Loading
Suite à une mise à jour du kernel, vous pourriez voir apparaître le message suivant:
“you may need to re-run your boot loader[grub]”
Si tel est le cas, la solution est simple:
update-grub va regénérer la configuration et le tour est joué!
Assurez-vous que /initrd.img existe et pointe vers un fichier valide.
Un test d’intrusion est une simulation d’attaque planifiée contre un environnement informatique afin d’y identifier des vulnérabilités potentielles.
Le pentesting a pour objectif de découvrir des vulnérabilités en utilisant des «pirates éthiques» et de les corriger avant que des pirates «blackhat» (= criminels) ne les trouvent et les exploitent.
L’activité de pentest, au sens large, peut viser plusieurs cibles:
Il existe d’autres types de services qui sont liées de manière générale à l’activité de test d’intrusion “pentest”:
Les organismes financiers sont généralement fortement incités à réaliser des pentests en vue des
1) Politiques internes, polices de sécurité (ISMS)
2) Règlements et “compliance”
Les banques gèrent de l’argent. Ils sont fréquemment la cible de cyberattaques.
Les banques ont un environnement difficile; mélange d’anciennes et de nouvelles technologies
La plupart des banques tentent de tester tous les actifs critiques et toutes les applications accessibles depuis l’Internet.
Les compagnies d’assurance font généralement des pentests de toutes les applications Internet.
Toutes les entreprises qui écrivent des logiciels planifient la plupart des temps un pentest annuel.
Nous travaillons avec des entreprises de toutes tailles: de gros éditeurs logiciels comme des plus petits acteurs où le développement logiciel représente une activité accessoire.
Cette activité a pour but d’améliorer la sécurité de leurs propres produits. De plus, c’est fréquent demandé par les clients (rapports annuels) ou comme exigence dans la réponse à des marchés publics ou privés (‘Tender”).
Nous avons reçu des demandes de la part de sociétés comptables, d’armement, de traduction, d’agences publicitaires,… Toutes ces entreprises travaillent avec de grands acteurs (gros multinationales, des gouvernements). Ces grands acteurs obligent leurs partenaires à sécuriser leurs données.
En cas d’incident (par exemple “data leak” suite à des failles logicielles) de la part du sous-traitant en manipulant les données de ses clients, cela aura également un impact sur les données des grands acteurs.
De plus, dans le cadre du GDPR, une part de responsabilité est imputable au “controller”. Ce dernier doit donc veiller que son sous-traitant met en place des mesures de sécurité proportionnelles aux risques. L’activité de pentest et surtout le rapport du pentest joue un rôle important dans la protection “en bon père de famille” de l’environnement IT.
[:fr]
Une coupure de courant, une coupure réseau, un moment d’inattention suite à une mise en veille du laptop et vous voilà déconnecté d’une session SSH lors d’une mise à jour majeure de votre serveur Linux Ubuntu.
Pas de panique, il est possible de reprendre la session!
Ubuntu lance le process d’upgrade dans un “screen“, ce qui permet de faire “screen resume” par la suite et de reprendre où on en était.
En lisant le “man”, on peut lire:
![Ubuntu “You may need to re-run your boot loader[grub]”](https://www.ofep.be/wp-content/uploads/2020/05/2d3065e0535221da3451a8bb79700526.media_.png "Ubuntu \"You may need to re-run your boot loader[grub]\" 1")
-D -r
Reattach a session. If necessary detach and logout remotely first.Ceci nécessite que vous avez uniquement perdu la connexion. Ca ne fonctionnera pas si vous avez stoppé la mise à jour.
$
ssh: connect to host x.x.x.x port 22: Connection timed out
(déconnexion)
$ ssh clv20478
(reconnexion au serveur et ensuite on “resume” la session grâce à “screen”)
$ sudo screen -D -r
La mise à jour reprend où on en était, on ne perd pas de temps.[:]
[:fr]
Poppy propose une solution unique sur le marché de la gestion d’alerte pour les plans d’urgence avec son produit “Poppy alert”.
Poppy alert est un produit mature et qui a fait ses preuves. Ce dernier s’impose comme une solution simple, robuste et redondante permettant de gagner un temps précieux lors de situations de crises. Poppy est activement utilisé par des acteurs incontournables du secteur hospitalier, des autorités publiques, et de la gestion de crise et permet d’alerter facilement en situation de stress.
Une personne pré-enregistrée dans l’application déclenche une alerte via un des canaux disponibles tels que SMS, appel vocal et bien sûr l’interface web de l’application.
En fonction de l’alerte, Poppy Alert prévient alors une liste pré-déterminée de personnes, à nouveau, via différents canaux (SMS, appels vocaux, emails, pager Astrid, applications de messagerie, …).
Les personnes contactées peuvent répondre via le même numéro et le lanceur d’alerte est directement informé des réponses. Ce dernier peut suivre l’état d’envoi des messages, suivre les réponses, renvoyer de nouveaux messages,…
Poppy Alert permet de contacter très rapidement des centaines voire des milliers de personnes. Un gain de temps considérable qui permet d’être plus réactif aux alertes. Les gens contactés seront, dès lors, plus rapidement disponibles pour gérer les urgences.
Face à un incident civil majeur (train qui déraille, explosion, attentat,..), une série d’acteurs ‘on call’ sont contactés pour faire face à crise. Nous pensons aux pompiers, policiers, infirmières, médecins,.. qui jouent un rôle important dans les situations de crise.
OFEP voit également plusieurs applications de l’application dans le cadre des équipes ICT (plan DRP/BCP, panne datacenter,..). Dans ces cas de figure, différents collaborateurs de l’entreprise sont amenés à être contactés d’urgence.
OFEP apporte régulièrement ses services pour auditer l’application Poppy Alert. Différents audits sont effectués annuellement tels que pentest, audit d’infrastructure ou encore audit sur base d’ISO27001 afin de guider la société dans la sécurisation de son application.
Les aspects de redondance et de haute disponibilité ont également été audités afin de permettre à Poppy Alert d’être disponible à tout moment.
Poppy Alert est également sensible au respect des données personnelles et au GDPR. Des nouvelles fonctionnalités ont d’ailleurs été rajoutées dans l’application. Notamment, la possibilité pour un utilisateur, en un simple clic, de télécharger une fiche récapitulative avec l’ensemble des données le concernant.
[:]
[:fr]
Dans le cadre d’une migration, un de nos clients a déplacé son infrastructure de serveurs de son datacenter privé vers une formule de co-location “datacenter housing”.
La location de baies “U” et la migration apportent plusieurs avantages pour votre entreprise:
Non seulement, vous réduisez ses coûts mais, en plus, vous profitez d’une infrastructure physique et réseau mieux sécurisé qu’auparavant.
Le datacenter Interxion est situé à Zaventem, à proximité de Bruxelles. Ce dernier est sécurisé par des grilles automatiques, dispose d’un parking à proximité de l’entrée et des gardes de sécurité se relayent jour et nuit afin d’assurer l’accueil et de contrôler les accès. Pour renter, il faut être annoncé et présenter sa carte d’identité. Les accès sont enregistrés.
Interxion est un société néerlandaise et gère actuellement 41 datacenter dans 11 pays européens.
Une salle de repos avec une machine à café et un distributeur de boissons est également à disposition.
Les serveurs et l’infrastructure du client sont maintenant installés. Le câblage est réalisé. Les connexions vers les systèmes iLO sont configurés via un réseau Out-of-band afin de pouvoir opérer à distance, si nécessaire, sans avoir à se déplacer.
Un ensemble de tests pré-établis ont été exécutés afin de s’assurer que la migration s’est effectuée avec succès.
[huge_it_portfolio id=”2″]
Plusieurs formules sont possibles:
Contactez-nous pour une offre ![:]
Afin de contrôler aux mieux les accès vers vos données, une solution d’offre à vous: coupler la solution de Privileged Access Management (PAM) de CyberArk à la console de Vormetric Data Security Manager (DSM).
La console Vormetric DSM est au coeur de la solution Vormetric (VTE Vormetric Transparent Encryption). Cette console permet de gérer les clés d’encryption et les différents agents installés sur les serveurs (typiquement des bases de données).
La console DSM ne permet pas actuellement de s’intégrer avec votre Identity Provider (idp), ce qui peut présenter un désavantage si l’idp est votre référence en terme d’authentification.
De plus, la solution PAM avec ses options d’autorisation et d’audit (“screen recording”) permet de contrôler au mieux les accès, ce qui est un avantage indéniable quand il s’agit de la gestion de clés d’encryption.
Un petit exemple vaut mieux qu’un long discours, la démo démontre un environement labo CyberArk (PVWA), la connexion vers un DSM (hosté dans AWS – malheureusement plus disponible sur le AWS market actuellement), un script de login développé pour le projet.
Le “chiffrement au repos” ou encryption at rest s’avère une mesure de sécurité demandée par de nombreuses entreprises lorsqu’il s’agit de protéger les données.
Les motivations sont multiples:
La suite de cet article est un retour d’expérience sur l’implémentation Vormetric VTE (“Vormetric Transparent Encryption”).
La solution VTE est basée sur l’utilisation d’un agent, déployée sur les serveurs (Windows ou Linux) et d’un console centrale pour gérer les agents, les règles et les clés d’encryption.
Cette solution permet d’encrypter des applications sans en modifier le contenu, ni le code, ce qui est un avantage non négligeable surtout pour des applications “off the shelf” où le code et le contenu de la base de données peuvent être difficilement modifiés.
La console centrale est disponible sous la forme d’une appliance physique ou d’une virtual appliance (image OVF pour VMware) et est certifiée FIPS.
La console Vormetric (DSM) permet de gérer les différents agents, de définir quels répertoires encryptés “Guarded Folders”, de déterminer des polices d’accès aux “Guarded Folders” en fonction des noms des processus, des utilisateurs, du temps,..
En cas de violation de la police d’accès, Vormetric empêche et loggue l’accès. Ceci permet également de coupler les logs à un SIEM (via syslog) et d’intégrer les alarmes avec un SIEM / SoC.
La gestion des clés et le renouvellement des clés se fait également via la console Vormetric. L’agent permet également de ré-encrypter les données si la clé doit changer (par exemple dans le cadre d’une police de sécurité de rotation de clés annuelle).
Quels sont les avantages de Vormetric par rapport à une encryption au niveau du hardware ou des disques ? Cette question légitime apparaît régulièrement. Les avantages sont les suivants:
Le “chiffrement au repos” ou encryption at rest s’avère une mesure de sécurité demandée par de nombreuses entreprises lorsqu’il s’agit de protéger les données.
OFEP a été amené à implémenter plusieurs solutions:
La suite de cet article est un retour d’expérience sur l’implémentation Vormetric VTE (“Vormetric Transparent Encryption”).
La solution VTE est basée sur l’utilisation d’un agent, déployée sur les serveurs (Windows ou Linux) et d’un console centrale pour gérer les agents, les règles et les clés d’encryption.
Cette solution permet d’encrypter des applications sans en modifier le contenu, ni le code, ce qui est un avantage non négligeable surtout pour des applications “off the shelf” où le code et le contenu de la base de données peuvent être difficilement modifiés.
La console centrale est disponible sous la forme d’une appliance physique ou d’une virtual appliance (image OVF pour VMware) et est certifiée FIPS.
La console Vormetric (DSM) permet de gérer les différents agents, de définir quels répertoires encryptés “Guarded Folders”, de déterminer des polices d’accès aux “Guarded Folders” en fonction des noms des processus, des utilisateurs, du temps,..
En cas de violation de la police d’accès, Vormetric empêche et loggue l’accès. Ceci permet également de coupler les logs à un SIEM (via syslog) et d’intégrer les alarmes avec un SIEM / SoC.
La gestion des clés et le renouvellement des clés se fait également via la console Vormetric. L’agent permet également de ré-encrypter les données si la clé doit changer (par exemple dans le cadre d’une police de sécurité de rotation de clés annuelle).
Quels sont les avantages de Vormetric par rapport à une encryption au niveau du hardware ou des disques ? Cette question légitime apparaît régulièrement. Les avantages sont les suivants:
[:]
[:fr]
Commandes à exécuter sur le host VMware
# vmkfstools -D v-fk-VMNAME-01-000001-delta.vmdk
Lock [type 10c00001 offset 88141824 v 608, hb offset 3297280
gen 9, mode 0, owner 00000000-00000000-0000-000000000000 mtime 10432282
num 0 gblnum 0 gblgen 0 gblbrk 0]
Addr <4, 153, 38>, gen 364, links 1, type reg, flags 0, uid 0, gid 0, mode 600
len 115972505600, nb 13825 tbz 0, cow 0, newSinceEpoch 13825, zla 3, bs 8388608
/vmfs/volumes/53921fde-d84a95a4-4477-00221960c653/v-fk-cloud-01 #
# vmkfstools -D v-fk-cloud-01-flat.vmdk
Lock [type 10c00001 offset 88199168 v 188, hb offset 3297280
gen 9, mode 1, owner 53db69a4-f18e41cd-4ace-00221961585f mtime 10418155
num 0 gblnum 0 gblgen 0 gblbrk 0]
Addr <4, 153, 66>, gen 139, links 1, type reg, flags 0, uid 0, gid 0, mode 600
len 332859965440, nb 39223 tbz 0, cow 0, newSinceEpoch 39223, zla 3, bs 8388608
/vmfs/volumes/53921fde-d84a95a4-4477-00221960c653/v-fk-cloud-01 #
Dans le premier cas, le owner est une suite de 0, pas de locking.
Dans le second cas, le owner est une VM qui accède au fichier vmdk en question.[:]
[:fr]Lors d’une suppression d’un snapshot avec VMware ESX, il peut arriver qu’une erreur “Operation time out” se produit, surtout s’il s’agit d’un snapshot de taille importante. Si l’opération de suppression est répétée à nouveau, VMware indique un autre message d’erreur “Another task is already in progress” alors que d’après la console, aucune opération n’est en cours.
Comment vérifier les opérations réellement en cours, si on ne peut se fier à la console ?
Première étape, se connecter au host vmware en question via SSH.
Cette commande va permettre de lister les opérations en cours.
# vim-cmd vimsvc/task_list
(ManagedObjectReference) [
‘vim.Task:haTask-258-vim.vm.Snapshot.remove-874584367’
Cette commande affiche plusieurs informations utiles, notamment l’état de progression, le nom de la vm et la date de début d’exécution.
~ # vim-cmd vimsvc/task_info haTask–258-vim.vm.Snapshot.remove-874584367′
Si nécessaire, il est possible d’annuler l’opération en cours (si “cancelable = true”):
~ # vim-cmd vimsvc/task_cancel haTask-258-vim.vm.Snapshot.remove-874584367′
[:]
[:fr]Par défaut, Fortigate ne répond pas aux paquets bloqués par une règle ‘deny’, à une exception près: le port TCP/113, service ident.
En scannant un firewall fortigate, on peut s’apercevoir que le scanning du port TCP/113 entraîne une réponse de type state ‘closed‘, ce qui signifie qu’un TCP-RST a été envoyé.
Tout porte à croire que le port est ouvert dans le firewall et qu’un serveur distant répond.
Après une recherche dans la documentation de Fortigate, on s’aperçoit qu’une option est activée par défaut pour répondre avec un TCP-RST aux requêtes sur le port TCP/113.
Pour désactiver cette fonctionnalité qui nous semble peu utile de nos jours, voici la commande à exécuter:
config system interface
edit <interface>
set ident-accept enable
next
end
Remplacer <interface> par l’interface en question, par exemple wan1.
On refait le test:
Cette fois-ci le résultat est différent et TCP/113 n’apparait plus en ‘closed‘.[:]