VASTO : Outil pour tests d'intrusion des environnements cloud

Les tests d'intrusion on comme principal objectif d'éprouver la résistance d'un système contre des attaques. Dans ce genre d'exercice d'un type un peu particulier, l'équipe en charge de jouer le rôle de l'attaquant a une contrainte forte : Le temps mais surtout les outils et bien l'expérience de la personne qui effectue les tests.

Outils et tests de penetration

Un bon pen-testeur doit posséder une très bonne maitrise des technique d'attaques et une bonne dose d'inventivité. Dans sa trousse à outil, on y retrouve toute la panoplie du bon hacker : A chaque système ses outils. On ne teste pas des failles d'un serveur web de la même façon que pour un routeur !

Outil de test pour les environnements virtualisés
Pour être exact, il ne s'agit pas exactement d'un outil mais plutôt d'extensions à un outil incontournable pour tout pen-tester : Metasploit. VASTO (Virtualization ASsessment TOolkit ) vient enrichir metasploit avec différents "plugins" spécialement conçus pour les environnements virtualisés. Encore mieux qu'un outil "stand-alone" !

Au devant de la scène grâce aux journées "Black Hat USA 2010"

La publication de cet outil était jusqu'alors restée assez confidentielle : Celui-ci a été initialement présenté (slides, PDF) en mars 2010 lors de la réunion TROOPERS 2010 pour ensuite bénéficier d'une présentation aux journées Black Hat USA 2010. Cet outil avait d'ailleurs fait l'objet d'un article daté de mars 2010 dans SecuObs.

Systèmes de virtualisation propriétaires et opensource
Intéressant de noter que la dernière version (VASTO v0.3) publiée lors du Black Hat 2010 offre des fonctions pour des systèmes de virtualisation commerciaux mais aussi opensource : Aux cotés du mastodonte vmware, on retrouve des systèmes comme Abiquo, Eucalyptus et bien évidemment Xen.

Les interfaces d'administration sont à la fête

Un rapide passage en revue des modules proposés et l'ont peu se rendre compte d'une chose : Ce sont les interfaces d'administration (et les mots de passe d'accès à celles-ci) qui ont été sélectionnées comme "cibles". Les plus habitués d'entre-vous le savent déjà : Celles-ci sont des cibles de choix et sont malheureusement insuffisamment protégées.

Quelques screenshot pour se convaincre

Pour ceux qui souhaiterai avoir quelques détails sur cet outil avant de le tester par eux-mêmes, un article présentant, avec screenshots à l'appui, la version beta (article original en allemand ou traduit via Google).
Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens