Pour changer, je vais vous parler d’initiatives qui font avancer la cybersécurité. On prend malheureusement trop facilement l’habitude (moi le premier) de ne parler que des choses qui ne fonctionnent pas en matière de sécurité informatique (les failles, les échecs…). Pour une fois, essayons d’avoir un discours positif et de valoriser des travaux intéressants.
Je ne vais pas vous parler de la solution « miracle » car elle n’existe pas et n’existera jamais. La sécurité n’est pas une (simple) question de technologie. Non, aujourd’hui, je veux vous parler d’initiatives, modestes (pour le moment) mais ambitieuses, qui peuvent (vraiment) vous aider la lutte contre la cybercriminalité. Il s’agit de projets français (cocorico), open source et mis à la disposition gratuitement sur Internet. La communauté sécurité et toutes les bonnes volontés sont invitées à y contribuer pour les améliorer et les faire grandir.
Simple hasard de calendrier (ou pas), 3 nouveaux outils ont été publiés au cours du mois de juin. Tous tournent autour du #DFIR (Digital Forensics and Incident Response) qui comprend :
- l’investigation numérique (forensics ou inforensique),
- la réponse à incidents,
- l’analyse de malwares.
Ces sujets sont en plein « boom » depuis plusieurs années. Les entreprises commencent (enfin) à détecter des incidents de sécurité mais elles ne savent pas souvent comment y répondre. Elles ont besoin de process, de procédures mais également d’outils. Il en existe déjà un certain nombre (souvent américains) mais qui ne sont pas forcément accessibles (financièrement) ni adaptés à toutes les entreprises.
Intéressons nous à ces « fameux » projets de notre cyber #FrenchTouch .
IRMA par QuarksLab
IRMA (Incident Response & Malware Analysis) est une plateforme open-source dédiée à l’identification et à l’analyse de fichiers malveillants. Développé par des personnes de chez QuarksLab et d’Orange et également soutenu par Airbus, le CEA, la DCNS, le Govcert.lu, cet outil permet de se construire une plateforme « locale » pour tester des fichiers potentiellement malveillants sur différents moteurs d’antivirus, tout en gardant le contrôle sur les données analysées. Ce qui n’est pas le cas quand on utilise, par exemple, le célèbre service en ligne VirusTotal (qui appartient à Google).
Vous trouverez plus d’infos (visuels, architecture, guide d’installation…) sur le site http://irma.quarkslab.com/
Le code-source est disponible à l’adresse https://github.com/quarkslab
Kraken par le CERT Société Générale
Développé par les équipes du CERT Société Générale, Kraken est un outil qui va permettre collecter des IOC (Indicators of Compromise) sur des machines. Ces IOC sont des « artefacts », des traces techniques qui vont permettre à l’équipe de réponse à incident de déterminer ou de confirmer une éventuelle compromission d’un poste de travail ou d’un serveur.
Kraken se présente sous la forme d’un « agent » (léger) à installer sur chaque système à surveiller / investiguer et un serveur C2 (Command & Control) utilisé pour envoyer des commandes (rechercher des clés de registre, « dumper » la mémoire d’un système…) aux « agents » et sur lequel seront rapatriées et centralisées les « preuves » des compromission.
L’outil va pouvoir permettre de rechercher :
- des hash MD5,
- des hash SHA-256,
- des expressions régulières dans des dossiers ou noms de fichier.
Les auteurs de Kraken ont déjà imaginé une (longue) roadmap pour leur outil et n’attendent que vos contributions pour avancer rapidement.
Code source disponible à l’adresse https://github.com/certsocietegenerale/kraken
FastResponder par le CERT Sekoia
Développé par les équipes du CERT Sekoia, FastResponder est un outil de « live forensics » qui va permettre de mener « rapidement » des investigations numériques en collectant des « artefacts » sur des systèmes Windows « à chaud ».
La page github du projet liste les différentes traces techniques pouvant être récupérées par FastResponder.
Code source disponible à l’adresse https://github.com/SekoiaLab/FastResponder
Et tous les autres !
Ce ne sont pas les seuls projets français open-source qui existent sur ces sujets. Voici une liste non exhaustive d’outils complémentaires, très utiles pour répondre à des incidents, analyser des malware ou réaliser des investigations numériques :- DFF d’Arxsys
- Malcom et Unxor de @tomchop_ (qui m’a aidé à lister ces outils)
- Disass, MFTCrawler, Prefectch-parser d’Airbus Defense & Space
- Event2timeline du CERT Société Générale
- RtCA et NS par Omnia’s House
- OSXAuditor par @Jipe_
Un autre utilitaire permettant l’extraction et l’analyse d’évidences RtCA:
http://code.google.com/p/omnia-projetcs/
Merci ! et merci pour les contenus partagés sur vos sites.
Salut Nicolas. Un autre, celui que je développe a Mozilla -> https://github.com/mozilla/mig/