le firewall sera relaché pour les IP des testeurs) Durée : 3 mois, de mi décembre à mi mars Le système ne sera pas plus renforcé qu un autre CerberHost Pas de D.D.O.S (ce n est pas le sujet) Le réglement sera publié courant décembre 2012 35
Références & Webographie 36
Sources & Webographie Les statistiques sont issues et recomposées à partir de ces documents sources : 2010 / 2011 FBI-CSI Computer Crime and Security Survey http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf http://www.guardian.co.uk/technology/2012/jun/17/flame-virus-online-security http://img.en25.com/web/whitehatsecurityinc/wpstats_winter11_11th.pdf http://www.ptsecurity.com/download/pt-webappsecstat-2009.pdf https://www.team-cymru.org/monitoring/graphs/ http://projects.webappsec.org/w/page/13246989/web%20application%20security%20statistics http://cci-web.finedesigngroup.com/flashapp http://us.norton.com/cybercrimereport/promo http://community.norton.com/t5/cybercrime-frontline-blog/cybercrime-a-shocking-picture-of-the- Problem/ba-p/530898 http://i.techrepublic.com.com/blogs/2012theyearofpasswordtheft_503bd92367392.jpg?tag=content;siucontainer 37
Quelques références NBS System 38