EvalSMSI, OS fingerprinting en 3D, OpenEBIOS

Posté par . Modéré par Bruno Michel.
9
30
déc.
2010
Sécurité
Mise à jour d'EvalSMSI

EvalSMSI est une application web, sous licence GPL, développée en PHP/MySQL, permettant de réaliser l'évaluation d'un Système de Management de la Sécurité de l'Information (SMSI).

La version 2.3.1 d'EvalSMSI vient d'être publiée. Elle comprend de nombreuses améliorations et correction de bugs. Elle est disponible sous la forme d'un fichier tar.gz ou dans une machine virtuelle Virtualbox 4.0.

S'appuyant sur la méthodologie proposée par les normes de la famille ISO 2700x, cet outil a pour objectif de faciliter les opérations d’audit interne et de suivi des actions liées au management de la sécurité de l’information dans un organisme ou dans un groupement d'organismes.

J'en profite pour remercier les nombreux contributeurs qui m'ont apporté leur soutien, leurs critiques et autres patchs correctifs.


OS fingerprinting en 3D

Inspiré de l'article « Strange Attractors and TCP/IP Sequence Number Analysis » (Michal Zalewski, 2001), GraphicalOSfp est une application développée en python et qui a pour objectifs :
  • De collecter les données aléatoires issues de connexions TCP sur des systèmes distants: l'Initial Sequence Number et l'IP ID ;
  • De sauvegarder ces données dans un fichier ;
  • De traiter ces données et d'afficher l'attracteur propre à ces données aléatoires dans un environnement 3D.


L'image obtenue offre plusieurs possibilités allant de l'identification d'un OS distant à l'analyse des algorithmes de moteurs aléatoires. L'outil utilise Scapy pour l'envoi et la réception des trames réseau et la bibliothèque openGL de python pour l'affichage 3D.

NdM : GraphicalOSfp est distribué sous la licence GNU GPLv3.


Publication de la version bêta d'OpenEBIOS


Application Web, développée en PHP, OpenEBIOS a pour objectif de faciliter la démarche d'analyse des risques pour un système d'information.

S'appuyant sur la méthode d'Expression des Besoins et Identification des Objectifs de Sécurité (EBIOS) dans sa version 2010, publiée par l'ANSSI en avril dernier, cet outil devrait permettre à terme pour une entité :
  • De gérer le dossier de sécurité de ses systèmes d'information durant leur cycle de vie ;
  • De mettre en œuvre le workflow d'analyse et de validation des risques liés à l'utilisation des ses SI ;
  • D'éditer les documents issus de cette analyse et notamment les Fiches d'Expression Rationnelle des Objectifs de Sécurité (FEROS).

L'outil est actuellement en version bêta mais les premières étapes de l'analyse des risques y sont fonctionnelles. L'exemple fourni dans le guide EBIOS de l'ANSSI y est implémenté afin de garantir la cohérence avec la méthode.

Enfin, la version en cours est implémentée dans la machine virtuelle (Virtualbox 4.0) fournie avec le logiciel EvalSMSI.
  • # Exemple concret d'utilisation ?

    Posté par . Évalué à 10.

    pour le moment seul mon DSI pourrait comprendre le sujet (il est ceinture noire langue de bois).
    • [^] # Re: Exemple concret d'utilisation ?

      Posté par . Évalué à -10.

      quand on ne sait pas, on se tait.

      merci à l'auteur des logiciels, ça va vraiment me rendre service...
      • [^] # Re: Exemple concret d'utilisation ?

        Posté par . Évalué à 10.

        Marrant, ma philosophie à moi c'est plutôt "quand on ne sait pas (et qu'on est intéressé) on pose des questions."
        • [^] # Re: Exemple concret d'utilisation ?

          Posté par . Évalué à 0.

          Assimiler les démarches SMSI et EBIOS à de la langue de bois, ça m'énerve et ça montre que la personne qui écrit ça considère que ce qu'elle ne connaît pas est forcément du pipeau. Donc elle ferait mieux de se taire.
      • [^] # Re: Exemple concret d'utilisation ?

        Posté par . Évalué à 4.

        Qu'est-ce qui va te servir exactement ?

        evalSMSI est apparemment essentiellement un générateur de questionnaire et de rapport, ce qui existe déjà par ailleurs. Du coup, je me pose des questions sur la pertinence de distribuer ça sous forme d'application web, même en considérant que c'est également distribué sous la forme d'une VM VirtualBox. Comme il y a pas beaucoup de gens qui utilise VirtualBox en serveur de virtualisation mais plutôt pour de la virtualisation desktop, ça revient une application (très) lourde. Sinon, il y a pas de documentation ni de site et le README consiste essentiellement à dire "il faut refaire entièrement le questionnaire, y répondre, et ça génère un rapport".

        GraphicalOsfp, j'espère que t'attendais pas ça pour déterminer si les OS de ton SI sont toujours sensibles à la prédiction. Surtout que, à ma connaissance, ça fait 5 ans que NMAP utilise les algo décrit par Zalewski comme critère supplémentaire quand il tente de deviner un OS (cf. http://nmap.org/book/osdetect-methods.html#osdetect-gcd ). Alors qu'avec GraphicalOsfp, après avoir parcouru le code rapidement, il y a aucune analyse (malgré ce que dit l'aide), à toi de deviner à quoi correspond l'attracteur généré.

        Pour openEBIOS, je ne me prononce pas vu que je ne m'y intéresse pas (ni au débat EBIOS vs MEHARI). Surtout que maintenant on a ISO 27005, j'aurai tendance à me tourner vers un outil qui l'implémente. Mais bon, félicitation tout de même d'être le premier outil à ma connaissance à implémenter la dernière version d'EBIOS.

        Sinon, rien à voir mais, avant de packager, quand on bosse sous Mac, on devrait penser à nettoyer tous les doublons . qui traînent.
        • [^] # Re: Exemple concret d'utilisation ?

          Posté par (page perso) . Évalué à 2.

          Moi je préfère une application très lourde qui marche sans configuration, vu qu'on a quand même le choix d'un tar.gz pour les geeks.

          ⚓ À g'Auch TOUTE! http://agauch.online.fr

        • [^] # Re: Exemple concret d'utilisation ?

          Posté par (page perso) . Évalué à 3.

          evalSMSI (...)consiste essentiellement à dire "il faut refaire entièrement le questionnaire, y répondre, et ça génère un rapport".

          Effectivement, et quand on lit le fichier d'avertissement disant qu'il faut avoir acheté la norme 27001 pour avoir le droit d'utiliser la base proposée (sauf erreur en consultant le site de l'ISO il faut prévoir dans les 130 francs suisses) je trouve que l'intérêt en pâtit un peu plus.

          Et sinon, la capture d'écran sur SourceForge montre en fond un blason avec un sphinx et deux clés, qui est le logo de l'ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l'Information - http://www.arcsi.fr/). Outre la thématique évidente, y a t-il un rapport ? Je n'ai pas vu de mention de l'association dans les fichiers.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.