Les méthodes utilisées pour l’analyse des applications Web sont :

• 1 – la méthode dite «boîte noire» (black-box) en utilisant le scanner automatisé MaxPatrol .
• 2- Les tests sont repris à la main en utilisant la technique « whitebox » (boîte blanche)
• 3- Une analyse partielle et complète du code source.
• L’étude est réalisée uniquement sur des applications Web externes, accessibles à partir d’Internet

Les vulnérabilités découvertes ont été classées selon le Web Security Threat Classification du Web Application Security Consortium (WASC WSTCv2 ) . Ce système a été créé pour classer toutes les menaces liées à la sécurité des applications Web.Les membres du Consortium Web Application Security ont créé ce projet pour développer et promouvoir une terminologie standard décrivant les problèmes de sécurité des applications Web et permettant aux développeurs d’applications, experts en sécurité, développeurs de logiciels et les consultants sécurité, d’utiliser un langage commun pour interagir entre eux.

Dans les statistiques, nous avons utilisé une liste structurée de vulnérabilités, composée de neuf classes selon le WASC WSTCv1 :

• 1. (Authentification)
• 2. Login (Autorisation)
• 3. Attaques côté client (Client-side Attacks)
• 4. Exécution de commandes (Command Execution)
• 5. Divulgation d’information sensible (Information Disclosure)
• 6. Erreurs logiques et bug logiciel (Logical Flaws)
• 7. Configuration non sécurisée (Misconfiguration)
• 8. Abus de Protocole (Protocol Abuse)
• 9. Autres (Divers)

Le degré de criticité de la vulnérabilité a été évalué en fonction de CVSSv2 (Common Vulnerability Scoring System Version 2) .

Résultats importants

Près de la moitié des systèmes analysés contiennent des vulnérabilités. Les scans ont généré 13434 vulnérabilités avec divers degrés de risque, 1412 échantillons de codes malveillants contenus dans les pages des systèmes vulnérables ont étai relevées. 1,7% des sites sont compromis par un cheval de troie. Chacun de ces sites contiennent des vulnérabilités qui peuvent exécuter des commandes sur le serveur, ce qui confirme la possibilité d’utiliser ces vulnérabilités pour compromettre des systèmes.

Parmi les principales conclusions défavorables est la probabilité de détection de vulnérabilités critiques dans une application Web par un scanner automatisé qui est d’environ 35% contre 80% lors de l’analyse approfondie par un consultant. Cela démontre un faible niveau de sécurité des applications modernes basées sur le Web. Non seulement contre les attaques de pirates informatiques qualifiés, mais aussi des scriptkidies avec des outils prêts à l’emploi pour le «piratage automatique ».

L’analyse réalisée en 2009 à partir d’adresses vulnérables , identifiées dans l’étude de 2008 , a révélé que le pourcentage global de correction de vulnérabilités découvertes est de 20% seulement . En général, une évaluation des vulnérabilités des applications Web est un processus simplifié permettant de diminuer les vulnérabilités dans un site le nombre de sites vulnérables de 70%.

Du point de vue de la conformité aux Normes, la situation s’est légèrement améliorée mais reste scandaleuse. 84% des applications Web ne répondent pas aux exigences de la norme de protection des informations des cartes de paiement PCI DSS et 81% ne répondent pas aux critères des scans ASV, tels qu’ils sont définis dans la norme.

Secteurs d’activités scannés

Statistiques des Vulnérabilités détectées .

2009Vuln

Cette année les applications d’Adobe sont en tête de liste avec quatre applications identifiées dans la base de vulnérabilités officielle de l’US National Institute of Standards et Technology (NIST). Adobe Acrobat, Flash Player, Reader et Shockwave avec des vulnérabilités classées comme «très critique», qui peuvent permettre à un attaquant distant d’exécuter du code arbitraire, corruption de la mémoire, déni de services ou crash de l’application.

La liste comprend d’autres applications vulnérables:

• Apple Quicktime
• Mozilla Firefox
• Opera
• RealPlayer
• Sun Java
• Trillian.

Les applications sur la liste répondent aux critères suivants:

• S’exécute sur Microsoft Windows
• Sont très utilisées et fréquemment téléchargées par des particuliers
• Ne sont pas classées comme applications malveillantes par les entreprises IT et les éditeurs de sécurité
• Contiennent au moins une vulnérabilité critique qui a été:
  • découverte après le 1 er Janvier 2009,
  • Enregistré dans la base de données officielle des vulnérabilités du NIST avec un indice de gravité CVSS élevé (entre 7.0-10.0).
  • Ne peut pas être automatiquement mis à jour via des outils d’entreprise tels que Microsoft SMS et WSUS.

Dans la plupart des cas, les fournisseurs ont sortie des correctifs pour éliminer les vulnérabilités identifiées, mais l’entreprise cours toujours un risque parce que l’utilisateur final doit appliquer le patch lui même. Les entreprises et organismes gouvernementaux qui n’ont pas mis en place de contrôles ne sont pas capables de se protéger contre les attaques «zero-Days pour lesquelles aucun correctifs n’existent.

Cette étude démontre l’importance du contrôle des applications, gestion des correctifs automatiques et les audits de vulnérabilités. En combinant les efforts de sécurité et en adoptant une approche multidimensionnelle à la gestion des risques informatiques ont peux  réduire considérablement les coûts associés à la perte de données,prolifération  des codes malveillants et violations de conformité.

«Ces applications populaires sont fréquemment téléchargées sur des ordinateurs portables et ordinateurs de bureau par les utilisateurs et peuvent présenter des risques très importants pour la sécurité» «Nous constatons un nombre croissant d’applications dans l’entreprise qui crées des risques de sécurité et qui peuvent être évitées grâce à une meilleure visibilité sur l’ensemble des poste utilisateurs , gestion de patchs centralisé, mais aussi des processus de gestion de liste blanche afin d’empêcher l’utilisation de logiciels non autorisés et potentiellement destructeurs. a déclaré Tom Murphy, directeur de la stratégie, Bit9

cartographie du web malveillant

Les petits pays de l’est Africain sont en première place cette année avec 36,7 % des sites présentant un risque de sécurité élevé. Parce que le domaine Caméronien .Cm est souvent une faute de frappe pour. Com, les pirates utilise ce domaine avec le typo-squatting pour infecter les Visiteurs.

Le domaine générique .COM n’échappe pas aux cybercriminel, selon McAfee, les .Com ont sauté de la 9ème position en 2008 à la 2ème en 2009 avec 32,2 % de sites potentiellement dangereux.

Top 10 des Domaines malveillants

Le domaine Roumain (. Ro) est référencé comme étant le plus risqué dans la catégorie des téléchargements malveillants, avec 21 % des sites fournissant des virus, spywares et adwares. Le domaine d’information (. Info) est considéré comme le plus «spammy», avec 17,2 % de sites utilisés pour l’envoi de spam.

Le domaine gouvernemental (. Gov) est le plus sûrs des domaines génériques avec un risque de 0 %, suivie du Japan (. Jp) qui est le plus sûr des domaines par pays avec un indice de 0,1 % seulement.

Top 10 des Domaines sûre

Mike Gallagher, directeur de la technologie pour les laboratoires de McAfee, a déclaré.

« Ce rapport met en évidence la rapidité des cybercriminels à s’adapter, avec des nouvelles tactiques , pour attirer les victimes et éviter d’être attrapé. L’année dernière, le domaine .HK de Hong Kong était le plus risqué et cette année il est considérablement plus sûr suite aux actions de restrictions et de vérifications pour la réservation de ce nom de domaine… »

…Les cybercriminels ciblent des régions où l’enregistrement des sites est peu coûteuse, et ou le risque d’être pris est minime.

Dans l’ensemble, sur les 27 millions sites Web et les 104 top-level domaine, McAfee a découvert 1,5 millions de sites à risque, soit 5,8 % contre 4,1 % pour les deux dernières années.

Téléchargez le Rapport complet:  Mapping the Mal Web

Video

Defcon 17 : Cérémonie de remise des prix
Interview Hamiel Nathan et Shawn Moyer sur le piratage du Web 2.0
Clavier Apple avec un firmware malveillant peut contrôler n’importe quel ordinateur
vidéo de KreiosC2
Pirater le iPhone

Présentations :

Tactique de prise d’empreintes en utilisant Foca
CSRF – Oui, elle fonctionne encore
Creation du 2 eme trojan_sql_injection_sur oracle
[Update]Advanced Mac OS X Rootkits

Outils

[Update]Advanced Mac OS X Rootkits
Installation avancée de Rootkit sous Mac OS x

dnsTTrap
Découvrir les tunnels DNS dans les réseaux .

ucsniff
UCSniff est un nouvel outil d’audit de sécurité des réseaux VoIP & IP Video qui s’appuie sur des logiciels libres existant pour apporter plusieurs fonctions utiles dont l’enregistrement des conversations vocales et … .

ippon
Cet outil exploite la procédure de mise à jour non sécurisée de millier de logiciel , ce qui expose la mise à jour à l’exécution de code malveillant ou à la manipulation de données d’application tels que les signatures anti-virus.

Defcon_Oracle_The_Making_of_the_2nd_sql_injection_worm
Créer un Trojan en utilisant les injections SQL dans oracle.

Foca Online
extrait les informations dans les metadata dans les documents Office ,Pdf et autres .

maltego-firefox
Ce nouveau plugin Firefox vous permet d’extraire facilement des données de pages Web

KreiosC2
KreiosC2 est un P-O-C d’un bot qui utilise Twitter comme sa chaîne de commande et de contrôle

Blog

Black Hat USA 2009 Media Archives

Cet articles sera mis a jours continuellement si vous avez des infos n’hésiter pas … .

Il ya plusieurs facteurs qui nous laissent prédire que les spam vont légèrement augmenter en 2009, cependant, il est également important de noter que le niveau de courriel légitime est également en augmentation chaque année.

Parmi les facteurs qui peuvent provoquer une augmentation du spam dans les mois à venir est l’émergence de spam provenant de pays qui ne sont pas connu jusque la pour l’envoi de spam. Par exemple, Barracuda Central’s top 10 des spam par pays liste le Brésil (6,77%) et la Turquie (4,24%) dans la deuxième et cinquième places respectivement.et prennent ainsi la place des « suspects habituels » la Chine (3,38%) et la Russie (5,66%). “

Nous pensons que cela est dû en partie à la fois a l’accessibilité du haut débit résidentiel et à la prolifération des centres de données dans différents pays à travers le monde. Comme la disponibilité du haut débit augmente, la portée et le contrôle des botnet se développent également. Les Centres de données non sécurisée servent le piratage et l’hébergement de contenu malveillant. a affirmé Stephen Pao, Vice Président de la gestion des produits à Barracuda Networks.

L’Analyse des données a montrée que les techniques de dissimulation d’identité ont été utilisées dans la grande majorité des campagnes de spam envoyé en 2008. Le Piratage des sites Web, le recours à des fournisseurs d’hébergement gratuit ont été toutes des techniques qui ont joué un rôle majeur dans la dissimulation de l’identité des spammeurs en 2008.

Nous croyons que la combinaison de l’ingénierie sociale et les techniques de dissimulation d’identité vont fusionner, ce qui rend encore plus indispensable l’utilisation prudente lors de l’accès aux applications ou lors de fournir des informations personnelles via des URL fournies dans les e-mails, a ajouté Pao

Barracuda Networks rappelle aux utilisateurs de s’abstenir de cliquer sur les liens dans les e-mails inconnue ou suspect, et de copier et de coller le lien dans leur navigateur Web ou visitez le site directement.

Malgré les efforts des consultants en sécurité, les fournisseurs, les chercheurs, l’industrie et les organismes de réglementation gouvernementaux, Les risques pour les informations personnels et commerciaux continueront à augmenter en 2009

L’expansion continue de la productivité liée à la stratégie de l’entreprise, y compris la sous-traitance, la mobilité et le Cloud-compuiting, avec la maturation de la cybercriminalité, mettrons au défi les protections de sécurité tout au long de 2009.

Sur les 600 professionnels IT interrogés par les chercheurs, environ 50 % ont indiqué que la sous-traitance pose un «risque imminent et critique» sur la sécurité des données. Les terminaux à distance basée sur des infrastructures informatique, la consommation de plus en plus grande des technologies Web 2.0 et outils de création de réseaux sociaux aura également un effet dévastateur sur les règles générale en matière de sécurité au cours des 12 prochains mois.

75 % des participants à l’enquête disent que La cybercriminalité, sous ses nombreuses formes, reste un « risque majeur » aux organismes essayant de protéger leurs données électroniques .Le rapport a été parrainé par Lumension, un fournisseur spécialisé dans les applications de sécurité visant à aider les organismes à rester à jour avec des logiciel de patches et des correctifs de vulnérabilité.
L’étude isolats huit « méga-tendances »,

• Cloud computing (« l’informatique via Internet ou répartis »)
• la virtualisation
• la mobilité et des dispositifs mobiles
• la cybercriminalité
• la sous-traitance à des tiers
• les violations de données
• peer-to-peer (P2P) partage de fichiers
• Web 2.0

Qui n’est pas loin des TOP 10 des technologies de l’année 2009.

Alors que la moitié des experts en sécurité IT interrogés ont cité la sous-traitance comme l’un des principaux risques pour la sécurité des données, un nombre encore plus élevé (59 %) des travailleurs opérationnels voient la stratégie d’entreprise plus préoccupante. Les deux groupes de référence relèvent l’incapacité des partenaires commerciaux tiers à protéger suffisamment les données .92 % des organismes participant à l’étude ont indiqué qu’ils ont subi une attaque de nature informatique au cours de la dernière année.

La mobilité reste clairement un autre centre de préoccupation pour les incidents liés aux données. Les consultants en sécurité des IT et les opérateurs IT (respectivement 96 % et 91 %) ont convenu que l’adoption de plus en plus d’ordinateurs portables et d’appareils de poche représentera, au cours de 2009, des niveaux de risque plus élevés liées aux données. Un des problèmes majeurs des utilisateurs mobiles c’est l’incapacité des organismes de bien filtrer, identifier et authentifier les personnes accédant à leurs réseaux de l’extérieur.

L’adoption d’autres technologies plus récentes, à la fois axé sur les affaires et les consommateurs, ouvrira d’autres « pistes »aux cyber-voleurs pour voler des secrets et des renseignements commerciaux confidentiels, de ces nouvelles technologies, le Cloud computing est classé en tête des préoccupations comme problème de sécurité majeur pour 61 % des participants.

Étant donné l’ampleur et le dégrée des violations de la sécurité dans le monde cette année – qui ont tous eu des effets négatifs sur les organismes et les consommateurs – les consultant de sécurité IT et les professionnels ont une tâche de plus en plus critique, pour protéger les données sensibles des organisations

Ce qu’est devenu évident dans la conduite de cette recherche, est que, alors que ces menaces ne feront que s’accroître au fil du temps, l’écart entre ces groupes distincts commence a ce rapprochée

C’est un grand pas en avant dans la bataille de la sécurité des données – plus la collaboration entre les consultant de sécurité des IT et des professionnels sera fructueuse, plus ils seront en mesure de protéger ce que leur entreprise à de plus précieux: les données d’entreprise sensibles et les secrets commerciaux.Pat Clawson, PDG de Lumension

C’est dommage qu’on n’est pas de recherches dédiées aux marché marocain, même si on est assez en retard, la cybercriminalité ne tardera pas a gagner du terrain, si ce n est pas déjà fait.
Dans tout les cas L’anticipation n’a jamais été notre point fort au Maroc.

DANS LE TOP 10

1. La virtualisation.
2. Cloud computing (« l’informatique via Internet ou répartis »)
3. Serveurs avenir, qui remplacera les serveurs lame
4. Web-oriented architecture
5. Les applications d’entreprise mixte  (composite ou mashups)
6. Les systèmes spécialisés.
7. Les réseaux sociaux et leurs logiciels.
8. Communications unifiées
9. informatique décisionnelle (BI).
10. Technologie environnementale « Verte ».

Si vous pensez a une carrière ou a en changer voici les tendances des 5 prochaine années .