NBS System ouvre un challenge de sécurité autour de CerberHost, son Cloud de Haute Sécurité Ce concours est ouvert à tous : experts en sécurité, pentesteur, hacker de génie ou occasionnel, érudit en informatique et curieux de la sécurité – avec à la clé, des lots allant jusqu’à 5000 € ! NBS SYSTEM, société française fondée en 1999 et spécialisée d’une part dans l’hébergement et l’infogérance de serveurs et la sécurité informatique d’autre part, annonce l’ouverture d’un challenge de sécurité atour de CerberHost, son Cloud de Haute Sécurité lancée en octobre dernier. Ce challenge démarre le lundi 25 mars 2013 et s’achèvera le 21/06/2013. A la clé, jusqu’à 5000 € pour la première personne qui arrivera à pénétrer dans l’environnement de CerberHost (détails complets du concours plus bas).
A l’occasion de ce challenge, Philippe Humeau, CEO de NBS System déclare à Data Security Breach : « Nous ne voulons pas proposer une Cloud sécurisé « sur le papier », qui repose sur de la méthode Coué et un Powerpoint affirmant que « c’est sécurisé ». Après un investissement de R&D considérable, nous pensons que NBS System propose, au travers de CerberHost, l’offre d’hébergement la plus sécurisée à ce jour, et nous souhaitons le démontrer. Ce challenge vise donc à étrenner encore un peu plus nos systèmes déjà solidement testés. »
Qu’est ce que CerberHost ? CerberHost est le fruit de deux années de R&D et de plus de 10 ans d’expérience sur le marché de la sécurité informatique et notamment en matière de tests d’intrusion. Avec plus de 16 méthodes ou systèmes de protections différents, CerberHost a été conçue pour garantir une sécurité informatique proche des 99.9% aux sites Internet LAMP et bientôt Java. Cette particularité permet de rendre tous les sites LAMP pratiquement invulnérables aux attaques informatiques. Elle propose une infrastructure capable de résister aux attaques informatiques et résiliente aux pannes en assurant la sécurité physique, la logique et la redondance. Après des milliers d’attaques bloquées qui ont été lancées contre le site de Charlie Hebdo, protégé par CerberHost depuis septembre 2011, après un test d’intrusion menée par la société HSC sur une Damn Vulnerable Web Application, CerberHost reste inviolé à ce jour.
Mais, rien n’est impossible cependant et NBS System ne souhaite qu’une chose : aller plus loin.
Détails du CerberHost Spring Challenge (CSC)
Contenu du site à tester Le concours consiste à réussir une intrusion sur une plateforme d’entrainement pour les tests d’intrusions de type « Damn Vulnerable Web Application ». Ce logiciel est volontairement « troué » pour permettre de tester des outils, des candidats ou des méthodes d’intrusions et il contiendra de nombreuses failles de différents types. Le code source de ce site de test sera mis à disposition des participants qui pourront l’auditer en local, sur leurs machines. Celui en production sur le serveur de tests sera exactement le même. Paramétrage de la Sécurité de l’instance Toutes les couches de sécurité de CerberHost seront actives à l’exception du firewall à bannissement progressif. En effet CerberHost utilise un système de réputation d’IP qui bannie de manière progressive en dureté et dans le temps, le filtrage appliqué à une IP qui violent des règles de sécurité. Dans le contexte du concours, les IP enregistrées seront « whitelistées » et ne seront pas bannis comme le ferait normalement le système. Pour avoir un ordre d’idée, quand une IP scanne des ports, elle a un comportement anormal vis à vis de la plateforme hébergée et cette IP est progressivement bannie de plus en plus durement (en terme de durée notamment, mais aussi de range d’IP ou de type de réponse, reject, drop, tarpit, etc.) Au final, un tel dispositif à lui seul ralentirait considérablement des experts dans leur travail et ne présente pas spécifiquement d’intérêt dans le cadre de ce concours. Le DVWA sera paramétré en sécurité la plus basse (toutes les failles seront actives/ouvertes). Pour le reste, l’instance CerberHost utilisée sera tout à fait standard, mais la méthodologie sera un peu moins « stricte » que celle dont les clients de NBS System disposent. Lors d’une mise en production « normale » d’un client CerberHost, NBS System effectue un audit rapide et met en place certaines règles spécifiques en plus des protections standards. Ici, le processus sera le même mais rien ne sera spécifiquement dédié à ce site, pas plus de protection ou de dispositifs particuliers, c’est même l’inverse car NBS System souhaite ouvrir le challenge et se mettre « dans la pire des situations possibles », avec un site troué et des défenses amoindries.
Durée du jeu
Le jeu se déroulera du 25/03/13 au 21/06/2013. En cas de victoire ou de victoire partielle d’un participant (voir définition ci-dessous), le jeu s’arrêtera lorsque la preuve de la victoire aura été apportée et validée par le Jury.
Jury
Le jury est constitué de : • Maître Diane Mullenex (associée du cabinet Ichay & Mullenex) • Nicolas Ruff (chercheur au sein de la société EADS) • Philippe Humeau (Directeur Général de la société NBS System) Le Jury validera les potentielles victoires des candidats.
Objectifs
Victoire Une victoire sera attribuée au 1er participant ayant :
• Soit obtenu une invite de commande (« shell ») (non root) sur une des machines intermédiaires : Firewall, Reverse Proxy.
• Soit créé un fichier dans le compte root de la machine hébergeant le site, nommé avec son ID et contenant son email de contact et l’adresse IP depuis laquelle l’intrusion sur le site a été réalisée. Ces conditions sont indépendantes : en remplir une est suffisant pour obtenir une Victoire. Une Victoire est unique et arrête le Jeu.
Victoire partielle Si une faille était trouvée sur le site, qui ne constituerait pas une Victoire mais permettrait : • Soit de récupérer le contenu de la table « SECRET » qui est stockée dans la même base de données, sur la même instance de MySQL, que les autres données du site. La récupération devra être réalisée via l’exploitation d’une des injections SQL présente dans le site,
• Soit d’arriver à exécuter du code PHP (via les vulnérabilités de file inclusion ou file upload présentes sur le site). Exemple : exécution d’un fichier PHP contenant un appel à ‘phpinfo’ et un ‘sleep’,
• Soit d’arriver à réaliser un cross site scripting (ie. affichage du cookie dans un popup javascript), en exploitant une des vulnérabilités de cross-site scripting présentes sur le site,
• Soit d’arriver à obtenir un « shell » non privilégié (non root) persistant sur la machine (via l’exploitation d’une vulnérabilité dans un démon tiers ou dans PHP)
Alors une Victoire Partielle serait accordée. Ces cinq conditions sont indépendantes. En remplir une est suffisant pour obtenir une Victoire Partielle. Une seule Victoire Partielle sera accordée par méthode d’attaque utilisée validant l’une des 5 conditions. Donc un participant utilisant la même méthode que celle d’une Victoire Partielle déjà effectuée (même si elle est encore en cours de validation par le jury), ne pourrait se prévaloir d’une Victoire Partielle.
Une Victoire Partielle n’arrête pas le Jeu. Les Victoires Partielles sont publiées dans un délai de 72 heures à compter de leur validation par le Jury.
Effort méritoire Si une faille était trouvée, qui ne constituerait ni une Victoire, ni une Victoire Partielle mais permettrait :
• de compromettre des données ou de changer la page d’accueil du Site (defacing),
• d’arriver à écrire dans le répertoire /challenge_ME, présent à la racine de la machine, dont le propriétaire sera l’utilisateur faisant tourner le démon Apache sur la machine.
Afin d’authentifier son Effort Méritoire, la personne devra écrire dans un fichier nommé avec son ID, son email de contact et l’adresse IP depuis laquelle l’intrusion a été réalisée. Alors un Effort Méritoire serait accordé.
Ces deux conditions sont indépendantes. En remplir une est suffisant pour obtenir un Effort Méritoire. Un seul Effort Méritoire sera accordé par méthode d’attaque utilisée validant l’une des 2 conditions. Donc un participant utilisant la même méthode que celle d’un Effort Méritoire déjà effectuée (même si elle est encore en cours de validation par le jury), ne pourrait se prévaloir d’un Effort Méritoire.
Un Effort Méritoire n’arrête pas le jeu. Les Efforts Méritoires sont publiés dans un délai de 72 heures à compter de leur validation par le Jury. Validité de la victoire, victoire partielle ou de l’effort méritoire. Ne seront considérés comme valides que des victoires, victoires partielles ou efforts méritoires qui seront effectués par des personnes enregistrées dans le concours avec le formulaire disponible et possédant leur ID. L’attaque ayant menée à la compromission devra être expliquée et reproductible. Le potentiel code source de l’attaque n’aura pas à être divulgué cependant.
Lots A une victoire serait attribué :
• un prix de 5000 €
• un article sur le blog de la société NBS (ou celui de CerberHost) pour échanger avec l’expert
• Une autorisation de la société à communiquer sous seing privé sur cette réalisation (par exemple sur un CV) La faille utilisée peut être expliquée sans être totalement révélée « techniquement »
A une victoire partielle :
• un prix de 500 €
• un article sur le blog de la société NBS (ou celui de CerberHost) pour échanger avec l’expert
• Une autorisation de la société à communiquer sous seing privé sur cette réalisation (par exemple sur un CV) La faille utilisée devra être révélée complètement.
A un effort méritoire :
• Un article sur le blog de la société NBS (ou celui de CerberHost) pour échanger avec l’expert derrière l’exploit. La faille utilisée devra être révélée complètement. Limites & méthodes autorisées
Les DOS & DDOS n’ont pas leur place dans ces tests. NBS System cherche à évaluer la robustesse des barrières mises en place, pas à tester la capacité du réseau à absorber ou contrer des DDOS. Un autre test sera mené ultérieurement en ce sens avec plusieurs dizaines de Gb/s de trafic généré. Les CSRF et bruteforce applicatifs ne constituent pas non plus une possibilité de victoire ou d’effort méritoire. En effet, les CSRF impliquent un tiers et ne reposent donc pas seulement sur la plateforme NBS System et ses dispositifs de sécurité et ils ne sauraient garantir la sécurité des tiers. De même, les bruteforce applicatifs n’ont pas d’intérêt puisque les candidats disposeront du mot de passe pour accéder au DVWA. Les autres méthodes de compromission, techniques d’attaques (donc non physiques et non sociales), comme par exemple les overflow, XSS, SQLi, etc. sont toutes acceptées. NBS System ne souhaite pas de menaces physiques sur son personnel, pas plus que de méthodes sociales qui déborderaient sur les vies privées de ses employés, d’où les limites posées. La seule machine qui peut être visée est celle hébergeant la DVWA, qui répond au FQDN suivant : challenge.cerberhost.com et à l’IP associée. Toute autre machine /IP / serveur / service est en dehors de la zone de test, sauf s’il s’agit d’une machine protégeant la machine challenge.cerberhost.com (son Firewall ou son Reverse Proxy). Aucune autre machine / service / IP du réseau NBS System ou de ses clients ne peut et ne devra être ciblée, sous peine de poursuites.
Identification & inscription des participants
Les participants peuvent être anonymes durant le concours, mais ils doivent fournir une adresse IP qui sera enregistrée dans le firewall de NBS System pour « alléger » les mesures de bannissement progressif. Le vainqueur devra lui être identifié avec nom & prénom pour recevoir son prix, cependant, son nom ne sera pas révélé s’il ne le souhaite pas. Ils doivent aussi fournir une adresse email valide qui servira aux échanges entre les équipes. Ces données sont privées et ne seront pas révélées, ci-dessous le formulaire d’inscription : Règlement complet et exact du concours.
