Veille Technologique Sécurité

Transcription

Veille Technologique Sécurité
Rapport Mensuel N°149
DECEMBRE 2010
Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et
publiquement accessibles: listes de diffusion, newsgroups, sites Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la
précision ou de la qualité de l'information. Les URL associées à certains thèmes sont validées à la date de la rédaction du
document.
Dans ce numéro:
Les bonnes pratiques pour la gestion d’incidents par l’ENISA
Le NIST et la gestion du risque en entreprise
Infogérance et risques de sécurité par l’ANSSI
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.
CONNECTING BUSINESS & TECHNOLOGY
CERT-DEVOTEAM
1, rue GALVANI
91300 Massy Palaiseau
Pour tous renseignements:
Offre de veille http://www.cert-devoteam.com/
Informations
[email protected]
©CERT-DEVOTEAM - Tous droits reserves
DECEMBRE 2010
Au sommaire de ce rapport…
ACTUALITES SECURITE
EU – LAUREATS DES BOURSES ERC
2
ANALYSES ET COMMENTAIRES
ETUDES
LT – SONDES SANS FILS AUTOALIMENTEES
3
LOGICIELS
NIRSOFT - BULLETSPASSVIEW
4
METHODOLOGIES ET STANDARDS
MÉTHODES
NIST - SP800-39 'INTEGRATED ENTERPRISE-WIDE RISK MANAGEMENT’
NIST - SP800-137 'INFORMATION SECURITY CONTINUOUS MONITORING FOR FIS AND ORGANIZATIONS’
NIST – IR-7693 ‘ASSET IDENTIFICATION’ ET IR-7694 ‘ASSET REPORTING FORMAT’
NIST - SP800-51R1 'GUIDE TO USING VULNERABILITY NAMING SCHEMES’
SEI - BEST PRACTICES FOR NATIONAL CYBER SECURITY
5
6
7
9
9
RECOMMANDATIONS
ANSSI – CERTIFICATION CSPN DU COFFRE-FORT ELECTRONIQUE D3S
ANSSI – CATALOGUE DES PRODUITS QUALIFIES – MISE A JOUR
ANSSI – EXTERNALISATION ET SECURITE DES SYSTEMES D’INFORMATION : UN GUIDE POUR MAITRISER LES RISQUES
ENISA – BONNES PRATIQUES POUR LA GESTION DES INCIDENTS
11
11
12
13
TABLEAUX DE SYNTHESE
CONFERENCES
OWASP APPSEC 2010 – DC USA
ACSAC 2010
COMPUTER SECURITY CONGRESS 2010
AVAR 2010
KIWICON 4
RUXCON 2010
EKOPARTY 2010
16
17
18
18
19
19
20
GUIDES
NIST – ETAT DES GUIDES DE LA SERIE SPECIALE 800
DISA – GUIDES ET CHECK LISTES DE SECURISATION
CIS - CATALOGUE DE PROCEDURES ET DE TESTS
20
23
24
INTERNET
LES DECISIONS DE L’OMPI
26
STANDARDS
IETF – LES RFC TRAITANT DIRECTEMENT DE LA SECURITE
IETF – LES RFC LIES A LA SECURITE
IETF – LES NOUVEAUX DRAFTS TRAITANT DE LA SECURITE
IETF – LES MISES A JOUR DE DRAFTS TRAITANT DE LA SECURITE
Veille Technologique Sécurité N°149
© CERT-DEVOTEAM - Tous droits réservés
27
27
27
27
Page i
Diffusion restreinte aux clients abonnés au service de veille technologique
DECEMBRE 2010
Le mot du rédacteur
Ce dernier mois de l’année aura été marqué par divers événements dont
l’annonce d’une possible manipulation par le FBI au début des années
2000 de la pile réseau et de la couche IPSec en particulier du système
OpenBSD. Une annonce qui n’a rien d’extraordinaire, si ce n’est peut être
qu’elle touche un système dont les sources sont publiquement disponibles,
nombre de systèmes ayant déjà par le passé été soupçonnés d’avoir été
instrumentés par certains services d’état, et ce en particulier depuis la
libéralisation de l’usage de la cryptographie.
http://kerneltrap.org/mailarchive/openbsd-tech/2010/12/14/6887148
Un audit commandité en urgence n’a, semble-t-il, pas permis de confirmer
les assertions de l’auteur de l’annonce. Si l’on se souvient qu’il aura fallu
cinq ans de travail à une équipe de cinq chercheurs pour prouver
formellement l’absence de toute erreur dans les 7500 lignes du code de
seL4, un micro noyau, on est en droit de se poser la question de la
viabilité d’un tel audit. Un doute renforcé par la lecture de l’analyse de la
situation par l’un des membres de l’équipe en charge de l’intégration de la
pile IPSec dans OpenBSD.
http://mickey.lucifier.net/b4ckd00r.html
Le CERT-DEVOTEAM et moi-même souhaitons à
tous nos lecteurs une excellente année 2011,
BERTRAND VELLE
Page 1
DECEMBRE 2010
ACTUALITES SECURITE
EU – LAUREATS DES BOURSES ERC
Le Conseil Européen de la Recherche – CER - octroie chaque année d'importantes bourses de
recherche à des scientifiques en début de carrière ou bien expérimentés et reconnus dans leur
domaine.
Onze projets liés à la sécurité des systèmes d’information proposés par de jeunes chercheurs ont ainsi été
retenus cette année dans la catégorie ‘Science de l’Information’.
Thème
DPMP Dependable Performance on Many-Thread Processors
Simplifying Dev. & Dep. of High-Performance Reliable Distributed Systems
GEQIT Generalized (quantum) information theory
MinINexact Exact Mining from In-Exact Data
MCUNLEASH Model Checking Unleashed
A Framework for Collaboratively Building Cryptographically Secure Programs
ProSecure Provably secure systems: foundations, design, modularity
CaC Cryptography and Complexity
Towards Reverse Engineering of Complex Software
VerCors Verification of Concurrent Data Structures
PSPC Provable Security for Physical Cryptography
Nominé
L.Eckhout
D.Kostic
R.Renner
M.Vlachos
M.Lange
K.Bhargavan
V.Cortier
Y.Ishai
H.Bos
M.Huisman
K.Pietrzak
BE
CH
CH
CH
DE
FR
FR
IL
NL
NL
NL
Laboratoire
Uni. Gent
EPFL
ETH Zürich
IBM Research
Uni. Kassel
INRIA
CNRS
Israel Inst. Tech.
Christelijk Hoger
Uni. Twente
Cent. Wiskunde
Deux lauréats ont choisi de mener leur recherche en partenariat avec un laboratoire français, l’INRIA
dans le cas du projet CRYSP proposé par Karthik Bhargavan chercheur chez Microsoft Research sur le
thème de la prouvabilité formelle de la sécurité d’une application, le CNRS dans le cas du projet
ProSecure proposé par Véronique Cortier dans le domaine de la sécurisation des protocoles d’échange.
Le projet CRYSP conduira à la création d’une équipe de recherche constituée à terme de deux chercheurs
confirmés, de quatre doctorants et de plusieurs stagiaires.
POUR PLUS D’INFORMATION
http://www.inria.fr/centres-de-recherche-inria/paris-rocquencourt/actualites
http://erc.europa.eu/pdf/ERC_Press_release_StG2010_results.pdf
http://erc.europa.eu/pdf/ERC_StG2010Results_PE.PDF
Page 2
DECEMBRE 2010
ANALYSES ET COMMENTAIRES
ETUDES
LT – SONDES SANS FILS AUTOALIMENTEES
Un numéro spécial du journal de la société Linear Technologie (LT) est consacré aux
convertisseurs d’énergie à très faible tension d’entrée, dispositifs appelés UltraLow
Voltage Energy Harvester ou ‘moissonneurs d’énergie à très faible tension’. Cette
société est spécialisée dans la fourniture de composants analogiques à destination des
marchés des systèmes portables et sans fils.
Elle propose deux familles des générateurs d’alimentation destinés à rendre totalement autonomes des
équipements sans-fil à très faible consommation, typiquement des sondes de mesure. Sous réserve de
transmettre périodiquement et non en continu leurs données, les besoins en énergie de ces équipements
peuvent être satisfaits par une batterie qui sera rechargée en permanence à partir de sources d’énergie
disponibles autour de l’équipement.
Les sources d’énergie actuellement exploitées par les convertisseurs LT sont deux types:
- Thermique avec l’extraction de l’énergie fournie par la différence de température entre deux milieux.
Des générateurs dits Thermoélectriques (ou TEG) utilisent ainsi la différence de température entre les
deux faces d’un capteur pour générer une tension proportionnelle à cette différence de température. Un
phénomène réversible connu sous le nom d’effet ‘Peltier’ qui par application d’une tension électrique
entre les deux faces du capteur provoquera le refroidissement de l’une des faces et l’échauffement de
l‘autre. Cet effet est utilisé pour refroidir certains composants dans des espaces restreints. Dans le cas
présent, les convertisseurs de la famille LTC310x sont capables d’exploiter une tension aussi faible que
20mV (0.02V) pour maintenir en charge une capacité tampon et fournir une tension de sortie allant de
2V à 5V, soit une élévation de tension de plus de deux ordres de grandeur. Cette tension d’entrée
pourra être obtenue en maintenant une différence de température de 1°C entre les deux faces du
capteur. Il est ainsi possible d’envisager de fournir des équipements de mesure et de transmission de
données alimentés par la seule chaleur du corps humain, ou de n’importe quel équipement générant de
la chaleur. Attention toutefois, une source froide est nécessaire - surface à l’air libre par exemple – pour
maintenir la différence de température, et donc l’énergie potentielle, nécessaire à la génération
d’énergie.
- Mécanique avec l’extraction de l’énergie fournie par les changements d’accélération d’un corps. La
conversion d’énergie est ici assurée par l’effet dit ‘piézoélectrique’ lequel conduit à la création d’un
potentiel électrique entre deux faces d’un solide cristallin soumis à une déformation mécanique.
Sonde Sans Fil alimentée par les vibrations d’un moteur
L’énergie ainsi délivrée – de 2 à 12 mW (0.012W) est utilisée par le convertisseur LTC3588 pour
maintenir une capacité et fournir une tension de
sortie allant ici encore de 2V à 5V. Les sources
mécaniques utilisables sont nombreuses dont en
particulier toute système mécanique produisant des
vibrations.
Ces sources d’énergie permettent d’alimenter un
équipement consommant jusqu’à 250mW avec
cependant un cycle de mise sous tension de 1%, une
transmission de données de 10ms toutes les secondes par exemple.
Un mode de fonctionnement digne de la meilleure science-fiction il y a encore une quinzaine d’années qui
peut, par certains aspects, amener à se poser des questions notamment sur la protection de la vie privée.
Pour ce qui concerne la sécurité des transmissions, de nombreux projets d’étude portent sur la conception
d’un algorithme de chiffrement robuste, ultra-rapide tout en étant peu consommateur d’énergie, autant
d’exigences contradictoires qu’il sera difficile de surmonter.
http://www.linear.com/pc/viewCategory.jsp?navId=H0,C1,C1003,C1799
http://www.mide.com/products/volture/volture_catalog.php
Page 3
DECEMBRE 2010
LOGICIELS
NIRSOFT - BULLETSPASSVIEW
En environnement Windows, les fenêtres d’édition peuvent être configurées pour ne pas
afficher les caractères saisis au clavier en remplaçant ceux-ci par un astérisque ou, pour
les versions récentes, par un point. Cette fonctionnalité est généralement utilisée pour masquer une
information confidentielle saisie par l’usage, un code PIN ou un mot de passe. Cette information est
stockée en mémoire par l’objet graphique pour être mise à disposition de l’application utilisant cet objet
mais aussi de toute autre application ayant accès à l’objet ou à la structure de stockage en mémoire.
Plusieurs utilitaires ont ainsi vu le jour qui permettaient de révéler les données saisies, bien souvent, en
passant le curseur sur la zone d’édition.
L’utilitaire BulletPassView développé par NirSofer permet lui aussi de révéler le contenu des ces
champs masqués tout en étant compatible avec les dernières versions de Windows: Windows Vista,
Windows 7 et Window Server 2008. La gestion des caractères UNICODE permettra de révéler des données
saisies dans des alphabets non latins. Ces données sont présentées dans la fenêtre de l’utilitaire, et non
en lieu et place du masque dans la zone de saisie comme cela est le cas des autres outils.
L’utilitaire peut être configuré pour rechercher en permanence les fenêtres d’édition pour lesquelles le
masquage de la saisie est activé. L’auteur précise toutefois que son outil ne permettra pas de révéler les
données masquées par certaines applications dont les navigateurs Chrome, Firefox et Opera, et les
mots de passe de connexion réseau de Windows.
http://www.nirsoft.net/utils/bullets_password_view.html
Page 4
DECEMBRE 2010
MÉTHODOLOGIES ET STANDARDS
MÉTHODES
NIST - SP800-39 'INTEGRATED ENTERPRISE-WIDE RISK MANAGEMENT’
En novembre 2007, le NIST publiait pour commentaires le guide SP800-39 sous le titre
‘Managing Risk from Information Systems: An Organizational Perspective’ (Rapport N°112 – Novembre
2007).
Une nouvelle version de ce guide vient d’être publiée, dite proposition finale (Final Draft) avec un nouvel intitulé -
‘Integrated Enterprise-Wide Risk Management: Organization, Mission, and Information System
View’ – qui non seulement précise l’approche méthodologique retenue mais replace aussi celle-ci dans le
contexte de l’entreprise, et non plus seulement, de l’agence ou de l’organisation gouvernementale
assujettie à l’application des directives FISMA (Federal Information Security Management Act).
Et de fait, cette troisième et dernière révision résulte
d’une très profonde réorganisation de la version
précédente - diffusée en août 2008.
Elle met désormais en avant trois niveaux dans la
démarche de gestion des risques qui est proposée
(l’organisation, les missions et métier et le
système d’information) quand auparavant seule la
dernière perspective était traitée.
Elle assure aussi la nécessaire harmonisation avec les
normes nationales et internationales dont les normes
ISO 27001, 27005 et 31000, une exigence qui n’était
que suggérée avant.
Ce guide se positionne comme le document fondateur - le terme ‘flagship’ est employé - de la série des
guides et standards de sécurité publiés par le NIST relatifs aux exigences FISMA. Il s’appuie pour cela sur
un ensemble de guides et de normes dans le domaine de la gestion de la sécurité des SI dont les quatre
guides résultant du processus de réorganisation engagé par le NIST il y a de cela maintenant 2 ans; à
savoir les guides:
- SP800-37
'Guide for the Security Certification and Accreditation of Federal Information Systems',
- SP800-53
'Recommended Security Controls for Federal Information Systems',
- SP800-53A 'Guide for Assessing the Security Controls in Federal Information Systems',
- SP800-30
'Guide for Conducting Risk Assessments'.
Le guide SP800-39 passe ainsi de 67 à 86 pages, le modèle RMF (Risk Management Framework) central
dans les versions précédentes était désormais traité dans le chapitre consacré à la perspective du système
d’information.
Ci-dessous et pour comparaison, les sommaires de la version finale et de celle publiée en août 2008.
SP800-39 Version FD
1. Introduction
2. The Fundamentals
2.1 Components Of Risk Management
2.2 Multitiered Risk Management
2.3 Tier One - Organization View
2.4 Tier Two - Mission/Business Process View
2.5 Tier Three - Information Systems View
2.6 Trust And Trustworthiness
2.7 Organizational Culture
2.8 Relationship Among Key Risk Concepts
3. The Process
3.1 Framing Risk
3.2 Assessing Risk
3.3 Responding To Risk
3.4 Monitoring Risk
SP800-39 Version Août 2008
1. Introduction
2. The Fundamentals
2.1 Organization-wide perspective
2.2 Risk-based protection strategies
2.3 Trustworthiness of information systems
2.4 Establishing trust relationships among org.
2.5 Strategic planning considerations
3. The Process
3.1 Risk management framework
3.2 Security categorization
3.3 Security control selection
3.4 Security control supplementation
3.5 Security control documentation
3.6 Security control implementation
Page 5
DECEMBRE 2010
Appendix
Appendix
Appendix
Appendix
Appendix
Appendix
Appendix
Appendix
A References
B Glossary
C Acronyms
D Roles And Responsibilities
E Risk Management Process Tasks
F Governance Models
G Trust Models
H Risk Response Strategies
3.7 Security control assessment
3.8 Information system authorization
3.9 Continuous monitoring
Appendix A References
Appendix B Glossary
Appendix C Acronyms
Appendix D Managing risks within life cycle pro.
Appendix E Risk management approache
http://csrc.nist.gov/publications/drafts/800-39/draft-SP800-39-FPD.pdf
NIST - SP800-137 'INFORMATION SECURITY CONTINUOUS MONITORING FOR FIS AND ORGANIZATIONS’
Le NIST publie pour relecture et
commentaire le guide SP800-137
‘Information Security Continuous Monitoring for
Federal Information Systems and Organizations’.
Ce guide de 79 pages s’adresse en priorité aux
agences et aux départements d’état américain
assujettis aux exigences de sécurité édictées par le
FISMA (Federal Information Security Management
Act).
Il intéressera aussi certainement toute organisation
tenue de mettre en place un système de contrôle
en continu de la sécurité de son système
d’information.
Il s’appuie sur le modèle à trois niveaux spécifié
par le guide SP800-39 ‘Integrated EnterpriseWide Risk Management’ lui aussi publié pour
relecture et objet d’un article dans ce rapport de
veille.
Il détaille chacune des six étapes d’un cycle itératif
classique de tout processus d’amélioration en
continu:
- Définir (Define) la stratégie de surveillance en continu,Etablir (Establish)
les moyens de mesures, les fréquences de la surveillance et des audits,
- Implémenter (Implement) un programme de surveillance en continu
adapté,
- Analyser (Analyze/Report) les données collectées et établir les tableaux de
bord,
- Sélectionner (Respond) une réponse adaptée ou accepter/transférer/rejeter
le risque,
- Reviser (Review/Update) et améliorer le programme de surveillance au
regard des résultats obtenus.
Le sommaire de ce guide est le suivant:
1. Introduction
1.1 Background
1.2 Relationship To Other Guidance Documents
1.3 Purpose
1.4 Target Audience
1.5 Organization Of This Special Publication
2. The Fundamentals
2.1 Organization-Wide View Of Continuous Monitoring
2.2 Ongoing System Authorizations
2.3 Role Of Automation In Continuous Monitoring
2.4 Continuous Monitoring Roles And Responsibilities
3. The Process
3.1 Define Continuous Monitoring Strategy
3.2 Establish Measures And Metrics
3.3 Establish Monitoring And Assessment Frequencies
Page 6
DECEMBRE 2010
3.4 Implement A Continuous Monitoring Program
3.5 Analyze Data And Report Findings
3.6 Respond To Findings
3.7 Review And Update The Monitoring Program And Strategy
Appendix A References
Appendix B Glossary
Appendix C Acronyms
Appendix D Technologies For Enabling Continuous Monitoring
http://csrc.nist.gov/publications/drafts/800-137/draft-SP-800-137-IPD.pdf
NIST – IR-7693 ‘ASSET IDENTIFICATION’ ET IR-7694 ‘ASSET REPORTING FORMAT’
Le NIST publie pour commentaire deux rapports inter-agences, ou IR, traitant du sujet de
l’identification et de la gestion des propriétés d’une organisation, ‘asset’ dans le jargon.
Le glossaire proposé au second chapitre du rapport IR-7693 précise la porté de ce terme que l’on pourra
aussi bien traduire par ‘propriété’, ‘valeur’, ‘actif’, ‘ressource’, ‘atout’ ou encore ‘bien’ mais qui, dans ce
contexte désignera tout ce qui peut avoir une valeur pour une organisation qu’il s’agisse, et sans que cette
liste soit limitative, d’organisations tierces, de personnes, d’équipements de calcul, de systèmes
d’information, de réseaux, de logiciels, ou encore de plateforme virtuelles et des matériels associés.
La mise en place d’outils de gestion informatisés de plus en plus couplés nécessite de disposer d’un
système normalisé permettant d’identifier sans aucune ambiguïté les biens d’une organisation. Le rapport
IR-7693 (32 pages) produit par le NIST, organisme de normalisation américain, spécifie un tel système.
Ce système s’adosse aux systèmes de référencement déjà développés en interne dans le cadre du
programme SCAP (Security Content Automation Protocol) dont en particulier le système de référencement
d’une plate-forme dit ‘CPE’ (Common Platform Enumeration) mais aussi sur les travaux de l’organisation
OASIS (Organization for the Advancement of Structured Information Standards) avec les standards xAL
(représentation normalisé des adresses) et xNL (représentation normalisée des noms).
Le NIST organise les produits de gestion des biens en deux catégories, les producteurs et les
consommateurs d’information, et impose que ces deux catégories soient à même d’exporter –
respectivement d’importer – des structures de données conformes à la spécification d’identification, ellemême référencée par le namespace ‘ai’.
La version courante de cette spécification
catégorise chaque bien en 11 types organisés
par un arbre de nommage dotés de propriétés
spécifiques:
- Bien (Asset)
- Bien Informatique (IT asset),
- Equipement de calcul (Computing Device),
- Données (Data),
- Réseau (Network),
- Organisation (Organization),
- Personne (Person),
- Service (Service),
- Logiciel (Software),
- Système (System),
- Site WEB (Web Site).
La classification proposée par le NIST semble
être taillée sur mesure pour faciliter la gestion
des constituants d’un système d’information
sans toutefois prendre en compte les biens
immatériels, tels que les services virtualisés
ou les données hébergées sur des plateformes
tierces. On notera par ailleurs une utilisation
limitée des références CPE pourtant à même
d’identifier un système. Enfin, l’absence de
toute présentation graphique de l’arbre de
nommage et du modèle relationnel associé ne
facilite pas réellement la bonne lecture des
spécifications.
Le sommaire du rapport IR-7693 est le suivant:
Page 7
DECEMBRE 2010
1.
2.
3.
4.
Introduction
Terms and Abbreviations
Relationship to Existing Standards and Specifications
Conformance
4.1 Product Conformance
4.1.1 Consumers
4.1.2 Producers
5. Asset Identification Overview
5.1 Scope
5.2 Data Model Overview
5.3 Providing Asset Identifications
5.4 Consuming Asset Identifications
5.5 Matching
5.6 Sample Correlation Workflow
6. Data Model
6.1 Abstract Elements
6.2 Concrete Asset Elements
6.3 Helper Elements
6.4 Relating Assets to Other Assets
Appendix A— Use Cases
A.1 Correlation of Sensed Data
A.2 Federation of Asset Databases
A.3 Directly Targeted Remediation Actions
A.4 Management of Asset Data
Appendix B— Normative References
Le rapport IR-7694 spécifie le modèle de
données, référencé par le namespace ‘arf’, qui
sera utilisé pour transporter les informations
relatives à l’identification des biens.
L’annexe D du rapport présente un exemple
de rapport produit au format ARF et transmis
dans un document XML.
Nous conseillons à nos lecteurs qui voudraient
visualiser ce rapport de recopier le texte dans
un fichier qui sera ensuite ouvert avec un
éditeur XML, tel XML Notepad de Microsoft.
Le sommaire du rapport IR-7694 est le suivant:
1. Introduction
2. Terms and Abbreviations
Page 8
DECEMBRE 2010
3. Relationship to Existing Standards and Specifications
4. Conformance
4.1 Content Conformance
4.2 Product Conformance
5. Data Model
6. Relationships
Appendix A— Use Cases
Appendix B— Normative References
Appendix C— Sample Workflow
Appendix D— Sample XML
http://csrc.nist.gov/publications/drafts/ir7693/draft-NISTIR-7693-AI_20101204.pdf
http://csrc.nist.gov/publications/drafts/ir7694/draft-NISTIR-7694-arf_20101204.pdf
NIST - SP800-51R1 'GUIDE TO USING VULNERABILITY NAMING SCHEMES’
Peu après la création par le MITRE du schéma de nommage Common Vulnerabilities and
Exposure ou CVE il y a 8 ans, le NIST publiait un guide de 4 pages rappelant les obligations
des agences et départements d’état vis à vis de l’utilisation de ce schéma (Rapport N°52 – Novembre
2002). Ce guide, référencé SP800-51 ‘Use of the Common Vulnerabilities and Exposures Vulnerability
Naming Scheme’, vient de faire l’objet d’une mise à jour, et par la même occasion d’un changement de
titre, lié à la prise en compte du schéma de gestion des configurations dit ‘Common Configuration
Enumeration’ ou CCE.
Après une bréve présentation de l’organisation et du role des schémas CVE et CCE, le guide SP800-51r1
rappelle que lors du choix d’un produit ou d’un service de sécurisation il y a lieu de vérifier que celui-ci
supporte l’un ou/et l’autre de ces schémas. Les organisations développant leurs propres produits devront
veiller à ce que ces schémas ainsi que le schéma CPE soient utilisés quand il y a lieu. Le NIST demande
par ailleurs aux organisations d’utiliser ces schémas dans tous les documents internes ou externes publiés
à la suite d’un contrôle ou d’un audit de sécurité. Enfin, le NIST délivre quelques conseils aux
développeurs de produits et aux fournisseurs de services pour la création et l’usage d’un identifiant.
Le sommaire du SP800-51r1 – 13 pages - est le suivant:
1. Introduction
2. Overview of Vulnerability Naming Schemes
2.1 Common Vulnerabilities and Exposures (CVE)
2.2 Common Configuration Enumeration (CCE)
3. Recommendations for End-User Organizations
3.1 Product and Service Selection and Design
3.2 Vulnerability Communications and Reporting
4. Recommendations for Software Developers and Service Providers
4.1 Name Creation
4.2 Name Use
Appendix A— Acronyms and Abbreviations
Appendix B— References
http://csrc.nist.gov/publications/drafts/800-51-rev1/Draft-SP800-51rev1.pdf
- SP800-51r1
SEI - BEST PRACTICES FOR NATIONAL CYBER SECURITY
Le Software Engineering Institute, une entité de l’université de Carnegie-Mellon qui gère le
CERT Control Center dit ‘CERT’, annonce la publication d’une série de guides destinés à aider
les états désireux de mettre en place une structure de gestion de la cyber-sécurité.
Une premier guide de cette série, intitulé ‘Building a National Computer Security Incident
Management Capability’, vient d’être mis à disposition. Il traite, comme son titre l’indique, de la mise
en place d’une structure de gestion des incidents, ou CSIRT, à dimension nationale.
Ce guide, ou Handbook, est avant tout destiné aux responsables de la définition de la stratégie
gouvernementale en matière de sureté et de sécurité. Il n’a pas pour objet de détailler l’organisation et le
fonctionnement au quotidien d’un CSIRT mais de définir les principes et les objectifs stratégiques qui
permettront la mise en place d’une telle structure.
Nos lecteurs intéressés par le sujet trouveront dans cet aide-mémoire de 40 pages matière à réflexion
mais aussi de nombreuses références documentaires bien utiles s’agissant simplement de mettre en place
une structure locale de traitement des incidents. Sont notamment référencés les documents publiés par
Page 9
DECEMBRE 2010
l’ENISA dont le document ‘Baseline capabilities for national / governmental CERTs’ publié fin 2009 et
traitant du même sujet (Rapport N°137- Décembre 2009).
Le sommaire de ce document de 40 pages est le suivant:
1 Introduction
2 Setting the Context: National Cyber Security
2.1 The Importance of a National Strategy for Cyber Security
2.2 Key Stakeholders of National Cyber Security
2.2.1 Executive Branch of the Government
2.2.2 Legislative Branch of the Government
2.2.3 The Judiciary
2.2.4 Law Enforcement
2.2.5 Intelligence Community
2.2.6 Critical Infrastructure Owners and Operators
2.2.7 Vendors
2.2.8 Academia
2.2.9 Foreign Governments
2.2.10 Citizens
2.3 The Special Role of the National CSIRT
2.3.1 Analyzing Computer Security Incidents to Identify Intrusion Sets
2.3.2 Use of Sensitive Law Enforcement or Intelligence Information
2.3.3 Resource to the National Government on Cyber Security Issues
2.3.4 Assessing National Cyber Readiness and Crisis Management
2.3.5 National Alert and Warning
2.3.6 Organizational CSIRT Capacity Building
2.3.7 Trusted Point of Contact and National Coordinator
2.3.8 Building a Cyber Security Culture
3 Strategic Goals and Enabling Goals for Incident Management Capability
3.1 Strategic Goal: Plan & Establish a Centralized Computer Security Incident Management Capability
3.1.1 Enabling Goal: Identify Sponsors and Hosts
3.1.2 Enabling Goal: Determine Constraints
3.1.3 Enabling Goal: Determine the National CSIRT Structure
3.1.4 Enabling Goal: Determine the Authority of the National CSIRT
3.1.5 Enabling Goal: Determine the Services of the National CSIRT
3.1.6 Enabling Goal: Identify Additional Stakeholders
3.1.7 Additional Resources: For Planning and Establishing a National CSIRT
3.2 Strategic Goal: Establish Shared Situational Awareness
3.2.1 Enabling Goal: Establish and Maintain Trust Relationships
3.2.2 Enabling Goal: Coordinate Information Sharing between Domestic Constituents
3.2.3 Enabling Goal: Integrate Risk Information from the Community
3.2.4 Enabling Goal: Collect Information about Computer Security Incidents
3.3 Strategic Goal: Manage Incidents
3.3.1 Enabling Goal: Define Incidents and Threats of National Interest
3.3.2 Enabling Goal: Analyze Computer Security Incidents
3.3.3 Enabling Goal: Develop an Efficient Workflow Process
3.3.4 Enabling Goal: Warn the Community
3.3.5 Enabling Goal: Publicize Cyber Security Best Practices
3.3.6 Additional Resources: For Establishing Situational Awareness and Managing Incidents
3.4 Strategic Goal: Support the National Cyber Security Strategy
3.4.1 Enabling Goal: Translate Experiences and Information
3.4.2 Enabling Goal: Build National Cyber Security Capacity
3.4.3 Enabling Goal: Leverage Public Private Partnerships to Enhance Awareness and Effectiveness
3.4.4 Enabling Goal: Participate In, Encourage the Development of Information Sharing Groups
3.4.5 Enabling Goal: Assist the National Gov in Responding to Incidents in Support of Gov. Operations
3.4.6 Additional resources: Support the National Cyber Security Strategy
4 Case Study: Components of the National Policy on Cyber Security in the United States
4.1 National Response Framework
4.2 National Infrastructure Protection Plan
4.3 Critical Infrastructure and Key Resources
4.4 National Strategy to Secure Cyberspace
4.5 United States Computer Emergency Readiness Team (US-CERT)
5 Conclusion
http://www.cert.org/archive/pdf/10sr009.pdf
RECOMMANDATIONS
Page 10
DECEMBRE 2010
ANSSI – CERTIFICATION CSPN DU COFFRE-FORT ELECTRONIQUE D3S
L’ANSSI vient d’annoncer la certification CSPN du produit D3S (Dictao Secure Storage Server)
dans sa version 4.4, un produit développé par la société DICTAO. Il s’agit d’une plate-forme
de stockage sécurisé reprenant le principe d’une salle des coffres, c’est-à-dire offrant la
possibilité de configurer plusieurs espace de stockage distincts (coffres) dans lesquels pourront
être effectués des dépôts et retraits contrôlés.
Rappelons que la procédure dite de ‘Certification de Sécurité de Premier Niveau’, ou CSPN, permet
d’obtenir un label au terme d’une expertise moins formelle que celle des Critères Communs, ou CC, et
dont la charge est limitée à 25 homme.jour. La présentation de la CSPN précise ainsi que les travaux
d’évaluation ont pour objectifs:
- de vérifier que le produit est conforme à ses spécifications de sécurité,
- de coter les mécanismes de façon théorique, de recenser les vulnérabilités connues de produits de sa catégorie,
- de soumettre le produit à des tests visant à contourner ses fonctions de sécurité.
L’ANSSI précise que cette évaluation est réalisée dans un contexte particulier, celui de la surveillance des
activités transactionnelles d'un ‘opérateur’ par une ‘autorité’, en l’occurrence l’ARJEL. L'autorité souhaite
contrôler certaines opérations au sein du système d'information de l'opérateur et installe chez ce dernier
un dispositif technique chargé de recueillir et d'archiver les traces de ces opérations. La cible de sécurité
confirme que le D3S est l'un des composants d'une chaîne destinée à garantir la traçabilité des opérations
effectuées sur le système d'information de l'opérateur. Ce dispositif est constitué d'un capteur - hors
périmètre de l'évaluation - chargé de récolter les données tracées, et du D3S. Ces données sont archivées
dans le coffre-fort électronique afin d'en garantir l'intégrité et l'exhaustivité dans le temps. Avant que les
données ne soient transmises à l'autorité, le D3S enregistre et scelle les données de manière à ce qu'elles
ne puissent être altérées, en rendant détectable tout ajout, suppression ou modification d'une opération.
Neuf produits sont donc désormais certifiés CSPN:
Produit
Cat
D3S
DESIIR
Logiciel UCOPIA pour boîtiers UCOPIA
Bro
VSC-TOOAL v1.1
Netfilter Linux v2.6.27 - IPtables v1.4.2
TrueCrypt V6.0a
Blancco Data Cleaner+ V4.8
TRANGO Hypervisor V1.5.61 / OMAP 2430
9
3
6
1
6
3
9
4
11
Catégories :
1- détection d’intrusions
4- effacement de données
7- communication sécurisée
10- matériel et logiciel embarqué
Date
Commanditaire
17/11/10
12/04/10
22/02/10
21/12/09
15/10/09
31/08/09
01/12/08
12/11/08
11/09/08
CESTI
ARJEL
EDF R&D
UCOPIA Comm.
LBNL
Mediscs
SGDN
SGDN
Blancco France
Trango Virtual Proc.
2- anti-virus, protection malware
5- administration, supervision
8- messagerie sécurisée
11- Autre
OPPIDA
AQL
THALES
AMOSSYS
AQL
OPPIDA
SOGETI
AMOSSYS
AQL
Vers. actuelle
V4.4
V1.0
V3.0R5
V1.4
V1.1
V1.4.5
V6.2a
V4.9
Acquis VMwAre
3- firewall
6- identification, authent., contrôle accès
9- stockage sécurisé
http://www.ssi.gouv.fr/site_rubrique54_certificat_cspn_2010_06.html
http://www.ssi.gouv.fr/site_rubrique54.html
- Annonce de la certification
- Catalogue CSPN
ANSSI – CATALOGUE DES PRODUITS QUALIFIES – MISE A JOUR
Le catalogue des produits qualifiés par l’ANSSI recense les produits dits d’usage général en
cours de qualification, ou ayant été qualifiés conformément aux processus décrits dans le
Référentiel Général de Sécurité (RGS).
Ce catalogue recense trois nouveaux produits dont deux récemment certifiés et qualifiés:
- l’infrastructure de gestion de clef Sequoia de la société Keynectis dans sa version 2,
- la carte à puce ‘ID One’ de la société Oberthur dans les versions Citizen IAS ECC v1.0.1 et Cosmo
v7.0.1.
Editeur
ARKOON
BULL
CdC
DICTAO
Produit
Fast Firewall v3.0/11
Security Crypto Box v6.0
Security Box Enterprise 7.2
Trustway PCI S302
Trustway PCI S507 et S709
TrustWay VPN v3.01.06
TrustWay VPN Line
Fast Signature v1.1
Adsignerweb v3.1.800
Validation Server v4.0.6
Certification
EAL2+
EAL4+ élevé
EAL3+ visé
EAL4+ élevé
EAL4+
EAL2+
EAL2+
EAL2+
EAL3+
EAL3+
11/04
05/04
11/04
03/10
09/04
04/09
12/08
04/06
09/07
Qualification
Standard
12/04
Standard
07/04
En cours Standard
01/05
Renforcé
04/10
Standard
09/04
Standard
04/09
Standard
12/08
Standard
05/06
Standard
09/07
Cat.
3
5&6
5
6&7
6&7
2
2
7
7
7
Page 11
DECEMBRE 2010
EdenWall tech.
ERCOM
Exaprotect
FT
GEMALTO
Keynectis
NETASQ
Oberthur Tec.
PrimX
SAGEM
Smart Quantum
THALES
Catégories :
Edenwall 4
SecPhone
ExaProtect Sec. Manag. V2.7.3.5
Applatoo
ePassport Sealys EAC v1.1
eTravel EAC v1.0
MultiApp IAS ECC
Sequoia V2
NETASQ IPS v5
IPS Firewall 8.0.1.1
ID One ePASS v2.1
ID One ePass 64 v2.0
ID One Citizen IAS ECC & Cosmo
ZoneCentral v3.1
ZED!
Cryhod
Carte Morpho-Citiz32 sur Atmel
Carte Morpho-Citiz32 sur NXP
Morpho ePass V3
Morpho ePass V1.1.0
Ideal Citiz
SQDefender
Mistral v4.5.2.2
Mistral 2 v4.6.1
Mistral 3 v4.6.2
1- Administration de la sécurité
2- Chiffrement IP
3- Firewall
10- Chiffrement de liens
EAL3+ visé
EAL2+
EAL2+
EAL2+
EAL4+
EAL4+
EAL4+
EAL4+
EAL2+
EAL3+
EAL4+
EAL4+
EAL4+
EAL2+
EAL3+
EAL3+ visé
EAL4+
EAL4+
EAL4+
EAL4+
EAL5+
EAL3+ visé
EAL3+
EAL3+
EAL3+
12/05
11/08
04/05
12/08
12/08
02/10
09/10
03/05
07/09
08/09
05/08
10/10
12/08
07/10
07/08
07/09
04/10
09/08
05/05
03/08
07/08
4- IGC
5- Protection du Poste de Travail
6- Ressources Cryptographiques
En cours
Standard
Standard
Standard
Renforcé
Renforcé
Renforcé
Standard
Standard
Standard
Renforcé
Renforcé
Renforcé
Standard
Standard
En cours
Standard
Standard
Renforcé
Renforcé
Renforcé
En cours
Standard
Standard
Standard
12/05
12/08
05/05
08/09
08/09
08/10
10/10
03/05
03/05
07/09
08/09
11/10
12/08
08/10
02/08
02/08
08/09
09/09
05/10
06/05
03/08
09/08
3
6&9
1
7
8
8
6
4
2&3
2&3
8
8
6
5
5
5
6
6
8
8
6
10
2
2
2
M
N
N
7- Signatures et Preuves
8- Titres d’identité électroniques
9- Voix sécurisée
http://www.ssi.gouv.fr/site_rubrique52.html
- Catalogue
ANSSI – EXTERNALISATION ET SECURITE DES SYSTEMES D’INFORMATION : UN GUIDE POUR MAITRISER LES RISQUES
L’ANSSI publie un guide de recommandations à l’attention des entreprises et des administrations
externalisant, ou désireuses d’externaliser, tout ou partie de leur système d’information. Ce
guide est accompagné d’une plaquette de présentation des enjeux d’une telle démarche et des
risques dont il conviendra de tenir compte.
Appliqué au domaine des systèmes d’information le fait d’externaliser des activités pouvant être réalisées
en interne est usuellement désigné par le terme ‘infogérance’ comme le rappelle l’ANSSI en introduction
du guide. Une infogérance qui pourra être effectuée localement, ou à distance, et porter aussi bien sur la
gestion de l’infrastructure ou des applications mais sur l’hébergement de services. Autant de possibilités
d’organisation qui nécessitent d’encadrer la réalisation de ces prestations dans l’optique de limiter autant
que peut se faire les risques liés au transfert d’activités hors du périmètre de contrôle de l’organisation.
Le guide de l’ANSSI décrit ces différents risques en détaillant les mesures de prévention et de protection
qui pourront être appliquées, et insiste sur deux points: la nécessité de l’établissement d’un plan
d’assurance sécurité, ou ‘PAS’, qui est à la sécurité ce qu’est le plan d’assurance qualité à la qualité, et la
rédaction des clauses de sécurité qui seront portées au contrat liant l’entreprise et le prestataire. Rédigé
en tenant compte des exigences juridiques et contractuelles applicables en France, ce guide intéressera
certainement au plus haut point les décisionnaires et exploitants de systèmes d’information confrontés à
la nécessité d’externaliser certaines prestations.
On regrettera peut-être seulement que ne soit pas identifiés certains risques dont celui de l’atteinte à
l’image de marque – cas d’un hébergement mutualisé sur un serveur accueillant par ailleurs des services
que la morale pourrait réprouver ou se situant à la frontière de la légalité – ou bien de l’atteinte à la
disponibilité des accès – cas d’un hébergement mutualisé sur un serveur dont l’adresse IP serait
régulièrement inscrite dans des listes de filtrage.
Le sommaire de ce guide de 56 pages est le suivant:
Introduction
Avant-propos
La démarche d’externalisation
Terminologie
Typologie de l’infogérance
Les risques inhérents à l’externalisation
Risques liés à la perte de maîtrise de son système d'information
Page 12
DECEMBRE 2010
Risques liés aux interventions à distance
Risques liés à l’hébergement mutualisé
L'informatique en nuage ou nébuleuse
Prise en compte de la sécurité dans les appels d'offres
Apprécier les risques et déterminer les objectifs de sécurité
Rédaction du cahier des charges
Choix du prestataire
Le plan d’assurance sécurité
1. Objet du document
2. Documents de référence
3. Description du système externalisé
4. Rappel des exigences
5. Organisation
6. Responsabilités liées au pas
7. Procédure d’évolution du pas
8. Applicabilité du pas
9. Mesures de sécurité
10. Matrice de couverture des exigences de sécurité
11. Documentation de suivi
Clauses de sécurité
Transfert du système
Responsabilité
Obligations du prestataire
Comité de suivi
Confidentialité
Localisation des données
Convention de service
Audits de sécurité
Application des plans gouvernementaux
Sécurité des développements applicatifs
Gestion des évolutions
Réversibilité
Résiliation
Annexe 1 : Clause de confidentialité type en cas de sous-traitance
Annexe 2 : Exigences de sécurité types
Annexe 3 : Bonnes pratiques pour l'hébergement mutualisé
http://www.ssi.gouv.fr/site_article270.html
http://www.ssi.gouv.fr/IMG/pdf/2010-12-03_Guide_externalisation.pdf
http://www.ssi.gouv.fr/IMG/pdf/2010-12-03_Plaquette_Externalisation.pdf
ENISA – BONNES PRATIQUES POUR LA GESTION DES INCIDENTS
La série des documents d’accompagnement des CSIRTs publiés par l’ENISA vient de s’enrichir
d’un nouveau guide. Intitulé ‘Good Practice Guide for Incident Management’, ce guide de
110 pages se focalise sur l’une des activités d’un CSIRT: le traitement des incidents.
Activité centrale d’un CSIRT, ou CERT si l’on considère le choix terminologique de l’ENISA, la gestion des
incidents vise non seulement à contenir tout incident de sécurité impactant le système d’information –
« éteindre le feu quand il y a le feu » selon les termes de l’ENISA – mais aussi à mettre en place tout ce
qui est nécessaire pour permettre d’éviter que cet incident ne se reproduise. Rien n’étant infaillible, en
particulier dans le contexte des systèmes d’information, un incident similaire se reproduira tôt ou tard
pour lequel l’expérience acquise s’avérera fort utile.
Cette activité touche non seulement le système d’information de l’organisation mais aussi celle-ci dans
son ensemble. Le guide de l’ENISA rappelle à ce propos que la gestion d’incident est un important outil de
gouvernance de l’organisation qui, bien que généralement placé sous la responsabilité de la direction des
systèmes d’information, concerne directement la direction de l’organisation.
L’activité de gestion des incidents peut elle-même se décliner en plusieurs sous-activités: le traitement de
l’incident survenu bien entendu mais aussi toutes les actions associées de la communication de l’incident
aux entités internes ou externes concernées à la correction des vulnérabilités résiduelles sur les
composants du système d’information. Le guide proposé par l’ENISA traite prioritairement du traitement
proprement dit de l’incident, celui s’organisant autour des quatre fonctions définies par le CERT/CC:
- la détection,
- le tri,
- l’analyse,
- la réponse.
Page 13
DECEMBRE 2010
Après une rapide introduction rappelant les missions d’un CSIRT, et les enjeux associés à la gestion des
incidents, le chapitre 5 ‘Framework’ aborde un point clef, celui de la définition du périmètre d’intervention
d’une telle structure, et donc de l’étendue de sa responsabilité et de son mandat. Ce périmètre, ou
‘constituency’, pourra s’exprimer de plusieurs manières – adresses IP des réseaux de l’organisation,
numéros des domaines autonomes de routage, noms de domaine… - l’essentiel étant de fournir tous les
éléments permettant à un tiers de savoir à qui s’adresser. Sont aussi abordés les problèmes liés à
l’organisation des ressources et des opérations au sein d’une telle structure.
Le chapitre 6 détaille l’organisation interne d’un CSIRT dont notamment les rôles, responsabilités et
missions des différents acteurs, du responsable de la structure à l’analyste voire à l’opérateur du service
de support. L’organisation des fonctions de traitement et des processus associés est abordée au chapitre
7. Celui-ci est abondamment illustré de diagrammes de flux mettant en évidence les interactions entre les
différents processus.
Le chapitre 8 décrit les quatre fonctions de traitement - détection, tri, analyse et réponse – en détaillant
un modèle itératif de résolution des incidents – analyse des données, recherche de solutions, définition
d’un plan d’action, mise en œuvre du plan d’action, réduction de l’incident et récupération. Ce chapitre
traitre du problème fondamental de la description de l’incident laquelle doit être claire et non ambiguë
pour être correctement interprétée. L’ENISA recommande à ce propos l’utilisation de la taxonomie
développée par eCSIRT, le réseau Européen des CSIRT, et suggère de définir les règles permettant de
passer des taxonomies susceptibles d’être utilisées par les correspondants du CSIRT à cette taxonomie.
L’ENISA attire par ailleurs l’attention sur l’importance de la définition des conditions régissant l’échange et
la diffusion des informations liées aux incidents de sécurité. Le chapitre 9 traite ainsi de l’établissement
des règles permettant d’assurer la protection des informations qu’il s’agisse de communiquer avec les
correspondants du CSIRT, avec la presse ou plus simplement d’assurer la sécurité du système
d’information du CSIRT.
Le chapitre 10 présente les différentes organisations œuvrant au niveau Européen dans le domaine de la
coopération entre structures d’alertes et de l’échange d’information; l’ENISA bien sur, mais aussi le TFCSIRT ou le FIRST pour ne citer que les organisations les plus connus.
La problématique de la délégation de service ou de l’infogérance est abordée au chapitre 11, le dernier
chapitre traitant de la communication avec les instances dirigeantes de l’organisation accueillant la
structure de gestion des incidents.
Un guide qui s’avère absolument indispensable à toute organisation désireuse de mettre en place une
structure de gestion des incidents. On appréciera particulièrement la mise en page utilisant une
codification graphique pour mettre en évidence les exemples, les recommandations importantes ou
encore des suggestions. Nous devons avouer attendre avec impatience la version française de ce guide,
laquelle permettra de disposer d’une traduction ‘approuvée’ des certaines des terminologies propres au
contexte de ces structures de gestion des incidents.
Le sommaire de ce remarquable guide est le suivant:
1
2
3
4
5
Management Summary
Legal Notice
Acknowledgements
Introduction
Framework
5.1 Mission
5.2 Constituency: definition
5.3 Constituency: practical considerations
5.4 Responsibility and mandate
5.5 Organisational framework
5.6 Service types
6 Roles
6.1 Mandatory roles
6.2 Optional roles
7 Workflows
7.1 Proposed workflows
7.2 Method of presentation
7.3 How to use the workflows in daily work
7.4 Incident lifecycle
8 Incident Handling Process
8.1 Incident report
8.2 Registration
8.3 Triage
8.4 Incident resolution
8.5 Incident closure
8.6 Post-analysis
8.7 Incident taxonomy
Page 14
DECEMBRE 2010
8.8 Information disclosure
8.9 Tools
8.10 Quality assurance
9 Policies
9.1 Basic policies
9.2 Human resources
9.3 Code of practice
10 National and International Cooperation
10.1 Bilateral cooperation
10.2 National cooperation
10.3 Critical infrastructure protection
10.4 Sectoral cooperation
10.5 TF-CSIRT
10.6 Trusted Introducer
10.7 ENISA
10.8 European Government CERTs (EGC) group
10.9 FIRST
11 Outsourcing
11.1 What you probably should not outsource
11.2 Why would you want to outsource part(s) of your incident management process?
11.3 How to outsource
12 Presentations to Management
12.1 What information management needs and how often?
12.2 How to present a report
13 References
13.1 How to use: Step-by-Step approach on how to setup a CSIRT
13.2 How to use: CERT Exercises Handbook
13.3 How to use: ‘Clearing House for Incident Handling Tools’
13.4 How to use: Handbook for Computer Security Incident Response Teams (CSIRTs)
14 Annexes
14.1 Annex I - CERT extended services
14.2 Annex II - CSIRT Code of Practice
http://www.enisa.europa.eu/act/cert/support/incident-management/files/good-practice-guide-for-incidentmanagement/at_download/fullReport
Page 15
DECEMBRE 2010
TABLEAUX DE SYNTHESE
CONFERENCES
OWASP APPSEC 2010 – DC USA
L’édition américaine de la conférence AppSec, organisée par l’OWASP, a eu lieu les 10 et 11
novembre dernier à Washington DC. Les supports de la majorité des 55 présentations sont
disponibles en ligne. Nous en recommandons la lecture.
Keynote : National Security Agency
OWASP Status Update
National Institute of Standards and Technology
Offense
Python Basics for Web App Pentesters
White and Black box testing of Lotus Domino Applications
Pen Testing with Iron
Hacking Oracle From Web Apps
wXf: Web Exploitation Framework
Hacking SAP BusinessObjects
Deconstructing ColdFusion
Friendly Traitor 2 Features are hot but giving up our secrets is not!
Hacking .NET Applications at Runtime: A Dynamic Attack
JavaSnoop: How to hack anything written in Java
Unlocking the Toolkit: Attacking Google Web Toolkit
Constricting the Web: Offensive Python for Web Hackers
Defense
Drive By Downloads: How To Avoid Getting A Cap Popped In Your App
Protecting Federal Government from Web 2.0 Application Security Risks
Providing application-level assurance through DNSSEC
GuardRails: A (Nearly) Painless Solution to Insecure Web Applications
The Strengths of Combining Code Review with Application Penetration Testing
Botnet Resistant Coding: Protecting Your Users from Script Kiddies
Gap: Analyzing the Limitations of Web Application Vulnerability Scanners
Cloudy with a chance of hack!
Declarative Web Security
Exploiting the media for fun and profit. Analysis of a new type of web app. attacks
Life in the Clouds: a Service Provider's View
Social Zombies Gone Wild: Totally Exposed and Uncensored
Smart Phones with Dumb Apps: Threat Modeling for Mobile Applications
Threats from Economical Improvement
Metrics
Secure Code Review: Enterprise Metrics
Measuring Security: 5 KPIs for Successful Web App Security Programs
H.....t.....t....p.......p....o....s....t
Dealing with Web Application Security, Regulation Style
OWASP Broken Web Applications Project Update
Smashing WebGoat for Fun and Research: Static Code Scanner Evaluation
Using Misuse Cases to Articulate Vulnerabilities to Stakeholders
The Web Hacking Incident Database (WHID) Report
Don’t Judge a Website by its Icon – Read the Label!
The Secure Coding Practices Quick Reference Guide
Open Source Web Entry Firewall
Solving Real World Problems with ESAPI
Attack Detection and Prevention with OWASP AppSensor
OWASP ModSecurity Core Rule Set
OWASP ESAPI SwingSet
Government
Cyber-Assurance Ecosystem - Automation Activities for Securing the Enterprise
Security Risk and the Software Supply Chain
Neal Ziring
OWASP Board
Ron Ross
Justin Searle
Elias-bachrach, Pike
Andrew Wilson
Sumit Siddharth
K. Johnson, C. Gates
Abraham, Vandevanter
C.Eng, B.Creighton
K.Johnson, M.Poor
Jon McCoy
Arshan Dabirsiaghi
Ron Gutierrez
Wielgoszewski, Hamiel
Neil Daswani
Sarbari Gupta
Krishnaswamy & als
Burket and als
Dave Wichers
F. Rothschild, P. Greko
David Shelly & als
Lars Ewe
Brandon Sterne
A.Yampolskiy
Michael Smith
K.Johnson, T.Eston
Dan Cornell
Eduardo Neves
Richard Tychansky
Rafal Los
O.Chee & T.Brennan
Andrew Weidenhamer
Chuck Willis
J.Windsor, J. Pauli
Scott Mendenhall
Ryan Barnett
Jeff Williams
Keith Turpin
Ivan Buetler
Chris Schmidt
Colin Watson
Ryan Barnett
Fabio Cerullo
J.Jarzombek & T.Millar
Karen Goertzel
Page 16
DECEMBRE 2010
Understanding How They Attack Your Weaknesses: CAPEC
Making Security Measurable
Ensuring Software Assurance Process Maturity
People, Process, Technology: OWASP Impact on the SwA Processes and Practices WG
Application Portfolio Risk Ranking: Banishing FUD With Structure and Numbers
Code Reviewing Strategies
Microsoft's Security Development Lifecycle for Agile Development
Implementing a Secure Software Development Program
Unintended consequences of beating users with carrot sticks
Sean Barnum
Edmund Wotring
Michele Moss
Dan Cornell
A.Wilson, J.Hoopes
Nick Coblentz
Darren Death
Benjamin Tomhave
http://www.owasp.org/index.php/OWASP_AppSec_DC_2010_Schedule
ACSAC 2010
Les papiers présentés à l’occasion de l’édition 2010 de la conférence ACSAC sont disponibles en
ligne. Cette conférence, dédiée à la sécurité des applications, s’est tenue du 8 au 10 décembre à
Orlando, Floride.
Social Networks
Detecting Spammers On Social Networks
Towardworm Detection In Online Social Networks
Who Is Tweeting On Twitter: Human, Bot, Or Cyborg?
Software Defenses
Cujo: Efficient Detection And Prevention Of Drive-by-download Attacks
Fast And Practical Instruction-set Randomization For Commodity Systems
G-free: Defeating Return-oriented Programming Through Gadget-less Binaries
Authentication
Securing interactive sessions using Mobile Device & visual channel & visual inspection
Towards Practical Anonymous Password Authentication
Usability Effects Of Increasing Security In Click-based Graphical Passwords
Vulnerability Assessment of Embedded Devices
A Quantitative Analysis Of The Insecurity Of Embedded Network Devices
Multi-vendor Penetration Testing In The Advanced Metering Infrastructure
Security Analysis Of A Fingerprint-protected Usb Drive
Botnets
Case For In-the-lab Botnet Experiment: Creating & Taking Down A 3000-node Botnet
Conficker And Beyond: A Large-scale Empirical Study
Friends Of An Enemy: Identifying Local Members Of P2P Botnets Using Mutual Contacts
Email, E-Commerce, and Web 2.0
Breaking E-banking Captchas
Firm: Capability-based Inline Mediation Of Flash Behaviors
Spam Mitigation Using Spatio-temporal Reputations From Blacklist History
Hardware-Assisted Security
A Hardware Trusted Computing Base For Direct Recording Electronic Vote Machines
Hardware Assistance For Trustworthy Systems Through 3-d Integration
Sca-resistant Embedded Processors---the Next Generation
Security Protocols and Portable Storage
Keeping Data Secret Under Full Compromise Using Porter Devices
Kells: A Protection Framework For Portable Data
Porscha: Policy Oriented Secure Content Handling In Android
Model Checking and Vulnerability Analysis
Analyzing And Improving Linux Kernel Memory Protection: A Model Checking Approach
Quantifying Information Leaks In Software
The Honeymoon Effect And The Role Of Legacy Code In Zero-day Vulnerabilities
Intrusion Detection and Live Forensics
Comprehensive Shellcode Detection Using Runtime Heuristics
Cross-layer Comprehensive Intrusion Harm Analysis for Production Workload Server
Forenscope: A Framework For Live Forensics
Distributed Systems and Operating Systems
A Multi-user Steganographic File System On Untrusted Shared Storage
Heap Taichi: Exploiting Memory Allocation Granularity In Heap-spraying Attacks
Scoba: Source Code Based Attestation On Custom Software
Mobile and Wireless
Defending DSSS-based Broadc Comm. against insider Jammers via Delayed Seed-disc.
Exploiting Smart-phone Usb Connectivity For Fun And Profit
UCSB
U. Penn
William & Mary Coll.
U. Mannhiem
U. Columbia
Eurecom, UBilkent
U. Singapore
InfoComm Research
U. Carleton
U. Columbia
U. Penn
James Madison U.
EP. Montréal
Texas A&M U.
NYU PI
NUST
Indiana U.
U.Penn
Campinas U.
UCSB
Bristol U.
U. Penn
U. Penn
U. Penn
North Carolina U.
Queen Mary U.
U. Penn
U. Columbia
U. Penn
U. Illinois
U. Singapore
U. Peking
U. Peking
U. North Carolina
U. George Mason
Page 17
DECEMBRE 2010
Paranoid Android: Versatile Protection For Smartphones
Security Engineering and Management
A Framework For Testing Hardware-software Security Architectures
Always Up-to-date -- Scalable Offline Patching Of Vm Images In A Compute Cloud
Two Methodologies For Physical Penetration Testing Using Social Engineering
U. Columbia
U. Princeton
U. North Carolina
U. Twente
http://www.acsac.org/2010/openconf/modules/request.php?module=oc_program&action=program.php
COMPUTER SECURITY CONGRESS 2010
Le congrès ‘Computer Security 2010’ s’est tenu les 30 novembre et 1er décembre
à Mexico. Les présentations sont disponibles, en espagnol pour la plupart.
Administración de la seguridad de la información
Combate a los delitos electrónicos en la Policía Federal
El cómputo forense en la investigación de delitos
El manejo y protección de datos personales
El papel de la industria en la seguridad en internet
Implementación de seguridad en Bases de Datos MSC.
La divulgación de los datos personales por medio de Internet
La protección de datos personales en Internet
La seguridad de la información en los procesos de la organización
Los diez peores errores en seguridad de la información cometidos
Los nuevos retos del cómputo forense en América Latina
Malware Fails
Monitoreo de amenazas: la botnet Kroxxu
Ocultamiento y persistencia de la información
Perspectiva de amenazas de seguridad 2011
Regulation-Deregulation: How compliance regulation get made
Telescopio de seguridad informática
The cloud: exposures, education, logging
Utilidad de las certificaciones de seguridad informática
Vulnerabiidades en módems 2010
What if…?
Guillermo Mallén
Eduardo Espina García
Panel
Juan Carlos Carrillo
Julio César Vega
Johnny Villalobos
David Alfredo
Ivonne Muñoz Torres
David Treviño
Jesús Torrecillas
Andrés Velázquez
Tillman Werner
Manuel Santander
Luis Miguel Murguía
Panel
Michael Dahn
UNAM-CERT
Raffael Marty
Gustavo Solis
Pedro Joaquín
Tillman Werner
http://congreso.seguridad.unam.mx/2010/info/conferencias.dsc?idioma=en
AVAR 2010
L’édition 2010 de la conférence organisée par l’AVAR (Association of Anti-Virus Asia
Researchers) s’est tenue du 17 au 19 novembre à Bali. Hélas, seuls les sommaires des
présentations sont accessibles en ligne.
A Frontline View of the Threat Landscape - from Microsoft SIR 1H10
Adobe: The currently most exploited software in the world
An Automated Malware Processing Lab
An insight into managed downloaders
Behavior-Based Detection for file infectors
Buckle up Security Belt When Enjoying Ride on Internet of Things
China Cybercrime and Government Enforcement
Cleanup to Damage Recover -Solution for PE Virus Infection and Beyond
Cloudy with a Chanche of Malicious URLs
Getting rich with mobile malware: the how, the where, and the $$$
High Speed JavaScript Malware Sandbox
Hot Topics in Modern Malware
Image spam filtering by optical pattern matching
Is Spam Dying
Malware Paradox – Persistent Cross Interface Attacks
Metamorphic Virus: Is it Amenable for Algorithmic Detection?
Mobile Malware: Status and Countermeasure
Network detection of PE structural anomalies and linker characteristics
Portable Document Format or Pretty Dangerous File?
Ready to launch 'Sandbox" now?
Risking the Symbian OS
So, what is the government doing?
Microsoft
Kaspersky Lab
Fortinet
Microsoft Corp
Quick Heal Tech.
Trend Micro
HS USA
Trend Micro, Inc.
F-Secure Labs
Kaspersky Lab
Webroot
K7
Kaspersky Lab
SophosLabs
Michigan
Tata Institute
NetQin Mobile Inc.
NetWitness Corp.
Symantec
Fortinet Inc.
Marchelle David
Ministry of Economy
Page 18
DECEMBRE 2010
Surviving Targeted Attacks: Beyond Today and Tomorrow
Test Files and Product Evaluation: the Case for and against Malware Simulation
The Current State of Sample and Metadata Sharing
The Difference Between False Positives and False Positives in Testing
The Fileless Whitelisting and False Positive Testing
The Power of US
The rise of icon attacks
Using Memory Forensics for Identification and Attribution of Malware
Weightwatching: Why prevalence and persistence matter in Anti-malware testing
Kaspersky Lab
G Data
McAfee Labs
Symantec
AhnLab, Inc.
McAfee Labs
BitDefender
Invest-e-gate
West Coast Labs
http://www.aavar.org/avar2010/program.html
KIWICON 4
La quatrième édition de la conférence technique KIWICON s’est tenue du 27 au 28
novembre à Wellington, Nouvelle-Zélande. Les sommaires des présentations sont
accessibles en ligne, et quelques présentations sur le site de leur auteur.
Aleatory Persistent Threat
B&E for breakfast: practical urban exploration in NZ
Bending Light: Optical trickery for the 21st Century
Code Analysis
Distributed Cracking with no 8 Wire
Full Circle Kiosk
Hooray for Reading: Hacking the Kindle
How Does Your Gut Stack Up?
How to FAIL at Fuzzing
Moneyshot: 45cal HTTP Packets
Monkeying Around on the APE
Nuke The Site From
Operational Security For Hackers
Playing the Shell Game: Non-Root-Kits
RFID (in)securities
There's something shiny in that Word doc!
Understanding the Java Serialization Attack Surface
Unsolvable Problems in Computer Security
Wardriving in the age of Arduino
Was that a hacker wearing a Jacobean ruff?
Weapons of Mass Storage Destruction
Who's afraid of the Search and Surveillance Bill?
Windows Exploit Mitigation Techniques
Nico Waisman
Alhazred & Rob
Blair Harrison
Sean Heelan
Tecnik
Paul Craig
Peter Hannay
Andrew & Patrick
Ben Nagy
Pipes
Mike Jager
Oddy
Eon
Metlstorm
Dr Anne Galloway
Kirk Jackson
Daniel Grzelak
Peter Gutmann
Follower
Fosm
Cartel
Marissa Johnpillai
Brett Moore
https://www.kiwicon.org/the-con/talks/
RUXCON 2010
L’édition 2010 de la conférence RUXCON s’est tenue les 20 et 21 novembre à
Melbourne. Les supports des présentations sont pour la plupart accessibles en ligne.
Automatically Identifying C structs from Binaries
Breaking Linux Security Protections
Breaking Virtualization by switching the CPU to Virtual 8086 Mode
Code Analysis Carpentry
DEP in Depth
DnsÜberNOOBer
Everybody be cool this is a Roppery!
Fast Automated Unpacking and Classification of Malware
Ghost in the Shell(code)
Hooray for Reading: The Kindle and You
How to do Real World Computer Forensics ... and not get Burned
Instrumenting the Linux Kernel with Kprobes for Anti-Security
Killing the Elephant in the Room - Enterprise Vulnerability Management Tactics
Milking a Horse or Executing Remote Code in Modern Java Web Frameworks
No Holds Barred’ Penetration Testing
Padding Oracle for the Masses
Prospecting for Rootite: More Code Coverage, More Bugs, Less Wasted Effort
Kuza55
Andrew Griffiths
Endrazine
Sean Heelan
Brett Moore
Jaco van Heerden
Tim Kornau
Silvio Cesare
Matthew de Carteret
Peter Hanney
Nick Klein
Ryan O'Neill
Matt J
Meder Kydryraliev
Jarrod Loidl
Nicolas Waisman
Ben Nagy
Page 19
DECEMBRE 2010
Red Teaming
RFID Security
Security in Public-Safety Radio Systems, APCO Project 25
The Australian Internet Security Initiative - Fighting Botnets at the Source
The Computer Forensic & eDiscovery Tools that Time Forgot
This Job makes you Paranoid
Understanding the Java Serialization Attack Surface
Virtualization Security State of the Union
We’ve been hacked! What went wrong and why
Web Scanners FOR THE WIN...
Will it Blend
Michael Jordon
Edward Farrell
S Glass & M Robert
Mark Chaffe
Adam Daniel
Alex Tilley
Daniel Grzelak
David Jorm
Mark Goudie
Louis Nyffenegger
Billy Rios
http://www.ruxcon.org.au/archive/2010-materials/
EKOPARTY 2010
Les supports des présentations, mais aussi des vidéos, de la conférence EkoParty 2010 sont
désormais, pour la plupart, disponibles en ligne. Cette conférence technique était organisée les 16
et 17 septembre derniers à Buenos Aires, Argentine.
2x1 Microsoft Bugs: 'Virtual PC hyper-hole-visor' + 'Windows Creation Vulnerability’
Atacando VoIP....un paraiso
Distinguishing Lockpicks: Raking vs Lifting vs Jiggling and More
Exploiting Digital Cameras
Hacking, an activity of public interest?
Hanging on a ROPe
Historias de 0days, Disclosing y otras yerbas
iPhone Rootkit? There's an App for That!
Jackpotting Automated Teller Machines
Network-based detection of PE structural anomalies and linker characteristics
Padding oracles everywhere
Pentesting Driven by FOCA es una herramienta gratuita
Sandboxing based on SECCOMP for Linux kernel
SAP Backdoors: A ghost at the heart of your business
Token Kidnapping's Revenge
Understanding the Low Fragmentation Heap: From Allocation to Exploitation
Understanding the Win SMB NTLM Weak Nonce Vulnerability
Virtually Pwned: Pentesting VMware
Web Application Security Payloads
WPA Migration Mode: WEP is back to haunt you...
Wrong Way,.. a Black Hat True Story
Your life online: No more secrets
N.Economou
G.Cruz
D.Ollam
A.Ortega, O.Isacson
C.Blancher
P.Sole
C.Cerrudo
E.Monti
B.Jack
G.Golomb
J.Rizzo, T.Duong
C.Alonso
N.Bareil
MN.di Croze
C.Cerrudo
C.Valasek
A.Azubel
C.Criscione
A.Riancho, L.Apa
D.Sor, F.Meiners
Michael Hudson
R.Temmingh
http://www.ekoparty.org/archivo.php
GUIDES
NIST – ETAT DES GUIDES DE LA SERIE SPECIALE 800
Le NIST vient de publier pour commentaire la première révision du guide SP800-51,
précédemment intitulé ‘Use of the Common Vulnerabilities and Exposures Vulnerability
Naming Scheme’ et renommé ‘Guide to Using Vulnerability Naming Schemes’, ainsi que la
seconde révision du guide SP800-70 ‘NCP for IT Products - Guidelines for Checklist Users and
Developers’. Le guide SP800-39 ‘Integrated Enterprise-Wide Risk Management: Organization, Mission,
and Information System View’ est également diffusé dans une version modifiée avant publication finale et
le nouveau guide SP800-137 ‘Information Security Continuous Monitoring for Federal Information
Systems and Organizations’ publié pour commentaires.
Enfin sont publiées les versions finales des guides SP800-135 ‘Recommendation for Existing ApplicationSpecific Key Derivation Functions’ et SP800-119 ‘Guidelines for the Secure Deployment of IPv6’.
SP800-142
SP800-137
SP800-135
Practical Combinatorial Testing
Information Security Continuous Monitoring for Federal IS and Organizations
Recommendation for Existing Application-Specific Key Derivation Functions
[R]
[R]
[F]
10/10
12/10
12/10
N
M
Page 20
DECEMBRE 2010
SP800-132
SP800-131
SP800-130
SP800-128
SP800-127
SP800-126r1
SP800-126
SP800-125
SP800-124
SP800-123
SP800-122
SP800-121
SP800-120
SP800-119
SP800-118
SP800-117
SP800-116
SP800-115
SP800-114
SP800-113
SP800-111
SP800-110
SP800-108
SP800-107
SP800-106
SP800-104
SP800-103
SP800-102
SP800-101
SP800-100
SP800-98
SP800-97
SP800-96
SP800-95
SP800-94
SP800-92
SP800-90
SP800-89
SP800-88
SP800-87r1
SP800-86
SP800-85A2
SP800-85A1
SP800-85B1
SP800-85B
SP800-84
SP800-83
SP800-82
SP800-81r1
SP800-80
SP800-79r1
SP800-78-3
SP800-78-2
SP800-77
SP800-76r1
SP800-73r3
SP800-73r2
SP800-72
SP800-70r2
SP800-70r1
SP800-70
SP800-69
SP800-68r1
SP800-67
SP800-66r1
SP800-65r1
SP800-65
Recommendation for Password-Based Key Derivation - Part 1: Storage Applications
Recommendation for the Transitioning of Cryptographic Algorithms and Key Sizes
Framework for Designing Cryptographic Key Management Systems
Guide for Security Configuration Management of Information Systems
Guide to Securing WiMAX Wireless Communications
The Technical Specification for SCAP
The Technical Specification for SCAP
Guide to Security for Full Virtualization Technologies
Guidelines on Cell Phone and PDA Security
Guide to General Server Security
Guide to Protecting the Confidentiality of Personally Identifiable Information
Guide to Bluetooth Security
EAP Methods used in Wireless Network Access Authentication
Guidelines for the Secure Deployment of IPv6
Guide to Enterprise Password Management
Guide to Adopting and Using the Security Content Automation Protocol
Recommendation for the Use of PIV Credentials in Physical Access Control Systems
Technical Guide to Information Security Testing
User’s Guide to Securing External Devices for Telework and Remote Access
Guide to SSL VPNs
Guide to Storage Encryption Technologies for End User Devices
Information System Security Reference Data Model
Recommendation for Key Derivation Using Pseudorandom Functions
Recommendation for Using Approved Hash Algorithms
Randomized Hashing Digital Signatures
A Scheme for PIV Visual Card Topography
An Ontology of Identity Credentials, Part I: Background and Formulation
Recommendation for Digital Signature Timeliness
Guidelines on Cell Phone Forensics
Information Security Handbook: A Guide for Managers
Guidance for Securing Radio Frequency Identification (RFID) Systems
Guide to IEEE 802.11i: Robust Security Networks
PIV Card / Reader Interoperability Guidelines
Guide to Secure Web Services
Guide to Intrusion Detection and Prevention (IDP) Systems
Guide to Computer Security Log Management
Random Number Generation Using Deterministic Random Bit Generators
Recommendation for Obtaining Assurances for Digital Signature Applications
Guidelines for Media Sanitization
Codes for the Identification of Federal and Federally-Assisted Organizations
Computer, Network Data Analysis: Forensic Techniques to Incident Response
PIV Card Application and Middleware Interface Test Guidelines
PIV Card Application and Middleware Interface Test Guidelines
PIV Middleware and PIV Card Application Conformance Test Guidelines
PIV Middleware and PIV Card Application Conformance Test Guidelines
Guide to Single-Organization IT Exercises
Guide to Malware Incident Prevention and Handling
Guide to Industrial Control Systems (ICS) Security
Secure Domain Name System (DNS) Deployment Guide
Guide for Developing Performance Metrics for Information Security
Guidelines for Certification & Accreditation of PIV Card Issuing Organizations
Cryptographic Algorithms and Key Sizes for Personal Identity Verification
Cryptographic Algorithms and Key Sizes for Personal Identity Verification
Guide to Ipsec VPNs
Biometric Data Specification for Personal Identity Verification
Interfaces to Personal Identity Verification
Interfaces to Personal Identity Verification
Guidelines on PDA Forensics
NCP for IT Products - Guidelines for Checklist Users and Developers
NCP for IT Products - Guidelines for Checklist Users and Developers
The NIST Security Configuration Checklists Program
Guidance for Securing Microsoft Windows XP Home Edition
Guidance for Securing Microsoft Windows XP Systems for IT Professionals
Recommendation for the Triple Data Encryption Algorithm Block Cipher
An Introductory Resource Guide for Implementing the HIPAA Security Rule
Integrating IT Security into the Capital Planning and Investment Control Process
Integrating IT Security into the Capital Planning and Investment Control Process
[F]
[R]
[R]
[R]
[F]
[R]
[F]
[R]
[F]
[F]
[F]
[F]
[F]
[F]
[R]
[F]
[F]
[F]
[F]
[F]
[R]
[R]
[F]
[F]
[F]
[F]
[R]
[F]
[F]
[F]
[F]
[F]
[R]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[R]
[F]
[F]
[F]
[R]
[F]
[R]
[F]
[R]
[F]
[F]
[F]
[R]
[F]
[F]
[R]
[F]
[F]
[F]
[F]
[F]
[F]
[R]
[F]
12/10
06/10
06/10
03/10
09/10
05/10
11/09
07/10
11/08
07/08
04/10
09/08
09/09
12/10
04/09
07/10
11/08
09/08
11/07
07/08
11/07
09/07
11/08
02/09
02/09
06/07
09/06
09/09
05/07
03/07
04/07
02/07
09/06
08/07
02/07
09/06
03/07
11/06
09/06
04/08
08/06
07/10
03/09
09/09
07/06
09/06
11/05
09/08
08/10
05/06
06/08
11/10
02/10
12/05
01/07
08/09
09/08
11/04
12/10
09/09
05/05
08/06
07/08
06/08
10/08
07/09
01/05
M
N
Page 21
DECEMBRE 2010
SP800-64r2
SP800-63r1
SP800-61r1
SP800-60r1
SP800-59
SP800-58
SP800-57p1
SP800-57p2
SP800-57p3
SP800-56A
SP800-56B
SP800-56C
SP800-55r1
SP800-54
SP800-53r3
SP800-53r2
SP800-53Ar1
SP800-53A
SP800-52
SP800-51r1
SP800-51
SP800-50
SP800-49
SP800-48r1
SP800-47
SP800-46r1
SP800-46
SP800-45V2
SP800-44V2
SP800-43
SP800-42
SP800-41r1
SP800-41
SP800-40-2
SP800-39
SP800-38E
SP800-38D
SP800-38C
SP800-38B
SP800-38Aa
SP800-38A
SP800-37r1
SP800-37
SP800-36
SP800-35
SP800-34r1
SP800-34
SP800-33
SP800-32
SP800-31
SP800-30
SP800-29
SP800-28v2
SP800-27A
SP800-26r1
SP800-26
SP800-25
SP800-24
SP800-23
SP800-22r1a
SP800-21
SP800-16r1
SP800-12
Security Considerations in the Information System Development Life Cycle
Electronic Authentication Guidelines
Computer Security Incident Handling Guide
Guide for Mapping Types of Information & IS to Security Categories
Guideline for Identifying an Information System as a National Security System
Security Considerations for Voice Over IP Systems
Recommendation for Key Management, 1: General Guideline
Recommendation for Key Management, 2: Best Practices
Recommendation for Key Management, 3: Application-Specific Key Management
Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography
Pair-Wise Key Establishment Using Integer Factorization Cryptography
Recommendation for Key Derivation through Extraction-then-Expansion
Security Metrics Guide for Information Technology Systems
Border Gateway Protocol Security
Recommended Security Controls for Federal Information Systems
Recommended Security Controls for Federal Information Systems
Guide for Assessing the Security Controls in Federal Information Systems
Guide for Assessing the Security Controls in Federal Information Systems
Guidelines on the Selection and Use of Transport Layer Security
Guide to Using Vulnerability Naming Schemes
Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme
Building an Information Technology Security Awareness & Training Program
Federal S/MIME V3 Client Profile
Guide to Securing Legacy IEEE 802.11 Wireless Networks
Security Guide for Interconnecting Information Technology Systems
Guide to Enterprise Telework and Remote Access Security
Security for Telecommuting and Broadband Communications
Guide On Electronic Mail Security
Guidelines on Securing Public Web Servers
System Administration Guidance for Windows00
Guidelines on Network Security testing
Guidelines on Firewalls and Firewall Policy
Guidelines on Firewalls and Firewall Policy
Creating a Patch and Vulnerability Management Program
Integrated Enterprise-Wide Risk Management: Organization, Mission,…
Recommendation for Block Cipher Modes of Operation – XTS-AES
Recommendation for Block Cipher Modes of Operation – GCM
Recommendation for Block Cipher Modes of Operation – CCM
Recommendation for Block Cipher Modes of Operation – RMAC
Recommendation for Block Cipher Modes of Operation: Ciphertext Stealing for CBC
Recommendation for Block Cipher Modes of Operation – Method and Techniques
Guidelines for the Security C&A of Federal Information Technology Systems
Guidelines for the Security C&A of Federal Information Technology Systems
Guide to IT Security Services
Guide to Selecting IT Security Products
Contingency Planning Guide for Information Technology Systems
Contingency Planning Guide for Information Technology Systems
Underlying Technical Models for Information Technology Security
Introduction to Public Key Technology and the Federal PKI Infrastructure
Intrusion Detection Systems
Risk Management Guide for Information Technology Systems
Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2
Guidelines on Active Content and Mobile Code
Engineering Principles for Information Technology Security – Rev A
Guide for Inform. Security Program Assessments & System Reporting Form
Security Self-Assessment Guide for Information Technology Systems
Federal Agency Use of PK Technology for Digital Signatures and Authentication
Finding Holes in Your PBX Before Someone Else Does
Guidelines to Federal Organizations on Security Assurance
Statistical Test Suite for Random and Pseudorandom Number Generators
Guideline for Implementing Cryptography in the Federal Government
Information Security Training Requirements: A Role & Performance Based Model
An Introduction to Computer Security: The NIST Handbook
[F] Finalisé
[F]
[R]
[F]
[F]
[F]
[F]
[F]
[F]
[D]
[F]
[F]
[R]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[R]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[R]
[F]
[F]
[F]
[F]
[R]
[F]
[R]
[F]
[F]
[F]
[R]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[R]
[F]
[F]
[F]
[F]
[F]
[F]
[R]
[F]
10/08
12/08
03/08
08/08
08/03
03/05
03/07
08/05
10/08
03/07
09/09
10/10
08/08
07/07
08/09
12/07
05/10
06/08
06/05
12/10
09/02
03/03
11/02
08/08
08/02
06/09
08/02
02/07
09/07
11/02
10/03
09/09
01/02
11/05
12/10
01/10
11/07
05/04
05/05
07/10
12/01
11/09
04/04
10/03
10/03
10/09
06/02
12/01
02/01
11/01
01/04
10/01
03/08
06/04
08/05
11/01
10/00
08/00
08/00
04/10
12/05
03/09
10/95
N
M
[R] Relecture
http://csrc.nist.gov/publications/PubsSPs.html
- Catalogue des publications
Page 22
DECEMBRE 2010
DISA – GUIDES ET CHECK LISTES DE SECURISATION
La DISA vient de publier la mise à jour le guide de sécurisation de la console de gestion
IBM HMC.
[0 Mise(s) à jour, 1 Nouveau(x) Document(s)]
APPLICATIONS
Applications
Sécurité et Développement
Services
Microsoft Exchange 2003
ESM
ERP
Database
Générique
Oracle 9, 10 et 11
MS SQL Server 7, 2000, 2005
ISA Server
2006 OWA Proxy
ENVIRONNEMENTS
Access Control
Directory Service
Collaboration
Desktop
Générique
Windows
Enclave
Périmètre
.NET
Personal Computer Clients
Voix, Vidéo et Collaboration
Secure Remote Computing
Instant Messaging
Biométrie
VoIP
Voix sur IP
VVoIP
Voix et Video sur IP
Vidéo Téléconférence
PERIPHERIQUES
Sharing peripheral across the network
- Multi-Function Device (MFD) and Printer Checklist
- Keyboard, Video, and Mouse (KVM) Switch Checklist
- Storage Area Network (SAN) Checklist
- Universal Serial Bus (USB) Checklist
Removable Storage and External Connection Technologies
RESEAUX
Network
Policy
L2 Switch
Infrastucture router L3 switch
Perilmeter router L3 switch
IDS/IPS
Firewall
Other devices
Wireless
Liste de contôle générique
Blackberry Guidance for BES
BlackBerry
Apriva
Motorola
Good
Windows
Wireless
LAN Security Framework
LAN Site Survey
LAN Secure Remote Access
Mobile Computing
SERVICES
DNS
Générique
Web Servers
Générique
IIS
Netscape/Sun
Apache
TomCAT
WebLogic
SYSTEMES
IBM
HMC (Hardware Mngt Cons.)
VM
Guide (STIG)
3.2
1.1
1.3
1.1
1.1
8.1
29/10/10
17/01/06
25/04/10
05/06/06
10/04/07
19/10/07
1.2
29/06/10
2.3
1.1
1.1
4.1
4.1
4.2
29/10/10
10/03/06
28/03/07
03/12/10
03/12/10
31/03/08
1.1
2.3
1.2
1.3
2.2
3.2
1.1
26/06/08
27/08/10
15/02/08
10/11/05
21/04/06
27/08/10
08/01/08
1.2
27/07/10
1.1
27/07/10
8.4
8.4
8.4
8.4
8.4
8.4
8.4
6.3
1.1
1.2
5.2.2
5.2.3
6.3
5.2.4
2.1
1.1
1.1
1.1
29/10/10
29/10/10
29/10/10
29/10/10
29/10/10
29/10/10
29/10/10
29/10/10
24/05/10
29/10/10
15/04/09
15/04/09
23/04/10
15/04/09
31/10/05
31/10/05
31/10/05
31/10/05
4.1
7.1
17/10/07
12/09/10
1.1
2.2
08/11/10
04/03/05
Check Liste
1.1.1
1.2
1.1.3
1.1.1
8.1.6
8.1.8
8.1.7
21/09/06
05/01/10
10/04/07
10/04/07
27/08/10
27/08/10
27/08/10
1.1.5
1.1
3.1.11
28/08/09
28/03/07
09/03/07
4.2
1.2.3
1.1.1
2.1
1.2.5
2.1.1
2.2.4
31/03/08
18/02/09
15/08/08
02/10/09
15/04/09
17/10/07
12/08/08
1.1.2
06/11/08
1.1.3
1.1.3
1.1.4
1.1.3
09/04/09
19/12/08
26/06/09
19/12/08
4.1.10
29/10/10
6.1.12
6.1.6
6.1.12
6.1.5
6.1.4
23/04/10
26/06/09
23/04/10
14/04/09
14/04/09
N
2.2.1
04/06
Page 23
DECEMBRE 2010
OS/390 & z/OS
MacOS/X
TANDEM
UNISYS
UNIX
SUN
OPEN VMS
WINDOWS
VMWare ESX
Citrix XENApp
AUTRE
AntiVirus Security Guidance
Best Practice Security
Browser Security Guidance
Cloud Computing
Medical Devices
Office Security Guidance
Générique
Logical Partition
RACF
ACF2
TSS
Solaris 2.6 à 2.9
RAY 4
NT
2000
XP
Vista
2003
2008
7
Addendum 2000/XP/Vista/2003
Générique
McAfee
Symantec
Générique
IE6
IE7
IE8
Firefox
Guidance
Microsoft Office 2003
6.1.1
2.2
6.5
6.5
6.5
1.1
2.2
7.2
5.1
06/08/09
04/03/05
29/10/10
29/10/10
29/10/10
15/06/04
04/03/05
28/08/06
04/04/06
1.1.1
17/04/09
3.1
6.1.19
6.1.19
6.1.19
6.1.19
6.1.12
1.2
6.1
1.1.0
1.1.2
26/12/02
27/08/10
27/08/10
27/08/10
27/08/10
27/08/10
27/08/10
21/05/07
28/04/08
15/10/09
4.1
4.3
4.1
03/12/09
27/08/10
03/12/09
4.2
4.2
1.3
4.2
1.0.2
1.1
4.1
4.2
23/04/10
23/04/10
27/08/10
23/04/10
01/07/10
27/07/10
03/12/09
26/08/09
5.2.7
2.1.4
17/01/08
04/06
1.1.3
2.1.2
7.2
5.1.27
1.1.1
2.2.3
4.1.21
28/04/06
17/04/06
24/11/06
29/10/10
20/01/04
17/04/09
17/04/06
28/07/08
1.4.0
1.1.2
15/10/09
15/10/09
2.1
29/01/07
http://iase.disa.mil/stigs/checklist/index.html
http://measurablesecurity.mitre.org/about/index.html
CIS - CATALOGUE DE PROCEDURES ET DE TESTS
Le CIS – Center for Internet Security – a publié la mise à jour des procédures de
validation de la configuration des navigateurs Firefox, Opera et des routeurs Juniper.
Les procédures relatives au système d’exploitation IBM AIX versions 5.3 à 6.2 sont disponibles.
DESKTOP
BROWSER
Mozilla Firefox
Opera
Apple Safari
PRODUCTIVITY
MOBILE
IPHONE
Apple iPhone
NETWORK
CHECKPOINT
Checkpoint Firewall
CISCO
Cisco IOS
Cisco ASA, FWSM, et PIX
JUNIPER
Juniper J, M, MX et T / JunOS 8, 9 et 10
WIRELESS
Wireless Network Devices
Wireless Networks Real World Assessment Example
V1.1.0
V1.1.0
V1.0.0
16/11/10
18/05/10
05/05/10
V1.0.0
18/12/09
V1.2.0
20/09/10
V1.0.0
11/12/09
V2.2.0
V2.0.0
20/11/07
20/12/07
V1.0.1
11/11/10
V1.0.0
V1.0.0
14/04/05
14/04/05
M
M
M
Page 24
DECEMBRE 2010
Wireless
Wireless
Wireless
Wireless
Wireless
Networks
Networks
Networks
Networks
Networks
Cisco Hardware addendum
Assessment document
DLink Hardware addendum
Linksys Hardware addendum
Apple Hardware addendum
OS
LINUX
Debian
Redhat Enterprise 5.x
Redhat Enterprise 4.x
Slackware 10.2
Suse Enterprise Server 9/10
NETWARE
Novell Netware 6.5
UNIX
Apple OSx 10.4
Apple OSx 10.5
AIX 4.3.2/4.3.3/5L/5.1
AIX 5.3-6.1
FreeBSD 4.1
HP-UX 11i
Solaris 2.5.1-9
Solaris 10,11/06,8/07
WINDOWS
Microsoft Windows NT
Microsoft Windows 2000 Professionnel
Microsoft Windows 2000 Server
Microsoft Windows XP
Microsoft Windows 2003 Server Member
Microsoft Windows 2003 Server Domain Controller
Microsoft Windows 2008
Microsoft Windows 7
PRINT
Multi Function Print Devices
SERVERS
AUTHENTICATION
FreeRADIUS 1.1.3
DATABASE
IBM DB2
SQL Server 2000
SQL Server 2005
MySQL 4.1/5.0/5.1
Oracle Database 8i
Oracle Database 9i/10g
Oracle Database 11g
Sybase Adaptive Server 15
DNS
BIND 9.0-9.5
LDAP
OpenLDAP 2.3.39/2.4.6
Novell eDirectory 8.7
MAIL
Exchange Server 2003
Exchange Server 2007
VIRTUALIZATION
Virtual Machine Benchmark
VMware ESX Server 3.5
Xen 3.2
WEB
Apache HTTP Server 2.2.x
Apache Tomcat Server
IIS 5.0/6.0
V1.0.0
V1.0.0
V1.0.0
V1.0.0
V1.0.0
14/04/05
01/04/05
31/03/04
12/10/04
14/04/05
V1.0.0
V1.1.2
V1.0.5
V1.1.0
V2.0.0
17/08/07
17/06/09
01/10/06
16/06/06
21/05/08
V1.0.0
14/08/06
V2.0.0
V1.0.0
V1.0.1
V1.0.0
V1.0.5
V1.5.0
V1.3.0
V5.0.0
14/10/06
21/05/08
21/10/05
22/12/10
21/10/05
17/10/09
11/08/04
16/07/10
V1.0.5
V2.2.1
V2.2.1
V2.0.1
V2.0.0
V2.0.0
V1.1.0
V1.1.0
04/03/05
17/12/04
15/11/04
09/09/05
21/11/07
21/11/07
30/07/10
30/07/10
V1.0.0
24/04/09
V1.0.0
16/08/07
V1.1.0
V1.0.0
V1.2.0
V1.0.2
V1.2.0
V2.0.1
V1.0.1
V1.0.0
31/12/09
15/12/05
12/01/10
09/04/09
06/04/05
14/08/06
10/01/09
01/09/09
V2.0.0
05/05/09
V1.2.0
V1.0.0
16/08/07
26/05/06
V1.0.0
V1.1.0
15/08/05
16/07/10
V1.0.0
V1.2.0
V1.0.0
18/10/07
31/12/09
16/05/08
V3.0.0
V1.0.0
V1.0.0
18/05/10
13/12/09
16/08/07
N
M
M
http://cisecurity.org/en-us/?route=downloads.browse.category.benchmarks
Page 25
DECEMBRE 2010
INTERNET
LES DECISIONS DE L’OMPI
L’Organisation Mondiale de la Propriété Intellectuelle, OMPI ou WIPO, est chargée de
l’arbitrage et de la résolution des litiges relatifs aux noms de domaine. Parmi tous les
litiges jugés, nous commenterons ceux liés à l’usage de marques connues en France.
Le litige ‘D2010-1150’ porte sur un nom de domaine composé de la marque ALSTOM suivi du sigle TD,
un signe qui désigne usuellement l’activité ‘Transmission et Distribution’, un point sur lequel étonnament
le plaignant n’argumente pas. Le nom de domaine est transféré, le défendeur ayant par ailleurs fait savoir
que les noms de domaines ‘alstom-td.org’, ‘alstom-td.co.uk’, and ‘alstom-td.eu’ avaient fait l’objet d’une
annulation plusieurs mois avant l’engagement de la procédure.
Les arguments avancés par le détenteur du domaine ‘credit-agricole.info’ dans le cadre du litige ‘D20101683’ sont pour le moins tirés par les cheveux. Celui-ci, un néerlandais, justifie la bonne foi de cet
enregistrement au motif qu’il était désireux d’ouvrir un site destiné à aider les agriculteurs néerlandais
souhaitant s’installer en France à trouver un crédit. Le domaine est sans surprise transféré à la banque.
Le jugement du litige ‘DFR2010-0034’ portant sur quatre nom de domaines composés de la marque
Crédit Mutuel éclaire sur l’inutilité de fournir abondance de justifications sur les agissements du
défendeur ou sur la notoriété de la marque quand l’article 20 de la procédure de l’OMPI indique que le
requérant doit simplement avoir “justifié de ses droits sur l'élément objet de ladite atteinte”. Dans le cas
présent, la simple production des justificatifs issus des bases de l’INPI et de l’OHMI, suffisait à établir ces
droits sans avoir à démontrer « à des titres divers et sur des fondements divers différentes atteintes à
leurs droits ainsi qu’un comportement déloyal autonome de la part du Défendeur ». Le transfert des
domaines est ordonné.
Le détenteur du domaine ‘axape.com’ annonce avoir enregistré ce domaine dans le cadre d’un projet de
création d’une société dénommée ‘Advanced eXecutive Adult Professional Education’. L’expert en charge
du litige ‘D2010-1801’ ordonne le transfert du nom de domaine au requérant, la société AXA, au motif
d’une trop grande similarité, et donc d’une confusion possible, avec la marque AXA Private Equity.
Les experts mandatés pour arbitrer les litiges ‘DFR2010-0035’, ‘DFR2010-0036’ et ‘DMA2010-0003’ portant
respectivement sur les noms de domaines ‘cialis.fr’, ‘grandlitier.fr’ et ‘groupama.ma’ ordonnent, cela va
sans dire, le transfert de ces noms de domaine aux détenteurs des marques ‘Cialis’, ‘Grand Litier’ et
‘Groupama’.
*
*
*
*
D2010-1150
D2010-1632
D2010-1642
D2010-1649
D2010-1651
* D2010-1666
D2010-1683
D2010-1789
D2010-1801
* DFR2010-0034
* DFR2010-0035
DFR2010-0036
* DMA2010-0003
alstom-td.org
larueducommerce.com
rueducmmerce.com
poker-partouche.com
chaussuresfeiyue.com
china-feiyue-shoes.com
feiyuechaussures.com
feiyuefootwear.com
feiyuesneakers.com
epargnecaisse.com
credit-agricole.info
canalsatmaurice.com
axape.com
comparateur-credit-mutuel-assurances.fr
comparateur-credit-mutuel.fr
comparatif-credit-mutuel-assurances.fr
comparatif-credit-mutuel.fr
cialis.fr
grandlitier.fr
groupama.ma
: Transfert du domaine,
: maintien du domaine,
⌧: Annulation du domaine
ALSTOM
The RueDuCommerce Co.
The RueDuCommerce Co.
Groupe Partouche
FEIYUE of Paris
26/11
25/11
22/11
15/11
14/12
BPCE
Credit Agricole S.A.
Canal + France
AXA SA
Confédération Nationale du
Crédit Mutuel et Groupe des
Assurances du Crédit Mutuel
12/11
01/12
13/12
20/12
27/11
Eli Lilly and Company
First Service
Groupama SA
10/12
13/12
*: pas de réponse du détenteur
http://www.wipo.int/rss/index.xml?col=dnddocs
http://www.wipo.int/freepublications/fr/arbitration/779/wipo_pub_779.pdf
http://www.wipo.int/amc/en/domains/search/fulltext_decisions.jsp
- Dernières décisions
- Procédure de règlement des litiges
- Outil de recherche
STANDARDS
Page 26
DECEMBRE 2010
IETF – LES RFC TRAITANT DIRECTEMENT DE LA SECURITE
Thème
AAA
CMS
DSKPP
Num Date Etat
Titre
6065
6031
6032
6033
6063
AAA Services to Dynamically Provision View-Based Access Control Model User-to-Group Mappings
Cryptographic Message Syntax (CMS) Symmetric Key Package Content Type
Cryptographic Message Syntax (CMS) Encrypted Key Package Content Type
Algorithms for Cryptographic Message Syntax (CMS) Encrypted Key Package Content Type
Dynamic Symmetric Key Provisioning Protocol (DSKPP)
12/10
12/10
12/10
12/10
12/10
Pst
Pst
Pst
Pst
Pst
IETF – LES RFC LIES A LA SECURITE
Thème
Num Date Etat
Titre
NAT
TUN
6062
6040
Traversal Using Relays around NAT (TURN) Extensions for TCP Allocations
Tunnelling of Explicit Congestion Notification
11/10 Pst
11/10 Pst
IETF – LES NOUVEAUX DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
SMIME
TLS
draft-hernandez-ardieta-smime-eesp-00
draft-ietf-dane-protocol-00
23/12 Extended Electronic Signature Policies
12/12 Secure DNS to Associate Certificates with Domain Names For TLS
IETF – LES MISES A JOUR DE DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
AFS
AUTHRES
CRYPTO
draft-brashear-afs3-pts-extended-names-07
draft-kucherawy-authres-vbr-01
draft-mcgrew-fundamental-ecc-04
draft-eastlake-sha2b-05
draft-turner-md5-seccon-update-08
draft-turner-akf-algs-update-02
draft-turner-ekpct-algs-update-02
draft-ietf-dhc-secure-dhcpv6-02
draft-ietf-emu-eaptunnel-req-09
draft-meadors-certificate-exchange-12
draft-harkins-ipsecme-spsk-auth-03
draft-ietf-opsec-ip-security-05
draft-ietf-krb-wg-gss-cb-hash-agility-06
draft-sorce-krbwg-general-pac-01
draft-dawes-dispatch-mediasec-parameter-03
draft-ietf-netconf-rfc4742bis-05
draft-hartman-ospf-analysis-02
draft-ietf-pkix-pubkey-caps-01
draft-ietf-softwire-dslite-radius-ext-01
draft-ietf-roll-security-framework-03
draft-ietf-csi-hash-threat-11
draft-ietf-sipcore-sec-flows-07
draft-ietf-avt-srtp-big-aes-05
draft-perkins-avt-srtp-vbr-audio-05
draft-nsri-avt-aria-srtp-01
draft-saintandre-tls-server-id-check-12
draft-hoffman-server-has-tls-02
draft-ietf-tls-ssl2-must-not-04
29/11
29/11
10/12
20/12
29/12
23/12
23/12
20/12
16/12
13/12
22/12
16/12
24/12
17/12
25/11
20/12
16/12
12/12
29/12
10/12
26/11
13/12
29/11
12/12
21/12
13/12
26/12
17/12
DHCP
EAP
EDIINT
IPSEC
IPV4
KERB
MEDIASEC
NETCONF
OSPF
PKIX
RADIUS
ROLL
SEND
SIP
SRTP
TLS
Authentication Name Mapping ext for AFS-3 Protection Service
Authentication-Results Registration For Vouch
Fundamental Elliptic Curve Cryptography Algorithms
US Secure Hash Algorithms (SHA and SHA based HMAC & HKDF)
Updated Security Considerations for the MD5 Message-Digest
EC Algorithms for CMS Asymmetric Key Package Content Type
EC Algorithms for CMS Encrypted Key Package Content Type
Secure DHCPv6 Using CGAs
Requirements for a Tunnel Based EAP Method
Certificate Exchange Messaging for EDIINT
Secure PSK Authentication for IKE
Security Assessment of the Internet Protocol version 4
Kerberos Version 5 GSS-API Channel Binding Hash Agility
A Generalized PAC for Kerberos V5
Capability Exchange for Media Plane Security
Using the NETCONF Configuration Protocol over Secure Shell
Analysis of OSPF Security According to KARP Design Guide
S/MIME Capabilities for Public Key Definitions
RADIUS Extensions for Dual-Stack Lite
Security Framework for Routing over Low Power & Lossy Networks
SEND Hash Threat Analysis
Example call flows using SIP security mechanisms
The use of AES-192 and AES-256 in Secure RTP
Guidelines for the use of Variable Bit Rate Audio with Secure RTP
The ARIA Algorithm and Its Use with SRTP
Verification of Domain-Based Application Service Identity
Specifying That a Server Supports TLS
Prohibiting SSL Version 2.0
Page 27

Veille Technologique Sécurité

Transcription

Documents pareils

Télécharger

AUX ETATS-UNIS Social Security 401k, 403b EN FRANCE Régime

HEBERGEMENT WEB LUXEMBOURG

Data - Stormshield

Tableau comparatif

TÜV SÜD Acertigo Compliance Services - Certificate

Security Center - Certification technique Omnicast