IT Security

Layered security on my laptop, in 10 (not so easy) steps !

160106-hardening0Some of my friends tell my I’m kind of paranoid, but I can’t help keeping my laptop very secure (at least as much I believe).

When Windows 10 was released, I had the following options: either keep Windows 8 on my PC, or upgrade to Win10, with some advantages. The start menu was back (although I didn’t need it since I’m using the great TrueLaunchBar utility since many many years), it was a free upgrade (I know what you’ll think about this), and it allowed me to be more secure and test new features. On the other side, it’s obvious Microsoft has shifted into the Cloud business, and now heavily relies on data harvesting. That means I need to harden my laptop to prevent any data leaks.

If you want to understand how to setup a similar config, here is my step-by-step checklist of what I’ve done :

My own Spam Tracker

spamtracker

Since nearly 10 years, I use dedicated email addresses/passwords for every single website or company I register online.

That may seem cumbersome to many, as I need to log into a custom platform to create a new email address during registration, and I need to keep a record of all those passwords/emails/credentials somewhere, to remember what and where I’ve done, but this has numerous benefits :

Messing around with Python versions

I’ve recently reinstalled or updated most of my currently used applications. During the process, 150122.pythonI’ve lost several hours messing around with Python versions and architecture models, « thanks » to cryptic error messages, and incompatibilities.

Here’s a short summary of issues and solutions, so you won’t spend useless time finding what’s wrong !

If you don’t want to read all this, just in short, install both 32bit builds of Python 2.7 and Python 3.3, and NOT the 64bit builds or Python 3.4.

CISOs, are corporate Policies obsolete? And are you already dead?

suicide

I’ve always wondered about this dilemna :

Even if, as a CISO, you define the best Infosec policy ever, and forbid your users all use of Cloud or unknown services such as Gmail, Dropbox, LogMeIn, TeamViewer to prevent Data Leakage, is that really efficient ?

Your company is not in a closed environment. Or it is already in bankrupcy, because you don’t have clients and contractors.

So. I’ve erased all my Tweets – Bref. j’ai effacé mes Tweets !

140108-Banning-TwitterAmongst the good resolutions I’ve taken for 2014, I’ve decided to reset my Twitter account !

You may have noticed that I didn’t tweet anything after december 30th, 2013. The reason for this is that I wanted to archive all my previous tweets and delete them. It’s really no use keeping them on Twitter, as I realized most tweets are about fresh news that becomes obsolete a few days after, or excerpts from « personal messages » between Twitter users, that don’t need to stay online.

New great (free) tool : Microsoft Message Analyzer

131121-ether2R.I.P Microsoft Network Monitor, welcome Microsoft Message Analyzer !

As I was investigating all my issues, I tried to see if there was another tool to sniff low-level packets and interactions with the system. Wireshark is a good sniffer, but being multiplatform and portable limits its capabilities to network.

I discovered that Microsoft had a new free product replacing their old (but still good) Network Monitor 3.4. It’s called Microsoft Message Analyzer, can be downloaded here, and seems to be quite interesting according to the dedicated TechNet blog and forums.

A strange behavior of my PC

131101-investigationLast february, I’ve ordered and received a new laptop, to act as my main personal PC. Quite sophisticated, with lots of RAM, CPU, GPU, and SSD, so I could use it also as my infosec lab (running VMs, calculating hashes, doing forensics and more). As my close friends know, I always buy licenses of software I use, and don’t mess with pirated software for a few ethical reasons. So I also bought a Windows 8 Pro set of DVDs from my local store, and installed it a few days later. I also spent several weeks reinstalling all my software from scratch, reactivating licenses and configuring the whole so I could find my old environment back on the new laptop. So this was a laptop which wasn’t supposed to be crashing, using legit software, and admit I really enjoy using it.

But the issues that I experience since the acquisition are quite annoying, forcing me to stay « offline » for several weeks since the begining of the year, and spending days trying to recover backups, understand issues and more… Some of my frequent email correspondants know that I had those issues, since I was quite slow in answering emails during those « shutdown » periods…

My new PGP/GnuPG key

Here comes the time for me to update my PGP key, based on the current « NSA » trend ! My old key (0xC0A6497D) was created in 2001 (times goes so fast!), and used a 1024bit key, so now it’s time to declare it obsolete.   Here is the link to my new key (0xC59592BE). It has been certified with my old key so you can recognize it, but the best is always to meet and exchange signatures by hand.

Internet, la vie et moi…

130705-prismJe suis clairement pessimiste, et ne le cache pas.

Depuis quelques semaines, l’actualité ne cesse de brasser les révélations d’Edward Snowden. Le scandale relatif à l’ampleur des interceptions effectuées par les services de renseignement américain dans le cadre du programme PRISM semble intéresser les médias, qui continuent à souffler sur les braises tant qu’il y en a. Et c’est tant mieux, car le public semble prendre conscience que tout cela n’est pas seulement de la fiction comme Hollywood sait si bien en faire, ou de la paranoïa de geek libertaire, mais bel et bien la réalité.

SPAM, quand tu nous tiens…

130516-spamPréambule : I’ve bricked my PC

Mon ordinateur personnel principal, pourtant tout neuf, est hors-service. Totalement inutilisable ! Il ne démarre même plus (« I’ve bricked my PC », diraient les anglophones).

Cela a été provoqué par une simple mise à jour du BIOS, suite à des écrans bleus que j’avais systématiquement en sortie de veille (sous Windows 8 x64). Heureusement, j’ai un contrat de support Premium, ce qui fait qu’un technicien devrait passer prochainement changer la carte mère.

Cela me permet de me concentrer sur d’autres choses… prenons par exemple le spam que je reçois dans l’une de mes principales boîtes de messagerie.

Cybersécurité : le bras de fer

Ce qui n’était qu’une esquisse un peu floue se dessine désormais clairement à l’horizon du paysage numérique. Le bras de fer des enjeux de la société numérique et de la maîtrise de l’information est en cours, et les forces en jeu sont de plus en plus importantes.

J’étais sur Paris il y a quelques semaines, et en allumant la télévision du matin, sur la chaîne parlementaire (LCP), l’émission « Bibliothèque Médicis » de Public-Sénat invitait aux côté de Jean-Pierre Elkabach un écrivain plutôt connu pour ses romans d’espionnage bien informés, Percy Kemp.  Il présentait son dernier livre, Le Prince, à classer dans la catégorie gouvernance politique, ou géostratégie. Ce petit livre, je l’ai bien entendu acheté dès que possible dans le cadre de ma collecte rituelle d’ouvrages (cf. mon précédent billet), puis lu en un trait. Il se veut didactique et après un état des lieux de la situation à laquelle sont confrontés nos dirigeants dans le monde en ce moment, l’ouvrage propose quelques armes pour ne pas perdre la face et tenter de s’en sortir.

InsomniHack 2013

130325-tipiak-piratesQue dire de beau sur la dernière édition d’InsomniHack, qui s’est déroulée en grande pompe à PalExpo Genève ?

C’était bien, trèès bien même ! Comme d’habitude, donc 😉

Cette année, l’organisateur de l’évènement – SCRT – avait mis les grands moyens, puisqu’il s’agissait de 2 journées bien remplies, avec des ateliers thématiques la première journée, 14 conférences la seconde journée, bien entendu suivies du désormais renommé concours de Ethical Hacking durant une bonne partie de la nuit.

De nombreux intervenants de prestige étaient de la fête, notamment le célebrissime Charlie Miller, ou encore Stephen Ridley, pour les guest-stars ! Et comme j’ai eu la chance d’être dans le même hôtel qu’eux et de me retrouver à prendre mon p’tit déj en tête-à-tête, on a pu faire un peu mieux connaissance. Ca m’a également permis de retrouver de bons amis que je croise de conf en conf, comme RootBSD, Nicob ou Mario. Bref, c’est toujours une satisfaction de faire de telles conférences, et j’avoue que la promesse que je me suis faite de limiter mes participations aux confs sécurité cette année (pour cause de trop d’activités annexes…) sera difficile à tenir. Sysdream m’a d’ailleurs proposé de revenir une fois de plus à HackInParis pour y animer un atelier, comme l’année dernière. On verra si je peux, pas gagné.

Pour en revenir aux conférences, elles étaient d’un bon niveau, très intéressantes. Je n’ai malheureusement pas pu assister à la moitié d’entre-elles, d’une part car il y avait deux sessions en parallèle, et d’autre part car j’ai consacré les deux premiers créneaux de conférence à peaufiner la mienne.

Assises 2012 : La sécurité est-elle un échec ?

Je reviens des Assises de la Sécurité, édition 2012. Quelques pensées en vrac, sous forme critique et strictement personnelle. Approche frontale destinée à faire réagir. Je l’espère !

1. LES 4 GRANDES TENDANCES DU SI

Voyons comment les 4 tendances du moment dans le domaine de l’IT sont perçues dans le domaine de la sécurité des SI, du moins si je me réfère aux vendeurs présents et aux conférences…

Pour celui ou celle qui se réveillerait d’une longue hibernation ou qui aurait séjourné sur Mars ces dernières années, pour rappel il s’agit du Cloud, du BYOD, du Big Data, et enfin des réseaux sociaux (par ordre d’importance côté Assises).

Rapport Bockel sur la Cyberdéfense

De retour de vacances ! Je viens de finir de lire en détail et avec passion le rapport n° 681 du Sénat français publié le 18 juillet 2012, élaboré par M. Jean-Marie Bockel au nom de la commission des affaires étrangères, de la défense et des forces armées. (Egalement disponible en PDF). Il s’agit d’un rapport de 158 pages traitant de presque tous les aspects de la cyberdéfense, et dont le contenu est de très grande qualité.

Semaine 25 – Intensément bien !

La semaine 25 fut intense ! Du 18 au 24 juin, je suis parti en vadrouille, d’abord sur Lyon pour la conférence RSSI NetFocus France 2012, puis sur Paris pour plusieurs activités dont la Nuit du Hack.

Je viens de récupérer les photos, il faut encore que je fasse une petite sélection avant de compléter sur le blog, avec moult détails et impressions à chaud relatifs à cette semaine intéressante où j’ai pu pêle-mêle déjeuner et dîner avec un sociologue réputé, une copine d’école, des hackers russes, des personnes de l’ANSSI et d’autres organismes apparentés, des électroniciens geek, un écrivain-romancier, un groupe de rockers Goth, un ancien directeur général d’une entreprise du CAC-40…

Bring Your Own Device

J’ai commencé plusieurs billets sans les terminer… faute de temps, toujours toujours. Ce petit billet, histoire de relancer le blog, est simplement pour annoncer que je viens de terminer ma présentation sur le Bring Your Own Device dans le cadre d’une conférence du CLUSIS (Club de la Sécurité des Systèmes d’Information Suisse) à l’Hôtel Starling de l’EPFL. Je n’ai pas pu assister au SSTIC cette année, mais le coup d’envoi est donné pour les autres conférences : Netfocus France la semaine prochaine, suivi de La Nuit du Hack (10è édition), ou j’anime respectivement des ateliers RSSI sur les aspects juridiques ou le BYOD, et un atelier (mode geek) sur l’utilisation des uTools et des outils Forensics / système.

Photo et lectures de vacances

Photo prise au détour d’un rond-point, durant quelques jours de repos (sous la pluie), à Aix-les Bains… on voit que les Anonymous sont populaires et font leur pub ! Je n’ai pas résisté à ralentir pour prendre la photo, d’autant plus que c’est le sujet d’une prochaine présentation que je dois donner, alors autant illustrer.