Archives par étiquette : Securité Financière

Free Offensive Security Training Course

off_sec_banner3

Dans le cadre de notre programme de vulgarisation des supports de formation dans le but de renforcer les compétences techniques du maximum de personnes sur la scène locale, nous vous proposons en ce jour ce programme de formation issu de l’Université d’Etat de Floride, aux Etats Unis. Ce programme a été mis sur pied par deux éminents enseignants à savoir le Professeur Xiuwen Liu et le Professeur W. Owen Redwood. Cette formation a été dispensée au cours du printemps derniers et ses initiateurs ont promis de la mettre continuellement à jour pour une autre session dans la même Université l’année prochaine.

La formation, intitulée « Offensive Security » est disponible en langue anglaise et s’étend sur une période officielle de 15 semaines en moyenne, mais bien sûr, en fonction de vos aptitudes et affinités, rien ne vous empêche de suivre le programme complet en plus ou moins de temps que celui prévu.

Les motivations ayant poussé à la conception de ce cours, telles que données par ses auteurs sont :
“The vision of this class is to fill the common gaps left by most University level security courses, by giving students a deep technical perspective of how things are attacked and hacked. The motivation of teaching such subject material was twofold: primarily to produce skilled students geared to become penetration testers and/or incident responders; and secondarily to hopefully raise the bar for security courses (as there is a real dearth of skilled security professionals coming out of college)”

Ce qui répond grandement à notre besoin car plusieurs ici au Cameroun (et dans d’autres pays) ont eu à faire des cours à l’Université, généralement très concentrés sur les aspects théoriques de la cyber sécurité, ce qui est bien des fois insuffisant pour une insertion professionnelle réussie. Ce programme a donc en partie, pour objectif de combler ce vide et permettre de produire des Professionnels de la Cybersécurite capables de comprendre et d’appliquer les techniques de haut niveau pour résoudre des problèmes techniques potentiellement complexes.

Les supports de cours sont fournis sous forme de présentation téléchargeable au format de votre choix (PDF, PPTX, ODT,…). En plus pour chaque module de cours est disponible une vidéo d’une dure d’environ 1 heure de temps retraçant en « live » la présentation. A la fin de certains modules des exercices sont fournis afin d’évaluer les apprenants. Pour les étudiants de la dites institution, un projet de fin de cours est même disponible. Le programme détaillé de la formation est accessible par ici : Offensive Security Class Syllabus.

Course Objectives:
Upon successful completion of this course of study, the student will:

  •  Know how to identify software flaws discovered through binary and source code auditing
  • Know how to reverse engineer x86 binaries
  • Know how to exploit software flaws (such as injection flaws, buffer overflows)
  • Know how to perform network and host enumeration, as well as OS and service fingerprinting
  • Know how to perform network vulnerability analysis, penetration and post exploitation
  • Know how to effectively report and communicate all of the above flaws”

Tous les supports de formation ainsi que les exercices et les informations complémentaires sont disponibles sur le site de ses concepteurs à cette adresse : Offensive Security Class Website. Notons par ailleurs qu’il vous est possible de télécharger directement le fichier torrent contenant uniquement l’ensemble de toutes les vidéos de la formation (sans les diaporamas et les exercices)

Note : Les supports de cours étant essentiellement en anglais il est nécessaire d’avoir un certain niveau de compréhension de la langue pour pouvoir les suivre. Par ailleurs, nous vous conseillons de travailler avec ces supports en formant des groupes (amis, collègues, club Info/Sec) afin de vous motiver d’avantage et de vous entraider lors de l’apprentissage.



CTO Cybersecurity Forum, Yaoundé Edition, Write Up Part 1

Last days, was held at the Palais des Congrès of Yaoundé 3rd Cybersecurity Forum organized by the Commonwealth Telecommunications Organisation (CTO). We had the opportunity to take part in this event with the assistance of the organizing committee of the CTO Event, who has kindly granted to the non-governmental organization working in the areas of Cybersecurity and Awareness of populations in Cameroon called « Cameroon Cyber ​​Security (2CS) », a free entry pass. For information, note that access to the various workshops was paying, to the order of 130,000 FCFA and more per person, depending on the member’s affiliation. We hereby wish to thank the organizing committee of the CTO Cybersecurity Forum for their encouragement to our local initiative.

CTO Cybersecurity Forum 2013 (1)

The venue does not have an Internet connection, which is quite curious especially because the Internet was cut the spotlight as the subject, it was impossible to livetweet the event in its entirety. However, you can reach some of the tweets made during the various workshops that were held over via the hashtag #CTOSecure on Twitter.

As a prelude to the main conference, held from Monday 22 to Wednesday, April 24, a workshop on the protection of Children Online. Being arrived at the site of the conference on Wednesday 24, we have not had the opportunity to take part in this workshop. However, presentations made during this past session are available online on the website of the CTO [1], and are about the measure taken by the Commonwealth countries for the protection of Children in the online services and an Experience Sharing for the implementation of these programs with practical case for the Gambia, Nigeria, Mauritius, Ghana, Serra Leone and Cameroon.

The Thursday 25 marked the beginning of the Forum itself with messages of openings and welcome by Senior Representatives of various organisations involved in the event (ITU, Government of Cameroon, ART, …). This opening sequence is followed by various keynotes led by several high profile experts in their fields, each in a 15 minute « Fastrack » mode.

During these keynotes, we got to turn speeches by Professor Tim UNWIN, Secretary General of CTO, under the theme: « Cybersecurity in the Commonwealth: Setting the stage ». It was a matter to draw the attention of the public and in turn members of the Commonwealth states on the need and the importance of implementation operational and efficient Cybersecurity Program, this by recalling to everyone that Cybersecurity is not just about our computers, but extends to all ICT devices (Smartphone, tablets, mobile devices, home automation, …).

Following this very rewarding keynote, it was the turn of Jamie Sanders to talk on the theme: « Cybergovernance and Growth », where it was clear that the mastery of cyberspace is closely linked to the growth of a nation.

David POLLINGTON in his presentation: « Critical Information Infrastructure Protection: Implications for developing countries » thus, we talked about the problems and opportunities relating to the Critical Informations Infrastructure Protection (CIIP) at the state level for countries in development. Indeed, most of these countries have become platforms for expansion and pivot for cybercriminals, putting at risk the integrity of their CIIs (Critical Information Infrastrutures). This presentation was further at the workshop on the CIIP, always animated by David Pollington in partnership with the FIRST (Forum for Incidence Response and Security Teams).

Presentations of Alex SERGER on « Cybercrime: The Cost of Crime-The Benefits of Cooperation » and Mario MANIEWICZ « Internet governance: Towards a Global Approach on Cybersecurity » is challenged before a major aspect in the fight against Cybercrime: Information Sharing. It is therefore crucial to the various stakeholders, both national, international and non-governmental to setting up processes for Intelligence sharing on threats and attacks present on each of their networks, in order to generate a climate of cyber overall prevalence. Indeed, Cybersecurity is a process involving several links in the chain, without a global vision and comprehensive measures, cybercriminals can always slip between the cracks, exploiting these differences in processes and laws to their advantage. These topics also discuss about the Budapest Convention and it’s ratification buy many countries. The main idea here was « Cooperation and Sharing ».

We can not go on without mention to you the presentation of Pierre DANDJINOU from AfricaCERT under the theme: « Promoting Cyber ​​security in Africa » ​​where the issue was for him to present the evolution of this joint initiative from its genesis to its past, current and future accomplishments. This is a very promising program by which the Cybersecurity ecosystem in Africa was rise up several (creation of naAFRICACERTtional CERT/CIRT, Workshops and Training on Incident Detection and Security Management held annually, Sessions of Good Practices Sharing between our local CERTs and International Organizations – like Team Cymryu, JCERT, FIRST … – Cybersecurity bill submitted to the African Union, …).

It is on these keynotes that is completed the first part of the day. A second part will be the subject of our next publication and focus on the Workshop entitled « A Practical Approach to Critical Information Infrastructure Protection »

 

Source :

[1] CTO Cybersecurity Forum Presentations Repository :

[2] AfricaCERT Website

 



Formation sur la norme PCI-DSS au Cameroun

De quoi s’agit-il ?

Commerce électronique, monnaie virtuelle, mobile money et autres services faisant appel aux moyens de paiements dématérialisés se généralisent de plus en plus an Afrique en général et sur le triangle national en particulier.

Cet engouement pour l’arrimage aux nouvelles technologies et facilités n’est pas juste l’apanage des opérateurs économiques standards (œuvrant dans la légalité) mais bien aussi pour les réseaux de cybercriminels dont l’objectif est de spolier les utilisateurs et entreprises des sommes stockées dans leurs comptes électroniques. Plusieurs moyens d’opérations sont disponibles pour ses brigands des temps modernes, et parmi eux les plus utilisés sont notamment les techniques de phishing visant a soutirer à l’utilisateur final ses information bancaire confidentielles (login/password, numéro de Carte Bancaire, CVD, CVV, …) en lui faisant croire qu’il se trouve sur le site original de sa banque pourtant il ne s’agit que d’une interface contrefaite. La seconde méthode consiste pour les pirates de s’attaquer directement à l’infrastructure de traitement ou de transit des information bancaires des usagers, ainsi les eShop, eBanks et toute autre infrastructure physique ou virtuelle utilisant les information bancaire des usager deviennent la cible idéale pour les hackers.

PCI-Compliance

Payment Card Industry Data Security Standard (PCI DSS) [1] est une norme largement acceptée et éprouvée portant sur un ensemble de politiques et de procédures destinées à optimiser la sécurité des transactions d’argent par carte de crédit et de débit et de protéger les titulaires de carte contre toute utilisation abusive de leurs données personnelles. La norme PCI DSS a été créé en 2004 par un commun accord entre quatre grandes sociétés de cartes de crédit: Visa, MasterCard, Discover et American Express.

A qui s’adresse t-elle ?

Cette formation s’adresse à tout ceux qui de près ou de loin interviennent dans les processus faisant appel aux transactions de cartes Bancaires (Visa, MasterCard, American Express, …). Notamment :

–           Les Boutiques électroniques (eShop) et tout autre commerce en ligne permettant l’achat via les cartes bancaire mentionnées plus haut.

–           Les Banques proposant les services de eBanking

–           Les Assurances couvrant les risques liés à l’Informatique et ses usages (Piratage Informatique, Vol de données, …)

–           Le personnel Technique Opérationnel et Managérial travaillant sur les infrastructures offrant les services de paiement/transactions électroniques (SysAdmin, Security Engineers, Security Analyst, CISO, CIO, …)

–           Les Consultants en Audit et Sécurité de Systèmes d’Informations

–           Tout autre professionnel des Technologies de l’Information et de la Communication ayant un intérêt pour la sécurité des moyens de paiement électroniques.

Où et Quand ?

La formation se tiendra à Yaoundé du 7 au 8 Mai 2013 sur un planning de 9H à 17H avec des pauses intermédiaires.

Organisée par qui ?

La formation à venir est le fruit d’un partenariat entre Ingenieris Cameroun Sarl [2] qui sera l’hôte local de l’événement et NET HOST LEGISLATION U.K [3] en provenance d’Angleterre qui est un Formateur Certifié PCI QSA (Qualified Security Accessor) par le PCI Council ayant plusieurs années d’expérience dans les Audits de conformité et les formations sur la norme PCI DSS.

Information pratiques :

Le planning détaillé de la formation ainsi que les modules de cours abordés et leur ordonnancement sont décrit dans la brochure de formation en annexes[4].  Pour tout complément d’information bien vouloir prendre attache :

–  Soit avec Ingenieris Cameroun Sarl directement via ses contact mail : contact@ingenieris-cameroun.com et téléphonique : +237 22 08 01 27

–  Soit avec Net Host Legislation par mail : infos@nethostlegislation.co.uk

 

Annexes :

[1] PCI DSS http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard

[2] Ingenieris Cameroun Sarl http://it.ingenieris-cameroun.com

[3] Net Host Legislation UK  http://www.nethostlegislation.co.uk/

[4] Brochure Formation Certifiante PCI-DSS